CN106657126B - 检测及防御DDoS攻击的装置及方法 - Google Patents

检测及防御DDoS攻击的装置及方法 Download PDF

Info

Publication number
CN106657126B
CN106657126B CN201710005758.8A CN201710005758A CN106657126B CN 106657126 B CN106657126 B CN 106657126B CN 201710005758 A CN201710005758 A CN 201710005758A CN 106657126 B CN106657126 B CN 106657126B
Authority
CN
China
Prior art keywords
message
ddos
list item
field
engine modules
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710005758.8A
Other languages
English (en)
Other versions
CN106657126A (zh
Inventor
单哲
马千里
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Centec Communications Co Ltd
Original Assignee
SHENGKE NETWORK (SUZHOU) CO Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SHENGKE NETWORK (SUZHOU) CO Ltd filed Critical SHENGKE NETWORK (SUZHOU) CO Ltd
Priority to CN201710005758.8A priority Critical patent/CN106657126B/zh
Publication of CN106657126A publication Critical patent/CN106657126A/zh
Application granted granted Critical
Publication of CN106657126B publication Critical patent/CN106657126B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明揭示了一种检测及防御DDoS攻击的装置及方法,应用于网络通信技术领域。检测及防御DDoS攻击的装置包括报文接收模块,DDoS报文识别模块,DDoS报文处理引擎模块,以及报文转发模块;报文接收模块接收报文正常处理后发送至DDoS报文识别模块进行DDoS报文识别;DDoS报文识别模块对报文进行匹配,将匹配的报文标示为需要DDoS报文处理引擎模块处理的报文,发送至DDoS报文处理引擎模块进行相应的处理;DDoS报文处理引擎模块对标示为需要DDoS报文处理引擎模块处理的报文检测处理,若处理结果为丢弃报文,则将报文丢弃,否则,将报文发送至报文转发模块进行转发处理。本发明能够针对洪流类DDoS攻击的检测和防御,有效的减轻了网络终端服务器的负荷及压力,提高网络带宽利用率。

