CN112968913B - 一种基于可编程交换机的ddos防御方法、装置、设备及介质 - Google Patents

一种基于可编程交换机的ddos防御方法、装置、设备及介质 Download PDF

Info

Publication number
CN112968913B
CN112968913B CN202110404920.XA CN202110404920A CN112968913B CN 112968913 B CN112968913 B CN 112968913B CN 202110404920 A CN202110404920 A CN 202110404920A CN 112968913 B CN112968913 B CN 112968913B
Authority
CN
China
Prior art keywords
server
protected
source
flow
programmable switch
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110404920.XA
Other languages
English (en)
Other versions
CN112968913A (zh
Inventor
游小胜
金义
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Network Technology Shandong Co ltd
Original Assignee
Inspur Cisco Networking Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Cisco Networking Technology Co Ltd filed Critical Inspur Cisco Networking Technology Co Ltd
Priority to CN202110404920.XA priority Critical patent/CN112968913B/zh
Publication of CN112968913A publication Critical patent/CN112968913A/zh
Application granted granted Critical
Publication of CN112968913B publication Critical patent/CN112968913B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本说明书实施例公开了一种基于可编程交换机的DDOS防御方法、装置、设备及介质,方法包括:根据待保护服务器的访问流量确定待保护服务器的运行状态;判定待保护服务器为正常状态时,对可编程交换机进行动态训练,记录访问过待保护服务器的第一源IP;判定待保护服务器为疑似异常状态时,若根据预先写入的白名单中的第二源IP和第一源IP,判定出访问待保护服务器的第三源IP为陌生IP流量;若根据报文信息识别出陌生IP流量是DDOS攻击流量,则将DDOS攻击流量的流量包上传至可编程交换机控制面,并发出告警,通过可编程交换机实现了DDOS流量的识别,并及时上报,保证了待保护服务器对正常流量的接收,有效节省用户资源。

Description

一种基于可编程交换机的DDOS防御方法、装置、设备及介质
技术领域
本说明书涉及网络通信技术领域,尤其涉及一种基于可编程交换机的DDOS防御方法、装置、设备及介质。
背景技术
分布式拒绝服务攻击(Distributed Denial of Service,DDOS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击,由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。
一个完整的DDOS攻击体系由攻击者、主控端、代理端和攻击目标四部分组成。主控端和代理端分别用于控制和实际发起攻击,其中主控端只发布命令而不参与实际的攻击,代理端发出DDOS的实际攻击包。对于主控端和代理端的计算机,攻击者有控制权或者部分控制权,在攻击过程中会利用各种手段隐藏不被发现。真正的攻击者一旦将攻击的命令传送到主控端,攻击者就可以关闭或离开网络,由主控端将命令发布到各个代理主机上,这样攻击者可以逃避追踪。每一个攻击代理主机都会向目标主机发送大量的服务请求数据包,这些数据包经过伪装,无法识别它的来源,而且这些数据包所请求的服务往往要消耗大量的系统资源,造成目标主机无法为用户提供正常服务,甚至导致系统崩溃。
发明内容
本说明书一个或多个实施例提供了一种基于可编程交换机的DDOS防御方法、装置、设备及介质,用于解决如下技术问题:当服务器被DDOS攻击后,会产生大量的流量,且会有大量无效或慢速的请求占用宽带,导致正常流量无法访问。
本说明书一个或多个实施例采用下述技术方案:
本说明书一个或多个实施例提供一种基于可编程交换机的DDOS防御方法,所述方法包括:根据待保护服务器的访问流量确定所述待保护服务器的运行状态;判定所述待保护服务器为正常状态时,对所述可编程交换机进行动态训练,记录访问过所述待保护服务器的第一源IP;判定所述待保护服务器为疑似异常状态时,若根据预先写入的白名单中的第二源IP和所述第一源IP,判定出访问所述待保护服务器的第三源IP为陌生IP流量;若根据报文信息识别所述陌生IP流量是DDOS攻击流量,则将所述DDOS攻击流量的流量包上传至可编程交换机控制面,并发出告警
进一步地,在所述根据待保护服务器的访问流量确定所述待保护服务器的运行状态,之前,所述方法还包括:在可编程交换机上对待保护服务器进行配置,根据已知的所述第二源IP设置白名单,其中,所述白名单中的第二源IP的流量可通过所述可编程交换机到达所述待保护服务器。
进一步地,在所述根据待保护服务器的访问流量确定所述待保护服务器的运行状态,之前,所述方法还包括:在可编程交换机上对待保护服务器进行配置,预设待保护服务器目的IP的流量阈值,其中,所述流量阈值用于确保所述待保护服务器正常运行;所述判定所述待保护服务器为疑似异常状态,具体包括:若所述待保护服务器的访问流量超过所述流量阈值,则判定所述待保护服务器的运行状态为疑似异常状态。
进一步地,所述若根据报文信息识别所述陌生IP流量是DDOS攻击流量,具体包括:所述报文信息包括同步标志的个数与确认标志的个数,若所述报文信息中的同步标志的个数大于所述确认标志的个数,判定为DDOS攻击。
进一步地,所述根据预先写入的白名单中的第二源IP和所述第一源IP,判定出访问所述待保护服务器的第三源IP为陌生IP流量,具体包括:所述待保护服务器的源IP既不在白名单中的第二源IP也不在所述记录访问过所述待保护服务器的第一源IP中,则判定访问所述待保护服务器的第三源IP为陌生IP流量。
进一步地,在所述若根据报文信息识别所述陌生IP流量是DDOS攻击流量,则将所述DDOS攻击流量的流量包上传至可编程交换机控制面,并发出告警,之后,所述方法还包括:若所述待保护服务器的第三源IP为白名单中的第二源IP,则将所述待保护服务器的第三源IP的流量包转发至待保护服务器;若所述待保护服务器的第三源IP为所述记录访问过所述待保护服务器的第一源IP,则将所述待保护服务器的第三源IP的流量包转发至待保护服务器;若根据所述报文信息识别出所述陌生IP流量不是DDOS攻击流量,则将所述待保护服务器的第三源IP的流量包转发至待保护服务器。
进一步地,在所述根据待保护服务器的访问流量确定所述待保护服务器的运行状态之前,所述方法还包括:在所述可编程交换机上设置黑名单中的第四源IP,其中,所述第四源IP发出的数据报文为已知攻击报文,所述可编程交换机将所述第四源IP的数据报文进行拦截。
本说明书一个或多个实施例提供一种基于可编程交换机的DDOS防御装置,所述装置包括:确定单元,用于根据待保护服务器的访问流量确定所述待保护服务器的运行状态;记录单元,用于判定所述待保护服务器为正常状态时,对所述可编程交换机进行动态训练,记录访问过所述待保护服务器的第一源IP;判定单元,用于判定所述待保护服务器为疑似异常状态时,若根据预先写入的白名单中的第二源IP和所述第一源IP,判定出访问所述待保护服务器的第三源IP为陌生IP流量;上传单元,用于若根据报文信息识别所述陌生IP流量是DDOS攻击流量,则将所述DDOS攻击的流量包上传至可编程交换机控制面,并发出告警。
本说明书一个或多个实施例提供一种基于可编程交换机的DDOS防御设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
根据待保护服务器的访问流量确定所述待保护服务器的运行状态;判定所述待保护服务器为正常状态时,对所述可编程交换机进行动态训练,记录访问过所述待保护服务器的第一源IP;判定所述待保护服务器为疑似异常状态时,若根据预先写入的白名单中的第二源IP和所述第一源IP,判定出访问所述待保护服务器的第三源IP为陌生IP流量;若根据报文信息识别所述陌生IP流量是DDOS攻击流量,则将所述DDOS攻击流量的流量包上传至可编程交换机控制面,并发出告警。
本说明书一个或多个实施例提供的一种存储介质,存储有计算机可执行指令,所述计算机可执行指令设置为:根据待保护服务器的访问流量确定所述待保护服务器的运行状态;判定所述待保护服务器为正常状态时,对所述可编程交换机进行动态训练,记录访问过所述待保护服务器的第一源IP;判定所述待保护服务器为疑似异常状态时,若根据预先写入的白名单中的第二源IP和所述第一源IP,判定出访问所述待保护服务器的第三源IP为陌生IP流量;若根据报文信息识别所述陌生IP流量是DDOS攻击流量,则将所述DDOS攻击流量的流量包上传至可编程交换机控制面,并发出告警。
本说明书实施例采用的上述至少一个技术方案能够达到以下有益效果:
根据待保护服务器的访问流量确定待保护服务器的运行状态,根据运行状态、训练过程中记录的第一源IP、预先写入的白名单中的第二源IP与报文信息,判断访问待保护服务器的第三源IP是否为陌生IP流量,进一步识别DDOS攻击流量,将DDOS流量包上传至可编程交换机控制面,并向用户发出告警,通过可编程交换机实现了DDOS流量的识别,并及时上报,保证了待保护服务器对正常流量的接收,有效节省用户资源。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1为本申请实施例提供的一种基于可编程交换机的DDOS防御方法流程图;
图2为本申请实施例提供的一种可编程交换机的编译过程示意图;
图3为本申请实施例提供的一种基于可编程交换机的DDOS防御装置的结构示意图;
图4为本申请实施例提供的一种基于可编程交换机的DDOS防御设备的结构示意图。
具体实施方式
本说明书实施例提供一种基于可编程交换机的DDOS防御方法、装置、设备及介质。为了使本技术领域的人员更好地理解本说明书中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本说明书保护的范围。
分布式拒绝服务攻击(Distributed Denial of Service,DDOS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击,由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。
一个完整的DDOS攻击体系由攻击者、主控端、代理端和攻击目标四部分组成。主控端和代理端分别用于控制和实际发起攻击,其中主控端只发布命令而不参与实际的攻击,代理端发出DDoS的实际攻击包。对于主控端和代理端的计算机,攻击者有控制权或者部分控制权,在攻击过程中会利用各种手段隐藏不被发现。真正的攻击者一旦将攻击的命令传送到主控端,攻击者就可以关闭或离开网络,由主控端将命令发布到各个代理主机上,这样攻击者可以逃避追踪。每一个攻击代理主机都会向目标主机发送大量的服务请求数据包,这些数据包经过伪装,无法识别它的来源,而且这些数据包所请求的服务往往要消耗大量的系统资源,造成目标主机无法为用户提供正常服务,甚至导致系统崩溃。
需要说明的是,分布式拒绝服务攻击(Distributed Denial of Service,DDOS)DDOS攻击可以分ICMP Flood、UDP Flood,Slowloris攻击、Hash冲突攻击、SYN Flood攻击、DNS Query Flood攻击等,其中SYN Flood攻击是当前的主流攻击方式。
在本申请的实施例中,主要针对SYN Flood攻击的DDOS攻击进行防御。本领域技术人员可以明确的是,SYN Flood攻击利用了TCP三次握手的缺陷,其中TCP三次握手过程包括:客户端发送一个包含同步标志(Synchronous,SYN)标志的TCP报文,服务器在收到客户端的SYN报文后,将返回一个SYN+确认标志(Acknowledgement,ACK)的报文,表示客户端的请求被接受客户端也返回一个确认报文ACK给服务器端。SYN Flood攻击时,攻击者伪装大量的源IP给服务器发送SYN报文,但由于源IP的地址是伪造的不存在的IP地址,也就是说,服务器接收不到应答。因此,服务器会维持一个庞大的等待列表,不断发送SYN+ACK报文,同时占用着大量的资源无法释放,并且被攻击的服务器无法接收新的SYN请求,正常流量无法与服务器建立连接。
附图1为本申请实施例提供的一种基于可编程交换机的DDOS防御方法流程图,下面结合附图对本申请实施例进行说明,一种基于可编程交换机的DDOS防御方法包括如下步骤:
步骤S102,根据待保护服务器的访问流量确定所述待保护服务器的运行状态。
进一步地,步骤S102之前,方法还包括:在可编程交换机上对待保护服务器进行配置,根据已知的第二源IP设置白名单,其中,白名单中的第二源IP的流量可通过可编程交换机到达待保护服务器。方法还包括:在可编程交换机上对待保护服务器进行配置,预设待保护服务器目的IP的流量阈值,其中,所述流量阈值用于确保所述待保护服务器正常运行。方法还包括:在可编程交换机上设置黑名单中的第四源IP,其中,第四源IP发出的数据报文为已知攻击报文,可编程交换机将第四源IP的数据报文进行拦截。
在本申请的一个实施例中,预先对所有通过可编程交换机保护的服务器进行配置,具体的配置方案包括:首先,在可编程交换机上配置每台待保护服务器的目的IP流量阈值,其中,流量阈值用于确保待保护服务器正常运行。例如目的IP192.168.100.8服务器支持的流量最大值为100M,该服务器正常运行时的流量为60M,则设置目的IP192.168.100.8服务器的流量阈值为60M,再比如,目的IP192.168.100.9服务器支持的流量最大值为10G,该服务器正常运行时的流量为8G,则设置目的IP192.168.100.9服务器的流量阈值为8G。
其次,在可编程交换机上根据已知的第二源IP设置白名单,其中,白名单中的第二源IP的流量可通过可编程交换机到达待保护服务器;在可编程交换机上设置黑名单中的第四源IP,其中,第四源IP发出的数据报文为已知攻击报文,可编程交换机将第四源IP的数据报文进行拦截,第四源IP可以是之前识别过的攻击源IP,也可以是公认的被熟知的攻击源IP,需要说明的是,黑名单中的第四源IP为不可信源IP,第四源IP发出的数据报文为可疑攻击报文,可编程交换机对可疑攻击报文进行拦截。
步骤S104,判定所述待保护服务器为正常状态时,对所述可编程交换机进行动态训练,记录访问过所述待保护服务器的第一源IP。
在本申请的一个实施例中,在待保护服务器正常运行状态时,基于正常访问流量在可编程交换机上进行动态训练。在对可编程交换机进行训练时,选取服务器运行状态较好的时段,记录第一源IP的访问记录;停止训练时,停止记录源IP的访问记录。需要说明的是,可以选择服务器运行状态较好时的不同时段进行多次训练,通过根据不同时段进行多次训练的学习过程,尽可能多的找到第一源IP。另外,在可编程交换机的正常工作中,源IP若在记录的第一源IP的访问记录中,则认为该源IP为正常流量,也就是说,该未知源IP之前已经与待保护服务器进行正常交互。
步骤S106,判定所述待保护服务器为疑似异常状态时,若根据预先写入的白名单中的第二源IP和所述第一源IP,判定出访问所述待保护服务器的第三源IP为陌生IP流量。
进一步地,步骤S106具体包括:若待保护服务器的访问流量超过流量阈值,则判定待保护服务器的运行状态为疑似异常状态;还包括:待保护服务器的源IP既不在白名单中的第二源IP也不在记录访问过待保护服务器的第一源IP中,则判定访问待保护服务器的第三源IP为陌生IP流量。
在本申请的一个实施例中,若待保护服务器的访问流量超过预先设置的流量阈值,则判定该服务器的运行状态为疑似异常状态,也就是说,该服务器此时存在被攻击IP攻击的可能。之后,对访问该服务器的源IP进行判断,若访问还服务器的第三源IP既不是白名单中的第二源IP,也不是在训练过程中记录过的第一源IP,则判定访问该服务器的第三源IP为陌生源IP流量。
在本申请的一个实施例中,统计待保护的服务器接收到的特定报文信息,其中,特定报文信息包括同步标志(Synchronous,SYN)个数和确认标志(Acknowledgement,ACK)个数;并统计报文信息的源IP,将统计的特定报文信息和特定报文信息的源IP保存在可编程交换机的寄存器中。需要说明的是,可编程交换机中存在寄存器,但寄存器的大小有限,通常为几十兆的容量,当报文传输过来之后,由于寄存器存储的限制,无法将所有报文的信息都储存至寄存器中,因此只保存SYN和ACK个数以及源IP。
步骤S108,若根据报文信息识别所述陌生IP流量是DDOS攻击流量,则将所述DDOS攻击流量的流量包上传至可编程交换机控制面,并发出告警。
进一步地,步骤S108具体包括:报文信息包括同步标志的个数与确认标志的个数,若报文信息中的同步标志的个数大于确认标志的个数,判定为DDOS攻击。
在本申请的一个实施例中,在步骤S106判定访问该服务器的第三源IP为陌生IP流量后,根据特定报文信息识别陌生IP流量是否为DDOS攻击。具体地,若报文信息中的同步标志的个数大于确认标志的个数,判定为DDOS攻击。需要说明的是,DDOS攻击可以是SYNFLOOD类型的DDOS攻击。针对SYNFLOOD类型的DDOS攻击,可编程交换机可以针对每一个被保护服务器进行报文TCP FLAG的统计,例如可以统计某个服务器的tcp syn个数以及tcp ack个数,进而比较某一个源IP连接目的IP时发送的SYN个数以及ACK个数,一旦SYN个数大于ACK个数,则确认这个源IP为SYN FLOOD类型的DDOS攻击。
在本申请的一个实施例中,可编程交换机在识别出访问待保护服务器的第三源IP为DDOS攻击IP之后,将该源IP发送的数据报文通过CPU转发到控制面,并可以将报文转发至用户指定的监控服务器向用户发出被攻击的告警信息。需要说明的是,可编程交换机包括CPU和多个物理口,经过可编程交换机转发的报文通过物理口转发至对应服务器,当可编程交换机在数据面识别出DDOS攻击后,DDOS数据报文就被可编程交换机上传至内部CPU进行内部识别以用于通知用户,而不发送至物理口,也就是说,DDOS数据包无法到达服务器。
在步骤S108之后,方法还包括:若待保护服务器的第三源IP为白名单中的第二源IP,则将待保护服务器的第三源IP的流量包转发至待保护服务器;若待保护服务器的第三源IP为记录访问过所述待保护服务器的第一源IP,则将待保护服务器的第三源IP的流量包转发至待保护服务器;若根据报文信息识别出陌生IP流量不是DDOS攻击流量,则将待保护服务器的第三源IP的流量包转发至待保护服务器。
在本申请的一个实施例中,若待保护服务器的第三源IP为记录访问过所述待保护服务器的第一源IP,说明该第三源IP为待保护服务器正常运行状态下访问过待保护服务器的源IP,该第三源IP为交互的源IP,则将待保护服务器的第三源IP的流量包转发至待保护服务器,通过可编程交换机完成正常源IP流量的转发。若待保护服务器的第三源IP为白名单中的第二源IP,也就是说,该第三源IP为待保护服务器预先设置的可以访问的白名单源IP,则将待保护服务器的第三源IP的流量包转发至待保护服务器,通过可编程交换机完成正常源IP流量的转发。
在本申请的一个实施例中,在步骤S106判定访问该服务器的第三源IP为陌生IP流量后,若根据报文信息识别出陌生IP流量不是DDOS攻击流量,则将待保护服务器的第三源IP的流量包转发至待保护服务器。
在本申请的一个实施例中,需要对可编程交换机进行编译,图2给出了可编程交换机的编译过程示意图。首先是参数配置,报文从交换机的某个物理端口的收报阶段进入参数解析过程,具体的,报文先从交换机的某个端口的ingress阶段进入iparser。经过入口阶段的包头解析过程后,进入逻辑处理过程(MAU),在逻辑处理过程中包括流量统计(acl_meter)由于报文经由可编程交换机的某个物理端口进入,一个服务器的报文可以从多个物理端口进入,流量统计的目的在于统计服务的访问数据以用于确定访问服务器的流量。逻辑处理过程还包括源IP训练、报文信息统计、二层交换与三层路由处理。其中,源IP训练可以是sip_learn,是指在训练阶段针对源IP进行动态训练,以用于确定访问过服务器的第一源IP;报文信息统计可以是syn_count,ack_count,目的在于统计报文信息中的SYN的个数和ACK的个数。另外,二层交换可以是L2-control,包括mac学习,vlan转发等,三层路由处理可以是L3-control,比如nexthop,nat等。需要说明的是,L2-control和L3-control用于正常流量的二三层转发,也就是说,通过逻辑处理过程,可编程交换机可以在数据面识别出DDOS流量的同时,并且还可以实现正常流量的L2和L3的转发,节省用户成本。
报文经过逻辑处理过程后,进入入口阶段的包头组装过程和报文的可编辑处理过程,也就是说,进入idparser,并进入TM(trafficmanager),需要说明的是,报文经过MAU进入idparser以后,这个时候会有一个包出来,有的场景下会要求报文在TM里进行复制,复制出多个包发出去,需要复制多份的时候可以在TM里进行。最后,报文进入出口阶段,也就是egress阶段,分别经过eparser(egress阶段的包头解析),edparser(egress阶段的包头组装)后离开交换机。
本申请实施例提供的一种基于可编程交换机的DDOS防御装置,图3为本申请实施例提供的一种基于可编程交换机的DDOS防御装置的结构示意图,确定单元301,用于根据待保护服务器的访问流量确定所述待保护服务器的运行状态;记录单元302,用于判定所述待保护服务器为正常状态时,对所述可编程交换机进行动态训练,记录访问过所述待保护服务器的第一源IP;判定单元303,用于判定所述待保护服务器为疑似异常状态时,若根据预先写入的白名单中的第二源IP和所述第一源IP,判定出访问所述待保护服务器的第三源IP为陌生IP流量;上传单元304,用于若根据报文信息识别所述陌生IP流量是DDOS攻击流量,则将所述DDOS攻击的流量包上传至可编程交换机控制面,并发出告警。
本申请实施例提供的一种基于可编程交换机的DDOS防御设备,图4为本申请实施例提供的一种基于可编程交换机的DDOS防御设备的结构示意图,包括至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:根据待保护服务器的访问流量确定所述待保护服务器的运行状态;判定所述待保护服务器为正常状态时,对所述可编程交换机进行动态训练,记录访问过所述待保护服务器的第一源IP;判定所述待保护服务器为疑似异常状态时,若根据预先写入的白名单中的第二源IP和所述第一源IP,判定出访问所述待保护服务器的第三源IP为陌生IP流量;若根据报文信息识别所述陌生IP流量是DDOS攻击流量,则将所述DDOS攻击流量的流量包上传至可编程交换机控制面,并发出告警。
本申请实施例还提供的一种存储介质,存储有计算机可执行指令,计算机可执行指令设置为:根据待保护服务器的访问流量确定所述待保护服务器的运行状态;判定所述待保护服务器为正常状态时,对所述可编程交换机进行动态训练,记录访问过所述待保护服务器的第一源IP;判定所述待保护服务器为疑似异常状态时,若根据预先写入的白名单中的第二源IP和所述第一源IP,判定出访问所述待保护服务器的第三源IP为陌生IP流量;若根据报文信息识别所述陌生IP流量是DDOS攻击流量,则将所述DDOS攻击流量的流量包上传至可编程交换机控制面,并发出告警。
本申请提供的一个或多个实施例中,根据待保护服务器的访问流量确定待保护服务器的运行状态,根据运行状态、训练过程中记录的第一源IP、预先写入的白名单中的第二源IP与报文信息,判断访问待保护服务器的第三源IP是否为陌生IP流量,进一步识别DDOS攻击流量,将DDOS流量包上传至可编程交换机控制面,并向用户发出告警,通过可编程交换机实现了DDOS流量的识别,并及时上报,保证了待保护服务器对正常流量的接收。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、设备、非易失性计算机存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
以上所述仅为本说明书的一个或多个实施例而已,并不用于限制本说明书。对于本领域技术人员来说,本说明书的一个或多个实施例可以有各种更改和变化。凡在本说明书的一个或多个实施例的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书的权利要求范围之内。

Claims (10)

1.一种基于可编程交换机的DDOS防御方法,其特征在于,所述方法包括:
根据待保护服务器的访问流量确定所述待保护服务器的运行状态;
判定所述待保护服务器为正常状态时,对所述可编程交换机进行动态训练,记录访问过所述待保护服务器的第一源IP;
判定所述待保护服务器为疑似异常状态时,若根据预先写入的白名单中的第二源IP和所述第一源IP,判定出访问所述待保护服务器的第三源IP为陌生IP流量;
若根据报文信息识别所述陌生IP流量是DDOS攻击流量,则将所述DDOS攻击流量的流量包上传至可编程交换机控制面,并发出告警。
2.根据权利要求1所述的一种基于可编程交换机的DDOS防御方法,其特征在于,在所述根据待保护服务器的访问流量确定所述待保护服务器的运行状态之前,所述方法还包括:
在可编程交换机上对待保护服务器进行配置,根据已知的所述第二源IP设置白名单,其中,所述白名单中的第二源IP的流量可通过所述可编程交换机到达所述待保护服务器。
3.根据权利要求1所述的一种基于可编程交换机的DDOS防御方法,其特征在于,在所述根据待保护服务器的访问流量确定所述待保护服务器的运行状态之前,所述方法还包括:在可编程交换机上对待保护服务器进行配置,预设待保护服务器目的IP的流量阈值,其中,所述流量阈值用于确保所述待保护服务器正常运行;
所述判定所述待保护服务器为疑似异常状态,具体包括:
若所述待保护服务器的访问流量超过所述流量阈值,则判定所述待保护服务器的运行状态为疑似异常状态。
4.根据权利要求1所述的一种基于可编程交换机的DDOS防御方法,其特征在于,所述若根据报文信息识别所述陌生IP流量是DDOS攻击流量,具体包括:
所述报文信息包括同步标志的个数与确认标志的个数,若所述报文信息中的同步标志的个数大于所述确认标志的个数,判定为DDOS攻击。
5.根据权利要求1所述的一种基于可编程交换机的DDOS防御方法,其特征在于,所述根据预先写入的白名单中的第二源IP和所述第一源IP,判定出访问所述待保护服务器的第三源IP为陌生IP流量,具体包括:
访问所述待保护服务器的源IP既不在白名单中的第二源IP也不在所述记录访问过所述待保护服务器的第一源IP中,则判定访问所述待保护服务器的第三源IP为陌生IP流量。
6.根据权利要求1所述的一种基于可编程交换机的DDOS防御方法,其特征在于,在所述若根据报文信息识别所述陌生IP流量是DDOS攻击流量,则将所述DDOS攻击流量的流量包上传至可编程交换机控制面,并发出告警之后,所述方法还包括:
若访问所述待保护服务器的第三源IP为白名单中的第二源IP,则将访问所述待保护服务器的第三源IP的流量包转发至待保护服务器;
若访问所述待保护服务器的第三源IP为所述记录访问过所述待保护服务器的第一源IP,则将访问所述待保护服务器的第三源IP的流量包转发至待保护服务器;
若根据所述报文信息识别出所述陌生IP流量不是DDOS攻击流量,则将访问所述待保护服务器的第三源IP的流量包转发至待保护服务器。
7.根据权利要求1所述的一种基于可编程交换机的DDOS防御方法,其特征在于,在所述根据待保护服务器的访问流量确定所述待保护服务器的运行状态之前,所述方法还包括:
在所述可编程交换机上设置黑名单中的第四源IP,其中,所述第四源IP发出的数据报文为已知攻击报文,所述可编程交换机将所述第四源IP的数据报文进行拦截。
8.一种基于可编程交换机的DDOS防御装置,其特征在于,所述装置包括:
确定单元,用于根据待保护服务器的访问流量确定所述待保护服务器的运行状态;
记录单元,用于判定所述待保护服务器为正常状态时,对所述可编程交换机进行动态训练,记录访问过所述待保护服务器的第一源IP;
判定单元,用于判定所述待保护服务器为疑似异常状态时,若根据预先写入的白名单中的第二源IP和所述第一源IP,判定出访问所述待保护服务器的第三源IP为陌生IP流量;
上传单元,用于若根据报文信息识别所述陌生IP流量是DDOS攻击流量,则将所述DDOS攻击流量的流量包上传至可编程交换机控制面,并发出告警。
9.一种基于可编程交换机的DDOS防御设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
根据待保护服务器的访问流量确定所述待保护服务器的运行状态;
判定所述待保护服务器为正常状态时,对所述可编程交换机进行动态训练,记录访问过所述待保护服务器的第一源IP;
判定所述待保护服务器为疑似异常状态时,若根据预先写入的白名单中的第二源IP和所述第一源IP,判定出访问所述待保护服务器的第三源IP为陌生IP流量;
若根据报文信息识别所述陌生IP流量是DDOS攻击流量,则将所述DDOS攻击流量的流量包上传至可编程交换机控制面,并发出告警。
10.一种存储介质,存储有计算机可执行指令,其特征在于,所述计算机可执行指令设置为:
根据待保护服务器的访问流量确定所述待保护服务器的运行状态;
判定所述待保护服务器为正常状态时,对可编程交换机进行动态训练,记录访问过所述待保护服务器的第一源IP;
判定所述待保护服务器为疑似异常状态时,若根据预先写入的白名单中的第二源IP和所述第一源IP,判定出访问所述待保护服务器的第三源IP为陌生IP流量;
若根据报文信息识别所述陌生IP流量是DDOS攻击流量,则将所述DDOS攻击流量的流量包上传至可编程交换机控制面,并发出告警。
CN202110404920.XA 2021-04-15 2021-04-15 一种基于可编程交换机的ddos防御方法、装置、设备及介质 Active CN112968913B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110404920.XA CN112968913B (zh) 2021-04-15 2021-04-15 一种基于可编程交换机的ddos防御方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110404920.XA CN112968913B (zh) 2021-04-15 2021-04-15 一种基于可编程交换机的ddos防御方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN112968913A CN112968913A (zh) 2021-06-15
CN112968913B true CN112968913B (zh) 2022-04-15

Family

ID=76280527

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110404920.XA Active CN112968913B (zh) 2021-04-15 2021-04-15 一种基于可编程交换机的ddos防御方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN112968913B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114826741B (zh) * 2022-04-27 2024-02-09 新华三信息安全技术有限公司 一种攻击监测系统及攻击监测方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018059480A1 (zh) * 2016-09-29 2018-04-05 腾讯科技(深圳)有限公司 网络攻击防御方法、装置以及系统
CN107968785A (zh) * 2017-12-03 2018-04-27 浙江工商大学 一种SDN数据中心中防御DDoS攻击的方法
CN110336830A (zh) * 2019-07-17 2019-10-15 山东大学 一种基于软件定义网络的DDoS攻击检测系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107018084B (zh) * 2017-04-12 2020-10-27 南京工程学院 基于sdn架构的ddos攻击防御网络安全方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018059480A1 (zh) * 2016-09-29 2018-04-05 腾讯科技(深圳)有限公司 网络攻击防御方法、装置以及系统
CN107968785A (zh) * 2017-12-03 2018-04-27 浙江工商大学 一种SDN数据中心中防御DDoS攻击的方法
CN110336830A (zh) * 2019-07-17 2019-10-15 山东大学 一种基于软件定义网络的DDoS攻击检测系统

Also Published As

Publication number Publication date
CN112968913A (zh) 2021-06-15

Similar Documents

Publication Publication Date Title
Wang et al. SGS: Safe-guard scheme for protecting control plane against DDoS attacks in software-defined networking
Lim et al. A SDN-oriented DDoS blocking scheme for botnet-based attacks
US11503073B2 (en) Live state transition using deception systems
Pascoal et al. Slow denial-of-service attacks on software defined networks
Masoud et al. On preventing ARP poisoning attack utilizing Software Defined Network (SDN) paradigm
CN105991655B (zh) 用于缓解基于邻居发现的拒绝服务攻击的方法和装置
Wang et al. SDSNM: a software-defined security networking mechanism to defend against DDoS attacks
CN111800401B (zh) 业务报文的防护方法、装置、系统和计算机设备
CN110266650B (zh) Conpot工控蜜罐的识别方法
CN111431881A (zh) 一种基于windows操作系统的诱捕节点实现方法及装置
Lu et al. An SDN‐based authentication mechanism for securing neighbor discovery protocol in IPv6
Arafat et al. A practical approach and mitigation techniques on application layer DDoS attack in web server
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
Wei et al. Counteracting UDP flooding attacks in SDN
Bhandari Survey on DDoS attacks and its detection & defence approaches
Bandi et al. FastMove: Fast IP switching moving target defense to mitigate DDoS attacks
Al-Duwairi et al. ISDSDN: mitigating SYN flood attacks in software defined networks
CN112968913B (zh) 一种基于可编程交换机的ddos防御方法、装置、设备及介质
Boppana et al. Analyzing the vulnerabilities introduced by ddos mitigation techniques for software-defined networks
US11838197B2 (en) Methods and system for securing a SDN controller from denial of service attack
Wang et al. Design and implementation of an SDN-enabled DNS security framework
CN115208606A (zh) 一种网络安全防范的实现方法、系统及存储介质
Kong et al. Combination attacks and defenses on sdn topology discovery
Sanjeetha et al. Mitigation of controller induced DDoS attack on primary server in high traffic scenarios of software defined networks
US11418537B2 (en) Malware inspection apparatus and malware inspection method

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 250101 s01-6 / F, No. 1036, Langchao Road, high tech Zone, Jinan City, Shandong Province

Patentee after: Inspur Network Technology (Shandong) Co.,Ltd.

Country or region after: China

Address before: 250101 s01-6 / F, No. 1036, Langchao Road, high tech Zone, Jinan City, Shandong Province

Patentee before: INSPUR CISCO NETWORK TECHNOLOGY Co.,Ltd.

Country or region before: China