本发明涉及网络安全技术领域,尤其涉及一种防ddos攻击方法。
背景技术:
随着网络应用的普及,给我们生活及工作带来了诸多便利,但是网络安全也是我们需重点关注的,否则网络会给我们正常用户造成影响或损失,现有技术是通过流量清洗技术对ddos攻击的流量进行处理,当检测到ddos攻击流量对业务服务器发起攻击时,将非法流量引入到流量处理设备或服务器上,正常访问流量引导到业务处理服务器,但是ddos攻击的流量如果规模极大,还是会导致整个网络的拥挤,流量清洗技术仅能针对流入到业务处理服务器的流量进行处理,正常访问流量依然会应为网络的拥挤而受到影响。
技术实现要素:
本发明目的是为了克服现有技术的不足而提供一种防护效果好,流量调度更加精准高效且能有效保证正常用户宽带的防ddos攻击方法。
为达到上述目的,本发明采用了如下技术方案。
一种防ddos攻击方法,包括正常访问客户端、ddos攻击客户端、主交换机通道、正常访问流量、攻击流量、业务服务器和通道转换模块,具体包括如下处理步骤:
步骤一:所述通道转换模块在所述正常访问客户端与业务服务器端之间布置备用交换机通道,在正常访问期间,默认使用主交换机通道进行连接访问,并关闭备用交换机通道,使备用交换机通道的ip地址处于不激活状态;
步骤二:在所述正常访问客户端嵌入安装前通道协商模块,在所述业务服务器端内安装后通道协商模块;正常访问客户端和业务服务器端在初始化时,通道转换模块给正常访问客户端和业务服务器端分别分发各自的私钥,并将业务服务器端的公钥也分发给正常访问客户端;
步骤三:当业务服务器端检测到ddos攻击时,业务服务器端执行关闭受攻击的主交换机通道,拒绝主通道ip地址数据请求,同时激活备用交换机通道ip地址,开始处理备用通道ip地址接收到的数据;
步骤四:正常访问客户端访问业务服务器后出现无响应请求,则通道转换模块请求业务服务器端的通道变更信息;
步骤五:通道转换模块接收到正常访问客户端的请求后,执行如下动作,包括先使用摘要算法验证q和h1的完整性,再使用正常访问客户端的唯一标识计算正常访问客户端公钥p1,然后使用p1对正常访问客户端签名值m1进行验证签名;最后通道转换模块将请求指令的密文q和客户端唯一标识发给业务服务器端;
步骤六:业务服务器端使用自己的私钥s2解密q,获取客户端的通道变更请求,业务服务器端验证请求后,给通道转换模块反馈新的通道信息,先使用正常访问客户端的唯一标识计算客户端公钥p1,再使用p1通过非对称加密算法加密新的通道信息,密文a,然后使用摘要算法计算a的摘要h2,再使用业务服务器端私钥s2对摘要h2进行签名得到m2,最终将a,h2,m2发给通道转换模块,通道转换模块将a,h2,m2发送给正常访问客户端;
步骤七:正常访问客户端收到通道转换模块的返回信息后,先执行使用摘要算法验证a,h2的完整性,再使用业务服务器端的公钥p2验证签名值m2,使用正常访问客户端的私钥s1解密密文a得到新的通道信息,最后正常访问客户端使用新的通道信息访问业务服务器端,至此完成业务服务器端的正常访问。
作为本发明的进一步改进,所述备用交换机通道的数量为两个及两个以上。
作为本发明的进一步改进,所述步骤二中分发的正常访问客户端私钥生成的输入参数为正常客户端设备唯一标识。
作为本发明的进一步改进,所述步骤四的请求变更指令处理方法具体包括如下,先使用业务服务器端的公钥p2将请求指令进行非对称加密,加密数据q,再用摘要算法计算q的摘要h1,然后使用正常访问客户端的私钥s1对h1进行签名,签名值m1,最后将q,h1,m1发送给通道转换模块。
由于上述技术方案的运用,本发明的技术方案带来的有益技术效果:本技术方案在当业务服务器端的主交换机通道遇到ddos流量攻击时,则业务服务器执行关闭主交换机通道的通信请求,并同时开启备用交换机通道的通信通道,并通过通道转换模块通知正常访问客户端提示进行更换访问通道;本技术方案在业务服务器遭受到ddos攻击后,通过通道转换模块将合法的正常访问客户端引导到另外一个备用网络通道中,保证了正常访问业务不会受到ddos攻击的影响;本技术方案设置新的备用交换机通道信息只有合法的正常访问客户端和业务服务器端才知道,其他节点无法从交互数据中获知到新的通道信息,可有效避免遭受二次攻击,同时也实现了在异常情况下仍能快速链接到业务服务器端。
附图说明
附图1为本发明的整体结构流程示意框图。
图中:1.正常访问客户端;2.ddos攻击客户端;3.主交换机通道;4.正常访问流量;5.攻击流量;6.业务服务器;7.通道转换模块;8.备用交换机通道;9.前通道协商模块;10.后通道协商模块。
具体实施方式
下面结合反应路线及具体实施例对本发明作进一步的详细说明。
如图1所示,一种防ddos攻击方法,包括正常访问客户端1、ddos攻击客户端2、主交换机通道3、正常访问流量4、攻击流量5、业务服务器6和通道转换模块7,具体包括如下处理步骤:
步骤一:所述通道转换模块7在所述正常访问客户端1与业务服务器端6之间布置备用交换机通道8,在正常访问期间,默认使用主交换机通道3进行连接访问,并关闭备用交换机通道8,使备用交换机通道8的ip地址处于不激活状态;
步骤二:在所述正常访问客户端嵌入安装前通道协商模块9,在所述业务服务器端6内安装后通道协商模块10;正常访问客户端1和业务服务器端6在初始化时,通道转换模块7给正常访问客户端1和业务服务器端6分别分发各自的私钥,并将业务服务器端的公钥也分发给正常访问客户端1;
步骤三:当业务服务器端6检测到ddos攻击时,业务服务器端6执行关闭受攻击的主交换机通道3,拒绝主通道ip地址数据请求,同时激活备用交换机通道ip地址,开始处理备用通道ip地址接收到的数据;
步骤四:正常访问客户端1访问业务服务器后出现无响应请求,则通道转换模块7请求业务服务器端6的通道变更信息;
步骤五:通道转换模块7接收到正常访问客户端1的请求后,执行如下动作,包括先使用摘要算法验证q和h1的完整性,再使用正常访问客户端1的唯一标识计算正常访问客户端公钥p1,然后使用p1对正常访问客户端签名值m1进行验证签名;最后通道转换模块7将请求指令的密文q和客户端唯一标识发给业务服务器端6;
步骤六:业务服务器端6使用自己的私钥s2解密q,获取客户端的通道变更请求,业务服务器端6验证请求后,给通道转换模块7反馈新的通道信息,先使用正常访问客户端1的唯一标识计算客户端公钥p1,再使用p1通过非对称加密算法加密新的通道信息,密文a,然后使用摘要算法计算a的摘要h2,再使用业务服务器端私钥s2对摘要h2进行签名得到m2,最终将a,h2,m2发给通道转换模块,通道转换模块将a,h2,m2发送给正常访问客户端;
步骤七:正常访问客户端1收到通道转换模块7的返回信息后,先执行使用摘要算法验证a,h2的完整性,再使用业务服务器端6的公钥p2验证签名值m2,使用正常访问客户端1的私钥s1解密密文a得到新的通道信息,最后正常访问客户端使用新的通道信息访问业务服务器端6,至此完成业务服务器端6的正常访问。
所述备用交换机通道8的数量为两个及两个以上。所述步骤二中分发的正常访问客户端私钥生成的输入参数为正常客户端设备唯一标识。所述步骤四的请求变更指令处理方法具体包括如下,先使用业务服务器端6的公钥p2将请求指令进行非对称加密,加密数据q,再用摘要算法计算q的摘要h1,然后使用正常访问客户端1的私钥s1对h1进行签名,签名值m1,最后将q,h1,m1发送给通道转换模块7。
以上仅是本发明的具体应用范例,对本发明的保护范围不构成任何限制。凡采用等同变换或者等效替换而形成的技术方案,均落在本发明权利保护范围之内。
1.一种防ddos攻击方法,其特征在于:包括正常访问客户端(1)、ddos攻击客户端(2)、主交换机通道(3)、正常访问流量(4)、攻击流量(5)、业务服务器(6)和通道转换模块(7),具体包括如下处理步骤:
步骤一:所述通道转换模块(7)在所述正常访问客户端(1)与业务服务器端(6)之间布置备用交换机通道(8),在正常访问期间,默认使用主交换机通道(3)进行连接访问,并关闭备用交换机通道(8),使备用交换机通道(8)的ip地址处于不激活状态;
步骤二:在所述正常访问客户端嵌入安装前通道协商模块(9),在所述业务服务器端(6)内安装后通道协商模块(10);正常访问客户端(1)和业务服务器端(6)在初始化时,通道转换模块(7)给正常访问客户端(1)和业务服务器端(6)分别分发各自的私钥,并将业务服务器端的公钥也分发给正常访问客户端(1);
步骤三:当业务服务器端(6)检测到ddos攻击时,业务服务器端(6)执行关闭受攻击的主交换机通道(3),拒绝主通道ip地址数据请求,同时激活备用交换机通道ip地址,开始处理备用通道ip地址接收到的数据;
步骤四:正常访问客户端(1)访问业务服务器后出现无响应请求,则通道转换模块(7)请求业务服务器端(6)的通道变更信息;
步骤五:通道转换模块(7)接收到正常访问客户端(1)的请求后,执行如下动作,包括先使用摘要算法验证q和h1的完整性,再使用正常访问客户端(1)的唯一标识计算正常访问客户端公钥p1,然后使用p1对正常访问客户端签名值m1进行验证签名;最后通道转换模块(7)将请求指令的密文q和客户端唯一标识发给业务服务器端(6);
步骤六:业务服务器端(6)使用自己的私钥s2解密q,获取客户端的通道变更请求,业务服务器端(6)验证请求后,给通道转换模块(7)反馈新的通道信息,先使用正常访问客户端(1)的唯一标识计算客户端公钥p1,再使用p1通过非对称加密算法加密新的通道信息,密文a,然后使用摘要算法计算a的摘要h2,再使用业务服务器端私钥s2对摘要h2进行签名得到m2,最终将a,h2,m2发给通道转换模块,通道转换模块将a,h2,m2发送给正常访问客户端;
步骤七:正常访问客户端(1)收到通道转换模块(7)的返回信息后,先执行使用摘要算法验证a,h2的完整性,再使用业务服务器端(6)的公钥p2验证签名值m2,使用正常访问客户端(1)的私钥s1解密密文a得到新的通道信息,最后正常访问客户端使用新的通道信息访问业务服务器端(6),至此完成业务服务器端(6)的正常访问。
2.根据权利要求1所述的一种防ddos攻击方法,其特征在于:所述备用交换机通道(8)的数量为两个及两个以上。
3.根据权利要求1所述的一种防ddos攻击方法,其特征在于:所述步骤二中分发的正常访问客户端私钥生成的输入参数为正常客户端设备唯一标识。
4.根据权利要求1所述的一种防ddos攻击方法,其特征在于:所述步骤四的请求变更指令处理方法具体包括如下,先使用业务服务器端(6)的公钥p2将请求指令进行非对称加密,加密数据q,再用摘要算法计算q的摘要h1,然后使用正常访问客户端(1)的私钥s1对h1进行签名,签名值m1,最后将q,h1,m1发送给通道转换模块(7)。
技术总结