用于CDN服務器群組的DDoS攻擊防護方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供一種用于CDN服務器群組的DDoS攻擊防護方法��,所述CDN服務器群組包括多個CDN服務器和中心服務器�,所述方法包括:每個CDN服務器將訪問請求的訪問源信息發(fā)送至中心服務器;所述中心服務器統(tǒng)計一段時間內(nèi)每個CDN服務器下對應于同一訪問源信息的訪問請求的數(shù)量����;所述中心服務器將每個CDN服務器下的對應于同一訪問源信息的訪問請求的數(shù)量大于預定閾值的訪問請求確定為DDoS攻擊��,并基于所述訪問請求的訪問源信息生成黑名單����;所述中心服務器將所述黑名單下發(fā)至所述CDN服務器群組中的所述多個CDN服務器�;所述多個CDN服務器對落入所述黑名單的訪問源拒絕提供服務。本發(fā)明還提供一種用于CDN服務器群組的DDoS攻擊防護系統(tǒng)�����,實現(xiàn)了CDN服務器群組的全網(wǎng)DDoS攻擊防護��。
【專利說明】
用于CDN服務器群組的DDoS攻擊防護方法及系統(tǒng)
技術(shù)領(lǐng)域
[0001]本發(fā)明實施例涉及網(wǎng)絡安全技術(shù)領(lǐng)域�����,尤其涉及一種用于⑶N服務器群組的DDoS攻擊防護方法及系統(tǒng)����。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的發(fā)展,用戶在使用網(wǎng)絡時對網(wǎng)站的瀏覽速度和效果愈加重視���,但由于網(wǎng)民數(shù)量激增���,網(wǎng)絡訪問路徑過長,從而使用戶的訪問質(zhì)量受到嚴重影響����。特別是當用戶與網(wǎng)站之間的鏈路被突發(fā)的大流量數(shù)據(jù)擁塞時,對于異地互聯(lián)網(wǎng)用戶急速增加的地區(qū)來說���,訪問質(zhì)量不良更是一個急待解決的問題���。
[0003]CDN(Content Delivery Network,內(nèi)容分發(fā)網(wǎng)絡)是一種通過在網(wǎng)絡各處放置CDN服務器所構(gòu)成的在現(xiàn)有的互聯(lián)網(wǎng)基礎(chǔ)之上的一層智能虛擬網(wǎng)絡�。CDN能夠?qū)崟r地根據(jù)網(wǎng)絡流量和各節(jié)點的連接、負載狀況以及到用戶的距離和響應時間等綜合信息將用戶的請求重新導向離用戶最近的服務節(jié)點上�����,其目的是能夠選擇離用戶相對較近的節(jié)點向用戶發(fā)送用戶所需的內(nèi)容���,緩解網(wǎng)絡擁擠的狀況����,提高網(wǎng)站的響應速度�����。
[0004]可是隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展與應用普及,網(wǎng)絡上的服務器或系統(tǒng)面臨著更多���、更復雜的網(wǎng)絡攻擊行為�����,其中����,DDoS(Distributed Denial of Service��,分布式拒絕服務)便是一種較為嚴重的網(wǎng)絡攻擊行為�����,它利用大量的傀儡機對某個服務器或系統(tǒng)同時發(fā)起攻擊�����,使得受攻擊的該系統(tǒng)因帶寬擁塞或服務器資源耗盡等原因而無法支持正常的業(yè)務訪問�����;由于DDoS攻擊往往采取合法的數(shù)據(jù)請求技術(shù),再加上傀儡機器的輔助�,導致DDoS攻擊成為目前最難防御的網(wǎng)絡攻擊之一��。
[0005]現(xiàn)有技術(shù)中主要從主機設(shè)置����、網(wǎng)絡設(shè)置兩方面來防止DDoS攻擊。
[0006]一方面����,現(xiàn)有技術(shù)從主機設(shè)置方面來防止DDoS攻擊,采取對將所有的主機平臺中所有的服務器都進行進行抵御DDoS的相關(guān)設(shè)置��,例如:關(guān)閉不必要的服務���,限制同時打開的Syn半連接數(shù)目����,縮短Syn半連接的time out時間����,及時更新系統(tǒng)補丁等。
[0007]另一方面,現(xiàn)有技術(shù)從網(wǎng)絡設(shè)置方面來防止DDoS攻擊�,包括對防火墻與路由器這兩類到外界的接口設(shè)備的設(shè)置,例如:對防火墻的設(shè)置包括禁止對主機的非開放服務的訪問����,限制同時打開的SYN最大連接數(shù),限制特定IP地址的訪問�,啟用防火墻的防DDoS的屬性,嚴格限制對外開放的服務器的向外訪問�����;對路由器的設(shè)置包括設(shè)置SYN數(shù)據(jù)包流量速率;升級版本過低的ISO以及為路由器建立log server��。
[0008]使用上述技術(shù)方案來防止DDoS攻擊的技術(shù)問題在于:
[0009]—方面�,采用黑洞技術(shù)和路由器過濾、限速等手段��,不僅大量消耗了服務器的資源�����,同時也阻斷了部分有效業(yè)務����,降低了服務器對用戶訪問請求的處理效率,嚴重影響了用戶體驗;另一方面�,部署大量的冗余設(shè)備,保證足夠的響應能力來提供DDoS攻擊防護����,但又使得防護DDoS攻擊的代價過于高昂。
[0010]更進一步地�,隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展與應用普及����,存在不法分子利用大量的傀儡機對CDN平臺的各個CDN服務器發(fā)起DDo S攻擊,進而攻擊CDN平臺的中心服務器;現(xiàn)有技術(shù)采用的技術(shù)方案是:DDoS攻擊某一 CDN服務器����,此服務器采取一系列的防DDoS攻擊的技術(shù)手段識別并防御此DDoS攻擊,當同樣的DDoS攻擊源DDoS攻擊CDN平臺中的多個CDN服務器時�����,CDN平臺中的多個服務器均需要對DDoS攻擊源進行識別并防御;技術(shù)問題在于:嚴重降低了 CDN平臺對DDoS攻擊的處理效率���,并拖慢了網(wǎng)站的響應速度�����;如何簡單有效防御DDoS攻擊源對⑶N平臺的攻擊也是目前業(yè)界亟待解決的需要課題����。
【發(fā)明內(nèi)容】
[0011]本發(fā)明實施例的目的在于解決上述至少一個技術(shù)問題,提供一種⑶N服務器群組的DDoS攻擊防護方法及系統(tǒng)��,可以有效防護大規(guī)模DDoS攻擊����。
[0012]本發(fā)明一實施例提供一種用于⑶N服務器群組的DDoS攻擊防護方法,所述⑶N服務器群組包括多個⑶N服務器和中心服務器��,所述方法包括:
[0013]每個⑶N服務器將訪問請求的訪問源信息發(fā)送至所述中心服務器����;
[0014]所述中心服務器統(tǒng)計一段時間內(nèi)每個⑶N服務器下對應于同一訪問源信息的訪問請求的數(shù)量;
[0015]所述中心服務器將每個CDN服務器下的對應于同一訪問源信息的訪問請求的數(shù)量大于預定閾值的訪問請求確定為DDo S攻擊���,并相應地基于所述訪問請求的訪問源信息生成黑名單����;
[0016]所述中心服務器將所述黑名單下發(fā)至所述⑶N服務器群組中的所述多個⑶N服務器�����;
[0017]所述多個⑶N服務器對落入所述黑名單的訪問源拒絕提供服務。
[0018]本發(fā)明一實施例提供一種用于⑶N服務器群組的DDoS攻擊防護系統(tǒng)����,所述⑶N服務器群組包括多個⑶N服務器和中心服務器,其中:
[0019]每個⑶N服務器包括:
[0020]采集單元��,用于采集訪問請求的訪問源信息����;
[0021]發(fā)送單元,用于將所述訪問源信息發(fā)送至中心服務器���;
[0022]黑名單接收單元;
[0023]服務控制單元�����,用于與所述黑名單接收單元關(guān)聯(lián)�����,以對落入黑名單的訪問源拒絕提供服務���,
[0024]所述中心服務器包括:
[0025]統(tǒng)計單元���,用于統(tǒng)計一段時間內(nèi)每個CDN服務器下對應于同一訪問源信息的訪問請求的數(shù)量���;
[0026]黑名單生成單元,用于將每個CDN服務器下的對應于同一訪問源信息的訪問請求的數(shù)量大于預定閾值的訪問請求確定為DDoS攻擊�,并相應地基于所述訪問請求的訪問源信息生成黑名單;
[0027]下發(fā)單元�����,用于將所述黑名單下發(fā)至所述⑶N服務器群組中的所述多個⑶N服務器的黑名單接收單元���。
[0028]通過本發(fā)明一實施例提供的用于⑶N平臺的DDoS攻擊防護方法及系統(tǒng)���,實現(xiàn)了:
[0029]一、通過黑名單來標記DDoS攻擊的攻擊源�,并拒絕所有已被標記的DDoS攻擊源對CDN服務器的訪問,實現(xiàn)了針對DDoS攻擊的有效防護�����;
[0030]二�����、針對各個⑶N服務器訪問的DDoS攻擊源的識別工作是在中心服務器上完成的,降低了各個CDN服務器資源消耗���,且各個CDN服務器向中心服務器發(fā)送訪問源信息��,避免了DDoS攻擊源對中心服務器的訪問�,有效隱藏和保護了中心服務器����;
[0031]三、對⑶N服務器群組其中一個⑶N服務器遭受的DDoS攻擊進行識別后��,中心服務器記錄DDoS攻擊源至黑名單�����,并將黑名單發(fā)送至⑶N服務器群組下的各個⑶N服務器�����,同步更新了整個CDN服務器群組下的各個CDN服務器的黑名單���,實現(xiàn)了 CDN服務器群組的全網(wǎng)DDoS攻擊防護;
[0032]四���、當已被列入黑名單的DDoS攻擊源嘗試攻擊⑶N服務器群組下的各個⑶N服務器時���,中心服務器不需要再次對DDoS攻擊源進行識別�,節(jié)約了中心服務器在DDoS攻擊防護方面的資源消耗�����。
【附圖說明】
[0033]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案��,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹��,顯而易見地�,下面描述中的附圖是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動的前提下���,還可以根據(jù)這些附圖獲得其他的附圖�����。
[0034]圖1為本發(fā)明一實施例的用于⑶N服務器群組的DDoS攻擊防護方法流程圖���;
[0035]圖2為本發(fā)明一實施例的用于⑶N服務器群組的DDoS攻擊防護系統(tǒng)的結(jié)構(gòu)示意圖����。
[0036]圖3為本發(fā)明一實施例的布置有多個圖2所示的⑶N服務器群組的⑶N平臺的結(jié)構(gòu)示意圖�。
【具體實施方式】
[0037]為使本發(fā)明實施例的目的、技術(shù)方案和優(yōu)點更加清楚�����,下面將結(jié)合本發(fā)明實施例中的附圖���,對本發(fā)明實施例中的技術(shù)方案進行清楚����、完整地描述���,顯然����,所描述的實施例是本發(fā)明一部分實施例����,而不是全部的實施例���?���;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例��,都屬于本發(fā)明保護的范圍�。
[0038]參見圖1,示出的是本發(fā)明一具體實施例的⑶N服務器群組的DDoS攻擊防護方法��,所述⑶N服務器群組包括多個⑶N服務器和中心服務器���,所述方法包括:
[0039]SlOl:每個⑶N服務器將訪問請求的訪問源信息發(fā)送至所述中心服務器��;
[0040]S102:所述中心服務器統(tǒng)計一段時間內(nèi)每個⑶N服務器下對應于同一訪問源信息的訪問請求的數(shù)量����;
[0041]S103:所述中心服務器將每個⑶N服務器下的對應于同一訪問源信息的訪問請求的數(shù)量大于預定閾值的訪問請求確定為DDoS攻擊��,并相應地基于所述訪問請求的訪問源信息生成黑名單�;
[0042]S104:所述中心服務器將所述黑名單下發(fā)至所述⑶N服務器群組中的所述多個⑶N服務器;
[0043]S105:所述多個⑶N服務器對落入所述黑名單的訪問源拒絕提供服務�。
[0044]通過本發(fā)明實施例方法,實現(xiàn)了:
