在服务器端对该服务器的运行状态或进入服务器的网络数据流进行检测,判断是否有针对本服务器的DDos攻击发生;如果有针对本服务器的DDos攻击发生,则通知数据清洗服务器对流向该服务器的网络数据流进行清洗。本发明实施例还公开了一种网络服务器和网络系统。通过本发明实施例,能够从被攻击目标端进行检测和初步的防御,准确的获得攻击的状态和提供防御需要的信息,从而有效地防御DDos攻击。
分布式阻断服务DDoS(Distributed Denial of Service)攻击主要是利用了 internet协议和internet基本优点——无偏差地从任何的源头传送数据包到任意目的地。DDoS攻击分为两种:要么大数据,大流量来压垮网络服务器和服务器,要么有意制造大量无法完成的不完全请求来快速耗尽服务器资源。
| 序列号 | CPU | RAM | HDD | 带宽 | 售价(美元) | 免费试用 |
|---|---|---|---|---|---|---|
| 香港服务器1 | E5-2620 | 32G | 1T HDD | 50M/无限流量 | $196.00 | 立即申请 |
| 香港服务器2 | E5-2650 | 32G | 1T HDD | 50M/无限流量 | $256.00 | 立即申请 |
| 香港服务器3 | E5-2680 | 32G | 1T HDD | 50M/无限流量 | $316.00 | 立即申请 |
| 香港服务器4 | E5-2690 | 32G | 1T HDD | 50M/无限流量 | $336.00 | 立即申请 |
| 香港服务器5 | E5-2697 | 32G | 1T HDD | 50M/无限流量 | $376.00 | 立即申请 |
| 香港服务器6 | E5-2620*2 | 32G | 1T HDD | 50M/无限流量 | $376.00 | 立即申请 |
| 香港服务器7 | E5-2650*2 | 32G | 1T HDD | 50M/无限流量 | $436.00 | 立即申请 |
| 香港服务器8 | E5-2680*2 | 32G | 1T HDD | 50M/无限流量 | $476.00 | 立即申请 |
| 香港服务器9 | E5-2690*2 | 32G | 1T HDD | 50M/无限流量 | $556.00 | 立即申请 |
| 香港服务器10 | E5-2697*2 | 32G | 1T HDD | 50M/无限流量 | $596.00 | 立即申请 |
| 香港服务器11 | E5-2680v4*2 | 32G | 1T HDD | 50M/无限流量 | $696.00 | 立即申请 |
| 香港服务器12 | E5-2698v4*2 | 32G | 1T HDD | 50M/无限流量 | $796.00 | 立即申请 |
DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。DDoS攻击就是利用更多的傀儡机来发起进攻,以比从前更很多的规模来进攻受害者。从技术角度讲,DDoS 攻击包括威胁互联网计算机的安全和放置特洛伊木马程序。众多的特洛伊木马程序会遵照一台由攻击者控制的主服务器的指示,在指定的时间以特定的方式共同发动攻击。形成一个巨大的全球范围内的僵尸攻击网络。
DDoS攻击有个重要的特点就是从大量的傀儡主机发起攻击,攻击的主要手段就是向被攻击目标端发送大量的数据报文,从而达到摧毁被攻击端带宽或者处理能力等的目标。
为了缓解DDOS给被攻击目标带来的压力,可以在被攻击目标前面放置一个防御服务器来完成,当发生DDoS攻击的时候,自动启动对攻击流量的过滤功能,从而将DDoS攻击阻挡到过滤服务器之外。
DDoS防御服务器根据DDoS攻击的特征单独进行攻击检测,典型的比如检测到超过一定阈值的大量的SYN报文,则认为发生了 SYN Flood攻击(DDoS攻击的一种),不管被攻击目标是否真正产生攻击效果。
DDoS防御服务器根据攻击的类型采用特定的方法对攻击报文进行过滤,过滤掉大量的攻击报文,并允许正常访问的报文通过,从而一定程度上抑制了对被攻击目标的攻击。
由于该防御方案采用独立的服务器,只是从网络流量进行一定的特征检测从而判断是否有攻击的发生,但对于不同的被攻击目标,攻击的特征以及判断攻击的阈值并不是很容易的确定,从而很容易产生一定程度的误报和漏报。
鉴于此,本发明实施例提供一种防范DDoS攻击的方法,包括:
在服务器端对该服务器的运行状态或进入该服务器的网络数据流进行检测,判断是否有针对该服务器的DDos攻击发生;
如果有针对该服务器的DDos攻击发生,则通知数据清洗服务器对流向该服务器的网络数据流进行清洗。[0012] 本发明实施例还提供一种网络服务器,包括分布式阻断服务DDoS攻击
防御模块,该模块包括:
检测单元,用于在网络服务器端对该网络服务器的运行状态和/或进入该网
络服务器的网络数据流进行检测,判断是否有针对本网络服务器的DDos攻击发生;
通知单元,用于当所述检测单元判断有针对本网络服务器的DDos攻击发生时,通知数据清洗服务器对针对本网络服务器的网络数据流进行清洗。
本发明实施例还提供包括一种网络系统,包括至少一个网络服务器和数据清洗服务器,其中:
所述网络服务器,用于接收和处理来自网络侧的网络数据流,其包括:DDoS攻击防御模块,用于对该网络服务器的运行状态或进入该网络服务器的网络数据流进行检测,判断是否有针对该网络服务器的DDos攻击发生;如果有针对该网络服务器的DDos攻击发生,则通知数据清洗服务器对流向该网络服务器的网络数据流进行清洗;
数据清洗服务器,用于与所述网络服务器进行协商,根据协商结果对网络数据流进行清洗。
综上可见,本发明实施例提出的防范DDoS攻击的方法、网络服务器和网络系统,能够从被攻击目标端进行检测和初步的防御,获得攻击的状态和提供防御需要的信息,从而有效的进行攻击的防御。
上一篇: 如何通过内容分发网络服务器来防御CC攻击
