[发明专利]一种基于可编程交换机的DDOS防御方法、装置、设备及介质

权利要求书

1.一种基于可编程交换机的DDOS防御方法，其特征在于，所述方法包括：

根据待保护服务器的访问流量确定所述待保护服务器的运行状态；

判定所述待保护服务器为正常状态时，对所述可编程交换机进行动态训练，记录访问过所述待保护服务器的第一源IP；

判定所述待保护服务器为疑似异常状态时，若根据预先写入的白名单中的第二源IP和所述第一源IP，判定出访问所述待保护服务器的第三源IP为陌生IP流量；

若根据报文信息识别所述陌生IP流量是DDOS攻击流量，则将所述DDOS攻击流量的流量包上传至可编程交换机控制面，并发出告警。

2.根据权利要求1所述的一种基于可编程交换机的DDOS防御方法，其特征在于，在所述根据待保护服务器的访问流量确定所述待保护服务器的运行状态之前，所述方法还包括：

在可编程交换机上对待保护服务器进行配置，根据已知的所述第二源IP设置白名单，其中，所述白名单中的第二源IP的流量可通过所述可编程交换机到达所述待保护服务器。

3.根据权利要求1所述的一种基于可编程交换机的DDOS防御方法，其特征在于，在所述根据待保护服务器的访问流量确定所述待保护服务器的运行状态之前，所述方法还包括：在可编程交换机上对待保护服务器进行配置，预设待保护服务器目的IP的流量阈值，其中，所述流量阈值用于确保所述待保护服务器正常运行；

所述判定所述待保护服务器为疑似异常状态，具体包括：

若所述待保护服务器的访问流量超过所述流量阈值，则判定所述待保护服务器的运行状态为疑似异常状态。

4.根据权利要求1所述的一种基于可编程交换机的DDOS防御方法，其特征在于，所述若根据报文信息识别所述陌生IP流量是DDOS攻击流量，具体包括：

所述报文信息包括同步标志的个数与确认标志的个数，若所述报文信息中的同步标志的个数大于所述确认标志的个数，判定为DDOS攻击。

5.根据权利要求1所述的一种基于可编程交换机的DDOS防御方法，其特征在于，所述根据预先写入的白名单中的第二源IP和所述第一源IP，判定出访问所述待保护服务器的第三源IP为陌生IP流量，具体包括：

访问所述待保护服务器的源IP既不在白名单中的第二源IP也不在所述记录访问过所述待保护服务器的第一源IP中，则判定访问所述待保护服务器的第三源IP为陌生IP流量。

6.根据权利要求1所述的一种基于可编程交换机的DDOS防御方法，其特征在于，在所述若根据报文信息识别所述陌生IP流量是DDOS攻击流量，则将所述DDOS攻击流量的流量包上传至可编程交换机控制面，并发出告警之后，所述方法还包括：

若访问所述待保护服务器的第三源IP为白名单中的第二源IP，则将访问所述待保护服务器的第三源IP的流量包转发至待保护服务器；

若访问所述待保护服务器的第三源IP为所述记录访问过所述待保护服务器的第一源IP，则将访问所述待保护服务器的第三源IP的流量包转发至待保护服务器；

若根据所述报文信息识别出所述陌生IP流量不是DDOS攻击流量，则将访问所述待保护服务器的第三源IP的流量包转发至待保护服务器。

7.根据权利要求1所述的一种基于可编程交换机的DDOS防御方法，其特征在于，在所述根据待保护服务器的访问流量确定所述待保护服务器的运行状态之前，所述方法还包括：

在所述可编程交换机上设置黑名单中的第四源IP，其中，所述第四源IP发出的数据报文为已知攻击报文，所述可编程交换机将所述第四源IP的数据报文进行拦截。