CN104967588A - 分布式拒绝服务DDoS攻击的防护方法及其装置和系统 - Google Patents
分布式拒绝服务DDoS攻击的防护方法及其装置和系统 Download PDFInfo
- Publication number
- CN104967588A CN104967588A CN201410226413.1A CN201410226413A CN104967588A CN 104967588 A CN104967588 A CN 104967588A CN 201410226413 A CN201410226413 A CN 201410226413A CN 104967588 A CN104967588 A CN 104967588A
- Authority
- CN
- China
- Prior art keywords
- configuration parameter
- service server
- protection configuration
- packet
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种分布式拒绝服务DDoS攻击的防护方法及其装置和系统,其中,该方法包括:接收到DDoS攻击告警消息,其中,DDoS攻击告警消息用于指示业务服务器出现DDoS攻击;响应DDoS攻击告警消息获取防护配置参数,其中,防护配置参数用于对发送到业务服务器的数据包进行过滤;将防护配置参数发送到多级流量清洗系统,以指示多级流量清洗系统根据接收到的防护配置参数对发送到业务服务器的数据包进行过滤,其中,多级流量清洗系统包括位于骨干网节点的第一流量清洗系统和位于互联网数据中心IDC入口的第二流量清洗系统。本发明解决了现有技术中仅基于靠近业务服务器的清洗设备进行流量清洗所导致的防护能力较低的技术问题。
Description
技术领域
本发明涉及计算机领域,具体而言,涉及一种分布式拒绝服务DDoS攻击的防护方法及其装置和系统。
背景技术
分布式拒绝服务(DDoS,Distributed Denial of Service)攻击,指借助于客户端/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地拒绝服务攻击的威力。通常,攻击者使用一个偷窃账号将DDoS主控程序安装在一个计算机上,在一个设定的时间,主控程序将与大量代理程序通讯,其中,代理程序已经安装在Internet上的许多计算机上,代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行,因为攻击时,攻击数据包都是经过伪装的,源IP地址也进行了伪装,因而难以对攻击进行准确区分。
目前,本领域技术人员通常采用流量清洗的方式来对DDoS攻击进行防护,其中流量清洗可以包括以下两种方式:在发现对网络流量中隐藏的非法攻击流量后,及时通知并激活防护设备进行流量的清洗;在发现攻击后,通过专业的流量净化产品,将异常流量从原始网络路径中重定向到净化产品上,进行异常流量的识别和剥离,然后将还原出的合法流量回注到原网络中,并转发给目标系统,其他合法流量的转发路径不受影响。
进一步,在本领域现有技术中,通常采用的针对DDoS攻击的流量清洗防护方法仍然存在很多缺陷:有些防护方法由于清洗系统部署层级较高,而难以部署精细化的防护策略,进而难以为客户提供精细化的DDoS攻击防护;而还有些防护方法能为本地用户提供清洗防护,防护能力有限,无法有效应对大规模、超大规模的DDoS攻击。
此外,现有的DDoS攻击防护方案都需要人工来确认防护的效果,目前,还并没有设置对防护的结果建立反馈机制。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种分布式拒绝服务DDoS攻击的防护方法及其装置和系统,以至少解决现有技术中仅基于靠近业务服务器的清洗设备进行流量清洗所导致的防护能力较低的技术问题。
根据本发明实施例的一个方面,提供了一种分布式拒绝服务DDoS攻击的防护方法,包括:接收到DDoS攻击告警消息,其中,上述DDoS攻击告警消息用于指示业务服务器出现DDoS攻击;响应上述DDoS攻击告警消息获取防护配置参数,其中,上述防护配置参数用于对发送到上述业务服务器的数据包进行过滤;将上述防护配置参数发送到多级流量清洗系统,以指示上述多级流量清洗系统根据接收到的上述防护配置参数对发送到上述业务服务器的数据包进行过滤,其中,上述多级流量清洗系统包括位于骨干网节点的第一流量清洗系统和位于互联网数据中心(IDC,Internet Data Center)入口的第二流量清洗系统。
根据本发明实施例的另一方面,还提供了一种分布式拒绝服务DDoS攻击的防护装置,包括:第一接收单元,用于接收到DDoS攻击告警消息,其中,上述DDoS攻击告警消息用于指示业务服务器出现DDoS攻击;获取单元,用于响应上述DDoS攻击告警消息获取防护配置参数,其中,上述防护配置参数用于对发送到上述业务服务器的数据包进行过滤;第一发送单元,用于将上述防护配置参数发送到多级流量清洗系统,以指示上述多级流量清洗系统根据接收到的上述防护配置参数对发送到上述业务服务器的数据包进行过滤,其中,上述多级流量清洗系统包括位于骨干网节点的第一流量清洗系统和位于互联网数据中心IDC入口的第二流量清洗系统。
根据本发明实施例的又一方面,还提供了一种分布式拒绝服务DDoS攻击的防护系统,其包括:流量监测服务器,用于向联动配置服务器发送DDoS攻击告警信息,其中,上述DDoS攻击告警消息用于指示业务服务器出现DDoS攻击;上述联动配置服务器,用于根据接收到的DDoS攻击告警信息获取防护配置参数,并将上述防护配置参数发送到多级流量清洗服务器,以指示上述多级流量清洗服务器根据接收到的上述防护配置参数对发送到上述业务服务器的数据包进行过滤;上述多级流量清洗服务器,用于根据接收到的上述防护配置参数对发送到上述业务服务器的数据包进行过滤,其中,上述多级流量清洗系统包括位于骨干网节点的第一流量清洗服务器和位于互联网数据中心IDC入口的第二流量清洗服务器;其中,上述第二流量清洗服务器被设置为对经过上述第一流量清洗服务器过滤后的数据包进行再次过滤,并将上述再次过滤后得到的数据包发送到上述业务服务器。
在本发明实施例中,通过在骨干网节点和互联网数据中心入口进行多级流量清洗,避免了仅基于靠近业务服务器的清洗设备进行流量清洗所导致的防护能力较低的技术问题,从而通过设置在骨干网节点上的流量清洗系统可以防御大规模、超大规模的DDoS攻击,并通过设置在IDC入口处的流量清洗系统提高流量清洗的精度。
此外,通过联动反馈机制,根据过滤后的反馈信息对业务服务器的防护配置参数进行及时的调整修改,以使对业务服务器的清洗过滤持续有效,从而实现了进一步提高对DDoS攻击的防护能力以及对DDoS攻击的清洗精度的技术效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种可选的分布式拒绝服务DDoS攻击的防护方法所在网络的结构示意图;
图2是根据本发明实施例的一种可选的分布式拒绝服务DDoS攻击的防护方法的流程图;
图3是根据本发明实施例的一种可选的分布式拒绝服务DDoS攻击的防护方法的应用场景的示意图;
图4是根据本发明实施例的一种可选的分布式拒绝服务DDoS攻击的防护方法所应用的系统的示意图;
图5是根据本发明实施例的另一种可选的分布式拒绝服务DDoS攻击的防护方法的流程图;
图6是根据本发明实施例的另一种可选的分布式拒绝服务DDoS攻击的防护方法的流程图;
图7是根据本发明实施例的一种可选的分布式拒绝服务DDoS攻击的防护装置的示意图;
图8是根据本发明实施例的另一种可选的分布式拒绝服务DDoS攻击的防护装置的示意图;以及
图9是根据本发明实施例的一种用于存储执行分布式拒绝服务DDoS攻击的防护方法的程序代码的存储介质。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
根据本发明实施例,提供了一种分布式拒绝服务DDoS攻击的防护方法,在本实施例中上述分布式拒绝服务DDoS攻击的防护方法可以应用于如图1所示的网络中,其中,上述网络包括但不限于:骨干网、骨干网下的城域网、城域网下的互联网数据中心IDC(Internet Data Center)、互联网数据中心(IDC)下的业务服务器以及与骨干网连接的客户端。可选地,在本实施例中骨干网下的城域网也可以但不限于视为上述网络中的骨干网。
例如,如图1所示,骨干网与城域网1和城域网2连接,其中,城域网1中包括互联网数据中心IDC-1以及互联网数据中心IDC-2,互联网数据中心IDC-1中包括业务服务器102-1互联网数据中心IDC-2中包括业务服务器102-2;城域网2中包括互联网数据中心IDC-3以及互联网数据中心IDC-4,互联网数据中心IDC-3中包括业务服务器102-3互联网数据中心IDC-4中包括业务服务器102-4;此外,骨干网还与客户端连接,例如,客户端104-1、客户端104-2、客户端104-3。上述网络中的客户端通过骨干网与业务服务器建立连接,进而实现对业务服务器中的相应业务的请求。上述举例只是一种示例,本实施例对此不做任何限定。
可选地,在本实施例中上述分布式拒绝服务DDoS攻击的防护方法,如图2所示,该方法包括:
S202,接收到DDoS攻击告警消息,其中,DDoS攻击告警消息用于指示业务服务器出现DDoS攻击;
S204,响应DDoS攻击告警消息获取防护配置参数,其中,防护配置参数用于对发送到业务服务器的数据包进行过滤;
S206,将防护配置参数发送到多级流量清洗系统,以指示多级流量清洗系统根据接收到的防护配置参数对发送到业务服务器的数据包进行过滤,其中,多级流量清洗系统包括位于骨干网节点的第一流量清洗系统和位于互联网数据中心IDC入口的第二流量清洗系统。
可选地,在本实施例中,上述分布式拒绝服务DDoS攻击的防护方法可以由如图3所示的网络中的多个网络设备实现。例如,结合图3进行说明,流量监测服务器302将对骨干网全网中的业务流量进行实时监控,然后对已确认的DDoS攻击告警消息发送到全局联动配置服务器304中,由全局联动配置服务器304将获取的防护配置参数以及触发清洗操作的系统消息下发至骨干网节点处的第一流量清洗服务器306-1、第一流量清洗服务器306-2、第一流量清洗服务器306-3、第一流量清洗服务器306-4,其中,上述防护配置参数可以由内置于全局联动配置服务器304中的业务防护配置策略库获取,其中,上述业务防护配置策略库并不限于内置于全局联动配置服务器304中。
进一步,上述第一流量清洗服务器306-1、第一流量清洗服务器306-2、第一流量清洗服务器306-3、第一流量清洗服务器306-4会将过滤后得到的数据包由城域网1、城域网2、城域网3或城域网4,发送至第二流量清洗服务器308-1、第二流量清洗服务器308-2、第二流量清洗服务器308-3、第二流量清洗服务器308-4,进行再次过滤。
其中,一个或多个城域网可以共享区域联动配置服务器(例如,城域网1与城域网2共用区域联动配置服务器310-1,城域网3与城域网4共用区域联动配置服务器310-2),以达到实时监控业务流量的效果,然后,将区域联动配置服务器310-1以及区域联动配置服务器310-2的区域内的反馈信息集中通过骨干网反馈至全局联动配置服务器304,以使全局联动配置服务器304可以实时更新防护配置参数,以得到更新后的防护配置参数。
可选地,在本实施例中,上述分布式拒绝服务DDoS攻击的防护方法可以应用于如图4所示的分布式拒绝服务DDoS攻击的防护系统中,其中,上述系统包括以下内容:
1)流量监测子系统402:对全网的业务流量进行实时监控,搜寻可疑的DDoS攻击行为,并通过实时对业务服务器的业务探测监控,以及由历史数据得到的业务服务器的业务流量基线对DDoS行为进行确认,其中,上述由历史数据得到的业务服务器的业务流量基线统计的时间单位可以包括但不限于:1分钟、1小时、1天、1个月。通过上述业务流量基线实现判断业务服务器是否受到客户端发起的DDoS攻击。其中,上述业务流量基线可以包括但不限于:上述时间单位内统计的业务流量的平均值。
例如,由上述流量监测子系统402监测可以监测到上述图1中所示的客户端在单位时间(例如,1小时)内向业务服务器-1、业务服务器-2、业务服务器-3、业务服务器102-4)发送的数据包的数量。例如,如表1示出了客户端在13:00-14:00、14:00-15:00、15:00-16:00三个小时向业务服务器102-1、业务服务器102-2、业务服务器102-3、业务服务器102-4发送的数据包的数量,以及由上述时间段统计得到的上述业务服务器的业务流量基线。
表1
2)全局联动配置中心404:对已确认DDoS事件的安全报警,首先根据业务服务器的当前状态信息获取上述业务服务器的防护策略(包括防护配置参数),并将上述防护策略下发至多级流量清洗系统,同时向多级流量清洗系统发送触发清洗操作的系统消息,并将该DDoS异常流量牵引至上述流量清洗系统,以使全局联动配置中心404可以实时根据客户端以及业务服务器的业务流量,以及客户的优先级,启用分层级的防护策略,为用户提供更加精细的防护。
可选地,在本实施例中,IDC入口的防护策略(精细防护策略)可以比骨干网的防护策略(粗略防护策略)更为严格,例如,IDC入口的防护策略中的防护配置参数要多于骨干网的防护策略中的防护配置参数,或者,对于相同的防护配置参数,IDC入口的防护配置参数的取值大于或小于骨干网的防护策略中的防护配置参数的取值。
例如,骨干网的防护策略可以但不限于:使单位时间内发送到业务服务器的数据包不超过N个;IDC入口的防护策略可以但不限于:使单位时间内发送到业务服务器的数据包不超过M个,其中,N大于M。
