本申請涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種ddos攻擊防御方法及裝置。

背景技術(shù)：

分布式拒絕服務(wù)(ddos，distributeddenialofservice)攻擊指借助于客戶/服務(wù)器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動ddos攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。ddos攻擊的原理是找到被攻擊者的資源瓶頸，通過消耗資源的方式達到被攻擊者業(yè)務(wù)不可用的目的。目前互聯(lián)網(wǎng)業(yè)務(wù)中，服務(wù)器cpu，內(nèi)存，帶寬，數(shù)據(jù)庫等都可能成為資源瓶頸。

目前的ddos防御方案以ddos流量清洗為主，主要是通過ddos檢測設(shè)備檢測ddos攻擊，當(dāng)發(fā)現(xiàn)ddos攻擊時通知旁路的流量清洗設(shè)備牽引被攻擊目的ip的流量，清洗攻擊流量。并且，采用這種防御方案，還需要以單個ip地址高帶寬為保障。因此，存在以下兩方面的問題，一是業(yè)務(wù)用戶需要購買高帶寬的ip，而帶寬費用昂貴，成本過高。二是目前ddos的以清洗作為ddos防護的基本手段，缺少用戶的互動及調(diào)度，在ddos的防護中處于被動防護的局面。

技術(shù)實現(xiàn)要素：

本申請的一個目的是提供一種ddos攻擊防御方法及裝置，實現(xiàn)ip地址的動態(tài)切換。

根據(jù)本申請的一方面，提供了一種ddos攻擊防御方法，該方法包括以下步驟：

調(diào)度系統(tǒng)將業(yè)務(wù)目標(biāo)的多個ip地址映射到多個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路； 將所述多個ip地址與所述多個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的映射關(guān)系保存在dns服務(wù)器中，以便所述dns服務(wù)器在接收到客戶端對所述業(yè)務(wù)目標(biāo)的dns解析請求時，根據(jù)所述映射關(guān)系向所述客戶端返回所述業(yè)務(wù)目標(biāo)映射到所述客戶端所在網(wǎng)絡(luò)所屬的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的ip地址；如果監(jiān)測到對所述dns服務(wù)器向所述客戶端返回的ip地址的ddos攻擊，則為所述ip地址配置黑洞路由，從而將所述ip地址的訪問流量轉(zhuǎn)發(fā)到黑洞路由；刪除所述dns服務(wù)器中保存的所述ip地址與所映射到的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的映射關(guān)系，以便所述dns服務(wù)器向所述客戶端返回所述業(yè)務(wù)目標(biāo)映射到所述網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的其他可用的ip地址。

根據(jù)本申請的另一方面，還提供了一種ddos攻擊防御方法，其特征在于，dns服務(wù)器中保存有業(yè)務(wù)目標(biāo)的多個ip地址與多個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的映射關(guān)系，所述方法包括以下步驟：

所述dns服務(wù)器在接收到客戶端對所述業(yè)務(wù)目標(biāo)的dns解析請求時，根據(jù)所述客戶端的源ip地址獲取所述客戶端所屬的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路；根據(jù)所述映射關(guān)系查詢所述業(yè)務(wù)目標(biāo)的多個ip地址中映射到所述客戶端所屬的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的ip地址；向所述客戶端返回查詢到的ip地址，以便所述客戶端通過所述ip地址訪問所述業(yè)務(wù)目標(biāo)。

根據(jù)本申請的一方面，還提供了一種ddos攻擊防御裝置，其中，該裝置包括：

映射單元，用于將業(yè)務(wù)目標(biāo)的多個ip地址映射到多個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路；保存單元，用于所述多個ip地址與所述多個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的映射關(guān)系保存在dns服務(wù)器中，以便所述dns服務(wù)器在接收到客戶端對所述業(yè)務(wù)目標(biāo)的dns解析請求時，根據(jù)所述映射關(guān)系向所述客戶端返回所述業(yè)務(wù)目標(biāo)映射到所述客戶端所在網(wǎng)絡(luò)所屬的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的ip地址；配置單元，用于如果監(jiān)測到對所述dns服務(wù)器向所述客戶端返回的ip地址的ddos攻擊，則刪除所述dns服務(wù)器中保存的所述ip地址與所映射到的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的映射關(guān)系，以便所述dns服務(wù)器向所述客戶端返回所述業(yè)務(wù)目標(biāo)映射到所述網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的其他可用的ip地址。

根據(jù)本申請的另一方面，還提供了一種ddos攻擊防御裝置，其中， dns服務(wù)器中保存有業(yè)務(wù)目標(biāo)的多個ip地址與多個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的映射關(guān)系，該裝置包括：

獲取單元，用于在接收到客戶端對所述業(yè)務(wù)目標(biāo)的dns解析請求時，根據(jù)所述客戶端的源ip地址獲取所述客戶端所屬的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路；查詢單元，用于根據(jù)所述映射關(guān)系查詢所述業(yè)務(wù)目標(biāo)的多個ip地址中映射到所述客戶端所屬的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的ip地址；返回單元，用于向所述客戶端返回查詢到的ip地址，以便所述客戶端通過所述ip地址訪問所述業(yè)務(wù)目標(biāo)。

與現(xiàn)有技術(shù)相比，本申請的實施例具有以下優(yōu)點：

將業(yè)務(wù)目標(biāo)的多個ip地址映射到不同的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路，黑客針對業(yè)務(wù)目標(biāo)發(fā)起ddos攻擊時，需要在各個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路部署探測節(jié)點，提高了黑客的發(fā)動ddos攻擊的難度。通過在dns服務(wù)器中刪除被攻擊ip地址的映射關(guān)系，使dns服務(wù)器向請求訪問所述業(yè)務(wù)目標(biāo)的客戶端返回未被ddos攻擊的其他可用ip地址，從而，將訪問流量轉(zhuǎn)移到其他ip地址，實現(xiàn)ip地址的切換。

附圖說明

通過閱讀參照以下附圖所作的對非限制性實施例所作的詳細(xì)描述，本申請的其它特征、目的和優(yōu)點將會變得更明顯：

圖1為本申請一個實施例提供的ddos攻擊防御方法的流程圖；

圖2為本申請另一個實施例提供的ddos攻擊防御方法的流程圖；

圖3為本申請又一個實施例提供的ddos攻擊防御方法的流程圖；

圖4為本申請再一個實施例提供的ddos攻擊防御方法的流程圖；

圖5為本申請一個實施例提供的應(yīng)用于dns服務(wù)器的ddos攻擊防御方法的流程圖；

圖6為本申請一個實施例提供的ddos攻擊防御裝置示意圖；

圖7為本申請另一個實施例提供的ddos攻擊防御裝置示意圖；

圖8為本申請又一個實施例提供的ddos攻擊防御裝置示意圖；

圖9為本申請再一個實施例提供的ddos攻擊防御裝置示意圖；

圖10為本申請一個實施例提供的應(yīng)用于dns服務(wù)器的ddos攻擊防御裝置示意圖；

圖11為根據(jù)本申請實施例的網(wǎng)絡(luò)拓補結(jié)構(gòu)示意圖。

附圖中相同或相似的附圖標(biāo)記代表相同或相似的部件。

具體實施方式

在更加詳細(xì)地討論示例性實施例之前應(yīng)當(dāng)提到的是，一些示例性實施例被描述成作為流程圖描繪的處理或方法。雖然流程圖將各項操作描述成順序的處理，但是其中的許多操作可以被并行地、并發(fā)地或者同時實施。此外，各項操作的順序可以被重新安排。當(dāng)其操作完成時所述處理可以被終止，但是還可以具有未包括在附圖中的附加步驟。所述處理可以對應(yīng)于方法、函數(shù)、規(guī)程、子例程、子程序等等。

在上下文中所稱“計算機設(shè)備”，也稱為“電腦”，是指可以通過運行預(yù)定程序或指令來執(zhí)行數(shù)值計算和/或邏輯計算等預(yù)定處理過程的智能電子設(shè)備，其可以包括處理器與存儲器，由處理器執(zhí)行在存儲器中預(yù)存的存續(xù)指令來執(zhí)行預(yù)定處理過程，或是由asic、fpga、dsp等硬件執(zhí)行預(yù)定處理過程，或是由上述二者組合來實現(xiàn)。計算機設(shè)備包括但不限于服務(wù)器、個人電腦、筆記本電腦、平板電腦、智能手機等。

所述計算機設(shè)備包括用戶設(shè)備與網(wǎng)絡(luò)設(shè)備。其中，所述用戶設(shè)備包括但不限于電腦、智能手機、pda等；所述網(wǎng)絡(luò)設(shè)備包括但不限于單個網(wǎng)絡(luò)服務(wù)器、多個網(wǎng)絡(luò)服務(wù)器組成的服務(wù)器組或基于云計算(cloudcomputing)的由大量計算機或網(wǎng)絡(luò)服務(wù)器構(gòu)成的云，其中，云計算是分布式計算的一種，由一群松散耦合的計算機集組成的一個超級虛擬計算機。其中，所述計算機設(shè)備可單獨運行來實現(xiàn)本申請，也可接入網(wǎng)絡(luò)并通過與網(wǎng)絡(luò)中的其他計算機設(shè)備的交互操作來實現(xiàn)本申請。其中，所述計算機設(shè)備所處的網(wǎng)絡(luò)包括但不限于互聯(lián)網(wǎng)、廣域網(wǎng)、城域網(wǎng)、局域網(wǎng)、vpn網(wǎng)絡(luò)等。

需要說明的是，所述用戶設(shè)備、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)等僅為舉例，其他現(xiàn)有的或今后可能出現(xiàn)的計算機設(shè)備或網(wǎng)絡(luò)如可適用于本申請，也應(yīng)包含在本申請保護范圍以內(nèi)，并以引用方式包含于此。

后面所討論的方法(其中一些通過流程圖示出)可以通過硬件、軟件、固件、中間件、微代碼、硬件描述語言或者其任意組合來實施。當(dāng)用軟件、 固件、中間件或微代碼來實施時，用以實施必要任務(wù)的程序代碼或代碼段可以被存儲在機器或計算機可讀介質(zhì)(比如存儲介質(zhì))中。(一個或多個)處理器可以實施必要的任務(wù)。

這里所公開的具體結(jié)構(gòu)和功能細(xì)節(jié)僅僅是代表性的，并且是用于描述本申請的示例性實施例的目的。但是本申請可以通過許多替換形式來具體實現(xiàn)，并且不應(yīng)當(dāng)被解釋成僅僅受限于這里所闡述的實施例。

應(yīng)當(dāng)理解的是，雖然在這里可能使用了術(shù)語“第一”、“第二”等等來描述各個單元，但是這些單元不應(yīng)當(dāng)受這些術(shù)語限制。使用這些術(shù)語僅僅是為了將一個單元與另一個單元進行區(qū)分。舉例來說，在不背離示例性實施例的范圍的情況下，第一單元可以被稱為第二單元，并且類似地第二單元可以被稱為第一單元。這里所使用的術(shù)語“和/或”包括其中一個或更多所列出的相關(guān)聯(lián)項目的任意和所有組合。

這里所使用的術(shù)語僅僅是為了描述具體實施例而不意圖限制示例性實施例。除非上下文明確地另有所指，否則這里所使用的單數(shù)形式“一個”、“一項”還意圖包括復(fù)數(shù)。還應(yīng)當(dāng)理解的是，這里所使用的術(shù)語“包括”和/或“包含”規(guī)定所陳述的特征、整數(shù)、步驟、操作、單元和/或組件的存在，而不排除存在或添加一個或更多其他特征、整數(shù)、步驟、操作、單元、組件和/或其組合。

還應(yīng)當(dāng)提到的是，在一些替換實現(xiàn)方式中，所提到的功能/動作可以按照不同于附圖中標(biāo)示的順序發(fā)生。舉例來說，取決于所涉及的功能/動作，相繼示出的兩幅圖實際上可以基本上同時執(zhí)行或者有時可以按照相反的順序來執(zhí)行。

下面結(jié)合附圖對本申請作進一步詳細(xì)描述。

本申請的方法可應(yīng)用于針對ddos攻擊進行防御的調(diào)度系統(tǒng)。圖11為根據(jù)本申請實施例的網(wǎng)絡(luò)拓補結(jié)構(gòu)。參考圖11，調(diào)度系統(tǒng)10為業(yè)務(wù)目標(biāo)分配多個ip地址，使請求訪問所述業(yè)務(wù)目標(biāo)的客戶端30通過所述多個ip地址訪問所述業(yè)務(wù)目標(biāo)。其中，所述多個ip地址為所述業(yè)務(wù)目標(biāo)的轉(zhuǎn)發(fā)ip地址，所述業(yè)務(wù)目標(biāo)的源ip地址(業(yè)務(wù)服務(wù)器40的ip地址)隱藏，通過該多個轉(zhuǎn)發(fā)ip地址接受外部的訪問，從而將所述業(yè)務(wù)目標(biāo)的訪問流量分散到為其分配 的多個轉(zhuǎn)發(fā)ip地址上。其中，客戶端30通過訪問dns服務(wù)器20獲取所述業(yè)務(wù)目標(biāo)的ip地址，從而對所述業(yè)務(wù)目標(biāo)進行訪問。圖11只示出了一個業(yè)務(wù)服務(wù)器40，應(yīng)理解本申請實施例的網(wǎng)絡(luò)拓補結(jié)構(gòu)可包含多個業(yè)務(wù)服務(wù)器。圖11所示的業(yè)務(wù)服務(wù)器40被分配有3個轉(zhuǎn)發(fā)ip地址，ip1、ip2、ip3。

圖1為本申請一個實施例的ddos攻擊防御方法流程圖。

根據(jù)本申請的方法1至少包括步驟110、步驟s120和步驟130。

參考圖1，在步驟s110中，調(diào)度系統(tǒng)10將業(yè)務(wù)目標(biāo)的多個ip地址映射到多個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路。

將業(yè)務(wù)目標(biāo)的多個ip地址映射到多個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的實施方式包括以下幾種：

在一種具體實施方式中，將所述業(yè)務(wù)目標(biāo)的多個ip地址映射到多個網(wǎng)絡(luò)區(qū)域，其中，所述多個網(wǎng)絡(luò)區(qū)域可以為根據(jù)地理區(qū)域劃分的網(wǎng)絡(luò)區(qū)域，具體可以包括省份(或省級行政區(qū)域)，如遼寧、山東、山西、北京、天津等，或者省份下屬的城市，如遼寧沈陽、山東濟南、山西太原等。

在另一種實施方式中，將所述業(yè)務(wù)目標(biāo)的多個ip地址映射到多個網(wǎng)絡(luò)線路，其中，所述多個網(wǎng)絡(luò)線路為根據(jù)網(wǎng)絡(luò)提供方劃分的網(wǎng)絡(luò)線路，如，中國移動、中國聯(lián)通、中國電信、教育網(wǎng)等。優(yōu)選地，所述多個網(wǎng)絡(luò)線路為多個網(wǎng)絡(luò)區(qū)域下的多個網(wǎng)絡(luò)線路。也就是說，將所述業(yè)務(wù)目標(biāo)的所述多個ip地址映射到多個網(wǎng)絡(luò)區(qū)域下的網(wǎng)絡(luò)線路。例如，北京聯(lián)通、河北移動、吉林電信等。更優(yōu)選地，將業(yè)務(wù)目標(biāo)的多個ip地址映射到多個按照省份-城市-線路三個層級劃分的網(wǎng)絡(luò)線路，dns服務(wù)器在進行dns解析時，向不同網(wǎng)絡(luò)線路的客戶端返回該業(yè)務(wù)目標(biāo)映射到客戶端所屬網(wǎng)絡(luò)線路的ip地址。由于將業(yè)務(wù)目標(biāo)的ip地址映射到全國各地的不同網(wǎng)絡(luò)線路，黑客采取攻擊時，想要獲取到業(yè)務(wù)目標(biāo)的所有ip就需要在全國各地部署探測節(jié)點，大大提高了攻擊成本和攻擊難度。

在上述將業(yè)務(wù)目標(biāo)的多個ip地址映射到多個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的實施方式中，可以根據(jù)所述業(yè)務(wù)目標(biāo)的業(yè)務(wù)分布的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路將該業(yè)務(wù)目標(biāo)的多個ip地址映射到多個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路。其中，該業(yè)務(wù)目標(biāo)映射到一個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的ip地址可以為多個。具體而言， 獲取該業(yè)務(wù)目標(biāo)的業(yè)務(wù)分布統(tǒng)計數(shù)據(jù)，即該業(yè)務(wù)目標(biāo)的業(yè)務(wù)在各個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的分布情況。例如，獲取該業(yè)務(wù)目標(biāo)的業(yè)務(wù)在各個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的訪問量(訪問流量或訪問數(shù))，根據(jù)該業(yè)務(wù)目標(biāo)在各個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的訪問量的大小，將該業(yè)務(wù)目標(biāo)的ip地址按比例映射到多個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路。也就是說，映射到訪問量較大的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的ip地址的數(shù)目較多，映射到訪問量較小的區(qū)域或線路的ip地址的數(shù)目較少。

參考圖1，在步驟s120中，調(diào)度系統(tǒng)10將所述多個ip地址與所述多個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的映射關(guān)系保存在dns服務(wù)器20中，以便所述dns服務(wù)器20在接收到客戶端30對所述業(yè)務(wù)目標(biāo)的dns解析請求時，根據(jù)所述映射關(guān)系向所述客戶端返回所述業(yè)務(wù)目標(biāo)映射到所述客戶端所在網(wǎng)絡(luò)所屬的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的ip地址。

調(diào)度系統(tǒng)10可以通過dns服務(wù)器20提供的api接口將所述業(yè)務(wù)目標(biāo)的多個ip地址與對應(yīng)的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的映射關(guān)系保存在dns服務(wù)器20的別名記錄列表(cname)中。

在cname記錄列表中，業(yè)務(wù)目標(biāo)的多個ip地址與對應(yīng)的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的對應(yīng)關(guān)系可以以如下格式保存：

xxx.taobao.com1.1.1.1北京電信；

xxx.taobao.com1.1.1.2北京聯(lián)通；

xxx.taobao.com1.1.1.3北京電信；

xxx.taobao.com1.1.1.5天津電信；

xxx.taobao.com1.1.1.6天津聯(lián)通；

xxx.taobao.com1.1.1.7天津電信；

……

。

客戶端訪問所述業(yè)務(wù)目標(biāo)時，通過dns協(xié)議向dns服務(wù)器發(fā)送dns解析(域名解析)請求，以獲取該業(yè)務(wù)目標(biāo)的ip地址。所述dns服務(wù)器在接收到客戶端30對所述業(yè)務(wù)目標(biāo)的dns解析請求時，根據(jù)所述映射關(guān)系向所述客戶端返回所述業(yè)務(wù)目標(biāo)映射到所述客戶端30所在網(wǎng)絡(luò)所屬的 網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的ip地址。

具體而言，所述dns服務(wù)器20根據(jù)所述客戶端30的源ip地址獲取所述客戶端所在網(wǎng)絡(luò)所屬的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路。根據(jù)所述映射關(guān)系查詢所述業(yè)務(wù)目標(biāo)的多個ip地址中映射到所述客戶端30所在網(wǎng)絡(luò)所屬的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的ip地址，并向所述客戶端30返回查詢到的ip地址，以便所述客戶端30通過所述ip地址訪問所述業(yè)務(wù)目標(biāo)。

例如，dns服務(wù)器20根據(jù)客戶端30的源ip地址123.114.68.xx獲取該ip地址所屬的網(wǎng)絡(luò)線路為“北京聯(lián)通”，根據(jù)保存的該業(yè)務(wù)目標(biāo)的多個ip地址與多個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的映射關(guān)系，查詢該業(yè)務(wù)目標(biāo)映射到“北京聯(lián)通”網(wǎng)絡(luò)線路的ip地址，并向所述客戶端30返回查詢到的ip地址。

參考圖1，在步驟130中，如果監(jiān)測到對所述dns服務(wù)器20向所述客戶端30返回的ip地址的ddos攻擊，則調(diào)度系統(tǒng)10刪除所述dns服務(wù)器20中保存的所述ip地址與所映射到的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的映射關(guān)系，以便所述dns服務(wù)器20向所述客戶端30返回所述業(yè)務(wù)目標(biāo)映射到所述網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的其他可用的ip地址。

如果查詢到的該業(yè)務(wù)目標(biāo)映射到所述客戶端30所在網(wǎng)絡(luò)所屬的所述網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的ip地址為多個，則dns服務(wù)器向該客戶端返回其中訪問優(yōu)先級最高的ip地址。當(dāng)該訪問優(yōu)先級最高的ip地址遭到攻擊時，刪除該訪問優(yōu)先級最高的ip地址與所映射到的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的映射關(guān)系，此時，dns服務(wù)器20向該客戶端返回該業(yè)務(wù)目標(biāo)映射到該客戶端所在網(wǎng)絡(luò)所屬的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的其他可用(沒有被ddos攻擊或沒有被黑洞路由)ip地址中訪問優(yōu)先級最高的ip地址。

圖2為本申請另一個實施例提供的ddos攻擊防御方法的流程圖。參考圖2，基于上述實施例，該方法還包括步驟s140和步驟s150。

參考圖2，在步驟s140中，調(diào)度系統(tǒng)10從所述業(yè)務(wù)目標(biāo)的備用ip地址列表中獲取一個備用ip地址，映射到被刪除所述映射關(guān)系的ip地址原來映射到的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路。

其中，所述業(yè)務(wù)目標(biāo)的備用ip地址為所述業(yè)務(wù)目標(biāo)的ip地址中未映射到任何網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的ip地址。將所述業(yè)務(wù)目標(biāo)的所有ip地址中的 部分ip地址映射到不同的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路，作為該業(yè)務(wù)目標(biāo)當(dāng)前可用的ip地址，剩余的ip地址作為所述業(yè)務(wù)目標(biāo)的備用ip地址并保存為該業(yè)務(wù)目標(biāo)的備用ip地址列表。當(dāng)dns服務(wù)器向該客戶端返回的業(yè)務(wù)目標(biāo)的ip地址遭到ddos攻擊時，可以從該業(yè)務(wù)目標(biāo)的備用ip地址列表中獲取一個備用ip地址映射到該被刪除的ip地址所映射到的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路中，從而，補充該業(yè)務(wù)目標(biāo)映射到該網(wǎng)絡(luò)所屬的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的ip地址的數(shù)量。

參考圖2，在步驟s150中，調(diào)度系統(tǒng)10將所述備用ip地址與所述網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的映射關(guān)系保存到dns服務(wù)器中。

其中，該備用ip地址可以作為該業(yè)務(wù)目標(biāo)的可用ip地址，當(dāng)該備用ip地址所映射到的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的客戶端請求訪問該業(yè)務(wù)目標(biāo)時，可以向該客戶端返回該ip地址。

圖3為本申請又一個實施例提供的ddos攻擊防御方法的流程圖。基于上述(圖2)實施例，該方法還包括步驟s160和步驟s170。

參考圖3，在步驟s160中，如果監(jiān)測到對所述dns服務(wù)器向所述客戶端返回的ip地址的ddos攻擊，則調(diào)度系統(tǒng)10為所述ip地址配置黑洞路由，從而將所述ip地址的訪問流量轉(zhuǎn)發(fā)到黑洞路由。

由于ddos攻擊的主要攻擊方式是流量攻擊，因此可以根據(jù)該ip地址的訪問流量判斷該ip地址是否被攻擊。具體地，根據(jù)該ip地址的實時訪問流量是否超過該ip地址對應(yīng)的黑洞閾值，判斷其是否遭到ddos攻擊。其中，該ip地址對應(yīng)的黑洞閾值可以為所述業(yè)務(wù)目標(biāo)對應(yīng)的黑洞閾值。如果該ip地址的訪問流量超過對應(yīng)的黑洞閾值，視為該ip地址遭到ddos流量攻擊，則通過為該ip地址配置黑洞路由的方式將該ip地址的訪問流量轉(zhuǎn)到黑洞路由，從而將該ip地址的訪問流量丟棄掉。

參考圖3，在步驟s170中，如果所述ip地址的黑洞路由被解除，調(diào)度系統(tǒng)10將所述ip地址添加到所述業(yè)務(wù)目標(biāo)的備用ip地址列表中。

也就是說，當(dāng)dns服務(wù)器20向所述客戶端30返回的ip地址的黑洞路由解除時，可以將其作為該業(yè)務(wù)目標(biāo)的備用ip地址添加到該業(yè)務(wù)目標(biāo)的備用ip地址列表中。

圖4為本申請又一個實施例提供的ddos攻擊防御方法的流程圖。業(yè) 務(wù)目標(biāo)的映射到一個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的ip地址可以為多個，dns服務(wù)器20根據(jù)該多個ip地址的訪問優(yōu)先級，向客戶端30返回其中訪問優(yōu)先級最高的ip地址。因此，可以動態(tài)調(diào)整所述業(yè)務(wù)目標(biāo)映射到各個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的各個ip地址的訪問優(yōu)先級，將流量較高的ip地址的訪問優(yōu)先級調(diào)低，從而，減小業(yè)務(wù)目標(biāo)被ddos攻擊的可能，并且實現(xiàn)了ip地址的動態(tài)切換。因此，在本實施例中該方法還包括步驟s180和步驟s190。

參考圖4，在步驟s180中，調(diào)度系統(tǒng)10判斷所述dns服務(wù)器向所述客戶端返回的ip地址在預(yù)定時間內(nèi)的訪問流量是否超過所述業(yè)務(wù)目標(biāo)對應(yīng)的流量閾值。

具體而言，可以每隔預(yù)定時間獲取一次該ip地址在該預(yù)定時間內(nèi)的訪問流量的平均值，例如，每隔5min(分鐘)獲取該ip地址在這5分鐘內(nèi)的訪問流量平均值。例如，所述業(yè)務(wù)目標(biāo)對應(yīng)的流量閾值為5gbps，該ip地址在5分鐘內(nèi)的流量平均值為4.2gbps，因此未超過該ip地址對應(yīng)的流量閾值。

其中，所述業(yè)務(wù)目標(biāo)對應(yīng)的流量閾值可以通過如下方式設(shè)置：

獲取所述業(yè)務(wù)目標(biāo)的各個ip地址的平均流量信息；根據(jù)所述平均流量信息以及預(yù)定流量增長閾值，確定所述業(yè)務(wù)目標(biāo)對應(yīng)的流量閾值。

具體而言，調(diào)度系統(tǒng)10可以通過流量監(jiān)控節(jié)點對所述業(yè)務(wù)目標(biāo)的各個ip地址的訪問流量做鏡像處理，以獲取所述各個ip地址的訪問流量；計算所述各個ip地址的訪問流量的平均值，作為所述業(yè)務(wù)目標(biāo)的各個ip地址的平均流量，也就是該業(yè)務(wù)目標(biāo)的平均流量。

所述預(yù)定流量增長閾值包括：預(yù)定百分比、預(yù)定閾值。

如果所述預(yù)定流量增長閾值為預(yù)定百分比，則所述業(yè)務(wù)目標(biāo)對應(yīng)的流量閾值等于所述業(yè)務(wù)目標(biāo)的各個ip地址的平均流量加上所述平均流量與所述預(yù)定百分比之積。例如，該業(yè)務(wù)目標(biāo)各個ip地址的平均流量為4gbps，該預(yù)定百分比為25％，則該業(yè)務(wù)目標(biāo)對應(yīng)的流量閾值為4gbps+4gbps*25％＝5gbps。

如果所述預(yù)定流量增長閾值為預(yù)定閾值，則所述業(yè)務(wù)目標(biāo)對應(yīng)的流量閾值等于所述業(yè)務(wù)目標(biāo)的各個ip地址的平均流量與所述預(yù)定閾值之和。例如，該業(yè)務(wù)目標(biāo)的各個ip地址的平均流量為4gbps，該預(yù)定閾值為1gbps，則該業(yè)務(wù)目標(biāo)對應(yīng)的流量閾值為4gbps+1gbps＝5gbps。

參考圖4，在步驟s190中，如果所述ip地址在預(yù)定時間內(nèi)的訪問流量超過所述業(yè)務(wù)目標(biāo)對應(yīng)的流量閾值，則調(diào)度系統(tǒng)10調(diào)整所述ip地址在所映射到的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的各個ip地址中的訪問優(yōu)先級。

如果該ip地址在預(yù)定時間內(nèi)的訪問流量超過該業(yè)務(wù)目標(biāo)對應(yīng)的流量閾值，則表明該ip地址流量存在異常，有被流量攻擊的危險，因此可以將所述ip地址在所映射到的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的ip地址中的訪問優(yōu)先級調(diào)低，從而，可以引導(dǎo)客戶端訪問該業(yè)務(wù)目標(biāo)的ip地址中流量較小的ip，從而減小ddos攻擊的影響。

本申請的另一方面還提供一種ddos攻擊防御方法2。該方法2可應(yīng)用于dns服務(wù)器中。dns服務(wù)器中保存有業(yè)務(wù)目標(biāo)的多個ip地址與多個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的映射關(guān)系。其中，所述業(yè)務(wù)目標(biāo)的多個ip地址為所述業(yè)務(wù)目標(biāo)的轉(zhuǎn)發(fā)ip地址，所述業(yè)務(wù)目標(biāo)的源ip地址(業(yè)務(wù)服務(wù)器的ip地址)隱藏，通過該多個轉(zhuǎn)發(fā)ip地址接受外部的訪問，從而將所述業(yè)務(wù)目標(biāo)的訪問流量分散到為其分配的多個轉(zhuǎn)發(fā)ip地址上。

圖5為本申請一個實施例的ddos攻擊防御方法流程圖。該方法2至少包括步驟s210、步驟s220和步驟s230。

參考圖5，在步驟s210中，dns服務(wù)器20在接收到客戶端30對所述業(yè)務(wù)目標(biāo)的dns解析請求時，根據(jù)所述客戶端的源ip地址獲取所述客戶端所屬的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路。

根據(jù)請求訪問所述業(yè)務(wù)目標(biāo)的客戶端的源ip地址可以獲取該客戶端所在網(wǎng)絡(luò)所屬的網(wǎng)絡(luò)區(qū)域和網(wǎng)絡(luò)線路。例如，獲取到客戶端的源ip地址為123.114.68.xx，根據(jù)該ip地址可以查詢到客戶端當(dāng)前所在網(wǎng)絡(luò)所在的區(qū)域為北京，網(wǎng)絡(luò)線路為聯(lián)通。

參考圖5，在步驟s220中，dns服務(wù)器20根據(jù)所述映射關(guān)系查詢所述業(yè)務(wù)目標(biāo)的多個ip地址中映射到所述客戶端所屬的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的ip地址。

dns服務(wù)器20根據(jù)獲取到的該客戶端所在網(wǎng)絡(luò)所屬的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路，在保存的映射關(guān)系中查詢該業(yè)務(wù)目標(biāo)映射到該網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的ip地址。例如，客戶端30的源ip地址為123.114.68.xx，該ip地址所屬的網(wǎng) 絡(luò)線路為“北京聯(lián)通”，因此根據(jù)保存的該業(yè)務(wù)目標(biāo)的多個ip地址與多個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的映射關(guān)系中查詢該業(yè)務(wù)目標(biāo)映射到“北京聯(lián)通”網(wǎng)絡(luò)線路的ip地址。

參考圖5，在步驟s230中，dns服務(wù)器20向所述客戶端返回查詢到的ip地址，以便所述客戶端通過所述ip地址訪問所述業(yè)務(wù)目標(biāo)。

具體地，dns服務(wù)器向所述客戶端返回查詢到的ip地址中訪問優(yōu)先級最高的ip地址，也就是該業(yè)務(wù)目標(biāo)的多個ip地址中映射到所述客戶端所屬網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的ip地址中訪問優(yōu)先級最高的ip地址。其中，業(yè)務(wù)目標(biāo)映射到各個網(wǎng)絡(luò)區(qū)域或線路的ip地址的訪問優(yōu)先級是根據(jù)該ip地址的網(wǎng)絡(luò)帶寬、訪問量、延遲時間、被攻擊次數(shù)等條件進行設(shè)置的。

本申請實施例將業(yè)務(wù)目標(biāo)的多個ip地址映射到不同的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路，黑客針對業(yè)務(wù)目標(biāo)發(fā)起ddos攻擊時，需要在各個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路部署探測節(jié)點，提高了黑客的發(fā)動ddos攻擊的難度。通過在dns服務(wù)器中刪除被攻擊ip地址的映射關(guān)系，使dns服務(wù)器向請求訪問所述業(yè)務(wù)目標(biāo)的客戶端返回未被ddos攻擊的其他可用ip地址，從而，將訪問流量轉(zhuǎn)移到其他ip地址，實現(xiàn)ip地址的切換。

基于與方法同樣的發(fā)明構(gòu)思，本申請還提供一種ddos攻擊防御裝置。該裝置可以應(yīng)用于ddos攻擊防御的調(diào)度系統(tǒng)中。圖6所示為該ddos攻擊防御裝置3示意圖，該裝置3包括：

映射單元310，用于將業(yè)務(wù)目標(biāo)的多個ip地址映射到多個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路；

保存單元320，用于將所述多個ip地址與所述多個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的映射關(guān)系保存在dns服務(wù)器中，以便所述dns服務(wù)器在接收到客戶端對所述業(yè)務(wù)目標(biāo)的dns解析請求時，根據(jù)所述映射關(guān)系向所述客戶端返回所述業(yè)務(wù)目標(biāo)映射到所述客戶端所在網(wǎng)絡(luò)所屬的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的ip地址；

刪除單元330，用于刪除所述dns服務(wù)器中保存的所述ip地址與所映射到的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的映射關(guān)系，以便所述dns服務(wù)器向所述客戶端返回所述業(yè)務(wù)目標(biāo)映射到所述網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的其他可用的ip地址。

可選地，所述映射單元310進一步用于：

從所述業(yè)務(wù)目標(biāo)的備用ip地址列表中獲取一個備用ip地址，映射到被刪除所述映射關(guān)系的ip地址原來映射到的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路，其中，所述備用ip地址為所述業(yè)務(wù)目標(biāo)的ip地址中未映射到任何網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的ip地址；

所述保存單元320，進一步用于：

將所述備用ip地址與所述網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的映射關(guān)系保存到dns服務(wù)器中。

圖7為本申請另一個實施例提供的裝置示意圖。參考圖7，基于上述實施例，該裝置3還包括：

配置單元340，用于如果監(jiān)測到對所述dns服務(wù)器向所述客戶端返回的ip地址的ddos攻擊，則為所述ip地址配置黑洞路由，從而將所述ip地址的訪問流量轉(zhuǎn)發(fā)到黑洞路由；

添加單元350，用于如果所述ip地址的黑洞路由被解除，則將所述ip地址添加到所述業(yè)務(wù)目標(biāo)的備用ip地址列表中。

圖8為本申請又一個實施例提供的裝置示意圖。所述dns服務(wù)器向所述客戶端返回的ip地址為所述業(yè)務(wù)目標(biāo)映射到所述客戶端所屬的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的ip地址中訪問優(yōu)先級最高的ip地址。

參考圖8，該裝置3還包括：

判斷單元360，用于判斷所述dns服務(wù)器向所述客戶端返回的ip地址在預(yù)定時間內(nèi)的訪問流量是否超過所述業(yè)務(wù)目標(biāo)對應(yīng)的流量閾值；

調(diào)整單元370，用于如果所述ip地址在預(yù)定時間內(nèi)的訪問流量超過所述業(yè)務(wù)目標(biāo)對應(yīng)的流量閾值，則調(diào)整所述ip地址在所映射到的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的各個ip地址中的訪問優(yōu)先級。

圖9為本申請再一個實施例提供的裝置示意圖。參考圖9，基于上述實施例，該裝置3還包括：

設(shè)置單元380，用于設(shè)置所述業(yè)務(wù)目標(biāo)對應(yīng)的流量閾值；

所述設(shè)置單元380進一步用于：

獲取所述業(yè)務(wù)目標(biāo)的各個ip地址的平均流量信息；根據(jù)所述平均流量信息以及預(yù)定流量增長閾值，確定所述業(yè)務(wù)目標(biāo)對應(yīng)的流量閾值；所述預(yù)定流 量增長閾值包括：預(yù)定百分比、預(yù)定閾值。

可選地，所述設(shè)置單元380進一步用于：

對所述業(yè)務(wù)目標(biāo)的各個ip地址的訪問流量做鏡像處理，以獲取所述各個ip地址的訪問流量；

計算所述各個ip地址的訪問流量的平均值，以獲取所述業(yè)務(wù)目標(biāo)的各個ip地址的平均流量。

基于與方法同樣的發(fā)明構(gòu)思，本申請還提供一種ddos攻擊防御裝置。該裝置可以應(yīng)用于dns服務(wù)器中。其中，dns服務(wù)器中保存有業(yè)務(wù)目標(biāo)的多個ip地址與多個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的映射關(guān)系。圖10所示為該ddos攻擊防御裝置4示意圖，該裝置4包括：

將業(yè)務(wù)目標(biāo)的多個ip地址與多個網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的映射關(guān)系保存在dns服務(wù)器中，該裝置4包括：

獲取單元410，用于在接收到客戶端對所述業(yè)務(wù)目標(biāo)的dns解析請求時，根據(jù)所述客戶端的源ip地址獲取所述客戶端所屬的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路；

查詢單元420，用于根據(jù)所述映射關(guān)系查詢所述業(yè)務(wù)目標(biāo)的多個ip地址中映射到所述客戶端所屬的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的ip地址；

返回單元430，用于向所述客戶端返回查詢到的ip地址，以便所述客戶端通過所述ip地址訪問所述業(yè)務(wù)目標(biāo)。

可選地，所述返回單元430進一步用于：

向所述客戶端返回查詢到的ip地址中訪問優(yōu)先級最高的ip地址。

需要注意的是，本申請可在軟件和/或軟件與硬件的組合體中被實施，例如，本申請的各個裝置可采用專用集成電路(asic)或任何其他類似硬件設(shè)備來實現(xiàn)。在一個實施例中，本申請的軟件程序可以通過處理器執(zhí)行以實現(xiàn)上文所述步驟或功能。同樣地，本申請的軟件程序(包括相關(guān)的數(shù)據(jù)結(jié)構(gòu))可以被存儲到計算機可讀記錄介質(zhì)中，例如，ram存儲器，磁或光驅(qū)動器或軟磁盤及類似設(shè)備。另外，本申請的一些步驟或功能可采用硬件來實現(xiàn)，例如，作為與處理器配合從而執(zhí)行各個步驟或功能的電路。

對于本領(lǐng)域技術(shù)人員而言，顯然本申請不限于上述示范性實施例的細(xì)節(jié)，而且在不背離本申請的精神或基本特征的情況下，能夠以其他的具體 形式實現(xiàn)本申請。因此，無論從哪一點來看，均應(yīng)將實施例看作是示范性的，而且是非限制性的，本申請的范圍由所附權(quán)利要求而不是上述說明限定，因此旨在將落在權(quán)利要求的等同要件的含義和范圍內(nèi)的所有變化涵括在本申請內(nèi)。不應(yīng)將權(quán)利要求中的任何附圖標(biāo)記視為限制所涉及的權(quán)利要求。此外，顯然“包括”一詞不排除其他單元或步驟，單數(shù)不排除復(fù)數(shù)。系統(tǒng)權(quán)利要求中陳述的多個單元或裝置也可以由一個單元或裝置通過軟件或者硬件來實現(xiàn)。第一，第二等詞語用來表示名稱，而并不表示任何特定的順序。

雖然前面特別示出并且描述了示例性實施例，但是本領(lǐng)域技術(shù)人員將會理解的是，在不背離權(quán)利要求書的精神和范圍的情況下，在其形式和細(xì)節(jié)方面可以有所變化。