CN109005164A - 一种网络系统、设备、网络数据交互方法及存储介质 - Google Patents
一种网络系统、设备、网络数据交互方法及存储介质 Download PDFInfo
- Publication number
- CN109005164A CN109005164A CN201810806327.6A CN201810806327A CN109005164A CN 109005164 A CN109005164 A CN 109005164A CN 201810806327 A CN201810806327 A CN 201810806327A CN 109005164 A CN109005164 A CN 109005164A
- Authority
- CN
- China
- Prior art keywords
- user terminal
- network node
- target network
- address
- external server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网络系统,包括网络节点,其中网络节点的转发模块可以转发用户端与外部服务器之间传输的数据,因此可以在用户端与外部服务器交互的过程中,使外部服务器不直接与用户端连接交互,有效避免了攻击方通过用户端直接攻击外部服务器,而且网络节点的判断模块在用户端与网络节点建立连接后会检测用户端所占用的网络资源,当网络资源占用超出阈值时,则会将该用户端的标识信息添加至黑名单,使黑名单更新的更为灵活,从而防止变幻莫测的攻击手法;而且更新黑名单的过程对网络节点的性能、能耗等没有要求,从而可以节省安全防护的成本。本申请还提供一种网络数据交互方法、网络设备、计算机可读存储介质,同样可以实现上述技术效果。
Description
技术领域
本申请涉及网络安全技术领域,更具体地说,涉及一种网络系统、网络数据交互方法、网络设备及计算机可读存储介质。
背景技术
随着网络的发展,网络安全问题也随之备受关注。目前,DDOS(DistributedDenial of Service,分布式拒绝服务)是国内外的网络安全难题,DDOS攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。DDoS攻击通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的。
当前常见的防御方法是购买设备做流量分流,例如,当前公司做DDoS分流都是通过购买IDC机房的服务,其价格非常高,而且高负载的运转非常耗电,非常不环保。
目前还可以通过硬件防火墙的策略进行防御,但是当前的DDoS攻击手法非常繁多,具有代表性的是synflood以少打多,1:1攻击的cc攻击,让服务器很难分清到底是攻击者的流量还是普通用户的流量,硬件防火墙针对固定的攻击流量很有效,但是攻击者一旦将多种攻击流量混合在一起进行攻击,就很难有效的防护了。
因此,如何实现低成本高效的安全防护,是本领域技术人员需要解决的问题。
发明内容
本申请的目的在于提供一种网络系统、网络数据交互方法、网络设备及计算机可读存储介质,以解决如何实现低成本高效的安全防护的问题。
为实现上述目的,本申请实施例提供了如下技术方案:
一种网络系统,所述网络系统包括网络节点,其中,所述网络节点用于将用户端发送的访问数据转发至外部服务器,将所述外部服务器对所述访问数据的处理结果转发至所述用户端;
以及用于判断所述用户端占用所述网络节点的网络资源是否大于预设阈值,并当所述用户端占用所述网络节点的网络资源大于所述预设阈值时,将所述用户端对应的用户端标识信息加入到黑名单。
其中,所述网络系统包括调度服务器和至少二个与所述调度服务连接的所述网络节点,其中,所述调度服务器用于利用所述用户端的IP地址在所述至少两个所述网络节点中确定目标网络节点;
以及用于将所述目标网络节点的IP地址发送至所述用户端,以使所述用户端利用所述目标网络节点的IP地址向所述目标网络节点发送访问数据。
本申请还提供了一种网络数据交互方法,包括:
目标网络节点将用户端发送的访问数据转发至外部服务器,将所述外部服务器对所述访问数据的处理结果转发至所述用户端;
所述目标网络节点判断所述用户端占用所述目标网络节点的网络资源是否大于预设阈值;
若是,则所述目标网络节点将所述用户端对应的用户端标识信息加入至黑名单。
其中,所述目标网络节点将用户端发送的访问数据转发至外部服务器之前,还包括:
调度服务器利用所述用户端的IP地址确定至少一个目标网络节点;
所述调度服务器将所述至少一个目标网络节点的IP地址发送至所述用户端,以使所述用户端利用所述目标网络节点的IP地址向所述目标网络节点发送访问数据。
其中,其特征在于,所述调度服务器利用所述用户端的IP地址确定至少一个目标网络节点,包括:
所述调度服务器利用所述用户端的IP地址确定与所述用户端同地域和/或同运营商的优选网络节点;
从所述优选网络节点中选择至少一个目标网络节点。
其中,所述调度服务器利用所述用户端的IP地址确定至少一个目标网络节点,包括:
当所述用户端为sdk时,所述调度服务器对所述用户端发送的加密后的sdk信息进行解密,确定所述用户端的IP地址;
所述调度服务器利用所述用户端的IP地址确定至少一个目标网络节点。
其中,所述调度服务器利用所述用户端的IP地址确定至少一个目标网络节点,包括:
当所述用户端为web时,所述调度服务器利用所述用户端发送的鉴权信息对所述用户端进行鉴权通过时,利用所述用户端的IP地址确定至少一个目标网络节点。
其中,所述目标网络节点将用户端发送的访问数据转发至外部服务器,包括:
所述目标网络节点过滤所述用户端发送的访问数据中的攻击流量,并将过滤后的所述访问数据发送至所述外部服务器。
其中,所述目标网络节点将所述用户端对应的用户端标识信息加入至黑名单之后,还包括:
所述目标网络节点将加入了所述用户端标识信息的最新黑名单广播至所有网络节点,以使所有所述网络节点同步更新黑名单。
本申请还提供了一种网络节点设备,所述网络节点设备包括:
转发模块,用于将用户端发送的访问数据转发至外部服务器,将所述外部服务器对所述访问数据的处理结果转发至所述用户端;
判断模块,用于判断所述用户端占用所述网络节点的网络资源是否大于预设阈值;
黑名单更新模块,用于当所述用户端占用所述网络节点的网络资源大于所述预设阈值时,将所述用户端对应的用户端标识信息加入到黑名单。
本申请还提供了一种网络设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如所述网络数据交互方法的步骤。
本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如所述网络数据交互方法的步骤。
由此可见,本申请提供的一种网络系统,包括网络节点,其中网络节点的转发模块可以转发用户端与外部服务器之间传输的数据,因此可以在用户端与外部服务器交互的过程中,使外部服务器不直接与用户端连接交互,有效避免了攻击方通过用户端直接攻击外部服务器,而且网络节点的判断模块在用户端与网络节点建立连接后会检测用户端所占用的网络资源,当网络资源占用超出阈值时,则会将该用户端的标识信息添加至黑名单,使黑名单更新的更为灵活,从而防止变幻莫测的攻击手法;而且更新黑名单的过程对网络节点的性能、能耗等没有要求,从而可以节省安全防护的成本。本申请还提供一种网络数据交互方法、网络设备、计算机可读存储介质,同样可以实现上述技术效果。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的一种网络节点结构示意图;
图2为本申请实施例公开的一种具体的网络系统结构示意图;
图3为本申请实施例公开的一种网络数据交互方法流程图;
图4为本申请实施例公开的一种具体的网络数据交互方法流程图;
图5为本申请实施例公开的一种具体的网络数据交互方法流程图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例公开了一种网络系统、网络数据交互方法、网络设备及计算机可读存储介质,以解决如何实现低成本高效的安全防护的问题。
本申请实施例提供的一种网络系统,具体包括网络节点,其中所述网络节点具体用于将用户端发送的访问数据转发至外部服务器,将所述外部服务器对所述访问数据的处理结果转发至所述用户端;以及用于判断所述用户端占用所述网络节点的网络资源是否大于预设阈值,并当所述用户端占用所述网络节点的网络资源大于所述预设阈值时,将所述用户端对应的用户端标识信息加入到黑名单。
参见图1,在一个具体的实施方式中,上述网络节点具体包括:
转发模块101,用于将用户端发送的访问数据转发至外部服务器,将所述外部服务器对所述访问数据的处理结果转发至所述用户端。
在本方案中,为了保证服务器不被攻击者利用用户端进行攻击,由网络节点负责转发用户端与外部服务器间交互的数据。即,当用户端需要访问外部服务器时,首先与选定的网络节点建立连接,利用网络节点实现用户端与外部服务器的间接交互。
可以理解的是,本方案中直接与外部服务器相连的不是用户端,而是网络节点。网络节点在接收到用户端发送的访问数据后,将访问数据转发给外部服务器,由外部服务器对访问数据进行处理。
需要说明的是,网络节点的数量众多,例如数量可以是十万、百万、甚至更高数量级的网络节点,可以广泛分布于多个地域,不同的网络节点可以利用不同的运营商接入网络,因此数量众多的网络节点可涉及多每个运营商。
针对不同的用户端可以在上述网络节点中确定不同的目标网络节点,来负责不同用户端与外部服务器之间数据的转发。
具体地,网络节点的转发模块101将用户端发送的访问数据转发到外部服务器,并当外部服务器对该访问数据处理完成时,将处理结果转发至用户端。
在一个优选实施方式中,转发模块101具体用于过滤所述用户端发送的访问数据中的攻击流量,并将过滤后的所述访问数据发送至所述外部服务器。
判断模块102,用于判断所述用户端占用所述网络节点的网络资源是否大于预设阈值。
在本方案中,网络节点除了负责转发用户端与外部服务器之间的数据外,还需要动态更新黑名单。可以理解的是,黑名单中保存有可疑用户端的标识信息,因此可疑用户端将无法与网络节点连接,建立正常的服务。
具体地,网络节点的判断模块102需要判断与其建立连接的用户端占用的网络资源是否大于预设阈值。
需要说明的是,一般攻击端,例如DDOS攻击方,会与被攻击方建立大量的连接或者传输大流量数据,以导致被攻击方资源被大量占用,从而瘫痪,为了辨别用户端是否为安全的用户端,即非攻击端,网络节点需要确定该用户端占用网络节点的网络资源,网络资源具体可以包括与用户端与网络节点的连接数,以及用户端与网络节点之间传输数据的流量大小。
黑名单更新模块103,用于当所述用户端占用所述网络节点的网络资源大于所述预设阈值时,将所述用户端对应的用户端标识信息加入到黑名单。
具体地,如果用户端占用网络节点的网络资源大于预设阈值,则说明该用户端可能是攻击方的用户端,因此需要将该用户端的标识信息加入黑名单,拒绝该用户端与网络节点建立连接,同时避免该用户端与外部服务器实现交互。
举例来说,用户端所占用网络资源可以包括并发的连接数、单位时间内使用的流量大小等因素中的一个或多个,如果并发连接数过高,或者单位时间内使用的流量过高,可能该用户端是非正常的访问网络,例如是DDOS攻击,因此可将该用户端加入黑名单,对于加入黑名单的用户端,网络节点将断开与其的连接,或拒绝为其转发访问数据,从而将网络攻击流量与外部服务器隔绝。
需要说明的是,用户端标识可以具体为网络节点可以获取到的IP地址,也可以是其他对应网络节点的标识信息,在本方案中不做具体限定。
在一个优选的实施方式中,网络节点还包括广播模块,具体用于将加入了所述用户端标识信息的最新黑名单广播至所有网络节点,以使所有所述网络节点同步更新黑名单。
由此可见,本申请实施例提供的一种网络系统,包括网络节点,其中网络节点的转发模块可以转发用户端与外部服务器之间传输的数据,因此可以在用户端与外部服务器交互的过程中,使外部服务器不直接与用户端连接交互,有效避免了攻击方通过用户端直接攻击外部服务器,而且网络节点的判断模块在用户端与网络节点建立连接后会检测用户端所占用的网络资源,当网络资源占用超出阈值时,则会将该用户端的标识信息添加至黑名单,使黑名单更新的更为灵活,从而防止变幻莫测的攻击手法;而且更新黑名单的过程对网络节点的性能、能耗等没有要求,从而可以节省安全防护的成本。
下面对本申请实施例提供的一种具体的网络系统进行介绍,下文描述的一种具体的网络系统与上述实施例可以相互参照。
参见图2,本申请实施例提供的一种具体的网络系统,具体包括调度服务器12和至少二个与所述调度服务器12连接的网络节点11,其中,所述调度服务器12用于利用所述用户端的IP地址在所述至少两个所述网络节点中确定目标网络节点;以及用于将所述目标网络节点的IP地址发送至所述用户端,以使所述用户端利用所述目标网络节点的IP地址向所述目标网络节点发送访问数据。
在一个具体的实施方式中,调度服务器12包括:
目标网络节点确定模块201,用于利用所述用户端的IP地址在所述至少两个所述网络节点中确定目标网络节点。
由于网络系统中,网络节点的数量众多,对于不同的用户端来说,不同的网络节点体现出的性能也是不同的,例如,当网络节点与用户端属于同地域、同运营商,那么数据传输的速度与质量就会相对较好。因此,在本方案中,用户端在与网络节点连接之前,还需要在网络系统中确定目标网络节点。而调度服务器可以为用户端选择适合用户端的更优的目标网络节点。
在一个具体的实施方式中,用户端为sdk时,目标网络节点确定模块201具体用于对所述用户端发送的加密后的sdk信息进行解密,确定所述用户端的IP地址;所述目标网络节点确定模块201利用所述用户端的IP地址确定至少一个目标网络节点。
需要说明的是,用户端一般有两种形式,即使用sdk(Software Development Kit,软件开发工具包)的用户端和使用web的用户端,当用户端为sdk时一般为用户使用了sdk来进行连接目标网络节点以及发送访问数据的操作,而当用户端为web时,则没有安装sdk,只是利用网络请求来进行连接目标网络节点以及发送访问数据的操作。
当所述用户端为sdk时,用户端向调度服务器发送加密后的sdk信息。
在本方案中,用户端首先会对sdk信息进行加密,调度服务器的目标网络节点确定模块201具有解密正确sdk信息的能力,如果sdk信息是合法的,则调度服务器可以将sdk解密成正常的明文信息,如果sdk是非法的,则不能正常进行解密,因此,可以利用对sdk信息的加密与解密初步判断用户端是否为攻击方,当解密成功后,则在解密后的明文sdk信息中确定用户端的IP地址,目标网络节点确定模块201利用用户端的IP地址确定至少一个目标网络节点。
在另一个具体的实施方式中,用户端为web时,目标网络节点确定模块201具体用于利用所述用户端发送的鉴权信息对所述用户端进行鉴权通过时,利用所述用户端的IP地址确定至少一个目标网络节点。
当用户端为web时,则需要用户端向调度服务器发送鉴权信息。目标网络节点确定模块201利用鉴权信息对用户端进行鉴权,判断用户端是否为正常的合法用户端,当鉴权通过时,则认为用户端为正常的合法用户端,则确定其IP地址,利用用户端的IP地址确定至少一个目标网络节点。
确定目标网络节点的方法具体可以为,目标网络节点确定模块201首先利用用户端的IP地址在所有网络节点中确定至少一个目标网络节点。需要说明的是,利用用户端的IP地址可以解析出用户端的一些属性,从而根据这些属性在所有网络节点中确定与该属性相匹配的网络节点,将这些网络节点作为优选网络节点。
