防御DDOS攻击的方法、设备、系统及计算机可读介质技术方案

本申请实施例提供了一种防御DDOS攻击的方法、设备、系统及计算机可读介质，该方案中用户设备可以包括客户端应用程序和本地安全代理，用户设备在发送访问请求时，可以由本地安全代理向调度设备请求并获取边缘防护节点的IP地址池中所述用户设备的可用IP地址，并从中确定一个目的IP地址。由于目的IP地址是在边缘防护节点的IP地址池中确定所述用户设备的可用IP地址，对于IP地址池中的IP地址资源能够起到物理上的隔离效果，使得受到黑客劫持的用户设备难以获取到IP地址池中的所有IP地址。因此，即使黑客劫持了用户设备，也无法同时攻击所有的边缘防护节点，而真实用户可以经由其它的边缘防护节点访问被保护的服务器，由此提升了对DDOS攻击的防御效果。了对DDOS攻击的防御效果。了对DDOS攻击的防御效果。

【技术实现步骤摘要】
防御DDOS攻击的方法、设备、系统及计算机可读介质


[0001]本申请涉及信息
，尤其涉及一种防御DDOS攻击的方法、设备、系统及计算机可读介质。

技术介绍

[0002]APP(Application，应用程序)服务的提供者为了避免真实APP服务中心受到DDOS(Distributed denial of service attack，分布式拒绝服务攻击)攻击，通常使用自建或者第三方提供的边缘防护节点，对外隐藏APP服务中心，并对攻击请求进行过滤。
[0003]这种防御方案中，通常需要依靠DNS(Domain Name System，域名系统)解析方式进行引流接入，因此攻击者可以在APP服务中心的访问域名后，通过DNS即可查出该APP服务中心目前使用的所有边缘防护节点的IP地址，进而可以对这些边缘防护节点的IP地址进行集中的DDOS攻击。由此，通过攻击所有的边缘防护节点，使得真实用户的APP访问请求也无法经由边缘防护节点到达APP服务中心，从而影响真实用户的正常使用。因此，目前的DDOS防御方案，无法有效对上述形式的DDOS攻击进行防御，防御效果不足。

技术实现思路

[0004]本申请的一个目的是提供一种防御DDOS攻击的方法、设备、系统及计算机可读介质，至少用以解决目前DDOS防御方案的防御效果不足的问题。
[0005]为实现上述目的，本申请的一些实施例提供了一种防御DDOS攻击的方法，所述方法应用于用户设备，包括客户端应用程序和本地安全代理，所述方法包括：
[0006]本地安全代理向调度设备请求并获取边缘防护节点的IP地址池中所述用户设备的可用IP地址，并从中确定一个目的IP地址；
[0007]本地安全代理向所述目的IP地址对应的边缘防护节点发送所述用户设备的访问请求；
[0008]其中，所述访问请求在向边缘防护节点发送之前，由客户端应用程序改写目的地址和目的端口并发送到本机地址和本地安全代理的监听端口。
[0009]进一步地，所述本地安全代理向调度设备请求并获取边缘防护节点的IP地址池中所述用户设备的可用IP地址，包括：
[0010]本地安全代理向调度设备发送所述用户设备的设备信息，以使所述调度设备根据所述设备信息在边缘防护节点的IP地址池中确定全部或部分IP地址，作为所述用户设备的可用IP地址；
[0011]接收所述调度设备返回的所述用户设备的可用IP地址。
[0012]进一步地，根据所述用户设备的设备信息在边缘防护节点的IP地址池中选取所述用户设备的可用IP地址，包括：
[0013]所述可用IP地址为所述IP地址池中根据所述用户设备的设备信息，并基于设备信誉，以及调度策略或攻击关联分析结果中的至少一种，匹配得到的全部或部分IP地址。
[0014]进一步地，所述用户设备的设备信息包括：设备ID信息，或者，设备ID信息以及IP信息。
[0015]进一步地，所述本地安全代理与所述边缘防护节点之间建立的是TCP连接。
[0016]进一步地，所述访问请求由客户端应用程序改写目的地址和目的端口，还包括，所述访问请求由客户端应用程序添加带有访问域名的Host请求头信息，以使所述边缘防护节点根据所述访问域名转发请求到所述访问域名对应的源站。
[0017]进一步地，所述访问请求由客户端应用程序改写后发送到本机地址和本地安全代理的监听端口之前，还包括：
[0018]本地安全代理动态随机监听本地端口，作为本地安全代理的监听端口。
[0019]进一步地，所述本地安全代理动态随机监听本地端口，作为本地安全代理的监听端口之前，还包括：
[0020]本地安全代理确认所述用户设备中的客户端应用程序运行环境为安全环境。
[0021]进一步地，确认所述用户设备中的客户端应用程序运行环境为安全环境，包括：
[0022]对所述用户设备中的客户端应用程序运行环境进行检测；
[0023]若检测到非正常使用行为，确认所述客户端应用程序运行环境为非安全环境；
[0024]若未检测到非正常使用行为，确认所述客户端应用程序运行环境为安全环境；
[0025]其中，所述非正常使用行为至少包括以下任一项：客户端应用程序运行环境为模拟器环境、存在抓包探针或存在调试行为。
[0026]进一步地，本地安全代理向所述目的IP地址对应的边缘防护节点发送所述用户设备的访问请求，包括：
[0027]与目的IP地址之间建立加密数据通道，并通过所述加密数据通道向所述目的IP地址对应的边缘防护节点发送所述用户设备的请求。
[0028]进一步地，本地安全代理在接收到客户端应用程序发送的访问请求之前，与目的IP地址之间预先建立加密数据通道。
[0029]进一步地，所述访问请求携带验证信息，以使所述边缘防护节点对访问请求是否由所述本地安全代理所发送进行验证，并在验证成功后向源站进行转发。
[0030]进一步地，本地安全代理向调度设备请求并获取边缘防护节点的IP地址池中的所述用户设备的可用IP地址之前，还包括：所述用户设备通过HTTPDNS查询或DNS查询的方式，获取调度设备的地址。
[0031]本申请实施例还提供了一种防御DDOS攻击的方法，所述方法应用于边缘防护节点，所述方法包括：
[0032]接收用户设备发送的访问请求；其中，所述访问请求在向边缘防护节点发送之前，由所述用户设备的客户端应用程序改写目的地址和目的端口并发送到本机地址和本地安全代理的监听端口；
[0033]验证所述访问请求是否来源于用户设备的本地安全代理；
[0034]验证成功后向源站转发所述访问请求，以及/或者，验证失败后阻断所述访问请求。
[0035]进一步地，所述接收用户设备通过发送的访问请求之前，包括：
[0036]与用户设备的本地安全代理之间预先建立加密数据通道，所述加密数据通道是基
于TCP连接建立。
[0037]进一步地，所述用户设备发送的访问请求包括添加带有访问域名的Host请求头信息，所述边缘防护节点根据所述访问域名转发请求到所述访问域名对应的源站。
[0038]本申请实施例还提供了一种防御DDOS攻击的方法，所述方法应用于调度设备，所述方法包括：
[0039]接收用户设备发送的调度请求；
[0040]在边缘防护节点的IP地址池中确定所述用户设备的可用IP地址；
[0041]向所述用户设备发送所述用户设备的可用IP地址，以使所述用户设备从中确定一个目的IP地址，并向所述目标IP地址对应的边缘防护节点发送所述用户设备的访问请求，其中，所述访问请求在向边缘防护节点发送之前，由所述用户设备的客户端应用程序改写目的地址和目的端口并发送到本机地址和本地安全代理的监听端口。
[0042]进一步地，所述调度请求包括所述用户设备的设备信息，在边缘防护节点的IP地址池中确定所述用户设备的可用IP地址，包括：
[本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种防御DDOS攻击的方法，其特征在于，所述方法应用于用户设备，包括客户端应用程序和本地安全代理，所述方法包括：本地安全代理向调度设备请求并获取边缘防护节点的IP地址池中所述用户设备的可用IP地址，并从中确定一个目的IP地址；本地安全代理向所述目的IP地址对应的边缘防护节点发送所述用户设备的访问请求；其中，所述访问请求在向边缘防护节点发送之前，由客户端应用程序改写目的地址和目的端口并发送到本机地址和本地安全代理的监听端口。2.根据权利要求1所述的方法，其特征在于，所述本地安全代理向调度设备请求并获取边缘防护节点的IP地址池中所述用户设备的可用IP地址，包括：本地安全代理向调度设备发送所述用户设备的设备信息，以使所述调度设备根据所述设备信息在边缘防护节点的IP地址池中确定全部或部分IP地址，作为所述用户设备的可用IP地址；接收所述调度设备返回的所述用户设备的可用IP地址。3.根据权利要求1所述的方法，其特征在于，根据所述用户设备的设备信息在边缘防护节点的IP地址池中选取所述用户设备的可用IP地址，包括：所述可用IP地址为所述IP地址池中根据所述用户设备的设备信息，并基于设备信誉，以及调度策略或攻击关联分析结果中的至少一种，匹配得到的全部或部分IP地址。4.根据权利要求1所述的方法，其特征在于，所述用户设备的设备信息包括：设备ID信息，或者，设备ID信息以及IP信息。5.根据权利要求1所述的方法，其特征在于，所述本地安全代理与所述边缘防护节点之间建立的是TCP连接。6.根据权利要求1所述的方法，其特征在于，所述访问请求由客户端应用程序改写目的地址和目的端口，还包括，所述访问请求由客户端应用程序添加带有访问域名的Host请求头信息，以使所述边缘防护节点根据所述访问域名转发请求到所述访问域名对应的源站。7.根据权利要求1所述的方法，其特征在于，所述访问请求由客户端应用程序改写后发送到本机地址和本地安全代理的监听端口之前，还包括：本地安全代理动态随机监听本地端口，作为本地安全代理的监听端口。8.根据权利要求7所述的方法，其特征在于，所述本地安全代理动态随机监听本地端口，作为本地安全代理的监听端口之前，还包括：本地安全代理确认所述用户设备中的客户端应用程序运行环境为安全环境。9.根据权利要求8所述的方法，其特征在于，确认所述用户设备中的客户端应用程序运行环境为安全环境，包括：对所述用户设备中的客户端应用程序运行环境进行检测；若检测到非正常使用行为，确认所述客户端应用程序运行环境为非安全环境；若未检测到非正常使用行为，确认所述客户端应用程序运行环境为安全环境；其中，所述非正常使用行为至少包括以下任一项：客户端应用程序运行环境为模拟器环境、存在抓包探针或存在调试行为。10.根据权利要求1所述的方法，其特征在于，本地安全代理向所述目的IP地址对应的边缘防护节点发送所述用户设备的访问请求，包括：
与目的IP地址之间建立加密数据通道，并通过所述加密数据通道向所述目的IP地址对应的边缘防护节点发送所述用户设备的请求。11.根据权利要求1所述的方法，其特征在于，本地安全代理在接收到客户端应用程序发送的访问请求之前，与目的IP地址之间预先建立加密数据通道。12.根据权利要求1所述的方法，其特征在于，所述访问请求携带验证信息，以使所述边缘防护节点对访问请求是否由所述本地安全代理所发送进行验证，并在验证成功后向源站进行转发。13.根据权利要求1所述的方法，其特征在于，本地安全代理向调度设备请求并获取边缘防护节点的IP地址池中的所述用户设备的可用IP地址之前，还包括：所述用户设备通过HTTPDNS查询或DNS查询的方式，获取调度设备的地址。14...

【专利技术属性】
技术研发人员：高力，胡金涌，
申请(专利权)人：上海云盾信息技术有限公司，
类型：发明
国别省市：