CN108712450A - DDoS攻击的防护方法及系统 - Google Patents
DDoS攻击的防护方法及系统 Download PDFInfo
- Publication number
- CN108712450A CN108712450A CN201810859577.6A CN201810859577A CN108712450A CN 108712450 A CN108712450 A CN 108712450A CN 201810859577 A CN201810859577 A CN 201810859577A CN 108712450 A CN108712450 A CN 108712450A
- Authority
- CN
- China
- Prior art keywords
- service entrance
- pond
- user
- service
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0663—Performing the actions predefined by failover planning, e.g. switching to standby network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种DDoS攻击的防护方法及系统,防护方法包括:从第一层服务入口池开始,在设置的服务入口池中为各用户分配与其令牌相对应的服务入口;判断当前层服务入口池中各服务入口是否可用;如果否,则当前服务入口池所属的层数加1;判断加1后的层数是否小于或等于预设的服务入口池的最大层数;如果是,则在当前层服务入口池中为服务入口不可用的用户继续分配与其令牌相对应的服务入口;直到当前层服务入口池中各用户对应的服务入口可用时,用户通过对应的服务入口接入网络服务;直到递增后的层数大于预设的服务入口池的最大层数时,舍弃服务入口仍不可用的用户。本申请能够保证用户快速接入可用的服务入口,减少用户数量的损失。
Description
技术领域
本申请属于互联网技术领域,具体涉及一种DDoS攻击的防护方法及系统。
背景技术
传统的DoS(Denial of Service,拒绝服务)攻击主要采用一对一的方式进行攻击,最基本的DoS攻击是利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的指令。随着计算机与网络技术的发展,在传统DoS攻击的基础上产生了DDoS(Distribution Denial of Service,分布式拒绝服务)攻击。DDoS攻击采用多对一的方式进行攻击。DDOS的攻击目标主要是服务器或者大型网站。DDOS通过向服务器提交大量合法或伪造的请求使服务器超负荷,当服务器CPU达到满负荷时,服务器耗尽资源导致失去响应而死机。服务器一旦死机,将严重影响用户正常的访问,对公司、企业甚至是国家造成巨大的经济损失。
现有大部分厂商在解决网络服务的接入时都是采用提供一个域名的方式。用户通过连接提供的域名来接入服务。在应对攻击方面,当域名所指向的IP地址被攻击而无法使用时,通过更新域名解析,使域名指向一个或多个新的IP地址来继续提供服务。然而,域名的解析记录在修改时,都至少需要5分钟的生效时间。当任意一个域名所指向的IP地址被攻击导致无法使用时,更新域名的解析记录之后,需要等待大概5分钟甚至更长的时间之后,用户通过访问域名才可以获得新的、可用的IP地址。因此,通过更新域名解析进行防护的时效性差,通常至少有5分钟的时间会出现服务中断或不可用的情况。
也有部分厂商为了减少由攻击导致的受影响的客户数量,将同一个域名根据地域进行解析。不同的地区查询同一个域名时,获取到的IP地址不同。当一个地区的域名所指向的IP地址被攻击时,不会导致其他地区的用户受到影响。通过损失部分地区用户的方式来保护其他地区的用户或通过损失低级别的用户的方式来保护高级别的用户。这种分地域解析域名的方式,虽然在一定程度上能够减少受攻击时对用户的影响,但是黑客其实可以使用分布在全国或全球地域的服务器,同时查询域名解析。这样即可以很快一次性地获取到某个域名的所有解析记录。而且,互联网上免费提供此类域名解析查询的服务很多,且获取速度都很快,大概5分钟就可以全部查询到。
对于以上通过更换域名解析的方法来防护攻击的方案,如果黑客持续获取域名解析记录,并对新替换的可用IP继续攻击,那么这种防护攻击的方案就无法达到防护的目的,也就无法避免网络服务瘫痪后果的出现。
发明内容
为至少在一定程度上克服相关技术中存在的问题,本申请提供了一种DDoS攻击的防护方法及系统。
根据本申请实施例的第一方面,本申请提供了一种DDoS攻击的防护方法,其包括以下步骤:
获取用户的令牌;
设置多层服务入口池,各层服务入口池中均设置有服务入口;
从第一层服务入口池开始,在服务入口池中为各用户分配与其令牌相对应的服务入口;
判断当前层服务入口池中为各用户分配的服务入口是否可用;
如果当前层服务入口池中有用户对应的服务入口不可用,则当前服务入口池所属的层数加1;
判断加1后的层数是否小于或等于预设的服务入口池的最大层数;
如果加1后的层数小于或等于预设的服务入口池的最大层数,则在当前层服务入口池中为在上一层服务入口池中对应的服务入口不可用的用户继续分配与其令牌相对应的服务入口;
直到当前层服务入口池中各用户对应的服务入口可用时,用户通过对应的服务入口接入网络服务;直到递增后的层数大于预设的服务入口池的最大层数时,舍弃服务入口仍不可用的用户。
进一步地,所述服务入口采用IP地址,所述服务入口池为IP地址池,所述IP地址池中设置多个IP地址,每层所述IP地址池中的IP地址都设置有与其一一对应的编号。
进一步地,所述在服务入口池中为各用户分配与其令牌相对应的服务入口时,采用散列算法将输入的令牌值变换成散列值,并将与散列值相同的编号对应的服务入口分配给用户。
更进一步地,在各层服务入口池中为用户分配与其令牌相对应的服务入口时,采用的所述散列算法各不相同。
更进一步地,所述服务入口采用IP地址时,所述采用散列算法将输入的令牌值变换成散列值的过程为:
将令牌值的最后两位分别转换为对应的ASCII码值;
对令牌值的最后两位对应的ASCII码值求和;
得到的和值除以对应层IP地址池中IP地址的数量后取余再加1,得到散列值。
进一步地,所述服务入口池的最大层数和每层服务入口池中的服务入口数根据以下公式进行估算:
式中,E表示单次攻击受影响的用户数,N表示获得服务入口的所有用户数,i表示服务入口池所属的层数,xi表示第i层服务入口池所拥有的服务入口数,m表示服务入口池的最大层数。
根据本申请实施例的第二方面,本申请还提供了一种DDoS攻击的防护系统,其包括
获取模块,用于获取用户的令牌;
设置模块,用于设置多层服务入口池,每层服务入口池中均设置有服务入口,各服务入口均设置有与其一一对应的编号;
分配模块,用于从第一层服务入口池开始,在服务入口池中为各用户分配与其令牌相对应的服务入口;
第一判断模块,用于判断当前层服务入口池中为各用户分配的服务入口是否可用;如果当前层服务入口池中用户对应的服务入口可用,则使该用户通过对应的服务入口接入网络服务;如果当前层服务入口池中有用户对应的服务入口不可用,则当前服务入口池所属的层数加1;
第二判断模块,用于判断加1后的层数是否小于或等于预设的服务入口池的最大层数;如果加1后的层数小于或等于预设的服务入口池的最大层数,则在当前层服务入口池中为在上一层服务入口池中对应的服务入口不可用的用户继续分配与其令牌相对应的服务入口;如果加1后的层数大于预设的服务入口池的最大层数,则舍弃在上一层服务入口池中对应的服务入口不可用的用户。
进一步地,所述服务入口为IP地址;所述服务入口池为IP地址池;所述IP地址池中设置多个IP地址,每层所述IP地址池中的所述IP地址都设置有一一对应的编号。
进一步地,所述分配模块从第一层服务入口池开始,在服务入口池中为各用户分配与其令牌相对应的服务入口时,采用散列算法将输入的令牌值变换成散列值,将与散列值相同的编号对应的服务入口作为该令牌用户的服务入口。
进一步地,所述第一判断模块通过探测IP是否联通来判断IP地址是否可用。
根据本申请的上述具体实施方式可知,至少具有以下有益效果:本申请通过设置多层服务入口池,在旧的服务入口遭受攻击不可用的情况下,为用户重新分配新的服务入口,能够保证用户快速接入可用的服务入口,减少用户数量的损失。本申请采用分级过滤的方式,在不断给用户分配新的服务入口的同时,将正常用户和恶意用户逐渐进行区分,最终使正常用户都能够通过可用的服务入口接入服务;使得恶意用户在经过多层筛选后最终无法接入服务,并且无法获取其他用户的入口。本申请还具有一定的容灾能力,能够防止由于单个IP故障或者网络波动导致出现的业务波动。
应了解的是,上述一般描述及以下具体实施方式仅为示例性及阐释性的,其并不能限制本申请所欲主张的范围。
附图说明
下面的所附附图是本申请的说明书的一部分,其示出了本申请的示例实施例,所附附图与说明书的描述一起用来说明本申请的原理。
图1为本申请具体实施方式提供的一种DDoS攻击的防护方法的流程图之一。
图2为本申请具体实施方式提供的一种DDoS攻击的防护方法的流程图之二。
图3是本申请具体实施方式提供的一种DDoS攻击的防护系统的结构框图。
图4是本申请具体实施方式提供的一种DDoS攻击的防护系统为用户分配IP地址的原理图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚明白,下面将以附图及详细叙述清楚说明本申请所揭示内容的精神,任何所属技术领域技术人员在了解本申请内容的实施例后,当可由本申请内容所教示的技术,加以改变及修饰,其并不脱离本申请内容的精神与范围。
本申请的示意性实施例及其说明用于解释本申请,但并不作为对本申请的限定。另外,在附图及实施方式中所使用相同或类似标号的元件/构件是用来代表相同或类似部分。
关于本文中所使用的“第一”、“第二”、…等,并非特别指称次序或顺位的意思,也非用以限定本申请,其仅为了区别以相同技术用语描述的元件或操作。
关于本文中所使用的方向用语,例如:上、下、左、右、前或后等,仅是参考附图的方向。因此,使用的方向用语是用来说明并非用来限制本创作。
关于本文中所使用的“包含”、“包括”、“具有”、“含有”等等,均为开放性的用语,即意指包含但不限于。
关于本文中所使用的“及/或”,包括所述事物的任一或全部组合。
关于本文中的“多个”包括“两个”及“两个以上”;关于本文中的“多组”包括“两组”及“两组以上”。
关于本文中所使用的用语“大致”、“约”等,用以修饰任何可以微变化的数量或误差,但这些微变化或误差并不会改变其本质。一般而言,此类用语所修饰的微变化或误差的范围在部分实施例中可为20%,在部分实施例中可为10%,在部分实施例中可为5%或是其他数值。本领域技术人员应当了解,前述提及的数值可依实际需求而调整,并不以此为限。
某些用以描述本申请的用词将于下或在此说明书的别处讨论,以提供本领域技术人员在有关本申请的描述上额外的引导。
如图1所示,本申请提供了一种DDoS攻击的防护方法,其包括以下步骤:
S1、获取用户的令牌。
用户在客户端使用用户名和密码请求登录。服务端收到请求后,验证用户名和密码。验证成功后,服务端生成一个令牌,然后将这个令牌发送给客户端。这个令牌是用户身份的唯一标识符。这个标识符一般会有一个有效期,例如一天,一天之后用户需要重新登陆获得新的令牌。
令牌的使用一方面能够减少用户名和密码在网络上传输导致被泄露的风险,另一方面还能够方便用户使用,用户再次登录时只需要提供令牌即可,不需要再次输入用户名和密码。
S2、设置多层服务入口池,各层服务入口池中均设置有服务入口。其中,各服务入口均设置有与其一一对应的编号。
S3、从第一层服务入口池开始,在服务入口池中为各用户分配与其令牌相对应的服务入口。
S4、判断当前层服务入口池中为各用户分配的服务入口是否可用。
S5、如果当前层服务入口池中有用户对应的服务入口不可用,则当前服务入口池所属的层数加1。
S6、判断加1后的层数是否小于或等于预设的服务入口池的最大层数。
S7、如果加1后的层数小于或等于预设的服务入口池的最大层数,则在当前层服务入口池中为在上一层服务入口池中对应的服务入口不可用的用户继续分配与其令牌相对应的服务入口。
S8、重复步骤S4~S7,直到当前层服务入口池中各用户对应的服务入口可用时,用户通过对应的服务入口接入网络服务;直到递增后的层数大于预设的服务入口池的最大层数时,舍弃服务入口仍不可用的用户。
上述步骤S2中,服务入口作为用户接入网络服务的入口,其具体可以为IP地址。服务入口池为IP地址池。IP地址池中设置多个IP地址,每层IP地址池中的IP地址都设置有与其一一对应的编号。
上述步骤S3中,在服务入口池中为各用户分配与其令牌相对应的服务入口时,采用散列算法将输入的令牌值变换成散列值。与散列值相同的编号对应的服务入口即为该令牌用户分配的服务入口。其中,散列算法可以采用MD5(Message Digest Algorithm 5,消息摘要算法第五版)算法、SHA256(Secure Hash Algorithm,安全散列算法)算法等。
由于用户的令牌是唯一且稳定的,同时散列算法也是稳定的,因此,每次用户在服务入口池中获取到的服务入口也是唯一且稳定的。在各层服务入口池中为用户分配与其令牌相对应的服务入口时所采用的散列算法各不相同。而且在同一层服务入口池中为各用户分配的与其令牌相对应的服务入口可以相同,也可以不同。不同用户之间无法互相知道对方的服务入口。
具体地,当服务入口采用IP地址时,各层IP地址池中的各IP地址均设置有一一对应的编号。例如,第一层IP地址池中设置有50个IP地址,各IP地址的编号依次为1、2、3、……、49、50。设某用户的令牌值为qxj8skd0。采用散列算法将该用户的令牌值变换为散列值,其具体过程可以为:
将令牌值的最后两位分别转换为对应的ASCII码值,即d转换成100,0转换成48。
对令牌值的最后两位对应的ASCII码值求和,即100+48=148。
得到的和值除以该层IP地址池中IP地址的数量后取余再加1,即148%50+1=49,散列值为49。
取该层IP地址池中编号为49的IP地址,将其作为该用户的入口。
上述步骤S4中,当服务入口采用IP地址时,通过定期探测IP是否联通来判断IP地址是否可用。
上述步骤S5中,当服务入口采用IP地址时,IP地址不可用一般是腾讯、阿里等网络提供商或者移动、联通、电信等网络运营商主动停止了这个IP地址的网络服务。如果探测到当前某IP地址无法联通,则判定该IP地址不可用。
具体地,如果在第一层服务入口池中为某用户分配的服务入口不可用,则进入第二层服务入口池;如果在第二层服务入口池中为某用户分配的服务入口仍然不可用,则进入第三层服务入口池;……,直到当前层服务入口池中各用户对应的服务入口可用时,用户通过对应的服务入口接入网络服务,当前服务入口池所属的层数不再加1。
上述步骤S6中,可以根据用户希望达到的防护效果设置服务入口池的最大层数,防护效果可以量化为用户的损失率。假设有三层IP地址池,第一层IP地址池中的IP地址数量为x,第二层IP地址池中的IP地址数量为y,第三层IP地址池中的IP地址数量为z,则采用本申请DDoS攻击的防护方法可以将用户的损失率降至1/(x*y*z)。
具体地,可以根据以下公式预估所需要的服务入口池的最大层数和每层服务入口池中的服务入口数:
式中,E表示单次攻击受影响的用户数,N表示获得服务入口的所有用户数,i表示服务入口池所属的层数,xi表示第i层服务入口池所拥有的服务入口数,m表示服务入口池的最大层数。
本申请DDoS攻击的防护方法能够对服务入口进行防护,保证用户接入服务入口。本申请在旧的IP地址不可用的情况下,马上为用户分配一个新的IP地址。与现有技术相比,用户不是通过域名解析的方式来获取新的IP地址,而是通过单独的网络服务来获取。这样就不存在新纪录生效的时间。而在新的记录生效之前网络服务对于部分用户来说是不可用的。采用本申请能够使服务入口在遭受较大攻击的情况下,仍然保持业务的持续性。
现有的防护方式在网络服务遭受持续性的攻击下会损失较多的用户。在一个域名或者IP地址在遭遇持续性的攻击时,会出现用户获取的IP地址持续不可用的情况,导致损失部分用户。
本申请采用分级过滤的方式,在不断给用户分配新的IP地址的同时,将正常用户和恶意用户逐渐进行了区分,最终正常用户都可以通过可用的IP地址接入服务。恶意用户在经过多层筛选后最终无法接入服务,并且无法获取其他用户的入口。
现有技术中的防护能力很大程度上取决于单个IP地址的防御带宽。从运营商处购买单个防御带宽很大的IP地址或者入口,价格是非常昂贵的。本申请采用的是多个小防御带宽的IP地址。这样的防护资源是廉价的。尤其是在遭受频繁攻击的情况下,可以大大降低防护成本。
在一个具体的实施例中,如图2所示,当服务入口采用IP地址时,本申请DDoS攻击的防护方法具体包括以下步骤:
S11、获取用户的令牌。
S12、设置IP地址池、IP地址池的最大层数max-level以及当前IP地址池所属的层数n,n=1,2,….,max-level。各层IP地址池中均设置有IP地址,各层IP地址池中的IP地址均设置有与其一一对应的编号。
S13、从第一层IP地址池开始,在第n层IP地址池中为各用户分配与其令牌相对应的服务入口。
S14、判断当前层IP地址池中各用户对应的IP地址是否可用;如果当前层IP地址池中各用户对应的IP地址可用,则用户通过对应的IP地址接入网络服务;如果当前层IP地址池中各用户对应的IP地址不可用,则当前IP地址池所属的层数n加1。
S15、判断加1后的层数是否小于或等于预设的IP地址池的最大层数max-level。如果加1后的层数小于或等于预设的IP地址池的最大层数max-level,则在当前层IP地址池中为在上一层IP地址池中对应的IP地址不可用的用户继续分配与其令牌相对应的IP地址,返回步骤S14。如果加1后的层数大于预设的IP地址池的最大层数max-level,则舍弃在上一层IP地址池中对应的IP地址不可用的用户。
如图3所示,本申请还提供了一种DDoS攻击的防护系统,其包括获取模块1、设置模块2、分配模块3、第一判断模块4和第二判断模块5。其中,获取模块1用于获取用户的令牌,该令牌是用户身份的唯一标识符。设置模块2用于设置多层服务入口池,每层服务入口池中均设置有服务入口,各服务入口均设置有与其一一对应的编号。分配模块3用于从第一层服务入口池开始,在服务入口池中为各用户分配与其令牌相对应的服务入口。第一判断模块4用于判断当前层服务入口池中为各用户分配的服务入口是否可用,如果当前层服务入口池中用户对应的服务入口可用,则使该用户通过对应的服务入口接入网络服务;如果当前层服务入口池中有用户对应的服务入口不可用,则当前服务入口池所属的层数加1。第二判断模块5用于判断加1后的层数是否小于或等于预设的服务入口池的最大层数,如果加1后的层数小于或等于预设的服务入口池的最大层数,则在当前层服务入口池中为在上一层服务入口池中对应的服务入口不可用的用户继续分配与其令牌相对应的服务入口;如果加1后的层数大于预设的服务入口池的最大层数,则舍弃在上一层服务入口池中对应的服务入口不可用的用户。
在本实施例中,服务入口具体可以为IP地址。服务入口池为IP地址池。IP地址池中设置多个IP地址,每层IP地址池中的IP地址都设置有一一对应的编号。
在本实施例中,分配模块3从第一层服务入口池开始,在服务入口池中为各用户分配与其令牌相对应的服务入口时,采用散列算法将输入的令牌值变换成散列值,将与散列值相同的编号对应的服务入口作为该令牌用户的服务入口。
在本实施例中,第一判断模块4判断当前层服务入口池中为各用户分配的服务入口是否可用时,通过定期探测IP是否联通来判断IP地址是否可用。如果探测到当前某IP地址无法联通,则判定该IP地址不可用。
在本实施例中,服务入口池的最大层数可以根据用户希望达到的防护效果进行设置。其中,防护效果可以量化为用户的损失率。
本申请通过第一判断模块4判断当前层服务入口池中为各用户分配的服务入口是否可用,对于对应的服务入口不可用的用户,为其分配新的服务入口,这样能够使服务入口在遭受较大攻击的情况下,仍然保持业务的持续性,减少损失的用户数量。另外,本申请具有一定的容灾能力,能够防止单个IP故障或者网络波动导致的业务波动。
实施例1
如图4所示,设置三层IP地址池,第一层IP地址池中设置6个IP地址,第二层IP地址池中设置6个IP地址,第三层IP地址池中设置4个IP地址。假设有5个用户,其中有4个正常用户,1个恶意用户。
在第一层IP地址池中为5个用户分配与其令牌相对应的IP地址,第一至第四用户均分配到编号为3的IP地址,第五用户分配到编号为5的IP地址。经判断,编号为3的IP地址不可用,编号为5的IP地址可用,则第一至第四用户进入第二层IP地址池等待继续分配新的IP地址,第五用户通过编号为5的IP地址接入网络服务。当前IP地址池的层数2小于预设的服务入口池的最大层数3,则继续在第二层IP地址池中为第一至第四用户分配与其令牌相对应的新的IP地址。
在第二层IP地址池中,第一用户分配到编号为1的IP地址,第二用户分配到编号为2的IP地址,第三用户和第四用户均分配到编号为4的IP地址。经判断,编号为1和2的IP地址可用,编号为4的IP地址不可用,则第一用户通过编号为1的IP地址接入网络服务,第二用户通过编号为2的IP地址接入网络服务,第三用户和第四用户进入第三层IP地址池等待继续分配新的IP地址。当前IP地址池的层数3等于预设的服务入口池的最大层数3,则继续在第三层IP地址池中为第三用户和第四用户分配与其令牌相对应的新的IP地址。
在第三层IP地址池中,第三用户分配到编号为2的IP地址,第四用户分配到编号为4的IP地址。经判断,编号为2的IP地址可用,编号为4的IP地址不可用,则第三用户通过编号为2的IP地址接入网络服务,舍弃第四用户,同时可以确认第四用户为恶意用户。
本申请在IP地址池的层数和IP地址数足够多的情况下,还能够精确、快速地识别出恶意用户,达到更好的防护效果。
以上所述仅为本申请示意性的具体实施方式,在不脱离本申请的构思和原则的前提下,任何本领域的技术人员所做出的等同变化与修改,均应属于本申请保护的范围。
Claims (10)
1.一种DDoS攻击的防护方法,其特征在于,包括以下步骤:
获取用户的令牌;
设置多层服务入口池,各层服务入口池中均设置有服务入口;
从第一层服务入口池开始,在服务入口池中为各用户分配与其令牌相对应的服务入口;
判断当前层服务入口池中为各用户分配的服务入口是否可用;
如果当前层服务入口池中有用户对应的服务入口不可用,则当前服务入口池所属的层数加1;
判断加1后的层数是否小于或等于预设的服务入口池的最大层数;
如果加1后的层数小于或等于预设的服务入口池的最大层数,则在当前层服务入口池中为在上一层服务入口池中对应的服务入口不可用的用户继续分配与其令牌相对应的服务入口;
直到当前层服务入口池中各用户对应的服务入口可用时,用户通过对应的服务入口接入网络服务;直到递增后的层数大于预设的服务入口池的最大层数时,舍弃服务入口仍不可用的用户。
2.如权利要求1所述的防护方法,其特征在于,所述服务入口采用IP地址,所述服务入口池为IP地址池,所述IP地址池中设置多个IP地址,每层所述IP地址池中的IP地址都设置有与其一一对应的编号。
3.如权利要求1所述的防护方法,其特征在于,所述在服务入口池中为各用户分配与其令牌相对应的服务入口时,采用散列算法将输入的令牌值变换成散列值,并将与散列值相同的编号对应的服务入口分配给用户。
4.如权利要求3所述的防护方法,其特征在于,在各层服务入口池中为用户分配与其令牌相对应的服务入口时,采用的所述散列算法各不相同。
5.如权利要求3所述的防护方法,其特征在于,所述服务入口采用IP地址时,所述采用散列算法将输入的令牌值变换成散列值的过程为:
将令牌值的最后两位分别转换为对应的ASCII码值;
对令牌值的最后两位对应的ASCII码值求和;
得到的和值除以对应层IP地址池中IP地址的数量后取余再加1,得到散列值。
6.如权利要求1所述的防护方法,其特征在于,所述服务入口池的最大层数和每层服务入口池中的服务入口数根据以下公式进行估算:
式中,E表示单次攻击受影响的用户数,N表示获得服务入口的所有用户数,i表示服务入口池所属的层数,xi表示第i层服务入口池所拥有的服务入口数,m表示服务入口池的最大层数。
7.一种DDoS攻击的防护系统,其特征在于,包括
获取模块,用于获取用户的令牌;
设置模块,用于设置多层服务入口池,每层服务入口池中均设置有服务入口,各服务入口均设置有与其一一对应的编号;
分配模块,用于从第一层服务入口池开始,在服务入口池中为各用户分配与其令牌相对应的服务入口;
第一判断模块,用于判断当前层服务入口池中为各用户分配的服务入口是否可用;如果当前层服务入口池中用户对应的服务入口可用,则使该用户通过对应的服务入口接入网络服务;如果当前层服务入口池中有用户对应的服务入口不可用,则当前服务入口池所属的层数加1;
第二判断模块,用于判断加1后的层数是否小于或等于预设的服务入口池的最大层数;如果加1后的层数小于或等于预设的服务入口池的最大层数,则在当前层服务入口池中为在上一层服务入口池中对应的服务入口不可用的用户继续分配与其令牌相对应的服务入口;如果加1后的层数大于预设的服务入口池的最大层数,则舍弃在上一层服务入口池中对应的服务入口不可用的用户。
8.如权利要求7所述的防护系统,其特征在于,所述服务入口为IP地址;所述服务入口池为IP地址池;所述IP地址池中设置多个IP地址,每层所述IP地址池中的所述IP地址都设置有一一对应的编号。
9.如权利要求7所述的防护系统,其特征在于,所述分配模块从第一层服务入口池开始,在服务入口池中为各用户分配与其令牌相对应的服务入口时,采用散列算法将输入的令牌值变换成散列值,将与散列值相同的编号对应的服务入口作为该令牌用户的服务入口。
10.如权利要求7所述的防护系统,其特征在于,所述第一判断模块通过探测IP是否联通来判断IP地址是否可用。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810859577.6A CN108712450B (zh) | 2018-08-01 | 2018-08-01 | DDoS攻击的防护方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810859577.6A CN108712450B (zh) | 2018-08-01 | 2018-08-01 | DDoS攻击的防护方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108712450A true CN108712450A (zh) | 2018-10-26 |
| CN108712450B CN108712450B (zh) | 2020-12-01 |
Family
ID=63874552
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810859577.6A Active CN108712450B (zh) | 2018-08-01 | 2018-08-01 | DDoS攻击的防护方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108712450B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111711964A (zh) * | 2020-04-30 | 2020-09-25 | 国家计算机网络与信息安全管理中心 | 一种系统容灾能力测试方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070286210A1 (en) * | 2006-06-12 | 2007-12-13 | Gerald Gutt | IP Device Discovery Systems and Methods |
| CN105653928A (zh) * | 2016-02-03 | 2016-06-08 | 北京大学 | 一种面向大数据平台的拒绝服务检测方法 |
| CN107147634A (zh) * | 2017-04-28 | 2017-09-08 | 四川长虹电器股份有限公司 | 支持平台多应用的web服务分层鉴权方法 |
| CN107277074A (zh) * | 2017-08-17 | 2017-10-20 | 无锡江南影视传播有限公司 | 一种防止网络攻击的方法和设备 |
| US20170318040A1 (en) * | 2016-04-28 | 2017-11-02 | Hangzhou Dptech Technologies Co., Ltd. | Method and device for defending dhcp attack |
-
2018
- 2018-08-01 CN CN201810859577.6A patent/CN108712450B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070286210A1 (en) * | 2006-06-12 | 2007-12-13 | Gerald Gutt | IP Device Discovery Systems and Methods |
| CN105653928A (zh) * | 2016-02-03 | 2016-06-08 | 北京大学 | 一种面向大数据平台的拒绝服务检测方法 |
| US20170318040A1 (en) * | 2016-04-28 | 2017-11-02 | Hangzhou Dptech Technologies Co., Ltd. | Method and device for defending dhcp attack |
| CN107147634A (zh) * | 2017-04-28 | 2017-09-08 | 四川长虹电器股份有限公司 | 支持平台多应用的web服务分层鉴权方法 |
| CN107277074A (zh) * | 2017-08-17 | 2017-10-20 | 无锡江南影视传播有限公司 | 一种防止网络攻击的方法和设备 |
Non-Patent Citations (2)
| Title |
|---|
| VRIZLYNN L. L. THING.ETL: "Locating network domain entry and exit point/path for DDoS attack traffic", 《IEEE TRANSACTIONS ON NETWORK AND SERVICE MANAGEMENT 》 * |
| 张永铮等: "DDoS攻击检测和控制方法", 《软件学报》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111711964A (zh) * | 2020-04-30 | 2020-09-25 | 国家计算机网络与信息安全管理中心 | 一种系统容灾能力测试方法 |
| CN111711964B (zh) * | 2020-04-30 | 2024-02-02 | 国家计算机网络与信息安全管理中心 | 一种系统容灾能力测试方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108712450B (zh) | 2020-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10055561B2 (en) | Identity risk score generation and implementation | |
| CN101771532B (zh) | 实现资源共享的方法、装置及系统 | |
| US7849320B2 (en) | Method and system for establishing a consistent password policy | |
| US8826400B2 (en) | System for automated prevention of fraud | |
| US10848505B2 (en) | Cyberattack behavior detection method and apparatus | |
| US9027128B1 (en) | Automatic identification of malicious budget codes and compromised websites that are employed in phishing attacks | |
| JP2018503203A (ja) | 許容可能なアクティビティルールに基づく許容可能なアクティビティの決定 | |
| US20110047610A1 (en) | Modular Framework for Virtualization of Identity and Authentication Processing for Multi-Factor Authentication | |
| CN107196951A (zh) | 一种hdfs系统防火墙的实现方法和防火墙系统 | |
| CN111917714A (zh) | 一种零信任架构系统及其使用方法 | |
| US11593502B2 (en) | Detecting behavioral anomalies in user-data access logs | |
| CN106209907B (zh) | 一种检测恶意攻击的方法及装置 | |
| CN105721387A (zh) | 防止网络劫持的方法 | |
| CN106878335A (zh) | 一种用于登录验证的方法及系统 | |
| CN114881469A (zh) | 一种面向企业职工的绩效考核和管理系统及其方法 | |
| US12058121B2 (en) | Secure system and method for preventing cross-site credential reuse | |
| CN108712450A (zh) | DDoS攻击的防护方法及系统 | |
| CN116155559A (zh) | 一种面向隐私计算的可扩容数据细粒度访问控制系统 | |
| CN109120607A (zh) | DDoS攻击的识别方法及系统 | |
| Casalicchio et al. | Measuring name system health | |
| KR100972206B1 (ko) | 공격 탐지 방법 및 장치 | |
| CN107454055B (zh) | 一种通过安全学习保护网站的方法、装置和系统 | |
| CN101778108B (zh) | 一种服务器主页防篡改的方法及装置 | |
| CN111614610A (zh) | 一种基于软件定义的私有区块链网络DDoS防御方法 | |
| Sharma et al. | Detecting insider attacks on databases using blockchains |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |