本申請提供一種DDoS攻擊的防護方法及系統，防護方法包括：從第一層服務入口池開始，在設置的服務入口池中為各用戶分配與其令牌相對應的服務入口；判斷當前層服務入口池中各服務入口是否可用；如果否，則當前服務入口池所屬的層數加1；判斷加1后的層數是否小于或等于預設的服務入口池的最大層數；如果是，則在當前層服務入口池中為服務入口不可用的用戶繼續分配與其令牌相對應的服務入口；直到當前層服務入口池中各用戶對應的服務入口可用時，用戶通過對應的服務入口接入網絡服務；直到遞增后的層數大于預設的服務入口池的最大層數時，舍棄服務入口仍不可用的用戶。本申請能夠保證用戶快速接入可用的服務入口，減少用戶數量的損失。

技術領域

本申請屬于互聯網技術領域，具體涉及一種DDoS攻擊的防護方法及系統。

背景技術

傳統的DoS(Denial of Service，拒絕服務)攻擊主要采用一對一的方式進行攻擊，最基本的DoS攻擊是利用合理的服務請求來占用過多的服務資源，從而使服務器無法處理合法用戶的指令。隨著計算機與網絡技術的發展，在傳統DoS攻擊的基礎上產生了DDoS(Distribution Denial of Service，分布式拒絕服務)攻擊。DDoS攻擊采用多對一的方式進行攻擊。DDOS的攻擊目標主要是服務器或者大型網站。DDOS通過向服務器提交大量合法或偽造的請求使服務器超負荷，當服務器CPU達到滿負荷時，服務器耗盡資源導致失去響應而死機。服務器一旦死機，將嚴重影響用戶正常的訪問，對公司、企業甚至是國家造成巨大的經濟損失。

現有大部分廠商在解決網絡服務的接入時都是采用提供一個域名的方式。用戶通過連接提供的域名來接入服務。在應對攻擊方面，當域名所指向的IP地址被攻擊而無法使用時，通過更新域名解析，使域名指向一個或多個新的IP地址來繼續提供服務。然而，域名的解析記錄在修改時，都至少需要5分鐘的生效時間。當任意一個域名所指向的IP地址被攻擊導致無法使用時，更新域名的解析記錄之后，需要等待大概5分鐘甚至更長的時間之后，用戶通過訪問域名才可以獲得新的、可用的IP地址。因此，通過更新域名解析進行防護的時效性差，通常至少有5分鐘的時間會出現服務中斷或不可用的情況。

也有部分廠商為了減少由攻擊導致的受影響的客戶數量，將同一個域名根據地域進行解析。不同的地區查詢同一個域名時，獲取到的IP地址不同。當一個地區的域名所指向的IP地址被攻擊時，不會導致其他地區的用戶受到影響。通過損失部分地區用戶的方式來保護其他地區的用戶或通過損失低級別的用戶的方式來保護高級別的用戶。這種分地域解析域名的方式，雖然在一定程度上能夠減少受攻擊時對用戶的影響，但是黑客其實可以使用分布在全國或全球地域的服務器，同時查詢域名解析。這樣即可以很快一次性地獲取到某個域名的所有解析記錄。而且，互聯網上免費提供此類域名解析查詢的服務很多，且獲取速度都很快，大概5分鐘就可以全部查詢到。

對于以上通過更換域名解析的方法來防護攻擊的方案，如果黑客持續獲取域名解析記錄，并對新替換的可用IP繼續攻擊，那么這種防護攻擊的方案就無法達到防護的目的，也就無法避免網絡服務癱瘓后果的出現。

發明內容

為至少在一定程度上克服相關技術中存在的問題，本申請提供了一種DDoS攻擊的防護方法及系統。

根據本申請實施例的第一方面，本申請提供了一種DDoS攻擊的防護方法，其包括以下步驟：

獲取用戶的令牌；

設置多層服務入口池，各層服務入口池中均設置有服務入口；

從第一層服務入口池開始，在服務入口池中為各用戶分配與其令牌相對應的服務入口；

判斷當前層服務入口池中為各用戶分配的服務入口是否可用；

如果當前層服務入口池中有用戶對應的服務入口不可用，則當前服務入口池所屬的層數加1；

判斷加1后的層數是否小于或等于預設的服務入口池的最大層數；