一种DDOS攻击流量的清洗方法及系统与流程
本发明涉及计算机技术领域,尤其涉及一种DDOS攻击流量的清洗方法及系统。
背景技术:
拒绝服务攻击(DoS, Denial of Service)是指利用各种服务请求耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求。而随着僵尸网络的兴起,同时由于攻击方法简单、影响较大、难以追查等特点,又使得分布式拒绝服务攻击(DDoS,Distributed Denial of Service)得到快速壮大和日益泛滥。成千上万主机组成的僵尸网络为DDoS攻击提供了所需的带宽和主机,形成了规模巨大的攻击和网络流量,对被攻击网络造成了极大的危害。
随着DDoS攻击技术的不断提高和发展,ISP、ICP、IDC等运营商面临的安全和运营挑战也不断增多,运营商必须在DDoS威胁影响关键业务和应用之前,对流量进行检测并加以清洗,确保网络正常稳定的运行以及业务的正常开展。同时,对DDoS攻击流量的检测和清洗也可以成为运营商为用户提供的一种增值服务,以获得更好的用户满意度。
对DDOS攻击流量进行迅速有效且持续的清洗,是保障网络传输和服务的关键,现在的攻击除了会使用超大流量发出攻击,还会在时间点和频率上做选择,达到攻击效果最大化,所以清洗方案也要作相对的调整。
目前的流量清洗架构一般分为两种,一种是使用BGP等引流方式进行流量过滤,一种是使用DNS等接入云清洗平台进行流量过滤,而无论使用上述两种方式的任意一种,一般的清洗逻辑都是检测出攻击流量后,引流或者接入后再对流量进行清洗,攻击流量结束后取消引流或者接入恢复流量的正常传输。
以上的清洗逻辑有明显的缺点是无法有效应对脉冲式的攻击方式,攻击者会频繁发出短暂的攻击流量,一般使用引流的方式,从发出引流指令到流量真正流入清洗设备的时间间隔,最少需要3秒左右,而云清洗的接入方式就需要更加多的时间,攻击者往往就是利用这个时间间隔,每次间隔一定的时间,只发出几秒钟的攻击流量,清洗平台刚开始清洗攻击就已结束并且取消清洗。
技术实现要素:
为了解决上述技术问题,本发明的目的是提供一种能有效防止脉冲式攻击,提升清洗效果的一种DDOS攻击流量的清洗方法及系统。
本发明所采取的技术方案是:
一种DDOS攻击流量的清洗方法,包括以下步骤:
对检测设备、清洗设备和路由器建立通信连接;
清洗设备对保持牵引时间进行初始化;
检测设备实时对攻击进行检测,当检测到发生攻击后,向清洗设备下达对被攻击目标的清洗指令;
清洗设备接收清洗指令,并向路由器发出对被攻击目标的流量牵引请求;
路由器根据流量牵引请求,将被攻击目标的流量引流至清洗设备,所述清洗设备对流量进行清洗;
当攻击结束后,清洗设备保持对被攻击目标的流量牵引直到到达保持牵引时间,若在期间该被攻击目标没发生被攻击,则清洗设备向路由器发出对该被攻击目标的取消流量牵引请求。
作为所述的一种DDOS攻击流量的清洗方法的进一步改进,所述的对检测设备、清洗设备和路由器建立通信连接,这一步骤具体包括:
将检测设备与清洗设备进行通信连接;
清洗设备与路由器通过BGP协议进行通信连接。
作为所述的一种DDOS攻击流量的清洗方法的进一步改进,所述的路由器根据流量牵引请求,将被攻击目标的流量引流至清洗设备,所述清洗设备对流量进行清洗,这一步骤之后还包括有:
清洗设备检测目标的被攻击频率,判断被攻击频率是否大于预设的攻击频率阈值,若是,则将保持牵引时间延长至预设的最大保持牵引时间;反之,则维持保持牵引时间不变。
本发明所采用的另一技术方案是:
一种DDOS攻击流量的清洗系统,包括:
通信建立单元,用于对检测设备、清洗设备和路由器建立通信连接;
初始化单元,用于清洗设备对保持牵引时间进行初始化;
攻击检测单元,用于检测设备实时对攻击进行检测,当检测到发生攻击后,向清洗设备下达对被攻击目标的清洗指令;
牵引请求单元,用于清洗设备接收清洗指令,并向路由器发出对被攻击目标的流量牵引请求;
清洗单元,用于路由器根据流量牵引请求,将被攻击目标的流量引流至清洗设备,所述清洗设备对流量进行清洗;
牵引保持单元,用于当攻击结束后,清洗设备保持对被攻击目标的流量牵引直到到达保持牵引时间,若在期间该被攻击目标没发生被攻击,则清洗设备向路由器发出对该被攻击目标的取消流量牵引请求。
作为所述的一种DDOS攻击流量的清洗系统的进一步改进,所述通信建立单元,其具体包括:
设备连接单元,用于将检测设备与清洗设备进行通信连接;
BGP连接单元,用于清洗设备与路由器通过BGP协议进行通信连接。
作为所述的一种DDOS攻击流量的清洗系统的进一步改进,所述清洗单元之后还包括有:
频率检测单元,用于清洗设备检测目标的被攻击频率,判断被攻击频率是否大于预设的攻击频率阈值,若是,则将保持牵引时间延长至预设的最大保持牵引时间;反之,则维持保持牵引时间不变。
本发明的有益效果是:
本发明一种DDOS攻击流量的清洗方法及系统通过在清洗攻击流量结束后的保持牵引,这样下次发生攻击的时候就能立刻开始清洗攻击流量而不必向路由器再次申请流量的牵引并且等待几秒钟后的路由器生效,有效的防止攻击者使用脉冲式的攻击方法来避过流量清洗系统的清洗间隔,从而达到更好的清洗效果。进一步,本发明还能通过判断目标被攻击的频率,根据实际情况改变该目标在清洗攻击流量结束后的保持牵引时间,提高该目标下次发生攻击的时候还尚在牵引状态下的机率。
附图说明
下面结合附图对本发明的具体实施方式作进一步说明:
图1是本发明一种DDOS攻击流量的清洗方法的步骤流程图;
图2是本发明一种DDOS攻击流量的清洗方法中通信建立的步骤流程图;
图3是本发明一种DDOS攻击流量的清洗系统的模块方框图。
具体实施方式
参考图1,本发明一种DDOS攻击流量的清洗方法,包括以下步骤:
对检测设备、清洗设备和路由器建立通信连接;
清洗设备对保持牵引时间进行初始化;
检测设备实时对攻击进行检测,当检测到发生攻击后,向清洗设备下达对被攻击目标的清洗指令;
清洗设备接收清洗指令,并向路由器发出对被攻击目标的流量牵引请求;
路由器根据流量牵引请求,将被攻击目标的流量引流至清洗设备,所述清洗设备对流量进行清洗;
当攻击结束后,清洗设备保持对被攻击目标的流量牵引直到到达保持牵引时间,若在期间该被攻击目标没发生被攻击,则清洗设备向路由器发出对该被攻击目标的取消流量牵引请求。
参考图2,进一步作为优选的实施方式,所述的对检测设备、清洗设备和路由器建立通信连接,这一步骤具体包括:
将检测设备与清洗设备进行通信连接;
清洗设备与路由器通过BGP协议进行通信连接。
进一步作为优选的实施方式,所述的路由器根据流量牵引请求,将被攻击目标的流量引流至清洗设备,所述清洗设备对流量进行清洗,这一步骤之后还包括有:
清洗设备检测目标的被攻击频率,判断被攻击频率是否大于预设的攻击频率阈值,若是,则将保持牵引时间延长至预设的最大保持牵引时间;反之,则维持保持牵引时间不变。
本发明实施例中,保持牵引时间初始化为5s,最大保持牵引时间为10s,攻击频率阈值为3次/h,因此具体实施例如下:
S1、将检测设备与清洗设备进行通信连接;
S2、清洗设备与路由器通过BGP协议进行通信连接;
S3、清洗设备对保持牵引时间进行初始化,将保持牵引时间初始化为5s;
S4、检测设备实时对攻击进行检测,当检测到发生攻击后,向清洗设备下达对被攻击目标M的清洗指令;
S5、清洗设备接收清洗指令,并向路由器发出对被攻击目标M的流量牵引请求;
S6、路由器根据流量牵引请求,将被攻击目标M的流量引流至清洗设备,所述清洗设备对流量进行清洗;
S7、清洗设备检测被攻击目标M的被攻击频率,即一小时被攻击的次数,判断被攻击频率是否大于3次/h,若是,则将保持牵引时间延长至10s;反之,则维持保持牵引时间不变;
S8、当攻击结束后,清洗设备保持对被攻击目标的流量牵引直到到达保持牵引时间,若在期间该被攻击目标M没发生被攻击,则清洗设备向路由器发出对该被攻击目标的取消流量牵引请求。
参考图3,本发明一种DDOS攻击流量的清洗系统,包括:
通信建立单元,用于对检测设备、清洗设备和路由器建立通信连接;
初始化单元,用于清洗设备对保持牵引时间进行初始化;
攻击检测单元,用于检测设备实时对攻击进行检测,当检测到发生攻击后,向清洗设备下达对被攻击目标的清洗指令;
牵引请求单元,用于清洗设备接收清洗指令,并向路由器发出对被攻击目标的流量牵引请求;
清洗单元,用于路由器根据流量牵引请求,将被攻击目标的流量引流至清洗设备,所述清洗设备对流量进行清洗;
牵引保持单元,用于当攻击结束后,清洗设备保持对被攻击目标的流量牵引直到到达保持牵引时间,若在期间该被攻击目标没发生被攻击,则清洗设备向路由器发出对该被攻击目标的取消流量牵引请求。
进一步作为优选的实施方式,所述通信建立单元,其具体包括:
设备连接单元,用于将检测设备与清洗设备进行通信连接;
BGP连接单元,用于清洗设备与路由器通过BGP协议进行通信连接。
进一步作为优选的实施方式,所述清洗单元之后还包括有:
频率检测单元,用于清洗设备检测目标的被攻击频率,判断被攻击频率是否大于预设的攻击频率阈值,若是,则将保持牵引时间延长至预设的最大保持牵引时间;反之,则维持保持牵引时间不变。
从上述内容可知,本发明一种DDOS攻击流量的清洗方法及系统通过在清洗攻击流量结束后的保持牵引,这样下次发生攻击的时候就能立刻开始清洗攻击流量而不必向路由器再次申请流量的牵引并且等待几秒钟后的路由器生效,有效的防止攻击者使用脉冲式的攻击方法来避过流量清洗系统的清洗间隔,从而达到更好的清洗效果。进一步,本发明还能通过判断目标被攻击的频率,根据实际情况改变该目标在清洗攻击流量结束后的保持牵引时间,提高该目标下次发生攻击的时候还尚在牵引状态下的机率。
以上是对本发明的较佳实施进行了具体说明,但本发明创造并不限于所述实施例,熟悉本领域的技术人员在不违背本发明精神的前提下还可做作出种种的等同变形或替换,这些等同的变形或替换均包含在本申请权利要求所限定的范围内。
- 还没有人留言评论。精彩留言会获得点赞!