一种抗ddos攻击的控制方法和装置制造方法

一种抗ddos攻击的控制方法和装置制造方法
【专利摘要】本发明公开了一种抗DDOS攻击的控制方法和装置，用以克服现有技术中DDOS服务需要一直处于开启状态、对所有转发的数据包进行DDOS检测的问题。所述方法包括：配置session表创建速率阈值，检测当前session表的创建速率；比较所述当前session表创建速率与所述阈值；当所述当前session表的创建速率大于或等于所述阈值时，开启抗DDOS攻击服务；当所述当前session表的创建速率小于所述阈值时，关闭抗DDOS攻击服务。如此，仅在需要的时候才开启抗DDOS攻击服务，不需要对所有转发的数据包进行DDOS检测，在保证阻止DDOS攻击的前提下，有效的保证了数据转发的速率。
【专利说明】一种抗DDOS攻击的控制方法和装置

【技术领域】
[0001]本发明属于网络通信安全【技术领域】，具体涉及一种抗分布式拒绝服务(Distributed Denial Of Service, DDOS)攻击的控制方法和装置。

【背景技术】
[0002]拒绝服务(Denial Of Service, DOS)攻击是当前网络中威胁最大的攻击之一。DOS攻击主要是通过恶意手段使目标服务器的CPU达到满载，耗尽服务器的资源，从而使用户无法实现对服务器的正常访问。分布式拒绝服务(Distributed Denial Of Service, DDOS)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动攻击，从而成倍地提高DOS攻击的威力。
[0003]目前，大多数防火墙设备都提供抗DDOS攻击服务，为了预防DDOS攻击，防火墙设备一般一直开启着抗DDOS攻击模块，以有效的阻止DDOS攻击行为。但是，如果防火墙一直开启着抗DDOS攻击模块，则需要对所有通过防火墙的数据包都进行攻击检测，如此，增加了防火墙的检测负担，从而导致防火墙转发数据包的速率下降，降低了防火墙的性能。


【发明内容】

[0004]本发明的目的是提供一种抗DDOS攻击的方法和装置，仅在需要的时候才开启抗DDOS攻击服务，在保证阻止DDOS攻击的前提下，有效的保证了数据转发的速率。
[0005]根据本发明的一个方面，提供了一种抗分布式拒绝服务DDOS攻击的控制方法，所述方法包括如下步骤:
[0006]配置sess1n表的创建速率阈值；
[0007]检测当前sess1n表的创建速率；
[0008]比较所述当前sess1n表创建速率与所述阈值；
[0009]当所述当前sess1n表的创建速率大于或等于所述阈值时，开启抗DDOS攻击服务;
[0010]当所述当前sess1n表的创建速率小于所述阈值时，关闭抗DDOS攻击服务。
[0011]上述方案中，所述配置sess1n表的创建速率阈值,具体为:
[0012]通过命令语句查看sess1n表创建速率的统计值,根据所述统计值配置sess1n表的创建速率阈值。
[0013]上述方案中，所述统计值至少包括:当日sess1n表创建速率的最大值和平均值、当前周sess1n表创建速率的最大值和平均值和当前月sess1n表创建速率的最大值和平均值。
[0014]上述方案中,所述sess1n表由带有因特网协议安全IPSec功能的网络设备在转发报文时进行创建。
[0015]本发明所提供的一种抗DDOS攻击的控制方法，通过预先配置sess1n表创建速率阈值，当检测到的当前sess1n表的创建速率大于或等于所述阈值时，开启抗DDOS攻击服务；当检测到的当前sess1n表的创建速率小于所述阈值时,关闭抗DDOS攻击服务。如此，仅在需要的时候才开启抗DDOS攻击服务，克服了现有技术中DDOS服务需要一直处于开启状态、对所有转发的数据包进行DDOS检测的敝端，在保证阻止DDOS攻击的前提下，有效的保证了数据转发的速率。
[0016]根据本发明的另一个方面，还提供了一种抗分布式拒绝服务DDOS攻击的控制装置，所述装置包括:
[0017]阈值配置单元，用于配置sess1n表的创建速率阈值；
[0018]sess1n表创建速率检测单元,用于检测当前sess1n表的创建速率；
[0019]DDOS启闭控制单元，分别与所述阈值配置单元和所述sess1n表创建速率检测单元连接，用于比较所述当前sess1n表创建速率与所述阈值，当所述当前sess1n表的创建速率大于所述阈值时，开启抗DDOS攻击单元；当所述当前sess1n表的创建速率小于或等于所述阈值时，关闭抗DDOS攻击单元；以及
[0020]所述抗DDOS攻击单元，与所述DDOS启闭控制单元相连，用于提供抗DDOS攻击服务。
[0021]上述方案中，所述阈值配置单元进一步用于:通过命令语句查看sess1n表创建速率的统计值，根据所述统计值配置sess1n表创建速率阈值。
[0022]上述方案中，所述统计值至少包括:当日sess1n表创建速率的最大值和平均值、当前周sess1n表创建速率的最大值和平均值和当前月sess1n表创建速率的最大值和平均值。
[0023]上述方案中,其特征在于,所述sess1n表由带有因特网协议安全IPSec功能的网络设备在转发报文时进行创建。
[0024]上述方案中，所述网络设备为防火墙。
[0025]本发明所提供的一种抗DDOS攻击的控制装置,通过预先配置sess1n表创建速率阈值，当检测到的当前sess1n表的创建速率大于或等于所述阈值时，开启抗DDOS攻击服务；当检测到的当前sess1n表的创建速率小于所述阈值时,关闭抗DDOS攻击服务。如此，仅在需要的时候才开启抗DDOS攻击服务，克服了现有技术中DDOS服务需要一直处于开启状态、对所有转发的数据包进行DDOS检测的敝端，在保证阻止DDOS攻击的前提下，有效的保证了数据转发的速率。

【专利附图】

【附图说明】
[0026]图1是本发明优选实施例的抗DDOS攻击的控制方法流程图；
[0027]图2是本发明优选实施例的配置sess1n表创建速率阈值的流程图；
[0028]图3是本发明优选实施例的抗DDOS攻击的控制装置结构示意图。

【具体实施方式】
[0029]为使本发明的目的、技术方案和优点更加清楚明了，下面结合【具体实施方式】并参照附图，对本发明进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。
[0030]当前，网络设备中抗DDOS攻击服务的提供方式，一般是一直开启着抗DDOS攻击服务，以有效的阻止DDOS攻击行为。一般提供抗DDOS攻击服务的网络设备为带有IPSec功能的网络设备，如防火墙。但是，如果一直开启着抗DDOS攻击服务，则需要对所有接收的数据包都进行攻击检测，如此，增加了网络设备的检测负担，从而导致转发数据包的速率下降，降低了网络设备的性能。
[0031]本发明通过检测sess1n创建速率的方案来判断是否存在DDOS攻击威胁，从而决定是否开启抗DDOS攻击服务进行安全防护。
[0032]图1是本发明优选实施例的抗DDOS攻击的控制方法流程图。
[0033]如图1所示，一种抗分布式拒绝服务DDOS攻击的控制方法，包括如下步骤:
[0034]步骤SI,配置sess1n表的创建速率阈值；
[0035]步骤S2,检测当前sess1n表的创建速率；
[0036]步骤S3,比较所述当前sess1n表创建速率与所述阈值；当所述当前sess1n表的创建速率大于所述阈值时，执行步骤S4 ;当所述当前sess1n表的创建速率小于或等于所述阈值时，执行步骤S5 ；
[0037]步骤S4，开启抗DDOS攻击服务；
[0038]步骤S5，关闭抗DDOS攻击服务。
[0039]其中，步骤SI中，配置sess1n表创建速率阈值，具体为:
[0040]图2是本发明优选实施例的配置sess1n表创建速率阈值的流程图，如图2所示，包括如下步骤:
[0041]步骤Sll,通过命令语句查看sess1n表创建速率的统计值；
[0042]步骤S12，根据所述统计值配置sess1n表创建速率阈值。
[0043]这里的命令语句,可以是show命令；统计值至少包含:当日sess1n表创建速率的最大值和平均值、当前周sess1n表创建速率的最大值和平均值和当前月sess1n表创建速率的最大值和平均值。在配置sess1n表创建速率阈值的过程中，以上述统计值为参考，也可以综合考虑不同用户的不同需求，从而配置一个合适的sess1n表创建速率的阈值，以这个阈值为标准来判定当前网络环境是否存在DDOS攻击威胁。
[0044]这里，sess1n表由带有因特网协议安全IPSec功能的网络设备在转发报文时进行创建，如防火墙。
[0045]下面以防火墙为例，具体说明一下本实施例抗DDOS攻击的控制方法。
[0046]在当前IPSec系统中，防火墙是通过由防火墙所转发的报文的IP五元组建立连接表(即sess1n表)的方式对报文进行转发的，通过防火墙进行转发的报文，首先匹配sess1n表,再根据sess1n表所记录的转发方式进行转发,这样大大提高了报文的转发速率，其报文转发速率远远高于使用逐包处理报文方式的报文转发速率。然而，当存在DDOS攻击时，sess1n表的创建速率会远大于正常网络环境下的sess1n表创建速率。基于DDOS攻击时的上述特点，因此本发明根据当前防火墙所在网络的实际环境配置一个sess1n表创建速率的阈值，防火墙可以根据这个阈值与当前sess1n表的创建速率的比较结果,来判断当前环境是否存在DDOS攻击的威胁。
[0047]在配置了防火墙的sess1n表的创建速率阈值后，实时检测防火墙的当前sess1n表的创建速率,并将当前sess1n表的创建速率与步骤SI所配置的阈值进行比较。
[0048]当防火墙sess1n表创建速率大于或等于该阈值，则判定当前网络环境存在DDOS攻击威胁，此时开启抗DDOS攻击服务，对进入防火墙的流量进行攻击检测。
[0049]当防火墙sess1n表创建速率小于该阈值，则判定当前网络环境不存在DDOS攻击威胁，此时关闭抗DDOS攻击服务，这样在不存在攻击威胁的情况下不会再对正常流量进行攻击检测，从而保证了防火墙转发报文的速率，有效的提高了防火墙的性能。
[0050]这里抗DDOS攻击服务，可以通过防火墙的抗DDOS攻击单元实现。
[0051]本发明所提供的一种抗DDOS攻击的控制方法，通过预先配置sess1n表创建速率阈值，当检测到的当前sess1n表的创建速率大于或等于所述阈值时，开启抗DDOS攻击服务；当检测到的当前sess1n表的创建速率小于所述阈值时,关闭抗DDOS攻击服务。如此，仅在需要的时候才开启抗DDOS攻击服务，克服了现有技术中DDOS服务需要一直处于开启状态、对所有转发的数据包进行DDOS检测的敝端，在保证阻止DDOS攻击的前提下，有效的保证了数据转发的速率。
[0052]分布式拒绝服务DDOS攻击是成倍地提高拒绝服务DOS攻击的威力的一种方式，因此，上述用于抗DDOS攻击的控制方法，也适用于抗DOS攻击的控制。
[0053]图3是本发明优选实施例的抗DDOS攻击的控制装置结构示意图。
[0054]如图3所示，本实施例所提供的抗分布式拒绝服务DDOS攻击的控制装置，包括:阈值配置单元1、Sess1n表创建速率检测单元2、DDOS启闭控制单元3和抗DDOS攻击单元4。
[0055]具体地，阈值配置单元I用于配置sess1n表创建速率阈值。其中，所述阈值配置单元I进一步用于:通过命令语句查看sess1n表创建速率的统计值，根据所述统计值配置sess1n表创建速率阈值。
[0056]这里的命令语句,可以是show命令；统计值至少包括:当日sess1n表创建速率的最大值和平均值、当前周sess1n表创建速率的最大值和平均值和当前月sess1n表创建速率的最大值和平均值。在配置sess1n表创建速率阈值的过程中，以上述统计值为参考，配置一个合适的sess1n表创建速率的阈值，以这个阈值为标准来判定当前网络环境是否存在DDOS攻击威胁。
[0057]这里，sess1n表由带有因特网协议安全IPSec功能的网络设备在转发报文时进行创建，如防火墙。
[0058]Sess1n表创建速率检测单元2用于检测当前sess1n表的创建速率。
[0059]DDOS启闭控制单元3分别与阈值配置单元I和sess1n表创建单元2连接，用于比较所述当前sess1n表创建速率与所述阈值，当所述当前sess1n表的创建速率大于所述阈值时，开启抗DDOS攻击单元；当所述当前sess1n表的创建速率小于或等于所述阈值时，关闭抗DDOS攻击单元。
[0060]抗DDOS攻击单元4与DDOS启闭控制单元3相连，用于提供抗DDOS攻击服务。
[0061]分布式拒绝服务DDOS攻击是成倍地提高拒绝服务DOS攻击的威力的一种方式，因此，上述用于抗DDOS攻击的控制方法，也适用于抗DOS攻击的控制。本发明所提供的一种抗DDOS攻击的控制装置,通过预先配置sess1n表创建速率阈值，当检测到的当前sess1n表的创建速率大于或等于所述阈值时，开启抗DDOS攻击服务；当检测到的当前sess1n表的创建速率小于所述阈值时，关闭抗DDOS攻击服务。如此，仅在需要的时候才开启抗DDOS攻击服务，克服了现有技术中DDOS服务需要一直处于开启状态、对所有转发的数据包进行DDOS检测的敝端，在保证阻止DDOS攻击的前提下，有效的保证了数据转发的速率。
[0062]应当理解的是，本发明的上述【具体实施方式】仅仅用于示例性说明或解释本发明的原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
【权利要求】
1.一种抗分布式拒绝服务DDOS攻击的控制方法，其特征在于，所述方法包括如下步骤: 配置sess1n表的创建速率阈值； 检测当前sess1n表的创建速率； 比较所述当前sess1n表创建速率与所述阈值； 当所述当前sess1n表的创建速率大于或等于所述阈值时，开启抗DDOS攻击服务； 当所述当前sess1n表的创建速率小于所述阈值时,关闭抗DDOS攻击服务。
2.根据权利要求1所述的方法，其特征在于，所述配置sess1n表的创建速率阈值，具体为: 通过命令语句查看sess1n表创建速率的统计值,根据所述统计值配置sess1n表的创建速率阈值。
3.根据权利要求2所述的方法，其特征在于，所述统计值至少包括:当日sess1n表创建速率的最大值和平均值、当前周sess1n表创建速率的最大值和平均值和当前月sess1n表创建速率的最大值和平均值。
4.根据权利要求1至3任一项所述的方法，其特征在于，所述sess1n表由带有因特网协议安全IPSec功能的网络设备在转发报文时进行创建。
5.一种抗分布式拒绝服务DDOS攻击的控制装置，其特征在于，所述装置包括: 阈值配置单元，用于配置连接sess1n表的创建速率阈值； sess1n表创建速率检测单元,用于检测当前sess1n表的创建速率； DDOS启闭控制单元，分别与所述阈值配置单元和所述sess1n表创建速率检测单元连接，用于比较所述当前sess1n表创建速率与所述阈值，当所述当前sess1n表的创建速率大于所述阈值时，开启抗DDOS攻击单元；当所述当前sess1n表的创建速率小于或等于所述阈值时，关闭抗DDOS攻击单元；以及 所述抗DDOS攻击单元，与所述DDOS启闭控制单元相连，用于提供抗DDOS攻击服务。
6.根据权利要求5所述的装置，其特征在于，所述阈值配置单元进一步用于:通过命令语句查看sess1n表创建速率的统计值,根据所述统计值配置sess1n表创建速率阈值。
7.根据权利要求6所述的装置，其特征在于，所述统计值至少包括:当日sess1n表创建速率的最大值和平均值、当前周sess1n表创建速率的最大值和平均值和当前月sess1n表创建速率的最大值和平均值。
8.根据权利要求5至7任一项所述的装置，其特征在于，所述sess1n表由带有因特网协议安全IPSec功能的网络设备在转发报文时进行创建。
9.根据权利要求8所述的装置，其特征在于，所述网络设备为防火墙。
【文档编号】H04L29/06GK104079563SQ201410255052
【公开日】2014年10月1日 申请日期:2014年6月10日 优先权日:2014年6月10日
【发明者】张辉 申请人:汉柏科技有限公司