[发明专利]一种防DDoS攻击方法

说明书

本发明涉及一种防DDoS攻击方法，通道转换模块在正常访问客户端与业务服务器之间布置备用交换机通道，正常访问期间备用交换机通道的IP地址处于不激活状态；通道转换模块给正常访问客户端和业务服务器分别分发各自的私钥，并将业务服务器的公钥也分发给正常访问客户端；当业务服务器检测到DDoS攻击时，业务服务器执行关闭受攻击的主交换机通道，拒绝主通道IP地址数据请求，同时激活备用交换机通道IP地址，开始处理备用通道IP地址接收到的数据；正常访问客户端收到通道转换模块的返回信息后，完成业务服务器的正常访问。本发明能够提供一种防护效果好，流量调度更加精准高效且能有效保证正常用户宽带的防DDoS攻击方法。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种防DDoS攻击方法。

背景技术

随着网络应用的普及，给我们生活及工作带来了诸多便利，但是网络安全也是我们需重点关注的，否则网络会给我们正常用户造成影响或损失，现有技术是通过流量清洗技术对DDoS攻击的流量进行处理，当检测到DDoS攻击流量对业务服务器发起攻击时，将非法流量引入到流量处理设备或服务器上，正常访问流量引导到业务处理服务器，但是DDoS攻击的流量如果规模极大，还是会导致整个网络的拥挤，流量清洗技术仅能针对流入到业务处理服务器的流量进行处理，正常访问流量依然会应为网络的拥挤而受到影响。

发明内容

本发明目的是为了克服现有技术的不足而提供一种防护效果好，流量调度更加精准高效且能有效保证正常用户宽带的防DDoS攻击方法。

为便于理解，对本技术方案出现的专业术语予以解释：H1及H2均是指摘要。

为达到上述目的，本发明采用了如下技术方案。

一种防DDoS攻击方法，包括正常访问客户端、DDos攻击客户端、主交换机通道、正常访问流量、攻击流量、业务服务器和通道转换模块，具体包括如下处理步骤：

步骤一：所述通道转换模块在所述正常访问客户端与业务服务器之间布置备用交换机通道，在正常访问期间，默认使用主交换机通道进行连接访问，并关闭备用交换机通道，使备用交换机通道的IP地址处于不激活状态；

步骤二：在所述正常访问客户端嵌入安装前通道协商模块，在所述业务服务器内安装后通道协商模块；正常访问客户端和业务服务器在初始化时，通道转换模块给正常访问客户端和业务服务器分别分发各自的私钥，并将业务服务器的公钥也分发给正常访问客户端；

步骤三：当业务服务器检测到DDoS攻击时，业务服务器执行关闭受攻击的主交换机通道，拒绝主通道IP地址数据请求，同时激活备用交换机通道IP地址，开始处理备用通道IP地址接收到的数据；

步骤四：正常访问客户端访问业务服务器后出现无响应请求，则通道转换模块请求业务服务器的通道变更信息；

步骤五：通道转换模块接收到正常访问客户端的请求后，执行如下动作，包括先使用摘要算法验证Q和摘要H1的完整性，再使用正常访问客户端的唯一标识计算正常访问客户端公钥P1，然后使用P1对正常访问客户端签名值M1进行验证签名；最后通道转换模块将请求指令的密文Q和客户端唯一标识发给业务服务器；

步骤六：业务服务器使用自己的私钥S2解密Q，获取客户端的通道变更请求，业务服务器验证请求后，给通道转换模块反馈新的通道信息，先使用正常访问客户端的唯一标识计算客户端公钥P1，再使用P1通过非对称加密算法加密新的通道信息生成密文A，然后使用摘要算法计算A的摘要H2，再使用业务服务器私钥S2对摘要H2进行签名得到M2，最终将A，H2，M2发给通道转换模块，通道转换模块将A，H2，M2发送给正常访问客户端；

步骤七：正常访问客户端收到通道转换模块的返回信息后，先执行使用摘要算法验证A，H2的完整性，再使用业务服务器的公钥P2验证签名值M2，使用正常访问客户端的私钥S1解密密文A得到新的通道信息，最后正常访问客户端使用新的通道信息访问业务服务器，至此完成业务服务器的正常访问。