CN117896173A - 一种服务器ddos攻击防御方法及存储介质 - Google Patents

Abstract

本发明涉及一种服务器DDOS攻击防御方法及存储介质，该方法包括以下步骤：实时判断单位时间内访问请求是否达门限值，若是，则将超过门限值的访问请求送入循环信道，循环信道启动新的堵塞处理节点进行请求处理，若否，则所有访问请求由原有的堵塞处理节点进行请求处理；所述请求处理具体包括：获取访问请求中的访问IP和访问账号，根据与常用IP地址簿的对比，确定所述访问IP是否为常用IP，根据与账号簿的对比，确定所述访问账号是否为真实账号，在访问IP为常用IP且访问账号为真实账号时，将访问请求通过常用通信信道发送到目标服务器。与现有技术相比，本发明具有精准防御DDOS攻击服务器IP、防御DDOS攻击普适性高等优点。

Description

一种服务器DDOS攻击防御方法及存储介质

技术领域

本发明涉及计算机系统和网络安全领域，尤其是涉及一种服务器DDOS攻击防御方法。

背景技术

DDOS(Distributed Denial of Service，分布式阻断服务)攻击是指分布式拒绝服务攻击，分布式拒绝服务攻击通过使用多台计算机在同一时间进行攻击，使攻击的目标无法正常使用。分布式拒绝服务攻击是目前比较常见的黑客攻击方式，已导致多个的大型网站出现无法进行操作的情况，这样不仅会影响用户的正常使用，同时也会造成巨大的经济损失。因为分布式拒绝服务攻击方式在进行攻击时，可以对源IP地址进行伪造，提高攻击的隐蔽性，大大增加了防御的难度。

目前现有针对DDOS攻击常用的防御方法有以下3种：

1、通过DDOS硬件防火墙对异常流量的清洗过滤，通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常，进一步将异常流量禁止过滤。

2、在每个节点服务器配置多个IP地址，并且每个节点能承受不低于10G的DDOS攻击，如一个节点受攻击无法提供服务，系统将会根据优先级设置自动切换另一个节点，并将攻击者的数据包全部返回发送点，使攻击源成为瘫痪状态，避免持续攻击。

3、通过智能DNS解析能力，根据用户的上网路线将请求解析到用户所属网络的服务器，避免攻击单一节点。

但现有方案无法区分DDOS攻击服务器的IP与正常用户的IP；服务器在防御DDOS攻击时，解析IP地址需要大量的计算，对服务器的计算能力有较高的要求，不适用于普通的服务器。综上所述，现有的常规技术存在如下不足缺点：

1、无法将DDOS攻击服务器的IP与正常用户的IP区分，对DDOS攻击进行防御时会敌我不分，将正常用户的IP过滤掉或屏蔽掉，使部分正常用户不能访问服务器，降低了服务器的访问效率。

2、服务器在防御将DDOS攻击时，解析IP地址需要大量的计算，对服务器的计算能力有较高的要求，不适用于普通的服务器。

发明内容

本发明的目的是提供一种服务器DDOS攻击防御方法，以解决精准防御DDOS攻击服务器IP、普通服务器如何防御DDOS攻击的技术问题。

本发明的目的可以通过以下技术方案来实现：

一种服务器DDOS攻击防御方法，该方法包括以下步骤：

实时判断单位时间内访问请求是否达门限值，若是，则将超过门限值的访问请求送入循环信道，循环信道启动新的堵塞处理节点进行请求处理，未超过门限值的访问请求由原有的堵塞处理节点进行请求处理，若否，则所有访问请求由原有的堵塞处理节点进行请求处理；

所述请求处理具体包括：

获取访问请求中的访问IP和访问账号，根据与常用IP地址簿的对比，确定所述访问IP是否为常用IP，根据与账号簿的对比，确定所述访问账号是否为真实账号，在访问IP为常用IP且访问账号为真实账号时，将访问请求通过常用通信信道发送到目标服务器。

进一步地，所述循环信道根据访问请求量启动一个或多个新的堵塞处理节点。

进一步地，所述常用IP地址簿通过预设和自学习方式进行更新。

进一步地，所述常用IP地址簿通过自学习方式进行更新具体为：

若常用IP地址簿中的某个IP的单位时间访问数量超过设定值，则将该IP从常用IP地址簿中剔除；

若某个IP未存储于常用IP地址簿中，但对应的单位时间访问数量未超过设定值，则将该IP添加到常用IP地址薄中。

进一步地，确定所述访问IP是否为常用IP具体包括：

判断所述访问IP是否存储于常用IP地址簿中，若是，则判定该访问IP为常用IP，若否，则判断该访问IP的单位时间访问数量是否超过设定值，若是，则判定该访问IP为僵尸IP，执行切断处理，若否，则将该访问IP添加到常用IP地址薄中，判定该访问IP为常用IP。

进一步地，所述切断处理具体包括：

收集所述僵尸IP对应的访问请求，在访问请求量达到设定值后连续将收集的所有访问请求发给对应的僵尸IP，切断与僵尸机的通信。

进一步地，所述切断处理具体还包括：

发送信号降低或关闭常用通信信道的带宽，将带宽分配到预留通信通道，以传输正常用户的访问请求。

进一步地，在确定所述访问账号为真实账号后，依据账号优先级，对真实账号的访问请求按序转发。

进一步地，在判定所述访问账号为非法账号后，将对应的访问请求丢弃并返回账号错误信息。

本发明还提供一种计算机可读存储介质，包括供电子设备的一个或多个处理器执行的一个或多个程序，所述一个或多个程序包括用于执行如上所述服务器DDOS攻击防御方法的指令。

与现有技术相比，本发明具有以下有益效果：

1、本发明通过设置循环信道，并在循环信道中设置多个可以分流的堵塞处理节点，在目标服务器受到DDOS攻击时，多个堵塞处理节点可以将众多的访问请求进行分流处理，堵塞处理节点从访问请求中筛选出正常用户的真实访问请求，在循环的过程中，使真实访问请求正常访问目标服务器，并在DDOS攻击的访问请求堆积到一定数量后再连续发送至对应的僵尸机，以占用僵尸机的带宽，使僵尸机不能继续向目标服务器发送访问请求，以从僵尸机处防御DDOS攻击，可以在目标服务器受到DDOS攻击时，提高正常用户访问目标服务器的访问效率。

2、本发明可以利用自更新的常用IP地址簿与预设的账号簿有效的区分DDOS攻击访问请求与正常用户的真实访问请求，避免了将正常用户的真实访问请求当作DDOS攻击的访问请求丢弃掉，并DDOS攻击的访问请求当作正常用户的访问请求，进行对应反馈处理，提高正常用户访问目标服务器的访问效率。

3、本发明堵塞处理节点通过预先设置的IP地址簿与真实账号簿从访问请求中筛选出真实用户的访问请求，在判断访问请求的访问IP是否为常用IP是根据IP地址簿对比确定的，且判断请求访问的访问账号是否为真实账号时，也是根据账号簿对比确定的，减少了对访问请求的计算量，进而降低了对服务器的计算能力的要求，使计算能力一般的服务器也能有效防御DDOS攻击，提高了防御DDOS攻击的普适性。

附图说明

图1为本发明的原理示意图；

图2为DDOS攻击防御流程图；

图3为常规访问流程图；

图4为DDoS攻击处理流程图；

图5为常用IP判断流程图；

图6为真实账号验证流程图；

图7为循环信道处理流程图。

具体实施方式

下面结合附图和具体实施例对本发明进行详细说明。本实施例以本发明技术方案为前提进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。

本实施例提供一种服务器DDOS攻击防御方法，参考图1和图2所示，该方法包括以下步骤：实时判断单位时间内访问请求是否达门限值，若是，则将超过门限值的访问请求送入循环信道，循环信道启动新的堵塞处理节点进行请求处理，即在目标服务器受到DDOS攻击时，一个或多个新的堵塞处理节点可以将众多的访问请求进行分流处理，未超过门限值的访问请求由原有的堵塞处理节点进行请求处理，若否，则所有访问请求由原有的堵塞处理节点进行请求处理。上述方法通过循环信道中的堵塞处理节点，对DDOS攻击的访问请求进行分流处理，并减少每个堵塞处理节点的处理数量，避免每个堵塞处理节点处对堆积大量的访问请求，导致堵塞处理节点拥挤，降低堵塞处理节点的效率，进而降低正常用户访问目标服务器的访问效率。

每个堵塞处理节点对每个访问请求的请求处理具体包括：获取访问请求中的访问IP和访问账号，根据与自更新的常用IP地址簿的对比，确定所述访问IP是否为常用IP，根据与预先设置的账号簿的对比，确定所述访问账号是否为真实账号，在访问IP为常用IP且访问账号为真实账号时，即在筛选出真实用户的访问请求时，将访问请求通过常用通信信道发送到目标服务器，以在防御DDOS攻击的同时，提高正常用户访问目标服务器的访问效率。上述请求处理过程中，堵塞处理节点在判断访问请求的访问IP是否为常用IP时，是通过与预设的IP地址簿进行查找处理的，判断访问账号是否为真实账号时，也是从账号簿中查找的，不需要太多的计算量，可以适用于计算能力较差的普通的服务器。

堵塞处理节点处理的流程包括常规访问流程和受到DDoS攻击时的处理流程。

用户常规访问时堵塞处理节点主要进行常用IP检测和真实账号检测流程，并在访问量过大时通过循环信道进行流量分流，提高堵塞处理节点处理能力，具体流程如图3所示，包括以下步骤：

(1)堵塞处理节点接收访问请求。

(2)判断访问请求的IP地址是否在常用IP地址簿中。

(3)是则解析访问请求中的账号，并与预先设置的账号簿进行比对。

(4)如果账号有效，则使用常用通信信道发送访问请求到目标服务器。

(5)如果正常用户访问量较大，可以利用循环信道中的多个堵塞处理节点来协调处理请求，以减少通信信道的拥塞。

在受到DDOS攻击时，由于从众多访问请求中，快速将分辨出哪些IP是僵尸机的IP，哪些是正常用户的IP，所以在受到DDOS攻击是，堵塞处理节点先向目标服务器发送减少或关闭常用通信信道的带宽，将通信信道的带宽分配至预留通信通道，使预留通信通道传输正常用户的访问请求，具体流程如图4所示，包括以下步骤：

(1)堵塞处理节点判断单位时间访问请求数量是否超限，超过门限的请求将被循环处理。

(2)在循环处理期间，堵塞处理节点识别常用IP，验证账号的真实性，标记可访问目标服务器的真实访问请求。

(3)对于不是常用IP的访问请求识别为僵尸IP，堵塞处理节点收集其请求，到一定量后连续性发送给对应的僵尸IP，占用其通信信道，切断与僵尸机的通信，以防止DDoS攻击。

(4)堵塞处理节点发送信号降低或关闭常用通信信道的带宽，将带宽分配到预留通信通道，传输正常用户的访问请求。

(5)对于是常用IP但账号无效的请求，堵塞处理节点丢弃请求并发送账号错误信息。

(6)真实用户的访问请求通过预留通信通道传输到目标服务器。

上述过程中使用的常用IP地址簿主要用来过滤可能的DDoS攻击僵尸机IP，可通过预设和自学习方式进行更新。常用IP地址簿通过自学习方式进行更新具体为：若常用IP地址簿中的某个IP的单位时间访问数量超过设定值，则将该IP从常用IP地址簿中剔除；若某个IP未存储于常用IP地址簿中，但对应的单位时间访问数量未超过设定值，则将该IP添加到常用IP地址薄中。本实施例中，单位时间访问数量具体的设定值可为1分钟内访问100次，如果超过这个数量则判定为僵尸机，将从常用IP地址薄中删除该IP，如果低于这个数量则添加到常用IP地址薄。

参考图5所示，基于自更新的常用IP地址簿判断常用IP具体包括：

(1)堵塞处理节点获取目标服务器的访问日志，提取常用IP地址，形成常用IP地址簿。

(2)解析访问请求，提取访问IP，与常用IP地址簿匹配，确定是否为常用IP。

(3)是常用IP则正常转发请求，如果不是则进行自学习判断。

(4)判断是否超过预设的单位时间访问数量。

(5)超过则将其从常用IP地址薄中删除并识别为僵尸IP，切断与其的通信，防止DDoS攻击。如果没有超过则将IP添加到常用IP地址薄。

堵塞处理节点在检测出僵尸IP时，收集每个僵尸IP的访问请求，并在收集到一定数量后连续性地发送给对应的僵尸IP，以占用僵尸机与堵塞处理节点之间的通信信道，使识别出的僵尸机不能再向堵塞讲处理节点发送DDOS攻击，以及时切断与僵尸机之间的通信信道，进而防御僵尸机的DDOS攻击，并可以使正常用户的访问请求正常访问目标服务器，以使目标服务器在受到DDOS攻击时，提高目标服务器的访问效率。

上述过程基于账号簿的对比，确定访问账号是否为真实账号，以用来验证访问请求是否为合法用户发起，避免僵尸机DDoS攻击。本实施例中，真实账号可以为该目标服务器中已有APP中需要的账号，例如，储存账号、游戏账号、聊天工具账号、网站账号等。通过预设账户名称、授权时段和访问优先级到账号薄，在用户访问时根据请求信息的账户名称与账号薄进行比对，并依据账号优先级按序进行访问，账号优先级依据授权时段和访问优先级确定。如图6所示，真实账号验证流程具体包括：

(1)预设真实账号信息到账号薄。

(2)堵塞处理点通过解析请求信息获取账号。

(3)判断账号的真实性时，根据每个APP的可登录时间确定权重，优先处理具有限制登录时间的APP账号。

(4)根据账号优先级对已知的真实账号进行排序。

(5)真实账号的访问请求按照排序通过常用通信信道访问目标服务器。非法账号则将丢弃并返回账号错误信息。

账号优先级可根据应用需求进行动态调整，例如在选课时，选课网站的账号的优先权最高，即使在报名时目标服务器遭受DDOS攻击，各考生仍可以通过选课网站账号的优先权，顺利登陆选课网站进行报名。

在判断账号的真实性时，需要根据每个APP的可登录时间确定每个APP的登陆权重，以使登陆时间有限制的APP的账号优先登陆，也即，在判断访问账号为真实账号时，根据访问账号的优先紧急程度，对已确定的真实账号进行排序，以使在规定时间内开放的账号优先登陆，避免用户错过登陆时间，以提高用户的体验感。

上述过程中，循环信道主要用来进行处理高并发请求场景，避免因流量过大而影响请求处理，通过预设循环信道门限，在流量增大超过门限时自动启用新的堵塞处理节点进行流量处理，增大处理能力。如图7所示，循环信道的处理流程包括：

(1)预设循环信道门限到堵塞处理点。

(2)堵塞处理节点统计单位时间流量是否超过循环信道门限。

(3)超过门限请求将被送到循环信道，循环信道启动新的堵塞处理节点进行请求处理。没有超过则将请求正常转发。

在堵塞处理节点处设置单位时间内访问请求的最大数量门限，在单位时间内通过堵塞处理节点的访问请求的数量大于最大数量门限时，控制访问请求到循环信道内循环，启用循环信道内的多个堵塞处理节点处理访问请求，其中，循环信道内设置多个堵塞处理节点。

上述方法如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上详细描述了本发明的较佳具体实施例。应当理解，本领域的普通技术人员无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此，凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案，皆应在由权利要求书所确定的保护范围内。

Claims (10)

1.一种服务器DDOS攻击防御方法，其特征在于，该方法包括以下步骤：

实时判断单位时间内访问请求是否达门限值，若是，则将超过门限值的访问请求送入循环信道，循环信道启动新的堵塞处理节点进行请求处理，未超过门限值的访问请求由原有的堵塞处理节点进行请求处理，若否，则所有访问请求由原有的堵塞处理节点进行请求处理；

所述请求处理具体包括：

获取访问请求中的访问IP和访问账号，根据与常用IP地址簿的对比，确定所述访问IP是否为常用IP，根据与账号簿的对比，确定所述访问账号是否为真实账号，在访问IP为常用IP且访问账号为真实账号时，将访问请求通过常用通信信道发送到目标服务器。

2.根据权利要求1所述的服务器DDOS攻击防御方法，其特征在于，所述循环信道根据访问请求量启动一个或多个新的堵塞处理节点。

3.根据权利要求1所述的服务器DDOS攻击防御方法，其特征在于，所述常用IP地址簿通过预设和自学习方式进行更新。

4.根据权利要求3所述的服务器DDOS攻击防御方法，其特征在于，所述常用IP地址簿通过自学习方式进行更新具体为：

若常用IP地址簿中的某个IP的单位时间访问数量超过设定值，则将该IP从常用IP地址簿中剔除；

若某个IP未存储于常用IP地址簿中，但对应的单位时间访问数量未超过设定值，则将该IP添加到常用IP地址薄中。

5.根据权利要求1所述的服务器DDOS攻击防御方法，其特征在于，确定所述访问IP是否为常用IP具体包括：

判断所述访问IP是否存储于常用IP地址簿中，若是，则判定该访问IP为常用IP，若否，则判断该访问IP的单位时间访问数量是否超过设定值，若是，则判定该访问IP为僵尸IP，执行切断处理，若否，则将该访问IP添加到常用IP地址薄中，判定该访问IP为常用IP。

6.根据权利要求5所述的服务器DDOS攻击防御方法，其特征在于，所述切断处理具体包括：

收集所述僵尸IP对应的访问请求，在访问请求量达到设定值后连续将收集的所有访问请求发给对应的僵尸IP，切断与僵尸机的通信。

7.根据权利要求5所述的服务器DDOS攻击防御方法，其特征在于，所述切断处理具体还包括：

发送信号降低或关闭常用通信信道的带宽，将带宽分配到预留通信通道，以传输正常用户的访问请求。

8.根据权利要求1所述的服务器DDOS攻击防御方法，其特征在于，在确定所述访问账号为真实账号后，依据账号优先级，对真实账号的访问请求按序转发。

9.根据权利要求1所述的服务器DDOS攻击防御方法，其特征在于，在判定所述访问账号为非法账号后，将对应的访问请求丢弃并返回账号错误信息。

10.一种计算机可读存储介质，其特征在于，包括供电子设备的一个或多个处理器执行的一个或多个程序，所述一个或多个程序包括用于执行如权利要求1-9任一所述服务器DDOS攻击防御方法的指令。