CN114785555A - 一种应对DDoS攻击的防护方法及系统 - Google Patents

Abstract

本申请公开了一种应对DDoS攻击的防护方法及系统，当监测到业务服务器的第一IP受到DDoS攻击，且业务服务受到影响时，若获取到的业务成功率符合预设防护条件，执行动态防护策略，动态防护策略至少包括黑洞封禁操作和业务迁移操作，黑洞封禁操作用于屏蔽对第一IP的外网访问，业务迁移操作为将访问业务服务器的流量从第一IP迁移至第二IP，确保对业务服务器业务的正常访问的动态对抗操作。通过上述，在应对DDoS攻击时，屏蔽对第一IP的外网访问，将访问业务服务器的流量从第一IP迁移至第二IP，使得传统应对DDoS攻击的静态被动防御方式，转变为动态主动对抗方式，从而规避应对DDoS攻击的防护方式的局限性和单一性。

Description

一种应对DDoS攻击的防护方法及系统

技术领域

本申请涉及故障处理技术领域，更具体地说，涉及一种应对DDoS攻击的 防护方法及系统。

背景技术

分布式拒绝服务攻击(Distributed Denial ofService，DDoS)是指处于不 同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制 了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻 击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击。

现有技术中，应对DDoS攻击的防护方式是依靠运营商和数据中心本地 来进行防护，然而DDoS攻击发展迅速，且在DDoS攻击过程中，攻击流量 越来越大，攻击手法变化多端，现有应对DDoS攻击的防护方式都是静态被 动防御的防护方式，使得应对DDoS攻击的防护方式存在局限性和单一性。

发明内容

有鉴于此，本申请公开了一种应对DDoS攻击的防护方法及系统，旨在 使得传统应对DDoS攻击的静态被动防御方式，转变为动态主动对抗方式， 从而规避应对DDoS攻击的防护方式的局限性和单一性。

为了实现上述目的，其公开的技术方案如下：

本申请第一方面公开了一种应对DDoS攻击的防护方法，所述方法包括：

当监测到业务服务器的第一IP受到DDoS攻击，且监测到所述业务服务 器对应的业务服务受到影响时，获取所述业务服务的业务成功率；所述第一 IP为所述业务服务器的主IP；

若所述业务成功率符合预设防护条件，则执行动态防护策略；所述动态 防护策略至少包括黑洞封禁操作和业务迁移操作；所述黑洞封禁操作用于屏 蔽对所述第一IP的外网访问；所述业务迁移操作为将访问所述业务服务器的 流量从所述第一IP迁移至第二IP，确保对所述业务服务器业务的正常访问的 动态对抗操作；所述第二IP为所述业务服务器的备用IP。

优选的，所述当监测到业务服务器的第一IP受到DDoS攻击，且监测到 所述业务服务器对应的业务服务受到影响时，获取所述业务服务的业务成功 率，包括：

当监测到业务服务器的第一IP受到DDoS攻击时，获取所述第一IP的实 时流量和服务响应信息；所述服务响应信息至少包括访问所述业务服务器的 返回的Http状态信息和下载时间；

若所述实时流量大于预设流量，所述Http状态信息不为预设状态信息且 所述下载时间大于预设下载时间，则确定所述业务服务器对应的业务服务受 到影响，并获取所述业务服务的业务成功率。

优选的，还包括：

若所述实时流量小于所述预设流量，所述Http状态信息为所述预设状态 信息且所述下载时间小于等于所述预设下载时间，则确定所述业务服务器对 应的业务服务未受到影响。

优选的，所述若所述业务成功率符合预设防护条件，则执行动态防护策 略，包括：

若所述业务成功率小于预设成功率，则确定所述业务成功率符合预设防 护条件；

在所述业务成功率符合所述预设防护条件下，通过运营商API接口，屏 蔽所述第一IP的外网访问，并通过域名服务商对业务域名的Address记录修 改为第二IP；

当监测到用户访问所述业务域名时，将访问所述业务域名的流量从所述 第一IP迁移至所述第二IP。

优选的，还包括：

当所述流量大于预设带宽阈值时，执行流量清洗操作；所述流量清洗操 作用于对业务服务器受到DDoS攻击的攻击流量进行清洗，确保业务服务的 正常运行。

优选的，在所述若所述业务成功率符合预设防护条件，则执行动态防护 策略之前，还包括：

定义动态防护策略的防护等级。

优选的，还包括：

根据所述业务服务的影响程度，修改所述动态防护策略的防护等级。

本申请第二方面公开了一种应对DDoS攻击的防护系统，所述系统包括：

获取单元，用于当监测到业务服务器的第一IP受到DDoS攻击，且监测 到所述业务服务器对应的业务服务受到影响时，获取所述业务服务的业务成 功率；所述第一IP为所述业务服务器的主IP；

第一执行单元，用于若所述业务成功率符合预设防护条件，则执行动态 防护策略；所述动态防护策略至少包括黑洞封禁操作和业务迁移操作；所述 黑洞封禁操作用于屏蔽对所述第一IP的外网访问；所述业务迁移操作为将访 问所述业务服务器的流量从所述第一IP迁移至第二IP，确保对所述业务服务 器业务的正常访问的动态对抗操作；所述第二IP为所述业务服务器的备用IP。

优选的，所述获取单元，包括：

获取模块，用于当监测到业务服务器的第一IP受到DDoS攻击时，获取 所述第一IP的实时流量和服务响应信息；所述服务响应信息至少包括访问所 述业务服务器的返回的Http状态信息和下载时间；

第一确定模块，用于若所述实时流量大于预设流量，所述Http状态信息 不为预设状态信息且所述下载时间大于预设下载时间，则确定所述业务服务 器对应的业务服务受到影响，并获取所述业务服务的业务成功率。

优选的，还包括：

确定单元，用于若所述实时流量小于所述预设流量，所述Http状态信息 为所述预设状态信息且所述下载时间小于等于所述预设下载时间，则确定所 述业务服务器对应的业务服务未受到影响。

经由上述技术方案可知，本申请公开了一种应对DDoS攻击的防护方法 及系统，当监测到业务服务器的第一IP受到DDoS攻击，且监测到业务服务 器对应的业务服务受到影响时，获取业务服务的业务成功率，第一IP为服务 器的主IP，若业务成功率符合预设防护条件，则执行动态防护策略，动态防 护策略至少包括黑洞封禁操作和业务迁移操作，黑洞封禁操作用于屏蔽对第 一IP的外网访问，业务迁移操作为将访问业务服务器的流量从第一IP迁移至 第二IP，确保对业务服务器业务的正常访问的动态对抗操作，第二IP为业务服务器的备用IP。通过上述方案，在应对DDoS攻击时，屏蔽对第一IP的外 网访问，将访问业务服务器的流量从第一IP迁移至第二IP，使得传统应对 DDoS攻击的静态被动防御方式，转变为动态主动对抗方式，从而规避应对 DDoS攻击的防护方式的局限性和单一性。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面 描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不 付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例公开的一种应对DDoS攻击的防护装置的架构图；

图2为本申请实施例公开的拨测网页示意图；

图3为本申请实施例公开的统计拨测网页的解析时间，连接时间，下载时 间和首字节时间的示意图；

图4为本申请实施例公开的一种应对DDoS攻击的防护方法的流程示意 图；

图5为本申请实施例公开的一种应对DDoS攻击的防护系统的结构示意 图；

图6为本申请实施例公开的电子设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行 清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而 不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做 出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

在本申请中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性 的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那 些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、 方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括 一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设 备中还存在另外的相同要素。

由背景技术可知，现有技术中，应对DDoS攻击的防护方式是依靠运营商 和数据中心本地来进行防护，然而DDoS攻击发展迅速，且在DDoS攻击过程 中，攻击流量越来越大，攻击手法变化多端，现有应对DDoS攻击的防护方式 都是静态被动防御的防护方式，使得应对DDoS攻击的防护方式存在局限性和 单一性。

为了解决上述问题，本申请实施例公开了一种应对DDoS攻击的防护方法 及系统，在应对DDoS攻击时，屏蔽对第一IP的外网访问，将访问业务服务器 的流量从第一IP迁移至第二IP，使得传统应对DDoS攻击的静态被动防御方式， 转变为动态主动对抗方式，从而规避应对DDoS攻击的防护方式的局限性和单 一性。具体实现方式通过下述实施例进行说明。

以下首先介绍本申请的一种应对DDoS攻击的防护方法及系统所适用的 应对DDoS攻击的防护装置的架构图，具体参考图1所示，应对DDoS攻击 的防护装置包括用户端11、企业抗DDoS设备12、应用服务器13、域名解析 服务器14和动态防御平台15，其中，企业抗DDoS设备12包括检测设备16 和清洗设备17；域名解析服务器14包括根服务器18和授权服务器19；动态 防御平台15包括监控设备20、域名切换设备21、黑洞路由切换设备22和总 控设备23。

具体用户端11、企业抗DDoS设备12、应用服务器13、域名解析服务器 14和动态防御平台15之间的数据交互过程如下：

用户通过本地运营商DNS服务器(即DNS服务器)解析网站(如 www.aaa.com)。

Local DNS服务器分别向根服务器18和授权服务器19(.com域服务器和 aaa.com域服务器)进行递归查询。

其中，Local DNS服务器为上网用户本地运营商的缓存DNS服务器，用 于提供域名和IP地址的转换服务。

根服务器18和授权服务器19为在互联网中提供DNS解析的服务器，根 服务器18和授权服务器19用于提供域名和IP地址间的转换服务。

应用服务器13(域名服务商name server)将网站(如www.aaa.com)对 应的Address记录地址1.1.1.1返回至DNS服务器。

其中，Address记录是用来指定主机名(或域名)对应的IP地址记录。

DNS服务器将www.aaa.com网站IP地址返回至客户端11，客户端11访 问DNS服务器的第一IP提供的业务服务。

黑客模拟用户获取网站(如www.aaa.com)对应的IP地址，控制僵尸网 络对DNS服务器的第一IP发动针对Address记录地址1.1.1.1的DDoS攻击。

当动态防御平台15监测到业务服务器的第一IP受到DDoS攻击时，获取 第一IP的实时流量和服务响应信息；服务响应信息至少包括访问业务服务器 的返回的Http状态信息和下载时间。

若实时流量大于预设流量，Http状态信息不为预设状态信息且下载时间 大于预设下载时间，则动态防御平台15确定业务服务器对应的业务服务受到 影响。

其中，预设流量的确定由技术人员根据实际情况进行设置，本申请不做 具体限定。

预设状态信息为Http状态码为200，Http状态码为200用于指示成功处 理了请求，都是返回此状态码。

预设下载时间的确定由技术人员根据实际情况进行设置，本申请不做具 体限定。

当动态防御平台15监测业务服务器的第一IP受到DDoS攻击，且监测到 业务服务器对应的业务服务受到影响时，获取业务服务的业务成功率；第一 IP为业务服务器的主IP。

若实时流量小于预设流量，Http状态信息为预设状态信息且下载时间小 于等于预设下载时间，则动态防御平台15确定业务服务器对应的业务服务未 受到影响。

若业务成功率符合预设防护条件，则动态防御平台15执行动态防护策略； 动态防护策略至少包括黑洞封禁操作和业务迁移操作；黑洞封禁操作用于屏 蔽对第一IP的外网访问；业务迁移操作为将访问业务服务器的流量从第一IP 迁移至第二IP，确保对业务服务器业务的正常访问的动态对抗操作；第二IP 为业务服务器的备用IP。

其中，动态防御平台15根据探针(缓存流量日志)和拨测结果(业务成 功率)联动运营商API下发第一IP的黑洞任务。

黑洞任务是指服务器(IP)受攻击流量超出防御范围时，运营商将屏蔽服 务器(IP)的外网访问的任务。

动态防御平台15根据探针和拨测结果联动域名服务商API动态修改域名 Address记录为第二IP，并同步其他业务服务器。

具体若业务成功率符合预设防护条件，则动态防御平台15执行动态防护 策略的过程如下：

若业务成功率小于预设成功率，则动态防御平台15确定业务成功率符合 预设防护条件。

其中，预设成功率的确定由技术人员根据实际情况进行设置，本申请不 做具体限定。

在业务成功率符合预设防护条件下，动态防御平台15通过运营商API接 口，屏蔽第一IP的外网访问，并通过域名服务商对业务域名的Address记录 修改为第二IP。

动态防御平台15当监测到用户访问业务域名时，将访问业务域名的流量 从第一IP迁移至第二IP。

其中，监控模块20包含防护IP流量报表，抗DDoS设备管理，探针管理， 拨测管理。

防护IP流量报表根据探针收集检测设备16的镜像流量(如线路历史流量、 应用流量、协议类型流量、全网topN流量、异常攻击的流量等)进行统计， 展示单个IP、IP段、线路历史流量如：比特率(bits per second，bps)、包转 发率(packets persecond，pps)等；协议类型流量如：传输控制协议(transmission controlprotocol，tcp)、udp icmp、other等；应用流量如：Http、Https、dns、 sip等；全网topN流量；异常攻击的流量：入向流量，攻击流量、清洗流量。

抗DDoS设备管理，包含设备所属的分支机构，物理位置等。

探针管理包含设备位置，管理IP，防护IP段录入，线路录入。主要功能 是根据检测设备16提供API收集缓存流量日志。

拨测管理主要指标是业务成功率，由拨测设备完成，根据企业域名管理 提供的域名，通过在多运营商布放的测试服务器模拟真实用户对网站发起web 请求，实时统计成功率来判断业务是否受影响，发送判断结果到拨测管理。

当监控设备20的拨测管理监测到第一IP处于受攻击状态，通过探测第一 IP的实时流量和服务响应来判断服务是否受影响。

动态防御平台15通过设备镜像接口，统计第一IP的实时流量，在DDoS 攻击发生时，一般实时流量会有突增。

服务响应主要是监控模块中拨测管理，在多运营商布放的测试服务器， 模拟真实用户，使用Http getpost方法，访问第一IP服务的网站首页(拨测 网页)，或图片资源，如Https://x.x.x.x/ext-4/src/custom/index-logo.png，判断 Http状态是否为200，下载时间等指标判断业务是否影响。

具体拨测网页如图2所示，图2为拨测网页示意图，图2仅为示例图。

图2中，拨测网页包括监测点、ISP、省份、解析IP、解析IP所在地、 Http状态、总时间、解析时间、连接时间、下载时间、首字节时间、文件大 小、下载大小、下载速度、请求页面首部Http Head和操作等数据。

统计解析时间，连接时间，下载时间，首字节时间，在探针模块数据库 入库留存，实时展示。具体展示可参考图3所示，图3为统计拨测网页的解 析时间，连接时间，下载时间和首字节时间的示意图，图3仅为示例图。

图3中，横坐标为省份、城市，纵坐标(0s、0.5s、1.0s、1.5s、2.0s和 2.5s)为时间。

通过Http getpost方法，为拨测服务器程序编写提供常用示例。

Http getpost请求示例的代码如下：

通过在三方运营商布放服务器来拨测防护域名延时、下载速率、成功率 等参数，将该参数上传到动态防御平台15实时判断，为执行动态防护策略等 提供数据。

域名切换设备21包含企业域名管理，包含业务域名对用IP对应表，其中 IP地址包含第一IP(主IP)和第二IP(备用IP)，在拨测成功概率到达阈值 时，调用域名服务商API修改域名对应Address记录至第二IP，并刷新DNS 服务器节点；其中，刷新DNS服务器节点用于域名服务商在变更记录后会自 动同步其他DNS服务器，如公用DNS服务器，当再次查询域名Address记录 时返回第二IP地址。

黑洞路由切换模块22包含运营商线路IP管理和运营商封禁管理。其中， 运营商线路IP管理主要是录入专线IP，所属运营商，联动运营商提供API调 用参数，路径管理。运营商封禁管理包含运营商黑洞任务，清洗任务，任务 时间策略，支持手动添加任务，自动下发由总控设备23处置管理联动执行。

总控设备23由用户管理、权限管理和处置管理部分组成。其中，用户管 理部分提供用户注册、登录、信息修改等功能。权限管理部分提供产品接口 注册、产品接口配置管理、用户权限管理等功能。处置管理在拨测周期内对 业务做探活做判断，若发现成功率异常，执行业务切换流程。

其中，处置管理在拨测周期内对业务做探活做判断，即判断返回HTTP 状态码、下载时间等指标超过阈值，如：20％请求超时，HTTP状态码不是200， 下载时间与历史统计的变化较大等，来判定成功率异常。

对业务造成重大影响时成功率低于50％，动态防御平台15启动域名切换， 路由黑洞任务。由处置管理根据成功率和探针数据自动触发。

动态防御平台15在抗DDoS攻击的清洗设备16上设置策略模板，用于 定义动态防护策略的防护等级，防护等级如，宽松，正常，严格等。

正常用户通过客户端11重新查询网站(如，www.aaa.com)对应的IP地 址。

当流量大于预设带宽阈值时，动态防御平台15执行流量清洗操作；流量 清洗操作用于对业务服务器受到DDoS攻击的攻击流量进行清洗，确保业务 服务的正常运行。

其中，预设带宽阈值可以是70％、80％等，具体预设带宽阈值的确定由 技术人员根据实际情况进行设置，本申请不做具体限定。本方案的预设带宽 阈值优选80％。

如，业务成功率低于80％、返回HTTP状态码不是200，下载时间超过历 史统计，和/或综合所有测试服务器的占比超80％，通过企业抗DDoS设备12 提供的API接口来修改更加严格的防御策略，进行应急处置。

具体企业抗DDoS设备12API联动说明如下：

动态防御平台15在管理抗DDoS设备，API请求方法和接口类型。

认证(auth)接口的过程如下：

1)用户名、密码管理使用ATIC现有机制。

2)认证后返回随机token，后续该客户端的所有接口调用必须携带token。 格式如：X-Auth-Token 1683454235。

请求行：URIrest/openAPI/DDoS/auth。

请求消息头名称类型：Content-TypeString是请求消息类型 (application/json)和AcceptString是接收消息类型 (application/json；version＝1.0)。

请求消息体包括usernameString和passwordString。

其中，usernameString是用户名；passwordString是密码。

username和password指的是ATIC系统本身的账号密码。超时机制沿用 ATIC本身的策略。当获取新的token时，之前的token会失效，且token的有 效时间为10分钟。

JSON请求举例：

{

"username":"admin",

"password":"Huawei@123"

}

修改用户密码(modifyPassword)接口：

本接口实现ATIC系统用户密码的功能。

请求行：URIrest/openAPI/DDoS/auth/password/username。

其中，URI中的username指的是登录ATIC系统的用户，即需要修改密 码的用户名。

请求消息头包括Content-TypeString、AcceptString和X-Auth-TokenString。

其中，Content-TypeString是请求消息类型(application/json)。

AcceptString是接收消息类型(application/json；version＝1.0)。

X-Auth-TokenString是Token值，2认证(auth)接口返回值，其中，返 回认证(auth)接口返回值，用来记录用户信息，存在浏览器cookie中，用户 再次发请求时不用再输入账号密码。

请求消息体包括old_passwordString、new_passwordString和 confirm_passwordString。

其中，old_passwordString是旧密码。

new_passwordString是新密码。

confirm_passwordString是确认密码。

JSON请求举例：

{

"old_password":"Huawei@123",

"new_password":"Huawei@123456",

"confirm_password":"Huawei@123456"

}

创建zone(createZone)接口：

本接口实现添加zone的功能。

请求行：URIrest/openAPI/DDoS/zone。

请求消息头包括Content-TypeString、AcceptString和X-Auth-TokenString。

其中，Content-TypeString是请求消息类型(application/json)。

AcceptString是接收消息类型(application/json；version＝1.0)。

X-Auth-TokenString是Token值，2认证(auth)接口返回值。

请求消息体包括zone_nameString和zone_ipArray。

其中，zone_nameString是zone的账号，唯一标识。

要求只能包含英文字母、数字和下划线，以英文字母打头，最长32位。

zone_ipArray是IP地址，IP/Mask格式，数组形式，最多支持50个IP/Mask。 支持IPv4/IPv6，掩码范围，ipv4(8～32)，ipv6(8～128)。

JSON请求举例：

{

"zone_name":"zone_1",

"zone_ip":["12.12.12.12/32","1::2:3/24"]

}

修改zone(updateZone)接口：

本接口实现更新zone的所有IP的功能。

请求行：URIrest/openAPI/DDoS/zone/zone_name。

其中，URI中的zone_name指的是需要修改的zone账号。

请求消息头包括Content-TypeString、AcceptString和X-Auth-TokenString。

其中，Content-TypeString是请求消息类型(application/json)。

AcceptString是接收消息类型(application/json；version＝1.0)。

X-Auth-TokenString是Token值，2认证(auth)接口返回值。

请求消息体包括zone_ipArray。

其中，zone_ipArray是IP地址，IP/Mask格式，数组形式，最多支持50 个IP/Mask，支持IPv4/IPv6，掩码范围，ipv4(8～32)，ipv6(8～128)。

JSON请求举例：

{

"zone_ip":["1.2.3.4/16","2::2:2/120"]

}

删除zone(deleteZone)接口：

请求行：URIrest/openAPI/DDoS/zone/zone_name。

其中，URI中的zone_name指的是需要删除的zone账号。

请求消息头包括Content-TypeString、AcceptString和X-Auth-TokenString。

Content-TypeString是请求消息类型(application/json)。

AcceptString是接收消息类型(application/json；version＝1.0)。

X-Auth-TokenString是Token值，2认证(auth)接口返回值。

修改policy(updatePolicy)接口：

本接口实现更新zone的防御策略，只更新这些参数包含的有效数据(必须 在范围内)，如果参数赋值为0，则该参数保持不变。

请求行：URIrest/openAPI/DDoS/policy_v1/zone_name。

其中，URI中的zone_name指的是需要修改的zone账号。

请求消息头包括Content-TypeString、AcceptString和X-Auth-TokenString。

Content-TypeString是请求消息类型(application/json)。

AcceptString是接收消息类型(application/json；version＝1.0)。

X-Auth-TokenString是Token值，2认证(auth)接口返回值。

请求消息体包括tcp_syn_ppsint、tcp_abnormal_ppsint、tcp_fragment_ppsint、tcp_fin_rst_ppsint、icmp_limit_ppsint、udp_limit_mbpsint和 udp_fragment_limit_mbpsint。

其中，tcp_syn_ppsint是SYN Flood防御的包速率阈值。

tcp_abnormal_ppsint是TCP Malformed(TCP abnormal)防御的包速率阈 值。

tcp_fragment_ppsint是TCP分片攻击防御的包速率阈值。

tcp_fin_rst_ppsint是FIN/RST Flood防御的包速率阈值。

icmp_limit_ppsint是ICMP限流的包速率阈值。

udp_limit_mbpsint是UDP限流的带宽阈值。

udp_fragment_limit_mbpsint是UDP分片限流的带宽阈值。

JSON请求举例：

{

"tcp_syn_pps":2000,

"tcp_abnormal_pps":500,

"tcp_fragment_pps":2000,

"tcp_fin_rst_pps":500,

"icmp_limit_pps":2000,

"udp_limit_mbps":200,

"udp_fragment_limit_mbps":60

}

DDoS防护业务平台对外API主要包括清洗命令API(开始和停止)、封 堵命令API(开始和停止)、防护任务状态API和清洗设备状态API。

其中，通过输入防护IP、时长、网络域或全网、执行清洗的规则、选择 清洗类型类型(近源)、客户用户名和操作密码后，执行清洗命令。

第三方使用DDoS防护平台的能力API进行防护时，首先调用DDoS防 护开始命令API(清洗开始命令API)。

DDoS业务平台接到清洗命令调用后，校验参数生成清洗任务，并将防护 任务ID返回给第三方平台，第三方平台后续可以通过清洗任务状态API来查 询当前清洗任务状态。

其中，校验过程包括验证客户、防护IP是否正确、客户状态是否正常、 防护IP是否已经在防护中等。

当第三方平台通过API来停止清洗任务时，传入任务ID参数，DDoS防 护业务平台接到调用后，返回给第三方平台停止命令已接受，然后进行清洗 任务的停止。第三方平台后续可以通过清洗任务状态API来查询任务状态。

其中，查询任务状态的过程包括检查清洗任务是否存在、检查清洗任务 是否已经停止、清洗任务执行是否达到最少执行时间(如15分钟)等。

封堵API使用业务逻辑如下：

第三方使用DDoS防护平台的能力API进行防护时，首先调用DDoS防 护开始命令API(封堵开始命令API)。

其中，通过输入防护IP、时长、网络域或全网、客户用户名和操作密码 后，执行封堵命令。

DDoS业务平台接到封堵开始命令API调用后，校验参数生成封堵任务， 并将防护任务ID返回给第三方平台，第三方平台后续可以通过封堵任务状态 API来查询当前封堵任务状态。

其中，校验过程包括验证客户、防护IP是否正确、客户状态是否正常、 防护IP是否已经在防护中等。

当第三方平台通过API来停止封堵任务时，传入任务ID参数，DDoS防 护业务平台接到调用后，返回给第三方平台停止命令已接受，然后进行封堵 任务的停止。第三方平台后续可以通过防护任务状态API来查询封堵任务状 态。

其中，查询任务状态的过程包括检查封堵任务是否存在、检查封堵任务 是否已经停止、封堵任务执行是否达到最少执行时间(如15分钟)等。

API调用与返回内容格式采用Json格式，接口传输协议采用https协议。

采用以下措施来保证API调用安全。

只允许指定的源IP调用：

第三方平台需要提前将调用的源IP告知DDoS业务防护平台，不允许非 预先注册的源IP调用。

采用HTTPS传输协议：

第三方平台与DDoS业务防护平台之间采用https协议，保证传输内容不 泄漏。

用户认证：

第三方平台调用API需要进行用户名、密码认证。API中的用户认证串， 是将下面三个串链接起来，进行MD5后串：

密码的MD5串：即将用户密码进行MD5加密，生成密码的MD5串；如 密码“123456”，md5加密后生成串E10ADC3949BA59ABBE56E057F20F883E。

当前时间戳参数(current_time)：是以微秒为单位的时间戳，16位数字， 一个时间戳用一次，偏差超过30S无效，如1500965572377123。

API的命令关键字:如APICleanStart。

将以上三个串(密码的MD5串、当前时间戳参数和API的命令关键字) 按时间戳+密码MD5串+命令关键字的顺序连接起来，中间不能有空格，如： “1500965572377123E10ADC3949BA59ABBE56E057F20F883EAPICleanStart ”，然后对该串进行MD5加密生成认证串： 29C125F97EFE06BA61D3047C48422414。

其中，API的相关说明如表1所示。

表1

其中，一个防护任务只允许一个IP地址段。

清洗开始命令API的定义过程，如表2所示。

表2

任务状态查询API的定义过程，如表3所示。

表3

清洗停止命令API定义过程，如表4所示。

表4

清洗设备状态查询API的定义过程，如表5所示。

表5

封堵开始命令API的定义过程，如表6所示。

表6

封堵停止命令API定义过程，如表7所示。

表7

域名服务商API联动说明如下：

域名服务商API的术语表，如表8所示。

表8

解析记录相关接口的过程，如表9所示。

表9

修改域名记录的过程如下：

修改域名记录的接口(RecordModify)用于修改解析记录。

接口请求域名：cns.API.qcloud.com。

以下接口请求参数列表仅列出了接口请求参数，正式调用时需要加上公 共请求参数，其中，此接口的Action字段为RecordModify。具体请求参数列 表如表10所示。

表10

接口输出参数的列表，如表11所述。

表11

表11中，如果修改成功，会返回data字段，包含了记录的信息，其中， record字段为修改成功后，返回的基本信息如表12所示。

参数名称	类型	描述
			id	Int	解析记录的ID
name	String	子域名
			value	String	记录值
status	String	解析记录的状态
			weight	Int	解析记录的权重，默认为null

表12

修改域名记录返回示例的相关代码如下：

https://cns.API.qcloud.com/v2/index.php？

&<公共请求参数>

&Action＝RecordModify

&domain＝qcloud.com

&recordId＝281628246

&subDomain＝www

&recordType＝CNAME

&recordLine＝默认

&value＝cloud.tencent.com

返回示例如下：

{

"code":0,

"message":"",

"codeDesc":"Success",

"data":{

"record":{

"id":282529938,

"name":"yizeronew1487857638",

"value":"112.112.21.21",

"status":"enable",

"weight":null

}

}

}。

基于动态对抗理念的DDoS攻击防护方案，其动态防御平台，监控模块 包含防护IP流量报表，抗DDoS设备管理，探针管理，拨测管理，实现业务 运行状态的全局监控。

基于动态对抗理念的DDoS攻击防护方案，其动态防御平台提供域名切 换和黑洞路由切换，将攻击流量引流至黑洞，应用服务切换到正常线路。

处置管理中基于监控模块中业务流量，协议类型，请求成功率等，可动 态调整业务相关的安全策略，域名解析，实现对攻击流量的自动防御和规避， 保障应用服务的正常运行。

本申请实施例中，在应对DDoS攻击时，屏蔽对第一IP的外网访问，将 访问业务服务器的流量从第一IP迁移至第二IP，使得传统应对DDoS攻击的 静态被动防御方式，转变为动态主动对抗方式，从而规避应对DDoS攻击的 防护方式的局限性和单一性。

参考图4示，为本申请实施例公开的一种应对DDoS攻击的防护方法的 流程示意图，该应对DDoS攻击的防护方法应用于动态防御平台，该应对DDoS 攻击的防护方法主要包括如下步骤：

S401：当监测到业务服务器的第一IP受到DDoS攻击，且监测到业务服 务器对应的业务服务受到影响时，获取业务服务的业务成功率；第一IP为业 务服务器的主IP。

具体当监测到业务服务器的第一IP受到DDoS攻击，且监测到业务服务 器对应的业务服务受到影响时，获取业务服务的业务成功率的过程如A1-A2 所示。

A1：当监测到业务服务器的第一IP受到DDoS攻击时，获取第一IP的 实时流量和服务响应信息；服务响应信息至少包括访问业务服务器的返回的 Http状态信息和下载时间。

其中，当监控设备20的拨测管理监测到第一IP处于受攻击状态，通过探 测第一IP的实时流量和服务响应来判断服务是否受影响。

在DDoS攻击发生时，一般实时流量会有突增。

服务响应主要是监控模块中拨测管理，在多运营商布放的测试服务器， 模拟真实用户，使用Http getpost方法，访问第一IP服务的网站首页(拨测 网页)，或图片资源，如Https://x.x.x.x/ext-4/src/custom/index-logo.png，判断 Http状态是否为200，下载时间等指标判断业务是否影响。

A2：若实时流量大于预设流量，Http状态信息不为预设状态信息且下载 时间大于预设下载时间，则确定业务服务器对应的业务服务受到影响，并获 取业务服务的业务成功率。

其中，预设流量的确定由技术人员根据实际情况进行设置，本申请不做 具体限定。

预设状态信息为Http状态码为200，Http状态码为200用于指示成功处 理了请求，都是返回此状态码。

预设下载时间的确定由技术人员根据实际情况进行设置，本申请不做具 体限定。

若实时流量小于预设流量，Http状态信息为预设状态信息且下载时间小 于等于预设下载时间，则确定业务服务器对应的业务服务未受到影响。

S402：判断业务成功率是否符合预设防护条件，若是，则执行S403，若 否，则执行S404。

若业务成功率小于预设成功率，则确定业务成功率符合预设防护条件。

S403：执行动态防护策略。动态防护策略至少包括黑洞封禁操作和业务 迁移操作；黑洞封禁操作用于屏蔽对第一IP的外网访问；业务迁移操作为将 访问业务服务器的流量从第一IP迁移至第二IP，确保对业务服务器业务的正 常访问的动态对抗操作；第二IP为业务服务器的备用IP。

其中，在业务成功率符合预设防护条件下，通过运营商API接口，屏蔽 第一IP的外网访问，并通过DNS域名服务商对第一IP对应的域名进行解析， 得到访问第一IP的流量，将流量从第一IP迁移至第二IP。

S404：不执行动态防护策略。

本申请实施例中，在应对DDoS攻击时，屏蔽对第一IP的外网访问，将 访问业务服务器的流量从第一IP迁移至第二IP，使得传统应对DDoS攻击的 静态被动防御方式，转变为动态主动对抗方式，从而规避应对DDoS攻击的 防护方式的局限性和单一性。

基于上述实施例图4公开的一种应对DDoS攻击的防护方法，本申请实 施例还对应公开了一种应对DDoS攻击的防护系统，如图5所示，该应对DDoS 攻击的防护系统包括获取单元501和第一执行单元502。

获取单元501，用于当监测到业务服务器的第一IP受到DDoS攻击，且 监测到业务服务器对应的业务服务受到影响时，获取业务服务的业务成功率； 第一IP为业务服务器的主IP。

第一执行单元502，用于若业务成功率符合预设防护条件，则执行动态防 护策略；动态防护策略至少包括黑洞封禁操作和业务迁移操作；黑洞封禁操 作用于屏蔽对第一IP的外网访问；业务迁移操作为将访问业务服务器的流量 从第一IP迁移至第二IP，确保对业务服务器业务的正常访问的动态对抗操作； 第二IP为业务服务器的备用IP。

进一步的，获取单元501包括获取模块和第一确定模块。

获取模块，用于当监测到业务服务器的第一IP受到DDoS攻击时，获取 第一IP的实时流量和服务响应信息；服务响应信息至少包括访问业务服务器 的返回的Http状态信息和下载时间。

第一确定模块，用于若实时流量大于预设流量，Http状态信息不为预设 状态信息且下载时间大于预设下载时间，则确定业务服务器对应的业务服务 受到影响，并获取业务服务的业务成功率。

进一步的，应对DDoS攻击的防护系统还包括确定单元。

确定单元，用于若实时流量小于预设流量，Http状态信息为预设状态信 息且下载时间小于等于预设下载时间，则确定业务服务器对应的业务服务未 受到影响。

进一步的，执行单元包括第二确定模块、修改模块和迁移模块。

第二确定模块，用于若业务成功率小于预设成功率，则确定业务成功率 符合预设防护条件。

修改模块，用于在业务成功率符合预设防护条件下，通过运营商API接 口，屏蔽第一IP的外网访问，并通过域名服务商对业务域名的Address记录 修改为第二IP。

迁移模块，用于当监测到用户访问业务域名时，将访问业务域名的流量 从第一IP迁移至第二IP。

进一步的，应对DDoS攻击的防护系统还包括第二执行单元。

第二执行单元，用于当流量大于预设带宽阈值时，执行流量清洗操作； 流量清洗操作用于对业务服务器受到DDoS攻击的攻击流量进行清洗，确保 业务服务的正常运行。

进一步的，应对DDoS攻击的防护系统还包括定义单元。

定义单元，用于定义动态防护策略的防护等级。

进一步的，应对DDoS攻击的防护系统还包括修改单元。

修改单元，用于根据业务服务的影响程度，修改动态防护策略的防护等 级。

本申请实施例中，在应对DDoS攻击时，屏蔽对第一IP的外网访问，将 访问业务服务器的流量从第一IP迁移至第二IP，使得传统应对DDoS攻击的 静态被动防御方式，转变为动态主动对抗方式，从而规避应对DDoS攻击的 防护方式的局限性和单一性。

本申请实施例还提供了一种存储介质，存储介质包括存储的指令，其中， 在指令运行时控制存储介质所在的设备执行上述应对DDoS攻击的防护方法。

本申请实施例还提供了一种电子设备，其结构示意图如图6所示，具体 包括存储器601，以及一个或者一个以上的指令602，其中一个或者一个以上 指令602存储于存储器601中，且经配置以由一个或者一个以上处理器603 执行一个或者一个以上指令602执行上述应对DDoS攻击的防护方法。

对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动 作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的 限制，因为依据本申请，某些步骤可以采用其他顺序或者同时进行。其次， 本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例， 所涉及的动作和模块并不一定是本申请所必须的。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个 实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似 的部分互相参见即可。对于系统类实施例而言，由于其与方法实施例基本相 似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本申请各实施例方法中的步骤可以根据实际需要进行顺序调整、合并和 删减。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语 仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求 或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。

对所公开的实施例的上述说明，使本领域技术人员能够实现或使用本申 请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的，本文 中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实 施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要 符合与本文所公开的原理和新颖特点相一致的最宽的范围。

以上所述仅是本申请的优选实施方式，应当指出，对于本技术领域的普 通技术人员来说，在不脱离本申请原理的前提下，还可以做出若干改进和润 饰，这些改进和润饰也应视为本申请的保护范围。

Claims (10)

1.一种应对DDoS攻击的防护方法，其特征在于，所述方法包括：

当监测到业务服务器的第一IP受到DDoS攻击，且监测到所述业务服务器对应的业务服务受到影响时，获取所述业务服务的业务成功率；所述第一IP为所述业务服务器的主IP；

若所述业务成功率符合预设防护条件，则执行动态防护策略；所述动态防护策略至少包括黑洞封禁操作和业务迁移操作；所述黑洞封禁操作用于屏蔽对所述第一IP的外网访问；所述业务迁移操作为将访问所述业务服务器的流量从所述第一IP迁移至第二IP，确保对所述业务服务器业务的正常访问的动态对抗操作；所述第二IP为所述业务服务器的备用IP。

2.根据权利要求1所述的方法，其特征在于，所述当监测到业务服务器的第一IP受到DDoS攻击，且监测到所述业务服务器对应的业务服务受到影响时，获取所述业务服务的业务成功率，包括：

当监测到业务服务器的第一IP受到DDoS攻击时，获取所述第一IP的实时流量和服务响应信息；所述服务响应信息至少包括访问所述业务服务器的返回的Http状态信息和下载时间；

若所述实时流量大于预设流量，所述Http状态信息不为预设状态信息且所述下载时间大于预设下载时间，则确定所述业务服务器对应的业务服务受到影响，并获取所述业务服务的业务成功率。

3.根据权利要求2所述的方法，其特征在于，还包括：

若所述实时流量小于所述预设流量，所述Http状态信息为所述预设状态信息且所述下载时间小于等于所述预设下载时间，则确定所述业务服务器对应的业务服务未受到影响。

4.根据权利要求2所述的方法，其特征在于，所述若所述业务成功率符合预设防护条件，则执行动态防护策略，包括：

若所述业务成功率小于预设成功率，则确定所述业务成功率符合预设防护条件；

在所述业务成功率符合所述预设防护条件下，通过运营商API接口，屏蔽所述第一IP的外网访问，并通过域名服务商对业务域名的Address记录修改为第二IP；

当监测到用户访问所述业务域名时，将访问所述业务域名的流量从所述第一IP迁移至所述第二IP。

5.根据权利要求4所述的方法，其特征在于，还包括：

当所述流量大于预设带宽阈值时，执行流量清洗操作；所述流量清洗操作用于对业务服务器受到DDoS攻击的攻击流量进行清洗，确保业务服务的正常运行。

6.根据权利要求1所述的方法，其特征在于，在所述若所述业务成功率符合预设防护条件，则执行动态防护策略之前，还包括：

定义动态防护策略的防护等级。

7.根据权利要求6所述的方法，其特征在于，还包括：

根据所述业务服务的影响程度，修改所述动态防护策略的防护等级。

8.一种应对DDoS攻击的防护系统，其特征在于，所述系统包括：

获取单元，用于当监测到业务服务器的第一IP受到DDoS攻击，且监测到所述业务服务器对应的业务服务受到影响时，获取所述业务服务的业务成功率；所述第一IP为所述业务服务器的主IP；

第一执行单元，用于若所述业务成功率符合预设防护条件，则执行动态防护策略；所述动态防护策略至少包括黑洞封禁操作和业务迁移操作；所述黑洞封禁操作用于屏蔽对所述第一IP的外网访问；所述业务迁移操作为将访问所述业务服务器的流量从所述第一IP迁移至第二IP，确保对所述业务服务器业务的正常访问的动态对抗操作；所述第二IP为所述业务服务器的备用IP。

9.根据权利要求8所述的系统，其特征在于，所述获取单元，包括：

获取模块，用于当监测到业务服务器的第一IP受到DDoS攻击时，获取所述第一IP的实时流量和服务响应信息；所述服务响应信息至少包括访问所述业务服务器的返回的Http状态信息和下载时间；

第一确定模块，用于若所述实时流量大于预设流量，所述Http状态信息不为预设状态信息且所述下载时间大于预设下载时间，则确定所述业务服务器对应的业务服务受到影响，并获取所述业务服务的业务成功率。

10.根据权利要求9所述的系统，其特征在于，还包括：

确定单元，用于若所述实时流量小于所述预设流量，所述Http状态信息为所述预设状态信息且所述下载时间小于等于所述预设下载时间，则确定所述业务服务器对应的业务服务未受到影响。

Images