[发明专利]四层分布式拒绝服务攻击检测方法及装置

说明书

本申请实施例公开了四层分布式拒绝服务攻击检测方法及装置，该方法包括：对第一公网IP进行四层分布式拒绝服务攻击DDoS检测；检测到四层DDoS攻击时，确定遭受四层DDoS攻击的目标第一公网IP，以及所述目标第一公网IP对应的各站点域名；按照一一对应的方式，分别为所述各站点域名分配所述第二公网IP，并更新域名系统DNS中的映射关系信息，以便利用所述第二公网IP为对应的站点域名对外提供服务；对所述第二公网IP进行四层DDoS检测；在检测到四层DDoS攻击时，确定遭受四层DDoS攻击的目标第二公网IP，并根据所述目标第二公网IP对应的站点域名确定实际遭受四层DDoS攻击的目标站点。通过本申请实施例，能够在某公网IP受到四层DDoS攻击时，定位实际遭受攻击的站点。

技术领域

本申请涉及四层分布式拒绝服务攻击检测技术领域，特别是涉及四层分布式拒绝服务攻击检测方法及装置。

背景技术

DoS(Denial of service，拒绝服务攻击)的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令。单一的DoS攻击一般是采用一对一方式进行攻击，而随着计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了。于是，又衍生出DDoS(Distributed Denial of service，分布式拒绝服务攻击)，DDoS就是利用更多的傀儡机来发起进攻，以比DoS更大的规模来进攻受害者。

根据攻击方式的不同，DDoS攻击可以分为四层DDoS以及七层DDoS两种，其中，四层DDoS是针对IP地址进行攻击，而七层DDoS是针对域名进行攻击。也就是说，四层DDoS在选中了某个站点作为攻击目标后，可以根据站点域名对应的IP地址，直接将指令发送到实际的后端服务器进行攻击。

为了降低DDoS攻击造成的影响，在发现某个IP地址被攻击后，通常可以采取多种措施，包括对遭受攻击的IP地址进行限流或者流量清洗等网络防护处理。但是，在实际应用中，由于公网IP资源有限，因此，在传统虚拟机或PaaS(Platform-as-a-Service，平台即服务)产品中，通常采集多个站点共享同一个或者有限多个公网IP的方式，也即，同一个公网IP对应着多个站点。但是，当某个站点遭受针对公网IP的四层DDoS攻击时，由于是多个站点共享一个公网IP，因此无法定位具体遭受攻击的是哪个站点。这样不仅无法对真正遭受攻击的站点进行网络防护，同时，由于是在公网IP维度上进行了网络防护，因此，还可能会影响共享该公网IP的其他站点。

为此，如何在某公网IP受到四层DDoS攻击时，定位实际遭受攻击的站点，以便对该站点进行针对性的网络防护，减轻对共享同一公网IP的其他站点的影响，成为需要本领域技术人员解决的技术问题。

发明内容

本申请提供了四层分布式拒绝服务攻击检测方法及装置，能够在某公网IP受到四层DDoS攻击时，定位实际遭受攻击的站点，以便对该站点进行针对性的网络防护，减轻对共享同一公网IP的其他站点的影响。

本申请提供了如下方案：

一种四层分布式拒绝服务攻击检测方法，在服务器集群下挂载多个公网IP，其中包括多个第一公网IP以及多个第二公网IP，在默认状态下，利用所述第一公网IP为对应的站点域名对外提供服务，同一第一公网IP对应多个站点域名；

所述方法包括：

对所述第一公网IP进行四层分布式拒绝服务攻击DDoS检测；

检测到四层DDoS攻击时，确定遭受四层DDoS攻击的目标第一公网IP，以及所述目标第一公网IP对应的各站点域名；

按照一一对应的方式，分别为所述各站点域名分配所述第二公网IP，并更新域名系统DNS中的映射关系信息，以便利用所述第二公网IP为对应的站点域名对外提供服务；

对所述第二公网IP进行四层DDoS检测；