CN106302537B - 一种ddos攻击流量的清洗方法及系统 - Google Patents

一种ddos攻击流量的清洗方法及系统 Download PDF

Info

Publication number
CN106302537B
CN106302537B CN201610884787.1A CN201610884787A CN106302537B CN 106302537 B CN106302537 B CN 106302537B CN 201610884787 A CN201610884787 A CN 201610884787A CN 106302537 B CN106302537 B CN 106302537B
Authority
CN
China
Prior art keywords
attack
cleaning equipment
flow
cleaning
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610884787.1A
Other languages
English (en)
Other versions
CN106302537A (zh
Inventor
梁润强
霍键聪
闵宇
周保群
李绍良
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Ruijiang Cloud Computing Co Ltd
Original Assignee
Guangdong Ruijiang Cloud Computing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Ruijiang Cloud Computing Co Ltd filed Critical Guangdong Ruijiang Cloud Computing Co Ltd
Priority to CN201610884787.1A priority Critical patent/CN106302537B/zh
Publication of CN106302537A publication Critical patent/CN106302537A/zh
Application granted granted Critical
Publication of CN106302537B publication Critical patent/CN106302537B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种DDOS攻击流量的清洗方法及系统,方法包括对检测设备、清洗设备和路由器建立通信连接;检测设备向清洗设备下达对被攻击目标的清洗指令;清洗设备向路由器发出对被攻击目标的流量牵引请求;路由器将被攻击目标的流量引流至清洗设备,所述清洗设备对流量进行清洗;当攻击结束后,清洗设备保持对被攻击目标的流量牵引直到到达保持牵引时间。系统包括通信建立单元、初始化单元、攻击检测单元、牵引请求单元、清洗单元和牵引保持单元。本发明通过在清洗攻击流量结束后的保持牵引,有效的防止攻击者使用脉冲式的攻击方法来避过流量清洗系统的清洗间隔,从而达到更好的清洗效果。本发明可广泛应用于攻击清洗领域中。

Description

一种DDOS攻击流量的清洗方法及系统
技术领域
本发明涉及计算机技术领域,尤其涉及一种DDOS攻击流量的清洗方法及系统。
背景技术
拒绝服务攻击(DoS, Denial of Service)是指利用各种服务请求耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求。而随着僵尸网络的兴起,同时由于攻击方法简单、影响较大、难以追查等特点,又使得分布式拒绝服务攻击(DDoS,Distributed Denial of Service)得到快速壮大和日益泛滥。成千上万主机组成的僵尸网络为DDoS攻击提供了所需的带宽和主机,形成了规模巨大的攻击和网络流量,对被攻击网络造成了极大的危害。
随着DDoS攻击技术的不断提高和发展,ISP、ICP、IDC等运营商面临的安全和运营挑战也不断增多,运营商必须在DDoS威胁影响关键业务和应用之前,对流量进行检测并加以清洗,确保网络正常稳定的运行以及业务的正常开展。同时,对DDoS攻击流量的检测和清洗也可以成为运营商为用户提供的一种增值服务,以获得更好的用户满意度。
对DDOS攻击流量进行迅速有效且持续的清洗,是保障网络传输和服务的关键,现在的攻击除了会使用超大流量发出攻击,还会在时间点和频率上做选择,达到攻击效果最大化,所以清洗方案也要作相对的调整。
目前的流量清洗架构一般分为两种,一种是使用BGP等引流方式进行流量过滤,一种是使用DNS等接入云清洗平台进行流量过滤,而无论使用上述两种方式的任意一种,一般的清洗逻辑都是检测出攻击流量后,引流或者接入后再对流量进行清洗,攻击流量结束后取消引流或者接入恢复流量的正常传输。
以上的清洗逻辑有明显的缺点是无法有效应对脉冲式的攻击方式,攻击者会频繁发出短暂的攻击流量,一般使用引流的方式,从发出引流指令到流量真正流入清洗设备的时间间隔,最少需要3秒左右,而云清洗的接入方式就需要更加多的时间,攻击者往往就是利用这个时间间隔,每次间隔一定的时间,只发出几秒钟的攻击流量,清洗平台刚开始清洗攻击就已结束并且取消清洗。
发明内容
为了解决上述技术问题,本发明的目的是提供一种能有效防止脉冲式攻击,提升清洗效果的一种DDOS攻击流量的清洗方法及系统。
本发明所采取的技术方案是:
一种DDOS攻击流量的清洗方法,包括以下步骤:
对检测设备、清洗设备和路由器建立通信连接;
清洗设备对保持牵引时间进行初始化;
检测设备实时对攻击进行检测,当检测到发生攻击后,向清洗设备下达对被攻击目标的清洗指令;
清洗设备接收清洗指令,并向路由器发出对被攻击目标的流量牵引请求;
路由器根据流量牵引请求,将被攻击目标的流量引流至清洗设备,所述清洗设备对流量进行清洗;
当攻击结束后,清洗设备保持对被攻击目标的流量牵引直到到达保持牵引时间,若在期间该被攻击目标没发生被攻击,则清洗设备向路由器发出对该被攻击目标的取消流量牵引请求。
作为所述的一种DDOS攻击流量的清洗方法的进一步改进,所述的对检测设备、清洗设备和路由器建立通信连接,这一步骤具体包括:
将检测设备与清洗设备进行通信连接;
清洗设备与路由器通过BGP协议进行通信连接。
作为所述的一种DDOS攻击流量的清洗方法的进一步改进,所述的路由器根据流量牵引请求,将被攻击目标的流量引流至清洗设备,所述清洗设备对流量进行清洗,这一步骤之后还包括有:
清洗设备检测目标的被攻击频率,判断被攻击频率是否大于预设的攻击频率阈值,若是,则将保持牵引时间延长至预设的最大保持牵引时间;反之,则维持保持牵引时间不变。
本发明所采用的另一技术方案是:
一种DDOS攻击流量的清洗系统,包括:
通信建立单元,用于对检测设备、清洗设备和路由器建立通信连接;
初始化单元,用于清洗设备对保持牵引时间进行初始化;
攻击检测单元,用于检测设备实时对攻击进行检测,当检测到发生攻击后,向清洗设备下达对被攻击目标的清洗指令;
牵引请求单元,用于清洗设备接收清洗指令,并向路由器发出对被攻击目标的流量牵引请求;
清洗单元,用于路由器根据流量牵引请求,将被攻击目标的流量引流至清洗设备,所述清洗设备对流量进行清洗;
牵引保持单元,用于当攻击结束后,清洗设备保持对被攻击目标的流量牵引直到到达保持牵引时间,若在期间该被攻击目标没发生被攻击,则清洗设备向路由器发出对该被攻击目标的取消流量牵引请求。
作为所述的一种DDOS攻击流量的清洗系统的进一步改进,所述通信建立单元,其具体包括:
设备连接单元,用于将检测设备与清洗设备进行通信连接;
BGP连接单元,用于清洗设备与路由器通过BGP协议进行通信连接。
作为所述的一种DDOS攻击流量的清洗系统的进一步改进,所述清洗单元之后还包括有:
频率检测单元,用于清洗设备检测目标的被攻击频率,判断被攻击频率是否大于预设的攻击频率阈值,若是,则将保持牵引时间延长至预设的最大保持牵引时间;反之,则维持保持牵引时间不变。
本发明的有益效果是:
本发明一种DDOS攻击流量的清洗方法及系统通过在清洗攻击流量结束后的保持牵引,这样下次发生攻击的时候就能立刻开始清洗攻击流量而不必向路由器再次申请流量的牵引并且等待几秒钟后的路由器生效,有效的防止攻击者使用脉冲式的攻击方法来避过流量清洗系统的清洗间隔,从而达到更好的清洗效果。进一步,本发明还能通过判断目标被攻击的频率,根据实际情况改变该目标在清洗攻击流量结束后的保持牵引时间,提高该目标下次发生攻击的时候还尚在牵引状态下的机率。
附图说明
下面结合附图对本发明的具体实施方式作进一步说明:
图1是本发明一种DDOS攻击流量的清洗方法的步骤流程图;
图2是本发明一种DDOS攻击流量的清洗方法中通信建立的步骤流程图;
图3是本发明一种DDOS攻击流量的清洗系统的模块方框图。
具体实施方式
参考图1,本发明一种DDOS攻击流量的清洗方法,包括以下步骤:
对检测设备、清洗设备和路由器建立通信连接;
清洗设备对保持牵引时间进行初始化;
检测设备实时对攻击进行检测,当检测到发生攻击后,向清洗设备下达对被攻击目标的清洗指令;
清洗设备接收清洗指令,并向路由器发出对被攻击目标的流量牵引请求;
路由器根据流量牵引请求,将被攻击目标的流量引流至清洗设备,所述清洗设备对流量进行清洗;
当攻击结束后,清洗设备保持对被攻击目标的流量牵引直到到达保持牵引时间,若在期间该被攻击目标没发生被攻击,则清洗设备向路由器发出对该被攻击目标的取消流量牵引请求。
参考图2,进一步作为优选的实施方式,所述的对检测设备、清洗设备和路由器建立通信连接,这一步骤具体包括:
将检测设备与清洗设备进行通信连接;
清洗设备与路由器通过BGP协议进行通信连接。
进一步作为优选的实施方式,所述的路由器根据流量牵引请求,将被攻击目标的流量引流至清洗设备,所述清洗设备对流量进行清洗,这一步骤之后还包括有:
清洗设备检测目标的被攻击频率,判断被攻击频率是否大于预设的攻击频率阈值,若是,则将保持牵引时间延长至预设的最大保持牵引时间;反之,则维持保持牵引时间不变。
本发明实施例中,保持牵引时间初始化为5s,最大保持牵引时间为10s,攻击频率阈值为3次/h,因此具体实施例如下:
S1、将检测设备与清洗设备进行通信连接;
S2、清洗设备与路由器通过BGP协议进行通信连接;
S3、清洗设备对保持牵引时间进行初始化,将保持牵引时间初始化为5s;
S4、检测设备实时对攻击进行检测,当检测到发生攻击后,向清洗设备下达对被攻击目标M的清洗指令;
S5、清洗设备接收清洗指令,并向路由器发出对被攻击目标M的流量牵引请求;
S6、路由器根据流量牵引请求,将被攻击目标M的流量引流至清洗设备,所述清洗设备对流量进行清洗;
S7、清洗设备检测被攻击目标M的被攻击频率,即一小时被攻击的次数,判断被攻击频率是否大于3次/h,若是,则将保持牵引时间延长至10s;反之,则维持保持牵引时间不变;
S8、当攻击结束后,清洗设备保持对被攻击目标的流量牵引直到到达保持牵引时间,若在期间该被攻击目标M没发生被攻击,则清洗设备向路由器发出对该被攻击目标的取消流量牵引请求。
参考图3,本发明一种DDOS攻击流量的清洗系统,包括:
通信建立单元,用于对检测设备、清洗设备和路由器建立通信连接;
初始化单元,用于清洗设备对保持牵引时间进行初始化;
攻击检测单元,用于检测设备实时对攻击进行检测,当检测到发生攻击后,向清洗设备下达对被攻击目标的清洗指令;
牵引请求单元,用于清洗设备接收清洗指令,并向路由器发出对被攻击目标的流量牵引请求;
清洗单元,用于路由器根据流量牵引请求,将被攻击目标的流量引流至清洗设备,所述清洗设备对流量进行清洗;
牵引保持单元,用于当攻击结束后,清洗设备保持对被攻击目标的流量牵引直到到达保持牵引时间,若在期间该被攻击目标没发生被攻击,则清洗设备向路由器发出对该被攻击目标的取消流量牵引请求。
进一步作为优选的实施方式,所述通信建立单元,其具体包括:
设备连接单元,用于将检测设备与清洗设备进行通信连接;
BGP连接单元,用于清洗设备与路由器通过BGP协议进行通信连接。
进一步作为优选的实施方式,所述清洗单元之后还包括有:
频率检测单元,用于清洗设备检测目标的被攻击频率,判断被攻击频率是否大于预设的攻击频率阈值,若是,则将保持牵引时间延长至预设的最大保持牵引时间;反之,则维持保持牵引时间不变。
从上述内容可知,本发明一种DDOS攻击流量的清洗方法及系统通过在清洗攻击流量结束后的保持牵引,这样下次发生攻击的时候就能立刻开始清洗攻击流量而不必向路由器再次申请流量的牵引并且等待几秒钟后的路由器生效,有效的防止攻击者使用脉冲式的攻击方法来避过流量清洗系统的清洗间隔,从而达到更好的清洗效果。进一步,本发明还能通过判断目标被攻击的频率,根据实际情况改变该目标在清洗攻击流量结束后的保持牵引时间,提高该目标下次发生攻击的时候还尚在牵引状态下的机率。
以上是对本发明的较佳实施进行了具体说明,但本发明创造并不限于所述实施例,熟悉本领域的技术人员在不违背本发明精神的前提下还可做作出种种的等同变形或替换,这些等同的变形或替换均包含在本申请权利要求所限定的范围内。

Claims (4)

1.一种DDOS攻击流量的清洗方法,其特征在于,包括以下步骤:
对检测设备、清洗设备和路由器建立通信连接;
清洗设备对保持牵引时间进行初始化;
检测设备实时对攻击进行检测,当检测到发生攻击后,向清洗设备下达对被攻击目标的清洗指令;
清洗设备接收清洗指令,并向路由器发出对被攻击目标的流量牵引请求;
路由器根据流量牵引请求,将被攻击目标的流量引流至清洗设备,所述清洗设备对流量进行清洗;
当攻击结束后,清洗设备保持对被攻击目标的流量牵引直到到达保持牵引时间,若在期间该被攻击目标没发生被攻击,则清洗设备向路由器发出对该被攻击目标的取消流量牵引请求;
所述的路由器根据流量牵引请求,将被攻击目标的流量引流至清洗设备,所述清洗设备对流量进行清洗,这一步骤之后还包括有:清洗设备检测目标的被攻击频率,判断被攻击频率是否大于预设的攻击频率阈值,若是,则将保持牵引时间延长至预设的最大保持牵引时间;反之,则维持保持牵引时间不变。
2.根据权利要求1所述的一种DDOS攻击流量的清洗方法,其特征在于:所述的对检测设备、清洗设备和路由器建立通信连接,这一步骤具体包括:
将检测设备与清洗设备进行通信连接;
清洗设备与路由器通过BGP协议进行通信连接。
3.一种DDOS攻击流量的清洗系统,其特征在于,包括:
通信建立单元,用于对检测设备、清洗设备和路由器建立通信连接;
初始化单元,用于清洗设备对保持牵引时间进行初始化;
攻击检测单元,用于检测设备实时对攻击进行检测,当检测到发生攻击后,向清洗设备下达对被攻击目标的清洗指令;
牵引请求单元,用于清洗设备接收清洗指令,并向路由器发出对被攻击目标的流量牵引请求;
清洗单元,用于路由器根据流量牵引请求,将被攻击目标的流量引流至清洗设备,所述清洗设备对流量进行清洗;
牵引保持单元,用于当攻击结束后,清洗设备保持对被攻击目标的流量牵引直到到达保持牵引时间,若在期间该被攻击目标没发生被攻击,则清洗设备向路由器发出对该被攻击目标的取消流量牵引请求;
所述清洗单元之后还包括有:
频率检测单元,用于清洗设备检测目标的被攻击频率,判断被攻击频率是否大于预设的攻击频率阈值,若是,则将保持牵引时间延长至预设的最大保持牵引时间;反之,则维持保持牵引时间不变。
4.根据权利要求3所述的一种DDOS攻击流量的清洗系统,其特征在于:所述通信建立单元,其具体包括:
设备连接单元,用于将检测设备与清洗设备进行通信连接;
BGP连接单元,用于清洗设备与路由器通过BGP协议进行通信连接。
CN201610884787.1A 2016-10-09 2016-10-09 一种ddos攻击流量的清洗方法及系统 Active CN106302537B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610884787.1A CN106302537B (zh) 2016-10-09 2016-10-09 一种ddos攻击流量的清洗方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610884787.1A CN106302537B (zh) 2016-10-09 2016-10-09 一种ddos攻击流量的清洗方法及系统

Publications (2)

Publication Number Publication Date
CN106302537A CN106302537A (zh) 2017-01-04
CN106302537B true CN106302537B (zh) 2019-09-10

Family

ID=57717975

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610884787.1A Active CN106302537B (zh) 2016-10-09 2016-10-09 一种ddos攻击流量的清洗方法及系统

Country Status (1)

Country Link
CN (1) CN106302537B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106899580A (zh) * 2017-02-10 2017-06-27 杭州迪普科技股份有限公司 一种流量清洗方法及装置
CN111404868B (zh) * 2019-01-02 2022-04-29 中国移动通信有限公司研究院 一种缓解DDoS攻击的方法、装置、电子设备及存储介质
CN112073402B (zh) * 2020-08-31 2022-05-27 新华三信息安全技术有限公司 一种流量攻击检测方法及装置
CN113037784B (zh) * 2021-05-25 2021-09-21 金锐同创(北京)科技股份有限公司 流量引导方法、装置及电子设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1705863A1 (en) * 2005-03-25 2006-09-27 AT&T Corp. Method and apparatus for traffic control of dynamic denial of service attacks within a communications network
CN101299724A (zh) * 2008-07-04 2008-11-05 杭州华三通信技术有限公司 流量清洗的方法、系统和设备
CN101431449A (zh) * 2008-11-04 2009-05-13 中国科学院计算技术研究所 一种网络流量清洗系统
CN103491095A (zh) * 2013-09-25 2014-01-01 中国联合网络通信集团有限公司 流量清洗架构、装置及流量牵引、流量回注方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7478429B2 (en) * 2004-10-01 2009-01-13 Prolexic Technologies, Inc. Network overload detection and mitigation system and method
US20070300304A1 (en) * 2006-06-26 2007-12-27 Nokia Corporation SIP washing machine

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1705863A1 (en) * 2005-03-25 2006-09-27 AT&T Corp. Method and apparatus for traffic control of dynamic denial of service attacks within a communications network
CN101299724A (zh) * 2008-07-04 2008-11-05 杭州华三通信技术有限公司 流量清洗的方法、系统和设备
CN101431449A (zh) * 2008-11-04 2009-05-13 中国科学院计算技术研究所 一种网络流量清洗系统
CN103491095A (zh) * 2013-09-25 2014-01-01 中国联合网络通信集团有限公司 流量清洗架构、装置及流量牵引、流量回注方法

Also Published As

Publication number Publication date
CN106302537A (zh) 2017-01-04

Similar Documents

Publication Publication Date Title
CN102111394B (zh) 网络攻击防护方法、设备及系统
CN106302537B (zh) 一种ddos攻击流量的清洗方法及系统
Gkountis et al. Lightweight algorithm for protecting SDN controller against DDoS attacks
CN101834875B (zh) 防御DDoS攻击的方法、装置和系统
CN104853001B (zh) 一种arp报文的处理方法和设备
CN106131031B (zh) 一种DDoS流量清洗处理的方法及装置
CA2540802A1 (en) Method and apparatus for traffic control of dynamic denial of service attacks within a communications network
US20180191774A1 (en) Method and system for shunting reflective ddos traffic
CN104883360B (zh) 一种arp欺骗的细粒度检测方法及系统
US9800593B2 (en) Controller for software defined networking and method of detecting attacker
CN104767762A (zh) 一种安全防护系统
KR20130124692A (ko) 유해 트래픽의 필터링 정보 관리 시스템 및 그 방법
CN102035793A (zh) 僵尸网络检测方法、装置以及网络安全防护设备
WO2017041656A1 (zh) 一种流量处理方法、设备和系统
CN109617912B (zh) 一种采用多个域名智能切换防DDoS攻击的装置
CN111901284B (zh) 流量控制方法及系统
US20220239671A1 (en) Impeding forecast threat propagation in computer networks
Griffioen et al. Could you clean up the Internet with a Pit of Tar? Investigating tarpit feasibility on Internet worms
Chatterjee Design and development of a framework to mitigate dos/ddos attacks using iptables firewall
JP4322179B2 (ja) サービス拒絶攻撃防御方法およびシステム
KR101069341B1 (ko) 분산 서비스 거부 공격 생성 방지 장치
Khirwadkar Defense against network attacks using game theory
KR101358794B1 (ko) 이상 패킷 차단 시스템 및 방법
US20220272107A1 (en) Impeding location threat propagation in computer networks
US20220247759A1 (en) Impeding threat propagation in computer networks

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20170104

Assignee: Guangdong Yaoda Financial Leasing Co., Ltd

Assignor: GUANGDONG EFLYCLOUD COMPUTING Co.,Ltd.

Contract record no.: X2020980005383

Denomination of invention: A cleaning method and system of DDoS attack traffic

Granted publication date: 20190910

License type: Exclusive License

Record date: 20200826

EE01 Entry into force of recordation of patent licensing contract
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: A cleaning method and system of DDoS attack traffic

Effective date of registration: 20200904

Granted publication date: 20190910

Pledgee: Guangdong Yaoda Financial Leasing Co., Ltd

Pledgor: GUANGDONG EFLYCLOUD COMPUTING Co.,Ltd.

Registration number: Y2020980005729

PE01 Entry into force of the registration of the contract for pledge of patent right