[发明专利]分布式拒绝服务攻击防护系统及其方法

说明书

技术领域

本发明涉及一种分布式拒绝服务攻击防护系统及其方法，更详而而言，涉及一种有关于用于网络中针对分布式拒绝服务攻击的侦测且将其流量封包进行导向与过滤的系统以及其方法。

背景技术

随着因特网迅速发展，人们对网络使用程度亦逐渐增加，相对地关于网络安全问题亦随之而来，特别是服务器或计算机主机遭受网络攻击事件层出不穷，因而安全的网络环境更受到重视。

分布式拒绝服务攻击(Distributed Denial of Service，DDoS)即是常见通过大量网络封包攻击计算机的例子，主要通过大量请求网络服务的封包传递，以破坏提供服务主机的正常运作，由此造成消耗频宽、消耗主机资源、甚至瘫痪操作系统等情况。目前对于这种大规模分布式拒绝服务攻击的处理措施并不完善，例如：以客户端自行建置防护设备的处理措施而言，其防护效果受限于所申请的频宽，当攻击数量超过其频宽则无法有效阻挡；以考虑增加频宽或提升服务器效能的处理措施而言，由于攻击规模动辄数百MB甚至以GB计算，如此规模远高于一般企业频宽及主机效能所能承受范围；以请求因特网服务提供者(ISP)将被攻击IP封锁的处理措施而言，此法会造成该IP无法提供服务；以封锁攻击来源IP的处理措施而言，由于其攻击来源IP大多过于分散，因而无法将攻击来源IP完全封锁；以针对来自国外攻击可考虑封锁国外攻击流量的处理措施而言，其并无法完全阻挡攻击，且会把国外正常流量挡住；以更换被攻击IP以避免被攻击的处理措施而言，因更换IP需一并更改企业内DNS主机设定，同时其它外部DNS主机学习到新IP需要花费时间，这段期间可能导致正常使用者无法连结该网站，况且分布式拒绝服务攻击者还是可以找到更换后IP继续攻击。

综合上述技术问题，不论于使用者端、企业主机、服务供应服务器或甚至是ISP从业者，对于这类分布式拒绝服务攻击的防护明显不足，通常是等待被攻击主机出问题才察觉，且处理方式仅能被动封锁攻击来源或者消极地封锁或更换被攻击IP，但可能造成与该攻击来源同路线的正常封包遭到波及或形成提供服务中断等情况，因此，目前针对此类分布式拒绝服务攻击防御仍有待加强。

因此，如何提供网络用户在遭受分布式拒绝服务攻击时能够快速有效的缓解或恢复网络服务，以避免客户端运作停摆或因遭受攻击而无法提供网络服务等情况，遂成为目前亟待解决的课题。

发明内容

鉴于上述现有技术的缺点，本发明用于网络中针对分布式拒绝服务攻击的侦测及防御而提出一种分布式拒绝服务攻击防护系统及其方法，通过对网络异常流量进行侦测及分析，以将该分布式拒绝服务攻击进行导向以及异常封包过滤，由此避免影响客户端的正常运作。

为达到上述目的，本发明提供一种分布式拒绝服务攻击防护系统，用于网络中针对分布式拒绝服务攻击的侦测及防御，包括：侦测设备，用于侦测该分布式拒绝服务攻击，并将所侦测到的分布式拒绝服务攻击的流量封包进行导向；以及防护设备，用于接收该侦测设备所导入的流量封包，并将该流量封包进行过滤。其中，该防护设备包括：过滤模块，依据预设的过滤规则以过滤该流量封包内的异常封包；路由装置，接收该过滤模块过滤后的流量封包，且将过滤后的流量封包传送至客户端；及调整模块，用以分析过滤后的流量封包采取及分析，以调整该过滤模块中的该过滤规则及提供告警信息。

在一实施例中，该过滤模块还包括：破碎封包处理单元，针对该流量封包内的破碎封包提供过滤处理，以及避免该流量封包被分割；以及攻击封包处理单元，将该破碎封包处理单元所过滤后的流量封包进行攻击封包的过滤处理。

在另一实施例中，该防护设备包括多个过滤模块，用以将该流量封包进行分配过滤处理；该多个过滤模块前后端分别连接前端封包交换装置及后端封包交换装置，且该前端封包交换装置与该后端封包交换装置通过杂凑运算以决定该流量封包所流向的过滤模块，由此同时提供非联机型(例如UDP、ICMP)与联机型(例如TCP)封包进行过滤处理。

在又一实施例中，还包括分析模块，将通过该过滤模块的流量封包镜射后，以进行该流量封包的分析；且该分析模块连接一封包信息数据库，用以纪录该流量封包分析后的信息。

此外，本发明亦提供一种分布式拒绝服务攻击防护方法，用于侦测分布式拒绝服务攻击以及将封包导向与过滤的防御方法，包括以下步骤：1)对网络主要路由节点的流量封包进行侦测，以将流量异常的流量封包进行分析；2)将该流量封包导入防护专区进行封包过滤；3)依据预设过滤规则进行流量封包过滤，以将该流量封包内的异常封包过滤移除；以及4)将过滤后的流量封包进行分析，以作为该过滤规则的调整依据。