技术领域
[0001] 本公开内容属于信息安全领域,尤其涉及一种针对拒绝服务攻击的处理方法、装置以及一种相应的计算机可读存储介质。
背景技术
[0002] 随着网络技术的发展和网络应用的普及,网络安全显得日益重要。拒绝服务(Denial of Service,DoS)攻击在众多网络攻击技术中是一种简单有效并且具有很大危害性的攻击方法,其由于容易实施、难以防范、难以追踪等引起突出的网络安全问题。DoS攻击是指故意地攻击网络协议实现的
缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源
访问,使目标系统服务系统停止响应甚至崩溃。这些服务资源包括网络带宽、文件系统空间容量、开放的
进程或者允许的连接。
[0003] 针对DoS攻击的常见防御手段例如包括以下三种方式:1、通过对攻击者的访问
请求特征(例如,IP、UA(User Agent)头特征,诸如头信息、IP信息、Agent行为信息等)进行拦截;2、通过堆积大量的网络带宽资源来应对攻击,以保持服务的持续可用;3、通过接入第三方的流量清洗服务进行防护。目前,由于第一种方式的效率低下和第二种方式的成本高昂,第三种方式成为越来越多的网络服务提供者的选择,服务提供者可以例如通过以
云服务的方式接入第三方的流量清洗服务并按需付费。对于第三种方式,如果网络服务提供者的入口IP被泄露,则攻击者可以通过域名与IP绑定的方式绕过流量清洗的服务提供商,导致对攻击的防御失效。
发明内容
[0004] 本公开的
实施例提供了一种针对拒绝服务(DoS)攻击的处理方法、装置以及一种相应的计算机可读存储介质,以解决针对上述绕过提供流量清洗服务的服务提供商的攻击问题及其它潜在问题。
[0005] 本公开的实施例的第一方面提出了一种针对拒绝服务(DoS)攻击的处理方法,所述方法包括以下步骤:
[0006] A.将多个目标域名分别配置为与多个第一
别名地址相关联,以使得对所述多个目标域名中的一个目标域名的访问被指向所述多个第一别名地址中相关联的一个第一别名地址;
[0007] B.利用第二别名地址来归集所述多个第一别名地址;
[0008] C.将所述第二别名地址配置为指向多个第三别名地址中的一个第三别名地址,其中,所述多个第三别名地址分别被映射到用于所述多个目标域名的多个入口IP地址;
[0009] D.通过切换所述第二别名地址来处理对所述一个第三别名地址所映射的一个入口IP地址的DoS攻击。
[0010] 本公开的实施例的第二方面提出了一种针对DoS攻击的处理装置,所述装置包括:
[0011] 处理器;以及
[0012]
存储器,其用于存储指令,当所述指令被执行时使得所述处理器执行以下步骤:
[0013] A.将多个目标域名分别配置为与多个第一别名地址相关联,以使得对所述多个目标域名中的一个目标域名的访问被指向所述多个第一别名地址中相关联的一个第一别名地址;
[0014] B.利用第二别名地址来归集所述多个第一别名地址;
[0015] C.将所述第二别名地址配置为指向多个第三别名地址中的一个第三别名地址,其中,所述多个第三别名地址分别被映射到用于所述多个目标域名的多个入口IP地址;
[0016] D.通过切换所述第二别名地址来处理对所述一个第三别名地址所映射的一个入口IP地址的DoS攻击。
[0017] 本公开的实施例的第三方面提出了一种计算机可读存储介质,包括计算机可执行指令,所述计算机可执行指令在装置中运行时使得所述装置执行根据本发公开的实施例的第一方面所述的针对DoS攻击的处理方法。
[0018] 依据本公开的实施例的针对DoS攻击的处理方法、装置以及相对应的计算机可读存储介质使得能够针对绕过流量清洗服务提供商的攻击场景,快速地切换入口IP,从而实现已泄露IP的快速下线和服务的快速转移。
附图说明
[0019] 结合附图并参考以下详细说明,本公开的各实施例的特征、优点及其他方面将变得更加明显,在此以示例性而非限制性的方式示出了本公开的若干实施例,在附图中:
[0020] 图1示出了本公开的实施例可以应用于其中的示例性场景100;
[0021] 图2示出了根据本公开的实施例的针对DoS攻击的处理方法200的
流程图;
[0022] 图3示出了根据本公开的实施例的针对DoS攻击的处理装置300的示意图;以及[0023] 图4示出了根据本公开的实施例的针对DoS攻击的处理的具体示例的架构图400。
具体实施方式
[0024] 以下参考附图详细描述本公开的各个示例性实施例。附图中的流程图和
框图示出了根据本公开的各种实施例的方法和系统的可能实现的体系架构、功能和操作。应当注意,流程图或框图中的每一个方框可以代表一个模
块、程序段、或代码的一部分,所述模块、程序段、或代码的一部分可以包括一个或多个用于实现各个实施例中所规定的逻辑功能的可执行指令。也应当注意,在有些作为备选的实现中,方框中所标注的功能也可以按照不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,或者它们有时也可以按照相反的顺序执行,这取决于所涉及的功能。同样应当注意的是,流程图和/或框图中的每一个方框、以及流程图和/或框图中的方框的组合,可以使用执行规定的功能或操作的专用的基于
硬件的系统来实现,或者可以使用专用硬件与计算机指令的组合来实现。
[0025] 本文所使用的术语“包括”、“包含”及类似术语是开放性的术语,即“包括/包含但不限于”,表示还可以包括其他内容。术语“基于”是“至少部分地基于"。术语“一个实施例”表示“至少一个实施例”;术语“另一实施例”表示“至少一个另外的实施例”等等。
[0026] 对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当视为
说明书的一部分。对于附图中的各单元之间的连线,仅仅是为了便于说明,其表示至少连线两端的单元是相互通信的,并非旨在限制未连线的单元之间无法通信。
[0027] 为了便于描述,下面对本公开内容中出现的一些术语进行说明,应当理解,本
申请所使用的术语应解释为具有与其在本申请说明书的上下文及有关领域中的意义一致的意义。
[0028] 如前所述,针对DoS攻击的常见防御手段有三种方式,其中第一种方式例如通过DNS(Domain Name System)
服务器或
防火墙进行配置来拦截攻击者的访问请求,防御效率较低(例如,反应速度慢、对可持续服务的影响大等),其中第二种方式需要较高的成本来堆积大量的网络带宽资源,并且由于DoS攻击通常是偶发的和非持续性的,导致性价比较低。相比于第一种方式的效率低下和第二种方式的成本高昂,第三种方式通过由第三方(例如,以云服务的方式)提供流量清洗服务。然而,第三种方式存在一个致命缺陷,如果网络服务提供者的入口IP(例如,源站IP)被泄露,则攻击者可以通过域名与IP绑定的方式绕过流量清洗云服务提供商,导致防护失效。在服务入口IP泄露导致的防护失效的场景下,最为有效的方式是切换入口IP,但网络服务提供者往往会有多个域名或子域名,在进行切换时,需要大量的手工操作,需要较长时间完成切换,然而攻击会持续产生严重影响,在所有域名切换完成前,无法对攻击实施有效阻断。例如,切换入口IP的方式通常包括:1、通过手工方式
修改DNS解析记录;2、通过脚本批量修改DNS解析记录;3、流量清洗服务提供商批量进行回源地址A记录转换(即,从域名到IP的转换)。这些切换入口IP的方式存在沟通成本高、响应速度慢、容易出错等缺陷。
[0029] 为了解决此类问题,本公开的实施例提供了改进的针对DoS攻击的处理方法,使得能够在网络服务提供者的入口IP被泄露的情况下,快速地切换入口IP,从而实现已泄露IP的快速下线和服务的快速转移。
[0030] 图1示出了本公开的实施例可以应用于其中的示例性场景100。在场景100中,多个计算终端101-103(诸如可以表示但不限于台式计算机、服务器计算机、web服务器计算机、个人计算机、移动计算机、膝上型计算机、平板计算机、电信设备、移动终端、个人数据助理(PDA)、游戏控制台、游戏设备、工作站、媒体播放器、机顶盒、电器(appliance)或任何其它种类的计算设备)请求访问网络服务提供者的业务目标104,该业务目标104可以是服务器等,业务目标104上可以例如提供若干个
网站供计算终端101-103访问以获取相关服务,每个网站具有相应的目标域名,计算终端101-103可以通过访问该目标域名来访问相应的网站。在一些情况下,这些计算终端101-103可能被黑客远程控制,变为用来发送DoS攻击的肉鸡(即,傀儡机器),网络服务提供者可以通过由第三方服务提供商105(例如,以云服务的方式)提供的流量清洗服务来防御计算终端101-103发动的DoS攻击,如图1中的实线箭头所指示的。然而,当网络服务提供者的入口IP被泄露时,攻击者可以通过域名与IP绑定的方式绕过第三方服务提供商105,导致防护失效,如图1中的虚线箭头所指示的。因此,对于该场景100或其它类似的场景,需要能够快速地切换入口IP,而不会影响可持续服务。
[0031] 图2示出了根据本公开的实施例的针对DoS攻击的处理方法200的流程图。如流程图所示,方法200包括以下步骤:
[0032] 步骤201:将多个目标域名分别配置为与多个第一别名地址相关联,以使得对该多个目标域名中的一个目标域名的访问被指向该多个第一别名地址中相关联的一个第一别名地址。在该步骤中,实现了防护层,在该防护层处,将用户(例如,计算终端等)可访问的目标域名转换成第一别名地址,使得对第一别名地址的后续跳转对于用户将不可见,从而实现对网络服务提供者的入口IP的隐藏和防护。
[0033] 步骤202:利用第二别名地址来归集该多个第一别名地址。在该步骤中,实现了代理转换层,在该代理转换层处,将多个第一别名地址指向第二别名地址以归集提供防护和跳转的第一别名地址。
[0034] 步骤203:将该第二别名地址配置为指向多个第三别名地址中的一个第三别名地址,其中,该多个第三别名地址分别被映射到用于该多个目标域名的多个入口IP地址。在该步骤中,实现了快速切换层和
数据中心接入层,其中在该快速切换层处,将第二别名地址配置为指向多个第三别名地址中的一个第三别名地址,从而实现第一别名地址到多个第三别名地址中的一个第三别名地址的连接,其中在数据中心接入层处,每个第三别名地址被映射到每一个数据中心的入口IP地址。
[0035] 步骤204:通过切换该第二别名地址来处理对该一个第三别名地址所映射的一个入口IP地址的DoS攻击。在该步骤中,可以通过在快速切换层处切换第二别名地址来调整第一别名地址到多个第三别名地址中的第三别名地址的连接,而无需改变数据中心接入层的映射。
[0036] 传统上针对DoS攻击的处置方案,虽然将多个目标域名转换成多个第一别名地址,但是将多个第一别名地址直接连接到入口IP,因此当入口IP泄露而需要实现入口IP的切换时,需要分别完成多个第一别名地址到入口IP的重新连接,在目标域名数量较多的情况下,该重新连接所需的处置时间较长,处理较慢,会显著影响用户对服务的
感知。相比之下,根据本公开的实施例的针对DoS攻击的处理方法,具有如下优势:1、由于无需改变数据中心接入层的映射,可以实现快速的处置,显著降低处置时间;2、操作方便,可由单人完成操作,沟通成本低;3、切换快速便捷,可通过一次修改实现全局生效;4、具有高的架构灵活性,可以在主备入口IP或多个入口IP地址之间快速切换且用户无感知。
[0037] 在一些实施例中,步骤202可以包括:根据该多个目标域名的业务特征,设置该第二别名地址来归集与该多个目标域名相关联的该多个第一别名地址。例如,在代理转换层处,如果提供针对多个不同的目标域名的防护,可以根据多个目标域名的业务特征(例如,业务类型、业务面向的对象等)在该代理转换层设置多个不同的第二别名地址以用于不同业务的归集。
[0038] 在一些实施例中,该多个第一别名地址是由第三方服务提供商提供的转换域名地址,该第二别名地址是由第三方服务提供商提供的归集域名地址,该多个第三别名地址是由第三方服务提供商提供的回源域名地址,其中,第三方服务提供商提供针对DoS攻击的流量清洗服务。例如,第一别名地址是由第三方服务提供商提供的转换域名地址,使得用户访问的域名被转换到该转换域名(例如,域名解析采用CNAME方式,使得一个域名指向另一个域名),第二别名地址是由第三方服务提供商提供的归集域名地址,使得各个转换域名地址指向某一特定的归集域名地址(例如,采用CNAME方式),该特定的归集域名地址将归集第三方服务提供商提供防护和跳转的转换域名地址。
[0039] 在一些实施例中,步骤204可以包括:当确定该一个第三别名地址所映射的一个入口IP地址受到DoS攻击时,确定该多个第三别名地址中的另一个第三别名地址,其中,该另一个第三别名地址所映射的另一个入口IP地址没有受到DoS攻击;将第二别名地址切换为指向该另一个第三别名地址,以从该一个入口IP地址切换到该另一个入口IP地址。
[0040] 在一些实施例中,该DoS攻击包括分布式DoS(DDoS)攻击,其中,该DDoS攻击包括SYN洪
水攻击、RST洪水攻击、UDP洪水攻击、HTTP洪水攻击、UDP反射攻击中的至少一个。例如,DoS攻击包括分布式拒绝服务攻击(DDOS),它是一种常见的网络攻击手段,网络攻击者通过其所掌握的大量计算终端资源,通过对服务提供者提供的互联网服务的大量、集中、高频、无效的访问,耗尽服务提供者的网络资源、计算资源,从而达到使服务提供者所提供的网络服务不可用的攻击效果。
[0041] 根据图2所描述的实施例,提供了多层域名解析方案,可以实现
对流量清洗服务在入口IP(即,回源IP)泄露场景下的快速IP切换和服务恢复,该方案具有以下特点和优势:
[0042] 1、通过第三方服务提供商实现真实IP的隐藏,采用代理模式接入流量清洗服务,用户可见的IP地址将是第三方服务提供商的流量清洗
节点IP(即,第一别名地址所对应的IP),而网络服务提供者的真实IP可以有效地隐藏。
[0043] 2、该多层域名解析方案可以支持多域名、多数据中心的快速适配。该多层域名解析方案将用户访问层和数据中心接入层分离,并通过中间切换层来实现访问路径的适配和切换。
[0044] 3、该多层域名解析方案可以支持入口IP的快速切换。该该多层域名解析方案可以支持简单地通过切换层域名DNS解析服务的别名地址指向的变更来实现网络服务的入口IP的切换。
[0045] 图3示出了根据本公开的实施例的针对DoS攻击的处理装置300的示意图。装置300可以包括:存储器301和耦合到存储器301的处理器302。存储器301用于存储指令,当所述指令被执行时使得处理器302来执行本文所描述的各种方法(如图2的方法200)中的一个或多个动作或步骤。
[0046] 存储器301可以包括易失性存储器和
非易失性存储器,诸如ROM(read only memory)、RAM(random access memory)、移动盘、磁盘、光盘和U盘等。处理器302可以是
中央处理器(CPU)、微
控制器、专用集成
电路(ASIC)、数字
信号处理器(DSP)、现场可编程
门阵列(FPGA)或其它
可编程逻辑器件、或是被配置为实现本公开的实施例的一个或多个集成电路等。
[0047] 图4示出了根据本公开的实施例的针对DoS攻击的处理的具体示例的架构400。架构400包括多层解析结构450,多层解析结构450包括四层L1、L2、L3和L4,其中,L1层是防护层,L2层是代理转换层,L3层是快速切换层,L4层为数据中心接入层。
[0048] L1层可以实现用户访问的多个目标域名401(例如,“a.companyAAA.com”)、402(例如,“b.companyAAA.com”)、403(例如,“c.companyAAA.com”)、404(例如,“d.companyAAA.com”)向多个防护转换域名地址(即,第一别名地址)411(例如,“cname1.cloudBBB.com”)、412(例如,“cname2.cloudBBB.com”)、413(例如,“cname3.cloudBBB.com”)、414(例如,“cname4.cloudBBB.com”)的转换,使得对后续L2、L3、L4层的访问的IP跳转对于用户将不可见,从而实现网络服务提供者的入口IP的隐藏和保护。在L1层处,域名解析配置可以采用CNAME方式来实现,CNAME方式是一个域名指向另一个域名。该多个目标域名401-404可以包括多个域名或子域名。
[0049] L2层可以在提供清洗服务的第三方服务提供商(例如,云服务流量清洗服务商)处配置,将多个防护转换域名地址411-414指向某一特定的CNAME(即,第二别名地址)420(例如,“cloudBBB.companyAAA.com”),使得这一特定的CNAME将归集第三方服务提供商提供防护和跳转的域名(例如,第一别名地址等)。如果需要提供针对多个不同的目标域名的保护,可以在L2层处设置多个不同的CNAME以用于不同业务的归集。
