CN106302313B - 基于调度系统的DDoS防御方法和DDoS防御系统 - Google Patents
基于调度系统的DDoS防御方法和DDoS防御系统 Download PDFInfo
- Publication number
- CN106302313B CN106302313B CN201510245941.6A CN201510245941A CN106302313B CN 106302313 B CN106302313 B CN 106302313B CN 201510245941 A CN201510245941 A CN 201510245941A CN 106302313 B CN106302313 B CN 106302313B
- Authority
- CN
- China
- Prior art keywords
- address
- ddos
- user terminal
- scheduling
- business objective
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提出一种基于调度系统的分布式拒绝服务DDoS防御方法和DDoS防御系统,其中,该方法包括以下步骤:当监测到对第一IP地址的DDoS攻击时,获取当前可用的第二IP地址;当接收到访问第一IP地址的用户终端发送的调度请求时,将第二IP地址返回至用户终端,以使用户终端通过第二IP地址访问业务目标。本申请实施例的基于调度系统的DDoS防御方法,能够减小DDoS攻击的影响至可控范围,降低防御成本,同时大大减小了因误杀对用户访问业务目标造成的影响,改善了受DDoS攻击用户的体验效果。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种基于调度系统的DDoS防御方法和一种DDoS防御系统。
背景技术
DDoS(Distributed Denial of Service,分布式拒绝服务)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。DDoS攻击的原理是找到被攻击者的资源瓶颈,通过消耗资源的方式达到使被攻击者业务不可用的目的。目前相关的防御方案包括:
DDoS流量清洗:目前最常用的防御DDoS方法,通过DDoS检测设备发现DDoS攻击并预警,当发现DDoS攻击时通知旁路的流量清洗设备牵引被攻击目的IP的流量,清洗攻击流量,回注正常流量。但DDoS流量清洗为防御更高级别的DDoS攻击而不断升级的清洗设备和带宽容量带来成本的大幅攀升,而且在清洗中伴随的误杀和漏杀对正常的业务访问造成影响。
在运营商网络发布黑洞路由:当攻击流量超过业务方的承受范围时,为了不影响同一机房的其他业务,业务方有时会通过在运营商网络中发布黑洞路由的方式屏蔽被攻击IP的访问,在骨干网丢弃所有的DDoS流量。但同时限制了正常的业务访问,即使通过DNS(Domain Name System,域名系统)等方式更改了访问IP,也会在一段时间内导致部分业务完全不可用。
CDN(Content Delivery Network,内容分发网络):CDN通过提供大量的缓存代理节点优化用户访问,由于采用了分布式节点,DDoS攻击造成的影响比较有限,往往只会影响某一个或几个地区的访问。但CDN对于静态资源的DDoS防御效果很好,而对于常见的动态资源,该方法会引起大量的回源访问,导致大量误杀的同时占用了大量的带宽。
综上所述,有待提出一种对业务访问影响小且高效、误杀漏杀率低的DDoS防御技术。
发明内容
本申请旨在至少在一定程度上解决相关技术中的技术问题之一。为此,本申请的第一方面的目的在于提出一种基于调度系统的分布式拒绝服务DDoS防御方法,能够减小DDoS攻击的影响至可控范围,降低防御成本,并大大改善受DDoS攻击用户的体验效果。
本申请第二方面的目的在于提出一种DDoS防御系统。
为达上述目的,根据本申请第一方面实施例提出的一种基于调度系统的分布式拒绝服务DDoS防御方法,其中所述调度系统为业务目标分配多个IP地址,以使用户终端通过所述多个IP地址访问所述业务目标,所述方法包括以下步骤:当监测到对第一IP地址的DDoS攻击时,获取当前可用的第二IP地址;当接收到访问所述第一IP地址的用户终端发送的调度请求时,将所述第二IP地址返回至所述用户终端,以使所述用户终端通过所述第二IP地址访问所述业务目标。
本申请实施例的基于调度系统的DDoS防御方法,可为业务目标分配多个IP地址,当其中的第一IP地址受到DDoS攻击时,如果接受到对第一IP地址的访问请求,可返回当前可用的第二IP地址,由此,业务目标通过将用户访问流量分散到多个IP地址,在其中一个IP地址收到攻击时,只是一部分用户受到影响,减小了影响范围;可通过切换IP地址,使用户终端通过未受DDoS攻击的IP地址进行访问,从而直接避开与攻击者争抢资源,降低了防御成本;用户可通过切换后的IP地址继续访问业务目标,绝大部分用户在受到DDoS攻击时不会受到明显影响,同时大大减小了因误杀对用户访问业务目标造成的影响,提高了用户体验。
根据本申请第二方面实施例提出的一种DDoS防御系统,其中所述系统为业务目标分配多个IP地址,以使用户终端通过所述多个IP地址访问所述业务目标,所述系统包括:获取模块,用于当监测到对第一IP地址的DDoS攻击时,获取当前可用的第二IP地址;返回模块,用于当接收到访问所述第一IP地址的用户终端发送的调度请求时,将所述第二IP地址返回至所述用户终端,以使所述用户终端通过所述第二IP地址访问所述业务目标。
根据本申请实施例的DDoS防御系统,可为业务目标分配多个IP地址,当其中的第一IP地址受到DDoS攻击时,如果接受到对第一IP地址的访问请求,可返回当前可用的第二IP地址,由此,业务目标通过将用户访问流量分散到多个IP地址,在其中一个IP地址收到攻击时,只是一部分用户受到影响,减小了影响范围;可通过切换IP地址,使用户终端通过未受DDoS攻击的IP地址进行访问,从而直接避开与攻击者争抢资源,降低了防御成本;用户可通过切换后的IP地址继续访问业务目标,绝大部分用户在受到DDoS攻击时不会受到明显影响,同时大大减小了因误杀对用户访问业务目标造成的影响,提高了用户体验。
附图说明
本申请的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1为根据本申请一个实施例的基于调度系统的分布式拒绝服务DDoS防御方法的流程图;
图2为根据本申请一个实施例的基于调度系统的分布式拒绝服务DDoS防御过程的示意图;
图3为根据本申请另一个实施例的基于调度系统的分布式拒绝服务DDoS防御方法的流程图;
图4为根据本申请一个实施例的调度系统工作示意图;
图5为根据本申请一个实施例的通过DNS解析方式接收调度请求和返回第二IP地址示意图;
图6为根据本申请一个实施例的通过CDN方式接收调度请求和返回第二IP地址的示意图;
图7为根据本申请一个实施例的DDoS防御系统的结构框图;
图8为根据本申请另一个实施例的DDoS防御系统的结构框图;
图9为根据本申请又一个实施例的DDoS防御系统的结构框图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本申请,而不能理解为对本申请的限制。
下面参考附图描述根据本申请实施例的基于调度系统的分布式拒绝服务DDoS防御方法和DDoS防御系统。
图1为根据本申请一个实施例的基于调度系统的分布式拒绝服务DDoS防御方法的流程图。
图2为根据本申请一个实施例的基于调度系统的分布式拒绝服务DDoS防御过程的示意图。
如图1所示,根据本申请实施例的基于调度系统的分布式拒绝服务DDoS防御方法,包括以下步骤:
S101,当监测到对第一IP地址的DDoS攻击时,获取当前可用的第二IP地址。
在本申请的一个实施例中,如图2所示,调度系统可为业务目标分配多个IP地址。业务目标为用户终端的访问目标,例如可以是服务器等。具体地,调度系统隐藏了业务目标的真实IP地址,并为业务目标分配多个IP地址,以使用户终端通过多个IP地址访问业务目标,从而将用户终端对业务目标的访问流量分散到多个IP地址上。
调度系统可监测多个IP地址的状态,当监测到对第一IP地址的DDoS攻击时,获取当前可用的第二IP地址。其中,获取当前可用的第二IP地址可具体包括:
分别判断每个当前可用IP地址是否受到DDoS攻击或者被黑洞。其中,IP地址是否受到DDoS攻击或者被黑洞可通过监测多个IP地址的流量状态来判断。更具体地,监测多个IP地址的流量状态,并判断每个IP地址的流量状态是否出现异常,如果出现异常,则判断流量出现异常的IP地址受到DDoS攻击或者被黑洞。
根据判断结果获取未受到DDoS攻击且未被黑洞的至少一个IP地址,并从至少一个IP地址中选择一个作为第二IP地址。
具体地,可将至少一个IP地址中资源空闲最多的IP地址作为第二IP地址,或者将与用户终端的IP地址距离最近的IP地址作为第二IP地址,当然,也可通过其他方式从至少一个IP地址中选择第二IP地址,本申请对此不作限定。
S102,当接收到访问第一IP地址的用户终端发送的调度请求时,将第二IP地址返回至用户终端,以使用户终端通过第二IP地址访问业务目标。
如图2所示,调度系统接收到来自用户终端1的访问IP地址1的请求后,由于IP地址1正在遭受来自肉鸡的DDoS攻击,调度系统将IP地址2返回至用户终端,使用户终端通过IP地址2访问业务目标。由于用户终端1未能成功通过IP地址1访问业务目标,用户终端1访问IP地址1的过程用虚线箭头表示。其中,肉鸡也称傀儡机,是指可以被黑客远程控制的机器。肉鸡通常被用来发动DDoS攻击。
本申请实施例的基于调度系统的分布式拒绝服务DDoS防御方法,可为业务目标分配多个IP地址,当其中的第一IP地址受到DDoS攻击时,如果接受到对第一IP地址的访问请求,可返回当前可用的第二IP地址,由此,业务目标通过将用户访问流量分散到多个IP地址,在其中一个IP地址收到攻击时,只是一部分用户受到影响,减小了影响范围;可通过切换IP地址,使用户终端通过未受DDoS攻击的IP地址进行访问,从而直接避开与攻击者争抢资源,降低了防御成本;用户可通过切换后的IP地址继续访问业务目标,绝大部分用户在受到DDoS攻击时不会受到明显影响,同时大大减小了因误杀对用户访问业务目标造成的影响,提高了用户体验。
