技術領域

本發明涉及一種防御攻擊的方法及其系統，特別是一種防御ddos攻擊的方法及其系統。

背景技術

分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序將與大量代理程序通訊，代理程序已經被安裝在網絡上的許多計算機上。代理程序收到指令時就發動攻擊。利用客戶/服務器技術，主控程序能在幾秒鐘內激活成百上千次代理程序的運行。

在現有技術上，普遍認為ddos攻擊是沒辦法防御的，唯一能緩解的方案就是根據攻擊流量的大小不斷地增加帶寬，但是一個服務器的帶寬是有限的，而攻擊者的流量理論上可以無限大，并且隨著服務器帶寬的增加，相應的花費在寬帶上的費用也會大大增加。

發明內容

本發明所要解決的技術問題是提供一種防御ddos攻擊的方法及其系統，其有效防御ddos攻擊并且成本較低。

為解決上述技術問題，本發明所采用的技術方案是：

一種防御ddos攻擊的方法，其特征在于包含以下步驟：

步驟一：生成a個特定順序的二級域名，并將二級域名與b個中轉服務器ip綁定，其中a≧b；

步驟二：客戶端從第n個二級域名開始按照二級域名的特定順序訪問中轉服務器請求服務，若失敗則訪問下一個中轉服務器，直至請求服務成功，其中n<a。

進一步地，所述步驟一中，二級域名生成方法采用種子隨機數、MD5或SHA算法生成。

進一步地，所述步驟一中，b個二級域名與b個中轉服務器一一綁定后，剩余的a-b個二級域名設置錯誤的干擾ip地址。

進一步地，所述步驟二中，中轉服務器收到客戶端的請求，判斷客戶端的身份信息決定是否響應請求。

進一步地，所述身份信息包含會員等級、活躍度、綁定手機號。

進一步地，當某個中轉服務器受到攻擊后，將連接到該服務器上的客戶端通過跳轉指令再平均分配到不同的中轉服務器，找到發起攻擊的客戶端用戶身份，針對該客戶端用戶身份發起的請求，服務器不再響應。

一種防御ddos攻擊的系統，其特征在于：包含客戶端、若干中轉服務器和主服務器，主服務器接收并處理客戶端發出經中轉服務器送達的數據，根據數據內容決定是否處理該客戶端請求，或決定是否發出讓客戶端跳轉到指定中轉服務器的指令；客戶端以特定順序訪問中轉服務器，接收并處理服務器端返回經中轉服務器送達的數據指令，若收到跳轉指令，則跳轉到指定的中轉服務器。

本發明與現有技術相比，具有以下優點和效果：本發明提供了一種防御ddos攻擊的方法及其系統，相比于現在毫無辦法只能拓寬帶寬的方法，本發明的成本大大降低，同時本發明相比于現有技術對ddos攻擊的防御效果更加的顯著。

附圖說明

圖1是本發明的一種防御ddos攻擊的系統的示意圖。

圖2是本發明的實施例的二級域名與中轉服務器ip綁定示意表格。

具體實施方式

本發明的一種防御ddos攻擊的方法，其特征在于包含以下步驟：

步驟一：生成a個特定順序的二級域名，并將二級域名與b個中轉服務器ip綁定，其中a≧b；

二級域名生成方法采用種子隨機數、MD5或SHA算法生成。

b個二級域名與b個中轉服務器一一綁定后，剩余的a-b個二級域名設置錯誤的干擾ip地址。

步驟二：客戶端從第n個二級域名開始按找二級域名的特定順序訪問中轉服務器請求服務，若失敗則訪問下一個中轉服務器，直至請求服務成功，其中n<a。

中轉服務器收到客戶端的請求，判斷客戶端的身份信息決定是否響應請求。身份信息包含會員等級、活躍度、綁定手機號。

當某個中轉服務器收到攻擊后，將連接到該服務器上的客戶端通過跳轉指令再平均分配到不同的中轉服務器，找到發起攻擊的客戶端用戶身份，針對該客戶端用戶身份發起的請求，服務器不再響應。

如圖1所示，一種防御ddos攻擊的系統，包含客戶端、若干中轉服務器和主服務器，主服務器接收并處理客戶端發出經中轉服務器送達的數據，根據數據內容決定是否處理該客戶端請求，或決定是否發出讓客戶端跳轉到指定中轉服務器的指令；客戶端以特定順序訪問中轉服務器，接收并處理服務器端返回經中轉服務器送達的數據指令，若收到跳轉指令，則跳轉到指定的中轉服務器。