防御分布式拒絕服務(wù)攻擊的方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本申請(qǐng)涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,具體地說(shuō)����,涉及一種防御分布式拒絕服務(wù)攻擊的方法及系統(tǒng)�。
【背景技術(shù)】
[0002]分布式拒絕服務(wù)攻擊(Distributed Denial of Service���,DDoS)是網(wǎng)絡(luò)安全的重大威脅之一�。這種攻擊曾經(jīng)使得世界上幾家著名電子商務(wù)提供商的站點(diǎn)(如雅虎����、eBay、亞馬遜等)陷入癱瘓長(zhǎng)達(dá)數(shù)小時(shí)甚至數(shù)天�����,造成了巨大的經(jīng)濟(jì)損失���。拒絕服務(wù)攻擊非常容易發(fā)起�����,并不像其它攻擊一樣需要有一定技術(shù)基礎(chǔ)����。
[0003]拒絕服務(wù)攻擊容易實(shí)施的根本原因是TCP/IP協(xié)議的脆弱性�����。TCP/IP協(xié)議是因特網(wǎng)的基石��,它是按照在開放和彼此信任的群體中使用來(lái)設(shè)計(jì)的�,在實(shí)現(xiàn)上力求效率,而沒(méi)有考慮安全因素(如數(shù)據(jù)認(rèn)證����、完整性、保密性服務(wù)等)���。例如�����,網(wǎng)絡(luò)擁塞控制在TCP層實(shí)現(xiàn)���,并且只能在終端結(jié)點(diǎn)實(shí)施控制,這就使得大量報(bào)文可以不受約束地到達(dá)終端結(jié)點(diǎn)��;路由器可以只根據(jù)目的地址決定路由�,用戶可以任意改變?cè)碔P地址,造成地址欺騙攻擊(IP Spoofing)容易實(shí)施����,拒絕服務(wù)攻擊正是利用這個(gè)弱點(diǎn)�,使得拒絕服務(wù)攻擊的真實(shí)源頭難以追蹤����、拒絕服務(wù)攻擊報(bào)文的識(shí)別異常困難。
[0004]傳統(tǒng)的拒絕服務(wù)攻擊從一個(gè)攻擊源攻擊一個(gè)目標(biāo)���,可以很容易地根據(jù)流量來(lái)識(shí)另O�����。但近年來(lái)���,拒絕服務(wù)攻擊已經(jīng)演變?yōu)橥瑫r(shí)從多個(gè)攻擊源攻擊一個(gè)目標(biāo)的形式,即分布式拒絕服務(wù)攻擊���。DDoS呈現(xiàn)的特征與正常的網(wǎng)絡(luò)訪問(wèn)高峰非常相似�����,特別是攻擊者采用偽造�����、隨機(jī)變化報(bào)文源IP地址����、隨機(jī)變化攻擊報(bào)文內(nèi)容等辦法�,使得DDoS的攻擊特征難以提取,攻擊源的位置難以確定����。
[0005]專利CN 102891829A公開一種檢測(cè)與防御分布式拒絕服務(wù)攻擊的方法及系統(tǒng),通過(guò)對(duì)設(shè)定時(shí)間內(nèi)訪問(wèn)網(wǎng)絡(luò)的報(bào)文數(shù)量和IP地址的判斷���,若判定為泛洪DDoS拒絕服務(wù)攻擊時(shí)�����,則對(duì)非法的IP地址進(jìn)行封堵����。但現(xiàn)有技術(shù)的這種方案存在以下缺點(diǎn):
[0006]第一���、上述方案在識(shí)別到黑客攻擊后�,僅將非法的IP地址進(jìn)行封堵���,不進(jìn)行進(jìn)一步的操作�。但是如果黑客進(jìn)行測(cè)試攻擊,試探出目標(biāo)服務(wù)器的防御方式���,然后針對(duì)測(cè)試出的防御方式調(diào)整攻擊方式�����,就會(huì)使得上述方案中的防御方式失效�。
[0007]第二��、當(dāng)非法IP增加的速度超過(guò)服務(wù)器封堵的速度時(shí)����,仍然會(huì)導(dǎo)致服務(wù)器宕機(jī)。
[0008]第三�����、上述方案中的服務(wù)器在接受新IP訪問(wèn)的同時(shí)對(duì)非法IP進(jìn)行拒絕����,因?yàn)樵L問(wèn)量大,當(dāng)一大波攻擊源對(duì)服務(wù)器進(jìn)行攻擊時(shí),服務(wù)器可能尚未來(lái)得及拒絕就已經(jīng)宕機(jī)了���。
【發(fā)明內(nèi)容】
[0009]有鑒于此��,本申請(qǐng)所要解決的技術(shù)問(wèn)題是提供了一種防御分布式拒絕服務(wù)攻擊的方法及系統(tǒng)����,能夠根據(jù)黑客的攻擊類型動(dòng)態(tài)調(diào)整防御力�,從而直接拒絕黑客的攻擊源�����。
[0010]為了解決上述技術(shù)問(wèn)題�,本申請(qǐng)有如下技術(shù)方案:
[0011]—種防御分布式拒絕服務(wù)攻擊的方法,其特征在于�,包括:
[0012]檢測(cè)設(shè)定時(shí)間片內(nèi)訪問(wèn)網(wǎng)絡(luò)的IP地址,并將檢測(cè)到的IP地址與數(shù)據(jù)庫(kù)的合法IP記錄集中保存的合法準(zhǔn)許訪問(wèn)IP地址相比較��,確定單位時(shí)間內(nèi)新IP地址數(shù)量增加速率����;
[0013]根據(jù)單位時(shí)間內(nèi)新IP地址數(shù)量增加速率情況執(zhí)行進(jìn)一步操作:
[0014]當(dāng)所述單位時(shí)間內(nèi)新IP地址數(shù)量增加速率小于設(shè)定的第一速度閾值時(shí),則判定未受到攻擊���,執(zhí)行未受到攻擊時(shí)的處理方式��,正常提供服務(wù)�;
[0015]當(dāng)所述單位時(shí)間內(nèi)新IP地址數(shù)量增加速率大于設(shè)定的第一速度閾值且小于設(shè)定的第二速度閾值時(shí),則判定為受到試探性泛洪DDoS拒絕服務(wù)攻擊����,執(zhí)行受到試探性泛洪DDoS拒絕服務(wù)攻擊的處理方式;
[0016]當(dāng)所述單位時(shí)間內(nèi)新IP地址數(shù)量的增加速率大于設(shè)定的第二速度閾值時(shí)�����,則判定為受到正式性泛洪DDoS拒絕服務(wù)攻擊��,執(zhí)行受到正式性泛洪DDoS拒絕服務(wù)攻擊的處理方式��。
[0017]優(yōu)選地���,其中:
[0018]所述執(zhí)行受到試探性泛洪DDoS拒絕服務(wù)攻擊的處理方式��,進(jìn)一步為:
[0019]記錄新IP的地址�,并在所述新IP地址數(shù)量增加速率小于設(shè)定的所述第一速度閾值時(shí)��,將記錄的所述新IP地址進(jìn)行屏蔽���。
[0020]優(yōu)選地����,其中:
[0021 ]所述執(zhí)行受到正式性泛洪DDoS拒絕服務(wù)攻擊的處理方式,進(jìn)一步為:
[0022]暫停所有對(duì)外服務(wù)�,記錄并屏蔽新IP地址。
[0023]優(yōu)選地�,其中:
[0024]在所述新IP地址數(shù)量的增加速率小于設(shè)定的所述第二速度閾值時(shí),恢復(fù)所有對(duì)外服務(wù)�。
[0025]優(yōu)選地,其中:
[0026]若所述單位時(shí)間內(nèi)新IP地址數(shù)量增加速率降到所述設(shè)定的第一速度閾值以下����,且新IP地址數(shù)量不再增加,特殊訪問(wèn)的量也不再增加�,則持續(xù)提供對(duì)外服務(wù)����。
[0027]優(yōu)選地,其中:
[0028]所述第一速度閾值和所述第二速度閾值為動(dòng)態(tài)值����。
[0029]優(yōu)選地,其中:
[0030]當(dāng)受到試探性泛洪DDoS拒絕服務(wù)攻擊時(shí)�,根據(jù)試探性泛洪DDoS拒絕服務(wù)攻擊過(guò)程中特殊訪問(wèn)的量動(dòng)態(tài)調(diào)整所述第一速度閾值;
[0031 ]當(dāng)受到正式性泛洪DDoS拒絕服務(wù)攻擊時(shí),分別統(tǒng)計(jì)試探性泛洪DDoS拒絕服務(wù)攻擊過(guò)程中和正式性泛洪DDoS拒絕服務(wù)攻擊過(guò)程中特殊訪問(wèn)的量�,根據(jù)兩個(gè)過(guò)程中特殊訪問(wèn)量的對(duì)比情況動(dòng)態(tài)調(diào)整所述第二速度閾值。
[0032]優(yōu)選地�����,其中:
[0033]在所有試探性泛洪DDoS拒絕服務(wù)攻擊和正式性泛洪DDoS拒絕服務(wù)攻擊結(jié)束后����,清空所有屏蔽的IP地址表單。
[0034]—種實(shí)現(xiàn)上述方法的防御分布式拒絕服務(wù)攻擊的系統(tǒng)�,其特征在于,包括:
[0035]檢測(cè)模塊:用于檢測(cè)設(shè)定時(shí)間片內(nèi)訪問(wèn)網(wǎng)絡(luò)的IP地址�,并將檢測(cè)到的IP地址與數(shù)據(jù)庫(kù)的合法IP記錄集中保存的合法準(zhǔn)許訪問(wèn)IP地址相比較,確定單位時(shí)間內(nèi)新IP地址數(shù)量增加速率��;
[0036]攻擊處理模塊:用于根據(jù)單位時(shí)間內(nèi)新IP地址數(shù)量增加速率情況執(zhí)行進(jìn)一步操作:
[0037]當(dāng)所述單位時(shí)間內(nèi)新IP地址數(shù)量增加速率小于設(shè)定的第一速度閾值時(shí)���,則判定未受到攻擊�,執(zhí)行未受到攻擊時(shí)的處理方式�����,正常提供服務(wù)���;
[0038]當(dāng)所述單位時(shí)間內(nèi)新IP地址數(shù)量增加速率大于設(shè)定的第一速度閾值且小于設(shè)定的第二速度閾值時(shí)����,則判定為受到試探性泛洪DDoS拒絕服務(wù)攻擊,執(zhí)行受到試探性泛洪DDoS拒絕服務(wù)攻擊的處理方式��;
[0039]當(dāng)所述單位時(shí)間內(nèi)新IP地址數(shù)量的增加速率大于設(shè)定的第二速度閾值時(shí)��,則判定為受到正式性泛洪DDoS拒絕服務(wù)攻擊����,執(zhí)行受到正式性泛洪DDoS拒絕服務(wù)攻擊的處理方式。
[0040]優(yōu)選地���,其中:
[0041 ]所述執(zhí)行受到試探性泛洪DDoS拒絕服務(wù)攻擊的處理方式�,進(jìn)一步為:記錄新IP的地址����,并在所述新IP地址數(shù)量增加速率小于設(shè)定的所述第一速度閾值時(shí)����,將記錄的所述新IP進(jìn)行屏蔽;
[0042]所述執(zhí)行受到正式性泛洪DDoS拒絕服務(wù)攻擊的處理方式��,進(jìn)一步為:暫停所有對(duì)外服務(wù),記錄并屏蔽新IP地址��。
[0043]與現(xiàn)有技術(shù)相比��,本申請(qǐng)所述的方法和系統(tǒng)����,達(dá)到了如下效果:
[0044]第一、本發(fā)明防御分布式拒絕服務(wù)攻擊的方法和系統(tǒng)���,能夠根據(jù)單位時(shí)間內(nèi)新IP地址數(shù)量增加速率的情況��,有選擇的暫停服務(wù)�����,使得服務(wù)器看似頻繁宕機(jī)���,但實(shí)際是利用寶貴時(shí)間吞吐訪問(wèn)IP并將這些IP屏蔽,從而不會(huì)因?yàn)槠帘嗡俣嚷趷阂釯P新增的速度而導(dǎo)致服務(wù)器真正宕機(jī)�。
[0045]第二、本發(fā)明防御分布式拒絕服務(wù)攻擊的方法和系統(tǒng)�����,在暫停服務(wù)的情況下還能夠記錄惡意IP并將惡意IP屏蔽,從而服務(wù)器不會(huì)因?yàn)楣羲俣冗^(guò)快來(lái)不及屏蔽而發(fā)生宕機(jī)���。
[0046]第三���、本發(fā)明防御分布式拒絕服務(wù)攻擊的方法和系統(tǒng),能夠根據(jù)單位時(shí)間內(nèi)新IP地址數(shù)量增加速率情況�,識(shí)別試探性泛洪攻擊和正式性泛洪攻擊,進(jìn)而采取不同的應(yīng)對(duì)策略����。
[0047]第四、本發(fā)明防御分布式拒絕服務(wù)攻擊的方法和系統(tǒng)��,能夠根