一种基于动态隧道技术实现DDoS防御的方法及系统的制作方法
【技术领域】
[0001]本发明涉及计算机网络技术领域,尤其涉及一种基于动态隧道技术实现DDoS防御的方法及系统。
【背景技术】
[0002]分布式拒绝服务(Distributed Denial of Service,简称DDoS),是网络中一种常见的攻击行为,具体指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。而由于攻击源不确定,攻击发生时流量过大,会导致业务的服务不可达。
[0003]现有技术中,常见的DDoS防御有如下两者方式:(I)设备清洗:通过流量清洗设备进行清洗,一般部署于数据中心或者业务系统的入口点;(2)DNS接管清洗:将需要保护的域名指向统一清洗中心,由统一清洗中心进行统一清洗。
[0004]上述的DDoS防御的方式已经被广泛使用,但也存在如下缺陷:(1)设备清洗:需要专业安全设备,并具备充足的带宽资源。对于投入大量资源的数据中心或者业务系统,无法抵御流量较大的攻击;(2)DNS接管清洗:这种方式投入成本较少,但所能清洗的业务一般都是http,而且因为流量经过第三方,对于敏感业务不适合。
【发明内容】
[0005]针对现有技术通过安全设备进行清洗和DNS接管清洗的方式的缺陷,本发明提供了一种基于动态隧道技术实现DDoS防御的方法及系统。
[0006]第一方面,本发明提供了一种基于动态隧道技术实现DDoS防御的方法,该方法包括:
[0007]访问终端向服务控制器发送隧道候选请求消息,所述隧道候选请求消息包括所述访问终端的属性及预设的优先级规则;
[0008]服务控制器接收到所述隧道候选请求消息后,根据所述访问终端的属性向所述访问终端反馈按预设的优先级规则排序多个候选隧道网关;
[0009]访问终端根据所述多个候选隧道网关的排序,从接收的所述多个候选隧道网关中选择一个隧道网关,并通过该隧道网关与访问对象建立连接。
[0010]优选地,所述访问终端向服务控制器发送隧道候选请求消息的步骤之前,该方法还包括:
[0011]资源控制器根据多种优先级规则,建立多个按序排列的候选隧道网关列表。
[0012]优选地,所述服务控制器接收到所述隧道候选请求消息后,根据所述访问终端的属性向所述访问终端反馈按预设的优先级规则排序多个候选隧道网关,包括:
[0013]服务控制器接收到访问终端的到所述隧道候选请求消息后,对所述访问终端进行身份验证;
[0014]若所述访问终端的身份验证通过,则服务控制器向资源控制器发送所述隧道候选请求消息,以使所述资源控制器反馈按预设的优先级规则排序多个候选隧道网关;
[0015]服务控制器向访问终端发送所述多个候选隧道网关。
[0016]优选地,所述访问终端根据所述多个候选隧道网关的排序,从接收的所述多个候选隧道网关中选择一个隧道网关,并通过该隧道网关与访问对象建立连接,包括:
[0017]访问终端根据所述多个候选隧道网关的排序,从接收到的多个候选隧道网关中选择一个隧道网关,并向该隧道网关发送连接请求消息;
[0018]所述隧道网关接收到所述连接请求消息后,对所述访问终端进行身份验证,若所述访问终端身份验证通过,则在所述访问终端建立隧道起点,并在所述隧道网关建立隧道终占.z、 V ,
[0019]通过所述访问终端和所述隧道网关之间的隧道,所述访问终端与访问对象建立连接。
[0020]优选地,该方法还包括:
[0021]访问终端检测所述隧道的服务质量,若所述服务质量下降,则自动或提示用户切换至另一个候选隧道网关。
[0022]优选地,该方法还包括:
[0023]若访问终端与访问对象的连接中断,或接收到用户的切换隧道指示消息时,所述访问终端根据所述多个候选隧道网关的排序,向另一个隧道网关发送连接请求。
[0024]第二方面,本发明提供了一种基于动态隧道技术实现DDoS防御的系统,该系统包括:访问终端、服务控制器及多个隧道网关;
[0025]访问终端,与所述服务控制器及多个隧道网关分别连接,用于向服务控制器发送隧道候选请求消息;根据所述多个候选隧道网关的排序,从接收的所述多个候选隧道网关中选择一个隧道网关,并通过该隧道网关与访问对象建立连接;
[0026]服务控制器,用于当接收到所述隧道候选请求消息时,根据所述访问终端的属性向所述访问终端反馈按预设的优先级规则排序多个候选隧道网关。
[0027]优选地,该系统还包括:
[0028]资源控制器,与所述服务控制器及多个隧道网关分别连接,用于根据多种优先级规则,建立多个按序排列的候选隧道网关列表。
[0029]优选地,服务控制器,用于:
[0030]接收到访问终端的到所述隧道候选请求消息时,对所述访问终端进行身份验证;
[0031]若所述访问终端的身份验证通过,则向资源控制器发送所述隧道候选请求消息,以使所述资源控制器反馈按预设的优先级规则排序多个候选隧道网关;
[0032]向访问终端发送所述多个候选隧道网关。
[0033]优选地,所述访问终端,用于根据所述多个候选隧道网关的排序,从接收到的多个候选隧道网关中选择一个隧道网关,并向该隧道网关发送连接请求消息;
[0034]所述隧道网关,用于当接收到所述连接请求消息时,对所述访问终端进行身份验证,若所述访问终端身份验证通过,则在所述隧道网关建立隧道终点;
[0035]所述访问终端,还用于在所述访问终端建立隧道起点,并通过所述访问终端和所述隧道网关之间的隧道,与访问对象建立连接。
[0036]由上述技术方案可知,本发明提供一种基于动态隧道技术实现DDoS防御的方法及系统,通过在访问终端和访问对象间建立安全隧道,当DDoS攻击时进行隧道动态切换,使得攻击的目标变为黑洞,则业务不会发生中断,该发明在实现安全防御攻击的同时,也能够减少链路的冗余,保证核心业务的可靠性。
【附图说明】
[0037]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些图获得其他的附图。
[0038]图1是本发明一实施例提供的一种基于动态隧道技术实现DDoS防御的方法的流程不意图;
[0039]图2是本发明另一实施例提供的一种基于动态隧道技术实现DDoS防御的方法的流程示意图;
[0040]图3是本发明一实施例提供的一种基于动态隧道技术实现DDoS防御的系统的结构示意图。
【具体实施方式】
[0041]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0042]如图1所示,为本发明一实施例提供的一种基于动态隧道技术实现DDoS防御的方法的流程示意图,该方法包括如下步骤:
[0043]S1:访问终端向服务控制器发送隧道候选请求消息,所述隧道候选请求消息包括所述访问终端的属性及预设的优先级规则。
[0044]具体来说,访问终端的属性包括:终端类型(如终端的操作系统类型,终端是固定的还是移动的等)、身份(如终端所属公司等)、服务(如终端所购买的服务等级、类型等)等。当然,还可包括终端的其他属性,本实施方式对此不加以限制。
[0045]S2:服务控制器接收到所述隧道候选请求消息后,根据所述访问终端的属性向所述访问终端反馈按预设的优先级规则排序多个候选隧