[发明专利]DDoS攻击防御方法及装置

说明书

本申请提供了一种DDoS攻击防御方法及装置。其方法包括：调度系统将业务目标的多个IP地址映射到多个网络区域或网络线路，并将所述多个IP地址与所述多个网络区域或网络线路的映射关系保存在DNS服务器中，以便DNS服务器在接收到客户端对所述业务目标的DNS解析请求时，根据所述映射关系向客户端返回所述业务目标映射到所述客户端所在网络所属的网络区域或网络线路的IP地址；如果监测到对所述DNS服务器向所述客户端返回的IP地址的DDoS攻击，则为所述IP地址配置黑洞路由；删除所述DNS服务器中保存的所述IP地址与所映射到的网络区域或网络线路的映射关系。根据本申请的技术方案，提高了黑客发动DDoS攻击的难度，实现IP地址的切换。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种DDoS攻击防御方法及装置。

背景技术

分布式拒绝服务(DDoS，Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。DDoS攻击的原理是找到被攻击者的资源瓶颈，通过消耗资源的方式达到被攻击者业务不可用的目的。目前互联网业务中，服务器CPU，内存，带宽，数据库等都可能成为资源瓶颈。

目前的DDoS防御方案以DDoS流量清洗为主，主要是通过DDoS检测设备检测DDoS攻击，当发现DDoS攻击时通知旁路的流量清洗设备牵引被攻击目的IP的流量，清洗攻击流量。并且，采用这种防御方案，还需要以单个IP地址高带宽为保障。因此，存在以下两方面的问题，一是业务用户需要购买高带宽的IP，而带宽费用昂贵，成本过高。二是目前DDoS的以清洗作为DDoS防护的基本手段，缺少用户的互动及调度，在DDoS的防护中处于被动防护的局面。

发明内容

本申请的一个目的是提供一种DDoS攻击防御方法及装置，实现IP地址的动态切换。

根据本申请的一方面，提供了一种DDoS攻击防御方法，该方法包括以下步骤：

调度系统将业务目标的多个IP地址映射到多个网络区域或网络线路；将所述多个IP地址与所述多个网络区域或网络线路的映射关系保存在DNS服务器中，以便所述DNS服务器在接收到客户端对所述业务目标的DNS解析请求时，根据所述映射关系向所述客户端返回所述业务目标映射到所述客户端所在网络所属的网络区域或网络线路的IP地址；如果监测到对所述DNS服务器向所述客户端返回的IP地址的DDoS攻击，则为所述IP地址配置黑洞路由，从而将所述IP地址的访问流量转发到黑洞路由；删除所述DNS服务器中保存的所述IP地址与所映射到的网络区域或网络线路的映射关系，以便所述DNS服务器向所述客户端返回所述业务目标映射到所述网络区域或网络线路的其他可用的IP地址。

根据本申请的另一方面，还提供了一种DDoS攻击防御方法，其特征在于，DNS服务器中保存有业务目标的多个IP地址与多个网络区域或网络线路的映射关系，所述方法包括以下步骤：

所述DNS服务器在接收到客户端对所述业务目标的DNS解析请求时，根据所述客户端的源IP地址获取所述客户端所属的网络区域或网络线路；根据所述映射关系查询所述业务目标的多个IP地址中映射到所述客户端所属的网络区域或网络线路的IP地址；向所述客户端返回查询到的IP地址，以便所述客户端通过所述IP地址访问所述业务目标。

根据本申请的一方面，还提供了一种DDoS攻击防御装置，其中，该装置包括：