[发明专利]用于在源头附近防止拒绝服务攻击的技术

说明书

发明背景

可通过例如互联网的公共通信网络来访问各种计算设备。虽然所述访问向使用所述网络的组织提供许多机会，但是也提供了相当大的风险。例如，分布式拒绝服务(DDoS)攻击已成为通常在未经授权的控制下使用分布式计算资源的常用方式，从而使组织系统的能力超载。例如，DDoS攻击可包括可位于各种地理位置的计算机的集体组，所述计算机把多个请求提交到网络或其它服务器(或服务器集合)来使用服务器能力，从而防止服务器及时回应合法请求(若有)。对于例如使用互联网与客户交互和/或服务客户的组织的许多组织，阻止服务器回应合法请求可对成本、收益、客户商誉造成严重危害且以其它方式造成危害。不仅阻止了DDoS受害对象服务客户，而且也可对互联网服务提供商(ISP)可归因于DDoS攻击的增大的网络流量的成本负责。

另外，从DDoS攻击的受害对象看来，DDoS攻击常源自一个或多个远程地理位置。由于DDoS攻击的分布式本质，DDoS攻击常影响预定受害对象之外的实体。作为DDoS攻击部分的通信可穿过多个ISP、电信运营商和其它实体。例如，可能需要DDoS攻击的有效部分起源的区域的ISP，来支付可归因于DDoS攻击越过其它ISP和/或运营商网络的超出的流量。另外，DDoS攻击可滥用网络资源，从而阻碍甚至停止各种用户使用网络资源的能力。受影响的用户可能不仅包括DDoS受害对象资源的用户，还包括可使用网络资源的其它用户。

附图简述

图1是根据至少一个实施方案的示出用于实施方面的示范性环境的示意图；

图2是根据至少一个实施方案的描绘示范性虚拟设施提供体系结构的方面的示意图；

图3是根据至少一个实施方案的描绘示范性数据中心的其它方面的示意图；

图4是根据至少一个实施方案的缓解DDoS攻击的影响的过程的说明性实例的流程图；

图5是示出DDoS攻击的示意图；

图6是示出使用各种实施方案来缓解DDoS攻击的影响的效果的示意图；

图7是根据至少一个实施方案的提供DDoS缓解技术作为服务的过程的说明性实例的流程图；

图8是根据至少一个实施方案的缓解DDoS攻击的影响的过程的说明性实例的流程图；

图9是根据至少一个实施方案的保护DDoS攻击的受害对象的过程的说明性实例的流程图；和

图10是根据至少一个实施方案的进一步缓解DDoS攻击的影响的过程的说明性实例的流程图。

具体实施方式

在以下描述中，将描述各种实施方案。为了说明的目的，阐述特定配置和细节来提供对实施方案的透彻理解。然而，对于本领域的技术人员显而易见的是可在没有特定细节的情况下实践实施方案。另外，可能省略或简化众所周知的特征，以免使所描述的实施方案晦涩难懂。

本文描述并建议的技术包括用于例如通过使用拒绝服务(DoS)攻击和/或分布式拒绝服务(DDoS)攻击来缓解试图不利影响计算机系统的影响的系统和方法。具体来说，本公开的实施方案通过在地理上靠近网络流量起源的地理区域的一个或多个位置上阻止可归因于DoS攻击的网络流量来缓解DoS攻击的影响。例如，一个或多个位置可对应于远程部署网络存在点(POP)。在一个实施方案中，定向到一个或多个网络目标的至少一些网络流量通过一个或多个位置被路由。例如，一个或多个位置中每一个可对应于与一个或多个网络目标所位于的一个或多个提供商网络不同的提供商网络中的网络位置。例如，一个或多个网络位置可在与一个或多个网络目标的一个或多个国家不同的一个或多个国家。网络目标可对应于代表远程计算服务提供商或其它物理或虚拟计算设备的客户操作的虚拟机实例。

网络流量的路由可以是连续的，或者可在其它时间进行。在一个实施方案中，如根据传统的路由技术所确定，网络流量以一种方式流动，直到检测到网络目标的DoS攻击为止。回应于检测到DoS攻击，发给网络目标的网络流量的至少部分可通过一个或多个远程位置被路由。网络流量可通过确定为靠近显著量的流量来源的地理区域的一个或多个远程位置或可通过多个远程位置可用于所述路由的各种地理区域的多个远程位置被路由。路由网络流量可用各种方式来进行。在一个实施方案中，网络流量是通过向网络目标宣布边界网关协议(BGP)路由来执行，使得BGP路由包括一个或多个远程位置。然而，可使用使网络流量的至少部分通过一个或多个预定网络目标的任何适当的方法。例如，可进行到ISP的一个或多个通信来请求ISP把到一个或多个网络目标的流量通过一个或多个远程位置路由。ISP的对等或其它协议可处于适当位置来促进所述路由。