DNS网关生成了大量日志信息，日志内容见图3。正常情况下，每天8∶00-23∶00，我校的DNS解析请求近2000万次，平均每秒390多次，每个请求2条日志记录，约4000万条。一旦有攻击发生，每秒的解析请求次数就会发生巨大变化，例如一次高强度的攻击造成每秒的解析请求次数达到近35000次，见图4。

图3 DNS网关日志

图4 一次高强度的攻击

　　DNS网关设定为每20万条日志存为一个日志文件，在校园网繁忙时段，平均每3～6分钟生成一个日志文件。每生成一个日志文件，就给日志分析服务器发送一个UDP报文，告知其日志文件名称。日志分析服务器接到通知后，从DNS网关上下载该日志文件，对其内容逐条进行分析处理。如果发生对DNS网关的攻击，生成日志的速度也急剧加快，可能几秒钟就会生成一个日志文件。因此，攻击强度越大，日志分析的频度越高，对攻击作出响应的速度就会越快。

　　日志分析服务器分析日志数据后，把具有攻击性特点的IP地址列入IP黑名单。并将该IP黑名单打包生成UDP报文，发送给DNS网关。由于日志分析工作需要占用大量服务器CPU资源(如果日志分析工作由DNS网关或递归解析服务器执行)，必然会严重影响它们的服务能力。由于日志分析服务器可以做相当复杂的日志分析工作，所以这样的问题将不复存在。与此同时，针对DNS网关的日志文件也起到备份的作用。

　　IP黑名单以24小时为一个禁用单元，如果IP的拥有者在24小时内解决问题而不再产生新的攻击，24小时后该地址就会自动从IP黑名单中被删除。否则，由于攻击行为未解除，必然又会被日志分析服务器列入IP黑名单，直到问题得以解决。

　　日志分析服务器分析处理DNS日志，除了得到IP黑名单，还可以做很多数据发掘工作。例如，统计域名的访问次数、维护近24小时访问量在前500名的域名列表和其解析结果并发送给DNS网关使用。对攻击行为的定义也可以做得很复杂，包括对域名的格式和语义进行分析，动态维护DNS报文过滤策略和报文转发策略，并可以发现一些流氓软件的网络行为。