量清洗系统先进行数据包过滤,例如,相应的防护策略可以为:数量超过6000个 的数据包均要被过滤;然后,位于城域网入口的流量清洗系统进行再一次数据包的过滤,例 如,相应的防护策略可以为:过滤掉所有接收到的UDP数据包。进一步,在位于业务服务器 102-4所在互联网数据中心(IDC)入口的第二流量清洗系统进行第三次数据包过滤,例如, 相应的防护策略可以为:对于来自IP地址为168. 1. 0. 1的数据包全部进行过滤,其中,上述 IP地址经判定常常发出DDoS攻击,因而需要对上述IP地址进行屏蔽以实现对业务服务器 102-4的防护。
[0203] 通过本发明提供的实施例,通过制定不同的防护策略,根据不同的业务服务器中 的业务流量,为用户提供高精度的DDoS攻击防护方法,以使业务服务器的业务流量可以免 受DDoS攻击的影响。
[0204] 作为一种可选的方案,更新单元804包括:
[0205] 1)第四更新模块,用于在反馈信息指示执行完过滤后第一单位时间内发送到业务 服务器的数据包的数量小于执行过滤前第一单位时间内发送到业务服务器的数据包的数 量,保持防护配置参数不变,或者,更新防护配置参数,使得根据更新后的防护配置参数过 滤掉的发送到业务服务器的数据包的数量小于根据更新前的防护配置参数过滤掉的发送 到业务服务器的数据包的数量;
[0206] 2)第五更新模块,用于在反馈信息指示执行完过滤后业务服务器在第二单位时间 内接收到的数据包的数量小于执行过滤前业务服务器在第二单位时间内接收到的数据包 的数量,保持防护配置参数不变,或者,更新防护配置参数,使得根据更新后的防护配置参 数过滤掉的发送到业务服务器的数据包的数量小于根据更新前的防护配置参数过滤掉的 发送到业务服务器的数据包的数量;
[0207] 3)第六更新模块,用于在反馈信息指示执行完过滤后连接业务服务器的连通率大 于执行过滤前执行过滤前连接业务服务器的连通率时,保持防护配置参数不变,或者,更新 防护配置参数,使得根据更新后的防护配置参数过滤掉的发送到业务服务器的数据包的数 量小于根据更新前的防护配置参数过滤掉的发送到业务服务器的数据包的数量。
[0208] 以下结合具体示例说明,如表8示出了业务服务器102-2响应反馈信息对防护配 置参数进行更新的一种示例。
[0209] 表 8
[0210]
[0211] 具体结合图1、图4以及表8所示进行描述,假设以业务服务器102-2作为目的服 务器为例,全局联动配置中心404将接收到业务服务器102-2执行完过滤后的反馈信息, 其中,执行完过滤后第一单位时间(例如,第一单位时间为1小时)内发送到业务服务器 102-2的数据包的数量变为2000个、S卩小于执行过滤前第一单位时间(例如,第一单位时间 为1小时)内发送到业务服务器102-2的数据包的数量2500个;执行完过滤后业务服务器 102-2在第二单位时间(如,第二单位时间为1小时)内接收到的数据包的数量变为1500 个,即小于执行过滤前业务服务器102-2在第二单位时间(如,第二单位时间为1小时)内 接收到的数据包的数量2000个;执行完过滤后连接业务服务器102-2的连通率变为80%, 即大于执行过滤前执行所述过滤前连接业务服务器102-2的连通率60%,则可以保持防护 配置参数不变,或者,更新对于业务服务器102-2的防护配置参数。假设选择了更新防护配 置参数,则可以通过更新防护配置参数使得根据更新后的防护配置参数过滤掉的发送到业 务服务器102-2的数据包的数量小于根据更新前的防护配置参数过滤掉的发送到业务服 务器102-2的数据包的数量。
[0212] 通过本发明提供的实施例,通过实时根据网络中各业务服务器的业务流量变化, 对业务服务器的防护配置参数进行调整,若反馈多级流量清洗系统过滤量偏大,则可通过 调整防护配置参数以使多级流量清洗系统的过滤量减小,达到改善网络中业务服务器对 DDoS攻击的防护效果。
[0213] 作为一种可选的方案,第一发送单兀706包括:
[0214] 1)发送模块,用于将防护配置参数发送到多个第一流量清洗系统中与业务服务器 最近的第一流量清洗系统,和/或,将防护配置参数发送到多个第二流量清洗系统中与业 务服务器最近的第二流量清洗系统。
[0215] 具体结合图1所示进行描述,假设以业务服务器102-4作为目的业务服务器为例, 防护配置参数将会被发送到距离其最近的位于骨干网节点的第一流量清洗系统进行数据 包过滤,和/或,最近的位于城域网2入口的流量清洗系统进行数据包过滤,和/或,位于城 域网2下的互联网数据中心IDC-4入口的第二流量清洗系统进行数据包过滤,而不是选择 互联网数据中心IDC-3入口的第二流量清洗系统,或者,城域网1中的任一互联网数据中心 IDC-I或互联网数据中心IDC-2入口的第二流量清洗系统进行数据包过滤。
[0216] 通过本发明提供的实施例,通过遵循"就近原则"选择相应的流量清洗系统对业务 服务器进行数据包的过滤,从而达到有效地节省网络中的资源。
[0217] 作为一种可选的方案,获取单元704包括:
[0218] 1)第一获取模块,用于获取业务服务器的当前状态信息,其中,当前状态信息用于 指示业务服务器在第五单位时间内接收到的数据包的数量和/或指示连接业务服务器的 连通率;
[0219] 2)第二获取模块,用于从数据库中获取与当前状态信息对应的防护配置参数。
[0220] 具体结合图1和图4所示进行描述,全局联动配置中心获取了业务服务器的日常 状态信息,根据对业务服务器的日常监测的结果,输出业务服务器在单位时间内的业务流 量基线,并存储在业务防护配置策略库中。当获取了业务服务器102-4当前的状态信息后, 则可在业务防护配置策略库中获取与业务服务器102-4当前状态信息对应的防护配置参 数,以使业务服务器102-4在经过由上述获取到的防护配置参数控制的多级流量清洗系统 的清洗过滤后,可以实现过滤掉异常流量,从而达到保持业务服务器102-4的正常的业务 流量的效果。
[0221] 通过本发明提供的实施例,通过对网络中的业务服务器的实施监控,获取业务服 务器当前的状态信息,并根据上述当前状态信息获取相应的防护配置参数,从而为业务服 务器制定更加精细的防护策略。
[0222] 上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
[0223] 实施例3
[0224] 根据本发明实施例,提供了 一种分布式拒绝服务DDoS攻击的防护系统,在本 实施例中上述分布式拒绝服务DDoS攻击的防护系统可以应用于如图1所示的网络中, 其中,上述网络包括但不限于:骨干网、骨干网下的城域网、城域网下的互联网数据中心 IDC(InternetDataCenter)、互联网数据中心(IDC)下的业务服务器以及与骨干网连接的 客户端。可选地,在本实施例中骨干网下的城域网也可以但不限于视为上述网络中的骨干 网。
[0225] 例如,如图1所示,骨干网与城域网1和城域网2连接,其中,城域网1中包括互 联网数据中心IDC-I以及互联网数据中心IDC-2,互联网数据中心IDC-I中包括业务服务 器102-1互联网数据中心IDC-2中包括业务服务器102-2 ;城域网2中包括互联网数据中 心IDC-3以及互联网数据中心IDC-4,互联网数据中心IDC-3中包括业务服务器102-3互 联网数据中心IDC-4中包括业务服务器102-4 ;此外,骨干网还与客户端连接,例如,客户端 104-1、客户端104-2、客户端104-3。上述网络中的客户端通过骨干网与业务服务器建立连 接,进而实现对业务服务器中的相应业务的请求。上述举例只是一种示例,本实施例对此不 做任何限定。
[0226] 可选地,在本实施例中上述分布式拒绝服务DDoS攻击的防护系统,如图4所示,在 本实施例中该系统包括:
[0227] 1)流量监测服务器,用于向联动配置服务器发送DDoS攻击告警信息,其中,DDoS 攻击告警消息用于指示业务服务器出现DDoS攻击;
[0228] 2)联动配置服务器,用于根据接收到的DDoS攻击告警信息获取防护配置参数,并 将防护配置参数发送到多级流量清洗服务器,以指示多级流量清洗服务器根据接收到的防 护配置参数对发送到业务服务器的数据包进行过滤;
[0229] 3)多级流量清洗服务器,用于根据接收到的防护配置参数对发送到业务服务器的 数据包进行过滤,其中,多级流量清洗系统包括位于骨干网节点的第一流量清洗服务器和 位于互联网数据中心IDC入口的第二流量清洗服务器;其中,第二流量清洗服务器被设置 为对经过第一流量清洗服务器过滤后的数据包进行再次过滤,并将再次过滤后得到的数据 包发送到业务服务器。
[0230] 可选地,在本实施例中,上述联动配置服务器可以包括但不限于:全局联动配置服 务器、区域联动配置服务器,例如,如图3所示的全局联动配置服务器304以及区域联动配 置服务器310-1和区域联动配置服务器310-2。
[0231] 可选地,在本实施例中,上述系统中的流量监测服务器、联动配置服务器可以集成 在一个网络设备上,也可以分布式地位于网络中不同的网络设备上。可选地,在本实施例 中,联动配置服务器可以包括但不限于:全局联动配置服务器、区域联动配置服务器。本实 施例对此不做限定。
[0232] 可选地,在本实施例中,多级流量清洗系统410可以包括但不限于:位于骨干网节 点的第一流量清洗系统和位于互联网数据中心(IDC)入口的第二流量清洗系统。可选地, 结合图1和图4所示,在本实施例中上述位于骨干网节点的第一流量清洗系统与位于互联 网数据中心(IDC)入口的第二流量清洗系统之间还可以但不限于包括:位于城域网入口的 流量清洗系统。
[0233] 作为一种可选的方案,联动配置服务器包括:
[0234] 1)处理器,用于在将防护配置参数发送到多级流量清洗服务器之后,接收到执行 完过滤后的反馈信息,响应反馈信息对防护配置参数进行更新,得到更新后的防护配置参 数,并将更新后的防护配置参数发送到多级流量清洗服务器,以指示多级流量清洗服务器 根据接收到的更新后的防护配置参数对发送到业务服务器的数据包进行过滤。
[0235] 可选地,在本实施例中,上述反馈信息包括以下至少之一:执行完过滤后第一单位 时间内发送到业务服务器的数据包的数量、执行完过滤后业务服务器在第二单位时间内接 收到的数据包的数量、执行完过滤后连接业务服务器的连通率。
[0236] 可选地,在本实施例中,上述第一单位时间与第二单位时间可以根据不同的应用 场景,预先配置成相同或不同的取值。可选地,在本实施例中,第一单位时间与第二单位时 间可以包括但不限于:1分钟、1小时、1天、1个月。本实施例对此不做任何限定。
[0237] 可选地,在本实施例中的具体示例可以参考上述实施例1和实施例2中所描述的 示例,本实施例在此不再赘述。上述本发明实施例序号仅仅为了描述,不代表实施例的优 劣。
[0238] 实施例4
[0239] 如图9所示,本发明的实施例还提供了一种计算机可读取的存储介质902。可选 地,在本实施例中,上述存储介质902可以连接处理器904,其中,上述存储介质902用于 存储执行上述实施例中描述的分布式拒绝服务DDoS攻击的防护方法的程序代码;处理器 904,用于执行存储介质902中已存储的程序代码。
[0240] 可选地,在本实施例中,上述存储介质902可以位于如图3所示的网络中的多个网 络设备中的至少一个网络设备。换言之,上述存储介质902可以分布式地位于不同的网络 设备中,也可以集中位于一个网络设备中。
[0241] 可选地,在本实施例中,存储介质902被设置为存储用于执行以下步骤的程序代 码:
[0242] S1,接收到DDoS攻击告警消息,其中,DDoS攻击告警消息用于指示业务服务器出 现DDoS攻击;
[0243] S2,响应DDoS攻击告警消息获取防护配置参数,其中,防护配置参数用于对发送 到业务服务器的数据包进行过滤;
[0244] S3,将防护配置参数发送到多级流量清洗系统,以指示多级流量清洗系统根据接 收到的防护配置参数对发送到业务服务器的数据包进行过滤,其中,多级流量清洗系统包 括位于骨干网节点的第一流量清洗系统和位于互联网数据中心IDC入口的第二流量清洗 系统。
[0245] 可选地,存储介质902还被设置为存储用于执行以下步骤的程序代码:
[0246] S1,多级流量清洗系统根据接收到的防护配置参数对发送到业务服务器的数据包 进行过滤,其中,第二流量清洗系统对经过第一流量清洗系统过滤后的数据包进行再次过 滤;
[0247] S2,第二流量清洗系统将执行再次过滤后得到的数据包发送到业务服务器。
[0248] 可选地,存储介质902还被设置为存储用于执行以下步骤的程序代码:
[0249] S1,接收到执行完过滤后的反馈信息,其中,反馈信息包括以下至少之一:执行完 过滤后第一单位时间内发送到业务服务器的数据包的数量、执行完过滤后业务服务器在第 二单位时间内接收到的数据包的数量、执行完过滤后连接业务服务器的连通率;
[0250] S2,响应反馈信息对防护配置参数进行更新,得到更新后的防护配置参数;
[0251] S3,将更新后的防护配置参数发送到多级流量清洗系统,用于指示多级流量清洗 系统根据接收到的更新后的防护配置参数对发送到业务服务器的数据包进行过滤。
[0252] 可选地,在本实施例中,上述第一单位时间与第二单位时间可以根据不同的应用 场景,预先配置成相同或不同的取值。可选地,在本实施例中,第一单位时间与第二单位时 间可以包括但不限于:1分钟、1小时、1天、1个月。本实施例对此不做任何限定。
[0253] 具体结合以下示例描述:例如,结合图3进行说明,上述存储介质902分布式地位 于不同的网络设备中,分别存储有执行以下相应步骤的程序代码:
[0254] 流量监测服务器302将对骨干网全网中的业务流量进行实时监控,然后对已确认 的DDoS攻击告警消息发送到全局联动配置服务器304中,由全局联动配置服务器304将获 取的防护配置参数以及触发清洗操作的系统消息下发至骨干网节点处的第一流量清洗服 务器306-1、第一流量清洗服务器306-2、第一流量清洗服务器306-3、第一流量清洗服务器 306-4,其中,上述防护配置参数可以由内置于全局联动配置服务器304中的业务防护配置 策略库获取,其中,上述业务防护配置策略库并不限于内置于全局联动配置服务器304中。
[0255] 可选地,在本实施例中,上述业务防护配置策略库412在分布式拒绝服务DDoS攻 击的防护系统中与其他模块的关系可以如图4所示,此外,上述业务防护配置策略库412可 以但不限于存储在上述存储介质902中。在经过过滤操作后,上述业务防护配置策略库412 中存储的关于业务服务器的防护策略也将同时被更新。
[0256] 进一步,上述第一流量清洗服务器306-1、第一流量清洗服务器306-2、第一流量 清洗服务器306-3、第一流量清洗服务器306-4会将过滤后得到的数据包由城域网1、城域 网2、城域网3或城域网4,发送至第二流量清洗服务器308-1、第二流量清洗服务器308-2、 第二流量清洗服务器308-3、第二流量清洗服务器308-4,进行再次过滤。
[0257] 然后,过滤后的结果可以但不限于通过流量监测服务器302联动反馈给上述系统 中的全局联动配置服务器304或区域联动配置服务器310-1或310-2,并保存在上述存储介 质902中,以使其可以及时为用户制定相应的防护策略。
[0258] 可选地,在本实施例中,上述存储介质902可以包括但不限于:U盘、只读存储器 (ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、移动硬盘、磁碟 或者光盘等各种可以存储程序代码的介质。
[0259] 可选地,在本实施例中,上述处理器904根据存储介质902中已存储的程序代码 将相应的防护配置参数发送到多级流量清洗服务器。例如,如图3所示,将相应的防护配 置参数发送至第一流量清洗服务器306-1,然后经过城域网1发送给第二流量清洗服务器 308-1。
[0260] 可选地,在本实施例中,上述处理器904根据存储介质902中已存储的程序代码对 接收到的数据包按照防护策略中所配置的防护配置参数对数据包进行流量清洗。
[0261] 可选地,在本实施例中,上述处理器904根据存储介质902中已存储的程序代码将 执行完过滤后的反馈信息反馈给上述系统中的全局联动配置服务器304,以使存储在存储 介质902中的业务防护配置策略库412中的防护策略进行更新。
[0262] 可选地,本实施例中的具体示例可以参考上述实施例1和实施例2中所描述的示 例,本实施例在此不再赘述。
[0263] 上述本发明实施例序号仅仅为了描述,不代表实施