CN110753022A - Ddos大流量防御架构 - Google Patents

Ddos大流量防御架构 Download PDF

Info

Publication number
CN110753022A
CN110753022A CN201810821005.9A CN201810821005A CN110753022A CN 110753022 A CN110753022 A CN 110753022A CN 201810821005 A CN201810821005 A CN 201810821005A CN 110753022 A CN110753022 A CN 110753022A
Authority
CN
China
Prior art keywords
ddos
defense
abnormal
new
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810821005.9A
Other languages
English (en)
Inventor
刘波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Laisan Network Technology Co Ltd
Original Assignee
Shanghai Laisan Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Laisan Network Technology Co Ltd filed Critical Shanghai Laisan Network Technology Co Ltd
Priority to CN201810821005.9A priority Critical patent/CN110753022A/zh
Publication of CN110753022A publication Critical patent/CN110753022A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及网络安全防护技术领域,提供;一种DDOS大流量防御架构,防护平台包括主服务器、微型服务器和隐藏服务器,若干微型服务器建立连接池,通过负载均衡将与主服务器连接的IP和端口映射到各个微型服务器上的隐藏服务器的IP和端口,对连接池进行实时异常监控,监控到异常IP时迅速切换至新的IP和端口;本发明解决了现有技术的DDOS的防御系统的通用性差、价格昂贵不适于中小企业应用以及无法定位攻击源的问题。

Description

DDOS大流量防御架构
技术领域
本发明涉及网络安全防护技术领域,具体涉及一种DDOS大流量防御架构。
背景技术
DDOS攻击通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的。前市面上相对成熟的DDOS防御就是阿里云的DDoS高防IP和云盾DDoS高防IP,其通过针对互联网服务器(包括非阿里云主机)在遭受大流量的,DDoS攻击后导致服务不可用的情况下,推出的付费增值服务,用户可以通过配置高防IP,将攻击流量引流到高防IP,确保源站的稳定可靠。
现有技术的DDOS的防御系统支持电信、联通、移动、教育网等8线独家防御,支持TCP/UDP/HTTP/HTTPS适合金融、电商、游戏、门户、媒体等各类业务场景;防御游戏空连接、慢连接、恶意踢人攻击,采用IP信誉库、ip+cookie、ip+key防御CC攻击;高防IP对于300G以下的流量攻击能够有效的防御,但是对于300G以上的攻击效果就并不明显,还是会出现大面积的掉线。高防IP只能一对一,假设有多种业务模式的情况下则需要购置多个高防IP通用性并不好。
对于大流量的攻击,高防IP的费用非常昂贵,对于100G以上的流量攻击,每天的费用在3-6万左右,一般的中小企业很难支付的起如此高额的防御费用;高防IP只能防御,并不能最终定位到攻击源。
发明内容
解决的技术问题
针对现有技术的不足,本发明提供了一种DDOS大流量防御架构,解决了现有技术的DDOS的防御系统的通用性差、价格昂贵不适于中小企业应用以及无法定位攻击源的问题。
技术方案
为实现以上目的,本发明通过以下技术方案予以实现:
一种DDOS大流量防御架构,防护平台包括主服务器、微型服务器和隐藏服务器,若干所述微型服务器建立连接池,通过负载均衡将与主服务器连接的IP和端口映射到各个微型服务器上的所述隐藏服务器的IP和端口,对所述连接池进行实时异常监控,监控到异常IP时迅速切换至新的IP和端口。
更进一步地,所述IP和端口单个接入连接的数量可进行定量控制,当达到一定数量后,切换到新的IP,这样能保证在一个IP被攻击后,只会影响到当前IP的链接,其他连接依然正常运行。
更进一步地,发现异常IP时,迅速将有异常连接切换到新的IP和端口,并对异常的连接进行记录;出现异常IP的部分重新分配一批新的IP,切换时间小于2秒,保证业务的正常运行。
更进一步地,通过对所述异常IP的层层锁定,确定异常IP的唯一连接,实现对攻击来源的锁定,防御持续性攻击。
更进一步地,所述隐藏服务器采用替身采用替身防防御模式,接入防护平台后,解析用户的网站返回的是网堤安全防护节点IP,用户的源站IP将不再暴露,彻底阻断针对源站的攻击,确保源站安全。
更进一步地,所述防护平台提供清晰详细的攻击日志和流量报表,提供透明的攻击状况展示,方便快速掌握网站的实时防护状态。
有益效果
本发明提供了一种DDOS大流量防御架构,与现有公知技术相比,本发明的具有如下有益效果:
1、本发明通过构建连接池和隐藏用户源站的设计,组织的DDOS大流量防御架构支持TCP/UDP/HTTP/HTTPS适合金融、电商、游戏、门户、媒体等各类业务场景,费用低廉,基本能够定位到攻击来源,各种业务能够通用一个防御池,避免了每种业务分别部署的麻烦。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的架构原理示意图;
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例:
本实施例的一种DDOS大流量防御架构,防护平台包括主服务器、微型服务器和隐藏服务器,若干微型服务器建立连接池,通过负载均衡将与主服务器连接的IP和端口映射到各个微型服务器上的隐藏服务器的IP和端口,对连接池进行实时异常监控,监控到异常IP时迅速切换至新的IP和端口。
IP和端口单个接入连接的数量可进行定量控制,当达到一定数量后,切换到新的IP,这样能保证在一个IP被攻击后,只会影响到当前IP的链接,其他连接依然正常运行。
发现异常IP时,迅速将有异常连接切换到新的IP和端口,并对异常的连接进行记录;出现异常IP的部分重新分配一批新的IP,切换时间小于2秒,保证业务的正常运行。
通过对异常IP的层层锁定,确定异常IP的唯一连接,实现对攻击来源的锁定,防御持续性攻击。
隐藏服务器采用替身采用替身防防御模式,接入防护平台后,解析用户的网站返回的是网堤安全防护节点IP,用户的源站IP将不再暴露,彻底阻断针对源站的攻击,确保源站安全。
防护平台提供清晰详细的攻击日志和流量报表,提供透明的攻击状况展示,方便快速掌握网站的实时防护状态。
本发明通过构建连接池和隐藏用户源站的设计,组织的DDOS大流量防御架构支持TCP/UDP/HTTP/HTTPS适合金融、电商、游戏、门户、媒体等各类业务场景,费用低廉,基本能够定位到攻击来源,各种业务能够通用一个防御池,避免了每种业务分别部署的麻烦。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (6)

1.一种DDOS大流量防御架构,其特征在于,防护平台包括主服务器、微型服务器和隐藏服务器,若干所述微型服务器建立连接池,通过负载均衡将与主服务器连接的IP和端口映射到各个微型服务器上的所述隐藏服务器的IP和端口,对所述连接池进行实时异常监控,监控到异常IP时迅速切换至新的IP和端口。
2.根据权利要求1所述的一种DDOS大流量防御架构,其特征在于,所述IP和端口单个接入连接的数量可进行定量控制,当达到一定数量后,切换到新的IP,这样能保证在一个IP被攻击后,只会影响到当前IP的链接,其他连接依然正常运行。
3.根据权利要求1所述的一种DDOS大流量防御架构,其特征在于,发现异常IP时,迅速将有异常连接切换到新的IP和端口,并对异常的连接进行记录;出现异常IP的部分重新分配一批新的IP,切换时间小于2秒,保证业务的正常运行。
4.根据权利要求1所述的一种DDOS大流量防御架构,其特征在于,通过对所述异常IP的层层锁定,确定异常IP的唯一连接,实现对攻击来源的锁定,防御持续性攻击。
5.根据权利要求1所述的一种DDOS大流量防御架构,其特征在于,所述隐藏服务器采用替身采用替身防防御模式,接入防护平台后,解析用户的网站返回的是网堤安全防护节点IP,用户的源站IP将不再暴露,彻底阻断针对源站的攻击,确保源站安全。
6.根据权利要求1所述的一种DDOS大流量防御架构,其特征在于,所述防护平台提供清晰详细的攻击日志和流量报表,提供透明的攻击状况展示,方便快速掌握网站的实时防护状态。
CN201810821005.9A 2018-07-24 2018-07-24 Ddos大流量防御架构 Pending CN110753022A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810821005.9A CN110753022A (zh) 2018-07-24 2018-07-24 Ddos大流量防御架构

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810821005.9A CN110753022A (zh) 2018-07-24 2018-07-24 Ddos大流量防御架构

Publications (1)

Publication Number Publication Date
CN110753022A true CN110753022A (zh) 2020-02-04

Family

ID=69275568

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810821005.9A Pending CN110753022A (zh) 2018-07-24 2018-07-24 Ddos大流量防御架构

Country Status (1)

Country Link
CN (1) CN110753022A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113037716A (zh) * 2021-02-07 2021-06-25 杭州又拍云科技有限公司 一种基于内容分发网络的攻击防御方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150026766A1 (en) * 2012-08-07 2015-01-22 Lee Hahn Holloway Mitigating a Denial-of-Service Attack in a Cloud-Based Proxy Service
CN105245549A (zh) * 2015-10-30 2016-01-13 上海红神信息技术有限公司 一种抵抗DDoS攻击的主动防御方法
CN105959334A (zh) * 2016-07-20 2016-09-21 上海携程商务有限公司 DDoS攻击的自动防御系统及方法
CN106230785A (zh) * 2016-07-20 2016-12-14 南京铱迅信息技术股份有限公司 一种无私钥的https拒绝服务攻击的防御方法
CN106302313A (zh) * 2015-05-14 2017-01-04 阿里巴巴集团控股有限公司 基于调度系统的DDoS防御方法和DDoS防御系统
CN106330951A (zh) * 2016-09-14 2017-01-11 北京神州绿盟信息安全科技股份有限公司 一种网络防护方法、装置和系统
CN107104921A (zh) * 2016-02-19 2017-08-29 阿里巴巴集团控股有限公司 DDoS攻击防御方法及装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150026766A1 (en) * 2012-08-07 2015-01-22 Lee Hahn Holloway Mitigating a Denial-of-Service Attack in a Cloud-Based Proxy Service
CN106302313A (zh) * 2015-05-14 2017-01-04 阿里巴巴集团控股有限公司 基于调度系统的DDoS防御方法和DDoS防御系统
CN105245549A (zh) * 2015-10-30 2016-01-13 上海红神信息技术有限公司 一种抵抗DDoS攻击的主动防御方法
CN107104921A (zh) * 2016-02-19 2017-08-29 阿里巴巴集团控股有限公司 DDoS攻击防御方法及装置
CN105959334A (zh) * 2016-07-20 2016-09-21 上海携程商务有限公司 DDoS攻击的自动防御系统及方法
CN106230785A (zh) * 2016-07-20 2016-12-14 南京铱迅信息技术股份有限公司 一种无私钥的https拒绝服务攻击的防御方法
CN106330951A (zh) * 2016-09-14 2017-01-11 北京神州绿盟信息安全科技股份有限公司 一种网络防护方法、装置和系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113037716A (zh) * 2021-02-07 2021-06-25 杭州又拍云科技有限公司 一种基于内容分发网络的攻击防御方法
CN113037716B (zh) * 2021-02-07 2021-12-21 杭州又拍云科技有限公司 一种基于内容分发网络的攻击防御方法

Similar Documents

Publication Publication Date Title
US20210281603A1 (en) Techniques for protecting against excessive utilization of cloud services
Chadd DDoS attacks: past, present and future
US9548961B2 (en) Detecting adverse network conditions for a third-party network site
CN108353079B (zh) 对针对基于云的应用的网络威胁的检测
Pletinckx et al. Malware coordination using the blockchain: An analysis of the cerber ransomware
Tien et al. KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches
CN109450841B (zh) 一种基于云+端设备按需联动模式的抗大规模DDoS攻击的防御方法
CN107277080A (zh) 一种基于安全即服务的互联网风险管理方法及系统
Hyslip Cybercrime-as-a-service operations
Bellini et al. Cyber Resilience in IoT network: Methodology and example of assessment through epidemic spreading approach
Pijpker et al. The role of internet service providers in botnet mitigation
CN110753022A (zh) Ddos大流量防御架构
Taniguchi et al. Analysis and takeover of the bitcoin-coordinated pony malware
Cárdenas et al. An economic map of cybercrime
Bhardwaj et al. Solutions for DDoS attacks on cloud
Mezzour et al. Global variation in attack encounters and hosting
Hathaway When violating the agreement becomes customary practice
Ellefsen et al. Critical information infrastructure protection in the developing world
Hathaway et al. Taking control of our cyber future
Certic Two-factor Authentication vulnerabilities
Kox Cybersecurity in the perspective of Internet traffic growth
Prehn et al. Kirin: Hitting the Internet with Distributed BGP Announcements
Kumar et al. Implementing geo-blocking and spoofing protection in multi-domain software defined interconnects
Wang et al. Situation assessment model for inter‐domain routing system
Everett of the net

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200204