本發(fā)明涉及網絡技術,尤其涉及一種分流反射型DDOS流量的方法及系統(tǒng)。
背景技術:
目前不論是應對普通的DDOS攻擊抑或反射型DDOS攻擊,都采用在被保護端前部署流量清洗設備,使用主動檢測和被動牽引清洗的方式,這種方式具有非常大的缺陷,就是流量一旦已經形成,來到被保護端的傳輸鏈路,再清洗只能起到相當一部分的作用,如果流量不足以使到傳輸擁塞,這種清洗方法還尚算比較有效,但一旦流量大到足以擁塞傳輸,這種清洗方案能起到的作用已經相當有限了,而反射型的DDOS攻擊流量,一般都能達到幾十Gbps以上,一般的數據中心和小運營商,都不一定能夠有足量的帶寬去傳輸如此巨大的流量。
還有一種比較新型的清洗方案,在每個網絡的傳輸源端都部署清洗設備,用來清洗每個源端發(fā)出的攻擊流量,這種清洗源端的方法能夠在攻擊流量發(fā)出點就可以清洗掉流量,對阻止大攻擊流量的形成具有非常明顯的效果,但也同樣有一個很大的缺點,這種清洗方法部署成本非常高昂,網絡的架設復雜度也比較大。
技術實現要素:
本發(fā)明的目的在于提出一種分流反射型DDOS流量的方法及系統(tǒng),通過主動向被利用的基礎服務器發(fā)送請求,去引流并吸引基礎服務器的流量,減少攻擊者向基礎服務器發(fā)送的攻擊請求被處理的數量,進而間接減少基礎服務器向被攻擊目標發(fā)送的流量,達到對反射型流量進行分流的效果。
為達此目的,本發(fā)明采用以下技術方案:
一種分流反射型DDOS流量的方法,包括:
獲取并檢測網絡節(jié)點A的數據流,獲得攻擊源SIP和攻擊類型集合T;
將所述攻擊源SIP和攻擊類型T發(fā)送至引流設備;
所述引流設備向所述攻擊源SIP發(fā)送所述攻擊類型集合T的所有請求;
所述攻擊源SIP發(fā)出的攻擊流量被引流至網絡節(jié)點B,所述攻擊類型集合T所產生的T類型的攻擊流量被清洗,正常流量被回注;
其中攻擊源SIP為被黑客利用的基礎服務器的IP。
進一步,所述網絡節(jié)點A的帶寬較所述網絡節(jié)點B的帶寬窄。
進一步,獲取所述基礎服務器的數據流是通過分光或鏡像的方式,并通過算法分析和策略匹配檢測所述數據流,獲得所述攻擊源SIP和攻擊類型集合T。
一種分流反射型DDOS流量的系統(tǒng),包括:
檢測設備,用于獲取并檢測網絡節(jié)點A的數據流,獲得攻擊源SIP和攻擊類型集合T,將所述攻擊源SIP和攻擊類型T發(fā)送至引流設備;
引流設備,用于向所述攻擊源SIP發(fā)送所述攻擊類型集合T的所有請求;
清洗設備,用于將所述攻擊源SIP發(fā)出的攻擊流量被引流至網絡節(jié)點B,所述攻擊類型集合T所產生的T類型的攻擊流量被清洗,正常流量被回注。
進一步,所述網絡節(jié)點A的帶寬較所述網絡節(jié)點B的帶寬窄。
進一步,所述檢測設備部署于所述網絡節(jié)點A,所述引流設備和清洗設備部署于所述網絡節(jié)點B。
進一步,所述檢測設備是通過分光或鏡像的方式獲取所述基礎服務器的數據流,并通過算法分析和策略匹配檢測所述數據流,獲得所述攻擊源SIP和攻擊類型集合T。
所述攻擊源SIP為被黑客利用的基礎服務器的IP,通過獲取并檢測所述網絡節(jié)點A的數據流以直接獲得攻擊源SIP和攻擊類型集合T,然后再將所述攻擊源SIP和攻擊類型T發(fā)送至引流設備,本實施例的所述引流設備是由幾臺普通的服務器組成,操作上更加方便快捷,對網絡架構和部署沒有嚴格的要求,部署非常容易且能夠非常有效控制成本。
所述引流設備向所述攻擊源SIP發(fā)送所述攻擊類型集合T的所有請求,所述攻擊源SIP發(fā)出的攻擊流量被引流至網絡節(jié)點B,所述攻擊類型集合T所產生的T類型的攻擊流量被清洗,正常流量被回注。
通過主動向被利用的所述基礎服務器發(fā)送所述攻擊類型集合T的所有請求,去引流并吸引所述基礎服務器的流量,因為所述基礎服務器所能發(fā)出的總流量一般是恒定的,其性能也是有限的,通過向所述基礎服務器發(fā)送請求,減少攻擊者向所述基礎服務器發(fā)送的攻擊請求被處理的數量,進而間接減少所述基礎服務器向被攻擊者發(fā)送的攻擊流量,達到對反射型DDOS流量進行分流的效果,避免被攻擊目標所在的網絡節(jié)點A生傳輸擁塞。
附圖說明
圖1是本發(fā)明其中一個實施例的分流反射型DDOS流量的方法的流程圖。
圖2是本發(fā)明其中一個實施例的分流反射型DDOS流量的系統(tǒng)的示意圖。
其中:檢測設備11、引流設備12、清洗設備13。
具體實施方式
下面結合附圖并通過具體實施方式來進一步說明本發(fā)明的技術方案。
一種分流反射型DDOS流量的方法包括:
步驟一S1:獲取并檢測網絡節(jié)點A的數據流,獲得攻擊源SIP和攻擊類型集合T;
步驟二S2:將所述攻擊源SIP和攻擊類型T發(fā)送至引流設備12;
步驟三S3:所述引流設備12向所述攻擊源SIP發(fā)送所述攻擊類型集合T的所有請求;
步驟四S4:所述攻擊源SIP發(fā)出的攻擊流量被引流至網絡節(jié)點B,所述攻擊類型集合T所產生的T類型的攻擊流量被清洗,正常流量被回注。
本實施例中的所述攻擊類型集合T包括ntp、ssdp和dns,這幾種攻擊類型較為常見,當然在其他實施例中所述攻擊類型集合T可以為其他的攻擊類型。
本實施例中,所述攻擊源SIP為被黑客利用的基礎服務器的IP,通過獲取并檢測所述網絡節(jié)點A的數據流以直接獲得攻擊源SIP和攻擊類型集合T,然后再將所述攻擊源SIP和攻擊類型T發(fā)送至引流設備12,本實施例的所述引流設備12是由幾臺普通的服務器組成,操作上更加方便快捷,對網絡架構和部署沒有嚴格的要求,部署非常容易且能夠非常有效控制成本。
所述引流設備12向所述攻擊源SIP發(fā)送所述攻擊類型集合T的所有請求,所述攻擊源SIP發(fā)出的攻擊流量被引流至網絡節(jié)點B,所述攻擊類型集合T所產生的T類型的攻擊流量被清洗,正常流量被回注。
通過主動向被利用的所述基礎服務器發(fā)送所述攻擊類型集合T的所有請求,去引流并吸引所述基礎服務器的流量,因為所述基礎服務器所能發(fā)出的總流量一般是恒定的,其性能也是有限的,通過向所述基礎服務器發(fā)送請求,減少攻擊者向所述基礎服務器發(fā)送的攻擊請求被處理的數量,進而間接減少所述基礎服務器向被攻擊者發(fā)送的攻擊流量,達到對反射型DDOS流量進行分流的效果,避免被攻擊目標所在的網絡節(jié)點A發(fā)生傳輸擁塞。
進一步,所述網絡節(jié)點A的帶寬較所述網絡節(jié)點B的帶寬窄。
這樣的話,能夠利用帶寬資源較為充足的所述網絡節(jié)點B保護帶寬資源較少的所述網絡節(jié)點A,降低所述網絡節(jié)點A發(fā)生傳輸擁塞的可能。
進一步,步驟一S1是通過分光或鏡像的方式獲取所述網絡節(jié)點A的數據流,并通過算法分析和策略匹配檢測所述數據流,獲得所述攻擊源SIP和攻擊類型集合T。
一種分流反射型DDOS流量的系統(tǒng),包括:
檢測設備11,用于獲取并檢測網絡節(jié)點A的數據流,獲得攻擊源SIP和攻擊類型集合T,將所述攻擊源SIP和攻擊類型T發(fā)送至引流設備12;
引流設備12,用于向所述攻擊源SIP發(fā)送所述攻擊類型集合T的所有請求;
清洗設備13,用于將所述攻擊源SIP發(fā)出的攻擊流量被引流至網絡節(jié)點B,所述攻擊類型集合T所產生的T類型的攻擊流量被清洗,正常流量被回注。
本實施例中,所述攻擊源SIP為被黑客利用的基礎服務器的IP,通過獲取并檢測所述網絡節(jié)點A的數據流以直接獲得攻擊源SIP和攻擊類型集合T,然后再將所述攻擊源SIP和攻擊類型T發(fā)送至引流設備12,本實施例的所述引流設備12是由幾臺普通的服務器組成,操作上更加方便快捷,對網絡架構和部署沒有嚴格的要求,部署非常容易且能夠非常有效控制成本。
所述引流設備12向所述攻擊源SIP發(fā)送所述攻擊類型集合T的所有請求,所述攻擊源SIP發(fā)出的攻擊流量被引流至網絡節(jié)點B,所述攻擊類型集合T所產生的T類型的攻擊流量被清洗,正常流量被回注。
通過主動向被利用的所述基礎服務器發(fā)送所述攻擊類型集合T的所有請求,去引流并吸引所述基礎服務器的流量,因為所述基礎服務器所能發(fā)出的總流量一般是恒定的,其性能也是有限的,通過向所述基礎服務器發(fā)送請求,減少攻擊者向所述基礎服務器發(fā)送的攻擊請求被處理的數量,進而間接減少所述基礎服務器向被攻擊者發(fā)送的攻擊流量,達到對反射型DDOS流量進行分流的效果,避免被攻擊目標所在的網絡節(jié)點A發(fā)生傳輸擁塞。
進一步,所述網絡節(jié)點A的帶寬較所述網絡節(jié)點B的帶寬窄。
這樣的話,能夠利用帶寬資源較為充足的所述網絡節(jié)點B保護帶寬資源較少的所述網絡節(jié)點A,降低所述網絡節(jié)點A發(fā)生傳輸擁塞的可能。
進一步,所述檢測設備11部署于所述網絡節(jié)點A,所述引流設備12和清洗設備13部署于所述網絡節(jié)點B。
因為所述網絡節(jié)點A的帶寬資源較少,將所述檢測設備11部署于所述網絡節(jié)點A,更利于利用帶寬資源較為充足的所述網絡節(jié)點B保護帶寬資源較少的所述網絡節(jié)點A。
進一步,所述檢測設備11是通過分光或鏡像的方式獲取所述網絡節(jié)點A的數據流,并通過算法分析和策略匹配檢測所述數據流,獲得所述攻擊源SIP和攻擊類型集合T。
以上結合具體實施例描述了本發(fā)明的技術原理。這些描述只是為了解釋本發(fā)明的原理,而不能以任何方式解釋為對本發(fā)明保護范圍的限制?;诖颂幍慕忉?,本領域的技術人員不需要付出創(chuàng)造性的勞動即可聯(lián)想到本發(fā)明的其它具體實施方式,這些方式都將落入本發(fā)明的保護范圍之內。