[发明专利]反射攻击探测方法、装置和电子设备

权利要求书

1.一种反射攻击探测方法，包括：

在受到反射攻击过程中对反射攻击的响应数据包进行采样；

获取所述响应数据包使用的协议载荷以及对应的反射服务器的地址；

基于预设协议模板库对所述协议载荷进行模糊识别，得到所述协议载荷对应的协议名；

根据所述预设协议模板库中所述协议名对应的请求协议模版，生成第一请求数据包载荷；

基于所述第一请求数据包载荷构造能够形成反射攻击的第二请求数据包载荷；

使用所述第二请求数据包载荷对所述反射服务器进行用户数据报协议UDP探测，得到UDP响应数据包；

如果所述UDP响应数据包与采样的所述响应数据包一致，则将所述第二请求数据包载荷确定为受到反射攻击的请求数据包载荷。

2.根据权利要求1所述的反射攻击探测方法，其中，如果所述UDP响应数据包与采样的所述响应数据包不一致，则对所述第二请求数据包载荷进行调整，得到第三请求数据包载荷，并使用所述第三请求数据包载荷对所述反射服务器进行UDP探测。

3.根据权利要求1所述的反射攻击探测方法，其中，如果所述UDP响应数据包与采样的所述响应数据包不一致，或者，如果未接收到UDP响应数据包，则确定对采样的所述响应数据包不予处理。

4.根据权利要求1所述的反射攻击探测方法，还包括：

对采样的所述响应数据包中的UDP数据包进行处理，以确认所述响应数据包是否属于反射攻击。

5.根据权利要求4所述的反射攻击探测方法，其中，所述对采样的所述响应数据包中的UDP数据包进行处理，以确认所述响应数据包是否属于反射攻击，包括：

将所述响应数据包中源端口以及目的IP地址符合预定要求的UDP数据包进行聚合，如果聚合后得到的UDP数据包的数量在UDP数据包的总数中的占比超过第一阈值，则确认所述响应数据包属于反射攻击；

或者，

将所述响应数据包中源端口以及目的IP地址符合预定要求的UDP数据包进行聚合，如果聚合后得到的UDP数据包的字节数在UDP数据包的总字节数中的占比超过第二阈值，则确认所述响应数据包属于反射攻击；

其中所述预定要求包括：所述源端口为所述反射服务器的端口，所述目的IP地址为受到反射攻击的终端的IP地址。

6.根据权利要求1所述的反射攻击探测方法，其中，所述基于预设协议模板库对所述响应数据包的协议载荷进行模糊识别，得到所述响应数据包的协议载荷对应的协议名，包括：

计算所述响应数据包的协议载荷与所述预设协议模板库中的各响应协议模版之间的相似度；

将相似度大于或等于第三阈值的响应协议模版的协议名，确定为所述响应数据包的协议载荷对应的协议名。

7.根据权利要求1所述的反射攻击探测方法，其中，所述根据所述预设协议模板库中所述协议名对应的请求协议模版，生成第一请求数据包载荷，包括：

使用基于生成的模糊算法，基于所述预设协议模板库中所述协议名对应的请求协议模版，生成所述第一请求数据包载荷。

8.根据权利要求1-7中任一项所述的反射攻击探测方法，其中，

所述预设协议模板库中包括协议名以及与所述协议名对应的响应协议模版和请求协议模版。

9.根据权利要求1-7中任一项所述的反射攻击探测方法，还包括：

将所述第二请求数据包载荷对应的请求协议模板存入所述预设协议模板库中。