阅读说明：本技术 用于阻止、检测和/或防止恶意流量的方法和设备 (Method and apparatus for blocking, detecting and/or preventing malicious traffic ) 是由 D·H·桑哈维 R·K·穆努鲁 于 2019-06-13 设计创作，主要内容包括：本公开的实施例涉及用于阻止、检测和/或防止恶意流量的方法和设备。网络设备获得与列入黑名单的域相关联的信息,其包括列入黑名单的域标识符和关联于列入黑名单的域标识符的沉洞服务器标识符。网络设备获得指定关联于列入黑名单的域的匹配标准的一组规则,匹配标准包括用于比较关联于传入分组的分组源网络地址和/或分组目的地网络地址的源网络地址和/或目的地网络地址。该组规则基于匹配标准和传入分组的分组源网络地址和/或分组目的地网络地址的比较结果指定要执行的动作。网络设备接收分组,检查关联于分组的分组源网络地址和/或分组目的地网络地址,比较分组源网络地址和/或分组目的地网络地址与匹配标准,并基于比较的结果来执行动作。(Embodiments of the present disclosure relate to methods and apparatus for blocking, detecting, and/or preventing malicious traffic. The network device obtains information associated with the blacklisted domain including a blacklisted domain identifier and a countersink server identifier associated with the blacklisted domain identifier. The network device obtains a set of rules specifying matching criteria associated with the blacklisted domain, the matching criteria including a source network address and/or a destination network address for comparing packet source network addresses and/or packet destination network addresses associated with the incoming packet. The set of rules specifies an action to perform based on a comparison of the matching criteria and the packet source network address and/or the packet destination network address of the incoming packet. The network device receives the packet, examines a packet source network address and/or a packet destination network address associated with the packet, compares the packet source network address and/or the packet destination network address to a match criterion, and performs an action based on the result of the comparison.)

用于阻止、检测和/或防止恶意流量的方法和设备

技术领域

本公开的实施例一般涉及网络流量领域，并且更具体地涉及用于阻止、检测和/或防止恶意流量的方法和设备。

背景技术

域名系统(DNS)是被称为互联网协议套件的用于计算机如何在互联网和许多专用网络上交换数据的标准集合内的协议。DNS服务被用来解析与域名相关联的互联网协议(IP)地址。DNS沉洞(DNS sinkholing)可以被用来提供不正确的DNS解析，通过其可以将互联网流量的路径定向到不同的资源(例如，沉洞服务器)而不是允许访问恶意内容或不可访问的内容。DNS沉洞是一种重定向恶意互联网流量使得可以捕获和分析恶意互联网流量的方法。

发明内容

根据一些可能的实现，一种方法可以包括由处理器获得与多个列入黑名单的域相关联的信息，其中信息包括与多个列入黑名单的域中的列入黑名单的域相对应的列入黑名单的域标识符。方法可以包括由处理器基于收集与列入黑名单的域标识符相关联的域名系统(DNS)数据来确定托管多个列入黑名单的域的设备的网络地址，以及由处理器在数据结构中存储托管多个列入黑名单的域的设备的网络地址和与多个列入黑名单的域中的列入黑名单的域相对应的列入黑名单的域标识符。方法可以包括由处理器接收发往与目的地网络地址相关联的目的地设备的一个或多个分组，由处理器比较目的地网络地址和被存储在数据结构中的网络地址，以及由处理器基于比较目的地网络地址和网络地址的结果来执行动作。

根据一些可能的实现，一种方法可以包括由处理器获得与多个列入黑名单的域相关联的信息，其中信息包括与多个列入黑名单的域中的列入黑名单的域相对应的列入黑名单的域标识符。方法可以包括由处理器获得多个源网络地址前缀，其中多个源网络地址前缀中的源网络地址前缀与可能攻击者相关联。方法可以包括由处理器接收域名系统(DNS)请求或查询，其中DNS请求包括访问与目的地域标识符相关联的目的地域的请求，以及与从其中接收DNS请求的设备相对应的源网络地址。方法可以包括由处理器确定目的地域标识符对应于列入黑名单的域标识符中的列入黑名单的域标识符，由处理器获得与列入黑名单的域标识符相关联的威胁级别，并且由处理器确定与列入黑名单的域标识符相关联的威胁级别是否满足阈值。方法可以包括由处理器比较源网络地址的前缀和多个源网络地址前缀，并且由处理器基于与列入黑名单的域标识符相关联的威胁级别是否满足阈值的结果以及比较源网络地址的前缀和多个源网络地址前缀的结果来执行动作。

根据一些可能的实现，网络设备可以包括一个或多个存储器，以及被可通信地耦合到一个或多个存储器的一个或多个处理器，用以获得与多个列入黑名单的域相关联的信息，其中信息包括列入黑名单的域标识符和与列入黑名单的域标识符相关联的沉洞服务器标识符。一个或多个处理器可以获得一组规则，其中该组规则指定与多个列入黑名单的域相关联的匹配标准，其中匹配标准包括用于与和传入分组相关联的分组源网络地址和/或分组目的地网络地址相比较的多个源网络地址和/或多个目的地网络地址，并且其中该组规则基于比较匹配标准和针对传入分组的分组源网络地址和/或分组目的地网络地址的结果来指定要执行的动作。一个或多个处理器可以接收一个或多个分组，检查与一个或多个分组相关联的分组源网络地址和/或分组目的地网络地址，将分组源网络地址和/或分组目的地网络地址与匹配标准比较，并基于比较分组源网络地址和/或分组目的地网络地址与由该组规则指定的匹配标准的结果来执行动作。

附图说明

图1A-图1C是本文所描述的示例实现的图。

图2A-图2D是本文所描述的示例实现的图。

图3是在其中可以实现本文所描述的系统和/或方法的示例环境的图。

图4A-图4B是图3的一个或多个设备的示例组件的图。

图5是用于阻止、检测和/或防止恶意流量的示例过程的流程图。

图6是用于阻止、检测和/或防止恶意流量的示例过程的流程图。

图7是用于阻止、检测和/或防止恶意流量的示例过程的流程图。

具体实施方式

以下对示例实现的详细描述参考附图。不同附图中的相同附图标记可以标识相同或相似的元素。

在网络中可能发生不同类型的恶意攻击。例如，在一些情况下，用户可能被定向到攻击者的网站并无意中从网站下载恶意内容。在其他情况下，攻击者可能会轰炸服务提供者的资源并消耗过量的带宽。旨在防止恶意攻击的网络或基于云的防火墙设备可以实现域名系统(DNS)沉洞功能性，其中可以将从可疑资源接收的或发往可疑资源的可疑流量重定向到沉洞服务器以用于进一步分析。然而，智能攻击者已经设计了在执行恶意攻击时绕过由防火墙设备所实现的DNS沉洞功能性的方法。另外，在一些情况下，攻击者可能故意用攻击中的流量轰炸沉洞服务器，其旨在消耗带宽并使得沉洞服务器过载，这会干扰沉洞服务器执行流量分析的能力。

本文所描述的一些实现包括被配置为阻止、检测和/或防止网络中的恶意流量的安全设备。安全设备可以被实现为网络设备(例如，路由设备等)和/或被附接到网络设备的设备(例如，路由设备的物理接口卡等)。

在一些实现中，本文所描述的安全设备可以阻止网络中的恶意流量。例如，国家(例如美国、英国等)、组织或客户可以指定国家或客户希望阻止用户访问的列入黑名单的域列表。例如，列入黑名单的域可能与攻击者的设备或攻击者的网站相关联。在一些实现中，本文所描述的安全设备被配置为主动执行DNS挖掘技术以解析针对托管列入黑名单的域的设备的网络地址。安全设备可以利用被包括在基于匹配的过滤器和/或规则中的匹配标准来阻止发往已解析的网络地址的流量。例如，安全设备可以阻止发往与托管列入黑名单的域的网络服务器相关联的网络地址的流量，并将流量重定向到沉洞服务器。以这种方式，因为更有效地阻止恶意流量和/或对恶意内容的访问，所以可以提高网络安全性。以这种方式，可以阻止、记录和/或防止来自绕过DNS沉洞功能性的攻击者的流量访问预期目的地。

在一些实现中，本文所描述的安全设备可以检测网络中的恶意流量和/或防止恶意流量到达网络中的后端设备(例如，服务器、沉洞服务器等)。例如，本文所描述的安全设备可以接收DNS请求，确定DNS请求与可能的攻击者相关联，并且用包括被设置为零的生存时间值的DNS响应来响应该DNS请求。在DNS响应中将生存时间值设置为零防止DNS响应被可能的攻击者缓存。以这种方式，可能的攻击者可能被迫发送附加的DNS请求以尝试访问网络中的设备。可以记录和调查从相同源网络地址接收的后续附加DNS请求。在DNS请求的计数满足阈值的情况下，源设备可以被视为攻击者设备，并且安全设备可以通知基于云的安全平台，使得攻击者设备可以被全局阻止。以这种方式，可以提高在一个或多个网络上的安全性，因为可以巧妙地识别攻击者并防止攻击者到达一个或多个网络中的后端设备。

图1A-图1C是本文所描述的示例实现100的图。如图1A-图1C中所示，示例实现100可以包括安全平台，该安全平台包括DNS沉洞数据结构、路由设备、转发组件、安全设备、客户端设备、服务器设备和/或沉洞服务器设备。路由设备和/或安全设备可以单独或组合地包括如本文所述的DNS挖掘/web过滤模块，通过该模块可以(例如，使用过滤器或规则)解析、检测和/或阻止与列入黑名单的域相关联的网络地址。在一些实现中，路由设备可以包括如本文所述的防火墙模块，通过该防火墙模块，可以配置或指导转发组件将流量(即，分组)转发到安全设备以进行检查。可以在由网络服务提供者提供的公共或专用网络中提供示例实现100。

如图1A中所示，并且通过附图标记102，路由设备可以从安全平台接收或获得信息，包括被存储在安全平台的DNS沉洞数据结构或数据库(DB)中的信息。安全平台可以包括被配置为检测威胁并实现DNS沉洞功能性的本地或基于云的安全解决方案(例如，防火墙等)。例如，DNS沉洞功能性可以包括：接收DNS请求，将在DNS请求中所接收的域名与被存储在DNS沉洞数据结构中的列入黑名单的域标识符相比较，以及利用与列入黑名单的域标识符相关联的沉洞服务器的网络地址来响应DNS请求。以这种方式，可以将发往列入黑名单的域的流量定向到沉洞服务器设备以进行进一步的记录和检查。在一些实现中，列入黑名单的域可以与攻击者或攻击者的网站相关联，客户(例如，国家、网络服务提供者、网络操作者等)确定其应该被阻止。然而，智能黑客和/或恶意攻击者可以绕过如本文所述的安全平台。因此，在一些实现中，由安全平台存储的信息可以由路由设备获得，以用于在阻止由可以绕过安全平台的攻击者发送的和/或从其接收的流量中使用。

在一些实现中，由路由设备获得的信息可以包括例如与列入黑名单的域名相关联的列入黑名单的域标识符的列表，与列入黑名单的域标识符相关联的针对一个或多个沉洞服务器的网络地址(即，互联网协议(IP)地址)，列入黑名单的设备的网络地址范围(即，IP范围)，列入黑名单的设备的网络地址前缀(即，IP前缀)等。在一些实现中，与列入黑名单的域标识符相关联的针对一个或多个沉洞服务器的网络地址包括沉洞服务器标识符，其可以对应于IPv4地址和/或IPv6地址。在一些实现中，路由设备可以经由下载、提取、订阅以从安全平台接收馈送、实时或近实时地流式传输信息、接收推送通知等等来从安全平台获得信息。在一些实现中，安全平台将信息导出到路由设备，并实时或周期性地导出、流式传输或以其他方式传输已更新的信息。

如图1A中进一步所示，并且通过附图标记104，路由设备可以将从安全平台获得的信息发送到安全设备。在一些实现中，路由设备将列入黑名单的域标识符发送到安全设备以进行DNS评估或挖掘，由此安全设备可以主动确定与托管列入黑名单的域的设备相关联的网络地址。例如，在一些实现中，安全设备可以获得列入黑名单的域标识符，并实现DNS爬取和/或DNS侦听技术，通过这些技术，安全设备收集与列入黑名单的域标识符相关联的DNS数据。以这种方式，安全设备可以确定或解析列入黑名单的域的网络地址和/或与列入黑名单的域相关联的网络地址。以这种方式，来自绕过由安全平台实现的DNS沉洞功能性的攻击者的流量(例如，发往托管列入黑名单的域的设备的网络地址的流量)尽管已经绕过了安全平台但仍可以被阻止和/或被重定向到沉洞服务器。

如图1A中进一步所示，并且通过附图标记106，安全设备可以使用DNS挖掘技术(例如，DNS爬取、DNS侦听等)来确定与列入黑名单的域相关联的网络地址。例如，并且在一些实现中，安全设备可以使用DNS爬取技术来确定与列入黑名单的域相关联的网络地址。在这方面，安全设备可以生成包括列入黑名单的域标识符的DNS请求，将DNS请求发送到DNS服务器，从DNS服务器接收对DNS请求的响应，并且缓存对DNS请求的响应中所包括的网络地址。在一些实现中，安全设备可以周期性地或根据调度来主动地对列入黑名单的域执行DNS解析。例如，安全设备可以每秒(例如，每秒50个请求、每秒20个请求等)、每10秒(例如，每10秒500个请求、每10秒200个请求等)等等生成并发送针对列入黑名单的域的列表中的列入黑名单的域的DNS请求。

作为另一示例，并且在一些实现中，安全设备可以使用DNS侦听技术来确定与列入黑名单的域相关联的网络地址。在这方面，安全设备可以拦截(例如，侦听)在DNS解析器设备和DNS服务器设备之间的或者由它们交换的DNS消息。DNS消息可以包括一个或多个分组，其指示或包括托管多个列入黑名单的域的设备的网络地址。安全设备可以缓存被截取的DNS消息中所包括的网络地址。以这种方式，安全设备可以解析与给定的列入黑名单的域相关联的IPv4和IPv6网络地址，以用于包括在由安全设备和/或路由设备可评估和/或存储的数据结构(例如，列入黑名单的域数据结构)中，安全设备和/或路由设备可以通过其来过滤和/或阻止用户访问托管列入黑名单的域的设备和/或列入黑名单的域中可获得的恶意内容。在一些实现中，单个列入黑名单的域标识符可以被解析为多个网络地址和/或与多个网络地址相关联。多个网络地址可以包括一个或多个IPv4网络地址和/或一个或多个IPv6网络地址。

如图1A中进一步所示，并且通过附图标记108，安全设备可以将针对列入黑名单的域的网络地址发送到路由设备。针对列入黑名单的域的网络地址可以在过滤和/或重定向发往列入黑名单的域的流量时被使用。如图1A中所示，并且通过附图标记110，路由设备可以将与数据结构中的列入黑名单的域相关联的已解析的网络地址存储为列入黑名单的域数据。路由设备可以收集、聚合、存储和/或构建包含与列入黑名单的域和/或托管从安全平台获得的列入黑名单的域的设备相关联的信息的数据结构。在一些实现中，数据结构包括与列入黑名单的域相关联的已解析的网络地址，以用于在过滤和/或阻止发往列入黑名单的域的流量时使用。在一些实现中，由路由设备存储的数据附加地可以包括从安全平台获得的列入黑名单的域标识符、与由安全设备解析的列入黑名单的域标识符相关联的网络地址、与从安全平台获得的列入黑名单的域标识符相关联的沉洞服务器设备标识符列表(例如沉洞IPv4地址、沉洞IPv6地址等)、从安全平台获得的可疑源网络地址、从安全平台获得的可疑源网络地址前缀等。

如图1A中进一步所示，并且通过附图标记112，安全设备可以基于与列入黑名单的域标识符相关联的已解析的网络地址和/或由路由设备存储的其他信息来建立过滤器(例如，流量过滤器)。在一些实现中，如附图标记114所示，路由设备的防火墙模块可以在转发组件上建立和安装过滤器，转发组件通过过滤器可以基于传入流量和/或被包含在传入流量的分组报头中的信息来采取特定动作。例如，转发组件可以基于由路由设备的防火墙模块安装的过滤器来丢弃流量、转发流量、记录流量等。在一些实现中，转发组件可以基于被包含在传入流量的分组报头中的源信息和/或目的地信息来执行动作，并且将流量转发到安全设备以进行检查。例如，转发组件可以将具有可疑源网络地址、可疑源网络地址前缀等的分组转发到安全设备以进行检查。作为另一示例，转发组件可以将具有与托管列入黑名单的域的设备相关联的目的地网络地址的分组转发到安全设备以进行检查。

如图1A中进一步所示，并且通过附图标记116，安全设备可以生成、创建、建立、指定或以其他方式提供一组过滤器或规则，包括匹配标准(例如，基于匹配的标准)和/或基于满足匹配标准执行的动作。例如，可以在基于被包含在传入流量的分组报头中的源或目的地网络地址、在前向和反向方向上过滤传入流量时使用规则，以用于标识和/或阻止从列入黑名单的域接收的和/或发往列入黑名单的域的流量。作为示例，规则可以基于将传入分组的源网络地址和/或目的地网络地址与被存储或包含在数据结构中的信息(例如，列入黑名单的域、托管列入黑名单的域的设备的已解析的网络地址等)相比较来过滤传入流量，并基于比较结果执行动作。

在一些实现中，在传入流量包括与被包含在数据结构中的网络地址相匹配的源网络地址和/或目的地网络地址的情况下，可以将流量重定向到沉洞服务器。在一些实现中，多个沉洞服务器与列入黑名单的域相关联。在一些实现中，在针对传入流量的源或目的地网络地址与和列入黑名单的域相关联的网络地址相匹配的情况下，安全设备可以在数据结构中执行查找并获得与列入黑名单的域相关联的沉洞服务器标识符。安全设备可以选择可以将流量重定向到的沉洞服务器。在一些实现中，安全设备可以对流量进行HTTP重定向(例如，针对HTTP或HTTPS流量)，或者对流量进行网络地址转换(NAT)(例如，针对非HTTP和/或非HTTPS流量)，如本文所述。

如图1B中所示，并且通过附图标记118，路由设备可以从客户端设备接收流量。在一些实现中，流量可以是L4-L7流量(例如，HTTP流量、HTTPS流量、非HTTP流量等)，其包括网络地址并且已经绕过安全平台(图1A)。在一些实现中，流量可能还没有绕过安全平台。路由设备和/或安全设备被配置为基于被包含在流量的分组报头中的源网络地址、源端口标识符、目的地网络地址和/或目的地端口标识符信息来检查和/或过滤流量。在一些实现中，如基于检查被包含在与流量相关联的分组报头中的路由信息所确定的，流量可以被发往服务器设备。服务器设备可以对应于或可以不对应于托管列入黑名单的域的服务器设备。

如图1B中进一步所示，并且通过附图标记120，可以由转发组件接收流量。在一些实现中，可以将转发组件合并在路由设备内。如图1B中所示，并且通过附图标记122，转发组件可以使用由防火墙模块在转发组件处安装的过滤器来评估流量。在一些实现中，过滤器基于比较源网络地址、源端口标识符、目的地网络地址或目的地端口标识符与数据结构中所包含的信息。例如，在传入分组的目的地网络地址与和被存储在数据结构中的列入黑名单的域标识符相对应的已解析的网络地址相匹配的情况下，转发组件可以将流量转发到安全设备以进行进一步评估和/或检查。类似地，在传入分组的源网络地址与源网络地址匹配或者包括与被存储在数据结构中的源前缀相匹配的源前缀的情况下，转发组件可以将流量转发到安全设备以进行进一步检查。另外，在一些实现中，在传入分组的源和/或目的地网络地址不对应于被存储在数据结构中的任何网络地址的情况下，转发组件可以允许流量并将流量转发到服务器设备。

