防止鏈路型DDoS攻擊的實現(xiàn)方法和系統(tǒng)的制作方法
【技術領域】
[0001]本發(fā)明涉及通信技術領域,尤其涉及一種防止鏈路型DDoS攻擊的實現(xiàn)方法和系統(tǒng)����。
【背景技術】
[0002]分布式拒絕服務(Distributed Denial of Service,DDoS)攻擊是指將多個計算機聯(lián)合起來作為攻擊平臺�����,對攻擊平臺內(nèi)的一個或多個計算機發(fā)動DDoS攻擊���,從而成倍地提高拒絕服務攻擊的威力�����。通常�,攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上,將代理程序安裝在攻擊平臺內(nèi)的每個計算機上���,在一個設定的時間主控程序?qū)⑴c大量代理程序通訊��,代理程序收到指令時就發(fā)動攻擊����。
[0003]DDoS攻擊類型主要有如下幾種:讓被攻擊對象系統(tǒng)滿負荷運行導致其他正常用戶無法訪問�����,讓被攻擊對象系統(tǒng)出現(xiàn)異常導致所有用戶均無法訪問�,讓被攻擊對象的網(wǎng)絡鏈路帶寬出現(xiàn)擁塞導致正常用戶訪問流量無法進入��。其中最后一種可以稱為鏈路型DDoS攻擊�����。為了防止鏈路型DDoS攻擊�����,需要在鏈路前部署防DDoS攻擊產(chǎn)品對網(wǎng)絡攻擊流量進行攔截�����。
[0004]目前防DDoS攻擊產(chǎn)品可以分為企業(yè)級DDoS產(chǎn)品和運營商DDoS產(chǎn)品,但是����,企業(yè)級DDoS產(chǎn)品只能用在網(wǎng)絡流量不超過企業(yè)出口帶寬的場景,運營商DDoS產(chǎn)品存在安全風險���。
【發(fā)明內(nèi)容】
[0005]本發(fā)明旨在至少在一定程度上解決相關技術中的技術問題之一�����。
[0006]為此���,本發(fā)明的一個目的在于提出一種防止鏈路型DDoS攻擊的實現(xiàn)方法,該方法可以結合企業(yè)級DDoS產(chǎn)品和運營商DDoS產(chǎn)品的優(yōu)點��,在不限定網(wǎng)絡流量的基礎上�,盡量保證安全性。
[0007]本發(fā)明的另一個目的在于提出一種防止鏈路型DDoS攻擊的實現(xiàn)系統(tǒng)��。
[0008]為達到上述目的�����,本發(fā)明第一方面實施例提出的防止鏈路型DDoS攻擊的實現(xiàn)方法,包括:網(wǎng)絡流量監(jiān)控系統(tǒng)監(jiān)控通過被保護網(wǎng)絡的主出口鏈路進入被保護網(wǎng)絡的網(wǎng)絡流量�����,所述被保護網(wǎng)絡包括:主出口鏈路和備份鏈路�;網(wǎng)絡流量監(jiān)控系統(tǒng)在所述網(wǎng)絡流量小于預設的告警值時,判斷是否達到DDoS攻擊標準���,并在達到DDoS攻擊標準時����,通知所述被保護網(wǎng)絡的內(nèi)網(wǎng)DDoS系統(tǒng)進行引流����;網(wǎng)絡流量監(jiān)控系統(tǒng)在所述網(wǎng)絡流量大于或等于預設的告警值時���,通知公網(wǎng)DDoS系統(tǒng)進行引流��,以使所述公網(wǎng)DDoS系統(tǒng)與公網(wǎng)DNS聯(lián)動�����,將網(wǎng)絡流量牽引到公網(wǎng)DDoS系統(tǒng)進行清洗����,并將清洗后的網(wǎng)絡流量通過所述備份鏈路回注回所述被保護網(wǎng)絡。
[0009]本發(fā)明第一方面實施例提出的防止鏈路型DDoS攻擊的實現(xiàn)方法�,通過在網(wǎng)絡流量大于或等于告警值時,由公網(wǎng)DDoS系統(tǒng)進行處理�,可以解決企業(yè)級DDoS產(chǎn)品不能用于網(wǎng)絡流量大于出口帶寬的情況,實現(xiàn)在網(wǎng)絡流量較大時依然可以處理鏈路型DDoS攻擊����;通過在網(wǎng)絡流量小于告警值時,由內(nèi)網(wǎng)DDoS系統(tǒng)進行處理��,可以在此場景下不需要運營商DDoS產(chǎn)品的參與�����,避免安全隱患����。從而通過在網(wǎng)絡流量不同情況下由不同的DDoS產(chǎn)品進行處理,可以結合企業(yè)級DDoS產(chǎn)品和運營商DDoS產(chǎn)品的優(yōu)點���,在不限定網(wǎng)絡流量的基礎上���,盡量保證安全性���。
