[发明专利]一种内容分发网络定位攻击域名的方法和装置

说明书

本申请提出一种内容分发网络定位攻击域名的方法和装置，包括：监控内容分发网络CDN节点各服务器的流量统计信息；根据所述流量统计信息确定一个或者多个所述服务器遭受攻击，为遭受攻击的所述服务器创建调度单元和策略；获取遭受攻击的服务器的域名，并将所述遭受攻击的服务器的域名切换成域名拆分节点。本发明可以及时的定位到被攻击的域名，通过合理的调整DNS解析，将攻击流量引流到特定的网络环境中，最终在域名拆分节点上，经过一至多次的解析调整，逐渐缩小攻击流量所影响的域名，直至最后定位出被攻击的域名，CDN服务器上的攻击流量得以消除，从而保护CDN服务器上其他域名的正常服务。

技术领域

本发明涉及安全技术领域，具体涉及一种内容分发网络定位攻击域名的方法和装置。

背景技术

CDN，Content Delivery Network，即内容分发网络，是一种分布式的缓存系统，其主要功能是将原始网站的内容缓存到和用户地理位置更近的地点来起到加速的作用。常见的DDoS(Distributed Denial of Service，分布式拒绝服务)攻击主要以SYN Flood、UDPFlood等大流量直接攻击服务器。攻击者欲攻击一个网站，先通过DNS(Domain NameSystem，域名系统)解析获取网站服务器对应的IP(Internet Protocol，网络互连协议)地址，然后针对该IP地址发起DDoS攻击。一旦攻击目标对应的DNS解析结果发生变化，攻击发起者也会及时感知，并调整攻击IP地址，而CDN环境中的服务器(下文简称VIP)，基本上都是服务成千上万的域名。任何一个域名被攻击，都会影响到其他域名的正常服务。传统的DDoS清洗功能只能在一定程度上过滤掉部分攻击流量，并不能定位出被攻击的域名。

当前针对CDN中的四层DDoS攻击，主要是部署DDoS清洗设备，对攻击流量比如SYNFlood、UDP Flood等进行清洗，这样是可以减轻CDN服务器的压力，但是不能有效的消除攻击流量。只要攻击仍在继续，受攻击的CDN服务器就一直存在风险。而且更重要的是，如果攻击流量过大，且持续时间达到一定程度，就存在被运营商封IP的可能性。

发明内容

本发明提供一种内容分发网络定位攻击域名的方法和装置，在DDoS攻击发生时，可以及时的定位到被攻击的域名，保护CDN服务器上其他域名的正常服务。

为了实现上述发明目的，本发明采取的技术方案如下：

一种内容分发网络定位攻击域名的方法，包括：

监控内容分发网络CDN节点各服务器的流量统计信息；

根据所述流量统计信息确定一个或者多个所述服务器遭受攻击，为遭受攻击的所述服务器创建调度单元和策略；

获取遭受攻击的服务器的域名，并将所述遭受攻击的服务器的域名切换成域名拆分节点。

优选地，为遭受攻击的所述服务器创建调度单元和策略包括:

选取域名拆分节点的一组服务器用作域名解析；

将遭受攻击的所述服务器对应的域名的解析结果调整为所述域名拆分节点；

将遭受攻击的所述服务器的流量引导至所述域名拆分节点。

优选地，根据所述流量统计信息确定一个或者多个所述服务器遭受攻击包括:

当监控的服务器的总流入带宽超过设定阈值，则确定所述服务器遭受攻击。

优选地，获取遭受攻击的服务器的域名包括：

监控所述域名拆分节点的流量统计信息；

根据所述流量统计信息确定所述域名拆分节点的一个服务器遭受攻击；

获取检测到的遭受攻击的服务器的域名列表。