一种反射型DDOS攻击流量的防御系统及方法与流程

本发明涉及网络技术，尤其涉及一种反射型DDOS攻击流量的防御系统及方法。

背景技术：

目前不论是应对普通的DDOS攻击抑或反射型DDOS攻击，都采用在被保护端前部署流量清洗设备，使用主动检测和被动牵引清洗的方式，这种方式具有非常大的缺陷，就是流量一旦已经形成，来到被保护端的传输链路，再清洗只能起到相当一部分的作用，如果流量不足以使到传输拥塞，这种清洗方法还尚算比较有效，但一旦流量大到足以拥塞传输，这种清洗方案能起到的作用已经相当有限了，而反射型的DDOS攻击流量，一般都能达到几十Gbps以上，一般的数据中心和小运营商，都不一定能够有足量的带宽去传输如此巨大的流量。

还有一种比较新型的清洗方案，在每个网络的传输源端都部署清洗设备，用来清洗每个源端发出的攻击流量，这种清洗源端的方法能够在攻击流量发出点就可以清洗掉流量，对阻止大攻击流量的形成具有非常明显的效果，但也同样有一个很大的缺点，这种清洗方法部署成本非常高昂，网络的架设复杂度也比较大。

技术实现要素：

本发明的目的在于提出一种反射型DDOS攻击流量的防御系统及方法，采用主动防御的方式，向反射型攻击所利用的基础服务器发出请求，来减低攻击流量的产生效率或引导流量到达不同的地方，使用这种减低巨大流量的产生或分散流量的方式，从源头和传输双重的方式去解决反射型攻击。

为达此目的，本发明采用以下技术方案：

一种反射型DDOS攻击流量的防御系统，包括：

数据存储模块，用于建立数据库以存储基础服务器的信息，所述基础服务器的信息包括IP、服务类型、所在区域、可通数值和最后活动时间；

数据收集模块，其包括检测设备和抓包文件分析模块；

所述检测设备用于检测各种DDOS攻击，并把攻击的数据记录为抓包文件；

所述抓包文件分析模块用于定期从所述检测设备收集到的抓包文件取出每个数据包的IP，并使用IP区域函数等方式得到该IP所在区域，用此两项信息更新所述数据库中的信息；

数据测试模块，用于定期从所述数据库获取最后活动时间离当前时间超过设定值M小时的IP，添加到待更新列表；

并从待更新列表中获取每个IP，并向这些IP同时发送T类型请求，记录下这些IP返回的数据类型和数据量，并以此两项数据来更新数据库中对应IP的服务类型和可通数值，并把该IP的最后活动时间更新为当前时间；

流量引导模块，包括若干流量引导设备X,用于等待接收IP和T类型请求，并向该IP发送大量T类型请求数据报文；

从正发生攻击的网络节点a的所述检测设备中获取攻击源的IP，并在所述数据库中查询这些IP的服务类型和可通数值；

若IP存在于所述数据库且所述可通数值大于0，则向其他未被攻击的网络节点的流量引导设备X发送IP和服务类型这两项数据用于发送请求的参数；

否则，则把该IP添加到所述数据测试模块的更新列表中。

进一步，还包括统计模块，用于统计数据库中的区域分布。

进一步，所述T类型请求包括NTP、SSDP和DNS。

进一步，M的值为2，即所述数据测试模块，用于定期从所述数据库获取最后活动时间离当前时间超过设定值2小时的IP，添加到待更新列表。

一种反射型DDOS攻击流量的防御方法，包括：

检测各种DDOS攻击，并把攻击的数据记录为抓包文件；

分析抓包文件，定期从所述检测设备收集到的抓包文件取出每个数据包的IP，并使用IP区域函数等方式得到该IP所在区域，用此两项信息更新所述数据库中的信息；

定期从所述数据库获取最后活动时间离当前时间超过设定值M小时的IP，添加到待更新列表；

从待更新列表中获取每个IP，并向这些IP同时发送T类型请求，记录下这些IP返回的数据类型和数据量，并以此两项数据来更新数据库中对应IP的服务类型和可通数值，并把该IP的最后活动时间更新为当前时间；

等待接收IP和T类型请求，并向该IP发送大量T类型请求数据报文；

从正发生攻击的网络节点a的所述检测设备中获取攻击源的IP，并在所述数据库中查询这些IP的服务类型和可通数值；

若IP存在于所述数据库且所述可通数值大于0，则向其他未被攻击的网络节点的流量引导设备X发送IP和服务类型这两项数据用于发送请求的参数；

否则，则把该IP添加到所述数据测试模块的更新列表中。

进一步，还包括统计所述数据库中的区域分布。

进一步，所述T类型请求包括NTP、SSDP和DNS。

进一步，M的值为2，即所述数据测试模块，用于定期从所述数据库获取最后活动时间离当前时间超过设定值2小时的IP，添加到待更新列表。

本发明根据上述内容提出一种反射型DDOS攻击流量的防御系统及方法，通过检测攻击抓包方式收录被反射型攻击利用的基础服务器；通过向基础服务器发送反射请求测试基础服务器的服务类型和可通性，提高流量引导效率；实时从检测设备获取发出攻击流量的基础服务器的IP，从收录的信息中获取该IP的服务类型和可通性，并根据服务类型和可通性向该IP发送请求引导其流量。

本发明采用主动防御的方式，向反射型攻击所利用的基础服务器发出请求，来减低攻击流量的产生效率或引导流量到达不同的地方，使用这种减低巨大流量的产生或分散流量的方式，从源头和传输双重的方式去解决反射型攻击。

本方法仅仅需要在自己所持有的网络节点处部署小量的服务器即可，成本能够能到非常有效的控制，本方法通过收集和侦测反射型攻击利用的基础服务器，针对不同的服务使用不同的请求方法提高流量引导的效率，取得更好的效果；使用非被攻击的网络节点，去分摊被攻击网络节点的攻击流量，以此来减轻被攻击网络节点的压力。

附图说明

图1是本发明其中一个实施例的模块框图。

图2是本发明其中一个实施例的流程图。

具体实施方式

下面结合附图并通过具体实施方式来进一步说明本发明的技术方案。

一种反射型DDOS攻击流量的防御系统，包括：

数据存储模块，用于建立数据库以存储基础服务器的信息，所述基础服务器的信息包括IP、服务类型、所在区域、可通数值和最后活动时间；

数据收集模块，其包括检测设备和抓包文件分析模块；

所述检测设备用于检测各种DDOS攻击，并把攻击的数据记录为抓包文件；

所述抓包文件分析模块用于定期从所述检测设备收集到的抓包文件取出每个数据包的IP，并使用IP区域函数等方式得到该IP所在区域，用此两项信息更新所述数据库中的信息；

数据测试模块，用于定期从所述数据库获取最后活动时间离当前时间超过设定值M小时的IP，添加到待更新列表；

并从待更新列表中获取每个IP，并向这些IP同时发送T类型请求，记录下这些IP返回的数据类型和数据量，并以此两项数据来更新数据库中对应IP的服务类型和可通数值，并把该IP的最后活动时间更新为当前时间；

流量引导模块，包括若干流量引导设备X,用于等待接收IP和T类型请求，并向该IP发送大量T类型请求数据报文；

从正发生攻击的网络节点a的所述检测设备中获取攻击源的IP，并在所述数据库中查询这些IP的服务类型和可通数值；

若IP存在于所述数据库且所述可通数值大于0，则向其他未被攻击的网络节点的流量引导设备X发送IP和服务类型这两项数据用于发送请求的参数；

否则，则把该IP添加到所述数据测试模块的更新列表中。

本实施例的反射型DDOS攻击流量的防御系统通过所述数据存储模块、数据收集模块、数据测试模块和流量引导模块的配合，向所述基础服务器发送请求，主动引导流量的流向，分散众多所述基础服务器的攻击流量，减少这些流量最后汇聚成超大流量的可能，能够有效地减少最后到达被攻击目标所在网络的流量，减轻目标所在网络传输的负担，极大的降低了网络被拥塞的可能性，只要传输不被拥塞，在此基础上部署的清洗设备或者入侵防御设备才能够正常的工作，发挥其本身的效果。

本系统还通过不断测试从攻击中抓取记录下来的所述基础服务器IP，获取其服务类型和可通性，以此提高流量引导的效率。本系统也能够使成本得到非常有效的控制，只需要在自己的网络节点处部署若干台普通的服务器即可，也不会增加整个项目网络架构和部署的复杂度。

本系统通过检测攻击抓包方式收录被反射型攻击利用的基础服务器；通过向基础服务器发送反射请求测试基础服务器的服务类型和可通性，提高流量引导效率；实时从检测设备获取发出攻击流量的基础服务器的IP，从收录的信息中获取该IP的服务类型和可通性，并根据服务类型和可通性向该IP发送请求引导其流量。

本发明采用主动防御的方式，向反射型攻击所利用的基础服务器发出请求，来减低攻击流量的产生效率或引导流量到达不同的地方，使用这种减低巨大流量的产生或分散流量的方式，从源头和传输双重的方式去解决反射型攻击。

进一步，还包括统计模块，用于统计数据库中的区域分布。

能够优化部署流量引导设备X的结构，达到更好的流量引导效果。

进一步，所述T类型请求包括NTP、SSDP和DNS。

这几种类型请求较为常见，当然在其它实施例中所述T类型请求可以为其它类型的请求。

进一步，M的值为2，即所述数据测试模块，用于定期从所述数据库获取最后活动时间离当前时间超过设定值2小时的IP，添加到待更新列表。

当M的值为2时，所述反射型DDOS攻击流量的防御系统的防御效果更佳。

一种反射型DDOS攻击流量的防御系统的方法，包括：

检测各种DDOS攻击，并把攻击的数据记录为抓包文件；

分析抓包文件，定期从所述检测设备收集到的抓包文件取出每个数据包的IP，并使用IP区域函数等方式得到该IP所在区域，用此两项信息更新所述数据库中的信息；

定期从所述数据库获取最后活动时间离当前时间超过设定值M小时的IP，添加到待更新列表；

从待更新列表中获取每个IP，并向这些IP同时发送T类型请求，记录下这些IP返回的数据类型和数据量，并以此两项数据来更新数据库中对应IP的服务类型和可通数值，并把该IP的最后活动时间更新为当前时间；

等待接收IP和T类型请求，并向该IP发送大量T类型请求数据报文；

从正发生攻击的网络节点a的所述检测设备中获取攻击源的IP，并在所述数据库中查询这些IP的服务类型和可通数值；

若IP存在于所述数据库且所述可通数值大于0，则向其他未被攻击的网络节点的流量引导设备X发送IP和服务类型这两项数据用于发送请求的参数；

否则，则把该IP添加到所述数据测试模块的更新列表中。

本实施例的一种反射型DDOS攻击流量的防御系统的方法通过所述基础服务器发送请求，主动引导流量的流向，分散众多所述基础服务器的攻击流量，减少这些流量最后汇聚成超大流量的可能，能够有效地减少最后到达被攻击目标所在网络的流量，减轻目标所在网络传输的负担，极大的降低了网络被拥塞的可能性，只要传输不被拥塞，在此基础上部署的流量引导设备X或者入侵防御设备才能够正常的工作，发挥其本身的效果。

还通过不断测试从攻击中抓取记录下来的所述基础服务器IP，获取其服务类型和可通性，以此提高流量引导的效率。本系统也能够使成本得到非常有效的控制，只需要在自己的网络节点处部署若干台普通的服务器即可，也不会增加整个项目网络架构和部署的复杂度。

通过检测攻击抓包方式收录被反射型攻击利用的基础服务器；通过向基础服务器发送反射请求测试基础服务器的服务类型和可通性，提高流量引导效率；实时从检测设备获取发出攻击流量的基础服务器的IP，从收录的信息中获取该IP的服务类型和可通性，并根据服务类型和可通性向该IP发送请求引导其流量。

本发明采用主动防御的方式，向反射型攻击所利用的基础服务器发出请求，来减低攻击流量的产生效率或引导流量到达不同的地方，使用这种减低巨大流量的产生或分散流量的方式，从源头和传输双重的方式去解决反射型攻击。

本方法仅仅需要在自己所持有的网络节点处部署小量的服务器即可，成本能够能到非常有效的控制，本方法通过收集和侦测反射型攻击利用的基础服务器，针对不同的服务使用不同的请求方法提高流量引导的效率，取得更好的效果；使用非被攻击的网络节点，去分摊被攻击网络节点的攻击流量，以此来减轻被攻击网络节点的压力。

进一步，还包括统计所述数据库中的区域分布。

能够优化部署流量引导设备的结构，达到更好的流量引导效果。

进一步，所述T类型请求包括NTP、SSDP和DNS。

这几种类型请求较为常见，当然在其它实施例中所述T类型请求可以为其它类型的请求。

进一步，M的值为2，即所述数据测试模块，用于定期从所述数据库获取最后活动时间离当前时间超过设定值2小时的IP，添加到待更新列表。

当M的值为2时，所述反射型DDOS攻击流量的防御系统的防御效果更佳。

以上结合具体实施例描述了本发明的技术原理。这些描述只是为了解释本发明的原理，而不能以任何方式解释为对本发明保护范围的限制。基于此处的解释，本领域的技术人员不需要付出创造性的劳动即可联想到本发明的其它具体实施方式，这些方式都将落入本发明的保护范围之内。