WO2015078388A1

WO2015078388A1 - 针对拒绝服务攻击的处理方法及装置

Info

Publication number: WO2015078388A1
Application number: PCT/CN2014/092388
Authority: WO
Inventors: 何振科; 赵武
Original assignee: 北京奇虎科技有限公司; 奇智软件（北京）有限公司
Priority date: 2013-11-29
Filing date: 2014-11-27
Publication date: 2015-06-04
Also published as: CN103618718B; CN103618718A

Abstract

本发明公开了一种针对拒绝服务攻击的处理方法及装置，该方法包括：确定第一服务器受到拒绝服务攻击；获取位于所述第一服务器上的多个网站，在所述多个网站中分别确定受到攻击的网站和/或没有受到攻击的网站；将所述受到攻击的网站的域名解析至第二服务器对应的IP地址，所述第二服务器为抗攻击的服务器。本发明能够解决由于DOS攻击造成的网络系统资源的匮乏而导致的合法的用户请求无法通过的问题。

Description

针对拒绝服务攻击的处理方法及装置

技术领域

本发明涉及互联网络技术领域，尤其涉及一种针对拒绝服务攻击的处理方法及装置。

背景技术

拒绝服务(Denial Of Service，DoS)攻击几乎是从互联网络的诞生以来，就伴随着互联网络的发展而一直存在也不断发展和升级。DoS是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务资源停止响应甚至崩溃，这些服务资源包括网络带宽、文件系统空间容量、开放的进程或者允许的连接。这种DoS攻击会导致网络系统资源的匮乏，无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果，最终导致合法的用户请求无法通过。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决或者减缓上述问题的针对拒绝服务攻击的处理方法和相应的装置。

根据本发明的一个方面，提供了一种针对拒绝服务攻击的处理方法，包括：确定第一服务器受到拒绝服务攻击；获取位于所述第一服务器上的多个网站，在所述多个网站中分别确定受到攻击的网站和/或没有受到攻击的网站；将所述受到攻击的网站的域名解析至第二服务器对应的IP(Internet Protocol，网际协议)地址，所述第二服务器为抗攻击的服务器。

根据本发明的另一个方面，提供了一种针对拒绝服务攻击的处理装置，包括：

检测模块，用于确定第一服务器受到拒绝服务攻击；

确定模块，用于获取位于所述第一服务器上的多个网站，在所述多个网站中分别确定受到攻击的网站和/或没有受到攻击的网站；

修改模块，用于将所述受到攻击的网站的域名解析至第二服务器对应的IP地址，所述第二服务器为抗攻击的服务器。

根据本发明的又一个方面，提供了一种计算机程序，其包括计算机可读代码，当所述计算机可读代码在计算设备上运行时，导致所述计算设备执行根据上文任一个所述的针对拒绝服务攻击的处理方法。

根据本发明的再一个方面，提供了一种计算机可读介质，其中存储了上述的计算机程序。

本发明的有益效果为：

本发明实施例在确定第一服务器受到拒绝服务攻击时，获取位于所述第一服务器上的多个网站，在所述多个网站中分别确定受到攻击的网站和/或没有受到攻击的网站，将所述受到攻击的网站的域名解析至抗攻击的第二服务器对应的IP地址。由此可知，本发明可以将对第一服务器发起拒绝服务攻击时的访问流量转移到抗攻击的服务器上，不仅保证了合法用户对没有受到攻击的网站的访问，而且也保证了合法用户对受到攻击的网站的访问。因此，本发明能够解决在第一服务器遭受DOS攻击时造成的网络系统资源的匮乏而导致的合法的用户请求无法通过的问题。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1为本发明一实施例提供的针对拒绝服务攻击的处理方法的流程示意图；

图2为本发明另一实施例提供的针对拒绝服务攻击的处理方法的流程示意图；

图3为本发明又一实施例提供的针对拒绝服务攻击的处理方法的流程示意图；

图4为本发明一实施例提供的针对拒绝服务攻击的处理装置的结构示意图；

图5示意性地示出了用于执行根据本发明的针对拒绝服务攻击的处理方法的计算设备的框图；以及

图6示意性地示出了用于保持或者携带实现根据本发明的针对拒绝服务攻击的处理方法的程序代码的存储单元。

具体实施方式

下面结合附图和具体的实施方式对本发明作进一步的描述。

图1为本发明一实施例提供的针对拒绝服务攻击的处理方法的流程示意图，如图1所述，本实施例的方法包括以下至少101至103。

101、确定第一服务器受到拒绝服务攻击。

举例来说，本发明实施例中，为网站提供保护的服务平台(如网站保护服务器)可以确定第一服务器是否受到拒绝服务攻击，其中，服务平台提供的服务具体包括网站防火墙、DOS保护、智能域名解析系统(Domain Name System，DNS)等服务。

在本发明的一种可选的实施方式中，步骤101可以采用多种方式来实现，如检测第一服务器的系统资源占用率或网络带宽占用率的方式，下面对这两种方式进行详细介绍。

方式一、检测第一服务器的系统资源占用率的方式。在该方式中，网站保护服务器检测到第一服务器的系统资源占用率超过第一预定阈值时，确定第一服务器受到拒绝服务攻击，其中，第一预定阈值可以是第一服务器根据自身的硬件配置参数预先设置的系统资源占用率的比例阈值(如80％)，假设第一服务器当前的系统资源占用率超过80％，则可以确定第一服务器受到拒绝服务攻击。

方式二、检测第一服务器的网络带宽占用率的方式。在该方式中，网站保护服务器检测到第一服务器的网络带宽占用率超过第二预定阈值时，确定第一服务器受到拒绝服务攻击，其中，第二预定阈值可以是第一服务器根据与网络运营商之间的签约网络带宽预先设置的网络带宽占用率的比例阈值(如100％)，假设第一服务器当前的网络带宽占用率超过签约网络带宽的100％，则可以确定第一服务器受到拒绝服务攻击。

在实际应用中，当第一服务器遭受流量攻击时，会发现利用远程终端连接第一服务器会失败。或者，在第一服务器上使用Netstat-na命令，假设有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在，而ESTABLISHED很少，则可判定第一服务器是遭受了资源耗尽等拒绝服务攻击。或者，第一服务器可以统计接收的某一类攻击报文的频度是否大于预先设置的阀值，若大于则表示攻击发生。又或者，第一服务器可以分析接收的报文是否具有攻击报文的特征，来判断是否有攻击发生。或者，第一服务器可以对正常情况下的流量特征进行提取，然后实时检测当前的流量特征，与正常流量的特征进行对比，若有明显差异，则表明可能受到了攻击。

102、获取位于所述第一服务器上的多个网站，在所述多个网站中分别确定受到攻击的网站和/或没有受到攻击的网站。

举例来说，第一服务器中存放有多个网站，其中，每个网站对应一个域名，当用户对网站发起访问请求时，网站保护服务器可以根据访问请求中的域名，将该网站的域名解析到第一服务器对应的IP地址，为此，网站保护服务器中设置有上述多个网站的域名与第一服务器的IP地址之间的对应关系。

在本发明的一种可选的实施方式中，网站保护服务器根据预设的多个网站的域名与第一服务器的IP地址之间的对应关系，可以分别获取多个网站的域名，并在所述多个网站中分别确定受到攻击的网站和/或没有受到攻击的网站，具体实现时包括：

分别检测对所述多个网站中的每一个网站发起的报文流量，判断所述报文流量是否超过所述网站对应的流量阈值，若是，则确定所述网站受到攻击，否则确定所述网站没有受到攻击。

在实际应用中，也可以通过Ping命令来测试网站是否遭受攻击，假设发现Ping超时或丢包严重，则该网站可能遭受了流量攻击。

103、将所述受到攻击的网站的域名解析至第二服务器对应的IP地址，所述第二服务器为抗攻击的服务器。

当第一服务器遭受攻击时，为了保证合法用户可以正常访问位于第一服务器上的所有网站(包括受到攻击的网站)，本实施例中，网站保护服务器可以将受到攻击的网站的域名解析到抗攻击的第二服务器对应的IP地址，也就是说，修改DNS中网站域名和IP地址之间的对应关系，将原先网站域名和第一服务器的IP地址之间的对应关系修改为网站域名和第二服务器的IP地址之间的对应关系。为此，网站保护服务器中预先设置有第一服务器的 IP地址(如192.168.1.100)与抗攻击的第二服务器的IP地址之间的对应关系(如192.168.1.200)。

这里抗攻击的第二服务器例如具有充足的网络带宽保证，高配置的硬件特征的，增强操作系统的TCP/IP栈，至少能够有效对抗每秒10万个攻击包。

在本发明的一种可选的实施方式中，图2为本发明另一实施例提供的针对拒绝服务攻击的处理方法的流程示意图，如图2所示，步骤103之后还包括以下104。

104、将所述没有受到攻击的网站的域名解析至第三服务器对应的IP地址，所述第三服务器为高优先级服务器。

在实际应用中，当第一服务器受到攻击时，尽管将受到攻击的网站的域名解析至第二服务器对应的IP地址，然而第一服务器中的访问流量不能立即得到下降，为了保证合法用户可以正常访问位于第一服务器上的所有网站(包括没有受到攻击的网站)，可以采用备用服务器的方式。例如网站保护服务器预先设置有备用的服务器，每个备用服务器的优先级可以不相同，优选的，可以将没有受到攻击的网站的域名解析至高优先级的第三服务器对应的IP地址。

为此，网站保护服务器中预先设置有第一服务器的IP地址与备用的服务器的IP地址之间的对应关系，其中，备用的服务器可以有多个，每个备用的服务器的优先级可以是不同的，如表1所示的第一服务器与备用的服务器之间的对应关系：

其中，如表1所示，本实施例高优先级的第三服务器可以是具有高优先级的第一备用服务器，具有充足的网络带宽保证，高配置的硬件特征的，增强的操作系统的TCP/IP栈。

在本发明的一种可选的实施方式中，图3为本发明又一实施例提供的针对拒绝服务攻击的处理方法的流程示意图，如图3所示，步骤103之后还包括以下105。

105、获取对第一服务器发起拒绝服务攻击的攻击方的IP地址，将所述攻击方的IP地址加入黑名单进行屏蔽。

举例来说，可以使用攻击源追踪定位技术快速找出攻击方真实位置(如攻击方的IP地址)。在实际应用中，攻击方通常伪造源IP地址，且数据包的路由既有很强的无序性，但是，每个数据包都必须经过从攻击方到目标机(本实施例的第一服务器)之间的路由转发，因此，通过路由器对转发数据包进行标记或记录，即可实现攻击路径的重构，具体例如可以采用基于日志记录的追踪技术(Hash-based)和基于边采用的概率包标记技术(PPM)。关于日志记录的追踪技术和基于边采用的概率包标记技术可以是现有技术，本发明对此不作限定。

之后，将攻击方的IP地址加入黑名单进行屏蔽。以便后续在检测到黑名单中的IP地址对第一服务器发起的访问请求时可以对该该访问请求进行限制，可以预防对第一服务器的DOS攻击。

在本发明的一种可选的实施方式中，步骤103之后还包括：当确定所述第一服务器不再受到拒绝服务攻击，且确定所述受到攻击的网站不再被攻击时，将所述受到攻击的网站的域名解析从所述第二服务器对应的IP地址重新解析至所述第一服务器对应的IP地址。

举例来说，当确定所述第一服务器不再受到拒绝服务攻击，且确定所述受到攻击的网站不再被攻击时，网站保护服务器可以修改DNS中网站域名和IP地址之间的对应关系，将受到攻击的网站的域名重新解析到第一服务器对应的IP地址。

在本发明的一种可选的实施方式中，步骤104之后还包括：当确定所述第一服务器没有受到拒绝服务攻击，将所述没有受到攻击的网站的域名解析从所述第三服务器对应的IP地址重新解析至所述第一服务器对应的IP地址。

本发明实施例在确定第一服务器受到拒绝服务攻击时，获取位于所述第一服务器上的多个网站，在所述多个网站中分别确定受到攻击的网站和/或没有受到攻击的网站，将所述受到攻击的网站的域名解析至抗攻击的第二服务器对应的IP地址。本发明可以将对第一服务器发起拒绝服务攻击时的访问流量转移到抗攻击的服务器上，不仅保证了合法用户对没有受到攻击的网站的访问，而且也保证了合法用户对受到攻击的网站的访问。因此，本发明能够解决在第一服务器遭受DOS攻击时造成的网络系统资源的匮乏而导致的合法的用户请求无法通过的问题。

进一步地，本发明实施例通过获取对第一服务器发起拒绝服务攻击的攻击方的IP地址，将所述攻击方的IP地址加入黑名单进行屏蔽，以便后续在检测到黑名单中的IP地址对第一服务器发起的访问请求时可以对该访问请求进行限制，可以预防对第一服务器的DOS攻击。

图4为本发明一实施例提供的针对拒绝服务攻击的处理装置的结构示意图，如图4所示，包括：

检测模块41，用于确定第一服务器受到拒绝服务攻击；

确定模块42，用于获取位于所述第一服务器上的多个网站，在所述多个网站中分别确定受到攻击的网站和/或没有受到攻击的网站；

修改模块43，用于将所述受到攻击的网站的域名解析至第二服务器对应的IP地址，所述第二服务器为抗攻击的服务器。

其中：所述修改模块43，还用于将所述没有受到攻击的网站的域名解析至第三服务器对应的IP地址，所述第三服务器为高优先级服务器。

其中：所述检测模块41，具体用于检测到所述第一服务器的系统资源占用率超过第一预定阈值或所述第一服务器的网络带宽占用率超过第二预定阈值时，确定第一服务器受到拒绝服务攻击。

其中：所述确定模块42，具体用于分别检测对所述多个网站中的每一个网站发起的报文流量，判断所述报文流量是否超过所述网站对应的流量阈值，若是，则确定所述网站受到攻击，否则确定所述网站没有受到攻击。

其中：所述修改模块43，还用于获取对第一服务器发起拒绝服务攻击的攻击方的IP地址，将所述攻击方的IP地址加入黑名单进行屏蔽。

其中：所述修改模块43，还用于在确定所述第一服务器没有受到拒绝服务攻击，且确定所述受到攻击的网站不再被攻击时，将所述受到攻击的网站的域名解析从所述第二服务器对应的IP地址重新解析至所述第一服务器对应的IP地址；

所述修改模块43，还用于当确定所述第一服务器没有受到拒绝服务攻击，将所述没有受到攻击的网站的域名解析从所述第三服务器对应的IP地址重新解析至所述第一服务器对应的IP地址。

本领域的技术人员应当理解，本发明的方案同样适用于处理分布式拒绝服务(DDoS，Distributed Denial of Service)攻击，其原理和步骤与针对拒绝服务攻击的处理相同，在此不再赘述。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的针对拒绝服务攻击的处理装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

例如，图5示出了可以实现根据本发明的针对拒绝服务攻击的处理方法的计算设备。该计算设备传统上包括处理器510和以存储器520形式的计算机程序产品或者计算机可读介质。存储器520可以是诸如闪存、EEPROM(电可擦除可编程只读存储器)、EPROM、硬盘或者ROM之类的电子存储器。存储器520具有用于执行上述方法中的任何方法步骤的程序代码531的存储空间530。例如，用于程序代码的存储空间530可以包括分别用于实现上面的方法中的各种步骤的各个程序代码531。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。这些计算机程序产品包括诸如硬盘，紧致盘(CD)、存储卡或者软盘之类的程序代码载体。这样的计算机程序产品通常为如参考图6所述的便携式或者固定存储单元。该存储单元可以具有与图5的计算设备中的存储器520类似布置的存储段、存储空间等。程序代码可以例如以适当形式进行压缩。通常，存储单元包括计算机可读代码531’，即可以由例如诸如510之类的处理器读取的代码，这些代码当由计算设备运行时，导致该计算设备执行上面所描述的方法中的各个步骤。

本文中所称的“一个实施例”、“实施例”或者“一个或者多个实施例”意味着，结合实施例描述的特定特征、结构或者特性包括在本发明的至少一个实施例中。此外，请注意，这里“在一个实施例中”的词语例子不一定全指同一个实施例。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

此外，还应当注意，本说明书中使用的语言主要是为了可读性和教导的目的而选择的，而不是为了解释或者限定本发明的主题而选择的。因此，在不偏离所附权利要求书的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围，对本发明所做的公开是说明性的，而非限制性的，本发明的范围由所附权利要求书限定。

Claims

一种针对拒绝服务攻击的处理方法，其包括：

确定第一服务器受到拒绝服务攻击；

获取位于所述第一服务器上的多个网站，在所述多个网站中分别确定受到攻击的网站和/或没有受到攻击的网站；

将所述受到攻击的网站的域名解析至第二服务器对应的IP地址，所述第二服务器为抗攻击的服务器。
根据权利要求1所述的方法，其中，还包括：

将所述没有受到攻击的网站的域名解析至第三服务器对应的IP地址，所述第三服务器为高优先级服务器。
根据权利要求1所述的方法，其中，所述确定第一服务器受到拒绝服务攻击，包括：

检测到所述第一服务器的系统资源占用率超过第一预定阈值或所述第一服务器的网络带宽占用率超过第二预定阈值时，确定第一服务器受到拒绝服务攻击。
根据权利要求1所述的方法，其中，在所述多个网站中分别确定受到攻击的网站和/或没有受到攻击的网站，包括：

分别检测对所述多个网站中的每一个网站发起的报文流量，判断所述报文流量是否超过所述网站对应的流量阈值，若是，则确定所述网站受到攻击，否则确定所述网站没有受到攻击。
根据权利要求1-4任一项所述的方法，其中，还包括：

获取对第一服务器发起拒绝服务攻击的攻击方的IP地址，将所述攻击方的IP地址加入黑名单进行屏蔽。
根据权利要求1或2所述的方法，其中，还包括：

当确定所述第一服务器不再受到拒绝服务攻击，且确定所述受到攻击的网站不再被攻击时，将所述受到攻击的网站的域名解析从所述第二服务器对应的IP地址重新解析至所述第一服务器对应的IP地址；

当确定所述第一服务器没有受到拒绝服务攻击，将所述没有受到攻击的网站的域名解析从所述第三服务器对应的IP地址重新解析至所述第一服务器对应的IP地址。
一种针对拒绝服务攻击的处理装置，其包括：

检测模块，用于确定第一服务器受到拒绝服务攻击；

确定模块，用于获取位于所述第一服务器上的多个网站，在所述多个网站中分别确定受到攻击的网站和/或没有受到攻击的网站；

修改模块，用于将所述受到攻击的网站的域名解析至第二服务器对应的IP地址，所述第二服务器为抗攻击的服务器。
根据权利要求7所述的装置，其中：

所述修改模块，还用于将所述没有受到攻击的网站的域名解析至第三服务器对应的IP地址，所述第三服务器为高优先级服务器。
根据权利要求7所述的装置，其中：

所述检测模块，具体用于检测到所述第一服务器的系统资源占用率超过第一预定阈值或所述第一服务器的网络带宽占用率超过第二预定阈值时，确定第一服务器受到拒绝服务攻击。
根据权利要求7所述的装置，其中：

所述确定模块，具体用于分别检测对所述多个网站中的每一个网站发起的报文流量，判断所述报文流量是否超过所述网站对应的流量阈值，若是，则确定所述网站受到攻击，否则确定所述网站没有受到攻击。
根据权利要求7-10任一项所述的装置，其中：

所述修改模块，还用于获取对第一服务器发起拒绝服务攻击的攻击方的IP地址，将所述攻击方的IP地址加入黑名单进行屏蔽。
根据权利要求7或8所述的装置，其中：

所述修改模块，还用于在确定所述第一服务器没有受到拒绝服务攻击，且确定所述受到攻击的网站不再被攻击时，将所述受到攻击的网站的域名解析从所述第二服务器对应的IP地址重新解析至所述第一服务器对应的IP地址；

所述修改模块，还用于当确定所述第一服务器没有受到拒绝服务攻击，将所述没有受到攻击的网站的域名解析从所述第三服务器对应的IP地址重新解析至所述第一服务器对应的IP地址。
一种计算机程序，包括计算机可读代码，当所述计算机可读代码在计算设备上运行时，导致所述计算设备执行根据权利要求1至6中的任一项所述的针对拒绝服务攻击的处理方法。
一种计算机可读介质，其中存储了如权利要求13所述的计算机程序。