阅读说明：本技术 Ddos大流量防御架构 (DDOS large-traffic defense architecture ) 是由 刘波 于 2018-07-24 设计创作，主要内容包括：本发明涉及网络安全防护技术领域,提供；一种DDOS大流量防御架构,防护平台包括主服务器、微型服务器和隐藏服务器,若干微型服务器建立连接池,通过负载均衡将与主服务器连接的IP和端口映射到各个微型服务器上的隐藏服务器的IP和端口,对连接池进行实时异常监控,监控到异常IP时迅速切换至新的IP和端口；本发明解决了现有技术的DDOS的防御系统的通用性差、价格昂贵不适于中小企业应用以及无法定位攻击源的问题。(The invention relates to the technical field of network security protection, and provides a network security protection method; a DDOS large-flow defense architecture comprises a main server, micro servers and hidden servers, wherein a plurality of micro servers establish a connection pool, an IP and a port connected with the main server are mapped to the IP and the port of the hidden server on each micro server through load balancing, real-time abnormal monitoring is carried out on the connection pool, and the connection pool is rapidly switched to a new IP and a new port when an abnormal IP is monitored; the invention solves the problems that the defense system of the DDOS in the prior art has poor universality and high price, is not suitable for small and medium enterprises and cannot position attack sources.)

DDOS大流量防御架构

技术领域

本发明涉及网络安全防护技术领域，具体涉及一种DDOS大流量防御架构。

背景技术

DDOS攻击通过大量合法的请求占用大量网络资源，以达到瘫痪网络的目的。前市面上相对成熟的DDOS防御就是阿里云的DDoS高防IP和云盾DDoS高防IP，其通过针对互联网服务器(包括非阿里云主机)在遭受大流量的,DDoS攻击后导致服务不可用的情况下，推出的付费增值服务，用户可以通过配置高防IP，将攻击流量引流到高防IP，确保源站的稳定可靠。

现有技术的DDOS的防御系统支持电信、联通、移动、教育网等8线独家防御，支持TCP/UDP/HTTP/HTTPS适合金融、电商、游戏、门户、媒体等各类业务场景；防御游戏空连接、慢连接、恶意踢人攻击，采用IP信誉库、ip+cookie、ip+key防御CC攻击；高防IP对于300G以下的流量攻击能够有效的防御，但是对于300G以上的攻击效果就并不明显，还是会出现大面积的掉线。高防IP只能一对一，假设有多种业务模式的情况下则需要购置多个高防IP通用性并不好。

对于大流量的攻击，高防IP的费用非常昂贵，对于100G以上的流量攻击，每天的费用在3-6万左右，一般的中小企业很难支付的起如此高额的防御费用；高防IP只能防御，并不能最终定位到攻击源。

发明内容

解决的技术问题

针对现有技术的不足，本发明提供了一种DDOS大流量防御架构，解决了现有技术的DDOS的防御系统的通用性差、价格昂贵不适于中小企业应用以及无法定位攻击源的问题。

技术方案

为实现以上目的，本发明通过以下技术方案予以实现：

一种DDOS大流量防御架构，防护平台包括主服务器、微型服务器和隐藏服务器，若干所述微型服务器建立连接池，通过负载均衡将与主服务器连接的IP和端口映射到各个微型服务器上的所述隐藏服务器的IP和端口，对所述连接池进行实时异常监控，监控到异常IP时迅速切换至新的IP和端口。

更进一步地，所述IP和端口单个接入连接的数量可进行定量控制，当达到一定数量后，切换到新的IP，这样能保证在一个IP被攻击后，只会影响到当前IP的链接，其他连接依然正常运行。

更进一步地，发现异常IP时，迅速将有异常连接切换到新的IP和端口，并对异常的连接进行记录；出现异常IP的部分重新分配一批新的IP，切换时间小于2秒，保证业务的正常运行。

更进一步地，通过对所述异常IP的层层锁定，确定异常IP的唯一连接，实现对攻击来源的锁定，防御持续性攻击。

更进一步地，所述隐藏服务器采用替身采用替身防防御模式，接入防护平台后，解析用户的网站返回的是网堤安全防护节点IP，用户的源站IP将不再暴露，彻底阻断针对源站的攻击，确保源站安全。

更进一步地，所述防护平台提供清晰详细的攻击日志和流量报表，提供透明的攻击状况展示，方便快速掌握网站的实时防护状态。

有益效果

本发明提供了一种DDOS大流量防御架构，与现有公知技术相比，本发明的具有如下有益效果：

1、本发明通过构建连接池和隐藏用户源站的设计，组织的DDOS大流量防御架构支持TCP/UDP/HTTP/HTTPS适合金融、电商、游戏、门户、媒体等各类业务场景，费用低廉，基本能够定位到攻击来源，各种业务能够通用一个防御池，避免了每种业务分别部署的麻烦。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的架构原理示意图；

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例：

本实施例的一种DDOS大流量防御架构，防护平台包括主服务器、微型服务器和隐藏服务器，若干微型服务器建立连接池，通过负载均衡将与主服务器连接的IP和端口映射到各个微型服务器上的隐藏服务器的IP和端口，对连接池进行实时异常监控，监控到异常IP时迅速切换至新的IP和端口。

IP和端口单个接入连接的数量可进行定量控制，当达到一定数量后，切换到新的IP，这样能保证在一个IP被攻击后，只会影响到当前IP的链接，其他连接依然正常运行。

发现异常IP时，迅速将有异常连接切换到新的IP和端口，并对异常的连接进行记录；出现异常IP的部分重新分配一批新的IP，切换时间小于2秒，保证业务的正常运行。

通过对异常IP的层层锁定，确定异常IP的唯一连接，实现对攻击来源的锁定，防御持续性攻击。

隐藏服务器采用替身采用替身防防御模式，接入防护平台后，解析用户的网站返回的是网堤安全防护节点IP，用户的源站IP将不再暴露，彻底阻断针对源站的攻击，确保源站安全。

防护平台提供清晰详细的攻击日志和流量报表，提供透明的攻击状况展示，方便快速掌握网站的实时防护状态。

本发明通过构建连接池和隐藏用户源站的设计，组织的DDOS大流量防御架构支持TCP/UDP/HTTP/HTTPS适合金融、电商、游戏、门户、媒体等各类业务场景，费用低廉，基本能够定位到攻击来源，各种业务能够通用一个防御池，避免了每种业务分别部署的麻烦。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。