[0010]為達到上述目的,本發(fā)明第二方面實施例提出的防止鏈路型DDoS攻擊的實現(xiàn)系統(tǒng)�,所述系統(tǒng)包括網(wǎng)絡流量監(jiān)控系統(tǒng),所述網(wǎng)絡流量監(jiān)控系統(tǒng)包括:監(jiān)控模塊����,用于監(jiān)控通過被保護網(wǎng)絡的主出口鏈路進入被保護網(wǎng)絡的網(wǎng)絡流量,所述被保護網(wǎng)絡包括:主出口鏈路和備份鏈路�;第一通知模塊,用于在所述網(wǎng)絡流量小于預設的告警值時����,判斷是否達到DDoS攻擊標準,并在達到DDoS攻擊標準時���,通知所述被保護網(wǎng)絡的內(nèi)網(wǎng)DDoS系統(tǒng)進行引流��;第二通知模塊,用于在所述網(wǎng)絡流量大于或等于預設的告警值時�����,通知公網(wǎng)DDoS系統(tǒng)進行引流,以使所述公網(wǎng)DDoS系統(tǒng)與公網(wǎng)DNS聯(lián)動��,將網(wǎng)絡流量牽引到公網(wǎng)DDoS系統(tǒng)進行清洗��,并將清洗后的網(wǎng)絡流量通過所述備份鏈路回注回所述被保護網(wǎng)絡��。
[0011]本發(fā)明第二方面實施例提出的防止鏈路型DDoS攻擊的實現(xiàn)系統(tǒng)����,通過在網(wǎng)絡流量大于或等于告警值時,由公網(wǎng)DDoS系統(tǒng)進行處理���,可以解決企業(yè)級DDoS產(chǎn)品不能用于網(wǎng)絡流量大于出口帶寬的情況�����,實現(xiàn)在網(wǎng)絡流量較大時依然可以處理鏈路型DDoS攻擊����,通過在網(wǎng)絡流量小于告警值時�����,由內(nèi)網(wǎng)DDoS系統(tǒng)進行處理�,可以在此場景下不需要運營商DDoS產(chǎn)品的參與����,避免安全隱患��。從而通過在網(wǎng)絡流量不同情況下由不同的DDoS產(chǎn)品進行處理��,可以結合企業(yè)級DDoS產(chǎn)品和運營商DDoS產(chǎn)品的優(yōu)點����,在不限定網(wǎng)絡流量的基礎上,盡量保證安全性����。
[0012]本發(fā)明附加的方面和優(yōu)點將在下面的描述中部分給出,部分將從下面的描述中變得明顯�����,或通過本發(fā)明的實踐了解到�。
【附圖說明】
[0013]本發(fā)明上述的和/或附加的方面和優(yōu)點從下面結合附圖對實施例的描述中將變得明顯和容易理解,其中:
[0014]圖1是本發(fā)明一實施例提出的防止鏈路型DDoS攻擊的實現(xiàn)方法的流程示意圖�;
[0015]圖2是本發(fā)明實施例中防止鏈路型DDoS攻擊的系統(tǒng)的示意圖;
[0016]圖3是本發(fā)明另一實施例提出的防止鏈路型DDoS攻擊的實現(xiàn)方法的流程示意圖����;
[0017]圖4是本發(fā)明實施例中內(nèi)網(wǎng)DDoS系統(tǒng)的處理流程示意圖;
[0018]圖5是本發(fā)明實施例中公網(wǎng)DDoS系統(tǒng)的處理流程示意圖��;
[0019]圖6是本發(fā)明另一實施例提出的防止鏈路型DDoS攻擊的實現(xiàn)系統(tǒng)的結構示意圖����;
[0020]圖7是本發(fā)明另一實施例提出的防止鏈路型DDoS攻擊的實現(xiàn)系統(tǒng)的結構示意圖;
[0021 ] 圖8是本發(fā)明另一實施例提出的防止鏈路型DDoS攻擊的實現(xiàn)系統(tǒng)的結構示意圖�����。
【具體實施方式】
[0022]下面詳細描述本發(fā)明的實施例��,所述實施例的示例在附圖中示出�,其中自始至終相同或類似的標號表示相同或類似的模塊或具有相同或類似功能的模塊。下面通過參考附圖描述的實施例是示例性的�,僅用于解釋本發(fā)明,而不能理解為對本發(fā)明的限制�����。相反��,本發(fā)明的實施例包括落入所附加權利要求書的精神和內(nèi)涵范圍內(nèi)的所有變化�、修改和等同物。
[0023]圖1是本發(fā)明一實施例提出的防止鏈路型DDoS攻擊的實現(xiàn)方法的流程示意圖����,該方法包括:
[0024]Sll:網(wǎng)絡流量監(jiān)控系統(tǒng)監(jiān)控通過被保護網(wǎng)絡的主出口鏈路進入被保護網(wǎng)絡的網(wǎng)絡流量��。
[0025]其中�,網(wǎng)絡流量監(jiān)控系統(tǒng)可以設置在被保護網(wǎng)絡的內(nèi)部�����,以被保護網(wǎng)絡是企業(yè)網(wǎng)為例��,參見圖2�����,網(wǎng)絡流量監(jiān)控系統(tǒng)21設置在企業(yè)網(wǎng)內(nèi)部�����。
[0026]一些實施例中�����,參見圖3�����,網(wǎng)絡流量監(jiān)控系統(tǒng)監(jiān)控通過被保護網(wǎng)絡的主出口鏈路進入被保護網(wǎng)絡的網(wǎng)絡流量,具體包括:
[0027]S31:網(wǎng)絡流程監(jiān)控系統(tǒng)接收被保護網(wǎng)絡的出口設備產(chǎn)生的鏡像流量�,對所述鏡像流量進行監(jiān)控,得到進入被保護網(wǎng)絡的網(wǎng)絡流量��,其中����,鏡像流量是出口設備對主出口鏈路的網(wǎng)絡流量進行鏡像或分光處理后得到的���。
[0028]例如�����,參見圖2���,在企業(yè)網(wǎng)內(nèi)部與公網(wǎng)的接口處設置出口設備22,出口設備包括至少兩個出口鏈路��,其中一條鏈路是備份鏈路��,另外的鏈路是主出口鏈路���,備份鏈路用于引入公網(wǎng)DDoS系統(tǒng)回注的網(wǎng)絡流量�,主出口鏈路用于引入正常業(yè)務或DDoS攻擊產(chǎn)生的網(wǎng)絡流量。
[0029]出口設備可以對主出口鏈路上的網(wǎng)絡流量進行鏡像或分光處理��,得到鏡像流量��,之后將鏡像流量發(fā)送給網(wǎng)絡流量監(jiān)控系統(tǒng)�。
[0030]其中,鏡像處理和分光處理都可以由一份數(shù)據(jù)復制成相同的兩份數(shù)據(jù)�,兩者不同的是,鏡像處理支持光口和電口����,分光處理僅支持光口。
[0031]S12:網(wǎng)絡流量監(jiān)控系統(tǒng)在所述網(wǎng)絡流量小于預設的告警值時�,判斷是否達到DDoS攻擊標準,并在達到DDoS攻擊標準時��,通知所述被保護網(wǎng)絡的內(nèi)網(wǎng)DDoS系統(tǒng)進行引流�����。
[0032]一些實施例中���,參見圖3����,網(wǎng)絡流量監(jiān)控系統(tǒng)接收到出口設備產(chǎn)生的鏡像流量后,該方法還可以包括:
[0033]S32:網(wǎng)絡流量監(jiān)控系統(tǒng)判斷監(jiān)控得到的網(wǎng)絡流量是否小于預設的告警值���,若是����,執(zhí)行33�����,否則����,執(zhí)行S35��。
[0034]其中����,在監(jiān)控得到網(wǎng)絡流量后,可以將網(wǎng)絡流量與預設的告警值比對����,從而判斷出是否小于預設的告警值。
[0035]S33:網(wǎng)絡流量監(jiān)控系統(tǒng)判斷是否達到DDoS攻擊標準,若是��,執(zhí)行S34����,否則,重復執(zhí)行S31及其后續(xù)步驟����。
[0036]其中,網(wǎng)絡流量監(jiān)控系統(tǒng)內(nèi)可以預先配置DDoS清洗規(guī)則����,以便根據(jù)該DDoS清洗規(guī)則判斷是否達到DDoS攻擊標準。例如���,DDoS清洗規(guī)則中記錄DDoS攻擊的特征����,