如图1B中进一步所示，并且通过附图标记124，转发组件可以基于使用过滤器评估流量的结果，选择性地将流量转发到服务器设备或安全设备。如上所述，在传入流量的源网络地址、目的地网络地址、源标识符(例如，源端口标识符)和/或目的地标识符(例如，目的地端口标识符)与被存储在数据结构中的网络地址或者标识符相匹配的情况下，可以将流量转发到安全设备以进行进一步检查。附加地或备选地，在传入流量的源网络地址、目的地网络地址、源标识符和/或目的地标识符与被存储在数据结构中的任何网络地址和/或标识符不匹配的情况下，流量可以被允许并转发到服务器设备。

如图1C中所示，并且通过附图标记126，转发组件可以将流量转发到安全设备。在这种情况下，例如，针对由转发组件接收的流量的报头信息可以对应于被包含在数据结构中的信息，并且因此将接收由安全设备提供的进一步检查、评估和/或动作。相应地，转发组件可以选择性地将流量转发到安全设备，例如在传入流量的源网络地址、目的地网络地址、源标识符和/或目的地标识符与在数据结构中所存储的网络地址和或标识符相匹配的实例中。

如图1C中进一步所示，并且通过附图标记128，安全设备可以从转发组件接收流量并比较流量的源网络地址、目的地网络地址、源标识符和/或目的地标识符与如被存储在数据结构中的与列入黑名单的域标识符相关联的信息。以这种方式，安全设备可以根据预定义的规则或标准评估源和/或目的地网络地址和/或源和/或目的地标识符，并且基于规则和/或标准的满足来执行动作。安全设备分析传入流量以用于确定与列入黑名单的域和/或托管列入黑名单的域的设备的网络地址的匹配的标准可以包括：例如被包含在数据结构中的与列入黑名单的域相对应的网络地址列表、源标识符、目的地标识符等。在传入流量的源网络地址、目的地网络地址和/或源或目的地标识符与被存储在数据结构中的信息相匹配的情况下，可以执行动作。示例动作可以包括：例如，允许将流量路由发送到托管网页的预期目的地服务器设备，将流量路由发送(例如，重定向)到定制网络地址(例如，定制网页)，将流量路由发送到沉洞服务器，重置连接(例如，在客户端设备侧和/或服务器设备侧执行TCP重置)，向客户端设备发送定制响应代码，等等。

如图1C中进一步所示，并且通过附图标记130，安全设备可以基于将被包含在传入流量的分组报头中的数据与被包含在数据结构中的信息相比较来选择性地将流量路由发送到服务器设备或沉洞服务器设备。例如，在一些实现中，安全设备可以确定源网络地址和目的地网络地址都不对应于数据结构中所包含的任何网络地址，并且可以允许流量。附加地或备选地，在安全设备确定源网络地址或目的地网络地址确实对应于数据结构中所包含的网络地址的情况下，可以对流量进行解析以标识域名，例如在流量是HTTP或HTTPS流量的情况下。在一些实现中，在域名与列入黑名单的域标识符相匹配的情况下，可以将流量重定向到与列入黑名单的域标识符相关联的沉洞服务器。以这种方式，可以允许被发往托管非列入黑名单的域的设备的网络地址的流量，而可以阻止被发往托管列入黑名单的域的设备的网络地址的流量。例如，在一些实现中，与网络地址相关联的设备可以托管非列入黑名单的域和列入黑名单的域两者。

在一些实现中，安全设备可以解析一个或多个HTTP或HTTPS分组的报头以确定分组域标识符，将分组域标识符与被存储在数据结构中的列入黑名单的域标识符相比较，确定分组域标识符对应于被存储在数据结构中的列入黑名单的域标识符，并获得与列入黑名单的域标识符相关联的多个沉洞服务器标识符。安全设备可以从与列入黑名单的域标识符相关联的多个沉洞服务器标识符中选择沉洞服务器标识符，并将一个或多个分组重定向到与该沉洞服务器标识符相关联的沉洞服务器。在一些实现中，安全设备执行HTTP或HTTPS流量的HTTP重定向，以及非HTTP和非HTTPS流量的目的地NAT以将流量重定向到沉洞服务器。

在一些实现中，安全设备可以基于确定并选择最接近发起或接收到流量的客户端设备的沉洞服务器来选择沉洞服务器。例如，安全设备可以执行地理邻近度算法以选择最接近发起或接收到流量的客户端设备的沉洞服务器。安全设备可以使用地理邻近度算法来标识与发起或接收到流量的客户端设备相对应的地理位置，标识与多个沉洞服务器标识符相对应的多个地理位置，选择与地理上最接近客户端设备的地理位置的沉洞服务器相关联的沉洞服务器标识符，并将流量重定向到与所选择的沉洞服务器标识符相关联的沉洞服务器。以这种方式，流量可以被重定向到最接近流量的源的沉洞服务器，其可以被最适合配备来记录流量、报告流量和/或对流量执行防止性动作。

在一些实现中，安全设备可以基于循环调度过程来选择沉洞服务器。例如，在可能未确定沉洞服务器和/或客户端设备的接近度的情况下，安全设备可以以循环方式选择沉洞服务器。以这种方式，可以对被发往沉洞服务器的流量进行负载平衡，以防止沉洞服务器过载。在一些实现中，在流量是非HTTP或非HTTPS的情况下和/或在报头解析失败的情况下，可以使用负载平衡和/或循环技术将流量定向到沉洞服务器。以这种方式，可以减少或防止潜在的恶意攻击。

以这种方式，本文所描述的设备可以提高公共和/或专用网络中的安全性，并且利用控制平面设备(例如，路由设备、安全设备等)来执行或实现DNS沉洞功能性以用于将攻击者的流量或疑似攻击者的流量定向到DNS沉洞服务器，以用于记录、报告和/或引起防止性动作的执行。以这种方式，可以防止绕过传统防火墙和/或执行传统DNS沉洞功能性的安全平台的流量到达网络中的设备，并且可以阻止、减少和/或避免恶意攻击。

如上所述，图1A-图1C仅作为示例而被提供。其他示例是可能的，并且可以与关于图1A-图1C所描述的示例不同。例如，尽管图1A-图1C可以图示出一个组件(例如，路由设备、安全设备等)执行一个或多个动作，但是应当理解，任何组件可以执行一个或多个动作。路由设备和/或安全设备可以包括网络设备，其中的一个或两个包括控制平面功能性，通过该控制平面功能性可以控制网络中的流量的流。

图2A-图2D是本文所描述的示例实现200的图。如图2A-图2D中所示，示例实现200可以包括安全平台，该安全平台包括DNS沉洞数据结构、路由设备、转发组件、安全设备和/或客户端设备。路由设备和/或安全设备可以单独或组合地包括如本文所述的威胁评估模块，通过该模块可以获得、评估并使用DNS数据(例如，列入黑名单的域名、可疑攻击者的网络地址、威胁级别等)来生成将生存时间值设置为零的DNS响应。在一些实现中，路由设备可以包括如本文所述的防火墙模块，通过该防火墙模块可以配置或指导转发组件将分组转发到安全设备以进行检查。可以在由网络服务提供者提供的公共或专用网络中提供示例实现200。

如图2A中所示，并且通过附图标记202，路由设备可以从安全平台接收或获得信息，包括被存储在DNS沉洞数据结构或数据库中的信息。如上所述，安全平台可以包括被配置为检测威胁并实现DNS沉洞功能性的本地或基于云的安全性解决方案(例如，包括防火墙等)。在一些实现中，可以由路由设备和/或安全设备使用从安全平台接收的信息来实现与执行DNS沉洞功能性有关的方面。

在一些实现中，从安全平台获得的信息可以包括但不限于(例如，使用列入黑名单的域标识符所标识的)列入黑名单的域的列表、与可能或可疑的攻击者相关联的网络地址范围或前缀的列表(例如，可疑的IPv4或IPv6地址、范围或前缀)、与列入黑名单的域标识符和/或网络地址范围或前缀相关联的威胁级别、如果从一个或多个列入黑名单的域标识符和/或网络地址范围或前缀接收流量和/或将流量发往一个或多个列入黑名单的域标识符和/或网络地址范围或前缀则流量可以被重定向到的一个或多个沉洞服务器标识符(例如，沉洞网络地址)，等等。该信息可以被存储(例如，作为威胁数据)在路由设备和/或安全设备的数据结构中和/或与路由设备和/或安全设备相关联。

如图2A中进一步所示，并且通过附图标记204，使用防火墙模块的路由设备可以为传入流量建立过滤器。可以基于如流量的分组报头中所指定的流量的类型和/或流量的源或目的地来建立过滤器。例如，过滤器可以被用来将被发往端口53的所有DNS流量转发到安全设备。作为另一示例，过滤器可以被用来将具有与被包括在数据结构中的列入黑名单的域标识符、网络地址和/或源或目的地标识符相匹配的源标识符、源网络地址、目的地标识符或目的地网络地址的流量转发到安全设备。如图2A中所示，并且通过附图标记206，可以将过滤器安装在转发组件上。以这种方式，由路由设备从可疑攻击者接收的流量可以被转发到安全设备以进行进一步检查和评估。

如图2A中进一步所示，并且通过附图标记208，安全设备可以创建、建立、提供和/或以其他方式被配置有一组规则，该组规则包括匹配标准以及基于满足匹配标准来执行的动作。规则可以被用来检测和/或防止可能的攻击。例如，规则可以指导安全设备使用被包含在数据结构中的信息作为匹配标准，以用于在过滤流量并基于流量执行动作时使用。在一些实现中，安全设备可以使用列入黑名单的域标识符列表、网络地址列表、范围、前缀等作为匹配标准，以用于比较或匹配如基于检查传入流量的分组报头所确定的传入流量的域标识符和/或网络地址。可以将传入流量的域标识符和/或网络地址与从安全平台获得并存储在数据结构中的列入黑名单的域标识符和/或网络地址相比较，以用于在检测具有与列入黑名单或可疑实体(例如，与列入黑名单的域标识符和/或可疑网络地址、前缀或范围相关联的设备)相匹配或对应的源标识符、源网络地址、目的地标识符或目的地网络地址的流量时使用。

