CN104104669A - 适用于因特网数据中心领域的抗DDoS攻击防护系统 - Google Patents
适用于因特网数据中心领域的抗DDoS攻击防护系统 Download PDFInfo
- Publication number
- CN104104669A CN104104669A CN201410270407.6A CN201410270407A CN104104669A CN 104104669 A CN104104669 A CN 104104669A CN 201410270407 A CN201410270407 A CN 201410270407A CN 104104669 A CN104104669 A CN 104104669A
- Authority
- CN
- China
- Prior art keywords
- attack
- boundary node
- ddos attack
- core switch
- ddos
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种适用于因特网数据中心领域的抗DDoS攻击防护系统,包括因特网、僵尸主机、POP接入路由器交换机、IDC服务器托管区域、云主机服务域、核心交换机、边界节点、攻击包检测分析器和DDoS攻击清洗设备,所述的因特网分别与僵尸主机、边界节点连接,所述的边界节点分别与核心交换机、攻击包检测分析器和DDoS攻击清洗设备连接,所述的攻击包检测分析器和DDoS攻击清洗设备连接,所述的核心交换机分别与POP接入路由器交换机、IDC服务器托管区域、云主机服务域连接。与现有技术相比,本发明具有低成本、高效率、全自动防护等优点。
Description
技术领域
本发明涉及一种抗DDoS攻击防护系统,尤其是涉及一种适用于因特网数据中心领域的抗DDoS攻击防护系统。
背景技术
DDoS攻击就是攻击者使用互联网上成千上万的已被入侵和控制的主机(称之为:僵尸主机)向目标主机发送大量数据包,导致对方拒绝提供服务的一种攻击方式。
近年来,互联网安全事件越来越频繁,据统计,2013年,上半年国家互联网安全信息中心监测到的DDoS混合攻击共计7000余次,占攻击总数的4.1%,在这些攻击中,相关专业人员对次攻击类型进行协议分析,在这些攻击中,icmp+tcp+udp攻击方式最为扑普遍,占攻击总数的50.8%,其次是前者再加入dns的组合,占18.5%,在tcp-flood攻击中,又以syn flood和ack flood攻击为主,可见互联网安全防护工作问题现在刻不容缓。
传统的用户直接串联方式部署,
该传统部署方式概括有以下不足之处:
1、串联部署容易导致单点故障,所有流量都要实时通过清洗设备进行过滤,管理非常不便;
2、传统的技术中,大多数都是手动防护,就是当遭到攻击时,用户打电话通知电信相关安全人员,进行手动牵引,响应时间需要30分钟,时间过长,等用户通知运营商,攻击可能也终止了;
3、采用netflow或sflow方式,按比例将包导入到检测分析器上,检测及时性和灵敏度不高;
4、1个用户部署一套防护系统,100个用户就需要部署100台抗ddos攻击防护设备,成本过高,不利于环保及低碳节能。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种低成本、高效率、全自动防护的适用于因特网数据中心领域的抗DDoS攻击防护系统,从而为用户提供集中防护攻击,为公司带来效益,为用户提供低成本的抗ddos攻击安全增值业务产品。
本发明的目的可以通过以下技术方案来实现:
一种适用于因特网数据中心领域的抗DDoS攻击防护系统,其特征在于,包括因特网、僵尸主机、POP接入路由器交换机、IDC服务器托管区域、云主机服务域、核心交换机、边界节点、攻击包检测分析器和DDoS攻击清洗设备,所述的因特网分别与僵尸主机、边界节点连接,所述的边界节点分别与核心交换机、攻击包检测分析器和DDoS攻击清洗设备连接,所述的攻击包检测分析器和DDoS攻击清洗设备连接,所述的核心交换机分别与POP接入路由器交换机、IDC服务器托管区域、云主机服务域连接。
所述的核心交换机包括第一核心交换机和第二核心交换机,所述的边界节点包括第一边界节点和第二边界节点,所述的第一核心交换机与第一边界节点连接,所述的第二核心交换机与第二边界节点连接。
所述的攻击包检测分析器和DDoS攻击清洗设备均通过旁路方式设在边界节点上。
所述的攻击包检测分析器通过镜像流量方式对流量包进行异常流量检测,同时分别对tcp-flood、udp-flood、dns-query、http-get-flood、icmp-flood攻击类型进行分析,当某个类型的攻击触发了攻击包检测分析器的阀值时,攻击包检测分析器发送消息至DDoS攻击清洗设备,该DDoS攻击清洗设备收到攻击包检测分析器发来的指令后,自动生成一条受攻击的目标主机ip的主机路由,以bgp方式通告给边界节点,将攻击流量牵引至DDoS攻击清洗设备进行清洗。
所述的DDoS攻击清洗设备将清洗后的用户正常访问流量回注至边界节点上,该边界节点将正常访问返回给各个数据中心的核心交换机上,从而形成一个良性的环路。
通告以上流程,达到用户在持续性的被ddos攻击下,仍然能够为互联网用户提供正常访问的能力,用户端不再需要重复部署ddos硬件防护系统,为客户节约大量成本。
所述的边界节点为边界路由器。
与现有技术相比,本发明具有以下优点:
1、提供了一种在运营商网络平台上提供统一的抗ddos攻击防护的安全网络架构控制装置
2、所有安全防护都是自动的,在遭受外部攻击时,无需技术人员手动处理,达到省心、省力;
3、该发明抗DDoS防护系统具有即时的攻击检测和分析,即时牵引流量至清洗设备进行清洗,并将清洗后的干净流量回注至用户网络,达到用户在被攻击的情况下,仍然能够提供服务的优势。
附图说明
图1为本发明的结构示意图。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。
实施例
如图1所示,一种适用于因特网数据中心领域的抗DDoS攻击防护系统,包括因特网2、僵尸主机1、POP接入路由器交换机7、IDC服务器托管区域5、云主机服务域6、核心交换机4、边界节点3、攻击包检测分析器8和DDoS攻击清洗设备9,所述的因特网2分别与僵尸主机1、边界节点3连接,所述的边界节点3分别与核心交换机4、攻击包检测分析器8和DDoS攻击清洗设备9连接,所述的攻击包检测分析器8和DDoS攻击清洗设备9连接,所述的核心交换机4分别与POP接入路由器交换机7、IDC服务器托管区域5、云主机服务域6连接。
所述的核心交换机4包括第一核心交换机和第二核心交换机,所述的边界节点3包括第一边界节点和第二边界节点,所述的第一核心交换机与第一边界节点连接,所述的第二核心交换机与第二边界节点连接。
所述的攻击包检测分析器8和DDoS攻击清洗设备9均通过旁路方式设在边界节点上。所述的边界节点3为边界路由器。
所述的攻击包检测分析器通过镜像流量方式对流量包进行异常流量检测,同时分别对tcp-flood、udp-flood、dns-query、http-get-flood、icmp-flood攻击类型进行分析,当某个类型的攻击触发了攻击包检测分析器的阀值时,攻击包检测分析器发送消息至DDoS攻击清洗设备,该DDoS攻击清洗设备收到攻击包检测分析器发来的指令后,自动生成一条受攻击的目标主机ip的主机路由,以bgp方式通告给边界节点,将攻击流量牵引至DDoS攻击清洗设备进行清洗。
所述的DDoS攻击清洗设备将清洗后的用户正常访问流量回注至边界节点上,该边界节点将正常访问返回给各个数据中心的核心交换机上,从而形成一个良性的环路。
通告以上流程,达到用户在持续性的被ddos攻击下,仍然能够为互联网用户提供正常访问的能力,用户端不再需要重复部署ddos硬件防护系统,为客户节约大量成本。
Claims (6)
1.一种适用于因特网数据中心领域的抗DDoS攻击防护系统,其特征在于,包括因特网、僵尸主机、POP接入路由器交换机、IDC服务器托管区域、云主机服务域、核心交换机、边界节点、攻击包检测分析器和DDoS攻击清洗设备,所述的因特网分别与僵尸主机、边界节点连接,所述的边界节点分别与核心交换机、攻击包检测分析器和DDoS攻击清洗设备连接,所述的攻击包检测分析器和DDoS攻击清洗设备连接,所述的核心交换机分别与POP接入路由器交换机、IDC服务器托管区域、云主机服务域连接。
2.根据权利要求1所述的一种适用于因特网数据中心领域的抗DDoS攻击防护系统,其特征在于,所述的核心交换机包括第一核心交换机和第二核心交换机,所述的边界节点包括第一边界节点和第二边界节点,所述的第一核心交换机与第一边界节点连接,所述的第二核心交换机与第二边界节点连接。
3.根据权利要求1所述的一种适用于因特网数据中心领域的抗DDoS攻击防护系统,其特征在于,所述的攻击包检测分析器和DDoS攻击清洗设备均通过旁路方式设在边界节点上。
4.根据权利要求1所述的一种适用于因特网数据中心领域的抗DDoS攻击防护系统,其特征在于,所述的攻击包检测分析器通过镜像流量方式对流量包进行异常流量检测,同时分别对tcp-flood、udp-flood、dns-query、http-get-flood、icmp-flood攻击类型进行分析,当某个类型的攻击触发了攻击包检测分析器的阀值时,攻击包检测分析器发送消息至DDoS攻击清洗设备,该DDoS攻击清洗设备收到攻击包检测分析器发来的指令后,自动生成一条受攻击的目标主机ip的主机路由,以bgp方式通告给边界节点,将攻击流量牵引至DDoS攻击清洗设备进行清洗。
5.根据权利要求4所述的一种适用于因特网数据中心领域的抗DDoS攻击防护系统,其特征在于,所述的DDoS攻击清洗设备将清洗后的用户正常访问流量回注至边界节点上,该边界节点将正常访问返回给各个数据中心的核心交换机上,从而形成一个良性的环路。
6.根据权利要求1所述的一种适用于因特网数据中心领域的抗DDoS攻击防护系统,其特征在于,所述的边界节点为边界路由器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410270407.6A CN104104669A (zh) | 2014-06-17 | 2014-06-17 | 适用于因特网数据中心领域的抗DDoS攻击防护系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410270407.6A CN104104669A (zh) | 2014-06-17 | 2014-06-17 | 适用于因特网数据中心领域的抗DDoS攻击防护系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104104669A true CN104104669A (zh) | 2014-10-15 |
Family
ID=51672470
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410270407.6A Pending CN104104669A (zh) | 2014-06-17 | 2014-06-17 | 适用于因特网数据中心领域的抗DDoS攻击防护系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104104669A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104580216A (zh) * | 2015-01-09 | 2015-04-29 | 北京京东尚科信息技术有限公司 | 一种对访问请求进行限制的系统和方法 |
| CN105743921A (zh) * | 2016-04-08 | 2016-07-06 | 安徽电信规划设计有限责任公司 | 一种idc机房网站信息管理方法 |
| CN107743109A (zh) * | 2016-10-31 | 2018-02-27 | 腾讯科技(深圳)有限公司 | 流量攻击的防护方法、控制装置、处理装置及系统 |
| CN108322417A (zh) * | 2017-01-16 | 2018-07-24 | 阿里巴巴集团控股有限公司 | 网络攻击的处理方法、装置和系统及安全设备 |
| CN110197065A (zh) * | 2018-10-08 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 业务数据处理方法、交换机组和业务数据处理系统 |
| CN112351012A (zh) * | 2020-10-28 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 一种网络安全防护方法、装置及系统 |
| CN112583850A (zh) * | 2020-12-27 | 2021-03-30 | 杭州迪普科技股份有限公司 | 网络攻击防护方法、装置及系统 |
-
2014
- 2014-06-17 CN CN201410270407.6A patent/CN104104669A/zh active Pending
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10735501B2 (en) | 2015-01-09 | 2020-08-04 | Beijing Jingdong Shangke Information Technology Co., Ltd. | System and method for limiting access request |
| WO2016110273A1 (zh) * | 2015-01-09 | 2016-07-14 | 北京京东尚科信息技术有限公司 | 一种对访问请求进行限制的系统和方法 |
| CN104580216B (zh) * | 2015-01-09 | 2017-10-03 | 北京京东尚科信息技术有限公司 | 一种对访问请求进行限制的系统和方法 |
| CN104580216A (zh) * | 2015-01-09 | 2015-04-29 | 北京京东尚科信息技术有限公司 | 一种对访问请求进行限制的系统和方法 |
| CN105743921A (zh) * | 2016-04-08 | 2016-07-06 | 安徽电信规划设计有限责任公司 | 一种idc机房网站信息管理方法 |
| US10951640B2 (en) * | 2016-10-31 | 2021-03-16 | Tencent Technology (Shenzhen) Company Limited | Traffic attack protection method and system, controller, router, and storage medium |
| US20190173901A1 (en) * | 2016-10-31 | 2019-06-06 | Tencent Technology (Shenzhen) Company Limited | Traffic attack protection method and system, controller, router, and storage medium |
| WO2018076949A1 (zh) * | 2016-10-31 | 2018-05-03 | 腾讯科技(深圳)有限公司 | 流量攻击的防护方法及系统、控制器、路由器、存储介质 |
| CN107743109B (zh) * | 2016-10-31 | 2020-09-04 | 腾讯科技(深圳)有限公司 | 流量攻击的防护方法、控制装置、处理装置及系统 |
| CN107743109A (zh) * | 2016-10-31 | 2018-02-27 | 腾讯科技(深圳)有限公司 | 流量攻击的防护方法、控制装置、处理装置及系统 |
| CN108322417A (zh) * | 2017-01-16 | 2018-07-24 | 阿里巴巴集团控股有限公司 | 网络攻击的处理方法、装置和系统及安全设备 |
| CN108322417B (zh) * | 2017-01-16 | 2021-10-19 | 阿里巴巴集团控股有限公司 | 网络攻击的处理方法、装置和系统及安全设备 |
| CN110197065A (zh) * | 2018-10-08 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 业务数据处理方法、交换机组和业务数据处理系统 |
| CN110197065B (zh) * | 2018-10-08 | 2022-12-13 | 腾讯科技(深圳)有限公司 | 业务数据处理方法、交换机组和业务数据处理系统 |
| CN112351012A (zh) * | 2020-10-28 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 一种网络安全防护方法、装置及系统 |
| CN112583850A (zh) * | 2020-12-27 | 2021-03-30 | 杭州迪普科技股份有限公司 | 网络攻击防护方法、装置及系统 |
| CN112583850B (zh) * | 2020-12-27 | 2023-02-24 | 杭州迪普科技股份有限公司 | 网络攻击防护方法、装置及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104104669A (zh) | 适用于因特网数据中心领域的抗DDoS攻击防护系统 | |
| CN103036733B (zh) | 非常规网络接入行为的监测系统及监测方法 | |
| US20200220896A1 (en) | SDN-Based DDoS Attack Prevention Method, Apparatus, and System | |
| CN104954367B (zh) | 一种互联网全向跨域DDoS攻击防护方法 | |
| CN103491095B (zh) | 流量清洗架构、装置及流量牵引、流量回注方法 | |
| CN101431449B (zh) | 一种网络流量清洗系统 | |
| CN101924764B (zh) | 基于二级联动机制的大规模DDoS攻击防御系统及方法 | |
| CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
| US9935974B2 (en) | Hardware-logic based flow collector for distributed denial of service (DDoS) attack mitigation | |
| CN101588246B (zh) | 防范分布式阻断服务DDoS攻击的方法、网络设备和网络系统 | |
| CN103067192B (zh) | 一种网络流量的分析系统及方法 | |
| CN111294365A (zh) | 攻击流量防护系统、方法、装置、电子设备和存储介质 | |
| CN102195843B (zh) | 一种流量控制系统和方法 | |
| Huang et al. | Countering denial-of-service attacks using congestion triggered packet sampling and filtering | |
| CN104104558B (zh) | 一种智能变电站过程层通信中网络风暴抑制的方法 | |
| CN101505219A (zh) | 一种防御拒绝服务攻击的方法和防护装置 | |
| CN101616131A (zh) | 一种防御Arp病毒攻击的方法 | |
| Ahmed et al. | Filtration model for the detection of malicious traffic in large-scale networks | |
| CN101917425A (zh) | 双向在线方式的网吧流量集中式清洗系统及方法 | |
| JP4523612B2 (ja) | 経路情報・mib情報をもとにしたトラフィック監視方法 | |
| Wan et al. | Engineering of a global defense infrastructure for DDoS attacks | |
| CN204013604U (zh) | 适用于因特网数据中心领域的抗DDoS攻击防护装置 | |
| CN107733941A (zh) | 一种基于大数据的数据采集平台的实现方法及系统 | |
| CN100393047C (zh) | 一种入侵检测系统与网络设备联动的系统及方法 | |
| CN106230798B (zh) | 一种流量牵引方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20141015 |
|
| RJ01 | Rejection of invention patent application after publication |