[发明专利]用于阻止、检测和/或防止恶意流量的方法和设备

权利要求书

1.一种用于阻止、检测和防止恶意流量的方法，包括：

由处理器获得与多个列入黑名单的域相关联的信息，

其中所述信息包括与所述多个列入黑名单的域中的列入黑名单的域相对应的列入黑名单的域标识符；

由所述处理器基于收集与所述列入黑名单的域标识符相关联的域名系统DNS数据来确定托管所述多个列入黑名单的域的设备的网络地址；

由所述处理器在数据结构中存储所述网络地址；

由所述处理器接收发往与目的地网络地址相关联的目的地设备的流量；

由所述处理器比较所述目的地网络地址和被存储在所述数据结构中的所述网络地址；以及

由所述处理器基于比较所述目的地网络地址和所述网络地址的结果来执行动作，

其中所述动作包括：

利用DNS响应来响应DNS请求，

其中所述DNS响应包括被设置为零的生存时间值，

以防止所述DNS响应被缓存并且使网络设备的轰炸最小化；

监视从与所述DNS请求相关联的源网络地址接收的DNS请求的计数；以及

基于所述计数满足阈值来确定所述DNS请求与攻击者相关联。

2.根据权利要求1所述的方法，其中所述动作还包括：

确定所述目的地网络地址对应于所述网络地址中的网络地址；

确定所述流量对应于HTTP流量；

解析HTTP流量的报头以确定域标识符；

将所述域标识符与被存储在所述数据结构中的所述列入黑名单的域标识符相比较；

确定所述域标识符对应于所述列入黑名单的域标识符中的列入黑名单的域标识符；

获得与所述列入黑名单的域标识符相关联的多个沉洞服务器标识符；

从与所述列入黑名单的域标识符相关联的所述多个沉洞服务器标识符中选择沉洞服务器标识符；以及

朝向与所述沉洞服务器标识符相关联的沉洞服务器HTTP重定向所述HTTP流量。

3.根据权利要求2所述的方法，其中与所述列入黑名单的域标识符相关联的所述多个沉洞服务器标识符对应于互联网协议IP v4地址和/或IPv6地址。

4.根据权利要求2所述的方法，其中选择所述沉洞服务器标识符包括：

标识与从其中所述流量被接收的客户端设备相对应的第一地理位置；

标识与所述多个沉洞服务器标识符相对应的多个第二地理位置；以及

选择与地理上最接近所述第一地理位置的所述沉洞服务器相关联的所述沉洞服务器标识符。

5.根据权利要求2所述的方法，其中选择所述沉洞服务器标识符包括：基于循环调度过程来选择所述沉洞服务器标识符。

6.根据权利要求1所述的方法，其中所述动作还包括：

确定所述目的地网络地址对应于所述网络地址中的网络地址；

确定所述流量是非HTTP流量；

确定所述网络地址对应于所述列入黑名单的域标识符中的列入黑名单的域标识符；

获得与所述列入黑名单的域标识符相关联的多个沉洞服务器标识符；

从与所述列入黑名单的域标识符相关联的所述多个沉洞服务器标识符中选择沉洞服务器标识符；以及

通过利用所述沉洞服务器标识符替换所述非HTTP流量中的所述目的地网络地址来执行所述非HTTP流量的网络地址转换NAT，以朝向与所述沉洞服务器标识符相关联的沉洞服务器重定向所述非HTTP流量。

7.根据权利要求1所述的方法，其中确定托管所述多个列入黑名单的域的所述设备的所述网络地址包括：

生成包括所述列入黑名单的域标识符的DNS请求；

将所述DNS请求发送到DNS服务器；

从所述DNS服务器接收对所述DNS请求的响应，

其中，所述响应包括托管所述多个列入黑名单的域的所述设备的所述网络地址；以及

缓存被包括在对所述DNS请求的所述响应中的所述网络地址。