CN110753022A - Ddos大流量防御架构 - Google Patents
Ddos大流量防御架构 Download PDFInfo
- Publication number
- CN110753022A CN110753022A CN201810821005.9A CN201810821005A CN110753022A CN 110753022 A CN110753022 A CN 110753022A CN 201810821005 A CN201810821005 A CN 201810821005A CN 110753022 A CN110753022 A CN 110753022A
- Authority
- CN
- China
- Prior art keywords
- ddos
- defense
- abnormal
- new
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全防护技术领域,提供;一种DDOS大流量防御架构,防护平台包括主服务器、微型服务器和隐藏服务器,若干微型服务器建立连接池,通过负载均衡将与主服务器连接的IP和端口映射到各个微型服务器上的隐藏服务器的IP和端口,对连接池进行实时异常监控,监控到异常IP时迅速切换至新的IP和端口;本发明解决了现有技术的DDOS的防御系统的通用性差、价格昂贵不适于中小企业应用以及无法定位攻击源的问题。
Description
技术领域
本发明涉及网络安全防护技术领域,具体涉及一种DDOS大流量防御架构。
背景技术
DDOS攻击通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的。前市面上相对成熟的DDOS防御就是阿里云的DDoS高防IP和云盾DDoS高防IP,其通过针对互联网服务器(包括非阿里云主机)在遭受大流量的,DDoS攻击后导致服务不可用的情况下,推出的付费增值服务,用户可以通过配置高防IP,将攻击流量引流到高防IP,确保源站的稳定可靠。
现有技术的DDOS的防御系统支持电信、联通、移动、教育网等8线独家防御,支持TCP/UDP/HTTP/HTTPS适合金融、电商、游戏、门户、媒体等各类业务场景;防御游戏空连接、慢连接、恶意踢人攻击,采用IP信誉库、ip+cookie、ip+key防御CC攻击;高防IP对于300G以下的流量攻击能够有效的防御,但是对于300G以上的攻击效果就并不明显,还是会出现大面积的掉线。高防IP只能一对一,假设有多种业务模式的情况下则需要购置多个高防IP通用性并不好。
对于大流量的攻击,高防IP的费用非常昂贵,对于100G以上的流量攻击,每天的费用在3-6万左右,一般的中小企业很难支付的起如此高额的防御费用;高防IP只能防御,并不能最终定位到攻击源。
发明内容
解决的技术问题
针对现有技术的不足,本发明提供了一种DDOS大流量防御架构,解决了现有技术的DDOS的防御系统的通用性差、价格昂贵不适于中小企业应用以及无法定位攻击源的问题。
技术方案
为实现以上目的,本发明通过以下技术方案予以实现:
一种DDOS大流量防御架构,防护平台包括主服务器、微型服务器和隐藏服务器,若干所述微型服务器建立连接池,通过负载均衡将与主服务器连接的IP和端口映射到各个微型服务器上的所述隐藏服务器的IP和端口,对所述连接池进行实时异常监控,监控到异常IP时迅速切换至新的IP和端口。
更进一步地,所述IP和端口单个接入连接的数量可进行定量控制,当达到一定数量后,切换到新的IP,这样能保证在一个IP被攻击后,只会影响到当前IP的链接,其他连接依然正常运行。
更进一步地,发现异常IP时,迅速将有异常连接切换到新的IP和端口,并对异常的连接进行记录;出现异常IP的部分重新分配一批新的IP,切换时间小于2秒,保证业务的正常运行。
更进一步地,通过对所述异常IP的层层锁定,确定异常IP的唯一连接,实现对攻击来源的锁定,防御持续性攻击。
更进一步地,所述隐藏服务器采用替身采用替身防防御模式,接入防护平台后,解析用户的网站返回的是网堤安全防护节点IP,用户的源站IP将不再暴露,彻底阻断针对源站的攻击,确保源站安全。
更进一步地,所述防护平台提供清晰详细的攻击日志和流量报表,提供透明的攻击状况展示,方便快速掌握网站的实时防护状态。
有益效果
本发明提供了一种DDOS大流量防御架构,与现有公知技术相比,本发明的具有如下有益效果:
1、本发明通过构建连接池和隐藏用户源站的设计,组织的DDOS大流量防御架构支持TCP/UDP/HTTP/HTTPS适合金融、电商、游戏、门户、媒体等各类业务场景,费用低廉,基本能够定位到攻击来源,各种业务能够通用一个防御池,避免了每种业务分别部署的麻烦。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的架构原理示意图;
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例:
本实施例的一种DDOS大流量防御架构,防护平台包括主服务器、微型服务器和隐藏服务器,若干微型服务器建立连接池,通过负载均衡将与主服务器连接的IP和端口映射到各个微型服务器上的隐藏服务器的IP和端口,对连接池进行实时异常监控,监控到异常IP时迅速切换至新的IP和端口。
IP和端口单个接入连接的数量可进行定量控制,当达到一定数量后,切换到新的IP,这样能保证在一个IP被攻击后,只会影响到当前IP的链接,其他连接依然正常运行。
发现异常IP时,迅速将有异常连接切换到新的IP和端口,并对异常的连接进行记录;出现异常IP的部分重新分配一批新的IP,切换时间小于2秒,保证业务的正常运行。
通过对异常IP的层层锁定,确定异常IP的唯一连接,实现对攻击来源的锁定,防御持续性攻击。
隐藏服务器采用替身采用替身防防御模式,接入防护平台后,解析用户的网站返回的是网堤安全防护节点IP,用户的源站IP将不再暴露,彻底阻断针对源站的攻击,确保源站安全。
防护平台提供清晰详细的攻击日志和流量报表,提供透明的攻击状况展示,方便快速掌握网站的实时防护状态。
本发明通过构建连接池和隐藏用户源站的设计,组织的DDOS大流量防御架构支持TCP/UDP/HTTP/HTTPS适合金融、电商、游戏、门户、媒体等各类业务场景,费用低廉,基本能够定位到攻击来源,各种业务能够通用一个防御池,避免了每种业务分别部署的麻烦。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (6)
1.一种DDOS大流量防御架构,其特征在于,防护平台包括主服务器、微型服务器和隐藏服务器,若干所述微型服务器建立连接池,通过负载均衡将与主服务器连接的IP和端口映射到各个微型服务器上的所述隐藏服务器的IP和端口,对所述连接池进行实时异常监控,监控到异常IP时迅速切换至新的IP和端口。
2.根据权利要求1所述的一种DDOS大流量防御架构,其特征在于,所述IP和端口单个接入连接的数量可进行定量控制,当达到一定数量后,切换到新的IP,这样能保证在一个IP被攻击后,只会影响到当前IP的链接,其他连接依然正常运行。
3.根据权利要求1所述的一种DDOS大流量防御架构,其特征在于,发现异常IP时,迅速将有异常连接切换到新的IP和端口,并对异常的连接进行记录;出现异常IP的部分重新分配一批新的IP,切换时间小于2秒,保证业务的正常运行。
4.根据权利要求1所述的一种DDOS大流量防御架构,其特征在于,通过对所述异常IP的层层锁定,确定异常IP的唯一连接,实现对攻击来源的锁定,防御持续性攻击。
5.根据权利要求1所述的一种DDOS大流量防御架构,其特征在于,所述隐藏服务器采用替身采用替身防防御模式,接入防护平台后,解析用户的网站返回的是网堤安全防护节点IP,用户的源站IP将不再暴露,彻底阻断针对源站的攻击,确保源站安全。
6.根据权利要求1所述的一种DDOS大流量防御架构,其特征在于,所述防护平台提供清晰详细的攻击日志和流量报表,提供透明的攻击状况展示,方便快速掌握网站的实时防护状态。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810821005.9A CN110753022A (zh) | 2018-07-24 | 2018-07-24 | Ddos大流量防御架构 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810821005.9A CN110753022A (zh) | 2018-07-24 | 2018-07-24 | Ddos大流量防御架构 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110753022A true CN110753022A (zh) | 2020-02-04 |
Family
ID=69275568
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810821005.9A Pending CN110753022A (zh) | 2018-07-24 | 2018-07-24 | Ddos大流量防御架构 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110753022A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113037716A (zh) * | 2021-02-07 | 2021-06-25 | 杭州又拍云科技有限公司 | 一种基于内容分发网络的攻击防御方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150026766A1 (en) * | 2012-08-07 | 2015-01-22 | Lee Hahn Holloway | Mitigating a Denial-of-Service Attack in a Cloud-Based Proxy Service |
CN105245549A (zh) * | 2015-10-30 | 2016-01-13 | 上海红神信息技术有限公司 | 一种抵抗DDoS攻击的主动防御方法 |
CN105959334A (zh) * | 2016-07-20 | 2016-09-21 | 上海携程商务有限公司 | DDoS攻击的自动防御系统及方法 |
CN106230785A (zh) * | 2016-07-20 | 2016-12-14 | 南京铱迅信息技术股份有限公司 | 一种无私钥的https拒绝服务攻击的防御方法 |
CN106302313A (zh) * | 2015-05-14 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 基于调度系统的DDoS防御方法和DDoS防御系统 |
CN106330951A (zh) * | 2016-09-14 | 2017-01-11 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络防护方法、装置和系统 |
CN107104921A (zh) * | 2016-02-19 | 2017-08-29 | 阿里巴巴集团控股有限公司 | DDoS攻击防御方法及装置 |
-
2018
- 2018-07-24 CN CN201810821005.9A patent/CN110753022A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150026766A1 (en) * | 2012-08-07 | 2015-01-22 | Lee Hahn Holloway | Mitigating a Denial-of-Service Attack in a Cloud-Based Proxy Service |
CN106302313A (zh) * | 2015-05-14 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 基于调度系统的DDoS防御方法和DDoS防御系统 |
CN105245549A (zh) * | 2015-10-30 | 2016-01-13 | 上海红神信息技术有限公司 | 一种抵抗DDoS攻击的主动防御方法 |
CN107104921A (zh) * | 2016-02-19 | 2017-08-29 | 阿里巴巴集团控股有限公司 | DDoS攻击防御方法及装置 |
CN105959334A (zh) * | 2016-07-20 | 2016-09-21 | 上海携程商务有限公司 | DDoS攻击的自动防御系统及方法 |
CN106230785A (zh) * | 2016-07-20 | 2016-12-14 | 南京铱迅信息技术股份有限公司 | 一种无私钥的https拒绝服务攻击的防御方法 |
CN106330951A (zh) * | 2016-09-14 | 2017-01-11 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络防护方法、装置和系统 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113037716A (zh) * | 2021-02-07 | 2021-06-25 | 杭州又拍云科技有限公司 | 一种基于内容分发网络的攻击防御方法 |
CN113037716B (zh) * | 2021-02-07 | 2021-12-21 | 杭州又拍云科技有限公司 | 一种基于内容分发网络的攻击防御方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210281603A1 (en) | Techniques for protecting against excessive utilization of cloud services | |
Chadd | DDoS attacks: past, present and future | |
US9548961B2 (en) | Detecting adverse network conditions for a third-party network site | |
CN108353079B (zh) | 对针对基于云的应用的网络威胁的检测 | |
Pletinckx et al. | Malware coordination using the blockchain: An analysis of the cerber ransomware | |
Tien et al. | KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches | |
CN109450841B (zh) | 一种基于云+端设备按需联动模式的抗大规模DDoS攻击的防御方法 | |
CN107277080A (zh) | 一种基于安全即服务的互联网风险管理方法及系统 | |
Hyslip | Cybercrime-as-a-service operations | |
Bellini et al. | Cyber Resilience in IoT network: Methodology and example of assessment through epidemic spreading approach | |
Pijpker et al. | The role of internet service providers in botnet mitigation | |
CN110753022A (zh) | Ddos大流量防御架构 | |
Taniguchi et al. | Analysis and takeover of the bitcoin-coordinated pony malware | |
Cárdenas et al. | An economic map of cybercrime | |
Bhardwaj et al. | Solutions for DDoS attacks on cloud | |
Mezzour et al. | Global variation in attack encounters and hosting | |
Hathaway | When violating the agreement becomes customary practice | |
Ellefsen et al. | Critical information infrastructure protection in the developing world | |
Hathaway et al. | Taking control of our cyber future | |
Certic | Two-factor Authentication vulnerabilities | |
Kox | Cybersecurity in the perspective of Internet traffic growth | |
Prehn et al. | Kirin: Hitting the Internet with Distributed BGP Announcements | |
Kumar et al. | Implementing geo-blocking and spoofing protection in multi-domain software defined interconnects | |
Wang et al. | Situation assessment model for inter‐domain routing system | |
Everett | of the net |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200204 |