针对反射型DDoS攻击的流量压制方法及相关装置与流程

针对反射型ddos攻击的流量压制方法及相关装置
技术领域
1.本技术涉及互联网技术领域，特别涉及一种针对反射型ddos攻击的流量压制方法及相关装置。


背景技术：

2.ddos(distributed denial of service)攻击是指即分布式拒绝服务攻击，其利用足够数量的傀儡计算机产生数量巨大的攻击数据包，对网络上的一台或多台目标实施dos攻击，从而耗尽受害目标的资源，迫使目标失去提供正常服务的能力。反射型ddos攻击是其中的一种，是指利用互联网上某些服务开放的服务器对攻击者伪造的请求产生应答，从而反射攻击流量到受害地址并隐藏攻击来源的ddos攻击。
3.现有反射型ddos攻击防御方式普遍为事后防护，即攻击发生后才能检测到攻击，然后实施防护动作，在滞后响应时间内不可避免地漏过攻击流量，造成一定的业务影响。
4.此外，大部分防御装置部署在企业网络内，在攻击流量超过线路带宽的场景下，只能实现带宽内的攻击流量清洗，对于互联网入口被攻击流量堵塞的问题无能为力，客户端正常的业务请求依然无法到达服务端，攻击实际上依然达到了拒绝服务的效果。


技术实现要素：

5.有鉴于此，本技术提供一种针对反射型ddos攻击的流量压制方法及相关装置，可以在运营商侧对反射型ddos攻击进行识别并过滤，减少企业本端网络及防护设备的压力。
6.本技术第一方面提供了一种针对反射型ddos攻击的流量压制方法，应用于运营商侧骨干网或城域网，包括：
7.接收开放服务器发送的待分发流量的信息；其中，所述待分发流量的信息包括：协议、源端口信息和目标ip地址；
8.判断所述待分发流量的信息是否满足预设的过滤规则；
9.若判断出所述待分发流量的信息满足预设的过滤规则，则确定所述待分发流量为攻击流量，丢弃所述待分发流量；
10.若判断出所述待分发流量信息不满足预设的过滤规则，则确定所述待分发流量为正常流量，正常将所述待分发流量下发至所述目标ip地址。
11.可选的，所述预设的过滤规则包括至少一个防护信息组合；其中，每一个所述防护信息组合均包括：协议、端口信息与被防护ip地址的关系组合，所述判断所述待分发流量的信息是否满足预设的过滤规则，包括：
12.判断所述待分发流量的协议、源端口信息和目标ip地址是否与所述预设的过滤规则中的防护信息组合匹配；
13.若判断出所述待分发流量的协议、源端口信息和目标ip地址与所述预设的过滤规则中的防护信息组合匹配，则确定所述待分发流量为攻击流量；
14.若判断出所述待分发流量的协议、源端口信息和目标ip地址与所述预设的过滤规
则中的所有防护信息组合均不匹配，则确定所述待分发流量为正常流量。
15.可选的，所述针对反射型ddos攻击的流量压制方法中，每一个所述防护信息组合对应一种反射攻击类型。
16.可选的，所述针对反射型ddos攻击的流量压制方法中，在所述运营商侧骨干网或城域网的交换机上设置访问控制列表，在访问控制列表中添加所述预设的过滤规则。
17.本技术第二方面提供了一种针对反射型ddos攻击的流量压制装置，应用于运营商侧骨干网或城域网，包括：
18.接收单元，用于接收开放服务器发送的待分发流量的信息；其中，所述待分发流量的信息包括：协议、源端口信息和目标ip地址；
19.判断单元，用于判断所述待分发流量的信息是否满足预设的过滤规则；
20.确定单元，用于若所述判断单元判断出，所述待分发流量的信息满足预设的过滤规则，则确定所述待分发流量为攻击流量，丢弃所述待分发流量；
21.所述确定单元，还用于若所述判断单元判断出，所述待分发流量信息不满足预设的过滤规则，则确定所述待分发流量为正常流量，正常将所述待分发流量下发至所述目标ip地址。
22.可选的，所述预设的过滤规则包括至少一个防护信息组合；其中，每一个所述防护信息组合均包括：协议、端口信息与被防护ip地址的关系组合，所述判断单元，包括：
23.判断子单元，用于判断所述待分发流量的协议、源端口信息和目标ip地址是否与所述预设的过滤规则中的防护信息组合匹配；
24.其中，所述确定单元，用于：
25.若所述判断子单元判断出，所述待分发流量的协议、源端口信息和目标ip地址与所述预设的过滤规则中的防护信息组合匹配，则确定所述待分发流量为攻击流量；