在一个具体的实施方式中,目标网络节点确定模块201利用所述用户端的IP地址确定与所述用户端同地域和/或同运营商的优选网络节点;从优选网络节点中选择至少一个目标网络节点。从而可以提高优选网络节点与用户端之间数据传输的速度和质量。例如,用户端的网络环境是江苏南京电信网,那么目标网络节点确定模块201会筛选江苏南京电信网的节点为作为目标网络节点。
可以理解的是,优选网络节点优选为地域与运营商均与客户端相同的节点,如不存在此种节点,则优选满足其中一种条件的节点作为目标网络节点。
需要说明的是,利用IP地址确定优选网络节点可能不只有一个,会有很多个符合条件的优选网络节点。而当向用户端返回一个优选网络节点的IP地址时,该IP地址出现错误时,就会导致该优选网络节点的IP地址不可用,则需要重新获取;如果将确定所有优选网络节点的IP地址均返回给用户端,供用户端挑选,则如果用户端为攻击方,那么攻击方则获取了所有可用的优选网络节点的信息,导致所有优选网络节点均被攻击而无法提供正常服务,造成重大的损失。
因此,在另一具体实施方式中,目标网络节点确定模块201确定预设个数,该预设个数限定了将多少个优选网络节点作为目标网络节点,并返回给用户端,预设个数一般为1到3个,具体个数也可以根据实际情况设定,此处不做具体限定,目标网络节点确定模块201在优选网络节点中确定预设个数的目标网络节点,并将预设个数的目标网络节点发送给用户端,使用户端在利用收到的目标网络节点的IP地址与目标网络节点进行连接。
为了更好的解决上述问题,预设个数优选为至少两个,具体值可以根据实际情况确定,此处不做具体限定。
在另一种具体的实施方式中,调度服务器监测各个网络节点的状态,具体可以通过ping网络节点来判断相应的网络节点是否在线或者是否能正常响应,目标网络节点确定模块201在选择优选网络节点时,会在能够正常响应和正常在线的正常网络节点中选择优选网络节点,再按照上述任一方法从优选网络节点中确定目标网络节点。
发送模块202,用于将所述目标网络节点的IP地址发送至所述用户端,以使所述用户端利用所述目标网络节点的IP地址向所述目标网络节点发送访问数据。
具体地,发送模块202将目标网络节点的IP地址发送至用户端,使用户端利用目标网络节点的IP地址与目标网络节点建立连接并向目标网络节点发送访问数据。
作为优选的,调度服务器部署有高防IP,高防IP是针对互联网服务器在遭受大流量的DDOS攻击后导致服务不可用的情况下,推出的付费增值服务,用户可以通过配置高防IP,将攻击流量引流到高防IP,确保源站的稳定可靠。
下面对本申请实施例提供的一种网络数据交互方法进行介绍,下文描述的一种网络数据交互方法与上述实施例可以相互参照。
参见图3,本申请实施例提供的一种网络数据交互方法,具体包括:
S301,目标网络节点将用户端发送的访问数据转发至外部服务器,将所述外部服务器对所述访问数据的处理结果转发至所述用户端。
具体地,目标网络节点将用户端发送访问数据转发到外部服务器,并当外部服务器对该访问数据处理完成时,将处理结果转发至用户端。访问数据即是用户端对外部服务器的访问数据,例如,可以是用户端获取外部服务器中数据的请求。
在一个优选实施方式中,目标网络节点首先过滤所述用户端发送的访问数据中的攻击流量,然后再将过滤后的所述访问数据发送至所述外部服务器。
需要说明的是,目标网络节点为上述网络节点中的一个或多个网络节点,有关网络节点的具体描述可以参考上述任一实施例,此处不再赘述。
S302,所述目标网络节点判断所述用户端占用所述目标网络节点的网络资源是否大于预设阈值。
具体地,目标网络节点判断与其建立连接的用户端占用的网络资源是否大于预设阈值。
需要说明的是,一般攻击端,例如DDOS攻击方,会与被攻击方建立大量的连接或者传输大流量数据,以导致被攻击方资源被大量占用,从而瘫痪,为了辨别用户端是否为安全的用户端,即非攻击端,目标网络节点需要确定该用户端占用网络节点的网络资源,网络资源具体可以包括与用户端与目标网络节点的连接数,以及用户端与目标网络节点之间传输数据的流量大小。
S303,若是,则所述目标网络节点将所述用户端对应的用户端标识信息加入至黑名单。
具体地,如果用户端占用网络节点的网络资源大于预设阈值,则说明该用户端可能是攻击方的用户端,因此需要将该用户端的标识信息加入黑名单,拒绝该用户端与目标网络节点建立连接,同时避免该用户端与外部服务器实现交互。
需要说明的是,用户端标识可以具体为目标网络节点可以获取到的用户端的标识,例如用户端IP地址,也可以是其他对应网络节点的标识信息,在本方案中不做具体限定。
在一个优选的实施方式中,目标网络节点在将用户端对应的用户端标识信息加入至黑名单后,还需要将加入了所述用户端标识信息的最新黑名单广播至所有网络节点,以使所有所述网络节点同步更新黑名单。
由此可见,本申请实施例提供的一种网络数据交互方法,目标网络节点可以转发用户端与外部服务器之间传输的数据,因此可以在用户端与外部服务器交互的过程中,使外部服务器不直接与用户端连接交互,有效避免了攻击方通过用户端直接攻击外部服务器,而且目标网络节点在用户端与网络节点建立连接后会检测用户端所占用的网络资源,当网络资源占用超出阈值时,则会将该用户端的标识信息添加至黑名单,使黑名单更新的更为灵活,从而防止变幻莫测的攻击手法;而且更新黑名单的过程对网络节点的性能、能耗等没有要求,从而可以节省安全防护的成本。
下面对本申请实施例提供的一种具体的网络数据交互方法进行介绍,下文描述的一种具体的网络数据交互方法与上述任一实施例可以相互参照。
参见图4,本申请实施例提供的一种具体的网络数据交互方法,具体包括:
S401,调度服务器利用所述用户端的IP地址确定至少一个目标网络节点。
由于网络系统中,网络节点的数量众多,对于不同的用户端来说,不同的网络节点体现出的性能也是不同的,例如,当网络节点与用户端属于同地域、同运营商,那么数据传输的速度与质量就会相对较好。因此,在本方案中,用户端在与网络节点连接之前,还需要在网络系统中确定目标网络节点。而调度服务器可以为用户端选择适合用户端的更优的目标网络节点。
具体的,调度服务器首先利用用户端的IP地址在所有网络节点中确定至少一个目标网络节点。需要说明的是,利用用户端的IP地址可以解析得到用户端的一些属性,从而根据这些属性在所有网络节点中确定与该属性相匹配的网络节点,将这些网络节点作为优选网络节点。
在一个具体的实施方式中,调度服务器利用用户端IP地址确定与用户端通地域和/或同运营商的优选网络节点,并从优选网络节点中选择至少一个目标网络节点。从而可以提高优选网络节点与用户端之间数据传输的速度和质量。例如,用户端的网络环境是江苏南京电信网,那么调度服务器会筛选江苏南京电信网的节点为作为目标网络节点。
可以理解的是,优选网络节点优选为地域与运营商均与客户端相同的节点,如不存在此种节点,则优选满足其中一种条件的节点作为优选网络节点。
需要说明的是,利用IP地址确定优选网络节点可能不只有一个,会有很多个符合条件的优选网络节点。而当向用户端返回一个优选网络节点的IP地址时,该IP地址出现错误时,就会导致该优选网络节点的IP地址不可用,则需要重新获取;如果将确定所有优选网络节点的IP地址均返回给用户端,供用户端挑选,则如果用户端为攻击方,那么攻击方则获取了所有可用的优选网络节点的信息,导致所有优选网络节点均被攻击而无法提供正常服务,造成重大的损失。
因此,在另一具体实施方式中,调度服务器确定预设个数,该预设个数限定了将多少个优选网络节点作为目标网络节点,并返回给用户端,预设个数一般为1到3个,具体个数也可以根据实际情况设定,此处不做具体限定,调度服务器在优选网络节点中确定预设个数的目标网络节点,并将预设个数的目标网络节点发送给用户端,使用户端在利用收到的目标网络节点的IP地址与目标网络节点进行连接。
为了更好的解决上述问题,预设个数优选为至少两个,具体值可以根据实际情况确定,此处不做具体限定。
另一种具体的实施方式中,调度服务器监测各个网络节点的状态,具体可以通过ping网络节点来判断相应的网络节点是否在线或者是否能正常响应,调度服务器在选择优选网络节点时,会在能够正常响应和正常在线的正常网络节点中选择优选网络节点,再按照上述任一方法从优选网络节点中确定目标网络节点。S402,所述调度服务器将所述至少一个目标网络节点的IP地址发送至所述用户端,以使所述用户端利用所述目标网络节点的IP地址向所述目标网络节点发送访问数据。
具体的,调度服务器将确定的至少一个目标网络节点的IP地址发送至用户端,使用户端利用接收到的目标网络节点的IP地址连接一个目标网络节点,向该目标网络节点发送访问数据。
作为优选的,调度服务器部署有高防IP,高防IP是针对互联网服务器在遭受大流量的DDOS攻击后导致服务不可用的情况下,推出的付费增值服务,用户可以通过配置高防IP,将攻击流量引流到高防IP,确保源站的稳定可靠。
S403,目标网络节点将用户端发送的访问数据转发至外部服务器,将所述外部服务器对所述访问数据的处理结果转发至所述用户端。
S404,所述目标网络节点判断所述用户端占用所述目标网络节点的网络资源是否大于预设阈值。
S405,若是,则所述目标网络节点将所述用户端对应的用户端标识信息加入至黑名单。
其中,S403、S404、S405的具体内容与上述实施例S301、S302、S303的内容相似,具体可以参考上述实施例,此处不再赘述。
下面对本申请实施例提供的一种具体的网络数据交互方法进行介绍,下文描述的一种具体的网络数据交互方法与上述任一实施例可以相互参照。
参见图5,本申请实施例提供的一种具体的网络数据交互方法,具体包括:
S501,当所述用户端为sdk时,所述调度服务器对所述用户端发送的加密后的sdk信息进行解密,确定所述用户端的IP地址。
需要说明的是,用户端一般有两种形式,即使用sdk(Software Development Kit,软件开发工具包)的用户端和使用web的用户端,当用户端为sdk时一般为用户使用了sdk来进行连接目标节点以及发送访问数据的操作,而当用户端为web时,则没有安装sdk,只是利用网络请求访问外部服务器。
当所述用户端为sdk时,用户端向调度服务器发送加密后的sdk信息。
在本方案中,用户端首先会对sdk信息进行加密,调度服务器具有解密正确sdk信息的能力,如果sdk信息是合法的,则调度服务器可以将sdk解密成正常的明文信息,如果sdk是非法的,则解密的结果则不能正常进行解密,因此,可以利用对sdk信息的加密与解密初步判断用户端是否为攻击方,当解密成功后,则在解密后的明文sdk信息中确定用户端的IP地址,利用用户端的IP地址确定至少一个目标网络节点。
S502,所述调度服务器利用所述用户端的IP地址确定至少一个目标网络节点。
S503,当所述用户端为web时,所述调度服务器利用所述用户端发送的鉴权信息对所述用户端进行鉴权通过时,利用所述用户端的IP地址确定至少一个目标网络节点。
当用户端为web时,则需要用户端向调度服务器发送鉴权信息。调度服务器利用鉴权信息对用户端进行鉴权,判断用户端是否为正常的合法用户端,当鉴权通过时,则认为用户端为正常用户端,则确定其IP地址,利用用户端的IP地址确定至少一个目标网络节点。
S504,所述调度服务器将所述至少一个目标网络节点的IP地址发送至所述用户端,以使所述用户端利用所述目标网络节点的IP地址向所述目标网络节点发送访问数据。
S505,目标网络节点将用户端发送的访问数据转发至外部服务器,将所述外部服务器对所述访问数据的处理结果转发至所述用户端。
S506,所述目标网络节点判断所述用户端占用所述目标网络节点的网络资源是否大于预设阈值。
S507,若是,则所述目标网络节点将所述用户端对应的用户端标识信息加入至黑名单。
其中,S505、S506、S507的具体内容与上述实施例S301、S302、S303的内容相似,具体可以参考上述实施例,此处不再赘述。
下面对本申请实施例提供的一种网络设备进行介绍,下文描述的一种网络设备与上述任一实施例可以相互参照。
本申请实施例提供的一种网络设备,具体包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述任一所述网络数据交互方法的步骤。
需要说明的是,存储器包括置于网络节点的第一存储器,也包括置于调度服务器的第二存储器,处理器包括置于网络节点的第一处理器,用于执行上述任一实施例中网络节点的相关操作,也包括置于调度服务器的第二处理器,用于执行上述任一实施例中调度服务器的相关操作。
本申请还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (12)
1.一种网络系统,其特征在于,所述网络系统包括网络节点,其中,
所述网络节点用于将用户端发送的访问数据转发至外部服务器,将所述外部服务器对所述访问数据的处理结果转发至所述用户端;
以及用于判断所述用户端占用所述网络节点的网络资源是否大于预设阈值,并当所述用户端占用所述网络节点的网络资源大于所述预设阈值时,将所述用户端对应的用户端标识信息加入到黑名单。
2.根据权利要求1所述的网络系统,其特征在于,所述网络系统包括调度服务器和至少二个与所述调度服务连接的所述网络节点,其中,
所述调度服务器用于利用所述用户端的IP地址在所述至少两个所述网络节点中确定目标网络节点;
以及用于将所述目标网络节点的IP地址发送至所述用户端,以使所述用户端利用所述目标网络节点的IP地址向所述目标网络节点发送访问数据。
3.一种网络数据交互方法,其特征在于,包括:
目标网络节点将用户端发送的访问数据转发至外部服务器,将所述外部服务器对所述访问数据的处理结果转发至所述用户端;
所述目标网络节点判断所述用户端占用所述目标网络节点的网络资源是否大于预设阈值;
若是,则所述目标网络节点将所述用户端对应的用户端标识信息加入至黑名单。
4.根据权利要求3所述的方法,其特征在于,所述目标网络节点将用户端发送的访问数据转发至外部服务器之前,还包括:
调度服务器利用所述用户端的IP地址确定至少一个目标网络节点;
所述调度服务器将所述至少一个目标网络节点的IP地址发送至所述用户端,以使所述用户端利用所述目标网络节点的IP地址向所述目标网络节点发送访问数据。
5.根据权利要求4所述的方法,其特征在于,
所述调度服务器利用所述用户端的IP地址确定至少一个目标网络节点,包括:
所述调度服务器利用所述用户端的IP地址确定与所述用户端同地域和/或同运营商的优选网络节点;
从所述优选网络节点中选择至少一个目标网络节点。
6.根据权利要求4所述的方法,其特征在于,所述调度服务器利用所述用户端的IP地址确定至少一个目标网络节点,包括:
当所述用户端为sdk时,所述调度服务器对所述用户端发送的加密后的sdk信息进行解密,确定所述用户端的IP地址;
所述调度服务器利用所述用户端的IP地址确定至少一个目标网络节点。
7.根据权利要求4所述的方法,其特征在于,所述调度服务器利用所述用户端的IP地址确定至少一个目标网络节点,包括:
当所述用户端为web时,所述调度服务器利用所述用户端发送的鉴权信息对所述用户端进行鉴权通过时,利用所述用户端的IP地址确定至少一个目标网络节点。
8.根据权利要求3所述的方法,其特征在于,所述目标网络节点将用户端发送的访问数据转发至外部服务器,包括:
所述目标网络节点过滤所述用户端发送的访问数据中的攻击流量,并将过滤后的所述访问数据发送至所述外部服务器。
9.根据权利要求3至8任意一项所述的方法,其特征在于,所述目标网络节点将所述用户端对应的用户端标识信息加入至黑名单之后,还包括:
所述目标网络节点将加入了所述用户端标识信息的最新黑名单广播至所有网络节点,以使所有所述网络节点同步更新黑名单。
10.一种网络节点设备,其特征在于,所述网络节点设备包括:
转发模块,用于将用户端发送的访问数据转发至外部服务器,将所述外部服务器对所述访问数据的处理结果转发至所述用户端;
判断模块,用于判断所述用户端占用所述网络节点的网络资源是否大于预设阈值;
黑名单更新模块,用于当所述用户端占用所述网络节点的网络资源大于所述预设阈值时,将所述用户端对应的用户端标识信息加入到黑名单。
11.一种网络设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求3至9任一项所述网络数据交互方法的步骤。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求3至9任一项所述网络数据交互方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810806327.6A CN109005164B (zh) | 2018-07-20 | 2018-07-20 | 一种网络系统、设备、网络数据交互方法及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810806327.6A CN109005164B (zh) | 2018-07-20 | 2018-07-20 | 一种网络系统、设备、网络数据交互方法及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109005164A true CN109005164A (zh) | 2018-12-14 |
| CN109005164B CN109005164B (zh) | 2021-05-18 |
Family
ID=64596869
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810806327.6A Active CN109005164B (zh) | 2018-07-20 | 2018-07-20 | 一种网络系统、设备、网络数据交互方法及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109005164B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110177102A (zh) * | 2019-05-28 | 2019-08-27 | 深圳市网心科技有限公司 | 基于边缘节点的防攻击方法、电子设备、系统及介质 |
| CN110381016A (zh) * | 2019-06-11 | 2019-10-25 | 辽宁途隆科技有限公司 | Cc攻击的防护方法及装置、存储介质、计算机设备 |
| CN113114698A (zh) * | 2021-04-21 | 2021-07-13 | 恒安嘉新(北京)科技股份公司 | 一种网络数据请求方法、系统、装置、设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101018156A (zh) * | 2007-02-16 | 2007-08-15 | 华为技术有限公司 | 防止带宽型拒绝服务攻击的方法、设备及系统 |
| CN101079779A (zh) * | 2007-07-13 | 2007-11-28 | 信息产业部电信传输研究所 | 公共安全防护系统和公共安全防护方法 |
| US20160205134A1 (en) * | 2015-01-13 | 2016-07-14 | Level 3 Communications, Llc | Isp blacklist feed |
| CN106789983A (zh) * | 2016-12-08 | 2017-05-31 | 北京安普诺信息技术有限公司 | 一种cc攻击防御方法及其防御系统 |
| CN107426181A (zh) * | 2017-06-20 | 2017-12-01 | 竞技世界(北京)网络技术有限公司 | 恶意Web访问请求的拦截方法及装置 |
| CN107592284A (zh) * | 2016-07-06 | 2018-01-16 | 华为技术有限公司 | 防DoS/DDoS攻击的装置和方法 |
| CN108040039A (zh) * | 2017-11-28 | 2018-05-15 | 深信服科技股份有限公司 | 一种识别攻击源信息的方法、装置、设备及系统 |
-
2018
- 2018-07-20 CN CN201810806327.6A patent/CN109005164B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101018156A (zh) * | 2007-02-16 | 2007-08-15 | 华为技术有限公司 | 防止带宽型拒绝服务攻击的方法、设备及系统 |
| CN101079779A (zh) * | 2007-07-13 | 2007-11-28 | 信息产业部电信传输研究所 | 公共安全防护系统和公共安全防护方法 |
| US20160205134A1 (en) * | 2015-01-13 | 2016-07-14 | Level 3 Communications, Llc | Isp blacklist feed |
| CN107592284A (zh) * | 2016-07-06 | 2018-01-16 | 华为技术有限公司 | 防DoS/DDoS攻击的装置和方法 |
| CN106789983A (zh) * | 2016-12-08 | 2017-05-31 | 北京安普诺信息技术有限公司 | 一种cc攻击防御方法及其防御系统 |
| CN107426181A (zh) * | 2017-06-20 | 2017-12-01 | 竞技世界(北京)网络技术有限公司 | 恶意Web访问请求的拦截方法及装置 |
| CN108040039A (zh) * | 2017-11-28 | 2018-05-15 | 深信服科技股份有限公司 | 一种识别攻击源信息的方法、装置、设备及系统 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110177102A (zh) * | 2019-05-28 | 2019-08-27 | 深圳市网心科技有限公司 | 基于边缘节点的防攻击方法、电子设备、系统及介质 |
| CN110381016A (zh) * | 2019-06-11 | 2019-10-25 | 辽宁途隆科技有限公司 | Cc攻击的防护方法及装置、存储介质、计算机设备 |
| CN113114698A (zh) * | 2021-04-21 | 2021-07-13 | 恒安嘉新(北京)科技股份公司 | 一种网络数据请求方法、系统、装置、设备及存储介质 |
| CN113114698B (zh) * | 2021-04-21 | 2022-10-14 | 恒安嘉新(北京)科技股份公司 | 一种网络数据请求方法、系统、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109005164B (zh) | 2021-05-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104468624B (zh) | Sdn控制器、路由/交换设备及网络防御方法 | |
| WO2019237813A1 (zh) | 一种服务资源的调度方法及装置 | |
| CN108551446A (zh) | 防攻击的syn报文处理方法、装置、防火墙及存储介质 | |
| JP2011030145A (ja) | 情報処理装置 | |
| CN105578463B (zh) | 一种双连接安全通讯的方法及装置 | |
| CN109005164A (zh) | 一种网络系统、设备、网络数据交互方法及存储介质 | |
| CN101252584B (zh) | 双向转发检测协议会话的认证方法、系统和设备 | |
| CN101378395A (zh) | 一种防止拒绝访问攻击的方法及装置 | |
| CN109005175A (zh) | 网络防护方法、装置、服务器及存储介质 | |
| CN106209883A (zh) | 基于链路选择和破碎重组的多链路传输方法及系统 | |
| EP3442195B1 (en) | Reliable and secure parsing of packets | |
| CN113746788A (zh) | 一种数据处理方法及装置 | |
| CN108092940A (zh) | 一种dns的防护方法及相关设备 | |
| CN108881233A (zh) | 防攻击处理方法、装置、设备及存储介质 | |
| CN109936515A (zh) | 接入配置方法、信息提供方法及装置 | |
| CN105429975B (zh) | 一种基于云终端的数据安全防御系统、方法及云终端安全系统 | |
| CN113872933B (zh) | 隐藏源站的方法、系统、装置、设备及存储介质 | |
| CN110505243A (zh) | 网络攻击的处理方法及装置、存储介质、电子装置 | |
| CN1905553B (zh) | 在dos攻击或者设备过载时保障所选用户访问的方法 | |
| CN111314283B (zh) | 防御攻击的方法和装置 | |
| CN108418844A (zh) | 一种应用层攻击的防护方法及攻击防护端 | |
| CN112291248A (zh) | 一种防护HTTPS DDoS攻击的方法及设备 | |
| CN102143154A (zh) | 用于媒体服务器上防攻击的方法和媒体服务器 | |
| CN106549784B (zh) | 一种数据处理方法和设备 | |
| CN113162922B (zh) | 客户端数据的获取方法及装置、存储介质、电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |