防范分布式阻断服务DDoS攻击的方法、网络设备和网络系统

摘要

本发明实施例公开一种防御分布式阻断服务DDoS攻击的方法，包括：在服务器端对该服务器的运行状态或进入服务器的网络数据流进行检测，判断是否有针对本服务器的DDos攻击发生；如果有针对本服务器的DDos攻击发生，则通知数据清洗设备对流向该服务器的网络数据流进行清洗。本发明实施例还公开了一种网络设备和网络系统。通过本发明实施例，能够从被攻击目标端进行检测和初步的防御，准确的获得攻击的状态和提供防御需要的信息，从而有效地防御DDos攻击。

说明书

技术领域

本发明涉及网络安全技术领域，特别涉及防范分布式阻断服务DDoS攻击的方法、网络设备和网络系统。

背景技术

分布式阻断服务DDoS(Distributed Denial of Service)攻击主要是利用了internet协议和internet基本优点——无偏差地从任何的源头传送数据包到任意目的地。DDoS攻击分为两种：要么大数据，大流量来压垮网络设备和服务器，要么有意制造大量无法完成的不完全请求来快速耗尽服务器资源。

DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。DDoS攻击就是利用更多的傀儡机来发起进攻，以比从前更很多的规模来进攻受害者。从技术角度讲，DDoS攻击包括威胁互联网计算机的安全和放置特洛伊木马程序。众多的特洛伊木马程序会遵照一台由攻击者控制的主服务器的指示，在指定的时间以特定的方式共同发动攻击。形成一个巨大的全球范围内的僵尸攻击网络。

DDoS攻击有个重要的特点就是从大量的傀儡主机发起攻击，攻击的主要手段就是向被攻击目标端发送大量的数据报文，从而达到摧毁被攻击端带宽或者处理能力等的目标。

为了缓解DDOS给被攻击目标带来的压力，可以在被攻击目标前面放置一个防御设备来完成，当发生DDoS攻击的时候，自动启动对攻击流量的过滤功能，从而将DDoS攻击阻挡到过滤设备之外。

DDoS防御设备根据DDoS攻击的特征单独进行攻击检测，典型的比如检测到超过一定阈值的大量的SYN报文，则认为发生了SYN Flood攻击(DDoS攻击的一种)，不管被攻击目标是否真正产生攻击效果。

DDoS防御设备根据攻击的类型采用特定的方法对攻击报文进行过滤，过滤掉大量的攻击报文，并允许正常访问的报文通过，从而一定程度上抑制了对被攻击目标的攻击。

由于该防御方案采用独立的设备，只是从网络流量进行一定的特征检测从而判断是否有攻击的发生，但对于不同的被攻击目标，攻击的特征以及判断攻击的阈值并不是很容易的确定，从而很容易产生一定程度的误报和漏报。

发明内容

鉴于此，本发明实施例提供一种防范DDoS攻击的方法，包括：

在服务器端对该服务器的运行状态或进入该服务器的网络数据流进行检测，判断是否有针对该服务器的DDos攻击发生；

如果有针对该服务器的DDos攻击发生，则通知数据清洗设备对流向该服务器的网络数据流进行清洗。

本发明实施例还提供一种网络设备，包括分布式阻断服务DDoS攻击

防御模块，该模块包括：

检测单元，用于在网络设备端对该网络设备的运行状态和/或进入该网

络设备的网络数据流进行检测，判断是否有针对本网络设备的DDos攻击发生；

通知单元，用于当所述检测单元判断有针对本网络设备的DDos攻击发生时，通知数据清洗设备对针对本网络设备的网络数据流进行清洗。

本发明实施例还提供包括一种网络系统，包括至少一个网络设备和数据清洗设备，其中：

所述网络设备，用于接收和处理来自网络侧的网络数据流，其包括：DDoS攻击防御模块，用于对该网络设备的运行状态或进入该网络设备的网络数据流进行检测，判断是否有针对该网络设备的DDos攻击发生；如果有针对该网络设备的DDos攻击发生，则通知数据清洗设备对流向该网络设备的网络数据流进行清洗；

数据清洗设备，用于与所述网络设备进行协商，根据协商结果对网络数据流进行清洗。

综上可见，本发明实施例提出的防范DDoS攻击的方法、网络设备和网络系统，能够从被攻击目标端进行检测和初步的防御，获得攻击的状态和提供防御需要的信息，从而有效的进行攻击的防御。

附图说明

图1为本发明实施例一的网络系统架构示意图；

图2为本发明实施例一的防范分布式阻断服务DDoS攻击的方法流程图；

图3为本发明实施例一的DDoS攻击防御模块结构示意图；

图4为本发明实施例二的网络系统架构示意图；

图5为本发明实施例二的防范DDoS攻击的方法流程图；

图6为本发明实施例三的DDoS攻击防御模块结构示意图；

图7为本发明实施例四的DDoS攻击防御模块结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面结合附图对本发明实施例作进一步的详细阐述。

在以下各个实施例中，网络的类型可以是移动网络、固定网络、移动固定移动融合网络等，可以是局域网、城域网、广域网，可以是接入网、核心网、传输网，可以是点对点网络(P2P)、客户机/服务器架构的网络(C/S)等。

实施例一：

本发明实施例提出在被攻击目标服务器上安装一个DDoS攻击防御模块，该模块可以对该服务器的运行状态和/或进入该服务器的网络数据流进行检测，进而将检测的结果反馈给数据流清洗设备。服务器端DDoS攻击防御模块可以是硬件，也可以是软件，可以是不限于网络接口层、内核级或者应用级软件等，该模块可以是一个独立的软件或者某安全软件的一部分功能，可以是从各个层面进行防御的硬件或软件。

服务器的运行状态可以是中央处理器、存储器的运行负荷、网络流量等状态。

如图1所示，本实施例的网络系统包括：

攻击检测设备Detector102，用于对网络侧的网络数据流进行检测；当检测到有针对某个服务器的DDoS攻击发生时，则利用流量牵引技术将流向被攻击目标的攻击网络数据流定向到数据流清洗设备Cleaner中进行清洗，将正常的网络数据流发送给该服务器；可以通过IP地址、Mac地址等来识别DDos攻击的被攻击目标。

数据流清洗设备Cleaner104，用于与攻击检测设备Detector和服务器进行协商，根据协商结果对网络数据流进行清洗；

至少一个服务器106，用于接收和处理来自网络侧的网络数据流，其包括：DDoS攻击防御模块，用于对服务器的运行状态和/或进入服务器的网络数据流进行检测，判断是否有DDos攻击发生，将判断结果反馈给数据流清洗设备；如果所述检测单元判断有针对本网络设备的DDos攻击发生，则通知数据清洗设备对流向本网络设备的网络数据流进行清洗；进一步地，还可以对经过数据流清洗设备清洗处理的数据流进行清洗。

数据流清洗设备Cleaner可以部署在服务器前端的任意位置。如图1所示，数据流清洗设备Cleaner部署在路由器108和交换机110之间。

Cleaner设备与服务器端DDoS攻击防御模块可以有一个联动接口。

参照图2所示，本实施例提出的防范DDoS攻击的方法，包括以下步骤：

S202、攻击检测设备Detector根据网络数据流的特征检测是否有针对某个服务器的DDoS攻击发生，当检测到DDoS攻击发生时，则利用流量牵引技术将所有流向被攻击目标的攻击网络数据流定向到数据清洗设备Cleaner中进行清洗，将正常的网络数据流定向到该服务器。可以通过IP地址、Mac地址等来识别被攻击目标。

S204、服务器端DDoS攻击防御模块在服务器端对服务器的运行状态和/或网络数据流进行检测，判断是否有DDoS攻击发生。该模块的检测采用多种引擎和算法，尽早发现DDOS攻击；该模块与网络侧的Detector模块同时工作。

服务器端检测可以基于流，可以基于文件，也可以基于协议分析；由于检测所处的位置在服务器端，灵敏度将比网络侧设备高，可以发现的DDOS特征比网络侧发现的更多。

S206、当服务器端DDoS攻击防御模块判断有针对本服务器的DDoS攻击时，则通过联动接口通知数据清洗设备或者采用其他手段，将针对本服务器的网络数据流重定向到数据清洗设备进行清洗。DDoS攻击防御模块可以提取攻击网络报文特征，通知数据清洗设备进行清洗。

因为经过清洗处理以后的网络数据流可能还包含部分DDOS攻击，所以，可进一步包括：

S208、DDoS攻击防御模块对经过数据清洗设备清洗处理的、进入服务器的网络数据流进行清洗。

本实施例中的DDoS攻击防御模块可以包括：

检测单元302，用于在服务器端对服务器的运行状态和/或进入该服务器的网络数据流进行检测，判断是否有针对本服务器的DDos攻击发生；

通知单元304，用于当检测单元判断有针对本服务器的DDos攻击发生，通知数据清洗设备将针对所述服务器的网络数据流重定向到数据清洗设备进行清洗；

清洗单元306，用于对进入所述服务器的网络数据流进行清洗。

通过本发明实施例，能够从被攻击目标端进行检测和初步的防御，获得攻击的状态和提供防御需要的信息，从而有效的进行攻击的防御。

实施例二：

在本实施例中，无需在网络侧安装攻击检测设备Detector，只需在被攻击目标服务器上安装一个DDoS攻击防御模块。

如图4所示，本实施例的网络系统包括：

数据流清洗设备Cleaner402，用于与攻击检测设备Detector和服务器进行协商，根据协商结果对网络数据流进行清洗；

至少一个服务器404，用于接收和处理来自网络侧的网络数据流，其包括：DDoS攻击防御模块，用于对服务器的运行状态和/或网络数据流进行检测，将检测的结果反馈给数据清洗设备；进一步地，还可以对经过数据清洗设备清洗处理的数据流进行清洗。

数据清洗设备Cleaner可以部署在服务器前端的任意位置。如图4所示，数据清洗设备Cleaner部署在路由器406和交换机408之间。

Cleaner设备与服务器端DDoS攻击防御模块可以有一个联动接口。

如图5所示，本实施例提供的方法包括：

S502、服务器端DDoS攻击防御模块在服务器端对服务器的运行状态和/或网络数据流进行检测，确定是否有DDoS攻击发生。该模块的检测采用多种引擎和算法，尽早发现DDOS攻击；该模块与网络侧的攻击检测设备Detector同时工作。

服务器端检测可以基于流，也可以基于文件；可以基于协议分析；由于检测所处的位置在服务器端，灵敏度将比网络侧设备的高，可以发现的DDOS特征比网络侧发现的更多。

S504、当服务器端DDoS攻击防御模块确定有针对本服务器的DDoS攻击时，则通过联动接口通知数据清洗设备或者采用其他手段，将针对本服务器IP的网络数据流重定向到数据清洗设备进行清洗处理。DDoS攻击防御模块可以提取攻击网络报文特征，通知数据清洗设备进行清洗。

因为经过清洗以后的网络数据流可能还包含部分DDOS攻击，所以，可进一步包括：

S506、DDoS攻击防御模块对经过数据清洗设备清洗的、进入服务器的网络数据流进行清洗。

通过本发明实施例，能够从被攻击目标端进行检测和初步的防御，获得攻击的状态和提供防御需要的信息，从而有效的进行攻击的防御。而且不需要部署攻击检测设备Detector，可以节省成本。

实施例三：

本实施例的方案在服务器上增加负载报警机制，参见图6所示，DDoS攻击防御模块可以进一步包括：

负载报警单元602，用于监控进入本服务器的网络数据流的流量，当数据流流量达到预设值时，比如一个自定义的危险级别时，向数据清洗设备发起告警。

检测进入该服务器的流量可以通过检测网卡上的流量来实现，按承受能力划分级别，可以与数据清洗设备的清洗过滤强度进行联动。当经过服务器网卡的流量达到一个危险的级别时，向数据清洗设备发起告警。

通过本发明实施例，可以使服务器端根据流量进行DDos攻击的报警和防御，提高了安全性。

实施例四：

本实施例的方案在服务器与检测设备之间建立心跳联动，检测设备可以是数据清洗设备。

当服务器的CPU资源被耗尽的时候，主机不能再发出任何消息，可以通过检测心跳去判断这台服务器是否已经瘫掉了。当数据清洗设备发现主机已经瘫掉，则要开始对服务器进行抢救，抢救措施包括：

(1)在数据清洗设备上对流向服务器的流量进行限流，该限流可以是抢救级别的限流；检测心跳是否恢复；如果心跳没有恢复，则可以重新启动服务器。

(2)心跳恢复后，检测设备分析“瘫痪原因”，完善过滤规则。检测设备可以是清洗设备。

参见图7所示，DDoS攻击防御模块可以进一步包括：

心跳发送单元702，用于向数据清洗设备发送心跳。

通过本发明实施例，可以使服务器端在DDos攻击下陷于瘫痪的情况时通过心跳告知数据清洗设备进行限流，抵御DDos攻击，提高安全性。

在以上各个实施例中，被攻击目标服务器在不同的网络环境中可以是其他类型的设备，如计算机、手机、网络节点(如路由器、交换机、基站等)、家用电器等。

综上可见，本发明实施例提出的防范DDoS攻击的方法、网络设备和网络系统，能够从被攻击目标端进行检测和初步的防御，准确的获得攻击的状态和提供防御需要的信息从而有效的进行攻击的防御。

专业人员还可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或任意其它形式的存储介质中。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。