26.若所述判断子单元判断出，所述待分发流量的协议、源端口信息和目标ip地址与所述预设的过滤规则中的所有防护信息组合均不匹配，则确定所述待分发流量为正常流量。
27.可选的，所述针对反射型ddos攻击的流量压制装置中，每一个所述防护信息组合对应一种反射攻击类型。
28.可选的，所述针对反射型ddos攻击的流量压制装置中，所述运营商侧骨干网或城域网的交换机上设置访问控制列表，在访问控制列表中添加所述预设的过滤规则。
29.本技术第三方面提供了一种服务器，包括：
30.一个或多个处理器；
31.存储装置，其上存储有一个或多个程序；
32.当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如第一方面任意一项所述的针对反射型ddos攻击的流量压制方法。
33.本技术第四方面提供了一种计算机存储介质，其上存储有计算机程序，其中，所述计算机程序被处理器执行时实现如第一方面任意一项所述的针对反射型ddos攻击的流量压制方法。
34.由以上方案可知，本技术提供一种针对反射型ddos攻击的流量压制方法及相关装置，所述针对反射型ddos攻击的流量压制方法应用于运营商侧骨干网或城域网，包括：首
先，在接收开放服务器发送的待分发流量的信息时，判断所述待分发流量的信息是否满足预设的过滤规则；其中，所述待分发流量的信息包括：协议、源端口信息和目标ip地址；若判断出所述待分发流量的信息满足预设的过滤规则，则确定所述待分发流量为攻击流量，丢弃所述待分发流量；若判断出所述待分发流量信息不满足预设的过滤规则，则确定所述待分发流量为正常流量，正常将所述待分发流量下发至所述目标ip地址。从而达到可以在运营商侧对反射型ddos攻击进行识别并过滤，减少企业本端网络及防护设备的压力的目的。
附图说明
35.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
36.图1为本技术实施例提供的一种针对反射型ddos攻击的流量压制方法的具体流程图；
37.图2为本技术另一实施例提供的一种过滤待分发流量的方法的流程图；
38.图3为本技术另一实施例提供的一种针对反射型ddos攻击的流量压制方法的示意图；
39.图4为本技术另一实施例提供的一种针对反射型ddos攻击的流量压制装置的示意图；
40.图5为本技术另一实施例提供的一种实现针对反射型ddos攻击的流量压制方法的服务器的示意图。
具体实施方式
41.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
42.需要注意，本技术中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分，并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系，而术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
43.2020年，ddos攻击次数创下历史新高，同比增幅高达135％，在攻击流量方面正式迈入t级时代。而在攻击手法上，以反射攻击为主的udp flood仍然是绝对主力。反射型ddos攻击不依赖于数量巨大的傀儡机，攻击源不易被追踪，流量放大的特点使其能以较小的成本获得很好的攻击效果；而udp反射型ddos攻击凭借无连接、无控制、一对多的特点成为最活跃的大流量ddos攻击类型。
44.对于大型企业来说，本地部署的抗ddos设备只能应对流量在互联网线路带宽以内的ddos攻击，带宽以上的攻击需要依靠运营商流量清洗服务才能解决。
45.因此，本技术实施例提供了一种针对反射型ddos攻击的流量压制方法，应用于运营商侧骨干网或城域网，如图1所示，具体包括以下步骤：
46.s101、接收开放服务器发送的待分发流量的信息。
47.其中，待分发流量的信息包括：协议、源端口信息和目标ip地址。
48.s102、判断待分发流量的信息是否满足预设的过滤规则。
49.具体的，若判断出待分发流量的信息满足预设的过滤规则，则执行步骤s103；若判断出待分发流量信息不满足预设的过滤规则，则执行步骤s104。
