本申请提供一种DDoS攻击的防护方法及系统,防护方法包括:从第一层服务入口池开始,在设置的服务入口池中为各用户分配与其令牌相对应的服务入口;判断当前层服务入口池中各服务入口是否可用;如果否,则当前服务入口池所属的层数加1;判断加1后的层数是否小于或等于预设的服务入口池的最大层数;如果是,则在当前层服务入口池中为服务入口不可用的用户继续分配与其令牌相对应的服务入口;直到当前层服务入口池中各用户对应的服务入口可用时,用户通过对应的服务入口接入网络服务;直到递增后的层数大于预设的服务入口池的最大层数时,舍弃服务入口仍不可用的用户。本申请能够保证用户快速接入可用的服务入口,减少用户数量的损失。
【技术实现步骤摘要】
DDoS攻击的防护方法及系统
本申请属于互联网
,具体涉及一种DDoS攻击的防护方法及系统。
技术介绍
传统的DoS(DenialofService,拒绝服务)攻击主要采用一对一的方式进行攻击,最基本的DoS攻击是利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的指令。随着计算机与网络技术的发展,在传统DoS攻击的基础上产生了DDoS(DistributionDenialofService,分布式拒绝服务)攻击。DDoS攻击采用多对一的方式进行攻击。DDOS的攻击目标主要是服务器或者大型网站。DDOS通过向服务器提交大量合法或伪造的请求使服务器超负荷,当服务器CPU达到满负荷时,服务器耗尽资源导致失去响应而死机。服务器一旦死机,将严重影响用户正常的访问,对公司、企业甚至是国家造成巨大的经济损失。现有大部分厂商在解决网络服务的接入时都是采用提供一个域名的方式。用户通过连接提供的域名来接入服务。在应对攻击方面,当域名所指向的IP地址被攻击而无法使用时,通过更新域名解析,使域名指向一个或多个新的IP地址来继续提供服务。然而,域名的解析记录在修改时,都至少需要5分钟的生效时间。当任意一个域名所指向的IP地址被攻击导致无法使用时,更新域名的解析记录之后,需要等待大概5分钟甚至更长的时间之后,用户通过访问域名才可以获得新的、可用的IP地址。因此,通过更新域名解析进行防护的时效性差,通常至少有5分钟的时间会出现服务中断或不可用的情况。也有部分厂商为了减少由攻击导致的受影响的客户数量,将同一个域名根据地域进行解析。不同的地区查询同一个域名时,获取到的IP地址不同。当一个地区的域名所指向的IP地址被攻击时,不会导致其他地区的用户受到影响。通过损失部分地区用户的方式来保护其他地区的用户或通过损失低级别的用户的方式来保护高级别的用户。这种分地域解析域名的方式,虽然在一定程度上能够减少受攻击时对用户的影响,但是黑客其实可以使用分布在全国或全球地域的服务器,同时查询域名解析。这样即可以很快一次性地获取到某个域名的所有解析记录。而且,互联网上免费提供此类域名解析查询的服务很多,且获取速度都很快,大概5分钟就可以全部查询到。对于以上通过更换域名解析的方法来防护攻击的方案,如果黑客持续获取域名解析记录,并对新替换的可用IP继续攻击,那么这种防护攻击的方案就无法达到防护的目的,也就无法避免网络服务瘫痪后果的出现。
技术实现思路
为至少在一定程度上克服相关技术中存在的问题,本申请提供了一种DDoS攻击的防护方法及系统。根据本申请实施例的第一方面,本申请提供了一种DDoS攻击的防护方法,其包括以下步骤:获取用户的令牌;设置多层服务入口池,各层服务入口池中均设置有服务入口;从第一层服务入口池开始,在服务入口池中为各用户分配与其令牌相对应的服务入口;判断当前层服务入口池中为各用户分配的服务入口是否可用;如果当前层服务入口池中有用户对应的服务入口不可用,则当前服务入口池所属的层数加1;判断加1后的层数是否小于或等于预设的服务入口池的最大层数;如果加1后的层数小于或等于预设的服务入口池的最大层数,则在当前层服务入口池中为在上一层服务入口池中对应的服务入口不可用的用户继续分配与其令牌相对应的服务入口;直到当前层服务入口池中各用户对应的服务入口可用时,用户通过对应的服务入口接入网络服务;直到递增后的层数大于预设的服务入口池的最大层数时,舍弃服务入口仍不可用的用户。进一步地,所述服务入口采用IP地址,所述服务入口池为IP地址池,所述IP地址池中设置多个IP地址,每层所述IP地址池中的IP地址都设置有与其一一对应的编号。进一步地,所述在服务入口池中为各用户分配与其令牌相对应的服务入口时,采用散列算法将输入的令牌值变换成散列值,并将与散列值相同的编号对应的服务入口分配给用户。更进一步地,在各层服务入口池中为用户分配与其令牌相对应的服务入口时,采用的所述散列算法各不相同。更进一步地,所述服务入口采用IP地址时,所述采用散列算法将输入的令牌值变换成散列值的过程为:将令牌值的最后两位分别转换为对应的ASCII码值;对令牌值的最后两位对应的ASCII码值求和;得到的和值除以对应层IP地址池中IP地址的数量后取余再加1,得到散列值。进一步地,所述服务入口池的最大层数和每层服务入口池中的服务入口数根据以下公式进行估算:式中,E表示单次攻击受影响的用户数,N表示获得服务入口的所有用户数,i表示服务入口池所属的层数,xi表示第i层服务入口池所拥有的服务入口数,m表示服务入口池的最大层数。根据本申请实施例的第二方面,本申请还提供了一种DDoS攻击的防护系统,其包括获取模块,用于获取用户的令牌;设置模块,用于设置多层服务入口池,每层服务入口池中均设置有服务入口,各服务入口均设置有与其一一对应的编号;分配模块,用于从第一层服务入口池开始,在服务入口池中为各用户分配与其令牌相对应的服务入口;第一判断模块,用于判断当前层服务入口池中为各用户分配的服务入口是否可用;如果当前层服务入口池中用户对应的服务入口可用,则使该用户通过对应的服务入口接入网络服务;如果当前层服务入口池中有用户对应的服务入口不可用,则当前服务入口池所属的层数加1;第二判断模块,用于判断加1后的层数是否小于或等于预设的服务入口池的最大层数;如果加1后的层数小于或等于预设的服务入口池的最大层数,则在当前层服务入口池中为在上一层服务入口池中对应的服务入口不可用的用户继续分配与其令牌相对应的服务入口;如果加1后的层数大于预设的服务入口池的最大层数,则舍弃在上一层服务入口池中对应的服务入口不可用的用户。进一步地,所述服务入口为IP地址;所述服务入口池为IP地址池;所述IP地址池中设置多个IP地址,每层所述IP地址池中的所述IP地址都设置有一一对应的编号。进一步地,所述分配模块从第一层服务入口池开始,在服务入口池中为各用户分配与其令牌相对应的服务入口时,采用散列算法将输入的令牌值变换成散列值,将与散列值相同的编号对应的服务入口作为该令牌用户的服务入口。进一步地,所述第一判断模块通过探测IP是否联通来判断IP地址是否可用。根据本申请的上述具体实施方式可知,至少具有以下有益效果:本申请通过设置多层服务入口池,在旧的服务入口遭受攻击不可用的情况下,为用户重新分配新的服务入口,能够保证用户快速接入可用的服务入口,减少用户数量的损失。本申请采用分级过滤的方式,在不断给用户分配新的服务入口的同时,将正常用户和恶意用户逐渐进行区分,最终使正常用户都能够通过可用的服务入口接入服务;使得恶意用户在经过多层筛选后最终无法接入服务,并且无法获取其他用户的入口。本申请还具有一定的容灾能力,能够防止由于单个IP故障或者网络波动导致出现的业务波动。应了解的是,上述一般描述及以下具体实施方式仅为示例性及阐释性的,其并不能限制本申请所欲主张的范围。附图说明下面的所附附图是本申请的说明书的一部分,其示出了本申请的示例实施例,所附附图与说明书的描述一起用来说明本申请的原理。图1为本申请具体实施方式提供的一种DDoS攻击的防护方法的流程图之一。图2为本申请具体实施方式提供的一种DDoS攻击的防护方法的流程图之二。图3是本申请具体本文档来自技高网...
【技术保护点】
1.一种DDoS攻击的防护方法,其特征在于,包括以下步骤:获取用户的令牌;设置多层服务入口池,各层服务入口池中均设置有服务入口;从第一层服务入口池开始,在服务入口池中为各用户分配与其令牌相对应的服务入口;判断当前层服务入口池中为各用户分配的服务入口是否可用;如果当前层服务入口池中有用户对应的服务入口不可用,则当前服务入口池所属的层数加1;判断加1后的层数是否小于或等于预设的服务入口池的最大层数;如果加1后的层数小于或等于预设的服务入口池的最大层数,则在当前层服务入口池中为在上一层服务入口池中对应的服务入口不可用的用户继续分配与其令牌相对应的服务入口;直到当前层服务入口池中各用户对应的服务入口可用时,用户通过对应的服务入口接入网络服务;直到递增后的层数大于预设的服务入口池的最大层数时,舍弃服务入口仍不可用的用户。
【技术特征摘要】
1.一种DDoS攻击的防护方法,其特征在于,包括以下步骤:获取用户的令牌;设置多层服务入口池,各层服务入口池中均设置有服务入口;从第一层服务入口池开始,在服务入口池中为各用户分配与其令牌相对应的服务入口;判断当前层服务入口池中为各用户分配的服务入口是否可用;如果当前层服务入口池中有用户对应的服务入口不可用,则当前服务入口池所属的层数加1;判断加1后的层数是否小于或等于预设的服务入口池的最大层数;如果加1后的层数小于或等于预设的服务入口池的最大层数,则在当前层服务入口池中为在上一层服务入口池中对应的服务入口不可用的用户继续分配与其令牌相对应的服务入口;直到当前层服务入口池中各用户对应的服务入口可用时,用户通过对应的服务入口接入网络服务;直到递增后的层数大于预设的服务入口池的最大层数时,舍弃服务入口仍不可用的用户。2.如权利要求1所述的防护方法,其特征在于,所述服务入口采用IP地址,所述服务入口池为IP地址池,所述IP地址池中设置多个IP地址,每层所述IP地址池中的IP地址都设置有与其一一对应的编号。3.如权利要求1所述的防护方法,其特征在于,所述在服务入口池中为各用户分配与其令牌相对应的服务入口时,采用散列算法将输入的令牌值变换成散列值,并将与散列值相同的编号对应的服务入口分配给用户。4.如权利要求3所述的防护方法,其特征在于,在各层服务入口池中为用户分配与其令牌相对应的服务入口时,采用的所述散列算法各不相同。5.如权利要求3所述的防护方法,其特征在于,所述服务入口采用IP地址时,所述采用散列算法将输入的令牌值变换成散列值的过程为:将令牌值的最后两位分别转换为对应的ASCII码值;对令牌值的最后两位对应的ASCII码值求和;得到的和值除以对应层IP地址池中IP地址的数量后取余再加1,得到散列值。6.如权利要求1所述的防护方法,其特征在于,所述服务入口池的最大层数和每层...
【专利技术属性】
技术研发人员:周亚辉,徐东,张杰,
申请(专利权)人:北京闲徕互娱网络科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。