本发明涉及一种互联网通信
技术领域:
:,特别涉及一种基于网络隔离设备的智能ddos防御技术。
背景技术:
::随着信息时代的到来,网络已成为覆盖面最广、集聚人员最多的虚拟空间,形成了一个巨大的市场。随之而来的便是各种让人闻而生畏的网络安全问题,而ddos作为服务器级杀手更是让人畏惧。目前ddos攻击趋于:攻击流量越来越大、应用层攻击越来越多比如dns攻击和cc攻击、攻击目的越来越商业化、攻击代价越来越小等。因此ddos攻击越发的威胁着我们的网络环境。对于一款本身便肩负着网络安全数据传输的设备:网络隔离设备,就更应该做到在各种复杂的网络环境下坚守岗位确保数据的安全传输,因此针对ddos攻击就更应该能够精准高效的防御。技术实现要素:为克服现有技术的不足,本发明主要防御以下类型的ddos攻击:syn攻击(synflood、land)、udp攻击(udpflood、bonk、fraggle、teardrop)、icmp攻击(smurf、ureachablehost、pingofdeath、flushot、pingflooding)、jolt2、winnuke、arp。该发明分三层多模式的防御机制:基于物理层结合dpdk的广域防御、基于iptables的网络层防御、基于应用层的用户态加固防御。该方案为了保证其本身的业务的工作效率,其核心防御部分采用intel的dpdk技术直接从物理网卡获取网络包数据并根据攻击包特征进行分析,对可疑数据记录源ip及网卡数据信息,一旦确定其为攻击性质则马上进行限制并丢弃该类数据包不做下一步转发;如果该数据包来源为可确定非业务源则直接限时禁止此ip(例如禁止10分钟,10分钟之后自动解禁),在此环节可拦截大部分的攻击包。当然对于没被拦截掉的在iptables层会做进一步的规则校验一旦发现可疑数据并且是非业务数据则直接过滤掉,且针对可确定的非业务源ip做同样的限时禁止。针对以上两步防御能力已经非常完善,但为了再次增强其防御能力,在网络隔离设备系统中增加抗攻击监测模块,从系统cpu、内存、句柄、流量等时时监测系统稳定性。若综合评定系统存在风险或异常则启动增强级强制ddos防御直到系统恢复正常,增强级强制ddos防御是针对可确定业务源和不确定性业务源端口做的特殊防御处理,在确保其业务正常的情况下针对非业务数据做完全过滤。以上这三层防御处理的同时都会记录异常ip及mac地址等尽可能多的攻击数据信息,在用户允许的情况下会将该信息上报专属服务器进行进一步的分析和处理并反馈。以上是该方案的整个流程,概括出来其核心就是第一层时时防御,第二层防御则是对第一层的增强补充,第三层防御则是系统级别的强制应急防御方案。综合起来能够保证系统的高效安全的运行。本发明本发明技术方案带来的有益效果:本发明通过多模式多层次的智能ddos防御的方案,解决现有技术中网络隔离系统自身安全性低、抗干扰能力弱的缺点或不足,从而确保网络隔离设备自身的超强抗ddos攻击能力,使得网络隔离设备能够在复杂的网络环境下安全可靠的运行的目的。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。图1为本发明的流程示意图;具体实施方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。具体实施方案:dpdk扫描出系统所有pci设备,从pci设备sys文件系统中获取pci设备的参数信息,填写pci设备结构体:structrte_memseg结构来保存这个内存段的信息,如起始物理地址、起始虚拟地址、长度等信息,structrte_memseg结构如下:部分iptables规则列举:-asyn-scan-mrecent--rcheck--nameddos_rec--mask255.255.255.255--rsource-jreturn-asyn-scan-mlimit--limit1/sec--limit-burst1-jlog--log-prefix"probable-ddos=syn-flood"-asyn-scan-mrecent--set--nameddos_rec--mask255.255.255.255--rsource-atcp-scan-ptcp-mtcp--tcp-flagsfin,syn,rst,acksyn-jsyn-scan-atcp-scan-ptcp-mtcp--tcp-flagsfin,syn,rst,psh,ack,urgsyn-jsyn-scan-atcp-scan-ptcp-mtcp--tcp-flagsfin,syn,rst,psh,ack,urgack-jack-scan-atcp-scan-mhashlimit--hashlimit-upto1111/sec--hashlimit-burst1024--hashlimit-modesrcip--hashlimit-nametcpscan-jreturn-atcp-scan-mlimit--limit1/sec--limit-burst1-jlog--log-prefix"probable-ddos=tcp-flood"-atcp-scan-mrecent--set--nameddos_rec--mask255.255.255.255--rsource-ateardrop-scan-mrecent--remove--nameddos_rec--mask255.255.255.255--rsource-ateardrop-scan!-f-jreturn-ateardrop-scan-mrecent--set--nameddos_rec--mask255.255.255.255--rsource-ateardrop-scan-jlog--log-prefix"probable-ddos=teardrop"-audp-scan-mhashlimit--hashlimit-upto256/sec--hashlimit-burst256--hashlimit-modesrcip--hashlimit-nameudpscan-jreturn-audp-scan-mlimit--limit1/sec--limit-burst1-jlog--log-prefix"probable-ddos=udp-flood"以上对本发明实施例所提供的一种基于网络隔离设备的智能ddos防御技术进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。当前第1页12当前第1页12