[发明专利]一种基于可编程交换机的DDOS防御方法、装置、设备及介质

说明书

本说明书实施例公开了一种基于可编程交换机的DDOS防御方法、装置、设备及介质，方法包括：根据待保护服务器的访问流量确定待保护服务器的运行状态；判定待保护服务器为正常状态时，对可编程交换机进行动态训练，记录访问过待保护服务器的第一源IP；判定待保护服务器为疑似异常状态时，若根据预先写入的白名单中的第二源IP和第一源IP，判定出访问待保护服务器的第三源IP为陌生IP流量；若根据报文信息识别出陌生IP流量是DDOS攻击流量，则将DDOS攻击流量的流量包上传至可编程交换机控制面，并发出告警，通过可编程交换机实现了DDOS流量的识别，并及时上报，保证了待保护服务器对正常流量的接收，有效节省用户资源。

技术领域

本说明书涉及网络通信技术领域，尤其涉及一种基于可编程交换机的DDOS防御方法、装置、设备及介质。

背景技术

分布式拒绝服务攻击(Distributed Denial of Service，DDOS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击，由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。

一个完整的DDOS攻击体系由攻击者、主控端、代理端和攻击目标四部分组成。主控端和代理端分别用于控制和实际发起攻击，其中主控端只发布命令而不参与实际的攻击，代理端发出DDOS的实际攻击包。对于主控端和代理端的计算机，攻击者有控制权或者部分控制权，在攻击过程中会利用各种手段隐藏不被发现。真正的攻击者一旦将攻击的命令传送到主控端，攻击者就可以关闭或离开网络，由主控端将命令发布到各个代理主机上，这样攻击者可以逃避追踪。每一个攻击代理主机都会向目标主机发送大量的服务请求数据包，这些数据包经过伪装，无法识别它的来源，而且这些数据包所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务，甚至导致系统崩溃。

发明内容

本说明书一个或多个实施例提供了一种基于可编程交换机的DDOS防御方法、装置、设备及介质，用于解决如下技术问题：当服务器被DDOS攻击后，会产生大量的流量，且会有大量无效或慢速的请求占用宽带，导致正常流量无法访问。

本说明书一个或多个实施例采用下述技术方案：

本说明书一个或多个实施例提供一种基于可编程交换机的DDOS防御方法，所述方法包括：根据待保护服务器的访问流量确定所述待保护服务器的运行状态；判定所述待保护服务器为正常状态时，对所述可编程交换机进行动态训练，记录访问过所述待保护服务器的第一源IP；判定所述待保护服务器为疑似异常状态时，若根据预先写入的白名单中的第二源IP和所述第一源IP，判定出访问所述待保护服务器的第三源IP为陌生IP流量；若根据报文信息识别所述陌生IP流量是DDOS攻击流量，则将所述DDOS攻击流量的流量包上传至可编程交换机控制面，并发出告警

进一步地，在所述根据待保护服务器的访问流量确定所述待保护服务器的运行状态，之前，所述方法还包括：在可编程交换机上对待保护服务器进行配置，根据已知的所述第二源IP设置白名单，其中，所述白名单中的第二源IP的流量可通过所述可编程交换机到达所述待保护服务器。

进一步地，在所述根据待保护服务器的访问流量确定所述待保护服务器的运行状态，之前，所述方法还包括：在可编程交换机上对待保护服务器进行配置，预设待保护服务器目的IP的流量阈值，其中，所述流量阈值用于确保所述待保护服务器正常运行；所述判定所述待保护服务器为疑似异常状态，具体包括：若所述待保护服务器的访问流量超过所述流量阈值，则判定所述待保护服务器的运行状态为疑似异常状态。

进一步地，所述若根据报文信息识别所述陌生IP流量是DDOS攻击流量，具体包括：所述报文信息包括同步标志的个数与确认标志的个数，若所述报文信息中的同步标志的个数大于所述确认标志的个数，判定为DDOS攻击。