CN105897674A - 用于CDN服务器群组的DDoS攻击防护方法及系统 - Google Patents
用于CDN服务器群组的DDoS攻击防护方法及系统 Download PDFInfo
- Publication number
- CN105897674A CN105897674A CN201510828940.4A CN201510828940A CN105897674A CN 105897674 A CN105897674 A CN 105897674A CN 201510828940 A CN201510828940 A CN 201510828940A CN 105897674 A CN105897674 A CN 105897674A
- Authority
- CN
- China
- Prior art keywords
- cdn
- server
- cdn server
- blacklist
- ddos attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Abstract
本发明提供一种用于CDN服务器群组的DDoS攻击防护方法,所述CDN服务器群组包括多个CDN服务器和中心服务器,所述方法包括:每个CDN服务器将访问请求的访问源信息发送至中心服务器;所述中心服务器统计一段时间内每个CDN服务器下对应于同一访问源信息的访问请求的数量;所述中心服务器将每个CDN服务器下的对应于同一访问源信息的访问请求的数量大于预定阈值的访问请求确定为DDoS攻击,并基于所述访问请求的访问源信息生成黑名单;所述中心服务器将所述黑名单下发至所述CDN服务器群组中的所述多个CDN服务器;所述多个CDN服务器对落入所述黑名单的访问源拒绝提供服务。本发明还提供一种用于CDN服务器群组的DDoS攻击防护系统,实现了CDN服务器群组的全网DDoS攻击防护。
Description
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种用于CDN服务器群组的DDoS攻击防护方法及系统。
背景技术
随着互联网的发展,用户在使用网络时对网站的浏览速度和效果愈加重视,但由于网民数量激增,网络访问路径过长,从而使用户的访问质量受到严重影响。特别是当用户与网站之间的链路被突发的大流量数据拥塞时,对于异地互联网用户急速增加的地区来说,访问质量不良更是一个急待解决的问题。
CDN(Content Delivery Network,内容分发网络)是一种通过在网络各处放置CDN服务器所构成的在现有的互联网基础之上的一层智能虚拟网络。CDN能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上,其目的是能够选择离用户相对较近的节点向用户发送用户所需的内容,缓解网络拥挤的状况,提高网站的响应速度。
可是随着互联网技术的发展与应用普及,网络上的服务器或系统面临着更多、更复杂的网络攻击行为,其中,DDoS(Distributed Denial of Service,分布式拒绝服务)便是一种较为严重的网络攻击行为,它利用大量的傀儡机对某个服务器或系统同时发起攻击,使得受攻击的该系统因带宽拥塞或服务器资源耗尽等原因而无法支持正常的业务访问;由于DDoS攻击往往采取合法的数据请求技术,再加上傀儡机器的辅助,导致DDoS攻击成为目前最难防御的网络攻击之一。
现有技术中主要从主机设置、网络设置两方面来防止DDoS攻击。
一方面,现有技术从主机设置方面来防止DDoS攻击,采取对将所有的主机平台中所有的服务器都进行进行抵御DDoS的相关设置,例如:关闭不必要的服务,限制同时打开的Syn半连接数目,缩短Syn半连接的time out时间,及时更新系统补丁等。
另一方面,现有技术从网络设置方面来防止DDoS攻击,包括对防火墙与路由器这两类到外界的接口设备的设置,例如:对防火墙的设置包括禁止对主机的非开放服务的访问,限制同时打开的SYN最大连接数,限制特定IP地址的访问,启用防火墙的防DDoS的属性,严格限制对外开放的服务器的向外访问;对路由器的设置包括设置SYN数据包流量速率;升级版本过低的ISO以及为路由器建立log server。
使用上述技术方案来防止DDoS攻击的技术问题在于:
一方面,采用黑洞技术和路由器过滤、限速等手段,不仅大量消耗了服务器的资源,同时也阻断了部分有效业务,降低了服务器对用户访问请求的处理效率,严重影响了用户体验;另一方面,部署大量的冗余设备,保证足够的响应能力来提供DDoS攻击防护,但又使得防护DDoS攻击的代价过于高昂。
更进一步地,随着互联网技术的发展与应用普及,存在不法分子利用大量的傀儡机对CDN平台的各个CDN服务器发起DDoS攻击,进而攻击CDN平台的中心服务器;现有技术采用的技术方案是:DDoS攻击某一CDN服务器,此服务器采取一系列的防DDoS攻击的技术手段识别并防御此DDoS攻击,当同样的DDoS攻击源DDoS攻击CDN平台中的多个CDN服务器时,CDN平台中的多个服务器均需要对DDoS攻击源进行识别并防御;技术问题在于:严重降低了CDN平台对DDoS攻击的处理效率,并拖慢了网站的响应速度;如何简单有效防御DDoS攻击源对CDN平台的攻击也是目前业界亟待解决的需要课题。
发明内容
本发明实施例的目的在于解决上述至少一个技术问题,提供一种CDN服务器群组的DDoS攻击防护方法及系统,可以有效防护大规模DDoS攻击。
本发明一实施例提供一种用于CDN服务器群组的DDoS攻击防护方法,所述CDN服务器群组包括多个CDN服务器和中心服务器,所述方法包括:
每个CDN服务器将访问请求的访问源信息发送至所述中心服务器;
所述中心服务器统计一段时间内每个CDN服务器下对应于同一访问源信息的访问请求的数量;
所述中心服务器将每个CDN服务器下的对应于同一访问源信息的访问请求的数量大于预定阈值的访问请求确定为DDoS攻击,并相应地基于所述访问请求的访问源信息生成黑名单;
所述中心服务器将所述黑名单下发至所述CDN服务器群组中的所述多个CDN服务器;
所述多个CDN服务器对落入所述黑名单的访问源拒绝提供服务。
本发明一实施例提供一种用于CDN服务器群组的DDoS攻击防护系统,所述CDN服务器群组包括多个CDN服务器和中心服务器,其中:
每个CDN服务器包括:
采集单元,用于采集访问请求的访问源信息;
发送单元,用于将所述访问源信息发送至中心服务器;
黑名单接收单元;
服务控制单元,用于与所述黑名单接收单元关联,以对落入黑名单的访问源拒绝提供服务,
所述中心服务器包括:
统计单元,用于统计一段时间内每个CDN服务器下对应于同一访问源信息的访问请求的数量;
黑名单生成单元,用于将每个CDN服务器下的对应于同一访问源信息的访问请求的数量大于预定阈值的访问请求确定为DDoS攻击,并相应地基于所述访问请求的访问源信息生成黑名单;
下发单元,用于将所述黑名单下发至所述CDN服务器群组中的所述多个CDN服务器的黑名单接收单元。
通过本发明一实施例提供的用于CDN平台的DDoS攻击防护方法及系统,实现了:
一、通过黑名单来标记DDoS攻击的攻击源,并拒绝所有已被标记的DDoS攻击源对CDN服务器的访问,实现了针对DDoS攻击的有效防护;
二、针对各个CDN服务器访问的DDoS攻击源的识别工作是在中心服务器上完成的,降低了各个CDN服务器资源消耗,且各个CDN服务器向中心服务器发送访问源信息,避免了DDoS攻击源对中心服务器的访问,有效隐藏和保护了中心服务器;
三、对CDN服务器群组其中一个CDN服务器遭受的DDoS攻击进行识别后,中心服务器记录DDoS攻击源至黑名单,并将黑名单发送至CDN服务器群组下的各个CDN服务器,同步更新了整个CDN服务器群组下的各个CDN服务器的黑名单,实现了CDN服务器群组的全网DDoS攻击防护;
四、当已被列入黑名单的DDoS攻击源尝试攻击CDN服务器群组下的各个CDN服务器时,中心服务器不需要再次对DDoS攻击源进行识别,节约了中心服务器在DDoS攻击防护方面的资源消耗。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例的用于CDN服务器群组的DDoS攻击防护方法流程图;
图2为本发明一实施例的用于CDN服务器群组的DDoS攻击防护系统的结构示意图。
图3为本发明一实施例的布置有多个图2所示的CDN服务器群组的CDN平台的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,示出的是本发明一具体实施例的CDN服务器群组的DDoS攻击防护方法,所述CDN服务器群组包括多个CDN服务器和中心服务器,所述方法包括:
S101:每个CDN服务器将访问请求的访问源信息发送至所述中心服务器;
S102:所述中心服务器统计一段时间内每个CDN服务器下对应于同一访问源信息的访问请求的数量;
S103:所述中心服务器将每个CDN服务器下的对应于同一访问源信息的访问请求的数量大于预定阈值的访问请求确定为DDoS攻击,并相应地基于所述访问请求的访问源信息生成黑名单;
S104:所述中心服务器将所述黑名单下发至所述CDN服务器群组中的所述多个CDN服务器;
S105:所述多个CDN服务器对落入所述黑名单的访问源拒绝提供服务。
通过本发明实施例方法,实现了:
通过黑名单来标记DDoS攻击的攻击源,并拒绝所有已被标记的DDoS攻击源对CDN服务器的访问,实现了DDoS攻击的有效防护;针对各个CDN服务器访问的DDoS攻击源的识别工作是在中心服务器上完成的,降低了各个CDN服务器资源消耗,且各个CDN服务器向中心服务器发送访问源信息,避免了DDoS攻击源对中心服务器的访问,有效隐藏和保护了中心服务器;对CDN服务器群组其中一个CDN服务器遭受的DDoS攻击进行识别后,中心服务器记录DDoS攻击源至黑名单,并将黑名单发送至CDN服务器群组下的各个CDN服务器,同步更新了整个CDN服务器群组下的各个CDN服务器的黑名单,实现了CDN服务器群组的全网DDoS攻击防护;当已被列入黑名单的DDoS攻击源尝试攻击CDN服务器群组下的各个CDN服务器时,中心服务器不需要再次对DDoS攻击源进行识别,节约了中心服务器在DDoS攻击防护方面的资源消耗。
在本发明方法的一种实施方式中,所述访问源信息包含访问请求源的IP、URL和/或Refer信息;更具体地,包括:
每个CDN服务器将访问请求的访问源信息发送至所述中心服务器。
所述中心服务器统计一段时间内每个CDN服务器下对应于同一访问源信息的访问请求的数量。例如:统计访问其中一台CDN服务器的其中一个IP在一段时间内对所述其中一台CDN服务器访问次数;统计访问其中一台CDN服务器的其中一个URL在一段时间内对所述其中一台CDN服务器总访问次数;统计访问其中一台CDN服务器的其中一个Refer在一段时间内对所述其中一台CDN服务器总访问次数;以此类推,获取每个CDN服务器下对应于同一IP、URL和/或Refer的访问请求的访问次数。
所述中心服务器将每个CDN服务器下的对应于同一访问源信息的访问请求的数量大于预定阈值的访问请求确定为DDoS攻击,并相应地基于所述访问请求的访问源信息生成黑名单。例如:所述中心服务器将单个CDN服务器下的对应于同一IP、URL和/或Refer的访问请求的访问次数与预定阈值进行对比,将同一IP、URL和/或Refer的访问请求的访问次数大于预定阈值的IP、URL和/或Refer的访问请求确定为DDoS攻击。关于本步骤更具体的执行,可以包括如下子步骤:Ⅰ、预设IP正常阈值,将同一IP所对应的访问请求的访问次数与IP正常阈值进行对比,当同一IP所对应的访问请求的访问次数超过阈值时,则确定所述同一IP所对应的访问请求为DDoS攻击;Ⅱ、预设URL正常阈值,将同一URL所对应的访问请求的访问次数与URL正常阈值进行对比,当同一URL所对应的访问请求的访问次数超过阈值时,则确定所述同一URL所对应的访问请求为DDoS攻击;Ⅲ、预设Refer正常阈值,当同一Refer所对应的访问请求的访问次数超过阈值时,则确定所述同一Refer所对应的访问请求为DDoS攻击;关于本步骤的第Ⅰ、Ⅱ、Ⅲ子步骤的DDoS攻击识别是彼此独立的,同时第Ⅰ、Ⅱ、Ⅲ子步骤可以是同步式执行的,也可以是渐进式执行的;关于本步骤中的阈值的设定,可以是依据经验或多次实验所确定的参考值;根据已确定为DDoS攻击源的IP和/或URL和/或Refer生成黑名单。
所述中心服务器将所述黑名单下发至所述CDN服务器群组中的所述多个CDN服务器。例如:中心服务器将根据一个CDN服务器的访问请求所生成的黑名单发送至CDN服务器群组中的多个CDN服务器,优选地,中心服务器将根据一个CDN服务器的访问请求所生成的黑名单发送至CDN服务器群组中的各个CDN服务器。
所述多个CDN服务器对落入所述黑名单的访问源拒绝提供服务。例如:CDN服务器群组中的多个CDN服务器对落入所述黑名单的IP、URL和/或Refer拒绝提供服务,优选地,CDN服务器群组中的各个CDN服务器对落入所述黑名单的IP、URL和/或Refer均拒绝提供服务。
作为本发明方法实施例的进一步优化,所述CDN服务器群组为布置在CDN平台上的根据网络类型的不同而划分的多个CDN服务器群组。
由此根据网络类型将CDN平台划分为多个所述CDN服务器群组,例如:CDN平台包含有第一网络类型为“中国电信”和第二网络类型为“中国联通”等多个电信网络类型,根据第一网络类型“中国联通”、第二网络类型“中国电信”等多个网络类型将CDN平台划分成多个CDN服务器群组。
通常情况下,DDoS攻击源会针对某一特定类型网络下的服务器进行攻击;根据CDN平台的多个网络类型将CDN平台划分为多个所述CDN服务器群组,实现了在CDN平台中某一群组的CDN服务器遭受攻击时,及时调用其他CDN群组中的服务器来接替被攻击的CDN服务器,使得CDN平台实现了根据DDoS攻击监测的情况进行CDN服务器调度,保障了网站的正常运营。
作为本发明方法实施例的进一步优化,所述多个CDN服务器群组中的任一个CDN服务器群组的中心服务器将黑名单下发至该CDN服务器群组中的多个CDN服务器之后,选择性地与其他CDN服务器群组的中心服务器进行黑名单共享。
通过将CDN平台中的一个CDN群组的黑名单发送至CDN平台中的另一个CDN群组,实现了CDN平台各个CDN群组的黑名单的同步更新,实现了CDN平台的全网DDoS攻击防护;进一步地,当已被列入黑名单的DDoS攻击源尝试攻击CDN服务器群组下的各个CDN服务器时,中心服务器不需要再次对DDoS攻击源进行识别,节约了中心服务器在DDoS攻击防护方面的资源消耗。
参见图2示出的是一种CDN服务器群组的DDoS攻击防护系统,包括:
每个CDN服务器包括:
采集单元,用于采集访问请求的访问源信息;
发送单元,用于将所述访问源信息发送至中心服务器;
黑名单接收单元;
服务控制单元,用于与所述黑名单接收单元关联,以对落入黑名单的访问源拒绝提供服务,
所述中心服务器包括:
统计单元,用于统计一段时间内每个CDN服务器下对应于同一访问源信息的访问请求的数量;
黑名单生成单元,用于将每个CDN服务器下的对应于同一访问源信息的访问请求的数量大于预定阈值的访问请求确定为DDoS攻击,并相应地基于所述访问请求的访问源信息生成黑名单;
下发单元,用于将所述黑名单下发至所述CDN服务器群组中的所述多个CDN服务器的黑名单接收单元。
通过本发明实施例系统实现了:
通过黑名单来标记DDoS攻击的攻击源,并拒绝所有已被标记的DDoS攻击源对CDN服务器的访问,实现了DDoS攻击的有效防护;针对各个CDN服务器访问的DDoS攻击源的识别工作是在中心服务器上完成的,降低了各个CDN服务器资源消耗,且各个CDN服务器向中心服务器发送访问源信息,避免了DDoS攻击源对中心服务器的访问,有效隐藏和保护了中心服务器;对CDN服务器群组其中一个CDN服务器遭受的DDoS攻击进行识别后,中心服务器记录DDoS攻击源至黑名单,并将黑名单发送至CDN服务器群组下的各个CDN服务器,同步更新了整个CDN服务器群组下的各个CDN服务器的黑名单,实现了CDN服务器群组的全网DDoS攻击防护;当已被列入黑名单的DDoS攻击源尝试攻击CDN服务器群组下的各个CDN服务器时,中心服务器不需要再次对DDoS攻击源进行识别,节约了中心服务器在DDoS攻击防护方面的资源消耗。
在本发明系统的一种实施方式中,所述访问源信息包含IP、URL和/或Refer信息。
作为图2所示实施例系统的进一步优化,所述采集单元为nginx模块。
参见图3示出的是布置有多个图2所示的CDN服务器群组的CDN平台,其中,所述CDN服务器群组为布置在CDN平台上的根据网络类型的不同而划分的多个CDN服务器群组。
通常情况下,DDoS攻击源会针对某一特定类型网络下的服务器进行攻击;根据CDN平台的多个网络类型将CDN平台划分为多个所述CDN服务器群组,实现了在CDN平台中某一群组的CDN服务器遭受攻击时,及时调用其他CDN群组中的服务器来接替被攻击的CDN服务器,使得CDN平台实现了根据DDoS攻击监测的情况进行CDN服务器调度,保障了网站的正常运营。
图3作为进一步的优化,所述多个CDN服务器群组中的任一个CDN服务器群组的中心服务器用于成选择性地与其他CDN服务器群组的中心服务器进行黑名单共享。
通过将CDN平台中的一个CDN群组的黑名单发送至CDN平台中的另一个CDN群组,实现了CDN平台各个CDN群组的黑名单的同步更新,实现了CDN平台的全网DDoS攻击防护;进一步地,当已被列入黑名单的DDoS攻击源尝试攻击CDN服务器群组下的各个CDN服务器时,中心服务器不需要再次对DDoS攻击源进行识别,节约了中心服务器在DDoS攻击防护方面的资源消耗。
在本发明一方面的应用上,本发明实施例中的CDN服务器群组的DDoS攻击防护系统可以是作为功能元件的形式内嵌于CDN服务器群组的中心服务器和CDN服务器中;在本发明实施例中还可以通过硬件处理器来实现相关功能模块单元。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种用于CDN服务器群组的DDoS攻击防护方法,所述CDN服务器群组包括多个CDN服务器和中心服务器,所述方法包括:
每个CDN服务器将访问请求的访问源信息发送至所述中心服务器;
所述中心服务器统计一段时间内每个CDN服务器下对应于同一访问源信息的访问请求的数量;
所述中心服务器将每个CDN服务器下的对应于同一访问源信息的访问请求的数量大于预定阈值的访问请求确定为DDoS攻击,并相应地基于所述访问请求的访问源信息生成黑名单;
所述中心服务器将所述黑名单下发至所述CDN服务器群组中的所述多个CDN服务器;
所述多个CDN服务器对落入所述黑名单的访问源拒绝提供服务。
2.根据权利要求1所述的DDoS攻击防护方法,其特征在于,所述访问源信息包含IP、URL和/或Refer信息。
3.根据权利要求1或2所述的DDoS攻击防护方法,其特征在于,所述CDN服务器群组为布置在CDN平台上的根据网络类型的不同而划分的多个CDN服务器群组。
4.根据权利要求3所述的DDoS攻击防护方法,其中,所述多个CDN服务器群组中的任一个CDN服务器群组的中心服务器将黑名单下发至该CDN服务器群组中的多个CDN服务器之后,选择性地与其他CDN服务器群组的中心服务器进行黑名单共享。
5.一种用于CDN服务器群组的DDoS攻击防护系统,所述CDN服务器群组包括多个CDN服务器和中心服务器,其中:
每个CDN服务器包括:
采集单元,用于采集访问请求的访问源信息;
发送单元,用于将所述访问源信息发送至中心服务器;
黑名单接收单元;
服务控制单元,用于与所述黑名单接收单元关联,以对落入黑名单的访问源拒绝提供服务,
所述中心服务器包括:
统计单元,用于统计一段时间内每个CDN服务器下对应于同一访问源信息的访问请求的数量;
黑名单生成单元,用于将每个CDN服务器下的对应于同一访问源信息的访问请求的数量大于预定阈值的访问请求确定为DDoS攻击,并相应地基于所述访问请求的访问源信息生成黑名单;
下发单元,用于将所述黑名单下发至所述CDN服务器群组中的所述多个CDN服务器的黑名单接收单元。
6.根据权利要求5所述的DDoS攻击防护系统,其特征在于,所述采集单元为nginx模块。
7.根据权利要求6所述的DDoS攻击防护系统,其特征在于,所述访问源信息包含IP、URL和/或Refer信息。
8.根据权利要求5-7中任一项所述的DDoS攻击防护系统,其中,所述CDN服务器群组为布置在CDN平台上的根据网络类型的不同而划分的多个CDN服务器群组。
9.根据权利要求8所述的DDoS攻击防护系统,其中,所述多个CDN服务器群组中的任一个CDN服务器群组的中心服务器用于成选择性地与其他CDN服务器群组的中心服务器进行黑名单共享。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510828940.4A CN105897674A (zh) | 2015-11-25 | 2015-11-25 | 用于CDN服务器群组的DDoS攻击防护方法及系统 |
| PCT/CN2016/083250 WO2017088397A1 (zh) | 2015-11-25 | 2016-05-25 | 用于CDN服务器群组的DDoS攻击防护方法及系统 |
| US15/252,953 US20170149821A1 (en) | 2015-11-25 | 2016-08-31 | Method And System For Protection From DDoS Attack For CDN Server Group |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510828940.4A CN105897674A (zh) | 2015-11-25 | 2015-11-25 | 用于CDN服务器群组的DDoS攻击防护方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105897674A true CN105897674A (zh) | 2016-08-24 |
Family
ID=57002825
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510828940.4A Pending CN105897674A (zh) | 2015-11-25 | 2015-11-25 | 用于CDN服务器群组的DDoS攻击防护方法及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN105897674A (zh) |
| WO (1) | WO2017088397A1 (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106506547A (zh) * | 2016-12-23 | 2017-03-15 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法、waf、路由器及系统 |
| CN108040039A (zh) * | 2017-11-28 | 2018-05-15 | 深信服科技股份有限公司 | 一种识别攻击源信息的方法、装置、设备及系统 |
| CN108322463A (zh) * | 2018-01-31 | 2018-07-24 | 平安科技(深圳)有限公司 | DDoS攻击检测方法、装置、计算机设备和存储介质 |
| CN108471428A (zh) * | 2018-06-27 | 2018-08-31 | 北京云端智度科技有限公司 | 应用于CDN系统内的DDoS攻击主动防御技术及装备 |
| CN109361779A (zh) * | 2018-10-22 | 2019-02-19 | 江苏满运软件科技有限公司 | 分布式系统中域名的管理方法及系统、节点服务器 |
| CN109617913A (zh) * | 2019-01-15 | 2019-04-12 | 成都知道创宇信息技术有限公司 | 一种快速定位多用户共享节点DDoS攻击的管理方法 |
| CN110365712A (zh) * | 2019-08-22 | 2019-10-22 | 中国工商银行股份有限公司 | 一种分布式拒绝服务攻击的防御方法及系统 |
| CN110535857A (zh) * | 2019-08-29 | 2019-12-03 | 中国工商银行股份有限公司 | 防护网络攻击的方法和装置 |
| CN111181911A (zh) * | 2019-08-23 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 一种口令爆破攻击的防护方法、服务器、设备及介质 |
| CN111193692A (zh) * | 2018-11-15 | 2020-05-22 | 北京金山云网络技术有限公司 | 请求响应方法、装置、边缘节点和鉴权系统 |
| CN112019533A (zh) * | 2020-08-20 | 2020-12-01 | 紫光云(南京)数字技术有限公司 | 一种缓解CDN系统被DDoS攻击的方法及系统 |
| CN116708013A (zh) * | 2023-07-25 | 2023-09-05 | 深圳市锐速云计算有限公司 | 一种DDoS防护方法及装置 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112825517B (zh) * | 2019-11-21 | 2023-01-03 | 上海云盾信息技术有限公司 | 安全加速风控调度方法及设备 |
| CN113765913A (zh) * | 2021-09-02 | 2021-12-07 | 云宏信息科技股份有限公司 | Tomcat服务器配置访问黑名单的方法、存储介质和Tomcat服务器 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040019781A1 (en) * | 2002-07-29 | 2004-01-29 | International Business Machines Corporation | Method and apparatus for improving the resilience of content distribution networks to distributed denial of service attacks |
| CN102137111A (zh) * | 2011-04-20 | 2011-07-27 | 北京蓝汛通信技术有限责任公司 | 一种防御cc攻击的方法、装置和内容分发网络服务器 |
| CN102916959A (zh) * | 2012-10-16 | 2013-02-06 | 百度在线网络技术(北京)有限公司 | 云环境中的黑名单同步方法和装置 |
| CN103023924A (zh) * | 2012-12-31 | 2013-04-03 | 网宿科技股份有限公司 | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 |
| CN103442018A (zh) * | 2013-09-17 | 2013-12-11 | 网宿科技股份有限公司 | Cc攻击的动态防御方法和系统 |
| CN104065644A (zh) * | 2014-05-28 | 2014-09-24 | 北京知道创宇信息技术有限公司 | 基于日志分析的cc攻击识别方法和设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100900491B1 (ko) * | 2008-12-02 | 2009-06-03 | (주)씨디네트웍스 | 분산 서비스 거부 공격의 차단 방법 및 장치 |
-
2015
- 2015-11-25 CN CN201510828940.4A patent/CN105897674A/zh active Pending
-
2016
- 2016-05-25 WO PCT/CN2016/083250 patent/WO2017088397A1/zh active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040019781A1 (en) * | 2002-07-29 | 2004-01-29 | International Business Machines Corporation | Method and apparatus for improving the resilience of content distribution networks to distributed denial of service attacks |
| CN102137111A (zh) * | 2011-04-20 | 2011-07-27 | 北京蓝汛通信技术有限责任公司 | 一种防御cc攻击的方法、装置和内容分发网络服务器 |
| CN102916959A (zh) * | 2012-10-16 | 2013-02-06 | 百度在线网络技术(北京)有限公司 | 云环境中的黑名单同步方法和装置 |
| CN103023924A (zh) * | 2012-12-31 | 2013-04-03 | 网宿科技股份有限公司 | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 |
| CN103442018A (zh) * | 2013-09-17 | 2013-12-11 | 网宿科技股份有限公司 | Cc攻击的动态防御方法和系统 |
| CN104065644A (zh) * | 2014-05-28 | 2014-09-24 | 北京知道创宇信息技术有限公司 | 基于日志分析的cc攻击识别方法和设备 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106506547B (zh) * | 2016-12-23 | 2020-07-10 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法、waf、路由器及系统 |
| CN106506547A (zh) * | 2016-12-23 | 2017-03-15 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法、waf、路由器及系统 |
| CN108040039A (zh) * | 2017-11-28 | 2018-05-15 | 深信服科技股份有限公司 | 一种识别攻击源信息的方法、装置、设备及系统 |
| WO2019148714A1 (zh) * | 2018-01-31 | 2019-08-08 | 平安科技(深圳)有限公司 | DDoS攻击检测方法、装置、计算机设备和存储介质 |
| CN108322463A (zh) * | 2018-01-31 | 2018-07-24 | 平安科技(深圳)有限公司 | DDoS攻击检测方法、装置、计算机设备和存储介质 |
| CN108471428A (zh) * | 2018-06-27 | 2018-08-31 | 北京云端智度科技有限公司 | 应用于CDN系统内的DDoS攻击主动防御技术及装备 |
| CN108471428B (zh) * | 2018-06-27 | 2021-05-28 | 北京云端智度科技有限公司 | 应用于CDN系统内的DDoS攻击主动防御技术及装备 |
| CN109361779A (zh) * | 2018-10-22 | 2019-02-19 | 江苏满运软件科技有限公司 | 分布式系统中域名的管理方法及系统、节点服务器 |
| CN111193692A (zh) * | 2018-11-15 | 2020-05-22 | 北京金山云网络技术有限公司 | 请求响应方法、装置、边缘节点和鉴权系统 |
| CN109617913A (zh) * | 2019-01-15 | 2019-04-12 | 成都知道创宇信息技术有限公司 | 一种快速定位多用户共享节点DDoS攻击的管理方法 |
| CN109617913B (zh) * | 2019-01-15 | 2021-04-27 | 成都知道创宇信息技术有限公司 | 一种快速定位多用户共享节点DDoS攻击的管理方法 |
| CN110365712A (zh) * | 2019-08-22 | 2019-10-22 | 中国工商银行股份有限公司 | 一种分布式拒绝服务攻击的防御方法及系统 |
| CN111181911A (zh) * | 2019-08-23 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 一种口令爆破攻击的防护方法、服务器、设备及介质 |
| CN110535857A (zh) * | 2019-08-29 | 2019-12-03 | 中国工商银行股份有限公司 | 防护网络攻击的方法和装置 |
| CN112019533A (zh) * | 2020-08-20 | 2020-12-01 | 紫光云(南京)数字技术有限公司 | 一种缓解CDN系统被DDoS攻击的方法及系统 |
| CN116708013A (zh) * | 2023-07-25 | 2023-09-05 | 深圳市锐速云计算有限公司 | 一种DDoS防护方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017088397A1 (zh) | 2017-06-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105897674A (zh) | 用于CDN服务器群组的DDoS攻击防护方法及系统 | |
| Somani et al. | DDoS attacks in cloud computing: Issues, taxonomy, and future directions | |
| US9130977B2 (en) | Techniques for separating the processing of clients' traffic to different zones | |
| US20120324572A1 (en) | Systems and methods that perform application request throttling in a distributed computing environment | |
| US9536077B2 (en) | Method for detecting attacks and for protection | |
| Shawahna et al. | EDoS-ADS: An enhanced mitigation technique against economic denial of sustainability (EDoS) attacks | |
| CN107968785A (zh) | 一种SDN数据中心中防御DDoS攻击的方法 | |
| US9621577B2 (en) | Mitigation of computer network attacks | |
| Zarrabi et al. | Internet intrusion detection system service in a cloud | |
| EP3804227B1 (en) | Monitoring connectivity and latency of a virtual network | |
| US10951646B2 (en) | Biology based techniques for handling information security and privacy | |
| CN110798482B (zh) | 基于linux网络过滤器的系统级蜜罐网络隔离系统 | |
| CN108574668B (zh) | 一种基于机器学习的DDoS攻击流量峰值预测方法 | |
| US10904288B2 (en) | Identifying and deceiving adversary nodes and maneuvers for attack deception and mitigation | |
| CN105516189A (zh) | 基于大数据平台的网络安全实施系统及方法 | |
| CN106685974A (zh) | 一种安全防护服务建立、提供方法及装置 | |
| CN108632634A (zh) | 一种直播服务的提供方法及装置 | |
| KR101460651B1 (ko) | 클라우드 컴퓨팅 기반 서버 부하 분산 장치 및 방법 | |
| US20170149821A1 (en) | Method And System For Protection From DDoS Attack For CDN Server Group | |
| US9380067B2 (en) | IPS detection processing method, network security device, and system | |
| CN105656843A (zh) | 基于验证的应用层防护方法、装置及网络设备 | |
| CN114221815A (zh) | 一种基于编排蜜网的入侵检测方法、存储介质及系统 | |
| Köksal et al. | Distributed denial‐of‐service attack mitigation in network functions virtualization‐based 5G networks using management and orchestration | |
| JP6538618B2 (ja) | 管理装置及び管理方法 | |
| CN110213301A (zh) | 一种转移网络攻击面的方法、服务器和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160824 |