防御动态网站中饱和分布式拒绝服务攻击的方法和系统技术方案

本发明专利技术公开了一种防御动态网站中饱和分布式拒绝服务攻击的方法和系统，在遭受饱和分布式拒绝服务攻击时，自动将数据流切换至隐蔽备用链路，并且在攻击消退时能够自动将数据流切换回原始主链路；解决现有技术中遭受饱和分布式拒绝服务攻击时，动态数据无法访问的状况。本发明专利技术可应用于电子政务、电子商务、证券、银行等，在饱和分布式拒绝服务攻击情况下，仍需要进行动态数据传输的诸多领域，具有广泛的应用前景。

【技术实现步骤摘要】

本专利技术涉及一种解决饱和分布式拒绝服务攻击的实现方法和系统，特别是一种防御动态网站中饱和分布式拒绝服务攻击的方法和系统，属于网络安全

技术介绍
随着网络技术的不断成熟和发展，分布式拒绝服务攻击已经成为当前网站最为严峻的安全隐患，对于饱和分布式拒绝服务攻击，更是没有非常有效的手段进行防护，对于采用⑶N方式进行网站数据分流和加速的方式只能有效防护静态网站受到饱和分布式拒绝服务攻击时的危害，而对于动态网站无法即时更新网站动态内容，而常用的防护分布式拒绝服务攻击的手段有以下等 几种: 1、利用专业的抗DDOS (分布式拒绝服务)设备:单一的抗DDOS设备可以有效的防护DDOS攻击，但如果分布式拒绝服务攻击达到饱和状态(饱和状态:攻击流量大于或等于网络的总带宽流量)，则会导致网络拥塞，此时即使部署了专业的抗DDOS设备，由于网络处于拥塞状态，则网站的应用仍然无法访问，导致攻击者的目的达成。2、利用⑶N (Content Delivery Network:内容分发网络)进行网站的分流和加速:这种方法在初期只是为了进行网站的分流和加速，但对于静态网站来说，主网站受到分布式拒绝服务攻击时，即使主网站的网络处于拥塞状态，其他的CDN节点仍然能够有效访问，具有一定的抗饱和分布式拒绝服务攻击的功能。但不足的是:对于动态网站，由于主网站已经处于拥塞状态，则动态内容无法正确的从主网站传输至CDN节点，而导致动态信息传输延迟或者显示不正确的问题。因此针对动态网站受到饱和分布式拒绝服务攻击的问题，需要一种有效的防御手段和解决方法。
技术实现思路
专利技术目的:针对现有技术中存在的问题与不足，本专利技术提供一种动态网站在受到饱和拒绝服务攻击时，能够自动切换传输链路，利用隐藏的备用链路将动态数据传输到多个备用节点上，达到防御动态网站中饱和分布式拒绝服务攻击的方法和系统。技术方案:一种防御动态网站中饱和分布式拒绝服务攻击的方法，建立隐藏的备用链路和备用服务器集群，主服务器集群的链路由主链路和备用链路组成；在没有遭受分布式拒绝服务攻击时，由主链路承担用户访问的数据输入输出，备用服务器集群不工作；当有分布式拒绝服务攻击，启用备用服务器集群，备用服务器通过备用链路，请求主服务器的动态数据，主服务器根据请求，构造动态数据，通过备用链路返回给备用服务器，备用服务器返回给用户最新的动态数据信息；当分布式拒绝服务攻击消退后，将数据通信从备用链路切换为主链路。在没有遭受分布式拒绝服务攻击时，由主链路承担用户访问的数据输入输出，备用服务器集群不工作，具体步骤如下: 步骤301，用户提交访问域名请求至DNS服务器集群； 步骤302，由DNS服务器集群返回被访问主服务器的IP地址； 步骤303，用户根据主服务器的IP地址提交访问请求数据至主服务器； 步骤304，部署在主服务器前端的ADS设备检查用户请求数据流中是否包含分布式拒绝服务攻击，在没有遭受分布式拒绝服务攻击时，ADS设备检测不到分布式拒绝服务攻击，ADS设备将用户请求数据提交主服务器集群； 步骤305，主服务器将用户的访问请求处理完成后，返回结果给用户； 步骤306，过程结束。当主服务器的主链路遭受分布式拒绝服务攻击时，这时分为2种情况，第一种:分布式拒绝服务攻击未达到饱和状态，此时主链路仍可以进行数据传输；第二种:分布式拒绝服务攻击达到饱和状态，此时主链路处于阻塞状态，任何数据无法正常传输；对于第一种状况，处理的具体步骤如下: 步骤401，攻击者发起分布式拒绝服务攻击，部署在主链路上的ADS设备根据管理员配置的防护策略，对分布式拒绝服务攻击进行检测和过滤； 步骤402，ADS设备在检测到分布式拒绝服务攻击达到管理员配置的阈值后，向云调度系统发送遭受攻击的告警消息，云调度系统接收到告警消息后，确认主链路遭受攻击，修改域名的域名指向，并将IP地址修改为备用服务器集群地址； 步骤403，DNS服务器集群定时查询云调度系统的域名状态； 步骤404，云调度系统返回最新的域名状态和对应的IP地址群给DNS服务器集群，DNS服务器集群根据更新后的域名指向到备用服务器集群； 步骤405，用户访问所述域名时，首先去DNS服务器查询域名的指向； 步骤406，DNS服务器根据用户所在的地理区域，返回给用户一个所在区域的备用服务器IP地址； 步骤407，用户根据返回的备用服务器IP地址提交访问数据至备用服务器； 步骤408，部署在备用服务器前端的分布式清洗系统对访问请求中存在的攻击数据进行过滤，并发送经过过滤的数据流至备用服务器； 步骤409，备用服务器通过备用链路，请求主服务器的动态数据； 步骤410，主服务根据备用服务器的请求，构造动态数据，通过备用链路返回给备用服务器； 步骤411，备用服务器返回给用户最新的动态数据信息，过程结束。对于第二种情况，处理的具体步骤如下: 步骤501，攻击者发起饱和分布式拒绝服务攻击，此时主链路被饱和攻击拥塞，ADS设备无法发送告警信息； 步骤502，云调度系统定时检查主链路状况，发现主链路无法响应时，确认该主链路遭受饱和拒绝服务攻击，或者主链路离线，修改域名的指向，并将IP地址修改为备用服务器集群地址； 步骤503，DNS服务器集群定时查询云调度系统的域名状态； 步骤504，云调度系统返回最新的域名状态和对应的IP地址群给DNS服务器集群，DNS服务器集群更新域名指向到备用服务器集群； 步骤505，用户访问主服务器域名时，首先去DNS服务器查询所述域名的指向； 步骤506，DNS服务器根据用户所在的地理区域，返回给用户一个所在区域的备用服务器IP地址； 步骤507，用户根据返回的备用服务器IP地址提交访问数据至备用服务器； 步骤508，部署在备用服务器前端的分布式清洗系统对用户访问请求中存在的攻击数据进行过滤，并发送经过过滤的数据流至备用服务器； 步骤509，备用服务器通过备用链路，请求主服务器的动态数据； 步骤510，主服务器根据备用服务器请求，构造动态数据，通过备用链路返回给备用服务器； 步骤511，备用服务器返回给用户最新的动态数据信息，过程结束。当分布式拒绝服务攻击消退后，数据通信从备用链路自动切换为主链路，具体步骤如下: 步骤601，攻击者停止饱和分布式拒绝服务攻击，分布式清洗系统判断攻击已经消退；步骤602，由分布式清洗系统通知云调度系统，攻击消退，准备切回主链路，云调度系统接收到攻击消退通知消息后，更新域名状态； 步骤603，DNS服务器集群定时查询云调度系统的域名状态； 步骤604，云调度系统返回最新的域名状态和对应的IP地址群给DNS服务器集群，DNS服务器集群更新域名指向到主服务器集群； 步骤605，用户访问域名时，首先去DNS服务器查询所述域名的指向； 步骤606，DNS服务器返回给用户主服务器IP地址； 步骤607，用户根据返回的主服务器IP地址提交访问数据至主服务器； 步骤608，部署在主服务器前端的ADS设备将访问请求的数据流发送至主服务器； 步骤609，主服务器根据访问请求，构造动态数据，返回给用户，过程结束。一种防御动态网站中饱和分布式拒绝服务攻击的系统，包括主服务器本文档来自技高网...

【技术保护点】
一种防御动态网站中饱和分布式拒绝服务攻击的方法，其特征在于：建立隐藏的备用链路和备用服务器集群，主服务器集群的链路由主链路和备用链路组成；在没有遭受分布式拒绝服务攻击时，由主链路承担用户访问数据的输入输出，备用服务器集群不工作；当有分布式拒绝服务攻击时，启用备用服务器集群，备用服务器通过备用链路，请求主服务器的动态数据，主服务器根据请求，构造动态数据，通过备用链路返回给备用服务器，备用服务器返回给用户最新的动态数据信息；当分布式拒绝服务攻击消退后，将数据通信从备用链路切换为主链路。

【技术特征摘要】
1.一种防御动态网站中饱和分布式拒绝服务攻击的方法，其特征在于:建立隐藏的备用链路和备用服务器集群，主服务器集群的链路由主链路和备用链路组成；在没有遭受分布式拒绝服务攻击时，由主链路承担用户访问数据的输入输出，备用服务器集群不工作；当有分布式拒绝服务攻击时，启用备用服务器集群，备用服务器通过备用链路，请求主服务器的动态数据，主服务器根据请求，构造动态数据，通过备用链路返回给备用服务器，备用服务器返回给用户最新的动态数据信息；当分布式拒绝服务攻击消退后，将数据通信从备用链路切换为主链路。2.如权利要求1所述的防御动态网站中饱和分布式拒绝服务攻击的方法，其特征在于:在没有遭受分布式拒绝服务攻击时，由主链路承担用户访问数据的输入输出，备用服务器集群不工作，具体步骤如下: 步骤301，用户提交访问域名请求至DNS服务器集群； 步骤302，由DNS服务器集群返回被访问主服务器的IP地址； 步骤303，用户根据主服务器的IP地址提交访问请求数据至主服务器； 步骤304，部署在主服务器前端的ADS设备检查用户请求数据流中是否包含分布式拒绝服务攻击，在没有遭受分布式拒绝服务攻击时，ADS设备检测不到分布式拒绝服务攻击，ADS设备将过滤后的用户请求数据提交主服务器集群； 步骤305，主服务器将用户的访问请求处理完成后，返回结果给用户； 步骤306，过程结束。3.如权利要求1所述的防御动态网站中饱和分布式拒绝服务攻击的方法，其特征在于:当主服务器的主链路遭受分布式拒绝服务攻击时，这时分为2种情况，第一种:分布式拒绝服务攻击未达到饱和状态，此时主链路仍可以进行数据传输；第二种:分布式拒绝服务攻击达到饱和状态，此 时主链路处于阻塞状态，任何数据无法正常传输；对于第一种状况，处理的具体步骤如下: 步骤401，攻击者发起分布式拒绝服务攻击，部署在主链路上的ADS设备根据管理员配置的防护策略，对分布式拒绝服务攻击进行检测和过滤； 步骤402，ADS设备在检测到分布式拒绝服务攻击达到管理员配置的阈值后，向云调度系统发送遭受攻击的告警消息，云调度系统接收到告警消息后，确认主链路遭受攻击，修改域名的域名指向，并将IP地址修改为备用服务器集群地址； 步骤403，DNS服务器集群定时查询云调度系统的域名状态； 步骤404，云调度系统返回最新的域名状态和对应的IP地址群给DNS服务器集群，DNS服务器集群根据更新后的域名指向到备用服务器集群； 步骤405，用户访问所述域名时，首先去DNS服务器查询域名的指向； 步骤406，DNS服务器根据用户所在的地理区域，返回给用户一个所在区域的备用服务器IP地址； 步骤407，用户根据返回的备用服务器IP地址提交访问数据至备用服务器； 步骤408，部署在备用服务器前端的分布式清洗系统对访问请求中存在的攻击数据进行过滤，并发送经过过滤的数据流至备用服务器； 步骤409，备用服务器通过备用链路，请求主服务器的动态数据； 步骤410，主服务根据备用服务器的请求，构造动态数据，通过备用链路返回给备用服务器； 步骤411，备用服务器返回给用户最新的动态数据信息，过程结束。4.如权利要求3所述的防御动态网站中饱和分布式拒绝服务攻击的方法，其特征在于:对于第二种情况，处理的具体步骤如下: 步骤501，攻击者发起饱和分布式拒绝服务攻击，此时主链路被饱和攻击拥塞，ADS设备无法发送告警信息； 步骤502，云调度系统定时检查主链路状况，发现主链路无法响应时，确认该主链路遭受饱和拒绝服务攻击，或者主链路离线，修改域名的指向，并将IP地址修改为备用服务器集群地址； 步骤503，DNS服务器集群定时查询云...

【专利技术属性】
技术研发人员：张昱，
申请(专利权)人：南京铱迅信息技术有限公司，
类型：发明
国别省市：