WO2017088397A1

WO2017088397A1 - 用于CDN服务器群组的DDoS攻击防护方法及系统

Info

Publication number: WO2017088397A1
Application number: PCT/CN2016/083250
Authority: WO
Inventors: 李洪福
Original assignee: 乐视控股（北京）有限公司; 乐视云计算有限公司
Priority date: 2015-11-25
Filing date: 2016-05-25
Publication date: 2017-06-01
Also published as: CN105897674A

Abstract

本发明提供一种用于CDN服务器群组的DDoS攻击防护方法，所述CDN服务器群组包括多个CDN服务器和中心服务器，所述方法包括：每个CDN服务器将访问请求的访问源信息发送至中心服务器；所述中心服务器统计一段时间内每个CDN服务器下对应于同一访问源信息的访问请求的数量；所述中心服务器将每个CDN服务器下的对应于同一访问源信息的访问请求的数量大于预定阈值的访问请求确定为DDoS攻击，并基于所述访问请求的访问源信息生成黑名单；所述中心服务器将所述黑名单下发至所述CDN服务器群组中的所述多个CDN服务器；所述多个CDN服务器对落入所述黑名单的访问源拒绝提供服务。本发明还提供一种用于CDN服务器群组的DDoS攻击防护系统，实现了CDN服务器群组的全网DDoS攻击防护。

Description

用于CDN服务器群组的DDoS攻击防护方法及系统

技术领域

本发明实施例涉及网络安全技术领域，尤其涉及一种用于CDN服务器群组的DDoS攻击防护方法及系统。

背景技术

随着互联网的发展，用户在使用网络时对网站的浏览速度和效果愈加重视，但由于网民数量激增，网络访问路径过长，从而使用户的访问质量受到严重影响。特别是当用户与网站之间的链路被突发的大流量数据拥塞时，对于异地互联网用户急速增加的地区来说，访问质量不良更是一个急待解决的问题。

CDN(Content Delivery Network，内容分发网络)是一种通过在网络各处放置CDN服务器所构成的在现有的互联网基础之上的一层智能虚拟网络。CDN能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上，其目的是能够选择离用户相对较近的节点向用户发送用户所需的内容，缓解网络拥挤的状况，提高网站的响应速度。

可是随着互联网技术的发展与应用普及，网络上的服务器或系统面临着更多、更复杂的网络攻击行为，其中，DDoS(Distributed Denial of Service，分布式拒绝服务)便是一种较为严重的网络攻击行为，它利用大量的傀儡机对某个服务器或系统同时发起攻击，使得受攻击的该系统因带宽拥塞或服务器资源耗尽等原因而无法支持正常的业务访问；由于DDoS攻击往往采取合法的数据请求技术，再加上傀儡机器的辅助，导致DDoS攻击成为目前最难防御的网络攻击之一。

现有技术中主要从主机设置、网络设置两方面来防止DDoS攻击。

其一方面，现有技术从主机设置方面来防止DDoS攻击，采取对将所有的主机平台中所有的服务器都进行进行抵御DDoS的相关设置，例如：关闭不必要的服务，限制同时打开的Syn半连接数目，缩短Syn半连接的time out时间，及时更新系统补丁等。

其另一方面，现有技术从网络设置方面来防止DDoS攻击，包括对防火墙与路由器这两类到外界的接口设备的设置，例如：对防火墙的设置包括禁止对主机的非开放服务的访问，限制同时打开的SYN最大连接数，限制特定IP地址的访问，启用防火墙的防DDoS的属性，严格限制对外开放的服务器的向外访问；对路由器的设置包括设置SYN数据包流量速率；升级版本过低的ISO以及为路由器建立log server。

使用上述技术方案来防止DDoS攻击的技术问题在于：

其一方面，采用黑洞技术和路由器过滤、限速等手段，不仅大量消耗了服务器的资源，同时也阻断了部分有效业务，降低了服务器对用户访问请求的处理效率，严重影响了用户体验；其另一方面，部署大量的冗余设备，保证足够的响应能力来提供DDoS攻击防护，但又使得防护DDoS攻击的代价过于高昂。

更进一步地，随着互联网技术的发展与应用普及，存在不法分子利用大量的傀儡机对CDN平台的各个CDN服务器发起DDoS攻击，进而攻击CDN平台的中心服务器；现有技术采用的技术方案是：DDoS攻击某一CDN服务器，此服务器采取一系列的防DDoS攻击的技术手段识别并防御此DDoS攻击，当同样的DDoS攻击源DDoS攻击CDN平台中的多个CDN服务器时，CDN平台中的多个服务器均需要对DDoS攻击源进行识别并防御；技术问题在于：严重降低了CDN平台对DDoS攻击的处理效率，并拖慢了网站的响应速度；如何简单有效防御DDoS攻击源对CDN平台的攻击也是目前业界亟待解决的需要课题。

发明内容

本发明实施例的目的在于解决上述至少一个技术问题，提供一种CDN服务器群组的DDoS攻击防护方法及系统，可以有效防护大规模DDoS攻击。

本发明一实施例提供一种用于CDN服务器群组的DDoS攻击防护方法，所述CDN服务器群组包括多个CDN服务器和中心服务器，所述方法包括：

每个CDN服务器将访问请求的访问源信息发送至所述中心服务器；

所述中心服务器统计一段时间内每个CDN服务器下对应于同一访问源信息的访问请求的数量；

所述中心服务器将每个CDN服务器下的对应于同一访问源信息的访问请求的数量大于预定阈值的访问请求确定为DDoS攻击，并相应地基于所述访问请求的访问源信息生成黑名单；

所述中心服务器将所述黑名单下发至所述CDN服务器群组中的所述多个CDN服务器；

所述多个CDN服务器对落入所述黑名单的访问源拒绝提供服务。

本发明一实施例提供一种用于CDN服务器群组的DDoS攻击防护系统，所述CDN服务器群组包括多个CDN服务器和中心服务器，其中：

每个CDN服务器包括：

采集单元，用于采集访问请求的访问源信息；

发送单元，用于将所述访问源信息发送至中心服务器；

黑名单接收单元；

服务控制单元，配置与所述黑名单接收单元关联，以对落入黑名单的访问源拒绝提供服务，

所述中心服务器包括：

统计单元，用于统计一段时间内每个CDN服务器下对应于同一访问源信息的访问请求的数量；

黑名单生成单元，用于将每个CDN服务器下的对应于同一访问源信息的访问请求的数量大于预定阈值的访问请求确定为DDoS攻击，并相应地基于所述访问请求的访问源信息生成黑名单；

下发单元，用于将所述黑名单下发至所述CDN服务器群组中的所述多个CDN服务器的黑名单接收单元。

通过本发明一实施例提供的用于CDN平台的DDoS攻击防护方法及系统，实现了：

一、通过黑名单来标记DDoS攻击的攻击源，并拒绝所有已被标记的DDoS攻击源对CDN服务器的访问，实现了针对DDoS攻击的有效防护；

二、针对各个CDN服务器访问的DDoS攻击源的识别工作是在中心服务器上完成的，降低了各个CDN服务器资源消耗，且各个CDN服务器向中心服务器发送访问源信息，避免了DDoS攻击源对中心服务器的访问，有效隐藏和保护了中心服务器；

三、对CDN服务器群组其中一个CDN服务器遭受的DDoS攻击进行识别后，中心服务器记录DDoS攻击源至黑名单，并将黑名单发送至CDN服务器群组下的各个CDN服务器，同步更新了整个CDN服务器群组下的各个CDN服务器的黑名单，实现了CDN服务器群组的全网DDoS攻击防护；

四、当已被列入黑名单的DDoS攻击源尝试攻击CDN服务器群组下的各个CDN服务器时，中心服务器不需要再次对DDoS攻击源进行识别，节约了中心服务器在DDoS攻击防护方面的资源消耗。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一实施例的用于CDN服务器群组的DDoS攻击防护方法流程图；

图2为本发明一实施例的用于CDN服务器群组的DDoS攻击防护系统的结构示意图；

图3为本发明一实施例的布置有多个图2所示的CDN服务器群组的CDN平台的结构示意图；

图4为可以应用于实现本发明实施例的终端设备或服务器的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参见图1，示出的是本发明一具体实施例的CDN服务器群组的DDoS攻击防护方法，所述CDN服务器群组包括多个CDN服务器和中心服务器，所述方法包括：

S101：每个CDN服务器将访问请求的访问源信息发送至所述中心服务器；

S102：所述中心服务器统计一段时间内每个CDN服务器下对应于同一访问源信息的访问请求的数量；

S103：所述中心服务器将每个CDN服务器下的对应于同一访问源信息的访问请求的数量大于预定阈值的访问请求确定为DDoS攻击，并相应地基于所述访问请求的访问源信息生成黑名单；

S104：所述中心服务器将所述黑名单下发至所述CDN服务器群组中的所述多个CDN服务器；

S105：所述多个CDN服务器对落入所述黑名单的访问源拒绝提供服务。

通过本发明实施例方法，实现了：

通过黑名单来标记DDoS攻击的攻击源，并拒绝所有已被标记的DDoS攻击源对CDN服务器的访问，实现了DDoS攻击的有效防护；针对各个CDN服务器访问的DDoS攻击源的识别工作是在中心服务器上完成的，降低了各个CDN服务器资源消耗，且各个CDN服务器向中心服务器发送访问源信息，避免了DDoS攻击源对中心服务器的访问，有效隐藏和保护了中心服务器；对CDN服务器群组其中一个CDN服务器遭受的DDoS攻击进行识别后，中心服务器记录DDoS攻击源至黑名单，并将黑名单发送至CDN服务器群组下的各个CDN服务器，同步更新了整个CDN服务器群组下的各个CDN服务器的黑名单，实现了CDN服务器群组的全网DDoS攻击防护；当已被列入黑名单的DDoS攻击源尝试攻击CDN服务器群组下的各个CDN服务器时，中心服务器不需要再次对DDoS攻击源进行识别，节约了中心服务器在DDoS攻击防护方面的资源消耗。

在本发明方法的一种实施方式中，所述访问源信息包含访问请求源的IP、URL和/或Refer信息；更具体地，包括：

每个CDN服务器将访问请求的访问源信息发送至所述中心服务器。

所述中心服务器统计一段时间内每个CDN服务器下对应于同一访问源信息的访问请求的数量。例如：统计访问其中一台CDN服务器的其中一个IP在一段时间内对所述其中一台CDN服务器访问次数；统计访问其中一台CDN服务器的其中一个URL在一段时间内对所述其中一台CDN服务器总访问次数；统计访问其中一台CDN服务器的其中一个Refer在一段时间内对所述其中一台CDN服务器总访问次数；以此类推，获取每个CDN服务器下对应于同一IP、URL和/或Refer的访问请求的访问次数。

所述中心服务器将每个CDN服务器下的对应于同一访问源信息的访问请求的数量大于预定阈值的访问请求确定为DDoS攻击，并相应地基于所述访问请求的访问源信息生成黑名单。例如：所述中心服务器将单个CDN服务器下的对应于同一IP、URL和/或Refer的访问请求的访问次数与预定阈值进行对比，将同一IP、URL和/或Refer的访问请求的访问次数大于预定阈值的IP、URL和/或Refer的访问请求确定为DDoS攻击。关于本步骤更具体的执行，可以包括如下子步骤：Ⅰ、预设IP正常阈值，将同一IP所对应的访问请求的访问次数与IP正常阈值进行对比，当同一IP所对应的访问请求的访问次数超过阈值时，则确定所述同一IP所对应的访问请求为DDoS攻击；Ⅱ、预设URL正常阈值，将同一URL所对应的访问请求的访问次数与URL正常阈值进行对比，当同一URL所对应的访问请求的访问次数超过阈值时，则确定所述同一URL所对应的访问请求为DDoS攻击；Ⅲ、预设Refer正常阈值，当同一Refer所对应的访问请求的访问次数超过阈值时，则确定所述同一Refer所对应的访问请求为DDoS攻击；关于本步骤的第Ⅰ、Ⅱ、Ⅲ子步骤的DDoS攻击识别是彼此独立的，同时第Ⅰ、Ⅱ、Ⅲ子步骤可以是同步式执行的，也可以是渐进式执行的；关于本步骤中的阈值的设定，可以是依据经验或多次实验所确定的参考值；根据已确定为DDoS攻击源的IP和/或URL和/或Refer生成黑名单。

所述中心服务器将所述黑名单下发至所述CDN服务器群组中的所述多个CDN服务器。例如：中心服务器将根据一个CDN服务器的访问请求所生成的黑名单发送至CDN服务器群组中的多个CDN服务器，优选地，中心服务器将根据一个CDN服务器的访问请求所生成的黑名单发送至CDN服务器群组中的各个CDN服务器。

所述多个CDN服务器对落入所述黑名单的访问源拒绝提供服务。例如：CDN服务器群组中的多个CDN服务器对落入所述黑名单的IP、URL和/或Refer拒绝提供服务，优选地，CDN服务器群组中的各个CDN服务器对落入所述黑名单的IP、URL和/或Refer均拒绝提供服务。

作为本发明方法实施例的进一步优化，所述CDN服务器群组为布置在CDN平台上的根据网络类型的不同而划分的多个CDN服务器群组。

由此根据网络类型将CDN平台划分为多个所述CDN服务器群组，例如：CDN平台包含有第一网络类型为“中国电信”和第二网络类型为“中国联通”等多个电信网络类型，根据第一网络类型“中国联通”、第二网络类型“中国电信”等多个网络类型将CDN平台划分成多个CDN服务器群组。

通常情况下，DDoS攻击源会针对某一特定类型网络下的服务器进行攻击；根据CDN平台的多个网络类型将CDN平台划分为多个所述CDN服务器群组，实现了在CDN平台中某一群组的CDN服务器遭受攻击时，及时调用其他CDN群组中的服务器来接替被攻击的CDN服务器，使得CDN平台实现了根据DDoS攻击监测的情况进行CDN服务器调度，保障了网站的正常运营。

作为本发明方法实施例的进一步优化，所述多个CDN服务器群组中的任一个CDN服务器群组的中心服务器将黑名单下发至该CDN服务器群组中的多个CDN服务器之后，选择性地与其他CDN服务器群组的中心服务器进行黑名单共享。

通过将CDN平台中的一个CDN群组的黑名单发送至CDN平台中的另一个CDN群组，实现了CDN平台各个CDN群组的黑名单的同步更新，实现了CDN平台的全网DDoS攻击防护；进一步地，当已被列入黑名单的DDoS攻击源尝试攻击CDN服务器群组下的各个CDN服务器时，中心服务器不需要再次对DDoS攻击源进行识别，节约了中心服务器在DDoS攻击防护方面的资源消耗。

参见图2示出的是一种用于CDN服务器群组的DDoS攻击防护系统，包括：

每个CDN服务器包括：

采集单元，用于采集访问请求的访问源信息；

发送单元，用于将所述采集单元所采集的访问源信息发送至中心服务器；

黑名单接收单元；

所述中心服务器包括：

黑名单生成单元，用于将统计单元所统计的每个CDN服务器下的对应于同一访问源信息的访问请求的数量大于预定阈值的访问请求确定为DDoS攻击，并相应地基于所述访问请求的访问源信息生成黑名单；

下发单元，用于将所述黑名单生成单元所生成的所述黑名单下发至所述CDN服务器群组中的所述多个CDN服务器的黑名单接收单元。

本实施例中的用于CDN服务器群组的DDoS攻击防护系统为一个服务器或者服务器集群，其中每个单元可以是单独的服务器或者服务器集群，此时，上述单元之间的交互表现为各单元所对应的服务器或者服务器集群之间的交互，所述多个服务器或服务器集群共同构成本发明的用于CDN服务器群组的DDoS攻击防护系统。

在一种替代实施例中，可以是上述多个单元中的几个单元共同组成一个服务器或者服务器集群。例如：采集单元、发送单元、黑名单接收单元和服务控制单元共同组成第一服务器或者第一服务器集群，统计单元、黑名单生成单元和下发单元构成第二服务器或者第二服务器集群。

此时，上述单元之间的交互表现为第一服务器和第二服务器之间的交互或者第一服务器集群和第二服务器集群之间的交互，所述第一服务器和第二服务器或第一服务器集群和第二服务器集群共同构成本发明的用于CDN服务器群组的DDoS攻击防护系统。

通过本发明实施例系统实现了：

需要说明的是，本发明实施例也可以通过硬件处理器来实现相关单元。

在本发明系统的一种实施方式中，所述访问源信息包含IP、URL和/或Refer信息。

作为图2所示实施例系统的进一步优化，所述采集单元为nginx模块。

参见图3示出的是布置有多个图2所示的CDN服务器群组的CDN平台，其中，所述CDN服务器群组为布置在CDN平台上的根据网络类型的不同而划分的多个CDN服务器群组。

图3作为进一步的优化，所述多个CDN服务器群组中的任一个CDN服务器群组的中心服务器配置成选择性地与其他CDN服务器群组的中心服务器进行黑名单共享。

参见图4示出了适于用来实现本申请实施例的终端设备或服务器的计算机系统的结构示意图，其中计算机系统包括中央处理单元(CPU)401，其可以根据存储在只读存储器(ROM)402中的程序或者从存储部分408加载到随机访问存储器(RAM)403中的程序而执行各种适当的动作和处理。在RAM403中，还存储有系统操作所需的各种程序和数据。CPU 401、ROM 402以及RAM403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。

以下部件连接至I/O接口405：包括键盘、鼠标等的输入部分406；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分407；包括硬盘等的存储部分408；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分409。通信部分409经由诸如因特网的网络执行通信处理。驱动器410也根据需要连接至I/O接口405。可拆卸介质411，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器410上，以便于从其上读出的计算机程序根据需要被安装入存储部分408。

特别地，根据本发明的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明的实施例包括一种计算机程序产品，其包括有形地包含在机器可读介质上的计算机程序，上述计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分409从网络上被下载和安装，和/或从可拆卸介质411被安装。

在本发明一方面的应用上，本发明实施例中的CDN服务器群组的DDoS攻击防护系统可以是作为功能元件的形式内嵌于CDN服务器群组的中心服务器和CDN服务器中。

需要说明的是，在不冲突的情况下，本发明中的实施例及优选实施例中所涉及到的技术特征彼此之间可以相互组合；术语“包括”、“包含”，不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

一种用于CDN服务器群组的DDoS攻击防护方法，所述CDN服务器群组包括多个CDN服务器和中心服务器，所述方法包括：

每个CDN服务器将访问请求的访问源信息发送至所述中心服务器；

所述中心服务器统计一段时间内每个CDN服务器下对应于同一访问源信息的访问请求的数量；

所述中心服务器将每个CDN服务器下的对应于同一访问源信息的访问请求的数量大于预定阈值的访问请求确定为DDoS攻击，并相应地基于所述访问请求的访问源信息生成黑名单；

所述中心服务器将所述黑名单下发至所述CDN服务器群组中的所述多个CDN服务器；

所述多个CDN服务器对落入所述黑名单的访问源拒绝提供服务。
根据权利要求1所述的DDoS攻击防护方法，其特征在于，所述访问源信息包含IP、URL和/或Refer信息。
根据权利要求1或2所述的DDoS攻击防护方法，其特征在于，所述CDN服务器群组为布置在CDN平台上的根据网络类型的不同而划分的多个CDN服务器群组。
根据权利要求3所述的DDoS攻击防护方法，其中，所述多个CDN服务器群组中的任一个CDN服务器群组的中心服务器将黑名单下发至该CDN服务器群组中的多个CDN服务器之后，选择性地与其他CDN服务器群组的中心服务器进行黑名单共享。
一种用于CDN服务器群组的DDoS攻击防护系统，所述CDN服务器群组包括多个CDN服务器和中心服务器，其中：

每个CDN服务器包括：

采集单元，用于采集访问请求的访问源信息；

发送单元，用于将所述访问源信息发送至中心服务器；

黑名单接收单元；

服务控制单元，配置与所述黑名单接收单元关联，以对落入黑名单的访问源拒绝提供服务，

所述中心服务器包括：

统计单元，用于统计一段时间内每个CDN服务器下对应于同一访问源信息的访问请求的数量；

黑名单生成单元，用于将每个CDN服务器下的对应于同一访问源信息的访问请求的数量大于预定阈值的访问请求确定为DDoS攻击，并相应地基于所述访问请求的访问源信息生成黑名单；

下发单元，用于将所述黑名单下发至所述CDN服务器群组中的所述多个CDN服务器的黑名单接收单元。
根据权利要求5所述的DDoS攻击防护系统，其特征在于，所述采集单元为nginx模块。
根据权利要求6所述的DDoS攻击防护系统，其特征在于，所述访问源信息包含IP、URL和/或Refer信息。
根据权利要求5-7中任一项所述的DDoS攻击防护系统，其中，所述CDN服务器群组为布置在CDN平台上的根据网络类型的不同而划分的多个CDN服务器群组。
根据权利要求8所述的DDoS攻击防护系统，其中，所述多个CDN服务器群组中的任一个CDN服务器群组的中心服务器配置成选择性地与其他CDN服务器群组的中心服务器进行黑名单共享。