专利名称:用于DDoS攻击时的域名状态清洗系统及检测方法
技术领域:
本发明涉及一种适用于任何DDoS攻击的场景下,域名状态检测的方法及检测清洗系统,尤其涉及的是一种域名状态云检测和清洗系统的实现方法,属于网络安全技术领域。
背景技术:
随着宽带提速等云时代的网络发展,DDoS攻击升级到百G时代,更加容易塞满入口带宽、冲击转发丢包、耗尽应用连接等。传统的云清洗系统中,一旦遭受到DDoS攻击时,需要本地的云火墙主动上报告警。云调度防御系统根据收到的告警信令,才能做出防御响应。然而,随着DDoS攻击手法的日益发展,当前主流的攻击手段就是IP大包拥堵出口带宽,SYN小包冲击PPS转发等。在受到这些方式的DDoS攻击时,本地的云火墙极有可能无法上报告警信令,导致整个云清洗系统失效。后来,部分解决方案提供商给出了补救的措施,就是在本地再部署一台旁路探测器,实时的检测本地网络状态,如发现拥塞、转发失败等情况,主动上报告警。但是这种做法,不仅增加了客户的开支,而且受到本地网络结构的影响,存在不适用的风险。因此需要有一种更加完善的域名状态检测算法,能够在这些极端的场景下,对域名的状态做出准确的判断,及时进行云清洗。
发明内容
发明目的:针对现有技术中存在的问题与不足,本发明提供一种用于DDoS攻击时的域名状态清洗系统及检测 方法,在受到任何DDoS攻击时,都可以进行域名状态检测,并且清洗掉DDoS攻击。通过云检测模块和本地ADS模块时刻检测用户的网站状态,即便受到超大流量DDoS攻击,导致带宽被塞满,本发明都可以及时、准确的检测到攻击,并进行云清洗。技术方案:一种用于DDoS攻击时的域名状态清洗系统,包括本地ADS防护模块、云调度模块和云清洗模块;所述本地ADS防护模块是部署在本地网络边界的防火墙类安全网关(如ADS, WAF等),新增向外发出攻击告警以及云策略的通信功能,保障7*24小时网络安全,尽可能处理本地能够解决的攻击类型。其中所述向外发出攻击告警的通信功能是指本地ADS防护模块收到云调度模块发出的攻击告警信号后,向用户发出攻击告警提示,其中所述云策略的通信功能是指用户通过本地ADS防护模块设置被保护的域名、域名状态检测的模式和主/备链路信息,并将所述设置信息发送给云调度模块;云调度模块保存接收到的设置信息。云调度模块是一种接收本地ADS防护模块发送的云策略后,统一分析,决策云端资源调度的指挥系统。云调度模块通过关键字和状态码两种模式检测每一个用户的域名状态,如果云调度模块接收到域名状态检测的模式信息为状态码模式,则通过状态码模式检测用户的域名状态;如果云调度模块接收到域名状态检测的模式信息为关键字模式,则通过关键字模式检测用户的域名状态;如果发现受到大流量DDoS攻击导致的带宽被塞满(即DDoS攻击的数量达到预设值),则通知本地ADS防护模块发出攻击告警,同时启用云清洗模块进行DDoS攻击的清洗。完美的支持了在任何情况下均可进行云清洗。云清洗模块并将清洗后的数据发送给本地ADS防护模块。云调度模块通过状态码模式检测用户的域名状态时,云调度模块通过其云检测模块向域名发送http GET请求,获取域名返回的响应码,并将响应码和设置的状态码比较,如果响应码和设置的状态码相等则认为用户的域名正常,否则认为用户的域名异常,将本次检测的结果写入数据库中;后续每隔一段时间后,再次重复上述步骤;判断检测结果,如果检测结果为域名异常,则记录的结果加1,如果检测结果为域名正常则记录的结果清零;当记录的结果达到预设的次数时,则通知本地ADS防护模块发出攻击告警,同时调用云清洗模块进行DDoS攻击的清洗。云调度模块通过关键字模式检测用户的域名状态时,云调度模块通过其云检测模块访问域名,在域名返回的字符串中查找设置的关键字,如果查找成功则认为用户的域名正常,否则认为用户的域名异常,并将本次检测的结果写入数据库中。后续每隔一段时间后,再次重复上述步骤。判断检测结果,如果检测结果为域名异常,则记录的结果加1,如果检测结果为域名正常则记录的结果清零;当记录的结果达到预设的次数时,则通知本地ADS防护模块发出攻击告警,同时调用云清洗模块进行DDoS攻击的清洗。本发明中所述的云检测方法即域名状态检测方法,实现在云调度模块中。云检测算法中又细分为两种,一种根据状态码检测,另一种根据关键字检测。一种用于DDoS攻击时的域名状态检测方法,包括如下步骤:
所有使用域名状态清洗系统的用户,首先需要设置自己的域名,其次要选择检测的模式;如果选择状态码模式,需要设置状态码;如果选择关键字模式,需要设置关键字;下面分别说明在两种模式下,实现方法:
状态码模式下,云检测模块向域名发送http GET请求,获取域名返回的响应码,并将响应码和设置的状态码比较,如果相等则认为域名正常,否则认为域名异常,将本次检测的结果写入数据库中;后续每隔一段时间后,再次重复上述步骤;判断检测结果,如果检测结果为域名异常,则记录的结果加1,如果检测结果为域名正常则记录的结果清零;当记录的结果达到预设的次数时,则进行云清洗。关键字模式下,云检测模块访问域名,在返回的字符串中查找设置的关键字,如果查找成功则认为域名正常,否则认为域名异常,将本次检测的结果写入数据库中。后续每隔一段时间后,再次重复上述步骤。判断检测结果,如果检测结果为域名异常,则记录的结果加1,如果检测结果为域名正常则记录的结果清零;当记录的结果达到预设的次数时,则进行云清洗。有益效果:本发明提供的用于DDoS攻击时的域名状态清洗系统及检测方法,网站在受到大流量DDoS攻击后,入口带宽被塞满,通过本发明可以快速、准确检测到被攻击的网站,自动通知云清洗系统,对其进行清洗。本发明可应用于各种云清洗系统中,具有广泛的应用前景。
图1为本发明实施例的系统原理 图2为本发明实施例中受到大流量DDoS攻击时,状态码模式下的域名状态检测时序
图3为本发明实施例中受到大流量DDoS攻击时,关键字模式下的域名状态检测时序图用户正常访问流程图。
具体实施例方式下面结合具体实施例,进一步阐明本发明,应理解这些实施例仅用于说明本发明而不用于限制本发明的范围,在阅读了本发明之后,本领域技术人员对本发明的各种等价形式的修改均落于本申请所附权利要求所限定的范围。如图1所示,本地ADS防护模块是部署在本地网络边界的防火墙类安全网关(如ADS, WAF等),新增向外发出攻击告警以及云策略的通信功能,保障7*24小时保障网络安全;其中所述向外发出攻击告警的通信功能是指本地ADS防护模块收到云调度模块发出的攻击告警信号后,向用户发出攻击告警提示,其中所述云策略的通信功能是指用户通过本地ADS防护模块设置被保护的域名、域名状态检测的模式和主/备链路信息,并将所述设置信息发送给云调度模块;云调度模块保存接收到的设置信息。云调度模块监控每一个域名的状态,如果发现带宽被塞满,自动进行云清洗(防止带宽被塞满后,本地设备无法主动发送攻击告警消息)。云清洗模块是由分布式部署在高带宽云端的流量清洗中心组成。每个清洗中心所处的地理位置不同、所属的网络不同,可以按需处理调度中心牵引过来的问题流量,达到高效的流量清洗。云清洗模块并将清洗后的数据发送给本地ADS防护模块。各系统之间的通讯功能采用加密、重发机制等处理方式,保证每次通讯的可靠性。云调度系统中的云监控功能(域名状态检测方法),配合本地ADS模块主动上报告警,完美的支持了在任何情况下均可进行云清洗,并且不需要在本地部署任何芳路探测器等设备。云调度模块通过状态码模式检测用户的域名状态时,云调度模块通过其云检测模块向域名发送http GET请求,获取域名返回的响应码,并将响应码和设置的状态码比较,如果响应码和设置的状态码相等则认为用户的域名正常,否则认为用户的域名异常,将本次检测的结果写入数据库中;后续每隔一段时间后,再次重复上述步骤;判断检测结果,如果检测结果为域名异常,则记录的结果加1,如果检测结果为域名正常则记录的结果清零;当记录的结果达到预设的次数时,则通知本地ADS防护模块发出攻击告警,同时调用云清洗模块进行DDoS攻击的清洗。云调度模块通过关键字模式检测用户的域名状态时,云调度模块通过其云检测模块访问域名,在域名返回的字符串中查找设置的关键字,如果查找成功则认为用户的域名正常,否则认为用户的域名异常,并将本次检测的结果写入数据库中。后续每隔一段时间后,再次重复上述步骤。判断检测结果,如果检测结果为域名异常,则记录的结果加1,如果检测结果为域名正常则记录的结果清零;当记录的结果达到预设的次数时,则通知本地ADS防护模块发出攻击告警,同时调用云清洗模块进行DDoS攻击的清洗。
如图2所示,受到大流量DDoS攻击时,云检测(状态码模式)时序图,本发明分为两种模式,其中一种是状态码模式。假设,设置的状态码是200,流程描述如下:
步骤201,将设置被保护的域名,保存到云调度模块中;
步骤202,设置云检测的模式为状态码模式,同时设置状态码为200 ;
步骤203,云检测模块向域名发送http GET请求,获取返回的响应码如果等于200则认为域名正常,否则认为域名异常;
步骤204,云调度模块将本次检测的结果写入云数据库中;
步骤205,云调度模块后续每隔一段预设时间后,再次重复上述步骤203 ;
步骤206,云调度系统判断检测结果,如果检测结果为域名异常,则云数据库中的记录加1,如果检测结果为域名正常,则记录清零;
步骤207,当云数据库中的记录达到N (预设次数)次时,即一段时间内域名异常,则进行云清洗。如图3所示,受到大流量DDoS攻击时,云检测(关键字模式)时序图,另外一种模式是关键字模式。假设,设置的关键字是test,流程描述如下:
步骤301,将设置被保护的域名,保存到云调度模块中;
步骤302,设置云检测的模式为关键字模式,同时设置关键字test ;
步骤303,云调度模块访问域名,在返回的页面中查找字符串test,如果查找成功,就认为域名正常,失败就认为域名异常;
步骤304,云调度模块将本次检测的结果写入云数据库中;
步骤305,云调度模块后续每隔一段预设时间后,再次重复上述步骤303 ;
步骤306,云调度模块判断检测结果,如果域名异常,则云数据库中的记录加1,如果域名正常,则记录清零;
步骤307,当云数据库中的记录达到N (预设次数)次时,即一段时间内域名异常,则进行云清洗。综上所述,本发明提供了用于DDoS攻击时的域名状态清洗系统及检测方法,可以应用于金融,政府,高校,电商网站等诸多行业,例如,电商行业,可将本发明应用于云清洗系统中攻击检测,这样电商网站不管任何时间受到任何DDoS攻击,通过本发明中的检测算法,都可检测到攻击的详细信息,及时启用云清洗技术,确保电商网站任何时间都处于保护之中。不仅保护了广大电商网站的利益,更保证了广大用户的合法权益,因此,本技术具有很高的推广价值。
权利要求
1.一种用于DDoS攻击时的域名状态清洗系统,其特征在于:包括本地ADS防护模块、云调度模块和云清洗模块;所述本地ADS防护模块是部署在本地网络边界的防火墙类安全网关,增设向外发出攻击告警以及云策略的通信功能;其中所述向外发出攻击告警的通信功能是指本地ADS防护模块收到云调度模块发出的攻击告警信号后,向用户发出攻击告警提示,其中所述云策略的通信功能是指用户通过本地ADS防护模块设置被保护的域名、域名状态检测的模式和主/备链路信息,并将所述设置信息发送给云调度模块;云调度模块保存接收到的设置信息; 云调度模块通过关键字和状态码两种模式检测每一个用户的域名状态,如果发现受到大流量DDoS攻击导致的带宽被塞满,则通知本地ADS防护模块发出攻击告警,同时启用云清洗模块进行DDoS攻击的清洗;云清洗模块将清洗后的数据发送给本地ADS防护模块。
2.如权利要求1所述的用于DDoS攻击时的域名状态清洗系统,其特征在于:云调度模块通过状态码模式检测用户的域名状态时,云调度模块通过其云检测模块向域名发送httpGET请求,获取域名返回的响应码,并将响应码和设置的状态码比较,如果响应码和设置的状态码相等则认为用户的域名正常,否则认为用户的域名异常,将本次检测的结果写入数据库中;后续每隔一段时间后,再次重复上述步骤;判断检测结果,如果检测结果为域名异常,则记录的结果加1,如果检测结果为域名正常则记录的结果清零;当记录的结果达到预设的次数时,则通知本地ADS防护模块发出攻击告警,同时调用云清洗模块进行DDoS攻击的清洗。
3.如权利要求1所述的用于DDoS攻击时的域名状态清洗系统,其特征在于:云调度模块通过关键字模式检测用户的域名状态时,云调度模块通过其云检测模块访问域名,在域名返回的字符串中查找设置的关键字,如果查找成功则认为用户的域名正常,否则认为用户的域名异常,并将本次检测的结果写入数据库中; 后续每隔一段时间后,再次重复上述步骤; 判断检测结果,如果检测结 果为域名异常,则记录的结果加1,如果检测结果为域名正常则记录的结果清零;当记录的结果达到预设的次数时,则通知本地ADS防护模块发出攻击告警,同时调用云清洗模块进行DDoS攻击的清洗。
4.一种用于DDoS攻击时的域名状态检测方法,其特征在于,包括如下步骤: 对所有使用域名状态清洗系统的用户设置域名,其次要选择检测的模式;如果选择状态码模式,需要设置状态码;如果选择关键字模式,需要设置关键字;下面分别说明在两种模式下,实现方法: 状态码模式下,云检测模块向域名发送http GET请求,获取域名返回的响应码,并将响应码和设置的状态码比较,如果相等则认为域名正常,否则认为域名异常,将本次检测的结果写入数据库中;后续每隔一段时间后,再次重复上述步骤;判断检测结果,如果检测结果为域名异常,则记录的结果加1,如果检测结果为域名正常则记录的结果清零;当记录的结果达到预设的次数时,则进行云清洗; 关键字模式下,云检测模块访问域名,在返回的字符串中查找设置的关键字,如果查找成功则认为域名正常,否则认为域名异常,将本次检测的结果写入数据库中;后续每隔一段时间后,再次重复上述步骤; 判断检测结果,如果检测结果为域名异常,则记录的结果加1,如果检测结果为域名正常则记录的结 果清零;当记录的结果达到预设的次数时,则进行云清洗。
全文摘要
本发明公开了一种用于DDoS攻击时的域名状态清洗系统及检测方法,可以应用于金融,政府,高校,电商网站等诸多行业,例如,电商行业,可将本发明应用于云清洗系统中攻击检测,这样电商网站不管任何时间受到任何DDoS攻击,通过本发明中的检测算法,都可检测到攻击的详细信息,及时启用云清洗技术,确保电商网站任何时间都处于保护之中。不仅保护了广大电商网站的利益,更保证了广大用户的合法权益,因此,本技术具有很高的推广价值。
文档编号H04L29/06GK103209192SQ201310173689
公开日2013年7月17日 申请日期2013年5月10日 优先权日2013年5月10日
发明者张昱, 许靖 申请人:张昱