基于故障自动迁移系统的DDOS防御方法及系统与流程

本发明涉及网络安全技术领域，具体涉及一种基于故障自动迁移系统的ddos防御方法及系统。

背景技术：

随着互联网应用的普及和发展，大家越来越重视用户体验，所以市场上有很多ddos(分布式拒绝服务攻击)产品顺势而出。目前，一般都采用高防ip，后面加一个强大的处理集群，该集群通过对流量的分析，采用人机识别、异常检测等技术，对流量进行清洗、过滤，只放行合法流量，而对恶意流量采取屏蔽或丢弃处理方式，以实现对ddos的防护。现有ddos防护方法缺点较为明显：

成本高：采购专业的ddos防护服务，每月费用动辄数万元，一年下来需要花费几十万，对于中小型公司、创业公司来说不堪重负。

性能低：业界一般做法是做流量清洗、过滤，但是这样做多了一层处理，就多了一层时间消耗，最终会影响服务响应时长，影响用户体验。

会有误判：ddos防护一般都有人机识别、异常检测等技术，虽然技术相对比较成熟，但是仍有误判、屏蔽部分真实用户访问，导致会误伤部分真实用户，影响用户体验。

技术实现要素：

针对上述问题中存在的不足之处，本发明提供一种基于故障自动迁移系统的ddos防御方法及系统。

为实现上述目的，本发明提供一种基于故障自动迁移系统的ddos防御方法，包括：

在域名解析时，判断vip(virtualip)集群中各个vip地址是否被ddos攻击；

若判断结果为是，则将被ddos攻击的vip地址丢弃，并将流量引导至未被攻击的vip地址上；

若判断结果为否，则将流量均衡引导至所述vip集群中各个vip地址上。

上述的ddos防御系统，所述在域名解析之前，还包括：

用户请求访问web(worldwideweb)站点或api(applicationprogramminginterface)站点。

本公开的实施例提供的技术方案可以包括以下有益效果：通过自动迁移的技术来实现对攻击流量的回避，攻击者一般针对vip进行攻击，受到ddos攻击的vip将自动被抛弃，并且将正常流量引导至其它未被攻击的vip上，从而避免服务器被攻击，有效的解决了ddos攻击的问题并大幅降低了成本和使用难度。

上述的基于故障自动迁移系统的ddos防御方法，所述在判断vip集群中各个vip地址是否被ddos攻击具体包括：

利用健康检查模块对所述vip集群中各个vip地址实时探测。

上述基于故障自动迁移系统的ddos防御方法，

还包括多个主机服务器，各个所述vip地址所转发的请求均落入一台所述主机服务器上。

根据本发明第二方面的技术方案，提出了一种ddos防御系统，包括：

判断单元，用于在域名解析时，判断vip集群中各个vip地址是否被ddos攻击；

第一装置输出单元，用于在所述判断单元的判断结果为是时，则将被ddos攻击的vip地址丢弃，并将流量引导至未被攻击的vip地址上；

第二装置输出单元，用于在所述判断单元的判断结果为否时，则将流量均衡引导至所述vip集群中各个vip地址上。

本公开的实施例提供的技术方案可以包括以下有益效果：通过自动迁移的技术来实现对攻击流量的回避，攻击者一般针对vip进行攻击，受到ddos攻击的vip将自动被抛弃，并且将正常流量引导至其它未被攻击的vip上，从而避免服务器被攻击，有效的解决了ddos攻击的问题并大幅降低了成本和使用难度。

上述的ddos防御系统，还包括：

请求单元，用于用户请求访问web站点或api站点。

上述的ddos防御系统，

健康检查单元，用于对所述vip集群中各个vip地址实时探测。

上述的ddos防御系统，

转换单元，用于将所述用户请求经由vip集群，转发至有多个主机服务器所组成集群中的一台主机服务器上。

附图说明

图1为本发明一个实施例中基于故障自动迁移系统的ddos防御方法的流程图一。

图2为本发明一个实施例中ddos防御系统的结构框图一。

图3为本发明一个实施例中基于故障自动迁移系统的ddos防御方法的流程图二。

图4为本发明一个实施例中ddos防御系统的结构框图二。

具体实施方式

下面通过具体的实施例结合附图对本发明做进一步的详细描述。

如图1所示，基于故障自动迁移系统的ddos防御方法，包括：

步骤s1、在域名解析时，判断vip集群中各个vip地址是否被ddos攻击；

步骤s2、若判断结果为是，则将被ddos攻击的vip地址丢弃，并将流量引导至未被攻击的vip地址上；

步骤s3、若判断结果为否，则将流量均衡引导至vip集群中各个vip地址上。

根据本发明实施例的基于故障自动迁移系统的ddos防御方法，采用自动迁移的技术来实现对攻击流量的回避，攻击者一般针对vip进行攻击，受到ddos攻击的vip将自动被抛弃，并且将正常流量引导至其它未被攻击的vip上，从而避免服务器被攻击，有效的解决了ddos攻击的问题并大幅降低了成本和使用难度。

另外，根据本发明上述实施例提供的基于故障自动迁移系统的ddos防御方法还具有如下技术特征：

在上述技术方案中，在域名解析之前，还包括：用户请求访问web站点或api站点。

在该技术方案中，用户访问web站点或api站点并发送访问请求，便于进行下一步操作。

在上述技术方案中，优选的，在判断vip集群中各个vip地址是否被ddos攻击具体包括：利用健康检查模块对vip集群中各个vip地址实时探测。

在该技术方案中，通过健康检查模块对vip集群中各个vip地址进行实时探测，探测出各个vip地址可服务的可用性，发现故障vip马上屏蔽掉被攻击的vip地址，不在将流量打到故障vip上。

此外，还可以使用检测模块对vip集群中各个vip地址进行实时探测，与健康检查模块功能相同。

在该技术方案中，ip在网络之间互连的协议也就是为计算机网络相互连接进行通信而设计的协议。在因特网中，它是能使连接到网上的所有计算机网络实现相互通信的一套规则，规定了计算机在因特网上进行通信时应当遵守的规则。任何厂家生产的计算机系统，只要遵守ip协议就可以与因特网互连互通。ip地址具有唯一性，根据用户性质的不同，可以分为多类。另外，ip还有进入防护，知识产权，指针寄存器等含义。

在上述技术方案中，还包括多个主机服务器，各个vip地址所转发的请求均落入一台主机服务器上。

在该技术方案中，主机服务器是真正对用户提供服务的机器集群，每次经由vip转发的请求，都会最终落到一台主机服务器上，上述操作均基于主机服务器。

如图3所示，

101：用户访问web站点/api请求。

102：智能dns会根据可用性探测结果，将流量均衡的打到vip集群上(virtualip，即虚拟ip)。

102-1：可用性探测，为了实现及时故障转移，需要有个健康检查模块，实时探测vip集群各个vip服务的可用性，发现故障vip马上屏蔽掉，不再将流量打到故障vip上。

103：vip集群是该方案的核心，为了分担攻击流量，所以使用vip集群，这样即使部分vip被攻击，依然可以保持其他vip可用，仍旧可以对用户提供服务。用户的每次dns(域名系统)解析请求，最终会解析到一个vip上。

104：realserver(主机)集群，是真正对用户提供服务的机器集群，每次经由vip分发的请求，都会最终落到一台realserver服务器上。

如图2所示，根据本发明第二方面的实施例，提出了一种ddos防御系统，包括：判断单元，用于在域名解析时，判断vip集群中各个vip地址是否被ddos攻击；第一装置输出单元，用于在判断单元的判断结果为是时，则将被ddos攻击的vip地址丢弃，并将流量引导至未被攻击的vip地址上；第二装置输出单元，用于在判断单元的判断结果为否时，则将流量均衡引导至vip集群中各个vip地址上。

根据本发明实施例的ddos防御系统，采用自动迁移的技术来实现对攻击流量的回避，攻击者一般针对vip进行攻击，受到ddos攻击的vip将自动被抛弃，并且将正常流量引导至其它未被攻击的vip上，从而避免服务器被攻击，有效的解决了ddos攻击的问题并大幅降低了成本和使用难度。

另外，根据本发明上述实施例提供的ddos防御系统还具有如下技术特征：

在上述实施例中，还包括：请求单元，用于用户请求访问web站点或api站点。

在该技术方案中，用户访问web站点或api站点并发送访问请求，便于进行下一步操作。

在上述技术方案中，健康检查单元，用于对vip集群中各个vip地址实时探测。

在该技术方案中，通过健康检查模块对vip集群中各个vip地址进行实时探测，探测出各个vip地址可服务的可用性，发现故障vip马上屏蔽掉被攻击的vip地址，不在将流量打到故障vip上。

此外，还可以使用检测模块对vip集群中各个vip地址进行实时探测，与健康检查模块功能相同。

在上述技术方案中，转换单元，用于将用户请求经由vip集群转发至多个主机服务器上。

在上述技术方案中，还包括：多个主机服务器，各个vip地址所转发的请求均落入一台主机服务器上。

在该技术方案中，主机服务器是真正对用户提供服务的机器集群，每次经由vip转发的请求，都会最终落到一台主机服务器上，上述操作均基于主机服务器。

如图4所示，产品主要由三部分组成。

智能dns解析：主要有负载均衡和可用性探测两个子模块，前者实现将流量均衡的打到后面vip上，后者用于由检测被攻击等原因导致的vip服务故障，及时通知负载均衡，负载均衡实现只将流量打到服务正常的vip上，自动忽略服务异常的vip。

vip集群：方案的核心，用于分散流量，避免被攻击时大面积服务瘫痪，可以将被攻击受损流量降至最低。可以预先配置好备份的vip，待攻击流量来时，丢弃被攻击的vip，启用备用vip，让攻击者无功而返。为了提高可用性，该方案有负载均衡和可用性探测，两个子模块来实现，一个用于对realserver的可用性检查，一个用于流量均衡，同时自动屏蔽故障realserver。

realserver集群：这个属于基本保障模块，如果没有一个realserver集群，不仅ddos攻击，稍微大点的正常流量，就可能把realserver打瘫痪了，ddos防护则无从谈起。该模块用于提高服务本身的吞吐量，为ddos防护提供可能性。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。