分布式拒绝服务DDoS攻击的防护方法及其装置和系统的制作方法
【技术领域】
[0001] 本发明涉及计算机领域,具体而言,涉及一种分布式拒绝服务DDoS攻击的防护方 法及其装置和系统。
【背景技术】
[0002] 分布式拒绝服务(DDoS,DistributedDenialofService)攻击,指借助于客户端 /服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从 而成倍地拒绝服务攻击的威力。通常,攻击者使用一个偷窃账号将DDoS主控程序安装在一 个计算机上,在一个设定的时间,主控程序将与大量代理程序通讯,其中,代理程序已经安 装在Internet上的许多计算机上,代理程序收到指令时就发动攻击。利用客户/服务器技 术,主控程序能在几秒钟内激活成百上千次代理程序的运行,因为攻击时,攻击数据包都是 经过伪装的,源IP地址也进行了伪装,因而难以对攻击进行准确区分。
[0003] 目前,本领域技术人员通常采用流量清洗的方式来对DDoS攻击进行防护,其中流 量清洗可以包括以下两种方式:在发现对网络流量中隐藏的非法攻击流量后,及时通知并 激活防护设备进行流量的清洗;在发现攻击后,通过专业的流量净化产品,将异常流量从原 始网络路径中重定向到净化产品上,进行异常流量的识别和剥离,然后将还原出的合法流 量回注到原网络中,并转发给目标系统,其他合法流量的转发路径不受影响。
[0004] 进一步,在本领域现有技术中,通常采用的针对DDoS攻击的流量清洗防护方法仍 然存在很多缺陷:有些防护方法由于清洗系统部署层级较高,而难以部署精细化的防护策 略,进而难以为客户提供精细化的DDoS攻击防护;而还有些防护方法能为本地用户提供清 洗防护,防护能力有限,无法有效应对大规模、超大规模的DDoS攻击。
[0005] 此外,现有的DDoS攻击防护方案都需要人工来确认防护的效果,目前,还并没有 设置对防护的结果建立反馈机制。
[0006] 针对上述的问题,目前尚未提出有效的解决方案。
【发明内容】
[0007] 本发明实施例提供了一种分布式拒绝服务DDoS攻击的防护方法及其装置和系 统,以至少解决现有技术中仅基于靠近业务服务器的清洗设备进行流量清洗所导致的防护 能力较低的技术问题。
[0008] 根据本发明实施例的一个方面,提供了一种分布式拒绝服务DDoS攻击的防护方 法,包括:接收到DDoS攻击告警消息,其中,上述DDoS攻击告警消息用于指示业务服务器出 现DDoS攻击;响应上述DDoS攻击告警消息获取防护配置参数,其中,上述防护配置参数用 于对发送到上述业务服务器的数据包进行过滤;将上述防护配置参数发送到多级流量清洗 系统,以指示上述多级流量清洗系统根据接收到的上述防护配置参数对发送到上述业务服 务器的数据包进行过滤,其中,上述多级流量清洗系统包括位于骨干网节点的第一流量清 洗系统和位于互联网数据中心(IDC,InternetDataCenter)入口的第二流量清洗系统。
[0009] 根据本发明实施例的另一方面,还提供了一种分布式拒绝服务DDoS攻击的防护 装置,包括:第一接收单元,用于接收到DDoS攻击告警消息,其中,上述DDoS攻击告警消息 用于指示业务服务器出现DDoS攻击;获取单元,用于响应上述DDoS攻击告警消息获取防护 配置参数,其中,上述防护配置参数用于对发送到上述业务服务器的数据包进行过滤;第一 发送单元,用于将上述防护配置参数发送到多级流量清洗系统,以指示上述多级流量清洗 系统根据接收到的上述防护配置参数对发送到上述业务服务器的数据包进行过滤,其中, 上述多级流量清洗系统包括位于骨干网节点的第一流量清洗系统和位于互联网数据中心 IDC入口的第二流量清洗系统。
[0010] 根据本发明实施例的又一方面,还提供了一种分布式拒绝服务DDoS攻击的防护 系统,其包括:流量监测服务器,用于向联动配置服务器发送DDoS攻击告警信息,其中,上 述DDoS攻击告警消息用于指示业务服务器出现DDoS攻击;上述联动配置服务器,用于根据 接收到的DDoS攻击告警信息获取防护配置参数,并将上述防护配置参数发送到多级流量 清洗服务器,以指示上述多级流量清洗服务器根据接收到的上述防护配置参数对发送到上 述业务服务器的数据包进行过滤;上述多级流量清洗服务器,用于根据接收到的上述防护 配置参数对发送到上述业务服务器的数据包进行过滤,其中,上述多级流量清洗系统包括 位于骨干网节点的第一流量清洗服务器和位于互联网数据中心IDC入口的第二流量清洗 服务器;其中,上述第二流量清洗服务器被设置为对经过上述第一流量清洗服务器过滤后 的数据包进行再次过滤,并将上述再次过滤后得到的数据包发送到上述业务服务器。
[0011] 在本发明实施例中,通过在骨干网节点和互联网数据中心入口进行多级流量清 洗,避免了仅基于靠近业务服务器的清洗设备进行流量清洗所导致的防护能力较低的技术 问题,从而通过设置在骨干网节点上的流量清洗系统可以防御大规模、超大规模的DDoS攻 击,并通过设置在IDC入口处的流量清洗系统提高流量清洗的精度。
[0012] 此外,通过联动反馈机制,根据过滤后的反馈信息对业务服务器的防护配置参数 进行及时的调整修改,以使对业务服务器的清洗过滤持续有效,从而实现了进一步提高对 DDoS攻击的防护能力以及对DDoS攻击的清洗精度的技术效果。
【附图说明】
[0013] 此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0014] 图1是根据本发明实施例的一种可选的分布式拒绝服务DDoS攻击的防护方法所 在网络的结构示意图;
[0015] 图2是根据本发明实施例的一种可选的分布式拒绝服务DDoS攻击的防护方法的 流程图;
[0016] 图3是根据本发明实施例的一种可选的分布式拒绝服务DDoS攻击的防护方法的 应用场景的不意图;
[0017] 图4是根据本发明实施例的一种可选的分布式拒绝服务DDoS攻击的防护方法所 应用的系统的不意图;
[0018] 图5是根据本发明实施例的另一种可选的分布式拒绝服务DDoS攻击的防护方法 的流程图;
[0019] 图6是根据本发明实施例的另一种可选的分布式拒绝服务DDoS攻击的防护方法 的流程图;
[0020] 图7是根据本发明实施例的一种可选的分布式拒绝服务DDoS攻击的防护装置的 示意图;
[0021] 图8是根据本发明实施例的另一种可选的分布式拒绝服务DDoS攻击的防护装置 的不意图;以及
[0022] 图9是根据本发明实施例的一种用于存储执行分布式拒绝服务DDoS攻击的防护 方法的程序代码的存储介质。
【具体实施方式】
[0023] 为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的 附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是 本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术 人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范 围。
[0024] 需要说明的是,本发明的说明书和权利要求书及上述附图中的术语"第一"、"第 二"等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用 的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或 描述的那些以外的顺序实施。此外,术语"包括"和"具有"以及他们的任何变形,意图在于 覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限 于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产 品或设备固有的其它步骤或单元。
[0025] 实施例1
[0026] 根据本发明实施例,提供了 一种分布式拒绝服务DDoS攻击的防护方法,在本 实施例中上述分布式拒绝服务DDoS攻击的防护方法可以应用于如图1所示的网络中, 其中,上述网络包括但不限于:骨干网、骨干网下的城域网、城域网下的互联网数据中心 IDC(InternetDataCenter)、互联网数据中心(IDC)下的业务服务器以及与骨干网连接的 客户端。可选地,在本实施例中骨干网下的城域网也可以但不限于视为上述网络中的骨干 网。
[0027] 例如,如图1所示,骨干网与城域网1和城域网2连接,其中,城域网1中包括互 联网数据中心IDC-I以及互联网数据中心IDC-2,互联网数据中心IDC-I中包括业务服务 器102-1互联网数据中心IDC-2中包括业务服务器102-2 ;城域网2中包括互联网数据中 心IDC-3以及互联网数据中心IDC-4,互联网数据中心IDC-3中包括业务服务器102-3互 联网数据中心IDC-4中包括业务服务器102-4 ;此外,骨干网还与客户端连接,例如,客户端 104-1、客户端104-2、客户端104-3。上述网络中的客户端通过骨干网与业务服务器建立连 接,进而实现对业务服务器中的相应业务的请求。上述举例只是一种示例,本实施例对此不 做任何限定。
[0028] 可选地,在本实施例中上述分布式拒绝服务DDoS攻击的防护方法,如图2所示,该 方法包括:
[0029]S202,接收到DDoS攻击告警消息,其中,DDoS攻击告警消息用于指示业务服务器 出现DDoS攻击;
[0030]S204,响应DDoS攻击告警消息获取防护配置参数,其中,防护配置参数用于对发 送到业务服务器的数据包进行过滤;
[0031] S206,将防护配置参数发送到多级流量清洗系统,以指示多级流量清洗系统根据 接收到的防护配置参数对发送到业务服务器的数据包进行过滤,其中,多级流量清洗系统 包括位于骨干网节点的第一流量清洗系统和位于互联网数据中心IDC入口的第二流量清 洗系统。
[0032] 可选地,在本实施例中,上述分布式拒绝服务DDoS攻击的防护方法可以由如图3 所示的网络中的多个网络设备实现。例如,结合图3进行说明,流量监测服务器302将对 骨干网全网中的业务流量进行实时监控,然后对已确认的DDoS攻击告警消息发送到全局 联动配置服务器304中,由全局联动配置服务器304将获取的防护配置参数以及触发清洗 操作的系统消息下发至骨干网节点处的第一流量清洗服务器306-1、第一流量清洗服务器 306-2、第一流量清洗服务器306-3、第一流量清洗服务器306-4,其中,上述防护配置参数 可以由内置于全局联动配置服务器304中的业务防护配置策略库获取,其中,上述业务防 护配置策略库并不限于内置于全局联动配置服务器304中。
[0033] 进一步,上述第一流量清洗服务器306-1、第一流量清洗服务器306-2、第一流量 清洗服务器306-3、第一流量清洗服务器306-4会将过滤后得到的数据包由城域网1、城域 网2、城域网3或城域网4,发送至第二流量清洗服务器308-1、第二流量清洗服务器308-2、 第二流量清洗服务器308-3、第二流量清洗服务器308-4,进行再次过滤。
[0034] 其中,一个或多个城域网可以共享区域联动配置服务器(例如,城域网1与城域网 2共用区域联动配置服务器310-1,城域网3与城域网4共用区域联动配置服务器310-2), 以达到实时监控业务流量的效果,然后,将区域联动配置服务器310-1以及区域联动配置 服务器310-2的区域内的反馈信息集中通过骨干网反馈至全局联动配置服务器304,以使 全局联动配置服务器304可以实时更新防护配置参数,以得到更新后的防护配置参数。
[0035] 可选地,在本实施例中,上述分布式拒绝服务DDoS攻击的防护方法可以应用于如 图4所示的分布式拒绝服务DDoS攻击的防护系统中,其中,上述系统包括以下内容:
[0036] 1)流量监测子系统402 :对全网的业务流量进行实时监控,搜寻可疑的DDoS攻击 行为,并通过实时对业务服务器的业务探测监控,以及由历史数据得到的业务服务器的业 务流量基线对DDoS行为进行确认,其中,上述由历史数据得到的业务服务器的业务流量基 线统计的时间单位可以包括但不限于:1分钟、1小时、1天、1个月。通过上述业务流量基线 实现判断业务服务器是否受到客户端发起的DDoS攻击。其中,上述业务流量基线可以包括 但不限于:上述时间单位内统计的业务流量的平均值。
[0037] 例如,由上述流量监测子系统402监测可以监测到上述图1中所示的客户端在单 位时间(例如,1小时)内向业务服务器-1、业务服务器-2、业务服务器-3、业务服务器 102-4)发送的数据包的数量。例如,如表1示出了客户端在13 :00-14:00、14 :00-15 :00、 15:00-16 :00三个小时向业务服务器102-1、业务服务器102-2、业务服务器102-3、业务服 务器102-4发送的数据包的数量,以及由上述时间段统计得到的上述业务服务器的业务流 量基线。
[0038] 表I
[0039]
[0040] 2)全局联动配置中心404 :对已确认DDoS事件的安全报警,首先根据业务服务器 的当前状态信息获取上述业务服务器的防护策略(包括防护配置参数),并将上述防护策 略下发至多级流量清洗系统,同时向多级流量清洗系统发送触发清洗操作的系统消息,并 将该DDoS异常流量牵引至上述流量清洗系统,以使全局联动配置中心404可以实时根据客 户端以及业务服务器的业务流量,以及客户的优先级,启用分层级的防护策略,为用户提供 更加精细的防护。
[0041] 可选地,在本实施例中,IDC入口的防护策略(精细防护策略)可以比骨干网的防 护策略(粗略防护策略)更为严格,例如,IDC入口的防护策略中的防护配置参数要多于骨 干网的防护策略中的防护配置参数,或者,对于相同的防护配置参数,IDC入口的防护配置 参数的取值大于或小于骨干网的防护策略中的防护配置参数的取值。
[0042] 例如,骨干网的防护策略可以但不限于:使单位时间内发送到业务服务器的数据 包不超过N个;IDC入口的防护策略可以但不限于:使单位时间内发送到业务服务器的数据 包不超过M个,其中,N大于M。
[0043] 又例如,骨干网的防护策略可以但不限于:使单位时间内发送到业务服务器的数 据包不超过N个;IDC入口的防护策略可以但不限于:使单位时间内来自于第一源IP地址 (例如,10. 10. 0. 1)、且发送到业务服务器的数据包不超过M个,其中,N大于M。
[0044] 3)业务服务器健康度监控系统406 :对需要保护的业务,或者业务服务器所在的 目标网络的网络质量进行实时的健康度监控,若发现业务或目标网络出现了告警,则对上 述业务或目标网络进行相应的过滤操作,并将过滤后的结果反馈至全局联动配置中心404 或者区域联动配置中心408。同时,在本实施例中也可以对执行完过滤操作后的业务服务器 进行持续健康度监控,以达到及时发现上述防护策略是否有问题,以及清洗对业务正常流 量是否存在误操作的目的。
[0045] 4)区域联动配置中心408 :接收来自业务服务器健康度监控系统406的实时监控 反馈,如果业务服务器上的业务持续受到影响,则会将多级流量清洗系统根据防护配置参 数执行过滤操作后的反馈信息反馈至全局联动配置中心404,由全局联动配置中心404及 时更新防护策略(包括更新防护策略中的防护配置参数),并将更新后的防护策略(包括更 新后的防护配置参数)重新下发至多级流量清洗系统410。
[0046] 5)多级流量清洗系统410 :多级流量清洗系统410分别部署在骨干网节点处、城域 网入口处以及互联网数据中心(IDC)入口处。在接收到触发清洗操作的系统消息后,则对 指定IP的业务服务器中疑似DDoS攻击的异常流量进行清洗;此外,多级流量清洗系统410 还主要负责在靠近发送数据包的客户端处对进入骨干网的跨域攻击流量进行清洗(可以 称为"基于源端的清洗防护方式"),并且上述清洗遵循"就近清洗"的原则。清洗后正常的 业务流量将通过网络回注到目标服务器(例如,数据包所需发送到的业务服务器)所在的 本地网络。在上述系统中,分布式地位于骨干网节点的流量清洗系统和位于城域网入口的 流量清洗系统使用基于源端的清洗防护方式,负责在骨干网层面清洗攻击流量,而位于互 联网数据中心(IDC)入口的流量清洗系统则采用基于末端的清洗防护方式(即,采用靠近 上述业务服务器的流量清洗系统进行流量清洗),负责清洗本地内部攻击流量以及对上一 层已清洗过的流量进行反复清洗,从而构成多层联动的清洗机制。
[0047] 可选地,在本实施例中,多级流量清洗系统410可以包括但不限于:位于骨干网节 点的第一流量清洗系统和位于互联网数据中心IDC入口的第二流量清洗系统。可选地,结 合图1和图4所示,在本实施例中上述位于骨干网节点的第一流量清洗系统与位于互联网 数据中心IDC入口的第二流量清洗系统之间还可以但不限于包括:位于城域网入口的流量 清洗系统。
[0048] 可选地,在本