本發(fā)明涉及網(wǎng)絡(luò)技術(shù)，尤其涉及一種反射型DDOS攻擊流量的防御系統(tǒng)及方法。

背景技術(shù)：

目前不論是應(yīng)對(duì)普通的DDOS攻擊抑或反射型DDOS攻擊，都采用在被保護(hù)端前部署流量清洗設(shè)備，使用主動(dòng)檢測(cè)和被動(dòng)牽引清洗的方式，這種方式具有非常大的缺陷，就是流量一旦已經(jīng)形成，來(lái)到被保護(hù)端的傳輸鏈路，再清洗只能起到相當(dāng)一部分的作用，如果流量不足以使到傳輸擁塞，這種清洗方法還尚算比較有效，但一旦流量大到足以擁塞傳輸，這種清洗方案能起到的作用已經(jīng)相當(dāng)有限了，而反射型的DDOS攻擊流量，一般都能達(dá)到幾十Gbps以上，一般的數(shù)據(jù)中心和小運(yùn)營(yíng)商，都不一定能夠有足量的帶寬去傳輸如此巨大的流量。

還有一種比較新型的清洗方案，在每個(gè)網(wǎng)絡(luò)的傳輸源端都部署清洗設(shè)備，用來(lái)清洗每個(gè)源端發(fā)出的攻擊流量，這種清洗源端的方法能夠在攻擊流量發(fā)出點(diǎn)就可以清洗掉流量，對(duì)阻止大攻擊流量的形成具有非常明顯的效果，但也同樣有一個(gè)很大的缺點(diǎn)，這種清洗方法部署成本非常高昂，網(wǎng)絡(luò)的架設(shè)復(fù)雜度也比較大。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于提出一種反射型DDOS攻擊流量的防御系統(tǒng)及方法，采用主動(dòng)防御的方式，向反射型攻擊所利用的基礎(chǔ)服務(wù)器發(fā)出請(qǐng)求，來(lái)減低攻擊流量的產(chǎn)生效率或引導(dǎo)流量到達(dá)不同的地方，使用這種減低巨大流量的產(chǎn)生或分散流量的方式，從源頭和傳輸雙重的方式去解決反射型攻擊。

為達(dá)此目的，本發(fā)明采用以下技術(shù)方案：

一種反射型DDOS攻擊流量的防御系統(tǒng)，包括：

數(shù)據(jù)存儲(chǔ)模塊，用于建立數(shù)據(jù)庫(kù)以存儲(chǔ)基礎(chǔ)服務(wù)器的信息，所述基礎(chǔ)服務(wù)器的信息包括IP、服務(wù)類(lèi)型、所在區(qū)域、可通數(shù)值和最后活動(dòng)時(shí)間；

數(shù)據(jù)收集模塊，其包括檢測(cè)設(shè)備和抓包文件分析模塊；

所述檢測(cè)設(shè)備用于檢測(cè)各種DDOS攻擊，并把攻擊的數(shù)據(jù)記錄為抓包文件；

所述抓包文件分析模塊用于定期從所述檢測(cè)設(shè)備收集到的抓包文件取出每個(gè)數(shù)據(jù)包的IP，并使用IP區(qū)域函數(shù)等方式得到該IP所在區(qū)域，用此兩項(xiàng)信息更新所述數(shù)據(jù)庫(kù)中的信息；

數(shù)據(jù)測(cè)試模塊，用于定期從所述數(shù)據(jù)庫(kù)獲取最后活動(dòng)時(shí)間離當(dāng)前時(shí)間超過(guò)設(shè)定值M小時(shí)的IP，添加到待更新列表；

并從待更新列表中獲取每個(gè)IP，并向這些IP同時(shí)發(fā)送T類(lèi)型請(qǐng)求，記錄下這些IP返回的數(shù)據(jù)類(lèi)型和數(shù)據(jù)量，并以此兩項(xiàng)數(shù)據(jù)來(lái)更新數(shù)據(jù)庫(kù)中對(duì)應(yīng)IP的服務(wù)類(lèi)型和可通數(shù)值，并把該IP的最后活動(dòng)時(shí)間更新為當(dāng)前時(shí)間；

流量引導(dǎo)模塊，包括若干流量引導(dǎo)設(shè)備X,用于等待接收IP和T類(lèi)型請(qǐng)求，并向該IP發(fā)送大量T類(lèi)型請(qǐng)求數(shù)據(jù)報(bào)文；

從正發(fā)生攻擊的網(wǎng)絡(luò)節(jié)點(diǎn)a的所述檢測(cè)設(shè)備中獲取攻擊源的IP，并在所述數(shù)據(jù)庫(kù)中查詢(xún)這些IP的服務(wù)類(lèi)型和可通數(shù)值；

若IP存在于所述數(shù)據(jù)庫(kù)且所述可通數(shù)值大于0，則向其他未被攻擊的網(wǎng)絡(luò)節(jié)點(diǎn)的流量引導(dǎo)設(shè)備X發(fā)送IP和服務(wù)類(lèi)型這兩項(xiàng)數(shù)據(jù)用于發(fā)送請(qǐng)求的參數(shù)；

否則，則把該IP添加到所述數(shù)據(jù)測(cè)試模塊的更新列表中。

進(jìn)一步，還包括統(tǒng)計(jì)模塊，用于統(tǒng)計(jì)數(shù)據(jù)庫(kù)中的區(qū)域分布。

進(jìn)一步，所述T類(lèi)型請(qǐng)求包括NTP、SSDP和DNS。

進(jìn)一步，M的值為2，即所述數(shù)據(jù)測(cè)試模塊，用于定期從所述數(shù)據(jù)庫(kù)獲取最后活動(dòng)時(shí)間離當(dāng)前時(shí)間超過(guò)設(shè)定值2小時(shí)的IP，添加到待更新列表。

一種反射型DDOS攻擊流量的防御方法，包括：

檢測(cè)各種DDOS攻擊，并把攻擊的數(shù)據(jù)記錄為抓包文件；

分析抓包文件，定期從所述檢測(cè)設(shè)備收集到的抓包文件取出每個(gè)數(shù)據(jù)包的IP，并使用IP區(qū)域函數(shù)等方式得到該IP所在區(qū)域，用此兩項(xiàng)信息更新所述數(shù)據(jù)庫(kù)中的信息；

定期從所述數(shù)據(jù)庫(kù)獲取最后活動(dòng)時(shí)間離當(dāng)前時(shí)間超過(guò)設(shè)定值M小時(shí)的IP，添加到待更新列表；

從待更新列表中獲取每個(gè)IP，并向這些IP同時(shí)發(fā)送T類(lèi)型請(qǐng)求，記錄下這些IP返回的數(shù)據(jù)類(lèi)型和數(shù)據(jù)量，并以此兩項(xiàng)數(shù)據(jù)來(lái)更新數(shù)據(jù)庫(kù)中對(duì)應(yīng)IP的服務(wù)類(lèi)型和可通數(shù)值，并把該IP的最后活動(dòng)時(shí)間更新為當(dāng)前時(shí)間；

等待接收IP和T類(lèi)型請(qǐng)求，并向該IP發(fā)送大量T類(lèi)型請(qǐng)求數(shù)據(jù)報(bào)文；

從正發(fā)生攻擊的網(wǎng)絡(luò)節(jié)點(diǎn)a的所述檢測(cè)設(shè)備中獲取攻擊源的IP，并在所述數(shù)據(jù)庫(kù)中查詢(xún)這些IP的服務(wù)類(lèi)型和可通數(shù)值；

若IP存在于所述數(shù)據(jù)庫(kù)且所述可通數(shù)值大于0，則向其他未被攻擊的網(wǎng)絡(luò)節(jié)點(diǎn)的流量引導(dǎo)設(shè)備X發(fā)送IP和服務(wù)類(lèi)型這兩項(xiàng)數(shù)據(jù)用于發(fā)送請(qǐng)求的參數(shù)；

否則，則把該IP添加到所述數(shù)據(jù)測(cè)試模塊的更新列表中。

進(jìn)一步，還包括統(tǒng)計(jì)所述數(shù)據(jù)庫(kù)中的區(qū)域分布。

進(jìn)一步，所述T類(lèi)型請(qǐng)求包括NTP、SSDP和DNS。

進(jìn)一步，M的值為2，即所述數(shù)據(jù)測(cè)試模塊，用于定期從所述數(shù)據(jù)庫(kù)獲取最后活動(dòng)時(shí)間離當(dāng)前時(shí)間超過(guò)設(shè)定值2小時(shí)的IP，添加到待更新列表。

本發(fā)明根據(jù)上述內(nèi)容提出一種反射型DDOS攻擊流量的防御系統(tǒng)及方法，通過(guò)檢測(cè)攻擊抓包方式收錄被反射型攻擊利用的基礎(chǔ)服務(wù)器；通過(guò)向基礎(chǔ)服務(wù)器發(fā)送反射請(qǐng)求測(cè)試基礎(chǔ)服務(wù)器的服務(wù)類(lèi)型和可通性，提高流量引導(dǎo)效率；實(shí)時(shí)從檢測(cè)設(shè)備獲取發(fā)出攻擊流量的基礎(chǔ)服務(wù)器的IP，從收錄的信息中獲取該IP的服務(wù)類(lèi)型和可通性，并根據(jù)服務(wù)類(lèi)型和可通性向該IP發(fā)送請(qǐng)求引導(dǎo)其流量。

本發(fā)明采用主動(dòng)防御的方式，向反射型攻擊所利用的基礎(chǔ)服務(wù)器發(fā)出請(qǐng)求，來(lái)減低攻擊流量的產(chǎn)生效率或引導(dǎo)流量到達(dá)不同的地方，使用這種減低巨大流量的產(chǎn)生或分散流量的方式，從源頭和傳輸雙重的方式去解決反射型攻擊。

本方法僅僅需要在自己所持有的網(wǎng)絡(luò)節(jié)點(diǎn)處部署小量的服務(wù)器即可，成本能夠能到非常有效的控制，本方法通過(guò)收集和偵測(cè)反射型攻擊利用的基礎(chǔ)服務(wù)器，針對(duì)不同的服務(wù)使用不同的請(qǐng)求方法提高流量引導(dǎo)的效率，取得更好的效果；使用非被攻擊的網(wǎng)絡(luò)節(jié)點(diǎn)，去分?jǐn)偙还艟W(wǎng)絡(luò)節(jié)點(diǎn)的攻擊流量，以此來(lái)減輕被攻擊網(wǎng)絡(luò)節(jié)點(diǎn)的壓力。

附圖說(shuō)明

圖1是本發(fā)明其中一個(gè)實(shí)施例的模塊框圖。

圖2是本發(fā)明其中一個(gè)實(shí)施例的流程圖。

具體實(shí)施方式

下面結(jié)合附圖并通過(guò)具體實(shí)施方式來(lái)進(jìn)一步說(shuō)明本發(fā)明的技術(shù)方案。

一種反射型DDOS攻擊流量的防御系統(tǒng)，包括：

數(shù)據(jù)存儲(chǔ)模塊，用于建立數(shù)據(jù)庫(kù)以存儲(chǔ)基礎(chǔ)服務(wù)器的信息，所述基礎(chǔ)服務(wù)器的信息包括IP、服務(wù)類(lèi)型、所在區(qū)域、可通數(shù)值和最后活動(dòng)時(shí)間；

數(shù)據(jù)收集模塊，其包括檢測(cè)設(shè)備和抓包文件分析模塊；

所述檢測(cè)設(shè)備用于檢測(cè)各種DDOS攻擊，并把攻擊的數(shù)據(jù)記錄為抓包文件；

所述抓包文件分析模塊用于定期從所述檢測(cè)設(shè)備收集到的抓包文件取出每個(gè)數(shù)據(jù)包的IP，并使用IP區(qū)域函數(shù)等方式得到該IP所在區(qū)域，用此兩項(xiàng)信息更新所述數(shù)據(jù)庫(kù)中的信息；

數(shù)據(jù)測(cè)試模塊，用于定期從所述數(shù)據(jù)庫(kù)獲取最后活動(dòng)時(shí)間離當(dāng)前時(shí)間超過(guò)設(shè)定值M小時(shí)的IP，添加到待更新列表；

并從待更新列表中獲取每個(gè)IP，并向這些IP同時(shí)發(fā)送T類(lèi)型請(qǐng)求，記錄下這些IP返回的數(shù)據(jù)類(lèi)型和數(shù)據(jù)量，并以此兩項(xiàng)數(shù)據(jù)來(lái)更新數(shù)據(jù)庫(kù)中對(duì)應(yīng)IP的服務(wù)類(lèi)型和可通數(shù)值，并把該IP的最后活動(dòng)時(shí)間更新為當(dāng)前時(shí)間；

流量引導(dǎo)模塊，包括若干流量引導(dǎo)設(shè)備X,用于等待接收IP和T類(lèi)型請(qǐng)求，并向該IP發(fā)送大量T類(lèi)型請(qǐng)求數(shù)據(jù)報(bào)文；

從正發(fā)生攻擊的網(wǎng)絡(luò)節(jié)點(diǎn)a的所述檢測(cè)設(shè)備中獲取攻擊源的IP，并在所述數(shù)據(jù)庫(kù)中查詢(xún)這些IP的服務(wù)類(lèi)型和可通數(shù)值；

若IP存在于所述數(shù)據(jù)庫(kù)且所述可通數(shù)值大于0，則向其他未被攻擊的網(wǎng)絡(luò)節(jié)點(diǎn)的流量引導(dǎo)設(shè)備X發(fā)送IP和服務(wù)類(lèi)型這兩項(xiàng)數(shù)據(jù)用于發(fā)送請(qǐng)求的參數(shù)；

否則，則把該IP添加到所述數(shù)據(jù)測(cè)試模塊的更新列表中。

本實(shí)施例的反射型DDOS攻擊流量的防御系統(tǒng)通過(guò)所述數(shù)據(jù)存儲(chǔ)模塊、數(shù)據(jù)收集模塊、數(shù)據(jù)測(cè)試模塊和流量引導(dǎo)模塊的配合，向所述基礎(chǔ)服務(wù)器發(fā)送請(qǐng)求，主動(dòng)引導(dǎo)流量的流向，分散眾多所述基礎(chǔ)服務(wù)器的攻擊流量，減少這些流量最后匯聚成超大流量的可能，能夠有效地減少最后到達(dá)被攻擊目標(biāo)所在網(wǎng)絡(luò)的流量，減輕目標(biāo)所在網(wǎng)絡(luò)傳輸?shù)呢?fù)擔(dān)，極大的降低了網(wǎng)絡(luò)被擁塞的可能性，只要傳輸不被擁塞，在此基礎(chǔ)上部署的清洗設(shè)備或者入侵防御設(shè)備才能夠正常的工作，發(fā)揮其本身的效果。

本系統(tǒng)還通過(guò)不斷測(cè)試從攻擊中抓取記錄下來(lái)的所述基礎(chǔ)服務(wù)器IP，獲取其服務(wù)類(lèi)型和可通性，以此提高流量引導(dǎo)的效率。本系統(tǒng)也能夠使成本得到非常有效的控制，只需要在自己的網(wǎng)絡(luò)節(jié)點(diǎn)處部署若干臺(tái)普通的服務(wù)器即可，也不會(huì)增加整個(gè)項(xiàng)目網(wǎng)絡(luò)架構(gòu)和部署的復(fù)雜度。

本系統(tǒng)通過(guò)檢測(cè)攻擊抓包方式收錄被反射型攻擊利用的基礎(chǔ)服務(wù)器；通過(guò)向基礎(chǔ)服務(wù)器發(fā)送反射請(qǐng)求測(cè)試基礎(chǔ)服務(wù)器的服務(wù)類(lèi)型和可通性，提高流量引導(dǎo)效率；實(shí)時(shí)從檢測(cè)設(shè)備獲取發(fā)出攻擊流量的基礎(chǔ)服務(wù)器的IP，從收錄的信息中獲取該IP的服務(wù)類(lèi)型和可通性，并根據(jù)服務(wù)類(lèi)型和可通性向該IP發(fā)送請(qǐng)求引導(dǎo)其流量。

本發(fā)明采用主動(dòng)防御的方式，向反射型攻擊所利用的基礎(chǔ)服務(wù)器發(fā)出請(qǐng)求，來(lái)減低攻擊流量的產(chǎn)生效率或引導(dǎo)流量到達(dá)不同的地方，使用這種減低巨大流量的產(chǎn)生或分散流量的方式，從源頭和傳輸雙重的方式去解決反射型攻擊。

進(jìn)一步，還包括統(tǒng)計(jì)模塊，用于統(tǒng)計(jì)數(shù)據(jù)庫(kù)中的區(qū)域分布。

能夠優(yōu)化部署流量引導(dǎo)設(shè)備X的結(jié)構(gòu)，達(dá)到更好的流量引導(dǎo)效果。

進(jìn)一步，所述T類(lèi)型請(qǐng)求包括NTP、SSDP和DNS。

這幾種類(lèi)型請(qǐng)求較為常見(jiàn)，當(dāng)然在其它實(shí)施例中所述T類(lèi)型請(qǐng)求可以為其它類(lèi)型的請(qǐng)求。

進(jìn)一步，M的值為2，即所述數(shù)據(jù)測(cè)試模塊，用于定期從所述數(shù)據(jù)庫(kù)獲取最后活動(dòng)時(shí)間離當(dāng)前時(shí)間超過(guò)設(shè)定值2小時(shí)的IP，添加到待更新列表。

當(dāng)M的值為2時(shí)，所述反射型DDOS攻擊流量的防御系統(tǒng)的防御效果更佳。

一種反射型DDOS攻擊流量的防御系統(tǒng)的方法，包括：

檢測(cè)各種DDOS攻擊，并把攻擊的數(shù)據(jù)記錄為抓包文件；

分析抓包文件，定期從所述檢測(cè)設(shè)備收集到的抓包文件取出每個(gè)數(shù)據(jù)包的IP，并使用IP區(qū)域函數(shù)等方式得到該IP所在區(qū)域，用此兩項(xiàng)信息更新所述數(shù)據(jù)庫(kù)中的信息；

定期從所述數(shù)據(jù)庫(kù)獲取最后活動(dòng)時(shí)間離當(dāng)前時(shí)間超過(guò)設(shè)定值M小時(shí)的IP，添加到待更新列表；

從待更新列表中獲取每個(gè)IP，并向這些IP同時(shí)發(fā)送T類(lèi)型請(qǐng)求，記錄下這些IP返回的數(shù)據(jù)類(lèi)型和數(shù)據(jù)量，并以此兩項(xiàng)數(shù)據(jù)來(lái)更新數(shù)據(jù)庫(kù)中對(duì)應(yīng)IP的服務(wù)類(lèi)型和可通數(shù)值，并把該IP的最后活動(dòng)時(shí)間更新為當(dāng)前時(shí)間；

等待接收IP和T類(lèi)型請(qǐng)求，并向該IP發(fā)送大量T類(lèi)型請(qǐng)求數(shù)據(jù)報(bào)文；

從正發(fā)生攻擊的網(wǎng)絡(luò)節(jié)點(diǎn)a的所述檢測(cè)設(shè)備中獲取攻擊源的IP，并在所述數(shù)據(jù)庫(kù)中查詢(xún)這些IP的服務(wù)類(lèi)型和可通數(shù)值；

若IP存在于所述數(shù)據(jù)庫(kù)且所述可通數(shù)值大于0，則向其他未被攻擊的網(wǎng)絡(luò)節(jié)點(diǎn)的流量引導(dǎo)設(shè)備X發(fā)送IP和服務(wù)類(lèi)型這兩項(xiàng)數(shù)據(jù)用于發(fā)送請(qǐng)求的參數(shù)；

否則，則把該IP添加到所述數(shù)據(jù)測(cè)試模塊的更新列表中。

本實(shí)施例的一種反射型DDOS攻擊流量的防御系統(tǒng)的方法通過(guò)所述基礎(chǔ)服務(wù)器發(fā)送請(qǐng)求，主動(dòng)引導(dǎo)流量的流向，分散眾多所述基礎(chǔ)服務(wù)器的攻擊流量，減少這些流量最后匯聚成超大流量的可能，能夠有效地減少最后到達(dá)被攻擊目標(biāo)所在網(wǎng)絡(luò)的流量，減輕目標(biāo)所在網(wǎng)絡(luò)傳輸?shù)呢?fù)擔(dān)，極大的降低了網(wǎng)絡(luò)被擁塞的可能性，只要傳輸不被擁塞，在此基礎(chǔ)上部署的流量引導(dǎo)設(shè)備X或者入侵防御設(shè)備才能夠正常的工作，發(fā)揮其本身的效果。

還通過(guò)不斷測(cè)試從攻擊中抓取記錄下來(lái)的所述基礎(chǔ)服務(wù)器IP，獲取其服務(wù)類(lèi)型和可通性，以此提高流量引導(dǎo)的效率。本系統(tǒng)也能夠使成本得到非常有效的控制，只需要在自己的網(wǎng)絡(luò)節(jié)點(diǎn)處部署若干臺(tái)普通的服務(wù)器即可，也不會(huì)增加整個(gè)項(xiàng)目網(wǎng)絡(luò)架構(gòu)和部署的復(fù)雜度。

通過(guò)檢測(cè)攻擊抓包方式收錄被反射型攻擊利用的基礎(chǔ)服務(wù)器；通過(guò)向基礎(chǔ)服務(wù)器發(fā)送反射請(qǐng)求測(cè)試基礎(chǔ)服務(wù)器的服務(wù)類(lèi)型和可通性，提高流量引導(dǎo)效率；實(shí)時(shí)從檢測(cè)設(shè)備獲取發(fā)出攻擊流量的基礎(chǔ)服務(wù)器的IP，從收錄的信息中獲取該IP的服務(wù)類(lèi)型和可通性，并根據(jù)服務(wù)類(lèi)型和可通性向該IP發(fā)送請(qǐng)求引導(dǎo)其流量。

本發(fā)明采用主動(dòng)防御的方式，向反射型攻擊所利用的基礎(chǔ)服務(wù)器發(fā)出請(qǐng)求，來(lái)減低攻擊流量的產(chǎn)生效率或引導(dǎo)流量到達(dá)不同的地方，使用這種減低巨大流量的產(chǎn)生或分散流量的方式，從源頭和傳輸雙重的方式去解決反射型攻擊。

本方法僅僅需要在自己所持有的網(wǎng)絡(luò)節(jié)點(diǎn)處部署小量的服務(wù)器即可，成本能夠能到非常有效的控制，本方法通過(guò)收集和偵測(cè)反射型攻擊利用的基礎(chǔ)服務(wù)器，針對(duì)不同的服務(wù)使用不同的請(qǐng)求方法提高流量引導(dǎo)的效率，取得更好的效果；使用非被攻擊的網(wǎng)絡(luò)節(jié)點(diǎn)，去分?jǐn)偙还艟W(wǎng)絡(luò)節(jié)點(diǎn)的攻擊流量，以此來(lái)減輕被攻擊網(wǎng)絡(luò)節(jié)點(diǎn)的壓力。

進(jìn)一步，還包括統(tǒng)計(jì)所述數(shù)據(jù)庫(kù)中的區(qū)域分布。

能夠優(yōu)化部署流量引導(dǎo)設(shè)備的結(jié)構(gòu)，達(dá)到更好的流量引導(dǎo)效果。

進(jìn)一步，所述T類(lèi)型請(qǐng)求包括NTP、SSDP和DNS。

這幾種類(lèi)型請(qǐng)求較為常見(jiàn)，當(dāng)然在其它實(shí)施例中所述T類(lèi)型請(qǐng)求可以為其它類(lèi)型的請(qǐng)求。

進(jìn)一步，M的值為2，即所述數(shù)據(jù)測(cè)試模塊，用于定期從所述數(shù)據(jù)庫(kù)獲取最后活動(dòng)時(shí)間離當(dāng)前時(shí)間超過(guò)設(shè)定值2小時(shí)的IP，添加到待更新列表。

當(dāng)M的值為2時(shí)，所述反射型DDOS攻擊流量的防御系統(tǒng)的防御效果更佳。

以上結(jié)合具體實(shí)施例描述了本發(fā)明的技術(shù)原理。這些描述只是為了解釋本發(fā)明的原理，而不能以任何方式解釋為對(duì)本發(fā)明保護(hù)范圍的限制?；诖颂幍慕忉?zhuān)绢I(lǐng)域的技術(shù)人員不需要付出創(chuàng)造性的勞動(dòng)即可聯(lián)想到本發(fā)明的其它具體實(shí)施方式，這些方式都將落入本發(fā)明的保護(hù)范圍之內(nèi)。