50.在本技术的具体实现过程中的一种实施方式，预设的过滤规则包括至少一个防护信息组合；其中，每一个防护信息组合均包括：协议、端口信息与被防护ip地址的关系组合。
51.可选的，在本技术的另一实施例中，还可以为每一个防护信息组合分配一种反射攻击类型，以便后续技术人员可以快速找到原因，对其进行分析等。
52.由于，反射型ddos攻击流量通常具有协议固定、源端口固定的特点，常见的udp反射攻击的源端口信息，如表1所示：
53.反射攻击类型协议源端口ntpudp123memcachedudp11211chargenudp19ws_discoveryudp3702qotdudp17tftpudp69cldapudp389ssdpudp1900portmapudp111snmpudp161
54.表1
55.可选的，在本技术的另一实施例中，可以但不限于在运营商侧骨干网或城域网的交换机上设置访问控制列表，在访问控制列表中添加预设的过滤规则，从而对预设的过滤规则进行实现、应用。
56.可选的，在本技术的另一实施例中，基于上述预设的过滤规则，步骤s102的一种实施方式，如图2所示，包括：
57.s201、判断待分发流量的协议、源端口信息和目标ip地址是否与预设的过滤规则中的防护信息组合匹配。
58.具体的，若判断出待分发流量的协议、源端口信息和目标ip地址与预设的过滤规则中的防护信息组合匹配，则执行步骤s202；若判断出待分发流量的协议、源端口信息和目标ip地址与预设的过滤规则中的所有防护信息组合均不匹配，则执行步骤s203。
59.s202、确定待分发流量为攻击流量。
60.s203、确定待分发流量为正常流量。
61.例如：待分发流量的协议、源端口信息和目标ip地址与预设的过滤规则中的防护信息组合x中的协议、源端口信息和被防护ip地址均匹配成功，则说明待分发流量为攻击流量。
62.且续接上述实例，若防护信息组合x对应的反射攻击类型为qotd，则为所述待分发流量添加一个qotd的标签，以便后续技术人员可以快速找到原因，对其进行分析等。
63.s103、确定待分发流量为攻击流量，丢弃待分发流量。
64.s104、确定待分发流量为正常流量，正常将待分发流量下发至目标ip地址。
65.如图3所示，攻击者通过开放服务器假冒受害地址伪造请求，而开放服务器要发送相应给受害地址，但需要通过运营商服务器进行分发，此时在运营商侧骨干网或城域网通过预设的过滤规则，对这个响应，即待分发流量进行匹配，若匹配成功，则说明是攻击流量，将其滤除、丢弃，若未匹配成功，则将其作为正常业务流量，按照待分发流量信息中的目标ip地址将待分发流量发送至企业物联网入口，在通过企业抗ddos设备对其再次进行识别分析等，若无异常，将其发送至被防护的系统中。
66.可以看出，本技术适用于具备运营商安全服务的中大型企业，能够实现实时防御、0秒响应，将攻击流量拦截于企业网络之外，且无需担心互联网入口被攻击流量堵塞，也无需人工介入或实施防护动作。对于运营商和企业来说，流量清洗设备的压力都大大减轻，也无需考虑巨大的攻击流量超过硬件设备最大清洗能力或购买的第三方清洗服务上限的问题。
67.本技术提供一种针对反射型ddos攻击的流量压制方法应用于运营商侧骨干网或城域网，包括：首先，在接收开放服务器发送的待分发流量的信息时，判断待分发流量的信息是否满足预设的过滤规则；其中，待分发流量的信息包括：协议、源端口信息和目标ip地址；若满足预设的过滤规则，则确定待分发流量为攻击流量，丢弃待分发流量；若不满足预设的过滤规则，则确定待分发流量为正常流量，正常将待分发流量下发至目标ip地址。从而达到可以在运营商侧对反射型ddos攻击进行识别并过滤，减少企业本端网络及防护设备的压力的目的。
68.本技术另一实施例提供了一种针对反射型ddos攻击的流量压制装置，应用于运营商侧骨干网或城域网，如图4所示，具体包括：
69.接收单元401，用于接收开放服务器发送的待分发流量的信息。
70.其中，待分发流量的信息包括：协议、源端口信息和目标ip地址。
71.判断单元402，用于判断待分发流量的信息是否满足预设的过滤规则。
