CN111245786A - 一种防DDoS攻击方法 - Google Patents

一种防DDoS攻击方法 Download PDF

Info

Publication number
CN111245786A
CN111245786A CN201911406257.6A CN201911406257A CN111245786A CN 111245786 A CN111245786 A CN 111245786A CN 201911406257 A CN201911406257 A CN 201911406257A CN 111245786 A CN111245786 A CN 111245786A
Authority
CN
China
Prior art keywords
channel
service server
normal access
access client
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911406257.6A
Other languages
English (en)
Other versions
CN111245786B (zh
Inventor
邹飞
于修良
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Qianhai Zhian Information Technology Co Ltd
Original Assignee
Shenzhen Qianhai Zhian Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Qianhai Zhian Information Technology Co Ltd filed Critical Shenzhen Qianhai Zhian Information Technology Co Ltd
Priority to CN201911406257.6A priority Critical patent/CN111245786B/zh
Publication of CN111245786A publication Critical patent/CN111245786A/zh
Application granted granted Critical
Publication of CN111245786B publication Critical patent/CN111245786B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种防DDoS攻击方法,通道转换模块在正常访问客户端与业务服务器端之间布置备用交换机通道,正常访问期间备用交换机通道的IP地址处于不激活状态;通道转换模块给正常访问客户端和业务服务器端分别分发各自的私钥,并将业务服务器端的公钥也分发给正常访问客户端;当业务服务器端检测到DDoS攻击时,业务服务器端执行关闭受攻击的主交换机通道,拒绝主通道IP地址数据请求,同时激活备用交换机通道IP地址,开始处理备用通道IP地址接收到的数据;正常访问客户端收到通道转换模块的返回信息后,完成业务服务器端的正常访问。本发明能够提供一种防护效果好,流量调度更加精准高效且能有效保证正常用户宽带的防DDoS攻击方法。

Description

一种防DDoS攻击方法
技术领域
本发明涉及网络安全技术领域,尤其涉及一种防DDoS攻击方法。
背景技术
随着网络应用的普及,给我们生活及工作带来了诸多便利,但是网络安全也是我们需重点关注的,否则网络会给我们正常用户造成影响或损失,现有技术是通过流量清洗技术对DDoS攻击的流量进行处理,当检测到DDoS攻击流量对业务服务器发起攻击时,将非法流量引入到流量处理设备或服务器上,正常访问流量引导到业务处理服务器,但是DDoS攻击的流量如果规模极大,还是会导致整个网络的拥挤,流量清洗技术仅能针对流入到业务处理服务器的流量进行处理,正常访问流量依然会应为网络的拥挤而受到影响。
发明内容
本发明目的是为了克服现有技术的不足而提供一种防护效果好,流量调度更加精准高效且能有效保证正常用户宽带的防DDoS攻击方法。
为达到上述目的,本发明采用了如下技术方案。
一种防DDoS攻击方法,包括正常访问客户端、DDos攻击客户端、主交换机通道、正常访问流量、攻击流量、业务服务器和通道转换模块,具体包括如下处理步骤:
步骤一:所述通道转换模块在所述正常访问客户端与业务服务器端之间布置备用交换机通道,在正常访问期间,默认使用主交换机通道进行连接访问,并关闭备用交换机通道,使备用交换机通道的IP地址处于不激活状态;
步骤二:在所述正常访问客户端嵌入安装前通道协商模块,在所述业务服务器端内安装后通道协商模块;正常访问客户端和业务服务器端在初始化时,通道转换模块给正常访问客户端和业务服务器端分别分发各自的私钥,并将业务服务器端的公钥也分发给正常访问客户端;
步骤三:当业务服务器端检测到DDoS攻击时,业务服务器端执行关闭受攻击的主交换机通道,拒绝主通道IP地址数据请求,同时激活备用交换机通道IP地址,开始处理备用通道IP地址接收到的数据;
步骤四:正常访问客户端访问业务服务器后出现无响应请求,则通道转换模块请求业务服务器端的通道变更信息;
步骤五:通道转换模块接收到正常访问客户端的请求后,执行如下动作,包括先使用摘要算法验证Q和H1的完整性,再使用正常访问客户端的唯一标识计算正常访问客户端公钥P1,然后使用P1对正常访问客户端签名值M1进行验证签名;最后通道转换模块将请求指令的密文Q和客户端唯一标识发给业务服务器端;
步骤六:业务服务器端使用自己的私钥S2解密Q,获取客户端的通道变更请求,业务服务器端验证请求后,给通道转换模块反馈新的通道信息,先使用正常访问客户端的唯一标识计算客户端公钥P1,再使用P1通过非对称加密算法加密新的通道信息,密文A,然后使用摘要算法计算A的摘要H2,再使用业务服务器端私钥S2对摘要H2进行签名得到M2,最终将A,H2,M2发给通道转换模块,通道转换模块将A,H2,M2发送给正常访问客户端;
步骤七:正常访问客户端收到通道转换模块的返回信息后,先执行使用摘要算法验证A,H2的完整性,再使用业务服务器端的公钥P2验证签名值M2,使用正常访问客户端的私钥S1解密密文A得到新的通道信息,最后正常访问客户端使用新的通道信息访问业务服务器端,至此完成业务服务器端的正常访问。
作为本发明的进一步改进,所述备用交换机通道的数量为两个及两个以上。
作为本发明的进一步改进,所述步骤二中分发的正常访问客户端私钥生成的输入参数为正常客户端设备唯一标识。
作为本发明的进一步改进,所述步骤四的请求变更指令处理方法具体包括如下,先使用业务服务器端的公钥P2将请求指令进行非对称加密,加密数据Q,再用摘要算法计算Q的摘要H1,然后使用正常访问客户端的私钥S1对H1进行签名,签名值M1,最后将Q,H1,M1发送给通道转换模块。
由于上述技术方案的运用,本发明的技术方案带来的有益技术效果:本技术方案在当业务服务器端的主交换机通道遇到DDoS流量攻击时,则业务服务器执行关闭主交换机通道的通信请求,并同时开启备用交换机通道的通信通道,并通过通道转换模块通知正常访问客户端提示进行更换访问通道;本技术方案在业务服务器遭受到DDoS攻击后,通过通道转换模块将合法的正常访问客户端引导到另外一个备用网络通道中,保证了正常访问业务不会受到DDoS攻击的影响;本技术方案设置新的备用交换机通道信息只有合法的正常访问客户端和业务服务器端才知道,其他节点无法从交互数据中获知到新的通道信息,可有效避免遭受二次攻击,同时也实现了在异常情况下仍能快速链接到业务服务器端。
附图说明
附图1为本发明的整体结构流程示意框图。
图中:1.正常访问客户端;2.DDos攻击客户端;3.主交换机通道;4.正常访问流量;5.攻击流量;6.业务服务器;7.通道转换模块;8.备用交换机通道;9.前通道协商模块;10.后通道协商模块。
具体实施方式
下面结合反应路线及具体实施例对本发明作进一步的详细说明。
如图1所示,一种防DDoS攻击方法,包括正常访问客户端1、DDos攻击客户端2、主交换机通道3、正常访问流量4、攻击流量5、业务服务器6和通道转换模块7,具体包括如下处理步骤:
步骤一:所述通道转换模块7在所述正常访问客户端1与业务服务器端6之间布置备用交换机通道8,在正常访问期间,默认使用主交换机通道3进行连接访问,并关闭备用交换机通道8,使备用交换机通道8的IP地址处于不激活状态;
步骤二:在所述正常访问客户端嵌入安装前通道协商模块9,在所述业务服务器端6内安装后通道协商模块10;正常访问客户端1和业务服务器端6在初始化时,通道转换模块7给正常访问客户端1和业务服务器端6分别分发各自的私钥,并将业务服务器端的公钥也分发给正常访问客户端1;
步骤三:当业务服务器端6检测到DDoS攻击时,业务服务器端6执行关闭受攻击的主交换机通道3,拒绝主通道IP地址数据请求,同时激活备用交换机通道IP地址,开始处理备用通道IP地址接收到的数据;
步骤四:正常访问客户端1访问业务服务器后出现无响应请求,则通道转换模块7请求业务服务器端6的通道变更信息;
步骤五:通道转换模块7接收到正常访问客户端1的请求后,执行如下动作,包括先使用摘要算法验证Q和H1的完整性,再使用正常访问客户端1的唯一标识计算正常访问客户端公钥P1,然后使用P1对正常访问客户端签名值M1进行验证签名;最后通道转换模块7将请求指令的密文Q和客户端唯一标识发给业务服务器端6;
步骤六:业务服务器端6使用自己的私钥S2解密Q,获取客户端的通道变更请求,业务服务器端6验证请求后,给通道转换模块7反馈新的通道信息,先使用正常访问客户端1的唯一标识计算客户端公钥P1,再使用P1通过非对称加密算法加密新的通道信息,密文A,然后使用摘要算法计算A的摘要H2,再使用业务服务器端私钥S2对摘要H2进行签名得到M2,最终将A,H2,M2发给通道转换模块,通道转换模块将A,H2,M2发送给正常访问客户端;
步骤七:正常访问客户端1收到通道转换模块7的返回信息后,先执行使用摘要算法验证A,H2的完整性,再使用业务服务器端6的公钥P2验证签名值M2,使用正常访问客户端1的私钥S1解密密文A得到新的通道信息,最后正常访问客户端使用新的通道信息访问业务服务器端6,至此完成业务服务器端6的正常访问。
所述备用交换机通道8的数量为两个及两个以上。所述步骤二中分发的正常访问客户端私钥生成的输入参数为正常客户端设备唯一标识。所述步骤四的请求变更指令处理方法具体包括如下,先使用业务服务器端6的公钥P2将请求指令进行非对称加密,加密数据Q,再用摘要算法计算Q的摘要H1,然后使用正常访问客户端1的私钥S1对H1进行签名,签名值M1,最后将Q,H1,M1发送给通道转换模块7。
以上仅是本发明的具体应用范例,对本发明的保护范围不构成任何限制。凡采用等同变换或者等效替换而形成的技术方案,均落在本发明权利保护范围之内。

Claims (4)

1.一种防DDoS攻击方法,其特征在于:包括正常访问客户端(1)、DDos攻击客户端(2)、主交换机通道(3)、正常访问流量(4)、攻击流量(5)、业务服务器(6)和通道转换模块(7),具体包括如下处理步骤:
步骤一:所述通道转换模块(7)在所述正常访问客户端(1)与业务服务器端(6)之间布置备用交换机通道(8),在正常访问期间,默认使用主交换机通道(3)进行连接访问,并关闭备用交换机通道(8),使备用交换机通道(8)的IP地址处于不激活状态;
步骤二:在所述正常访问客户端嵌入安装前通道协商模块(9),在所述业务服务器端(6)内安装后通道协商模块(10);正常访问客户端(1)和业务服务器端(6)在初始化时,通道转换模块(7)给正常访问客户端(1)和业务服务器端(6)分别分发各自的私钥,并将业务服务器端的公钥也分发给正常访问客户端(1);
步骤三:当业务服务器端(6)检测到DDoS攻击时,业务服务器端(6)执行关闭受攻击的主交换机通道(3),拒绝主通道IP地址数据请求,同时激活备用交换机通道IP地址,开始处理备用通道IP地址接收到的数据;
步骤四:正常访问客户端(1)访问业务服务器后出现无响应请求,则通道转换模块(7)请求业务服务器端(6)的通道变更信息;
步骤五:通道转换模块(7)接收到正常访问客户端(1)的请求后,执行如下动作,包括先使用摘要算法验证Q和H1的完整性,再使用正常访问客户端(1)的唯一标识计算正常访问客户端公钥P1,然后使用P1对正常访问客户端签名值M1进行验证签名;最后通道转换模块(7)将请求指令的密文Q和客户端唯一标识发给业务服务器端(6);
步骤六:业务服务器端(6)使用自己的私钥S2解密Q,获取客户端的通道变更请求,业务服务器端(6)验证请求后,给通道转换模块(7)反馈新的通道信息,先使用正常访问客户端(1)的唯一标识计算客户端公钥P1,再使用P1通过非对称加密算法加密新的通道信息,密文A,然后使用摘要算法计算A的摘要H2,再使用业务服务器端私钥S2对摘要H2进行签名得到M2,最终将A,H2,M2发给通道转换模块,通道转换模块将A,H2,M2发送给正常访问客户端;
步骤七:正常访问客户端(1)收到通道转换模块(7)的返回信息后,先执行使用摘要算法验证A,H2的完整性,再使用业务服务器端(6)的公钥P2验证签名值M2,使用正常访问客户端(1)的私钥S1解密密文A得到新的通道信息,最后正常访问客户端使用新的通道信息访问业务服务器端(6),至此完成业务服务器端(6)的正常访问。
2.根据权利要求1所述的一种防DDoS攻击方法,其特征在于:所述备用交换机通道(8)的数量为两个及两个以上。
3.根据权利要求1所述的一种防DDoS攻击方法,其特征在于:所述步骤二中分发的正常访问客户端私钥生成的输入参数为正常客户端设备唯一标识。
4.根据权利要求1所述的一种防DDoS攻击方法,其特征在于:所述步骤四的请求变更指令处理方法具体包括如下,先使用业务服务器端(6)的公钥P2将请求指令进行非对称加密,加密数据Q,再用摘要算法计算Q的摘要H1,然后使用正常访问客户端(1)的私钥S1对H1进行签名,签名值M1,最后将Q,H1,M1发送给通道转换模块(7)。
CN201911406257.6A 2019-12-31 2019-12-31 一种防DDoS攻击方法 Active CN111245786B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911406257.6A CN111245786B (zh) 2019-12-31 2019-12-31 一种防DDoS攻击方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911406257.6A CN111245786B (zh) 2019-12-31 2019-12-31 一种防DDoS攻击方法

Publications (2)

Publication Number Publication Date
CN111245786A true CN111245786A (zh) 2020-06-05
CN111245786B CN111245786B (zh) 2023-02-28

Family

ID=70864249

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911406257.6A Active CN111245786B (zh) 2019-12-31 2019-12-31 一种防DDoS攻击方法

Country Status (1)

Country Link
CN (1) CN111245786B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120179909A1 (en) * 2011-01-06 2012-07-12 Pitney Bowes Inc. Systems and methods for providing individual electronic document secure storage, retrieval and use
CN104660551A (zh) * 2013-11-20 2015-05-27 上海海典软件有限公司 一种基于webservice的数据库访问装置及方法
CN108092999A (zh) * 2018-02-08 2018-05-29 王振辉 一种计算机数据安全共享平台
CN108881327A (zh) * 2018-09-29 2018-11-23 德州职业技术学院(德州市技师学院) 一种基于云计算的计算机互联网信息安全控制系统
CN109104385A (zh) * 2018-10-10 2018-12-28 盛科网络(苏州)有限公司 一种防止macsec安全通道故障的方法和装置
CN109302369A (zh) * 2017-07-24 2019-02-01 贵州白山云科技股份有限公司 一种基于密钥验证的数据传输方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120179909A1 (en) * 2011-01-06 2012-07-12 Pitney Bowes Inc. Systems and methods for providing individual electronic document secure storage, retrieval and use
CN104660551A (zh) * 2013-11-20 2015-05-27 上海海典软件有限公司 一种基于webservice的数据库访问装置及方法
CN109302369A (zh) * 2017-07-24 2019-02-01 贵州白山云科技股份有限公司 一种基于密钥验证的数据传输方法及装置
CN108092999A (zh) * 2018-02-08 2018-05-29 王振辉 一种计算机数据安全共享平台
CN108881327A (zh) * 2018-09-29 2018-11-23 德州职业技术学院(德州市技师学院) 一种基于云计算的计算机互联网信息安全控制系统
CN109104385A (zh) * 2018-10-10 2018-12-28 盛科网络(苏州)有限公司 一种防止macsec安全通道故障的方法和装置

Also Published As

Publication number Publication date
CN111245786B (zh) 2023-02-28

Similar Documents

Publication Publication Date Title
CN106789015B (zh) 一种智能配电网通信安全系统
CN110069918A (zh) 一种基于区块链技术的高效双因子跨域认证方法
CN110267270B (zh) 一种变电站内传感器终端接入边缘网关身份认证方法
Anzalchi et al. A survey on security assessment of metering infrastructure in smart grid systems
CN110753344B (zh) 基于NB-IoT的智能表安全接入系统
CN111435390B (zh) 一种配电终端运维工具安全防护方法
CN111447067A (zh) 一种电力传感设备加密认证方法
CN111711625A (zh) 一种基于配电终端的电力系统信息安全加密系统
CN111447283A (zh) 一种用于实现配电站房系统信息安全的方法
CN115550069B (zh) 一种电动汽车智能充电系统及其安全防护方法
CN114024698A (zh) 一种基于国密算法的配电物联网业务安全交互方法及系统
KR20010047563A (ko) 무선통신시스템에서의 공개키 기반 상호 인증 방법
CN114091009A (zh) 利用分布式身份标识建立安全链接的方法
CN112491845B (zh) 普通节点准入方法、装置、电子设备及可读存储介质
CN113259350A (zh) 一种基于密钥生成算法的密码学用户授权认证系统
KR101491553B1 (ko) 인증서 기반의 dms를 이용한 안전한 스마트그리드 통신 시스템 및 방법
CN100499649C (zh) 一种实现安全联盟备份和切换的方法
CN111245786B (zh) 一种防DDoS攻击方法
CN107317787A (zh) 服务授信方法、设备及系统
CN112995140B (zh) 安全管理系统及方法
CN212305665U (zh) 一种适用于轨道交通的国产通信加密装置
CN114531266A (zh) 一种基于中间数据库的配电网数据防护系统及其方法
Zhang et al. Design and implementation of IEC61850 communication security protection scheme for smart substation based on bilinear function
Wang et al. A key management method for smart substation
CN108683499B (zh) 最小化密钥管理代价的终端设备初始密钥分发方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant