CN116827684B - DDoS攻击防御方法、系统、设备及存储介质 - Google Patents

DDoS攻击防御方法、系统、设备及存储介质 Download PDF

Info

Publication number
CN116827684B
CN116827684B CN202311080561.2A CN202311080561A CN116827684B CN 116827684 B CN116827684 B CN 116827684B CN 202311080561 A CN202311080561 A CN 202311080561A CN 116827684 B CN116827684 B CN 116827684B
Authority
CN
China
Prior art keywords
service
client
transfer machine
relay
sdk
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311080561.2A
Other languages
English (en)
Other versions
CN116827684A (zh
Inventor
郑伟
袁胜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Aspire Technologies Shenzhen Ltd
Original Assignee
Aspire Technologies Shenzhen Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Aspire Technologies Shenzhen Ltd filed Critical Aspire Technologies Shenzhen Ltd
Priority to CN202311080561.2A priority Critical patent/CN116827684B/zh
Publication of CN116827684A publication Critical patent/CN116827684A/zh
Application granted granted Critical
Publication of CN116827684B publication Critical patent/CN116827684B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种DDoS攻击防御方法、系统、设备及存储介质,涉及互联网技术领域,包括:客户端在接收到目标软件程序的启动指令时,获取SDK的动态标签,生成配置请求,向调度中心发送配置请求;调度中心基于中转机服务IP列表、服务IP和服务端口,生成SDK配置文件返回至客户端;客户端基于第一中转机IP,建立SDK与第一中转机IP的第一中转机之间的通信加密隧道,以将数据通信请求发送至第一中转机;第一中转机基于数据通信请求,确定源站服务IP,以将目标传输数据转发至源站服务IP的目标源站,并将目标源站返回的第一响应信息发送至SDK中。本发明实现防御攻击者发动的DDoS攻击,提升客户端的使用体验。