72.确定单元403，用于若判断单元402判断出，待分发流量的信息满足预设的过滤规则，则确定待分发流量为攻击流量，丢弃待分发流量。
73.确定单元403，还用于若判断单元402判断出，待分发流量信息不满足预设的过滤规则，则确定待分发流量为正常流量，正常将待分发流量下发至目标ip地址。
74.本技术上述实施例公开的单元的具体工作过程，可参见对应的方法实施例内容，如图1所示，此处不再赘述。
75.可选的，在本技术的另一实施例中，预设的过滤规则包括至少一个防护信息组合；其中，每一个防护信息组合均包括：协议、端口信息与被防护ip地址的关系组合，判断单元402的一种实施方式，包括：
76.判断子单元，用于判断待分发流量的协议、源端口信息和目标ip地址是否与预设的过滤规则中的防护信息组合匹配。
77.其中，确定单元403，用于：
78.若判断子单元判断出，待分发流量的协议、源端口信息和目标ip地址与预设的过滤规则中的防护信息组合匹配，则确定待分发流量为攻击流量。
79.若判断子单元判断出，待分发流量的协议、源端口信息和目标ip地址与预设的过滤规则中的所有防护信息组合均不匹配，则确定待分发流量为正常流量。
80.本技术上述实施例公开的单元的具体工作过程，可参见对应的方法实施例内容，如图2所示，此处不再赘述。
81.可选的，在本技术的另一实施例中，针对反射型ddos攻击的流量压制装置中的每一个防护信息组合对应一种反射攻击类型。
82.可选的，在本技术的另一实施例中，针对反射型ddos攻击的流量压制装置在实现的过程，在运营商侧骨干网或城域网的交换机上设置访问控制列表，在访问控制列表中添加预设的过滤规则。
83.本技术提供一种针对反射型ddos攻击的流量压制装置应用于运营商侧骨干网或城域网，包括：首先，接收单元401在接收开放服务器发送的待分发流量的信息时，判断单元402判断待分发流量的信息是否满足预设的过滤规则；其中，待分发流量的信息包括：协议、源端口信息和目标ip地址；若判断单元402判断出满足预设的过滤规则，则确定单元403确定待分发流量为攻击流量，丢弃待分发流量；若判断单元402判断出不满足预设的过滤规则，则确定单元403确定待分发流量为正常流量，正常将待分发流量下发至目标ip地址。从而达到可以在运营商侧对反射型ddos攻击进行识别并过滤，减少企业本端网络及防护设备的压力的目的。
84.本技术另一实施例提供了一种服务器，如图5所示，包括：
85.一个或多个处理器501。
86.存储装置502，其上存储有一个或多个程序。
87.当所述一个或多个程序被所述一个或多个处理器501执行时，使得所述一个或多个处理器501实现如上述实施例中任意一项所述的针对反射型ddos攻击的流量压制方法。
88.本技术另一实施例提供了一种计算机存储介质，其上存储有计算机程序，其中，计算机程序被处理器执行时实现如上述实施例中任意一项所述的针对反射型ddos攻击的流量压制方法。
89.在本技术公开的上述实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置和方法实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本公开的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用
的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
90.另外，在本公开各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，直播设备，或者网络设备等)执行本公开各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
91.专业技术人员能够实现或使用本技术。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本技术的精神或范围的情况下，在其它实施例中实现。因此，本技术将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。