TW201124876A - System and method for guarding against dispersive blocking attacks - Google Patents

Description

201124876 六、發明說明： 【發明所屬之技術領域】 本發明係關於一種分散式阻斷攻擊防護系統及其方 法’更詳而言之，係一種有關於用於網路中針對分散式阻 斷攻擊之偵測且將其流量封包進行導向與過濾之系統以及 其方法。 【先前技術】 隨著網際網路迅速發展，人們對網路使用程度亦逐漸 增加’相對地關於網路安全問題亦隨之而來，特別是祠服 器或電腦主機遭受網路攻擊事件層出不窮，因而安全的網 路環境更受到重視。 分散式阻斷攻擊(Distributed Denial of Service，DDoS) 即是常見透過大量網路封包攻擊電腦之例子，主要透過大 量請求網路服務之封包傳遞’以破壞提供服務主機的正常 運作，藉此造成消耗頻寬、消耗主機資源、甚至癱瘓作業 系統等情況。目前對於這種大規模分散式阻斷攻擊的處理 措施亚不完善’像是：以客戶端自行建置防護設備的處理 措施.而言，其防護效果受限於所申料戦，當攻擊數量 ，過其頻寬則無法有效阻擋；財量增加頻寬或提升飼服 益效能的處理措施而言’由於攻擊規模動輒數百廳甚至 計#，如此規模遠高於—般企㈣寬及主機效能所 二承受範圍；以請求網際網路服務提供者（isp)將被攻擊 以=貞rf理措施衫，岐會造為ιρ紐提供服務； 封鎖攻擊⑽IP的處謂施而言，·其攻擊來源IP 131446 4 201124876 , 大多過於分散，因而無法將攻擊來源ip完全封鎖；以針對 來自國外攻擊可考量封鎖國外攻擊流量的處理措施而言， 其並無法完全阻擋攻擊，且會把國外正常流量擋住；以更 換被攻擊IP以避免被攻擊的處理措施而言，因更換IP需 一併更改企業内DNS主機設定，同時其他外部DNS主機 學習到新IP需要花費時間，這段期間恐導致正常使用者無 法連結該網站，況且分散式阻斷攻擊者還是可以找到更換 後IP繼續攻擊。 • 綜合上述技術問題，不論於使用者端、企業主機、服 務供應伺服器或甚至是ISP業者，對於這類分散式阻斷攻 擊的防護明顯不足，通常是等待被攻擊主機問題才察 覺，且處理方式僅能被動封鎖攻擊來源或者消極地封鎖或 更換被攻擊IP，但恐造成與該攻擊來源同路線的正常封包 遭到波及或形成提供服務中斷等情況，因此，目前針對此 類分散式阻斷攻擊防禦仍有待加強。 ^ . 因此，如何提供網路用戶在遭受分散式阻斷攻擊時能 夠快速有效的缓解或恢復網路服務，以避免客戶端運作停 擺或因遭受攻擊而無法提供網路服務等情況，遂成為目前 亟待解決的課題· 【發明内容】 .鑒於上述習知技術之缺點，.本發明用於網路中針對分 散式阻斷攻擊之偵測及防禦而提出一種分散式阻斷攻擊防 護系統及其方法，藉由對網路異常流量進行偵測及分析， 以將該分散式阻斷攻擊進行導向以及異常封包過濾，藉此 5 111446 201124876 避免影響客戶端之正常運作。 為達到上述目的，本發明提供一種分散式阻斷攻擊防 護系統，係用於網路中針對分散式阻斷攻擊之偵測及防 禦，包括：偵測設備，係用於偵測該分散式阻斷攻擊，並 將所偵測到的分散式阻斷攻擊之流量封包進行導向；以及 防護設備，用於接收該偵測設備所導入之流量封包，並將 該流量封包進行過濾。其中，該防護設備係包括：過濾模 組，係依據預設之過濾規則以過濾該流量封包内之異常封 包；路由裝置，係接收該過濾模組過濾後之流量封包，且 將過濾後之流量封包傳送至客戶端；及調整模組，用以分 析過濾後之流量封包擷取及分析，以調整該過濾模組中之 該過濾規則及提供告警訊息。 於一實施例中，該過濾模組復包括：破碎封包處理單 元，係針對該流量封包内之破碎封包提供過濾處理，以及 避免該流量封包被分割；以及攻擊封包處理單元，係將該 破碎封包處理單元所過濾後之流量封包進行攻擊封包的過 濾處理。 於另一實施例中，該防護設備係包括複數個過濾模 組，用以將該流量封包進行分配過濾處理；該複數個過濾 模組前後端分別連接前端封包交換裝置及後端封包交換裝 置，且該前端封包交換裝置與該後端封包交換裝置係透過 雜湊運算以決定該流量封包所流向之過濾模組，藉此同時 提供非連線型（例如UDP、ICMP)與連線型（例如TCP)封包 進行過濾處理。 6 111446 201124876 ’ ‘於又一實施例中，復包括分析模組，係將通過該過濾 模組之流量封包鏡射後，以進行該流量封包之分析；且該 刀析模組係連接一封包資訊資料庫，用以紀錄該流量封包 分析後之資訊。 此外，本發明亦提供一種分散式阻斷攻擊防護方法， 用於偵測分散式阻斷攻擊以及將封包導向與過遽之防葉方 法’係包括以下步驟：⑴對網路主要路由節點之流量封 鲁：進行偵測以將流I異常之流量封包進行分析；（2 )將 該流量封包導人防護專區進行封包過濾；⑶依據預設過 遽規則進行流量封包過濾，以將該流量封包内之異常封包 過濾移除；以及⑷將過濾後之流量封包進行分析，以作 為該過渡規則的調整依據。 、其中，該過濾規則係以該客戶端之連線數量門檻值作 為防羞參數，該防護參數係包括允許連線數量、網址存取 頻率及/或存取要求數量。 § 於一實施例中，該步驟（3)復包括以下步驟：〇_〗）提 =流量封包内破碎封包的過濾，以及避免該流量封包被 分割；以及（3-2)於該破碎封包過濾後，將所剩餘流量封 包内之攻擊封包進行再過濾。 —^外，復包括步驟（5):將過濾後之流量封包導回 各戶％，以提供該客戶端之網路服務。 相較於習知技術，本發明之分散式阻斷攻擊防護系統 八方法，係於主要網路節點進行偵測，以將分散式阻斷 文擊之流1封包導向一防護專區以進行過濾，透過預設過 111446 7 201124876 . 濾規則將異常封包進行過濾，以減緩或降低客戶端網路服 務受到影響；此外，過濾後之網路封包同樣被擷取分析， 透過分析結果以調整該過濾規則俾使過濾成效提升。藉由 該分散式阻斷攻擊防護系統不僅主動偵測分散式阻斷攻擊 外，亦提供快速有效的防禦機制，以減低用戶群受網路攻 擊影響程度。 【實施方式】 以下藉由特定的备體實例說明本發明之技術内容，熟 悉此技藝之人士可由本說明書所揭示之内容輕易地瞭解本 發明之其他優點與功效。本發明亦可藉由其他不同的具體 實例加以施行或應用，本說明書中的各項細節亦可基於不 同觀點與應用，在不悖離本發明之精神下進行各種修飾與 變更。 請參閱第1圖，其係本發明分散式阻斷攻擊防護系統 之封包導向圖，主要用以顯示網際網路上攻擊封包的走 向。一般而言，骨幹網路上具有連接眾多網路的主要路由 節點，如圖所示之路由節點10、11，當攻擊端網路12發 動攻擊時，係將大量攻擊封包透過主要路由節點10經路徑 a傳遞至路由節點11，再傳送到客戶端網路13，因而難以 在傳送過程中提供防護功能。本發明之分散式阻斷攻擊防 護系統，係於路由節點10設置用於偵測之設備，當出現攻 擊狀況時，則將整個流量封包導向防護專區1 (即透過路 徑b)以進行過濾處理，最後，再將過濾後剩餘流量封包 送回客戶端網路13，藉此減缓分散式阻斷攻擊所造成傷 8 111446 201124876 ， 害。 第一實施例： 請參閱第2圖，其係為本發明之分散式阻斷攻擊防護 系統之第一實施例的系統架構圖。如第2圖所示，本發明 之分散式阻斷攻擊防護系統2係用於網路中針對分散式阻 斷攻擊之偵測及防禦，包括：偵測設備21及防護設備22。 偵測設備21係用於偵測分散式阻斷攻擊，且將所偵 測到的分散式阻斷攻擊之流量封包進行導向。具體言之， 鲁偵測設備21係設置於骨幹網路上各主要路由節點處，如第 1圖所示之路由節點10、11處，主要提供路由節點網路流 量封包之監控，由於分散式阻斷攻擊（DDoS)非屬病毒攻 擊，而是透過大量封包傳遞以癱瘓主機伺服器，因此，偵 測設備21主要針對網路異常流量進行判斷，若發現流量異 常則將該異常流量之封包導入防護設備22。偵測設備21 具有多項參數設定並依據需求可進行微調，如設定10M流 量為流向異常或是50M為攻擊異常等。 防護設備22係用以接收偵測設備21所導入之流量封 包，以將該流量封包進行過濾。其中，防護設備22係包括 過濾模組221、路由裝置222及調整模組223。過濾模組 221係依據預設過濾規則以過濾該流量封包内之異常封 包。路由裝置222係接收過濾模組221過濾後之流量封包， 且將過濾後之流量封包傳送至客戶端。調整模組223用以 分析過濾後之流量封包擷取及分析，以調整過濾模組221 内之過濾規則及提供告警訊息。 9 111446 201124876 換言之，經由過濾模組221過濾後之流量封包，傳送 至路由裝置222並且提供調整模組223進行擷取分析，以 取得過濾後流量封包之異常封包數量，必要時提供告警訊 息。此外，若發現過濾後的流量封包仍然使得分散式阻斷 攻擊處於高危險之狀態下，此時，除提供告警訊息外並立 即透過調整模組223調整該過濾規則，進而強化封包過濾 之程序外，同時間，由過濾模組221過濾後之流量封包， 經由路由裝置222而轉送至客戶端。 第二實施例： 請參閱第3圖，其係本發明之分散式阻斷攻擊防護系 統之第二實施例的部分系統架構圖。如第3圖所示，第二 實施例與第一實施例的主要元件相同，其差異在於防護設 備32中的過濾模組321復包括：破碎封包處理單元3211 以及攻擊封包處理單元3212。 該破碎封包處理單元3211係針對流量封包内之破碎 封包提供過濾4理，以及避免流量封包被分割。於本實施 例中，由摘測設備21導入之流量封包係由前端路由裝置 30接收且傳送至過濾模組321進行處理，由於所導入的流 量封包中可能包含破碎封包（IP fragment packet )，不僅 無法直接過濾±1來且破碎封包攻擊易癱瘓整個防護設備 32，其原因係一般防護設備在處理大量碎片封包時，.需進 行封包重組才能進行防護判斷，使得防護設備會預留相當 的系統資源來储存這些尚未重組的碎片，因此，碎片封包 的攻擊特性就在於大量傳送無法重組成功的封包來瞬間佔 10 111446 201124876 • 滿防護設備的系統資源，造成防護設備嘗試檢查或重組這 樣大量碎片時.容易形成系統資源耗盡而導致設備無法運 作。因而本實施例進一步將過濾模組321分成兩部分進行 過滤處理。首先，由破碎封包處理單元3 211進行破碎封包 的過濾處理，主要將通過破碎封包處理單元3211的破碎封 包進行封鎖（block)，同時限制通過破碎封包處理單元 3211之流量封包再被分割，以避免對後續封包過濾造成影 響，於一具體實施例，該破碎封包處理單元3211可為具有 • 阻擋破碎封包功能之封包交換器（switch)，亦即利用封 包交換器特有功能來禁止封包進行切割，如此一來可直接 丟棄相同序號第一個以後的分割封包，以有效降低防護設 備32的整體負載，再由攻擊封包處理單元3212來判斷與 過濾第一個不正常的分割封包。相較於現有具有阻擋破碎 封包功能的大型防火牆，本發明以封包交換器實作該破碎 封包處理單元3211下，不須經由繁雜步驟，且可降低維運 • 難度以及成本。 該攻擊封包處理單元3212係將經過破碎封包處理單 元3211所過濾之流量封包進行攻擊封包的過濾處理。具體 而言，當透過破碎封包處理單元3211將破碎封包進行過濾 後，攻擊封包處理單元3 212接著透過預設過濾規則將流量 封包内的攻擊封包過濾出來，俾使過濾後之流量封包剩下 正常封包。最後，攻擊封包處理單元3212將過濾後之流量 封包傳送到路由裝置322進行傳送，且同時調整模組323 擷取及分析判斷是否需調整該預設過濾規則及提供告警訊 11 111446 201124876 息。 其尹，該過濾_制客戶端之連線數量門插值作 防濩參數，且餘護參料括允許連㈣量、網址存取 率及/或存取要求數量等。換言之，依據客戶端所能承受 連線要求（T〇VUDIVicmp)的門檻值，並適時提供告 f訊息至網路管理者。詳而言之，該·規職判斷該流 1封包所要求連線、存取等請求數量是否在正常範圍内， 其藉由可允許來源端（瞻ee)之連線數量、可 端存取特定網址頻率、或是網址存取請求（request)數量 等麥數值來協助判斷是否屬於網路異常的封包服務， 若經判斷後為網路異常狀態，則進行過遽處理，相同的過 ^後封&會再騎_純，若還是無法將分散式阻斷攻 析IS::,圍内，則調整模組323會依據過遽後分 二據自動I朗;慮制’藉此加強後續的賴效果。 第三實施例： 么二參閱第4圖，其係本發明之分散式阻斷攻擊防護系 、、先之弟二實施例的部分线架構圖。為簡化圖式及說明， 此處之㉔構僅顯示與本實施例有關之構件，如圖所 不’本實施例與第3圖所示的第二實施例之不同處在於， f貫施心防護設備42係包含複數個過濾模組421、 ▲ 421 :以提供將流量封包分配進行過遽處理。具體 、、， ，一八讲取呈Hi丄 达，以讓複數個過濾模組421、421，、421，，之其中 ^ ’當異常網路流量封包被導向至防護設備42後，係經 。’_端路由裝置40接收以及前端封包交換裳置4ιι分配轉 ，以謹 i-t 缸 An、ra、上 ^ . 311446 12 201124876 .行過濾處理，而過濾後之流量封包同樣經由後端封包交換 裝置412及路由裝置422傳送至客戶端。 如此’透過相數個過〉慮模組之設置’能使整個分散或 阻斷攻擊防護系統更具延展性，以便隨著攻擊規模擴大而 對防護設備進行擴充以承載攻擊量。較佳者，可將各個過 濾模組依據不同封包型態進行過濾處理，藉此不僅可分散 過濾、模組之負載’亦讓處理設備可依據封包特性加快處跋 速度。至於過濾模組之數量，則可視實際需求予以調整。 •第四實施例： 请參閱第4圖’其係本發明之分散式阻斷攻擊防護系 統之第四實施例的局部系統架構圖。為簡化圖式及說明， 此處之系統架構僅顯示與本實施例有關之構件，如圖所 示’第四實施例與苐三實施例為相同系統架構圖，其差異 在於為了可同時對#連線型封包，例如使用者資料包通訊 協定（User Datagram Protocol ; UDP )或網際網路控制訊 息協定（Internet Control Message Protocol ; ICMP )封包， _ 與連線型封包，例如傳輪控制協定（Transmission Control Protocol ; TCP)封包，進行過濾處理，可由前端封包交換 裝置411與後端封包交換裝置412内進行雜湊運算，以決 定流量封包之流向。 在未設置本實施例之前端封包交換裝置411與後端封 包交換裝置412的情況下，由於前端路由裝置40接收流量 封包後，會送至複數個過濾模組421、42Γ、421”之其中 一者過濾處理，再透過路由裝置422進行轉送。然此類封 13 111446 201124876 包傳送架構對於連線型封包會產生問題，其主要原因在於 連線型封包複雜度高且需雙向溝通才能知悉封包資訊，因 而，若流量封包來回所行經路徑為不同過濾模組時，例如 經過濾模組421送出，卻送回另.一過濾模組42,1’，則會造 成無法對封包内容進行判斷。 是故，本實施例係於前端封包交換裝置411與後端封 包交換裝置412内進行雜湊運算（hash )，以決定流量封包 傳送所流經的過濾模組，藉此可同時提供非連線型與連線 型封包進行過濾處理。具體來說，該前端封包交換裝置411 係以來源IP進行雜湊運算，以決定該流量封包係由某一埠 C port)往下流向其中之一過濾、模組，而該後端封包交換 裝置412係以目的IP再次以同一演算法進行雜湊運算，以 決定該流量封包由哪一埠往上流回原流量封包所經之過滤 模組，亦即由該前端封包交換裝置411與該後端封包交換 裝置412執行相同的雜湊演算以指定該些流量封包傳送位 置，以對連線型封包達到處理效果，因而本實施例之前端 封包交換裝置411與後端封包交換裝置412可由封包交換 器（switch)來實現，換言之，該前端封包交換裝置411 可同時具有處理破碎封包功能以及將流量封包交換分配， 使得其所連接的過濾模組421、421’、421”達到負載平衡。 由第三、四實施系統架構知悉，透過多個過濾模組可達到 負載平衡，且可對非連線型與連線型封包同時處理過濾， 進而達到封包過濾、負載平衡以及兼顧系統擴充性。 第五實施例： 14 111446 201124876 • 如第5圖所示，係說明本發明之分散式阻斷攻擊防護 系統之第五f施例的局部系統架構圖。為簡化圖式及說 明，此處之系統架構僅顯示與本實施例有關之構件，如圖 所示，本實施例與前述之該些實施例之不同處在於，本實 施例之防護設備62復包括一分析模組624，係將通過過濾 模組621之流量封包鏡射後，以進行該流量封包之分析。 亦即於前端路由裝置60送至過濾模組621進行過濾前，將 導入的流量封包透過鏡射方式傳送一份至分析模組624進 • 行分析，藉以了解目前該異常流量之封包狀態，至於原導 入之流量封包不受影響，繼續經由過濾模組621過濾後送 至路由裝置622，同時調整模組623進行擷取分析，以作 為過濾規則調整及提供告警訊息。 此外，分析模組624係連接一封包資訊資料庫625， 主要用以紀録該些流量封包分析後之資訊，以提供網路管 理者查看導入防護設備62之異常封包其狀態。 φ 總言之，透過本發明之分散式阻斷攻擊防護系統，能 於網路主要師點上進行偵測，以將分散式阻斷攻擊之流量 封包導入防護專區内以將異常封包過濾掉，此外，透過所 能承受連線數量等作為門檻值進行判斷，藉此調整過濾規 則以強化過濾成效，形成多層次防護以阻擋單一或混合種 類之攻擊。 請參閱第6圖，其係本發明之分散式阻斷攻擊防護方 法之流程步驟圖。如圖所示，於步棘S 7 01中，係對網路 主要路由節點之流量封包進行偵測，以將流量異常之流量 15 111446 201124876 封包進行分析，也就是偵測到網路流量產生異常封包狀況 時，立即提供監控與分析以判斷該網路流量是否達到預設 臨界值，藉此判定是否為分散式阻斷攻擊並且必要時提供 後續處理。接著進至步驟S702。 於步驟S702中，係將該流量封包導入防護專區進行 封包過濾，若偵測到流量封包係屬異常流量之狀況，則將 該流量封包導入一防護專區進行過濾處理。於一具體實施· 例，該步驟S702復包括將所導入之流量封包鏡射後，以 提供封包過濾·前的分析，藉此取得過濾前流量封包狀態。 接著進至步驟S703。 於步驟S703中，係依據預設過濾規則進行流量封包 過濾，以將該流量封包内之異常封包過濾移除。具體而言， 即藉由預定過濾規則進行過濾判‘斷，主要是以客戶端之連 線數量門檻值作為防護參數，以該防護參數做為過濾規則 之依據，例如可允許連線數量、或是網址存取頻率，以及 網站存取要求數量等，藉此作為異常流量之判定進而將其 異常封包進行過濾。 於另一實施例，該步驟S703復可包括透過雜湊運算 進行該流量封包之流向分.配，以同時對非連線型與連線型 封包提供過濾處理，.詳言之，對於非連線型封包僅需經過 單向處理即可知悉是否為攻擊封包，反觀連線型封包需經 過雙向溝通才能知悉封包内容，因此，針對連線型封包特 性，於處理攻擊封包的設備前後設置封包交換裝置且執行 相同的雜湊演算法，藉由將來源IP及目的IP進行雜湊運 16 111446 201124876 : 算，以決定該流量封包經由哪一埠傳送過去，進而達到可 同時處理各類型封包之過濾。接著進至步驟S704。 於步驟S704中，係將過濾後之流量封包進行分析， 以作為該過濾規則的調整依據。此步驟主要目的在於將過 濾後流量封包予以擷取及分析，以判定目前防護效果，具 體而言，係將過濾後之流量封包鏡射後送至擷取及分析， 藉此作為過濾規則調整之依據，亦即若過濾效果不佳，則 調整適濾規則以加強過濾效果。 ® 請參閱第7圖，其係本發明之分散式阻斷攻擊防護方 法之細部步驟圖。較佳者，前述之步驟S703復包括步驟 S7031及步驟S7032。於步驟S7031中，係提供該流量封 包内之破碎封包的過濾，以及避免該流量封包被分割。接 著進至步驟S7032。 於步驟S7032中，係於該破碎封包過濾後，將所剩餘 流量封包内之攻擊封包進行再過濾。 φ 具體言之，步驟S7031中先將破碎封包進行處理，除 了避免破碎封包造成防護專區癱瘓狀況，同時也限制流量 封包被分割，爾後才將步驟S7031過濾後之流量封包，進 行攻擊封包的過濾，藉此提供多層次防護效果。 此外，本發明之分散式阻斷攻擊防護方法，可進一步 結合將定ISP業者的骨幹網路，針對特定網路攻擊進行全 面阻指，比如若是來自國外網路攻擊，則可於該國外攻擊 所經過路由節點上進行阻擋，或者為保護特定用戶進而阻 擋非該ISP業者流量之封包，如此，透過多種方式相互配 17 111446 i 201124876 合以提供更佳防護效果。 及A =所述，本發明提出—種分散式阻斷攻擊防護系統 羽 ，㈣於分散式阻斷攻擊之㈣及防禦，相較於 ::、點’本發明提供主動偵測網路異常流量，以將昱 =之封包導人防護專區，藉由過濾規則將其中的異常 匕^慮，，其中，不僅針對破碎封包、連線導向型封包等 ::、=峨供處理外，更將過濾結果行分析以作為調 仏遽規則之依據，藉此強化整體過濾效果，進而 層次防禦效果，以降低及減 夕 服務中斷之情況。· m切斷攻擊所造成網路 上述實施例僅例示㈣財發明之相及 非用於限制本發明。任何熟習此項技藝之人士均可土 背本發明之精敎範訂，對上述實_ = =:本發明之權利保糊，應如後述之申^ 【圖式簡單說明】 向圖第1圖係本發明之分散式阻斷攻擊防護系統之封包導 第2圖係本發明分散式阻斷攻擊防 例的系統架構圖； 丁'、洗之第-貫施 第3圖係本發明分散相斷攻擊防護㈣ 例的部分系統架構圖； 一、匕 第4圖係本發明分散式阻斷攻擊防護系統之第二 實施例的部分系統架構圖； .一四 111446 18 201124876 例的部分分敎式阻斷攻擊防護系統之第五實施 =圖係树料__絲_方法之流程步驟 圖；以及 第7圖係本發明分散式 圖。 【主要元件符號說明】 阻斷攻擊防護方法 之細部步驟 防護專區 路由節點 12 13 2 21 22、32、42、62 攻擊端網路 客戶端網路 分散式阻斷攻擊防護系統 偵測設備 防護設備 221、 321、421、421，、421 ”、621 222、 322、422、622 路由裳置 223 ' 323、623調整模組 過濾模組 3211 3212 30、40、60 411 412 624 破碎封包處理單元 攻擊封包處理單元 前端路由裝置 前端封包交換裝置 後端封包交換裴置 分析模組 625 封包資訊資料庫 11U46 19 201124876 S701〜S704 S7031〜S7032 步驟 步驟

Claims (1)

1. 201124876 七、申請專利範圍： 1. 一種分散式阻斷攻擊防護系統，用於 于元用於網路中針對分散式 阻斷攻擊之偵測及防禦，包括： 偵測設備，係用則貞測分散式阻斷攻擊，並將所镇 測到的分散式阻斷攻擊之流量封包進行導向；以及、 防護設備’係用以接收該偵測設備所導入之流量封 包，並過濾該流量封包，係包括： 過遽模組’制以雜之過濾規則過濾該流量 封包内之異常封包； 路由裝置，係用以接收該過遽模組過遽後之流量封 包，並將過濾後之流量封包傳送至客戶端；及 調整模組，係用以針對過遽後之流量封包予以類取 及分析，並驢朗濾模財之_設轉規則及提供 告警訊息。 、 2. 如申請專利範圍^項之分散式阻斷攻擊防護系統，其 :，該偵測設備係設置於網路之各主要路由節點上，以 提供該路由節點流量封包之監控。 申明專利範圍第1項之分散式阻斷攻擊防護系統，其 中，該偵測設備係用以針對網路異常流量進行判斷，以 將該網路異常流量之封包導入到該防護設備。 4.如申請專利範圍第！項之分散式阻斷攻擊防護系統，其 中，該調整模組係用以分析通過該路由裝置之流量封 包，以取得該流量封包内之異常封包數量，據以作為 整該過濾規則之依據。 一° 111446 21 201124876 5· ^申請專利範圍第！項之分散式阻斷攻擊防護系統，其 Θ過；規縣為該客戶端之連線數量門權值。 〇月專利乾圍帛5項之分散式阻斷攻擊防護系統，1 :’該過濾_係包括允許連線數量、魄存取頻率及 /或存取要求數量。 7 ^申4專利㈣第1項之分散式阻斷攻擊防護系統，其 中，該過濾模組復包括： 八 破碎封包處理單元，係肋針對該流量封包内之破 7包提供過濾處理，Μ避免該流量封包被分割；以 及 攻擊封包處理單元，係用以將該破碎封包處理單元 所過濾後之流量封包進行攻擊封包的過遽處理。 8· Μ請專利第μ之分散式阻斷攻擊防護系統，復 包括分析模組，係用以將通過該過遽模組之流量封包予 以鏡射，再針對鏡射之該流量封包進行分析。 9·如申請專利範項之分散式_攻擊，发 中，該分析模組係連接一封包資訊資料庫，用以紀錄該 流量封包分析後之資訊。 ' Λ 10·如申請專利範圍第！項之分散式阻斷攻擊防護系統，复 中，該防護設備係包括複數個過濾模組，用以將該流二 封包進行分配過濾.處理。 L里 11.如申請專利範圍第10項之分散式阻斷攻擊防護夸统， 其中，該複數個過濾模組前後端分別連接前端封=交換 裝置及後端封包交換裝置，且該前端封包交換裝該 111446 22 201124876 j 後端封包交換裝置係透過雜湊運算以決定該流量封包 所流向之過濾模組，藉此同時提供非連線型與連線型封 包進行過濾處理。 12. —種分散式阻斷攻擊防護方法，用於網路中針對分散式 阻斷攻擊之偵測及防禦，係包括以下步驟： (1 )對網路主要路由節點之流量封包進行偵測， 並針對流量異常之流量封包進行分析； (2)將該流量封包導入防護專區進行封包過濾； • ( 3)依據預設過濾規則進行流量封包過濾，以將 該流量封包内之異常封包過濾移除；以及 (4 )將過濾後之流量封包進行分析，以作為該過 濾規則的調整依據。 13. 如申請專利範圍第12項之分散式阻斷攻擊防護方法， 其中，步驟（2)復包括將該流量封包予以鏡射，再針對 鏡射之該流量封包進行分析。 | 14.如申請專利範圍第12項之分散式阻斷攻擊防護方法， 該步驟（3)復包括以下步驟： (3-1)過濾該流量封包内之破碎封包，並避免該流量 封包被分割；以及 .(3-2)於該破碎封包過濾後，過濾剩餘流量封包内之 攻擊封包。 15.如申請專利範圍第12項之分散式阻斷攻擊防護方法， 其中，該步驟（3 )復包括透過雜凑運算進行該流量封 包之流向分配，以同時對非連線型與連線型封包提供過 23 111446 201124876 « 濾處理。 16. ^申請專請第12項之分散式_攻擊防護方法， f中’該步驟（4)復包括才頡取及分析該流量封包，以 提供告警訊息及作為該預設過濾規則調整之依據。 17. 如申請專利範圍第12項之分散式阻斷攻擊防護方法， 其中，該過濾規則係為該客戶端之連線數量門檻值。 18’如申請專利範圍第17項之分散式阻斷攻擊防護方法， 其中，該過濾規則係包括允許連線數量、網址存取頻率 及/或存取要求數量。 ' 19.如申請專利範圍第18項之分散式阻斷攻擊防護方法， 4包括步驟（5 ):將過濾後之流量封包導回客戶端，以 提供該客戶端之網路服務。 111446 24