本發(fā)明涉及一種網(wǎng)絡(luò)通信領(lǐng)域，尤其是涉及一種檢測(cè)及防御DDOS攻擊的方法及交換芯片。

背景技術(shù)：

在計(jì)算機(jī)網(wǎng)絡(luò)中，DDoS攻擊十分頻繁，DDoS(Distributed Denial of service，分布式拒絕服務(wù))是指由多個(gè)DOS攻擊源同時(shí)攻擊某臺(tái)服務(wù)器就組成了DDoS攻擊，DDoS攻擊能夠造成網(wǎng)絡(luò)阻塞或者服務(wù)器資源耗盡從而導(dǎo)致拒絕服務(wù)，從而阻止合法用戶對(duì)正常網(wǎng)絡(luò)資源的訪問(wèn)，達(dá)成攻擊者不可告人的目的，因此，DDoS攻擊又稱洪水式攻擊，常見的DDoS攻擊手段有SYN FLOOD，ACK FLOOD，UDP FLOOD，ICMP FLOOD等等。

通常的，通過(guò)給服務(wù)器打補(bǔ)丁或者安裝防火墻軟件來(lái)防范DDOS攻擊，但是對(duì)于交換機(jī)來(lái)說(shuō)，若給交換機(jī)安裝防火墻軟件，則會(huì)增加成本。

因此，在交換機(jī)中如何檢測(cè)及預(yù)防DDoS攻擊，是目前需要解決的問(wèn)題。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于克服現(xiàn)有技術(shù)的缺陷，提供一種檢測(cè)及防御DDoS攻擊的裝置和方法，能夠針對(duì)洪泛類DDoS進(jìn)行檢測(cè)和防御，減輕網(wǎng)絡(luò)服務(wù)器防御DDoS的負(fù)荷，同時(shí)對(duì)本地交換機(jī)系統(tǒng)CPU的DDoS攻擊進(jìn)行相應(yīng)的檢測(cè)和防御。

為實(shí)現(xiàn)上述目的，本發(fā)明提出如下技術(shù)方案：一種檢測(cè)及防御DDoS攻擊的裝置，包括報(bào)文接收模塊，DDoS報(bào)文識(shí)別模塊，DDoS報(bào)文處理引擎模塊，以及報(bào)文轉(zhuǎn)發(fā)模塊；

所述報(bào)文接收模塊與DDoS報(bào)文識(shí)別模塊相連接，報(bào)文接收模塊接收?qǐng)?bào)文正常處理后發(fā)送至DDoS報(bào)文識(shí)別模塊進(jìn)行DDoS報(bào)文識(shí)別；

所述DDoS報(bào)文識(shí)別模塊與DDoS報(bào)文處理引擎模塊相連接，DDoS報(bào)文識(shí)別模塊對(duì)報(bào)文進(jìn)行匹配，將匹配的報(bào)文標(biāo)示為需要DDoS報(bào)文處理引擎模塊處理的報(bào)文，并發(fā)送至DDoS報(bào)文處理引擎模塊進(jìn)行相應(yīng)的處理；

所述DDoS報(bào)文處理引擎模塊與報(bào)文轉(zhuǎn)發(fā)模塊相連接，DDoS報(bào)文處理引擎模塊對(duì)標(biāo)示為需要DDoS報(bào)文處理引擎模塊處理的報(bào)文檢測(cè)處理，若處理結(jié)果為丟棄報(bào)文，則丟棄報(bào)文，否則，將報(bào)文發(fā)送至報(bào)文轉(zhuǎn)發(fā)模塊進(jìn)行轉(zhuǎn)發(fā)處理。

優(yōu)選地，所述DDoS報(bào)文識(shí)別模塊通過(guò)訪問(wèn)控制列表項(xiàng)，以及本地CPU協(xié)議報(bào)文識(shí)別表項(xiàng)對(duì)報(bào)文進(jìn)行匹配，將匹配的報(bào)文標(biāo)示為需要DDOS報(bào)文處理引擎模塊處理的報(bào)文。

優(yōu)選地，所述DDoS報(bào)文識(shí)別模塊根據(jù)所述訪問(wèn)控制列表項(xiàng)，以及本地CPU協(xié)議報(bào)文識(shí)別表項(xiàng)匹配報(bào)文，獲得配置表項(xiàng)Index，根據(jù)所述配置表項(xiàng)Index能夠讀取相應(yīng)的配置表項(xiàng)FlowProfile。

優(yōu)選地，所述配置表項(xiàng)FlowProfile包括DDoS門限字段、流細(xì)分字段、檢測(cè)周期字段，以及阻斷時(shí)間長(zhǎng)度字段。

優(yōu)選地，所述流細(xì)分字段包括IP頭和TCP頭中的字段，通過(guò)選取所述IP頭和TCP頭中的字段并參與哈希計(jì)算對(duì)報(bào)文進(jìn)行篩選。

一種檢測(cè)及防御DDOS攻擊的方法，包括如下步驟：

步驟1，接收?qǐng)?bào)文并對(duì)所述報(bào)文進(jìn)行DDoS報(bào)文識(shí)別，將匹配的報(bào)文進(jìn)行標(biāo)示為需要DDoS處理引擎模塊處理的報(bào)文；

步驟2，所述DDoS報(bào)文處理引擎模塊對(duì)需要DDoS處理引擎模塊處理的報(bào)文檢測(cè)處理，判斷是否發(fā)生DDOS攻擊，若是，則對(duì)所述報(bào)文進(jìn)行阻斷，否則，將所述報(bào)文發(fā)送至報(bào)文轉(zhuǎn)發(fā)模塊進(jìn)行轉(zhuǎn)發(fā)處理。

優(yōu)選地，所述DDoS報(bào)文識(shí)別包括根據(jù)訪問(wèn)控制列表項(xiàng)，以及本地CPU協(xié)議報(bào)文識(shí)別表項(xiàng)對(duì)報(bào)文進(jìn)行匹配，獲得配置表項(xiàng)Index，根據(jù)所述配置表項(xiàng)Index讀取相應(yīng)的配置表項(xiàng)FlowProfile。

優(yōu)選地，所述步驟2還包括如下步驟：

步驟201，接收需要DDoS處理引擎模塊處理的報(bào)文，獲得所述報(bào)文的配置表項(xiàng)Index，讀取相應(yīng)的配置表項(xiàng)FlowProfile；

步驟202，配置所述配置表項(xiàng)FlowProfile對(duì)所述需要DDoS處理引擎模塊處理的報(bào)文進(jìn)行篩選，獲得DDoSRecord表項(xiàng)；

步驟203，選擇DDoSRecord表項(xiàng)，判斷是否設(shè)置阻斷標(biāo)志位，若設(shè)置，則阻斷報(bào)文一個(gè)周期；否則，執(zhí)行步驟204；

步驟204，判斷DDoSRecord表項(xiàng)中統(tǒng)計(jì)的報(bào)文數(shù)量是否大于預(yù)設(shè)閾值，若是，則阻斷報(bào)文；否則，轉(zhuǎn)發(fā)報(bào)文。

優(yōu)選地，阻斷周期內(nèi)DDoS報(bào)文處理引擎模塊對(duì)DDoSRecord表項(xiàng)的處理方法包括如下步驟：

步驟301，判斷時(shí)鐘是否達(dá)到預(yù)設(shè)閾值，若否，時(shí)鐘加一操作繼續(xù)判斷是否大于預(yù)設(shè)閾值，若是，執(zhí)行步驟302；

步驟302，判斷是否達(dá)到阻斷時(shí)間長(zhǎng)度字段中的數(shù)值，若是，則清空阻斷標(biāo)志位，指定下一條DDoSRecord表項(xiàng)，否則，執(zhí)行步驟303；

步驟303，將阻斷時(shí)間長(zhǎng)度字段中的數(shù)值減一，指定下一條DDoSRecord表項(xiàng)，并將時(shí)鐘清零，執(zhí)行步驟S301～S303。

優(yōu)選地，所述DDoSRecord表項(xiàng)包括Count字段，以及阻斷標(biāo)志位字段，所述Count字段表示流細(xì)分過(guò)后存在的報(bào)文數(shù)量，所述阻斷標(biāo)志位字段用于對(duì)報(bào)文是否進(jìn)行阻斷。

本發(fā)明的有益效果是：

本發(fā)明所述的檢測(cè)及防御DDoS攻擊的裝置及方法，在交換芯片上進(jìn)行針對(duì)洪流類DDoS攻擊的檢測(cè)和防御，在報(bào)文到達(dá)網(wǎng)絡(luò)終端服務(wù)器前進(jìn)行檢測(cè)及防御，有效的減輕了網(wǎng)絡(luò)終端服務(wù)器的負(fù)荷及壓力；通過(guò)對(duì)DDoS攻擊進(jìn)一步防御，能夠有效增加由于DDoS攻擊而占用的網(wǎng)絡(luò)帶寬，提高網(wǎng)絡(luò)整體利用效率。

附圖說(shuō)明

圖1是本發(fā)明的檢測(cè)及防御DDoS攻擊的裝置結(jié)構(gòu)框圖示意圖；

圖2是本發(fā)明的檢測(cè)及防御DDoS攻擊的裝置報(bào)文處理流程圖示意圖；

圖3是本發(fā)明的DDoS報(bào)文處理引擎模塊報(bào)文處理流程圖示意圖；

圖4是本發(fā)明的檢測(cè)周期內(nèi)報(bào)文處理流程圖示意圖；

圖5是本發(fā)明的檢測(cè)及防御DDoS攻擊的方法示意圖；

圖6是本發(fā)明的DDoS報(bào)文處理引擎模塊處理報(bào)文的方法示意圖；

圖7是檢測(cè)周期內(nèi)報(bào)文處理方法示意圖。

具體實(shí)施方式

下面將結(jié)合本發(fā)明的附圖，對(duì)本發(fā)明實(shí)施例的技術(shù)方案進(jìn)行清楚、完整的描述。

本發(fā)明所揭示的一種檢測(cè)及防御DDoS攻擊裝置及方法，能夠有效的檢測(cè)及預(yù)防指定報(bào)文的洪泛攻擊，減輕網(wǎng)絡(luò)服務(wù)器的防御DDoS的負(fù)荷。

如圖1所示，一種檢測(cè)及預(yù)防DDoS攻擊的裝置，包括報(bào)文接收模塊，DDoS報(bào)文識(shí)別模塊，DDoS報(bào)文處理引擎模塊，以及報(bào)文轉(zhuǎn)發(fā)模塊，所述報(bào)文接收模塊與DDoS報(bào)文識(shí)別模塊相連接，報(bào)文接收模塊接收?qǐng)?bào)文正常處理后發(fā)送至DDoS報(bào)文識(shí)別模塊進(jìn)行DDoS報(bào)文識(shí)別；所述DDoS報(bào)文識(shí)別模塊與DDoS報(bào)文處理引擎模塊相連接，DDoS報(bào)文識(shí)別模塊對(duì)報(bào)文進(jìn)行匹配，將匹配的報(bào)文標(biāo)示為需要DDoS報(bào)文處理引擎模塊處理的報(bào)文，并發(fā)送至DDoS報(bào)文處理引擎模塊進(jìn)行相應(yīng)的處理；所述DDoS報(bào)文處理引擎模塊與報(bào)文轉(zhuǎn)發(fā)模塊相連接，DDoS報(bào)文處理引擎模塊對(duì)標(biāo)示為需要DDoS報(bào)文處理引擎模塊處理的報(bào)文進(jìn)一步檢測(cè)處理，若處理結(jié)果為丟棄報(bào)文，則將報(bào)文丟棄，否則，將報(bào)文發(fā)送至報(bào)文轉(zhuǎn)發(fā)模塊進(jìn)行轉(zhuǎn)發(fā)處理。

結(jié)合圖1和圖2所示，具體的，所述DDoS報(bào)文識(shí)別模塊通過(guò)訪問(wèn)控制列表項(xiàng)，以及本地CPU協(xié)議報(bào)文識(shí)別表項(xiàng)對(duì)報(bào)文進(jìn)行識(shí)別處理，將匹配的報(bào)文標(biāo)示為需要DDOS報(bào)文處理引擎模塊處理的報(bào)文。進(jìn)一步的，在訪問(wèn)控制列表項(xiàng)中，通過(guò)配置訪問(wèn)控制列表，能夠防止大多數(shù)洪流型DDoS攻擊，如針對(duì)常見的TCP SYN洪流攻擊，可以通過(guò)配置訪問(wèn)控制列表匹配類型為TCP，并有SYN標(biāo)志位的報(bào)文，又如針對(duì)TCP RST洪流攻擊，可以通過(guò)配置訪問(wèn)控制列表匹配類型為TCP，并有RST標(biāo)志位的報(bào)文。通過(guò)配置訪問(wèn)控制列表，還能夠匹配UDP洪流攻擊、ICMP洪流攻擊的報(bào)文。同樣的，通過(guò)本地CPU協(xié)議報(bào)文識(shí)別表項(xiàng)，能夠匹配出需要本地CPU處理的協(xié)議報(bào)文，將所述協(xié)議報(bào)文標(biāo)示為需要DDoS報(bào)文處理引擎處理的報(bào)文。

本實(shí)施例中，所述DDoS報(bào)文識(shí)別模塊根據(jù)訪問(wèn)控制列表項(xiàng)，以及本地CPU協(xié)議報(bào)文識(shí)別表項(xiàng)匹配報(bào)文的過(guò)程中，獲得配置表項(xiàng)Index，根據(jù)所述配置表項(xiàng)Index能夠讀取相應(yīng)的配置表項(xiàng)FlowProfile。所述配置表項(xiàng)FlowProfile預(yù)先進(jìn)行配置，用于對(duì)報(bào)文進(jìn)行處理，所述配置表項(xiàng)FlowProfile包括DDoS門限字段、流細(xì)分字段、檢測(cè)周期字段，以及阻斷時(shí)間長(zhǎng)度字段，其中，DDoS門限字段用于設(shè)置數(shù)據(jù)報(bào)文的數(shù)量，當(dāng)數(shù)據(jù)報(bào)文的數(shù)量超過(guò)DDoS門限字段的預(yù)設(shè)值時(shí)，則表明發(fā)生DDOS攻擊；所述流細(xì)分字段能夠?qū)?shù)據(jù)報(bào)文進(jìn)一步的篩選；檢測(cè)周期字段用于設(shè)置DDOS報(bào)文處理引擎模塊對(duì)數(shù)據(jù)報(bào)文的檢測(cè)周期，阻斷時(shí)間長(zhǎng)度字段用于設(shè)置對(duì)數(shù)據(jù)報(bào)文的阻斷時(shí)間。

更進(jìn)一步地，在DDoS報(bào)文識(shí)別模塊中，對(duì)報(bào)文進(jìn)行匹配的訪問(wèn)控制列表項(xiàng)，以及本地CPU協(xié)議報(bào)文識(shí)別表項(xiàng)通常采用較模糊的關(guān)鍵字對(duì)報(bào)文進(jìn)行匹配，在網(wǎng)絡(luò)遭受攻擊時(shí)，應(yīng)當(dāng)不影響其他的報(bào)文的通過(guò)，如針對(duì)TCP SYN洪流攻擊，應(yīng)當(dāng)不影響其他類型為TCP，并有SYN標(biāo)志位的正常報(bào)文通過(guò)，通過(guò)配置流細(xì)分字段能夠?qū)?bào)文進(jìn)行進(jìn)一步的細(xì)分，獲得DDoSRecord表項(xiàng)，具體地，所述流細(xì)分字段包括IP頭和TCP頭中的各個(gè)字段，通過(guò)選取相應(yīng)的字段并進(jìn)行哈希計(jì)算，能夠得到DDoSRecord表項(xiàng)Index，根據(jù)所述DDoSRecord表項(xiàng)Index能夠讀取DDoSRecord表項(xiàng)，所述DDoSRecord表項(xiàng)包括Count字段，以及阻斷標(biāo)志位字段，所述Count字段表示流細(xì)分過(guò)后存在的報(bào)文數(shù)量，所述阻斷標(biāo)志位字段用于對(duì)報(bào)文是否進(jìn)行阻斷。網(wǎng)絡(luò)遭遇DDoS攻擊時(shí)，通常只針對(duì)一個(gè)目的地址進(jìn)行攻擊，因此，本實(shí)施例中，通過(guò)在流細(xì)分字段中增加目的地址的網(wǎng)絡(luò)地址對(duì)報(bào)文進(jìn)一步進(jìn)行的細(xì)分。

結(jié)合圖3所示，通過(guò)進(jìn)一步的流細(xì)分得到DDoSRecord表項(xiàng)后，所述DDoS報(bào)文處理引擎模塊對(duì)所述DDoSRecord表項(xiàng)進(jìn)一步檢測(cè)，判斷是否為DDoS攻擊，若是DDoS攻擊，則進(jìn)行阻斷。具體的，流細(xì)分字段參與流表的計(jì)算，選擇DDoSRecord表項(xiàng)，本實(shí)施例中，根據(jù)流細(xì)分字段的配置以及流表的哈希計(jì)算，能夠得到對(duì)應(yīng)當(dāng)前報(bào)文的DDoSRecord表項(xiàng)Index，根據(jù)DDoSRecord表項(xiàng)Index讀取相應(yīng)的DDoSRecord表項(xiàng)，判斷所述DDoSRecord表項(xiàng)中的阻斷標(biāo)志位字段是否已經(jīng)設(shè)置阻斷標(biāo)志位，若已設(shè)置，說(shuō)明當(dāng)前報(bào)文需要阻斷，進(jìn)而對(duì)報(bào)文進(jìn)行阻斷處理；若未設(shè)置阻斷標(biāo)志位，則對(duì)Count字段中的數(shù)值進(jìn)行加一操作，進(jìn)一步判斷加一后的數(shù)值是否大于DDoS門限字段中設(shè)定的數(shù)值。若未達(dá)到DDoS門限字段中設(shè)定的數(shù)值，則表示報(bào)文檢測(cè)通過(guò)，進(jìn)行正常轉(zhuǎn)發(fā)；若大于DDoS門限字段中設(shè)定的數(shù)值，需要對(duì)該報(bào)文進(jìn)行阻斷處理，通過(guò)設(shè)置阻斷標(biāo)志位用以阻斷該報(bào)文，并且將阻斷時(shí)間長(zhǎng)度設(shè)置到當(dāng)前DDoSRecord表項(xiàng)中，進(jìn)一步設(shè)置對(duì)該報(bào)文的阻斷時(shí)間，同時(shí)將該報(bào)文發(fā)送至CPU芯片中；當(dāng)Count字段中的數(shù)值執(zhí)行加一操作后的大于DDoS門限字段中設(shè)定的數(shù)值，也可以暫時(shí)對(duì)報(bào)文不進(jìn)行阻斷處理，由CPU芯片進(jìn)行處理，所述CPU芯片通過(guò)設(shè)置阻斷標(biāo)志位，進(jìn)而對(duì)該報(bào)文進(jìn)行阻斷一定的時(shí)間。

結(jié)合圖4所示，本實(shí)施例中，是以一定的檢測(cè)周期對(duì)報(bào)文進(jìn)行循環(huán)檢測(cè)，進(jìn)而判斷是否發(fā)生DDoS攻擊，若發(fā)生DDoS攻擊，則對(duì)該報(bào)文阻斷一定的檢測(cè)周期。所述配置表項(xiàng)FlowProfile中的阻斷時(shí)間長(zhǎng)度字段表示當(dāng)發(fā)生DDoS攻擊時(shí)，將該報(bào)文阻斷一定的檢測(cè)周期，如當(dāng)發(fā)生TCP SYN洪流攻擊時(shí)，需要將該類報(bào)文阻斷10秒，若檢測(cè)周期為1秒，則阻斷時(shí)間長(zhǎng)度應(yīng)該設(shè)置為10，即將TCP SYN報(bào)文阻斷10個(gè)檢測(cè)周期。

具體的，所述檢測(cè)周期通過(guò)芯片內(nèi)部時(shí)鐘進(jìn)行控制，當(dāng)時(shí)鐘到達(dá)門限值時(shí)，即表示一個(gè)檢測(cè)周期。當(dāng)?shù)竭_(dá)檢測(cè)周期時(shí)，DDoS報(bào)文處理引擎模塊對(duì)當(dāng)前的DDoSRecord表項(xiàng)進(jìn)行處理，將當(dāng)前DDoSRecord表項(xiàng)中的Count字段中的數(shù)值進(jìn)行清空，進(jìn)一步判斷阻斷時(shí)間長(zhǎng)度是否為零，若為零，表明已經(jīng)到達(dá)預(yù)先設(shè)置的阻斷時(shí)間，則清除當(dāng)前DDoSRecord表項(xiàng)中的阻斷標(biāo)志位，并指定下一個(gè)處理的DDoSRecord表項(xiàng)，指定下一個(gè)處理的DDoSRecord表項(xiàng)后，將時(shí)鐘置為零；若阻斷時(shí)間長(zhǎng)度字段中的數(shù)值不為零，則阻斷時(shí)間長(zhǎng)度的數(shù)值進(jìn)行減一操作，并指定下一個(gè)處理的DDoSRecord表項(xiàng)，指定下一個(gè)處理的DDoSRecord表項(xiàng)后，將時(shí)鐘置為零。

通過(guò)上述裝置，能夠?qū)榱餍虳DoS攻擊進(jìn)行有效的檢測(cè)和防御。

結(jié)合圖2和圖5所示，一種檢測(cè)及防御DDoS攻擊的方法，基于上述檢測(cè)及防御DDoS攻擊的裝置，所述方法包括如下步驟：

步驟1，接收?qǐng)?bào)文并對(duì)所述報(bào)文進(jìn)行DDoS報(bào)文識(shí)別，將匹配的報(bào)文進(jìn)行標(biāo)示為需要DDoS處理引擎模塊處理的報(bào)文；

步驟2，所述DDoS報(bào)文處理引擎模塊對(duì)需要DDoS處理引擎模塊處理的報(bào)文檢測(cè)處理，判斷是否發(fā)生DDOS攻擊，若是，則對(duì)所述報(bào)文進(jìn)行阻斷，否則，將所述報(bào)文發(fā)送至報(bào)文轉(zhuǎn)發(fā)模塊進(jìn)行轉(zhuǎn)發(fā)處理。

具體的，通過(guò)訪問(wèn)控制列表項(xiàng)，以及本地CPU協(xié)議報(bào)文識(shí)別表項(xiàng)對(duì)報(bào)文進(jìn)行識(shí)別處理，將匹配的報(bào)文標(biāo)示為需要DDoS處理引擎模塊處理的報(bào)文。進(jìn)一步的，在訪問(wèn)控制列表項(xiàng)中，通過(guò)配置訪問(wèn)控制列表，能夠防止大多數(shù)洪流型DDoS攻擊，如針對(duì)常見的TCP SYN洪流攻擊，可以通過(guò)配置訪問(wèn)控制列表匹配類型為TCP，并有SYN標(biāo)志位的報(bào)文，又如針對(duì)TCP RST洪流攻擊，可以通過(guò)配置訪問(wèn)控制列表匹配類型為TCP，并有RST標(biāo)志位的報(bào)文。通過(guò)配置訪問(wèn)控制列表，還能夠匹配UDP洪流攻擊、ICMP洪流攻擊的報(bào)文。同樣的，通過(guò)本地CPU協(xié)議報(bào)文識(shí)別表項(xiàng)，能夠匹配出需要本地CPU處理的協(xié)議報(bào)文，將所述協(xié)議報(bào)文標(biāo)示為需要DDoS報(bào)文處理引擎處理的報(bào)文。

結(jié)合圖3和圖6所示，所述DDoS報(bào)文處理引擎模塊對(duì)報(bào)文進(jìn)行檢測(cè)處理包括如下步驟：

步驟201，接收需要DDoS處理引擎模塊處理的報(bào)文，根據(jù)所述報(bào)文的配置表項(xiàng)Index，讀取相應(yīng)的配置表項(xiàng)FlowProfile；

步驟202，配置所述配置表項(xiàng)FlowProfile對(duì)所述需要DDoS處理引擎模塊處理的報(bào)文進(jìn)行篩選，獲得DDoSRecord表項(xiàng)；

步驟203，選擇DDoSRecord表項(xiàng)，判斷是否設(shè)置阻斷標(biāo)志位，若設(shè)置，則阻斷報(bào)文；否則，執(zhí)行步驟204；

步驟204，判斷DDoSRecord表項(xiàng)中統(tǒng)計(jì)的報(bào)文數(shù)量是否大于預(yù)設(shè)閾值，若是，則阻斷報(bào)文；否則，轉(zhuǎn)發(fā)報(bào)文。

具體的，配置表項(xiàng)FlowProfile預(yù)先進(jìn)行配置，用于對(duì)報(bào)文進(jìn)行處理，所述配置表項(xiàng)FlowProfile包括DDoS門限字段、流細(xì)分字段、檢測(cè)周期字段，以及阻斷時(shí)間長(zhǎng)度字段，其中，DDoS門限字段用于設(shè)置數(shù)據(jù)報(bào)文的數(shù)量，當(dāng)數(shù)據(jù)報(bào)文的數(shù)據(jù)超過(guò)預(yù)設(shè)值時(shí)，則表明發(fā)生DDOS攻擊；所述流細(xì)分字段能夠?qū)?shù)據(jù)報(bào)文進(jìn)一步的篩選；檢測(cè)周期字段用于設(shè)置DDOS報(bào)文處理引擎模塊對(duì)數(shù)據(jù)報(bào)文的檢測(cè)周期，阻斷時(shí)間長(zhǎng)度字段用于設(shè)置對(duì)數(shù)據(jù)報(bào)文的阻斷時(shí)間。

所述DDoS報(bào)文識(shí)別模塊根據(jù)訪問(wèn)控制列表項(xiàng)，以及本地CPU協(xié)議報(bào)文識(shí)別表項(xiàng)匹配報(bào)文的過(guò)程中，獲得配置表項(xiàng)Index，所述配置表項(xiàng)Index能夠讀取相應(yīng)的配置表項(xiàng)FlowProfile。

更進(jìn)一步地，在DDoS報(bào)文識(shí)別模塊中，對(duì)報(bào)文進(jìn)行匹配的訪問(wèn)控制列表項(xiàng)，以及本地CPU協(xié)議報(bào)文識(shí)別表項(xiàng)通常采用較模糊的關(guān)鍵字對(duì)報(bào)文進(jìn)行匹配，在網(wǎng)絡(luò)遭受攻擊時(shí)，應(yīng)當(dāng)不影響其他的報(bào)文的通過(guò)，如針對(duì)TCP SYN洪流攻擊，應(yīng)當(dāng)不影響其他類型為TCP，并有SYN標(biāo)志位的正常報(bào)文通過(guò)，通過(guò)配置流細(xì)分字段能夠?qū)?bào)文進(jìn)行進(jìn)一步的細(xì)分，獲得DDoSRecord表項(xiàng)，具體地，所述流細(xì)分字段包括IP頭和TCP頭中的各個(gè)字段，通過(guò)選取相應(yīng)的字段并進(jìn)行哈希計(jì)算，能夠得到DDoSRecord表項(xiàng)Index，根據(jù)所述DDoSRecord表項(xiàng)Index能夠讀取DDoSRecord表項(xiàng)，所述DDoSRecord表項(xiàng)包括Count字段，以及阻斷標(biāo)志位字段，所述Count字段表示流細(xì)分過(guò)后存在的報(bào)文數(shù)量，所述阻斷標(biāo)志位字段用于對(duì)報(bào)文是否進(jìn)行阻斷。網(wǎng)絡(luò)遭遇DDoS攻擊時(shí)，通常只針對(duì)一個(gè)目的地址進(jìn)行攻擊，因此，本實(shí)施例中，通過(guò)在流細(xì)分字段中增加目的地址的網(wǎng)絡(luò)地址對(duì)報(bào)文進(jìn)一步進(jìn)行的細(xì)分。

DDOSRecord表項(xiàng)的選擇是通過(guò)流細(xì)分字段參與流表的計(jì)算進(jìn)行選擇的，本實(shí)施例中，根據(jù)流細(xì)分字段的配置以及流表的哈希計(jì)算，能夠得到對(duì)應(yīng)當(dāng)前報(bào)文的DDoSRecord表項(xiàng)Index，根據(jù)DDoSRecord表項(xiàng)Index讀取相應(yīng)的DDoSRecord表項(xiàng)，判斷所述DDoSRecord表項(xiàng)中的阻斷標(biāo)志位字段是否已經(jīng)設(shè)置阻斷標(biāo)志位，若已設(shè)置，則說(shuō)明當(dāng)前報(bào)文需要阻斷；若未設(shè)置阻斷標(biāo)志位，則對(duì)Count字段中的數(shù)值進(jìn)行加一操作，進(jìn)一步判斷加一后的數(shù)值是否大于DDoS門限字段中設(shè)定的數(shù)值。若未達(dá)到DDoS門限字段中設(shè)定的數(shù)值，則表示報(bào)文檢測(cè)通過(guò)，進(jìn)行正常轉(zhuǎn)發(fā)；若大于DDoS門限字段中設(shè)定的數(shù)值，需要對(duì)該報(bào)文進(jìn)行阻斷處理，通過(guò)設(shè)置阻斷標(biāo)志位用以阻斷該報(bào)文，并且將阻斷時(shí)間長(zhǎng)度設(shè)置到當(dāng)前DDoSRecord表項(xiàng)中，進(jìn)一步設(shè)置對(duì)該報(bào)文的阻斷時(shí)間，同時(shí)將該報(bào)文發(fā)送至CPU芯片中；當(dāng)Count字段中的數(shù)值執(zhí)行加一操作后的大于DDoS門限字段中設(shè)定的數(shù)值，也可以暫時(shí)對(duì)報(bào)文不進(jìn)行阻斷處理，由CPU芯片進(jìn)行處理，所述CPU芯片通過(guò)設(shè)置阻斷標(biāo)志位，進(jìn)而對(duì)該報(bào)文進(jìn)行阻斷一定的時(shí)間。

結(jié)合圖4和圖7所示，本實(shí)施例中，是以一定的檢測(cè)周期對(duì)報(bào)文進(jìn)行循環(huán)檢測(cè)，進(jìn)而判斷是否發(fā)生DDoS攻擊，若發(fā)生DDoS攻擊，則對(duì)該報(bào)文阻斷一定的檢測(cè)周期。

所述檢測(cè)周期通過(guò)芯片內(nèi)部時(shí)鐘進(jìn)行控制，當(dāng)時(shí)鐘到達(dá)門限值時(shí)，即表示一個(gè)檢測(cè)周期，所述DDOS報(bào)文處理引擎模塊對(duì)DDOSRecord表項(xiàng)進(jìn)一步處理。

阻斷周期內(nèi)DDOS報(bào)文處理引擎模塊對(duì)DDOSRecord表項(xiàng)進(jìn)一步處理方法包括如下步驟：

步驟301，判斷時(shí)鐘是否達(dá)到預(yù)設(shè)閾值，若否，時(shí)鐘加一操作繼續(xù)判斷是否大于預(yù)設(shè)閾值，若是，執(zhí)行步驟2；

步驟302，判斷是否達(dá)到阻斷時(shí)間長(zhǎng)度字段中的數(shù)值，若是，則清空阻斷標(biāo)志位，指定下一條DDOSRecord表項(xiàng)，否則，執(zhí)行步驟3；

步驟303，將阻斷時(shí)間長(zhǎng)度字段中的數(shù)值減一，并指定下一條DDOSRecord表項(xiàng)，并時(shí)鐘清零，執(zhí)行步驟S1～S3。

具體的，所述檢測(cè)周期通過(guò)芯片內(nèi)部時(shí)鐘進(jìn)行控制，當(dāng)時(shí)鐘到達(dá)門限值時(shí)，即表示一個(gè)檢測(cè)周期。當(dāng)?shù)竭_(dá)檢測(cè)周期時(shí)，DDoS報(bào)文處理引擎模塊對(duì)當(dāng)前的DDoSRecord表項(xiàng)進(jìn)行處理，將當(dāng)前DDoSRecord表項(xiàng)中的Count字段中的數(shù)值進(jìn)行清空，進(jìn)一步判斷阻斷時(shí)間長(zhǎng)度是否為零，若為零，表明已經(jīng)到達(dá)預(yù)先設(shè)置的阻斷時(shí)間，則清除當(dāng)前DDoSRecord表項(xiàng)中的阻斷標(biāo)志位，并指定下一個(gè)處理的DDoSReeord表項(xiàng)，指定下一個(gè)處理的DDoSReeord表項(xiàng)后，將時(shí)鐘置為零；若阻斷時(shí)間長(zhǎng)度字段中的數(shù)值不為零，則阻斷時(shí)間長(zhǎng)度的數(shù)值進(jìn)行減一操作，并指定下一個(gè)處理的DDoSRecord表項(xiàng)，指定下一個(gè)處理的DDoSRecord表項(xiàng)后，將時(shí)鐘置為零。

本發(fā)明所述的檢測(cè)及防御DDoS攻擊的裝置及方法，在交換芯片上進(jìn)行針對(duì)洪流類DDoS攻擊的檢測(cè)和防御，在報(bào)文到達(dá)網(wǎng)絡(luò)終端服務(wù)器前進(jìn)行檢測(cè)及防御，有效的減輕了網(wǎng)絡(luò)終端服務(wù)器的負(fù)荷及壓力；通過(guò)對(duì)DDoS攻擊進(jìn)一步防御，能夠有效增加由于DDoS攻擊而占用的網(wǎng)絡(luò)帶寬，提高網(wǎng)絡(luò)整體利用效率。

本發(fā)明的技術(shù)內(nèi)容及技術(shù)特征已揭示如上，然而熟悉本領(lǐng)域的技術(shù)人員仍可能基于本發(fā)明的教示及揭示而作種種不背離本發(fā)明精神的替換及修飾，因此，本發(fā)明保護(hù)范圍應(yīng)不限于實(shí)施例所揭示的內(nèi)容，而應(yīng)包括各種不背離本發(fā)明的替換及修飾，并為本專利申請(qǐng)權(quán)利要求所涵蓋。