专利名称:防范分布式阻断服务DDoS攻击的方法、网络设备和网络系统的制作方法
技术领域:
本发明涉及网络安全技术领域,特别涉及防范分布式阻断服务DDoS攻 击的方法、网络设备和网络系统。
背景技术:
分布式阻断服务DDoS(Distributed Denial of Service)攻击主要是利用了 internet协议和internet基本优点——无偏差地从任何的源头传送数据包到任 意目的地。DDoS攻击分为两种要么大数据,大流量来压蜂网络设备和服 务器,要么有意制造大量无法完成的不完全请求来快速耗尽服务器资源。
DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。 DDoS攻击就是利用更多的傀儡机来发起进攻,以比从前更很多的规模来进 攻受害者。从技术角度讲,DDoS攻击包括威胁互联网计算机的安全和放置 特洛伊木马程序。众多的特洛伊木马程序会遵照一台由攻击者控制的主服务 器的指示,在指定的时间以特定的方式共同发动攻击。形成一个巨大的全球 范围内的僵尸攻击网络。
DDoS攻击有个重要的特点就是从大量的傀儡主机发起攻击,攻击的主 要手段就是向被攻击目标端发送大量的数据报文,从而达到摧毁被攻击端带 宽或者处理能力等的目标。
为了緩解DDOS给被攻击目标带来的压力,可以在被攻击目标前面放 置一个防御设备来完成,当发生DDoS攻击的时候,自动启动对攻击流量的 过滤功能,从而将DDoS攻击阻挡到过滤设备之外。
DDoS防御设备根据DDoS攻击的特征单独进行攻击一企测,典型的比如检测到超过一定阈值的大量的SYN报文,则认为发生了 SYN Flood攻击 (DDoS攻击的一种),不管被攻击目标是否真正产生攻击效果。
过滤掉大量的攻击报文,并允许正常访问的报文通过,从而一定程度上抑制 了对被攻击目标的攻击。
由于该防御方案采用独立的设备,只是从网络流量进行一定的特征检测 从而判断是否有攻击的发生,但对于不同的被攻击目标,攻击的特征以及判 断攻击的阈值并不是很容易的确定,从而很容易产生一定程度的误报和漏 报。
-双*流进行检
发明内容
鉴于此,本发明实施例提供一种防范DDoS攻击的方法,包括
在服务器端对该服务器的运行状态或进入该服务器的P 观'J,判断是否有针对该服务器的DDos攻击发生;
如果有针对该服务器的DDos攻击发生,则通知数据清洗设备对流向该服务 器的网络数据流进行清洗。
本发明实施例还提供一种网络设备,包括分布式阻断服务DDoS攻击
防御模块,该模块包括
检测单元,用于在网络设备端对该网络设备的运行状态和/或进入该网 络设备的网络数据流进行检测,判断是否有针对本网络设备的DDos攻击发
生;
通知单元,用于当所述检测单元判断有针对本网络设备的DDos攻击发生 时,通知数据清洗设备对针对本网络设备的网络数据流进行清洗。
本发明实施例还提供包括一种网络系统,包括至少一个网络设备和数据 清洗设备,其中
所述网络设备,用于接收和处理来自网络侧的网络数据流,其包括 DDoS攻击防御模块,用于对该网络设备的运行状态或进入该网络设备的网络数据流进行检测,判断是否有针对该网络设备的DDos攻击发生;如果有 针对该网络设备的DDos攻击发生,则通知数据清洗设备对流向该网络设备 的网络数据流进行清洗;
数据清洗设备,用于与所述网络设备进行协商,根据协商结果对网络数 据流进行清洗。
综上可见,本发明实施例提出的防范DDoS攻击的方法、网络设备和网络系 统,能够从被攻击目标端进行检测和初步的防御,获得攻击的状态和提供防御 需要的信息,从而有效的进行攻击的防御。
图1为本发明实施例一的网络系统架构示意图2为本发明实施例一的防范分布式阻断服务DDoS攻击的方法流程图3为本发明实施例一的DDoS攻击防御模块结构示意图4为本发明实施例二的网络系统架构示意图5为本发明实施例二的防范DDoS攻击的方法流程图6为本发明实施例三的DDoS攻击防御模块结构示意图7为本发明实施例四的DDoS攻击防御;漠块结构示意图。
具体实施例方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面结合附图对 本发明实施例作进 一 步的详细阐述。
在以下各个实施例中,网络的类型可以是移动网络、固定网络、移动固定 移动融合网络等,可以是局域网、城域网、广域网,可以是接入网、核心网、 传输网,可以是点对点网络(P2P)、客户机/服务器架构的网络(C/S)等。
6实施例一
本发明实施例提出在被攻击目标服务器上安装一个DDoS攻击防御模 块,该模块可以对该服务器的运行状态和/或进入该服务器的网络数据流进 行检测,进而将检测的结果反馈给数据流清洗设备。服务器端DDoS攻击防 御模块可以是硬件,也可以是软件,可以是不限于网络接口层、内核级或者 应用级软件等,该模块可以是一个独立的软件或者某安全软件的一部分功 能,可以是从各个层面进行防御的硬件或软件。
服务器的运行状态可以是中央处理器、存储器的运行负荷、网络流量等 状态。
如图1所示,本实施例的网络系统包括
攻击检测设备Detector102,用于对网络侧的网络数据流进行4全测;当 检测到有针对某个服务器的DDoS攻击发生时,则利用流量牵引技术将流向 被攻击目标的攻击网络数据流定向到数据流清洗设备Cleaner中进行清洗, 将正常的网络数据流发送给该服务器;可以通过IP地址、Mac地址等来识 别DDos攻击的纟皮攻击目标。
数据流清洗设备Cleaner104,用于与攻击4全测设备Detector和服务器进 行协商,根据协商结果对网络数据流进行清洗;
至少一个服务器106,用于接收和处理来自网络侧的网络数据流,其包 括DDoS攻击防御模块,用于对服务器的运行状态和/或进入服务器的网络 数据流进行检测,判断是否有DDos攻击发生,将判断结果反馈给数据流清 洗设备;如果所述检测单元判断有针对本网络设备的DDos攻击发生,则通 知数据清洗设备对流向本网络设备的网络数据流进行清洗;进一步地,还可 以对经过数据流清洗设备清洗处理的数据流进行清洗。
数据流清洗设备Cleaner可以部署在服务器前端的任意位置。如图l所 示,数据流清洗设备Cleaner部署在路由器108和交换机110之间。
Cleaner设备与服务器端DDoS攻击防御模块可以有一个联动接口 。参照图2所示,本实施例提出的防范DDoS攻击的方法,包括以下步骤 S202、攻击检测设备Detector根据网络数据流的特征检测是否有针对某 个服务器的DDoS攻击发生,当检测到DDoS攻击发生时,则利用流量牵引 技术将所有流向被攻击目标的攻击网络数据流定向到数据清洗设备Cleaner 中进行清洗,将正常的网络数据流定向到该服务器。可以通过IP地址、Mac 地址等来识别被攻击目标。
S204、服务器端DDoS攻击防御模块在服务器端对服务器的运行状态和 /或网络数据流进行检测,判断是否有DDoS攻击发生。该模块的检测采用 多种引擎和算法,尽早发现DDOS攻击;该模块与网络侧的Detector模块同 时工作。
服务器端检测可以基于流,可以基于文件,也可以基于协议分析;由于 检测所处的位置在服务器端,灵敏度将比网络侧设备高,可以发现的DDOS 特征比网络侧发现的更多。
S206、当服务器端DDoS攻击防御模块判断有针对本服务器的DDoS 攻击时,则通过联动接口通知数据清洗设备或者采用其他手段,将针对本服 务器的网络数据流重定向到数据清洗设备进行清洗。DDoS攻击防御模块可 以提取攻击网络报文特征,通知数据清洗设备进行清洗。
因为经过清洗处理以后的网络数据流可能还包含部分DDOS攻击,所 以,可进一步包括
S208、 DDoS攻击防御模块对经过数据清洗设备清洗处理的、进入服务 器的网络数据流进行清洗。
本实施例中的DDoS攻击防御模块可以包括
检测单元302,用于在服务器端对服务器的运行状态和/或进入该服务器 的网络数据流进行检测,判断是否有针对本服务器的DDos攻击发生;
通知单元304,用于当检测单元判断有针对本服务器的DDos攻击发生, 通知数据清洗设备将针对所述服务器的网络数据流重定向到数据清洗设备进行清洗;
清洗单元306,用于对进入所述服务器的网络数据流进行清洗。
通过本发明实施例,能够从被攻击目标端进行;险测和初步的防御,获得 攻击的状态和提供防御需要的信息,从而有效的进行攻击的防御。
实施例二
在本实施例中,无需在网络侧安装攻击检测设备Detector,只需在被攻 击目标服务器上安装一个DDoS攻击防御模块。
如图4所示,本实施例的网络系统包括
数据流清洗设备Cleaner402,用于与攻击检测设备Detector和服务器进 行协商,根据协商结果对网络数据流进行清洗;
至少一个服务器404,用于接收和处理来自网络侧的网络数据流,其包 括DDoS攻击防御模块,用于对服务器的运行状态和/或网络数据流进行检 测,将检测的结果反馈给数据清洗设备;进一步地,还可以对经过数据清洗 设备清洗处理的数据流进行清洗。
数据清洗设备Cleaner可以部署在服务器前端的任意位置。如图4所示, 数据清洗设备Cleaner部署在路由器406和交换机408之间。
Cleaner设备与服务器端DDoS攻击防御冲莫块可以有一个联动接口 。
如图5所示,本实施例提供的方法包括
S502、服务器端DDoS攻击防御模块在服务器端对服务器的运行状态和 /或网络数据流进行检测,确定是否有DDoS攻击发生。该模块的检测采用 多种引擎和算法,尽早发现DDOS攻击;该模块与网络侧的攻击检测设备 Detector同时工作。
服务器端检测可以基于流,也可以基于文件;可以基于协议分析;由于
9检测所处的位置在服务器端,灵敏度将比网络侧设备的高,可以发现的
DDOS特征比网络侧发现的更多。
S504、当服务器端DDoS攻击防御模块确定有针对本服务器的DDoS 攻击时,则通过联动接口通知数据清洗设备或者采用其他手段,将针对本服 务器IP的网络数据流重定向到数据清洗设备进行清洗处理。DDoS攻击防御 模块可以提取攻击网络报文特征,通知数据清洗设备进行清洗。
因为经过清洗以后的网络数据流可能还包含部分DDOS攻击,所以, 可进一步包括
S506、 DDoS攻击防御模块对经过数据清洗设备清洗的、进入服务器的 网络数据流进行清洗。
通过本发明实施例,能够从被攻击目标端进行检测和初步的防御,获得 攻击的状态和提供防御需要的信息,从而有效的进行攻击的防御。而且不需 要部署攻击^r测设备Detector,可以节省成本。
实施例三
本实施例的方案在服务器上增加负载报警机制,参见图6所示,DDoS 攻击防御模块可以进一步包括
负载报警单元602,用于监控进入本服务器的网络数据流的流量,当数 据流流量达到预设值时,比如一个自定义的危险级别时,向数据清洗设备发 起告警。
检测进入该服务器的流量可以通过检测网卡上的流量来实现,按承受能 力划分级别,可以与数据清洗设备的清洗过滤强度进行联动。当经过服务器 网卡的流量达到 一个危险的级别时,向数据清洗设备发起告警。
通过本发明实施例,可以使服务器端根据流量进行DDos攻击的报警和 防御,提高了安全性。实施例四
本实施例的方案在服务器与检测设备之间建立心跳联动,检测设备可以 是数据清洗设备。
当服务器的CPU资源被耗尽的时候,主机不能再发出任何消息,可以 通过检测心跳去判断这台服务器是否已经瘫掉了 。当数据清洗设备发现主机 已经瘫掉,则要开始对服务器进行抢救,抢救措施包括
(1 )在数据清洗设备上对流向服务器的流量进行限流,该限流可以是抢 救级别的限流;检测心跳是否恢复;如果心跳没有恢复,则可以重新启动服 务器。
(2)心跳恢复后,检测设备分析"瘫痪原因",完善过滤规则。检测设 备可以是清洗设备。
参见图7所示,DDoS攻击防御模块可以进一步包括
心跳发送单元702,用于向数据清洗设备发送心跳。
通过本发明实施例,可以使服务器端在DDos攻击下陷于瘫痪的情况时 通过心跳告知数据清洗设备进行限流,抵御DDos攻击,提高安全性。
在以上各个实施例中,被攻击目标服务器在不同的网络环境中可以是其 他类型的设备,如计算机、手机、网络节点(如路由器、交换机、基站等)、 家用电器等。
综上可见,本发明实施例提出的防范DDoS攻击的方法、网络设备和网 络系统,能够从被攻击目标端进行检测和初步的防御,准确的获得攻击的状 态和提供防御需要的信息从而有效的进行攻击的防御。
专业人员还可以意识到,结合本文中所公开的实施例描述的各示例的单元
及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚
地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各
示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方
案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器 执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器
(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可4寮除可编程ROM、 寄存器、硬盘、可移动磁盘、CD-ROM、或任意其它形式的存储介质中。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发 明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明 的保护范围之内。
权利要求
1、一种防御分布式阻断服务DDoS攻击的方法,其特征在于,包括在服务器端对该服务器的运行状态或进入该服务器的网络数据流进行检测,判断是否有针对该服务器的DDos攻击发生;如果有针对该服务器的DDos攻击发生,则通知数据清洗设备对流向该服务器的网络数据流进行清洗。
2、根据权利要求1所述的方法,其特征在于,所述方法进一步包括: 在服务器端对所述经过数据清洗设备处理的网络数据流进行清洗。
3、根据权利要求1所述的方法,其特征在于,在所述在服务器端对该服务 器的运行状态或进入服务器的网络数据流进行检测的步骤之前进一步包括网络侧攻击检测设备对网络数据流进行检测,判断是否有针对该服务器的 DDos攻击发生,如果是,则将流向所述服务器的网络数据流定向到数据清洗设 备中进行清洗。
4、 一种网络设备,其特征在于,包括分布式阻断服务DDoS攻击防御 模块,该模块包括检测单元,用于在网络设备端对该网络设备的运行状态或进入该网络 设备的网络数据流进行检测,判断是否有针对该网络设备的DDos攻击发生;通知单元,用于当所述4企测单元判断有针对该网络设备的DDos攻击发 生时,通知数据清洗设备对针对该网络设备的网络数据流进行清洗。
5、 如权利要求4的网络设备,其特征在于,所述DDoS攻击防御模块 进一步包括清洗单元,用于对进入该网络设备的网络数据流进行清洗。
6、 如权利要求4的网络设备,其特征在于,所述DDoS攻击防御模块进一步包括负载报警单元,用于监控进入该网络设备的网络数据流的流量,当数据 流流量达到预设值时,向所述数据清洗设备发起告警。
7、 如权利要求4的网络设备,其特征在于,所述DDoS攻击防御模块 进一步包括心跳发送单元,用于向数据清洗设备发送心跳。
8、 一种网络系统,其特征在于,包括至少一个网络设备和数据清洗设 备,其中所述网络设备,用于接收和处理来自网络侧的网络数据流,其包括 DDoS攻击防御模块,用于对该网络设备的运行状态或进入该网络设备的网 络数据流进行检测,判断是否有针对该网络设备的DDos攻击发生;如果有 针对该网络设备的DDos攻击发生,则通知数据清洗设备对流向该网络设备 的网络数据流进行清洗;数据清洗设备,用于与所述网络设备进行协商,根据协商结果对网络数 据流进行清洗。
9、 如权利要求8的网络系统,其特征在于,进一步包括 攻击检测设备Detector,用于对网络侧的网络数据流进行检测,判断是否有针对所述网络设备的DDos攻击发生,如果是,则将流向所述网络设备 的网络数据流定向到数据清洗设备中进行清洗。
10、如权利要求8的网络系统,其特征在于,所述网络设备的类型包括计算机、服务器、手机、路由器、交换机或基站。
全文摘要
本发明实施例公开一种防御分布式阻断服务DDoS攻击的方法,包括在服务器端对该服务器的运行状态或进入服务器的网络数据流进行检测,判断是否有针对本服务器的DDos攻击发生;如果有针对本服务器的DDos攻击发生,则通知数据清洗设备对流向该服务器的网络数据流进行清洗。本发明实施例还公开了一种网络设备和网络系统。通过本发明实施例,能够从被攻击目标端进行检测和初步的防御,准确的获得攻击的状态和提供防御需要的信息,从而有效地防御DDos攻击。
文档编号H04L9/36GK101588246SQ20081006737
公开日2009年11月25日 申请日期2008年5月23日 优先权日2008年5月23日
发明者李红星 申请人:成都市华为赛门铁克科技有限公司