[go: up one dir, main page]

CN109218250A - 基于故障自动迁移系统的ddos防御方法及系统 - Google Patents

基于故障自动迁移系统的ddos防御方法及系统 Download PDF

Info

Publication number
CN109218250A
CN109218250A CN201710514072.1A CN201710514072A CN109218250A CN 109218250 A CN109218250 A CN 109218250A CN 201710514072 A CN201710514072 A CN 201710514072A CN 109218250 A CN109218250 A CN 109218250A
Authority
CN
China
Prior art keywords
vip
ddos
cluster
address
failure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710514072.1A
Other languages
English (en)
Inventor
樊富春
王大力
闫庆宏
韩哲
杜菁菁
曹洪军
黄玉丹
彭聪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Duodian Online Technology Co Ltd
Original Assignee
Beijing Duodian Online Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Duodian Online Technology Co Ltd filed Critical Beijing Duodian Online Technology Co Ltd
Priority to CN201710514072.1A priority Critical patent/CN109218250A/zh
Publication of CN109218250A publication Critical patent/CN109218250A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0663Performing the actions predefined by failover planning, e.g. switching to standby network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及网络安全技术领域,具体涉及一种基于故障自动迁移系统的DDOS防御方法及系统,其中,DDOS防御方法包括:在域名解析时,判断VIP集群中各个VIP地址是否被DDOS攻击;若判断结果为是,则将被DDOS攻击的VIP地址丢弃,并将流量引导至未被攻击的VIP地址上;若判断结果为否,则将流量均衡引导至VIP集群中各个VIP地址上。本发明的技术方案,通过自动迁移的技术来实现对攻击流量的回避,攻击者一般针对VIP进行攻击,受到DDOS攻击的VIP将自动被抛弃,并且将正常流量引导至其它未被攻击的VIP上,从而避免服务器被攻击,有效的解决了DDOS攻击的问题并大幅降低了成本和使用难度。

Description

基于故障自动迁移系统的DDOS防御方法及系统
技术领域
本发明涉及网络安全技术领域,具体涉及一种基于故障自动迁移系统的DDOS防御方法及系统。
背景技术
随着互联网应用的普及和发展,大家越来越重视用户体验,所以市场上有很多DDOS(分布式拒绝服务攻击)产品顺势而出。目前,一般都采用高防IP,后面加一个强大的处理集群,该集群通过对流量的分析,采用人机识别、异常检测等技术,对流量进行清洗、过滤,只放行合法流量,而对恶意流量采取屏蔽或丢弃处理方式,以实现对DDOS的防护。现有DDOS防护方法缺点较为明显:
成本高:采购专业的DDOS防护服务,每月费用动辄数万元,一年下来需要花费几十万,对于中小型公司、创业公司来说不堪重负。
性能低:业界一般做法是做流量清洗、过滤,但是这样做多了一层处理,就多了一层时间消耗,最终会影响服务响应时长,影响用户体验。
会有误判:DDOS防护一般都有人机识别、异常检测等技术,虽然技术相对比较成熟,但是仍有误判、屏蔽部分真实用户访问,导致会误伤部分真实用户,影响用户体验。
发明内容
针对上述问题中存在的不足之处,本发明提供一种基于故障自动迁移系统的DDOS防御方法及系统。
为实现上述目的,本发明提供一种基于故障自动迁移系统的DDOS防御方法,包括:
在域名解析时,判断VIP(Virtual IP)集群中各个VIP地址是否被DDOS攻击;
若判断结果为是,则将被DDOS攻击的VIP地址丢弃,并将流量引导至未被攻击的VIP地址上;
若判断结果为否,则将流量均衡引导至所述VIP集群中各个VIP地址上。
上述的DDOS防御系统,所述在域名解析之前,还包括:
用户请求访问Web(World Wide Web)站点或API(Application ProgrammingInterface)站点。
本公开的实施例提供的技术方案可以包括以下有益效果:通过自动迁移的技术来实现对攻击流量的回避,攻击者一般针对VIP进行攻击,受到DDOS攻击的VIP将自动被抛弃,并且将正常流量引导至其它未被攻击的VIP上,从而避免服务器被攻击,有效的解决了DDOS攻击的问题并大幅降低了成本和使用难度。
上述的基于故障自动迁移系统的DDOS防御方法,所述在判断VIP集群中各个VIP地址是否被DDOS攻击具体包括:
利用健康检查模块对所述VIP集群中各个VIP地址实时探测。
上述基于故障自动迁移系统的DDOS防御方法,
还包括多个主机服务器,各个所述VIP地址所转发的请求均落入一台所述主机服务器上。
根据本发明第二方面的技术方案,提出了一种DDOS防御系统,包括:
判断单元,用于在域名解析时,判断VIP集群中各个VIP地址是否被DDOS攻击;
第一装置输出单元,用于在所述判断单元的判断结果为是时,则将被DDOS攻击的VIP地址丢弃,并将流量引导至未被攻击的VIP地址上;
第二装置输出单元,用于在所述判断单元的判断结果为否时,则将流量均衡引导至所述VIP集群中各个VIP地址上。
本公开的实施例提供的技术方案可以包括以下有益效果:通过自动迁移的技术来实现对攻击流量的回避,攻击者一般针对VIP进行攻击,受到DDOS攻击的VIP将自动被抛弃,并且将正常流量引导至其它未被攻击的VIP上,从而避免服务器被攻击,有效的解决了DDOS攻击的问题并大幅降低了成本和使用难度。
上述的DDOS防御系统,还包括:
请求单元,用于用户请求访问Web站点或API站点。
上述的DDOS防御系统,
健康检查单元,用于对所述VIP集群中各个VIP地址实时探测。
上述的DDOS防御系统,
转换单元,用于将所述用户请求经由VIP集群,转发至有多个主机服务器所组成集群中的一台主机服务器上。
附图说明
图1为本发明一个实施例中基于故障自动迁移系统的DDOS防御方法的流程图一。
图2为本发明一个实施例中DDOS防御系统的结构框图一。
图3为本发明一个实施例中基于故障自动迁移系统的DDOS防御方法的流程图二。
图4为本发明一个实施例中DDOS防御系统的结构框图二。
具体实施方式
下面通过具体的实施例结合附图对本发明做进一步的详细描述。
如图1所示,基于故障自动迁移系统的DDOS防御方法,包括:
步骤S1、在域名解析时,判断VIP集群中各个VIP地址是否被DDOS攻击;
步骤S2、若判断结果为是,则将被DDOS攻击的VIP地址丢弃,并将流量引导至未被攻击的VIP地址上;
步骤S3、若判断结果为否,则将流量均衡引导至VIP集群中各个VIP地址上。
根据本发明实施例的基于故障自动迁移系统的DDOS防御方法,采用自动迁移的技术来实现对攻击流量的回避,攻击者一般针对VIP进行攻击,受到DDOS攻击的VIP将自动被抛弃,并且将正常流量引导至其它未被攻击的VIP上,从而避免服务器被攻击,有效的解决了DDOS攻击的问题并大幅降低了成本和使用难度。
另外,根据本发明上述实施例提供的基于故障自动迁移系统的DDOS防御方法还具有如下技术特征:
在上述技术方案中,在域名解析之前,还包括:用户请求访问Web站点或API站点。
在该技术方案中,用户访问Web站点或API站点并发送访问请求,便于进行下一步操作。
在上述技术方案中,优选的,在判断VIP集群中各个VIP地址是否被DDOS攻击具体包括:利用健康检查模块对VIP集群中各个VIP地址实时探测。
在该技术方案中,通过健康检查模块对VIP集群中各个VIP地址进行实时探测,探测出各个VIP地址可服务的可用性,发现故障VIP马上屏蔽掉被攻击的VIP地址,不在将流量打到故障VIP上。
此外,还可以使用检测模块对VIP集群中各个VIP地址进行实时探测,与健康检查模块功能相同。
在该技术方案中,IP在网络之间互连的协议也就是为计算机网络相互连接进行通信而设计的协议。在因特网中,它是能使连接到网上的所有计算机网络实现相互通信的一套规则,规定了计算机在因特网上进行通信时应当遵守的规则。任何厂家生产的计算机系统,只要遵守IP协议就可以与因特网互连互通。IP地址具有唯一性,根据用户性质的不同,可以分为多类。另外,IP还有进入防护,知识产权,指针寄存器等含义。
在上述技术方案中,还包括多个主机服务器,各个VIP地址所转发的请求均落入一台主机服务器上。
在该技术方案中,主机服务器是真正对用户提供服务的机器集群,每次经由VIP转发的请求,都会最终落到一台主机服务器上,上述操作均基于主机服务器。
如图3所示,
101:用户访问Web站点/API请求。
102:智能DNS会根据可用性探测结果,将流量均衡的打到VIP集群上(Virtual IP,即虚拟IP)。
102-1:可用性探测,为了实现及时故障转移,需要有个健康检查模块,实时探测VIP集群各个VIP服务的可用性,发现故障VIP马上屏蔽掉,不再将流量打到故障VIP上。
103:VIP集群是该方案的核心,为了分担攻击流量,所以使用VIP集群,这样即使部分VIP被攻击,依然可以保持其他VIP可用,仍旧可以对用户提供服务。用户的每次DNS(域名系统)解析请求,最终会解析到一个VIP上。
104:RealServer(主机)集群,是真正对用户提供服务的机器集群,每次经由VIP分发的请求,都会最终落到一台RealServer服务器上。
如图2所示,根据本发明第二方面的实施例,提出了一种DDOS防御系统,包括:判断单元,用于在域名解析时,判断VIP集群中各个VIP地址是否被DDOS攻击;第一装置输出单元,用于在判断单元的判断结果为是时,则将被DDOS攻击的VIP地址丢弃,并将流量引导至未被攻击的VIP地址上;第二装置输出单元,用于在判断单元的判断结果为否时,则将流量均衡引导至VIP集群中各个VIP地址上。
根据本发明实施例的DDOS防御系统,采用自动迁移的技术来实现对攻击流量的回避,攻击者一般针对VIP进行攻击,受到DDOS攻击的VIP将自动被抛弃,并且将正常流量引导至其它未被攻击的VIP上,从而避免服务器被攻击,有效的解决了DDOS攻击的问题并大幅降低了成本和使用难度。
另外,根据本发明上述实施例提供的DDOS防御系统还具有如下技术特征:
在上述实施例中,还包括:请求单元,用于用户请求访问Web站点或API站点。
在该技术方案中,用户访问Web站点或API站点并发送访问请求,便于进行下一步操作。
在上述技术方案中,健康检查单元,用于对VIP集群中各个VIP地址实时探测。
在该技术方案中,通过健康检查模块对VIP集群中各个VIP地址进行实时探测,探测出各个VIP地址可服务的可用性,发现故障VIP马上屏蔽掉被攻击的VIP地址,不在将流量打到故障VIP上。
此外,还可以使用检测模块对VIP集群中各个VIP地址进行实时探测,与健康检查模块功能相同。
在上述技术方案中,转换单元,用于将用户请求经由VIP集群转发至多个主机服务器上。
在上述技术方案中,还包括:多个主机服务器,各个VIP地址所转发的请求均落入一台主机服务器上。
在该技术方案中,主机服务器是真正对用户提供服务的机器集群,每次经由VIP转发的请求,都会最终落到一台主机服务器上,上述操作均基于主机服务器。
如图4所示,产品主要由三部分组成。
智能DNS解析:主要有负载均衡和可用性探测两个子模块,前者实现将流量均衡的打到后面VIP上,后者用于由检测被攻击等原因导致的VIP服务故障,及时通知负载均衡,负载均衡实现只将流量打到服务正常的VIP上,自动忽略服务异常的VIP。
VIP集群:方案的核心,用于分散流量,避免被攻击时大面积服务瘫痪,可以将被攻击受损流量降至最低。可以预先配置好备份的VIP,待攻击流量来时,丢弃被攻击的VIP,启用备用VIP,让攻击者无功而返。为了提高可用性,该方案有负载均衡和可用性探测,两个子模块来实现,一个用于对RealServer的可用性检查,一个用于流量均衡,同时自动屏蔽故障RealServer。
RealServer集群:这个属于基本保障模块,如果没有一个RealServer集群,不仅DDOS攻击,稍微大点的正常流量,就可能把RealServer打瘫痪了,DDOS防护则无从谈起。该模块用于提高服务本身的吞吐量,为DDOS防护提供可能性。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种基于故障自动迁移系统的DDOS防御方法,其特征在于,包括:
在域名解析时,判断VIP集群中各个VIP地址是否被DDOS攻击;
若判断结果为是,则将被DDOS攻击的VIP地址丢弃,并将流量引导至未被攻击的VIP地址上;
若判断结果为否,则将流量均衡引导至所述VIP集群中各个VIP地址上。
2.根据权利要求1所述的基于故障自动迁移系统的DDOS防御方法,其特征在于,所述在域名解析之前,还包括:
用户请求访问Web站点或API站点。
3.根据权利要求1所述的基于故障自动迁移系统的DDOS防御方法,其特征在于,所述在判断VIP集群中各个VIP地址是否被DDOS攻击具体包括:
利用健康检查模块对所述VIP集群中各个VIP地址实时探测。
4.根据权利要求1-3任一项所述的基于故障自动迁移系统的DDOS防御方法,其特征在于:
还包括多个主机服务器,各个所述VIP地址所转发的请求均落入一台所述主机服务器上。
5.一种DDOS防御系统,其特征在于,包括:
判断单元,用于在域名解析时,判断VIP集群中各个VIP地址是否被DDOS攻击;
第一装置输出单元,用于在所述判断单元的判断结果为是时,则将被DDOS攻击的VIP地址丢弃,并将流量引导至未被攻击的VIP地址上;
第二装置输出单元,用于在所述判断单元的判断结果为否时,则将流量均衡引导至所述VIP集群中各个VIP地址上。
6.根据权利要求5所述的DDOS防御系统,其特征在于,还包括:
请求单元,用于用户请求访问Web站点或API站点。
7.根据权利要求5所述的DDOS防御系统,其特征在于:
健康检查单元,用于对所述VIP集群中各个VIP地址实时探测。
8.根据权利要求5-7任一项所述的DDOS防御系统,其特征在于:
转换单元,用于将所述用户请求经由VIP集群,转发至有多个主机服务器所组成集群中的一台主机服务器上。
CN201710514072.1A 2017-06-29 2017-06-29 基于故障自动迁移系统的ddos防御方法及系统 Pending CN109218250A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710514072.1A CN109218250A (zh) 2017-06-29 2017-06-29 基于故障自动迁移系统的ddos防御方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710514072.1A CN109218250A (zh) 2017-06-29 2017-06-29 基于故障自动迁移系统的ddos防御方法及系统

Publications (1)

Publication Number Publication Date
CN109218250A true CN109218250A (zh) 2019-01-15

Family

ID=64976455

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710514072.1A Pending CN109218250A (zh) 2017-06-29 2017-06-29 基于故障自动迁移系统的ddos防御方法及系统

Country Status (1)

Country Link
CN (1) CN109218250A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110012038A (zh) * 2019-05-29 2019-07-12 中国人民解放军战略支援部队信息工程大学 一种网络攻击防御方法及系统
CN112165495A (zh) * 2020-10-13 2021-01-01 北京计算机技术及应用研究所 一种基于超融合架构防DDoS攻击方法、装置及超融合集群
CN113037716A (zh) * 2021-02-07 2021-06-25 杭州又拍云科技有限公司 一种基于内容分发网络的攻击防御方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1812344A (zh) * 2006-03-09 2006-08-02 杭州华为三康技术有限公司 一种实现负载均衡的方法和系统
CN101640620A (zh) * 2009-09-01 2010-02-03 杭州华三通信技术有限公司 一种被均衡设备的健康检测方法及装置
WO2012011070A1 (en) * 2010-07-21 2012-01-26 Seculert Ltd. Network protection system and method
CN106210147A (zh) * 2016-09-13 2016-12-07 郑州云海信息技术有限公司 一种基于轮询的负载均衡方法和装置
CN106302313A (zh) * 2015-05-14 2017-01-04 阿里巴巴集团控股有限公司 基于调度系统的DDoS防御方法和DDoS防御系统
CN106411910A (zh) * 2016-10-18 2017-02-15 上海优刻得信息科技有限公司 一种分布式拒绝服务攻击的防御方法与系统
US20170111389A1 (en) * 2015-10-18 2017-04-20 NxLabs Limited Method and system for protecting domain name system servers against distributed denial of service attacks

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1812344A (zh) * 2006-03-09 2006-08-02 杭州华为三康技术有限公司 一种实现负载均衡的方法和系统
CN101640620A (zh) * 2009-09-01 2010-02-03 杭州华三通信技术有限公司 一种被均衡设备的健康检测方法及装置
WO2012011070A1 (en) * 2010-07-21 2012-01-26 Seculert Ltd. Network protection system and method
CN106302313A (zh) * 2015-05-14 2017-01-04 阿里巴巴集团控股有限公司 基于调度系统的DDoS防御方法和DDoS防御系统
US20170111389A1 (en) * 2015-10-18 2017-04-20 NxLabs Limited Method and system for protecting domain name system servers against distributed denial of service attacks
CN106210147A (zh) * 2016-09-13 2016-12-07 郑州云海信息技术有限公司 一种基于轮询的负载均衡方法和装置
CN106411910A (zh) * 2016-10-18 2017-02-15 上海优刻得信息科技有限公司 一种分布式拒绝服务攻击的防御方法与系统

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110012038A (zh) * 2019-05-29 2019-07-12 中国人民解放军战略支援部队信息工程大学 一种网络攻击防御方法及系统
CN112165495A (zh) * 2020-10-13 2021-01-01 北京计算机技术及应用研究所 一种基于超融合架构防DDoS攻击方法、装置及超融合集群
CN113037716A (zh) * 2021-02-07 2021-06-25 杭州又拍云科技有限公司 一种基于内容分发网络的攻击防御方法
CN113037716B (zh) * 2021-02-07 2021-12-21 杭州又拍云科技有限公司 一种基于内容分发网络的攻击防御方法

Similar Documents

Publication Publication Date Title
EP3304824B1 (en) Policy-driven compliance
CN107454109B (zh) 一种基于http流量分析的网络窃密行为检测方法
EP3270564B1 (en) Distributed security provisioning
EP2933973B1 (en) Data protection method, apparatus and system
CN101803305A (zh) 网络监视装置、网络监视方法及网络监视程序
CN111600865B (zh) 一种异常通信检测方法、装置及电子设备和存储介质
KR20060013491A (ko) 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치
CN105282169A (zh) 基于SDN控制器阈值的DDoS攻击预警方法及其系统
CN106850647B (zh) 基于dns请求周期的恶意域名检测算法
WO2016191232A1 (en) Mitigation of computer network attacks
TWI492090B (zh) 分散式阻斷攻擊防護系統及其方法
WO2020171410A1 (ko) 멀티 도메인에서 데이터를 수집하는 방법, 장치 및 컴퓨터 프로그램
CN105681313A (zh) 一种针对虚拟化环境的流量检测系统及方法
CN107483414A (zh) 一种基于云计算虚拟化环境的安全防护系统及其防护方法
CN109218250A (zh) 基于故障自动迁移系统的ddos防御方法及系统
CN110896386A (zh) 识别安全威胁的方法、装置、存储介质、处理器和终端
CN111786986B (zh) 一种数控系统网络入侵防范系统及方法
CN116112229A (zh) 一种流量清洗方法、系统、存储介质以及智能终端
Li et al. A hierarchical mobile‐agent‐based security operation center
CN112637150B (zh) 一种基于nginx的蜜罐分析方法及其系统
CN106878338B (zh) 远动设备网关防火墙一体机系统
TW201815142A (zh) 通過代理伺服器日誌偵測domain flux殭屍網路的方法
CN103118021B (zh) 应用级容侵系统和方法
US20220394059A1 (en) Lightweight tuned ddos protection
Jin et al. Mitigating HTTP GET flooding attacks through modified NetFPGA reference router

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20190115

RJ01 Rejection of invention patent application after publication