CN113315853B - 一种云防护节点调度方法、***及存储介质 - Google Patents
一种云防护节点调度方法、***及存储介质 Download PDFInfo
- Publication number
- CN113315853B CN113315853B CN202110578577.0A CN202110578577A CN113315853B CN 113315853 B CN113315853 B CN 113315853B CN 202110578577 A CN202110578577 A CN 202110578577A CN 113315853 B CN113315853 B CN 113315853B
- Authority
- CN
- China
- Prior art keywords
- alias
- domain name
- protection
- node
- cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种云防护节点调度方法、***及存储介质,方法包括:DNS管理***在接收到客户端发送的域名解析请求时,提取域名解析请求中的防护域名,并利用防护域名对应的第一别名记录,解析第一别名;第一别名为防护域名专属的域名别名;利用第一别名对应的第二别名记录,解析第二别名,并确定与第二别名建立绑定关系的多个节点IP地址;将节点IP地址输入云防护节点调度算法,确定可用的目标节点IP地址,并将目标节点IP地址发送至客户端,以使客户端将发向防护域名的数据发送至目标节点IP地址对应的云防护节点。本方法对多个云防护节点IP地址进行统一调度,可有效确保节点可用,进而避免单节点离线所导致的源站站点无法访问问题。
Description
技术领域
本发明涉及云防护领域,特别涉及一种云防护节点调度方法、***及存储介质。
背景技术
随着网络安全意识的不断增强,越来越多网站选择将源站站点接入云防护平台,并利用云防护平台进行网络攻击防御。相关技术中,用户为需要保护的防护域名设置域名别名,并将该域名别名指向云防护节点的节点IP地址,这样其他客户端便可通过DNS管理***首先得到节点IP地址,并将发往该防护域名的数据发向该节点IP地址,以使该数据在通过云防护节点的攻击检测后再发往防护域名原先指向的源站IP地址。然而,当云防护节点出现服务异常,或当节点IP地址被运营商封禁时,发送至防护域名的数据将无法到达源站IP地址对应的服务器,进而导致客户端无法访问源站站点,影响源站站点的正常运行。
发明内容
本发明的目的是提供一种云防护节点调度方法、***及存储介质,可对多个云防护节点的节点IP地址进行统一调度,在确保节点IP地址对应的云防护节点可用后才向发送域名解析请求的客户端返回节点IP地址,可有效确保云防护节点有效可靠,进而避免单节点离线所导致的源站站点无法访问问题。
为解决上述技术问题,本发明提供一种云防护节点调度方法,包括:
DNS管理***在接收到客户端发送的域名解析请求时,提取所述域名解析请求中的防护域名,并利用所述防护域名对应的第一别名记录,解析第一别名;所述第一别名为所述防护域名专属的域名别名;
利用所述第一别名对应的第二别名记录,解析第二别名,并确定与所述第二别名建立绑定关系的多个节点IP地址;
将所述节点IP地址输入云防护节点调度算法,确定可用的目标节点IP地址,并将所述目标节点IP地址发送至所述客户端,以使所述客户端将发向所述防护域名的数据发送至所述目标节点IP地址对应的云防护节点。
可选地,在DNS管理***接收客户端发送的域名解析请求之前,还包括:
云防护管理平台在接收到配置请求时,从所述配置请求中提取待配置防护域名及对应的待配置第一别名,将所述待配置防护域名的第一别名记录,设置为指向所述待配置第一别名,并确定所述待配置防护域名的主域名;
判断是否配置有归属于所述主域名的其他防护域名;
若是,则查找与所述主域名对应的第二别名,并将所述待配置第一别名的第二别名记录,设置为指向所述主域名对应的第二别名;
若否,则确定每一所述第二别名对应的主域名数量,并将所述待配置第一别名的第二别名记录,设置为指向所述主域名数量最小的第二别名;
将所述待配置防护域名的第一别名记录及所述待配置第一别名的第二别名记录写入所述DNS管理***。
可选地,在确定每一所述第二别名对应的主域名数量之后,还包括:
所述云防护管理平台判断所述主域名数量中的最小值是否大于等于预设阈值;
若是,则生成告警信息,并将所述告警信息发送至告警服务器,以使所述告警服务器执行告警操作;
若否,则执行所述将所述待配置第一别名的第二别名记录,设置为指向所述主域名数量最少的第二别名的步骤。
可选地,在将所述待配置防护域名的第一别名记录及所述待配置第一别名的第二别名记录写入所述DNS管理***之后,还包括:
所述云防护管理平台在接收到域名移除请求时,将所述域名移除请求中的防护域名设置为待移除防护域名,并利用所述待移除防护域名的第一别名记录,确定待移除第一别名;
所述云防护管理平台在所述DNS管理***中,将所述待移除防护域名对应的第一别名记录及所述待移除第一别名的第二别名记录移除。
可选地,在DNS管理***接收到客户端发送的域名解析请求之后,还包括:
所述DNS管理***提取所述域名解析请求中的源IP地址;
相应的,所述云防护节点调度算法根据所述节点IP地址对应云防护节点的运行情况,以及所述源地址所属的地区信息和/或运营商信息确定所述目标节点IP地址。
本发明还提供一种云防护节点调度***,包括:DNS管理***和云防护节点,其中,
