利用客户机路由控制系统检测问题起因客户机的方法和系统与流程

本发明构思涉及检测引起网络问题的客户机，更具体地说，涉及一种用于利用客户机路由控制系统来检测网络问题起因客户机(即引起网络问题的客户机)的方法和系统。
背景技术：
：利用客户机路由控制系统来检测网络问题起因客户机(例如，标识分布式服务拒绝(DDoS)攻击发令方的互联网协议(IP))可以指：利用域名服务器(DNS)和客户机路由控制服务器以及若干边缘服务器，通过指定用户待访问的边缘服务器来控制客户机路由，从而检测并且标识DDoS攻击。DDoS攻击可通常分为两种类型。第一类型DDoS攻击可以通过以过度负荷对服务器施加负担而使服务器瘫痪。当这种攻击出现时，可以通过由于服务器上的过度负荷导致无法处理其它任务而使其瘫痪。第二类型DDoS攻击可以通过以流量来使得网络线路溢出而使网络线路失效。当这种攻击出现时，服务器可能没有问题但由于与服务器连接的网络线路可能失效，因此服务器和客户机彼此不能进行通信。也就是说，虽然服务器可能没有问题，但由于网络可能有问题，因此可能难以维持服务。虽然在防备这种情况方面已经开发了很多DDoS安全技术，但它们无法成为其根本解决方案。例如，蜜网(Honeynet)是近来已经广泛使用的DDoS防御技术之一。蜜网可以指包括多个蜜罐的网络。在此，蜜罐可以指被实现用于引诱各种外部攻击以寻找其黑客趋势的虚拟网络。这是一种用于故意将具有服务组件的虚拟服务暴露给DDoS攻击发令方以引诱黑客的技术。该技术由于可以在不影响用于实际服务的服务器的情况下检测黑客，所以引人注目。然而，构成蜜网的蜜罐可能具有若干问题。首先，当DDoS攻击发令方标识出蜜罐时，DDoS攻击发令方可以通过避开蜜罐来重新攻击。也就是说，使用一次的蜜罐可能难以重新使用。此外，在使用蜜罐以检测DDoS攻击发令方IP的情况下，可能必须使得攻击发令方停留在蜜罐上直到攻击发令方在蜜罐上留下足够的证据。因此，可能难以快速应对DDoS攻击。蜜罐的最大问题在于：当攻击(属于以上DDoS攻击类型)出现而在网络线路中产生过多流量时，蜜罐可能变得没有用。存在一种用于通过无效路由进行防御的方法。无效路由可以指用于通过将针对特定目的地的分组转发到虚拟接口“Null0”来删除分组的技术。该技术可以阻挡指向服务器的DDoS分组而不会在网络装备中产生过载，但仅可以提供基于IP的过滤，而不能基于服务端口或内容而提供过滤。还有各种其它防御技术，但这些传统技术具有共同的问题。传统DDoS防御技术可以阻挡DDoS攻击，但不能找到并标识与其攻击者对应的攻击发令方的IP。此外，当阻挡受攻击的线路或IP范围以阻挡DDoS攻击时，甚至属于有关线路或范围的正常用户也不能使用服务。这可能在应连续一天24小时保持服务的服务提供商(例如金融机构、公共机构以及游戏)中导致时间损失和过度代价。技术实现要素：技术问题本发明构思提供一种利用客户机路由控制服务器的网络问题起因客户机检测方法，其中，客户机路由控制服务器可以利用以多个级布置的边缘服务器而通过组合若干路由来将唯一路由提供给每个客户机，从而找到并且检测网络问题起因客户机。本发明构思还提供一种利用了客户机路由控制服务器的网络问题起因客户机检测系统(即，检测引起网络问题的客户机的系统)，其中，所述客户机路由控制服务器可以利用以多个级布置的边缘服务器而通过组合若干路由来将唯一路由提供给每个客户机，从而检测并且标识网络问题起因客户机。技术解决方案根据本发明构思的一方面，一种用于利用客户机路由控制系统来检测网络问题起因客户机的方法包括：形成边缘服务器IP分配矩阵；检查边缘服务器中是否发生网络问题；当边缘服务器中发生网络问题时，根据所述边缘服务器IP分配矩阵来分配边缘服务器IP；以及检测没有根据所述边缘服务器IP分配矩阵而被待分配以边缘服务器IP的用户信息或客户机IP作为网络问题起因客户机。可以根据所述边缘服务器IP分配矩阵对于每个用户信息或客户机IP不同地分配边缘服务器IP，并且可以对于每个用户信息或客户机IP通过至少两级边缘服务器IP执行所述边缘服务器IP分配。当从客户机接收到DNS查询时，可以执行所述网络问题发生检查。此外，无论来自客户机的DNS查询如何，都可以执行所述网络问题发生检查。当边缘服务器中发生网络问题时，可以找到使用具有所述网络问题的所述边缘服务器的用户信息或客户机IP，并且可以将对于寻找到的用户信息或客户机IP所分配的边缘服务器IP提供给寻找到的客户机。所述客户机可以包括代理(agent)，当边缘服务器中发生网络问题时，所述代理发送DNS查询，以与根据所述边缘服务器IP分配矩阵所分配的另一边缘服务器进行重新连接。所述代理可以发送包括用户信息的DNS查询。所述DNS查询中所包括的所述用户信息可以包括用户标识信息或设备标识信息，并且可以包括例如登录ID、设备ID(例如MAC、CPUID或HDD串号)、电话号码以及IP地址中的至少一个。在所述方法中，当从所述客户机的所述代理接收到DNS查询时，可以从所述客户机的所述DNS查询提取用户信息，并且可以根据所述边缘服务器IP分配矩阵将与所提取的用户信息对应的边缘服务器IP分配给所述客户机。