CN106941505A - 一种防御ddos攻击的方法及其系统 - Google Patents
一种防御ddos攻击的方法及其系统 Download PDFInfo
- Publication number
- CN106941505A CN106941505A CN201710345183.4A CN201710345183A CN106941505A CN 106941505 A CN106941505 A CN 106941505A CN 201710345183 A CN201710345183 A CN 201710345183A CN 106941505 A CN106941505 A CN 106941505A
- Authority
- CN
- China
- Prior art keywords
- client
- server
- transfer server
- request
- transfer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种防御ddos攻击的方法及其系统,包含以下步骤:步骤一:生成a个特定顺序的二级域名,并将二级域名与b个中转服务器ip绑定,其中a≧b;步骤二:客户端从第n个二级域名开始按照二级域名的特定顺序访问中转服务器请求服务,若失败则访问下一个中转服务器,直至请求服务成功,其中n<a。本发明成本大大降低,同时本发明相比于现有技术对ddos攻击的防御效果更加的显著。
Description
技术领域
本发明涉及一种防御攻击的方法及其系统,特别是一种防御ddos攻击的方法及其系统。
背景技术
分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。
在现有技术上,普遍认为ddos攻击是没办法防御的,唯一能缓解的方案就是根据攻击流量的大小不断地增加带宽,但是一个服务器的带宽是有限的,而攻击者的流量理论上可以无限大,并且随着服务器带宽的增加,相应的花费在宽带上的费用也会大大增加。
发明内容
本发明所要解决的技术问题是提供一种防御ddos攻击的方法及其系统,其有效防御ddos攻击并且成本较低。
为解决上述技术问题,本发明所采用的技术方案是:
一种防御ddos攻击的方法,其特征在于包含以下步骤:
步骤一:生成a个特定顺序的二级域名,并将二级域名与b个中转服务器ip绑定,其中a≧b;
步骤二:客户端从第n个二级域名开始按照二级域名的特定顺序访问中转服务器请求服务,若失败则访问下一个中转服务器,直至请求服务成功,其中n<a。
进一步地,所述步骤一中,二级域名生成方法采用种子随机数、MD5或SHA算法生成。
进一步地,所述步骤一中,b个二级域名与b个中转服务器一一绑定后,剩余的a-b个二级域名设置错误的干扰ip地址。
进一步地,所述步骤二中,中转服务器收到客户端的请求,判断客户端的身份信息决定是否响应请求。
进一步地,所述身份信息包含会员等级、活跃度、绑定手机号。
进一步地,当某个中转服务器受到攻击后,将连接到该服务器上的客户端通过跳转指令再平均分配到不同的中转服务器,找到发起攻击的客户端用户身份,针对该客户端用户身份发起的请求,服务器不再响应。
一种防御ddos攻击的系统,其特征在于:包含客户端、若干中转服务器和主服务器,主服务器接收并处理客户端发出经中转服务器送达的数据,根据数据内容决定是否处理该客户端请求,或决定是否发出让客户端跳转到指定中转服务器的指令;客户端以特定顺序访问中转服务器,接收并处理服务器端返回经中转服务器送达的数据指令,若收到跳转指令,则跳转到指定的中转服务器。
本发明与现有技术相比,具有以下优点和效果:本发明提供了一种防御ddos攻击的方法及其系统,相比于现在毫无办法只能拓宽带宽的方法,本发明的成本大大降低,同时本发明相比于现有技术对ddos攻击的防御效果更加的显著。
附图说明
图1是本发明的一种防御ddos攻击的系统的示意图。
图2是本发明的实施例的二级域名与中转服务器ip绑定示意表格。
具体实施方式
本发明的一种防御ddos攻击的方法,其特征在于包含以下步骤:
步骤一:生成a个特定顺序的二级域名,并将二级域名与b个中转服务器ip绑定,其中a≧b;
二级域名生成方法采用种子随机数、MD5或SHA算法生成。
b个二级域名与b个中转服务器一一绑定后,剩余的a-b个二级域名设置错误的干扰ip地址。
步骤二:客户端从第n个二级域名开始按找二级域名的特定顺序访问中转服务器请求服务,若失败则访问下一个中转服务器,直至请求服务成功,其中n<a。
中转服务器收到客户端的请求,判断客户端的身份信息决定是否响应请求。身份信息包含会员等级、活跃度、绑定手机号。
当某个中转服务器收到攻击后,将连接到该服务器上的客户端通过跳转指令再平均分配到不同的中转服务器,找到发起攻击的客户端用户身份,针对该客户端用户身份发起的请求,服务器不再响应。
如图1所示,一种防御ddos攻击的系统,包含客户端、若干中转服务器和主服务器,主服务器接收并处理客户端发出经中转服务器送达的数据,根据数据内容决定是否处理该客户端请求,或决定是否发出让客户端跳转到指定中转服务器的指令;客户端以特定顺序访问中转服务器,接收并处理服务器端返回经中转服务器送达的数据指令,若收到跳转指令,则跳转到指定的中转服务器。
相比传统的C/S结构,除了客户端和主服务器端,中间需增加一个中转服务器端,中转服务器的功能为:接收客户端的数据并发送给主服务器端,接收主服务器端的数据并发送给客户端。由于中转服务器只负责数据的转发,所以对性能要求不高,租用成本低廉。为保证数据传输的效率,中转服务器与主服务器可以在同一内网。
下面结合附图并通过实施例对本发明作进一步的详细说明,以下实施例是对本发明的解释而本发明并不局限于以下实施例。
假设有主域名 abc.com,使用种子随机数或类似MD5、SHA等算法生成100个特定顺序的二级域名,例如以下生成算法:
String key = "abcdefg";
String code = "1234567890";
for(int m=0;m<100;m++){
code = Global.md5(code+key);
System.out.println(code);
}
以上算法key和code的初始值可自行输入,以确保生成结果不同,只需有特定顺序即可。
如图2所示,将100个二级域名与50个中转服务器ip绑定,其中一些二级域名可绑定一些错误的干扰ip。
客户端从第1个二级域名开始按顺序访问中转服务器请求服务,若失败则向下访问第2个,直到成功。
服务器收到客户端的请求,可根据客户端的身份信息(例如会员等级、活跃度等)决定是否响应请求,若不响应请求,则从客户端来看,该地址跟错误干扰ip地址一样,攻击者也就无法判断该地址是否为正常的服务器地址,无法决定是否进行攻击。
由于没有特定的域名地址,攻击者也只能通过正常使用客户端才能访问到正确的中转服务器地址,而且一次只能访问1个,想要一直不断进行攻击效率不高。
服务器也可以决定每个中转服务器上正常连接的客户端数量,如果攻击者发起对某个中转服务器的攻击,也只会暂时影响连接到该中转服务器的客户端,其他中转服务器不受影响。
如果客户端用户身份可以通过手机号等唯一标识手段进行验证的,在某个中转服务器受到攻击后,可以将连接到该服务器上的客户端通过跳转指令再平均分配到不同的中转服务器,以此类推将可以找到发起攻击的客户端用户身份,针对该客户端用户身份发起的请求,服务器可以不用响应,从而彻底防止攻击者再次找到正常的中转服务器进行攻击。
现有技术租用云服务商高防ip价格为,20G防御能力需要费用21800元/月;而本发明租用一个基础防御能力5G的中转服务器只需要45元/月,租用50个中转服务器费用为2250元/月,而防御能力达到了250G,理论上可以彻底防御ddos攻击。
本说明书中所描述的以上内容仅仅是对本发明所作的举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,只要不偏离本发明说明书的内容或者超越本权利要求书所定义的范围,均应属于本发明的保护范围。
Claims (7)
1.一种防御ddos攻击的方法,其特征在于包含以下步骤:
步骤一:生成a个特定顺序的二级域名,并将二级域名与b个中转服务器ip绑定,其中a≧b;
步骤二:客户端从第n个二级域名开始按照二级域名的特定顺序访问中转服务器请求服务,若失败则访问下一个中转服务器,直至请求服务成功,其中n<a。
2.按照权利要求1所述的一种防御ddos攻击的方法,其特征在于:所述步骤一中,二级域名生成方法采用种子随机数、MD5或SHA算法生成。
3.按照权利要求1所述的一种防御ddos攻击的方法,其特征在于:所述步骤一中,b个二级域名与b个中转服务器一一绑定后,剩余的a-b个二级域名设置错误的干扰ip地址。
4.按照权利要求1所述的一种防御ddos攻击的方法,其特征在于:所述步骤二中,中转服务器收到客户端的请求,判断客户端的身份信息决定是否响应请求。
5.按照权利要求4所述的一种防御ddos攻击的方法,其特征在于:所述身份信息包含会员等级、活跃度、绑定手机号。
6.按照权利要求1所述的一种防御ddos攻击的方法,其特征在于:当某个中转服务器受到攻击后,将连接到该服务器上的客户端通过跳转指令再平均分配到不同的中转服务器,找到发起攻击的客户端用户身份,针对该客户端用户身份发起的请求,服务器不再响应。
7.一种防御ddos攻击的系统,其特征在于:包含客户端、若干中转服务器和主服务器,主服务器接收并处理客户端发出经中转服务器送达的数据,根据数据内容决定是否处理该客户端请求,或决定是否发出让客户端跳转到指定中转服务器的指令;客户端以特定顺序访问中转服务器,接收并处理服务器端返回经中转服务器送达的数据指令,若收到跳转指令,则跳转到指定的中转服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710345183.4A CN106941505A (zh) | 2017-05-16 | 2017-05-16 | 一种防御ddos攻击的方法及其系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710345183.4A CN106941505A (zh) | 2017-05-16 | 2017-05-16 | 一种防御ddos攻击的方法及其系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106941505A true CN106941505A (zh) | 2017-07-11 |
Family
ID=59464995
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710345183.4A Withdrawn CN106941505A (zh) | 2017-05-16 | 2017-05-16 | 一种防御ddos攻击的方法及其系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106941505A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107277074A (zh) * | 2017-08-17 | 2017-10-20 | 无锡江南影视传播有限公司 | 一种防止网络攻击的方法和设备 |
CN108683686A (zh) * | 2018-06-21 | 2018-10-19 | 中国科学院信息工程研究所 | 一种随机子域名DDoS攻击检测方法 |
CN109120607A (zh) * | 2018-08-01 | 2019-01-01 | 北京闲徕互娱网络科技有限公司 | DDoS攻击的识别方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1510872A (zh) * | 2002-12-24 | 2004-07-07 | 中联绿盟信息技术(北京)有限公司 | 一种dns和应用代理相结合对抗拒绝服务攻击的方法 |
CN106230785A (zh) * | 2016-07-20 | 2016-12-14 | 南京铱迅信息技术股份有限公司 | 一种无私钥的https拒绝服务攻击的防御方法 |
CN106302313A (zh) * | 2015-05-14 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 基于调度系统的DDoS防御方法和DDoS防御系统 |
CN106411910A (zh) * | 2016-10-18 | 2017-02-15 | 上海优刻得信息科技有限公司 | 一种分布式拒绝服务攻击的防御方法与系统 |
CN106534051A (zh) * | 2015-09-11 | 2017-03-22 | 阿里巴巴集团控股有限公司 | 一种针对访问请求的处理方法和装置 |
-
2017
- 2017-05-16 CN CN201710345183.4A patent/CN106941505A/zh not_active Withdrawn
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1510872A (zh) * | 2002-12-24 | 2004-07-07 | 中联绿盟信息技术(北京)有限公司 | 一种dns和应用代理相结合对抗拒绝服务攻击的方法 |
CN106302313A (zh) * | 2015-05-14 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 基于调度系统的DDoS防御方法和DDoS防御系统 |
CN106534051A (zh) * | 2015-09-11 | 2017-03-22 | 阿里巴巴集团控股有限公司 | 一种针对访问请求的处理方法和装置 |
CN106230785A (zh) * | 2016-07-20 | 2016-12-14 | 南京铱迅信息技术股份有限公司 | 一种无私钥的https拒绝服务攻击的防御方法 |
CN106411910A (zh) * | 2016-10-18 | 2017-02-15 | 上海优刻得信息科技有限公司 | 一种分布式拒绝服务攻击的防御方法与系统 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107277074A (zh) * | 2017-08-17 | 2017-10-20 | 无锡江南影视传播有限公司 | 一种防止网络攻击的方法和设备 |
CN108683686A (zh) * | 2018-06-21 | 2018-10-19 | 中国科学院信息工程研究所 | 一种随机子域名DDoS攻击检测方法 |
CN108683686B (zh) * | 2018-06-21 | 2020-07-28 | 中国科学院信息工程研究所 | 一种随机子域名DDoS攻击检测方法 |
CN109120607A (zh) * | 2018-08-01 | 2019-01-01 | 北京闲徕互娱网络科技有限公司 | DDoS攻击的识别方法及系统 |
CN109120607B (zh) * | 2018-08-01 | 2021-03-19 | 北京闲徕互娱网络科技有限公司 | DDoS攻击的识别方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103384237B (zh) | 一种共享IaaS业务云账号的方法、及共享平台和网络装置 | |
Maniatis et al. | Preserving peer replicas by rate-limited sampled voting | |
JP6968166B2 (ja) | データをビザンチン障害耐性複製する方法及びシステム | |
CN109257334B (zh) | 一种基于区块链的数据上链系统、方法及存储介质 | |
CN109104451A (zh) | Docker镜像的下载方法及节点、Docker镜像的预热方法及节点 | |
TW202016787A (zh) | 基於區塊鏈的交易處理方法及裝置、電子設備 | |
TW202016817A (zh) | 基於區塊鏈的交易處理方法及裝置、電子設備 | |
CN104852934A (zh) | 基于前端调度实现流量分配的方法、装置和系统 | |
CN104158818B (zh) | 一种单点登录方法及系统 | |
CN106656959A (zh) | 访问请求调控方法和装置 | |
CN110365766A (zh) | 基于区块链的云存储方法、设备及计算机可读存储介质 | |
CN106941505A (zh) | 一种防御ddos攻击的方法及其系统 | |
CN109347881A (zh) | 基于网络欺骗的网络防护方法、装置、设备及存储介质 | |
CN110020043B (zh) | 页面爬取方法、装置、存储介质及处理器 | |
CN104980449B (zh) | 网络请求的安全认证方法及系统 | |
CN108881233A (zh) | 防攻击处理方法、装置、设备及存储介质 | |
CN111083113A (zh) | 拟态分发系统、方法及介质 | |
WO2018112878A1 (zh) | 一种基于令牌机制的检测和防御cc攻击的系统和方法 | |
CN107835145A (zh) | 一种防重放攻击的方法及分布式系统 | |
CN109040255A (zh) | 物联网设备接入方法、装置、设备及存储介质 | |
CN103957194B (zh) | 一种网络协议ip接入方法及接入设备 | |
CN110351364A (zh) | 数据存储方法、设备及计算机可读存储介质 | |
US20080177560A1 (en) | ID Lending system, computer-readable recording medium storing ID lending program, and ID lending method | |
CN108600259A (zh) | 设备的认证和绑定方法及计算机存储介质、服务器 | |
CN106470193A (zh) | 一种DNS递归服务器抗DoS、DDoS攻击的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20170711 |