Description

检测及防御DDoS攻击的装置及方法
技术领域
本发明涉及一种网络通信领域,尤其是涉及一种检测及防御DDOS攻击的方法及交换芯片。
背景技术
在计算机网络中,DDoS攻击十分频繁,DDoS(Distributed Denial of service,分布式拒绝服务)是指由多个DOS攻击源同时攻击某台服务器就组成了DDoS攻击,DDoS攻击能够造成网络阻塞或者服务器资源耗尽从而导致拒绝服务,从而阻止合法用户对正常网络资源的访问,达成攻击者不可告人的目的,因此,DDoS攻击又称洪水式攻击,常见的DDoS攻击手段有SYN FLOOD,ACK FLOOD,UDP FLOOD,ICMP FLOOD等等。
通常的,通过给服务器打补丁或者安装防火墙软件来防范DDOS攻击,但是对于交换机来说,若给交换机安装防火墙软件,则会增加成本。
因此,在交换机中如何检测及预防DDoS攻击,是目前需要解决的问题。
发明内容
本发明的目的在于克服现有技术的缺陷,提供一种检测及防御DDoS攻击的装置和方法,能够针对洪泛类DDoS进行检测和防御,减轻网络服务器防御DDoS的负荷,同时对本地交换机系统CPU的DDoS攻击进行相应的检测和防御。
为实现上述目的,本发明提出如下技术方案:一种检测及防御DDoS攻击的装置,包括报文接收模块,DDoS报文识别模块,DDoS报文处理引擎模块,以及报文转发模块;
所述报文接收模块与DDoS报文识别模块相连接,报文接收模块接收报文正常处理后发送至DDoS报文识别模块进行DDoS报文识别;
所述DDoS报文识别模块与DDoS报文处理引擎模块相连接,DDoS报文识别模块对报文进行匹配,将匹配的报文标示为需要DDoS报文处理引擎模块处理的报文,并发送至DDoS报文处理引擎模块进行相应的处理;
所述DDoS报文处理引擎模块与报文转发模块相连接,DDoS报文处理引擎模块对标示为需要DDoS报文处理引擎模块处理的报文检测处理,若处理结果为丢弃报文,则丢弃报文,否则,将报文发送至报文转发模块进行转发处理。
优选地,所述DDoS报文识别模块通过访问控制列表项,以及本地CPU协议报文识别表项对报文进行匹配,将匹配的报文标示为需要DDOS报文处理引擎模块处理的报文。
优选地,所述DDoS报文识别模块根据所述访问控制列表项,以及本地CPU协议报文识别表项匹配报文,获得配置表项Index,根据所述配置表项Index能够读取相应的配置表项FlowProfile。
优选地,所述配置表项FlowProfile包括DDoS门限字段、流细分字段、检测周期字段,以及阻断时间长度字段。
优选地,所述流细分字段包括IP头和TCP头中的字段,通过选取所述IP头和TCP头中的字段并参与哈希计算对报文进行筛选。
一种检测及防御DDOS攻击的方法,包括如下步骤:
步骤1,接收报文并对所述报文进行DDoS报文识别,将匹配的报文进行标示为需要DDoS处理引擎模块处理的报文;
步骤2,所述DDoS报文处理引擎模块对需要DDoS处理引擎模块处理的报文检测处理,判断是否发生DDOS攻击,若是,则对所述报文进行阻断,否则,将所述报文发送至报文转发模块进行转发处理。
优选地,所述DDoS报文识别包括根据访问控制列表项,以及本地CPU协议报文识别表项对报文进行匹配,获得配置表项Index,根据所述配置表项Index读取相应的配置表项FlowProfile。
优选地,所述步骤2还包括如下步骤:
步骤201,接收需要DDoS处理引擎模块处理的报文,获得所述报文的配置表项Index,读取相应的配置表项FlowProfile;
步骤202,配置所述配置表项FlowProfile对所述需要DDoS处理引擎模块处理的报文进行筛选,获得DDoSRecord表项;
步骤203,选择DDoSRecord表项,判断是否设置阻断标志位,若设置,则阻断报文一个周期;否则,执行步骤204;
步骤204,判断DDoSRecord表项中统计的报文数量是否大于预设阈值,若是,则阻断报文;否则,转发报文。
优选地,阻断周期内DDoS报文处理引擎模块对DDoSRecord表项的处理方法包括如下步骤:
步骤301,判断时钟是否达到预设阈值,若否,时钟加一操作继续判断是否大于预设阈值,若是,执行步骤302;
步骤302,判断是否达到阻断时间长度字段中的数值,若是,则清空阻断标志位,指定下一条DDoSRecord表项,否则,执行步骤303;
步骤303,将阻断时间长度字段中的数值减一,指定下一条DDoSRecord表项,并将时钟清零,执行步骤S301~S303。
优选地,所述DDoSRecord表项包括Count字段,以及阻断标志位字段,所述Count字段表示流细分过后存在的报文数量,所述阻断标志位字段用于对报文是否进行阻断。
本发明的有益效果是:
本发明所述的检测及防御DDoS攻击的装置及方法,在交换芯片上进行针对洪流类DDoS攻击的检测和防御,在报文到达网络终端服务器前进行检测及防御,有效的减轻了网络终端服务器的负荷及压力;通过对DDoS攻击进一步防御,能够有效增加由于DDoS攻击而占用的网络带宽,提高网络整体利用效率。
附图说明
图1是本发明的检测及防御DDoS攻击的装置结构框图示意图;
图2是本发明的检测及防御DDoS攻击的装置报文处理流程图示意图;
图3是本发明的DDoS报文处理引擎模块报文处理流程图示意图;
图4是本发明的检测周期内报文处理流程图示意图;
图5是本发明的检测及防御DDoS攻击的方法示意图;
图6是本发明的DDoS报文处理引擎模块处理报文的方法示意图;
图7是检测周期内报文处理方法示意图。
具体实施方式
下面将结合本发明的附图,对本发明实施例的技术方案进行清楚、完整的描述。
本发明所揭示的一种检测及防御DDoS攻击装置及方法,能够有效的检测及预防指定报文的洪泛攻击,减轻网络服务器的防御DDoS的负荷。
如图1所示,一种检测及预防DDoS攻击的装置,包括报文接收模块,DDoS报文识别模块,DDoS报文处理引擎模块,以及报文转发模块,所述报文接收模块与DDoS报文识别模块相连接,报文接收模块接收报文正常处理后发送至DDoS报文识别模块进行DDoS报文识别;所述DDoS报文识别模块与DDoS报文处理引擎模块相连接,DDoS报文识别模块对报文进行匹配,将匹配的报文标示为需要DDoS报文处理引擎模块处理的报文,并发送至DDoS报文处理引擎模块进行相应的处理;所述DDoS报文处理引擎模块与报文转发模块相连接,DDoS报文处理引擎模块对标示为需要DDoS报文处理引擎模块处理的报文进一步检测处理,若处理结果为丢弃报文,则将报文丢弃,否则,将报文发送至报文转发模块进行转发处理。
结合图1和图2所示,具体的,所述DDoS报文识别模块通过访问控制列表项,以及本地CPU协议报文识别表项对报文进行识别处理,将匹配的报文标示为需要DDOS报文处理引擎模块处理的报文。进一步的,在访问控制列表项中,通过配置访问控制列表,能够防止大多数洪流型DDoS攻击,如针对常见的TCP SYN洪流攻击,可以通过配置访问控制列表匹配类型为TCP,并有SYN标志位的报文,又如针对TCP RST洪流攻击,可以通过配置访问控制列表匹配类型为TCP,并有RST标志位的报文。通过配置访问控制列表,还能够匹配UDP洪流攻击、ICMP洪流攻击的报文。同样的,通过本地CPU协议报文识别表项,能够匹配出需要本地CPU处理的协议报文,将所述协议报文标示为需要DDoS报文处理引擎处理的报文。
本实施例中,所述DDoS报文识别模块根据访问控制列表项,以及本地CPU协议报文识别表项匹配报文的过程中,获得配置表项Index,根据所述配置表项Index能够读取相应的配置表项FlowProfile。所述配置表项FlowProfile预先进行配置,用于对报文进行处理,所述配置表项FlowProfile包括DDoS门限字段、流细分字段、检测周期字段,以及阻断时间长度字段,其中,DDoS门限字段用于设置数据报文的数量,当数据报文的数量超过DDoS门限字段的预设值时,则表明发生DDOS攻击;所述流细分字段能够对数据报文进一步的筛选;检测周期字段用于设置DDOS报文处理引擎模块对数据报文的检测周期,阻断时间长度字段用于设置对数据报文的阻断时间。
更进一步地,在DDoS报文识别模块中,对报文进行匹配的访问控制列表项,以及本地CPU协议报文识别表项通常采用较模糊的关键字对报文进行匹配,在网络遭受攻击时,应当不影响其他的报文的通过,如针对TCP SYN洪流攻击,应当不影响其他类型为TCP,并有SYN标志位的正常报文通过,通过配置流细分字段能够对报文进行进一步的细分,获得DDoSRecord表项,具体地,所述流细分字段包括IP头和TCP头中的各个字段,通过选取相应的字段并进行哈希计算,能够得到DDoSRecord表项Index,根据所述DDoSRecord表项Index能够读取DDoSRecord表项,所述DDoSRecord表项包括Count字段,以及阻断标志位字段,所述Count字段表示流细分过后存在的报文数量,所述阻断标志位字段用于对报文是否进行阻断。网络遭遇DDoS攻击时,通常只针对一个目的地址进行攻击,因此,本实施例中,通过在流细分字段中增加目的地址的网络地址对报文进一步进行的细分。
结合图3所示,通过进一步的流细分得到DDoSRecord表项后,所述DDoS报文处理引擎模块对所述DDoSRecord表项进一步检测,判断是否为DDoS攻击,若是DDoS攻击,则进行阻断。具体的,流细分字段参与流表的计算,选择DDoSRecord表项,本实施例中,根据流细分字段的配置以及流表的哈希计算,能够得到对应当前报文的DDoSRecord表项Index,根据DDoSRecord表项Index读取相应的DDoSRecord表项,判断所述DDoSRecord表项中的阻断标志位字段是否已经设置阻断标志位,若已设置,说明当前报文需要阻断,进而对报文进行阻断处理;若未设置阻断标志位,则对Count字段中的数值进行加一操作,进一步判断加一后的数值是否大于DDoS门限字段中设定的数值。若未达到DDoS门限字段中设定的数值,则表示报文检测通过,进行正常转发;若大于DDoS门限字段中设定的数值,需要对该报文进行阻断处理,通过设置阻断标志位用以阻断该报文,并且将阻断时间长度设置到当前DDoSRecord表项中,进一步设置对该报文的阻断时间,同时将该报文发送至CPU芯片中;当Count字段中的数值执行加一操作后的大于DDoS门限字段中设定的数值,也可以暂时对报文不进行阻断处理,由CPU芯片进行处理,所述CPU芯片通过设置阻断标志位,进而对该报文进行阻断一定的时间。
结合图4所示,本实施例中,是以一定的检测周期对报文进行循环检测,进而判断是否发生DDoS攻击,若发生DDoS攻击,则对该报文阻断一定的检测周期。所述配置表项FlowProfile中的阻断时间长度字段表示当发生DDoS攻击时,将该报文阻断一定的检测周期,如当发生TCP SYN洪流攻击时,需要将该类报文阻断10秒,若检测周期为1秒,则阻断时间长度应该设置为10,即将TCP SYN报文阻断10个检测周期。
具体的,所述检测周期通过芯片内部时钟进行控制,当时钟到达门限值时,即表示一个检测周期。当到达检测周期时,DDoS报文处理引擎模块对当前的DDoSRecord表项进行处理,将当前DDoSRecord表项中的Count字段中的数值进行清空,进一步判断阻断时间长度是否为零,若为零,表明已经到达预先设置的阻断时间,则清除当前DDoSRecord表项中的阻断标志位,并指定下一个处理的DDoSRecord表项,指定下一个处理的DDoSRecord表项后,将时钟置为零;若阻断时间长度字段中的数值不为零,则阻断时间长度的数值进行减一操作,并指定下一个处理的DDoSRecord表项,指定下一个处理的DDoSRecord表项后,将时钟置为零。
通过上述装置,能够对洪流型DDoS攻击进行有效的检测和防御。
结合图2和图5所示,一种检测及防御DDoS攻击的方法,基于上述检测及防御DDoS攻击的装置,所述方法包括如下步骤:
步骤1,接收报文并对所述报文进行DDoS报文识别,将匹配的报文进行标示为需要DDoS处理引擎模块处理的报文;
步骤2,所述DDoS报文处理引擎模块对需要DDoS处理引擎模块处理的报文检测处理,判断是否发生DDOS攻击,若是,则对所述报文进行阻断,否则,将所述报文发送至报文转发模块进行转发处理。
具体的,通过访问控制列表项,以及本地CPU协议报文识别表项对报文进行识别处理,将匹配的报文标示为需要DDoS处理引擎模块处理的报文。进一步的,在访问控制列表项中,通过配置访问控制列表,能够防止大多数洪流型DDoS攻击,如针对常见的TCP SYN洪流攻击,可以通过配置访问控制列表匹配类型为TCP,并有SYN标志位的报文,又如针对TCPRST洪流攻击,可以通过配置访问控制列表匹配类型为TCP,并有RST标志位的报文。通过配置访问控制列表,还能够匹配UDP洪流攻击、ICMP洪流攻击的报文。同样的,通过本地CPU协议报文识别表项,能够匹配出需要本地CPU处理的协议报文,将所述协议报文标示为需要DDoS报文处理引擎处理的报文。
结合图3和图6所示,所述DDoS报文处理引擎模块对报文进行检测处理包括如下步骤:
步骤201,接收需要DDoS处理引擎模块处理的报文,根据所述报文的配置表项Index,读取相应的配置表项FlowProfile;
步骤202,配置所述配置表项FlowProfile对所述需要DDoS处理引擎模块处理的报文进行筛选,获得DDoSRecord表项;
步骤203,选择DDoSRecord表项,判断是否设置阻断标志位,若设置,则阻断报文;否则,执行步骤204;
步骤204,判断DDoSRecord表项中统计的报文数量是否大于预设阈值,若是,则阻断报文;否则,转发报文。
具体的,配置表项FlowProfile预先进行配置,用于对报文进行处理,所述配置表项FlowProfile包括DDoS门限字段、流细分字段、检测周期字段,以及阻断时间长度字段,其中,DDoS门限字段用于设置数据报文的数量,当数据报文的数据超过预设值时,则表明发生DDOS攻击;所述流细分字段能够对数据报文进一步的筛选;检测周期字段用于设置DDOS报文处理引擎模块对数据报文的检测周期,阻断时间长度字段用于设置对数据报文的阻断时间。
所述DDoS报文识别模块根据访问控制列表项,以及本地CPU协议报文识别表项匹配报文的过程中,获得配置表项Index,所述配置表项Index能够读取相应的配置表项FlowProfile。
更进一步地,在DDoS报文识别模块中,对报文进行匹配的访问控制列表项,以及本地CPU协议报文识别表项通常采用较模糊的关键字对报文进行匹配,在网络遭受攻击时,应当不影响其他的报文的通过,如针对TCP SYN洪流攻击,应当不影响其他类型为TCP,并有SYN标志位的正常报文通过,通过配置流细分字段能够对报文进行进一步的细分,获得DDoSRecord表项,具体地,所述流细分字段包括IP头和TCP头中的各个字段,通过选取相应的字段并进行哈希计算,能够得到DDoSRecord表项Index,根据所述DDoSRecord表项Index能够读取DDoSRecord表项,所述DDoSRecord表项包括Count字段,以及阻断标志位字段,所述Count字段表示流细分过后存在的报文数量,所述阻断标志位字段用于对报文是否进行阻断。网络遭遇DDoS攻击时,通常只针对一个目的地址进行攻击,因此,本实施例中,通过在流细分字段中增加目的地址的网络地址对报文进一步进行的细分。
DDOSRecord表项的选择是通过流细分字段参与流表的计算进行选择的,本实施例中,根据流细分字段的配置以及流表的哈希计算,能够得到对应当前报文的DDoSRecord表项Index,根据DDoSRecord表项Index读取相应的DDoSRecord表项,判断所述DDoSRecord表项中的阻断标志位字段是否已经设置阻断标志位,若已设置,则说明当前报文需要阻断;若未设置阻断标志位,则对Count字段中的数值进行加一操作,进一步判断加一后的数值是否大于DDoS门限字段中设定的数值。若未达到DDoS门限字段中设定的数值,则表示报文检测通过,进行正常转发;若大于DDoS门限字段中设定的数值,需要对该报文进行阻断处理,通过设置阻断标志位用以阻断该报文,并且将阻断时间长度设置到当前DDoSRecord表项中,进一步设置对该报文的阻断时间,同时将该报文发送至CPU芯片中;当Count字段中的数值执行加一操作后的大于DDoS门限字段中设定的数值,也可以暂时对报文不进行阻断处理,由CPU芯片进行处理,所述CPU芯片通过设置阻断标志位,进而对该报文进行阻断一定的时间。
结合图4和图7所示,本实施例中,是以一定的检测周期对报文进行循环检测,进而判断是否发生DDoS攻击,若发生DDoS攻击,则对该报文阻断一定的检测周期。
所述检测周期通过芯片内部时钟进行控制,当时钟到达门限值时,即表示一个检测周期,所述DDOS报文处理引擎模块对DDOSRecord表项进一步处理。
阻断周期内DDOS报文处理引擎模块对DDOSRecord表项进一步处理方法包括如下步骤:
步骤301,判断时钟是否达到预设阈值,若否,时钟加一操作继续判断是否大于预设阈值,若是,执行步骤2;
步骤302,判断是否达到阻断时间长度字段中的数值,若是,则清空阻断标志位,指定下一条DDOSRecord表项,否则,执行步骤3;
步骤303,将阻断时间长度字段中的数值减一,并指定下一条DDOSRecord表项,并时钟清零,执行步骤S1~S3。
具体的,所述检测周期通过芯片内部时钟进行控制,当时钟到达门限值时,即表示一个检测周期。当到达检测周期时,DDoS报文处理引擎模块对当前的DDoSRecord表项进行处理,将当前DDoSRecord表项中的Count字段中的数值进行清空,进一步判断阻断时间长度是否为零,若为零,表明已经到达预先设置的阻断时间,则清除当前DDoSRecord表项中的阻断标志位,并指定下一个处理的DDoSReeord表项,指定下一个处理的DDoSReeord表项后,将时钟置为零;若阻断时间长度字段中的数值不为零,则阻断时间长度的数值进行减一操作,并指定下一个处理的DDoSRecord表项,指定下一个处理的DDoSRecord表项后,将时钟置为零。
本发明所述的检测及防御DDoS攻击的装置及方法,在交换芯片上进行针对洪流类DDoS攻击的检测和防御,在报文到达网络终端服务器前进行检测及防御,有效的减轻了网络终端服务器的负荷及压力;通过对DDoS攻击进一步防御,能够有效增加由于DDoS攻击而占用的网络带宽,提高网络整体利用效率。
本发明的技术内容及技术特征已揭示如上,然而熟悉本领域的技术人员仍可能基于本发明的教示及揭示而作种种不背离本发明精神的替换及修饰,因此,本发明保护范围应不限于实施例所揭示的内容,而应包括各种不背离本发明的替换及修饰,并为本专利申请权利要求所涵盖。

Claims (4)

1.一种检测及防御分布式拒绝服务DDoS攻击的装置,其特征在于,包括报文接收模块,DDoS报文识别模块,DDoS报文处理引擎模块,以及报文转发模块;
所述报文接收模块接收报文正常处理后发送至DDoS报文识别模块进行DDoS报文识别;
所述DDoS报文识别模块对报文进行匹配,将匹配的报文标示为需要DDoS报文处理引擎模块处理的报文,并发送至DDoS报文处理引擎模块进行相应的处理,DDoS报文识别模块通过访问控制列表项,以及本地CPU协议报文识别表项对报文进行匹配,将匹配的报文标示为需要DDOS报文处理引擎模块处理的报文,所述DDoS报文识别模块根据所述访问控制列表项,以及本地CPU协议报文识别表项匹配报文,获得配置表项Index,根据所述配置表项Index读取相应的配置表项FlowProfile,所述配置表项FlowProfile包括DDoS门限字段、流细分字段、检测周期字段,以及阻断时间长度字段,所述DDoS门限字段用于设置数据报文的数量,所述流细分字段用于对数据报文进一步的筛选,所述检测周期字段用于设置DDOS报文处理引擎模块对数据报文的检测周期,所述阻断时间长度字段用于设置对数据报文的阻断时间;
所述DDoS报文处理引擎模块对标示为需要DDoS报文处理引擎模块处理的报文检测处理,若处理结果为丢弃报文,则丢弃报文,否则,将报文发送至报文转发模块进行转发。
2.根据权利要求1所述的装置,其特征在于,所述流细分字段包括IP头和TCP头中的字段,通过选取所述IP头和TCP头中的字段并进行哈希计算对报文进行筛选。
3.一种基于权利要求1的检测及防御分布式拒绝服务DDoS攻击的装置的检测及防御分布式拒绝服务DDoS攻击方法,其特征在于,包括如下步骤:
步骤1,接收报文并对所述报文进行DDoS报文识别,将匹配的报文标示为需要DDoS处理引擎模块处理的报文,所述DDoS报文识别包括根据访问控制列表项,以及本地CPU协议报文识别表项对报文进行匹配,获得配置表项Index,根据所述配置表项Index读取相应的配置表项FlowProfile;
步骤2,所述DDoS报文处理引擎模块对需要DDoS处理引擎模块处理的报文检测处理,判断是否发生DDoS攻击,若是,则对所述报文进行阻断,否则,将所述报文发送至报文转发模块进行转发处理;所述步骤2还包括如下步骤:
步骤201,接收需要DDoS处理引擎模块处理的报文,获得所述报文的配置表项Index,读取相应的配置表项FlowProfile;
步骤202,配置所述配置表项FlowProfile中的流细分字段对所述需要DDoS处理引擎模块处理的报文进行筛选,获得DDoSRecord表项,所述DDoSRecord表项包括Count字段,以及阻断标志位字段,所述Count字段表示报文筛选后存在的报文数量,所述阻断标志位字段用于对报文是否进行阻断;
步骤203,选择DDoSRecord表项,判断是否设置阻断标志位,若设置,则阻断报文;否则,执行步骤204;
步骤204,判断DDoSRecord表项中统计的报文数量是否大于预设阈值,若是,则阻断报文一个周期;否则,转发报文。
4.根据权利要求3所述的方法,其特征在于,阻断周期内DDoS报文处理引擎模块对DDoSRecord表项的处理方法包括如下步骤:
步骤301,判断时钟是否达到预设阈值,若否,时钟加一操作继续判断是否大于预设阈值,若是,执行步骤302;
步骤302,判断是否达到阻断时间长度字段中的数值,若是,则清空阻断标志位,指定下一条DDoSRecord表项,否则,执行步骤303;
步骤303,将阻断时间长度字段中的数值减一,指定下一条DDoSRecord表项,并将时钟清零,执行步骤S301~S303。
CN201710005758.8A 2017-01-05 2017-01-05 检测及防御DDoS攻击的装置及方法 Active CN106657126B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710005758.8A CN106657126B (zh) 2017-01-05 2017-01-05 检测及防御DDoS攻击的装置及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710005758.8A CN106657126B (zh) 2017-01-05 2017-01-05 检测及防御DDoS攻击的装置及方法

Publications (2)

Publication Number Publication Date
CN106657126A CN106657126A (zh) 2017-05-10
CN106657126B true CN106657126B (zh) 2019-11-08

Family

ID=58843072

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710005758.8A Active CN106657126B (zh) 2017-01-05 2017-01-05 检测及防御DDoS攻击的装置及方法

Country Status (1)

Country Link
CN (1) CN106657126B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109474601B (zh) * 2018-11-26 2021-06-01 杭州安恒信息技术股份有限公司 一种基于行为识别的扫描类攻击处置方法
CN109657463B (zh) * 2018-12-18 2021-08-20 北京东土军悦科技有限公司 一种报文洪泛攻击的防御方法及装置
CN109889550B (zh) * 2019-04-12 2021-02-26 杭州迪普科技股份有限公司 一种DDoS攻击确定方法及装置
CN112422457B (zh) * 2019-08-23 2023-04-07 中兴通讯股份有限公司 报文处理方法、装置和计算机存储介质
CN110519301A (zh) * 2019-09-25 2019-11-29 新华三信息安全技术有限公司 一种攻击检测方法及装置
CN112995235B (zh) * 2021-05-20 2021-07-27 清华大学 一种对DDoS攻击进行检测的方法、装置及电子设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101820383A (zh) * 2010-01-27 2010-09-01 中兴通讯股份有限公司 限制交换机远程访问的方法及装置
CN102291378A (zh) * 2010-06-18 2011-12-21 杭州华三通信技术有限公司 一种防御DDoS攻击的方法和设备
CN105208037A (zh) * 2015-10-10 2015-12-30 中国人民解放军信息工程大学 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法
CN106131083A (zh) * 2016-08-30 2016-11-16 迈普通信技术股份有限公司 一种攻击报文检测和防范的方法及交换机

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101820383A (zh) * 2010-01-27 2010-09-01 中兴通讯股份有限公司 限制交换机远程访问的方法及装置
CN102291378A (zh) * 2010-06-18 2011-12-21 杭州华三通信技术有限公司 一种防御DDoS攻击的方法和设备
CN105208037A (zh) * 2015-10-10 2015-12-30 中国人民解放军信息工程大学 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法
CN106131083A (zh) * 2016-08-30 2016-11-16 迈普通信技术股份有限公司 一种攻击报文检测和防范的方法及交换机

Also Published As

Publication number Publication date
CN106657126A (zh) 2017-05-10

Similar Documents

Publication Publication Date Title
CN106657126B (zh) 检测及防御DDoS攻击的装置及方法
CN108040057B (zh) 适于保障网络安全、网络通信质量的sdn系统的工作方法
US8634717B2 (en) DDoS attack detection and defense apparatus and method using packet data
US9166990B2 (en) Distributed denial-of-service signature transmission
CN105991637B (zh) 网络攻击的防护方法和装置
CN101505219B (zh) 一种防御拒绝服务攻击的方法和防护装置
CN101106518B (zh) 为中央处理器提供负载保护的拒绝服务方法
CN108737447B (zh) 用户数据报协议流量过滤方法、装置、服务器及存储介质
US20070143846A1 (en) System and method for detecting network-based attacks on electronic devices
KR20140088340A (ko) 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법
US20140259140A1 (en) Using learned flow reputation as a heuristic to control deep packet inspection under load
CN106936799B (zh) 报文清洗方法及装置
CN105577669B (zh) 一种识别虚假源攻击的方法及装置
CN103401863B (zh) 一种基于云安全的网络数据流分析方法和装置
US20090240804A1 (en) Method and apparatus for preventing igmp packet attack
Huang et al. Countering denial-of-service attacks using congestion triggered packet sampling and filtering
CN106357660A (zh) 一种ddos防御系统中检测伪造源ip的方法和装置
CN106534068A (zh) 一种ddos防御系统中清洗伪造源ip的方法和装置
Dillon et al. Openflow (d) dos mitigation
Singh et al. Prevention mechanism for infrastructure based denial-of-service attack over software defined network
JP2018026747A (ja) 攻撃検知装置、攻撃検知システムおよび攻撃検知方法
Huang et al. FSDM: Fast recovery saturation attack detection and mitigation framework in SDN
CN104506559B (zh) 一种基于Android系统的DDoS防御系统和方法
CN107454065A (zh) 一种UDP Flood攻击的防护方法及装置
CN105704052A (zh) 一种量化的拥塞通告消息生成方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address

Address after: 215101 unit 13 / 16, 4th floor, building B, No. 5, Xinghan street, Suzhou Industrial Park, Jiangsu Province

Patentee after: Suzhou Shengke Communication Co.,Ltd.

Address before: 215021 unit 13 / 16, floor 4, building B, No. 5, Xinghan street, industrial park, Suzhou, Jiangsu Province

Patentee before: CENTEC NETWORKS (SU ZHOU) Co.,Ltd.

CP03 Change of name, title or address