CN113242210B - 一种基于用户等级分流的防DDoS方法和系统 - Google Patents
一种基于用户等级分流的防DDoS方法和系统 Download PDFInfo
- Publication number
- CN113242210B CN113242210B CN202110380520.XA CN202110380520A CN113242210B CN 113242210 B CN113242210 B CN 113242210B CN 202110380520 A CN202110380520 A CN 202110380520A CN 113242210 B CN113242210 B CN 113242210B
- Authority
- CN
- China
- Prior art keywords
- domain name
- gateway
- information
- gateway node
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种基于用户等级分流的防DDoS方法和系统,其中,该基于用户等级分流的防DDoS方法包括:获取玩家的用户等级信息,在域名表中获取与用户等级信息对应的域名;根据域名的指向IP连接第一网关节点,通过网关检测服务器定时检测第一网关节点;在接收到第一网关节点心跳超时信号的情况下,在可用网关节点池中选取第二网关节点替换第一网关节点,并且调用DNS服务将域名的指向IP指向第二网关节点。通过本申请,解决了相关技术中因为会对外暴露可用网关节点导致相关防御DDoS方法的防御能力较低的问题,本实施例增加了攻击者的攻击时长和攻击难度,从而提升了防御DDoS系统的防御能力。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种基于用户等级分流的防DDoS的方法和系统。
背景技术
分布式拒绝服务攻击(Distributed Denial of Service,简称为DDoS),是指处于不同位置的多个攻击者同时对服务器中的一个或多个目标发动攻击,或者,一个攻击者控制了多个位于不同位置的多台机器并利用这些机器对目标同时实施攻击。遭受攻击之后,大量攻击包会使网络带宽阻塞,导致正常的游戏数据包被虚假的游戏数据包淹没而无法到达主机,或者导致主机的内存被耗尽以及CPU被应用程序占据,从而无法提供网络服务。
在相关技术中,常用的防DDoS的方法如下:
1.增加网络带宽,提供充足的网络带宽保证抵消大量的流量攻击包,同时,利用剩余的带宽为用户提供正常服务;但是,网络带宽通常情况下是有限的,而且,增加网络带宽的成本也较高;
2.通过DDoS硬件防火墙对异常流量进行清洗过滤,该方式可以在服务器外抵挡部分攻击,降低硬件CPU或内存资源消耗,但是无法解决同时产生的攻击包导致网络带宽阻塞的问题;
3.分布式部署多个服务节点,通过节点切换保证一个服务节点瘫痪时还有其他节点可用。因为增加云服务网关的成本比增加网络带宽低,该方法的性价比较高。但是,这种方式还是会完全暴露服务节点,将服务器置于不安全的状态下。
目前针对相关技术中防DDoS方法防御力较低的的问题,尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种基于用户等级分流的防DDoS的方法、系统、计算机设备和计算机可读存储介质,以至少解决相关技术中防DDoS方法防御力较低的的问题。
第一方面,本申请实施例提供了一种基于用户等级分流的防DDoS的方法,所述方法包括:
获取玩家的用户等级信息,在域名表中获取与所述用户等级信息对应的域名;
根据所述域名的指向IP连接第一网关节点,通过网关检测服务器定时检测所述第一网关节点;
在接收到所述第一网关节点心跳超时信号的情况下,在可用网关节点池中选取第二网关节点替换所述第一网关节点,并调用DNS服务将所述域名的所述指向IP指向所述第二网关节点。
在其中一些实施例中,所述获取玩家的用户等级信息,在域名表中获取与所述用户等级信息对应的域名之前,所述方法还包括:
遍历游戏存储器获取所有玩家数据和域名信息,提取所述玩家数据中的用户等级信息;
基于所述域名信息和所述用户等级信息,按照预设规则构建所述域名表;
发送所述域名表至游戏客户端,所述游戏客户端发送访问流量至游戏服务器。
在其中一些实施例中,所述基于所述域名信息和所述用户等级信息,按照预设规则构建域名表包括:
设立域名表框架,在所述域名表框架中写入所述域名信息和用户等级信息,按照所述预设规则配置所述域名信息和所述用户等级信息包括:
在所述用户等级信息中的用户等级在第一预设区间的情况下,对所述用户等级信息配置第一域名;
在所述用户等级在第二预设区间的情况下,对所述用户等级信息配置第二域名,其中,所述第一预设区间中的所述用户等级小于所述第二预设区间,所述第一域名和所述第二域名分别对应不同的指向IP,并用于连接不同的所述网关节点;
基于所述域名表框架和所述配置的结果生成所述域名表。
在其中一些实施例中,所述获取玩家的用户等级信息,在域名表中获取与所述用户等级信息对应的域名之前,所述方法还包括:
发送节点申请至云服务厂商以获取云网关服务;
采用分布式方法将所述云网关服务提供的多个所述网关节点部署在游戏服务器上,所述游戏服务器根据所述网关节点生成所述可用网关节点池。
在其中一些实施例中,在所述玩家是攻击者的情况下,所述玩家的所述用户等级信息为低等级信息;
在所述域名表中查找与所述低等级信息对应的域名,并根据所述域名的指向IP连接对应的第一网关节点;
在所述第一网关节点接收到所述攻击者发送的攻击包之后,所述第一网关节点发送所述心跳超时信号至所述网关检测服务器;
在所述可用网关节点池中选取所述第二网关节点替换所述第一网关节点。
在其中一些实施例中,所述用户等级信息由游戏服务器配置,所述游戏服务器根据所述玩家的使用时长、活跃度、经验值和金币值配置所述用户等级信息。
第二方面,本申请实施例提供了一种基于用户等级分流的防DDoS系统,所述系统包括:获取模块、检测模块和替换模块:
所述获取模块用于获取玩家的用户等级信息,在域名表中获取与所述用户等级信息对应的域名,根据所述域名的指向IP连接第一网关节点;
所述检测模块用于定时检测所述第一网关节点;
所述替换模块用于在接收到所述第一网关节点心跳超时信号的情况下,在可用网关节点池中选取第二网关节点替换所述第一网关节点,并调用DNS服务将所述域名的所述指向IP指向所述第二网关节点。
在其中一些实施例中,所述系统还包括构建模块,所述构建模块用于:
遍历游戏存储器获取所有玩家数据和域名信息,提取所述玩家数据中的用户等级信息;
基于所述域名信息和所述用户等级信息,按照预设规则构建所述域名表;
发送所述域名表至游戏客户端,所述游戏客户端接收用户的访问流量。
第三方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的一种基于用户等级分流的防DDoS的方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的一种基于用户等级分流的防DDoS的方法。
相比于相关技术,本申请实施例提供的一种基于用户等级分流的防DDoS的方法,通过根据用户等级信息在预设域名表中获取与用户等级信息对应的域名;再根据域名的指向IP连接第一网关节点,同时,通过网关检测服务器定时检测第一网关节点;在接收到第一网关节点心跳超时信号的情况下,在可用网关节点池中选取第二网关节点替换第一网关节点,并且,调用DNS服务将域名的指向IP指向第二网关节点。解决了相关技术中因为会对外暴露可用网关节点导致防DDoS方法防御力较低的的问题,本申请通过增加攻击者的攻击时长和攻击难度,从而提升了防御DDoS系统的防御能力。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种基于用户等级分流的防DDoS方法的应用环境示意图;
图2是根据本申请实施例的一种基于用户等级分流的防DDos方法的流程图;
图3是根据本申请实施例的实现域名表的流程图;
图4是根据本申请实施例的根据用户等级配置域名的示意图;
图5是根据本申请实施例的一种基于用户等级分流的防DDoS系统的结构框图;
图6是根据本申请实施例的一种基于用户等级分流的防DDoS的系统的架构示意图;
图7是根据本申请实施例的电子设备的内部结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本申请提供的一种基于用户等级分流的防DDoS方法,可以应用在如图1所示的应用环境中,图1是根据本申请实施例的一种基于用户等级分流的防DDoS方法的应用环境示意图。如图1所示,终端10与服务器11通过网络进行通信。用户通过终端10输出访问流量并将访问流量发送至服务器11。其中,终端10上安装有各种类型的应用客户端,例如本实施例中的游戏应用客户端。进一步的,在游戏客户端中的每个用户都有单独的用户信息,其中包括用户的等级信息。另外,访问服务器11的流量被服务器11根据用户等级信息进行匹配,不同等级信息的流量将会被服务器11中不同的网关节点所处理,从而当低等级的攻击者攻击服务器11的情况下,保护除被攻击节点之外的其他节点的安全;同时,提升了攻击者的攻击时长和攻击难度,进而可以提升防御DDoS系统的防御能力。需要说明的是,本实施例中的终端10可以是智能手机、平板电脑、台式电脑、笔记本电脑和智能可穿戴设备,服务器11可以是独立的服务器或者是多个服务器组成的服务器集群。
本申请提供了一种基于用户等级分流的防DDoS方法,图2是根据本申请实施例的一种基于用户等级分流的防DDos方法的流程图,如图2所示,该流程包括如下步骤:
S201,采用分布式方法在游戏服务器上部署多个网关节点,并创建可用网关节点池;其中,该网关节点可以从云服务厂商获取,另外,通过该域名的指向IP连接该网关节点。进一步的,在游戏服务器中部署网关节点之后,该游戏服务器还可以根据剩余的其他网关节点构建可用网关节点池,用于替换瘫痪的网关节点;
S202,基于域名信息和用户等级信息,按照预设规则构建域名表;其中,该域名信息由研发人员提供,存储在游戏服务器中,对于每个域名都配置有指向IP。另外,用户等级信息是玩家在游戏客户端中的玩家ID下的等级信息,该用户等级信息可以但不限于是根据使用时长、活跃度、经验值和金币值所确定的。可选的,按照预设规则构建域名表的具体步骤可以是:首先,设立域名表框架,在域名表框架中写入域名信息和用户等级信息;其次,按照等级的高低对域名信息和用户等级信息进行配置;最后,基于该域名表框架和配置的结果生成上述的域名表;
S203,获取玩家的用户等级信息,在域名表中获取与用户等级信息对应的域名;需要说明的是,游戏服务器首先从客户端接收用户的访问流量之后,再根据该访问流量获取用户等级信息;进一步的,上述步骤S202中已经在游戏服务器中构建出按照用户等级配置的域名表,对应的,在本步骤接收到访问流量并获取其中的用户等级信息之后,该游戏服务器首先在域名表中查找与该用户等级信息的域名;
S204,根据域名的指向IP连接第一网关节点,通过网关检测服务器定时检测第一网关节点;其中,该指向IP是在实施本实施例之前,本领域技术人员根据业务需求配置好的,如何配置域名的指向IP对于发明并无核心影响,在本实施例中不再赘述。另外,网关检测服务器设置在游戏服务器中,可选的,该网关服务器通过分析各个节点的心跳情况来检测各个节点是否在遭受攻击以及被攻击的程度;
S205,在接收到第一网关节点心跳超时信号的情况下,在可用网关节点池中选取第二网关节点替换第一网关节点,并且调用DNS服务将域名的指向IP指向第二网关节点。其中,DNS服务全称(Domain Name Server,域名服务器),是进行域名(domain name)和与之相对应的IP地址(IP address)转换的服务。进一步的,DNS中保存了一张域名(domain name)和与之相对应的IP地址(IP address)的表,以解析消息的域名。需要说明的是,在接收第一网关节点心跳超时信号,表示该第一网关节点已经被攻击导致瘫痪,这时,在可用网关节点池中选取另外的可用节点即第二网关节点,替换该第一网关节点。同理,后续在第二网关节点也被攻击致瘫痪时,继续从可用网关节点池中选取新的网关节点替换瘫痪的第二网关节点,不断轮换,从而保证始终有网关节点正常提供服务。需要说明的是,因为采用云服务的网关节点相比于带宽的成本要低很多,所以,采用增加多个网关节点将有效降低成本。
通过上述步骤S201至S205,相比较于相关技术中单纯的采用分部署多个网关节点对外提供服务以防御DDoS攻击的方法。本申请实施例中通过引入用户等级分流技术,按照用户的等级分配不同的域名以连接不同的网关节点。在遭到攻击的情况下,由于攻击者的等级普遍较低,攻击者只能攻击其中一部分等级较低的网关接点,其他的网关节点则不对外暴露,极大的提升其他网关节点的安全性。另外,即使攻击者是游戏用户,拥有较高的游戏等级,但是由于等级限制,该攻击者也只能攻击其中一部分的网关节点,攻击者通过其他方式找到其他可用节点是难以完成的。进一步的,在被攻击的网关节点瘫痪时,还可以在可用节点池中选取备用网关节点将瘫痪的网关节点替换。通过本申请实施例,解决了相关技术中因为对外暴露可用网关节点导致防御DDoS方法的防御能力较低的问题,本实施例通过增加攻击者的攻击时长和攻击难度,从而提升了防御DDoS系统的防御能力。
在其中一些实施例中,图3是根据本申请实施例的实现域名表的流程图,如图3所示,该流程包括如下步骤:
S301,遍历游戏存储器获取所有玩家数据和域名信息,提取玩家数据中的用户等级信息;
S302,基于域名信息和用户等级信息,按照预设规则构建域名表;其中,构建域名表的具体步骤包括:首先,设立域名表框架,在域名表框架中写入域名信息和用户等级信息。其次,按照用户等级域名信息和用户等级信息进行配置。图4是根据本申请实施例的根据用户等级配置域名的示意图,如图4所示,按照用户的等级分配不同的域名,例如,在用户等级为1至10级的情况下,对应的配置域名X1;在用户等级为10至30级的情况下,对应的配置域名X2;在用户等级为30至50级的情况下,对应的配置域名X3。最后,基于域名表框架和配置的结果生成域名表。
S303,发送域名表至游戏客户端,游戏客户端发送访问流量至游戏服务器。
在其中一些实施例中,获取玩家的用户等级信息,在域名表中获取与用户等级信息对应的域名之前,游戏服务器发送节点申请至云服务厂商以获取云网关服务;采用分布式方法将云网关服务提供的多个网关节点部署在游戏服务器上,游戏服务器根据网关节点生成可用网关节点池。
在其中一些实施例中,在玩家是攻击者的情况下,玩家的用户等级信息为低等级信息;在域名表中查找与低等级信息对应的域名,并根据域名的指向IP连接对应的第一网关节点;在第一网关节点接收到攻击者发送的攻击包之后,第一网关节点发送心跳超时信号至网关检测服务器之后,从可用网关节点池中选取可用的第二网关节点将该第一网关节点替换,通过该第二网关节点提供服务。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本实施例还提供了一种基于用户等级分流的防DDoS的系统,该系统用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图5是根据本申请实施例的一种基于用户等级分流的防DDoS系统的结构框图,如图5所示,该系统包括:获取模块51、检测模块52和替换模块53:获取模块51用于获取玩家的用户等级信息,在域名表中获取与用户等级信息对应的域名,根据域名的指向IP连接第一网关节点;检测模块52用于定时检测第一网关节点;替换模块53用于在接收到第一网关节点心跳超时信号的情况下,在可用网关节点池中选取第二网关节点替换第一网关节点,并且调用DNS服务将域名的指向IP指向第二网关节点。
在其中一些实施例中,图6是根据本申请实施例的一种基于用户等级分流的防DDoS的系统的架构示意图,如图6所示,在客户端中根据玩家的等级匹配不同的域名,并进一步的通过该域名的指向IP连接不同的网关节点。在连接上该网关节点之后,通过网关检测服务器定时检测各个网关节点,在其中某个网关节点被攻击导致瘫痪的情况下,从备用网关中选取一个可用的网关节点将瘫痪的网关节点替换。通过该一种基于用户等级分流的防DDoS的系统,可以随时替换瘫痪节点从而迅速恢复节点的服务,另外,由于等级分流机制,该系统增加了攻击者的攻击时长和攻击难度,从而提升了防御DDoS系统的防御能力
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
本实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
需要说明的是,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
另外,结合上述实施例中的基于用户等级分流的防DDoS方法,本申请实施例可提供一种存储介质来实现。该存储介质上存储有计算机程序;该计算机程序被处理器执行时实现上述实施例中的任意一种基于用户等级分流的防DDoS方法。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种基于用户等级分流的防DDoS方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
在一个实施例中,图7是根据本申请实施例的电子设备的内部结构示意图,如图7所示,提供了一种电子设备,该电子设备可以是服务器,其内部结构图可以如图7所示。该电子设备包括通过内部总线连接的处理器、网络接口、内存储器和非易失性存储器,其中,该非易失性存储器存储有操作系统、计算机程序和数据库。处理器用于提供计算和控制能力,网络接口用于与外部的终端通过网络连接通信,内存储器用于为操作系统和计算机程序的运行提供环境,计算机程序被处理器执行时以实现一种基于用户等级分流的防DDoS方法,数据库用于存储数据。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的电子设备的限定,具体的电子设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,该计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
本领域的技术人员应该明白,以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (7)
1.一种基于用户等级分流的防DDoS的方法,其特征在于,所述方法包括:
遍历游戏存储器获取所有玩家数据和域名信息,提取所述玩家数据中的用户等级信息;
基于所述域名信息和所述用户等级信息,按照预设规则构建域名表;
发送所述域名表至游戏客户端,所述游戏客户端发送访问流量至游戏服务器,其中,所述按照预设规则构建域名表包括:设立域名表框架,在所述域名表框架中写入所述域名信息和用户等级信息,按照所述预设规则配置所述域名信息和所述用户等级信息,包括:
在所述用户等级信息中的用户等级在第一预设区间的情况下,对所述用户等级信息配置第一域名,
在所述用户等级在第二预设区间的情况下,对所述用户等级信息配置第二域名,其中,所述第一预设区间中的所述用户等级小于所述第二预设区间,所述第一域名和所述第二域名分别对应不同的指向IP,并用于连接不同的网关节点,
基于所述域名表框架和所述配置的结果生成所述域名表;
获取玩家的用户等级信息,在域名表中获取与所述用户等级信息对应的域名,其中,所述域名表按照所述用户等级信息配置;
根据所述域名的指向IP连接第一网关节点,通过网关检测服务器定时检测所述第一网关节点,其中,所述域名表中,按照用户的等级信息分配不同的域名以连接不同的网关节点,所述网关检测服务器通过分析各个节点的心跳情况来检测各个节点是否在遭受攻击以及被攻击的程度;
在接收到所述第一网关节点心跳超时信号的情况下,在可用网关节点池中选取第二网关节点替换所述第一网关节点,并调用DNS服务将所述域名的所述指向IP指向所述第二网关节点,
其中,由于攻击者的等级普遍较低,所述攻击者只能攻击其中一部分等级较低的网关节 点,其他的网关节点则不对外暴露。
2.根据权利要求1所述的方法,其特征在于,所述获取玩家的用户等级信息,在域名表中获取与所述用户等级信息对应的域名之前,所述方法还包括:
发送节点申请至云服务厂商以获取云网关服务;
采用分布式方法将所述云网关服务提供的多个所述网关节点部署在游戏服务器上,所述游戏服务器根据所述网关节点生成所述可用网关节点池。
3.根据权利要求1所述的方法,其特征在于,在所述玩家是攻击者的情况下,所述玩家的所述用户等级信息为低等级信息;
在所述域名表中查找与所述低等级信息对应的域名,并根据所述域名的指向IP连接对应的第一网关节点;
在所述第一网关节点接收到所述攻击者发送的攻击包之后,所述第一网关节点发送所述心跳超时信号至所述网关检测服务器;
在所述可用网关节点池中选取所述第二网关节点替换所述第一网关节点。
4.根据权利要求1所述的方法,其特征在于,所述用户等级信息由游戏服务器配置,所述游戏服务器根据所述玩家的使用时长、活跃度、经验值和金币值配置所述用户等级信息。
5.一种基于用户等级分流的防DDoS系统,其特征在于,所述系统包括:获取模块、检测模块和替换模块和构建模块:
所述构建模块用于,遍历游戏存储器获取所有玩家数据和域名信息,提取所述玩家数据中的用户等级信息;
基于所述域名信息和所述用户等级信息,按照预设规则构建域名表;
发送所述域名表至游戏客户端,所述游戏客户端发送访问流量至游戏服务器,其中,所述按照预设规则构建域名表包括:设立域名表框架,在所述域名表框架中写入所述域名信息和用户等级信息,按照所述预设规则配置所述域名信息和所述用户等级信息,包括:
在所述用户等级信息中的用户等级在第一预设区间的情况下,对所述用户等级信息配置第一域名,
在所述用户等级在第二预设区间的情况下,对所述用户等级信息配置第二域名,其中,所述第一预设区间中的所述用户等级小于所述第二预设区间,所述第一域名和所述第二域名分别对应不同的指向IP,并用于连接不同的网关节点,
基于所述域名表框架和所述配置的结果生成所述域名表;
所述获取模块用于获取玩家的用户等级信息,在域名表中获取与所述用户等级信息对应的域名,根据所述域名的指向IP连接第一网关节点,其中,所述域名表按照所述用户等级信息配置;
所述检测模块用于定时检测所述第一网关节点,其中,所述域名表中,按照用户的等级信息分配不同的域名以连接不同的网关节点,所述检测模块通过分析各个节点的心跳情况来检测各个节点是否在遭受攻击以及被攻击的程度;
所述替换模块用于在接收到所述第一网关节点心跳超时信号的情况下,在可用网关节点池中选取第二网关节点替换所述第一网关节点,并调用DNS服务将所述域名的所述指向IP指向所述第二网关节点,
其中,由于攻击者的等级普遍较低,所述攻击者只能攻击其中一部分等级较低的网关节 点,其他的网关节点则不对外暴露。
6.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至4中任一项所述的一种基于用户等级分流的防DDoS的方法。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至4中任一项所述的一种基于用户等级分流的防DDoS的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110380520.XA CN113242210B (zh) | 2021-04-09 | 2021-04-09 | 一种基于用户等级分流的防DDoS方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110380520.XA CN113242210B (zh) | 2021-04-09 | 2021-04-09 | 一种基于用户等级分流的防DDoS方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113242210A CN113242210A (zh) | 2021-08-10 |
CN113242210B true CN113242210B (zh) | 2023-03-24 |
Family
ID=77131225
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110380520.XA Active CN113242210B (zh) | 2021-04-09 | 2021-04-09 | 一种基于用户等级分流的防DDoS方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113242210B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114124474B (zh) * | 2021-11-03 | 2023-06-23 | 中盈优创资讯科技有限公司 | 一种基于BGP flowspec的DDOS攻击源处置方法及装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106856511A (zh) * | 2015-12-08 | 2017-06-16 | 中国电信股份有限公司 | 用于动态指配ip地址池的方法、网关、pcrf网元和系统 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106302313B (zh) * | 2015-05-14 | 2019-10-08 | 阿里巴巴集团控股有限公司 | 基于调度系统的DDoS防御方法和DDoS防御系统 |
CN106302318A (zh) * | 2015-05-15 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种网站攻击防御方法及装置 |
CN105872119A (zh) * | 2015-12-10 | 2016-08-17 | 乐视云计算有限公司 | 域名解析系统的实现方法及装置 |
US20180139230A1 (en) * | 2016-11-15 | 2018-05-17 | Level 3 Communications, Llc | Identification and mitigation of attacks in a content delivery network (cdn) |
CN107948682B (zh) * | 2017-11-22 | 2020-02-14 | 聚好看科技股份有限公司 | 业务域名的配置方法、业务服务器及终端设备 |
CN110611723B (zh) * | 2018-06-15 | 2021-05-11 | 华为技术有限公司 | 一种服务资源的调度方法及装置 |
CN109246227A (zh) * | 2018-09-26 | 2019-01-18 | 北京达佳互联信息技术有限公司 | 一种数据请求方法、装置、终端设备及存储介质 |
CN111385235B (zh) * | 2018-12-27 | 2022-08-26 | 北京卫达信息技术有限公司 | 一种基于动态变换的DDoS攻击防御系统和方法 |
US10453017B1 (en) * | 2019-03-07 | 2019-10-22 | Lookout, Inc. | Computer systems and methods to protect user credential against phishing |
CN111526162B (zh) * | 2020-07-02 | 2020-10-16 | 武汉斗鱼鱼乐网络科技有限公司 | 一种区块链攻击节点的多层次综合识别方法及装置 |
-
2021
- 2021-04-09 CN CN202110380520.XA patent/CN113242210B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106856511A (zh) * | 2015-12-08 | 2017-06-16 | 中国电信股份有限公司 | 用于动态指配ip地址池的方法、网关、pcrf网元和系统 |
Non-Patent Citations (1)
Title |
---|
基于等级用户管理的拒绝服务攻击防护策略;敦宏程;《信息网络安全》;20070508(第05期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN113242210A (zh) | 2021-08-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11522904B2 (en) | Self-healing architecture for resilient computing services | |
US11671402B2 (en) | Service resource scheduling method and apparatus | |
US11902320B2 (en) | Moving target defense systems and methods | |
US20220159019A1 (en) | Blockchain-based network security system and processing method | |
CN104079557A (zh) | 一种cc攻击的防护方法及装置 | |
US10148676B2 (en) | Method and device for defending DHCP attack | |
CN108965348B (zh) | 网络安全防护方法、设备及计算机可读存储介质 | |
WO2020259390A1 (zh) | 一种反序列化漏洞的检测方法及装置 | |
US11374968B1 (en) | Detection of adversarial networks | |
CN106034138A (zh) | 一种远程服务调用方法及装置 | |
US10397250B1 (en) | Methods for detecting remote access trojan malware and devices thereof | |
CN114598498B (zh) | 访问方法、访问系统、计算机设备和存储介质 | |
WO2023193513A1 (zh) | 蜜罐网络运行方法、装置、设备及存储介质 | |
CN113242210B (zh) | 一种基于用户等级分流的防DDoS方法和系统 | |
US11190359B2 (en) | Device and system for accessing a distributed ledger | |
CN114710263B (zh) | 密钥管理方法、密钥管理装置、密钥管理设备及存储介质 | |
JP2018533803A (ja) | Ipアドレス取得方法及び装置 | |
CN110045998B (zh) | 加载动态库的方法及装置 | |
Gade et al. | Performance of Windows XP, Windows Vista and Apple's Leopard computers under a denial of service attack | |
US20200358786A1 (en) | Dynamic injection or modification of headers to provide intelligence | |
CN111786940A (zh) | 一种数据处理方法及装置 | |
CN116155862A (zh) | 数据抓包方法、装置、服务器及存储介质 | |
CN108494805B (zh) | 一种cc攻击的处理方法及装置 | |
Gierlings et al. | Isolated and exhausted: attacking operating systems via site isolation in the browser | |
Zheng et al. | Performance evaluation of VM-based intrusion tolerant systems with Poisson arrivals |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |