域名服务器是互联网上最重要的网络基础设施之一,几乎所有的互联网应用都依赖于域名服务器,对域名服务器发动分布式拒绝服务攻击产生的破坏性巨大且影响广泛,研究防范此类攻击对保证互联网的稳定性具有重要意义。经过对攻击过程的分析,我们将典型的针对域名服务器的分布式拒绝服务攻击分为两类:DNS查询攻击和DNS放大攻击。在这两类攻击中,攻击者出于隐藏自己的目的和达到更好的攻击效果等方面的原因,都会伪造攻击包的源IP地址,因此我们提出了BH_Comp方法以检测和过滤源IP地址伪造包来保护域名服务器。BH_Comp是使用布隆过滤器作为核心数据结构的跳数比对检测方法。布隆过滤器,能有效的减少存储空间,并且其存储空间固定,可以避免分布式拒绝服务攻击对动态存储结构的潜在威胁。比对检测中跳数难以被攻击者伪造,便于建立以跳数作为先验知识的数据库,来检测和过滤访问服务器的源IP地址伪造包,从而有效防御分布式拒绝服务攻击。在华中地区教育网域名服务器上截获了两个星期46G的流量,对BH_Comp进行了实际的测试和验证,检测出1.5%的源IP地址伪造包。通过对检测结果深入统计分析,我们验证了网络数据包路由跳数具有一定的稳定性,判定华中地区教育网域名服务器没有遭受域名查询攻击,但是发现并确认了6个以该域名服务器作为反射体的域名放大攻击。测试结果证明了BH_Comp的有效性。