[0045]通過黑名單來標記DDoS攻擊的攻擊源,并拒絕所有已被標記的DDoS攻擊源對⑶N服務器的訪問��,實現(xiàn)了DDoS攻擊的有效防護;針對各個CDN服務器訪問的DDoS攻擊源的識別工作是在中心服務器上完成的�����,降低了各個⑶N服務器資源消耗���,且各個⑶N服務器向中心服務器發(fā)送訪問源信息�,避免了DDoS攻擊源對中心服務器的訪問����,有效隱藏和保護了中心服務器;對⑶N服務器群組其中一個⑶N服務器遭受的DDoS攻擊進行識別后,中心服務器記錄DDoS攻擊源至黑名單�,并將黑名單發(fā)送至⑶N服務器群組下的各個⑶N服務器,同步更新了整個⑶N服務器群組下的各個⑶N服務器的黑名單����,實現(xiàn)了⑶N服務器群組的全網(wǎng)DDoS攻擊防護;當已被列入黑名單的DDoS攻擊源嘗試攻擊CDN服務器群組下的各個CDN服務器時����,中心服務器不需要再次對DDoS攻擊源進行識別,節(jié)約了中心服務器在DDoS攻擊防護方面的資源消耗��。
[0046]在本發(fā)明方法的一種實施方式中�����,所述訪問源信息包含訪問請求源的IP����、URL和/或Refer信息;更具體地,包括:
[0047]每個⑶N服務器將訪問請求的訪問源信息發(fā)送至所述中心服務器����。
[0048]所述中心服務器統(tǒng)計一段時間內(nèi)每個CDN服務器下對應于同一訪問源信息的訪問請求的數(shù)量。例如:統(tǒng)計訪問其中一臺CDN服務器的其中一個IP在一段時間內(nèi)對所述其中一臺CDN服務器訪問次數(shù);統(tǒng)計訪問其中一臺CDN服務器的其中一個URL在一段時間內(nèi)對所述其中一臺⑶N服務器總訪問次數(shù);統(tǒng)計訪問其中一臺⑶N服務器的其中一個Ref er在一段時間內(nèi)對所述其中一臺CDN服務器總訪問次數(shù)�;以此類推,獲取每個CDN服務器下對應于同一IP�����、URL和/SRefer的訪問請求的訪問次數(shù)��。
[0049]所述中心服務器將每個CDN服務器下的對應于同一訪問源信息的訪問請求的數(shù)量大于預定閾值的訪問請求確定為DDo S攻擊���,并相應地基于所述訪問請求的訪問源信息生成黑名單��。例如:所述中心服務器將單個⑶N服務器下的對應于同一 IP��、URL和/或Refer的訪問請求的訪問次數(shù)與預定閾值進行對比�,將同一 IP、URL和/或Refer的訪問請求的訪問次數(shù)大于預定閾值的IP���、URL和/或Refer的訪問請求確定為DDoS攻擊�。關(guān)于本步驟更具體的執(zhí)行�,可以包括如下子步驟:1、預設(shè)IP正常閾值����,將同一IP所對應的訪問請求的訪問次數(shù)與IP正常閾值進行對比,當同一IP所對應的訪問請求的訪問次數(shù)超過閾值時�,則確定所述同一IP所對應的訪問請求為DDoS攻擊;Π���、預設(shè)URL正常閾值�����,將同一URL所對應的訪問請求的訪問次數(shù)與URL正常閾值進行對比����,當同一URL所對應的訪問請求的訪問次數(shù)超過閾值時����,則確定所述同一URL所對應的訪問請求為DDoS攻擊���;ΙΠ、預設(shè)Ref er正常閾值��,當同一Ref er所對應的訪問請求的訪問次數(shù)超過閾值時��,則確定所述同一Ref er所對應的訪問請求為DDoS攻擊;關(guān)于本步驟的第1�����、π�����、m子步驟的DDos攻擊識別是彼此獨立的���,同時第1、π�����、m子步驟可以是同步式執(zhí)行的���,也可以是漸進式執(zhí)行的����;關(guān)于本步驟中的閾值的設(shè)定,可以是依據(jù)經(jīng)驗或多次實驗所確定的參考值;根據(jù)已確定為DDoS攻擊源的IP和/或URL和/或Refer生成黑名單�����。
[0050]所述中心服務器將所述黑名單下發(fā)至所述⑶N服務器群組中的所述多個⑶N服務器�。例如:中心服務器將根據(jù)一個CDN服務器的訪問請求所生成的黑名單發(fā)送至CDN服務器群組中的多個CDN服務器,優(yōu)選地�,中心服務器將根據(jù)一個CDN服務器的訪問請求所生成的黑名單發(fā)送至⑶N服務器群組中的各個⑶N服務器。
[0051]所述多個CDN服務器對落入所述黑名單的訪問源拒絕提供服務����。例如:CDN服務器群組中的多個⑶N服務器對落入所述黑名單的IP、URL和/或Refer拒絕提供服務���,優(yōu)選地����,CDN服務器群組中的各個⑶N服務器對落入所述黑名單的IP����、URL和/或Refer均拒絕提供服務���。
[0052]作為本發(fā)明方法實施例的進一步優(yōu)化,所述⑶N服務器群組為布置在⑶N平臺上的根據(jù)網(wǎng)絡類型的不同而劃分的多個CDN服務器群組���。
[0053]由此根據(jù)網(wǎng)絡類型將⑶N平臺劃分為多個所述⑶N服務器群組��,例如:CDN平臺包含有第一網(wǎng)絡類型為“中國電信”和第二網(wǎng)絡類型為“中國聯(lián)通”等多個電信網(wǎng)絡類型���,根據(jù)第一網(wǎng)絡類型“中國聯(lián)通”�、第二網(wǎng)絡類型“中國電信”等多個網(wǎng)絡類型將CDN平臺劃分成多個⑶N服務器群組。
[0054]通常情況下����,DDoS攻擊源會針對某一特定類型網(wǎng)絡下的服務器進行攻擊;根據(jù)⑶N平臺的多個網(wǎng)絡類型將CDN平臺劃分為多個所述CDN服務器群組,實現(xiàn)了在CDN平臺中某一群組的CDN服務器遭受攻擊時�,及時調(diào)用其他CDN群組中的服務器來接替被攻擊的CDN服務器,使得CDN平臺實現(xiàn)了根據(jù)DDoS攻擊監(jiān)測的情況進行CDN服務器調(diào)度��,保障了網(wǎng)站的正常運營���。
[0055]作為本發(fā)明方法實施例的進一步優(yōu)化����,所述多個⑶N服務器群組中的任一個⑶N月艮務器群組的中心服務器將黑名單下發(fā)至該⑶N服務器群組中的多個⑶N服務器之后,選擇性地與其他⑶N服務器群組的中心服務器進行黑名單共享���。
[0056]通過將⑶N平臺中的一個⑶N群組的黑名單發(fā)送至⑶N平臺中的另一個⑶N群組�����,實現(xiàn)了⑶N平臺各個⑶N群組的黑名單的同步更新�����,實現(xiàn)了⑶N平臺的全網(wǎng)DDoS攻擊防護;進一步地�����,當已被列入黑名單的DDoS攻擊源嘗試攻擊⑶N服務器群組下的各個⑶N服務器時�,中心服務器不需要再次對DDoS攻擊源進行識別����,節(jié)約了中心服務器在DDoS攻擊防護方面的資源消耗。
[0057]參見圖2示出的是一種⑶N服務器群組的DDoS攻擊防護系統(tǒng)�,包括:
[0058]每個CDN服務器包括:
[0059]采集單元,用于采集訪問請求的訪問源信息��;
[0060]發(fā)送單元�,用于將所述訪問源信息發(fā)送至中心服務器����;
[0061]黑名單接收單元�;
[0062]服務控制單元,用于與所述黑名單接收單元關(guān)聯(lián)���,以對落入黑名單的訪問源拒絕提供服務���,
[0063]所述中心服務器包括:
[0064]統(tǒng)計單元,用于統(tǒng)計一段時間內(nèi)每個CDN服務器下對應于同一訪問源信息的訪問請求的數(shù)量��;
[0065]黑名單生成單元����,用于將每個CDN服務器下的對應于同一訪問源信息的訪問請求的數(shù)量大于預定閾值的訪問請求確定為DDoS攻擊����,并相應地基于所述訪問請求的訪問源信息生成黑名單;
[0066]下發(fā)單元����,用于將所述黑名單下發(fā)至所述⑶N服務器群組中的所述多個⑶N服務器的黑名單接收單元。
[0067]通過本發(fā)明實施例系統(tǒng)實現(xiàn)了:
[0068]通過黑名單來標記DDoS攻擊的攻擊源�����,并拒絕所有已被標記的DDoS攻擊源對⑶N服務器的訪問,實現(xiàn)了DDoS攻擊的有效防護;針對各個CDN服務器訪問的DDoS攻擊源的識別工作是在中心服務器上完成的��,降低了各個⑶N服務器資源消耗�����,且各個⑶N服務器向中心服務器發(fā)送訪問源信息��,避免了DDoS攻擊源對中心服務器的訪問�����,有效隱藏和保護了中心服務器;對⑶N服務器群組其中一個⑶N服務器遭受的DDoS攻擊進行識別后���,中心服務器記錄DDoS攻擊源至黑名單�����,并將黑名單發(fā)送至⑶N服務器群組下的各個⑶N服務器����,同步更新了整個⑶N服務器群組下的各個⑶N服務器的黑名單,實現(xiàn)了⑶N服務器群組的全網(wǎng)DDoS攻擊防護�����;當已被列入黑名單的DDoS攻擊源嘗試攻擊CDN服務器群組下的各個CDN服務器時��,中心服務器不需要再次對DDoS攻擊源進行識別����,節(jié)約了中心服務器在DDoS攻擊防護方面的資源消耗。
[0069]在本發(fā)明系統(tǒng)的一種實施方式中���,所述訪問源信息包含IP���、URL和/SRefeHtE。
[0070]作為圖2所示實施例系統(tǒng)的進一步優(yōu)化�����,所述采集單元為nginx模塊����。
[0071]參見圖3示出的是布置有多個圖2所示的⑶N服務器群組的⑶N平臺���,其中����,所述⑶N服務器群組為布置在CDN平臺上的根據(jù)網(wǎng)絡類型的不同而劃分的多個CDN服務器群組。
[0072]通常情況下���,DDoS攻擊源會針對某一特定類型網(wǎng)絡下的服務器進行攻擊;根據(jù)⑶N平臺的多個網(wǎng)絡類型將CDN平臺劃分為多個所述CDN服務器群組�,實現(xiàn)了在CDN平臺中某一群組的CDN服務器遭受攻擊時�,及時調(diào)用其他CDN群組中的服務器來接替被攻擊的CDN服務器,使得CDN平臺實現(xiàn)了根據(jù)DDoS攻擊監(jiān)測的情況進行CDN服務器調(diào)度�����,保障了網(wǎng)站的正常運營���。
[0073]圖3作為進一步的優(yōu)化��,所述多個⑶N服務器群組中的任一個⑶N服務器群組的中心服務器用于成選擇性地與其他CDN服務器群組的中心服務器進行黑名單共享�����。
[0074]通過將⑶N平臺中的一個⑶N群組的黑名單發(fā)送至⑶N平臺中的另一個⑶N群組��,實現(xiàn)了⑶N平臺各個⑶N群組的黑名單的同步更新�,實現(xiàn)了⑶N平臺的全網(wǎng)DDoS攻擊防護;進一步地,當已被列入黑名單的DDoS攻擊源嘗試攻擊⑶N服務器群組下的各個⑶N服務器時��,中心服務器不需要再次對DDoS攻擊源進行識別����,節(jié)約了中心服務器在DDoS攻擊防護方面的資源消耗。
[0075]在本發(fā)明一方面的應用上�,本發(fā)明實施例中的CDN服務器群組的DDoS攻擊防護系統(tǒng)可以是作為功能元件的形式內(nèi)嵌于CDN服務器群組的中心服務器和CDN服務器中;在本發(fā)明實施例中還可以通過硬件處理器來實現(xiàn)相關(guān)功能模塊單元����。
[0076]以上所描述的裝置實施例僅僅是示意性的,其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的���,作為單元顯示的部件可以是或者也可以不是物理單元���,即可以位于一個地方,或者也可以分布到多個網(wǎng)絡單元上�。可以根據(jù)實際的需要選擇其中的部分或者全部模塊來實現(xiàn)本實施例方案的目的����。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性的勞動的情況下�����,即可以理解并實施。
[0077]通過以上的實施方式的描述�,本領(lǐng)域的技術(shù)人員可以清楚地了解到各實施方式可借助軟件加必需的通用硬件平臺的方式來實現(xiàn),當然也可以通過硬件����。基于這樣的理解����,上述技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計算機軟件產(chǎn)品可以存儲在計算機可讀存儲介質(zhì)中���,如R0M/RAM����、磁碟�����、光盤等���,包括若干指令用以使得一臺計算機設(shè)備(可以是個人計算機����,服務器,或者網(wǎng)絡設(shè)備等)執(zhí)行各個實施例或者實施例的某些部分所述的方法�����。
[0078]最后應說明的是:以上實施例僅用以說明本發(fā)明的技術(shù)方案�,而非對其限制;盡管參照前述實施例對本發(fā)明進行了詳細的說明,本領(lǐng)域的普通技術(shù)人員應當理解:其依然可以對前述各實施例所記載的技術(shù)方案進行修改��,或者對其中部分技術(shù)特征進行等同替換�����;而這些修改或者替換�����,并不使相應技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和范圍����。
【主權(quán)項】
1.一種用于⑶N服務器群組的DDoS攻擊防護方法,所述⑶N服務器群組包括多個⑶N月艮務器和中心服務器����,所述方法包括: 每個CDN服務器將訪問請求的訪問源信息發(fā)送至所述中心服務器��; 所述中心服務器統(tǒng)計一段時間內(nèi)每個CDN服務器下對應于同一訪問源信息的訪問請求的數(shù)量; 所述中心服務器將每個CDN服務器下的對應于同一訪問源信息的訪問請求的數(shù)量大于預定閾值的訪問請求確定為DDoS攻擊����,并相應地基于所述訪問請求的訪問源信息生成黑名單; 所述中心服務器將所述黑名單下發(fā)至所述CDN服務器群組中的所述多個CDN服務器����; 所述多個CDN服務器對落入所述黑名單的訪問源拒絕提供服務。2.根據(jù)權(quán)利要求1所述的DDoS攻擊防護方法�����,其特征在于���,所述訪問源信息包含IP����、URL和/或Refer信息�����。3.根據(jù)權(quán)利要求1或2所述的DDoS攻擊防護方法����,其特征在于����,所述CDN服務器群組為布置在⑶N平臺上的根據(jù)網(wǎng)絡類型的不同而劃分的多個⑶N服務器群組���。4.根據(jù)權(quán)利要求3所述的DDoS攻擊防護方法��,其中�,所述多個CDN服務器群組中的任一個⑶N服務器群組的中心服務器將黑名單下發(fā)至該⑶N服務器群組中的多個⑶N服務器之后�����,選擇性地與其他⑶N服務器群組的中心服務器進行黑名單共享��。5.—種用于⑶N服務器群組的DDoS攻擊防護系統(tǒng)�����,所述⑶N服務器群組包括多個⑶N月艮務器和中心服務器�����,其中: 每個⑶N服務器包括: 采集單元,用于采集訪問請求的訪問源信息�����; 發(fā)送單元��,用于將所述訪問源信息發(fā)送至中心服務器�����; 黑名單接收單元�����; 服務控制單元��,用于與所述黑名單接收單元關(guān)聯(lián)���,以對落入黑名單的訪問源拒絕提供服務, 所述中心服務器包括: 統(tǒng)計單元�,用于統(tǒng)計一段時間內(nèi)每個CDN服務器下對應于同一訪問源信息的訪問請求的數(shù)量; 黑名單生成單元�,用于將每個CDN服務器下的對應于同一訪問源信息的訪問請求的數(shù)量大于預定閾值的訪問請求確定為DDoS攻擊,并相應地基于所述訪問請求的訪問源信息生成黑名單���; 下發(fā)單元��,用于將所述黑名單下發(fā)至所述CDN服務器群組中的所述多個CDN服務器的黑名單接收單元���。6.根據(jù)權(quán)利要求5所述的DDoS攻擊防護系統(tǒng)�,其特征在于����,所述采集單元為nginx模塊。7.根據(jù)權(quán)利要求6所述的DDoS攻擊防護系統(tǒng)���,其特征在于���,所述訪問源信息包含IP、URL和/或Refer信息�。8.根據(jù)權(quán)利要求5-7中任一項所述的DDoS攻擊防護系統(tǒng),其中��,所述CDN服務器群組為布置在CDN平臺上的根據(jù)網(wǎng)絡類型的不同而劃分的多個CDN服務器群組����。9.根據(jù)權(quán)利要求8所述的DDoS攻擊防護系統(tǒng),其中���,所述多個CDN服務器群組中的任一個⑶N服務器群組的中心服務器用于成選擇性地與其他⑶N服務器群組的中心服務器進行黑名單共享�。
【文檔編號】H04L29/06GK105897674SQ201510828940
【公開日】2016年8月24日
【申請日】2015年11月25日
【發(fā)明人】李洪福
【申請人】樂視云計算有限公司