[发明专利]反射攻击探测方法、装置和电子设备

说明书

本公开提供了一种反射攻击探测方法、装置、电子设备、存储介质和计算机程序产品，涉及网络安全技术领域。该方法包括：获取响应数据包使用的协议载荷以及对应的反射服务器的地址；基于预设协议模板库得到该协议载荷对应的协议名；根据该预设协议模板库中该协议名对应的请求协议模版生成第一请求数据包载荷；基于该第一请求数据包载荷构造第二请求数据包载荷；使用该第二请求数据包载荷进行UDP探测，得到UDP响应数据包；如果该UDP响应数据包与采样的该响应数据包一致，则将该第二请求数据包载荷确定为受到反射攻击的请求数据包载荷。利用本公开能够快速还原反射攻击手法。

技术领域

本公开涉及网络安全技术领域，具体涉及一种反射攻击探测方法、装置、电子设备、存储介质和计算机程序产品。

背景技术

DDoS(Distributed Denial of Service，分布式拒绝服务攻击)反射放大攻击是一种成本低、溯源难、危害大的DDoS攻击方式，反射攻击的攻击者只需付出少量的代价，即可对攻击的目标产生巨大的流量，不仅影响用户的正常使用，还有可能造成一定的经济损失。举例来说，在DNS(Domain Name System，域名系统)的反射攻击手法中，假设DNS请求报文的数据部分长度约为40字节，而响应报文数据部分的长度可能会高达4000字节，也就是说利用反射攻击手法能够产生约100倍的放大效应，因此攻击者只需要控制一个能够产生150M流量的网络就能够进行大规模(约15G)的DDoS攻击，危害性极大。另一方面，随着物联网与5G通信技术的发展，陆续出现了携带安全漏洞的新型协议，使用这些新型协议的反射源设备数量巨大，使得网络安全防御形势日益严峻。

发明内容

本公开提供一种反射攻击探测方法、装置、电子设备、存储介质和计算机程序产品，用于解决以上至少一个问题。

根据本公开的第一方面，提供了一种反射攻击探测方法，包括：

在受到反射攻击过程中对反射攻击的响应数据包进行采样；

获取所述响应数据包使用的协议载荷以及对应的反射服务器的地址；

基于预设协议模板库对所述协议载荷进行模糊识别，得到所述协议载荷对应的协议名；

根据所述预设协议模板库中所述协议名对应的请求协议模版，生成第一请求数据包载荷；

基于所述第一请求数据包载荷构造能够形成反射攻击的第二请求数据包载荷；

使用所述第二请求数据包载荷对所述反射服务器进行用户数据报协议UDP探测，得到UDP响应数据包；

如果所述UDP响应数据包与采样的所述响应数据包一致，则将所述第二请求数据包载荷确定为受到反射攻击的请求数据包载荷。

根据本公开的第二方面，提供了一种反射攻击探测装置，包括：

采样模块，用于在受到反射攻击过程中对反射攻击的响应数据包进行采样；

获取模块，用于获取所述响应数据包使用的协议载荷以及对应的反射服务器的地址；

识别模块，用于基于预设协议模板库对所述协议载荷进行模糊识别，得到所述协议载荷对应的协议名；

生成模块，用于根据所述预设协议模板库中所述协议名对应的请求协议模版，生成第一请求数据包载荷；

构造模块，用于基于所述第一请求数据包载荷构造能够形成反射攻击的第二请求数据包载荷；

探测模块，用于使用所述第二请求数据包载荷对所述反射服务器进行用户数据报协议UDP探测，得到UDP响应数据包；

确定模块，用于在所述UDP响应数据包与采样的所述响应数据包一致的情况下，将所述第二请求数据包载荷确定为受到反射攻击的请求数据包载荷。