[发明专利]一种分流反射型DDOS流量的方法及系统

说明书

技术领域

本发明涉及网络技术，尤其涉及一种分流反射型DDOS流量的方法及系统。

背景技术

目前不论是应对普通的DDOS攻击抑或反射型DDOS攻击，都采用在被保护端前部署流量清洗设备，使用主动检测和被动牵引清洗的方式，这种方式具有非常大的缺陷，就是流量一旦已经形成，来到被保护端的传输链路，再清洗只能起到相当一部分的作用，如果流量不足以使到传输拥塞，这种清洗方法还尚算比较有效，但一旦流量大到足以拥塞传输，这种清洗方案能起到的作用已经相当有限了，而反射型的DDOS攻击流量，一般都能达到几十Gbps以上，一般的数据中心和小运营商，都不一定能够有足量的带宽去传输如此巨大的流量。

还有一种比较新型的清洗方案，在每个网络的传输源端都部署清洗设备，用来清洗每个源端发出的攻击流量，这种清洗源端的方法能够在攻击流量发出点就可以清洗掉流量，对阻止大攻击流量的形成具有非常明显的效果，但也同样有一个很大的缺点，这种清洗方法部署成本非常高昂，网络的架设复杂度也比较大。

发明内容

本发明的目的在于提出一种分流反射型DDOS流量的方法及系统，通过主动向被利用的基础服务器发送请求，去引流并吸引基础服务器的流量，减少攻击者向基础服务器发送的攻击请求被处理的数量，进而间接减少基础服务器向被攻击目标发送的流量，达到对反射型流量进行分流的效果。

为达此目的，本发明采用以下技术方案：

一种分流反射型DDOS流量的方法，包括：

获取并检测网络节点A的数据流，获得攻击源SIP和攻击类型集合T；

将所述攻击源SIP和攻击类型T发送至引流设备；

所述引流设备向所述攻击源SIP发送所述攻击类型集合T的所有请求；

所述攻击源SIP发出的攻击流量被引流至网络节点B，所述攻击类型集合T所产生的T类型的攻击流量被清洗，正常流量被回注；

其中攻击源SIP为被黑客利用的基础服务器的IP。

进一步，所述网络节点A的带宽较所述网络节点B的带宽窄。

进一步，获取所述基础服务器的数据流是通过分光或镜像的方式，并通过算法分析和策略匹配检测所述数据流，获得所述攻击源SIP和攻击类型集合T。

一种分流反射型DDOS流量的系统，包括：

检测设备，用于获取并检测网络节点A的数据流，获得攻击源SIP和攻击类型集合T，将所述攻击源SIP和攻击类型T发送至引流设备；

引流设备，用于向所述攻击源SIP发送所述攻击类型集合T的所有请求；

清洗设备，用于将所述攻击源SIP发出的攻击流量被引流至网络节点B，所述攻击类型集合T所产生的T类型的攻击流量被清洗，正常流量被回注。

进一步，所述网络节点A的带宽较所述网络节点B的带宽窄。

进一步，所述检测设备部署于所述网络节点A，所述引流设备和清洗设备部署于所述网络节点B。

进一步，所述检测设备是通过分光或镜像的方式获取所述基础服务器的数据流，并通过算法分析和策略匹配检测所述数据流，获得所述攻击源SIP和攻击类型集合T。

所述攻击源SIP为被黑客利用的基础服务器的IP，通过获取并检测所述网络节点A的数据流以直接获得攻击源SIP和攻击类型集合T，然后再将所述攻击源SIP和攻击类型T发送至引流设备，本实施例的所述引流设备是由几台普通的服务器组成，操作上更加方便快捷，对网络架构和部署没有严格的要求，部署非常容易且能够非常有效控制成本。

所述引流设备向所述攻击源SIP发送所述攻击类型集合T的所有请求，所述攻击源SIP发出的攻击流量被引流至网络节点B，所述攻击类型集合T所产生的T类型的攻击流量被清洗，正常流量被回注。

通过主动向被利用的所述基础服务器发送所述攻击类型集合T的所有请求，去引流并吸引所述基础服务器的流量，因为所述基础服务器所能发出的总流量一般是恒定的，其性能也是有限的，通过向所述基础服务器发送请求，减少攻击者向所述基础服务器发送的攻击请求被处理的数量，进而间接减少所述基础服务器向被攻击者发送的攻击流量，达到对反射型DDOS流量进行分流的效果，避免被攻击目标所在的网络节点A生传输拥塞。

附图说明

图1是本发明其中一个实施例的分流反射型DDOS流量的方法的流程图。

图2是本发明其中一个实施例的分流反射型DDOS流量的系统的示意图。

其中：检测设备11、引流设备12、清洗设备13。

具体实施方式