CN114338066A - 一种拒绝服务攻击的防御方法及系统、设备及存储介质 - Google Patents
一种拒绝服务攻击的防御方法及系统、设备及存储介质 Download PDFInfo
- Publication number
- CN114338066A CN114338066A CN202011066493.0A CN202011066493A CN114338066A CN 114338066 A CN114338066 A CN 114338066A CN 202011066493 A CN202011066493 A CN 202011066493A CN 114338066 A CN114338066 A CN 114338066A
- Authority
- CN
- China
- Prior art keywords
- application layer
- cleaning
- flow
- ddos
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 230000007123 defense Effects 0.000 title claims abstract description 28
- 238000004140 cleaning Methods 0.000 claims abstract description 162
- 230000005540 biological transmission Effects 0.000 claims abstract description 134
- 238000006243 chemical reaction Methods 0.000 claims description 25
- 238000004590 computer program Methods 0.000 claims description 6
- 239000000126 substance Substances 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 4
- 238000001914 filtration Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000005265 energy consumption Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 208000033748 Device issues Diseases 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002035 prolonged effect Effects 0.000 description 1
- 238000005406 washing Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种分布式拒绝服务DDoS攻击的防御方法及系统、电子设备及存储介质。所述分布式拒绝服务DDoS攻击的防御方法可包括:对被保护设备收发的传输流量,利用DDoS清洗设备对所述传输流量进行DDoS清洗;和/或,利用应用层防火墙对所述传输流量进行应用层清洗;根据所述传输流量的目的地址,传输清洗后的所述传输流量。如此可以实现防护源站的高防转发配置,支撑网络层(2‑4层)和应用层(4‑7层)实现对网络攻击的动态协同防御。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种分布式拒绝服务DDoS攻击的防御方法及系统、电子设备及存储介质。
背景技术
高防IP是指高防机房所提供的IP,主要是针对网络中的DDoS攻击进行保护。如果一个网络攻击者想对目标进行DDoS攻击,都需要知道目标的IP地址,并用大量的无效流量数据对该IP的服务器进行请求,导致服务器的资源被大量占用,无法对正确的请求作出响应。同时,这些大量的无效数据还会占用该IP所在服务器的带宽资源,造成信息的堵塞。当前高防IP在IP Proxy的前端进行DDoS清洗装置部署,DDoS清洗设备对外接入电信运营商的大带宽中,可以将攻击者的攻击流量进行清洗。
发明内容
有鉴于此,本发明实施例提供一种分布式拒绝服务DDoS攻击的防御方法及系统、电子设备及存储介质。
本发明的技术方案是这样实现的:
第一方面,本发明实施例提供一种分布式拒绝服务DDoS攻击的防御方法,应用于传输流量转发设备,包括:
对被保护设备收发的传输流量,利用DDoS清洗设备对所述传输流量进行DDoS清洗;
和/或,利用应用层防火墙对所述传输流量进行应用层清洗;
根据所述传输流量的目的地址,传输清洗后的所述传输流量。
进一步地,利用DDoS清洗设备对传输流量进行DDoS清洗,包括:依据入向流量路由策略,将入向流量发送到DDoS清洗设备;其中,入向流量为:传输流量中待发送到被保护设备的流量;
接收DDoS清洗设备进行DDoS清洗后的入向流量。
进一步地,利用应用层防火墙对传输流量进行应用层清洗,包括:
利用应用层防火墙对DDoS清洗设备进行了DDoS清洗后的入向流量,进行应用层清洗。
进一步地,依据入向流量路由策略将已进行DDoS清洗后的入向流量路由给网络协议IP代理;
接收IP代理进行IP地址转换后的入向流量;
利用应用层防火墙对DDoS清洗设备进行了DDoS清洗后的入向流量,进行应用层清洗,包括:
利用应用层防火墙将IP代理进行IP地址转换且已进行DDoS清洗后的入向流量,进行应用层清洗。
进一步地,利用应用层防火墙对传输流量进行应用层清洗,包括:
依据出向流量路由策略,将被保护设备发送出向流量发送给应用层防火墙;
接收应用层防火墙对被保护设备发送传输流量进行应用层清洗后的出向流量。
进一步地,依据出向流量路由策略,将已进行应用层清洗后的出向流量发送给IP代理;
接收IP代理进行IP地址转换且已进行应用层清洗后的出向流量;
根据出向流量的目的地址,转发已进行应用层清洗及IP地址转换后的出向流量。
进一步地,接收管理设备的路由配置指令;
根据路由配置指令,配置被保护设备的入向流量路由策略和/或出向流量路由策略;其中,入向流量路由策略,用于路由被保护设备的入向流量;出向流量路由策略,用于路由被保护设备的出向流量。
第二方面,本发明实施例提供一种分布式拒绝服务DDoS攻击的防御方法,应用于管理设备,包括:
向DDoS清洗设备发送第一开通指令,其中,第一开通指令,用于指示开通对被保护设备收发的传输流量的DDoS清洗;
和/或,向应用层防火墙的部署设备发送第二开通指令,其中,第二开通指令,用于指示开通对被保护设备的传输流量的应用层清洗。
进一步地,向传输流量转发设备发送路由配置指令;
其中,路由配置指令,用于供传输流量转发设备配置被保护设备的入向流量路由策略和/或出向流量路由策略;其中,入向路由流量策略,用于至少将所述入向流量经过DDoS清洗设备和应用层防火墙后,路由到被保护设备;
出向流量策略,用于将被保护设备的出向流量经过应用层防火墙后路由到目的地址。
进一步地,向IP代理发送转发配置指令;
其中,转发配置指令,用于指示IP代理转发传输流量,进行IP地址转换。
第三方面,本发明实施例提供一种分布式拒绝服务DDoS攻击的防御系统,包括:
传输流量转发设备,用于对被保护设备收发的传输流量,利用DDoS清洗设备和/或应用层防火墙对所述传输流量进行清洗;根据传输流量的目的地址,传输清洗后的传输流量;
管理设备,用于向所述DDoS清洗设备和/或应用层防火墙的部署设备发送开通指令;
DDoS清洗设备,用于对传输流量进行DDoS清洗;
应用层防火墙的部署设备,用于部署所述应用层防火墙对传输流量进行应用层清洗。
进一步地,所述系统还包括IP代理,用于转发所述传输流量,进行IP地址转换。
进一步地,所述管理设备,具体用于向DDoS清洗设备发送第一开通指令,其中,第一开通指令,用于指示开通对被保护设备收发的传输流量的DDoS清洗;向应用层防火墙的部署设备发送第二开通指令,其中,第二开通指令,用于指示开通对被保护设备收发的传输流量的应用层清洗。
进一步地,所述管理设备还用于向传输流量转发设备发送路由配置指令;
其中,路由配置指令,用于供传输流量转发设备配置被保护设备的入向流量路由策略和/或出向流量路由策略;其中,入向路由流量策略,用于至少将入向流量经过DDoS清洗设备和应用层防火墙后,路由到被保护设备;出向流量策略,用于将被保护设备的出向流量经过应用层防火墙后路由到目的地址。
进一步地,所述管理设备还用于向IP代理发送转发配置指令;
其中,转发配置指令,用于指示IP代理转发传输流量,进行IP地址转换。
第四方面,本发明实施例提供一种电子设备,所述电子设备包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器;
处理器运行所述计算机程序时,执行前述一个或多个技术方案所述方法的步骤。
第五方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令;计算机可执行指令被处理器执行后,能够实现前述一个或多个技术方案所述方法。
本发明提供的分布式拒绝服务DDoS攻击的防御方法,对被保护设备收发的传输流量,利用DDoS清洗设备对所述传输流量进行DDoS清洗;和/或,利用应用层防火墙对所述传输流量进行应用层清洗;根据所述传输流量的目的地址,传输清洗后的所述传输流量。在应对网络攻击时,基于OSI模型在2-4层DDoS清洗的基础上,继续进行4-7层应用层清洗,避免2-4层DDoS清洗无法对应用层攻击进行有效的检测和防护,有效防御基于各个层面的网络攻击,可以在网络层(2-4层)和应用层(4-7层)实现对网络攻击的动态协同防御,应用层清洗亦可以对被保护设备发出的传输流量进行清洗,滤除存在漏洞的数据包,更好地提升传输流量的安全性与可靠性。
附图说明
图1为本发明实施例提供的一种分布式拒绝服务DDoS攻击的防御方法的流程示意图;
图2为本发明实施例提供的一种分布式拒绝服务DDoS攻击的防御方法的流程示意图;
图3为本发明实施例提供的一种分布式拒绝服务DDoS攻击的防御方法的流程示意图;
图4为本发明实施例提供的一种分布式拒绝服务DDoS攻击的防御方法的流程示意图;
图5为本发明实施例提供的一种分布式拒绝服务DDoS攻击的防御方法的流程示意图;
图6为本发明实施例提供的一种分布式拒绝服务DDoS攻击的防御方法的流程示意图;
图7为本发明实施例提供的一种分布式拒绝服务DDoS攻击的防御方法的流程示意图;
图8为本发明实施例提供的一种分布式拒绝服务DDoS攻击的防御方法的流程示意图;
图9为本发明实施例提供的一种分布式拒绝服务DDoS攻击的防御方法的流程示意图;
图10为本发明实施例提供的一种分布式拒绝服务DDoS攻击的防御方法的流程示意图;
图11为本发明实施例提供的一种分布式拒绝服务DDoS攻击的防御系统的结构示意图;
图12为本发明实施例提供的一种DDoS清洗策略的示意图;
图13为本发明实施例提供的一种应用层防护策略的示意图;
图14为本发明实施例提供的一种组合防护策略的示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,所描述的实施例不应视为对本发明的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
在以下的描述中,所涉及的术语“第一\第二\第三”仅仅是是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本发明实施例能够以除了在这里图示或描述的以外的顺序实施。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本发明实施例的目的,不是旨在限制本发明。
如图1所示,本发明实施例提供一种分布式拒绝服务DDoS攻击的防御方法,应用于传输流量转发设备,所述方法包括:
S110:对被保护设备收发的传输流量,利用DDoS清洗设备对所述传输流量进行DDoS清洗;
S120:和/或,利用应用层防火墙对所述传输流量进行应用层清洗;
S130:根据所述传输流量的目的地址,传输清洗后的所述传输流量。
这里,DDoS攻击为分布式拒绝服务攻击,例如由多个主机发出的大量访问请求流量,用于耗尽目标主机的服务器资源,从而无法响应其他用户请求。对传输流量进行DDoS清洗,用于检测清洗基于网络层的DDoS攻击流量,例如将大量请求建立会话的攻击流量清洗滤除。对传输流量进行应用层清洗,用于检测清洗基于应用层的攻击流量,以及滤除存在漏洞的数据包,例如对大量基于页面的请求调用数据库的攻击流量进行清洗,以及滤除由被保护设备发出的流量中存在漏洞的数据包。
在本发明实施例中,DDoS清洗,为基于开放式系统互联参考模型OSI,对传输流量的2-4层进行DDOS清洗,以防御DDoS攻击。应用层清洗,为基于开放式系统互联参考模型OSI,对传输流量的4-7层进行应用层清洗,以防御针对应用层的攻击,例如WAF攻击。被保护设备为需要保护的目标设备,其所收发的传输流量可能存在攻击流量的风险,例如:目标用户的服务器、中央处理器、主机、以及与主机连接的各种网络设备、办公设备等。参照所述开放式系统互联参考模型OSI模型,2-4层即数据链路层、网络层、传输层,4-7层即传输层、会话层、表示层、应用层。传输流量包括:由访问者发出的请求访问被保护设备的入向流量,以及被保护设备响应入向流量向访问者发出的出向流量;所述传输流量转发设备,为交换机、路由器或者网桥等用于流量转发处理的设备。传输流量的目的地址,包括:入向流量的目的地址即被保护设备的IP地址,以及出向流量的目的地址即访问者的IP地址。
利用DDoS清洗设备对流量的2-4层进行清洗,主要针对入向流量中可能存在的基于网络层的DDoS攻击,在此基础上,利用应用层防火墙对流量的4-7层进行清洗,用以防护针对应用层的攻击,并对存在漏洞的数据包进行过滤,可以弥补网络层DDoS清洗对应用层攻击流量的防护不足,在网络层和应用层实现对传输流量全方位的清洗,进而实现对网络攻击的动态协同防御,如此,可面向用户IP提供DDoS清洗、应用层防护以及组合防护等多种防护策略,实现灵活的策略变更。
在一些实施例中,如图2所示,所述S110,包括:
S111:依据入向流量路由策略,将入向流量发送到所述DDoS清洗设备;其中,所述入向流量为:所述传输流量中待发送到所述被保护设备的流量;
S112:接收所述DDoS清洗设备进行DDoS清洗后的入向流量。
在本发明实施例中,路由策略为管理设备下发的流量传输路径,可指示交换机等传输流量转发设备对流量按所述路径进行传输。DDoS清洗设备接收到交换机发送的传输流量后,对2-4层进行清洗,然后将清洗后的流量返回交换机,完成对网络层DDoS攻击的检测防护,在接收到入向流量后首先进行2-4层DDoS清洗,可以第一时间清除用于实现分布式拒绝服务攻击的大量攻击流量,抑制大量攻击流量持续充塞传输链路,降低后续处理程序的工作压力。
在一些实施例中,如图3所示,所述S120,包括:
S120a:利用所述应用层防火墙对所述DDoS清洗设备进行了DDoS清洗后的入向流量,进行应用层清洗。
在本发明实施例中,DDoS清洗设备在对入向流量进行2-4层DDoS清洗后,由应用层防火墙对入向流量继续进行4-7层清洗,在网络层防护的基础上进行应用层防护,在已滤除大量消耗系统资源与网络带宽的攻击流量的基础上,对应用层攻击流量进行清洗,避免流量中存在的应用层攻击无法被DDoS清洗设备清除,在选择DDoS与应用层组合防护策略时,通过两个层面的结合清洗实现对网络攻击的协同防御。
可选地,当前防护策略为应用层防护策略,则在传输流量转发设备接收到入向流量后,直接利用应用层防火墙对入向流量的4-7层进行清洗,而非经过2-4层DDoS清洗后再进行4-7层应用层清洗。
在一些实施例中,如图4所示,所述方法还包括:
S113:依据所述入向流量路由策略将已进行DDoS清洗后的所述入向流量路由给网络协议IP代理;
S114:接收所述IP代理进行IP地址转换后的所述入向流量;
所述S120a,包括:
S1201:利用所述应用层防火墙将所述IP代理进行IP地址转换且已进行DDoS清洗后的入向流量,进行应用层清洗。
在本发明实施例中,IP代理设置在主机中,作为暴露给访问者的IP,用于转发传输流量,并将IP地址转换为IP代理的IP地址,可以隐藏被保护设备的真实IP,从而在端口层级实现对用户级IP进行反向代理保护,IP代理上层可通过路由策略达到IP控制,针对客户所需保护的源站IP,通过IP代理将流量流向按需牵引至DDOS防护装置。在基于IP代理的承载的同时,通过网络层与应用层的协同防护对流量进行清洗,可以全方位地实现对源站IP的保护。
可选地,当前防护策略为DDoS清洗策略时,即省略应用层清洗,传输流量转发设备接收到已进行IP地址转换且已进行2-4层DDoS清洗后的入向流量,将其发送至被保护设备;当前防护策略为应用层防护策略时,则在传输流量转发设备接收到所需传输的入向流量后,将入向流量发送至IP代理进行IP地址转换,并将IP地址转换后的入向流量发送至应用层防火墙,进行4-7层清洗。
在一些实施例中,如图5所示,所述S120,包括:
S120b:依据出向流量路由策略,将所述被保护设备发送出向流量发送给应用层防火墙;
S120c:接收所述应用层防火墙对被保护设备发送传输流量进行应用层清洗后的出向流量。
在本发明实施例中,被保护设备在接收到已进行清洗处理的入向流量后,对其做出响应,向访问者发出相应的出向流量,传输流量转发设备将出向流量发送至应用层防火墙进行4-7层流量清洗。
在实际应用中,由于2-4层DDoS攻击仅可能存在于访问者对被保护设备的攻击流量中,由被保护设备发出的出向流量则不会存在2-4层攻击流量,因此对于出向流量无需经过DDoS清洗设备进行2-4层DDoS清洗。而利用应用层防火墙,对由被保护设备发出的流量中可能存在的漏洞和异常进行清除,可以保证出向流量的有效性,同时也避免了对出向流量进行多余的2-4层DDoS清洗。
在一些实施例中,如图6所示,所述方法还包括:
S123:依据所述出向流量路由策略,将已进行应用层清洗后的所述出向流量发送给IP代理;
S124:接收所述IP代理进行IP地址转换且已进行应用层清洗后的所述出向流量;
S125:根据所述出向流量的目的地址,转发已进行应用层清洗及IP地址转换后的所述出向流量。
在本发明实施例中,由源站发出的出向流量中,携带源站的IP地址,为保护源站IP,避免因IP地址暴露而遭受攻击,需要向访问者隐藏源站IP地址,因此通过IP代理对出向流量进行转发,则出向流量中携带的IP地址转换为IP代理的地址,如此,访问者仅能获知IP代理的地址,而无法得知源站IP地址,从而实现对源站的保护。
可选地,当前防护策略为DDoS清洗策略时,出向流量则不经过应用层防火墙,亦无需经过DDoS清洗设备,因此传输流量转发设备接收到被保护设备发出的出向流量后,将其发往IP代理进行转发以及IP地址转换,进而根据出向流量的目的地址发送至访问者。
在一些实施例中,如图7所示,所述方法还包括:
S101:接收管理设备发送的路由配置指令;
S102:根据所述路由配置指令,配置所述被保护设备的入向流量路由策略和/或出向流量路由策略;其中,所述入向流量路由策略,用于路由所述被保护设备的入向流量;所述出向流量路由策略,用于路由所述被保护设备的出向流量。
在本发明实施例中,在传输流量转发设备接收到传输流量后,由管理设备下发对应的路由配置指令,指示传输流量转发设备按预设路径进行流量传输。其中,路由配置指令为根据管理设备当前防护策略进行预先设定,如此,在接收到请求访问被保护设备的传输流量时,即可确定并下发入向流量与出向流量的路由策略,保证数据传输的高效与顺畅,降低传输过程中的冗余路径与差错率。
基于前述实施例相同的发明构思,如图8所示,本发明实施例提供了一种分布式拒绝服务DDoS攻击的防御方法,应用于管理设备,所述方法包括:
S210:向所述DDoS清洗设备发送第一开通指令,其中,所述第一开通指令,用于指示开通对所述被保护设备收发的传输流量的DDoS清洗;
S220:和/或,向所述应用层防火墙的部署设备发送第二开通指令,其中,所述第二开通指令,用于指示开通对所述被保护设备收发的传输流量的应用层清洗。
在本发明实施例中,应用层防火墙的部署设备用于接收管理设备下发的开通指令后,向应用层防火墙进行相关部署,指示应用层防火墙对流量进行清洗。在传输流量转发设备接收到传输流量后,管理设备根据防护策略,相对应的DDoS清洗设备和/或应用层防火墙的部署设备下发开通指令。可选地,当前防护策略为DDoS清洗策略时,管理设备仅向DDoS清洗设备发送第一开通指令;当前防护策略为应用层防护策略时,管理设备仅向应用层防火墙的部署设备发送第二开通指令;当前防护策略组合防护策略时,管理设备向DDoS清洗设备发送第一开通指令,并向应用层防火墙的部署设备发送第二开通指令。
如此,以传输流量转发设备接收到传输流量为触发条件,管理设备即时下发清洗开通指令,保证与防护策略对应的清洗设备可以及时开通进入工作状态,提高流量传输任务的效率,亦可以使清洗设备在无流量传输时处于非开通状态,节省系统资源和能耗,延长设备的使用寿命。
在一些实施例中,如图9所示,所述方法还包括:
S230:向传输流量转发设备发送路由配置指令;
其中,所述路由配置指令,用于供所述传输流量转发设备配置所述被保护设备的入向流量路由策略和/或出向流量路由策略;其中,所述入向路由流量策略,用于至少将所述入向流量经过所述DDoS清洗设备和所述应用层防火墙后,路由到所述被保护设备;
所述出向流量策略,用于将所述被保护设备的出向流量经过所述应用层防火墙后路由到目的地址。
在本发明实施例中,在传输流量转发设备接收到出向流量后,管理设备下发对应的路由配置指令,指示传输流量转发设备按预设路由策略进行流量传输。路由策略为管理平台依据当前防护策略预先设定。此处目的地址为出向流量的目的地址,即访问者的IP地址。
可选地,当前防护策略为DDoS清洗策略时,如图12所示,入向流量路由策略为依次经过交换机、DDoS清洗设备、交换机、IP代理、交换机、被保护设备(源站),出向流量路由策略为依次经过交换机、IP代理、交换机、目的地址(访问者IP地址)。当前防护策略为应用层防护策略时,如图13所示,入向流量路由策略为依次经过交换机、IP代理、交换机、应用层防火墙、交换机、被保护设备,出向流量路由策略为依次经过交换机、应用层防火墙、交换机、IP代理、交换机、目的地址。当前防护策略为组合防护策略时,如图14所示,入向流量路由策略为依次经过交换机、DDoS清洗设备、交换机、IP代理、交换机、应用层防火墙、交换机、被保护设备,出向流量路由策略为依次经过交换机、应用层防火墙、交换机、IP代理、交换机、目的地址。
如此,在接收到需要进行传输的流量后,管理设备可以根据当前防护策略,集中管理指令下发,选择对应的路由策略,并及时将传输路径发往交换机,指示交换机对传输流量进行调度,实现传输过程的集中管理和统一调度,保证传输过程的高效与准确,降低传输过程中的冗余路径与差错率。
在一些实施例中,如图10所示,所述方法还包括:
S240:向IP代理发送转发配置指令;
其中,所述转发配置指令,用于指示IP代理转发所述传输流量,进行IP地址转换。
在本发明实施例中,在传输流量转发设备接收到传输流量后,管理设备向设置在主机上的IP代理下发配置指令,指示IP代理对传输流量进行转发,并进行IP地址转换,使传输流量所携带IP地址转换为IP代理的IP地址,对外隐藏所需保护设备的IP地址。如此,在进行流量传输之前,由管理设备统一向各设备下发开通/配置指令,使传输过程可以无阻碍地进行,提高流量传输及清洗的效率,而且由管理设备集中管理,可以节省系统资源,便于对各设备进行管理,在传输流量转发设备接收到传输流量后,管理设备统一下发指令及时唤醒,可以避免各设备在无流量传输任务时仍处于工作状态,避免系统资源及能耗的浪费。
基于前述实施例相同的发明构思,如图11所示,本发明实施例提供了一种分布式拒绝服务DDoS攻击的防御系统,所述系统包括:
管理设备110,用于向DDoS清洗设备和/或应用层防火墙的部署设备发送开通指令;
传输流量转发设备120,用于对被保护设备收发的传输流量,利用所述DDoS清洗设备和/或应用层防火墙对所述传输流量进行清洗;根据所述传输流量的目的地址,传输清洗后的所述传输流量;
DDoS清洗设备130,用于对所述传输流量进行DDoS清洗;
应用层防火墙的部署设备140,用于部署所述应用层防火墙对所述传输流量进行应用层清洗。
在一些实施例中,所述系统还包括:IP代理150,用于转发所述传输流量,进行IP地址转换。
在一些实施例中,所述管理设备110,具体用于向所述DDoS清洗设备发送第一开通指令,其中,所述第一开通指令,用于指示开通对所述被保护设备收发的传输流量的DDoS清洗;向所述应用层防火墙的部署设备发送第二开通指令,其中,所述第二开通指令,用于指示开通对所述被保护设备收发的传输流量的应用层清洗。
在一些实施例中,所述管理设备110还用于:向所述传输流量转发设备发送路由配置指令;其中,所述路由配置指令,用于供所述传输流量转发设备配置所述被保护设备的入向流量路由策略和/或出向流量路由策略;其中,所述入向路由流量策略,用于至少将所述入向流量经过所述DDoS清洗设备和所述应用层防火墙后,路由到所述被保护设备;所述出向流量策略,用于将所述被保护设备的出向流量经过所述应用层防火墙后路由到目的地址。
在一些实施例中,所述管理设备110还用于:向所述IP代理发送转发配置指令;其中,所述转发配置指令,用于指示IP代理转发所述传输流量,进行IP地址转换。
以下结合上述任一实施例提供一个具体示例:
分布式拒绝服务DDoS攻击的防御系统,主要包括如下几个部分:
(1)管理平台:负责DDoS清洗业务开通、应用层防护业务开通、IP代理转发配置、交换设备的路由配置;
(2)DDoS清洗设备:对2-4层攻击流量进行清洗;
(3)应用层防火墙:对4-7层应用层攻击进行清洗;
(4)IP代理:负责IP代理及转发;
(5)交换设备:实现流量调度;
当防护的源站IP需要采用不同的防护策略时,包括以下场景应用方案:
(一)独立采用DDoS清洗
方案执行流程如下:
通过管理平台向DDoS清洗下发指令开通;
通过管理平台向IP代理配置转发;
通过管理平台向交换下发基于目的地址的策略路由,入向流量依次通过交换机、DDoS清洗设备、交换机、IP代理、交换机、源站;出向流量依据源地址进行策略路由,依次经过源站、交换机、IP代理、交换机,到达原访问者。
(二)独立采用应用层清洗:
方案执行流程如下:
通过管理平台向应用层清洗下发指令开通;
通过管理平台向IP代理配置转发;
通过管理平台向交换下发基于目的地址的策略路由,入向流量依次通过交换机、IP代理、交换机、应用层防火墙、交换机、源站;出向流量依据源地址进行策略路由,依次经过源站、交换机、应用层防火墙、交换机、IP代理、交换机,到达原访问者。
(三)采用DDoS清洗、应用层组合清洗时
方案执行流程如下:
通过管理平台向应用层防火墙的部署设备下发指令开通;
通过管理平台向DDoS清洗设备下发指令开通;
通过管理平台向IP代理配置转发;
通过管理平台向交换下发基于目的地址的策略路由,入向流量依次通过交换机、DDoS清洗设备、交换机、IP代理、交换机、应用层防火墙、交换机、源站;出向流量依据源地址进行策略路由,依次经过源站、交换机、应用层防火墙、交换机、IP代理、交换机,到达原访问者。
本发明实施例还提供一种电子设备,所述电子设备包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,处理器运行所述计算机程序时,执行前述一个或多个技术方案所述方法的步骤。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,计算机可执行指令被处理器执行后,能够实现前述一个或多个技术方案所述方法。
本实施例提供的计算机存储介质可为非瞬间存储介质。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它行驶的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理模块中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的行驶实现,也可以采用硬件加软件功能单元的行驶实现。
在一些情况下,上述任一两个技术特征不冲突的情况下,可以组合成新的方法技术方案。
在一些情况下,上述任一两个技术特征不冲突的情况下,可以组合成新的设备技术方案。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (17)
1.一种分布式拒绝服务DDoS攻击的防御方法,其特征在于,应用于传输流量转发设备,包括:
对被保护设备收发的传输流量,利用DDoS清洗设备对所述传输流量进行DDoS清洗;
和/或,利用应用层防火墙对所述传输流量进行应用层清洗;
根据所述传输流量的目的地址,传输清洗后的所述传输流量。
2.根据权利要求1所述的方法,其特征在于,所述利用DDoS清洗设备对所述传输流量进行DDoS清洗,包括:
依据入向流量路由策略,将入向流量发送到所述DDoS清洗设备;其中,所述入向流量为:所述传输流量中待发送到所述被保护设备的流量;
接收所述DDoS清洗设备进行DDoS清洗后的入向流量。
3.根据权利要求1或2所述的方法,其特征在于,所述利用应用层防火墙对所述传输流量进行应用层清洗,包括:
利用所述应用层防火墙对所述DDoS清洗设备进行了DDoS清洗后的入向流量,进行应用层清洗。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
依据所述入向流量路由策略将已进行DDoS清洗后的所述入向流量路由给网络协议IP代理;
接收所述IP代理进行IP地址转换后的所述入向流量;
所述利用所述应用层防火墙对所述DDoS清洗设备进行了DDoS清洗后的入向流量,进行应用层清洗,包括:
利用所述应用层防火墙将所述IP代理进行IP地址转换且已进行DDoS清洗后的入向流量,进行应用层清洗。
5.根据权利要求1所述的方法,其特征在于,所述利用应用层防火墙对所述传输流量进行应用层清洗,包括:
依据出向流量路由策略,将所述被保护设备发送出向流量发送给应用层防火墙;
接收所述应用层防火墙对被保护设备发送出向流量进行应用层清洗后的出向流量。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
依据所述出向流量路由策略,将已进行应用层清洗后的所述出向流量发送给IP代理;
接收所述IP代理进行IP地址转换且已进行应用层清洗后的所述出向流量;
根据所述出向流量的目的地址,转发已进行应用层清洗及IP地址转换后的所述出向流量。
7.根据权利要求2或5所述的方法,其特征在于,所述方法还包括:
接收管理设备发送的路由配置指令;
根据所述路由配置指令,配置所述被保护设备的入向流量路由策略和/或出向流量路由策略;其中,所述入向流量路由策略,用于路由所述被保护设备的入向流量;所述出向流量路由策略,用于路由所述被保护设备的出向流量。
8.一种分布式拒绝服务DDoS攻击的防御方法,其特征在于,应用于管理设备,所述方法包括:
向所述DDoS清洗设备发送第一开通指令,其中,所述第一开通指令,用于指示开通对所述被保护设备收发的传输流量的DDoS清洗;
和/或,向所述应用层防火墙的部署设备发送第二开通指令,其中,所述第二开通指令,用于指示开通对所述被保护设备收发的传输流量的应用层清洗。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
向传输流量转发设备发送路由配置指令;
其中,所述路由配置指令,用于供所述传输流量转发设备配置所述被保护设备的入向流量路由策略和/或出向流量路由策略;其中,所述入向路由流量策略,用于至少将所述入向流量经过所述DDoS清洗设备和所述应用层防火墙后,路由到所述被保护设备;
所述出向流量策略,用于将所述被保护设备的出向流量经过所述应用层防火墙后路由到目的地址。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
向IP代理发送转发配置指令;
其中,所述转发配置指令,用于指示IP代理转发所述传输流量,进行IP地址转换。
11.一种分布式拒绝服务DDoS攻击的防御系统,其特征在于,所述系统包括:
管理设备,用于向DDoS清洗设备和/或应用层防火墙的部署设备发送开通指令;
传输流量转发设备,用于对被保护设备收发的传输流量,利用所述DDoS清洗设备和/或应用层防火墙对所述传输流量进行清洗;根据所述传输流量的目的地址,传输清洗后的所述传输流量;
DDoS清洗设备,用于对所述传输流量进行DDoS清洗;
应用层防火墙的部署设备,用于部署所述应用层防火墙对所述传输流量进行应用层清洗。
12.根据权利要求11所述的系统,其特征在于,所述系统还包括:
IP代理,用于转发所述传输流量,进行IP地址转换。
13.根据权利要求11所述的系统,其特征在于,所述管理设备,具体用于:
向所述DDoS清洗设备发送第一开通指令,其中,所述第一开通指令,用于指示开通对所述被保护设备收发的传输流量的DDoS清洗;向所述应用层防火墙的部署设备发送第二开通指令,其中,所述第二开通指令,用于指示开通对所述被保护设备收发的传输流量的应用层清洗。
14.根据权利要求13所述的系统,其特征在于,所述管理设备还用于:
向所述传输流量转发设备发送路由配置指令;
其中,所述路由配置指令,用于供所述传输流量转发设备配置所述被保护设备的入向流量路由策略和/或出向流量路由策略;其中,所述入向路由流量策略,用于至少将所述入向流量经过所述DDoS清洗设备和所述应用层防火墙后,路由到所述被保护设备;所述出向流量策略,用于将所述被保护设备的出向流量经过所述应用层防火墙后路由到目的地址。
15.根据权利要求14所述的系统,其特征在于,所述管理设备还用于:
向所述IP代理发送转发配置指令;
其中,所述转发配置指令,用于指示所述IP代理转发所述传输流量,进行IP地址转换。
16.一种电子设备,其特征在于,所述电子设备包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器;其中,
所述处理器运行所述计算机程序时,执行权利要求1至10任一项所述分布式拒绝服务DDoS攻击的防御方法的步骤。
17.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机可执行指令;所述计算机可执行指令被处理器执行后,能够实现如权利要求1至10任一项所述分布式拒绝服务DDoS攻击的防御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011066493.0A CN114338066A (zh) | 2020-09-30 | 2020-09-30 | 一种拒绝服务攻击的防御方法及系统、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011066493.0A CN114338066A (zh) | 2020-09-30 | 2020-09-30 | 一种拒绝服务攻击的防御方法及系统、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114338066A true CN114338066A (zh) | 2022-04-12 |
Family
ID=81032634
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011066493.0A Pending CN114338066A (zh) | 2020-09-30 | 2020-09-30 | 一种拒绝服务攻击的防御方法及系统、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114338066A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106411910A (zh) * | 2016-10-18 | 2017-02-15 | 上海优刻得信息科技有限公司 | 一种分布式拒绝服务攻击的防御方法与系统 |
US20180013787A1 (en) * | 2015-03-24 | 2018-01-11 | Huawei Technologies Co., Ltd. | SDN-Based DDOS Attack Prevention Method, Apparatus, and System |
CN108270600A (zh) * | 2016-12-30 | 2018-07-10 | 中国移动通信集团黑龙江有限公司 | 一种对恶意攻击流量的处理方法及相关服务器 |
CN110213214A (zh) * | 2018-06-06 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种攻击防护方法、系统、装置和存储介质 |
US20200007575A1 (en) * | 2018-06-30 | 2020-01-02 | Ovh | Methods and systems for defending an infrastructure against a distributed denial of service attack |
-
2020
- 2020-09-30 CN CN202011066493.0A patent/CN114338066A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180013787A1 (en) * | 2015-03-24 | 2018-01-11 | Huawei Technologies Co., Ltd. | SDN-Based DDOS Attack Prevention Method, Apparatus, and System |
CN106411910A (zh) * | 2016-10-18 | 2017-02-15 | 上海优刻得信息科技有限公司 | 一种分布式拒绝服务攻击的防御方法与系统 |
CN108270600A (zh) * | 2016-12-30 | 2018-07-10 | 中国移动通信集团黑龙江有限公司 | 一种对恶意攻击流量的处理方法及相关服务器 |
CN110213214A (zh) * | 2018-06-06 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种攻击防护方法、系统、装置和存储介质 |
US20200007575A1 (en) * | 2018-06-30 | 2020-01-02 | Ovh | Methods and systems for defending an infrastructure against a distributed denial of service attack |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11757932B2 (en) | Event driven route control | |
US9979694B2 (en) | Managing communications between virtual computing nodes in a substrate network | |
US10135633B2 (en) | Network security analysis for smart appliances | |
CN110113435B (zh) | 一种流量清洗的方法和设备 | |
CN101834875B (zh) | 防御DDoS攻击的方法、装置和系统 | |
JP5111618B2 (ja) | Macテーブルのオーバーフロー攻撃に対する防御を容易にすること | |
CN104272656A (zh) | 软件定义网络中的网络反馈 | |
CN110213214B (zh) | 一种攻击防护方法、系统、装置和存储介质 | |
AU2005322364A1 (en) | Network intrusion prevention | |
CN102111394A (zh) | 网络攻击防护方法、设备及系统 | |
JP4873960B2 (ja) | アプリケーションサーバ機能を促進するための方法およびアプリケーションサーバ機能を含むアクセスノード | |
CN112134891A (zh) | 一种基于linux系统的单主机产生多个蜜罐节点的配置方法、系统、监测方法 | |
Lee et al. | Netserv: active networking 2.0 | |
CN113568711B (zh) | 一种K8S中使用的基于eBPF架构的负载均衡方法及装置 | |
EP3716538B1 (en) | Managing satellite devices within a branch network | |
CN113783885B (zh) | 一种蜜罐网络代理方法及相关装置 | |
CA2983429C (en) | Network security analysis for smart appliances | |
CN101141396B (zh) | 报文处理方法和网络设备 | |
CN101917414A (zh) | Bgp分类网关设备及利用该设备实现网关功能的方法 | |
CN114338066A (zh) | 一种拒绝服务攻击的防御方法及系统、设备及存储介质 | |
CN101277302A (zh) | 一种分布式网络设备安全集中防护的装置与方法 | |
CN112968913B (zh) | 一种基于可编程交换机的ddos防御方法、装置、设备及介质 | |
Chatterjee | Design and development of a framework to mitigate dos/ddos attacks using iptables firewall | |
TWI506574B (zh) | 具彈性的雲端網路服務供裝系統 | |
JP2007208575A (ja) | 不正トラフィック管理装置およびシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |