DDoS攻击防御方法、系统、设备及存储介质与流程

本发明涉及互联网，尤其涉及一种ddos攻击防御方法、系统、设备及存储介质。

背景技术：

1、分布式拒绝服务(ddos，distributed denial of service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动ddos攻击，从而成倍地提高拒绝服务攻击的威力。ddos攻击的原理是找到被攻击者的资源瓶颈，通过消耗资源的方式达到被攻击者业务不可用的目的。

2、对于游戏、短视频、直播等特定行业用户，传统的ddos防护技术存在以下缺陷：对于使用域名接入云端服务的业务，由于dns生效需要等待时间，在频繁切换资源的过程中会导致防御服务延迟生效；针对客户端的用户，攻击者可以通过安装客户端或者通过域名解析的方式获取到提供服务的对端服务器信息，攻击者可以绕过业务数据通信的过程直接对服务器进行资源耗尽攻击，导致整体资源性能的下降甚至耗尽，造成服务中断，极大降低客户端的使用体验。

技术实现思路

1、本发明提供一种ddos攻击防御方法、系统、设备及存储介质，旨在实现防御攻击者发动的ddos攻击，提升客户端的使用体验。

2、本发明提供一种ddos攻击防御方法，方法应用于ddos攻击防御系统，系统包括调度中心、客户端和中转机集群，其中，所述客户端配置有sdk软件开发工具包：

3、所述客户端在接收到目标软件程序的启动指令时，获取sdk的动态标签，并基于所述客户端的服务ip、服务端口和所述sdk的动态标签，生成配置请求，向所述调度中心发送所述配置请求；

4、所述调度中心在对所述配置请求验证后，基于所述中转机集群对应的中转机服务ip，形成中转机服务ip列表，以基于所述中转机服务ip列表、中转机服务端口、所述客户端的服务ip和服务端口，生成sdk配置文件返回至所述客户端；

5、所述客户端基于所述中转机服务ip列表中的第一中转机ip，建立所述sdk与所述第一中转机ip对应的第一中转机之间的通信加密隧道，以将生成的数据通信请求发送至所述第一中转机；

6、所述第一中转机基于所述数据通信请求，确定源站服务ip，以将所述数据通信请求中的目标传输数据转发至所述源站服务ip对应的目标源站，并将所述目标源站返回的第一响应信息发送至所述客户端的sdk中。

7、根据本发明提供的一种ddos攻击防御方法，所述在对所述配置请求验证后，基于所述中转机集群对应的中转机服务ip，形成中转机服务ip列表，包括：

8、所述调度中心对所述配置请求进行验证，在验证成功后，基于所述客户端的位置信息，在所述中转机集群对应的中转机服务ip中选取若干个第一中转机ip；

9、所述调度中心基于各所述第一中转机ip，形成所述形成中转机服务ip列表。

10、根据本发明提供的一种ddos攻击防御方法，所述基于所述中转机服务ip列表中的第一中转机ip，建立所述sdk与所述第一中转机ip对应的第一中转机之间的通信加密隧道，以将生成的数据通信请求发送至所述第一中转机，包括：

11、所述客户端在所述中转机服务ip列表中选取得到第一中转机ip，以将生成的连接请求发送至所述第一中转机ip对应的第一中转机；

12、所述客户端若接收到所述第一中转机返回的第二响应信息，则建立所述sdk与所述第一中转机之间的通信加密隧道；

13、所述客户端基于所述服务ip、所述服务端口和目标传输数据，生成所述数据通信请求，并将所述数据通信请求通过所述通信加密隧道发送至所述第一中转机。

14、根据本发明提供的一种ddos攻击防御方法，所述将生成的连接请求发送至所述第一中转机ip对应的第一中转机之后，还包括：

15、所述客户端若在预设时间内未接收到所述第一中转机返回的第二响应信息，则将所述第一中转机ip标记为失效状态；

16、所述客户端在所述中转机服务ip列表中选取得到第二中转机ip，以建立所述sdk与所述第二中转机ip对应的第二中转机之间的通信加密隧道。

17、根据本发明提供的一种ddos攻击防御方法，所述建立所述sdk与所述第一中转机之间的通信加密隧道之后，还包括：

18、在数据传输过程中，所述客户端中的sdk定时向所述第一中转机发送连接测试请求；

19、所述客户端若在预设时间内未接收到第一中转机返回的连接测试请求对应的第三响应信息，则将所述第一中转机ip标记为失效状态，并断开与所述第一中转机之间的通信连接。

20、根据本发明提供的一种ddos攻击防御方法，所述基于所述客户端的服务ip、服务端口和所述sdk的动态标签，生成配置请求之后，还包括：

21、所述调度中心获取各个源站的源站ip和源站端口；

22、所述调度中心基于所述源站ip、源站端口和所述客户端的服务ip，生成中转机配置文件，并将所述中转机配置文件加密下发至所述中转机集群中的预设数据中。

23、根据本发明提供的一种ddos攻击防御方法，所述基于所述数据通信请求，确定源站服务ip，以将所述数据通信请求中的目标传输数据转发至所述源站服务ip对应的目标源站，并将所述目标源站返回的第一响应信息发送至所述客户端的sdk中，包括：

24、所述第一中转机基于所述数据通信请求中的服务端口，在所述中转机配置文件中查询得到源站服务ip，以建立与所述源站服务ip对应的目标源站之间的通信连接；

25、所述第一中转机将所述目标传输数据转发至所述目标源站，并将所述目标源站返回的第一响应信息发送至所述客户端的sdk中。

26、本发明还提供一种ddos攻击防御系统，包括调度中心、客户端和中转机集群，其中，所述客户端配置有sdk软件开发工具包，所述中转机集群包括若干个中转机：

27、所述客户端，用于在接收到目标软件程序的启动指令时，获取sdk的动态标签，并基于所述客户端的服务ip、服务端口和所述sdk的动态标签，生成配置请求，向所述调度中心发送所述配置请求；

28、所述调度中心，用于在对所述配置请求验证后，基于所述中转机集群对应的中转机服务ip，形成中转机服务ip列表，以基于所述中转机服务ip列表、中转机服务端口、所述客户端的服务ip和服务端口，生成sdk配置文件返回至所述客户端；

29、所述客户端，用于基于所述中转机服务ip列表中的第一中转机ip，建立所述sdk与所述第一中转机ip对应的第一中转机之间的通信加密隧道，以将生成的数据通信请求发送至所述第一中转机；

30、所述第一中转机，用于基于所述数据通信请求，确定源站服务ip，以将所述数据通信请求中的目标传输数据转发至所述源站服务ip对应的目标源站，并将所述目标源站返回的第一响应信息发送至所述客户端的sdk中。

31、本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述ddos攻击防御方法。

32、本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述ddos攻击防御方法。

33、本发明还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述ddos攻击防御方法。

34、本发明提供的ddos攻击防御方法、系统、设备及存储介质，通过将sdk与客户端的app集成，在监测到app软件启动时，sdk启动本地监听代理，sdk主动连接调度中心，进而根据客户端的服务ip和服务端口生成请求发送至调度中心，以获取可用的中转机服务ip列表，避免了dns解析攻击对用户造成的影响。进一步地，通过建立sdk与第一中转机ip对应的第一中转机之间的通信加密隧道之间的通信加密隧道，能够抵御信道侧的攻击。从而实现了通过客户端的统一调度，客户端可直接通过中转机访问源站，有效预防攻击者发动的ddos攻击。