CN109617913B - 一种快速定位多用户共享节点DDoS攻击的管理方法 - Google Patents
一种快速定位多用户共享节点DDoS攻击的管理方法 Download PDFInfo
- Publication number
- CN109617913B CN109617913B CN201910035774.0A CN201910035774A CN109617913B CN 109617913 B CN109617913 B CN 109617913B CN 201910035774 A CN201910035774 A CN 201910035774A CN 109617913 B CN109617913 B CN 109617913B
- Authority
- CN
- China
- Prior art keywords
- protection
- websites
- ddos attack
- verification
- website
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5053—Lease time; Renewal aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5076—Update or notification mechanisms, e.g. DynDNS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种快速定位多用户共享节点DDoS攻击的管理方法,在无DDoS攻击时期,防护网站统一使用日常使用的IP;DDoS攻击来临时,将M个防护网站均匀划分到无DDoS攻击时期不投入使用的Y个验证IP上;若余数为Z,则其中的Z×P个网站中每P个网站共同使用1个验证IP,且P=(M‑Z)/Y+1;剩余的M‑Z×P个网站,每(M‑Z)/Y个网站共享使用1个验证IP;遭受新的DDoS攻击时,则将其他未遭受DDoS攻击的验证IP上的防护网站迁移回日常使用的IP上,再将当前正遭受DDoS攻击的验证IP上的防护网站按步骤1的方式进行二次划分;直至验证出最终实际被黑客攻击的防护网站。本发明可有效解决防护节点IP数远远少于防护网站数的情况,缓解公网IP地址资源枯竭压力及高租用公网IP成本。
Description
技术领域
本发明涉及网络安全技术领域,具体为一种快速定位多用户共享节点DDoS攻击的管理方法。
背景技术
DDoS攻击是通过DNS解析到的唯一标识符,即IP地址进行攻击。国内主流大型云防护厂商通常使用的方式为1个防护节点IP地址对应1个防护域名。随着云防护厂商平台业务量上升,防护域名增多,需面对两点问题:1.公网IP地址不足,IPv4地址已于2011年2月分配耗尽;2.公网IP地址租用价格不菲,防御成本高。如电信为1000元/个/月,联通为800元/个/月。
DDoS:分布式拒绝服务(Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。
云防护:用户被防护域名的DNS解析交给云防护厂商。(有两种方式:一是NS类型,此域名下的所有解析都交给云防护厂商;二是cname方式,挨个将单个子域名的解析交给云防护厂商分别提供的别名地址。)云防护厂商通过DNS解析的别名地址,自由调度防护节点,表现形式为DNS解析到的IP地址的变化。
发明内容
针对上述问题,本发明的目的在于提供一种通过灵活调度网站所使用的防护IP,有效解决防护节点IP数远远少于防护网站数的情况的快速定位多用户共享节点DDoS攻击的管理方法。技术方案如下:
一种快速定位多用户共享节点DDoS攻击的管理方法,包括
A:无DDoS攻击时,M个防护网站统一使用日常使用的1个IP,该IP完成所有网站的流量转发功能;
B:DDoS攻击来临时,处理步骤如下:
步骤1:将M个防护网站划分到无DDoS攻击时期不投入使用的Y个验证IP上:计算余数Z:Z =M%Y;
若Z=0,则平分M个防护网站到Y个防护IP上共享使用;
若Z不为0,则其中的Z×P个防护网站中每P个防护网站共同使用1个验证IP,使用前Z个验证IP,且P=(M-Z)/Y+1;剩余的M-Z×P个防护网站中,每(M-Z)/Y个防护网站共享使用1个验证IP,使用为第Z+1至第Y个验证IP;
步骤2:随着DNS解析更新,被攻击网站使用的IP地址更新,黑客将重新发动DDoS攻击到该被攻击网站当前使用的IP地址;一旦遭受新的DDoS攻击,则先将其他未遭受DDoS攻击的验证IP上的防护网站迁移回日常使用的IP上,然后将当前正遭受DDoS攻击的验证IP上的防护网站按步骤1的方式进行二次划分;
步骤3:随着不断地划分,重复以上步骤1和步骤2,直至验证出最终实际被黑客攻击的防护网站。
本发明的有益效果是:本发明通过灵活调度网站使用防护IP的方式,即便网站在被DDoS的情况下,依然不影响其日常网民访问;同时可通过对防护网站进行归类划分, 决定日常使用节点个数;(如行业划分,不同行业的攻击风险有差异)如此,I 类防护网站群被攻击时可使用验证IP验证,II类防护网站群被攻击时也可使用验证IP验证。此种方式,可有效解决防护节点IP数远远少于防护网站数的情况,缓解公网IP地址资源枯竭压力及高租用公网IP成本。
具体实施方式
下面结合具体实施例对本发明做进一步详细说明。防护网站一共有M个,里面有一个为被黑客DDoS攻击的网站;
每个防护节点对应不同的IP地址,一共有N个,防护网站远远大于防护IP的数量,N=X+Y。X为日常使用的1个IP;Y为验证IP数,验证节点在无DDoS攻击时期不投入使用。
1)无DDoS攻击时期
M个网站统一使用日常使用的IP,该IP完成所有网站的流量转发功能。
2)DDoS攻击来临
算法步骤:
步骤1:将M个防护网站尽可能平等地划分到Y个验证IP上:
计算余数Z:Z =M%Y;
若Z=0,则平分M个网站到Y个防护IP上共享使用;
若Z不为0,则其中的Z×P个防护网站中每P个防护网站共同使用1个验证IP,使用前Z个验证IP,且P=(M-Z)/Y+1;剩余的M-Z×P个防护网站中,每(M-Z)/Y个防护网站共享使用1个验证IP,使用为第Z+1至第Y个验证IP。
步骤2:随着DNS解析更新,被攻击网站使用的IP地址更新,黑客将重新发动DDoS攻击到该被攻击网站当前使用的IP地址;一旦遭受新的DDoS攻击,则先将其他未遭受DDoS攻击的验证IP上的防护网站迁移回日常使用的IP上,然后将当前正遭受DDoS攻击的验证IP上的防护网站按步骤1的方式进行二次划分。
步骤3:随着不断地划分,重复以上步骤1和步骤2,直至验证出最终实际被黑客攻击的这一个网站。
举例说明:
防护网站一共10个;5号网站为被攻击网站。防护IP一共4个,1~3号IP为验证IP,4号IP为日常使用节点IP。
1)无DDoS攻击时期:
10个网站统一使用4号IP
2)DDoS攻击来临:
步骤1:10%3=1,余数不为0,1号验证IP防护1~4号网站,2、3号验证IP防护5~7、8~10号网站。
步骤2:随着DNS解析更新,新的DDoS攻击发动到了2号IP上。则先将1、3号IP的网站全部迁移回4号IP上;其次,2号验证IP的防护网站再次进行划分。3%3=0,则1、2、3号验证IP分别防护5、6、7号网站。
步骤3:DNS解析再次更新,此时DDoS攻击发动在1号IP上,即可验证到是5号网站被打。
Claims (1)
1.一种快速定位多用户共享节点DDoS攻击的管理方法,其特征在于,包括
A:无DDoS攻击时,防护网站统一使用日常使用的1个IP,该IP完成所有网站的流量转发功能;
所述防护网站一共有M个,每个防护节点对应不同的IP地址,一共有N个,N=X+Y,X为日常使用的IP;Y为验证IP数,验证节点在无DDoS攻击时期不投入使用;
B:DDoS攻击来临时,处理步骤如下:
步骤1:将M个防护网站划分到无DDoS攻击时期不投入使用的Y个验证IP上:计算余数Z:Z=M%Y;
若Z=0,则平分M个防护网站到Y个验证IP上共享使用;
若Z不为0,则其中的Z×P个防护网站中每P个防护网站共同使用1个验证IP,使用前Z个验证IP,且P=(M-Z)/Y+1;剩余的M-Z×P个防护网站中,每(M-Z)/Y个防护网站共享使用1个验证IP,使用为第Z+1至第Y个验证IP;
步骤2:随着DNS解析更新,被攻击网站使用的IP地址更新,黑客将重新发动DDoS攻击到该被攻击网站当前使用的IP地址;一旦遭受新的DDoS攻击,则先将其他未遭受DDoS攻击的验证IP上的防护网站迁移回日常使用的IP上,然后将当前正遭受DDoS攻击的验证IP上的防护网站按步骤1的方式进行二次划分;
步骤3:随着不断地划分,重复以上步骤1和步骤2,直至验证出最终实际被黑客攻击的防护网站。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910035774.0A CN109617913B (zh) | 2019-01-15 | 2019-01-15 | 一种快速定位多用户共享节点DDoS攻击的管理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910035774.0A CN109617913B (zh) | 2019-01-15 | 2019-01-15 | 一种快速定位多用户共享节点DDoS攻击的管理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109617913A CN109617913A (zh) | 2019-04-12 |
CN109617913B true CN109617913B (zh) | 2021-04-27 |
Family
ID=66017336
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910035774.0A Active CN109617913B (zh) | 2019-01-15 | 2019-01-15 | 一种快速定位多用户共享节点DDoS攻击的管理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109617913B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103179136A (zh) * | 2013-04-22 | 2013-06-26 | 南京铱迅信息技术有限公司 | 防御动态网站中饱和分布式拒绝服务攻击的方法和系统 |
CN104079421A (zh) * | 2013-03-27 | 2014-10-01 | 中国移动通信集团北京有限公司 | 一种域名系统防护的方法和系统 |
CN104113519A (zh) * | 2013-04-16 | 2014-10-22 | 阿里巴巴集团控股有限公司 | 网络攻击检测方法及其装置 |
CN105897674A (zh) * | 2015-11-25 | 2016-08-24 | 乐视云计算有限公司 | 用于CDN服务器群组的DDoS攻击防护方法及系统 |
CN106302313A (zh) * | 2015-05-14 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 基于调度系统的DDoS防御方法和DDoS防御系统 |
CN107517195A (zh) * | 2016-06-17 | 2017-12-26 | 阿里巴巴集团控股有限公司 | 一种内容分发网络定位攻击域名的方法和装置 |
CN107592323A (zh) * | 2017-11-02 | 2018-01-16 | 江苏物联网研究发展中心 | 一种DDoS检测方法及检测装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040148520A1 (en) * | 2003-01-29 | 2004-07-29 | Rajesh Talpade | Mitigating denial of service attacks |
-
2019
- 2019-01-15 CN CN201910035774.0A patent/CN109617913B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104079421A (zh) * | 2013-03-27 | 2014-10-01 | 中国移动通信集团北京有限公司 | 一种域名系统防护的方法和系统 |
CN104113519A (zh) * | 2013-04-16 | 2014-10-22 | 阿里巴巴集团控股有限公司 | 网络攻击检测方法及其装置 |
CN103179136A (zh) * | 2013-04-22 | 2013-06-26 | 南京铱迅信息技术有限公司 | 防御动态网站中饱和分布式拒绝服务攻击的方法和系统 |
CN106302313A (zh) * | 2015-05-14 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 基于调度系统的DDoS防御方法和DDoS防御系统 |
CN105897674A (zh) * | 2015-11-25 | 2016-08-24 | 乐视云计算有限公司 | 用于CDN服务器群组的DDoS攻击防护方法及系统 |
CN107517195A (zh) * | 2016-06-17 | 2017-12-26 | 阿里巴巴集团控股有限公司 | 一种内容分发网络定位攻击域名的方法和装置 |
CN107592323A (zh) * | 2017-11-02 | 2018-01-16 | 江苏物联网研究发展中心 | 一种DDoS检测方法及检测装置 |
Also Published As
Publication number | Publication date |
---|---|
CN109617913A (zh) | 2019-04-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Khan et al. | Topology discovery in software defined networks: Threats, taxonomy, and state-of-the-art | |
Demchak et al. | China’s maxim–leave no access point unexploited: The hidden story of china telecom’s bgp hijacking | |
Plohmann et al. | Case study of the miner botnet | |
US9743282B2 (en) | Computer system hardware validation for virtual communication network elements | |
Hijazi et al. | Address resolution protocol spoofing attacks and security approaches: A survey | |
CN105897782A (zh) | 一种针对接口的调用请求的处理方法及装置 | |
US11863570B2 (en) | Blockchain-based network security system and processing method | |
Gondim et al. | Mirror saturation in amplified reflection Distributed Denial of Service: A case of study using SNMP, SSDP, NTP and DNS protocols | |
CN103634786A (zh) | 一种无线网络的安全检测和修复的方法与系统 | |
Liska et al. | DNS Security: Defending the Domain Name System | |
Nam et al. | Mitigating ARP poisoning-based man-in-the-middle attacks in wired or wireless LAN | |
Rajendran | DNS amplification & DNS tunneling attacks simulation, detection and mitigation approaches | |
Bowen et al. | Next generation SCADA security: best practices and client puzzles | |
CN111314379A (zh) | 被攻击域名识别方法、装置、计算机设备和存储介质 | |
Ma et al. | A mutation-enabled proactive defense against service-oriented man-in-the-middle attack in kubernetes | |
AlSa’deh et al. | IPv6 stateless address autoconfiguration: balancing between security, privacy and usability | |
CN109617913B (zh) | 一种快速定位多用户共享节点DDoS攻击的管理方法 | |
Bisiaux | DNS threats and mitigation strategies | |
Yang et al. | An SDN‐based MTD model | |
KR101703491B1 (ko) | 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템 | |
Guangjia et al. | Using multi‐address generation and duplicate address detection to prevent DoS in IPv6 | |
CN108737452A (zh) | 基于dns协议的访问控制和病毒防御方法和系统 | |
Singh et al. | Performance analysis of emm an edos mitigation technique in cloud computing environment | |
Jia et al. | Revisiting inter-as ip spoofing let the protection drive source address validation | |
Zhu et al. | Internet security protection for IRC-based botnet |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP02 | Change in the address of a patent holder | ||
CP02 | Change in the address of a patent holder |
Address after: 9/F, Block C, No. 28 Tianfu Avenue North Section, Chengdu High tech Zone, China (Sichuan) Pilot Free Trade Zone, Chengdu City, Sichuan Province, 610000 Patentee after: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd. Address before: 610000, 11th floor, building 2, No. 219, Tianfu Third Street, hi tech Zone, Chengdu, Sichuan Province Patentee before: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd. |