CN114257434A - 一种DDoS攻击防御方法、电子设备及存储介质 - Google Patents
一种DDoS攻击防御方法、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114257434A CN114257434A CN202111528244.3A CN202111528244A CN114257434A CN 114257434 A CN114257434 A CN 114257434A CN 202111528244 A CN202111528244 A CN 202111528244A CN 114257434 A CN114257434 A CN 114257434A
- Authority
- CN
- China
- Prior art keywords
- agent
- server
- ddos attack
- client
- proxy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种DDoS攻击防御方法、电子设备及存储介质,涉及网络技术领域,应用于电子设备,电子设备包括多个代理服务端,以及与各代理服务端分别匹配且建立通信连接的多个代理客户端,方法包括:每个代理服务端分别接收与其匹配的代理客户端发送的数据传输请求;每个代理服务端分别对其接收的数据传输请求进行DDoS攻击验证;每个代理服务端分别接收通过DDoS攻击验证的正常代理客户端发送的数据;每个代理服务端分别处理未通过DDoS攻击验证的异常代理客户端发送的数据。本申请提供的DDoS攻击防御方法可以提高DDoS攻击防御的可靠性。
Description
技术领域
本发明涉及网络技术领域,具体而言,涉及一种DDoS攻击防御方法、电子设备及存储介质。
背景技术
DDoS(Distributed Denial of Service,分布式拒绝服务攻击)是一种比较常见的网络攻击手段,攻击者在使用DDoS进行网络攻击时,经常能使被攻击的对象陷入瘫痪。
现有的DDoS攻击防御方案主要是进行流量清洗,使流量先流入防护设备,在防护设备中将流量进行清洗后,再将流量导入目标网络。
但上述方式往往在防御DDoS攻击时的可靠性有待提升。
发明内容
为了解决上述问题,本申请提供了一种DDoS攻击防御方法、电子设备及存储介质,以至少部分地提高DDoS攻击防御的可靠性。
本申请的实施例可以这样实现:
第一方面,本申请提供一种DDoS攻击防御方法,应用于电子设备,所述电子设备包括多个代理服务端,以及与各所述代理服务端分别匹配且建立通信连接的多个代理客户端,所述方法包括:
每个所述代理服务端分别接收与其匹配的所述代理客户端发送的数据传输请求;
每个所述代理服务端分别对其接收的所述数据传输请求进行DDoS攻击验证;
每个所述代理服务端分别接收通过所述DDoS攻击验证的正常代理客户端发送的数据;
每个所述代理服务端分别处理未通过所述DDoS攻击验证的异常代理客户端发送的数据。
可选地,所述方法还包括,确定与每个所述代理服务端匹配的代理客户端的步骤,该步骤包括:
根据各所述代理客户端所属的地区,确定与每个所述代理服务端匹配的代理客户端;
或,根据各所述代理客户端的密度,确定与每个所述代理服务端匹配的代理客户端。
可选地,所述数据传输请求包括各所述代理客户端所请求传输的数据的来源、协议以及流量大小,所述每个所述代理服务端分别对其接收的所述数据传输请求进行DDoS攻击验证,包括:
每个所述代理服务端分别验证与其匹配的各所述代理客户端的数据是否来自预设可信设备终端、是否符合预设协议规范,以及流量大小是否小于第一预设阈值;
若是,则通过所述DDoS攻击验证。
可选地,所述每个所述代理服务端分别处理未通过所述DDoS攻击验证的所述异常代理客户端发送的数据,包括:
对流量大于所述第一预设阈值且小于第二预设阈值的数据,进行流量清洗;
对流量大于所述第二预设阈值的数据进行拦截,并与请求发送流量大于所述第二预设阈值的数据的所述异常代理客户端断开通信连接。
可选地,所述电子设备还包括集中式服务端,所述集中式服务端中存储有各所述代理服务端的地址,在所述每个所述代理服务端分别接收与其匹配的所述代理客户端发送的数据传输请求之前,所述方法还包括:
各所述代理客户端通过所述集中式服务端获取与各所述代理客户端所匹配的所述代理服务端的地址;
各所述代理客户端根据获取的所述代理服务端的地址分别向各所述代理客户端所匹配的所述代理服务端发送连接请求;
每个所述代理服务端接收多个与其匹配的所述代理客户端发送的连接请求;
每个所述代理服务端基于所述连接请求与各自所匹配的所述代理客户端建立通信连接。
可选地,所述数据传输请求还包括各所述代理客户端所请求传输的数据的流量ID,所述每个所述代理服务端分别对其接收的所述数据传输请求进行DDoS攻击验证,还包括:
若各所述代理客户端发送的数据来自浏览器,每个所述代理服务端验证各所述代理客户端所请求传输的数据的流量ID是否异常;
若是,则未通过所述DDoS攻击验证,所述代理服务端对所述流量ID异常的数据进行流量清洗。
可选地,所述电子设备还包括域名解析服务端以及目标服务端,所述域名解析服务端中存储有目标服务端地址,在所述每个所述代理服务端分别接收通过所述DDoS攻击验证的正常代理客户端发送的数据之后,所述方法还包括:
通过所述域名解析服务端获取所述目标服务端地址;
基于所述目标服务端地址,与所述目标服务端建立连接;
发送来自各所述正常代理客户端的数据至所述目标服务端。
可选地,所述代理服务端的地址以及所述目标服务端地址为私有地址。
第二方面,本申请提供一种服务器,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任一项所述方法的步骤。
第三方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质包括计算机程序,所述计算机程序运行时控制所述计算机可读存储介质所在服务器实现上述任一项所述方法的步骤。
本发明实施例的有益效果包括,例如:
设置多个代理服务端,每个代理服务端与至少一个代理客户端通信连接。在其中一个代理服务端遭受DDoS攻击时,其他代理服务端仍然可以正常传输数据,从而提高DDoS攻击防御的可靠性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请提供的一种电子设备的方框示意图;
图2为本申请提供的一种电子设备的架构示意图;
图3为本申请提供的DDoS攻击防御方法的步骤流程图;
图4为本申请提供的DDoS攻击防御方法的步骤流程图;
图5为本申请提供的DDoS攻击防御方法的步骤流程图;
图6为本申请提供的一种电子设备的架构示意图。
图标:100-电子设备;101-代理服务端;102-代理客户端;103-集中式服务端;104-域名解析服务端;105-目标服务端。
具体实施方式
DDoS攻击的主要特点是分布式,攻击者可以调用所有地区的流量进行攻击,而攻击者在调度这些攻击时,需要统一指令,比如攻击统一的域名或者攻击统一的IP等,从而使攻击目标陷入瘫痪状态或崩溃。
有鉴于此,如何在遭受DDoS攻击时,避免因攻击目标瘫痪而使得整个网络不能正常使用,是亟待解决的问题。
基于上述研究,本申请实施例提供一种DDoS攻击防御方法,通过设置多个代理服务端,每个代理服务端分别匹配且与多个代理客户端建立通信连接。由于攻击者在调度攻击时,需要统一指令来攻击同一个目标,因此在受到DDoS攻击时,若一个代理服务端受到DDoS攻击而瘫痪,其他代理服务端仍可正常运行,从而至少以部分地解决了上述技术问题。
针对以上方案所存在的缺陷,均是发明人在经过实践并仔细研究后得出的结果,因此,上述问题的发现过程以及下文中本申请实施例针对上述问题所提出的解决方案,都应该是发明人在发明过程中做出的贡献。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
若出现术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
需要说明的是,在不冲突的情况下,本发明的实施例中的特征可以相互结合。
请参考图1,是本申请提供的一种电子设备100的方框示意图,包括存储器110、处理器120及通信模块130。所述存储器110、处理器120以及通信模块130。各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。
其中,存储器110用于存储程序或者数据。所述存储器110可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(ErasableProgrammable Read-Only Memory,EPROM),电可擦除只读存储器(Electric ErasableProgrammable Read-Only Memory,EEPROM)等。
处理器120用于读/写存储器中存储的数据或程序,并执行相应地功能。
通信模块130用于通过所述网络建立所述服务器与其它通信终端之间的通信连接,并用于通过所述网络收发数据。
应当理解的是,图1所示的结构仅为电子设备100的结构示意图,所述服务器100还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置,例如:电子设备100还可以包括代理客户端、代理服务端等等。图1中所示的各组件可以采用硬件、软件或其组合实现。
如图2所示,为本申请实施例提供的一种电子设备100的架构示意图。其中,在电子设备100中可以包括多个代理服务端101,以及与各代理服务端101分别匹配并通信连接的多个代理客户端102,每个代理客户端与至少一个终端设备通信连接。需要说明的是,各个代理服务端可以与代理客户端设置在同一电子设备中,也可以独立设置于一个电子设备中,还可以对每个代理服务端均单独设置一个电子设备。上述电子设备100仅为多种实施方式中的一种,在具体情况中,操作人员可根据实际情况进行设置,本申请说明书并不对此作限定。
本申请提供的DDoS攻击防御方法,可应用于各种终端设备以及虚拟设备访问网络的交互场景中。
如图3所示,本申请提供了一种DDoS攻击防御方法,其主要包括以下步骤:
步骤S120:每个所述代理服务端分别接收与其匹配的所述代理客户端发送的数据传输请求。
步骤S130:每个所述代理服务端分别对其接收的所述数据传输请求进行DDoS攻击验证。
步骤S140:每个所述代理服务端分别接收通过所述DDoS攻击验证的正常代理客户端发送的数据。
步骤S150:每个所述代理服务端分别处理未通过所述DDoS攻击验证的异常代理客户端发送的数据。
在本申请提供的DDoS攻击防御方法中,各个代理服务端可以先确定其匹配的代理客户端。匹配的方式可以有多种,如根据各代理客户端所属的地区,确定与每个代理服务端匹配的代理客户端;也可以是根据各代理客户端的密度,确定与每个代理服务端匹配的代理客户端。
以根据各代理客户端所属的地区,确定与每个代理服务端匹配的代理客户端为例:若存在A、B、C三个地区,A地有a、b、c三个代理客户端,B地有x、y、z三个代理客户端,C地有j、k两个代理客户端,在A、B、C三个地区各设置一个代理服务端,分别为A地设置代理服务端A1、B地设置代理服务端B1、C地设置代理服务端C1。那么,确定与A1匹配的代理客户端为a、b、c;确定与B1匹配的代理客户端为x、y、z;确定与C1匹配的代理客户端为j、k。
如步骤S120,每个代理服务端分别于各自匹配的代理客户端建立通信连接后,可以接收来自各个代理客户端发送的数据。在接收数据前,需要先接收来自各个代理客户端发送的数据传输请求。如步骤S130,每个代理服务端分别接收与其匹配且建立通信连接的代理客户端发送的数据传输请求。
收到数据传输请求后,执行步骤S140,即每个代理服务端分别对其接收的数据传输请求进行DDoS攻击验证。
可选地,数据传输请求可以包括代理客户端所请求传输的数据的来源、协议以及流量大小,每个代理服务端分别对其接收的数据传输请求进行DDoS攻击验证,包括:每个代理服务端分别验证与其匹配的各代理客户端的数据是否来自预设可信设备终端、是否符合预设协议规范,以及流量大小是否小于第一预设阈值。
预设可信设备终端可以是曾经与代理服务端有过数据传输历史的设备终端,也可以是在代理服务端中预存有设备终端信息的设备终端,还可以是数据流量为非伪造的设备终端。预设协议规范可以是TCP协议(Transmission Control Protocol,传输控制协议)等的协议规范。流量大小可以是代理客户端所要传输的数据的流量大小。
在一种可选的实施方式中,以预设可信设备终端为数据流量为非伪造的设备终端、预设协议规范为TCP协议规范、第一预设阈值为50GB为例,各个代理服务端对各自接收的数据传输请求的DDoS攻击验证可以是如下方式:
首先验证代理客户端所要传输的数据流量大小是否大于50GB,若是,则直接对该代理客户端所要传输的数据进行流量清理;若不是,则继续验证代理客户端所要传输的数据是否符合TCP协议规范,若不符合,则对该代理客户端所要传输的数据进行流量清理;若符合,验证代理客户端所要传输的数据的流量是否属于伪造的流量,若是,则对其进行流量清理,若不是,则通过DDoS攻击验证。需要说明的是,若预设可信设备终端为曾经与代理服务端有过数据传输历史的设备终端,或者为在代理服务端中预存有设备终端信息的设备终端,而代理服务端接收的数据传输请求来自非预设的设备终端,那么在进行DDoS攻击验证时,可以先对代理客户端的所要传输的数据的其他信息进行验证,若其他信息验证均通过,则通过DDoS攻击验证,并将该设备终端的信息存储至代理服务端中。
可选地,数据传输请求还可以包括各代理客户端所请求传输的数据的流量ID。若代理客户端发送的数据来自浏览器,即用户通过浏览器发送数据给代理客户端时,每个代理服务端验证各代理客户端所请求传输的数据的流量ID(数据的流量所携带的ID)是否异常,若是,则未通过所述DDoS攻击验证,则代理服务端对流量ID异常的数据进行流量清洗。
上述DDoS攻击验证仅为本申请提供的实施例的一种,在实际情况中,操作人员可以根据实际情况对验证顺序进行适当修改,本申请并不对此做限定。
对于未通过DDoS攻击验证的数据传输请求,执行步骤S150,每个代理服务端分别处理未通过DDoS攻击验证的异常代理客户端发送的数据。
处理的方式可以有多种,例如流量清洗、拉黑发送该数据传输请求的代理客户端等等。
可选地,对于未通过DDoS攻击验证的异常代理客户端发送的数据,各代理服务端可以根据异常代理客户端发送的数据的流量大小进行处理。对于流量大于第一预设阈值且小于第二预设阈值的数据,进行流量清洗。对于流量大于第二预设阈值的数据进行拦截,并与请求发送流量大于第二预设阈值的数据的异常代理客户端断开通信连接。其中第一预设阈值以及第二预设阈值可以根据实际情况进行设置,本申请说明书对此不做限定。
以第一预设阈值为60GB、第二预设阈值为200GB为例:若异常代理客户端发送的数据的流量为80GB,则对该数据进行流量清理。若异常代理客户端发送的数据的流量为205GB,则对该数据进行拦截,并与请求发送该数据的异常代理客户端断开通信连接。
对于通过DDoS攻击验证的数据传输请求,执行步骤S140,每个代理服务端分别接收通过DDoS攻击验证的正常代理客户端发送的数据。
电子设备还可以包括域名解析服务端以及目标服务端,域名解析服务端中可以存储目标服务端地址。在每个代理服务端分别接收通过DDoS攻击验证的正常代理客户端发送的数据之后,可以执行如图4所示的步骤,包括:
步骤S160:通过所述域名解析服务端获取所述目标服务端地址。
步骤S161:基于所述目标服务端地址,与所述目标服务端建立连接。
步骤S162:发送来自各所述正常代理客户端的数据至所述目标服务端。
各代理服务端从域名解析服务端获取目标服务端的地址,然后基于目标服务端的地址对目标服务端发起连接请求。在目标服务端接受连接请求后,各代理服务端与目标服务端建立通信连接。各代理服务端将通过DDoS攻击验证后接收的数据发送至目标服务端。
各代理客户端可以和至少一个设备终端通信连接,当有设备终端需要访问目标服务端时,可以向与该设备终端通信连接的代理客户端发起请求,代理客户端通过请求后可以发送数据或数据包,若通过DDoS攻击验证,可以最终传输至目标服务端,完成对目标服务端的网络访问以及数据传输。
如图5所示,在进行DDoS攻击防御之前,可以进行以下步骤:
步骤S110:各所述代理客户端通过所述集中式服务端获取与各所述代理客户端所匹配的所述代理服务端的地址。
步骤S111:各所述代理客户端根据获取的所述代理服务端的地址分别向各所述代理客户端所匹配的所述代理服务端发送连接请求。
步骤S112:每个所述代理服务端接收多个与其匹配的所述代理客户端发送的连接请求。
步骤S113:每个所述代理服务端基于所述连接请求与各自所匹配的所述代理客户端建立通信连接。
在电子设备100中,可以包括一个集中式服务端,集中式服务端中可以存储有各个代理服务端的地址,每个代理客户端可以在集中式服务端获取各自所匹配的代理服务端的地址,然后根据各个代理客户端所获取的代理服务端的地址,向各自所匹配的代理服务端发送连接请求。
各个代理服务端在接收到与其匹配的各个代理客户端所发送的连接请求后,可以对接收的连接请求进行连接请求验证,如:验证发送请求的代理客户端是否为与该代理服务端匹配的代理客户端等。各个代理服务端再与向自己发送连接请求并通过连接请求验证的代理客户端建立通信连接。
由于DDoS攻击可以由攻击者通过统一指令对大量“肉鸡”进行调度,攻击同一域名或IP。因此,在一种可选的实施方式中,本申请说明书实施例所使用的代理服务端的地址以及目标服务端地址可以为私有地址,本申请提供的DDoS攻击防御方法的实施场景可以为内网。
为了更好地对本申请提供的方案进行解释,作为一种可行的实施例,如图6所示,本申请实施例提供了一种电子设备100的架构示意图。其中,在电子设备100中可以包括多个代理服务端101,以及与各代理服务端101分别匹配并通信连接的多个代理客户端102,每个代理客户端与至少一个终端设备通信连接。每个代理客户端102与集中式服务端103连接。每个代理服务端101与域名解析服务端104以及目标服务端105连接。
各个代理客户端102分别接收来自与其连接的设备终端发送的数据;
各代理客户端102从集中式服务端103获取与其匹配的代理服务端101的地址;
各代理客户端102基于从集中式服务端103获取的地址,向与其匹配的代理服务端101发送数据传输请求;
各代理服务端101对各自接收的数据传输请求进行DDoS攻击验证;
对于未通过DDoS攻击验证的代理客户端102:代理服务端101对该代理客户端102要发送的数据进行处理;
对于通过DDoS攻击验证的代理客户端102:各代理服务端101从域名解析服务端104获取目标服务端105的地址,基于获取的目标服务端105的地址与目标服务端105建立通信连接,将通过DDoS攻击验证的代理客户端102传输的数据发送至目标服务端105。
基于同一发明构思,本发明说明书实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前文DDoS攻击防御方法的任一方法的步骤。
本申请实施例提供的一种DDoS攻击防御方法至少具有以下优点:
1、设置多个代理服务端,按照预设的匹配规则使每个代理服务端与至少一个代理客户端通信连接。那么在其中一个代理服务端遭受DDoS攻击时,其他代理服务端仍然可以正常传输数据,使得其他代理服务端仍可正常访问目标客户端。
2、设置多个代理服务端,且每个代理服务端的地址及目标服务端的地址都为私有地址,在受到DDoS攻击时,攻击者仅能调度“肉鸡”攻击其中一个代理服务器,不能使其他代理服务端瘫痪,更无法直接攻击到目标服务端。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种DDoS攻击防御方法,其特征在于,应用于电子设备,所述电子设备包括多个代理服务端,以及与各所述代理服务端分别匹配且建立通信连接的多个代理客户端,所述方法包括:
每个所述代理服务端分别接收与其匹配的所述代理客户端发送的数据传输请求;
每个所述代理服务端分别对其接收的所述数据传输请求进行DDoS攻击验证;
每个所述代理服务端分别接收通过所述DDoS攻击验证的正常代理客户端发送的数据;
每个所述代理服务端分别处理未通过所述DDoS攻击验证的异常代理客户端发送的数据。
2.如权利要求1所述的DDoS攻击防御方法,其特征在于,所述方法还包括,确定与每个所述代理服务端匹配的代理客户端的步骤,该步骤包括:
根据各所述代理客户端所属的地区,确定与每个所述代理服务端匹配的代理客户端;
或,根据各所述代理客户端的密度,确定与每个所述代理服务端匹配的代理客户端。
3.如权利要求1所述的DDoS攻击防御方法,其特征在于,所述数据传输请求包括各所述代理客户端所请求传输的数据的来源、协议以及流量大小,所述每个所述代理服务端分别对其接收的所述数据传输请求进行DDoS攻击验证,包括:
每个所述代理服务端分别验证与其匹配的各所述代理客户端的数据是否来自预设可信设备终端、是否符合预设协议规范,以及流量大小是否小于第一预设阈值;
若是,则通过所述DDoS攻击验证。
4.如权利要求3所述的DDoS攻击防御方法,其特征在于,所述每个所述代理服务端分别处理未通过所述DDoS攻击验证的所述异常代理客户端发送的数据,包括:
对流量大于所述第一预设阈值且小于第二预设阈值的数据,进行流量清洗;
对流量大于所述第二预设阈值的数据进行拦截,并与请求发送流量大于所述第二预设阈值的数据的所述异常代理客户端断开通信连接。
5.如权利要求1所述的DDoS攻击防御方法,其特征在于,所述电子设备还包括集中式服务端,所述集中式服务端中存储有各所述代理服务端的地址,在所述每个所述代理服务端分别接收与其匹配的所述代理客户端发送的数据传输请求之前,所述方法还包括:
各所述代理客户端通过所述集中式服务端获取与各所述代理客户端所匹配的所述代理服务端的地址;
各所述代理客户端根据获取的所述代理服务端的地址分别向各所述代理客户端所匹配的所述代理服务端发送连接请求;
每个所述代理服务端接收多个与其匹配的所述代理客户端发送的连接请求;
每个所述代理服务端基于所述连接请求与各自所匹配的所述代理客户端建立通信连接。
6.如权利要求3所述的DDoS攻击防御方法,其特征在于,所述数据传输请求还包括各所述代理客户端所请求传输的数据的流量ID,所述每个所述代理服务端分别对其接收的所述数据传输请求进行DDoS攻击验证,还包括:
若各所述代理客户端发送的数据来自浏览器,每个所述代理服务端验证各所述代理客户端所请求传输的数据的流量ID是否异常;
若是,则未通过所述DDoS攻击验证,所述代理服务端对所述流量ID异常的数据进行流量清洗。
7.如权利要求3所述的DDoS攻击防御方法,其特征在于,所述电子设备还包括域名解析服务端以及目标服务端,所述域名解析服务端中存储有目标服务端地址,在所述每个所述代理服务端分别接收通过所述DDoS攻击验证的正常代理客户端发送的数据之后,所述方法还包括:
通过所述域名解析服务端获取所述目标服务端地址;
基于所述目标服务端地址,与所述目标服务端建立连接;
发送来自各所述正常代理客户端的数据至所述目标服务端。
8.如权利要求7所述的DDoS攻击防御方法,其特征在于,所述代理服务端的地址以及所述目标服务端地址为私有地址。
9.一种电子设备,其特征在于,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现权利要求1~8任一项所述方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括计算机程序,所述计算机程序运行时控制所述计算机可读存储介质所在服务器实现权利要求1~8任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111528244.3A CN114257434B (zh) | 2021-12-14 | 2021-12-14 | 一种DDoS攻击防御方法、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111528244.3A CN114257434B (zh) | 2021-12-14 | 2021-12-14 | 一种DDoS攻击防御方法、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114257434A true CN114257434A (zh) | 2022-03-29 |
| CN114257434B CN114257434B (zh) | 2023-10-13 |
Family
ID=80795172
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111528244.3A Active CN114257434B (zh) | 2021-12-14 | 2021-12-14 | 一种DDoS攻击防御方法、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114257434B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101030889A (zh) * | 2007-04-18 | 2007-09-05 | 杭州华为三康技术有限公司 | 防范cc攻击的方法和设备 |
| US20090089873A1 (en) * | 2007-10-01 | 2009-04-02 | Viasat, Inc. | Server message block (smb) security signatures seamless session switch |
| US20100058471A1 (en) * | 2008-09-04 | 2010-03-04 | Estsoft Corp. | Method and system for defending ddos attack |
| CN101834875A (zh) * | 2010-05-27 | 2010-09-15 | 华为技术有限公司 | 防御DDoS攻击的方法、装置和系统 |
| US20150358348A1 (en) * | 2014-06-04 | 2015-12-10 | Aaa Internet Publishing, Inc. | Method of DDos and Hacking Protection for Internet-Based Servers Using a Private Network of Internet Servers by Executing Computer-Executable Instructions Stored On a Non-Transitory Computer-Readable Medium |
| CN106357732A (zh) * | 2016-08-25 | 2017-01-25 | 珠海迈科智能科技股份有限公司 | 一种分布式反向代理服务端和客户端的方法、装置及系统 |
| CN109309685A (zh) * | 2018-10-31 | 2019-02-05 | 北京百度网讯科技有限公司 | 信息传输方法和装置 |
| CN110012038A (zh) * | 2019-05-29 | 2019-07-12 | 中国人民解放军战略支援部队信息工程大学 | 一种网络攻击防御方法及系统 |
| CN111385235A (zh) * | 2018-12-27 | 2020-07-07 | 北京卫达信息技术有限公司 | 一种基于动态变换的DDoS攻击防御系统和方法 |
| CN111726384A (zh) * | 2019-03-22 | 2020-09-29 | 阿里巴巴集团控股有限公司 | 通信方法及装置 |
-
2021
- 2021-12-14 CN CN202111528244.3A patent/CN114257434B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101030889A (zh) * | 2007-04-18 | 2007-09-05 | 杭州华为三康技术有限公司 | 防范cc攻击的方法和设备 |
| US20090089873A1 (en) * | 2007-10-01 | 2009-04-02 | Viasat, Inc. | Server message block (smb) security signatures seamless session switch |
| US20100058471A1 (en) * | 2008-09-04 | 2010-03-04 | Estsoft Corp. | Method and system for defending ddos attack |
| CN101834875A (zh) * | 2010-05-27 | 2010-09-15 | 华为技术有限公司 | 防御DDoS攻击的方法、装置和系统 |
| US20150358348A1 (en) * | 2014-06-04 | 2015-12-10 | Aaa Internet Publishing, Inc. | Method of DDos and Hacking Protection for Internet-Based Servers Using a Private Network of Internet Servers by Executing Computer-Executable Instructions Stored On a Non-Transitory Computer-Readable Medium |
| CN106357732A (zh) * | 2016-08-25 | 2017-01-25 | 珠海迈科智能科技股份有限公司 | 一种分布式反向代理服务端和客户端的方法、装置及系统 |
| CN109309685A (zh) * | 2018-10-31 | 2019-02-05 | 北京百度网讯科技有限公司 | 信息传输方法和装置 |
| CN111385235A (zh) * | 2018-12-27 | 2020-07-07 | 北京卫达信息技术有限公司 | 一种基于动态变换的DDoS攻击防御系统和方法 |
| CN111726384A (zh) * | 2019-03-22 | 2020-09-29 | 阿里巴巴集团控股有限公司 | 通信方法及装置 |
| CN110012038A (zh) * | 2019-05-29 | 2019-07-12 | 中国人民解放军战略支援部队信息工程大学 | 一种网络攻击防御方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114257434B (zh) | 2023-10-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111131310B (zh) | 访问控制方法、装置、系统、计算机设备和存储介质 | |
| CN102045331B (zh) | 查询请求报文处理方法、装置及系统 | |
| US11741466B2 (en) | Transient transaction server DNS strategy | |
| US11570203B2 (en) | Edge network-based account protection service | |
| US10868802B2 (en) | Enabling setting up a secure peer-to-peer connection | |
| US8694993B1 (en) | Virtualization platform for secured communications between a user device and an application server | |
| US20190260788A1 (en) | Transient Transaction Server | |
| CN112887105B (zh) | 会议安全监控方法、装置、电子设备及存储介质 | |
| US11784993B2 (en) | Cross site request forgery (CSRF) protection for web browsers | |
| Gollmann | Veracity, plausibility, and reputation | |
| CN111182537A (zh) | 移动应用的网络接入方法、装置及系统 | |
| CN114124556B (zh) | 一种网络访问控制方法、装置、设备及存储介质 | |
| CN113872933B (zh) | 隐藏源站的方法、系统、装置、设备及存储介质 | |
| CN113812125B (zh) | 登录行为的校验方法及装置、系统、存储介质、电子装置 | |
| US10320784B1 (en) | Methods for utilizing fingerprinting to manage network security and devices thereof | |
| CN114257434B (zh) | 一种DDoS攻击防御方法、电子设备及存储介质 | |
| CN113472545B (zh) | 设备入网方法、装置、设备、存储介质和通信系统 | |
| US20060130123A1 (en) | Method for authenticating database connections in a multi-tier environment | |
| CN112217770B (zh) | 一种安全检测方法、装置、计算机设备及存储介质 | |
| CN113162922A (zh) | 客户端数据的获取方法及装置、存储介质、电子设备 | |
| CN117294534B (zh) | 一种网络代理识别方法、装置及系统 | |
| US20230368203A1 (en) | Transient Transaction Server DNS Strategy | |
| CN111343191B (zh) | 会话校验方法及装置、存储介质、电子装置 | |
| CN117834246A (zh) | 流量身份标识方法、装置、零信任控制中心和存储介质 | |
| CN117527393A (zh) | 访问方法和相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |