[发明专利]一种基于内容分发网络的攻击防御方法

说明书

本发明公开了一种基于内容分发网络的攻击防御方法，包括以下步骤：在内容分发网络设置n个边缘节点；根据链路的个数确定高防组数，建立高防集群，每个高防组包括n个高防IP；域名解析到内容分发网络后，在内容分发网络的每个边缘节点和链路设置请求数和带宽的阈值，当某个边缘节点的请求数、流量至少一个超过阈值，则进行异常处理；切入高防集群后分别对高防集群的每个高防IP进行请求数、流量监测，同时对内容分发网络中受到影响的边缘节点、链路、IP进行请求数、流量监测；本发明能够解决CDN网络面临攻击资源消耗过高甚至大规模瘫痪的问题，能够解决普通高防系统时延过大和网络拥塞的问题。

技术领域

本发明涉及网络安全领域，具体涉及一种基于内容分发网络的攻击防御方法。

背景技术

CDN(Content Delivery Network)，即内容分发网络。通过该平台，可以将源站内容快而稳定地分发至最接近用户的节点，提高访问的响应速度、成功率，解决因地域分布、服务器性能、带宽问题等带来的访问延迟。CDN可以对外隐藏用户源站真实位置，但常规的CDN网络没有防御大流量攻击能力，且常常面临无法定位攻击、攻击节点只能停用该节点等问题，影响平台稳定性。

DDoS(Distributed Denial Of Service Attack)，即分布式拒绝服务攻击，是一种分布式协同的大规模攻击方式，攻击者利用大量代理服务器，向目标主机发送大量经过伪造的服务请求数据包，耗费对方大量系统资源，导致目标主机无法对外正常提供服务。主要攻击对象是网站服务器，是Web网络层拒绝服务攻击。

CC攻击(Challenge Collapsar Attack)，即上述DDoS攻击的一种类型，攻击者通过控制某些代理主机持续发送大量经过伪造的服务请求数据包，耗费对方大量系统资源从而导致系统崩溃。主要针对网站页面，是Web应用层拒绝服务攻击。

针对DDoS和CC攻击，高防IP是目前一种较为有效的防御系统，所有公网流量都将流经高防机房，攻击流量将在高防IP上清洗过滤，而正常访问流量将通过端口协议转发的方式返回至源站IP。但由于高防资源成本较高，且几乎没有任何内容加速效果，访问延迟和不稳定性问题较大。所以，基于内容加速的安全防护系统的研究，在当前有着较为重要的意义。

发明内容

本发明提供了一种基于内容分发网络的攻击防御方法，能够解决CDN网络面临攻击资源消耗过高甚至大规模瘫痪的问题，能够解决普通高防系统时延过大和网络拥塞的问题。

一种基于内容分发网络的攻击防御方法，包括以下步骤：

1)在内容分发网络设置n个边缘节点；

2)根据链路的个数确定高防组数，建立高防集群，每个高防组包括n个高防IP；

3)域名解析到内容分发网络后，在内容分发网络的每个边缘节点和链路设置请求数(QPS)和带宽的阈值，当某个边缘节点的请求数、流量至少一个超过阈值，则进行异常处理；

4)切入高防集群后分别对高防集群的每个高防IP进行请求数、流量监测，同时对内容分发网络中受到影响的边缘节点、链路、IP进行请求数、流量监测；

步骤1)中，每个边缘节点包括m个IP，m是根据客户数量和类型设定，m个IP对应m个链路。

步骤2)中，所述的高防是指单个防御50G以上的高防服务器。

步骤3)中，所述的异常处理具体包括：

当某个边缘节点的请求数、流量至少一个超过阈值，则使用相同IP数的备用节点替换该边缘节点，并持续监测备用节点的请求数、流量，如果备用节点的请求数仍超过阈值，则域名解析切入高防集群，如果备用节点的请求数不超过阈值，则将该备用节点及其IP正式替代原边缘节点及其IP，将原边缘节点进行黑洞封禁处理，之后转为备用资源；