一种基于网络边界的DDoS攻击防护方法与流程

本发明涉及网络安全技术领域，具体为一种基于网络边界的ddos攻击防护方法。

背景技术：

ddos(distributiondenialofservice，中文名为分布式拒绝服务攻击)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击，ddos是一种分布的、协同的大规模攻击方式，攻击时可以对源ip地址进行伪造，非常难以防范。

dos的攻击方式有很多种，最基本的dos攻击就是利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令。

ddos攻击手段是在传统的dos攻击基础之上产生的一类攻击方式。单一的dos攻击一般是采用一对一方式的，当被攻击目标cpu速度低、内存小或者网络带宽小等等各项性能指标不高,它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得dos攻击的困难程度加大了-目标对恶意攻击包的"消化能力"加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。

ddos最早可追述到1996年最初,在中国2002年开发频繁出现,2003年已经初具规模。近几年由于宽带的普及，很多网站开始盈利，其中很多非法网站利润巨大,造成同行之间互相攻击，还有一部分人利用网络攻击来敲诈钱财。同时windows平台的漏洞大量的被公布，流氓软件，病毒，木马大量充斥着网络,有些技术的人可以很容易非法入侵控制大量的个人计算机来发起ddos攻击从中谋利，攻击已经成为互联网上的一种最直接，而且收入非常高利益的驱使攻击已经演变成非常完善的产业链。通过在大流量网站的网页里注入病毒木马，木马可以通过windows平台的漏洞感染浏览网站的人，一旦中了木马，这台计算机就会被后台操作的人控制，这台计算机也就成了所谓的肉鸡，每天都有人专门收集肉鸡然后以几毛到几块的一只的价格出售，因为利益需要攻击的人就会购买，然后遥控这些肉鸡攻击服务器。

面对ddos攻击，传统的方法一般是通过购买一定规格的专用流量清洗设备进行抵御，设备一般是分为10g、20g、80g等规格，以80g为例，当攻击规模在80g以下时，可以有效抵御攻击，当超过80g时，将无法进行有效防护，对于企业来说，只能另行采购新的、更大规格的防护设备，这样带来了大量固定成本支出；

综上，本领域的技术人员提出了一种基于网络边界的ddos攻击防护方法。

技术实现要素：

针对现有技术的不足，本发明提供了一种基于网络边界的ddos攻击防护方法，整个防护方法是基于sdn(软件定义网络)的技术理念，基于企业的网络边界交换机设备、流量清洗等设备，引入安全控制器模块，由流量清洗设备负责攻击发现和部分防护，由安全控制器进行整体防护策略部署、由网络边界交换机设备进行部分防护，从而降低流量清洗设备的防护压力，避免新采购新的流量清洗设备。

为实现以上目的，本发明通过以下技术方案予以实现：一种基于网络边界的ddos攻击防护方法，包括如下步骤：

s1、网络攻击从运营商网络进入企业网络，同时通过网络交换机转至流量清洗设备；

s2、流量清洗设备发现ddos攻击，设备进入防护状态，针对本次ddos攻击的防护策略生效，对网络攻击进行初步堵截；

s3、流量清洗设备将步骤s2中所述的防护策略实时同步给安全控制器，同时进行更新，直至攻击结束；

s4、网络安全控制器将步骤s3中所述的防护策略实时同步给网络交换机，同样进行一次列表更新；

s5、网络交换机将上述信息加入其访问控制更表中，对攻击流量进行堵截，同样进行一次列表更新，直至攻击结束；

s6、攻击结束后，流量清洗设备退出防护状态，进入正常状态，清空所有的防护策略，同时通知安全控制器清空列表，由安全控制器通知交换机清空列表。

优选的，所述步骤s2和步骤s3中，所述的防护策略均至少包括攻击源主机黑名单列表和基于五元组的限速列表。

优选的，所述步骤s3中，更新的频率为每10ms进行一次。

优选的，所述步骤s4中，更新的频率为每10ms进行一次。

优选的，所述步骤s5中，更新的频率为每10ms进行一次。

有益效果

本发明提供了一种基于网络边界的ddos攻击防护方法。与现有技术相比具备以下有益效果：

1、该基于网络边界的ddos攻击防护方法，针对ddos攻击，采用集中控制和网络交换机方式的分级防护流程，另外，网络交换机的包处理能力远优于流量清洗设备，且市场上的单价比较低，通过流量清洗设备来发现攻击，通过网络交换机来进行部分防护，降低流量清洗设备的压力。

2、该基于网络边界的ddos攻击防护方法，通过引入安全控制器，而不是由流量清洗设备直接同步给网络交换机，可以实现针对多厂商设备的的兼容，统一接口和参数，避免重得开发和投入。

附图说明

图1为本发明企业网络的示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提供一种技术方案：一种基于网络边界的ddos攻击防护方法，包括如下步骤：

s1、网络攻击从运营商网络进入企业网络，同时通过网络交换机转至流量清洗设备；

s2、流量清洗设备发现ddos攻击，设备进入防护状态，针对本次ddos攻击的防护策略生效，防护策略中包含攻击源主机黑名单列表、基于五元组的限速列表等，对网络攻击进行初步堵截；

s3、流量清洗设备将步骤2中提到的攻击源主机黑名单列表、基于五元组的限速列表实时同步给安全控制器，同时每10ms做一次更新，直至攻击结束；

s4、网络安全控制器将攻击源主机黑名单列表、基于五元组的限速列表实时同步给网络交换机，同样为10ms进行一次列表更新；

s5、网络交换机将上述信息加入其访问控制更表中，对攻击流量进行堵截，同样为10ms进行一次列表更新，直至攻击结束；

s6、攻击结束后，流量清洗设备退出防护状态，进入正常状态，清空所有的攻击源主机黑名单列表、基于五元组的限速列表，同时通知安全控制器清空列表，由安全控制器通知交换机清空列表。

如图1所示，网络交换机接入运营商网络，正常情况下，当产生外部攻击时，攻击流量先进入网络交换机，然后转发至流量清洗设备，该设备将攻击流量阻截，然后再将正常流量转发至被防护系统，从而实现了针对ddos攻击的防护，本发明中，流量清洗设备的部分防护职能上移至网络交换机，通过安全控制器进行防护参数同步，从而大大降低流量清洗设备的压力，避免其被超过自身规格的ddos攻击打爆。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。