CN110875908B - 一种防御分布式拒绝服务攻击的方法及设备 - Google Patents
一种防御分布式拒绝服务攻击的方法及设备 Download PDFInfo
- Publication number
- CN110875908B CN110875908B CN201811014029.XA CN201811014029A CN110875908B CN 110875908 B CN110875908 B CN 110875908B CN 201811014029 A CN201811014029 A CN 201811014029A CN 110875908 B CN110875908 B CN 110875908B
- Authority
- CN
- China
- Prior art keywords
- traffic
- access point
- area
- access points
- scheduling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种防御分布式拒绝服务攻击的方法及设备,该方案需要监测经由第一接入点流向服务设备的第一区域流量,在检测到经由第一接入点流向服务设备的第一区域流量存在分布式拒绝服务攻击时,将所述第一区域流量的部分流量调度至第二接入点,以使所述第一区域流量的部分流量经由所述第二接入点流向服务设备,由此当某一个或几个接入点防御分布式拒绝服务攻击的能力不足时,可以由其它的接入点进行弥补,避免了多个接入点的场景下因防御能力瓶颈导致部分接入点出现流量拥塞的情况,并且各个接入点在维护上仍然相互独立,便于接入点的扩张。
Description
技术领域
本申请涉及信息技术领域,尤其涉及一种防御分布式拒绝服务攻击的方法及设备。
背景技术
分布式拒绝服务(DDoS,Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。目前对于DDoS攻击的防护方案主要是通过流量清洗的方式,通过建立清洗集群,使得流量在流向服务设备之前由清洗集群进行流量清洗,对其中可能是DDoS攻击的流量进行过滤。
在云计算场景下,为了提升用户的访问质量,云服务的提供方会建立多个接入点,各个区域的用户通过对应的接入点访问公有云上的资源。由于影响DDoS攻击防御能力的两个主要因素为带宽以及清洗能力,因此对于每个接入点都会配置一定的带宽,并建立对应的清洗集群,从而对经由各个接入点流向公有云的流量进行清洗,以防御DDoS攻击。但是,由于各个接入点的配置不同,其对于DDoS攻击的防御能力也不一致,对于防御能力较差的接入点,出现因DDoS攻击而造成流量拥塞的可能性较大。
申请内容
本申请实施例提供了一种防御分布式拒绝服务攻击的方案,以至少解决多个接入点的场景下因防御能力瓶颈导致部分接入点出现流量拥塞的问题。
为实现上述目的,本申请实施例提供了一种防御分布式拒绝服务攻击的方法,包括:
监测经由第一接入点流向服务设备的第一区域流量;
在检测到第一区域流量存在分布式拒绝服务攻击时,将所述第一区域流量的部分流量调度至第二接入点,以使所述第一区域流量的部分流量经由所述第二接入点流向服务设备。
基于本申请实施例的另一方面,还提供了一种防御分布式拒绝服务攻击的设备,包括:
监测装置,用于监测经由第一接入点流向服务设备的第一区域流量;
路由控制装置,用于在检测到第一区域流量存在分布式拒绝服务攻击时,将所述第一区域流量的部分流量调度至第二接入点,以使所述第一区域流量的部分流量经由所述第二接入点流向服务设备。
此外,本申请实施例还提供了另一种防御分布式拒绝服务攻击的设备,包括:
处理器;以及
存储有机器可读指令的一个或多个机器可读介质,当所述处理器执行所述机器可读指令时,使得所述设备执行前述防御分布式拒绝服务攻击的方法。
本申请提供的方案中,需要监测经由第一接入点流向服务设备的第一区域流量,在检测到经由第一接入点流向服务设备的第一区域流量存在分布式拒绝服务攻击时,将所述第一区域流量的部分流量调度至第二接入点,以使所述第一区域流量的部分流量经由所述第二接入点流向服务设备,由此当某一个或几个接入点防御分布式拒绝服务攻击的能力不足时,可以由其它的接入点进行弥补,避免了多个接入点的场景下因防御能力瓶颈导致部分接入点出现流量拥塞的情况,并且各个接入点在维护上仍然相互独立,便于接入点的扩张。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1为本申请实施例中多接入点场景下一种DDoS攻击防御方案的示意图;
图2为本申请实施例提供的一种防御防御分布式拒绝服务攻击的方法的处理流程图;
图3为采用本申请实施例提供的方法实现多接入点场景下防御DDoS攻击的原理示意图;
图4为本申请实施例中对第一接入点的部分流量进行调度的示意图;
图5为本申请实施例提供的一种防御防御分布式拒绝服务攻击的设备的结构示意图;
图6为本申请实施例提供的另一种防御防御分布式拒绝服务攻击的设备的结构示意图;
附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
下面结合附图对本申请作进一步详细描述。
在本申请一个典型的配置中,终端、服务网络的设备均包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体,可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的装置或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
本申请实施例提供了一种防御分布式拒绝服务攻击的方法,用于对经由不同接入点流向服务设备的区域流量进行调度,以避免多个接入点的场景下因对DDoS攻击防御能力瓶颈导致部分接入点出现流量拥塞的情况。本申请实施例的方法可以在用户设备、网络设备或用户设备与网络设备通过网络相集成所构成的设备中执行。其中,所述用户设备包括但不限于计算机、手机、平板电脑等各类终端设备;所述网络设备包括但不限于如网络主机、单个网络服务器、多个网络服务器集或基于云计算的计算机集合等实现。在此,云由基于云计算(Cloud Computing)的大量主机或网络服务器构成,其中,云计算是分布式计算的一种由一群松散耦合的计算机集组成的一个虚拟计算机。
在云计算场景下,为了提升用户的访问质量,云服务的提供方会建立多个接入点,以便于位于各个区域的用户访问。用户一般可以通过访问位置较近的接入点以获取较快的访问速度,以图1为例,可以建立三个接入点分别为area1、area2和area3,每个接入点都会有对应的清洗集群defense,来对经由各个接入点流向服务设备的区域流量进行清洗。实际场景中,接入点的数量根据规模的需求可以设置不同的数量,不限于本申请实施例中的3个,此处为便于说明仅以较小数据进行说明。对于每个接入点,其防御DDoS攻击的能力与每个接入点的入口带宽相关,例如接入点area1的入口带宽为500GB/s,若DDoS攻击的流量超过了500GB/s,其流量清洗能力不足以处理由接入点area1输入的流量,则会导致流量拥塞,无法处理正常的访问请求。
图2示出了本申请实施例提供的防御分布式拒绝服务攻击的方法的处理流程,包括以下步骤:
步骤S201,监测经由第一接入点流向服务设备的第一区域流量。其中,所述服务设备是指向用户提供服务的设备,用户通过客户端可以访问服务设备,以获取各类资源,其具体实现可以是单个服务器、服务器集群或者云等。
步骤S202,在检测到第一区域流量存在分布式拒绝服务攻击时,将所述第一区域流量的部分流量调度至第二接入点,以使所述第一区域流量的部分流量经由所述第二接入点流向服务设备。
例如本申请实施例中接入点area1受到DDoS攻击,由于其入口带宽为500GB/s,若经由接入点area1流向服务设备的区域流量存在DDoS攻击时,将会导致接入点area1出现流量拥塞的情况。此时,可以将接入点area1的部分流量调度至接入点area2,使得这些流量通过接入点area2流向服务设备,由此降低经由接入点area1流向服务设备的流量,避免流量拥塞,其处理原理如图3所示。
在本申请的一些实施例中,在将第一区域流量的部分流量调度至第二接入点时,由于第一区域流量一般包含两个部分,即正常用户的访问流量和DDoS攻击的攻击流量,可以仅对攻击流量进行调度。即将所述第一区域流量中的攻击流量调度至第二接入点,以使所述第一区域流量的攻击流量经由所述第二接入点流向服务设备,而正常用户的访问流量仍经由第一接入点流向服务设备。在实际场景中,对于攻击流量的调度可以通过修改被攻击目的IP的路由的方式实现,由此所有关于该目的IP的访问请求均经由接入点area2来访问,由接入点area2的清洗集群对其进行流量清洗之后,发送至该目的IP。
在实际场景中,各个接入点的入口带宽和流量清洗能力可能并不相同,由于DDoS攻击的流量可能会占接入点区域流量的一大部分,若直接将每个接入点的所有攻击流量全部调度至其它接入点,有可能会造成第二接入点的拥塞,同时也会使得第一接入点的大幅减少,从而浪费其处理能力。由此,在将所述第一区域流量的部分流量调度至第二接入点时,可以根据所述第一接入点的流量控制阈值,将所述第一区域流量中超出所述流量控制阈值的流量,确定为调度流量,然后将所述调度流量调度至第二接入点,以使所述调度流量经由所述第二接入点流向服务设备。
其中,所述流量控制阈值是指用于控制调度后第一接入点剩余流量的参数,使得调度后也可以充分利用第一接入点的入口带宽及清洗处理能力。例如,对于入口带宽为500GB/s的接入点area1,通过流量控制阈值使得进行流量调度之后,接入点area1仍然保持400GB/s左右的流量。由于在实际场景中,每个地区的接入点也有可能会同时存在多个被攻击的目的IP,因此可以根据流向每个目的IP的攻击流量,选取其中部分目的IP对应的攻击流量作为调度流量进行调度,而无需将所有目的IP的攻击流量进行调度。在满足流量控制阈值的前提下,也可以不对攻击流量进行调度,而是调度流向未被攻击的IP的正常流量。
在进行流量调度时,可以考虑各个接入点当前的流量承载能力,即根据各个接入点当前的流量承载能力,来确定一个或多个第二接入点,以避免将流量调度至第二接入点之后,造成了第二接入点上的流量拥塞。由于实际场景中,流量承载能力的主要是每个接入点的入口带宽以及清洗集群的清洗处理能力,因此可以优先考虑未受到DDoS攻击、剩余的入口带宽高且清洗能力强的接入点。在确定可以调用的第二接入点之后,将所述第一区域流量的部分流量调度至确定的一个或多个第二接入点,以使所述第一区域流量的部分流量经由第二接入点流向服务设备。
例如,以4个接入点area1~4为例,若仅有接入点area2发现DDoS攻击时,可以将接入点area2的部分流量调度到其它三个接入点,经由其它三个接入点流向服务设备。但是,若其中接入点area4的流量承载能力有限,用户当前的正常访问流量已接近其入口带宽,此时就不宜将该接入点area4作为流量调度的第二接入点。而接入点area1和接入点area3都剩余足够的入口带宽,则可以选择接入点area1和接入点area3作为第二接入节点,如图4所示。
若第二接入点有多个时,可以根据所述多个第二接入点的当前的流量承载能力,确定分配至各个第二接入点的流量,然后根据所述分配至各个第二接入点的流量,将所述第一区域流量的部分流量调度至多个第二接入点,以使所述多个第二接入点的负载均衡。对于前例中接入点area2的部分流量,若需要调度的是三个被攻击目的ip的流量,如ip1、ip2和ip3,则可以结合接入点area1和接入点area3当前的流量承载能力,将ip1、ip2和ip3的流量分配至这两个第二接入点,例如将ip1和ip2的流量调度至接入点area1,而将ip3的流量调度至接入点area3,以保证接入点area1和接入点area3负载均衡。
在本申请的一些实施例中,该方法还包括可以以下步骤:在检测到符合预设条件时,撤销对所述第一区域流量的部分流量的调度。例如,在将某一IP的流量调度从接入点area1调度至接入点area2之后,若检测到符合预设条件,则可以撤销该次调度,即撤销对该IP的路由,将该IP的流量回切至接入点area1。其中,所述预设条件可以包括DDoS攻击停止或者调度时间超过预设时长。
由此,本申请实施例的方案解决了各个地区对应的接入点对于DDoS攻击防御能力不一致的问题,各个接入点之间可以相互弥补防御的能力不足,避免了多个接入点的场景下因防御能力瓶颈导致部分接入点出现流量拥塞的情况。同时,在新增接入点时,可以充分利用已有接入点对于DDoS攻击的防御能力,从而降低新增接入点的部署、维护成本,便于接入点的快速扩张。
基于同一发明构思,本申请实施例中还提供了防御分布式拒绝服务攻击的设备,所述设备对应的方法是前述实施例中的方法,并且其解决问题的原理与该方法相似。
本申请实施例提供的一种防御分布式拒绝服务攻击的设备用于对经由不同接入点流向服务设备的区域流量进行调度,以避免多个接入点的场景下因对DDoS攻击防御能力瓶颈导致部分接入点出现流量拥塞的情况。该设备的具体实现可以是用户设备、网络设备或用户设备与网络设备通过网络相集成所构成的设备。其中,所述用户设备包括但不限于计算机、手机、平板电脑等各类终端设备;所述网络设备包括但不限于如网络主机、单个网络服务器、多个网络服务器集或基于云计算的计算机集合等实现。在此,云由基于云计算(Cloud Computing)的大量主机或网络服务器构成,其中,云计算是分布式计算的一种由一群松散耦合的计算机集组成的一个虚拟计算机。
在云计算场景下,为了提升用户的访问质量,云服务的提供方会建立多个接入点,以便于位于各个区域的用户访问。用户一般可以通过访问位置较近的接入点以获取较快的访问速度,以图1为例,可以建立三个接入点分别为area1、area2和area3,每个接入点都会有对应的清洗集群defense,来对经由各个接入点流向服务设备的区域流量进行清洗。实际场景中,接入点的数量根据规模的需求可以设置不同的数量,不限于本申请实施例中的3个,此处为便于说明仅以较小数据进行说明。对于每个接入点,其防御DDoS攻击的能力与每个接入点的入口带宽相关,例如接入点area1的入口带宽为500GB/s,若DDoS攻击的流量超过了500GB/s,其流量清洗能力不足以处理由接入点area1输入的流量,则会导致流量拥塞,无法处理正常的访问请求。
图5示出了本申请实施例提供的防御分布式拒绝服务攻击的设备的结构,包括监测装置510和路由控制装置520。其中,监测装置510用于监测经由第一接入点流向服务设备的第一区域流量。其中,所述服务设备是指向用户提供服务的设备,用户通过客户端可以访问服务设备,以获取各类资源,其具体实现可以是单个服务器、服务器集群或者云等。路由控制装置520用于在检测到第一区域流量存在分布式拒绝服务攻击时,将所述第一区域流量的部分流量调度至第二接入点,以使所述第一区域流量的部分流量经由所述第二接入点流向服务设备。
例如本申请实施例中接入点area1受到DDoS攻击,由于其入口带宽为500GB/s,若经由接入点area1流向服务设备的区域流量存在DDoS攻击时,将会导致接入点area1出现流量拥塞的情况。此时,可以将接入点area1的部分流量调度至接入点area2,使得这些流量通过接入点area2流向服务设备,由此降低经由接入点area1流向服务设备的流量,避免流量拥塞,其处理原理如图3所示。
在本申请的一些实施例中,路由控制装置520在将第一区域流量的部分流量调度至第二接入点时,由于第一区域流量一般包含两个部分,即正常用户的访问流量和DDoS攻击的攻击流量,可以仅对攻击流量进行调度。即将所述第一区域流量中的攻击流量调度至第二接入点,以使所述第一区域流量的攻击流量经由所述第二接入点流向服务设备,而正常用户的访问流量仍经由第一接入点流向服务设备。在实际场景中,对于攻击流量的调度可以通过修改被攻击目的IP的路由的方式实现,由此所有关于该目的IP的访问请求均经由接入点area2来访问,由接入点area2的清洗集群对其进行流量清洗之后,发送至该目的IP。
在实际场景中,由于各个接入点的入口带宽和流量清洗能力均不相同,由于DDoS攻击的流量可能会占接入点区域流量的一大部分,若路由控制装置520直接将每个接入点的所有攻击流量全部调度至其它接入点,有可能会造成第二接入点的拥塞,同时也会使得第一接入点的大幅减少,从而浪费其处理能力。由此,路由控制装置520在将所述第一区域流量的部分流量调度至第二接入点时,可以根据所述第一接入点的流量控制阈值,将所述第一区域流量中超出所述流量控制阈值的流量,确定为调度流量,然后将所述调度流量调度至第二接入点,以使所述调度流量经由所述第二接入点流向服务设备。
其中,所述流量控制阈值是指用于控制调度后第一接入点剩余流量的参数,使得调度后也可以充分利用第一接入点的入口带宽及清洗处理能力。例如,对于入口带宽为500GB/s的接入点area1,通过流量控制阈值使得进行流量调度之后,接入点area1仍然保持400GB/s左右的流量。由于在实际场景中,每个地区的接入点也有可能会同时存在多个被攻击的目的IP,因此可以根据流向每个目的IP的攻击流量,选取其中部分目的IP对应的攻击流量作为调度流量进行调度,而无需将所有目的IP的攻击流量进行调度。在满足流量控制阈值的前提下,也可以不对攻击流量进行调度,而是调度流向未被攻击的IP的正常流量。
在进行流量调度时,可以考虑各个接入点当前的流量承载能力,即根据各个接入点当前的流量承载能力,来确定一个或多个第二接入点,以避免将流量调度至第二接入点之后,造成了第二接入点上的流量拥塞。由于实际场景中,流量承载能力的主要是每个接入点的入口带宽以及清洗集群的清洗处理能力,因此可以优先考虑未受到DDoS攻击、剩余的入口带宽高且清洗能力强的接入点。在确定可以调用的第二接入点之后,路由控制装置520将所述第一区域流量的部分流量调度至确定的一个或多个第二接入点,以使所述第一区域流量的部分流量经由第二接入点流向服务设备。
例如,以4个接入点area1~4为例,若仅有接入点area2发现DDoS攻击时,可以将接入点area2的部分流量调度到其它三个接入点,经由其它三个接入点流向服务设备。但是,若其中接入点area4的流量承载能力有限,用户当前的正常访问流量已接近其入口带宽,此时就不宜将该接入点area4作为流量调度的第二接入点。而接入点area1和接入点area3都剩余足够的入口带宽,则可以选择接入点area1和接入点area3作为第二接入节点,如图4所示。
若第二接入点有多个时,路由控制装置520可以根据所述多个第二接入点的当前的流量承载能力,确定分配至各个第二接入点的流量,然后根据所述分配至各个第二接入点的流量,将所述第一区域流量的部分流量调度至多个第二接入点,以使所述多个第二接入点的负载均衡。对于前例中接入点area2的部分流量,若需要调度的是三个被攻击目的ip的流量,如ip1、ip2和ip3,则可以结合接入点area1和接入点area3当前的流量承载能力,将ip1、ip2和ip3的流量分配至这两个第二接入点,例如将ip1和ip2的流量调度至接入点area1,而将ip3的流量调度至接入点area3,以保证接入点area1和接入点area3负载均衡。
在本申请的一些实施例中,路由控制装置520还可以在检测到符合预设条件时,撤销对所述第一区域流量的部分流量的调度。例如,在将某一IP的流量调度从接入点area1调度至接入点area2之后,若检测到符合预设条件,则可以撤销该次调度,即撤销对该IP的路由,将该IP的流量回切至接入点area1。其中,所述预设条件可以包括DDoS攻击停止或者调度时间超过预设时长。
由此,本申请实施例的方案解决了各个地区对应的接入点对于DDoS攻击防御能力不一致的问题,各个接入点之间可以相互弥补防御的能力不足,避免了多个接入点的场景下因防御能力瓶颈导致部分接入点出现流量拥塞的情况。同时,在新增接入点时,可以充分利用已有接入点对于DDoS攻击的防御能力,从而降低新增接入点的部署、维护成本,便于接入点的快速扩张。
另外,本申请的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本申请的方法和/或技术方案。而调用本申请的方法的程序指令,可能被存储在固定的或可移动的记录介质中,和/或通过广播或其他信号承载媒体中的数据流而被传输,和/或被存储在根据程序指令运行的计算机设备的工作存储器中。在此,根据本申请的一个实施例包括一个如图6所示的设备,该设备包括存储有机器可读指令的一个或多个机器可读介质610和用于执行机器可读指令的处理器620,其中,当该机器可读指令被该处理器执行时,使得所述设备执行基于前述根据本申请的多个实施例的方法和/或技术方案。
需要注意的是,本申请可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本申请的软件程序可以通过处理器执行以实现上文步骤或功能。同样地,本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本申请的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
Claims (15)
1.一种防御分布式拒绝服务攻击的方法,包括:
监测经由第一接入点流向服务设备的第一区域流量;
在检测到第一区域流量存在分布式拒绝服务攻击时,根据各个接入点当前的流量承载能力,确定一个或多个第二接入点,将所述第一区域流量的部分流量调度至第二接入点,以使所述第一区域流量的部分流量经由所述第二接入点对应的清洗集群进行流量清洗 后流向服务设备,各个接入点有对应的清洗集群对经由各个接入点流向服务设备的区域流量进行清洗。
2.根据权利要求1所述的方法,其中,将所述第一区域流量的部分流量调度至第二接入点,以使所述第一区域流量的部分流量经由所述第二接入点流向服务设备,包括:
将所述第一区域流量中的攻击流量调度至第二接入点,以使所述第一区域流量的攻击流量经由所述第二接入点流向服务设备。
3.根据权利要求1所述的方法,其中,将所述第一区域流量的部分流量调度至第二接入点,以使所述第一区域流量的部分流量经由所述第二接入点流向服务设备,包括:
根据所述第一接入点的流量控制阈值,将所述第一区域流量中超出所述流量控制阈值的流量,确定为调度流量;
将所述调度流量调度至第二接入点,以使所述调度流量经由所述第二接入点流向服务设备。
4.根据权利要求1所述的方法,其中,将所述第一区域流量的部分流量调度至第二接入点,以使所述第一区域流量的部分流量经由所述第二接入点流向服务设备,包括:
将所述第一区域流量的部分流量调度至一个或多个第二接入点,以使所述第一区域流量的部分流量经由一个或多个第二接入点流向服务设备。
5.根据权利要求4所述的方法,其中,将所述第一区域流量的部分流量调度至多个第二接入点,包括:
根据所述多个第二接入点的当前的流量承载能力,确定分配至各个第二接入点的流量;
根据所述分配至各个第二接入点的流量,将所述第一区域流量的部分流量调度至多个第二接入点,以使所述多个第二接入点的负载均衡。
6.根据权利要求1所述的方法,其中,该方法还包括:
在检测到符合预设条件时,撤销对所述第一区域流量的部分流量的调度。
7.根据权利要求6所述的方法,其中,所述预设条件包括分布式拒绝服务攻击停止或者调度时间超过预设时长。
8.一种防御分布式拒绝服务攻击的设备,包括:
监测装置,用于监测经由第一接入点流向服务设备的第一区域流量;
路由控制装置,用于在检测到第一区域流量存在分布式拒绝服务攻击时,根据各个接入点当前的流量承载能力,确定一个或多个第二接入点,将所述第一区域流量的部分流量调度至第二接入点,以使所述第一区域流量的部分流量经由所述第二接入点对应的清洗集群进行流量清洗 后流向服务设备,其中,所述第一区域流量为经由第一接入点流向服务设备的区域流量,各个接入点有对应的清洗集群对经由各个接入点流向服务设备的区域流量进行清洗。
9.根据权利要求8所述的设备,其中,所述路由控制装置,用于将所述第一区域流量中的攻击流量调度至第二接入点,以使所述第一区域流量的攻击流量经由所述第二接入点流向服务设备。
10.根据权利要求8所述的设备,其中,所述路由控制装置,用于根据所述第一接入点的流量控制阈值,将所述第一区域流量中超出所述流量控制阈值的流量,确定为调度流量;
将所述调度流量调度至第二接入点,以使所述调度流量经由所述第二接入点流向服务设备。
11.根据权利要求8所述的设备,其中,所述路由控制装置,用于将所述第一区域流量的部分流量调度至一个或多个第二接入点,以使所述第一区域流量的部分流量经由一个或多个第二接入点流向服务设备。
12.根据权利要求11所述的设备,其中,所述路由控制装置,用于根据所述多个第二接入点的当前的流量承载能力,确定分配至各个第二接入点的流量;以及根据所述分配至各个第二接入点的流量,将所述第一区域流量的部分流量调度至多个第二接入点,以使所述多个第二接入点的负载均衡。
13.根据权利要求8所述的设备,其中,所述路由控制装置,还用于在检测到符合预设条件时,撤销对所述第一区域流量的部分流量的调度。
14.根据权利要求13所述的设备,其中,所述预设条件包括分布式拒绝服务攻击停止或者调度时间超过预设时长。
15.一种防御分布式拒绝服务攻击的设备,其中,该设备包括:
处理器;以及
存储有机器可读指令的一个或多个机器可读介质,当所述处理器执行所述机器可读指令时,使得所述设备执行如权利要求1至7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811014029.XA CN110875908B (zh) | 2018-08-31 | 2018-08-31 | 一种防御分布式拒绝服务攻击的方法及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811014029.XA CN110875908B (zh) | 2018-08-31 | 2018-08-31 | 一种防御分布式拒绝服务攻击的方法及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110875908A CN110875908A (zh) | 2020-03-10 |
CN110875908B true CN110875908B (zh) | 2022-12-13 |
Family
ID=69715350
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811014029.XA Active CN110875908B (zh) | 2018-08-31 | 2018-08-31 | 一种防御分布式拒绝服务攻击的方法及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110875908B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102395212A (zh) * | 2011-11-18 | 2012-03-28 | 百度在线网络技术(北京)有限公司 | 网关接入控制方法、系统及装置 |
CN104954367A (zh) * | 2015-06-04 | 2015-09-30 | 饶小毛 | 一种互联网全向跨域DDoS攻击防护方法 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101588246B (zh) * | 2008-05-23 | 2012-01-04 | 成都市华为赛门铁克科技有限公司 | 防范分布式阻断服务DDoS攻击的方法、网络设备和网络系统 |
US8504504B2 (en) * | 2008-09-26 | 2013-08-06 | Oracle America, Inc. | System and method for distributed denial of service identification and prevention |
CN101447996B (zh) * | 2008-12-31 | 2012-08-29 | 成都市华为赛门铁克科技有限公司 | 分布式拒绝服务攻击防护方法、系统及设备 |
CN102143173A (zh) * | 2011-03-23 | 2011-08-03 | 深信服网络科技(深圳)有限公司 | 防御分布式拒绝服务攻击的方法、系统以及网关设备 |
US9141789B1 (en) * | 2013-07-16 | 2015-09-22 | Go Daddy Operating Company, LLC | Mitigating denial of service attacks |
CN107154915A (zh) * | 2016-03-02 | 2017-09-12 | 阿里巴巴集团控股有限公司 | 防御分布式拒绝服务DDoS攻击的方法、装置及系统 |
-
2018
- 2018-08-31 CN CN201811014029.XA patent/CN110875908B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102395212A (zh) * | 2011-11-18 | 2012-03-28 | 百度在线网络技术(北京)有限公司 | 网关接入控制方法、系统及装置 |
CN104954367A (zh) * | 2015-06-04 | 2015-09-30 | 饶小毛 | 一种互联网全向跨域DDoS攻击防护方法 |
Also Published As
Publication number | Publication date |
---|---|
CN110875908A (zh) | 2020-03-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10257266B2 (en) | Location of actor resources | |
CN103368768B (zh) | 混合云环境中自动缩放网络覆盖的方法、装置及设备 | |
CN109302498B (zh) | 一种网络资源访问方法及装置 | |
CN101815033B (zh) | 负载均衡的方法、设备及系统 | |
US20110134761A1 (en) | Dynamically provisioning virtual machines | |
CN111478850B (zh) | 一种网关调整方法和装置 | |
EP3472697A1 (en) | Dynamic acceleration in content delivery network | |
CN107707943A (zh) | 一种实现云服务融合的方法及系统 | |
US9749354B1 (en) | Establishing and transferring connections | |
CN109936474B (zh) | 一种生成网络拓扑图的方法及设备 | |
CN110442610A (zh) | 负载均衡的方法、装置、计算设备以及介质 | |
CN111913782A (zh) | 一种基于隧道技术实现虚拟机流量镜像的方法与设备 | |
CN113315706B (zh) | 私有云流量控制方法、设备及系统 | |
CN109561054A (zh) | 一种数据传输方法、控制器及接入设备 | |
CN110875908B (zh) | 一种防御分布式拒绝服务攻击的方法及设备 | |
CN110011850B (zh) | 云计算系统中服务的管理方法和装置 | |
CN112839052A (zh) | 虚拟网络的安全防护系统、方法、服务器及可读存储介质 | |
CN110149365B (zh) | 服务适配方法、设备、系统以及计算机可读介质 | |
Shan et al. | Cloud-side shuffling defenses against ddos attacks on proxied multiserver systems | |
JP2004048565A (ja) | ネットワーク品質推定制御方式 | |
CN113905092B (zh) | 一种确定可复用代理队列的方法、装置、终端及存储介质 | |
CN113315743B (zh) | 防御处理方法、装置、设备和存储介质 | |
US20160028834A1 (en) | Traffic engineering of cloud services | |
CN106453118B (zh) | 一种流量控制方法及流量控制系统 | |
CN113079062B (zh) | 一种资源调整方法、装置、计算机设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40025324 Country of ref document: HK |
|
GR01 | Patent grant | ||
GR01 | Patent grant |