本发明专利技术提供一种用于CDN服务器群组的DDoS攻击防护方法,所述CDN服务器群组包括多个CDN服务器和中心服务器,所述方法包括:每个CDN服务器将访问请求的访问源信息发送至中心服务器;所述中心服务器统计一段时间内每个CDN服务器下对应于同一访问源信息的访问请求的数量;所述中心服务器将每个CDN服务器下的对应于同一访问源信息的访问请求的数量大于预定阈值的访问请求确定为DDoS攻击,并基于所述访问请求的访问源信息生成黑名单;所述中心服务器将所述黑名单下发至所述CDN服务器群组中的所述多个CDN服务器;所述多个CDN服务器对落入所述黑名单的访问源拒绝提供服务。本发明专利技术还提供一种用于CDN服务器群组的DDoS攻击防护系统,实现了CDN服务器群组的全网DDoS攻击防护。
【技术实现步骤摘要】
本专利技术实施例涉及网络安全
,尤其涉及一种用于CDN服务器群组的DDoS攻击防护方法及系统。
技术介绍
随着互联网的发展,用户在使用网络时对网站的浏览速度和效果愈加重视,但由于网民数量激增,网络访问路径过长,从而使用户的访问质量受到严重影响。特别是当用户与网站之间的链路被突发的大流量数据拥塞时,对于异地互联网用户急速增加的地区来说,访问质量不良更是一个急待解决的问题。CDN(Content Delivery Network,内容分发网络)是一种通过在网络各处放置CDN服务器所构成的在现有的互联网基础之上的一层智能虚拟网络。CDN能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上,其目的是能够选择离用户相对较近的节点向用户发送用户所需的内容,缓解网络拥挤的状况,提高网站的响应速度。可是随着互联网技术的发展与应用普及,网络上的服务器或系统面临着更多、更复杂的网络攻击行为,其中,DDoS(Distributed Denial of Service,分布式拒绝服务)便是一种较为严重的网络攻击行为,它利用大量的傀儡机对某个服务器或系统同时发起攻击,使得受攻击的该系统因带宽拥塞或服务器资源耗尽等原因而无法支持正常的业务访问;由于DDoS攻击往往采取合法的数据请求技术,再加上傀儡机器的辅助,导致DDoS攻击成为目前最难防御的网络攻击之一。现有技术中主要从主机设置、网络设置两方面来防止DDoS攻击。一方面,现有技术从主机设置方面来防止DDoS攻击,采取对将所有的主机平台中所有的服务器都进行进行抵御DDoS的相关设置,例如:关闭不必要的服务,限制同时打开的Syn半连接数目,缩短Syn半连接的time out时间,及时更新系统补丁等。另一方面,现有技术从网络设置方面来防止DDoS攻击,包括对防火墙与路由器这两类到外界的接口设备的设置,例如:对防火墙的设置包括禁止对主机的非开放服务的访问,限制同时打开的SYN最大连接数,限制特定IP地址的访问,启用防火墙的防DDoS的属性,严格限制对外开放的服务器的向外访问;对路由器的设置包括设置SYN数据包流量速率;升级版本过低的ISO以及为路由器建立log server。使用上述技术方案来防止DDoS攻击的技术问题在于:一方面,采用黑洞技术和路由器过滤、限速等手段,不仅大量消耗了服务器的资源,同时也阻断了部分有效业务,降低了服务器对用户访问请求的处理效率,严重影响了用户体验;另一方面,部署大量的冗余设备,保证足够的响应能力来提供DDoS攻击防护,但又使得防护DDoS攻击的代价过于高昂。更进一步地,随着互联网技术的发展与应用普及,存在不法分子利用大量的傀儡机对CDN平台的各个CDN服务器发起DDoS攻击,进而攻击CDN平台的中心服务器;现有技术采用的技术方案是:DDoS攻击某一CDN服务器,此服务器采取一系列的防DDoS攻击的技术手段识别并防御此DDoS攻击,当同样的DDoS攻击源DDoS攻击CDN平台中的多个CDN服务器时,CDN平台中的多个服务器均需要对DDoS攻击源进行识别并防御;技术问题在于:严重降低了CDN平台对DDoS攻击的处理效率,并拖慢了网站的响应速度;如何简单有效防御DDoS攻击源对CDN平台的攻击也是目前业界亟待解决的需要课题。
技术实现思路
本专利技术实施例的目的在于解决上述至少一个技术问题,提供一种CDN服务器群组的DDoS攻击防护方法及系统,可以有效防护大规模DDoS攻击。本专利技术一实施例提供一种用于CDN服务器群组的DDoS攻击防护方法,所述CDN服务器群组包括多个CDN服务器和中心服务器,所述方法包括:每个CDN服务器将访问请求的访问源信息发送至所述中心服务器;所述中心服务器统计一段时间内每个CDN服务器下对应于同一访问源信息的访问请求的数量;所述中心服务器将每个CDN服务器下的对应于同一访问源信息的访问请求的数量大于预定阈值的访问请求确定为DDoS攻击,并相应地基于所述访问请求的访问源信息生成黑名单;所述中心服务器将所述黑名单下发至所述CDN服务器群组中的所述多个CDN服务器;所述多个CDN服务器对落入所述黑名单的访问源拒绝提供服务。本专利技术一实施例提供一种用于CDN服务器群组的DDoS攻击防护系统,所述CDN服务器群组包括多个CDN服务器和中心服务器,其中:每个CDN服务器包括:采集单元,用于采集访问请求的访问源信息;发送单元,用于将所述访问源信息发送至中心服务器;黑名单接收单元;服务控制单元,用于与所述黑名单接收单元关联,以对落入黑名单的访问源拒绝提供服务,所述中心服务器包括:统计单元,用于统计一段时间内每个CDN服务器下对应于同一访问源
信息的访问请求的数量;黑名单生成单元,用于将每个CDN服务器下的对应于同一访问源信息的访问请求的数量大于预定阈值的访问请求确定为DDoS攻击,并相应地基于所述访问请求的访问源信息生成黑名单;下发单元,用于将所述黑名单下发至所述CDN服务器群组中的所述多个CDN服务器的黑名单接收单元。通过本专利技术一实施例提供的用于CDN平台的DDoS攻击防护方法及系统,实现了:一、通过黑名单来标记DDoS攻击的攻击源,并拒绝所有已被标记的DDoS攻击源对CDN服务器的访问,实现了针对DDoS攻击的有效防护;二、针对各个CDN服务器访问的DDoS攻击源的识别工作是在中心服务器上完成的,降低了各个CDN服务器资源消耗,且各个CDN服务器向中心服务器发送访问源信息,避免了DDoS攻击源对中心服务器的访问,有效隐藏和保护了中心服务器;三、对CDN服务器群组其中一个CDN服务器遭受的DDoS攻击进行识别后,中心服务器记录DDoS攻击源至黑名单,并将黑名单发送至CDN服务器群组下的各个CDN服务器,同步更新了整个CDN服务器群组下的各个CDN服务器的黑名单,实现了CDN服务器群组的全网DDoS攻击防护;四、当已被列入黑名单的DDoS攻击源尝试攻击CDN服务器群组下的各个CDN服务器时,中心服务器不需要再次对DDoS攻击源进行识别,节约了中心服务器在DDoS攻击防护方面的资源消耗。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下
面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术一实施例的用于CDN服务器群组的DDoS攻击防护方法流程图;图2为本专利技术一实施例的用于CDN服务器群组的DDoS攻击防护系统的结构示意图。图3为本专利技术一实施例的布置有多个图2所示的CDN服务器群组的CDN平台的结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。参见图1,示出的是本专利技术一具体实施例的CDN服务器群组的DDoS攻击防护本文档来自技高网...
【技术保护点】
一种用于CDN服务器群组的DDoS攻击防护方法,所述CDN服务器群组包括多个CDN服务器和中心服务器,所述方法包括:每个CDN服务器将访问请求的访问源信息发送至所述中心服务器;所述中心服务器统计一段时间内每个CDN服务器下对应于同一访问源信息的访问请求的数量;所述中心服务器将每个CDN服务器下的对应于同一访问源信息的访问请求的数量大于预定阈值的访问请求确定为DDoS攻击,并相应地基于所述访问请求的访问源信息生成黑名单;所述中心服务器将所述黑名单下发至所述CDN服务器群组中的所述多个CDN服务器;所述多个CDN服务器对落入所述黑名单的访问源拒绝提供服务。
【技术特征摘要】
1.一种用于CDN服务器群组的DDoS攻击防护方法,所述CDN服务器群组包括多个CDN服务器和中心服务器,所述方法包括:每个CDN服务器将访问请求的访问源信息发送至所述中心服务器;所述中心服务器统计一段时间内每个CDN服务器下对应于同一访问源信息的访问请求的数量;所述中心服务器将每个CDN服务器下的对应于同一访问源信息的访问请求的数量大于预定阈值的访问请求确定为DDoS攻击,并相应地基于所述访问请求的访问源信息生成黑名单;所述中心服务器将所述黑名单下发至所述CDN服务器群组中的所述多个CDN服务器;所述多个CDN服务器对落入所述黑名单的访问源拒绝提供服务。2.根据权利要求1所述的DDoS攻击防护方法,其特征在于,所述访问源信息包含IP、URL和/或Refer信息。3.根据权利要求1或2所述的DDoS攻击防护方法,其特征在于,所述CDN服务器群组为布置在CDN平台上的根据网络类型的不同而划分的多个CDN服务器群组。4.根据权利要求3所述的DDoS攻击防护方法,其中,所述多个CDN服务器群组中的任一个CDN服务器群组的中心服务器将黑名单下发至该CDN服务器群组中的多个CDN服务器之后,选择性地与其他CDN服务器群
\t组的中心服务器进行黑名单共享。5.一种用于CDN服务器群组的DDoS攻击防护系统,所述CDN服务器群组包括多个...
【专利技术属性】
技术研发人员:李洪福,
申请(专利权)人:乐视云计算有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。