基于故障自动迁移系统的DDOS防御方法及系统技术方案

本发明专利技术涉及网络安全技术领域，具体涉及一种基于故障自动迁移系统的DDOS防御方法及系统，其中，DDOS防御方法包括：在域名解析时，判断VIP集群中各个VIP地址是否被DDOS攻击；若判断结果为是，则将被DDOS攻击的VIP地址丢弃，并将流量引导至未被攻击的VIP地址上；若判断结果为否，则将流量均衡引导至VIP集群中各个VIP地址上。本发明专利技术的技术方案，通过自动迁移的技术来实现对攻击流量的回避，攻击者一般针对VIP进行攻击，受到DDOS攻击的VIP将自动被抛弃，并且将正常流量引导至其它未被攻击的VIP上，从而避免服务器被攻击，有效的解决了DDOS攻击的问题并大幅降低了成本和使用难度。

DDOS Defense Method and System Based on Automatic Fault Migration System

The invention relates to the field of network security technology, in particular to a DDOS defense method and system based on fault automatic migration system. The DDOS defense method includes: judging whether each VIP address in VIP cluster is attacked by DDOS when domain name is resolved; if the result is yes, the VIP address attacked by DDOS will be discarded, and the traffic will be directed to the VIP address not attacked; If the result is not correct, the traffic balance is guided to each VIP address in the VIP cluster. The technical scheme of the present invention realizes the avoidance of attack traffic by means of automatic migration technology. Attackers usually attack VIPs, and VIPs attacked by DDOS will be automatically discarded, and normal traffic will be directed to other VIPs not attacked, thus avoiding attacks on servers, effectively solving the problem of DDOS attacks and greatly reducing the cost and difficulty of use.

【技术实现步骤摘要】
基于故障自动迁移系统的DDOS防御方法及系统
本专利技术涉及网络安全
，具体涉及一种基于故障自动迁移系统的DDOS防御方法及系统。
技术介绍
随着互联网应用的普及和发展，大家越来越重视用户体验，所以市场上有很多DDOS(分布式拒绝服务攻击)产品顺势而出。目前，一般都采用高防IP，后面加一个强大的处理集群，该集群通过对流量的分析，采用人机识别、异常检测等技术，对流量进行清洗、过滤，只放行合法流量，而对恶意流量采取屏蔽或丢弃处理方式，以实现对DDOS的防护。现有DDOS防护方法缺点较为明显：成本高：采购专业的DDOS防护服务，每月费用动辄数万元，一年下来需要花费几十万，对于中小型公司、创业公司来说不堪重负。性能低：业界一般做法是做流量清洗、过滤，但是这样做多了一层处理，就多了一层时间消耗，最终会影响服务响应时长，影响用户体验。会有误判：DDOS防护一般都有人机识别、异常检测等技术，虽然技术相对比较成熟，但是仍有误判、屏蔽部分真实用户访问，导致会误伤部分真实用户，影响用户体验。
技术实现思路
针对上述问题中存在的不足之处，本专利技术提供一种基于故障自动迁移系统的DDOS防御方法及系统。为实现上述目的，本专利技术提供一种基于故障自动迁移系统的DDOS防御方法，包括：在域名解析时，判断VIP(VirtualIP)集群中各个VIP地址是否被DDOS攻击；若判断结果为是，则将被DDOS攻击的VIP地址丢弃，并将流量引导至未被攻击的VIP地址上；若判断结果为否，则将流量均衡引导至所述VIP集群中各个VIP地址上。上述的DDOS防御系统，所述在域名解析之前，还包括：用户请求访问Web(WorldWideWeb)站点或API(ApplicationProgrammingInterface)站点。本公开的实施例提供的技术方案可以包括以下有益效果：通过自动迁移的技术来实现对攻击流量的回避，攻击者一般针对VIP进行攻击，受到DDOS攻击的VIP将自动被抛弃，并且将正常流量引导至其它未被攻击的VIP上，从而避免服务器被攻击，有效的解决了DDOS攻击的问题并大幅降低了成本和使用难度。上述的基于故障自动迁移系统的DDOS防御方法，所述在判断VIP集群中各个VIP地址是否被DDOS攻击具体包括：利用健康检查模块对所述VIP集群中各个VIP地址实时探测。上述基于故障自动迁移系统的DDOS防御方法，还包括多个主机服务器，各个所述VIP地址所转发的请求均落入一台所述主机服务器上。根据本专利技术第二方面的技术方案，提出了一种DDOS防御系统，包括：判断单元，用于在域名解析时，判断VIP集群中各个VIP地址是否被DDOS攻击；第一装置输出单元，用于在所述判断单元的判断结果为是时，则将被DDOS攻击的VIP地址丢弃，并将流量引导至未被攻击的VIP地址上；第二装置输出单元，用于在所述判断单元的判断结果为否时，则将流量均衡引导至所述VIP集群中各个VIP地址上。本公开的实施例提供的技术方案可以包括以下有益效果：通过自动迁移的技术来实现对攻击流量的回避，攻击者一般针对VIP进行攻击，受到DDOS攻击的VIP将自动被抛弃，并且将正常流量引导至其它未被攻击的VIP上，从而避免服务器被攻击，有效的解决了DDOS攻击的问题并大幅降低了成本和使用难度。上述的DDOS防御系统，还包括：请求单元，用于用户请求访问Web站点或API站点。上述的DDOS防御系统，健康检查单元，用于对所述VIP集群中各个VIP地址实时探测。上述的DDOS防御系统，转换单元，用于将所述用户请求经由VIP集群，转发至有多个主机服务器所组成集群中的一台主机服务器上。附图说明图1为本专利技术一个实施例中基于故障自动迁移系统的DDOS防御方法的流程图一。图2为本专利技术一个实施例中DDOS防御系统的结构框图一。图3为本专利技术一个实施例中基于故障自动迁移系统的DDOS防御方法的流程图二。图4为本专利技术一个实施例中DDOS防御系统的结构框图二。具体实施方式下面通过具体的实施例结合附图对本专利技术做进一步的详细描述。如图1所示，基于故障自动迁移系统的DDOS防御方法，包括：步骤S1、在域名解析时，判断VIP集群中各个VIP地址是否被DDOS攻击；步骤S2、若判断结果为是，则将被DDOS攻击的VIP地址丢弃，并将流量引导至未被攻击的VIP地址上；步骤S3、若判断结果为否，则将流量均衡引导至VIP集群中各个VIP地址上。根据本专利技术实施例的基于故障自动迁移系统的DDOS防御方法，采用自动迁移的技术来实现对攻击流量的回避，攻击者一般针对VIP进行攻击，受到DDOS攻击的VIP将自动被抛弃，并且将正常流量引导至其它未被攻击的VIP上，从而避免服务器被攻击，有效的解决了DDOS攻击的问题并大幅降低了成本和使用难度。另外，根据本专利技术上述实施例提供的基于故障自动迁移系统的DDOS防御方法还具有如下技术特征：在上述技术方案中，在域名解析之前，还包括：用户请求访问Web站点或API站点。在该技术方案中，用户访问Web站点或API站点并发送访问请求，便于进行下一步操作。在上述技术方案中，优选的，在判断VIP集群中各个VIP地址是否被DDOS攻击具体包括：利用健康检查模块对VIP集群中各个VIP地址实时探测。在该技术方案中，通过健康检查模块对VIP集群中各个VIP地址进行实时探测，探测出各个VIP地址可服务的可用性，发现故障VIP马上屏蔽掉被攻击的VIP地址，不在将流量打到故障VIP上。此外，还可以使用检测模块对VIP集群中各个VIP地址进行实时探测，与健康检查模块功能相同。在该技术方案中，IP在网络之间互连的协议也就是为计算机网络相互连接进行通信而设计的协议。在因特网中，它是能使连接到网上的所有计算机网络实现相互通信的一套规则，规定了计算机在因特网上进行通信时应当遵守的规则。任何厂家生产的计算机系统，只要遵守IP协议就可以与因特网互连互通。IP地址具有唯一性，根据用户性质的不同，可以分为多类。另外，IP还有进入防护，知识产权，指针寄存器等含义。在上述技术方案中，还包括多个主机服务器，各个VIP地址所转发的请求均落入一台主机服务器上。在该技术方案中，主机服务器是真正对用户提供服务的机器集群，每次经由VIP转发的请求，都会最终落到一台主机服务器上，上述操作均基于主机服务器。如图3所示，101：用户访问Web站点/API请求。102：智能DNS会根据可用性探测结果，将流量均衡的打到VIP集群上(VirtualIP，即虚拟IP)。102-1：可用性探测，为了实现及时故障转移，需要有个健康检查模块，实时探测VIP集群各个VIP服务的可用性，发现故障VIP马上屏蔽掉，不再将流量打到故障VIP上。103：VIP集群是该方案的核心，为了分担攻击流量，所以使用VIP集群，这样即使部分VIP被攻击，依然可以保持其他VIP可用，仍旧可以对用户提供服务。用户的每次DNS(域名系统)解析请求，最终会解析到一个VIP上。104：RealServer(主机)集群，是真正对用户提供服务的机器集群，每次经由VIP分发的请求，都会最终落到一台RealServer服务器上。如图2所示，根据本专利技术第二方面的实施例，提出了一种DDOS防御系统，包括：判断单元，用于在域名解析时，判断本文档来自技高网...

【技术保护点】
1.一种基于故障自动迁移系统的DDOS防御方法，其特征在于，包括：在域名解析时，判断VIP集群中各个VIP地址是否被DDOS攻击；若判断结果为是，则将被DDOS攻击的VIP地址丢弃，并将流量引导至未被攻击的VIP地址上；若判断结果为否，则将流量均衡引导至所述VIP集群中各个VIP地址上。

【技术特征摘要】
1.一种基于故障自动迁移系统的DDOS防御方法，其特征在于，包括：在域名解析时，判断VIP集群中各个VIP地址是否被DDOS攻击；若判断结果为是，则将被DDOS攻击的VIP地址丢弃，并将流量引导至未被攻击的VIP地址上；若判断结果为否，则将流量均衡引导至所述VIP集群中各个VIP地址上。2.根据权利要求1所述的基于故障自动迁移系统的DDOS防御方法，其特征在于，所述在域名解析之前，还包括：用户请求访问Web站点或API站点。3.根据权利要求1所述的基于故障自动迁移系统的DDOS防御方法，其特征在于，所述在判断VIP集群中各个VIP地址是否被DDOS攻击具体包括：利用健康检查模块对所述VIP集群中各个VIP地址实时探测。4.根据权利要求1-3任一项所述的基于故障自动迁移系统的DDOS防御方法，其特征在于：还包括多个主机服务器，各个所述VIP地址所转发的请求均落...

【专利技术属性】
技术研发人员：樊富春，王大力，闫庆宏，韩哲，杜菁菁，曹洪军，黄玉丹，彭聪，
申请(专利权)人：北京多点在线科技有限公司，
类型：发明
国别省市：北京,11