CN110636072B - 一种目标域名的调度方法、装置、设备及存储介质 - Google Patents
一种目标域名的调度方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN110636072B CN110636072B CN201910917999.9A CN201910917999A CN110636072B CN 110636072 B CN110636072 B CN 110636072B CN 201910917999 A CN201910917999 A CN 201910917999A CN 110636072 B CN110636072 B CN 110636072B
- Authority
- CN
- China
- Prior art keywords
- network protocol
- protocol address
- domain name
- current
- candidate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种目标域名的调度方法、装置、设备及存储介质,该方法包括:根据每个节点的网络协议地址的状态信息,确定受损网络协议地址列表;接收域名解析请求,确定候选网络协议地址列表;将候选网络协议地址列表中任意一个候选网络协议地址作为当前网络协议地址;若受损网络协议地址列表中包括当前网络协议地址,则将当前网络协议地址中包括的域名确定为当前目标域名;将当前目标域名调度至其他候选网络协议地址中,得到域名更新后的其他候选网络协议地址;将域名更新后的其他候选网络协议地址重新确定为候选网络协议地址列表;不断重复上述步骤,直至候选网络协议地址列表为空。本申请能够有效防御并识别出受到攻击的目标域名。
Description
技术领域
本申请属于互联网技术领域,具体涉及一种目标域名的调度方法、装置、设备及存储介质。
背景技术
随着互联网络带宽的增加和多种分布式拒绝服务(Distributed Denial ofService,DDoS)的不断发布,DDoS攻击的实施越来越容易,使得内容分发网络(ContentDelivery Network,CDN)厂商长期被DDoS攻击所困扰,导致大量的客户投诉、法律纠纷、商业损失等。其中,DDOS是指不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。
四层DDOS攻击是DDOS中比较常见的攻击方式,四层DDOS攻击包括带宽消耗型以及资源消耗型。由于四层DDOS攻击主要以传输层流量为主,其携带的只有网络协议地址(Internet Protocol Address,IP)和端口等信息,没有响应的应用层信息,因此给域名的防御和识别带来了很大的难度。当前CDN厂商主要以隔离IP为主,但CDN厂商通常为百万级域名提供加速服务,有限的IP资源不能满足现有的需求,同时如此大量的IP/域名对应关系为高效的运营带来了一定的难度。
发明内容
为了有效防御并识别出受到攻击的目标域名,避免一旦受到DDOS攻击全平台的所有用户均会受到影响,本申请提出一种目标域名的调度方法、装置、设备及存储介质。
一方面,本申请提出了一种目标域名的调度方法,所述方法包括:
获取每个节点的网络协议地址的状态信息;
根据每个节点的网络协议地址的状态信息,确定受损网络协议地址列表;
接收域名解析请求,确定与所述域名解析请求中携带的域名对应的候选网络协议地址列表;
将所述候选网络协议地址列表中任意一个候选网络协议地址作为当前网络协议地址;
若所述受损网络协议地址列表中包括所述当前网络协议地址,则将所述当前网络协议地址中包括的域名确定为当前目标域名;
将所述当前目标域名调度至除所述当前网络协议地址之外的其他候选网络协议地址中,得到域名更新后的其他候选网络协议地址;
将所述域名更新后的其他候选网络协议地址重新确定为候选网络协议地址列表;
重复将所述候选网络协议地址列表中任意一个候选网络协议地址作为当前网络协议地址的步骤,直至所述候选网络协议地址列表为空。
另一方面,本申请提出了一种目标域名的调度装置,所述装置包括:
状态信息获取模块,用于获取每个节点的网络协议地址的状态信息;
受损网络协议地址列表确定模块,用于根据每个节点的网络协议地址的状态信息,确定受损网络协议地址列表;
候选网络协议地址列表确定模块,用于接收域名解析请求,确定与所述域名解析请求中携带的域名对应的候选网络协议地址列表;
当前网络协议地址获取模块,用于将所述候选网络协议地址列表中任意一个候选网络协议地址作为当前网络协议地址;
目标域名确定模块,用于若所述受损网络协议地址列表中包括所述当前网络协议地址,则将所述当前网络协议地址中包括的域名确定为当前目标域名;
更新模块,用于将所述当前目标域名调度至除所述当前网络协议地址之外的其他候选网络协议地址中,得到域名更新后的其他候选网络协议地址;
重新确定模块,用于将所述域名更新后的其他候选网络协议地址重新确定为候选网络协议地址列表;
重复模块,用于重复将所述候选网络协议地址列表中任意一个候选网络协议地址作为当前网络协议地址的步骤,直至所述候选网络协议地址列表为空。
另一方面,本申请提出了一种设备,所述设备包括:处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上述所述的目标域名的调度方法。
另一方面,本申请提出了一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如上述所述的目标域名的调度方法。
本申请提出的一种目标域名的调度方法、装置、设备及存储介质,通过每个节点的网络协议地址的状态信息过滤出攻击流量,即受损网络协议地址列表,并根据用户发送的域名解析请求,确定覆盖用户请求访问中携带的域名的候选网络协议地址列表,接着通过动态的域名调度算法,重复从候选网络协议地址中选取当前网络协议地址、确定当前目标域名、将当前目标域名调度至其他候选网络协议地址得到更新后的其他候选网络协议地址、将域名更新后的其他候选网络协议地址重新确定为候选网络协议地址列表的步骤,从而实现通过有限的信息快速识别出目标域名,降低目标域名识别的难度,解决了四层DDOS攻击无法关联到具体域名,一旦受到攻击全平台用户会同时受到影响等问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案和优点,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
图1是本申请实施例提供的区块链系统的一个可选的结构示意图。
图2是本申请实施例提供的区块结构示意图。
图3是本申请实施例提供的一种目标域名的调度系统的整体架构图。
图4是本申请实施例提供的目标域名的调度方法的一种流程示意图。
图5是本申请实施例提供的目标域名的调度方法的另一种流程示意图。
图6是本申请实施例提供的动态DNS调度算法的原理示意图。
图7是本申请实施例提供的目标域名的调度方法的另一种流程示意图。
图8是本申请实施例提供的目标域名的调度装置的一种结构示意图。
图9是本申请实施例提供的目标域名的调度装置的另一种结构示意图。
图10是本申请实施例提供一种服务器结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于包括不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本申请实施例提供了一种目标域名的调度系统,该系统可以是由客户端03、多个节点02(接入网络中的任意形式的计算设备,如服务器、用户终端)通过网络通信的形式连接形成的分布式系统01。
在一个优选的实施例中,该分布式系统01可以为区块链系统,网络协议地址中包括的域名可以存储于该区块链系统中。参见图1,图1所示是本申请实施例提供的区块链系统的一个可选的结构示意图,多个节点之间形成组成的点对点(P2P,Peer To Peer)网络,P2P协议是一个运行在传输控制协议(TCP,Transmission Control Protocol)协议之上的应用层协议。在区块链系统中,任何机器如服务器、终端都可以加入而成为节点,节点包括硬件层、中间层、操作系统层和应用层。
参见图1示出的区块链系统中各节点的功能,涉及的功能包括:
1)路由,节点具有的基本功能,用于支持节点之间的通信。
节点除具有路由功能外,还可以具有以下功能:
2)应用,用于部署在区块链中,根据实际业务需求而实现特定业务,记录实现功能相关的数据形成记录数据,在记录数据中携带数字签名以表示任务数据的来源,将记录数据发送到区块链系统中的其他节点,供其他节点在验证记录数据来源以及完整性成功时,将记录数据添加到临时区块中。
3)区块链,包括一系列按照产生的先后时间顺序相互接续的区块(Block),新区块一旦加入到区块链中就不会再被移除,区块中记录了区块链系统中节点提交的记录数据。
参见图2,图2本申请实施例提供的区块结构(Block Structure)一个可选的示意图,每个区块中包括本区块存储交易记录的哈希值(本区块的哈希值)、以及前一区块的哈希值,各区块通过哈希值连接形成区块链。另外,区块中还可以包括有区块生成时的时间戳等信息。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了相关的信息,用于验证其信息的有效性(防伪)和生成下一个区块。
图3所示是本申请实施例提供的一种目标域名的调度系统的整体架构图,该整体架构可以包括边缘节点、监控中心、域名系统(Domain Name System,DNS)调度服务器、日志分析等。
具体地,该边缘节点是CDN网络的基本组成,每个节点有多个IP对外提供服务,用于实时或定时向监控中心上报收到攻击的IP信息。该边缘节点可以为边缘服务器,该边缘服务器可以包括一个独立运行的服务器,或者分布式服务器,或者由多个服务器组成的服务器集群。
具体地,该监控中心用于汇总边缘节点中IP的状态,并同步被攻击的IP给DNS调度服务器。
具体地,DNS服务器响应客户端发送的域名解析请求,向客户端返回解析得到的IP地址,以方便客户端基于接到的IP地址,接入到对应的内容服务器获取内容。其主要用于对域名进行调度以及全局负载均衡。
具体地,日志分析用于分析调度记录,定位被攻击的目标域名。
以下介绍本申请实施例提供的一种目标域名的调度方法,该方法可以运行于上述目标域名的调度系统之中。图4是本申请实施例提供的一种目标域名的调度方法的流程示意图,本说明书提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的系统或服务器产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。具体的如图4所示,所述方法可以包括:
S101.获取每个节点的网络协议地址的状态信息。
S103.根据每个节点的网络协议地址的状态信息,确定受损网络协议地址列表。
本申请实施例中,每个边缘节点会实时或定时向监控中心上报该节点中的每个网络协议地址的状态信息,由监控中心对上报的状态信息进行分析,从而过滤出受到DDOS攻击的受损IP列表。
在一个可行的实施例中,可以检测每个节点中IP的流量信息,对全网的IP流量信息进行汇总,差看异常流量分布在哪些IP上,以此来过滤受损IP。具体地,如图5所示,S101中获取每个节点的网络协议地址的状态信息可以包括:
获取每个节点的网络协议地址对应的流量信息。
相应地,S103中根据每个节点的网络协议地址的状态信息,确定受损网络协议地址列表,可以包括:
将流量信息大于预设阈值的网络协议地址按照流量信息出现异常的时间顺序进行排列,得到包括至少一组受损网络协议地址的受损网络协议地址列表。
由于流量信息能够实时且准确地反应IP的异常状态,因此通过流量信息确定IP是否受到DDOS攻击不仅方便快捷,而且准确度较高。
S105.接收域名解析请求,确定与所述域名解析请求中携带的域名对应的候选网络协议地址列表。
本申请实施例中,如图5所示,所述接收域名解析请求,确定与所述域名解析请求中携带的域名对应的候选网络协议地址列表,可以包括:
S1051.接收用户发送的域名解析请求;其中,所述域名解析请求中携带用户请求访问的域名。
S1053.对所述域名进行哈希处理,得到所述域名对应的哈希值。
S1055.从地址信息库中获取与所述哈希值对应的至少一个网络协议地址。
S1057.将所述与所述哈希值对应的至少一个网络协议地址作为所述候选网络协议地址列表。
其中,所述地址信息库中包括哈希值与网络协议地址的映射关系。
本申请实施例中,DNS调度服务器可以根据接收到的用户发送的域名解析请求,从而确定候选网络协议地址,比如,用户请求访问某一个应用程序A,会向DNS调度服务器发送携带应用程序A的域名的域名解析请求,DNS调度服务器对应用程序A的域名进行哈希处理,得到应用程序A的域名的哈希值,接着从预设的地址信息库中获取与所述哈希值对应的至少一个IP,并将该至少一个IP作为候选网络协议地址列表。其中,该至少一个IP可以认为是覆盖该应用程序A的域名的IP,即告诉用户去哪些IP上去访问该应用程序A。
在一个可行的实施例中,预设的地址信息库可以是按照地域来划分的,比如,地域分为广东、北京、上海等城市,广东、北京、上海等城市均对应多个网络协议地址。与哈希值对应的至少一个IP可以是与广东对应的部分或全部IP,也可以是与北京对应的部分或全部IP,也可以是与上海对应的部分或全部IP等。
本申请实施例中,在得到受损网络协议地址列表和候选网络协议地址列表之后,可以通过S107-S1015中的动态DNS调度算法,识别受到DDOS攻击的目标域名。
S107.将所述候选网络协议地址列表中任意一个候选网络协议地址作为当前网络协议地址。
本申请实施例中,如果S1057中得到的候选网络协议地址列表为广东对应的10个IP,则从这10个IP中选取任意一个IP作为当前IP。
本申请实施例中,如图5所示,在将所述候选网络协议地址列表中任意一个候选网络协议地址作为当前网络协议地址之后,所述方法还可以包括:
S108.判断受损网络协议地址列表是否为空,即判断是否存在被DDOS历史攻击过的受损IP。
所述S108可以具体包括:
S1081.若所述受损网络协议地址列表为空,则根据所述哈希值对应的至少一个网络协议地址生成第一响应信息;将所述第一响应信息反馈给用户。
S1083.若所述受损网络协议地址列表不为空,则在所述受损网络协议地址列表中包括所述当前网络协议地址时,将所述当前网络协议地址包括的域名确定为所述当前目标域名。
在实际应用中,当受损网络协议地址列表为空,即整个平台中不存在被DDOS历史攻击过的IP,说明S1057中确定出的候选网络协议地址列表中的候选网络协议地址均是干净的、未受到过DDOS攻击。因此,可以按照S1081中根据哈希值对应的至少一个网络协议地址生成第一响应信息,将所述第一响应信息反馈给用户,以使用户根据该第一响应信息去相应的服务器查看相关内容。若受损网络协议地址列表不为空,则说明整个平台中存在受到被DDOS历史攻击的IP,因此,需要进一步判断受损网络协议地址列表中是否包括所述当前IP,并在包括当前IP时,将当前IP包括的域名确定为受到DDOS攻击的当前目标域名。
S109.若所述受损网络协议地址列表中包括所述当前网络协议地址,则将所述当前网络协议地址中包括的域名确定为当前目标域名。
本申请实施例中,如图5所示,所述若所述受损网络协议地址列表中包括所述当前网络协议地址,则将所述当前网络协议地址中包括的域名确定为当前目标域名,可以包括:
S1091.将所述当前网络协议地址依次与受损网络协议地址列表中的每组受损网络协议地址进行比较。
S1093.若所述当前网络协议地址包含在任意一组受损网络协议地址中,则将所述当前网络协议地址包括的域名确定为所述当前目标域名。
S1095.若所述当前网络协议地址不包含在任意一组受损网络协议地址中,则确定所述当前网络协议地址所属的当前节点对应的备份网络协议地址;根据所述备份网络协议地址生成第二响应信息;将所述第二响应信息反馈给用户。
在实际应用中,在确定受损网络协议地址列表不为空后,可以将当前IP与受损网络协议地址列表中的每组受损网络协议地址进行比较,若当前IP存在与某个受损网络协议地址中,则表明该当前IP为嫌疑IP,该当前IP中包括的域名为当前目标域名,即嫌疑域名,若当前IP不存在于任意一个受损网络协议地址中,表明当前IP没有被攻击DDOS,但当前IP对应的节点上存在被攻击的域名,因此,为了确保用户访问安全性,需要返回备份IP,并根据备份IP生成第二响应信息反馈给用户,以使用户根据第二响应信息去相应的服务器查看相关内容。
S1011.将所述当前目标域名调度至除所述当前网络协议地址之外的其他候选网络协议地址中,得到域名更新后的其他候选网络协议地址。
本申请实施例中,如图5所示,所述将所述当前目标域名调度至除所述当前网络协议地址之外的其他候选网络协议地址中,得到域名更新后的其他候选网络协议地址,可以包括:
