[发明专利]一种防御ddos攻击的方法及其系统

说明书

技术领域

本发明涉及一种防御攻击的方法及其系统，特别是一种防御ddos攻击的方法及其系统。

背景技术

分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

在现有技术上，普遍认为ddos攻击是没办法防御的，唯一能缓解的方案就是根据攻击流量的大小不断地增加带宽，但是一个服务器的带宽是有限的，而攻击者的流量理论上可以无限大，并且随着服务器带宽的增加，相应的花费在宽带上的费用也会大大增加。

发明内容

本发明所要解决的技术问题是提供一种防御ddos攻击的方法及其系统，其有效防御ddos攻击并且成本较低。

为解决上述技术问题，本发明所采用的技术方案是：

一种防御ddos攻击的方法，其特征在于包含以下步骤：

步骤一：生成a个特定顺序的二级域名，并将二级域名与b个中转服务器ip绑定，其中a≧b；

步骤二：客户端从第n个二级域名开始按照二级域名的特定顺序访问中转服务器请求服务，若失败则访问下一个中转服务器，直至请求服务成功，其中n<a。

进一步地，所述步骤一中，二级域名生成方法采用种子随机数、MD5或SHA算法生成。

进一步地，所述步骤一中，b个二级域名与b个中转服务器一一绑定后，剩余的a-b个二级域名设置错误的干扰ip地址。

进一步地，所述步骤二中，中转服务器收到客户端的请求，判断客户端的身份信息决定是否响应请求。

进一步地，所述身份信息包含会员等级、活跃度、绑定手机号。

进一步地，当某个中转服务器受到攻击后，将连接到该服务器上的客户端通过跳转指令再平均分配到不同的中转服务器，找到发起攻击的客户端用户身份，针对该客户端用户身份发起的请求，服务器不再响应。

一种防御ddos攻击的系统，其特征在于：包含客户端、若干中转服务器和主服务器，主服务器接收并处理客户端发出经中转服务器送达的数据，根据数据内容决定是否处理该客户端请求，或决定是否发出让客户端跳转到指定中转服务器的指令；客户端以特定顺序访问中转服务器，接收并处理服务器端返回经中转服务器送达的数据指令，若收到跳转指令，则跳转到指定的中转服务器。

本发明与现有技术相比，具有以下优点和效果：本发明提供了一种防御ddos攻击的方法及其系统，相比于现在毫无办法只能拓宽带宽的方法，本发明的成本大大降低，同时本发明相比于现有技术对ddos攻击的防御效果更加的显著。

附图说明

图1是本发明的一种防御ddos攻击的系统的示意图。

图2是本发明的实施例的二级域名与中转服务器ip绑定示意表格。

具体实施方式

本发明的一种防御ddos攻击的方法，其特征在于包含以下步骤：

步骤一：生成a个特定顺序的二级域名，并将二级域名与b个中转服务器ip绑定，其中a≧b；

二级域名生成方法采用种子随机数、MD5或SHA算法生成。

b个二级域名与b个中转服务器一一绑定后，剩余的a-b个二级域名设置错误的干扰ip地址。

步骤二：客户端从第n个二级域名开始按找二级域名的特定顺序访问中转服务器请求服务，若失败则访问下一个中转服务器，直至请求服务成功，其中n<a。

中转服务器收到客户端的请求，判断客户端的身份信息决定是否响应请求。身份信息包含会员等级、活跃度、绑定手机号。

当某个中转服务器收到攻击后，将连接到该服务器上的客户端通过跳转指令再平均分配到不同的中转服务器，找到发起攻击的客户端用户身份，针对该客户端用户身份发起的请求，服务器不再响应。

如图1所示，一种防御ddos攻击的系统，包含客户端、若干中转服务器和主服务器，主服务器接收并处理客户端发出经中转服务器送达的数据，根据数据内容决定是否处理该客户端请求，或决定是否发出让客户端跳转到指定中转服务器的指令；客户端以特定顺序访问中转服务器，接收并处理服务器端返回经中转服务器送达的数据指令，若收到跳转指令，则跳转到指定的中转服务器。