本申請(qǐng)?zhí)峁┝艘环NDDoS攻擊防御方法及裝置。其方法包括：調(diào)度系統(tǒng)將業(yè)務(wù)目標(biāo)的多個(gè)IP地址映射到多個(gè)網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路，并將所述多個(gè)IP地址與所述多個(gè)網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的映射關(guān)系保存在DNS服務(wù)器中，以便DNS服務(wù)器在接收到客戶端對(duì)所述業(yè)務(wù)目標(biāo)的DNS解析請(qǐng)求時(shí)，根據(jù)所述映射關(guān)系向客戶端返回所述業(yè)務(wù)目標(biāo)映射到所述客戶端所在網(wǎng)絡(luò)所屬的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的IP地址；如果監(jiān)測(cè)到對(duì)所述DNS服務(wù)器向所述客戶端返回的IP地址的DDoS攻擊，則為所述IP地址配置黑洞路由；刪除所述DNS服務(wù)器中保存的所述IP地址與所映射到的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的映射關(guān)系。根據(jù)本申請(qǐng)的技術(shù)方案，提高了黑客發(fā)動(dòng)DDoS攻擊的難度，實(shí)現(xiàn)IP地址的切換。

技術(shù)領(lǐng)域

本申請(qǐng)涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種DDoS攻擊防御方法及裝置。

背景技術(shù)

分布式拒絕服務(wù)(DDoS，Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。DDoS攻擊的原理是找到被攻擊者的資源瓶頸，通過(guò)消耗資源的方式達(dá)到被攻擊者業(yè)務(wù)不可用的目的。目前互聯(lián)網(wǎng)業(yè)務(wù)中，服務(wù)器CPU，內(nèi)存，帶寬，數(shù)據(jù)庫(kù)等都可能成為資源瓶頸。

目前的DDoS防御方案以DDoS流量清洗為主，主要是通過(guò)DDoS檢測(cè)設(shè)備檢測(cè)DDoS攻擊，當(dāng)發(fā)現(xiàn)DDoS攻擊時(shí)通知旁路的流量清洗設(shè)備牽引被攻擊目的IP的流量，清洗攻擊流量。并且，采用這種防御方案，還需要以單個(gè)IP地址高帶寬為保障。因此，存在以下兩方面的問(wèn)題，一是業(yè)務(wù)用戶需要購(gòu)買(mǎi)高帶寬的IP，而帶寬費(fèi)用昂貴，成本過(guò)高。二是目前DDoS的以清洗作為DDoS防護(hù)的基本手段，缺少用戶的互動(dòng)及調(diào)度，在DDoS的防護(hù)中處于被動(dòng)防護(hù)的局面。

發(fā)明內(nèi)容

本申請(qǐng)的一個(gè)目的是提供一種DDoS攻擊防御方法及裝置，實(shí)現(xiàn)IP地址的動(dòng)態(tài)切換。

根據(jù)本申請(qǐng)的一方面，提供了一種DDoS攻擊防御方法，該方法包括以下步驟：

調(diào)度系統(tǒng)將業(yè)務(wù)目標(biāo)的多個(gè)IP地址映射到多個(gè)網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路；將所述多個(gè)IP地址與所述多個(gè)網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的映射關(guān)系保存在DNS服務(wù)器中，以便所述DNS服務(wù)器在接收到客戶端對(duì)所述業(yè)務(wù)目標(biāo)的DNS解析請(qǐng)求時(shí)，根據(jù)所述映射關(guān)系向所述客戶端返回所述業(yè)務(wù)目標(biāo)映射到所述客戶端所在網(wǎng)絡(luò)所屬的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的IP地址；如果監(jiān)測(cè)到對(duì)所述DNS服務(wù)器向所述客戶端返回的IP地址的DDoS攻擊，則為所述IP地址配置黑洞路由，從而將所述IP地址的訪問(wèn)流量轉(zhuǎn)發(fā)到黑洞路由；刪除所述DNS服務(wù)器中保存的所述IP地址與所映射到的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的映射關(guān)系，以便所述DNS服務(wù)器向所述客戶端返回所述業(yè)務(wù)目標(biāo)映射到所述網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的其他可用的IP地址。

根據(jù)本申請(qǐng)的另一方面，還提供了一種DDoS攻擊防御方法，其特征在于，DNS服務(wù)器中保存有業(yè)務(wù)目標(biāo)的多個(gè)IP地址與多個(gè)網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的映射關(guān)系，所述方法包括以下步驟：

所述DNS服務(wù)器在接收到客戶端對(duì)所述業(yè)務(wù)目標(biāo)的DNS解析請(qǐng)求時(shí)，根據(jù)所述客戶端的源IP地址獲取所述客戶端所屬的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路；根據(jù)所述映射關(guān)系查詢所述業(yè)務(wù)目標(biāo)的多個(gè)IP地址中映射到所述客戶端所屬的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)線路的IP地址；向所述客戶端返回查詢到的IP地址，以便所述客戶端通過(guò)所述IP地址訪問(wèn)所述業(yè)務(wù)目標(biāo)。

根據(jù)本申請(qǐng)的一方面，還提供了一種DDoS攻擊防御裝置，其中，該裝置包括：