CN112019533A - 一种缓解CDN系统被DDoS攻击的方法及系统 - Google Patents

一种缓解CDN系统被DDoS攻击的方法及系统 Download PDF

Info

Publication number
CN112019533A
CN112019533A CN202010842621.XA CN202010842621A CN112019533A CN 112019533 A CN112019533 A CN 112019533A CN 202010842621 A CN202010842621 A CN 202010842621A CN 112019533 A CN112019533 A CN 112019533A
Authority
CN
China
Prior art keywords
attack
source
blacklist
data
ips
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010842621.XA
Other languages
English (en)
Inventor
肖燎原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Unicloud Nanjing Digital Technology Co Ltd
Original Assignee
Unicloud Nanjing Digital Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Unicloud Nanjing Digital Technology Co Ltd filed Critical Unicloud Nanjing Digital Technology Co Ltd
Priority to CN202010842621.XA priority Critical patent/CN112019533A/zh
Publication of CN112019533A publication Critical patent/CN112019533A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种缓解CDN系统被DDoS攻击的方法及系统,S1、通过将一段时间节点内,每个内容分发网络服务节点采集的每个访问请求源IP的访问次数与预先设定的两个阈值相比较,对攻击IP进行识别;S2、通过计算机操作系统将攻击IP黑名单进行分享,并通过防分布式拒绝服务攻击模块将IP黑名单进行更新和储存;S3、通过防分布式拒绝服务攻击模块对访问源IP进行检测,并将攻击IP进行拦截。有益效果:本发明可识别攻击IP细化区分显著攻击和可疑攻击,减少错误识别的可能。

Description

一种缓解CDN系统被DDoS攻击的方法及系统
技术领域
本发明涉及缓解CDN系统被DDoS攻击领域,具体来说,涉及一种缓解CDN系统被DDoS攻击的方法及系统。
背景技术
随着互联网技术的发展和广泛应用,针对网络上的服务器或系统攻击也更多、更复杂。其中,DDoS攻击(Distributed Denial of Service,分布式拒绝服务攻击)是其中一种比较严重的攻击,它利用大量的傀儡机对目标服务器或系统同时发起大量请求,使得被攻击的目标因宽带拥塞、服务器资源被严重浪费耗尽导致无法对外提供正常的服务。由于DDoS攻击发起的请求往往和正常的业务请求难以区分,因而DDoS攻击是一种较难防御的网络攻击之一。
内容分发网络(CDN,Content Delivery Network)是一种分布式的缓存系统,通过将原始站点的内容分发缓存在离用户的地理位置较近的节点上,从而起到缓解网络拥挤、加快用户访问速度的作用。CDN系统被DDoS攻击时,网络被拥塞、访问速度下降或造成正常用户无法访问系统,严重影响用户访问速度和用户体验。
本发明方案提供一种缓解CDN系统被DDoS攻击的方法及系统,与该技术相近的是CDN系统单个节点各自识别攻击源IP并在较高的应用层级拦截攻击IP。缺点是:攻击源IP数据无法在分布式CDN系统内共享,并且拦截攻击IP的方式方法效率低。
针对相关技术中的问题,目前尚未提出有效的解决方案。
发明内容
针对相关技术中的问题,本发明提出一种缓解CDN系统被DDoS攻击的方法及系统,以克服现有相关技术所存在的上述技术问题。
为此,本发明采用的具体技术方案如下:
根据本发明的一方面,提供了一种缓解CDN系统被DDoS攻击的方法,该缓解CDN系统被DDoS攻击的方法包括以下步骤:
S1、通过将一段时间节点内,每个内容分发网络服务节点采集的每个访问请求源IP的访问次数与预先设定的两个阈值相比较,对攻击IP进行识别;
S2、通过计算机操作系统将攻击IP黑名单进行分享,并通过防分布式拒绝服务攻击模块将IP黑名单进行更新和储存;
S3、通过防分布式拒绝服务攻击模块对访问源IP进行检测,并将攻击IP进行拦截。
进一步的,所述通过将一段时间节点内,每个服务节点采集的每个访问请求源IP的访问次数与预先设定的两个阈值相比较,对攻击IP进行识别还包括以下步骤:
一个时间节点内,每个内容分发网络服务节点对每个访问请求源IP的访问次数进行采集;
每一个时间节点结束后,将每个内容分发网络服务节点对上述采集的每个访问请求源IP的访问次数与预先设定的两个阈值相比较,并对攻击IP和可疑攻击IP进行标记;
每个内容分发网络服务节点将数据非空的攻击IP赋值失效时间戳,并生成部分黑名单数据;
将可疑攻击IP中的攻击IP进行过滤,并对攻击IP及可疑攻击IP中过滤的攻击IP的攻击强度值进行标记;
对上述完成标记攻击强度值的IP赋值失效时间戳,形成攻击源IP黑名单数据;
将上述数据非空的攻击IP生成的部分黑名单数据及攻击源IP黑名单数据分享至内容分发网络系统内的每个内容分发网络服务节点。
进一步的,所述两个阈值包括攻击IP和可疑攻击IP;
其中,攻击IP为访问次数超过显著攻击IP访问次数的访问源IP;
可疑攻击IP为访问次数超过可疑攻击IP访问次数的访问源IP。
进一步的,所述将可疑攻击IP中的攻击IP进行过滤,并对攻击IP及可疑攻击IP中过滤的攻击IP的攻击强度值进行标记还包括以下步骤:
内容分发网络中心服务器收到的所有内容分发网络服务节点上报的攻击IP和可疑攻击IP在当前时间节点结束时的访问次数进行汇总统计;
依据汇总统计分析的结果,将攻击IP和可疑攻击IP与预先设定的一组阈值进行比较,将可疑攻击IP中的攻击IP进行过滤,并对攻击IP和可疑攻击IP中过滤的攻击IP的攻击强度进行标记。
进一步的,所述预先设定的一组阈值为判断攻击强度的阈值。
进一步的,所述通过计算机操作系统将攻击IP黑名单进行分享,并通过防分布式拒绝服务攻击模块将IP黑名单进行更新和储存还包括以下步骤:
每个内容分发网络服务节点将接收到的数据非空的攻击IP生成的部分黑名单数据及攻击源IP黑名单数据发送到计算机操作系统内核模块工作的防分布式拒绝服务攻击模块;
防分布式拒绝服务攻击模块将接收的数据非空的攻击IP生成的部分黑名单数据及攻击源IP黑名单数据在模块管理的存储上更新攻击源IP黑名单数据;
防分布式拒绝服务攻击模块的模块管理定时将失效时间戳过期攻击IP进行清理,并依据S1步骤分享的部分黑名单数据及攻击源IP黑名单数据对攻击源IP黑名单数据进行更新。
进一步的,所述通过防分布式拒绝服务攻击模块对访问源IP进行检测,并将攻击IP进行拦截还包括以下步骤:
防分布式拒绝服务攻击模块对向其发起请求的用户源IP与数据非空的攻击IP生成的部分黑名单数据及攻击源IP黑名单数据进行匹配,且数据非空的攻击IP生成的部分黑名单数据的失效时间戳未过期;
若向防分布式拒绝服务攻击模块发起请求的用户源IP与数据非空的攻击IP生成的部分黑名单数据及攻击源IP黑名单数据相匹配,则认为该用户源IP是正在发起分布式拒绝服务攻击的IP,则丢弃该用户源IP请求的数据包,并拒绝提供服务;
若向防分布式拒绝服务攻击模块发起请求的用户源IP与数据非空的攻击IP生成的部分黑名单数据及攻击源IP黑名单数据不匹配,则认为该用户源IP是正常的,并将数据包传递至内容分发网络服务应用层进行正常业务处理,给用户响应业务资源数据。
根据本发明的另一方面,提供了一种缓解CDN系统被DDoS攻击的系统,该缓解CDN系统被DDoS攻击的系统包括:
攻击IP识别模块、通过将一段时间节点内,每个服务节点采集的每个访问请求源IP的访问次数与预先设定的两个阈值相比较,对攻击IP进行识别;
攻击IP黑名单分享及更新模块、通过计算机操作系统将攻击IP黑名单进行分享,并通过防分布式拒绝服务攻击模块将IP黑名单进行更新和储存;
攻击IP拦截模块、通过防分布式拒绝服务攻击模块对访问源IP进行检测,并将攻击IP进行拦截。
进一步的,所述通过将一段时间节点内,每个服务节点采集的每个访问请求源IP的访问次数与预先设定的两个阈值相比较,对攻击IP进行识别还包括以下步骤:
一个时间节点内,每个内容分发网络服务节点对每个访问请求源IP的访问次数进行采集;
每一个时间节点结束后,将每个内容分发网络服务节点对上述采集的每个访问请求源IP的访问次数与预先设定的两个阈值相比较,并对攻击IP和可疑攻击IP进行标记;
每个内容分发网络服务节点将数据非空的攻击IP赋值失效时间戳,并生成部分黑名单数据;
将可疑攻击IP中的攻击IP进行过滤,并对攻击IP及可疑攻击IP中过滤的攻击IP的攻击强度值进行标记;
对上述完成标记攻击强度值的IP赋值失效时间戳,形成攻击源IP黑名单数据;
将上述数据非空的攻击IP生成的部分黑名单数据及攻击源IP黑名单数据分享至内容分发网络系统内的每个内容分发网络服务节点。
进一步的,所述将可疑攻击IP中的攻击IP进行过滤,并对攻击IP及可疑攻击IP中过滤的攻击IP的攻击强度值进行标记还包括以下步骤:
内容分发网络中心服务器收到的所有内容分发网络服务节点上报的攻击IP和可疑攻击IP在当前时间节点结束时的访问次数进行汇总统计;
依据汇总统计分析的结果,将攻击IP和可疑攻击IP与预先设定的一组阈值进行比较,将可疑攻击IP中的攻击IP进行过滤,并对攻击IP和可疑攻击IP中过滤的攻击IP的攻击强度进行标记。
本发明的有益效果为:本发明可识别攻击IP细化区分显著攻击和可疑攻击,减少错误识别的可能;CDN中心节点汇总统计攻击IP的信息,并标记不同攻击强度,形成攻击黑名单数据集中的个体数据控制较灵活;攻击IP黑名单数据在分布式CDN系统各个CDN服务节点内共享,提高了整个防DDoS攻击的能力;防DDoS攻击模块下沉嵌入在Linux内核空间,比在上层CDN服务应用层工作的模块拦截攻击IP请求效率更高。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的一种缓解CDN系统被DDoS攻击的方法的流程图;
图2是根据本发明实施例的一种缓解CDN系统被DDoS攻击的系统的系统图。
图中:
1、攻击IP识别模块;2、攻击IP黑名单分享及更新模块;3、攻击IP拦截模块。
具体实施方式
为进一步说明各实施例,本发明提供有附图,这些附图为本发明揭露内容的一部分,其主要用以说明实施例,并可配合说明书的相关描述来解释实施例的运作原理,配合参考这些内容,本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点,图中的组件并未按比例绘制,而类似的组件符号通常用来表示类似的组件。
根据本发明的实施例,提供了一种缓解CDN系统被DDoS攻击的方法及系统。
如图1-2所示,根据本发明的一方面提供了一种缓解CDN系统被DDoS攻击的方法,该缓解CDN系统被DDoS攻击的方法包括以下步骤:
S1、通过将一段时间节点内,每个内容分发网络(CDN)服务节点采集的每个访问请求源IP的访问次数(访问次数是指,每一个CDN服务节点,先根据IP协议获取到来源请求的IP,将来源请求的IP作为关键字key,根据数据规模采用哈希表或堆等数据结构,同一个IP每多一次请求则请求次数加一)与预先设定的两个阈值(阈值可根据设立时的合理情况进行设置:比如,一个时间节点内访问次数超过五千次,则判定该IP为可疑攻击IP,超过一万次,则是显著攻击IP)相比较,对攻击IP进行识别;
S2、通过计算机操作系统将攻击IP黑名单进行分享,并通过防分布式拒绝服务攻击模块将IP黑名单进行更新和储存;
S3、通过防分布式拒绝服务攻击模块对访问源IP进行检测(新收到的请求,先根据IP协议获取到来源请求IP;判断请求IP是否在IP(未过失效时间戳)黑名单数据集合内,是则认为匹配了IP黑名单数据,则拒绝访问,反之,则允许访问),并将攻击IP进行拦截。
在一个实例中,所述通过将一段时间节点内,每个服务节点采集的每个访问请求源IP的访问次数与预先设定的两个阈值相比较,对攻击IP进行识别还包括以下步骤:
一个时间节点内,每个内容分发网络服务节点对每个访问请求源IP的访问次数进行采集;
每一个时间节点结束后,将每个内容分发网络服务节点对上述采集的每个访问请求源IP的访问次数与预先设定的两个阈值相比较,并对攻击IP和可疑攻击IP进行标记;
每个内容分发网络服务节点将数据非空的攻击IP赋值失效时间戳(失效时间戳是指在该时间戳之前,该IP的后续访问会被拒绝),并生成部分黑名单数据;
将可疑攻击IP中的攻击IP进行过滤,并对攻击IP及可疑攻击IP中过滤的攻击IP的攻击强度值进行标记;
对上述完成标记攻击强度值的IP赋值失效时间戳,(根据攻击强度值,对已经识别为攻击的来源IP,进一步作细分处理。比如,攻击强度较弱的,则赋值时间较短的失效施加戳;反之,失效时间戳之后则解封不在拒绝访问,除非后续时间节点内又被判定为攻击IP)形成攻击源IP黑名单数据;
将上述数据非空的攻击IP生成的部分黑名单数据及攻击源IP黑名单数据分享至内容分发网络系统内的每个内容分发网络服务节点。
在一个实例中,所述两个阈值包括攻击IP和可疑攻击IP;
其中,攻击IP为访问次数超过显著攻击IP访问次数的访问源IP;
可疑攻击IP为访问次数超过可疑攻击IP访问次数的访问源IP。
在一个实例中,所述将可疑攻击IP中的攻击IP进行过滤,并对攻击IP及可疑攻击IP中过滤的攻击IP的攻击强度值进行标记还包括以下步骤:
内容分发网络中心服务器收到的所有内容分发网络服务节点上报的攻击IP和可疑攻击IP在当前时间节点结束时的访问次数进行汇总统计(CDN中心服务器收到所有的CDN服务节点上报的攻击IP数据和可疑攻击IP详细数据,对每一个相同的来源请求IP访问攻击次数进行累加处理,累加的值即该周期内最后汇总结果,进一步分析每个来源请求IP的访问次数汇总结果);
依据汇总统计分析的结果,将攻击IP和可疑攻击IP与预先设定的一组阈值进行比较,将可疑攻击IP中的攻击IP进行过滤,并对攻击IP和可疑攻击IP中过滤的攻击IP的攻击强度进行标记。
在一个实例中,所述预先设定的一组阈值为判断攻击强度的阈值。
在一个实例中,所述通过计算机操作系统(Linux)将攻击IP黑名单进行分享,并通过防分布式拒绝服务攻击(DDoS)模块将IP黑名单进行更新和储存还包括以下步骤:
每个内容分发网络服务节点将接收到的数据非空的攻击IP生成的部分黑名单数据及攻击源IP黑名单数据发送到计算机操作系统内核模块工作的防分布式拒绝服务攻击模块;
防分布式拒绝服务攻击模块将接收的数据非空的攻击IP生成的部分黑名单数据及攻击源IP黑名单数据在模块管理的存储上更新攻击源IP黑名单数据;
防分布式拒绝服务攻击模块的模块管理定时将失效时间戳过期攻击IP进行清理,并依据S1步骤分享的部分黑名单数据及攻击源IP黑名单数据对攻击源IP黑名单数据进行更新。
在一个实例中,所述通过防分布式拒绝服务攻击模块对访问源IP进行检测,并将攻击IP进行拦截还包括以下步骤:
防分布式拒绝服务攻击模块对向其发起请求的用户源IP与数据非空的攻击IP生成的部分黑名单数据及攻击源IP黑名单数据进行匹配,且数据非空的攻击IP生成的部分黑名单数据的失效时间戳未过期;
若向防分布式拒绝服务攻击模块发起请求的用户源IP与数据非空的攻击IP生成的部分黑名单数据及攻击源IP黑名单数据相匹配,则认为该用户源IP是正在发起分布式拒绝服务攻击的IP,则丢弃该用户源IP请求的数据包,并拒绝提供服务;
若向防分布式拒绝服务攻击模块发起请求的用户源IP与数据非空的攻击IP生成的部分黑名单数据及攻击源IP黑名单数据不匹配,则认为该用户源IP是正常的,并将数据包传递至内容分发网络服务应用层进行正常业务处理,给用户响应业务资源数据。
根据本发明的另一方面,提供了一种缓解CDN系统被DDoS攻击的系统,该缓解CDN系统被DDoS攻击的系统包括:
攻击IP识别模块1、通过将一段时间节点内,每个服务节点采集的每个访问请求源IP的访问次数与预先设定的两个阈值相比较,对攻击IP进行识别;
攻击IP黑名单分享及更新模块2、通过计算机操作系统将攻击IP黑名单进行分享,并通过防分布式拒绝服务攻击模块将IP黑名单进行更新和储存;
攻击IP拦截模块3、通过防分布式拒绝服务攻击模块对访问源IP进行检测,并将攻击IP进行拦截。
在一个实例中,所述通过将一段时间节点内,每个服务节点采集的每个访问请求源IP的访问次数与预先设定的两个阈值相比较,对攻击IP进行识别还包括以下步骤:
一个时间节点内,每个内容分发网络服务节点对每个访问请求源IP的访问次数进行采集;
每一个时间节点结束后,将每个内容分发网络服务节点对上述采集的每个访问请求源IP的访问次数与预先设定的两个阈值相比较,并对攻击IP和可疑攻击IP进行标记;
每个内容分发网络服务节点将数据非空的攻击IP赋值失效时间戳,并生成部分黑名单数据;
将可疑攻击IP中的攻击IP进行过滤,并对攻击IP及可疑攻击IP中过滤的攻击IP的攻击强度值进行标记;
对上述完成标记攻击强度值的IP赋值失效时间戳,形成攻击源IP黑名单数据;
将上述数据非空的攻击IP生成的部分黑名单数据及攻击源IP黑名单数据分享至内容分发网络系统内的每个内容分发网络服务节点。
在一个实例中,所述将可疑攻击IP中的攻击IP进行过滤,并对攻击IP及可疑攻击IP中过滤的攻击IP的攻击强度值进行标记还包括以下步骤:
内容分发网络中心服务器收到的所有内容分发网络服务节点上报的攻击IP和可疑攻击IP在当前时间节点结束时的访问次数进行汇总统计;
依据汇总统计分析的结果,将攻击IP和可疑攻击IP与预先设定的一组阈值进行比较,将可疑攻击IP中的攻击IP进行过滤,并对攻击IP和可疑攻击IP中过滤的攻击IP的攻击强度进行标记。
综上所述,借助于本发明的上述技术方案,本发明可识别攻击IP细化区分显著攻击和可疑攻击,减少错误识别的可能;CDN中心节点汇总统计攻击IP的信息,并标记不同攻击强度,形成攻击黑名单数据集中的个体数据控制较灵活;攻击IP黑名单数据在分布式CDN系统各个CDN服务节点内共享,提高了整个防DDoS攻击的能力;防DDoS攻击模块下沉嵌入在Linux内核空间,比在上层CDN服务应用层工作的模块拦截攻击IP请求效率更高。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种缓解CDN系统被DDoS攻击的方法,其特征在于,该缓解CDN系统被DDoS攻击的方法包括以下步骤:
S1、通过将一段时间节点内,每个内容分发网络服务节点采集的每个访问请求源IP的访问次数与预先设定的两个阈值相比较,对攻击IP进行识别;
S2、通过计算机操作系统将攻击IP黑名单进行分享,并通过防分布式拒绝服务攻击模块将IP黑名单进行更新和储存;
S3、通过防分布式拒绝服务攻击模块对访问源IP进行检测,并将攻击IP进行拦截。
2.根据权利要求1所述的一种缓解CDN系统被DDoS攻击的方法,其特征在于,所述通过将一段时间节点内,每个服务节点采集的每个访问请求源IP的访问次数与预先设定的两个阈值相比较,对攻击IP进行识别还包括以下步骤:
一个时间节点内,每个内容分发网络服务节点对每个访问请求源IP的访问次数进行采集;
每一个时间节点结束后,将每个内容分发网络服务节点对上述采集的每个访问请求源IP的访问次数与预先设定的两个阈值相比较,并对攻击IP和可疑攻击IP进行标记;
每个内容分发网络服务节点将数据非空的攻击IP赋值失效时间戳,并生成部分黑名单数据;
将可疑攻击IP中的攻击IP进行过滤,并对攻击IP及可疑攻击IP中过滤的攻击IP的攻击强度值进行标记;
对上述完成标记攻击强度值的IP赋值失效时间戳,形成攻击源IP黑名单数据;
将上述数据非空的攻击IP生成的部分黑名单数据及攻击源IP黑名单数据分享至内容分发网络系统内的每个内容分发网络服务节点。
3.根据权利要求2所述的一种缓解CDN系统被DDoS攻击的方法,其特征在于,所述两个阈值包括攻击IP和可疑攻击IP;
其中,攻击IP为访问次数超过显著攻击IP访问次数的访问源IP;
可疑攻击IP为访问次数超过可疑攻击IP访问次数的访问源IP。
4.根据权利要求2所述的一种缓解CDN系统被DDoS攻击的方法,其特征在于,所述将可疑攻击IP中的攻击IP进行过滤,并对攻击IP及可疑攻击IP中过滤的攻击IP的攻击强度值进行标记还包括以下步骤:
内容分发网络中心服务器收到的所有内容分发网络服务节点上报的攻击IP和可疑攻击IP在当前时间节点结束时的访问次数进行汇总统计;
依据汇总统计分析的结果,将攻击IP和可疑攻击IP与预先设定的一组阈值进行比较,将可疑攻击IP中的攻击IP进行过滤,并对攻击IP和可疑攻击IP中过滤的攻击IP的攻击强度进行标记。
5.根据权利要求4所述的一种缓解CDN系统被DDoS攻击的方法,其特征在于,所述预先设定的一组阈值为判断攻击强度的阈值。
6.根据权利要求1所述的一种缓解CDN系统被DDoS攻击的方法,其特征在于,所述通过计算机操作系统将攻击IP黑名单进行分享,并通过防分布式拒绝服务攻击模块将IP黑名单进行更新和储存还包括以下步骤:
每个内容分发网络服务节点将接收到的数据非空的攻击IP生成的部分黑名单数据及攻击源IP黑名单数据发送到计算机操作系统内核模块工作的防分布式拒绝服务攻击模块;
防分布式拒绝服务攻击模块将接收的数据非空的攻击IP生成的部分黑名单数据及攻击源IP黑名单数据在模块管理的存储上更新攻击源IP黑名单数据;
防分布式拒绝服务攻击模块的模块管理定时将失效时间戳过期攻击IP进行清理,并依据S1步骤分享的部分黑名单数据及攻击源IP黑名单数据对攻击源IP黑名单数据进行更新。
7.根据权利要求1所述的一种缓解CDN系统被DDoS攻击的方法,其特征在于,所述通过防分布式拒绝服务攻击模块对访问源IP进行检测,并将攻击IP进行拦截还包括以下步骤:
防分布式拒绝服务攻击模块对向其发起请求的用户源IP与数据非空的攻击IP生成的部分黑名单数据及攻击源IP黑名单数据进行匹配,且数据非空的攻击IP生成的部分黑名单数据的失效时间戳未过期;
若向防分布式拒绝服务攻击模块发起请求的用户源IP与数据非空的攻击IP生成的部分黑名单数据及攻击源IP黑名单数据相匹配,则认为该用户源IP是正在发起分布式拒绝服务攻击的IP,则丢弃该用户源IP请求的数据包,并拒绝提供服务;
若向防分布式拒绝服务攻击模块发起请求的用户源IP与数据非空的攻击IP生成的部分黑名单数据及攻击源IP黑名单数据不匹配,则认为该用户源IP是正常的,并将数据包传递至内容分发网络服务应用层进行正常业务处理,给用户响应业务资源数据。
8.一种缓解CDN系统被DDoS攻击的系统,其特征在于,该缓解CDN系统被DDoS攻击的系统包括:
攻击IP识别模块(1)、通过将一段时间节点内,每个服务节点采集的每个访问请求源IP的访问次数与预先设定的两个阈值相比较,对攻击IP进行识别;
攻击IP黑名单分享及更新模块(2)、通过计算机操作系统将攻击IP黑名单进行分享,并通过防分布式拒绝服务攻击模块将IP黑名单进行更新和储存;
攻击IP拦截模块(3)、通过防分布式拒绝服务攻击模块对访问源IP进行检测,并将攻击IP进行拦截。
9.根据权利要求8所述的一种缓解CDN系统被DDoS攻击的系统,其特征在于,所述通过将一段时间节点内,每个服务节点采集的每个访问请求源IP的访问次数与预先设定的两个阈值相比较,对攻击IP进行识别还包括以下步骤:
一个时间节点内,每个内容分发网络服务节点对每个访问请求源IP的访问次数进行采集;
每一个时间节点结束后,将每个内容分发网络服务节点对上述采集的每个访问请求源IP的访问次数与预先设定的两个阈值相比较,并对攻击IP和可疑攻击IP进行标记;
每个内容分发网络服务节点将数据非空的攻击IP赋值失效时间戳,并生成部分黑名单数据;
将可疑攻击IP中的攻击IP进行过滤,并对攻击IP及可疑攻击IP中过滤的攻击IP的攻击强度值进行标记;
对上述完成标记攻击强度值的IP赋值失效时间戳,形成攻击源IP黑名单数据;
将上述数据非空的攻击IP生成的部分黑名单数据及攻击源IP黑名单数据分享至内容分发网络系统内的每个内容分发网络服务节点。
10.根据权利要求9所述的一种缓解CDN系统被DDoS攻击的系统,其特征在于,所述将可疑攻击IP中的攻击IP进行过滤,并对攻击IP及可疑攻击IP中过滤的攻击IP的攻击强度值进行标记还包括以下步骤:
内容分发网络中心服务器收到的所有内容分发网络服务节点上报的攻击IP和可疑攻击IP在当前时间节点结束时的访问次数进行汇总统计;
依据汇总统计分析的结果,将攻击IP和可疑攻击IP与预先设定的一组阈值进行比较,将可疑攻击IP中的攻击IP进行过滤,并对攻击IP和可疑攻击IP中过滤的攻击IP的攻击强度进行标记。
CN202010842621.XA 2020-08-20 2020-08-20 一种缓解CDN系统被DDoS攻击的方法及系统 Pending CN112019533A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010842621.XA CN112019533A (zh) 2020-08-20 2020-08-20 一种缓解CDN系统被DDoS攻击的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010842621.XA CN112019533A (zh) 2020-08-20 2020-08-20 一种缓解CDN系统被DDoS攻击的方法及系统

Publications (1)

Publication Number Publication Date
CN112019533A true CN112019533A (zh) 2020-12-01

Family

ID=73505321

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010842621.XA Pending CN112019533A (zh) 2020-08-20 2020-08-20 一种缓解CDN系统被DDoS攻击的方法及系统

Country Status (1)

Country Link
CN (1) CN112019533A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113259386A (zh) * 2021-06-21 2021-08-13 易纳购科技(北京)有限公司 恶意请求拦截方法、装置及计算机设备
CN113329204A (zh) * 2021-08-03 2021-08-31 北京电信易通信息技术股份有限公司 一种基于终端信任管理的数据安全传输方法及系统
CN113760664A (zh) * 2021-09-10 2021-12-07 哈尔滨工业大学 一种两级阈值攻击检测方法、计算机及存储介质
CN114024768A (zh) * 2021-12-01 2022-02-08 北京天融信网络安全技术有限公司 一种基于DDoS攻击的安全防护方法及装置
WO2024152656A1 (zh) * 2023-01-20 2024-07-25 华为云计算技术有限公司 一种访问控制方法、装置及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105897674A (zh) * 2015-11-25 2016-08-24 乐视云计算有限公司 用于CDN服务器群组的DDoS攻击防护方法及系统
CN109831461A (zh) * 2019-03-29 2019-05-31 新华三信息安全技术有限公司 一种分布式拒绝服务DDoS攻击防御方法及装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105897674A (zh) * 2015-11-25 2016-08-24 乐视云计算有限公司 用于CDN服务器群组的DDoS攻击防护方法及系统
CN109831461A (zh) * 2019-03-29 2019-05-31 新华三信息安全技术有限公司 一种分布式拒绝服务DDoS攻击防御方法及装置

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113259386A (zh) * 2021-06-21 2021-08-13 易纳购科技(北京)有限公司 恶意请求拦截方法、装置及计算机设备
CN113329204A (zh) * 2021-08-03 2021-08-31 北京电信易通信息技术股份有限公司 一种基于终端信任管理的数据安全传输方法及系统
CN113329204B (zh) * 2021-08-03 2021-10-01 北京电信易通信息技术股份有限公司 一种基于终端信任管理的数据安全传输方法及系统
CN113760664A (zh) * 2021-09-10 2021-12-07 哈尔滨工业大学 一种两级阈值攻击检测方法、计算机及存储介质
CN114024768A (zh) * 2021-12-01 2022-02-08 北京天融信网络安全技术有限公司 一种基于DDoS攻击的安全防护方法及装置
WO2024152656A1 (zh) * 2023-01-20 2024-07-25 华为云计算技术有限公司 一种访问控制方法、装置及系统

Similar Documents

Publication Publication Date Title
CN112019533A (zh) 一种缓解CDN系统被DDoS攻击的方法及系统
US11057404B2 (en) Method and apparatus for defending against DNS attack, and storage medium
US8769681B1 (en) Methods and system for DMA based distributed denial of service protection
US20130254872A1 (en) System and method for mitigating a denial of service attack using cloud computing
CN104580216B (zh) 一种对访问请求进行限制的系统和方法
CN110324295B (zh) 一种域名系统泛洪攻击的防御方法和装置
CN101460983A (zh) 恶意攻击检测系统和相关的使用方法
KR20130014226A (ko) 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법
CN1968271A (zh) 通信网络中识别和禁止蠕虫的方法和装置
CN103916379B (zh) 一种基于高频统计的cc攻击识别方法及系统
Di Paola et al. Protecting against DNS reflection attacks with Bloom filters
CN108833450A (zh) 一种实现服务器防攻击方法及装置
CN113347155A (zh) 一种arp欺骗的防御方法、系统及装置
CN1411209A (zh) 一种检测并监控恶意用户主机攻击的方法
US20170149821A1 (en) Method And System For Protection From DDoS Attack For CDN Server Group
CN111314379B (zh) 被攻击域名识别方法、装置、计算机设备和存储介质
CN111314300B (zh) 恶意扫描ip检测方法、系统、装置、设备和存储介质
KR20120121668A (ko) 네트워크 기반 고성능 유해사이트 차단 시스템 및 방법
KR20200109875A (ko) 유해 ip 판단 방법
CN108667782B (zh) 一种用于DNS服务的DDoS攻击防御方法及系统
CN111131337B (zh) UDP Flood攻击的检测方法及装置
CN111131285B (zh) 一种针对随机域名攻击的主动防护方法
CN112929347B (zh) 一种限频方法、装置、设备及介质
US7917649B2 (en) Technique for monitoring source addresses through statistical clustering of packets
CN113556342A (zh) 一种dns缓存服务器前缀变化攻击防护方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20201201

RJ01 Rejection of invention patent application after publication