S10111.将除所述当前网络协议地址之外的其他候选网络协议地址中包括的域名调度至所述备份网络协议地址中。
S10113.将所述当前网络协议地址从所述候选网络协议地址列表中删除。
S10115.将所述当前目标域名均匀分配至除所述当前网络协议地址之外的其他候选网络协议地址中,得到域名更新后的其他候选网络协议地址。
S1013.将所述域名更新后的其他候选网络协议地址重新确定为候选网络协议地址列表。
S1015.重复将所述候选网络协议地址列表中任意一个候选网络协议地址作为当前网络协议地址的步骤,直至所述候选网络协议地址列表为空。
本申请实施例中,在确定出当前目标域名之后,可以按照S10111-S10115将其他候选网络协议地址中包括的域名调度至所述备份网络协议地址,并将当前IP删除,然后将当前目标域名均匀散列到其他候选网络协议地址中,得到域名更新后的其他候选网络协议地址。然后将域名更新后的其他候选网络协议地址重新确定为候选网络协议地址列表,并重复S107-S1013,直至所述候选网络协议地址列表为空。
在实际应用中,在DDOS攻击过程中反复执行S107-S1013,理论上可以使IP与域名呈现一一对应的关系。
假设受损网络协议地址列表为TIP,候选网络协议地址列表为SIP。通过动态DNS调度算法进行域名识别的逻辑可以如下:
1.假设一个节点上有N个域名,M个IP,则将域名均匀散列到IP上,每个IP拥有N/M个域名
2.其中一个IP受到攻击,则只有N/M个域名有嫌疑,此时将剩余域名调到备份IP,将嫌疑域名重新均匀散列到剩余的M-1个IP上
3.再次出现一个IP受到攻击,则只有N/(M*(M-1))个域名有嫌疑,此时在执行重新散列操作
4.攻击过程中反,直到IP和域名呈一一对应关系。
以下,举例说明S101-S1015中识别出受到DDOS攻击的目标域名的过程:
图6所示为动态DNS调度算法的原理示意图,该候选网络协议地址列表可以为按照S1057中的方法确定出的与广东对应的10的IP,即SIP0、SIP1、SIP2、SIP3、SIP4、SIP5、SIP6、SIP7、SIP8和SIP9。
1.首先,可以将任意一个SIP作为当前IP,比如可以先将SIP0作为当前IP,按照S109判断受损网络协议地址中是否包含当前IP,若包含,则认为SIP0受到攻击,则将SIP0中包括的域名确定为当前目标域名,并将SIP1-SIP9中包括的域名调度到备份IP上,同时将当前目标域名(即SIP0中包括的域名)重新均匀散列到SIP1-SIP9上,得到域名更新后的SIP1-SIP9,同时将当前IP(即SIP0)从候选网络协议地址列表中删除,最后将域名更新后的SIP1-SIP9重新作为候选网络协议地址列表。
2.重新从候选网络协议地址列表选取当前IP,比如将SIP1作为当前IP,按照S109判断受损网络协议地址中是否包含当前IP,若包含,则认为SIP1受到攻击,则将SIP1中包括的域名确定为当前目标域名,并将SIP2-SIP9中包括的域名调度到备份IP上,同时将当前目标域名(即SIP1中包括的域名)重新均匀散列到SIP2-SIP9上,得到域名更新后的SIP2-SIP9,同时将当前IP(即SIP1)从候选网络协议地址列表中删除,最后将域名更新后的SIP2-SIP9重新作为候选网络协议地址列表。
3.重复上述过程,直至候选网络协议地址列表为空,即直至候选网络协议地址列表中的每个候选网络协议地址均被当做当前IP进行判断是否受到DDOS攻击。
本申请实施例中,如图7所示,为了进一步解决CDN平台在DDoS攻击下的平台稳定性问题,还可以包括:
S1017.对受到攻击的当前目标域名进行服务分级。
具体地,S1017可以包括:
S10171.对所述当前目标域名进行降级处理。
S10173.将降级处理后的当前目标域名与所述当前网络协议地址所属的当前节点中包括的其他域名进行空间隔离。
本申请实施例中,首先通过每个IP对应的流量信息确定受损网络协议地址列表,然后根据用户发送的域名解析请求确定候选网络协议地址列表,接着通过动态DNS调度算法不断重复从候选网络协议地址中选取当前网络协议地址、确定当前目标域名、将当前目标域名调度至其他候选网络协议地址得到更新后的其他候选网络协议地址、将域名更新后的其他候选网络协议地址重新确定为候选网络协议地址列表的步骤,从而通过有限的IP信息快速识别出目标域名,可以在攻击刚开始产生的阶段定位出高危域名,降低目标域名识别的难度,解决了四层DDOS攻击无法关联到具体域名,一旦受到攻击全平台用户会同时受到影响等问题。此外,设立不同服务等级的独立平台,一旦检测到域名受到攻击则对其进行降级,这样随着运营时间的深入,高危的域名会逐渐和其它域名隔离到不同平台,从而进一步解决了CDN平台在DDoS攻击下的平台稳定性问题。
本申请实施例中,假设DNS调度生效时间为1min,每台设备配置了N个SIP,攻击持续Tmin,则理论上能够识别的域名上限M计算方式可以如下:
1.单个节点单个IP受到攻击:M=N*(N-1)*(N-2)....*(N-T),即10个SIP持续5min能够识别出15W以上的域名,持续10min能够识别出360W以上的域名。
2.单个节点Y个IP受到攻击:M=N*(N-1)*(N-2)....*(N-T)/Y,即2个域名10个SIP持续5min能够识别出7W+的域名,持续10min能够识别出180W以上的域名。
3.X个节点单个IP受到攻击:M=(N*(N-1)*(N-2)....*(N-T))^X,即6个节点10个SIP瞬间能够识别出100W的域名。
4.X个节点Y个IP受到攻击:M=(N*(N-1)*(N-2)....*(N-T)/Y)^X,即6个节点2个域名10个SIP瞬间能够识别出50W的域名。
如图8所示,本申请实施例提供了一种目标域名的调度装置,所述装置可以包括:
状态信息获取模块201,可以用于获取每个节点的网络协议地址的状态信息。
本申请实施例中,所述状态信息获取模块201可以进一步用于:获取每个节点的网络协议地址对应的流量信息。
受损网络协议地址列表确定模块203,可以用于根据每个节点的网络协议地址的状态信息,确定受损网络协议地址列表。
本申请实施例中,所述受损网络协议地址列表确定模块203可以进一步用于:将流量信息大于预设阈值的网络协议地址按照流量信息出现异常的时间顺序进行排列,得到包括至少一组受损网络协议地址的受损网络协议地址列表。
候选网络协议地址列表确定模块205,可以用于接收域名解析请求,确定与所述域名解析请求中携带的域名对应的候选网络协议地址列表。
本申请实施例中,所述候选网络协议地址列表确定模块205可以包括:
域名解析请求接收单元,可以用于接收用户发送的域名解析请求;其中,所述域名解析请求中携带用户请求访问的域名。
哈希值确定单元,可以用于对所述域名进行哈希处理,得到所述域名对应的哈希值。
至少一个网络协议地址获取单元,可以用于从地址信息库中获取与所述哈希值对应的至少一个网络协议地址。
第一确定单元,可以用于将所述与所述哈希值对应的至少一个网络协议地址作为所述候选网络协议地址列表。其中,所述地址信息库中包括哈希值与网络协议地址的映射关系。
当前网络协议地址获取模块207,可以用于将所述候选网络协议地址列表中任意一个候选网络协议地址作为当前网络协议地址。
本申请实施例中,所述装置还可以包括受损网络协议地址列表判空模块208,所述受损网络协议地址列表判空模块208可以包括:
第一响应信息生成单元,可以用于若所述受损网络协议地址列表为空,则根据所述哈希值对应的至少一个网络协议地址生成第一响应信息;将所述第一响应信息反馈给用户;
第二确定单元,可以用于若所述受损网络协议地址列表不为空,则在所述受损网络协议地址列表中包括所述当前网络协议地址时,将所述当前网络协议地址包括的域名确定为所述当前目标域名。
目标域名确定模块209,可以用于若所述受损网络协议地址列表中包括所述当前网络协议地址,则将所述当前网络协议地址中包括的域名确定为当前目标域名。
本申请实施例中,所述目标域名确定模块209可以包括:
比较单元,可以用于将所述当前网络协议地址依次与受损网络协议地址列表中的每组受损网络协议地址进行比较;
当前目标域名确定单元,可以用于若所述当前网络协议地址包含在任意一组受损网络协议地址中,则将所述当前网络协议地址包括的域名确定为所述当前目标域名。
第二响应信息生成单元,可以用于若所述当前网络协议地址不包含在任意一组受损网络协议地址中,则确定所述当前网络协议地址所属的当前节点对应的备份网络协议地址;根据所述备份网络协议地址生成第二响应信息;将所述第二响应信息反馈给用户。
更新模块2011,可以用于将所述当前目标域名调度至除所述当前网络协议地址之外的其他候选网络协议地址中,得到域名更新后的其他候选网络协议地址。
本申请实施例中,所述更新模块2011可以包括:
调度单元,可以用于将除所述当前网络协议地址之外的其他候选网络协议地址中包括的域名调度至所述备份网络协议地址中。
删除单元,可以用于将所述当前网络协议地址从所述候选网络协议地址列表中删除。
分配单元,可以用于将所述当前目标域名均匀分配至除所述当前网络协议地址之外的其他候选网络协议地址中,得到域名更新后的其他候选网络协议地址。
重新确定模块2013,可以用于将所述域名更新后的其他候选网络协议地址重新确定为候选网络协议地址列表。
重复模块2015,可以用于重复将所述候选网络协议地址列表中任意一个候选网络协议地址作为当前网络协议地址的步骤,直至所述候选网络协议地址列表为空。
本申请实施例中,如图9所示,所述装置还可以包括服务分级模块2017,所述服务分级模块2017可以包括:
降级处理单元,可以用于对所述当前目标域名进行降级处理。
隔离单元,可以用于将降级处理后的当前目标域名与所述当前网络协议地址所属的当前节点中包括的其他域名进行空间隔离。
本申请实施例还提供了一种目标域名的调度的设备,该设备包括处理器和存储器,该存储器中存储有至少一条指令、至少一段程序、代码集或指令集,该至少一条指令、该至少一段程序、该代码集或指令集由该处理器加载并执行以实现如上述方法实施例所提供的目标域名的调度方法。
本申请的实施例还提供了一种存储介质,所述存储介质可设置于终端之中以保存用于实现方法实施例中一种车辆移动方向的判断方法相关的至少一条指令、至少一段程序、代码集或指令集,该至少一条指令、该至少一段程序、该代码集或指令集由该处理器加载并执行以实现上述方法实施例提供的目标域名的调度方法。
可选地,在本说明书实施例中,存储介质可以位于计算机网络的多个网络服务器中的至少一个网络服务器。可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书实施例所述存储器可用于存储软件程序以及模块,处理器通过运行存储在存储器的软件程序以及模块,从而执行各种功能应用程序以及数据处理。存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、功能所需的应用程序等;存储数据区可存储根据所述设备的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器还可以包括存储器控制器,以提供处理器对存储器的访问。
本申请实施例所提供的目标域名的调度方法实施例可以在移动终端、计算机终端、服务器或者类似的运算装置中执行。以运行在服务器上为例,图10是本申请实施例提供的一种目标域名的调度方法的服务器的硬件结构框图。如图10所示,该服务器300可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(CentralProcessing Units,CPU)310(处理器310可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器330,一个或一个以上存储应用程序323或数据322的存储介质320(例如一个或一个以上海量存储设备)。其中,存储器330和存储介质320可以是短暂存储或持久存储。存储在存储介质320的程序可以包括一个或一个以上模块,每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器310可以设置为与存储介质320通信,在服务器300上执行存储介质320中的一系列指令操作。服务器300还可以包括一个或一个以上电源360,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口340,和/或,一个或一个以上操作系统321,例如Windows ServerTM,Mac OSXTM,UnixTM,LinuxTM,FreeBSDTM等等。
输入输出接口340可以用于经由一个网络接收或者发送数据。上述的网络具体实例可包括服务器1100的通信供应商提供的无线网络。在一个实例中,输入输出接口340包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,输入输出接口340可以为射频(RadioFrequency,RF)模块,其用于通过无线方式与互联网进行通讯。
本领域普通技术人员可以理解,图10所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,服务器300还可包括比图10中所示更多或者更少的组件,或者具有与图10所示不同的配置。
需要说明的是:上述本申请实施例先后顺序仅仅为了描述,不代表实施例的优劣。且上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置和服务器实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本申请的较佳实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (9)
1.一种目标域名的调度方法,其特征在于,所述方法包括:
获取每个节点的网络协议地址的状态信息;
根据每个节点的网络协议地址的状态信息,确定受损网络协议地址列表;
接收域名解析请求,确定与所述域名解析请求中携带的域名对应的候选网络协议地址列表;
将所述候选网络协议地址列表中任意一个候选网络协议地址作为当前网络协议地址;
将所述当前网络协议地址依次与所述受损网络协议地址列表中的每组受损网络协议地址进行比较;
若所述当前网络协议地址不包含在任意一组受损网络协议地址中,则确定所述当前网络协议地址所属的当前节点对应的备份网络协议地址;根据所述备份网络协议地址生成第二响应信息;
若所述当前网络协议地址包含在任意一组受损网络协议地址中,则将所述当前网络协议地址包括的域名确定为所述当前目标域名;将所述当前目标域名调度至除所述当前网络协议地址之外的其他候选网络协议地址中,得到域名更新后的其他候选网络协议地址;将所述域名更新后的其他候选网络协议地址重新确定为候选网络协议地址列表;重复将所述候选网络协议地址列表中任意一个候选网络协议地址作为当前网络协议地址的步骤,直至所述候选网络协议地址列表为空。
2.根据权利要求1所述的方法,其特征在于,
所述获取每个节点的网络协议地址的状态信息,包括:
获取每个节点的网络协议地址对应的流量信息;
所述根据每个节点的网络协议地址的状态信息,确定受损网络协议地址列表,包括:
将流量信息大于预设阈值的网络协议地址按照流量信息出现异常的时间顺序进行排列,得到包括至少一组受损网络协议地址的受损网络协议地址列表。
3.根据权利要求1所述的方法,其特征在于,所述接收域名解析请求,确定与所述域名解析请求中携带的域名对应的候选网络协议地址列表,包括:
接收用户发送的域名解析请求;其中,所述域名解析请求中携带用户请求访问的域名;
对所述域名进行哈希处理,得到所述域名对应的哈希值;
从地址信息库中获取与所述哈希值对应的至少一个网络协议地址;
将所述与所述哈希值对应的至少一个网络协议地址作为所述候选网络协议地址列表;
其中,所述地址信息库中包括哈希值与网络协议地址的映射关系;
相应地,在所述将所述候选网络协议地址列表中任意一个候选网络协议地址作为当前网络协议地址之后,所述方法还包括:
若所述受损网络协议地址列表为空,则根据所述哈希值对应的至少一个网络协议地址
生成第一响应信息;
将所述第一响应信息反馈给用户;
若所述受损网络协议地址列表不为空,则在所述受损网络协议地址列表中包括所述当前网络协议地址时,将所述当前网络协议地址包括的域名确定为所述当前目标域名。
4.根据权利要求1所述的方法,其特征在于,所述将所述当前目标域名调度至除所述当前网络协议地址之外的其他候选网络协议地址中,得到域名更新后的其他候选网络协议地址,包括:
将除所述当前网络协议地址之外的其他候选网络协议地址中包括的域名调度至所述备份网络协议地址中;
将所述当前网络协议地址从所述候选网络协议地址列表中删除;
将所述当前目标域名均匀分配至除所述当前网络协议地址之外的其他候选网络协议地址中,得到域名更新后的其他候选网络协议地址。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
对所述当前目标域名进行降级处理;
将降级处理后的当前目标域名与所述当前网络协议地址所属的当前节点中包括的其他域名进行空间隔离。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于区块链系统存储网络协议地址中的域名,所述区块链系统包括多个节点,多个节点之间形成点对点网络。
7.一种目标域名的调度装置,其特征在于,所述装置包括:
状态信息获取模块,用于获取每个节点的网络协议地址的状态信息;
受损网络协议地址列表确定模块,用于根据每个节点的网络协议地址的状态信息,确定受损网络协议地址列表;
候选网络协议地址列表确定模块,用于接收域名解析请求,确定与所述域名解析请求中携带的域名对应的候选网络协议地址列表;
当前网络协议地址获取模块,用于将所述候选网络协议地址列表中任意一个候选网络协议地址作为当前网络协议地址;
比较单元,用于将所述当前网络协议地址依次与所述受损网络协议地址列表中的每组受损网络协议地址进行比较;
第二响应信息生成单元,用于若所述当前网络协议地址不包含在任意一组受损网络协议地址中,则确定所述当前网络协议地址所属的当前节点对应的备份网络协议地址;根据所述备份网络协议地址生成第二响应信息;
当前目标域名确定单元,用于若所述当前网络协议地址包含在任意一组受损网络协议地址中,则将所述当前网络协议地址包括的域名确定为所述当前目标域名;更新模块,用于将所述当前目标域名调度至除所述当前网络协议地址之外的其他候选网络协议地址中,得到域名更新后的其他候选网络协议地址;
重新确定模块,用于将所述域名更新后的其他候选网络协议地址重新确定为候选网络协议地址列表;
重复模块,用于重复将所述候选网络协议地址列表中任意一个候选网络协议地址作为当前网络协议地址的步骤,直至所述候选网络协议地址列表为空。
8.一种设备,其特征在于,所述设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1-6任一所述的目标域名调度方法。
9.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如权利要求1-6任一所述的目标域名的调度方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910917999.9A CN110636072B (zh) | 2019-09-26 | 2019-09-26 | 一种目标域名的调度方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910917999.9A CN110636072B (zh) | 2019-09-26 | 2019-09-26 | 一种目标域名的调度方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110636072A CN110636072A (zh) | 2019-12-31 |
| CN110636072B true CN110636072B (zh) | 2021-05-14 |
Family
ID=68974598
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910917999.9A Active CN110636072B (zh) | 2019-09-26 | 2019-09-26 | 一种目标域名的调度方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110636072B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111414208B (zh) * | 2020-03-13 | 2023-08-01 | 百度在线网络技术(北京)有限公司 | 应用程序的启动方法、装置及设备 |
| CN113285979B (zh) * | 2021-04-15 | 2022-11-29 | 北京奇艺世纪科技有限公司 | 一种网络请求处理方法、装置、终端及存储介质 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101702660B (zh) * | 2009-11-12 | 2011-12-14 | 中国科学院计算技术研究所 | 异常域名检测方法及系统 |
| KR20130014226A (ko) * | 2011-07-29 | 2013-02-07 | 한국전자통신연구원 | 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법 |
| CN103023924B (zh) * | 2012-12-31 | 2015-10-14 | 网宿科技股份有限公司 | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 |
| US10735461B2 (en) * | 2015-10-21 | 2020-08-04 | Verisign, Inc. | Method for minimizing the risk and exposure duration of improper or hijacked DNS records |
| CN106911730A (zh) * | 2015-12-22 | 2017-06-30 | 北京奇虎科技有限公司 | 一种云盘服务器访问迁移方法和装置 |
| CN107517195B (zh) * | 2016-06-17 | 2021-01-29 | 阿里巴巴集团控股有限公司 | 一种内容分发网络定位攻击域名的方法和装置 |
| CN106790744B (zh) * | 2016-12-01 | 2020-09-15 | 上海云盾信息技术有限公司 | Ip调度方法及系统 |
| CN109218265B (zh) * | 2017-07-04 | 2021-05-28 | 阿里巴巴集团控股有限公司 | 四层分布式拒绝服务攻击检测方法及装置 |
| CN109729058B (zh) * | 2017-10-31 | 2020-02-21 | 贵州白山云科技股份有限公司 | 一种流量劫持分析方法和装置 |
| CN109951426B (zh) * | 2017-12-21 | 2021-10-15 | 阿里巴巴集团控股有限公司 | 异常域名确定方法、异常流量处理方法、装置及系统 |
| CN109067930B (zh) * | 2018-06-26 | 2021-09-17 | 网宿科技股份有限公司 | 域名接入方法、域名解析方法、服务器、终端及存储介质 |
| CN109257373B (zh) * | 2018-10-31 | 2020-12-04 | 腾讯科技(深圳)有限公司 | 一种域名劫持识别方法、装置及系统 |
| CN109450735A (zh) * | 2018-12-04 | 2019-03-08 | 成都知道创宇信息技术有限公司 | 一种基于上行流量的识别tcp正常请求的方法 |
| CN109617912B (zh) * | 2019-01-15 | 2021-05-28 | 成都知道创宇信息技术有限公司 | 一种采用多个域名智能切换防DDoS攻击的装置 |
-
2019
- 2019-09-26 CN CN201910917999.9A patent/CN110636072B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110636072A (zh) | 2019-12-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107819891B (zh) | 数据处理方法、装置、计算机设备和存储介质 | |
| US10908834B2 (en) | Load balancing for scalable storage system | |
| CN103391312B (zh) | 资源离线下载方法及装置 | |
| CN107105050B (zh) | 一种业务对象的存储、下载方法及系统 | |
| CN102571788B (zh) | 一种样本收集方法及系统 | |
| CN108989430B (zh) | 负载均衡方法、装置及存储介质 | |
| CN110071965B (zh) | 一种基于云平台的数据中心管理系统 | |
| CN110636072B (zh) | 一种目标域名的调度方法、装置、设备及存储介质 | |
| CN111858054A (zh) | 一种异构环境下基于边缘计算的资源调度系统及方法 | |
| CN113515364B (zh) | 一种数据迁移的方法及装置、计算机设备和存储介质 | |
| CN108881066A (zh) | 一种路由请求的方法、接入服务器以及存储设备 | |
| CN109618003B (zh) | 一种服务器规划方法、服务器及存储介质 | |
| US20160234129A1 (en) | Communication system, queue management server, and communication method | |
| CN108540505B (zh) | 一种内容更新方法及装置 | |
| CN111708743A (zh) | 文件存储管理方法、文件管理客户端及文件存储管理系统 | |
| CN104199683A (zh) | 一种iso镜像文件加载方法和设备 | |
| CN113114503B (zh) | 基于应用交付网络需求的部署方法及装置 | |
| CN103139243A (zh) | 一种基于星型分布式系统的文件同步方法 | |
| CN107995062B (zh) | 基于rpc的交管综合平台异地业务实时处理方法和系统 | |
| CN108347465B (zh) | 一种选择网络数据中心的方法及装置 | |
| CN108960378B (zh) | 一种数据下载方法、系统、装置和存储介质 | |
| CN108076092A (zh) | Web服务器资源均衡方法及装置 | |
| CN116346649A (zh) | 负载均衡设备的虚服务抓包方法及装置 | |
| CN113190347A (zh) | 一种边缘云系统及任务管理方法 | |
| US20060168108A1 (en) | Methods and systems for defragmenting subnet space within an adaptive infrastructure |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40019559 Country of ref document: HK |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |