防止鏈路型DDoS攻擊的實(shí)現(xiàn)方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種防止鏈路型DDoS攻擊的實(shí)現(xiàn)方法和系統(tǒng)���。
【背景技術(shù)】
[0002]分布式拒絕服務(wù)(Distributed Denial of Service����,DDoS)攻擊是指將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺��,對攻擊平臺內(nèi)的一個(gè)或多個(gè)計(jì)算機(jī)發(fā)動DDoS攻擊���,從而成倍地提高拒絕服務(wù)攻擊的威力�����。通常�,攻擊者使用一個(gè)偷竊帳號將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上�,將代理程序安裝在攻擊平臺內(nèi)的每個(gè)計(jì)算機(jī)上,在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊�,代理程序收到指令時(shí)就發(fā)動攻擊。
[0003]DDoS攻擊類型主要有如下幾種:讓被攻擊對象系統(tǒng)滿負(fù)荷運(yùn)行導(dǎo)致其他正常用戶無法訪問����,讓被攻擊對象系統(tǒng)出現(xiàn)異常導(dǎo)致所有用戶均無法訪問,讓被攻擊對象的網(wǎng)絡(luò)鏈路帶寬出現(xiàn)擁塞導(dǎo)致正常用戶訪問流量無法進(jìn)入����。其中最后一種可以稱為鏈路型DDoS攻擊���。為了防止鏈路型DDoS攻擊,需要在鏈路前部署防DDoS攻擊產(chǎn)品對網(wǎng)絡(luò)攻擊流量進(jìn)行攔截�����。
[0004]目前防DDoS攻擊產(chǎn)品可以分為企業(yè)級DDoS產(chǎn)品和運(yùn)營商DDoS產(chǎn)品�,但是,企業(yè)級DDoS產(chǎn)品只能用在網(wǎng)絡(luò)流量不超過企業(yè)出口帶寬的場景����,運(yùn)營商DDoS產(chǎn)品存在安全風(fēng)險(xiǎn)。
【發(fā)明內(nèi)容】
[0005]本發(fā)明旨在至少在一定程度上解決相關(guān)技術(shù)中的技術(shù)問題之一����。
[0006]為此����,本發(fā)明的一個(gè)目的在于提出一種防止鏈路型DDoS攻擊的實(shí)現(xiàn)方法,該方法可以結(jié)合企業(yè)級DDoS產(chǎn)品和運(yùn)營商DDoS產(chǎn)品的優(yōu)點(diǎn)����,在不限定網(wǎng)絡(luò)流量的基礎(chǔ)上����,盡量保證安全性�����。
[0007]本發(fā)明的另一個(gè)目的在于提出一種防止鏈路型DDoS攻擊的實(shí)現(xiàn)系統(tǒng)��。
[0008]為達(dá)到上述目的�,本發(fā)明第一方面實(shí)施例提出的防止鏈路型DDoS攻擊的實(shí)現(xiàn)方法,包括:網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)監(jiān)控通過被保護(hù)網(wǎng)絡(luò)的主出口鏈路進(jìn)入被保護(hù)網(wǎng)絡(luò)的網(wǎng)絡(luò)流量����,所述被保護(hù)網(wǎng)絡(luò)包括:主出口鏈路和備份鏈路;網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)在所述網(wǎng)絡(luò)流量小于預(yù)設(shè)的告警值時(shí)�,判斷是否達(dá)到DDoS攻擊標(biāo)準(zhǔn),并在達(dá)到DDoS攻擊標(biāo)準(zhǔn)時(shí)�����,通知所述被保護(hù)網(wǎng)絡(luò)的內(nèi)網(wǎng)DDoS系統(tǒng)進(jìn)行引流����;網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)在所述網(wǎng)絡(luò)流量大于或等于預(yù)設(shè)的告警值時(shí),通知公網(wǎng)DDoS系統(tǒng)進(jìn)行引流,以使所述公網(wǎng)DDoS系統(tǒng)與公網(wǎng)DNS聯(lián)動���,將網(wǎng)絡(luò)流量牽引到公網(wǎng)DDoS系統(tǒng)進(jìn)行清洗�����,并將清洗后的網(wǎng)絡(luò)流量通過所述備份鏈路回注回所述被保護(hù)網(wǎng)絡(luò)���。
[0009]本發(fā)明第一方面實(shí)施例提出的防止鏈路型DDoS攻擊的實(shí)現(xiàn)方法,通過在網(wǎng)絡(luò)流量大于或等于告警值時(shí)�����,由公網(wǎng)DDoS系統(tǒng)進(jìn)行處理�,可以解決企業(yè)級DDoS產(chǎn)品不能用于網(wǎng)絡(luò)流量大于出口帶寬的情況,實(shí)現(xiàn)在網(wǎng)絡(luò)流量較大時(shí)依然可以處理鏈路型DDoS攻擊���;通過在網(wǎng)絡(luò)流量小于告警值時(shí)�,由內(nèi)網(wǎng)DDoS系統(tǒng)進(jìn)行處理����,可以在此場景下不需要運(yùn)營商DDoS產(chǎn)品的參與�����,避免安全隱患。從而通過在網(wǎng)絡(luò)流量不同情況下由不同的DDoS產(chǎn)品進(jìn)行處理���,可以結(jié)合企業(yè)級DDoS產(chǎn)品和運(yùn)營商DDoS產(chǎn)品的優(yōu)點(diǎn)����,在不限定網(wǎng)絡(luò)流量的基礎(chǔ)上���,盡量保證安全性���。
[0010]為達(dá)到上述目的,本發(fā)明第二方面實(shí)施例提出的防止鏈路型DDoS攻擊的實(shí)現(xiàn)系統(tǒng)�����,所述系統(tǒng)包括網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)����,所述網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)包括:監(jiān)控模塊,用于監(jiān)控通過被保護(hù)網(wǎng)絡(luò)的主出口鏈路進(jìn)入被保護(hù)網(wǎng)絡(luò)的網(wǎng)絡(luò)流量���,所述被保護(hù)網(wǎng)絡(luò)包括:主出口鏈路和備份鏈路�;第一通知模塊,用于在所述網(wǎng)絡(luò)流量小于預(yù)設(shè)的告警值時(shí)��,判斷是否達(dá)到DDoS攻擊標(biāo)準(zhǔn)��,并在達(dá)到DDoS攻擊標(biāo)準(zhǔn)時(shí)��,通知所述被保護(hù)網(wǎng)絡(luò)的內(nèi)網(wǎng)DDoS系統(tǒng)進(jìn)行引流�;第二通知模塊,用于在所述網(wǎng)絡(luò)流量大于或等于預(yù)設(shè)的告警值時(shí)�����,通知公網(wǎng)DDoS系統(tǒng)進(jìn)行引流��,以使所述公網(wǎng)DDoS系統(tǒng)與公網(wǎng)DNS聯(lián)動��,將網(wǎng)絡(luò)流量牽引到公網(wǎng)DDoS系統(tǒng)進(jìn)行清洗�����,并將清洗后的網(wǎng)絡(luò)流量通過所述備份鏈路回注回所述被保護(hù)網(wǎng)絡(luò)�。
[0011]本發(fā)明第二方面實(shí)施例提出的防止鏈路型DDoS攻擊的實(shí)現(xiàn)系統(tǒng),通過在網(wǎng)絡(luò)流量大于或等于告警值時(shí)�����,由公網(wǎng)DDoS系統(tǒng)進(jìn)行處理,可以解決企業(yè)級DDoS產(chǎn)品不能用于網(wǎng)絡(luò)流量大于出口帶寬的情況���,實(shí)現(xiàn)在網(wǎng)絡(luò)流量較大時(shí)依然可以處理鏈路型DDoS攻擊,通過在網(wǎng)絡(luò)流量小于告警值時(shí)�,由內(nèi)網(wǎng)DDoS系統(tǒng)進(jìn)行處理,可以在此場景下不需要運(yùn)營商DDoS產(chǎn)品的參與����,避免安全隱患。從而通過在網(wǎng)絡(luò)流量不同情況下由不同的DDoS產(chǎn)品進(jìn)行處理��,可以結(jié)合企業(yè)級DDoS產(chǎn)品和運(yùn)營商DDoS產(chǎn)品的優(yōu)點(diǎn)�����,在不限定網(wǎng)絡(luò)流量的基礎(chǔ)上�����,盡量保證安全性��。
[0012]本發(fā)明附加的方面和優(yōu)點(diǎn)將在下面的描述中部分給出����,部分將從下面的描述中變得明顯���,或通過本發(fā)明的實(shí)踐了解到。
【附圖說明】
[0013]本發(fā)明上述的和/或附加的方面和優(yōu)點(diǎn)從下面結(jié)合附圖對實(shí)施例的描述中將變得明顯和容易理解��,其中:
[0014]圖1是本發(fā)明一實(shí)施例提出的防止鏈路型DDoS攻擊的實(shí)現(xiàn)方法的流程示意圖���;
[0015]圖2是本發(fā)明實(shí)施例中防止鏈路型DDoS攻擊的系統(tǒng)的示意圖�;
[0016]圖3是本發(fā)明另一實(shí)施例提出的防止鏈路型DDoS攻擊的實(shí)現(xiàn)方法的流程示意圖����;
[0017]圖4是本發(fā)明實(shí)施例中內(nèi)網(wǎng)DDoS系統(tǒng)的處理流程示意圖;
[0018]圖5是本發(fā)明實(shí)施例中公網(wǎng)DDoS系統(tǒng)的處理流程示意圖�����;
[0019]圖6是本發(fā)明另一實(shí)施例提出的防止鏈路型DDoS攻擊的實(shí)現(xiàn)系統(tǒng)的結(jié)構(gòu)示意圖�����;
[0020]圖7是本發(fā)明另一實(shí)施例提出的防止鏈路型DDoS攻擊的實(shí)現(xiàn)系統(tǒng)的結(jié)構(gòu)示意圖����;
[0021 ] 圖8是本發(fā)明另一實(shí)施例提出的防止鏈路型DDoS攻擊的實(shí)現(xiàn)系統(tǒng)的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0022]下面詳細(xì)描述本發(fā)明的實(shí)施例��,所述實(shí)施例的示例在附圖中示出,其中自始至終相同或類似的標(biāo)號表示相同或類似的模塊或具有相同或類似功能的模塊�。下面通過參考附圖描述的實(shí)施例是示例性的,僅用于解釋本發(fā)明�,而不能理解為對本發(fā)明的限制。相反���,本發(fā)明的實(shí)施例包括落入所附加權(quán)利要求書的精神和內(nèi)涵范圍內(nèi)的所有變化、修改和等同物�����。
[0023]圖1是本發(fā)明一實(shí)施例提出的防止鏈路型DDoS攻擊的實(shí)現(xiàn)方法的流程示意圖�����,該方法包括:
[0024]Sll:網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)監(jiān)控通過被保護(hù)網(wǎng)絡(luò)的主出口鏈路進(jìn)入被保護(hù)網(wǎng)絡(luò)的網(wǎng)絡(luò)流量���。
[0025]其中�,網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)可以設(shè)置在被保護(hù)網(wǎng)絡(luò)的內(nèi)部���,以被保護(hù)網(wǎng)絡(luò)是企業(yè)網(wǎng)為例�����,參見圖2��,網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)21設(shè)置在企業(yè)網(wǎng)內(nèi)部�。
[0026]一些實(shí)施例中,參見圖3�,網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)監(jiān)控通過被保護(hù)網(wǎng)絡(luò)的主出口鏈路進(jìn)入被保護(hù)網(wǎng)絡(luò)的網(wǎng)絡(luò)流量,具體包括:
[0027]S31:網(wǎng)絡(luò)流程監(jiān)控系統(tǒng)接收被保護(hù)網(wǎng)絡(luò)的出口設(shè)備產(chǎn)生的鏡像流量�,對所述鏡像流量進(jìn)行監(jiān)控,得到進(jìn)入被保護(hù)網(wǎng)絡(luò)的網(wǎng)絡(luò)流量����,其中,鏡像流量是出口設(shè)備對主出口鏈路的網(wǎng)絡(luò)流量進(jìn)行鏡像或分光處理后得到的��。
[0028]例如���,參見圖2�����,在企業(yè)網(wǎng)內(nèi)部與公網(wǎng)的接口處設(shè)置出口設(shè)備22���,出口設(shè)備包括至少兩個(gè)出口鏈路,其中一條鏈路是備份鏈路�����,另外的鏈路是主出口鏈路,備份鏈路用于引入公網(wǎng)DDoS系統(tǒng)回注的網(wǎng)絡(luò)流量����,主出口鏈路用于引入正常業(yè)務(wù)或DDoS攻擊產(chǎn)生的網(wǎng)絡(luò)流量。
[0029]出口設(shè)備可以對主出口鏈路上的網(wǎng)絡(luò)流量進(jìn)行鏡像或分光處理���,得到鏡像流量,之后將鏡像流量發(fā)送給網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)�。
[0030]其中,鏡像處理和分光處理都可以由一份數(shù)據(jù)復(fù)制成相同的兩份數(shù)據(jù)�,兩者不同的是,鏡像處理支持光口和電口����,分光處理僅支持光口。
[0031]S12:網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)在所述網(wǎng)絡(luò)流量小于預(yù)設(shè)的告警值時(shí)�,判斷是否達(dá)到DDoS攻擊標(biāo)準(zhǔn),并在達(dá)到DDoS攻擊標(biāo)準(zhǔn)時(shí)���,通知所述被保護(hù)網(wǎng)絡(luò)的內(nèi)網(wǎng)DDoS系統(tǒng)進(jìn)行引流����。
[0032]一些實(shí)施例中,參見圖3����,網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)接收到出口設(shè)備產(chǎn)生的鏡像流量后,該方法還可以包括:
[0033]S32:網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)判斷監(jiān)控得到的網(wǎng)絡(luò)流量是否小于預(yù)設(shè)的告警值����,若是,執(zhí)行33����,否則,執(zhí)行S35�。
[0034]其中,在監(jiān)控得到網(wǎng)絡(luò)流量后�,可以將網(wǎng)絡(luò)流量與預(yù)設(shè)的告警值比對,從而判斷出是否小于預(yù)設(shè)的告警值�����。
[0035]S33:網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)判斷是否達(dá)到DDoS攻擊標(biāo)準(zhǔn)�����,若是,執(zhí)行S34�,否則,重復(fù)執(zhí)行S31及其后續(xù)步驟���。
[0036]其中���,網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)內(nèi)可以預(yù)先配置DDoS清洗規(guī)則,以便根據(jù)該DDoS清洗規(guī)則判斷是否達(dá)到DDoS攻擊標(biāo)準(zhǔn)����。例如,DDoS清洗規(guī)則中記錄DDoS攻擊的特征���,