CN110138783A - 一种基于云计算平台处理DDoS攻击的方法 - Google Patents
一种基于云计算平台处理DDoS攻击的方法 Download PDFInfo
- Publication number
- CN110138783A CN110138783A CN201910407911.9A CN201910407911A CN110138783A CN 110138783 A CN110138783 A CN 110138783A CN 201910407911 A CN201910407911 A CN 201910407911A CN 110138783 A CN110138783 A CN 110138783A
- Authority
- CN
- China
- Prior art keywords
- cloud computing
- computing platform
- entrance
- ddos attack
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5061—Pools of addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于云计算平台处理DDoS攻击的方法,包括以下步骤:检测业务所在的所述云计算平台入口的IP状态;基于检测结果,确定是否更换所述云计算平台入口的IP。本发明还公开了一种基于云计算平台处理DDoS攻击的系统,包括监控模块、分析模块、云计算平台入口模块、入口更换模块。本发明通过多点监控判断服务入口IP是否DDoS,DDoS时使用云计算平台IP地址池处理DDoS攻击,降低了处理DDoS费用,降低了运维排查故障的时间,提高故障解决的效率。
Description
技术领域
本发明计算机科学软件信息技术领域,具体涉及一种基于云计算平台处理DDoS攻击的方法。
背景技术
DDoS(Distributed Denial of Service)称为分布式拒绝服务攻击,指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。
现有处理DDoS的方法通常是使用流量清洗处理DDoS的攻击,使用流量入口切至高防IP,但是这种方法有两个缺点:一、高防IP访问网络不稳定;二、使用费用较高。
发明内容
针对现有技术中的缺陷,本发明提供了一种基于云计算平台处理DDOS攻击的方法,解决上述问题。
为了解决上述技术问题,本发明采用了如下的技术方案:
一种基于云计算平台处理DDoS攻击的方法,其特征在于,包括以下步骤:
检测业务所在的所述云计算平台入口的IP状态;
基于检测结果,确定是否更换所述云计算平台入口的IP。
其中,所述检测业务所在的所述云计算平台入口的IP状态包括:
检测业务所在的所述云计算平台入口的IP状态的多个结果。
其中,基于检测结果,确定是否更换所述云计算平台入口的IP包括:
判断所述云计算平台入口的IP是否处于黑洞,若未处于黑洞,则继续检测。
其中,若处于黑洞,则通知所述云计算平台入口申请新的IP。
其中,所述方法还包括
更换业务所在的所述云计算平台入口的IP.
其中,所述检测业务所在的所述云计算平台入口的IP状态具体包括:
定期检测所述云计算平台入口的网络连通性及端口状态
其中,所述收集多个定期检测到的云平台入口的IP状态并判断所述云平台入口的IP是否处于黑洞,若未处于黑洞,则继续检测的具体步骤为:
收集多个定期检测的云计算平台入口的网络连通性及端口状态并判断所述云计算平台入口的IP是否处于黑洞,若所述云计算平台入口的IP未处于黑洞,则多个监控模块继续检测。
其中,所述通知云平台入口申请新的IP的具体步骤为:通知云计算平台入口在云计算平台IP地址池中申请新的IP。
本发明还提出了一种基于云计算平台处理DDoS攻击的系统,其特征在于,包括监控模块、分析模块、云计算平台入口模块、入口更换模块;
所述监控模块,设置在多地区,用于检测业务所在的云计算平台入口的IP状态;
所述分析模块,用于收集多个监控模块检测到的云计算平台入口的IP状态并判断所述云计算平台入口的IP是否处于黑洞;
所述云计算平台入口模块用于申请新的IP;
所述入口更换模块用于更换业务所在的云计算平台入口的IP。
其中,所述云计算平台入口模块在云计算平台IP地址池中申请新的IP。
其中,所述监控模块定期检测云计算平台入口的网络连通性及端口状态。
其中,所述定期为60s。
这样,可以在不浪费资源的情况下保证了云计算平台入口的安全性。
本发明的有益效果体现在:本发明通过多点监控判断服务入口IP是否DDoS,DDoS时使用云计算平台IP地址池处理DDoS攻击,降低了处理DDoS费用,降低了运维排查故障的时间,提高故障解决的效率。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中,类似的元件或部分一般由类似的附图标记标识。附图中,各元件或部分并不一定按照实际的比例绘制。
图1为本发明某一实施例所述一种基于云计算平台处理DDoS攻击的方法的流程图;
图2为本发明另一实施例所述一种基于云计算平台处理DDoS攻击的方法的流程图
图3为本发明所述一种基于云计算平台处理DDoS攻击的系统的系统结构图。
具体实施方式
下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案,因此只作为示例,而不能以此来限制本发明的保护范围。
需要注意的是,除非另有说明,本申请使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。
如图3所示,一种基于云计算平台处理DDoS攻击的系统,包括监控模块、分析模块、云计算平台入口模块、入口更换模块;
监控模块设置在多地区,用于检测业务所在的云计算平台入口的IP状态。
本实施例中,监控模块定期检测云计算平台入口的网络连通性及端口状态。
分析模块用于收集多个监控模块检测到的云计算平台入口的IP状态并判断云计算平台入口的IP是否处于黑洞。
目前最常用的黑洞防御手段的为:
攻击时,黑客会从全球汇集攻击流量,攻击流量汇集进入运营商的骨干网络,再由骨干网络进入下一级运营商,通过运营商的线路进入云计算机房,直到抵达云主机。
而我们的防御策略刚好是逆向的,云服务商与运营商签订协议,运营商支持云服务厂商发布的黑洞路由,并将黑洞路由扩散到全网,就近丢弃指定IP的流量。
当云服务商监测到被攻击,且超出了免费防御的限度后,为了防止攻击流量到达机房的阈值,云计算系统会向上级运营商发送特殊的路由,丢弃这个IP的流量,使得流量被就近丢弃在运营商的黑洞中。
云计算平台入口模块于申请新的IP。
本实施例中,云计算平台入口模块在云计算平台IP地址池中申请新的IP。
入口更换模块用于更换业务所在的云计算平台入口的IP。
如图1所示,为本发明提出的一种基于云计算平台处理DDoS攻击的方
法,其特征在于,包括以下步骤:
检测业务所在的所述云计算平台入口的IP状态;
基于检测结果,确定是否更换所述云计算平台入口的IP。
其中,所述检测业务所在的所述云计算平台入口的IP状态包括:
检测业务所在的所述云计算平台入口的IP状态的多个结果。
其中,基于检测结果,确定是否更换所述云计算平台入口的IP包括:
判断所述云计算平台入口的IP是否处于黑洞,若未处于黑洞,则继续检测。
其中,若处于黑洞,则通知所述云计算平台入口申请新的IP。
其中,所述方法还包括
更换业务所在的所述云计算平台入口的IP.
其中,所述检测业务所在的所述云计算平台入口的IP状态具体包括:
定期检测所述云计算平台入口的网络连通性及端口状态
其中,所述收集多个定期检测到的云平台入口的IP状态并判断所述云平台入口的IP是否处于黑洞,若未处于黑洞,则继续检测的具体步骤为:
收集多个定期检测的云计算平台入口的网络连通性及端口状态并判断所述云计算平台入口的IP是否处于黑洞,若所述云计算平台入口的IP未处于黑洞,则多个监控模块继续检测。
其中,所述通知云平台入口申请新的IP的具体步骤为:通知云计算平台入口在云计算平台IP地址池中申请新的IP。如图2所示,一种基于云计算平台处理DDoS攻击的方法,包括以下步骤:
S1、在多地区建立多个监控模块,监控模块用于检测业务所在的云计算平台入口的IP状态。
本实施例中,多地区是指在多个地方,例如在北京,上海,云南,重庆建立监控模块,每个地方至少建立一个监控模块,一个监控模块就是一个监控点,监控模块定期检测云计算平台入口的网络连通性及端口状态,多个监控模块检测地址为同一个IP的云计算平台入口。
S2、收集多个监控模块检测到的云计算平台入口的IP状态并判断云计算平台入口的IP是否处于黑洞,若未处于黑洞,则继续检测;若处于黑洞,则转S3。
步骤S2的具体步骤为:收集多个监控模块定期检测的云计算平台入口的网络连通性及端口状态并判断云计算平台入口的IP是否处于黑洞,若云计算平台入口的IP未处于黑洞,则多个监控模块继续检测;若云计算平台入口的IP处于黑洞,则转入步骤S3。本实施例中,定期检测是指每60s检测一次,检测的云计算平台入口的网络连通性及端口状态是指检测网络ping情况和检测业务状态情况,当检测网络ping情况为100%丢包或检测业务状态失败时可理解为IP处于黑洞。
S3、通知云计算平台入口申请新的IP。
步骤S3的具体步骤为:通知云计算平台入口在云计算平台IP地址池中申请新的IP。申请新的IP为现有技术。本实施例中,云计算平台入口为阿里云提供的申请负责均衡的API接口。申请过程为:1,先查询被DDoS攻击处于黑洞的负载均衡a的信息,其中负载均衡a的信息包括IP地址、对外端口、绑定的后端服务器及对应端口。2通过阿里云API接口申请新的负责均衡b,添加上一步查询到的对外端口,后端服务器及对应端口,可以理解为b克隆了a的属性,除公网IP不同。
S4、更换业务所在的云计算平台入口的IP。更换IP的方法也是现有技术,例如云计算平台入口所在域名对外使用的可以通过更改域名解析更换云计算平台入口的IP,自动调用例如dnspod接口进行更换。这里就不再赘述。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
Claims (10)
1.一种基于云计算平台处理DDoS攻击的方法,其特征在于,包括以下步骤:
检测业务所在的云计算平台入口的IP状态;
基于检测结果,确定是否更换所述云计算平台入口的IP。
2.根据权利要求1所述一种基于云计算平台处理DDoS攻击的方法,其特征在于,所述检测业务所在的云计算平台入口的IP状态包括:
检测业务所在的云计算平台入口的IP状态的多个结果。
3.根据权利要求2所述一种基于云计算平台处理DDoS攻击的方法,其特征在于,基于检测结果,确定是否更换所述云计算平台入口的IP包括:
判断所述云计算平台入口的IP是否处于黑洞,若未处于黑洞,则继续检测。
4.根据权利要求3所述一种基于云计算平台处理DDoS攻击的方法,其特征在于,若处于黑洞,则通知所述云计算平台入口申请新的IP。
5.根据权利要求1所述一种基于云计算平台处理DDoS攻击的方法,其特征在于,所述方法还包括:
更换业务所在的所述云计算平台入口的IP。
6.根据权利要求1所述一种基于云计算平台处理DDoS攻击的方法,其特征在于,所述检测业务所在的所述云计算平台入口的IP状态具体包括:
定期检测所述云计算平台入口的网络连通性及端口状态。
7.一种基于云计算平台处理DDoS攻击的系统,其特征在于,包括监控模块、分析模块、云计算平台入口模块、入口更换模块;
所述监控模块,设置在多地区,用于检测业务所在的云计算平台入口的IP状态;
所述分析模块,用于收集多个监控模块检测到的云计算平台入口的IP状态并判断所述云计算平台入口的IP是否处于黑洞;
所述云计算平台入口模块用于申请新的IP;
所述入口更换模块用于更换业务所在的云计算平台入口的IP。
8.根据权利要求7所述一种基于云计算平台处理DDoS攻击的系统,其特征在于,所述云计算平台入口模块在云计算平台IP地址池中申请新的IP。
9.根据权利要求7所述一种基于云计算平台处理DDoS攻击的系统,其特征在于,所述监控模块定期检测云计算平台入口的网络连通性及端口状态。
10.根据权利要求9所述一种基于云计算平台处理DDoS攻击的系统,其特征在于,所述定期为60s。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910407911.9A CN110138783A (zh) | 2019-05-15 | 2019-05-15 | 一种基于云计算平台处理DDoS攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910407911.9A CN110138783A (zh) | 2019-05-15 | 2019-05-15 | 一种基于云计算平台处理DDoS攻击的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110138783A true CN110138783A (zh) | 2019-08-16 |
Family
ID=67574447
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910407911.9A Pending CN110138783A (zh) | 2019-05-15 | 2019-05-15 | 一种基于云计算平台处理DDoS攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110138783A (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130044758A1 (en) * | 2011-08-18 | 2013-02-21 | Han Nguyen | Dynamic Traffic Routing And Service Management Controls For On-Demand Application Services |
| CN103179136A (zh) * | 2013-04-22 | 2013-06-26 | 南京铱迅信息技术有限公司 | 防御动态网站中饱和分布式拒绝服务攻击的方法和系统 |
| CN104967540A (zh) * | 2014-06-10 | 2015-10-07 | 腾讯科技(深圳)有限公司 | 服务器状态检测方法和装置 |
| CN106302313A (zh) * | 2015-05-14 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 基于调度系统的DDoS防御方法和DDoS防御系统 |
| CN106657134A (zh) * | 2017-01-12 | 2017-05-10 | 算丰科技(北京)有限公司 | 稳定通信的方法、系统、挖矿服务器和客户端 |
| CN107104921A (zh) * | 2016-02-19 | 2017-08-29 | 阿里巴巴集团控股有限公司 | DDoS攻击防御方法及装置 |
| CN107332810A (zh) * | 2016-04-29 | 2017-11-07 | 阿里巴巴集团控股有限公司 | 攻击防御方法及装置、系统 |
-
2019
- 2019-05-15 CN CN201910407911.9A patent/CN110138783A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130044758A1 (en) * | 2011-08-18 | 2013-02-21 | Han Nguyen | Dynamic Traffic Routing And Service Management Controls For On-Demand Application Services |
| CN103179136A (zh) * | 2013-04-22 | 2013-06-26 | 南京铱迅信息技术有限公司 | 防御动态网站中饱和分布式拒绝服务攻击的方法和系统 |
| CN104967540A (zh) * | 2014-06-10 | 2015-10-07 | 腾讯科技(深圳)有限公司 | 服务器状态检测方法和装置 |
| CN106302313A (zh) * | 2015-05-14 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 基于调度系统的DDoS防御方法和DDoS防御系统 |
| CN107104921A (zh) * | 2016-02-19 | 2017-08-29 | 阿里巴巴集团控股有限公司 | DDoS攻击防御方法及装置 |
| CN107332810A (zh) * | 2016-04-29 | 2017-11-07 | 阿里巴巴集团控股有限公司 | 攻击防御方法及装置、系统 |
| CN106657134A (zh) * | 2017-01-12 | 2017-05-10 | 算丰科技(北京)有限公司 | 稳定通信的方法、系统、挖矿服务器和客户端 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103607399B (zh) | 基于暗网的专用ip网络安全监测系统及方法 | |
| Rajab et al. | On the Effectiveness of Distributed Worm Monitoring. | |
| US20130074181A1 (en) | Auto Migration of Services Within a Virtual Data Center | |
| US9055095B2 (en) | DOS detection and mitigation in a load balancer | |
| US20170006082A1 (en) | Software Defined Networking (SDN) Orchestration by Abstraction | |
| US20150304344A1 (en) | System and method for controlling virtual network including security function | |
| US9934059B2 (en) | Flow migration between virtual network appliances in a cloud computing network | |
| CN106533724B (zh) | 监控和优化网络功能虚拟化nfv网络的方法、装置及系统 | |
| EP3382973B1 (en) | Early-warning decision method, node and sub-system | |
| CN108306747B (zh) | 一种云安全检测方法、装置和电子设备 | |
| CN103178988B (zh) | 一种性能优化的虚拟化资源的监控方法和系统 | |
| CN109981405B (zh) | 节点管理方法、装置及计算机可读存储介质 | |
| CN110381033A (zh) | Web应用漏洞检测方法、装置、系统、存储介质和服务器 | |
| US20130318609A1 (en) | Method and apparatus for quantifying threat situations to recognize network threat in advance | |
| US11824716B2 (en) | Systems and methods for controlling the deployment of network configuration changes based on weighted impact | |
| CN106130778A (zh) | 一种处理集群故障的方法及一种管理节点 | |
| CN102647302A (zh) | 一种针对集群节点网络及端口的监控与管理方法 | |
| CN104219211A (zh) | 一种云计算网络中网络安全的检测方法及装置 | |
| CN114493203A (zh) | 一种安全编排及自动化响应的方法和装置 | |
| CN114978614A (zh) | Ip资产快速扫描处理系统 | |
| KR20180086919A (ko) | 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법 | |
| CN110138783A (zh) | 一种基于云计算平台处理DDoS攻击的方法 | |
| CN110149300A (zh) | 网络流分析方法及其相关系统 | |
| CN109104399A (zh) | 一种安全策略规则配置方法及装置 | |
| Hori et al. | A comprehensive security analysis checksheet for OpenFlow networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190816 |