Description

DDoS攻击防御方法、系统、设备及存储介质
技术领域
本发明涉及互联网技术领域,尤其涉及一种DDoS攻击防御方法、系统、设备及存储介质。
背景技术
分布式拒绝服务(DDoS,Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。DDoS攻击的原理是找到被攻击者的资源瓶颈,通过消耗资源的方式达到被攻击者业务不可用的目的。
对于游戏、短视频、直播等特定行业用户,传统的DDoS防护技术存在以下缺陷:对于使用域名接入云端服务的业务,由于DNS生效需要等待时间,在频繁切换资源的过程中会导致防御服务延迟生效;针对客户端的用户,攻击者可以通过安装客户端或者通过域名解析的方式获取到提供服务的对端服务器信息,攻击者可以绕过业务数据通信的过程直接对服务器进行资源耗尽攻击,导致整体资源性能的下降甚至耗尽,造成服务中断,极大降低客户端的使用体验。
发明内容
本发明提供一种DDoS攻击防御方法、系统、设备及存储介质,旨在实现防御攻击者发动的DDoS攻击,提升客户端的使用体验。
本发明提供一种DDoS攻击防御方法,方法应用于DDoS攻击防御系统,系统包括调度中心、客户端和中转机集群,其中,所述客户端配置有SDK软件开发工具包:
所述客户端在接收到目标软件程序的启动指令时,获取SDK的动态标签,并基于所述客户端的服务IP、服务端口和所述SDK的动态标签,生成配置请求,向所述调度中心发送所述配置请求;
所述调度中心在对所述配置请求验证后,基于所述中转机集群对应的中转机服务IP,形成中转机服务IP列表,以基于所述中转机服务IP列表、中转机服务端口、所述客户端的服务IP和服务端口,生成SDK配置文件返回至所述客户端;
所述客户端基于所述中转机服务IP列表中的第一中转机IP,建立所述SDK与所述第一中转机IP对应的第一中转机之间的通信加密隧道,以将生成的数据通信请求发送至所述第一中转机;
所述第一中转机基于所述数据通信请求,确定源站服务IP,以将所述数据通信请求中的目标传输数据转发至所述源站服务IP对应的目标源站,并将所述目标源站返回的第一响应信息发送至所述客户端的SDK中。
根据本发明提供的一种DDoS攻击防御方法,所述在对所述配置请求验证后,基于所述中转机集群对应的中转机服务IP,形成中转机服务IP列表,包括:
所述调度中心对所述配置请求进行验证,在验证成功后,基于所述客户端的位置信息,在所述中转机集群对应的中转机服务IP中选取若干个第一中转机IP;
所述调度中心基于各所述第一中转机IP,形成所述形成中转机服务IP列表。
根据本发明提供的一种DDoS攻击防御方法,所述基于所述中转机服务IP列表中的第一中转机IP,建立所述SDK与所述第一中转机IP对应的第一中转机之间的通信加密隧道,以将生成的数据通信请求发送至所述第一中转机,包括:
所述客户端在所述中转机服务IP列表中选取得到第一中转机IP,以将生成的连接请求发送至所述第一中转机IP对应的第一中转机;
所述客户端若接收到所述第一中转机返回的第二响应信息,则建立所述SDK与所述第一中转机之间的通信加密隧道;
所述客户端基于所述服务IP、所述服务端口和目标传输数据,生成所述数据通信请求,并将所述数据通信请求通过所述通信加密隧道发送至所述第一中转机。
根据本发明提供的一种DDoS攻击防御方法,所述将生成的连接请求发送至所述第一中转机IP对应的第一中转机之后,还包括:
所述客户端若在预设时间内未接收到所述第一中转机返回的第二响应信息,则将所述第一中转机IP标记为失效状态;
所述客户端在所述中转机服务IP列表中选取得到第二中转机IP,以建立所述SDK与所述第二中转机IP对应的第二中转机之间的通信加密隧道。
根据本发明提供的一种DDoS攻击防御方法,所述建立所述SDK与所述第一中转机之间的通信加密隧道之后,还包括:
在数据传输过程中,所述客户端中的SDK定时向所述第一中转机发送连接测试请求;
所述客户端若在预设时间内未接收到第一中转机返回的连接测试请求对应的第三响应信息,则将所述第一中转机IP标记为失效状态,并断开与所述第一中转机之间的通信连接。
根据本发明提供的一种DDoS攻击防御方法,所述基于所述客户端的服务IP、服务端口和所述SDK的动态标签,生成配置请求之后,还包括:
所述调度中心获取各个源站的源站IP和源站端口;
所述调度中心基于所述源站IP、源站端口和所述客户端的服务IP,生成中转机配置文件,并将所述中转机配置文件加密下发至所述中转机集群中的预设数据中。
根据本发明提供的一种DDoS攻击防御方法,所述基于所述数据通信请求,确定源站服务IP,以将所述数据通信请求中的目标传输数据转发至所述源站服务IP对应的目标源站,并将所述目标源站返回的第一响应信息发送至所述客户端的SDK中,包括:
所述第一中转机基于所述数据通信请求中的服务端口,在所述中转机配置文件中查询得到源站服务IP,以建立与所述源站服务IP对应的目标源站之间的通信连接;
所述第一中转机将所述目标传输数据转发至所述目标源站,并将所述目标源站返回的第一响应信息发送至所述客户端的SDK中。
本发明还提供一种DDoS攻击防御系统,包括调度中心、客户端和中转机集群,其中,所述客户端配置有SDK软件开发工具包,所述中转机集群包括若干个中转机:
所述客户端,用于在接收到目标软件程序的启动指令时,获取SDK的动态标签,并基于所述客户端的服务IP、服务端口和所述SDK的动态标签,生成配置请求,向所述调度中心发送所述配置请求;
所述调度中心,用于在对所述配置请求验证后,基于所述中转机集群对应的中转机服务IP,形成中转机服务IP列表,以基于所述中转机服务IP列表、中转机服务端口、所述客户端的服务IP和服务端口,生成SDK配置文件返回至所述客户端;
所述客户端,用于基于所述中转机服务IP列表中的第一中转机IP,建立所述SDK与所述第一中转机IP对应的第一中转机之间的通信加密隧道,以将生成的数据通信请求发送至所述第一中转机;
所述第一中转机,用于基于所述数据通信请求,确定源站服务IP,以将所述数据通信请求中的目标传输数据转发至所述源站服务IP对应的目标源站,并将所述目标源站返回的第一响应信息发送至所述客户端的SDK中。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述DDoS攻击防御方法。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述DDoS攻击防御方法。