在本申请的一个实施例中,在用户终端通过第二IP地址访问业务目标之后,还可包括:通过发布黑洞路由屏蔽第一IP地址,具体指admin将接到的某个源地址转向null0接口。在本申请的一个实施例中,由于被黑洞的IP地址已确定且不再使用,而是通过可用的第二IP地址访问业务目标,所以不会终止正常的用户终端对业务目标的访问。在所有访问第一IP地址的用户终端通过第二IP地址访问业务目标之后,通过发布黑洞路由屏蔽所述第一IP地址,使得DDoS流量立即失效,从而不需要和攻击者拼资源,降低防御成本。
在本申请的一个实施例中,如果获取到多个可用的IP地址,则对多个可用的IP地址进一步进行筛选。举例来说,可根据每个IP地址的CPU空闲量、宽带空闲量、上一次调度时间以及与用户终端所在IP地址的距离等进行筛选。
图3为根据本申请的另一个实施例的基于调度系统的分布式拒绝服务DDoS防御方法的流程图。
如图3所示,基于调度系统的DDoS防御方法可包括以下步骤:
S301,当监测到对第一IP地址的DDoS攻击时,分别判断每个当前可用IP地址是否受到DDoS攻击或者被黑洞。
在本申请的一个实施例中,如图2所示,调度系统为业务目标分配多个IP地址。业务目标为用户终端的访问目标,例如可以是服务器等。具体地,调度系统隐藏了业务目标的真实IP地址,并为业务目标分配多个IP地址,以使用户终端通过多个IP地址访问业务目标,从而将用户终端对业务目标的访问流量分散到多个IP地址上。
调度系统可监测多个IP地址的状态,当监测到对第一IP地址的DDoS攻击时,分别判断每个当前可用IP地址是否受到DDoS攻击或者被黑洞。其中,IP地址是否受到DDoS攻击或者被黑洞可通过监测多个IP地址的流量状态来判断。更具体地,监测多个IP地址的流量状态,并判断每个IP地址的流量状态是否出现异常,如果出现异常,则判断流量出现异常的IP地址受到DDoS攻击或者被黑洞。
S302,根据判断结果获取未受到DDoS攻击且未被黑洞的至少一个IP地址。
S303,获取未受到DDoS攻击且未被黑洞的至少一个IP地址的CPU空闲排名、宽带空闲排名、与用户终端的IP地址的距离和上一次的调度时间。
在本申请的一个实施例中,调度系统可对每个IP地址的CPU空闲排名、宽带空闲排名、与用户终端的IP地址的距离和上一次的调度时间进行监测。从而,可通过调度系统获取未受到DDoS攻击且未被黑洞的至少一个IP地址的CPU空闲排名、宽带空闲排名、与用户终端的IP地址的距离和上一次的调度时间。
图4为根据本申请一个实施例的调度系统工作示意图。如图4所示,调度系统可包括流量监测模块、IP地址健康检查模块、IP地址区域信息模块和调度模块。
其中,流量监测模块用于监测多个IP地址的流量状态,并以此确定可用的至少一个IP地址。IP地址健康检查模块用于检查至少一个IP地址的CPU空闲、宽带空闲状况。IP地址区域信息模块用于提供至少一个IP地址的区域信息,以确定至少一个IP地址与用户终端IP地址的距离。调度模块用于记录用户终端每次调用IP地址的调度时间。由此,调度系统可从DDoS流量监测模块上查询到当前可用IP地址列表后,获取未受到DDoS攻击且未被黑洞的至少一个IP地址,并通过IP地址健康检查模块、IP地址区域信息模块和调度模块获取至少一个IP地址的CPU空闲排名、宽带空闲排名、与用户终端的IP地址的距离和上一次的调度时间。
S304,通过公式(1)计算至少一个IP地址的调度权值,并根据调度权值选择第二IP地址。
W=N*C+P*WB+Q*D+S*T (1)
其中,W为调度权值,C为CPU空闲排名、WB为宽带空闲排名、D为与用户终端的IP地址的距离,T为上一次的调度时间,N、P、Q、S分别为C、WB、D、T的权重系数。计算得到至少一个IP地址的调度权值后,将权值最小的IP作为当前可用的第二IP地址。由公式可知,权值最小,即CPU相对空闲、带宽相对空闲、与用户终端的IP地址的距离相对较小、上一次的调度时间较短。以此保证该第二IP地址为可用最优IP地址。
未受到DDoS攻击且未被黑洞的IP地址皆为可用IP地址,在本申请的一个实施例中,可通过选择调度权值最低的一个IP地址作为第二IP地址来获取可用的最优IP地址。
S305,当接收到访问第一IP地址的用户终端发送的调度请求时,对访问第一IP的用户终端进行身份验证。
在本申请的一个实施例中,当调度系统接收到访问第一IP地址的用户终端发送的调度请求时,可对用户终端进行身份验证。如果用户终端为发动攻击的被黑客控制的机器,则不通过验证,不会将第二IP地址返回至该用户终端。如果用户终端为正常的用户终端,则通过身份验证。具体地,可通过用户终端的身份标识码或者通过校验码对用户终端进行身份验证,具体的验证方式可参照相关技术,在此不再赘述。
S306,在通过身份验证后,将第二IP地址返回至所述用户终端,以使用户终端通过第二IP地址访问业务目标。
如图2所示,调度系统接收到来自用户终端的访问IP地址1的请求后,由于IP地址1正在遭受来自肉鸡的DDoS攻击,调度系统将IP地址2返回至用户终端,使用户终端通过IP地址2访问业务目标。由于用户终端1未能成功通过IP地址1访问业务目标,用户终端1访问IP地址1的过程用虚线箭头表示。其中,肉鸡也称傀儡机,是指可以被黑客远程控制的机器。肉鸡通常被用来发动DDoS攻击。
S307,通过发布黑洞路由屏蔽第一IP地址。
通过发布黑洞路由屏蔽第一IP地址,具体指admin将接到的某个源地址转向null0接口。在本申请的一个实施例中,由于被黑洞的IP地址已确定且不再使用,而是通过可用的第二IP地址访问业务目标,所以不会终止正常的用户终端对业务目标的访问。
在所有访问第一IP地址的用户终端通过第二IP地址访问业务目标之后,通过发布黑洞路由屏蔽第一IP地址,使得DDoS流量立即失效,从而不需要和攻击者拼资源,降低防御成本。
为了避免因调度系统受到攻击而导致业务目标无法正常访问,在本申请的一个实施例中,调度系统接收调度请求和返回第二IP地址可以通过两种不同的方式实现:通过DNS解析方式、通过CDN方式。通过CDN接收调度请求和返回第二IP地址,可快速切换IP地址。但由于CDN基于缓存服务器,只适合用于静态资源,因此该方法只能在用户终端为客户端或者应用程序App的情况下实现。通过DNS解析方式接收调度请求和返回第二IP地址,切换IP地址的速度比通过CDN慢,但是该方法通用性好。
DNS解析是互联网中被广泛应用的寻址方式。具体地,如图5所示,用户终端向调度系统发送DNS请求,由于在该调度系统中,一个域名对应多个IP地址,若第一IP地址受到DDoS攻击,则调度系统获取域名对应的可用第二IP地址并将第二IP地址返回至用户终端,以使用户终端通过第二IP地址访问业务目标。
图6为通过CDN方式接收调度请求和返回第二IP地址的示意图。CDN采用流媒体服务器集群技术,能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。如图6所示,客户端或应用程序App可通过内置的软件API(Application Programming Interface,应用程序编程接口)或者SDK(Software Development Kit,软件开发工具包)的方式,通过发送httpget请求获取IP地址。其中将调度系统的请求响应结果缓存在CDN上,同时隐藏调度系统的真实IP地址,从而可避免调度系统受到攻击。
本申请实施例的基于调度系统的分布式拒绝服务DDoS防御方法,可为业务目标分配多个IP地址,当其中的第一IP地址受到DDoS攻击时,如果接受到对第一IP地址的访问请求,可返回当前可用的第二IP地址,其中当前可用的第二IP地址是对多个可用的IP地址进行进一步筛选而获得。本申请实施例的基于调度系统的DDoS防御方法,能够减小DDoS攻击的影响至可控范围,降低防御成本,并大大减小了因误杀对用户访问业务目标造成的影响,改善了受DDoS攻击用户的体验效果。同时,通过计算调度权值来筛选最优IP地址,提高了调度系统的调度质量,进一步提高了用户体验;通过两种方式实现调度系统接收调度请求和返回第二IP地址,能够有效地防止调度系统受到攻击。
为实现上述实施例,本申请还提出一种DDoS防御系统。
图7为本申请一个实施例的DDoS防御系统的结构框图。
如图7所示,本申请实施例的DDoS防御系统,包括:获取模块10和返回模块20。
在本申请的一个实施例中,获取模块10用于当监测到对第一IP地址的DDoS攻击时,获取当前可用的第二IP地址。
在本申请的一个实施例中,DDoS防御系统的防御过程可参照图2,调度系统为业务目标分配多个IP地址。业务目标为用户终端的访问目标,例如可以是服务器等。具体地,调度系统隐藏了业务目标的真实IP地址,并为业务目标分配多个IP地址,以使用户终端通过多个IP地址访问业务目标,从而将用户终端对业务目标的访问流量分散到多个IP地址上。
获取模块10具体包括判断单元11和选择单元12。
其中判断单元11用于分别判断每个IP地址是否受到DDoS攻击或者被黑洞。其中,IP地址是否受到DDoS攻击或者被黑洞可通过监测多个IP地址的流量状态来判断。更具体地,监测多个IP地址的流量状态,并判断每个IP地址的流量状态是否出现异常,如果出现异常,则判断流量出现异常的IP地址受到DDoS攻击或者被黑洞。
选择单元12用于根据判断结果获取未受到DDoS攻击且未被黑洞的至少一个IP地址,并从至少一个IP地址中选择第二IP地址。
未受到DDoS攻击且未被黑洞的IP地址皆为可用IP地址,在本申请的一个实施例中,可通过选择调度权值最低的一个IP地址作为第二IP地址来获取可用的最优IP地址。在本申请的一个实施例中,选择单元12具体用于:
获取未受到DDoS攻击且未被黑洞的至少一个IP地址的CPU空闲排名、宽带空闲排名、与用户终端的IP地址的距离和上一次的调度时间。
在本申请的一个实施例中,DDoS防御系统可对每个IP地址的CPU空闲排名、宽带空闲排名、与用户终端的IP地址的距离和上一次的调度时间进行监测。从而,可通过调度系统获取未受到DDoS攻击且未被黑洞的至少一个IP地址的CPU空闲排名、宽带空闲排名、与用户终端的IP地址的距离和上一次的调度时间。
具体地,DDoS防御系统的工作过程可参照图4所示的调度系统的工作过程,如图4所示,调度系统可包括流量监测模块、IP地址健康检查模块、IP地址区域信息模块和调度模块。
其中,流量监测模块用于监测多个IP地址的流量状态,并以此确定可用的至少一个IP地址。IP地址健康检查模块用于检查至少一个IP地址的CPU空闲、宽带空闲状况。IP地址区域信息模块用于提供至少一个IP地址的区域信息,以确定至少一个IP地址与用户终端IP地址的距离。调度模块用于记录用户终端每次调用IP地址的调度时间。由此,DDoS防御系统可从DDoS流量监测模块上查询到当前可用IP地址列表后,获取未受到DDoS攻击且未被黑洞的至少一个IP地址,并通过IP地址健康检查模块、IP地址区域信息模块和调度模块获取至少一个IP地址的CPU空闲排名、宽带空闲排名、与用户终端的IP地址的距离和上一次的调度时间。通过公式(1)计算至少一个IP地址的调度权值,并根据调度权值选择第二IP地址。
W=N*C+P*WB+Q*D+S*T (1)
其中,W为调度权值,C为CPU空闲排名、WB为宽带空闲排名、D为与用户终端的IP地址的距离,T为上一次的调度时间,N、P、Q、S分别为C、WB、D、T的权重系数。计算得到至少一个IP地址的调度权值后,将权值最小的IP作为当前可用的第二IP地址。由公式可知,权值最小,即CPU相对空闲、带宽相对空闲、与用户终端的IP地址的距离相对较小、上一次的调度时间较短。以此保证该第二IP地址为可用最优IP地址。
在本申请的一个实施例中,返回模块20用于当接收到访问第一IP地址的用户终端发送的调度请求时,将第二IP地址返回至用户终端,以使用户终端通过第二IP地址访问所述业务目标。
在本申请的一个实施例中,如图8所示,该系统还可包括黑洞模块30,黑洞模块30用于在所有访问第一IP地址的用户终端通过第二IP地址访问业务目标之后,通过发布黑洞路由屏蔽第一IP地址,使得DDoS流量立即失效,从而不需要和攻击者拼资源,降低防御成本。
其中,通过发布黑洞路由屏蔽第一IP地址,具体指admin将接到的某个源地址转向null0接口。在本申请的一个实施例中,由于被黑洞的IP地址已确定且不再使用,而是通过可用的第二IP地址访问业务目标,所以不会终止正常的用户终端对业务目标的访问。
如图9所示,根据本申请实施例的DDoS防御系统,还可包括:验证模块40。
验证模块40用于:当DDoS防御系统接收到访问第一IP地址的用户终端发送的调度请求时,对用户终端进行身份验证。如果用户终端为发动攻击的被黑客控制的机器,则不通过验证,不会将第二IP地址返回至该用户终端。如果用户终端为正常的用户终端,则通过身份验证。具体地,可通过用户终端的身份标识码或者通过校验码对用户终端进行身份验证,具体的验证方式可参照相关技术,在此不再赘述。
返回模块20在用户终端通过身份验证后,将第二IP地址返回至用户终端,以使用户终端通过第二IP地址访问业务目标。通过对用户终端进行身份验证,可在一定程度上防止业务目标遭受攻击。
为了避免因DDoS防御系统受到攻击而导致业务目标无法正常访问,在本申请的一个实施例中,DDoS防御系统接收调度请求和返回第二IP地址可以通过两种不同的方式实现:通过DNS解析方式、通过CDN方式。通过CDN接收调度请求和返回第二IP地址,可快速切换IP地址。但由于CDN基于缓存服务器,只适合用于静态资源,因此该方法只能在用户终端为客户端或者应用程序App的情况下实现。通过DNS解析方式接收调度请求和返回第二IP地址,切换IP地址的速度比通过CDN慢,但是该方法通用性好。
DNS解析是互联网中被广泛应用的寻址方式。具体地,可参照图5,用户终端向DDoS防御系统发送DNS请求,由于在该DDoS防御系统中,一个域名对应多个IP地址,若第一IP地址受到DDoS攻击,则DDoS防御系统获取域名对应的可用第二IP地址并将第二IP地址返回至用户终端,以使用户终端通过第二IP地址访问业务目标。
CDN采用流媒体服务器集群技术,能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。具体地,可参照图6,客户端或应用程序App可通过内置的软件API(ApplicationProgramming Interface,应用程序编程接口)或者SDK(Software Development Kit,软件开发工具包)的方式,通过发送http get请求获取IP地址。其中将调度系统的请求响应结果缓存在CDN上,同时隐藏调度系统的真实IP地址,从而可避免调度系统受到攻击。
本申请实施例的DDoS防御系统,可为业务目标分配多个IP地址,当其中的第一IP地址受到DDoS攻击时,如果接受到对第一IP地址的访问请求,可返回当前可用的第二IP地址,其中当前可用的第二IP地址是对多个可用的IP地址进行进一步筛选而获得。本申请实施例的基于调度系统的DDoS防御方法,能够减小DDoS攻击的影响至可控范围,降低防御成本,并大大减小了因误杀对用户访问业务目标造成的影响,改善了受DDoS攻击用户的体验效果。同时,通过计算调度权值来筛选最优IP地址,提高了调度系统的调度质量,进一步提高了用户体验;通过两种方式实现调度系统接收调度请求和返回第二IP地址,能够有效地防止调度系统受到攻击。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本申请各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本申请的实施例,本领域的普通技术人员可以理解:在不脱离本申请的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本申请的范围由权利要求及其等同限定。
Claims (14)
1.一种基于调度系统的分布式拒绝服务DDoS防御方法,其特征在于,所述调度系统为业务目标分配多个IP地址,以使用户终端通过所述多个IP地址访问所述业务目标,所述方法包括以下步骤:
当监测到对第一IP地址的DDoS攻击时,获取当前可用的第二IP地址,其中,所述获取当前可用的第二IP地址具体包括:分别判断每个当前可用IP地址是否受到DDoS攻击或者被黑洞;根据判断结果获取未受到DDoS攻击且未被黑洞的至少一个IP地址,并从所述至少一个IP地址中选择所述第二IP地址;以及
当接收到访问所述第一IP地址的用户终端发送的调度请求时,将所述第二IP地址返回至所述用户终端,以使所述用户终端通过所述第二IP地址访问所述业务目标。
2.如权利要求1所述的基于调度系统的DDoS防御方法,其特征在于,在所述用户终端通过所述第二IP地址访问所述业务目标之后,还包括:
通过发布黑洞路由屏蔽所述第一IP地址。
3.如权利要求1所述的基于调度系统的DDoS防御方法,其特征在于,所述从所述至少一个IP地址中选择所述第二IP地址具体包括:
获取所述至少一个IP地址的CPU空闲排名、宽带空闲排名、与所述用户终端的IP地址的距离和上一次的调度时间;
通过以下公式计算所述至少一个IP地址的调度权值,并根据所述调度权值选择所述第二IP地址:
W=N*C+P*WB+Q*D+S*T
其中,W为所述调度权值,C为所述CPU空闲排名、WB为所述宽带空闲排名、D为与所述用户终端的IP地址的距离,T为所述上一次的调度时间,N、P、Q、S分别为C、WB、D、T的权重系数。
4.如权利要求1所述的基于调度系统的DDoS防御方法,其特征在于,所述调度系统具有所述多个IP的域名系统DNS,所述调度系统通过DNS解析方式接收所述调度请求以及返回所述第二IP地址。
5.如权利要求1所述的基于调度系统的DDoS防御方法,其特征在于,
如果所述用户终端为客户端或者应用程序App,则所述调度系统通过内容分发网络CDN接收所述调度请求以及返回所述第二IP地址。
6.如权利要求1所述的基于调度系统的DDoS防御方法,其特征在于,其中,如果IP地址的流量状态出现异常,则判断该流量出现异常的IP地址受到服务DDoS攻击。
7.如权利要求1所述的基于调度系统的DDoS防御方法,其特征在于,在当接收到访问所述第一IP地址的用户终端的调度请求之后还包括:
对所述用户终端进行身份验证;
其中,在通过身份验证后,将所述第二IP地址返回至所述用户终端。
8.一种分布式拒绝服务DDoS防御系统,其特征在于,所述系统为业务目标分配多个IP地址,以使用户终端通过所述多个IP地址访问所述业务目标,所述系统包括:
获取模块,用于当监测到对第一IP地址的DDoS攻击时,获取当前可用的第二IP地址,其中,所述获取模块具体包括:判断单元,用于分别判断每个当前可用IP地址是否受到DDoS攻击或者被黑洞;选择单元,用于根据判断结果获取未受到DDoS攻击且未被黑洞的至少一个IP地址,并从所述至少一个IP地址中选择所述第二IP地址;
返回模块,用于当接收到访问所述第一IP地址的用户终端发送的调度请求时,将所述第二IP地址返回至所述用户终端,以使所述用户终端通过所述第二IP地址访问所述业务目标。
9.如权利要求8所述的DDoS防御系统,其特征在于,还包括:
黑洞模块,用于在所述用户终端通过所述第二IP地址访问所述业务目标之后,通过发布黑洞路由屏蔽所述第一IP地址。
10.如权利要求8所述的DDoS防御系统,其特征在于,所述选择单元具体用于:
获取所述至少一个IP地址的CPU空闲排名、宽带空闲排名、与所述用户终端的IP地址的距离和上一次的调度时间;
通过以下公式计算所述至少一个IP地址的调度权值,并根据所述调度权值选择所述第二IP地址:
W=N*C+P*WB+Q*D+S*T
其中,W为所述调度权值,C为所述CPU空闲排名、WB为所述宽带空闲排名、D为与所述用户终端的IP地址的距离,T为所述上一次的调度时间,N、P、Q、S分别为C、WB、D、T的权重系数。
11.如权利要求8所述的DDoS防御系统,其特征在于,所述系统具有所述多个IP的域名系统DNS,所述系统通过DNS解析方式接收所述调度请求以及返回所述第二IP地址。
12.如权利要求8所述的DDoS防御系统,其特征在于,如果所述用户终端为客户端或者应用程序App,则所述系统通过内容分发网络CDN接收所述调度请求以及返回所述第二IP地址。
13.如权利要求8所述的DDoS防御系统,其特征在于,其中,如果IP地址的流量状态出现异常,则判断该流量出现异常的IP地址受到服务DDoS攻击。
14.如权利要求8所述的DDoS防御系统,其特征在于,还包括:
验证模块,用于对所述用户终端进行身份验证;
其中,所述返回模块在所述用户终端在通过身份验证后,将所述第二IP地址返回至所述用户终端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510245941.6A CN106302313B (zh) | 2015-05-14 | 2015-05-14 | 基于调度系统的DDoS防御方法和DDoS防御系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510245941.6A CN106302313B (zh) | 2015-05-14 | 2015-05-14 | 基于调度系统的DDoS防御方法和DDoS防御系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106302313A CN106302313A (zh) | 2017-01-04 |
CN106302313B true CN106302313B (zh) | 2019-10-08 |
Family
ID=57630976
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510245941.6A Active CN106302313B (zh) | 2015-05-14 | 2015-05-14 | 基于调度系统的DDoS防御方法和DDoS防御系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106302313B (zh) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107294922A (zh) * | 2016-03-31 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 一种应对网络攻击的网络地址调度方法及装置 |
CN106941505A (zh) * | 2017-05-16 | 2017-07-11 | 成都迈瑞科科技有限公司 | 一种防御ddos攻击的方法及其系统 |
CN109218250A (zh) * | 2017-06-29 | 2019-01-15 | 北京多点在线科技有限公司 | 基于故障自动迁移系统的ddos防御方法及系统 |
RU2676021C1 (ru) * | 2017-07-17 | 2018-12-25 | Акционерное общество "Лаборатория Касперского" | Система и способ определения DDoS-атак |
CN109391600B (zh) * | 2017-08-10 | 2021-08-13 | 东软集团股份有限公司 | 分布式拒绝服务攻击防护方法、装置、系统、介质及设备 |
CN107277074A (zh) * | 2017-08-17 | 2017-10-20 | 无锡江南影视传播有限公司 | 一种防止网络攻击的方法和设备 |
CN109951426B (zh) * | 2017-12-21 | 2021-10-15 | 阿里巴巴集团控股有限公司 | 异常域名确定方法、异常流量处理方法、装置及系统 |
CN110611723B (zh) * | 2018-06-15 | 2021-05-11 | 华为技术有限公司 | 一种服务资源的调度方法及装置 |
CN110753022A (zh) * | 2018-07-24 | 2020-02-04 | 上海来三网络科技有限公司 | Ddos大流量防御架构 |
CN109617913B (zh) * | 2019-01-15 | 2021-04-27 | 成都知道创宇信息技术有限公司 | 一种快速定位多用户共享节点DDoS攻击的管理方法 |
CN110138783A (zh) * | 2019-05-15 | 2019-08-16 | 重庆八戒电子商务有限公司 | 一种基于云计算平台处理DDoS攻击的方法 |
CN110535857B (zh) * | 2019-08-29 | 2022-07-22 | 中国工商银行股份有限公司 | 防护网络攻击的方法和装置 |
CN110855633B (zh) * | 2019-10-24 | 2021-10-15 | 华为终端有限公司 | Ddos攻击的防护方法、装置、系统、通信设备和存储介质 |
CN112825517B (zh) * | 2019-11-21 | 2023-01-03 | 上海云盾信息技术有限公司 | 安全加速风控调度方法及设备 |
CN113315743B (zh) * | 2020-02-27 | 2023-04-18 | 阿里巴巴集团控股有限公司 | 防御处理方法、装置、设备和存储介质 |
CN113242210B (zh) * | 2021-04-09 | 2023-03-24 | 杭州闪电玩网络科技有限公司 | 一种基于用户等级分流的防DDoS方法和系统 |
CN116155545B (zh) * | 2022-12-21 | 2023-08-04 | 广东天耘科技有限公司 | 使用多叉树和蜜罐系统构架的动态DDos防御方法和系统 |
CN116827684B (zh) * | 2023-08-25 | 2023-11-21 | 卓望数码技术(深圳)有限公司 | DDoS攻击防御方法、系统、设备及存储介质 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1510872A (zh) * | 2002-12-24 | 2004-07-07 | 中联绿盟信息技术(北京)有限公司 | 一种dns和应用代理相结合对抗拒绝服务攻击的方法 |
KR100900491B1 (ko) * | 2008-12-02 | 2009-06-03 | (주)씨디네트웍스 | 분산 서비스 거부 공격의 차단 방법 및 장치 |
CN103179136B (zh) * | 2013-04-22 | 2016-01-20 | 南京铱迅信息技术股份有限公司 | 防御动态网站中饱和分布式拒绝服务攻击的方法和系统 |
CN103618718B (zh) * | 2013-11-29 | 2016-09-21 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法及装置 |
-
2015
- 2015-05-14 CN CN201510245941.6A patent/CN106302313B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN106302313A (zh) | 2017-01-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106302313B (zh) | 基于调度系统的DDoS防御方法和DDoS防御系统 | |
CN106656800B (zh) | 一种路径选取方法及系统、网络加速节点及网络加速系统 | |
US11032387B2 (en) | Handling of content in a content delivery network | |
Wills et al. | What ad blockers are (and are not) doing | |
EP1557984B1 (en) | Network architecture and related methods for surviving denial of service attacks | |
US9444718B2 (en) | Distributed platform test network | |
US7769860B1 (en) | Policy analyzer | |
US8463897B2 (en) | Systems and methods to emulate user network activity | |
CN104917779B (zh) | 一种基于云的cc攻击的防护方法、装置及系统 | |
CN106302318A (zh) | 一种网站攻击防御方法及装置 | |
Schaelicke et al. | SPANIDS: a scalable network intrusion detection loadbalancer | |
US20130159494A1 (en) | Method for streamlining dynamic bandwidth allocation in service control appliances based on heuristic techniques | |
TW201709697A (zh) | 網路接取請求控制方法和裝置 | |
CA2450394A1 (en) | Global load balancing across mirrored data centers | |
CN105897674A (zh) | 用于CDN服务器群组的DDoS攻击防护方法及系统 | |
EP3228047B1 (en) | Methods and network nodes for monitoring services in a content delivery network | |
CN106534043A (zh) | 一种流量处理方法,设备和系统 | |
Karakostas et al. | Exploitation of different types of locality for web caches | |
US11425025B2 (en) | Method for providing a low-latency, distributed, multi-user application through an edge cloud platform | |
US6704781B1 (en) | System and method for content caching implementing compensation for providing caching services | |
JP2021002764A (ja) | ポリシー決定装置、ポリシー決定方法およびプログラム | |
Moreno et al. | On content delivery network implementation | |
CN108270755A (zh) | 一种域名级的自适应抗ddos攻击的方法和装置 | |
US20210084067A1 (en) | Scalable ddos scrubbing architecture in a telecommunications network | |
US10673927B2 (en) | Evaluation of TCP responses via remote clients |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1233062 Country of ref document: HK |
|
GR01 | Patent grant | ||
GR01 | Patent grant |