[0050] L3层可以实现将第二别名地址420配置为指向多个第三别名地址431(例如,“cname-EntryA.companyAAA.com”)、432(例如,“cname-EntryB.companyAAA.com”)、433(例如,“cname-EntryC.companyAAA.com”)中的一个第三别名地址,以实现第一别名地址到第三别名地址的连接。如图4所示,第二别名地址420当前被配置为指向第三别名地址432(例如,“cname-EntryB.companyAAA.com”),如实线所指示的。在发生入口IP切换的情况下,可以将第二别名地址420切换为指向其它第三别名地址,如虚线所指示的。
[0051] L4层为每个数据中心的入口IP配置一个对应的CNAME,实现一一映射,并使数据中心IP语义化,即可以用CNAME来快速辨识入口IP。例如,多个第三别名地址431、432、433分别被一一映射到多个入口IP地址441(例如,“A入口IP地址”)、442(例如,“B入口IP地址”)、443(例如,“C入口IP地址”)。在L4层处,域名解析配置可以采用A记录方式来实现,A记录方式为域名指向地址的方式。
[0052] 在前述的图1的场景100下,当发生绕过提供安全服务的第三方服务提供商105的DoS攻击时,例如图4中的B入口IP地址受到DoS攻击(假设B入口为默认入口,A和C入口为备用入口)时,只需要在DNS配置中将第二别名地址420(例如,“cloudBBB.companyAAA.com”)的域名指向从第三别名地址432(例如,“cname-EntryB.companyAAA.com”)改为例如第三别名地址431(例如,“cname-EntryA.companyAAA.com”)即可(假设切换至A入口IP)。
[0053] 在该架构400中,出于示例目的,描绘了由一个第三方服务提供商提供目标域名的跳转和防护,应当理解,可以由两个或更多个第三方服务提供商提供目标域名的跳转和防护,其过程是类似的,不再描述。
[0054] 另外或替代地,上述方法能够通过
计算机程序产品,即计算机可读存储介质来实现。计算机程序产品可以包括计算机可读存储介质,其上载有用于执行本公开内容的各个方面的计算机可读程序指令。计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是但不限于电存储设备、磁存储设备、光存储设备、电磁存储设备、
半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、
硬盘、
随机存取存储器(RAM)、
只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、
软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不解释为瞬时信号本身,诸如
无线电波或者其他自由传播的
电磁波、通过
波导或其他传输媒介传播的电磁波(例如,通过光纤
电缆的光脉冲)、或者通过电线传输的
电信号。
[0055] 一般而言,本公开的各种示例实施例可以在硬件或专用电路、
软件、
固件、逻辑,或其任何组合中实施。某些方面可以在硬件中实施,而其他方面可以在可以由控制器、
微处理器或其他计算设备执行的固件或软件中实施。当本公开的实施例的各方面图示或描述为框图、流程图或使用某些其他图形表示时,将理解此处描述的方框、装置、系统、技术或方法可以作为非限制性的示例在硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其他计算设备,或其某些组合中实施。
[0056] 应当注意,尽管在上文的详细描述中提及了装置的若干模块或单元,但是这种划分仅仅是示例性而非强制性的。实际上,根据本公开的实施例,上文描述的两个或更多模块的特征和功能可以在一个模块中具体化。反之,上文描述的一个模块的特征和功能可以进一步划分为由多个模块来具体化。
[0057] 以上所述仅为本公开的实施例可选实施例,并不用于限制本公开的实施例,对于本领域的技术人员来说,本公开的实施例可以有各种更改和变化。凡在本公开的实施例的精神和原则之内,所作的任何修改、等效替换、改进等,均应包含在本公开的实施例的保护范围之内。
[0058] 虽然已经参考若干具体实施例描述了本公开的实施例,但是应该理解,本公开的实施例并不限于所公开的具体实施例。本公开的实施例旨在涵盖在所附
权利要求的精神和范围内所包括的各种修改和等同布置。所附权利要求的范围符合最宽泛的解释,从而包含所有这样的修改及等同结构和功能。