本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述DDoS攻击防御方法。
本发明提供的DDoS攻击防御方法、系统、设备及存储介质,通过将SDK与客户端的APP集成,在监测到APP软件启动时,SDK启动本地监听代理,SDK主动连接调度中心,进而根据客户端的服务IP和服务端口生成请求发送至调度中心,以获取可用的中转机服务IP列表,避免了DNS解析攻击对用户造成的影响。进一步地,通过建立SDK与第一中转机IP对应的第一中转机之间的通信加密隧道之间的通信加密隧道,能够抵御信道侧的攻击。从而实现了通过客户端的统一调度,客户端可直接通过中转机访问源站,有效预防攻击者发动的DDoS攻击。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图逐一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的DDoS攻击防御方法的流程示意图之一;
图2是本发明提供的DDoS攻击防御方法的流程示意图之二;
图3是本发明提供的DDoS攻击防御方法的流程示意图之三;
图4是本发明提供的DDoS攻击防御方法的流程示意图之四;
图5是本发明提供的DDoS攻击防御方法的流程示意图之五;
图6是本发明提供的DDoS攻击防御方法的流程示意图之六;
图7是本发明提供的DDoS攻击防御方法的流程示意图之七;
图8是本发明提供的DDoS攻击防御系统的结构示意图;
图9是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明一个或多个实施例。在本发明一个或多个实施例中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本发明一个或多个实施例中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本发明一个或多个实施例中可能采用术语第一、第二等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明一个或多个实施例范围的情况下,第一也可以被称为第二,类似地,第二也可以被称为第一。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”。
图1是本发明提供的DDoS攻击防御方法的流程示意图之一。如图1所示,该DDoS攻击防御方法应用于DDoS攻击防御系统,系统包括调度中心、客户端和中转机集群,调度中心与客户端之间通信连接,调度中心和中转机集群之间通信连接,客户端和中转机集群之间通信连接,其中,所述客户端配置有SDK(Software Development Kit)软件开发工具包,所述中转机集群包括若干个中转机。需要说明的是,SDK是一个本地代理程序,用于在客户端和中转机之间传输数据。SDK负责接收客户端发来的数据,并加密后发给中转机,同时接收中转机返回的响应信息,解密后交给客户端。它随客户端一起启动,并在启动后接管客户端所有网络流量。
步骤S11,所述客户端在接收到目标软件程序的启动指令时,获取SDK的动态标签,并基于所述客户端的服务IP、服务端口和所述SDK的动态标签,生成配置请求,向所述调度中心发送所述配置请求;
需要说明的是,对每个APP实例,会生成一个单独的SDK,所述SDK对应有唯一的动态标签,所述动态标签可以是基于当前时间戳和SDK唯一定义标识生成,例如,SDK唯一定义标识包括SDK标识(SDK_TOKEN)和SDK密钥(SDK_TOKEN_SECRET)。例如,定义SDK_TOKEN是:df290e05583342ce83f629bf05ed06cb,定义SDK_TOKEN_SECRET是:49cd77fc6164c1d71865459cce4b84f4",SDK会在启动时组装上述字符串作为动态标签:SDK_TOKEN|当前时间戳|SDK_TOKEN_SECRET。可选地,为了提高后续验证的安全性,可对所述动态标签进行加密处理。
具体地,客户端在接收到目标软件程序的启动指令时,首先判断客户端中SDK本地是否存储有有效的SDK配置文件,若没有,则获取SDK的动态标签,进而基于所述客户端的服务IP、服务端口和所述SDK的动态标签,生成配置请求,进一步地,客户端中的SDK将所述配置请求发送至所述调度中心。
进一步需要说明的是,为了准确记录客户端发送的配置请求,所述配置请求还可包括客户端的设备标签,所述设备标签标识客户端的身份标识。从而基于所述客户端的设备标签、服务IP、服务端口和所述SDK的动态标签,生成配置请求发送至所述调度中心。需要说明的是,所述SDK配置文件设置有效期,有效期可根据实际情况设置,在SDK配置文件过期后,需要重新生成配置请求,向调度系统重新请求配置文件。
步骤S12,所述调度中心在对所述配置请求验证后,基于所述中转机集群对应的中转机服务IP,形成中转机服务IP列表,以基于所述中转机服务IP列表、中转机服务端口、所述客户端的服务IP和服务端口,生成SDK配置文件返回至所述客户端;
需要说明的是,所述调度中心包括SDK配置模块、中转机配置模块、安全认证模块以及主服务器。可选地,SDK配置模块用于配置SDK配置文件,中转机配置模块用于配置中转机配置文件,主服务器用于存储中转机配置文件和SDK配置文件等信息。
具体地,所述调度中心接收到所述配置请求后,对所述SDK的动态标签进行验证,若验证成功后,确定所述中转机集群对应的各个中转机的中转机服务IP以及中转机服务端口,进而在各个中转机服务IP中,选取若干个第一中转机IP,可选地,为了提高数据通信的效率,可根据客户端的位置信息,选取与所述位置信息距离较近的多个中转机服务IP作为第一中转机IP。进一步地,基于各所述第一中转机IP,形成所述中转机服务IP列表。进而基于所述中转机服务IP列表、中转机服务端口、所述客户端的服务IP和服务端口,生成SDK配置文件,并将所述SDK配置文件返回至所述客户端的SDK中。
在另一实施例中,所述SDK配置文件还可包括加密密码以及加密方式,从而使得客户端的SDK可按照该加密方式对数据进行加密,并且使得中转机能够对SDK上传请求中的加密密码和/或加密方式进行验证,提高数据传输的安全性。
例如,SDK配置文件的格式内容如下:
{
"server":["10.10.10.93","10.10.10.94","10.10.10.95"],//中转机IP列表
"server_port":60001,//中转机服务端口
"local_address":"127.0.0.88",//客户端的代理服务IP
"local_port":8800,//客户端的服务端口,与源站端口相同
"password":"LyqYiBjeuBPM",//加密密码
"method":"aes-256-cfb" //加密方式
}
步骤S13,所述客户端基于所述中转机服务IP列表中的第一中转机IP,建立所述SDK与所述第一中转机IP对应的第一中转机之间的通信加密隧道,以将生成的数据通信请求发送至所述第一中转机;
具体地,所述客户端的SDK在接收到SDK配置文件后,在所述中转机服务IP列表中选取当前需要连接的中转机IP作为所述第一中转机IP。进一步地,生成连接请求,并将所述连接请求发送至所述第一中转机IP对应的第一中转机。进而当SDK在预设时间内接收到所述第一中转机返回的第二响应信息,则建立所述客户端的SDK与所述第一中转机之间的通信加密隧道,所述预设时间内可根据实际情况设置,在此不做具体限制。进一步地,所述客户端基于所述服务IP、所述服务端口和目标传输数据,生成所述数据通信请求,进而所述客户端的SDK将所述数据通信请求通过所述通信加密隧道发送至所述第一中转机。
可选地,为了提高数据传输的安全性,在数据传输前,还可根据SDK配置文件中加密方式,先对所述服务IP、所述服务端口和目标传输数据等信息进行加密。
步骤S14,所述第一中转机基于所述数据通信请求,确定源站服务IP,以将所述数据通信请求中的目标传输数据转发至所述源站服务IP对应的目标源站,并将所述目标源站返回的第一响应信息发送至所述客户端的SDK中。
需要说明的是,在数据传输之前,所述调度中心会获取各个源站的源站IP和源站端口,可选地,所述源站端口和客户端的服务端口相同。所述调度中心基于所述源站IP、源站端口和所述客户端的服务IP等信息,生成中转机配置文件,并将所述中转机配置文件加密下发至所述中转机集群中的预设数据中,从而使得中转机能够根据中转机配置文件与源站进行通信连接。
具体地,所述第一中转机在接收到数据通信请求后,对所述数据通信请求进行解密,进而基于所述数据通信请求中的服务端口,在所述中转机配置文件中匹配得到所述服务端口对应的源站服务IP,进一步地,建立第一中转机与所述源站服务IP对应的源站之间的通信连接,在连接成功后,第一中转机将解密得到的目标传输数据转发至所述源站服务IP对应的目标源站。
进一步地,所述第一中转机接收所述目标源站返回的第一响应信息,进而所述第一中转机将所述第一响应信息发送至所述客户端的SDK中,进而SDK对第一响应信息进行解密,并将解密后的第一响应信息发送至所述客户端中。
本发明实施例通过将SDK与客户端的APP集成,在监测到APP软件启动时,SDK启动本地监听代理,SDK主动连接调度中心,进而根据客户端的服务IP和服务端口生成请求发送至调度中心,以获取可用的中转机服务IP列表,避免了DNS解析攻击对用户造成的影响。进一步地,通过建立SDK与第一中转机IP对应的第一中转机之间的通信加密隧道之间的通信加密隧道,能够抵御信道侧的攻击。从而实现了通过客户端的统一调度,客户端可直接通过中转机访问源站,有效预防攻击者发动的DDoS攻击。
图2是本发明提供的DDoS攻击防御方法的流程示意图之二。如图2所示,在本发明的一个实施例中,在对所述配置请求验证后,基于所述中转机集群对应的中转机服务IP,形成中转机服务IP列表,包括:
步骤S21,所述调度中心对所述配置请求进行验证,在验证成功后,基于所述客户端的位置信息,在所述中转机集群对应的中转机服务IP中选取若干个第一中转机IP;
步骤S22,所述调度中心基于各所述第一中转机IP,形成所述形成中转机服务IP列表。
具体地,所述调度中心对所述配置请求中的动态标签、客户端的服务IP和服务端口等信息进行验证,所述调度中心在验证成功后,确定客户端的位置信息,进而基于所述客户端的位置信息,在所述中转机集群对应的各个中转机服务IP中选取选取距离较近的若干个目标中转机服务IP,并将目标中转机服务IP作为第一中转机IP,进而基于各所述第一中转机IP,形成所述中转机服务IP列表。
本发明实施例通过基于所述客户端的位置信息,在所述中转机集群对应的中转机服务IP中选取距离较近的若干个第一中转机IP,从而能够提高数据通信的效率,进而基于各所述第一中转机IP,形成中转机服务IP列表,从而使得客户端的SDK能够与中转机服务IP列表中的中转机IP对应的中转机建立连接,并且当中转机被流量攻击而无法服务时,不需要域名解析的过程,可以快速切换中转机服务IP列表中的其他中转机中,提高数据传输的速度和安全性。
图3是本发明提供的DDoS攻击防御方法的流程示意图之三,如图3所示,在本发明的一个实施例中,基于所述中转机服务IP列表中的第一中转机IP,建立所述SDK与所述第一中转机IP对应的第一中转机之间的通信加密隧道,以将生成的数据通信请求发送至所述第一中转机,包括:
步骤S31,所述客户端在所述中转机服务IP列表中选取得到第一中转机IP,以将生成的连接请求发送至所述第一中转机IP对应的第一中转机;
步骤S32,所述客户端若接收到所述第一中转机返回的第二响应信息,则建立所述SDK与所述第一中转机之间的通信加密隧道;
步骤S33,所述客户端基于所述服务IP、所述服务端口和目标传输数据,生成所述数据通信请求,并将所述数据通信请求通过所述通信加密隧道发送至所述第一中转机。
具体地,由于中转机服务IP列表存在多个中转机IP,因此,所述客户端在所述中转机服务IP列表中选取任意一个中转机IP作为所述第一中转机IP,可选地,选取与客户端距离最近的中转机IP作为所述第一中转机IP。
进一步地,基于客户端的服务IP和服务端口,生成连接请求,并客户端的SDK将所述连接请求转发至所述第一中转机IP对应的第一中转机。第一中转机在接收到连接请求后,会生成连接请求对应的第二响应信息返回至客户端的SDK中,进而所述客户端若接收到所述第一中转机返回的第二响应信息,则建立所述SDK与所述第一中转机之间的通信加密隧道。
更进一步地,所述客户端基于所述服务IP、所述服务端口和目标传输数据,生成所述数据通信请求,并根据调度中心下发的SDK配置文件中的加密方式,对所述数据通信请求进行加密,进而客户端的SDK将加密后的数据通信请求通过所述通信加密隧道发送至所述第一中转机。
本发明实施例通过根据调度中心下发的中转机服务IP列表,选取合适的第一中转机IP,进而建立所述SDK与所述第一中转机之间的通信加密隧道,从而利用通信加密隧道将数据通信请求发送至所述第一中转机,提高数据传输的安全性。
图4是本发明提供的DDoS攻击防御方法的流程示意图之四,如图4所示,在本发明的一个实施例中,将生成的连接请求发送至所述第一中转机IP对应的第一中转机之后,还包括:
步骤S41,所述客户端若在预设时间内未接收到所述第一中转机返回的第二响应信息,则将所述第一中转机IP标记为失效状态;
步骤S42,所述客户端在所述中转机服务IP列表中选取得到第二中转机IP,以建立所述SDK与所述第二中转机IP对应的第二中转机之间的通信加密隧道。
具体地,所述客户端的SDK若在预设时间内未接收到所述第一中转机返回的第二响应信息,则证明SDK无法与所述第一中转机建立连接,进而直接将所述第一中转机IP标记为失效状态。
进一步地,所述客户端在所述中转机服务IP列表中选取新的中转机IP作为第二中转机IP,进而客户端的SDK向所述第二中转机IP对应的第二中转机发送新的连接请求,所述SDK若在预设时间内接收到所述第二中转机返回的响应信息,则建立所述SDK与所述第二中转机IP对应的第二中转机之间的通信加密隧道。
另外地,当SDK内存中的中转机服务IP列表中的中转机IP全部失效时,客户端的SDK重新主动向调度中心发起配置请求,从而获取得到新的一组可用的中转机服务IP列表,以等待目标软件程序发起下一次的连接请求。
本发明实施例通过在受到攻击导致当前的中转机无法使用时,能够快速切换其他的中转机中,不需要域名解析的过程,在满足实时性业务需求的同时,对于整体抗DDoS防护流程处于无感知状态,保证源站的持续可用性。
图5是本发明提供的DDoS攻击防御方法的流程示意图之五,如图5所示,在本发明的一个实施例中,建立所述SDK与所述第一中转机之间的通信加密隧道之后,还包括:
步骤S51,在数据传输过程中,所述客户端中的SDK定时向所述第一中转机发送连接测试请求;
步骤S52,所述客户端若在预设时间内未接收到第一中转机返回的连接测试请求对应的第三响应信息,则将所述第一中转机IP标记为失效状态,并断开与所述第一中转机之间的通信连接。
具体地,客户端的SDK在与中转机已经建立好连接后,在数据传输过程中,客户端的SDK会按照预先设置的定时时间向第一中转机发送连接测试请求,定时时间可根据实际情况设置,在此不做具体限制。进一步地,所述客户端的SDK若在预设时间内未接收到第一中转机返回的连接测试请求对应的第三响应信息,SDK则认为所述第一中转机已经失效,进而客户端的SDK会将第一中转机IP标记为失效状态,并断开与所述第一中转机之间的通信连接,从而等待客户端中目标软件程序发起下次的连接请求,进而可在所述中转机服务IP列表中选取新的中转机IP作为第二中转机IP,从而建立起所述SDK与所述第二中转机IP对应的第二中转机之间的通信加密隧道。
本发明实施例通过在数据传输过程中,定时检测当前的中转机的状态,当中转机被流量攻击而无法服务时,可以快速切换其他的中转机中,切换过程不需要域名解析的过程,提高数据通信的安全性,且对于整体抗DDoS防护流程处于无感知状态,保证源站的持续可用性。
图6是本发明提供的DDoS攻击防御方法的流程示意图之六,如图6所示,在本发明的一个实施例中,基于所述客户端的服务IP、服务端口和所述SDK的动态标签,生成配置请求之后,还包括:
步骤S61,所述调度中心获取各个源站的源站IP和源站端口;
步骤S62,所述调度中心基于所述源站IP、源站端口和所述客户端的服务IP,生成中转机配置文件,并将所述中转机配置文件加密下发至所述中转机集群中的预设数据中。
具体地,所述调度中心获取各个源站的源站IP和源站端口,其中,源站端口和客户端的服务端口相同,进一步地,基于所述源站IP、源站端口和所述客户端的服务IP,生成中转机配置文件,进而将所述中转机配置文件加密下发至所述中转机集群中的预设数据中,从而使得中转机可以根据中转机配置文件来进行转发客户端发送的数据,例如,对所述中转机配置文件进行MD5加密。
另外地,第一中转机可周期性定时访问调度中心,从而能够及时更新中转机集群上的中转机配置文件,可选地,可将调度中心中的主服务器存储的中转机配置文件和中转机集群本地已有的中转机配置文件进行对比,如果调度中心中存在中转机集群本地没有的中转机配置文件,中转机集群可从调度中心拉取这些新的中转机配置文件进行缓存。
在一示例中,目标软件程序的名称为 dkplayer,源站IP为220.161.87.62,源站端口为8800,客户端的服务IP为127.0.0.88,中转机配置文件的格式内容具体如下:
upstream dkplayer_tcp {
server 220.161.87.62:8800 max_fails=0 fail_timeout=1s max_conns=100;
}
server{
listen 127.0.0.88:8800;proxy_pass dkplayer_tcp;
access_log "/var/log/Nginx/access.dkplayer_tcp.log" proxy;
}
本发明实施例通过基于所述源站IP、源站端口和所述客户端的服务IP,生成中转机配置文件,并将所述中转机配置文件加密下发至所述中转机集群中的预设数据中,从而使得在数据传输过程,中转机可以依据该中转机配置文件匹配对应的目标源站,进而将客户端上报的数据快速安全传输至目标源站上。
图7是本发明提供的DDoS攻击防御方法的流程示意图之七,如图7所示,在本发明的一个实施例中,基于所述数据通信请求,确定源站服务IP,以将所述数据通信请求中的目标传输数据转发至所述源站服务IP对应的目标源站,并将所述目标源站返回的第一响应信息发送至所述客户端的SDK中,包括:
步骤S71,所述第一中转机基于所述数据通信请求中的服务端口,在所述中转机配置文件中查询得到源站服务IP,以建立与所述源站服务IP对应的目标源站之间的通信连接;
步骤S72,所述第一中转机将所述目标传输数据转发至所述目标源站,并将所述目标源站返回的第一响应信息发送至所述客户端的SDK中。
具体地,所述第一中转机可对所述数据通信请求进行解密,由于客户端的服务端口与源站端口相同,因此,可根据数据通信请求中的服务端口,在所述中转机配置文件中查询匹配得到所述服务端口对应的源站服务IP,进而所述第一中转机可将通信连接请求发送至所述源站服务IP对应的目标源站,在接收到所述目标源站返回的连接响应信息时,建立第一中转机与所述源站服务IP对应的目标源站之间的通信连接。进一步地,在建立连接之后,将解密后得到的目标传输数据转发至所述目标源站,并将所述目标源站返回的第一响应信息发送至所述客户端的SDK中,从而通过SDK将第一响应信息发送至所述客户端中。
另外地,中转机需要定时向调度中心上报数据包,可选地,当第一中转机接收到客户端SDK发送的数据,或者第一中转机与源站建立连接时,所述数据包的内容可以包括源站服务IP、源站端口和客户端的服务IP等信息,当第一中转机未接收到客户端SDK发送的数据时,所述数据包的内容可以是空内容。所述调度中心接收到第一中转机上报的数据包后,会保存第一中转机上报的数据包以及当前的时间戳,若在预设的时长内未接收到第一中转机上报的数据包,调度中心可判定该第一中转机处于失效状态。通过定时监控中转机的状态,当接收到客户端发送的配置请求时,调度中心筛选掉处于失效状态的中转机,也即,调度中心将可用的中转机IP下发至客户端,提高客户端的SDK和中转机之间通信的成功率以及安全性。
本发明实施例通过基于所述数据通信请求中的服务端口,在所述中转机配置文件中查询得到源站服务IP,从而可将数据通过中转机转发至源站上,实现了客户端可直接通过中转机访问源站,有效预防攻击者发动的DDoS攻击。
下面对本发明提供的DDoS攻击防御系统进行描述,下文描述的DDoS攻击防御系统与上文描述的DDoS攻击防御方法可相互对应参照。
图8是本发明提供的DDoS攻击防御系统的结构示意图,包括客户端81、调度中心82和中转机集群83,其中,所述客户端81配置有SDK软件开发工具包,所述中转机集群83包括若干个中转机:
所述客户端81,用于在接收到目标软件程序的启动指令时,获取SDK的动态标签,并基于所述客户端的服务IP、服务端口和所述SDK的动态标签,生成配置请求,向所述调度中心82发送所述配置请求;
所述调度中心82,用于在对所述配置请求验证后,基于所述中转机集群83对应的中转机服务IP,形成中转机服务IP列表,以基于所述中转机服务IP列表、中转机服务端口、所述客户端的服务IP和服务端口,生成SDK配置文件返回至所述客户端81;
所述客户端81,用于基于所述中转机服务IP列表中的第一中转机IP,建立所述SDK与所述第一中转机IP对应的第一中转机之间的通信加密隧道,以将生成的数据通信请求发送至所述第一中转机831;
所述第一中转机831,用于基于所述数据通信请求,确定源站服务IP,以将所述数据通信请求中的目标传输数据转发至所述源站服务IP对应的目标源站84,并将所述目标源站84返回的第一响应信息发送至所述客户端的SDK中。
所述客户端81还用于:
在所述中转机服务IP列表中选取得到第一中转机IP,以将生成的连接请求发送至所述第一中转机IP对应的第一中转机;
若接收到所述第一中转机返回的第二响应信息,则建立所述SDK与所述第一中转机之间的通信加密隧道;
基于所述服务IP、所述服务端口和目标传输数据,生成所述数据通信请求,并将所述数据通信请求通过所述通信加密隧道发送至所述第一中转机。
所述调度中心82还用于:
对所述配置请求进行验证,在验证成功后,基于所述客户端的位置信息,在所述中转机集群对应的中转机服务IP中选取若干个第一中转机IP;
基于各所述第一中转机IP,形成所述形成中转机服务IP列表。
所述客户端81还用于:
若在预设时间内未接收到所述第一中转机返回的第二响应信息,则将所述第一中转机IP标记为失效状态;
在所述中转机服务IP列表中选取得到第二中转机IP,以建立所述SDK与所述第二中转机IP对应的第二中转机之间的通信加密隧道。
所述客户端81还用于:
在数据传输过程中,定时向所述第一中转机发送连接测试请求;
若在预设时间内未接收到第一中转机返回的连接测试请求对应的第三响应信息,则将所述第一中转机IP标记为失效状态,并断开与所述第一中转机之间的通信连接。
所述调度中心82还用于:
获取各个源站的源站IP和源站端口;
基于所述源站IP、源站端口和所述客户端的服务IP,生成中转机配置文件,并将所述中转机配置文件加密下发至所述中转机集群中的预设数据中。
所述第一中转机831还用于:
基于所述数据通信请求中的服务端口,在所述中转机配置文件中查询得到源站服务IP,以建立与所述源站服务IP对应的目标源站之间的通信连接;
将所述目标传输数据转发至所述目标源站,并将所述目标源站返回的第一响应信息发送至所述客户端的SDK中。
在此需要说明的是,本发明实施例提供的上述系统,能够实现上述方法实施例所实现的所有方法步骤,且能够达到相同技术效果,在此不再对本实施例中与方法实施例相同部分及有益效果进行具体赘述。
图9是本发明提供的电子设备的结构示意图,如图9所示,该电子设备可以包括:处理器(processor)910、存储器(memory)920、通信接口(Communications Interface)930和通信总线940,其中,处理器910,存储器920,通信接口930通过通信总线940完成相互间的通信。处理器910可以调用存储器920中的逻辑指令,以执行DDoS攻击防御方法。
此外,上述的存储器920中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的DDoS攻击防御方法。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的DDoS攻击防御方法。
以上所描述的系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (8)

1.一种DDoS攻击防御方法,其特征在于,应用于DDoS攻击防御系统,系统包括调度中心、客户端和中转机集群,其中,所述客户端配置有SDK软件开发工具包,所述中转机集群包括若干个中转机:
所述客户端在接收到目标软件程序的启动指令时,获取SDK的动态标签,并基于所述客户端的服务IP、服务端口和所述SDK的动态标签,生成配置请求,向所述调度中心发送所述配置请求;
所述调度中心在对所述配置请求验证后,基于所述中转机集群对应的中转机服务IP,形成中转机服务IP列表,以基于所述中转机服务IP列表、中转机服务端口、所述客户端的服务IP和服务端口,生成SDK配置文件返回至所述客户端;
所述客户端基于所述中转机服务IP列表中的第一中转机IP,建立所述SDK与所述第一中转机IP对应的第一中转机之间的通信加密隧道,以将生成的数据通信请求发送至所述第一中转机;
所述第一中转机基于所述数据通信请求,确定源站服务IP,以将所述数据通信请求中的目标传输数据转发至所述源站服务IP对应的目标源站,并将所述目标源站返回的第一响应信息发送至所述客户端的SDK中;
所述基于所述中转机服务IP列表中的第一中转机IP,建立所述SDK与所述第一中转机IP对应的第一中转机之间的通信加密隧道,以将生成的数据通信请求发送至所述第一中转机,包括:
所述客户端在所述中转机服务IP列表中选取得到第一中转机IP,以将生成的连接请求发送至所述第一中转机IP对应的第一中转机;
所述客户端若接收到所述第一中转机返回的第二响应信息,则建立所述SDK与所述第一中转机之间的通信加密隧道;
所述客户端基于所述服务IP、所述服务端口和目标传输数据,生成所述数据通信请求,并将所述数据通信请求通过所述通信加密隧道发送至所述第一中转机;
所述将生成的连接请求发送至所述第一中转机IP对应的第一中转机之后,还包括:
所述客户端若在预设时间内未接收到所述第一中转机返回的第二响应信息,则将所述第一中转机IP标记为失效状态;
所述客户端在所述中转机服务IP列表中选取得到第二中转机IP,以建立所述SDK与所述第二中转机IP对应的第二中转机之间的通信加密隧道;
所述方法还包括:
所述第一中转机定时向所述调度中心上报数据包,其中,当所述第一中转机接收到客户端SDK发送的数据,或者所述第一中转机与所述目标源站建立连接时,所述数据包的内容包括源站服务IP、源站端口和客户端的服务IP,当所述第一中转机未接收到客户端SDK发送的数据时,所述数据包的内容是空内容;
所述调度中心接收到第一中转机上报的数据包后,保存第一中转机上报的数据包以及当前的时间戳;
所述调度中心若在预设的时长内未接收到第一中转机上报的数据包,则判定所述第一中转机处于失效状态,以当接收到客户端发送的配置请求时,所述调度中心筛选掉处于失效状态的中转机。
2.根据权利要求1所述的DDoS攻击防御方法,其特征在于,所述在对所述配置请求验证后,基于所述中转机集群对应的中转机服务IP,形成中转机服务IP列表,包括:
所述调度中心对所述配置请求进行验证,在验证成功后,基于所述客户端的位置信息,在所述中转机集群对应的中转机服务IP中选取若干个第一中转机IP;
所述调度中心基于各所述第一中转机IP,形成所述形成中转机服务IP列表。
3.根据权利要求1所述的DDoS攻击防御方法,其特征在于,所述建立所述SDK与所述第一中转机之间的通信加密隧道之后,还包括:
在数据传输过程中,所述客户端中的SDK定时向所述第一中转机发送连接测试请求;
所述客户端若在预设时间内未接收到第一中转机返回的连接测试请求对应的第三响应信息,则将所述第一中转机IP标记为失效状态,并断开与所述第一中转机之间的通信连接。
4.根据权利要求1所述的DDoS攻击防御方法,其特征在于,所述基于所述客户端的服务IP、服务端口和所述SDK的动态标签,生成配置请求之后,还包括:
所述调度中心获取各个源站的源站IP和源站端口;
所述调度中心基于所述源站IP、源站端口和所述客户端的服务IP,生成中转机配置文件,并将所述中转机配置文件加密下发至所述中转机集群中的预设数据中。
5.根据权利要求4所述的DDoS攻击防御方法,其特征在于,所述基于所述数据通信请求,确定源站服务IP,以将所述数据通信请求中的目标传输数据转发至所述源站服务IP对应的目标源站,并将所述目标源站返回的第一响应信息发送至所述客户端的SDK中,包括:
所述第一中转机基于所述数据通信请求中的服务端口,在所述中转机配置文件中查询得到源站服务IP,以建立与所述源站服务IP对应的目标源站之间的通信连接;
所述第一中转机将所述目标传输数据转发至所述目标源站,并将所述目标源站返回的第一响应信息发送至所述客户端的SDK中。
6.一种DDoS攻击防御系统,其特征在于,包括调度中心、客户端和中转机集群,其中,所述客户端配置有SDK软件开发工具包,所述中转机集群包括若干个中转机:
所述客户端,用于在接收到目标软件程序的启动指令时,获取SDK的动态标签,并基于所述客户端的服务IP、服务端口和所述SDK的动态标签,生成配置请求,向所述调度中心发送所述配置请求;
所述调度中心,用于在对所述配置请求验证后,基于所述中转机集群对应的中转机服务IP,形成中转机服务IP列表,以基于所述中转机服务IP列表、中转机服务端口、所述客户端的服务IP和服务端口,生成SDK配置文件返回至所述客户端;
所述客户端,用于基于所述中转机服务IP列表中的第一中转机IP,建立所述SDK与所述第一中转机IP对应的第一中转机之间的通信加密隧道,以将生成的数据通信请求发送至所述第一中转机;
所述第一中转机,用于基于所述数据通信请求,确定源站服务IP,以将所述数据通信请求中的目标传输数据转发至所述源站服务IP对应的目标源站,并将所述目标源站返回的第一响应信息发送至所述客户端的SDK中;
所述客户端在所述中转机服务IP列表中选取得到第一中转机IP,以将生成的连接请求发送至所述第一中转机IP对应的第一中转机;
所述客户端若接收到所述第一中转机返回的第二响应信息,则建立所述SDK与所述第一中转机之间的通信加密隧道;
所述客户端基于所述服务IP、所述服务端口和目标传输数据,生成所述数据通信请求,并将所述数据通信请求通过所述通信加密隧道发送至所述第一中转机;
所述客户端若在预设时间内未接收到所述第一中转机返回的第二响应信息,则将所述第一中转机IP标记为失效状态;
所述客户端在所述中转机服务IP列表中选取得到第二中转机IP,以建立所述SDK与所述第二中转机IP对应的第二中转机之间的通信加密隧道;
所述第一中转机定时向所述调度中心上报数据包,其中,当所述第一中转机接收到客户端SDK发送的数据,或者所述第一中转机与所述目标源站建立连接时,所述数据包的内容包括源站服务IP、源站端口和客户端的服务IP,当所述第一中转机未接收到客户端SDK发送的数据时,所述数据包的内容是空内容;
所述调度中心接收到第一中转机上报的数据包后,保存第一中转机上报的数据包以及当前的时间戳;
所述调度中心若在预设的时长内未接收到第一中转机上报的数据包,则判定所述第一中转机处于失效状态,以当接收到客户端发送的配置请求时,所述调度中心筛选掉处于失效状态的中转机。
7.一种电子设备,包括存储器、处理器及存储在所述存储器上并在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至5任一项所述DDoS攻击防御方法。
8.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述DDoS攻击防御方法。
CN202311080561.2A 2023-08-25 2023-08-25 DDoS攻击防御方法、系统、设备及存储介质 Active CN116827684B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311080561.2A CN116827684B (zh) 2023-08-25 2023-08-25 DDoS攻击防御方法、系统、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311080561.2A CN116827684B (zh) 2023-08-25 2023-08-25 DDoS攻击防御方法、系统、设备及存储介质

Publications (2)

Publication Number Publication Date
CN116827684A CN116827684A (zh) 2023-09-29
CN116827684B true CN116827684B (zh) 2023-11-21

Family

ID=88114803

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311080561.2A Active CN116827684B (zh) 2023-08-25 2023-08-25 DDoS攻击防御方法、系统、设备及存储介质

Country Status (1)

Country Link
CN (1) CN116827684B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106302313A (zh) * 2015-05-14 2017-01-04 阿里巴巴集团控股有限公司 基于调度系统的DDoS防御方法和DDoS防御系统
CN107104929A (zh) * 2016-02-23 2017-08-29 阿里巴巴集团控股有限公司 防御网络攻击的方法、装置和系统
CN107306255A (zh) * 2016-04-21 2017-10-31 阿里巴巴集团控股有限公司 防御流量攻击方法、预设列表生成方法、装置及清洗设备
CN110855633A (zh) * 2019-10-24 2020-02-28 华为终端有限公司 分布式拒绝服务ddos攻击的防护方法、装置及系统
CN111787038A (zh) * 2019-04-04 2020-10-16 华为技术有限公司 一种提供边缘服务的方法、系统及计算设备

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110545541B (zh) * 2019-09-20 2023-06-23 百度在线网络技术(北京)有限公司 防御攻击行为的方法、装置、设备、终端和介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106302313A (zh) * 2015-05-14 2017-01-04 阿里巴巴集团控股有限公司 基于调度系统的DDoS防御方法和DDoS防御系统
CN107104929A (zh) * 2016-02-23 2017-08-29 阿里巴巴集团控股有限公司 防御网络攻击的方法、装置和系统
CN107306255A (zh) * 2016-04-21 2017-10-31 阿里巴巴集团控股有限公司 防御流量攻击方法、预设列表生成方法、装置及清洗设备
CN111787038A (zh) * 2019-04-04 2020-10-16 华为技术有限公司 一种提供边缘服务的方法、系统及计算设备
CN110855633A (zh) * 2019-10-24 2020-02-28 华为终端有限公司 分布式拒绝服务ddos攻击的防护方法、装置及系统

Also Published As

Publication number Publication date
CN116827684A (zh) 2023-09-29

Similar Documents

Publication Publication Date Title
EP2892209B1 (en) Method, apparatus, and system for transmitting media data based on OTT
CN108401011B (zh) 内容分发网络中握手请求的加速方法、设备及边缘节点
CN113099443B (zh) 设备认证方法、装置、设备和系统
US20190052482A1 (en) Method and System Used by Terminal to Connect to Virtual Private Network, and Related Device
EP3633949B1 (en) Method and system for performing ssl handshake
US20070274525A1 (en) Encrypted communication system, communication status management server, encrypted communication method, and communication status management method
CN102143487B (zh) 一种端对端会话密钥协商方法和系统
JPH07107083A (ja) 暗号通信システム
US20190166042A1 (en) Method for data transmitting, centralized controller, forwarding plane device and communication apparatus
CN107635227B (zh) 一种群组消息加密方法及装置
CN106657134B (zh) 稳定通信的方法、系统、挖矿服务器和客户端
WO2021008591A1 (zh) 数据传输方法、装置及系统
CN114938312B (zh) 一种数据传输方法和装置
CN109525620B (zh) 一种消息推送系统、方法及装置
CN112152914A (zh) 一种基于北斗短报文的即时通信方法以及系统
CN115766119A (zh) 通信方法、装置、通信系统及存储介质
US20240157893A1 (en) Vehicle-mounted relay device, management device, vehicle-mounted system, and communication management method
CN116827684B (zh) DDoS攻击防御方法、系统、设备及存储介质
CN108900584B (zh) 内容分发网络的数据传输方法和系统
CN109587163B (zh) 一种dr模式下的防护方法和装置
JPH07107084A (ja) 暗号通信システム
CN108259621B (zh) 一种针对网吧的https内容的审计方法和装置
KR101315681B1 (ko) 클라우드 컴퓨팅 환경에서의 정보 처리 장치 및 정보 처리 방법
CN101753353B (zh) 基于SNMP的安全管理方法、Trap报文的处理方法及装置
CN108322941B (zh) 信息通信方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant