CN109218250A - 基于故障自动迁移***的ddos防御方法及*** - Google Patents
基于故障自动迁移***的ddos防御方法及*** Download PDFInfo
- Publication number
- CN109218250A CN109218250A CN201710514072.1A CN201710514072A CN109218250A CN 109218250 A CN109218250 A CN 109218250A CN 201710514072 A CN201710514072 A CN 201710514072A CN 109218250 A CN109218250 A CN 109218250A
- Authority
- CN
- China
- Prior art keywords
- vip
- ddos
- cluster
- address
- failure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0663—Performing the actions predefined by failover planning, e.g. switching to standby network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全技术领域,具体涉及一种基于故障自动迁移***的DDOS防御方法及***,其中,DDOS防御方法包括:在域名解析时,判断VIP集群中各个VIP地址是否被DDOS攻击;若判断结果为是,则将被DDOS攻击的VIP地址丢弃,并将流量引导至未被攻击的VIP地址上;若判断结果为否,则将流量均衡引导至VIP集群中各个VIP地址上。本发明的技术方案,通过自动迁移的技术来实现对攻击流量的回避,攻击者一般针对VIP进行攻击,受到DDOS攻击的VIP将自动被抛弃,并且将正常流量引导至其它未被攻击的VIP上,从而避免服务器被攻击,有效的解决了DDOS攻击的问题并大幅降低了成本和使用难度。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种基于故障自动迁移***的DDOS防御方法及***。
背景技术
随着互联网应用的普及和发展,大家越来越重视用户体验,所以市场上有很多DDOS(分布式拒绝服务攻击)产品顺势而出。目前,一般都采用高防IP,后面加一个强大的处理集群,该集群通过对流量的分析,采用人机识别、异常检测等技术,对流量进行清洗、过滤,只放行合法流量,而对恶意流量采取屏蔽或丢弃处理方式,以实现对DDOS的防护。现有DDOS防护方法缺点较为明显:
成本高:采购专业的DDOS防护服务,每月费用动辄数万元,一年下来需要花费几十万,对于中小型公司、创业公司来说不堪重负。
性能低:业界一般做法是做流量清洗、过滤,但是这样做多了一层处理,就多了一层时间消耗,最终会影响服务响应时长,影响用户体验。
会有误判:DDOS防护一般都有人机识别、异常检测等技术,虽然技术相对比较成熟,但是仍有误判、屏蔽部分真实用户访问,导致会误伤部分真实用户,影响用户体验。
发明内容
针对上述问题中存在的不足之处,本发明提供一种基于故障自动迁移***的DDOS防御方法及***。
为实现上述目的,本发明提供一种基于故障自动迁移***的DDOS防御方法,包括:
在域名解析时,判断VIP(Virtual IP)集群中各个VIP地址是否被DDOS攻击;
若判断结果为是,则将被DDOS攻击的VIP地址丢弃,并将流量引导至未被攻击的VIP地址上;
若判断结果为否,则将流量均衡引导至所述VIP集群中各个VIP地址上。
上述的DDOS防御***,所述在域名解析之前,还包括:
用户请求访问Web(World Wide Web)站点或API(Application ProgrammingInterface)站点。
本公开的实施例提供的技术方案可以包括以下有益效果:通过自动迁移的技术来实现对攻击流量的回避,攻击者一般针对VIP进行攻击,受到DDOS攻击的VIP将自动被抛弃,并且将正常流量引导至其它未被攻击的VIP上,从而避免服务器被攻击,有效的解决了DDOS攻击的问题并大幅降低了成本和使用难度。
上述的基于故障自动迁移***的DDOS防御方法,所述在判断VIP集群中各个VIP地址是否被DDOS攻击具体包括:
利用健康检查模块对所述VIP集群中各个VIP地址实时探测。
上述基于故障自动迁移***的DDOS防御方法,
还包括多个主机服务器,各个所述VIP地址所转发的请求均落入一台所述主机服务器上。
根据本发明第二方面的技术方案,提出了一种DDOS防御***,包括:
判断单元,用于在域名解析时,判断VIP集群中各个VIP地址是否被DDOS攻击;
第一装置输出单元,用于在所述判断单元的判断结果为是时,则将被DDOS攻击的VIP地址丢弃,并将流量引导至未被攻击的VIP地址上;
第二装置输出单元,用于在所述判断单元的判断结果为否时,则将流量均衡引导至所述VIP集群中各个VIP地址上。
本公开的实施例提供的技术方案可以包括以下有益效果:通过自动迁移的技术来实现对攻击流量的回避,攻击者一般针对VIP进行攻击,受到DDOS攻击的VIP将自动被抛弃,并且将正常流量引导至其它未被攻击的VIP上,从而避免服务器被攻击,有效的解决了DDOS攻击的问题并大幅降低了成本和使用难度。
上述的DDOS防御***,还包括:
请求单元,用于用户请求访问Web站点或API站点。
上述的DDOS防御***,
健康检查单元,用于对所述VIP集群中各个VIP地址实时探测。
上述的DDOS防御***,
转换单元,用于将所述用户请求经由VIP集群,转发至有多个主机服务器所组成集群中的一台主机服务器上。
附图说明
图1为本发明一个实施例中基于故障自动迁移***的DDOS防御方法的流程图一。
图2为本发明一个实施例中DDOS防御***的结构框图一。
图3为本发明一个实施例中基于故障自动迁移***的DDOS防御方法的流程图二。
图4为本发明一个实施例中DDOS防御***的结构框图二。
具体实施方式
下面通过具体的实施例结合附图对本发明做进一步的详细描述。
如图1所示,基于故障自动迁移***的DDOS防御方法,包括:
步骤S1、在域名解析时,判断VIP集群中各个VIP地址是否被DDOS攻击;
步骤S2、若判断结果为是,则将被DDOS攻击的VIP地址丢弃,并将流量引导至未被攻击的VIP地址上;
步骤S3、若判断结果为否,则将流量均衡引导至VIP集群中各个VIP地址上。
根据本发明实施例的基于故障自动迁移***的DDOS防御方法,采用自动迁移的技术来实现对攻击流量的回避,攻击者一般针对VIP进行攻击,受到DDOS攻击的VIP将自动被抛弃,并且将正常流量引导至其它未被攻击的VIP上,从而避免服务器被攻击,有效的解决了DDOS攻击的问题并大幅降低了成本和使用难度。
另外,根据本发明上述实施例提供的基于故障自动迁移***的DDOS防御方法还具有如下技术特征:
在上述技术方案中,在域名解析之前,还包括:用户请求访问Web站点或API站点。
在该技术方案中,用户访问Web站点或API站点并发送访问请求,便于进行下一步操作。
在上述技术方案中,优选的,在判断VIP集群中各个VIP地址是否被DDOS攻击具体包括:利用健康检查模块对VIP集群中各个VIP地址实时探测。
在该技术方案中,通过健康检查模块对VIP集群中各个VIP地址进行实时探测,探测出各个VIP地址可服务的可用性,发现故障VIP马上屏蔽掉被攻击的VIP地址,不在将流量打到故障VIP上。
此外,还可以使用检测模块对VIP集群中各个VIP地址进行实时探测,与健康检查模块功能相同。
在该技术方案中,IP在网络之间互连的协议也就是为计算机网络相互连接进行通信而设计的协议。在因特网中,它是能使连接到网上的所有计算机网络实现相互通信的一套规则,规定了计算机在因特网上进行通信时应当遵守的规则。任何厂家生产的计算机***,只要遵守IP协议就可以与因特网互连互通。IP地址具有唯一性,根据用户性质的不同,可以分为多类。另外,IP还有进入防护,知识产权,指针寄存器等含义。
在上述技术方案中,还包括多个主机服务器,各个VIP地址所转发的请求均落入一台主机服务器上。
在该技术方案中,主机服务器是真正对用户提供服务的机器集群,每次经由VIP转发的请求,都会最终落到一台主机服务器上,上述操作均基于主机服务器。
如图3所示,
101:用户访问Web站点/API请求。
102:智能DNS会根据可用性探测结果,将流量均衡的打到VIP集群上(Virtual IP,即虚拟IP)。
102-1:可用性探测,为了实现及时故障转移,需要有个健康检查模块,实时探测VIP集群各个VIP服务的可用性,发现故障VIP马上屏蔽掉,不再将流量打到故障VIP上。
103:VIP集群是该方案的核心,为了分担攻击流量,所以使用VIP集群,这样即使部分VIP被攻击,依然可以保持其他VIP可用,仍旧可以对用户提供服务。用户的每次DNS(域名***)解析请求,最终会解析到一个VIP上。
104:RealServer(主机)集群,是真正对用户提供服务的机器集群,每次经由VIP分发的请求,都会最终落到一台RealServer服务器上。
如图2所示,根据本发明第二方面的实施例,提出了一种DDOS防御***,包括:判断单元,用于在域名解析时,判断VIP集群中各个VIP地址是否被DDOS攻击;第一装置输出单元,用于在判断单元的判断结果为是时,则将被DDOS攻击的VIP地址丢弃,并将流量引导至未被攻击的VIP地址上;第二装置输出单元,用于在判断单元的判断结果为否时,则将流量均衡引导至VIP集群中各个VIP地址上。
根据本发明实施例的DDOS防御***,采用自动迁移的技术来实现对攻击流量的回避,攻击者一般针对VIP进行攻击,受到DDOS攻击的VIP将自动被抛弃,并且将正常流量引导至其它未被攻击的VIP上,从而避免服务器被攻击,有效的解决了DDOS攻击的问题并大幅降低了成本和使用难度。
另外,根据本发明上述实施例提供的DDOS防御***还具有如下技术特征:
在上述实施例中,还包括:请求单元,用于用户请求访问Web站点或API站点。
在该技术方案中,用户访问Web站点或API站点并发送访问请求,便于进行下一步操作。
在上述技术方案中,健康检查单元,用于对VIP集群中各个VIP地址实时探测。
在该技术方案中,通过健康检查模块对VIP集群中各个VIP地址进行实时探测,探测出各个VIP地址可服务的可用性,发现故障VIP马上屏蔽掉被攻击的VIP地址,不在将流量打到故障VIP上。
此外,还可以使用检测模块对VIP集群中各个VIP地址进行实时探测,与健康检查模块功能相同。
在上述技术方案中,转换单元,用于将用户请求经由VIP集群转发至多个主机服务器上。
在上述技术方案中,还包括:多个主机服务器,各个VIP地址所转发的请求均落入一台主机服务器上。
在该技术方案中,主机服务器是真正对用户提供服务的机器集群,每次经由VIP转发的请求,都会最终落到一台主机服务器上,上述操作均基于主机服务器。
如图4所示,产品主要由三部分组成。
智能DNS解析:主要有负载均衡和可用性探测两个子模块,前者实现将流量均衡的打到后面VIP上,后者用于由检测被攻击等原因导致的VIP服务故障,及时通知负载均衡,负载均衡实现只将流量打到服务正常的VIP上,自动忽略服务异常的VIP。
VIP集群:方案的核心,用于分散流量,避免被攻击时大面积服务瘫痪,可以将被攻击受损流量降至最低。可以预先配置好备份的VIP,待攻击流量来时,丢弃被攻击的VIP,启用备用VIP,让攻击者无功而返。为了提高可用性,该方案有负载均衡和可用性探测,两个子模块来实现,一个用于对RealServer的可用性检查,一个用于流量均衡,同时自动屏蔽故障RealServer。
RealServer集群:这个属于基本保障模块,如果没有一个RealServer集群,不仅DDOS攻击,稍微大点的正常流量,就可能把RealServer打瘫痪了,DDOS防护则无从谈起。该模块用于提高服务本身的吞吐量,为DDOS防护提供可能性。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种基于故障自动迁移***的DDOS防御方法,其特征在于,包括:
在域名解析时,判断VIP集群中各个VIP地址是否被DDOS攻击;
若判断结果为是,则将被DDOS攻击的VIP地址丢弃,并将流量引导至未被攻击的VIP地址上;
若判断结果为否,则将流量均衡引导至所述VIP集群中各个VIP地址上。
2.根据权利要求1所述的基于故障自动迁移***的DDOS防御方法,其特征在于,所述在域名解析之前,还包括:
用户请求访问Web站点或API站点。
3.根据权利要求1所述的基于故障自动迁移***的DDOS防御方法,其特征在于,所述在判断VIP集群中各个VIP地址是否被DDOS攻击具体包括:
利用健康检查模块对所述VIP集群中各个VIP地址实时探测。
4.根据权利要求1-3任一项所述的基于故障自动迁移***的DDOS防御方法,其特征在于:
还包括多个主机服务器,各个所述VIP地址所转发的请求均落入一台所述主机服务器上。
5.一种DDOS防御***,其特征在于,包括:
判断单元,用于在域名解析时,判断VIP集群中各个VIP地址是否被DDOS攻击;
第一装置输出单元,用于在所述判断单元的判断结果为是时,则将被DDOS攻击的VIP地址丢弃,并将流量引导至未被攻击的VIP地址上;
第二装置输出单元,用于在所述判断单元的判断结果为否时,则将流量均衡引导至所述VIP集群中各个VIP地址上。
6.根据权利要求5所述的DDOS防御***,其特征在于,还包括:
请求单元,用于用户请求访问Web站点或API站点。
7.根据权利要求5所述的DDOS防御***,其特征在于:
健康检查单元,用于对所述VIP集群中各个VIP地址实时探测。
8.根据权利要求5-7任一项所述的DDOS防御***,其特征在于:
转换单元,用于将所述用户请求经由VIP集群,转发至有多个主机服务器所组成集群中的一台主机服务器上。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710514072.1A CN109218250A (zh) | 2017-06-29 | 2017-06-29 | 基于故障自动迁移***的ddos防御方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710514072.1A CN109218250A (zh) | 2017-06-29 | 2017-06-29 | 基于故障自动迁移***的ddos防御方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109218250A true CN109218250A (zh) | 2019-01-15 |
Family
ID=64976455
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710514072.1A Pending CN109218250A (zh) | 2017-06-29 | 2017-06-29 | 基于故障自动迁移***的ddos防御方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109218250A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110012038A (zh) * | 2019-05-29 | 2019-07-12 | 中国人民解放军战略支援部队信息工程大学 | 一种网络攻击防御方法及*** |
| CN112165495A (zh) * | 2020-10-13 | 2021-01-01 | 北京计算机技术及应用研究所 | 一种基于超融合架构防DDoS攻击方法、装置及超融合集群 |
| CN113037716A (zh) * | 2021-02-07 | 2021-06-25 | 杭州又拍云科技有限公司 | 一种基于内容分发网络的攻击防御方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1812344A (zh) * | 2006-03-09 | 2006-08-02 | 杭州华为三康技术有限公司 | 一种实现负载均衡的方法和*** |
| CN101640620A (zh) * | 2009-09-01 | 2010-02-03 | 杭州华三通信技术有限公司 | 一种被均衡设备的健康检测方法及装置 |
| WO2012011070A1 (en) * | 2010-07-21 | 2012-01-26 | Seculert Ltd. | Network protection system and method |
| CN106210147A (zh) * | 2016-09-13 | 2016-12-07 | 郑州云海信息技术有限公司 | 一种基于轮询的负载均衡方法和装置 |
| CN106302313A (zh) * | 2015-05-14 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 基于调度***的DDoS防御方法和DDoS防御*** |
| CN106411910A (zh) * | 2016-10-18 | 2017-02-15 | 上海优刻得信息科技有限公司 | 一种分布式拒绝服务攻击的防御方法与*** |
| US20170111389A1 (en) * | 2015-10-18 | 2017-04-20 | NxLabs Limited | Method and system for protecting domain name system servers against distributed denial of service attacks |
-
2017
- 2017-06-29 CN CN201710514072.1A patent/CN109218250A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1812344A (zh) * | 2006-03-09 | 2006-08-02 | 杭州华为三康技术有限公司 | 一种实现负载均衡的方法和*** |
| CN101640620A (zh) * | 2009-09-01 | 2010-02-03 | 杭州华三通信技术有限公司 | 一种被均衡设备的健康检测方法及装置 |
| WO2012011070A1 (en) * | 2010-07-21 | 2012-01-26 | Seculert Ltd. | Network protection system and method |
| CN106302313A (zh) * | 2015-05-14 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 基于调度***的DDoS防御方法和DDoS防御*** |
| US20170111389A1 (en) * | 2015-10-18 | 2017-04-20 | NxLabs Limited | Method and system for protecting domain name system servers against distributed denial of service attacks |
| CN106210147A (zh) * | 2016-09-13 | 2016-12-07 | 郑州云海信息技术有限公司 | 一种基于轮询的负载均衡方法和装置 |
| CN106411910A (zh) * | 2016-10-18 | 2017-02-15 | 上海优刻得信息科技有限公司 | 一种分布式拒绝服务攻击的防御方法与*** |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110012038A (zh) * | 2019-05-29 | 2019-07-12 | 中国人民解放军战略支援部队信息工程大学 | 一种网络攻击防御方法及*** |
| CN112165495A (zh) * | 2020-10-13 | 2021-01-01 | 北京计算机技术及应用研究所 | 一种基于超融合架构防DDoS攻击方法、装置及超融合集群 |
| CN113037716A (zh) * | 2021-02-07 | 2021-06-25 | 杭州又拍云科技有限公司 | 一种基于内容分发网络的攻击防御方法 |
| CN113037716B (zh) * | 2021-02-07 | 2021-12-21 | 杭州又拍云科技有限公司 | 一种基于内容分发网络的攻击防御方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3304824B1 (en) | Policy-driven compliance | |
| EP3270564B1 (en) | Distributed security provisioning | |
| US9984241B2 (en) | Method, apparatus, and system for data protection | |
| KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
| CN109962903A (zh) | 一种家庭网关安全监控方法、装置、***和介质 | |
| CN105282169A (zh) | 基于SDN控制器阈值的DDoS攻击预警方法及其*** | |
| CN104509034A (zh) | 模式合并以识别恶意行为 | |
| WO2016191232A1 (en) | Mitigation of computer network attacks | |
| WO2020171410A1 (ko) | 멀티 도메인에서 데이터를 수집하는 방법, 장치 및 컴퓨터 프로그램 | |
| TWI492090B (zh) | 分散式阻斷攻擊防護系統及其方法 | |
| CN106850647B (zh) | 基于dns请求周期的恶意域名检测算法 | |
| CN103297433A (zh) | 基于网络数据流的http僵尸网络检测方法及*** | |
| CN109218250A (zh) | 基于故障自动迁移***的ddos防御方法及*** | |
| CN110896386B (zh) | 识别安全威胁的方法、装置、存储介质、处理器和终端 | |
| Somani et al. | DDoS victim service containment to minimize the internal collateral damages in cloud computing | |
| CN107426132A (zh) | 网络攻击的检测方法和装置 | |
| Suthar et al. | A signature-based botnet (emotet) detection mechanism | |
| Sultana et al. | Detecting and preventing ip spoofing and local area network denial (land) attack for cloud computing with the modification of hop count filtering (hcf) mechanism | |
| Li et al. | A hierarchical mobile‐agent‐based security operation center | |
| TW201815142A (zh) | 通過代理伺服器日誌偵測domain flux殭屍網路的方法 | |
| Jin et al. | Mitigating HTTP GET Flooding attacks through modified NetFPGA reference router | |
| Leu et al. | A DoS/DDoS attack detection system using chi-square statistic approach | |
| US20220394059A1 (en) | Lightweight tuned ddos protection | |
| Tang | Vulnerability evaluation of multimedia subsystem based on complex network | |
| TWI772832B (zh) | 網路正常行為之資安盲點偵測系統及其方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190115 |
|
| RJ01 | Rejection of invention patent application after publication |