[发明专利]DDoS攻击的防护方法及系统

说明书

本申请提供一种DDoS攻击的防护方法及系统，防护方法包括：从第一层服务入口池开始，在设置的服务入口池中为各用户分配与其令牌相对应的服务入口；判断当前层服务入口池中各服务入口是否可用；如果否，则当前服务入口池所属的层数加1；判断加1后的层数是否小于或等于预设的服务入口池的最大层数；如果是，则在当前层服务入口池中为服务入口不可用的用户继续分配与其令牌相对应的服务入口；直到当前层服务入口池中各用户对应的服务入口可用时，用户通过对应的服务入口接入网络服务；直到递增后的层数大于预设的服务入口池的最大层数时，舍弃服务入口仍不可用的用户。本申请能够保证用户快速接入可用的服务入口，减少用户数量的损失。

技术领域

本申请属于互联网技术领域，具体涉及一种DDoS攻击的防护方法及系统。

背景技术

传统的DoS(Denial of Service，拒绝服务)攻击主要采用一对一的方式进行攻击，最基本的DoS攻击是利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令。随着计算机与网络技术的发展，在传统DoS攻击的基础上产生了DDoS(Distribution Denial of Service，分布式拒绝服务)攻击。DDoS攻击采用多对一的方式进行攻击。DDOS的攻击目标主要是服务器或者大型网站。DDOS通过向服务器提交大量合法或伪造的请求使服务器超负荷，当服务器CPU达到满负荷时，服务器耗尽资源导致失去响应而死机。服务器一旦死机，将严重影响用户正常的访问，对公司、企业甚至是国家造成巨大的经济损失。

现有大部分厂商在解决网络服务的接入时都是采用提供一个域名的方式。用户通过连接提供的域名来接入服务。在应对攻击方面，当域名所指向的IP地址被攻击而无法使用时，通过更新域名解析，使域名指向一个或多个新的IP地址来继续提供服务。然而，域名的解析记录在修改时，都至少需要5分钟的生效时间。当任意一个域名所指向的IP地址被攻击导致无法使用时，更新域名的解析记录之后，需要等待大概5分钟甚至更长的时间之后，用户通过访问域名才可以获得新的、可用的IP地址。因此，通过更新域名解析进行防护的时效性差，通常至少有5分钟的时间会出现服务中断或不可用的情况。

也有部分厂商为了减少由攻击导致的受影响的客户数量，将同一个域名根据地域进行解析。不同的地区查询同一个域名时，获取到的IP地址不同。当一个地区的域名所指向的IP地址被攻击时，不会导致其他地区的用户受到影响。通过损失部分地区用户的方式来保护其他地区的用户或通过损失低级别的用户的方式来保护高级别的用户。这种分地域解析域名的方式，虽然在一定程度上能够减少受攻击时对用户的影响，但是黑客其实可以使用分布在全国或全球地域的服务器，同时查询域名解析。这样即可以很快一次性地获取到某个域名的所有解析记录。而且，互联网上免费提供此类域名解析查询的服务很多，且获取速度都很快，大概5分钟就可以全部查询到。

对于以上通过更换域名解析的方法来防护攻击的方案，如果黑客持续获取域名解析记录，并对新替换的可用IP继续攻击，那么这种防护攻击的方案就无法达到防护的目的，也就无法避免网络服务瘫痪后果的出现。

发明内容

为至少在一定程度上克服相关技术中存在的问题，本申请提供了一种DDoS攻击的防护方法及系统。

根据本申请实施例的第一方面，本申请提供了一种DDoS攻击的防护方法，其包括以下步骤：

获取用户的令牌；

设置多层服务入口池，各层服务入口池中均设置有服务入口；

从第一层服务入口池开始，在服务入口池中为各用户分配与其令牌相对应的服务入口；

判断当前层服务入口池中为各用户分配的服务入口是否可用；

如果当前层服务入口池中有用户对应的服务入口不可用，则当前服务入口池所属的层数加1；

判断加1后的层数是否小于或等于预设的服务入口池的最大层数；