又例如,骨干网的防护策略可以但不限于:使单位时间内发送到业务服务器的数据包不超过N个;IDC入口的防护策略可以但不限于:使单位时间内来自于第一源IP地址(例如,10.10.0.1)、且发送到业务服务器的数据包不超过M个,其中,N大于M。
3)业务服务器健康度监控系统406:对需要保护的业务,或者业务服务器所在的目标网络的网络质量进行实时的健康度监控,若发现业务或目标网络出现了告警,则对上述业务或目标网络进行相应的过滤操作,并将过滤后的结果反馈至全局联动配置中心404或者区域联动配置中心408。同时,在本实施例中也可以对执行完过滤操作后的业务服务器进行持续健康度监控,以达到及时发现上述防护策略是否有问题,以及清洗对业务正常流量是否存在误操作的目的。
4)区域联动配置中心408:接收来自业务服务器健康度监控系统406的实时监控反馈,如果业务服务器上的业务持续受到影响,则会将多级流量清洗系统根据防护配置参数执行过滤操作后的反馈信息反馈至全局联动配置中心404,由全局联动配置中心404及时更新防护策略(包括更新防护策略中的防护配置参数),并将更新后的防护策略(包括更新后的防护配置参数)重新下发至多级流量清洗系统410。
5)多级流量清洗系统410:多级流量清洗系统410分别部署在骨干网节点处、城域网入口处以及互联网数据中心(IDC)入口处。在接收到触发清洗操作的系统消息后,则对指定IP的业务服务器中疑似DDoS攻击的异常流量进行清洗;此外,多级流量清洗系统410还主要负责在靠近发送数据包的客户端处对进入骨干网的跨域攻击流量进行清洗(可以称为“基于源端的清洗防护方式”),并且上述清洗遵循“就近清洗”的原则。清洗后正常的业务流量将通过网络回注到目标服务器(例如,数据包所需发送到的业务服务器)所在的本地网络。在上述系统中,分布式地位于骨干网节点的流量清洗系统和位于城域网入口的流量清洗系统使用基于源端的清洗防护方式,负责在骨干网层面清洗攻击流量,而位于互联网数据中心(IDC)入口的流量清洗系统则采用基于末端的清洗防护方式(即,采用靠近上述业务服务器的流量清洗系统进行流量清洗),负责清洗本地内部攻击流量以及对上一层已清洗过的流量进行反复清洗,从而构成多层联动的清洗机制。
可选地,在本实施例中,多级流量清洗系统410可以包括但不限于:位于骨干网节点的第一流量清洗系统和位于互联网数据中心IDC入口的第二流量清洗系统。可选地,结合图1和图4所示,在本实施例中上述位于骨干网节点的第一流量清洗系统与位于互联网数据中心IDC入口的第二流量清洗系统之间还可以但不限于包括:位于城域网入口的流量清洗系统。
可选地,在本实施例中,上述防护策略中的防护配置参数可以包括但不限于:客户端的业务流量、业务服务器的业务流量、连接到业务服务器的连通率。可选地,在本实施例中,基于防护配置参数执行的防护方法可以包括但不限于:限制指定客户端在单位时间内所发送的数据包的数量在预定阈值范围内、屏蔽指定客户端的IP地址、限制业务服务器在单位时间内所接收的数据包的数量在预定阈值范围内、数据包类型匹配。可选地,在本实施例中,限制业务服务器在单位时间内所接收的数据包的数量的方式可以包括但不限于:随机丢弃源客户端所发送的数据包。可选地,在本实施例中上述数据包类型匹配包括但不限于:字符串匹配、正则表达式匹配、数据类型匹配。
例如,结合图1所示,假设客户端104-1向业务服务器102-4请求业务S,其中,业务服务器102-4的业务流量基线为4000个/小时,但若检测到客户端104-1在18:00-21:00连续3小时内所发送的数据包的数量的平均值与其业务流量基线的差值大于预定阈值,经判定客户端104-1对业务服务器102-4已经构成DDoS攻击,则可通过限制客户端104-1的业务流量来达到对业务服务器102-4的防护。又例如,假设客户端104-1、客户端104-2、客户端104-3均向业务服务器102-4请求业务S,对于业务服务器102-4,上述多个客户端请求业务的业务总量已经超过了业务服务器102-4可接收的业务流量,则可通过限制目的业务服务器102-4的业务流量来防止业务服务器102-4遭到DDoS的攻击,例如,业务服务器102-4随机丢弃客户端104-1、客户端104-2、客户端104-3所发送的数据包,例如,客户端104-1被丢弃300个数据包、客户端104-2被丢弃350个数据包、客户端104-3被丢弃300个数据包。
6)业务防护配置策略库412:存放业务服务器中的业务的基础防护策略。
可选地,在本实施例中,上述系统中的流量监测子系统402、全局联动配置中心404、业务服务器健康度监控系统406、区域联动配置中心408可以集成在一个网络设备上,也可以分布式地位于网络中不同的网络设备上。可选地,在本实施例中全局联动配置中心404与业务防护配置策略库412可以集成在一个网络设备上,也可以分布式地位于网络中不同的网络设备上。本实施例对此不做限定。
可选地,在本实施例中,上述如图4所示的分布式拒绝服务DDoS攻击的防护系统中各个系统的实施流程可以如图5中的步骤S502-S516所示:
S502,流量监测子系统402搜寻/确认DDoS行为,并将已确认的DDoS攻击事件发送至全局联动配置中心404;
S504,全局联动配置中心404生成监测任务发送至业务服务器健康度监控系统406;
S506,全局联动配置中心404还将防护配置参数以及触发清洗操作的系统消息发送至多级流量清洗系统410;
S508,多级流量清洗系统410会将过滤后的反馈信息反馈给区域联动配置中心408;
S510,业务服务器健康度监控系统406将实施反馈结果给区域联动配置中心408;
S512,区域联动配置中心408将发送更新防护参数的消息给全局联动配置中心404,以使全局联动配置中心404对防护配置参数进行更新;
S514,全局联动配置中心404将更新后的防护配置参数发送给多级流量清洗系统410;
S516,多级流量清洗系统410将过滤后的反馈信息反馈至全局联动配置中心404。其中,在本实施例中,过滤后的反馈信息可以直接反馈给全局联动配置中心404,或者,先反馈至区域联动配置中心408,经进一步分析判断,再反馈给全局联动配置中心404。
可选地,在本实施例中,在经过过滤操作后,网络中各业务服务器的业务流量以及业务流量基线将会进行相应地更新,业务防护配置策略库412中存储的关于业务服务器的防护策略也将同时被更新。
可选地,在本实施例中,多级流量清洗系统410过滤后的结果可以但不限于通过流量监测子系统402联动反馈给上述系统中的全局联动配置中心404或区域联动配置中心408,以使其可以及时为用户制定相应的防护策略。可选地,在本实施例中,反馈信息中可以包括但不限于:连接到业务服务器的连通率、经过过滤后单位时间内来自源客户端、发送到业务服务器的数据包的个数、业务服务器在过滤后的单位时间内接收的数据包的个数。其中,上述连接到业务服务器的连通率可以但不限于为源客户端向业务服务器发送业务请求后,成功建立链路并使源客户端与业务服务器处于连通状态的概率。
可选地,在本实施例中,防护配置参数包括但不限于:在第一单位时间内客户端发送到业务服务器的数据包的数量、业务服务器在第二单位时间内接收到的数据包的数量、连接业务服务器的连通率。其中,第一单位时间与第二单位时间可以包括但不限于:1分钟、1小时、1天、1个月。
可选地,在本实施例中,上述第一单位时间与第二单位时间可以根据不同的应用场景,预先配置成相同或不同的取值,本实施例对此不做任何限定。
可选地,在本实施例中,经多级流量清洗系统410清洗后的正常的业务流量将通过专用通道或者专用网络回注到业务服务器所在的本地网络中。
具体结合图1和图4所示进行描述,通过流量监测子系统402对全网的业务流量进行实时监控汇总统计得到的数据,以及业务流量基线对DDoS攻击进行确认,对已确认为DDoS攻击的异常流量事件生成实时告警,然后发送给全局联动配置中心404。全局联动配置中心404会先通过业务防护配置策略库412获取防护策略(包括防护配置参数),并将防护策略下发至多级流量清洗系统410,指示多级流量清洗系统根据接收到的上述防护策略对发送到上述业务服务器的数据包进行过滤。
例如,根据上述流量监测子系统402得到业务服务器102-4的业务流量基线4000个/小时,假设上述业务服务器102-4的业务流量在18:00-21:00的连续三小时内与其业务流量基线的差值大于预定阈值,可判断出上述业务服务器102-4已经满足告警条件,则向全局联动配置中心404发送关于上述业务服务器102-4的DDoS告警消息,全局联动配置中心404将响应上述DDoS攻击告警消息从业务防护配置策略库412获取相应的防护配置参数,并将上述防护配置参数发送给多级流量清洗系统,指示多级流量清洗系统对业务服务器102-4的数据包进行过滤。
通过本发明提供的实施例,通过对各业务服务器的业务流量的实时监控,使得可以及时发现DDoS攻击,进而根据不同的攻击情况,对业务服务器的防护配置参数进行及时的调整更新,并使得多级流量清洗系统可以根据接收到的防护配置参数对业务服务器进行持续有效的清洗过滤,最终保证了业务服务器的业务流量可以维持在正常的流量范围内。
作为一种可选的方案,在步骤S206,将防护配置参数发送到多级流量清洗系统之后,还包括:
S1,多级流量清洗系统根据接收到的防护配置参数对发送到所述业务服务器的数据包进行过滤,其中,第二流量清洗系统对经过第一流量清洗系统过滤后的数据包进行再次过滤;
S2,第二流量清洗系统将执行再次过滤后得到的数据包发送到业务服务器。
可选地,在本实施例中,多级流量清洗系统410可以包括但不限于:位于骨干网节点的第一流量清洗系统和位于互联网数据中心(IDC)入口的第二流量清洗系统。可选地,结合图1和图4所示,在本实施例中上述位于骨干网节点的第一流量清洗系统与位于互联网数据中心(IDC)入口的第二流量清洗系统之间还可以但不限于包括:位于城域网入口的流量清洗系统。
具体结合图4所示进行描述,假设上述业务服务器102-4的业务流量已经满足DDoS攻击的告警条件,多级流量清洗系统410接收到全局联动配置中心404发送的关于对业务服务器102-4防护配置参数后,开始对业务服务器102-4执行数据包过滤。首先,业务服务器102-4所在的骨干网节点对应的第一流量清洗系统先进行数据包过滤;然后,再在位于业务服务器102-4所在的城域网2入口的流量清洗系统中进行第二次数据包过滤;进一步,在位于互联网数据中心IDC-4入口的第二流量清洗系统对上述业务服务器102-4进行第三次数据包过滤。
通过本发明提供的实施例,通过多级流量清洗系统对业务服务器中的异常流量进行多层级的数据包过滤,克服了现有技术仅基于末端进行数据包过滤的缺陷,从而实现提高了对大规模DDoS攻击的防御能力,并提高了对DDoS攻击流量的清洗精度。
作为一种可选的方案,如图6所示,在步骤S206,将防护配置参数发送到多级流量清洗系统之后,还包括:
S602,接收到执行完过滤后的反馈信息;
S604,响应反馈信息对防护配置参数进行更新,得到更新后的防护配置参数;
S606,将更新后的防护配置参数发送到多级流量清洗系统,以指示多级流量清洗系统根据接收到的更新后的防护配置参数对发送到业务服务器的数据包进行过滤。
可选地,在本实施例中,反馈信息包括但不限于以下至少之一:执行完过滤后第一单位时间内发送到业务服务器的数据包的数量、执行完过滤后业务服务器在第二单位时间内接收到的数据包的数量、执行完过滤后连接业务服务器的连通率。
可选地,在本实施例中,第一单位时间与第二单位时间可以根据不同的应用场景预先配置,取值可以相同或不同,本实施例对此不做任何限定。
可选地,在本实施例中,响应反馈信息对防护配置参数进行更新的更新策略可以包括但不限于:1)区域联动配置中心408直接将更新后的防护配置参数发送到多级流量清洗系统410;2)区域联动配置中心408经全局联动配置中心404将更新后的防护配置参数发送到多级流量清洗系统410。
具体结合图1和图4所示进行描述,假设仍以业务服务器102-4作为目的服务器为例,假设客户端在连续多个单位时间内向业务服务器102-4发送的数据包的数量均大于等于5000个/小时,经多级流量清洗系统410的清洗过滤后,全局联动配置中心404将接收到业务服务器102-4执行完过滤后的反馈信息,其中,执行完过滤后第一单位时间(例如,第一单位时间为1小时)内发送到业务服务器102-4的数据包的数量变为4500个、执行完过滤后业务服务器102-4在第二单位时间(如,第二单位时间为1小时)内接收到的数据包的数量变为4000个、执行完过滤后连接业务服务器102-4的连通率变为90%,如表2示出了业务服务器102-4更新前与更新后的防护配置参数。
表2
防护配置参数 | 更新前 | 更新后 |
第一单位时间内发送到业务服务器的数据包的数量 | 6000个 | 4500个 |
业务服务器在第二单位时间内接收到的数据包的数量 | 5500个 | 4000个 |
连接业务服务器的连通率 | 50% | 90% |
结合表2所示,说明业务服务器102-4经多级流量清洗系统清洗过滤后,已经成功防御了分布式拒绝服务DDoS攻击,业务流量基本恢复到正常的业务流量。
进一步,根据上述反馈信息对防护配置参数进行更新,例如,经过滤后,上述业务服务器102-4的业务流量属于正常范围,则可修改防护配置参数,降低对业务服务器102-4的限制。并将更新后的防护配置参数保存到业务防护配置策略库中,同时将更新后的防护配置参数发送到多级流量清洗系统410中,进而实现根据更新后的防护配置参数对发送到业务服务器102-4的数据包进行过滤。
通过本发明提供的实施例,通过联动反馈的方式,将过滤后的反馈信息实现对网络中各业务服务器的防护配置参数的不断更新,进而实现对其进行自动调整,从而达到对DDoS攻击的协同清洗,大大提高了全网对DDoS攻击的防护能力。
作为一种可选地方案,步骤S604,响应反馈信息对防护配置参数进行更新包括以下至少之一:
1),若反馈信息指示执行完过滤后第一单位时间内发送到业务服务器的数据包的数量大于执行过滤前第一单位时间内发送到业务服务器的数据包的数量,则更新防护配置参数,使得根据更新后的防护配置参数过滤掉的发送到业务服务器的数据包的数量大于根据更新前的防护配置参数过滤掉的发送到业务服务器的数据包的数量;
2),若反馈信息指示执行完过滤后业务服务器在第二单位时间内接收到的数据包的数量大于执行过滤前业务服务器在第二单位时间内接收到的数据包的数量,则更新防护配置参数,使得根据更新后的防护配置参数过滤掉的发送到业务服务器的数据包的数量大于根据更新前的防护配置参数过滤掉的发送到业务服务器的数据包的数量;
3),若反馈信息指示执行完过滤后连接业务服务器的连通率小于执行过滤前连接业务服务器的连通率,则更新防护配置参数,使得根据更新后的防护配置参数过滤掉的发送到业务服务器的数据包的数量大于根据更新前的防护配置参数过滤掉的发送到业务服务器的数据包的数量。
以下结合具体示例说明,如表3示出了业务服务器102-3响应反馈信息对防护配置参数进行更新的一种示例。
表3
防护配置参数 | 更新前 | 更新后 |
第一单位时间内发送到业务服务器的数据包的数量 | 1200个 | 2500个 |
业务服务器在第二单位时间内接收到的数据包的数量 | 1000个 | 2000个 |
连接业务服务器的连通率 | 80% | 50% |
具体结合图1、图4以及表3所示进行描述,假设以业务服务器102-3作为目的服务器为例,全局联动配置中心将接收到业务服务器102-4执行完过滤后的反馈信息,其中,执行完过滤后第一单位时间(例如,第一单位时间为1小时)内发送到业务服务器102-3的数据包的数量变为2500个、即大于执行过滤前第一单位时间(例如,第一单位时间为1小时)内发送到业务服务器102-3的数据包的数量1200个;执行完过滤后业务服务器102-3在第二单位时间(如,第二单位时间为1小时)内接收到的数据包的数量变为2000个,即大于执行过滤前业务服务器102-3在第二单位时间(如,第二单位时间为1小时)内接收到的数据包的数量1000个;执行完过滤后连接业务服务器102-3的连通率变为50%,即小于执行过滤前连接业务服务器102-3的连通率80%,则更新上述防护配置参数,使得根据更新后的防护配置参数过滤掉的发送到业务服务器102-3的数据包的数量大于根据更新前的防护配置参数过滤掉的发送到业务服务器102-3的数据包的数量。
通过本发明提供的实施例,通过实时根据网络中各业务服务器的业务流量变化,对业务服务器的防护配置参数进行调整,若反馈多级流量清洗系统的过滤量偏小,则可通过调整防护配置参数以使多级流量清洗系统的过滤量加大,达到改善网络中业务服务器对DDoS攻击的防护效果。
作为一种可选的方案,更新防护配置参数包括以下至少之一:
1)将防护配置参数更新为第一防护配置参数,作为更新后的防护配置参数,其中,第一防护配置参数用于将第三单位时间内接收到的来自第一IP地址的数据包的数量限制在第一预定阈值之内。
可选地,在本实施例中,将第三单位时间内接收到的来自第一IP地址的数据包的数量限制在第一预定阈值之内的方式可以包括但不限于:限制来自第一IP地址的数据包的数量、屏蔽来自第一IP地址的数据包。
具体结合图1所示进行描述,假设客户端104-1向业务服务器102-4请求业务,通过流量监测子系统402可知,客户端104-1在单位时间内所发送的数据包的数量为5000个,超过了业务服务器102-4正常的业务流量基线4000个/小时,确认客户端104-1已对业务服务器102-4构成了DDoS攻击,则可以将在第三单位时间(例如,第三单位时间为1小时)内来自客户端104-1的数据包的数量限制在第一预定阈值(例如,第一预定阈值为1000个/小时)之内。
2)将防护配置参数更新为第二防护配置参数,作为更新后的防护配置参数,其中,第二防护配置参数用于将第四单位时间内接收到的发送到第二IP地址的数据包的数量限制在第二预定阈值之内,第二IP地址包括业务服务器的IP地址。
可选地,在本实施例中,将第四单位时间内接收到的发送到第二IP地址的数据包的数量限制在第二预定阈值之内的方式可以包括但不限于:随机丢弃向第二IP地址所发送的数据包。
具体结合图1所示进行描述,假设客户端104-1客户端104-2、客户端104-3均向业务服务器102-4传输数据,通过流量监测子系统402可知,客户端104-1客户端104-2、客户端104-3在单位时间内向业务服务器102-4所发送的数据包的数量的总量远远超过了业务服务器102-4可以接收的正常的业务流量基线4000个/小时,确认上述三个客户端所发送的数据包已对业务服务器102-4构成了DDoS攻击,则可以在第四单位时间(例如,第四单位时间为1小时)内将业务服务器102-4的数据包的数量限制在第二预定阈值(例如,第二预定阈值为4000个/小时)之内,例如。可以随机将客户端104-1客户端104-2、客户端104-3中的数据包丢弃,例如,客户端104-1被丢弃300个数据包、客户端104-2被丢弃350个数据包、客户端104-3被丢弃300个数据包,以达到限制业务服务器102-4的业务流量的目的。
3)将防护配置参数更新为第三防护配置参数,作为更新后的防护配置参数,其中,第三防护配置参数用于过滤掉与攻击数据包匹配的数据包。
可选地,在本实施例中上述数据包类型匹配包括但不限于:字符串匹配、正则表达式匹配、数据类型匹配。
具体结合图1和图4所示进行描述,假设上述业务服务器102-4的业务流量已经满足DDoS攻击的告警条件,多级流量清洗系统410接收到全局联动配置中心404发送的关于对业务服务器102-4防护配置参数后,开始对位于业务服务器102-4所在的骨干网节点的第一流量清洗系统先进行数据包过滤,例如,相应的防护策略可以为:数量超过6000个的数据包均要被过滤;然后,位于城域网入口的流量清洗系统进行再一次数据包的过滤,例如,相应的防护策略可以为:过滤掉所有接收到的UDP数据包。进一步,在位于业务服务器102-4所在互联网数据中心(IDC)入口的第二流量清洗系统进行第三次数据包过滤,例如,相应的防护策略可以为:对于来自IP地址为168.1.0.1的数据包全部进行过滤,其中,上述IP地址经判定常常发出DDoS攻击,因而需要对上述IP地址进行屏蔽以实现对业务服务器102-4的防护。
通过本发明提供的实施例,通过制定不同的防护策略,根据不同的业务服务器中的业务流量,为用户提供高精度的DDoS攻击防护方法,以使业务服务器的业务流量可以免受DDoS攻击的影响。
作为一种可选的方案,步骤S604,响应反馈信息对防护配置参数进行更新包括以下至少之一:
1),若反馈信息指示执行完过滤后第一单位时间内发送到业务服务器的数据包的数量小于执行过滤前第一单位时间内发送到业务服务器的数据包的数量,则保持防护配置参数不变,或者,更新防护配置参数,使得根据更新后的防护配置参数过滤掉的发送到业务服务器的数据包的数量小于根据更新前的防护配置参数过滤掉的发送到业务服务器的数据包的数量;
2),若反馈信息指示执行完过滤后业务服务器在第二单位时间内接收到的数据包的数量小于执行过滤前业务服务器在第二单位时间内接收到的数据包的数量,则保持防护配置参数不变,或者,更新防护配置参数,使得根据更新后的防护配置参数过滤掉的发送到业务服务器的数据包的数量小于根据更新前的防护配置参数过滤掉的发送到业务服务器的数据包的数量。
3),若反馈信息指示执行完过滤后连接业务服务器的连通率大于执行过滤前执行过滤前连接业务服务器的连通率,则保持防护配置参数不变,或者,更新防护配置参数,使得根据更新后的防护配置参数过滤掉的发送到业务服务器的数据包的数量小于根据更新前的防护配置参数过滤掉的发送到业务服务器的数据包的数量。
以下结合具体示例说明,如表4示出了业务服务器102-2响应反馈信息对防护配置参数进行更新的一种示例。
表4
防护配置参数 | 更新前 | 更新后 |
第一单位时间内发送到业务服务器的数据包的数量 | 2500个 | 2000个 |
业务服务器在第二单位时间内接收到的数据包的数量 | 2000个 | 1500个 |
连接业务服务器的连通率 | 60% | 80% |
具体结合图1、图4以及表4所示进行描述,假设以业务服务器102-2作为目的服务器为例,全局联动配置中心404将接收到业务服务器102-2执行完过滤后的反馈信息,其中,执行完过滤后第一单位时间(例如,第一单位时间为1小时)内发送到业务服务器102-2的数据包的数量变为2000个、即小于执行过滤前第一单位时间(例如,第一单位时间为1小时)内发送到业务服务器102-2的数据包的数量2500个;执行完过滤后业务服务器102-2在第二单位时间(如,第二单位时间为1小时)内接收到的数据包的数量变为1500个,即小于执行过滤前业务服务器102-2在第二单位时间(如,第二单位时间为1小时)内接收到的数据包的数量2000个;执行完过滤后连接业务服务器102-2的连通率变为80%,即大于执行过滤前执行所述过滤前连接业务服务器102-2的连通率60%,则可以保持防护配置参数不变,或者,更新对于业务服务器102-2的防护配置参数。假设选择了更新防护配置参数,则可以通过更新防护配置参数使得根据更新后的防护配置参数过滤掉的发送到业务服务器102-2的数据包的数量小于根据更新前的防护配置参数过滤掉的发送到业务服务器102-2的数据包的数量。
通过本发明提供的实施例,通过实时根据网络中各业务服务器的业务流量变化,对业务服务器的防护配置参数进行调整,若反馈多级流量清洗系统过滤量偏大,则可通过调整防护配置参数以使多级流量清洗系统的过滤量减小,达到改善网络中业务服务器对DDoS攻击的防护效果。
作为一种可选的方案,步骤S606,将防护配置参数发送到多级流量清洗系统包括:
S1,将防护配置参数发送到多个第一流量清洗系统中与业务服务器最近的第一流量清洗系统,和/或,将防护配置参数发送到多个第二流量清洗系统中与业务服务器最近的第二流量清洗系统。
具体结合图1所示进行描述,假设以业务服务器102-4作为目的业务服务器为例,防护配置参数将会被发送到距离其最近的位于骨干网节点的第一流量清洗系统进行数据包过滤,和/或,最近的位于城域网2入口的流量清洗系统进行数据包过滤,和/或,位于城域网2下的互联网数据中心IDC-4入口的第二流量清洗系统进行数据包过滤,而不是选择互联网数据中心IDC-3入口的第二流量清洗系统,或者,城域网1中的任一互联网数据中心IDC-1或互联网数据中心IDC-2入口的第二流量清洗系统进行数据包过滤。
通过本发明提供的实施例,通过遵循“就近原则”选择相应的流量清洗系统对业务服务器进行数据包的过滤,从而达到有效地节省网络中的资源。
作为一种可选的方案,步骤S204,响应DDoS攻击告警消息获取防护配置参数包括:
S1,获取业务服务器的当前状态信息,其中,当前状态信息用于指示业务服务器在第五单位时间内接收到的数据包的数量和/或指示连接业务服务器的连通率;
S2,从数据库中获取与当前状态信息对应的防护配置参数。
具体结合图1和图4所示进行描述,全局联动配置中心获取了业务服务器的日常状态信息,根据对业务服务器的日常监测的结果,输出业务服务器在单位时间内的业务流量基线,并存储在业务防护配置策略库中。当获取了业务服务器102-4当前的状态信息后,则可在业务防护配置策略库中获取与业务服务器102-4当前状态信息对应的防护配置参数,以使业务服务器102-4在经过由上述获取到的防护配置参数控制的多级流量清洗系统的清洗过滤后,可以实现过滤掉异常流量,从而达到保持业务服务器102-4的正常的业务流量的效果。
通过本发明提供的实施例,通过对网络中的业务服务器的实施监控,获取业务服务器当前的状态信息,并根据上述当前状态信息获取相应的防护配置参数,从而为业务服务器制定更加精细的防护策略。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
根据本发明实施例,提供了一种分布式拒绝服务DDoS攻击的防护装置,在本实施例中上述分布式拒绝服务DDoS攻击的防护装置可以应用于如图1所示的网络中,其中,上述网络包括但不限于:骨干网、骨干网下的城域网、城域网下的互联网数据中心IDC(Internet Data Center)、互联网数据中心(IDC)下的业务服务器以及与骨干网连接的客户端。可选地,在本实施例中骨干网下的城域网也可以但不限于视为上述网络中的骨干网。
例如,如图1所示,骨干网与城域网1和城域网2连接,其中,城域网1中包括互联网数据中心IDC-1以及互联网数据中心IDC-2,互联网数据中心IDC-1中包括业务服务器102-1互联网数据中心IDC-2中包括业务服务器102-2;城域网2中包括互联网数据中心IDC-3以及互联网数据中心IDC-4,互联网数据中心IDC-3中包括业务服务器102-3互联网数据中心IDC-4中包括业务服务器102-4;此外,骨干网还与客户端连接,例如,客户端104-1、客户端104-2、客户端104-3。上述网络中的客户端通过骨干网与业务服务器建立连接,进而实现对业务服务器中的相应业务的请求。上述举例只是一种示例,本实施例对此不做任何限定。
可选地,在本实施例中上述分布式拒绝服务DDoS攻击的防护装置,如图7所示,在本实施例中该装置包括:
1)第一接收单元702,用于接收到DDoS攻击告警消息,其中,DDoS攻击告警消息用于指示业务服务器出现DDoS攻击;
2)获取单元704,用于响应DDoS攻击告警消息获取防护配置参数,其中,防护配置参数用于对发送到业务服务器的数据包进行过滤;
3)第一发送单元706,用于将防护配置参数发送到多级流量清洗系统,以指示多级流量清洗系统根据接收到的防护配置参数对发送到业务服务器的数据包进行过滤,其中,多级流量清洗系统包括位于骨干网节点的第一流量清洗系统和位于互联网数据中心IDC入口的第二流量清洗系统。
可选地,在本实施例中,上述分布式拒绝服务DDoS攻击的防护方法可以由如图3所示的网络中的多个网络设备实现。例如,结合图3进行说明,流量监测服务器302将对骨干网全网中的业务流量进行实时监控,然后对已确认的DDoS攻击告警消息发送到全局联动配置服务器304中,由全局联动配置服务器304将获取的防护配置参数以及触发清洗操作的系统消息下发至骨干网节点处的第一流量清洗服务器306-1、第一流量清洗服务器306-2、第一流量清洗服务器306-3、第一流量清洗服务器306-4,其中,上述防护配置参数可以由内置于全局联动配置服务器304中的业务防护配置策略库获取,其中,上述业务防护配置策略库并不限于内置于全局联动配置服务器304中。
进一步,上述第一流量清洗服务器306-1、第一流量清洗服务器306-2、第一流量清洗服务器306-3、第一流量清洗服务器306-4会将过滤后得到的数据包由城域网1、城域网2、城域网3或城域网4,发送至第二流量清洗服务器308-1、第二流量清洗服务器308-2、第二流量清洗服务器308-3、第二流量清洗服务器308-4,进行再次过滤。
其中,一个或多个城域网可以共享区域联动配置服务器(例如,城域网1与城域网2共用区域联动配置服务器310-1,城域网3与城域网4共用区域联动配置服务器310-2),以达到实时监控业务流量的效果,然后,将区域联动配置服务器310-1以及区域联动配置服务器310-2的区域内的反馈信息集中通过骨干网反馈至全局联动配置服务器304,以使全局联动配置服务器304可以实时更新防护配置参数,以得到更新后的防护配置参数。
可选地,在本实施例中,上述分布式拒绝服务DDoS攻击的防护方法可以应用于如图4所示的分布式拒绝服务DDoS攻击的防护系统中,其中,上述系统包括以下内容:
1)流量监测子系统402:对全网的业务流量进行实时监控,搜寻可疑的DDoS攻击行为,并通过实时对业务服务器的业务探测监控,以及由历史数据得到的业务服务器的业务流量基线对DDoS行为进行确认,其中,上述由历史数据得到的业务服务器的业务流量基线统计的时间单位可以包括但不限于:1钟分、1小时、1天、1个月。通过上述业务流量基线实现判断业务服务器是否受到客户端发起的DDoS攻击。其中,上述业务流量基线可以包括但不限于:上述时间单位内统计的业务流量的平均值。
例如,由上述流量监测子系统402监测可以监测到上述图1中所示的客户端在单位时间(例如,1小时)内向业务服务器-1、业务服务器-2、业务服务器-3、业务服务器102-4)发送的数据包的数量。例如,如表5示出了客户端在13:00-14:00、14:00-15:00、15:00-16:00三个小时向业务服务器102-1、业务服务器102-2、业务服务器102-3、业务服务器102-4发送的数据包的数量,以及由上述时间段统计得到的上述业务服务器的业务流量基线。
表5
2)全局联动配置中心404:对已确认DDoS事件的安全报警,首先根据业务服务器的当前状态信息获取上述业务服务器的防护策略(包括防护配置参数),并将上述防护策略下发至多级流量清洗系统,同时向多级流量清洗系统发送触发清洗操作的系统消息,并将该DDoS异常流量牵引至上述流量清洗系统,以使全局联动配置中心404可以实时根据客户端以及业务服务器的业务流量,以及客户的优先级,启用分层级的防护策略,为用户提供更加精细的防护。
可选地,在本实施例中,IDC入口的防护策略(精细防护策略)可以比骨干网的防护策略(粗略防护策略)更为严格,例如,IDC入口的防护策略中的防护配置参数要多于骨干网的防护策略中的防护配置参数,或者,对于相同的防护配置参数,IDC入口的防护配置参数的取值大于或小于骨干网的防护策略中的防护配置参数的取值。
例如,骨干网的防护策略可以但不限于:使单位时间内发送到业务服务器的数据包不超过N个;IDC入口的防护策略可以但不限于:使单位时间内发送到业务服务器的数据包不超过M个,其中,N大于M。
又例如,骨干网的防护策略可以但不限于:使单位时间内发送到业务服务器的数据包不超过N个;IDC入口的防护策略可以但不限于:使单位时间内来自于第一源IP地址(例如,10.10.0.1)、且发送到业务服务器的数据包不超过M个,其中,N大于M。
3)业务服务器健康度监控系统406:对需要保护的业务,或者业务服务器所在的目标网络的网络质量进行实时的健康度监控,若发现业务或目标网络出现了告警,则对上述业务或目标网络进行相应的过滤操作,并将过滤后的结果反馈至全局联动配置中心404或者区域联动配置中心408。同时,在本实施例中也可以对执行完过滤操作后的业务服务器进行持续健康度监控,以达到及时发现上述防护策略是否有问题,以及清洗对业务正常流量是否存在误操作的目的。
4)区域联动配置中心408:接收来自业务服务器健康度监控系统406的实时监控反馈,如果业务服务器上的业务持续受到影响,则会将多级流量清洗系统根据防护配置参数执行过滤操作后的反馈信息反馈至全局联动配置中心404,由全局联动配置中心404及时更新防护策略(包括更新防护策略中的防护配置参数),并将更新后的防护策略(包括更新后的防护配置参数)重新下发至多级流量清洗系统410。
5)多级流量清洗系统410:多级流量清洗系统410分别部署在骨干网节点处、城域网入口处以及互联网数据中心(IDC)入口处。在接收到触发清洗操作的系统消息后,则对指定IP的业务服务器中疑似DDoS攻击的异常流量进行清洗;此外,多级流量清洗系统410还主要负责在靠近发送数据包的客户端处对进入骨干网的跨域攻击流量进行清洗(可以称为“基于源端的清洗防护方式”),并且上述清洗遵循“就近清洗”的原则。清洗后正常的业务流量将通过网络回注到目标服务器(例如,数据包所需发送到的业务服务器)所在的本地网络。在上述系统中,分布式地位于骨干网节点的流量清洗系统和位于城域网入口的流量清洗系统使用基于源端的清洗防护方式,负责在骨干网层面清洗攻击流量,而位于互联网数据中心(IDC)入口的流量清洗系统则采用基于末端的清洗防护方式(即,采用靠近上述业务服务器的流量清洗系统进行流量清洗),负责清洗本地内部攻击流量以及对上一层已清洗过的流量进行反复清洗,从而构成多层联动的清洗机制。
可选地,在本实施例中,多级流量清洗系统410可以包括但不限于:位于骨干网节点的第一流量清洗系统和位于互联网数据中心IDC入口的第二流量清洗系统。可选地,结合图1和图4所示,在本实施例中上述位于骨干网节点的第一流量清洗系统与位于互联网数据中心IDC入口的第二流量清洗系统之间还可以但不限于包括:位于城域网入口的流量清洗系统。
可选地,在本实施例中,上述防护策略中的防护配置参数可以包括但不限于:客户端的业务流量、业务服务器的业务流量、连接到业务服务器的连通率。可选地,在本实施例中,基于防护配置参数执行的防护方法可以包括但不限于:限制指定客户端在单位时间内所发送的数据包的数量在预定阈值范围内、屏蔽指定客户端的IP地址、限制业务服务器在单位时间内所接收的数据包的数量在预定阈值范围内、数据包类型匹配。可选地,在本实施例中,限制业务服务器在单位时间内所接收的数据包的数量的方式可以包括但不限于:随机丢弃源客户端所发送的数据包。可选地,在本实施例中上述数据包类型匹配包括但不限于:字符串匹配、正则表达式匹配、数据类型匹配。
例如,结合图1所示,假设客户端104-1向业务服务器102-4请求业务S,其中,业务服务器102-4的业务流量基线为4000个/小时,但若检测到客户端104-1在18:00-21:00连续3小时内所发送的数据包的数量的平均值与其业务流量基线的差值大于预定阈值,经判定客户端104-1对业务服务器102-4已经构成DDoS攻击,则可通过限制客户端104-1的业务流量来达到对业务服务器102-4的防护。又例如,假设客户端104-1、客户端104-2、客户端104-3均向业务服务器102-4请求业务S,对于业务服务器102-4,上述多个客户端请求业务的业务总量已经超过了业务服务器102-4可接收的业务流量,则可通过限制目的业务服务器102-4的业务流量来防止业务服务器102-4遭到DDoS的攻击,例如,业务服务器102-4随机丢弃客户端104-1、客户端104-2、客户端104-3所发送的数据包,例如,客户端104-1被丢弃300个数据包、客户端104-2被丢弃350个数据包、客户端104-3被丢弃300个数据包。
6)业务防护配置策略库412:存放业务服务器中的业务的基础防护策略。
可选地,在本实施例中,上述系统中的流量监测子系统402、全局联动配置中心404、业务服务器健康度监控系统406、区域联动配置中心408可以集成在一个网络设备上,也可以分布式地位于网络中不同的网络设备上。可选地,在本实施例中全局联动配置中心404与业务防护配置策略库412可以集成在一个网络设备上,也可以分布式地位于网络中不同的网络设备上。本实施例对此不做限定。
可选地,在本实施例中,上述如图4所示的分布式拒绝服务DDoS攻击的防护系统中各个系统的实施流程可以如图5中的步骤S502-S516所示:
S502,流量监测子系统402搜寻/确认DDoS行为,并将已确认的DDoS攻击事件发送至全局联动配置中心404;
S504,全局联动配置中心404生成监测任务发送至业务服务器健康度监控系统406;
S506,全局联动配置中心404还将防护配置参数以及触发清洗操作的系统消息发送至多级流量清洗系统410;
S508,多级流量清洗系统410会将过滤后的反馈信息反馈给区域联动配置中心408;
S510,业务服务器健康度监控系统406将实施反馈结果给区域联动配置中心408;
S512,区域联动配置中心408将发送更新防护参数的消息给全局联动配置中心404,以使全局联动配置中心404对防护配置参数进行更新;
S514,全局联动配置中心404将更新后的防护配置参数发送给多级流量清洗系统410;
S516,多级流量清洗系统410将过滤后的反馈信息反馈至全局联动配置中心404。其中,在本实施例中,过滤后的反馈信息可以直接反馈给全局联动配置中心404,或者,先反馈至区域联动配置中心408,经进一步分析判断,再反馈给全局联动配置中心404。
可选地,在本实施例中,在经过过滤操作后,网络中各业务服务器的业务流量以及业务流量基线将会进行相应地更新,业务防护配置策略库412中存储的关于业务服务器的防护策略也将同时被更新。
可选地,在本实施例中,多级流量清洗系统410过滤后的结果可以但不限于通过流量监测子系统402联动反馈给上述系统中的全局联动配置中心404或区域联动配置中心408,以使其可以及时为用户制定相应的防护策略。可选地,在本实施例中,反馈信息中可以包括但不限于:连接到业务服务器的连通率、经过过滤后单位时间内来自源客户端、发送到业务服务器的数据包的个数、业务服务器在过滤后的单位时间内接收的数据包的个数。其中,上述连接到业务服务器的连通率可以但不限于为源客户端向业务服务器发送业务请求后,成功建立链路并使源客户端与业务服务器处于连通状态的概率。
可选地,在本实施例中,防护配置参数包括但不限于:在第一单位时间内客户端发送到业务服务器的数据包的数量、业务服务器在第二单位时间内接收到的数据包的数量、连接业务服务器的连通率。其中,第一单位时间与第二单位时间可以包括但不限于:1分钟、1小时、1天、1个月。
可选地,在本实施例中,上述第一单位时间与第二单位时间可以根据不同的应用场景,预先配置成相同或不同的取值,本实施例对此不做任何限定。
可选地,在本实施例中,经多级流量清洗系统410清洗后的正常的业务流量将通过专用通道或者专用网络回注到业务服务器所在的本地网络中。
具体结合图1和图4所示进行描述,通过流量监测子系统402对全网的业务流量进行实时监控汇总统计得到的数据,以及业务流量基线对DDoS攻击进行确认,对已确认为DDoS攻击的异常流量事件生成实时告警,然后发送给全局联动配置中心404。全局联动配置中心404会先通过业务防护配置策略库412获取防护策略(包括防护配置参数),并将防护策略下发至多级流量清洗系统410,指示多级流量清洗系统根据接收到的上述防护策略对发送到上述业务服务器的数据包进行过滤。
例如,根据上述流量监测子系统402得到业务服务器102-4的业务流量基线4000个/小时,假设上述业务服务器102-4的业务流量在18:00-21:00的连续三小时内与其业务流量基线的差值大于预定阈值,可判断出上述业务服务器102-4已经满足告警条件,则向全局联动配置中心404发送关于上述业务服务器102-4的DDoS告警消息,全局联动配置中心404将响应上述DDoS攻击告警消息从业务防护配置策略库412获取相应的防护配置参数,并将上述防护配置参数发送给多级流量清洗系统,指示多级流量清洗系统对业务服务器102-4的数据包进行过滤。
通过本发明提供的实施例,通过对各业务服务器的业务流量的实时监控,使得可以及时发现DDoS攻击,进而根据不同的攻击情况,对业务服务器的防护配置参数进行及时的调整更新,并使得多级流量清洗系统可以根据接收到的防护配置参数对业务服务器进行持续有效的清洗过滤,最终保证了业务服务器的业务流量可以维持在正常的流量范围内。
作为一种可选的方案,如图8所示,在本实施例中上述装置还包括:
1)第二接收单元802,用于在将防护配置参数发送到多级流量清洗系统之后,接收到执行完过滤后的反馈信息,其中,反馈信息包括以下至少之一:执行完过滤后第一单位时间内发送到业务服务器的数据包的数量、执行完过滤后业务服务器在第二单位时间内接收到的数据包的数量、执行完过滤后连接业务服务器的连通率;
2)更新单元804,用于响应反馈信息对防护配置参数进行更新,得到更新后的防护配置参数;
3)第二发送单元806,用于将更新后的防护配置参数发送到多级流量清洗系统,以指示多级流量清洗系统根据接收到的更新后的防护配置参数对发送到业务服务器的数据包进行过滤。
可选地,在本实施例中,第一单位时间与第二单位时间可以根据不同的应用场景预先配置,取值可以相同或不同,本实施例对此不做任何限定。
可选地,在本实施例中,响应反馈信息对防护配置参数进行更新的更新策略可以包括但不限于:1)区域联动配置中心408直接将更新后的防护配置参数发送到多级流量清洗系统410;2)区域联动配置中心408经全局联动配置中心404将更新后的防护配置参数发送到多级流量清洗系统410。
具体结合图1和图4所示进行描述,假设仍以业务服务器102-4作为目的服务器为例,假设客户端在连续多个单位时间内向业务服务器102-4发送的数据包的数量均大于等于5000个/小时,经多级流量清洗系统410的清洗过滤后,全局联动配置中心404将接收到业务服务器102-4执行完过滤后的反馈信息,其中,执行完过滤后第一单位时间(例如,第一单位时间为1小时)内发送到业务服务器102-4的数据包的数量变为4500个、执行完过滤后业务服务器102-4在第二单位时间(如,第二单位时间为1小时)内接收到的数据包的数量变为4000个、执行完过滤后连接业务服务器102-4的连通率变为90%,如表6示出了业务服务器102-4更新前与更新后的防护配置参数。
表6
防护配置参数 | 更新前 | 更新后 |
第一单位时间内发送到业务服务器的数据包的数量 | 6000个 | 4500个 |
业务服务器在第二单位时间内接收到的数据包的数量 | 5500个 | 4000个 |
连接业务服务器的连通率 | 50% | 90% |
结合表6所示,说明业务服务器102-4经多级流量清洗系统清洗过滤后,已经成功防御了分布式拒绝服务DDoS攻击,业务流量基本恢复到正常的业务流量。
进一步,根据上述反馈信息对防护配置参数进行更新,例如,经过滤后,上述业务服务器102-4的业务流量属于正常范围,则可修改防护配置参数,降低对业务服务器102-4的限制。并将更新后的防护配置参数保存到业务防护配置策略库中,同时将更新后的防护配置参数发送到多级流量清洗系统410中,进而实现根据更新后的防护配置参数对发送到业务服务器102-4的数据包进行过滤。
通过本发明提供的实施例,通过联动反馈的方式,将过滤后的反馈信息实现对网络中各业务服务器的防护配置参数的不断更新,进而实现对其进行自动调整,从而达到对DDoS攻击的协同清洗,大大提高了全网对DDoS攻击的防护能力。
作为一种可选的方案,更新单元804包括:
1)第一更新模块,用于在反馈信息指示执行完过滤后第一单位时间内发送到业务服务器的数据包的数量大于执行过滤前第一单位时间内发送到业务服务器的数据包的数量,更新防护配置参数,使得根据更新后的防护配置参数过滤掉的发送到业务服务器的数据包的数量大于根据更新前的防护配置参数过滤掉的发送到业务服务器的数据包的数量;
2)第二更新模块,用于在反馈信息指示执行完过滤后业务服务器在第二单位时间内接收到的数据包的数量大于执行过滤前业务服务器在第二单位时间内接收到的数据包的数量,更新防护配置参数,使得根据更新后的防护配置参数过滤掉的发送到业务服务器的数据包的数量大于根据更新前的防护配置参数过滤掉的发送到业务服务器的数据包的数量;
3)第三更新模块,用于在反馈信息指示执行完过滤后连接业务服务器的连通率小于执行过滤前连接业务服务器的连通率时,更新防护配置参数,使得根据更新后的防护配置参数过滤掉的发送到业务服务器的数据包的数量大于根据更新前的防护配置参数过滤掉的发送到业务服务器的数据包的数量。
以下结合具体示例说明,如表7示出了业务服务器102-3响应反馈信息对防护配置参数进行更新的一种示例。
表7
防护配置参数 | 更新前 | 更新后 |
第一单位时间内发送到业务服务器的数据包的数量 | 1200个 | 2500个 |
业务服务器在第二单位时间内接收到的数据包的数量 | 1000个 | 2000个 |
连接业务服务器的连通率 | 80% | 50% |
具体结合图1、图4以及表7所示进行描述,假设以业务服务器102-3作为目的服务器为例,全局联动配置中心将接收到业务服务器102-4执行完过滤后的反馈信息,其中,执行完过滤后第一单位时间(例如,第一单位时间为1小时)内发送到业务服务器102-3的数据包的数量变为2500个、即大于执行过滤前第一单位时间(例如,第一单位时间为1小时)内发送到业务服务器102-3的数据包的数量1200个;执行完过滤后业务服务器102-3在第二单位时间(如,第二单位时间为1小时)内接收到的数据包的数量变为2000个,即大于执行过滤前业务服务器102-3在第二单位时间(如,第二单位时间为1小时)内接收到的数据包的数量1000个;执行完过滤后连接业务服务器102-3的连通率变为50%,即小于执行过滤前连接业务服务器102-3的连通率80%,则更新上述防护配置参数,使得根据更新后的防护配置参数过滤掉的发送到业务服务器102-3的数据包的数量大于根据更新前的防护配置参数过滤掉的发送到业务服务器102-3的数据包的数量。
通过本发明提供的实施例,通过实时根据网络中各业务服务器的业务流量变化,对业务服务器的防护配置参数进行调整,若反馈多级流量清洗系统的过滤量偏小,则可通过调整防护配置参数以使多级流量清洗系统的过滤量加大,达到改善网络中业务服务器对DDoS攻击的防护效果。
作为一种可选的方案,更新单元还用于通过以下至少之一更新防护配置参数::
1)将防护配置参数更新为第一防护配置参数,作为更新后的防护配置参数,其中,第一防护配置参数用于将第三单位时间内接收到的来自第一IP地址的数据包的数量限制在第一预定阈值之内。
可选地,在本实施例中,将第三单位时间内接收到的来自第一IP地址的数据包的数量限制在第一预定阈值之内的方式可以包括但不限于:限制来自第一IP地址的数据包的数量、屏蔽来自第一IP地址的数据包。
具体结合图1所示进行描述,假设客户端104-1向业务服务器102-4请求业务,通过流量监测子系统402可知,客户端104-1在单位时间内所发送的数据包的数量为5000个,超过了业务服务器102-4正常的业务流量基线4000个/小时,确认客户端104-1已对业务服务器102-4构成了DDoS攻击,则可以将在第三单位时间(例如,第三单位时间为1小时)内来自客户端104-1的数据包的数量限制在第一预定阈值(例如,第一预定阈值为1000个/小时)之内。
2)将防护配置参数更新为第二防护配置参数,作为更新后的防护配置参数,其中,第二防护配置参数用于将第四单位时间内接收到的发送到第二IP地址的数据包的数量限制在第二预定阈值之内,第二IP地址包括业务服务器的IP地址。
可选地,在本实施例中,将第四单位时间内接收到的发送到第二IP地址的数据包的数量限制在第二预定阈值之内的方式可以包括但不限于:随机丢弃向第二IP地址所发送的数据包。
具体结合图1所示进行描述,假设客户端104-1客户端104-2、客户端104-3均向业务服务器102-4传输数据,通过流量监测子系统402可知,客户端104-1客户端104-2、客户端104-3在单位时间内向业务服务器102-4所发送的数据包的数量的总量远远超过了业务服务器102-4可以接收的正常的业务流量基线4000个/小时,确认上述三个客户端所发送的数据包已对业务服务器102-4构成了DDoS攻击,则可以在第四单位时间(例如,第四单位时间为1小时)内将业务服务器102-4的数据包的数量限制在第二预定阈值(例如,第二预定阈值为4000个/小时)之内,例如。可以随机将客户端104-1客户端104-2、客户端104-3中的数据包丢弃,例如,客户端104-1被丢弃300个数据包、客户端104-2被丢弃350个数据包、客户端104-3被丢弃300个数据包,以达到限制业务服务器102-4的业务流量的目的。
3)将防护配置参数更新为第三防护配置参数,作为更新后的防护配置参数,其中,第三防护配置参数用于过滤掉与攻击数据包匹配的数据包。
可选地,在本实施例中上述数据包类型匹配包括但不限于:字符串匹配、正则表达式匹配、数据类型匹配。
具体结合图1和图4所示进行描述,假设上述业务服务器102-4的业务流量已经满足DDoS攻击的告警条件,多级流量清洗系统410接收到全局联动配置中心404发送的关于对业务服务器102-4防护配置参数后,开始对位于业务服务器102-4所在的骨干网节点的第一流量清洗系统先进行数据包过滤,例如,相应的防护策略可以为:数量超过6000个的数据包均要被过滤;然后,位于城域网入口的流量清洗系统进行再一次数据包的过滤,例如,相应的防护策略可以为:过滤掉所有接收到的UDP数据包。进一步,在位于业务服务器102-4所在互联网数据中心(IDC)入口的第二流量清洗系统进行第三次数据包过滤,例如,相应的防护策略可以为:对于来自IP地址为168.1.0.1的数据包全部进行过滤,其中,上述IP地址经判定常常发出DDoS攻击,因而需要对上述IP地址进行屏蔽以实现对业务服务器102-4的防护。
通过本发明提供的实施例,通过制定不同的防护策略,根据不同的业务服务器中的业务流量,为用户提供高精度的DDoS攻击防护方法,以使业务服务器的业务流量可以免受DDoS攻击的影响。
作为一种可选的方案,更新单元804包括:
1)第四更新模块,用于在反馈信息指示执行完过滤后第一单位时间内发送到业务服务器的数据包的数量小于执行过滤前第一单位时间内发送到业务服务器的数据包的数量,保持防护配置参数不变,或者,更新防护配置参数,使得根据更新后的防护配置参数过滤掉的发送到业务服务器的数据包的数量小于根据更新前的防护配置参数过滤掉的发送到业务服务器的数据包的数量;
2)第五更新模块,用于在反馈信息指示执行完过滤后业务服务器在第二单位时间内接收到的数据包的数量小于执行过滤前业务服务器在第二单位时间内接收到的数据包的数量,保持防护配置参数不变,或者,更新防护配置参数,使得根据更新后的防护配置参数过滤掉的发送到业务服务器的数据包的数量小于根据更新前的防护配置参数过滤掉的发送到业务服务器的数据包的数量;
3)第六更新模块,用于在反馈信息指示执行完过滤后连接业务服务器的连通率大于执行过滤前执行过滤前连接业务服务器的连通率时,保持防护配置参数不变,或者,更新防护配置参数,使得根据更新后的防护配置参数过滤掉的发送到业务服务器的数据包的数量小于根据更新前的防护配置参数过滤掉的发送到业务服务器的数据包的数量。
以下结合具体示例说明,如表8示出了业务服务器102-2响应反馈信息对防护配置参数进行更新的一种示例。
表8
防护配置参数 | 更新前 | 更新后 |
第一单位时间内发送到业务服务器的数据包的数量 | 2500个 | 2000个 |
业务服务器在第二单位时间内接收到的数据包的数量 | 2000个 | 1500个 |
连接业务服务器的连通率 | 60% | 80% |
具体结合图1、图4以及表8所示进行描述,假设以业务服务器102-2作为目的服务器为例,全局联动配置中心404将接收到业务服务器102-2执行完过滤后的反馈信息,其中,执行完过滤后第一单位时间(例如,第一单位时间为1小时)内发送到业务服务器102-2的数据包的数量变为2000个、即小于执行过滤前第一单位时间(例如,第一单位时间为1小时)内发送到业务服务器102-2的数据包的数量2500个;执行完过滤后业务服务器102-2在第二单位时间(如,第二单位时间为1小时)内接收到的数据包的数量变为1500个,即小于执行过滤前业务服务器102-2在第二单位时间(如,第二单位时间为1小时)内接收到的数据包的数量2000个;执行完过滤后连接业务服务器102-2的连通率变为80%,即大于执行过滤前执行所述过滤前连接业务服务器102-2的连通率60%,则可以保持防护配置参数不变,或者,更新对于业务服务器102-2的防护配置参数。假设选择了更新防护配置参数,则可以通过更新防护配置参数使得根据更新后的防护配置参数过滤掉的发送到业务服务器102-2的数据包的数量小于根据更新前的防护配置参数过滤掉的发送到业务服务器102-2的数据包的数量。
通过本发明提供的实施例,通过实时根据网络中各业务服务器的业务流量变化,对业务服务器的防护配置参数进行调整,若反馈多级流量清洗系统过滤量偏大,则可通过调整防护配置参数以使多级流量清洗系统的过滤量减小,达到改善网络中业务服务器对DDoS攻击的防护效果。
作为一种可选的方案,第一发送单元706包括:
1)发送模块,用于将防护配置参数发送到多个第一流量清洗系统中与业务服务器最近的第一流量清洗系统,和/或,将防护配置参数发送到多个第二流量清洗系统中与业务服务器最近的第二流量清洗系统。
具体结合图1所示进行描述,假设以业务服务器102-4作为目的业务服务器为例,防护配置参数将会被发送到距离其最近的位于骨干网节点的第一流量清洗系统进行数据包过滤,和/或,最近的位于城域网2入口的流量清洗系统进行数据包过滤,和/或,位于城域网2下的互联网数据中心IDC-4入口的第二流量清洗系统进行数据包过滤,而不是选择互联网数据中心IDC-3入口的第二流量清洗系统,或者,城域网1中的任一互联网数据中心IDC-1或互联网数据中心IDC-2入口的第二流量清洗系统进行数据包过滤。
通过本发明提供的实施例,通过遵循“就近原则”选择相应的流量清洗系统对业务服务器进行数据包的过滤,从而达到有效地节省网络中的资源。
作为一种可选的方案,获取单元704包括:
1)第一获取模块,用于获取业务服务器的当前状态信息,其中,当前状态信息用于指示业务服务器在第五单位时间内接收到的数据包的数量和/或指示连接业务服务器的连通率;
2)第二获取模块,用于从数据库中获取与当前状态信息对应的防护配置参数。
具体结合图1和图4所示进行描述,全局联动配置中心获取了业务服务器的日常状态信息,根据对业务服务器的日常监测的结果,输出业务服务器在单位时间内的业务流量基线,并存储在业务防护配置策略库中。当获取了业务服务器102-4当前的状态信息后,则可在业务防护配置策略库中获取与业务服务器102-4当前状态信息对应的防护配置参数,以使业务服务器102-4在经过由上述获取到的防护配置参数控制的多级流量清洗系统的清洗过滤后,可以实现过滤掉异常流量,从而达到保持业务服务器102-4的正常的业务流量的效果。
通过本发明提供的实施例,通过对网络中的业务服务器的实施监控,获取业务服务器当前的状态信息,并根据上述当前状态信息获取相应的防护配置参数,从而为业务服务器制定更加精细的防护策略。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
实施例3
根据本发明实施例,提供了一种分布式拒绝服务DDoS攻击的防护系统,在本实施例中上述分布式拒绝服务DDoS攻击的防护系统可以应用于如图1所示的网络中,其中,上述网络包括但不限于:骨干网、骨干网下的城域网、城域网下的互联网数据中心IDC(Internet Data Center)、互联网数据中心(IDC)下的业务服务器以及与骨干网连接的客户端。可选地,在本实施例中骨干网下的城域网也可以但不限于视为上述网络中的骨干网。
例如,如图1所示,骨干网与城域网1和城域网2连接,其中,城域网1中包括互联网数据中心IDC-1以及互联网数据中心IDC-2,互联网数据中心IDC-1中包括业务服务器102-1互联网数据中心IDC-2中包括业务服务器102-2;城域网2中包括互联网数据中心IDC-3以及互联网数据中心IDC-4,互联网数据中心IDC-3中包括业务服务器102-3互联网数据中心IDC-4中包括业务服务器102-4;此外,骨干网还与客户端连接,例如,客户端104-1、客户端104-2、客户端104-3。上述网络中的客户端通过骨干网与业务服务器建立连接,进而实现对业务服务器中的相应业务的请求。上述举例只是一种示例,本实施例对此不做任何限定。
可选地,在本实施例中上述分布式拒绝服务DDoS攻击的防护系统,如图4所示,在本实施例中该系统包括:
1)流量监测服务器,用于向联动配置服务器发送DDoS攻击告警信息,其中,DDoS攻击告警消息用于指示业务服务器出现DDoS攻击;
2)联动配置服务器,用于根据接收到的DDoS攻击告警信息获取防护配置参数,并将防护配置参数发送到多级流量清洗服务器,以指示多级流量清洗服务器根据接收到的防护配置参数对发送到业务服务器的数据包进行过滤;
3)多级流量清洗服务器,用于根据接收到的防护配置参数对发送到业务服务器的数据包进行过滤,其中,多级流量清洗系统包括位于骨干网节点的第一流量清洗服务器和位于互联网数据中心IDC入口的第二流量清洗服务器;其中,第二流量清洗服务器被设置为对经过第一流量清洗服务器过滤后的数据包进行再次过滤,并将再次过滤后得到的数据包发送到业务服务器。
可选地,在本实施例中,上述联动配置服务器可以包括但不限于:全局联动配置服务器、区域联动配置服务器,例如,如图3所示的全局联动配置服务器304以及区域联动配置服务器310-1和区域联动配置服务器310-2。
可选地,在本实施例中,上述系统中的流量监测服务器、联动配置服务器可以集成在一个网络设备上,也可以分布式地位于网络中不同的网络设备上。可选地,在本实施例中,联动配置服务器可以包括但不限于:全局联动配置服务器、区域联动配置服务器。本实施例对此不做限定。
可选地,在本实施例中,多级流量清洗系统410可以包括但不限于:位于骨干网节点的第一流量清洗系统和位于互联网数据中心(IDC)入口的第二流量清洗系统。可选地,结合图1和图4所示,在本实施例中上述位于骨干网节点的第一流量清洗系统与位于互联网数据中心(IDC)入口的第二流量清洗系统之间还可以但不限于包括:位于城域网入口的流量清洗系统。
作为一种可选的方案,联动配置服务器包括:
1)处理器,用于在将防护配置参数发送到多级流量清洗服务器之后,接收到执行完过滤后的反馈信息,响应反馈信息对防护配置参数进行更新,得到更新后的防护配置参数,并将更新后的防护配置参数发送到多级流量清洗服务器,以指示多级流量清洗服务器根据接收到的更新后的防护配置参数对发送到业务服务器的数据包进行过滤。
可选地,在本实施例中,上述反馈信息包括以下至少之一:执行完过滤后第一单位时间内发送到业务服务器的数据包的数量、执行完过滤后业务服务器在第二单位时间内接收到的数据包的数量、执行完过滤后连接业务服务器的连通率。
可选地,在本实施例中,上述第一单位时间与第二单位时间可以根据不同的应用场景,预先配置成相同或不同的取值。可选地,在本实施例中,第一单位时间与第二单位时间可以包括但不限于:1分钟、1小时、1天、1个月。本实施例对此不做任何限定。
可选地,在本实施例中的具体示例可以参考上述实施例1和实施例2中所描述的示例,本实施例在此不再赘述。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
实施例4
如图9所示,本发明的实施例还提供了一种计算机可读取的存储介质902。可选地,在本实施例中,上述存储介质902可以连接处理器904,其中,上述存储介质902用于存储执行上述实施例中描述的分布式拒绝服务DDoS攻击的防护方法的程序代码;处理器904,用于执行存储介质902中已存储的程序代码。
可选地,在本实施例中,上述存储介质902可以位于如图3所示的网络中的多个网络设备中的至少一个网络设备。换言之,上述存储介质902可以分布式地位于不同的网络设备中,也可以集中位于一个网络设备中。
可选地,在本实施例中,存储介质902被设置为存储用于执行以下步骤的程序代码:
S1,接收到DDoS攻击告警消息,其中,DDoS攻击告警消息用于指示业务服务器出现DDoS攻击;
S2,响应DDoS攻击告警消息获取防护配置参数,其中,防护配置参数用于对发送到业务服务器的数据包进行过滤;
S3,将防护配置参数发送到多级流量清洗系统,以指示多级流量清洗系统根据接收到的防护配置参数对发送到业务服务器的数据包进行过滤,其中,多级流量清洗系统包括位于骨干网节点的第一流量清洗系统和位于互联网数据中心IDC入口的第二流量清洗系统。
可选地,存储介质902还被设置为存储用于执行以下步骤的程序代码:
S1,多级流量清洗系统根据接收到的防护配置参数对发送到业务服务器的数据包进行过滤,其中,第二流量清洗系统对经过第一流量清洗系统过滤后的数据包进行再次过滤;
S2,第二流量清洗系统将执行再次过滤后得到的数据包发送到业务服务器。
可选地,存储介质902还被设置为存储用于执行以下步骤的程序代码:
S1,接收到执行完过滤后的反馈信息,其中,反馈信息包括以下至少之一:执行完过滤后第一单位时间内发送到业务服务器的数据包的数量、执行完过滤后业务服务器在第二单位时间内接收到的数据包的数量、执行完过滤后连接业务服务器的连通率;
S2,响应反馈信息对防护配置参数进行更新,得到更新后的防护配置参数;
S3,将更新后的防护配置参数发送到多级流量清洗系统,用于指示多级流量清洗系统根据接收到的更新后的防护配置参数对发送到业务服务器的数据包进行过滤。
可选地,在本实施例中,上述第一单位时间与第二单位时间可以根据不同的应用场景,预先配置成相同或不同的取值。可选地,在本实施例中,第一单位时间与第二单位时间可以包括但不限于:1分钟、1小时、1天、1个月。本实施例对此不做任何限定。
具体结合以下示例描述:例如,结合图3进行说明,上述存储介质902分布式地位于不同的网络设备中,分别存储有执行以下相应步骤的程序代码:
流量监测服务器302将对骨干网全网中的业务流量进行实时监控,然后对已确认的DDoS攻击告警消息发送到全局联动配置服务器304中,由全局联动配置服务器304将获取的防护配置参数以及触发清洗操作的系统消息下发至骨干网节点处的第一流量清洗服务器306-1、第一流量清洗服务器306-2、第一流量清洗服务器306-3、第一流量清洗服务器306-4,其中,上述防护配置参数可以由内置于全局联动配置服务器304中的业务防护配置策略库获取,其中,上述业务防护配置策略库并不限于内置于全局联动配置服务器304中。
可选地,在本实施例中,上述业务防护配置策略库412在分布式拒绝服务DDoS攻击的防护系统中与其他模块的关系可以如图4所示,此外,上述业务防护配置策略库412可以但不限于存储在上述存储介质902中。在经过过滤操作后,上述业务防护配置策略库412中存储的关于业务服务器的防护策略也将同时被更新。
进一步,上述第一流量清洗服务器306-1、第一流量清洗服务器306-2、第一流量清洗服务器306-3、第一流量清洗服务器306-4会将过滤后得到的数据包由城域网1、城域网2、城域网3或城域网4,发送至第二流量清洗服务器308-1、第二流量清洗服务器308-2、第二流量清洗服务器308-3、第二流量清洗服务器308-4,进行再次过滤。
然后,过滤后的结果可以但不限于通过流量监测服务器302联动反馈给上述系统中的全局联动配置服务器304或区域联动配置服务器310-1或310-2,并保存在上述存储介质902中,以使其可以及时为用户制定相应的防护策略。
可选地,在本实施例中,上述存储介质902可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
可选地,在本实施例中,上述处理器904根据存储介质902中已存储的程序代码将相应的防护配置参数发送到多级流量清洗服务器。例如,如图3所示,将相应的防护配置参数发送至第一流量清洗服务器306-1,然后经过城域网1发送给第二流量清洗服务器308-1。
可选地,在本实施例中,上述处理器904根据存储介质902中已存储的程序代码对接收到的数据包按照防护策略中所配置的防护配置参数对数据包进行流量清洗。
可选地,在本实施例中,上述处理器904根据存储介质902中已存储的程序代码将执行完过滤后的反馈信息反馈给上述系统中的全局联动配置服务器304,以使存储在存储介质902中的业务防护配置策略库412中的防护策略进行更新。
可选地,本实施例中的具体示例可以参考上述实施例1和实施例2中所描述的示例,本实施例在此不再赘述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质902中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质902中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (25)
1.一种分布式拒绝服务DDoS攻击的防护方法,其特征在于,包括:
接收到DDoS攻击告警消息,其中,所述DDoS攻击告警消息用于指示业务服务器出现DDoS攻击;
响应所述DDoS攻击告警消息获取防护配置参数,其中,所述防护配置参数用于对发送到所述业务服务器的数据包进行过滤;
将所述防护配置参数发送到多级流量清洗系统,以指示所述多级流量清洗系统根据接收到的所述防护配置参数对发送到所述业务服务器的数据包进行过滤,其中,所述多级流量清洗系统包括位于骨干网节点的第一流量清洗系统和位于互联网数据中心IDC入口的第二流量清洗系统。
2.根据权利要求1所述的方法,其特征在于,在将所述防护配置参数发送到多级流量清洗系统之后,还包括:
所述多级流量清洗系统根据接收到的所述防护配置参数对发送到所述业务服务器的数据包进行过滤,其中,所述第二流量清洗系统对经过所述第一流量清洗系统过滤后的数据包进行再次过滤;
所述第二流量清洗系统将执行所述再次过滤后得到的数据包发送到所述业务服务器。
3.根据权利要求1所述的方法,其特征在于,在将所述防护配置参数发送到多级流量清洗系统之后,还包括:
接收到执行完所述过滤后的反馈信息,其中,所述反馈信息包括以下至少之一:执行完所述过滤后第一单位时间内发送到所述业务服务器的数据包的数量、执行完所述过滤后所述业务服务器在第二单位时间内接收到的数据包的数量、执行完所述过滤后连接所述业务服务器的连通率;
响应所述反馈信息对所述防护配置参数进行更新,得到更新后的防护配置参数;
将所述更新后的防护配置参数发送到所述多级流量清洗系统,以指示所述多级流量清洗系统根据接收到的所述更新后的防护配置参数对发送到所述业务服务器的数据包进行过滤。
4.根据权利要求3所述的方法,其特征在于,所述响应所述反馈信息对所述防护配置参数进行更新包括:
若所述反馈信息指示执行完所述过滤后所述第一单位时间内发送到所述业务服务器的数据包的数量大于执行所述过滤前所述第一单位时间内发送到所述业务服务器的数据包的数量,则更新所述防护配置参数,使得根据所述更新后的防护配置参数过滤掉的发送到所述业务服务器的数据包的数量大于根据更新前的所述防护配置参数过滤掉的发送到所述业务服务器的数据包的数量。
5.根据权利要求3所述的方法,其特征在于,所述响应所述反馈信息对所述防护配置参数进行更新包括:
若所述反馈信息指示执行完所述过滤后所述业务服务器在所述第二单位时间内接收到的数据包的数量大于执行所述过滤前所述业务服务器在所述第二单位时间内接收到的数据包的数量,则更新所述防护配置参数,使得根据所述更新后的防护配置参数过滤掉的发送到所述业务服务器的数据包的数量大于根据更新前的所述防护配置参数过滤掉的发送到所述业务服务器的数据包的数量。
6.根据权利要求3所述的方法,其特征在于,所述响应所述反馈信息对所述防护配置参数进行更新包括:
若所述反馈信息指示执行完所述过滤后连接所述业务服务器的连通率小于执行所述过滤前连接所述业务服务器的连通率,则更新所述防护配置参数,使得根据所述更新后的防护配置参数过滤掉的发送到所述业务服务器的数据包的数量大于根据更新前的所述防护配置参数过滤掉的发送到所述业务服务器的数据包的数量。
7.根据权利要求3所述的方法,其特征在于,所述响应所述反馈信息对所述防护配置参数进行更新包括:
若所述反馈信息指示执行完所述过滤后所述第一单位时间内发送到所述业务服务器的数据包的数量小于执行所述过滤前所述第一单位时间内发送到所述业务服务器的数据包的数量,保持所述防护配置参数不变,或者,更新所述防护配置参数,使得根据所述更新后的防护配置参数过滤掉的发送到所述业务服务器的数据包的数量小于根据更新前的所述防护配置参数过滤掉的发送到所述业务服务器的数据包的数量。
8.根据权利要求3所述的方法,其特征在于,所述响应所述反馈信息对所述防护配置参数进行更新包括:
若所述反馈信息指示执行完所述过滤后所述业务服务器在所述第二单位时间内接收到的数据包的数量小于执行所述过滤前所述业务服务器在所述第二单位时间内接收到的数据包的数量,保持所述防护配置参数不变,或者,更新所述防护配置参数,使得根据所述更新后的防护配置参数过滤掉的发送到所述业务服务器的数据包的数量小于根据更新前的所述防护配置参数过滤掉的发送到所述业务服务器的数据包的数量。
9.根据权利要求3所述的方法,其特征在于,所述响应所述反馈信息对所述防护配置参数进行更新包括:
若所述反馈信息指示执行完所述过滤后连接所述业务服务器的连通率大于执行所述过滤前执行所述过滤前连接所述业务服务器的连通率,则保持所述防护配置参数不变,或者,更新所述防护配置参数,使得根据所述更新后的防护配置参数过滤掉的发送到所述业务服务器的数据包的数量小于根据更新前的所述防护配置参数过滤掉的发送到所述业务服务器的数据包的数量。
10.根据权利要求1所述的方法,其特征在于,所述将所述防护配置参数发送到多级流量清洗系统包括:
将所述防护配置参数发送到多个所述第一流量清洗系统中与所述业务服务器最近的第一流量清洗系统,和/或,将所述防护配置参数发送到多个所述第二流量清洗系统中与所述业务服务器最近的第二流量清洗系统。
11.根据权利要求4至10中的任一项所述的方法,其特征在于,所述更新所述防护配置参数包括以下至少之一:
将所述防护配置参数更新为第一防护配置参数,作为所述更新后的防护配置参数,其中,所述第一防护配置参数用于将第三单位时间内接收到的来自第一IP地址的数据包的数量限制在第一预定阈值之内;
将所述防护配置参数更新为第二防护配置参数,作为所述更新后的防护配置参数,其中,所述第二防护配置参数用于将第四单位时间内接收到的发送到第二IP地址的数据包的数量限制在第二预定阈值之内,所述第二IP地址包括所述业务服务器的IP地址;
将所述防护配置参数更新为第三防护配置参数,作为所述更新后的防护配置参数,其中,所述第三防护配置参数用于过滤掉与攻击数据包匹配的数据包。
12.根据权利要求1至10中任一项所述的方法,其特征在于,所述响应所述DDoS攻击告警消息获取防护配置参数包括:
获取所述业务服务器的当前状态信息,其中,所述当前状态信息用于指示所述业务服务器在第五单位时间内接收到的数据包的数量和/或指示连接所述业务服务器的连通率;
从数据库中获取与所述当前状态信息对应的所述防护配置参数。
13.一种分布式拒绝服务DDoS攻击的防护装置,其特征在于,包括:
第一接收单元,用于接收到DDoS攻击告警消息,其中,所述DDoS攻击告警消息用于指示业务服务器出现DDoS攻击;
获取单元,用于响应所述DDoS攻击告警消息获取防护配置参数,其中,所述防护配置参数用于对发送到所述业务服务器的数据包进行过滤;
第一发送单元,用于将所述防护配置参数发送到多级流量清洗系统,以指示所述多级流量清洗系统根据接收到的所述防护配置参数对发送到所述业务服务器的数据包进行过滤,其中,所述多级流量清洗系统包括位于骨干网节点的第一流量清洗系统和位于互联网数据中心IDC入口的第二流量清洗系统。
14.根据权利要求13所述的装置,其特征在于,还包括:
第二接收单元,用于在将所述防护配置参数发送到多级流量清洗系统之后,接收到执行完所述过滤后的反馈信息,其中,所述反馈信息包括以下至少之一:执行完所述过滤后第一单位时间内发送到所述业务服务器的数据包的数量、执行完所述过滤后所述业务服务器在第二单位时间内接收到的数据包的数量、执行完所述过滤后连接所述业务服务器的连通率;
更新单元,用于响应所述反馈信息对所述防护配置参数进行更新,得到更新后的防护配置参数;
第二发送单元,用于将所述更新后的防护配置参数发送到所述多级流量清洗系统,以指示所述多级流量清洗系统根据接收到的所述更新后的防护配置参数对发送到所述业务服务器的数据包进行过滤。
15.根据权利要求14所述的装置,其特征在于,所述更新单元包括:
第一更新模块,用于在所述反馈信息指示执行完所述过滤后所述第一单位时间内发送到所述业务服务器的数据包的数量大于执行所述过滤前所述第一单位时间内发送到所述业务服务器的数据包的数量,更新所述防护配置参数,使得根据所述更新后的防护配置参数过滤掉的发送到所述业务服务器的数据包的数量大于根据更新前的所述防护配置参数过滤掉的发送到所述业务服务器的数据包的数量。
16.根据权利要求14所述的装置,其特征在于,所述更新单元包括:
第二更新模块,用于在所述反馈信息指示执行完所述过滤后所述业务服务器在所述第二单位时间内接收到的数据包的数量大于执行所述过滤前所述业务服务器在所述第二单位时间内接收到的数据包的数量,更新所述防护配置参数,使得根据所述更新后的防护配置参数过滤掉的发送到所述业务服务器的数据包的数量大于根据更新前的所述防护配置参数过滤掉的发送到所述业务服务器的数据包的数量。
17.根据权利要求14所述的装置,其特征在于,所述更新单元包括:
第三更新模块,用于在所述反馈信息指示执行完所述过滤后连接所述业务服务器的连通率小于执行所述过滤前连接所述业务服务器的连通率时,更新所述防护配置参数,使得根据所述更新后的防护配置参数过滤掉的发送到所述业务服务器的数据包的数量大于根据更新前的所述防护配置参数过滤掉的发送到所述业务服务器的数据包的数量。
18.根据权利要求14所述的装置,其特征在于,所述更新单元包括:
第四更新模块,用于在所述反馈信息指示执行完所述过滤后所述第一单位时间内发送到所述业务服务器的数据包的数量小于执行所述过滤前所述第一单位时间内发送到所述业务服务器的数据包的数量,保持所述防护配置参数不变,或者,更新所述防护配置参数,使得根据所述更新后的防护配置参数过滤掉的发送到所述业务服务器的数据包的数量小于根据更新前的所述防护配置参数过滤掉的发送到所述业务服务器的数据包的数量。
19.根据权利要求14所述的装置,其特征在于,所述更新单元包括:
第五更新模块,用于在所述反馈信息指示执行完所述过滤后所述业务服务器在所述第二单位时间内接收到的数据包的数量小于执行所述过滤前所述业务服务器在所述第二单位时间内接收到的数据包的数量,保持所述防护配置参数不变,或者,更新所述防护配置参数,使得根据所述更新后的防护配置参数过滤掉的发送到所述业务服务器的数据包的数量小于根据更新前的所述防护配置参数过滤掉的发送到所述业务服务器的数据包的数量。
20.根据权利要求14所述的装置,其特征在于,所述更新单元包括:
第六更新模块,用于在所述反馈信息指示执行完所述过滤后连接所述业务服务器的连通率大于执行所述过滤前执行所述过滤前连接所述业务服务器的连通率时,保持所述防护配置参数不变,或者,更新所述防护配置参数,使得根据所述更新后的防护配置参数过滤掉的发送到所述业务服务器的数据包的数量小于根据更新前的所述防护配置参数过滤掉的发送到所述业务服务器的数据包的数量。
21.根据权利要求13所述的装置,其特征在于,所述第一发送单元包括:
发送模块,用于将所述防护配置参数发送到多个所述第一流量清洗系统中与所述业务服务器最近的第一流量清洗系统,和/或,将所述防护配置参数发送到多个所述第二流量清洗系统中与所述业务服务器最近的第二流量清洗系统。
22.根据权利要求15至21中任一项所述的装置,其特征在于,所述更新单元还用于通过以下至少之一更新所述防护配置参数:
将所述防护配置参数更新为第一防护配置参数,作为所述更新后的防护配置参数,其中,所述第一防护配置参数用于将第三单位时间内接收到的来自第一IP地址的数据包的数量限制在第一预定阈值之内;
将所述防护配置参数更新为第二防护配置参数,作为所述更新后的防护配置参数,其中,所述第二防护配置参数用于将第四单位时间内接收到的发送到第二IP地址的数据包的数量限制在第二预定阈值之内,所述第二IP地址包括所述业务服务器的IP地址;
将所述防护配置参数更新为第三防护配置参数,作为所述更新后的防护配置参数,其中,所述第三防护配置参数用于过滤掉与攻击数据包匹配的数据包。
23.根据权利要求13至21中任一项所述的装置,其特征在于,所述获取单元包括:
第一获取模块,用于获取所述业务服务器的当前状态信息,其中,所述当前状态信息用于指示所述业务服务器在第五单位时间内接收到的数据包的数量和/或指示连接所述业务服务器的连通率;
第二获取模块,用于从数据库中获取与所述当前状态信息对应的所述防护配置参数。
24.一种分布式拒绝服务DDoS攻击的防护系统,其特征在于,包括:
流量监测服务器,用于向联动配置服务器发送DDoS攻击告警信息,其中,所述DDoS攻击告警消息用于指示业务服务器出现DDoS攻击;
所述联动配置服务器,用于根据接收到的DDoS攻击告警信息获取防护配置参数,并将所述防护配置参数发送到多级流量清洗服务器,以指示所述多级流量清洗服务器根据接收到的所述防护配置参数对发送到所述业务服务器的数据包进行过滤;
所述多级流量清洗服务器,用于根据接收到的所述防护配置参数对发送到所述业务服务器的数据包进行过滤,其中,所述多级流量清洗系统包括位于骨干网节点的第一流量清洗服务器和位于互联网数据中心IDC入口的第二流量清洗服务器;其中,所述第二流量清洗服务器被设置为对经过所述第一流量清洗服务器过滤后的数据包进行再次过滤,并将所述再次过滤后得到的数据包发送到所述业务服务器。
25.根据权利要求24所述的防护系统,其特征在于,所述联动配置服务器包括:
处理器,用于在将所述防护配置参数发送到所述多级流量清洗服务器之后,接收到执行完所述过滤后的反馈信息,响应所述反馈信息对所述防护配置参数进行更新,得到更新后的防护配置参数,并将所述更新后的防护配置参数发送到所述多级流量清洗服务器,以指示所述多级流量清洗服务器根据接收到的所述更新后的防护配置参数对发送到所述业务服务器的数据包进行过滤;
其中,所述反馈信息包括以下至少之一:执行完所述过滤后第一单位时间内发送到所述业务服务器的数据包的数量、执行完所述过滤后所述业务服务器在第二单位时间内接收到的数据包的数量、执行完所述过滤后连接所述业务服务器的连通率。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410226413.1A CN104967588B (zh) | 2014-05-26 | 2014-05-26 | 分布式拒绝服务DDoS攻击的防护方法及其装置和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410226413.1A CN104967588B (zh) | 2014-05-26 | 2014-05-26 | 分布式拒绝服务DDoS攻击的防护方法及其装置和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104967588A true CN104967588A (zh) | 2015-10-07 |
CN104967588B CN104967588B (zh) | 2017-02-15 |
Family
ID=54221534
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410226413.1A Active CN104967588B (zh) | 2014-05-26 | 2014-05-26 | 分布式拒绝服务DDoS攻击的防护方法及其装置和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104967588B (zh) |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105743921A (zh) * | 2016-04-08 | 2016-07-06 | 安徽电信规划设计有限责任公司 | 一种idc机房网站信息管理方法 |
CN106357474A (zh) * | 2016-08-30 | 2017-01-25 | 成都科来软件有限公司 | 一种基于链路的数据流量基线获取方法及装置 |
CN106411910A (zh) * | 2016-10-18 | 2017-02-15 | 上海优刻得信息科技有限公司 | 一种分布式拒绝服务攻击的防御方法与系统 |
CN107005538A (zh) * | 2015-10-16 | 2017-08-01 | 华为技术有限公司 | 数据传输的方法、装置和系统 |
CN107018116A (zh) * | 2016-01-27 | 2017-08-04 | 阿里巴巴集团控股有限公司 | 监控网络流量的方法、装置及服务器 |
CN107241294A (zh) * | 2016-03-28 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 网络流量的处理方法及装置、清洗设备、网络设备 |
CN107493276A (zh) * | 2017-08-08 | 2017-12-19 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络安全防护的方法及装置 |
CN107534560A (zh) * | 2015-10-09 | 2018-01-02 | 松下电器(美国)知识产权公司 | 安全装置、攻击检测方法以及程序 |
CN108322417A (zh) * | 2017-01-16 | 2018-07-24 | 阿里巴巴集团控股有限公司 | 网络攻击的处理方法、装置和系统及安全设备 |
CN108737447A (zh) * | 2018-06-22 | 2018-11-02 | 腾讯科技(深圳)有限公司 | 用户数据报协议流量过滤方法、装置、服务器及存储介质 |
CN109218283A (zh) * | 2017-06-30 | 2019-01-15 | 汤姆逊许可公司 | 阻止分布式拒绝服务攻击的方法及对应的设备 |
CN109347814A (zh) * | 2018-10-05 | 2019-02-15 | 李斌 | 一种基于Kubernetes构建的容器云安全防护方法与系统 |
WO2019083444A1 (en) * | 2017-10-24 | 2019-05-02 | Singapore University Of Technology And Design | METHOD OF GENERATING INVARIANTS FOR DISTRIBUTED ATTACK DETECTION, AND APPARATUS THEREOF |
CN110768975A (zh) * | 2019-10-21 | 2020-02-07 | 杭州迪普科技股份有限公司 | 流量清洗方法、装置、电子设备及机器可读存储介质 |
CN110781429A (zh) * | 2019-09-24 | 2020-02-11 | 支付宝(杭州)信息技术有限公司 | 互联网数据检测方法、装置、设备及计算机可读存储介质 |
US11336618B2 (en) | 2015-10-09 | 2022-05-17 | Panasonic Iniellectual Property Corporation Of America | Security apparatus, attack detection method, and storage medium |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101917349A (zh) * | 2010-09-08 | 2010-12-15 | 北京网康科技有限公司 | 一种网络流量控制系统及方法 |
CN101924764A (zh) * | 2010-08-09 | 2010-12-22 | 中国电信股份有限公司 | 基于二级联动机制的大规模DDoS攻击防御系统及方法 |
CN103188226A (zh) * | 2011-12-29 | 2013-07-03 | 上海粱江通信系统股份有限公司 | 基于云计算识别及治理利用短信实施DDoS的系统和方法 |
-
2014
- 2014-05-26 CN CN201410226413.1A patent/CN104967588B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101924764A (zh) * | 2010-08-09 | 2010-12-22 | 中国电信股份有限公司 | 基于二级联动机制的大规模DDoS攻击防御系统及方法 |
CN101917349A (zh) * | 2010-09-08 | 2010-12-15 | 北京网康科技有限公司 | 一种网络流量控制系统及方法 |
CN103188226A (zh) * | 2011-12-29 | 2013-07-03 | 上海粱江通信系统股份有限公司 | 基于云计算识别及治理利用短信实施DDoS的系统和方法 |
Cited By (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107534560A (zh) * | 2015-10-09 | 2018-01-02 | 松下电器(美国)知识产权公司 | 安全装置、攻击检测方法以及程序 |
US10931634B2 (en) | 2015-10-09 | 2021-02-23 | Panasonic Intellectual Property Corporation Of America | Security apparatus, attack detection method, and storage medium |
US11336618B2 (en) | 2015-10-09 | 2022-05-17 | Panasonic Iniellectual Property Corporation Of America | Security apparatus, attack detection method, and storage medium |
CN107005538A (zh) * | 2015-10-16 | 2017-08-01 | 华为技术有限公司 | 数据传输的方法、装置和系统 |
CN107005538B (zh) * | 2015-10-16 | 2020-06-30 | 德正远(青岛)新能源科技有限公司 | 数据传输的方法、装置和系统 |
CN107018116A (zh) * | 2016-01-27 | 2017-08-04 | 阿里巴巴集团控股有限公司 | 监控网络流量的方法、装置及服务器 |
CN107241294A (zh) * | 2016-03-28 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 网络流量的处理方法及装置、清洗设备、网络设备 |
CN107241294B (zh) * | 2016-03-28 | 2020-09-15 | 阿里巴巴集团控股有限公司 | 网络流量的处理方法及装置、清洗设备、网络设备 |
CN105743921A (zh) * | 2016-04-08 | 2016-07-06 | 安徽电信规划设计有限责任公司 | 一种idc机房网站信息管理方法 |
CN106357474A (zh) * | 2016-08-30 | 2017-01-25 | 成都科来软件有限公司 | 一种基于链路的数据流量基线获取方法及装置 |
CN106411910A (zh) * | 2016-10-18 | 2017-02-15 | 上海优刻得信息科技有限公司 | 一种分布式拒绝服务攻击的防御方法与系统 |
CN106411910B (zh) * | 2016-10-18 | 2019-04-05 | 优刻得科技股份有限公司 | 一种分布式拒绝服务攻击的防御方法与系统 |
CN108322417A (zh) * | 2017-01-16 | 2018-07-24 | 阿里巴巴集团控股有限公司 | 网络攻击的处理方法、装置和系统及安全设备 |
CN108322417B (zh) * | 2017-01-16 | 2021-10-19 | 阿里巴巴集团控股有限公司 | 网络攻击的处理方法、装置和系统及安全设备 |
CN109218283A (zh) * | 2017-06-30 | 2019-01-15 | 汤姆逊许可公司 | 阻止分布式拒绝服务攻击的方法及对应的设备 |
CN107493276A (zh) * | 2017-08-08 | 2017-12-19 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络安全防护的方法及装置 |
CN107493276B (zh) * | 2017-08-08 | 2020-04-07 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络安全防护的方法及装置 |
WO2019083444A1 (en) * | 2017-10-24 | 2019-05-02 | Singapore University Of Technology And Design | METHOD OF GENERATING INVARIANTS FOR DISTRIBUTED ATTACK DETECTION, AND APPARATUS THEREOF |
CN108737447B (zh) * | 2018-06-22 | 2020-07-17 | 腾讯科技(深圳)有限公司 | 用户数据报协议流量过滤方法、装置、服务器及存储介质 |
CN108737447A (zh) * | 2018-06-22 | 2018-11-02 | 腾讯科技(深圳)有限公司 | 用户数据报协议流量过滤方法、装置、服务器及存储介质 |
CN109347814A (zh) * | 2018-10-05 | 2019-02-15 | 李斌 | 一种基于Kubernetes构建的容器云安全防护方法与系统 |
CN110781429A (zh) * | 2019-09-24 | 2020-02-11 | 支付宝(杭州)信息技术有限公司 | 互联网数据检测方法、装置、设备及计算机可读存储介质 |
CN110768975A (zh) * | 2019-10-21 | 2020-02-07 | 杭州迪普科技股份有限公司 | 流量清洗方法、装置、电子设备及机器可读存储介质 |
CN110768975B (zh) * | 2019-10-21 | 2022-05-31 | 杭州迪普科技股份有限公司 | 流量清洗方法、装置、电子设备及机器可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN104967588B (zh) | 2017-02-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104967588A (zh) | 分布式拒绝服务DDoS攻击的防护方法及其装置和系统 | |
CN101355463B (zh) | 网络攻击的判断方法、系统和设备 | |
US9961099B2 (en) | Systems and methods for detecting and tracking adversary trajectory | |
EP3179696B1 (en) | Connected security system | |
EP3068095B1 (en) | Monitoring apparatus and method | |
CN107196895B (zh) | 网络攻击溯源实现方法及装置 | |
CN106357685A (zh) | 一种防御分布式拒绝服务攻击的方法及装置 | |
CN105450619A (zh) | 恶意攻击的防护方法、装置和系统 | |
CN104509034A (zh) | 模式合并以识别恶意行为 | |
CN104468631A (zh) | 基于ip终端异常流量及黑白名单库的网络入侵识别方法 | |
CN104917779A (zh) | 一种基于云的cc攻击的防护方法、装置及系统 | |
CN101034976B (zh) | Ip连接安全系统中的入侵检测设备 | |
CN103209192B (zh) | 用于DDoS攻击时的域名状态清洗系统及检测方法 | |
CN107547228B (zh) | 一种基于大数据的安全运维管理平台的实现架构 | |
CN108092940B (zh) | 一种dns的防护方法及相关设备 | |
CN105205394A (zh) | 用于入侵检测的数据检测方法和装置 | |
CN103888282A (zh) | 基于核电站的网络入侵报警方法和系统 | |
CN109462621A (zh) | 网络安全保护方法、装置及电子设备 | |
CN112565300B (zh) | 基于行业云黑客攻击识别与封堵方法、系统、装置及介质 | |
CN109981587A (zh) | 一种基于apt攻击的网络安全监控溯源系统 | |
CN105765942A (zh) | 经由边界网关进行信息安全性威胁中断的系统和方法 | |
CN103944912A (zh) | 一种防范网络中各种新兴和未知攻击行为的方法 | |
CN103634166A (zh) | 一种设备存活检测方法及装置 | |
CN114189361B (zh) | 防御威胁的态势感知方法、装置及系统 | |
CN107332810A (zh) | 攻击防御方法及装置、系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20180930 Address after: 100098 Beijing Haidian District Zhichun Road 49 No. 3 West 309 Patentee after: Tencent cloud computing (Beijing) limited liability company Address before: 518000 East 403 room, Sai Ge science and Technology Park, Futian District Zhenxing Road, Shenzhen, Guangdong, China, 2 Patentee before: Tencent Technology (Shenzhen) Co., Ltd. |