一種基于動(dòng)態(tài)隧道技術(shù)實(shí)現(xiàn)DDoS防御的方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)領(lǐng)域,尤其涉及一種基于動(dòng)態(tài)隧道技術(shù)實(shí)現(xiàn)DDoS防御的方法及系統(tǒng)。
【背景技術(shù)】
[0002]分布式拒絕服務(wù)(Distributed Denial of Service,簡(jiǎn)稱DDoS),是網(wǎng)絡(luò)中一種常見的攻擊行為,具體指借助于客戶/服務(wù)器技術(shù),將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái),對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力。而由于攻擊源不確定,攻擊發(fā)生時(shí)流量過大,會(huì)導(dǎo)致業(yè)務(wù)的服務(wù)不可達(dá)。
[0003]現(xiàn)有技術(shù)中,常見的DDoS防御有如下兩者方式:(I)設(shè)備清洗:通過流量清洗設(shè)備進(jìn)行清洗,一般部署于數(shù)據(jù)中心或者業(yè)務(wù)系統(tǒng)的入口點(diǎn);(2)DNS接管清洗:將需要保護(hù)的域名指向統(tǒng)一清洗中心,由統(tǒng)一清洗中心進(jìn)行統(tǒng)一清洗。
[0004]上述的DDoS防御的方式已經(jīng)被廣泛使用,但也存在如下缺陷:(1)設(shè)備清洗:需要專業(yè)安全設(shè)備,并具備充足的帶寬資源。對(duì)于投入大量資源的數(shù)據(jù)中心或者業(yè)務(wù)系統(tǒng),無法抵御流量較大的攻擊;(2)DNS接管清洗:這種方式投入成本較少,但所能清洗的業(yè)務(wù)一般都是http,而且因?yàn)榱髁拷?jīng)過第三方,對(duì)于敏感業(yè)務(wù)不適合。
【發(fā)明內(nèi)容】
[0005]針對(duì)現(xiàn)有技術(shù)通過安全設(shè)備進(jìn)行清洗和DNS接管清洗的方式的缺陷,本發(fā)明提供了一種基于動(dòng)態(tài)隧道技術(shù)實(shí)現(xiàn)DDoS防御的方法及系統(tǒng)。
[0006]第一方面,本發(fā)明提供了一種基于動(dòng)態(tài)隧道技術(shù)實(shí)現(xiàn)DDoS防御的方法,該方法包括:
[0007]訪問終端向服務(wù)控制器發(fā)送隧道候選請(qǐng)求消息,所述隧道候選請(qǐng)求消息包括所述訪問終端的屬性及預(yù)設(shè)的優(yōu)先級(jí)規(guī)則;
[0008]服務(wù)控制器接收到所述隧道候選請(qǐng)求消息后,根據(jù)所述訪問終端的屬性向所述訪問終端反饋按預(yù)設(shè)的優(yōu)先級(jí)規(guī)則排序多個(gè)候選隧道網(wǎng)關(guān);
[0009]訪問終端根據(jù)所述多個(gè)候選隧道網(wǎng)關(guān)的排序,從接收的所述多個(gè)候選隧道網(wǎng)關(guān)中選擇一個(gè)隧道網(wǎng)關(guān),并通過該隧道網(wǎng)關(guān)與訪問對(duì)象建立連接。
[0010]優(yōu)選地,所述訪問終端向服務(wù)控制器發(fā)送隧道候選請(qǐng)求消息的步驟之前,該方法還包括:
[0011]資源控制器根據(jù)多種優(yōu)先級(jí)規(guī)則,建立多個(gè)按序排列的候選隧道網(wǎng)關(guān)列表。
[0012]優(yōu)選地,所述服務(wù)控制器接收到所述隧道候選請(qǐng)求消息后,根據(jù)所述訪問終端的屬性向所述訪問終端反饋按預(yù)設(shè)的優(yōu)先級(jí)規(guī)則排序多個(gè)候選隧道網(wǎng)關(guān),包括:
[0013]服務(wù)控制器接收到訪問終端的到所述隧道候選請(qǐng)求消息后,對(duì)所述訪問終端進(jìn)行身份驗(yàn)證;
[0014]若所述訪問終端的身份驗(yàn)證通過,則服務(wù)控制器向資源控制器發(fā)送所述隧道候選請(qǐng)求消息,以使所述資源控制器反饋按預(yù)設(shè)的優(yōu)先級(jí)規(guī)則排序多個(gè)候選隧道網(wǎng)關(guān);
[0015]服務(wù)控制器向訪問終端發(fā)送所述多個(gè)候選隧道網(wǎng)關(guān)。
[0016]優(yōu)選地,所述訪問終端根據(jù)所述多個(gè)候選隧道網(wǎng)關(guān)的排序,從接收的所述多個(gè)候選隧道網(wǎng)關(guān)中選擇一個(gè)隧道網(wǎng)關(guān),并通過該隧道網(wǎng)關(guān)與訪問對(duì)象建立連接,包括:
[0017]訪問終端根據(jù)所述多個(gè)候選隧道網(wǎng)關(guān)的排序,從接收到的多個(gè)候選隧道網(wǎng)關(guān)中選擇一個(gè)隧道網(wǎng)關(guān),并向該隧道網(wǎng)關(guān)發(fā)送連接請(qǐng)求消息;
[0018]所述隧道網(wǎng)關(guān)接收到所述連接請(qǐng)求消息后,對(duì)所述訪問終端進(jìn)行身份驗(yàn)證,若所述訪問終端身份驗(yàn)證通過,則在所述訪問終端建立隧道起點(diǎn),并在所述隧道網(wǎng)關(guān)建立隧道終占.z、 V ,
[0019]通過所述訪問終端和所述隧道網(wǎng)關(guān)之間的隧道,所述訪問終端與訪問對(duì)象建立連接。
[0020]優(yōu)選地,該方法還包括:
[0021]訪問終端檢測(cè)所述隧道的服務(wù)質(zhì)量,若所述服務(wù)質(zhì)量下降,則自動(dòng)或提示用戶切換至另一個(gè)候選隧道網(wǎng)關(guān)。
[0022]優(yōu)選地,該方法還包括:
[0023]若訪問終端與訪問對(duì)象的連接中斷,或接收到用戶的切換隧道指示消息時(shí),所述訪問終端根據(jù)所述多個(gè)候選隧道網(wǎng)關(guān)的排序,向另一個(gè)隧道網(wǎng)關(guān)發(fā)送連接請(qǐng)求。
[0024]第二方面,本發(fā)明提供了一種基于動(dòng)態(tài)隧道技術(shù)實(shí)現(xiàn)DDoS防御的系統(tǒng),該系統(tǒng)包括:訪問終端、服務(wù)控制器及多個(gè)隧道網(wǎng)關(guān);
[0025]訪問終端,與所述服務(wù)控制器及多個(gè)隧道網(wǎng)關(guān)分別連接,用于向服務(wù)控制器發(fā)送隧道候選請(qǐng)求消息;根據(jù)所述多個(gè)候選隧道網(wǎng)關(guān)的排序,從接收的所述多個(gè)候選隧道網(wǎng)關(guān)中選擇一個(gè)隧道網(wǎng)關(guān),并通過該隧道網(wǎng)關(guān)與訪問對(duì)象建立連接;
[0026]服務(wù)控制器,用于當(dāng)接收到所述隧道候選請(qǐng)求消息時(shí),根據(jù)所述訪問終端的屬性向所述訪問終端反饋按預(yù)設(shè)的優(yōu)先級(jí)規(guī)則排序多個(gè)候選隧道網(wǎng)關(guān)。
[0027]優(yōu)選地,該系統(tǒng)還包括:
[0028]資源控制器,與所述服務(wù)控制器及多個(gè)隧道網(wǎng)關(guān)分別連接,用于根據(jù)多種優(yōu)先級(jí)規(guī)則,建立多個(gè)按序排列的候選隧道網(wǎng)關(guān)列表。
[0029]優(yōu)選地,服務(wù)控制器,用于:
[0030]接收到訪問終端的到所述隧道候選請(qǐng)求消息時(shí),對(duì)所述訪問終端進(jìn)行身份驗(yàn)證;
[0031]若所述訪問終端的身份驗(yàn)證通過,則向資源控制器發(fā)送所述隧道候選請(qǐng)求消息,以使所述資源控制器反饋按預(yù)設(shè)的優(yōu)先級(jí)規(guī)則排序多個(gè)候選隧道網(wǎng)關(guān);
[0032]向訪問終端發(fā)送所述多個(gè)候選隧道網(wǎng)關(guān)。
[0033]優(yōu)選地,所述訪問終端,用于根據(jù)所述多個(gè)候選隧道網(wǎng)關(guān)的排序,從接收到的多個(gè)候選隧道網(wǎng)關(guān)中選擇一個(gè)隧道網(wǎng)關(guān),并向該隧道網(wǎng)關(guān)發(fā)送連接請(qǐng)求消息;
[0034]所述隧道網(wǎng)關(guān),用于當(dāng)接收到所述連接請(qǐng)求消息時(shí),對(duì)所述訪問終端進(jìn)行身份驗(yàn)證,若所述訪問終端身份驗(yàn)證通過,則在所述隧道網(wǎng)關(guān)建立隧道終點(diǎn);
[0035]所述訪問終端,還用于在所述訪問終端建立隧道起點(diǎn),并通過所述訪問終端和所述隧道網(wǎng)關(guān)之間的隧道,與訪問對(duì)象建立連接。
[0036]由上述技術(shù)方案可知,本發(fā)明提供一種基于動(dòng)態(tài)隧道技術(shù)實(shí)現(xiàn)DDoS防御的方法及系統(tǒng),通過在訪問終端和訪問對(duì)象間建立安全隧道,當(dāng)DDoS攻擊時(shí)進(jìn)行隧道動(dòng)態(tài)切換,使得攻擊的目標(biāo)變?yōu)楹诙?,則業(yè)務(wù)不會(huì)發(fā)生中斷,該發(fā)明在實(shí)現(xiàn)安全防御攻擊的同時(shí),也能夠減少鏈路的冗余,保證核心業(yè)務(wù)的可靠性。
【附圖說明】
[0037]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些圖獲得其他的附圖。
[0038]圖1是本發(fā)明一實(shí)施例提供的一種基于動(dòng)態(tài)隧道技術(shù)實(shí)現(xiàn)DDoS防御的方法的流程不意圖;
[0039]圖2是本發(fā)明另一實(shí)施例提供的一種基于動(dòng)態(tài)隧道技術(shù)實(shí)現(xiàn)DDoS防御的方法的流程示意圖;
[0040]圖3是本發(fā)明一實(shí)施例提供的一種基于動(dòng)態(tài)隧道技術(shù)實(shí)現(xiàn)DDoS防御的系統(tǒng)的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0041]下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
[0042]如圖1所示,為本發(fā)明一實(shí)施例提供的一種基于動(dòng)態(tài)隧道技術(shù)實(shí)現(xiàn)DDoS防御的方法的流程示意圖,該方法包括如下步驟:
[0043]S1:訪問終端向服務(wù)控制器發(fā)送隧道候選請(qǐng)求消息,所述隧道候選請(qǐng)求消息包括所述訪問終端的屬性及預(yù)設(shè)的優(yōu)先級(jí)規(guī)則。
[0044]具體來說,訪問終端的屬性包括:終端類型(如終端的操作系統(tǒng)類型,終端是固定的還是移動(dòng)的等)、身份(如終端所屬公司等)、服務(wù)(如終端所購買的服務(wù)等級(jí)、類型等)等。當(dāng)然,還可包括終端的其他屬性,本實(shí)施方式對(duì)此不加以限制。
[0045]S2:服務(wù)控制器接收到所述隧道候選請(qǐng)求消息后,根據(jù)所述訪問終端的屬性向所述訪問終端反饋按預(yù)設(shè)的優(yōu)先級(jí)規(guī)則排序多個(gè)候選隧