[实用新型]基于ISP网络的拒绝攻击防御系统

说明书

技术领域

本实用新型涉及一种基于ISP网络的拒绝攻击防御系统。

背景技术

现有的大多数DDOS防御系统都是单台系统实现DDOS流量的检测、分析、防御功能，构成负荷过大，难以用于电信级网络的环境中。同时由于单一的系统设计，在部署时无法分布式进行部署，因此对于检测、分析、清洗等功能均在一套系统中进行完成，没有遵循网络的层次功能分布，构成技术瓶颈，而且现有的技术产品存在多个故障点、分布式结构部署较复杂、能旁路处理且对某些DOS攻击无法有效抵御、网关方式部署时攻击流量较大时仍会对用户造成影响等缺点。

实用新型内容

本实用新型的目的是提供一种基于ISP网络的拒绝攻击防御系统，以克服现有技术产品上述的不足。

本实用新型的目的是通过以下技术方案来实现：

一种基于ISP网络的拒绝攻击防御系统，包括：攻击探测器，攻击探测器内设有入侵检测模块和流量侦测模块；流量牵引器，其与攻击探测器相互通信连接；以及计算机终端，其与攻击探测器相互通信连接。

本实用新型基于ISP网络的拒绝攻击防御系统的攻击探测器支持网关和旁路两种方式接入用户网络：

1）攻击探测器网关接入模式：当采用网关模式接入网络时可按需求选择前置路由及后置路由两种接入部署方式：当采用后置路由部署方式时，推荐使用透明接入方式；采用网关接入方式时，攻击探测器可以通过内置的防火墙功能模块及流量监控功能模块在不启动流量牵引器的情况下抵御各类DoS攻击，以及小规模DDoS攻击。流量牵引器通常布置于运营商网络中高带宽节点，如核心交换机等高速转发设备。攻击探测器可通过带内SSH通信或带外通信方式与攻击牵引器通信。处理过程如下：当攻击探测器检测到攻击发生时会初步确定攻击类型及规模，同时探测器起到网关的作用对攻击进行处理，在流量牵引器执行流量牵引动作之前，攻击探测器将始终承担攻击阻止任务；攻击探测器将攻击信息通过SSH方式发送到流量牵引器；流量牵引器对可疑流量进行引导，并对攻击流量进行分离，将正常通信流量按原路转发到目的地；当流量牵引器引导流量并对攻击流量进行过滤时，攻击探测器负责抵御流量探测器无法发现及处理的攻击流量并上报给牵引器，同时提供过滤策略；最后保证流入受保护区域的流量为干净的流量。

2）攻击探测器旁路接入模式：当采用旁路模式接入网络时需通过流量镜像方式将网关处流量复制发送至攻击探测器，采用旁路接入时对任何流量除记录及上报外不做任何动作。流量牵引器通常布置于运营商网络中高带宽节点，如核心交换机等高速转发设备。处理过程如下：当攻击探测器检测到攻击发生时会与流量牵引器通过SSH方式通信，将攻击信息发送到流量牵引器；流量牵引器收到攻击信息后对可疑流量进行牵引，并通过内部处理机制分离出正常通信流量，按原路转发；流量探测器检测分离出的流量将检测信息继续发送给流量牵引器，如发现仍有攻击流量存在，则向流量牵引器发送报告及处理策略；最后保证流入受保护区域的流量为干净的流量。

本实用新型的有益效果为：本系统设计采用了基于路由器路由信息的数据DDOS检测和攻击防御，降低了系统资源消耗，提高了检测的效率，从技术源头上提高了DDOS攻击在ISP网络中的检测效率和防御效果；系统设计架构非常清晰，对用户方，以及操作使用方，非常易于学习、使用和操作，有别于国外众多的复杂的ISP网络的拒绝服务攻击检测与防御系统，适合于我国的网络管理条件和环境。

附图说明

下面根据附图对本实用新型作进一步详细说明。

图1是本实用新型实施例所述的基于ISP网络的拒绝攻击防御系统的结构框图。

图中：1、攻击探测器；2、流量牵引器；3、计算机终端。

具体实施方式

如图1所示，本实用新型实施例所述的一种基于ISP网络的拒绝攻击防御系统，包括：攻击探测器1，攻击探测器1内设有入侵检测模块和流量侦测模块；流量牵引器2，其与攻击探测器1相互通信连接；以及计算机终端3，其与攻击探测器1相互通信连接。