DNS管理***,用于在接收到客户端发送的域名解析请求时,提取所述域名解析请求中的防护域名,并利用所述防护域名对应的第一别名记录,解析第一别名;所述第一别名为所述防护域名专属的域名别名;利用所述第一别名对应的第二别名记录,解析第二别名,并确定与所述第二别名建立绑定关系的多个节点IP地址;将所述节点IP地址输入云防护节点调度算法,确定可用的目标节点IP地址,并将所述目标节点IP地址发送至所述客户端,以使所述客户端将发向所述防护域名的数据发送至所述目标节点IP地址对应的云防护节点;
所述云防护节点,用于对所述客户端向所述防护域名发送的数据进行攻击检测。
可选地,还包括:云防护管理平台,其中,
所述云防护管理平台,用于在接收到配置请求时,从所述配置请求中提取待配置防护域名及对应的待配置第一别名,将所述待配置防护域名的第一别名记录,设置为指向所述待配置第一别名,并确定所述待配置防护域名的主域名;判断是否配置有归属于所述主域名的其他防护域名;若是,则查找与所述主域名对应的第二别名,并将所述待配置第一别名的第二别名记录,设置为指向所述主域名对应的第二别名;若否,则确定每一所述第二别名对应的主域名数量,并将所述待配置第一别名的第二别名记录,设置为指向所述主域名数量最小的第二别名;将所述待配置防护域名的第一别名记录及所述待配置第一别名的第二别名记录写入所述DNS管理***;
所述DNS管理***,还用于保存接收到的第一别名记录和第二别名记录。
可选地,还包括:告警服务器,其中,
所述云防护管理平台,还用于判断所述主域名数量中的最小值是否大于等于预设阈值;若是,则生成告警信息,并将所述告警信息发送至告警服务器,以使所述告警服务器执行告警操作;若否,则执行所述将所述待配置第一别名的第二别名记录,设置为指向所述主域名数量最少的第二别名的步骤;
所述告警服务器,用于在接收到所述告警信息时执行告警操作。
可选地,
所述云防护管理平台,还用于在接收到域名移除请求时,将所述域名移除请求中的防护域名设置为待移除防护域名,并利用所述待移除防护域名的第一别名记录,确定待移除第一别名;在所述DNS管理***中,将所述待移除防护域名对应的第一别名记录及所述待移除第一别名的第二别名记录移除。
本发明还提供一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任一项所述的云防护节点调度方法的步骤。
本发明提供一种云防护节点调度方法,包括DNS管理***在接收到客户端发送的域名解析请求时,提取所述域名解析请求中的防护域名,并利用所述防护域名对应的第一别名记录,解析第一别名;所述第一别名为所述防护域名专属的域名别名;利用所述第一别名对应的第二别名记录,解析第二别名,并确定与所述第二别名建立绑定关系的多个节点IP地址;将所述节点IP地址输入云防护节点调度算法,确定可用的目标节点IP地址,并将所述目标节点IP地址发送至所述客户端,以使所述客户端将发向所述防护域名的数据发送至所述目标节点IP地址对应的云防护节点。
可见,本方法使用第二别名对多个节点IP地址进行统一调度,当DNS管理***解析出域名解析请求中的防护域名对应的第一别名后,会进一步确定第一别名对应的第二别名,由于第二别名绑定有多个节点IP地址,因此DNS管理***可将这些节点IP地址输入云防护节点调度算法,对节点IP地址的可用性进行检测,并在确定出可用的目标节点IP地址之后,才会将目标节点IP地址发送至客户端,可首先确保目标节点IP地址对应的云防护节点可用,能够对客户端发送的数据进行有效攻击检测;同时由于第二别名绑定有多个节点IP地址,当某个节点IP地址出现异常无法使用时,还能够切换其他正常的节点IP地址进行攻击检测,可有效避免相关技术采用单个节点IP地址进行攻击检测所导致的源站站点无法访问问题,最终提升云防护节点攻击检测功能的有效性及可靠性。本发明还提供一种云防护节点调度***及存储介质,具有上述有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例所提供的一种云防护节点调度方法的流程图;
图2为本发明实施例所提供的云防护管理平台添加防护域名的流程图;
图3为本发明实施例所提供的云防护管理平台删除防护域名的流程图;
图4a为本发明实施例所提供的一种云防护节点调度***的结构框图;
图4b为本发明实施例所提供的另一种云防护节点调度***的结构框图;
图4c为本发明实施例所提供的又一种云防护节点调度***的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
相关技术中,用户为需要保护的防护域名设置域名别名,并将该域名别名指向云防护节点的节点IP地址,这样其他客户端便可通过DNS管理***首先得到节点IP地址,并将发往该防护域名的数据发向该节点IP地址,以使该数据在通过云防护节点的攻击检测后再发往防护域名原先指向的源站IP地址。然而,当云防护节点出现服务异常,或当节点IP地址被运营商封禁时,发送至防护域名的数据将无法到达源站IP地址对应的服务器,进而导致客户端无法访问源站站点,影响源站站点的正常运行。有鉴于此,本发明提供一种云防护节点调度方法,可对多个云防护节点的节点IP地址进行统一调度,在确保节点IP地址对应的云防护节点可用后才向发送域名解析请求的客户端返回节点IP地址,可有效确保云防护节点有效可靠,进而避免单节点离线所导致的源站站点无法访问问题。请参考图1,图1为本发明实施例所提供的一种云防护节点调度方法的流程图,该方法可以包括:
S101、DNS管理***在接收到客户端发送的域名解析请求时,提取域名解析请求中的防护域名,并利用防护域名对应的第一别名记录,解析第一别名;第一别名为防护域名专属的域名别名。
域名别名(CNAME)是一种用于设置域名之间或域名与IP地址之间的映射关系的域名。在本发明实施例中,被云防护节点进行攻击防护的域名为防护域名,而第一别名正是防护域名用于映射至云防护节点IP地址的域名别名。可以理解的是,第一别名为防护域名专属的域名别名,换句话说,第一别名与防护域名的对应关系为一对一。
需要说明的是,本发明实施例并不限定防护域名的具体形式,具体可参考网络域名的相关技术。可以理解的是,防护域名为用户向云防护节点服务商提供的域名,其内容可由用户自由设置。本发明实施例也不限定第一别名的具体形式,第一别名与防护域名一样,也可自由设置。首先可以理解的是,由于第一别名的作用为映射至云防护节点,因此第一别名的主域名可设置为云防护节点服务商的主域名;此外,为了便于管理,第一别名可进一步设置与防护域名相关的内容。例如,当云防护节点服务商的主域名为yunfanghu.com,而防护域名为www.abc.com时,此时该防护域名的第一别名可设置为abc-com.yunfanghu.com。当然,若防护域名为example.abc.com时,第一别名也可设置为example-abc-com.yunfanghu.com。进一步,为了提高第一别名的规范程度,以便高效管理,也可使用统一的命名模板对防护域名进行调整,以得到第一别名。需要说明的是,本发明实施例并不限定具体的命名模板,同样可根据实际应用情况进行灵活调整。
进一步,可以理解的是,第一别名记录的具体内容为防御域名与第一别名之间的映射关系。本发明实施例并不限定第一别名记录的具体形式,可参考DNS(Domain NameSystem)域名***的相关技术。本发明也不限定域名解析请求的具体形式及内容,可参考DNS域名***的相关技术。
S102、利用第一别名对应的第二别名记录,解析第二别名,并确定与第二别名建立绑定关系的多个节点IP地址。
相关技术中,由于第一别名直接指向节点IP地址,因此DNS管理***在解析得到第一别名后,便会直接将第一别名对应的节点IP地址返回至客户端,以使客户端将发向防护域名的数据发送至节点IP地址。然而,当节点IP地址对应的云防护节点不可用,或是节点IP地址被运营商封禁时,此时客户端发向节点IP地址的数据将无法进一步发送至防护域名源站站点的IP地址,导致源站站点无法正常工作;同样,由于节点IP地址不可用,因此客户端也无法通过节点IP地址溯源到防护域名源站站点的IP地址,进而造成源站站点无法访问。而在本发明实施例中,第一别名将不会直接指向节点IP地址,而是指向第二别名,第二别名下绑定有多个节点IP地址,而DNS管理***将会从这些节点IP地址中选择可用的节点IP地址发送至客户端,可有效确保云防护节点可用,进而避免由云防护节点失效导致的防护域名源站站点无法访问的情况。
需要说明的是,第二别名同样为域名别名,其内容同样可根据实际应用需求进行灵活调整。可以理解的是,第二别名归属于云防护节点服务商,为用于调度节点IP地址的专用域名别名,因此第二别名的具体内容可与云防护节点服务商的主域名有关。例如云防护节点服务商的主域名为yunfanghu.com,此时第二别名可以为second.yunfanghu.com。本发明实施例也不限定第二别名的数量,该数量可根据实际应用需求进行设置。可以理解的是,当第二别名具有多个时,在为第二别名命名过程中可进行排序,例如second1.yunfanghu.com、second2.yunfanghu.com……secondn.yunfanghu.com。
进一步,可以理解的是,为了提升第二别名的利用率,可将多个第一别名设置为指向同一个第二别名,换句话说,第一别名与第二别名之间的数量对应关系为多对一。同样可以理解的是,可以为第二别名设置映射上限,即只能有有限数量的第一别名指向同一第二别名。需要说明的是,本发明实施例并不限定映射上限的具体数值,可根据实际应用需求进行设置。当然,由于带有相同主域名的防护域名通常来自于同一公司,例如example1.abc.com、example2.abc.com、example3.abc.com均带有相同的主域名abc.com,而该主域名通常来自于同一公司,为了有效地对同一公司的防护域名进行管理,第二别名的也可以设置与主域名有关的映射上限,即第二别名只能由有限数量的主域名进行指向。例如对于防护域名example1.abc.com、example2.abc.com,它们的第一别名分别为example1-abc-com.yunfanghu.comexample2-abc-com.yunfanghu.com,这两个第一别名均指向second.yunfanghu.com这一第二别名,由于防护域名均具有相同的主域名abc.com,因此此时第二别名second.yunfanghu.com对应的主域名数量为1;又例如,对于防护域名example.abc1.com、example.ab2c.com,它们的第一别名为example-abc1-com.yunfanghu.com、example-abc2-com.yunfanghu.com,这两个第一别名均指向second.yunfanghu.com这一第二别名,由于防护域名具有不同的主域名,即abc1.com和abc2.com,因此此时第二别名second.yunfanghu.com对应的主域名数量为2。为了有效地对同一公司的防护域名进行管理,在本发明实施例中,第二别名的可以设置与主域名有关的映射上限,即第二别名只能由有限数量的主域名进行指向。需要说明的是,本发明实施例并不限定每一第二别名对应的映射上限的具体数值,可根据实际应用需求进行设置。
进一步,本发明实施例并不限定每个第二别名所绑定的节点IP地址的数量,可根据实际应用需求进行设置。本发明也不限定确定与第二别名建立绑定关系的节点IP地址的具体方式,例如可通过A(Address)记录进行确定,可参考DNS的相关技术。
S103、将节点IP地址输入云防护节点调度算法,确定可用的目标节点IP地址,并将目标节点IP地址发送至客户端,以使客户端将发向防护域名的数据发送至目标节点IP地址对应的云防护节点。
需要说明的是,本发明实施例并不限定云防护节点调度算法的具体实现方式及过程,只要该算法能够在输入的节点IP地址中选择可用的目标节点IP地址即可。可以理解的是,为了确保节点IP地址可用,该算法可使用网络诊断工具(ping,Packet InternetGrouper)对节点IP地址进行访问诊断,也可获取云防护节点的运行情况,例如云防护服务正常运行或异常运行的信息、具体的运算资源(CPU、硬盘等)占有率等,并根据运行情况确定云防护节点是否正常工作,进而确定可用的节点IP地址。由于具体的云防护节点运行情况能够整体有效地反映云防护节点的工作情况,因此在本发明实施例中,云防护节点调度算法可根据节点IP地址对应云防护节点的运行情况确定目标节点IP地址。
进一步,考虑到云防护节点可能设置与多个地区及运营商,为了进一步提升客户端访问防护域名源站站点的速度,DNS管理***在获取到域名解析请求时,也可进一步提取该请求中的源IP地址(即客户端对应的IP地址),并根据源IP地址对应的地区信息、所属的运营商信息或地区信息与运营商信息的组合,进一步在可用的节点IP地址中确定该客户端可快速访问的节点IP地址。
在一种可能的情况中,在DNS管理***接收到客户端发送的域名解析请求之后,还包括:
步骤11:DNS管理***提取域名解析请求中的源IP地址。
相应的,云防护节点调度算法根据节点IP地址对应云防护节点的运行情况,以及源地址所属的地区信息和/或运营商信息确定目标节点IP地址。
最后,需要说明的是,本发明实施例并不限定具体的DNS管理***,只要能够实现上述功能即可,具体的DNS管理***或DNS管理设备可参考DNS的相关技术。
基于上述实施例,本方法使用第二别名对多个节点IP地址进行统一调度,当DNS管理***解析出域名解析请求中的防护域名对应的第一别名后,会进一步确定第一别名对应的第二别名,由于第二别名绑定有多个节点IP地址,因此DNS管理***可将这些节点IP地址输入云防护节点调度算法,对节点IP地址的可用性进行检测,并在确定出可用的目标节点IP地址之后,才会将目标节点IP地址发送至客户端,可首先确保目标节点IP地址对应的云防护节点可用,能够对客户端发送的数据进行有效攻击检测;同时由于第二别名绑定有多个节点IP地址,当某个节点IP地址出现异常无法使用时,还能够切换其他正常的节点IP地址进行攻击检测,可有效避免相关技术采用单个节点IP地址进行攻击检测所导致的源站站点无法访问问题,最终提升云防护节点攻击检测功能的有效性及可靠性。
基于上述实施例,可以理解的是为了让DNS管理***根据防护域名解析出相应的节点IP地址,需要将防护域名的第一别名记录及第二别名记录设置于DNS管理***中。下面对防护域名的第一别名记录及第二别名记录的设置方式进行介绍,在DNS管理***接收客户端发送的域名解析请求之前,还可以包括:
S201、云防护管理平台在接收到配置请求时,从配置请求中提取待配置防护域名及对应的待配置第一别名,将待配置防护域名的第一别名记录,设置为指向待配置第一别名,并确定待配置防护域名的主域名。
在本发明实施例中,第一别名记录和第二别名记录的设置功能可由云防护管理平台实现,该平台为独立于DNS管理***的单独平台。需要说明的是,本发明实施例并不限定云防护管理平台的具体硬件结构,只要其能够完成本发明实施例中相应的功能即可,可根据实际应用需求进行设定。
进一步,可以理解的是,配置请求为用于设置第一别名记录和第二别名记录的请求,该请求可在云防护管理平台上进行人工输入,或是由用户通过客户端向云防护管理平台进行发送,关于配置请求信息的生成及发送方式在本发明实施例中不做限定。进一步,为了有效设置别名记录,配置请求中至少包含待配置防护域名及对应的待配置第一别名;当然,为了进一步设置与待配置防护域名相关的云防护节点,配置请求中也可以包含待配置防护域名对应的源站点IP地址,这样云防护管理平台在完成第一别名记录和第二别名记录的设置之后,便可将待配置防护域名的源站点IP地址写入相应的云防护节点中。
进一步,需要说明的是,本发明实施例并不限定确定待配置防护域名的主域名的具体方式,可参考域名的相关技术。
S202、判断是否配置有归属于主域名的其他防护域名;若是,则进入步骤S203;若否,则进入步骤S204。
考虑到拥有相同主域名的防护域名通常来自同一公司,为了对防护域名进行有效管理,在本发明实施例中,利用同一第二别名对拥有相同主域名的防护域名进行统一管理,因此本步骤的目的在于查找待配置防御域名所归属的主域名下是否配置有其他防御域名,若有,则将待配置防护域名的第一别名指向其他防御域名对应的第二别名。
S203、查找与主域名对应的第二别名,并将待配置第一别名的第二别名记录,设置为指向主域名对应的第二别名。
S204、确定每一第二别名对应的主域名数量,并将待配置第一别名的第二别名记录,设置为指向主域名数量最小的第二别名。
当待配置防护域名的主域名并不具有已设置过的防护域名时,此时云防护管理平台将会确定每个第二别名对应的主域名数量,以将待配置防护域名分配至主域名数量最少的第二别名中,进而确保每一第二别名的负载平衡。可以理解的是,当主域名数量最小的第二别名有多个时,可按照一定顺序从这些第二别名中选择一个进行设置。
进一步,若云防护管理平台在每次设置待配置防御域名时,都需重新确定第二别名对应的主域名数量,将会导致设置效率下降,因此可以为每一第二别名设置对应的计数器,以记录第二别名被消费的次数,并在每次完成将待配置第一别名的第二别名记录设置为指向主域名数量最小的第二别名的步骤后,便将对应的第二别名的计数器加一,这样云防护管理平台仅需读取计数器值便可快速确定第二别名对应的主域名数量。
进一步,在本发明实施例中,为了确保每一第二别名仅服务有限数量的主域名,可为第二别名设置对应的主域名数量上限,并在确定每一第二别名对应的主域名数量之后,进一步确定主域名数量中的最小值是否大于该主域名数量上限。若是,则可确定所有第二别名均已满,进而便可执行相应的告警操作,以提醒管理人员进行扩容。需要说明的是,本发明实施例并不限定每一第二别名对应的主域名数量上限的具体数值,可根据实际应用需求进行设定;本发明实施例也不限定具体的告警操作,例如显示告警信息,播放告警音频、视频;当然,也可以生成告警信息并发送至告警服务器,以使告警服务器执行上述告警操作。为了对云防护节点调度***进行有效管理,并明确划分各设备的具体功能,在本发明实施例中,云防护管理平台可生成告警信息并发送至告警服务器,以使告警服务器执行上述告警操作。
在一种可能的情况中,在确定每一第二别名对应的主域名数量之后,还可以包括:
步骤21:云防护管理平台判断主域名数量中的最小值是否大于等于预设阈值;若是,则进入步骤22;若否,则进入步骤23。
需要说明的是,该预设阈值变为上述主域名数量上限。当然,为了进一步提升管理人员的管理效率,也可以设置一个预警阈值,以使云防护管理平台在确定主域名数量中的最小值到达该预警阈值时,执行相应的预警操作。需要说明的是,本发明对预警操作的限定描述,与上述对告警操作的限定描述一致。
步骤22:生成告警信息,并将告警信息发送至告警服务器,以使告警服务器执行告警操作。
步骤23:执行将待配置第一别名的第二别名记录,设置为指向主域名数量最少的第二别名的步骤。
S205、将待配置防护域名的第一别名记录及待配置第一别名的第二别名记录写入DNS管理***。
进一步,可以理解的是,云防护管理平台同样可将已配置过的防护域名进行删除,并将已删除的防护域名在DNS管理***中的第一别名记录和第二别名记录进行删除。
在一种可能的情况中,在将待配置防护域名的第一别名记录及待配置第一别名的第二别名记录写入DNS管理***之后,还可以包括:
步骤31:云防护管理平台在接收到域名移除请求时,将域名移除请求中的防护域名设置为待移除防护域名,并利用待移除防护域名的第一别名记录,确定待移除第一别名;
步骤32:云防护管理平台在DNS管理***中,将待移除防护域名对应的第一别名记录及待移除第一别名的第二别名记录移除。
需要说明的是,若为每一第二别名设置有记录主域名数量的计数器,在移除防护域名的同时,云防护管理平台也需要确定待移除防御域名对应的主域名下是否配置有其他未被移除的防护域名,若是,则直接将待移除防护域名及对应的第一别名记录、第二别名记录移除即可;若否,则需要将待移除防护域名对应第二别名的计数器减一,并将待移除防护域名及对应的第一别名记录、第二别名记录移除。
基于上述实施例,本方法可通过云防护管理平台实现对防护域名的有效设置和管理,并在设置防护域名的过程中,将相应的第一别名记录和第二别名记录写入DNS管理***,以便DNS管理***根据该第一别名记录和第二别名记录进行有效解析。
下面结合具体的流程图介绍云防护管理平台对防护域名的设置过程,请参考图2,图2为本发明实施例所提供的云防护管理平台添加防护域名的流程图,该流程可以包括:
1、云防护管理平台在接收到配置请求时,从配置请求中提取待配置防护域名及对应的待配置第一别名,将待配置防护域名的第一别名记录,设置为指向待配置第一别名,并确定待配置防护域名的主域名;
2、判断是否配置有归属于主域名的其他防护域名;若是,则进入步骤3;若否,则进入步骤4;
3、查找与主域名对应的第二别名,并将待配置第一别名的第二别名记录,设置为指向主域名对应的第二别名,最后退出流程;
4、获取每一第二别名对应的主域名数量,并判断主域名数量中的最小值是否大于等于告警阈值;若是,则进入步骤5;若否,则进入步骤6;
5、生成告警信息,并将告警信息发送至告警服务器,以使告警服务器执行告警操作,并进入步骤8;
6、判断主域名数量中的最小值是否大于等于预警阈值;若是,则进入步骤7;若否,则进入步骤8;其中,预警阈值小于告警阈值;
5、生成预警信息,并将预警信息发送至告警服务器,以使告警服务器执行预警操作,并进入步骤8;
8、将待配置第一别名的第二别名记录,设置为指向主域名数量最小的第二别名,并将该第二别名对应的主域名数量加一,
9、将待配置防护域名的第一别名记录及待配置第一别名的第二别名记录写入DNS管理***。
请参考图3,图3为本发明实施例所提供的云防护管理平台删除防护域名的流程图,该流程可以包括:
1、云防护管理平台在接收到域名移除请求时,将域名移除请求中的防护域名设置为待移除防护域名,并利用待移除防护域名的第一别名记录,确定待移除第一别名;
2、判断待移除防护域名的主域名是否配置有其他未删除的防护域名;若是,则进入步骤3;若否,则进入步骤4;
3、将该主域名对应的第二别名的主域名数量减一,并进入步骤4;
4、在DNS管理***中,将待移除防护域名对应的第一别名记录及待移除第一别名的第二别名记录移除。
下面对本发明实施例提供的一种云防护节点调度***及存储介质进行介绍,下文描述的云防护节点调度***及存储介质与上文描述的云防护节点调度方法可相互对应参照。
请参考图4a,图4a为本发明实施例所提供的一种云防护节点调度***的结构框图,该***包括:DNS管理***401和云防护节点402,其中,
DNS管理***401,用于在接收到客户端发送的域名解析请求时,提取域名解析请求中的防护域名,并利用防护域名对应的第一别名记录,解析第一别名;第一别名为防护域名专属的域名别名;利用第一别名对应的第二别名记录,解析第二别名,并确定与第二别名建立绑定关系的多个节点IP地址;将节点IP地址输入云防护节点调度算法,确定可用的目标节点IP地址,并将目标节点IP地址发送至客户端,以使客户端将发向防护域名的数据发送至目标节点IP地址对应的云防护节点402;
云防护节点402,用于对客户端向防护域名发送的数据进行攻击检测。
可选地,请参考图4b,图4b为本发明实施例所提供的另一种云防护节点调度***的结构框图,该***还可以包括:云防护管理平台403,其中,
云防护管理平台403,用于在接收到配置请求时,从配置请求中提取待配置防护域名及对应的待配置第一别名,将待配置防护域名的第一别名记录,设置为指向待配置第一别名,并确定待配置防护域名的主域名;判断是否配置有归属于主域名的其他防护域名;若是,则查找与主域名对应的第二别名,并将待配置第一别名的第二别名记录,设置为指向主域名对应的第二别名;若否,则确定每一第二别名对应的主域名数量,并将待配置第一别名的第二别名记录,设置为指向主域名数量最小的第二别名;将待配置防护域名的第一别名记录及待配置第一别名的第二别名记录写入DNS管理***401;
DNS管理***401,还用于保存接收到的第一别名记录和第二别名记录。
可选地,请参考图4c,图4c为本发明实施例所提供的又一种云防护节点调度***的结构框图,该***还可以包括:告警服务器404,其中,
云防护管理平台403,还用于判断主域名数量中的最小值是否大于等于预设阈值;若是,则生成告警信息,并将告警信息发送至告警服务器404,以使告警服务器执行告警操作;若否,则执行将待配置第一别名的第二别名记录,设置为指向主域名数量最少的第二别名的步骤;
告警服务器404,用于在接收到告警信息时执行告警操作。
可选地,云防护管理平台403,还用于在接收到域名移除请求时,将域名移除请求中的防护域名设置为待移除防护域名,并利用待移除防护域名的第一别名记录,确定待移除第一别名;在DNS管理***401中,将待移除防护域名对应的第一别名记录及待移除第一别名的第二别名记录移除。
可选地,DNS管理***401,还用于在接收到客户端发送的域名解析请求时,提取域名解析请求中的源IP地址;
相应的,DNS管理***401中的云防护节点调度算法根据节点IP地址对应云防护节点的运行情况,以及源地址所属的地区信息和/或运营商信息确定目标节点IP地址。
本发明实施例还提供一种存储介质,存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述任意实施例的云防护节点调度方法的步骤。
由于存储介质部分的实施例与云防护节点调度方法部分的实施例相互对应,因此存储介质部分的实施例请参见云防护节点调度方法部分的实施例的描述,这里暂不赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本发明所提供的一种云防护节点调度方法、***及存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (8)
1.一种云防护节点调度方法,其特征在于,包括:
DNS管理***在接收到客户端发送的域名解析请求时,提取所述域名解析请求中的防护域名,并利用所述防护域名对应的第一别名记录,解析第一别名;所述第一别名为所述防护域名专属的域名别名;
利用所述第一别名对应的第二别名记录,解析第二别名,并确定与所述第二别名建立绑定关系的多个节点IP地址;
将所述节点IP地址输入云防护节点调度算法,确定可用的目标节点IP地址,并将所述目标节点IP地址发送至所述客户端,以使所述客户端将发向所述防护域名的数据发送至所述目标节点IP地址对应的云防护节点;
在DNS管理***接收客户端发送的域名解析请求之前,还包括:
云防护管理平台在接收到配置请求时,从所述配置请求中提取待配置防护域名及对应的待配置第一别名,将所述待配置防护域名的第一别名记录,设置为指向所述待配置第一别名,并确定所述待配置防护域名的主域名;
判断是否配置有归属于所述主域名的其他防护域名;
若是,则查找与所述主域名对应的第二别名,并将所述待配置第一别名的第二别名记录,设置为指向所述主域名对应的第二别名;
若否,则确定每一所述第二别名对应的主域名数量,并将所述待配置第一别名的第二别名记录,设置为指向所述主域名数量最小的第二别名;
将所述待配置防护域名的第一别名记录及所述待配置第一别名的第二别名记录写入所述DNS管理***。
2.根据权利要求1所述的云防护节点调度方法,其特征在于,在确定每一所述第二别名对应的主域名数量之后,还包括:
所述云防护管理平台判断所述主域名数量中的最小值是否大于等于预设阈值;
若是,则生成告警信息,并将所述告警信息发送至告警服务器,以使所述告警服务器执行告警操作;
若否,则执行所述将所述待配置第一别名的第二别名记录,设置为指向所述主域名数量最少的第二别名的步骤。
3.根据权利要求1所述的云防护节点调度方法,其特征在于,在将所述待配置防护域名的第一别名记录及所述待配置第一别名的第二别名记录写入所述DNS管理***之后,还包括:
所述云防护管理平台在接收到域名移除请求时,将所述域名移除请求中的防护域名设置为待移除防护域名,并利用所述待移除防护域名的第一别名记录,确定待移除第一别名;
所述云防护管理平台在所述DNS管理***中,将所述待移除防护域名对应的第一别名记录及所述待移除第一别名的第二别名记录移除。
4.根据权利要求1所述的云防护节点调度方法,其特征在于,在DNS管理***接收到客户端发送的域名解析请求之后,还包括:
所述DNS管理***提取所述域名解析请求中的源IP地址;
相应的,所述云防护节点调度算法根据所述节点IP地址对应云防护节点的运行情况,以及所述源IP地址所属的地区信息和/或运营商信息确定所述目标节点IP地址。
5.一种云防护节点调度***,其特征在于,包括:DNS管理***和云防护节点,其中,
DNS管理***,用于在接收到客户端发送的域名解析请求时,提取所述域名解析请求中的防护域名,并利用所述防护域名对应的第一别名记录,解析第一别名;所述第一别名为所述防护域名专属的域名别名;利用所述第一别名对应的第二别名记录,解析第二别名,并确定与所述第二别名建立绑定关系的多个节点IP地址;将所述节点IP地址输入云防护节点调度算法,确定可用的目标节点IP地址,并将所述目标节点IP地址发送至所述客户端,以使所述客户端将发向所述防护域名的数据发送至所述目标节点IP地址对应的云防护节点;
所述云防护节点,用于对所述客户端向所述防护域名发送的数据进行攻击检测;
所述云防护节点调度***,还包括:云防护管理平台,其中,
所述云防护管理平台,用于在接收到配置请求时,从所述配置请求中提取待配置防护域名及对应的待配置第一别名,将所述待配置防护域名的第一别名记录,设置为指向所述待配置第一别名,并确定所述待配置防护域名的主域名;判断是否配置有归属于所述主域名的其他防护域名;若是,则查找与所述主域名对应的第二别名,并将所述待配置第一别名的第二别名记录,设置为指向所述主域名对应的第二别名;若否,则确定每一所述第二别名对应的主域名数量,并将所述待配置第一别名的第二别名记录,设置为指向所述主域名数量最小的第二别名;将所述待配置防护域名的第一别名记录及所述待配置第一别名的第二别名记录写入所述DNS管理***;
所述DNS管理***,还用于保存接收到的第一别名记录和第二别名记录。
6.根据权利要求5所述的云防护节点调度***,其特征在于,还包括:告警服务器,其中,
所述云防护管理平台,还用于判断所述主域名数量中的最小值是否大于等于预设阈值;若是,则生成告警信息,并将所述告警信息发送至告警服务器,以使所述告警服务器执行告警操作;若否,则执行所述将所述待配置第一别名的第二别名记录,设置为指向所述主域名数量最少的第二别名的步骤;
所述告警服务器,用于在接收到所述告警信息时执行告警操作。
7.根据权利要求5所述的云防护节点调度***,其特征在于,
所述云防护管理平台,还用于在接收到域名移除请求时,将所述域名移除请求中的防护域名设置为待移除防护域名,并利用所述待移除防护域名的第一别名记录,确定待移除第一别名;在所述DNS管理***中,将所述待移除防护域名对应的第一别名记录及所述待移除第一别名的第二别名记录移除。
8.一种存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述的云防护节点调度方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110578577.0A CN113315853B (zh) | 2021-05-26 | 2021-05-26 | 一种云防护节点调度方法、***及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110578577.0A CN113315853B (zh) | 2021-05-26 | 2021-05-26 | 一种云防护节点调度方法、***及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113315853A CN113315853A (zh) | 2021-08-27 |
| CN113315853B true CN113315853B (zh) | 2023-03-24 |
Family
ID=77374951
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110578577.0A Active CN113315853B (zh) | 2021-05-26 | 2021-05-26 | 一种云防护节点调度方法、***及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113315853B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114143332B (zh) * | 2021-11-03 | 2024-06-11 | 阿里巴巴(中国)有限公司 | 基于内容分发网络cdn的处理方法、电子设备和介质 |
| CN114629874A (zh) * | 2022-02-28 | 2022-06-14 | 天翼安全科技有限公司 | 源站服务器的云防护节点切换方法、***、设备及介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109450841A (zh) * | 2018-09-03 | 2019-03-08 | 中新网络信息安全股份有限公司 | 一种基于云+端设备按需联动模式的大规模DDoS攻击检测与防御***及防御方法 |
| CN112100477A (zh) * | 2020-09-07 | 2020-12-18 | 北京视界云天科技有限公司 | 多云调度方法、装置、计算机设备和存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7574508B1 (en) * | 2002-08-07 | 2009-08-11 | Foundry Networks, Inc. | Canonical name (CNAME) handling for global server load balancing |
| US8886750B1 (en) * | 2011-09-28 | 2014-11-11 | Amazon Technologies, Inc. | Alias resource record sets |
| US20140283106A1 (en) * | 2013-03-14 | 2014-09-18 | Donuts Inc. | Domain protected marks list based techniques for managing domain name registrations |
| CN109413220B (zh) * | 2018-09-03 | 2022-03-15 | 中新网络信息安全股份有限公司 | 一种以别名方式接入ddos云防护***中避免dns传播的方法 |
| US20200106790A1 (en) * | 2018-09-28 | 2020-04-02 | Fireeye, Inc. | Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic |
| CN109688242B (zh) * | 2018-12-27 | 2022-03-22 | 深信服科技股份有限公司 | 一种云防护***及方法 |
| CN112769769B (zh) * | 2020-12-24 | 2022-11-11 | 网根(南京)网络中心有限公司 | Dns别名解析方法及*** |
-
2021
- 2021-05-26 CN CN202110578577.0A patent/CN113315853B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109450841A (zh) * | 2018-09-03 | 2019-03-08 | 中新网络信息安全股份有限公司 | 一种基于云+端设备按需联动模式的大规模DDoS攻击检测与防御***及防御方法 |
| CN112100477A (zh) * | 2020-09-07 | 2020-12-18 | 北京视界云天科技有限公司 | 多云调度方法、装置、计算机设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113315853A (zh) | 2021-08-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11586673B2 (en) | Data writing and reading method and apparatus, and cloud storage system | |
| US9300623B1 (en) | Domain name system cache integrity check | |
| EP3284238B1 (en) | Rule-based network-threat detection | |
| CN109302498B (zh) | 一种网络资源访问方法及装置 | |
| CN113315853B (zh) | 一种云防护节点调度方法、***及存储介质 | |
| CN107656695B (zh) | 一种数据存储、删除方法、装置及分布式存储*** | |
| JP2008516308A (ja) | 複数のコンピュータ化された装置を問い合わせる方法および装置 | |
| US9954815B2 (en) | Domain name collaboration service using domain name dependency server | |
| CN111585887B (zh) | 基于多个网络的通信方法、装置、电子设备及存储介质 | |
| CN108427619B (zh) | 日志管理方法、装置、计算设备及存储介质 | |
| CN112333289A (zh) | 反向代理访问方法、装置、电子设备及存储介质 | |
| CN111711716A (zh) | 一种域名解析方法、装置、设备及可读存储介质 | |
| US10944714B1 (en) | Multi-factor domain name resolution | |
| CN109743357B (zh) | 一种业务访问连续性的实现方法及装置 | |
| CN107819754B (zh) | 一种防劫持方法、监控服务器、终端及*** | |
| CN113992382A (zh) | 业务数据处理方法、装置、电子设备及存储介质 | |
| JP2006236040A (ja) | 分散サーバ故障応答プログラム,サーバ負荷分散装置および方法 | |
| CN114553771B (zh) | 用于虚拟路由器加载的方法及相关设备 | |
| CN113905092B (zh) | 一种确定可复用代理队列的方法、装置、终端及存储介质 | |
| CN115065664A (zh) | 一种互联网协议地址的回收方法、电子设备及存储介质 | |
| CN114221933A (zh) | 手机银行多中心多活的寻址方法、装置及*** | |
| CN111865976A (zh) | 一种访问控制方法、装置及网关 | |
| CN111541675A (zh) | 一种基于白名单的网络安全防护方法、装置及设备 | |
| CN111092966A (zh) | 域名***、域名访问方法和装置 | |
| CN110955579A (zh) | 一种基于Ambari的大数据平台的监测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |