一种DDoS攻击防护方法、防护系统及计算机存储介质与流程

所属的技术人员能够理解，本技术的各个方面可以实现为系统、方法或程序产品。因此，本技术的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。在一些可能的实施方式中，根据本技术的电子设备可以至少包括至少一个处理器、以及至少一个计算机存储介质。其中，计算机存储介质存储有程序代码，当程序代码被处理器执行时，使得处理器执行本说明书上述描述的根据本技术各种示例性实施方式的ddos攻击防护方法中的步骤。例如，处理器可以执行如图2中所示的步骤201-204。或者处理器可以执行上述任意一个实施例中网络控制器执行的操作。或者处理器可以执行上述任意一个实施例中dns节点控制器执行的操作。或者处理器可以执行上述任意一个实施例中ddos清洗管理设备执行的操作。下面参照图4来描述根据本技术的这种实施方式的电子设备1000。图4显示的电子设备1000仅仅是一个示例，不应对本技术实施例的功能和使用范围带来任何限制。如图4所示，电子设备1000以通用电子设备的形式表现。电子设备1000的组件可以包括但不限于：上述至少一个处理器1001、上述至少一个计算机存储介质1002、连接不同系统组件(包括计算机存储介质1002和处理器1001)的总线1003。总线1003表示几类总线结构中的一种或多种，包括计算机存储介质总线或者计算机存储介质控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。计算机存储介质1002可以包括易失性计算机存储介质形式的可读介质，例如随机存取计算机存储介质(ram)1021和/或高速缓存存储介质1022，还可以进一步包括只读计算机存储介质(rom)1023。计算机存储介质1002还可以包括具有一组(至少一个)程序模块1024的程序/实用工具1025，这样的程序模块1024包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。电子设备1000也可以与一个或多个外部设备1004(例如键盘、指向设备等)通信，还可与一个或者多个使得用户能与电子设备1000交互的设备通信，和/或与使得该电子设备1000能与一个或多个其它电子设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口1005进行。并且，电子设备1000还可以通过网络适配器1006与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器1006通过总线1003与用于电子设备1000的其它模块通信。应当理解，尽管图中未示出，可以结合电子设备1000使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。在一些可能的实施方式中，本技术提供的一种ddos攻击防护方法的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在计算机设备上运行时，程序代码用于使计算机设备执行本说明书上述描述的根据本技术各种示例性实施方式的ddos攻击防护方法中的步骤。程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取计算机存储介质(ram)、只读计算机存储介质(rom)、可擦式可编程只读计算机存储介质(eprom或闪存)、光纤、便携式紧凑盘只读计算机存储介质(cd-rom)、光计算机存储介质件、磁计算机存储介质件、或者上述的任意合适的组合。本技术的实施方式的ddos攻击防护的程序产品可以采用便携式紧凑盘只读计算机存储介质(cd-rom)并包括程序代码，并可以在电子设备上运行。然而，本技术的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。可以以一种或多种程序设计语言的任意组合来编写用于执行本技术操作的程序代码，程序设计语言包括面向对象的程序设计语言—诸如java、c++等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户电子设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户电子设备上部分在远程电子设备上执行、或者完全在远程电子设备或服务器上执行。在涉及远程电子设备的情形中，远程电子设备可以通过任意种类的网络包括局域网(lan)或广域网(wan)连接到用户电子设备，或者，可以连接到外部电子设备(例如利用因特网服务提供商来通过因特网连接)。应当注意，尽管在上文详细描述中提及了装置的若干模块，但是这种划分仅仅是示例性的并非强制性的。实际上，根据本技术的实施方式，上文描述的两个或更多模块的特征和功能可以在一个模块中具体化。反之，上文描述的一个模块的特征和功能可以进一步划分为由多个模块来具体化。此外，尽管在附图中以特定顺序描述了本技术方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘计算机存储介质、cd-rom、光学计算机存储介质等)上实施的计算机程序产品的形式。本技术是参照根据本技术的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读计算机存储介质中，使得存储在该计算机可读计算机存储介质中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。

背景技术：

1、目前，域名系统(domain name system，dns)节点(或称服务器)受到的ddos攻击主要包括dns request flood攻击、dns reply flood攻击、dns反射攻击。这些攻击方式可以发起虚假dns请求，影响dns节点的运行，或着影响dns节点响应正常用户的请求。

2、dns节点可以通过串接ddos清洗设备对ddos攻击流量清洗，实现对dns节点受到的ddos攻击进行。ddos清洗设备可以对访问源网际互连协议(internet protocol，ip)地址进行授信的方式保证请求源的可靠性。由于dns请求中不携带请求源ip信息，如何使ddos清洗设备获得访问源可信情况是亟需解决的问题。

技术实现思路

1、本技术示例性的实施方式中提供一种ddos攻击防护方法、防护系统及计算机存储介质，可以实现ddos清洗设备提供访问源可信情况，进一步提高了攻击防护的准确率。

2、本技术的第一方面提供一种ddos攻击防护方法，所述方法包括：

3、获取自治域as的第一路由信息，所述第一路由信息包括属于所述as的网际互连协议ip地址段，以及各ip地址段对应的接入路由；

4、确定每个所述接入路由与dns节点的第一对应关系；

5、根据第一路由信息，以及所述第一对应关系，确定每个所述dns节点对应的所述as中的ip地址段；

6、向目标dns节点对应的ddos清洗设备，发送与所述目标dns节点对应的所述as的ip地址段，所述目标dns节点为所述多个dns节点中的任意一个dns节点。

7、在一个实施例中，本技术实施例提供的ddos攻击防护方法，所述方法还包括：

8、检测所述as的路由信息是否发生更新；

9、若所述as的路由信息发生更新，根据更新后的所述as的第二路由信息，确定所述第二路由信息中的每个接入路由与dns节点的第二对应关系，其中，所述第二路由信息包括更新后的属于所述as的ip地址段以及各ip地址段对应的接入路由；

10、根据第二路由信息，以及所述第二对应关系，重新确定并发送每个所述dns节点对应的所述as的ip地址段。

11、在一个实施例中，本技术实施例提供的ddos攻击防护方法，所述检测所述as的路由信息是否发生更新，包括：

12、检测所述as是否存在网络拥塞；和/或，

13、检测所述as是否存在链路异常。

14、在一个实施例中，本技术实施例提供的ddos攻击防护方法，所述链路异常包括如下一种或多种：

15、所述as中至少一个ip地址段对应的接入路由调整为新增接入路由、所述as中至少一个ip地址段对应的接入路由调整为其它接入路由。

16、在一个实施例中，本技术实施例提供的ddos攻击防护方法，所述方法还包括：

17、所述多个dns节点中，第一dns节点对应的ddos清洗设备若确定所述第一dns节点对应的ip地址段包括发起访问的目标ip地址，则不对所述目标ip地址执行防护操作。

18、在一个实施例中，本技术实施例提供的ddos攻击防护方法，所述方法还包括：

19、所述多个dns节点中，第二dns节点对应的ddos清洗设备若确定所述第二dns节点对应的ip地址段不包括发起访问的目标ip地址，则基于预设规则，对所述目标ip地址执行防护操作。

20、本技术第二方面提供一种防护系统，所述多个域名系统dns节点的ddos攻击防护；

21、所述系统包括：网络控制器和至少一个ddos清洗设备，所述ddos清洗设备对应一个或多个dns节点；所述网络控制器用于：

22、获取自治域as的第一路由信息，所述第一路由信息包括属于所述as的网际互连协议ip地址段，以及各ip地址段对应的接入路由；

23、确定每个所述接入路由与dns节点的第一对应关系；

24、根据第一路由信息，以及所述第一对应关系，确定每个所述dns节点对应的所述as中的ip地址段；

25、发送所述dns节点对应的所述as中的ip地址段，以便各ddos清洗设备接收其对应的dns节点对应的所述as中的ip地址段。

26、在一个实施例中，本技术实施例提供的防护系统中，所述系统还包括dns节点控制器和ddos清洗管理设备；

27、所述dns节点控制器，用于将每个所述dns节点对应的所述as中的ip地址段发送至所述ddos清洗管理设备；

28、所述ddos清洗管理设备，用于根据每个所述dns节点对应的所述as中的ip地址段，确定与目标dns节点对应的所述as的ip地址段，所述目标dns节点为所述至少一个dns节点中的任意一个dns节点；以及向所述目标dns节点对应的ddos清洗设备发送与所述目标dns节点对应的所述as的ip地址段。

29、在一个实施例中，本技术实施例提供的防护系统中，所述网络控制器还用于：

30、检测所述as的路由信息是否发生更新；

31、若所述as的路由信息发生更新，根据更新后的所述as的第二路由信息，确定每个所述接入路由与dns节点的第二对应关系，其中，所述第二路由信息包括更新后的属于所述as的ip地址段以及各ip地址段对应的接入路由；

32、根据第二路由信息，以及所述第二对应关系，重新确定并发送每个所述dns节点对应的所述as的ip地址段。

33、在一个实施例中，本技术实施例提供的防护系统中，所述网络控制器检测所述as的路由信息是否发生更新时，具体用于：

34、检测所述as是否存在网络拥塞；和/或，

35、检测所述as是否存在链路异常。

36、在一个实施例中，本技术实施例提供的防护系统中，所述链路异常包括如下一种或多种：

37、所述as中至少一个ip地址段对应的接入路由调整为新增接入路由、所述as中至少一个ip地址段对应的接入路由调整为其它接入路由。

38、在一个实施例中，本技术实施例提供的防护系统中，所述多个dns节点中，第一dns节点对应的ddos清洗设备若确定所述第一dns节点对应的ip地址段包括发起访问的目标ip地址，则对所述目标ip地址执行防护操作。

39、在一个实施例中，本技术实施例提供的防护系统中，所述多个dns节点中，第二dns节点对应的ddos清洗设备若确定所述第二dns节点对应的ip地址段不包括发起访问的目标ip地址，则基于预设规则，对所述目标ip地址执行防护操作。

40、根据本技术实施例的第三方面，提供一种电子设备，包括：

41、至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有被所述至少一个处理器执行的指令；所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行如第一方面所述的方法。

42、根据本技术实施例提供的第四方面，提供一种计算机存储介质，所述计算机存储介质存储有计算机程序，所述计算机程序用于执行如第一方面所述的方法。

43、本技术实施例的有益效果如下：

44、本技术提供一种ddos攻击防护方法、防护系统及计算机存储介质，利用as的路由信息以及as对应的接入路由与dns节点的对应关系，可以确定出各dns节点与该as中ip段的对应关系，从而确定各dns与as的ip地址段的映射关系。向ddos清洗设备提供关联的dns节点对应的ip地址段，实现向ddos清洗设备提供用于判断访问源真实性的信息，进一步提高攻击防护的准确率。

45、本技术的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本技术而了解。本技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。