在一些实现中，由安全设备实现的规则还可以包括阈值，由此可以获得与被存储在数据结构中的列入黑名单的域标识符和/或网络地址、范围和/或前缀相关联的威胁级别并将其与阈值相比较。安全设备可以基于确定与传入流量相关联的信息(例如，分组报头信息)是否与被存储在数据结构中的可能攻击者的列入黑名单的域标识符和/或网络地址相匹配或对应和/或与可能攻击者的列入黑名单的域标识符和/或网络地址相关联的威胁级别是否满足阈值来执行一个或多个动作。示例动作包括例如生成DNS响应并将DNS响应发送到从其中接收流量的客户端设备。DNS响应可以包括例如被设置为零的生存时间值。以这种方式，客户端设备可能不能够和/或被阻止缓存DNS响应。由于被阻止缓存DNS响应，可以防止客户端设备访问预期目的地。以这种方式，可以防止可能是可能的攻击者的客户端设备用请求轰炸网络设备(例如，服务器、沉洞服务器等)并且禁止网络设备运行。

例如，生存时间值可以指定与从DNS服务器接收的DNS信息(例如，所请求的域的网络地址)相关联的寿命。通常，客户端设备缓存DNS信息并使用所存储的信息在如生存时间所指定的记录到期之前解析DNS请求。如本文所述将生存时间值设置为零使得DNS信息能够在到达客户端设备时自动到期，并且防止客户端设备缓存DNS信息。以这种方式，可以强制客户端设备发起新的DNS请求以尝试到达网络设备。在一些实例中，安全设备可以监视从客户端设备接收的DNS请求的计数，以基于计数满足阈值来确定客户端设备是否与攻击者相关联。

如图2B中所示，并且通过附图标记210，客户端设备可以向路由设备发送DNS请求。DNS请求可以包括与目的地域标识符相关联的目的地域和与从其中接收DNS请求的客户端设备相对应的源网络地址。如附图标记212所示，转发组件可以接收DNS请求。例如，DNS请求可以被发往路由设备的端口53和/或由路由设备的端口53接收，由此，如附图标记214所示，转发组件可以应用先前安装的过滤器并将DNS请求转发给安全设备以用于进一步评估和/或执行一个或多个动作。

如图2B中进一步所示，并且通过附图标记216，例如，基于安全设备所实现的规则，安全设备可以将被包含在DNS请求中的数据或信息与被存储在数据结构中的针对列入黑名单的和/或可疑的域或设备的信息相比较。安全设备可以基于被包含在DNS请求中的信息与被存储在数据结构中的信息的比较结果来执行一个或多个动作。在一些实现中，安全设备将被包含或包括在DNS请求中的域标识符(例如，目的地域标识符)与被存储在数据结构中的列入黑名单的域标识符相比较。附加地或备选地，在一些实现中，安全设备将被包含在DNS请求中的源网络地址、范围和/或前缀(例如，对应于客户端设备)与被存储在数据结构中的可疑设备的网络地址、范围和/或前缀相比较。在安全设备检测到域标识符与列入黑名单的域标识符和/或源网络地址、范围和/或前缀与可疑设备的网络地址、范围和/或前缀之间的匹配的情况下，安全设备可以获得并确定与列入黑名单的域标识符和/或网络地址、范围和/或前缀相关联的威胁级别是否满足阈值。

在一些实现中，例如，被包含在DNS请求中的域标识符与列入黑名单的域标识符相匹配并且与列入黑名单的域相关联的威胁级别满足阈值的情况下，安全设备可以主动地沉洞发往列入黑名单的域标识符的所有DNS请求。例如，安全设备可以通过生成DNS响应并向客户端设备发送DNS响应来沉洞请求，其中DNS响应包括被设置为零的生存时间值。例如，在与列入黑名单的域相关联的威胁级别满足阈值、被包含在DNS请求中的域标识符与列入黑名单的域标识符相匹配、并且被包含在DNS请求中的网络地址、范围或前缀与被存储在数据结构中的可疑攻击者的网络地址、范围或前缀相匹配的情况下，安全设备可以沉洞DNS请求。附加地或备选地，在与列入黑名单的域相关联的威胁级别满足阈值、被包含在DNS请求中的域标识符与列入黑名单的域标识符相匹配、并且被包含在DNS请求中的网络地址、范围或前缀与被存储在数据结构中的可疑攻击者的网络地址、范围或前缀不匹配的情况下，安全设备仍然可以通过生成DNS响应并向客户端设备发送DNS响应来主动地沉洞DNS请求。DNS响应可以包括被设置为零的生存时间值和沉洞服务器标识符。以这种方式，安全设备可以随机地沉洞从具有非可疑源网络地址、范围或前缀的客户端设备接收的请求，其中例如将请求发往列入黑名单的域，并且其中例如与列入黑名单的域相关联的威胁级别满足阈值。

如图2C中所示，并且通过附图标记218，其中针对威胁级别的阈值不满足阈值(例如，在1-10的规模上的1-5之间的低威胁级别)，安全设备可以沉洞被发往列入黑名单的域标识符和与被存储在数据结构中的可疑攻击者的网络地址匹配的网络地址(或范围或前缀)的DNS请求。当阈值为低时，安全设备可以确定不沉洞来自与被存储在数据结构中的可疑攻击者的网络地址不匹配的网络地址的DNS请求。当沉洞请求时，安全设备可以获得与列入黑名单的域标识符和/或可疑攻击者的网络地址相关联的沉洞服务器标识符的列表，选择沉洞服务器标识符，生成包括沉洞服务器标识符的DNS响应，以及用该DNS响应来响应DNS请求。在一些实现中，DNS响应包括被设置为零的生存时间值。以这种方式，防止来自客户端设备的可疑的和/或潜在的恶意流量到达预期目的地，这提高了网络中的安全性。

附加地或备选地，在针对威胁级别的阈值满足阈值(例如，在1-10的规模上的高威胁级别>5)以及对于从与被存储在数据结构中的网络地址、范围或前缀不对应的源网络地址、范围或前缀接收请求的情况下，安全设备可以获得与列入黑名单的域标识符相关联的沉洞服务器标识符列表，选择沉洞服务器标识符，生成包括沉洞服务器标识符的DNS响应，并用该DNS响应来响应DNS请求。在一些实现中，DNS响应包括被设置为零的生存时间值。以这种方式，可以防止从随机源接收的DNS请求(如本文所述其可能被认为或被分类为攻击者)到达网络中的设备，并且可以防止恶意攻击。在一些实现中，威胁级别可以是数值或非数值。仅出于说明目的，选择威胁级别5作为基于1-10的规模的示例阈值。其他威胁级别值和/或阈值被预期。

如图2C中所示，并且通过附图标记220，安全设备可以响应来自客户端设备的DNS请求。由安全设备生成和发送的DNS响应可以包括与沉洞服务器相关联的网络地址，并且包括被设置为零的生存时间(TTL)值。以这种方式，客户端设备的缓存可以通过零响应生存时间而被无效。以这种方式，可以防止客户端设备缓存DNS请求。可能需要客户端设备发送多个DNS请求以尝试到达预期目的地，并且安全设备可以在确定是否认为或分类客户端设备为可能攻击者时记录和/或计数从给定客户端设备接收的DNS请求的数目。

图2D图示了在客户端设备被发送包括被设置为零的生存时间值的DNS响应之后，基于监视从客户端设备接收的DNS请求的数目的计数来执行的各种动作。如图2D中所示，并且通过附图标记222，安全设备可以基于监视在一段时间期间从客户端设备接收的请求的数目的计数来编译或配置可能攻击者的日志。例如，在客户端设备用DNS请求轰炸路由设备使得DNS请求的计数满足阈值的情况下，安全设备可以将客户端设备的源网络地址添加到可能的攻击者的列表。以这种方式，安全设备可以基于监视通过将DNS响应的生存时间值设置为零而引起的DNS请求的计数来识别或检测可能的攻击者。

如图2D中进一步所示，并且通过附图标记224，可以基于监视从客户端设备接收的DNS请求的计数，在转发组件上安装一个或多个过滤器。例如在一些实现中，在从客户端设备接收的DNS请求的计数满足阈值的情况下，安全设备的防火墙模块可以在转发组件上安装过滤器，通过该过滤器可以指导转发组件阻止或丢弃从客户端设备接收的DNS请求。以这种方式，可以防止来自客户端设备的流量(其可以基于路由设备接收的DNS请求的计数而被识别为可能的攻击者)被路由发送和/或遍历网络并且到达网络中的设备。

如图2D中进一步所示，并且通过附图标记226，路由设备可以将可能的攻击者发送或报告给安全平台。在一些实现中，安全平台可以包括基于云的安全平台，在一些情况下，其对应于全局安全设备。例如，路由设备可以基于监视从客户端设备接收的DNS请求的计数，发送或报告与被认为是可能的攻击者的客户端设备相关联的网络地址。在一些实现中，可以向安全平台报告、传输或发送满足DNS请求的阈值计数的客户端设备的网络地址。安全平台可以构建包括满足DNS请求的阈值计数的客户端设备的网络地址的数据库(例如，包括全局攻击者数据库)。可以与附加全局安全设备共享数据库，以用于全局地阻止该网络地址。以这种方式，拥有或操作安全平台的安全企业可以在全局级别上阻止潜在的攻击者。在一些实现中，安全平台包括托管全局攻击者数据库的基于云的安全解决方案。可以与其他安全设备共享数据库，以用于全局地阻止具有与满足被发送到路由设备的DNS请求的阈值计数的客户端设备相关联的网络地址的攻击者或潜在的攻击者。

以这种方式，生成和发送包括被设置为零的生存时间值的DNS响应可以被用来基于记录和/或计数从给定客户端设备接收的DNS请求的数目来检测攻击者，并且还通过防止客户端设备到达网络中的设备来防止攻击。以这种方式，基于网络中列入黑名单的域或可疑设备的威胁级别的随机DNS请求的沉洞也允许检查更大量的流量以用于进一步检测可能的攻击。

如上所指示，图2A-图2D仅作为示例而被提供。其他示例是可能的，并且可以与关于图2A-图2D所描述的示例不同。此外，虽然已经关于图1A-图1C和图2A-图2D描述了不同的实现，但是其中一个实现的一些或所有功能可以在其他实现中被使用。

图3是在其中可以实现本文所描述的系统和/或方法的示例环境300的图。如图3中所示，环境300可以包括沉洞服务器设备310、服务器设备320、客户端设备330、路由设备340、安全设备350、云计算环境360、安全平台370、计算资源375和网络380，如本文所述。环境300的各设备可以经由有线连接、无线连接或有线和无线连接的组合互连。

沉洞服务器设备310包括能够接收、生成、存储、处理和/或提供与阻止、检测和/或防止恶意流量相关联的信息的一个或多个设备。例如，沉洞服务器设备310可以包括服务器设备或一组服务器设备、工作站计算机或一组工作站计算机、虚拟机(VM)或一组虚拟机等，安全设备350可以选择性地将流量(例如，被发往服务器设备320的互联网流量)路由发送到以上设备，以便防止访问恶意内容以及捕获、记录和/或分析流量以便评估和包含威胁(例如，到服务器设备320)。

服务器设备320包括能够在网络中存储、处理和/或传输信息的一个或多个设备。在一些实现中，服务器设备320是托管网站的网络服务器。服务器设备320可以包括允许服务器设备320从环境300中的其他设备接收信息和/或将信息传输到环境300中的其他设备的通信接口。服务器设备320可以包括如由安全设备350确定的列入黑名单的网络服务器或非黑名单的网络服务器，如本文所述。

客户端设备330包括能够发送或接收诸如互联网流量之类的数据(例如，分组)的一个或多个设备。例如，客户端设备330可以包括通信和/或计算设备，诸如移动电话(例如，智能电话、无线电话等)、膝上型计算机、平板计算机、手持式计算机、游戏设备、可穿戴通信设备(例如智能手表、一副智能眼镜等)或类似类型的设备。客户端设备330可以经由路由设备340并且经由安全设备350以被安全平台370监视的互联网流量的形式向服务器设备320发送数据。

路由设备340包括能够在端点设备之间处理和/或传递流量的一个或多个网络设备(例如，一个或多个流量传递设备)。例如，路由设备340可以包括路由器、防火墙、网关、交换机、集线器、网桥、反向代理、服务器(例如代理服务器)、安全设备、入侵检测设备、负载平衡器或类似设备。

安全设备350包括诸如物理接口卡(PIC)的网络设备，其具有提供到网络中的其他元件的物理连接的端口，并且可以接收和发送分组。每个物理端口可以连接到许多类型的运输介质中的一种，诸如光纤或以太网电缆。可以根据诸如同步光网络(SONET)标准、以太网或互联网协议(IP)之类的若干协议之一对特定PIC和相关联端口进行编程和格式化。安全设备350可以是网络设备(例如，路由设备340)的模块化和/或可替换元件，并且可以是可热插拔的，这意味着可以在网络设备正在操作时将安全设备拉出其插槽并用不同的PIC替换而不会中断网络设备的操作。安全设备350可以执行数据链路层功能，包括使用诸如点对点协议(PPP)之类的数据链路层协议来与另一设备通信。安全设备350可以对特定的传入(或传出)分组执行操作，诸如解封装和封装、基于服务类别对分组进行分类、将分组内部重定向到网络的其他组件、管理流表、对分组流进行采样等等。安全设备350可以针对特定服务质量(QoS)要求而由用户配置，并且可以包括防火墙。

云计算环境360包括将计算作为服务递送的环境，由此可以将共享资源、服务等提供给沉洞服务器设备310、服务器设备320、客户端设备330、路由设备340、安全设备350、安全平台370、计算资源375等等。云计算环境360可以提供计算、软件、数据访问、存储和/或其他服务，其不需要终端用户知晓递送服务的系统和/或设备的物理位置和配置。如图所示，云计算环境360可以包括安全平台370和计算资源375。

安全平台370包括服务器设备或能够接收、生成、存储、处理和/或向安全设备350提供信息以用于阻止、检测和/或防止网络中的恶意流量的类似设备。例如，安全平台370可以由网络服务提供者、网络操作者、企业等提供，其可以出于安全目的全局地监视流量(例如，互联网流量)。在一些实现中，如图所示，可以将安全平台370托管在云计算环境360中。值得注意的是，虽然本文所描述的实现将安全平台370描述为被托管在云计算环境360中，但是在一些实现中，安全平台370可能不是基于云的(即，可以在云计算环境360之外被实现)或者可能是部分基于云的。

计算资源375包括一个或多个个人计算机、工作站计算机、服务器设备或另一类型的计算和/或通信设备。在一些实现中，计算资源375可以托管安全平台370。云资源可以包括在计算资源375中执行的计算实例、在计算资源375中被提供的存储设备、由计算资源375提供的数据传递设备等。在一些实现中，计算资源375可以经由有线连接、无线连接或有线和无线连接的组合来与其他计算资源375通信。

如图3中进一步所示，计算资源375可以包括一组云资源，诸如一个或多个应用(“APP”)375-1、一个或多个虚拟机(“VM”)375-2、虚拟化存储装置(“VS”)375-3、一个或多个管理程序(“HYP”)375-4等。

应用375-1包括可以被提供给客户端设备330、路由设备340和/或安全设备350或由它们访问的一个或多个软件应用。应用375-1可以消除在客户端设备330、路由设备340和/或安全设备350上安装和执行软件应用的需要。例如，应用375-1可以包括与安全平台370相关联的软件和/或能够经由云计算环境360被提供的任何其他软件。在一些实现中，一个应用375-1可以经由虚拟机375-2向/从一个或多个其他应用375-1发送/接收信息。

虚拟机375-2包括执行程序的机器(例如，计算机，如物理机器)的软件实现。虚拟机375-2可以是系统虚拟机或过程虚拟机，这取决于虚拟机375-2对任何真实机器的使用和对应程度。系统虚拟机可以提供支持完整操作系统(“OS”)的执行的完整系统平台。过程虚拟机可以执行单个程序，并且可以支持单个过程。在一些实现中，虚拟机375-2可以代表用户(例如，客户端设备330、路由设备340和/或安全设备350)执行，并且可以管理云计算环境360的基础设施，诸如数据管理、同步或长时间数据传递。

虚拟化存储装置375-3包括在计算资源375的存储系统或设备内使用虚拟化技术的一个或多个存储系统和/或一个或多个设备。在一些实现中，在存储系统的上下文中，虚拟化的类型可以包括块虚拟化和文件虚拟化。块虚拟化可以是指逻辑存储与物理存储的抽象(或分离)，使得可以访问存储系统而不考虑物理存储或异构结构。分离可以允许存储系统的管理员在管理员如何管理用于终端用户的存储方面的灵活性。文件虚拟化可以消除在文件级被访问的数据与文件被物理存储的位置之间的依赖性。这可以实现存储使用、服务器整合和/或无中断文件迁移性能的优化。

管理程序375-4提供允许多个操作系统(例如，“访客操作系统”)在主机计算机(诸如计算资源375)上同时执行的硬件虚拟化技术。管理程序375-4可以向访客操作系统呈现虚拟操作平台，并可以管理访客操作系统的执行。各种操作系统的多个实例可以共享虚拟化硬件资源。

网络380包括一个或多个有线和/或无线网络。例如，网络380可以包括通信网络、蜂窝网络(例如长期演进(LTE)网络、码分多址(CDMA)网络、3G网络、4G网络、5G网络、另一类型的下一代网络等)、公共陆地移动网络(PLMN)、局域网(LAN)、广域网(WAN)、城域网(MAN)、电话网络(例如公共交换电话网(PSTN))、公共网络、专用网络、自组织网络、内联网、互联网、基于光纤的网络、云计算网络等等，和/或这些或其他类型的网络的组合。

在一些实现中，路由设备340和/或安全设备350可以是在诸如机箱之类的外壳内被实现的物理设备。在一些实现中，路由设备340和/或安全设备350可以是由云计算环境或数据中心的一个或多个计算机设备实现的虚拟设备。

提供图3中所示数目和布置的设备和网络作为示例。实际上，与图3中所示出的那些相比，可以存在附加的设备和/或网络、更少的设备和/或网络、不同的设备和/或网络、或者不同地布置的设备和/或网络。此外，图3中所示的两个或更多个设备可以在单个设备中被实现，或者图3中所示的单个设备可以被实现为多个分布式设备。附加地或备选地，环境300的一组设备(例如，一个或多个设备)可以执行被描述为由环境300的另一组设备所执行的一个或多个功能。

图4A-图4B是设备400和425的示例组件的图。设备400和425可以对应于沉洞服务器设备310、服务器设备320、客户端设备330、路由设备340、安全设备350、安全平台370和/或计算资源375。在一些实现中，沉洞服务器设备310、服务器设备320、客户端设备330、路由设备340、安全设备350、安全平台370和/或计算资源375可以包括一个或多个设备400、一个或多个设备425、设备400的一个或多个组件、和/或设备425的一个或多个组件。如图4A中所示，设备400可以包括输入组件405、切换组件410、输出组件415和控制器420。如图4B中所示，设备425可以包括总线430、处理器435、存储器440、存储组件445、输入组件450、输出组件455和通信接口460。

图4A是设备400的示例组件的图。设备400可以对应于路由设备340和/或安全设备350。在一些实现中，路由设备340和/或安全设备350可以包括一个或多个设备400和/或设备400的一个或多个组件。如图4A中所示，设备400可以包括一个或多个输入组件405-1到405-B(B≥1)(下文统称为输入组件405，并且单独地称为输入组件405)、切换组件410、一个或多个输出组件415-1到415-C(C≥1)(下文统称为输出组件415，并且单独地称为输出组件415)、以及控制器420。

输入组件405可以是用于物理链路的附接点，并且可以是针对诸如分组的传入流量的入口点。诸如通过执行数据链路层封装或解封装，输入组件405可以处理传入流量。在一些实现中，输入组件405可以发送和/或接收分组。在一些实现中，输入组件405可以包括输入线卡，其包括一个或多个分组处理组件(例如，以集成电路的形式)，诸如一个或多个接口卡(IFC)、分组转发组件、线卡控制器组件、输入端口、处理器、存储器和/或输入队列。在一些实现中，设备400可以包括一个或多个输入组件405。

切换组件410可以将输入组件405与输出组件415互连。在一些实现中，切换组件410可以经由一个或多个交叉开关、经由总线和/或利用共享存储器来实现。在最终调度分组以用于递送到输出组件415之前，共享存储器可以充当临时缓冲器以存储来自输入组件405的分组。在一些实现中，切换组件410可以启用输入组件405、输出组件415和/或控制器420来通信。

输出组件415可以存储分组并且可以调度分组以用于在输出物理链路上传输。输出组件415可以支持数据链路层封装或解封装，和/或各种更高级别的协议。在一些实现中，输出组件415可以发送分组和/或接收分组。在一些实现中，输出组件415可以包括输出线卡，其包括一个或多个分组处理组件(例如，以集成电路的形式)，诸如一个或多个IFC、分组转发组件、线卡控制器组件、输出端口、处理器、存储器和/或输出队列。在一些实现中，设备400可以包括一个或多个输出组件415。在一些实现中，输入组件405和输出组件415可以由相同的组件集来实现(例如，并且输入/输出组件可以是输入组件405和输出组件415的组合)。

控制器420包括处理器，其形式例如为中央处理单元(CPU)、图形处理单元(GPU)、加速处理单元(APU)、微处理器、微控制器、现场可编程门阵列(FPGA)、专用集成电路(ASIC)和/或另一类型的处理器。处理器以硬件、固件或硬件和软件的组合来实现。在一些实现中，控制器420可以包括可以被编程来执行功能的一个或多个处理器。

在一些实现中，控制器420可以包括随机存取存储器(RAM)、只读存储器(ROM)和/或另一类型的动态或静态存储设备(例如闪存、磁存储器、光存储器等)，其存储供控制器420使用的信息和/或指令。

在一些实现中，控制器420可以与被连接到设备400的其他设备、网络和/或系统通信，以交换关于网络拓扑的信息。控制器420可以基于网络拓扑信息创建路由表，基于路由表创建转发表，并且将转发表转发到输入组件405和/或输出组件415。输入组件405和/或输出组件415可以使用转发表来执行针对传入和/或传出分组的路由查找。

控制器420可以执行本文所描述的一个或多个过程。控制器420可以响应于执行由非瞬态计算机可读介质存储的软件指令来执行这些过程。在本文中将计算机可读介质定义为非瞬态存储器设备。存储器设备包括单个物理存储设备内的存储器空间或跨多个物理存储设备的存储器空间。

可以将软件指令经由通信接口从另一设备或从另一计算机可读介质读取到与控制器420相关联的存储器和/或存储组件中。当被执行时，被存储在与控制器420相关联的存储器和/或存储组件中的软件指令可以使控制器420执行本文所描述的一个或多个过程。附加地或备选地，可以使用硬连线电路装置代替软件指令或与软件指令组合以执行本文所描述的一个或多个过程。因此，本文所描述的实现不限于硬件电路装置和软件的任何特定组合。

提供图4A中所示数目和布置的组件作为示例。实际上，与图4A中所示的那些相比，设备400可以包括附加的组件、更少的组件、不同的组件或不同地布置的组件。附加地或备选地，设备400的一组组件(例如，一个或多个组件)可以执行被描述为由设备400的另一组组件执行的一个或多个功能。

图4B是设备425的示例组件的图。设备425可以对应于路由设备340和/或安全设备350。在一些实现中，路由设备340和/或安全设备350可以包括一个或多个设备425和/或设备425的一个或多个组件。如图4B中所示，设备425可以包括总线430、处理器435、存储器440、存储组件445、输入组件450、输出组件455和通信接口460。

总线430包括允许设备400的组件之间的通信的组件。处理器435以硬件、固件或硬件和软件的组合来实现。处理器435采用中央处理单元(CPU)、图形处理单元(GPU)、加速处理单元(APU)、微处理器、微控制器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)或另一类型的处理组件的形式。在一些实现中，处理器435包括能够被编程来执行功能的一个或多个处理器。存储器440包括随机存取存储器(RAM)、只读存储器(ROM)和/或另一类型的动态或静态存储设备(例如闪存、磁存储器和/或光存储器)，其存储供处理器435使用的信息和/或指令。

存储组件445存储与设备400的操作和使用相关的信息和/或软件。例如，存储组件445可以包括硬盘(例如磁盘、光盘、磁光盘、和/或固态盘)、压缩盘(CD)、数字通用光盘(DVD)、软盘、盒式磁带、磁带和/或另一类型的非瞬态计算机可读介质以及对应的驱动器。

输入组件450包括允许设备400诸如经由用户输入(例如，触摸屏显示器、键盘、小键盘、鼠标、按钮、开关和/或麦克风)接收信息的组件。附加地或备选地，输入组件450可以包括用于感测信息的传感器(例如全局定位系统(GPS)组件、加速计、陀螺仪和/或致动器)。输出组件455包括从设备400(例如显示器、扬声器和/或一个或多个发光二极管(LED))提供输出信息的组件。

通信接口460包括类似收发器的组件(例如，收发器和/或分离的接收器和发射器)，其使得设备400能够诸如经由有线连接、无线连接或有线和无线连接的组合而与其他设备通信。通信接口460可以允许设备400从另一设备接收信息和/或向另一设备提供信息。例如，通信接口460可以包括以太网接口、光学接口、同轴接口、红外接口、射频(RF)接口、通用串行总线(USB)接口、Wi-Fi接口、蜂窝网络接口等。

设备425可以执行本文所描述的一个或多个过程。设备400可以基于处理器435执行由非瞬态计算机可读介质(诸如存储器440和/或存储组件445)所存储的软件指令来执行这些过程。在本文中将计算机可读介质定义为非瞬态存储器设备。存储器设备包括单个物理存储设备内的存储器空间或跨多个物理存储设备的存储器空间。

可以将软件指令经由通信接口460从另一计算机可读介质或从另一设备读取到存储器440和/或存储组件445中。当被执行时，被存储在存储器440和/或存储组件445中的软件指令可以使处理器435执行本文所描述的一个或多个过程。附加地或备选地，可以使用硬连线电路装置代替软件指令或与软件指令组合以执行本文所描述的一个或多个过程。因此，本文所描述的实现不限于硬件电路装置和软件的任何特定组合。

提供图4B中所示数目和布置的组件作为示例。实际上，与图4B中所示的那些相比，设备425可以包括附加的组件、更少的组件、不同的组件或不同地布置的组件。附加地或备选地，设备425的一组组件(例如，一个或多个组件)可以执行被描述为由设备425的另一组组件执行的一个或多个功能。

图5是用于阻止、检测和/或防止恶意流量的示例过程500的流程图。在一些实现中，图5的一个或多个过程框可以由安全设备(例如，安全设备350)执行。在一些实现中，图5的一个或多个处理框可以由与安全设备(例如，安全设备350)分离的或包括安全设备(例如，安全设备350)的另一设备或一组设备来执行，诸如沉洞服务器设备(例如，沉洞服务器设备310)、客户端设备(例如，客户端设备330)、路由设备(例如，路由设备340)、安全平台(例如，安全平台370)和/或云计算环境的计算资源(例如，计算资源375)。

如图5中所示，过程500可以包括获得与多个列入黑名单的域相关联的信息，其中信息包括与多个列入黑名单的域中的列入黑名单的域相对应的列入黑名单的域标识符(框510)。例如，安全设备(例如，使用输入组件405、切换组件410、控制器420、处理器435、存储器440、存储组件445、输入组件450、通信接口460等)可以获得与多个列入黑名单的域相关联的信息，如上面结合图1A-图1C所述。在一些实现中，该信息可以包括与多个列入黑名单的域中的列入黑名单的域相对应的列入黑名单的域标识符。

如图5中进一步所示，过程500可以包括基于收集与列入黑名单的域标识符相关联的域名系统(DNS)数据来确定托管多个列入黑名单的域的设备的网络地址(框520)。例如，安全设备(例如，使用输入组件405、切换组件410、控制器420、处理器435、存储器440、存储组件445、输入组件450、通信接口460等)可以基于收集与列入黑名单的域标识符相关联的域名系统(DNS)数据来确定托管多个列入黑名单的域的设备的网络地址，如上面结合图1A-图1C所述。

如图5中进一步所示，过程500可以包括存储托管多个列入黑名单的域的设备的网络地址和列入黑名单的域标识符(框530)。例如，安全设备(例如，使用控制器420、处理器435、存储器440、存储组件445等)可以存储托管多个列入黑名单的域的设备的网络地址和列入黑名单的域标识符，如上面结合图1A-图1C所述。

如图5中进一步所示，过程500可以包括接收被发往与目的地网络地址相关联的目的地设备的流量(框540)。例如，安全设备(例如，使用输入组件405、切换组件410、控制器420、处理器435、存储器440、存储组件445、输入组件450、通信接口460等)可以接收被发往与目的地网络地址相关联的目的地设备的一个或多个目的地分组，如上面结合图1A-图1C所述。

如图5中进一步所示，过程500可以包括比较目的地网络地址和被存储在数据结构中的网络地址(框550)。例如，安全设备(例如，使用控制器420、处理器435、存储器440、存储组件445等)可以比较目的地网络地址和被存储在数据结构中的网络地址，如上面结合图1A-图1C所述。

如图5中进一步所示，过程500可以包括基于比较目的地网络地址和网络地址的结果来执行动作(框560)。例如，安全设备(例如，使用切换组件410、输出组件415、控制器420、处理器435、存储器440、存储组件445、输入组件450、输出组件455、通信接口460等)可以基于比较目的地网络地址和网络地址的结果来执行动作，如上面结合图1A-图1C所述。

过程500可以包括附加的实现，诸如下面描述和/或关于本文所描述的任何其他过程所描述的任何单个实现或者实现的任何组合。

在一些实现中，动作可以包括确定目的地网络地址不对应于网络地址的任何网络地址，并且基于确定目的地网络地址不对应于网络地址的任何网络地址而朝向目的地设备路由发送一个或多个分组。

在一些实现中，动作可以包括确定目的地网络地址对应于网络地址的网络地址，确定流量对应于HTTP流量，解析HTTP流量的报头以确定分组域标识符，将分组域标识符与被存储在数据结构中的列入黑名单的域标识符相比较，确定分组域标识符对应于被存储在数据结构中的列入黑名单的域标识符，获得与列入黑名单的域标识符相关联的多个沉洞服务器标识符，从与列入黑名单的域标识符相关联的多个沉洞服务器标识符中选择沉洞服务器标识符，以及朝向与沉洞服务器标识符相关联的沉洞服务器HTTP重定向HTTP流量。

在一些实现中，当选择沉洞服务器标识符时，安全设备可以标识与从其中接收一个或多个分组的客户端设备相对应的第一地理位置，可以标识与多个沉洞服务器标识符相对应的多个第二地理位置，并且可以选择与地理上最接近第一地理位置的沉洞服务器相关联的沉洞服务器标识符。在一些实现中，当选择沉洞服务器标识符时，安全设备可以基于循环调度过程来选择沉洞服务器标识符。

在一些实现中，动作可以包括确定目的地网络地址对应于网络地址中的网络地址，确定网络地址对应于列入黑名单的域标识符，确定流量对应于非HTTP流量，获得与列入黑名单的域标识相关联的多个沉洞服务器标识符，从与列入黑名单的域标识符相关联的多个沉洞服务器标识符中选择沉洞服务器标识符，并通过用沉洞服务器标识符替换非HTTP流量中的目的地网络地址来执行非HTTP流量的网络地址转换(NAT)，以朝向与沉洞服务器标识符相关联的沉洞服务器重定向一个或多个分组。

在一些实现中，当确定网络地址时，安全设备可以生成包括列入黑名单的域标识符的DNS请求，可以将DNS请求发送到DNS服务器，并且可以从DNS服务器接收对DNS请求的响应。在一些实现中，响应可以包括托管多个列入黑名单的域的设备的网络地址。在一些实现中，安全设备可以缓存被包括在对DNS请求的响应中的网络地址。

在一些实现中，当确定网络地址时，安全设备可以拦截在DNS解析器设备和DNS服务器设备之间被交换的DNS消息。在一些实现中，DNS消息可以包括托管多个列入黑名单的域的设备的网络地址。在一些实现中，安全设备可以缓存被包括在DNS消息中的网络地址。

尽管图5示出了过程500的示例框，但是在一些实现中，与图5中描绘的那些相比，过程500可以包括附加的框、更少的框、不同的框、或者不同地布置的框。附加地或备选地，可以并行执行过程500的两个或更多个框。

图6是用于阻止、检测和/或防止恶意流量的示例过程600的流程图。在一些实现中，图6的一个或多个过程框可以由安全设备(例如，安全设备350)执行。在一些实现中，图6的一个或多个过程框可以由与安全设备(例如，安全设备350)分离的或包括安全设备(例如，安全设备350)的另一设备或一组设备来执行，诸如沉洞服务器设备(例如，沉洞服务器设备310)、客户端设备(例如，客户端设备330)、路由设备(例如，路由设备340)、安全设备(例如，安全设备350)、安全平台(例如，安全平台370)和/或云计算环境的计算资源(例如，计算资源375)。

如图6中所示，过程600可以包括获得与多个列入黑名单的域相关联的信息，其中信息包括与多个列入黑名单的域中的列入黑名单的域相对应的列入黑名单的域标识符(框610)。例如，安全设备(例如，使用输入组件405、切换组件410、控制器420、处理器435、存储器440、存储组件445、输入组件450、通信接口460等)可以获得与多个列入黑名单的域相关联的信息，如上面结合图2A-图2D所述。在一些实现中，该信息可以包括与多个列入黑名单的域中的列入黑名单的域相对应的列入黑名单的域标识符。

如图6中进一步所示，过程600可以包括获得多个源网络地址前缀，其中多个源网络地址前缀中的源网络地址前缀与可能的攻击者相关联(框620)。例如，安全设备(例如，使用输入组件405、切换组件410、控制器420、处理器435、存储器440、存储组件445、输入组件450、通信接口460等)可以获得多个源网络地址前缀，如上面结合图2A-图2D所述。在一些实现中，多个源网络地址前缀中的源网络地址前缀可以与可能的攻击者相关联。

如图6中进一步所示，过程600可以包括接收域名系统(DNS)请求，其中DNS请求包括访问与目的地域标识符相关联的目的地域的请求，以及与从其中接收DNS请求的设备相对应的源网络地址(框630)。例如，安全设备(例如，使用输入组件405、交换组件410、控制器420、处理器435、存储器440、存储组件445、输入组件450、通信接口460等)可以接收域名系统(DNS)请求，如上面结合图2A-图2D所述。在一些实现中，DNS请求可以包括访问与目的地域标识符相关联的目的地域的请求，以及与从其中接收DNS请求的设备相对应的源网络地址。

如图6中进一步所示，过程600可以包括确定目的地域标识符对应于列入黑名单的域标识符中的列入黑名单的域标识符(框640)。例如，安全设备(例如，使用控制器420、处理器435、存储器440、存储组件445等)可以确定目的地域标识符对应于列入黑名单的域标识符中的列入黑名单的域标识符，如上面结合图2A-图2D所述。

如图6中进一步所示，过程600可以包括获得与列入黑名单的域标识符相关联的威胁级别(框650)。例如，安全设备(例如，使用输入组件405、切换组件410、控制器420、处理器435、存储器440、存储组件445、输入组件450、通信接口460等)可以获得与列入黑名单的域标识符相关联的威胁级别，如上面结合图2A-图2D所述。

如图6中进一步所示，过程600可以包括确定与列入黑名单的域标识符相关联的威胁级别是否满足阈值(框660)。例如，安全设备(例如，使用控制器420、处理器435、存储器440、存储组件445等)可以确定与列入黑名单的域标识符相关联的威胁级别是否满足阈值，如上面结合图2A-图2D所述。

如图6中进一步所示，过程600可以包括比较源网络地址的前缀和多个源网络地址前缀(框670)。例如，安全设备(例如，使用控制器420、处理器435、存储器440、存储组件445等)可以比较源网络地址的前缀和多个源网络地址前缀，如上面结合图2A-图2D所述。

如图6中进一步所示，过程600可以包括基于与列入黑名单的域标识符相关联的威胁级别是否满足阈值的结果以及比较源网络地址的前缀和多个源网络地址前缀的结果来执行动作(框680)。例如，安全设备(例如，使用输入组件405、切换组件410、输出组件415、控制器420、处理器435、存储器440、存储组件445、输入组件450、输出组件455、通信接口460等)可以基于与列入黑名单的域标识符相关联的威胁级别是否满足阈值的结果以及比较源网络地址的前缀和多个源网络地址前缀的结果来执行动作，如上面结合图2A-图2D所述。

过程600可以包括附加的实现，诸如下面描述和/或关于本文所描述的任何其他过程所描述的任何单个实现或者实现的任何组合。

在一些实现中，动作可以包括确定源网络地址的前缀对应于多个源网络地址前缀的源网络地址前缀，获得与源网络地址前缀相关联的多个沉洞服务器标识符，从与源网络地址前缀相关联的多个沉洞服务器标识符中选择沉洞服务器标识符，生成包括沉洞服务器标识符的DNS响应，并用DNS响应来响应DNS请求。在一些实现中，DNS响应可以包括被设置为零的生存时间值。

在一些实现中，动作可以包括确定源网络地址的前缀不对应于多个源网络地址前缀的任何源网络地址前缀，确定与列入黑名单的域标识符相关联的威胁级别满足阈值，获得与列入黑名单的域标识符相关联的多个沉洞服务器标识符，从与列入黑名单的域标识符相关联的多个沉洞服务器标识符中选择沉洞服务器标识符，生成包括沉洞服务器标识符的DNS响应，并用DNS响应来响应DNS请求。在一些实现中，DNS响应包括被设置为零的生存时间值。

在一些实现中，安全设备可以将从其中接收DNS请求的设备的源网络地址添加到可能的攻击者的列表，并监视从源网络地址接收的DNS请求的计数。在一些实现中，当DNS请求的计数满足阈值时，安全设备可以阻止从源网络地址接收的DNS请求。在一些实现中，当DNS请求的计数满足阈值时，安全设备可以将源网络地址报告给基于云的安全平台。基于云的安全平台可以构建包括源网络地址的全局攻击者数据库，并与至少一个其他基于云的安全平台共享全局攻击者数据库，以用于全局地阻止攻击者。

在一些实现中，图6的一个或多个过程框可以由处理器或控制器(例如，处理器435或控制器420)执行。在一些实现中，可以将处理器布置在路由设备(例如，路由设备340)中或布置在被附接到路由设备的安全设备(例如，安全设备350)中。

尽管图6示出了过程600的示例框，但是在一些实现中，与图6中描绘的那些相比，过程600可以包括附加的框、更少的框、不同的框、或者不同地布置的框。附加地或备选地，可以并行执行过程600的两个或更多个框。

图7是用于阻止、检测和/或防止恶意流量的示例过程700的流程图。在一些实现中，图7的一个或多个过程框可以由诸如安全设备(例如，安全设备350)和/或路由设备(例如，路由设备340)之类的网络设备执行。在一些实现中，图7的一个或多个过程框可以由与网络设备(例如，安全设备350和/或路由设备340)分离的或包括网络设备(例如，安全设备350和/或路由设备340)的另一设备或一组设备执行，诸如沉洞服务器设备(例如，沉洞服务器设备310)、客户端设备(例如，客户端设备330)、安全平台(例如，安全平台370)、以及云计算环境的计算资源(例如，计算资源375)。

如图7中所示，过程700可以包括获得与多个列入黑名单的域相关联的信息，其中信息包括列入黑名单的域标识符以及与列入黑名单的域标识符相关联的沉洞服务器标识符(框710)。例如，安全设备(例如，使用输入组件405、切换组件410、控制器420、处理器435、存储器440、存储组件445、输入组件450、通信接口460等)可以获得与多个列入黑名单的域相关联的信息，如上面结合图1A-图2D所述。在一些实现中，该信息可以包括列入黑名单的域标识符，以及与列入黑名单的域标识符相关联的沉洞服务器标识符。

如图7中进一步所示，过程700可以包括获得一组规则，其中该组规则指定与多个列入黑名单的域相关联的匹配标准，其中匹配标准包括用于与和传入分组相关联的分组源网络地址和/或分组目的地网络地址相比较的多个源网络地址和/或多个目的地网络地址，并且其中该组规则基于比较匹配标准和针对传入分组的分组源网络地址和/或分组目的地网络地址的结果来指定要执行的动作(框720)。例如，安全设备(例如，使用输入组件405、切换组件410、控制器420、处理器435、存储器440、存储组件445、输入组件450、通信接口460等)可以获得一组规则，如上面结合图1A-图2D所述。在一些实现中，该组规则可以指定与多个列入黑名单的域相关联的匹配标准，匹配标准可以包括用于与和传入分组相关联的分组源网络地址和/或分组目的地网络地址相比较的多个源网络地址和/或多个目的地网络地址，并且该组规则可以基于比较匹配标准和针对传入分组的分组源网络地址和/或分组目的地网络地址的结果来指定要执行的动作。

如图7中进一步所示，过程700可以包括接收一个或多个分组(框730)。例如，安全设备(例如，使用输入组件405、切换组件410、控制器420、处理器435、存储器440、存储组件445、输入组件450、通信接口460等)可以接收一个或多个分组，如上面结合图1A-图2D所述。

如图7中进一步所示，过程700可以包括检查与一个或多个分组相关联的分组源网络地址和/或分组目的地网络地址(框740)。例如，安全设备(例如，交换组件410、控制器420、处理器435、存储器440、存储组件445、通信接口460等)可以检查与一个或多个分组相关联的分组源网络地址和/或分组目的地网络地址，如上面结合图1A-图2D所述。

如图7中进一步所示，过程700可以包括将分组源网络地址和/或分组目的地网络地址与匹配标准相比较(框750)。例如，安全设备(例如，使用控制器420、处理器435、存储器440、存储组件445等)可以将分组源网络地址和/或分组目的地网络地址与匹配标准相比较，如上面结合图1A-图2D所述。

如图7中进一步所示，过程700可以包括基于比较分组源网络地址和/或分组目的地网络地址与由该组规则指定的匹配标准的结果来执行动作(框760)。例如，安全设备(例如，使用输入组件405、切换组件410、输出组件415、控制器420、处理器435、存储器440、存储组件445、输入组件450、输出组件455、通信接口460等)可以基于比较分组源网络地址和/或分组目的地网络地址与由该组规则指定的匹配标准的结果来执行动作，如上面结合图1A-图2D所述。

过程700可以包括附加的实现，诸如下面描述和/或关于本文所描述的任何其他过程所描述的任何单个实现或者实现的任何组合。

在一些实现中，安全设备可以确定分组目的地网络地址满足匹配标准，确定分组目的地网络地址对应于列入黑名单的域标识符的地址，选择与列入黑名单的域标识符相关联的沉洞服务器标识符，并将一个或多个分组路由发送到与沉洞服务器标识符相关联的沉洞服务器。

在一些实现中，安全设备可以标识与具有分组源网络地址的设备相对应的第一地理位置，标识对应于与列入黑名单的域标识符相关联的多个沉洞服务器标识符的多个第二地理位置，并选择与具有在地理上最接近第一地理位置的第二地理位置的沉洞服务器相关联的沉洞服务器标识符。

在一些实现中，安全设备可以基于循环调度过程来选择沉洞服务器标识符。在一些实现中，安全设备可以确定分组源网络地址满足匹配标准，获得与分组源网络地址相关联的多个沉洞服务器标识符，从多个沉洞服务器标识符中选择沉洞服务器标识符，生成包括沉洞服务器标识符的消息，并将消息发送给与分组源网络地址相对应的设备。在一些实现中，该消息包括具有被设置为零的生存时间值的域名系统(DNS)响应。

尽管图7示出了过程700的示例框，但是在一些实现中，与图7中描绘的那些相比，过程700可以包括附加的框、更少的框、不同的框、或者不同地布置的框。附加地或备选地，可以并行执行过程700的两个或更多个框。

本文所描述的一些实现包括网络设备，网络设备包括被配置为阻止、检测和/或防止网络380中的恶意流量的安全设备350。安全设备350可以被实现为网络设备(例如，路由设备340等)和/或被附接到网络设备的安全设备350(例如，路由设备340的物理接口卡等)。在一些实现中，安全设备350可以阻止网络380中的恶意流量。例如，国家或客户可以指定国家或客户希望阻止用户访问的列入黑名单的域列表。作为示例，列入黑名单的域可以与攻击者设备或攻击者的网站相关联。在一些实现中，安全设备350可以被配置为主动执行挖掘技术以解析针对托管列入黑名单的域的设备的网络地址。安全设备350可以利用基于匹配的过滤器和/或规则中所包括的匹配标准来阻止被发往解析的网络地址的流量。例如，安全设备350可以阻止被发往与托管列入黑名单的域的网络服务器相关联的网络地址的流量，并且朝向沉洞服务器设备310重定向流量。以这种方式，由于更有效地阻止了恶意流量和/或对恶意内容的访问，所以网络安全性可以得到改善。此外，可以阻止、记录和/或防止来自绕过DNS沉洞功能性的攻击者的流量访问预期目的地。

在一些实现中，安全设备350可以检测网络380中的恶意流量和/或防止恶意流量到达网络380中的其他设备(例如，服务器设备、沉洞服务器设备等)。例如，安全设备350可以接收DNS请求，确定DNS请求与可能的攻击者相关联，并且利用包括被设置为零的生存时间值的DNS响应来响应DNS请求。以这种方式，DNS响应可能不会被可能的攻击者缓存，使得可以记录并调查来自相同源网络地址的后续DNS请求。在源设备被识别为攻击者的情况下，安全设备可以通知基于云的安全平台，使得可以全局地阻止攻击者。以这种方式，因为可以优雅地识别攻击者并防止攻击者到达一个或多个网络中的后端设备，因此在一个或多个网络上的安全性可以得到改善。

前述公开内容提供了说明和描述，但并非旨在穷举或将实现限于所公开的精确形式。鉴于以上公开内容，修改和变型是可能的，或者可以从这些实现的实践中获得。

如本文所使用的，术语组件旨在被广义地解释为硬件、固件和/或硬件和软件的组合。

如本文所使用的，术语流量或内容可以包括一组分组。分组可以是指用于传输信息的通信结构，诸如协议数据单元(PDU)、网络分组、数据报、段、消息、块、小区、帧、子帧、时隙、符号、上述任何一部分和/或能够经由网络被传输的另一类型的格式化或未格式化的数据单元。

本文结合阈值描述了一些实现。如本文所使用的，满足阈值可以是指值大于阈值、多于阈值、高于阈值、大于或等于阈值、小于阈值、少于阈值、低于阈值、小于或等于阈值、等于阈值等。

明显的是，本文所描述的系统和/或方法可以以不同形式的硬件、固件或硬件和软件的组合来实现。被用来实现这些系统和/或方法的实际专用控制硬件或软件代码不限制实现。因此，本文描述了系统和/或方法的操作和行为，而没有参考特定的软件代码——应当理解，可以将软件和硬件设计为基于本文的描述来实现系统和/或方法。

即使在权利要求中陈述和/或在说明书中公开了特定的特征组合，但是这些组合并不旨在限制可能的实现的公开。实际上，许多这些特征可以以未在权利要求中具体陈述和/或未在说明书中具体公开的方式进行组合。尽管下面列出的每个从属权利要求可以直接仅从属于一个权利要求，但是可能的实现的公开包括每个从属权利要求与权利要求集合中的每个其他权利要求的组合。

除非如此明确地描述，否则本文所使用的元件、动作或指令不应被解释为是关键或必要的。此外，如本文所使用的，冠词“一”和“一个”旨在包括一个或多个项目，并且可以与“一个或多个”互换使用。此外，如本文所使用的，术语“集合”旨在包括一个或多个项目(例如，相关项目、不相关项目、相关项目和不相关项目的组合等)，并且可以与“一个或多个”互换使用。在仅有一个项目的情况下，使用术语“一个”或类似的语言。此外，如本文所使用的，术语“具有(has)”、“具有(have)”、“具有(having)”等旨在是开放式术语。另外，除非另有明确说明，否则短语“基于”旨在表示“至少部分地基于”。