所述方法中所使用的边缘服务器可以连接客户机和服务器，并且可以包括具有服务中继功能或服务功能的程序、服务器以及硬件设备中的至少一个。根据本发明构思的另一方面，一种用于利用客户机路由控制系统来检测网络问题起因客户机的系统包括：网络问题发生检查单元，其检查边缘服务器中是否发生网络问题；边缘服务器分配单元，其具有边缘服务器IP分配矩阵，并且当边缘服务器中发生网络问题时根据所述边缘服务器IP分配矩阵来分配边缘服务器IP；DNS响应单元，其响应于客户机所发送的DNS查询而提供对于每个用户信息或客户机IP所分配的边缘服务器IP；以及网络问题起因客户机检测单元，其检测没有根据所述边缘服务器IP分配矩阵而被待分配以边缘服务器IP的用户信息或客户机IP作为网络问题起因客户机。可以根据所述边缘服务器IP分配矩阵对于每个用户信息或客户机IP不同地分配边缘服务器IP，并且可以对于每个用户信息或客户机IP通过至少两级边缘服务器IP执行所述边缘服务器IP分配。当所述边缘服务器分配单元响应于DNS查询而分配边缘服务器时，所述网络问题发生检查单元可以检查所分配的边缘服务器中是否存在网络问题；以及当所分配的边缘服务器中不存在网络问题时，所述DNS响应单元可以通过DNS将所分配的边缘服务器信息提供给客户机。此外，无论DNS查询如何，所述网络问题发生检查单元都可以监控边缘服务器中的网络问题。在此情况下，所述网络问题起因客户机检测单元可以包括客户机寻找单元，其当边缘服务器中发生网络问题时，寻找使用具有所述网络问题的所述边缘服务器的用户信息或客户机IP。所述边缘服务器分配单元可以根据所述边缘服务器IP分配矩阵来分配与寻找到的用户信息或客户机IP对应的边缘服务器IP；以及当与寻找到的用户信息或客户机IP对应的客户机发送DNS查询时，所述DNS响应单元可以通过DNS将对于寻找到的用户信息或客户机IP所分配的边缘服务器IP提供给寻找到的客户机。此外，无论DNS查询如何，所述网络问题发生检查单元都可以监控边缘服务器中的网络问题；所述网络问题起因客户机检测单元可以包括客户机寻找单元，其当边缘服务器中发生网络问题时，寻找使用具有所述网络问题的所述边缘服务器的用户信息或客户机IP；所述边缘服务器分配单元可以根据所述边缘服务器IP分配矩阵来分配与寻找到的用户信息或客户机IP对应的边缘服务器IP；以及无论所述DNS查询如何，所述DNS响应单元都可以将对于寻找到的用户信息或客户机IP所分配的边缘服务器IP提供给寻找到的客户机。所述客户机可以包括代理，当边缘服务器中发生网络问题时，所述代理发送所述DNS查询，以与根据所述边缘服务器IP分配矩阵所分配的另一边缘服务器进行重新连接。所述代理可以发送包括用户信息的DNS查询。所述边缘服务器分配单元可以包括用户信息提取单元，其当从所述客户机的所述代理接收到DNS查询时，从所述客户机的所述DNS查询提取用户信息。所述DNS查询中所包括的所述用户信息可以包括用户标识信息或设备标识信息，并且可以包括例如登录ID、设备ID(例如MAC、CPUID或HDD串号)、电话号码以及IP地址中的至少一个。所述边缘服务器可以连接客户机和服务器，并且可以包括具有服务中继功能或服务功能的程序、服务器以及硬件设备中的至少一个。根据本发明构思的另一方面，一种处理器可读记录介质存储用于由处理器执行上述方法的程序。发明的有利效果可以通过根据本发明构思的使用客户机路由控制系统的网络问题起因客户机检测方法和系统来确保提供给客户机的服务的连续性。也就是说，由于客户机可以使用至少两个路由，因此即使当一些路由中发生网络问题时，也可以连续地保持其网络通信。根据本发明构思的另一实施例，由于对于每个客户机分配唯一路由，因此可以容易地标识DDoS攻击发令方的IP，并且可以阻挡DDoS攻击。也就是说，由于对于每个客户机预先指定边缘服务器，因此当边缘服务器中发生网络问题时，可以立即寻找到仅产生网络问题的客户机。相应地，由于可以阻挡仅产生网络问题的客户机，因此正常使用服务的用户可以不受影响。此外，由于可以减少分析用于DDoS搜索的日志所耗费的时间，因此可以减少其时间损失。因为本发明构思基于客户机信息而指定路由，所以其可以具有通用性。换言之，由于本发明构思基于客户机信息而指定路由，因此无论客户机使用的方法如何，其必定应用于路由指定系统，并且因此使用对其合适的路由。与仅通过IP或端口执行过滤的ACL或无效路由方案相比，该方案可以是相当通用的。此外，本发明构思可以阻挡各种类型的DDoS攻击。由于本发明构思使用边缘服务器，因此客户机可以不直接与服务器连接。因此，由于DDoS攻击发令方也不能直接干扰服务器，因此其不能在服务器上进行DDoS攻击。即使当DDoS攻击发令方在网络线路上进行攻击时，由于仅DDoS攻击发令方与其连接，因此根据本发明构思的系统可以在不影响其它网络线路的情况下阻挡并且防御攻击。尤其是，由于通过少量边缘服务器可以找到与仅一种情况对应的DDoS攻击发令方，因此安全维护所需的成本和装备、管理所需的人力以及其时间损失可以显著减少。附图说明图1是示出应用本发明构思的整个系统的配置的示例的框图。图2是示出根据本发明构思的使用客户机路由控制服务器的、网络问题起因客户机检测系统的总体配置的框图。图3是示出根据本发明构思的使用客户机路由控制服务器的、网络问题起因客户机检测系统的第一实施例的配置的框图。图4是示出根据本发明构思的使用客户机路由控制服务器的、网络问题起因客户机检测系统的第二实施例的配置的框图。图5是示出根据本发明构思的使用客户机路由控制服务器的、网络问题起因客户机检测系统的第三实施例的配置的框图。图6是示出根据本发明构思的使用客户机路由控制服务器的、图2所示网络问题起因客户机检测系统中的网络问题起因客户机检测方法的流程图。图7是示出根据本发明构思的使用客户机路由控制服务器的、图3所示网络问题起因客户机检测系统的第一实施例中的网络问题起因客户机检测方法的流程图。图8是示出根据本发明构思的使用客户机路由控制服务器的、图4所示网络问题起因客户机检测系统的第二实施例中的网络问题起因客户机检测方法的流程图。图9是示出根据本发明构思的使用客户机路由控制服务器的、图5所示网络问题起因客户机检测系统的第三实施例中的网络问题起因客户机检测方法的流程图。图10示出根据本发明构思的、使用客户机路由控制服务器的、DDoS攻击发令方IP标识方法的示例。图11示出在客户机3是DDoS攻击发令方的情况下边缘服务器1和边缘服务器3’分别在级1和级2中被指定为唯一路由。图12和图13示出甚至当边缘服务器的级数或每级中边缘服务器的数量增加时，根据路由控制算法，客户机仅具有一个路由。图14示出为客户机指定边缘服务器的总体流程。具体实施方式下文中，将参照附图详细描述本发明构思的示例性实施例。由于在此所描述的实施例以及附图中所示的配置仅是本发明构思的示例性实施例，而不表示所有本发明构思，因此应当理解，可以存在其各种等同及修改。图1是示出应用本发明构思的整个系统的配置的示例的框图。本发明构思可以包括多个客户机100、DNS服务器110、客户机路由控制服务器(CRCS)120、服务中继网络130以及服务服务器140。在本发明构思中，服务中继网络130可以包括包含硬件设备的边缘服务器或具有服务中继功能或服务功能的服务器，以及网络设备(例如网关、路由器、交换机和集线器)。通常，网络可以包括各种服务器(例如Web服务器和DNS)以及网络设备(例如网关、路由器、交换机和集线器)。在它们当中，服务器可以接收客户机的请求并处理该请求，并且网络设备可以发送分组以供客户机发送/接收。这些设备可以将从客户机接收到的分组通过快速路由发送到服务器而不丢失，并且服务器可以快速地处理客户机的请求并将其结果发送到客户机。然而，这些设备可能很弱，因而它们不能应对设备或线路中的可能问题。为了实现本发明构思，可以通过硬件设备和服务器(例如具有服务中继功能或服务功能的代理(proxy)服务器或缓存服务器)来实现本发明构思中所使用的边缘服务器。此外，边缘服务器可以包括具有服务中继功能或服务功能的程序，并且可以用作供客户机访问并且用作供客户机访问的服务路由的服务服务器。当客户机100访问服务器时，多数客户机利用DNS来访问服务服务器140。可以利用边缘服务器132、134、136和138、对其进行管理的CRCS120、DNS特征以及通过组合多个路由所生成的路由来实现本发明构思。客户机100可以访问服务服务器140，以接收服务。在此情况下，首先，客户机100可以通过DNS服务器110接收服务服务器140的IP。为此，客户机100可以将DNS查询发送到DNS服务器110。DNS服务器110可以从客户机102和104接收DNS查询，并且当其中并未存储服务服务器的IP时将DNS查询发送到CRCS120。CRCS120可以从DNS服务器110接收客户机的DNS查询，分配属于服务中继网络130的边缘服务器的IP，并且将所分配的边缘服务器的IP通过DNS服务器110发送到客户机。更详细地说，CRCS120可以检查边缘服务器的状态并且管理边缘服务器和客户机的数据。CRCS120可以指定边缘服务器IP，并且将其发送到客户机。CRCS可以接收CRCS请求，检查边缘服务器的状态，指定与客户机IP或域名对应的边缘服务器的IP和客户机IP，存储所指定的信息，并且发送DNS响应。发送DNS查询的客户机可以接收边缘服务器的IP信息，访问边缘服务器，并且从服务服务器140接收服务。更详细地说，客户机100可以将DNS查询发送到DNS服务器110，以寻找服务器的地址。当客户机所请求的域名在其自身的服务器中并不存在时，DNS服务器110可以通过将请求发送到上级DNS服务器来寻找与域名对应的IP。更详细地说，DNS服务器可以包括接收客户机所请求的域名并且通过与域名对应的IP进行响应的普通DNS设备，并且还可以包括对应的构思和技术。DNS服务器可以将与域名对应的IP发送到客户机。通过以上处理，DNS查询可以被发送到具有客户机IP和客户机所请求的域名的CRCS120。在此情况下，根据路由控制算法，CRCS120可以为每个客户机IP准备唯一路由中所使用的边缘服务器的IP。图2是示出根据本发明构思的使用客户机路由控制服务器的、网络问题起因客户机检测系统的总体配置的框图。参照图2，根据本发明构思的使用客户机路由控制服务器的、网络问题起因客户机检测系统20的示例可以包括边缘服务器分配单元210、DNS响应单元215、网络问题发生检查单元230以及网络问题起因客户机检测单元220。网络问题发生检查单元230可以检查在边缘服务器240中是否发生网络问题。边缘服务器分配单元210可以具有边缘服务器IP分配矩阵212，并且当边缘服务器240中发生网络问题时，参照边缘服务器IP分配矩阵212将边缘服务器IP分配给使用具有网络问题的边缘服务器的客户机。可以根据边缘服务器IP分配矩阵212对于每个用户信息或客户机IP不同地分配边缘服务器IP，并且可以对于每个用户信息或客户机IP通过至少两级边缘服务器IP执行边缘服务器IP分配。DNS响应单元215可以响应于客户机所发送的DNS查询而提供对于每个用户信息或客户机IP所分配的边缘服务器IP。为了当边缘服务器中发生网络问题时参照边缘服务器IP分配矩阵212将边缘服务器IP分配给使用具有网络问题的边缘服务器的客户机，网络问题起因客户机检测单元220可以检测没有被待分配以边缘服务器IP的用户信息或客户机IP作为网络问题起因客户机。在此，边缘服务器可以是具有服务中继功能或服务功能的程序、服务器和硬件设备(例如代理服务器或缓存服务器)。边缘服务器可以用作客户机所访问的服务路由，并且可以作为客户机所访问的服务服务器。服务中继网络240可以包括包含硬件设备的边缘服务器或具有服务中继功能或服务功能的服务器以及网络设备(例如网关、路由器、交换机和集线器)。此外，安装在客户机260中的代理262可以发送DNS查询，以重新连接边缘服务器以及连接到具有网络问题的边缘服务器的客户机。图6是示出根据本发明构思的使用客户机路由控制服务器的、图2所示网络问题起因客户机检测系统中的网络问题起因客户机检测方法的流程图。参照图2和图6，首先，可以形成边缘服务器IP分配矩阵212(操作S600)。可以根据边缘服务器IP分配矩阵212对于每个用户信息或客户机IP不同地分配边缘服务器IP，并且可以对于每个用户信息或客户机IP通过至少两级边缘服务器IP执行边缘服务器IP分配。网络问题发生检查单元230可以检查在边缘服务器中是否发生网络问题(操作S610)。当网络问题发生检查单元230检查出在边缘服务器中发生网络问题时，可以参照边缘服务器IP分配矩阵210将边缘服务器IP分配给使用具有网络问题的边缘服务器的客户机(S620)。在此情况下，参照边缘服务器IP分配矩阵212，网络问题起因客户机检测单元22可以检测没有被待分配以边缘服务器IP的用户信息或客户机IP作为网络问题起因客户机(操作S630)。图3是示出根据本发明构思的使用客户机路由控制服务器的网络问题起因客户机检测系统的第一实施例的配置的框图。参照图3，根据本发明构思的使用客户机路由控制服务器的网络问题起因客户机检测系统30的第一实施例可以包括查询接收单元310、边缘服务器分配单元320、网络问题起因客户机检测单元330、网络问题发生检查单元340以及DNS响应单元350。当DNS服务器305从客户机接收到DNS查询并且发送该DNS查询时，查询接收单元310可以接收DNS查询。在此情况下，当DNS查询中包括用户信息时，用户信息提取单元312可以提取DNS查询中所包括的用户信息。边缘服务器分配单元320可以具有边缘服务器IP分配矩阵322，并且参照边缘服务器IP分配矩阵322将边缘服务器IP分配给发送DNS查询的客户机。在此，可以根据边缘服务器IP分配矩阵322对于每个用户信息或客户机IP不同地分配边缘服务器IP，并且可以对于每个用户信息或客户机IP通过至少两级边缘服务器IP执行边缘服务器IP分配。当DNS查询接收单元310接收到DNS查询并且边缘服务器分配单元320将边缘服务器分配给发送DNS查询的客户机时，网络问题发生检查单元240可以检查在所分配的边缘服务器中是否发生网络问题。当所分配的边缘服务器中并未发生网络问题时，DNS响应单元350可以响应于DNS查询而提供对于每个用户信息或客户机IP所分配的边缘服务器IP。为了当边缘服务器中发生网络问题时参照边缘服务器IP分配矩阵322将边缘服务器IP分配给使用具有网络问题的边缘服务器的客户机，网络问题起因客户机检测单元330可以检测没有被待分配以边缘服务器IP的用户信息或客户机IP作为网络问题起因客户机。在此，边缘服务器可以通过具有服务中继功能或服务功能的程序、服务器和硬件设备(例如代理服务器或缓存服务器)来实现。边缘服务器可以用作客户机所访问的服务路由，并且可以作为客户机所访问的服务服务器。服务中继网络360可以包括包含硬件设备的边缘服务器或具有服务中继功能或服务功能的服务器以及网络设备(例如网关、路由器、交换机和集线器)。此外，为了重新连接边缘服务器和连接到具有网络问题的边缘服务器的客户机，安装在客户机380中的代理382可以发送DNS查询，并且可以发送包括用户信息的DNS查询。所述DNS查询中所包括的所述用户信息可以包括用户标识信息或设备标识信息，并且可以包括例如登录ID、设备ID(例如MAC、CPUID或HDD串号)、电话号码以及IP地址中的至少一个。图7是示出根据本发明构思的使用客户机路由控制服务器的图3所示网络问题起因客户机检测系统的第一实施例中的网络问题起因客户机检测方法的流程图。参照图3和图7，首先，可以形成边缘服务器IP分配矩阵312(操作S700)。DNS查询接收单元310可以从DNS服务器305接收DNS查询(操作S705)。用户信息提取单元310可以检查接收到的DNS查询中是否包括用户信息(操作S710)。当接收到的DNS查询中包括用户信息时，可以提取用户信息(操作S715)。边缘服务器分配单元322可以参照边缘服务器IP分配矩阵322分配与所提取的用户信息对应的边缘服务器IP(操作S720)。当DNS查询中不包括用户信息时(操作S710)，边缘服务器分配单元322可以参照边缘服务器IP分配矩阵322将所分配的边缘服务器IP提供给发送DNS查询的客户机(操作S725)。当分配了边缘服务器IP时，网络问题发生检查单元340可以检查在所分配的边缘服务器中是否发生网络问题(操作S730)。当网络问题发生检查单元340检查出在所分配的边缘服务器中并未发生网络问题时，边缘服务器分配单元320可以提供所分配的边缘服务器IP(操作S740)。当所分配的边缘服务器中发生网络问题时，可以参照边缘服务器IP分配矩阵322检查是否存在下一级边缘服务器IP(操作S745)。当不存在待分配的下一级边缘服务器IP时，有关的客户机可以检测为网络问题起因客户机(操作S750)。当存在待分配的下一级边缘服务器IP时，可以将下一级边缘服务器IP提供给发送DNS查询的客户机(操作S755)。图4是示出根据本发明构思的使用客户机路由控制服务器的网络问题起因客户机检测系统的第二实施例的配置的框图。参照图4，根据本发明构思的使用客户机路由控制服务器的网络问题起因客户机检测系统40的第二实施例可以包括查询接收单元410、边缘服务器分配单元420、网络问题起因客户机检测单元430、网络问题发生检查单元440、客户机寻找单元450以及DNS响应单元460。网络问题发生检查单元440可以监控在边缘服务器中是否发生网络问题，而无论DNS查询接收如何。当通过网络问题发生检查单元440检测到具有网络问题的边缘服务器时，客户机寻找单元450可以找到使用该边缘服务器作为到达服务服务器460的连接路由的客户机。边缘服务器分配单元420可以具有边缘服务器IP分配矩阵422，并且当边缘服务器中发生网络问题时参照边缘服务器IP分配矩阵422将边缘服务器IP分配给使用具有网络问题的边缘服务器的客户机。在此，可以根据边缘服务器IP分配矩阵422对于每个用户信息或客户机IP不同地分配边缘服务器IP，并且可以对于每个用户信息或客户机IP通过至少两级边缘服务器IP执行边缘服务器IP分配。当DNS服务器305从客户机接收到DNS查询并且发送该DNS查询时，查询接收单元410可以接收DNS查询。在此情况下，当DNS查询中包括用户信息时，用户信息提取单元412可以提取DNS查询中所包括的用户信息。DNS响应单元460可以响应于客户机所发送的DNS查询而提供对于每个用户信息或客户机IP所分配的边缘服务器IP。为了当边缘服务器中发生网络问题时参照边缘服务器IP分配矩阵422将边缘服务器IP分配给使用具有网络问题的边缘服务器的客户机，网络问题起因客户机检测单元430可以检测没有被待分配以边缘服务器IP的用户信息或客户机IP作为网络问题起因客户机。在此，边缘服务器可以通过具有服务中继功能或服务功能的程序、服务器和硬件设备(例如代理服务器或缓存服务器)来实现。边缘服务器可以用作客户机所访问的服务路由，并且可以作为客户机所访问的服务服务器。服务中继网络470可以包括包含硬件设备的边缘服务器或具有服务中继功能或服务功能的服务器以及网络设备(例如网关、路由器、交换机和集线器)。此外，为了重新连接边缘服务器和连接到具有网络问题的边缘服务器的客户机，安装在客户机490中的代理492可以发送DNS查询，并且也可以发送包括用户信息的DNS查询。DNS查询中所包括的用户信息可以包括用户标识信息或设备标识信息，并且可以包括例如登录ID、设备ID(例如MAC、CPUID或HDD串号)、电话号码以及IP地址中的至少一个。图8是示出根据本发明构思的使用客户机路由控制服务器的图4所示网络问题起因客户机检测系统的第二实施例中的网络问题起因客户机检测方法的流程图。参照图4和图8，首先，可以形成边缘服务器IP分配矩阵422(操作S800)。网络问题发生检查单元440可以监控在边缘服务器中是否发生网络问题，而无论DNS查询接收如何(操作S810)。当监控到在边缘服务器中发生网络问题时(操作S820)，客户机寻找单元450可以寻找使用具有网络问题的边缘服务器作为到达服务服务器480的访问路由的客户机(操作S830)。可以检查是否存在分配给寻找到的客户机的下一级边缘服务器IP(操作S840)。当不存在下一级边缘服务器IP时，网络问题起因客户机检测单元430可以检测所寻找到的客户机作为网络问题起因客户机(操作S850)。当存在下一级边缘服务器IP时，边缘服务器分配单元420可以分配下一级边缘服务器IP。此后，当从寻找到的客户机接收到DNS查询时，DNS响应单元460可以将所分配的边缘服务器IP提供给发送DNS查询的客户机(操作S880)。图5是示出根据本发明构思的使用客户机路由控制服务器的网络问题起因客户机检测系统的第三实施例的配置的框图。参照图5，根据本发明构思的使用客户机路由控制服务器的网络问题起因客户机检测系统50的第三实施例可以包括网络问题发生检查单元530、客户机寻找单元540、边缘服务器分配单元550、网络问题起因客户机检测单元560以及DNS响应单元570。网络问题发生检查单元530可以监控在边缘服务器中是否发生网络问题，而无论DNS查询接收如何。当通过网络问题发生检查单元530检测到具有网络问题的边缘服务器时，客户机寻找单元540可以寻找使用边缘服务器作为到达服务服务器590的连接路由的客户机。边缘服务器分配单元550可以具有边缘服务器IP分配矩阵552，并且当边缘服务器中发生网络问题时参照边缘服务器IP分配矩阵552将边缘服务器IP分配给使用具有网络问题的边缘服务器的客户机。在此，可以根据边缘服务器IP分配矩阵552对于每个用户信息或客户机IP不同地分配边缘服务器IP，并且可以对于每个用户信息或客户机IP通过至少两级边缘服务器IP执行边缘服务器IP分配。无论DNS查询如何，DNS响应单元570都可以对客户机提供通过边缘服务器分配单元550所分配的对于每个用户信息或客户机IP所分配的边缘服务器IP。为了当边缘服务器中发生网络问题时参照边缘服务器IP分配矩阵552将边缘服务器IP分配给使用具有网络问题的边缘服务器的客户机，网络问题起因客户机检测单元560可以检测没有被待分配以边缘服务器IP的用户信息或客户机IP作为网络问题起因客户机。在此，边缘服务器可以通过具有服务中继功能或服务功能的程序、服务器和硬件设备(例如代理服务器或缓存服务器)来实现。边缘服务器可以用作客户机所访问的服务路由，并且可以作为客户机所访问的服务服务器。服务中继网络580可以包括包含硬件设备的边缘服务器或具有服务中继功能或服务功能的服务器以及网络设备(例如网关、路由器、交换机和集线器)。此外，安装在客户机525中的代理527可以发送DNS查询，以重新连接边缘服务器和连接到具有网络问题的边缘服务器的客户机。图9是示出根据本发明构思的使用客户机路由控制服务器的图5所示网络问题起因客户机检测系统的第三实施例中的网络问题起因客户机检测方法的流程图。参照图5和图9，首先，可以形成边缘服务器IP分配矩阵552(操作S900)。网络问题发生检查单元530可以监控在边缘服务器中是否发生网络问题(操作S910)。当监控到在边缘服务器中发生网络问题时(操作S920)，客户机寻找单元540可以寻找使用具有网络问题的边缘服务器作为到达服务服务器590的访问路由的客户机(操作S930)。可以检查是否存在分配给寻找到的客户机的下一级边缘服务器IP(操作S940)。当不存在下一级边缘服务器IP时，网络问题起因客户机检测单元560可以检测所寻找到的客户机作为网络问题起因客户机(操作S950)。当存在下一级边缘服务器IP时，边缘服务器分配单元550可以分配下一级边缘服务器IP(操作S960)。此后，无论来自寻找到的客户机的DNS查询接收如何，DNS响应单元570都可以将所分配的边缘服务器IP提供给寻找到的客户机或客户机的代理(操作S970)。图10示出根据本发明构思的使用客户机路由控制服务器的DDoS攻击发令方的IP标识方法的示例。参照图10，当16个客户机要访问服务器时，CRCS可以准备8个边缘服务器。这8个边缘服务器可以按4个为单位划分，并且以第一级(级1)1010和第二级(级2)1020进行管理。边缘服务器的总数量可以根据客户机而变化，并且边缘服务器的数量和级数可以根据环境而变化。此外，连接到每个边缘服务器的客户机的数量可以根据情况而变化。客户机可以基于CRCS所提供的IP而访问边缘服务器。在此情况下，根据路由控制算法，为防备与客户机连接的第一级(级1)的边缘服务器中发生网络问题的情况时，CRCS可以以预留方式预先指定待被访问的第二级(级2)的边缘服务器。当以此方式配置时，客户机可以具有表1所示的路由。表1参照表1，客户机1至4可以通过第一级的边缘服务器1与服务器连接。客户机5至8可以通过第一级的边缘服务器2与服务器连接。客户机9至12可以通过第一级的边缘服务器3与服务器连接。客户机13至16可以通过第一级的边缘服务器4与服务器连接。当边缘服务器1至4中的任一者中发生网络问题时，使用具有网络问题的边缘服务器的客户机可以与第二级的边缘服务器1’至4’连接。例如，当边缘服务器2中发生网络问题时，可以找到使用边缘服务器2作为第一级边缘服务器的客户机。可以找到客户机5至8作为使用边缘服务器2作为第一级边缘服务器的客户机。然后，客户机5至8可以与第二级的边缘服务器连接。因此，客户机5可以与第二级的边缘服务器1’连接，客户机6可以与第二级的边缘服务器2’连接，客户机7可以与第二级的边缘服务器3’连接，并且客户机8可以与第二级的边缘服务器4’连接。此后，当边缘服务器4’中发生网络问题时，可以将客户机8标识为进行DDoS攻击的客户机。以此方式，当具有表1所示的路由时，一个客户机可以通过被指定第一级和第二级的边缘服务器而仅具有一个路由。也就是说，每个客户机可以具有唯一路由。以此方式，通过为每个客户机预先指定边缘服务器，可以容易地找到产生网络问题的客户机。例如，参照表1，在客户机3是图14所示的DDoS攻击发令方的情况下，边缘服务器1和边缘服务器3’可以分别被指定为第一级(1410)和第二级(1420)中的用于客户机3的边缘服务器。当边缘服务器1中发生网络问题时，可以找到客户机1、2、3和4作为使用边缘服务器1作为第一级(1110)边缘服务器的客户机。例如，根据本发明构思的方法，寻找到的客户机1、2、3和4可以分别连接到第二级(1120)的边缘服务器，并且CRCS可以将客户机中的每一个连接到如表1中指定的预留边缘服务器(即第二级的边缘服务器)。也就是说，客户机1可以与第二级的边缘服务器1’连接，客户机2可以与第二级的边缘服务器2’连接，客户机3可以与第二级的边缘服务器3’连接，并且客户机4可以与第二级的边缘服务器4’连接。如果客户机即使在被连接到所指定的边缘服务器之后也重新尝试在边缘服务器3’上进行攻击，则由于仅客户机3连接到边缘服务器3’，因此当边缘服务器3’中发生网络问题时，可以将客户机3立即标识为DDoS攻击发令方。表2简要示出该处理。表2客户机级1级2客户机1边缘服务器1边缘服务器1’客户机2边缘服务器1边缘服务器2’客户机3边缘服务器1边缘服务器3’客户机4边缘服务器1边缘服务器4’根据该原理，8个边缘服务器可以接纳16个客户机。此外，即使当出现DDoS攻击时，也可以连续地保持服务(除了攻击发令方之外)，并且即使当边缘服务器的数量或客户机的数量增加时，该情况同样成立。如图12或图13所示，由于即使当边缘服务器的级数或每个级中的边缘服务器的数量增加时，客户机根据路由控制算法也仅具有一个路由，因此可以标识出攻击发令方IP。表3例如，参照表3，如图12所示，当客户机2和客户机19是DDoS攻击发令方时，客户机2和19可以被指定到第一级(1210)中的边缘服务器1和边缘服务器2，可以被指定到第二级(1220)中的边缘服务器1’，并且可以被指定到第三级(1230)中的边缘服务器2”和边缘服务器3”。因此，例如，当第一级(1210)的边缘服务器1中发生网络问题时，可以找到使用边缘服务器1作为第一级(1210)的边缘服务器的客户机。在此情况下，参照表3，可以找到客户机1至16作为使用边缘服务器1作为第一级(1210)的边缘服务器的客户机。根据本发明构思的方法，关于寻找到的客户机1至16，在第二级(1220)中，客户机1至4可以使用边缘服务器1’，客户机5至8可以使用边缘服务器2’，客户机9至12可以使用边缘服务器3’，并且客户机13至16可以使用边缘服务器4’。当第二级(1210)的边缘服务器1’中发生网络问题时，可以找到使用边缘服务器1’作为第二级(1520)的边缘服务器的客户机。在此情况下，参照表3，可以找到客户机1至4作为使用边缘服务器1’作为第二级(1210)的边缘服务器的客户机。根据本发明构思的方法，关于寻找到的客户机1至4，在第三级(1230)中，客户机1可以使用边缘服务器1”，客户机2可以使用边缘服务器2”，客户机3可以使用边缘服务器3”，并且客户机4可以使用边缘服务器4”。当第三级的边缘服务器2”中发生网络问题时，客户机2可以是使用边缘服务器2”作为第三级的边缘服务器的客户机。因此，可以将客户机2标识为已在边缘服务器1、边缘服务器1’以及边缘服务器2”中产生网络问题的客户机。也就是说，可以将客户机2立即标识为DDoS攻击发令方。表3简要示出该处理。类似地，由于客户机19基于逐级方式使用第一级(1210)的边缘服务器2、第二级(1520)的边缘服务器1’以及第三级(1230)的边缘服务器3”，因此当在第一级(1210)的边缘服务器2、第二级(1220)的边缘服务器1’以及第三级(1530)的边缘服务器3”中依次发生网络问题时，可以将客户机19立即标识为已产生网络问题的客户机。也就是说，可以将客户机19立即标识为DDoS攻击发令方。表3简要示出该处理。表4根据本发明构思的另一实施例，当存在16个客户机时，可以如表1所示预先分配唯一路由；并且当客户机1发送DNS查询时，可以在第一级中分配边缘服务器1，并且可以在第二级中分配边缘服务器1’，从而第一级和第二级的边缘服务器IP可以发送到客户机，并且客户机可以使用第一级的边缘服务器1和第二级的边缘服务器1’。以此方式，如表1所示，当所有客户机被设置为使用第一级和第二级的所有边缘服务器时，可以立即标识出产生网络问题的客户机，而无需关于具有网络问题的边缘服务器重新连接下一级边缘服务器。例如，参照表1，当第一级的边缘服务器2和第二级的边缘服务器4’中发生网络问题时，可以将客户机8立即标识为产生网络问题的客户机。甚至在具有如图13和图14所示的第三级和/或第四级的情况下，如果根据表3和表4的算法来分配边缘服务器，则当在每个级中检查具有网络问题的边缘服务器时，可以参照表3和表4立即标识产生网络问题的客户机。图14示出为客户机指定边缘服务器的总体流程。当从客户机1400接收到DNS查询时，DNS服务器1340可以接收客户机路由控制服务器1450关于DNS查询请求的响应，并且客户机路由控制服务器1250可以将边缘服务器IP提供给发送DNS查询的客户机。在根据第一实施例的边缘服务器分配算法中仅可以提供属于第一级(1410)的边缘服务器的IP，而在根据第二实施例的边缘服务器分配算法中可以提供属于所有级(即第一级(1410)、第二级(1420)以及第三级(1430))的边缘服务器的所有IP。通过所提供的边缘服务器的IP，客户机100可以通过边缘服务器访问服务服务器(未示出)，以接收服务。以上根据本发明构思的使用客户机路由控制服务器的DDoS攻击发令方的IP标识方法和系统可以具有以下特征。首先，可以为每个客户机分配唯一路由。由于网络设备(例如桥或路由器)用于快速且安全地发送分组，因此很多线路可以与其连接。因此，当一些线路中发生网络问题时，分组可以被重传到其它线路以提供平滑的服务。因此，可以如下在网络上稳定地保持分组通信。然而，由于客户机使用若干线路，因此当客户机是DDoS攻击发令方时，将客户机确定为攻击发令方的情况的数量可能增加。也就是说，将客户机确定为DDoS攻击发令方的范围可能变得太宽。在本发明构思的路由指定算法中，由于以逐级分类的边缘服务器以及CRCS所设置的唯一路由的原因，针对客户机会出现唯一路由，如表1、表3和表4所示。其次，利用唯一路由可以找到DDoS攻击发令方的IP。为防备在线路中发生网络问题的情况，普通网络可以具备若干预留线路，以防止通信中断。在DDoS攻击发令方的情况下，由于很多线路所产生情况的数量的原因，可能无法确定攻击发令方的IP。然而，根据本发明构思，由于可以给每个客户机分配唯一路由，并且客户机可以受CRCS管理，因此待由客户机访问的线路可以是固定的。因此，当在线路上出现DDoS攻击时，由于该线路必定由一个客户机使用，因此产生网络问题的客户机可以被确定为DDoS攻击发令方的IP，并且可以立即对其进行处理。第三，其中可以提供边缘服务器。例如网络中的桥或作为桥的路由器等设备可以连接客户机和服务器。然而，当客户机经过路由器或桥时，客户机可能移动经过大量路由。即使当路由器或桥仅提供一个路由时，由于设备特性的原因，针对当前网络中的配置也可能需要巨大成本。根据本发明构思，边缘服务器可以隐藏服务器的存在，并且可以作为客户机可以连接的路由。第四，其中可以提供客户机路由控制服务器(CRCS)。CRCS可以指定与域名对应的IP，并且也可以管理客户机和边缘服务器的信息。可以提供DNS服务器或监控服务器作为执行与CRCS相同的功能的服务器。然而，普通DNS服务器仅可以指定域名和IP。此外，为了不对名称服务器施加负担，所指定的域名地址可以留在服务器中达大约三小时至大约一星期或更长。这样可以不对服务器施加负担。然而，由于根据本发明构思所实现的系统应立即改变待根据情况而指定的域名和边缘服务器IP，因此DNS系统不能满足本发明构思的功能。此外，由于监控服务器仅可以找到监控设备的状态并且计算其信息，因此其不能适当满足本发明构思的功能。因此，需要包括用于实现本发明构思的功能的分离的客户机路由控制服务器。第五，DNS可以用于将边缘服务器IP发送到客户机。CRCS可以将与域名对应的边缘服务器IP指定给客户机，但可以并非将其直接发送到客户机。因此，所指定的信息可以被分离地发送到DNS，从而客户机可以获知边缘服务器IP。本发明构思也可以实施为计算机可读记录介质上的计算机(具有信息处理功能的任何设备)可读代码。计算机可读记录介质可以包括数据存储设备，其可以存储此后可以由计算机系统读取的数据。计算机可读记录介质的示例可以包括只读存储器(ROM)、随机存取存储器(RAM)、压缩盘只读存储器(CD-ROM)、磁带、软盘以及光数据存储设备。虽然已经参照附图所示的实施例描述本发明构思，但这仅是示例，并且本领域技术人员应理解，可以据此推导各种修改以及其它等同实施例。因此，本发明构思的精神和范围由所附权利要求限定。工业实用性本发明构思可以用在用于确保提供给客户机的服务的连续性的任何系统中，并且也可以特别用于防御各种类型的DDoS攻击。当前第1页1 2 3