防禦數據流攻擊的方法及系統的製作方法

2023-10-05 14:32:14

防禦數據流攻擊的方法及系統的製作方法
【專利摘要】本發明提供一種防禦數據流攻擊的方法及系統。根據所述防禦方法，是防禦系統監聽網絡接入設備轉發的UDP數據包的頭信息，並計算包含相同的部分頭信息的UDP數據包的轉發率；當所述轉發率滿足預設的防禦區間，控制所述網絡接入設備將包含所述相同的部分頭信息的UDP數據包進行轉發限制。本發明通過監聽包含有相同的部分頭信息的UDP數據包來確定是否為UDP數據包攻擊，所監聽的包含相同的部分頭信息的UDP數據包的轉發率達到防禦區間，則控制網絡接入設備對該種數據包進行限制甚至丟棄，以減少這類UDP數據包對網絡接入設備的資源的佔用。
【專利說明】防禦數據流攻擊的方法及系統

【技術領域】
[0001]本發明涉及一種網絡安全技術，特別是涉及一種防禦數據流攻擊的方法及系統。

【背景技術】
[0002]UDP Flood是當前最流行的DoS (拒絕服務攻擊)與DDoS (分布式拒絕服務攻擊)的方式之一。這類攻擊是抓住了 UDP協議是一個面向無連接的傳輸層協議，以至於數據傳送過程中，不需要建立連接和進行認證這一特點。進行攻擊時攻擊方就可以向被攻擊方發送大量的異常高流量的完整m)P數據報文。在UDP Flood攻擊時，報文發往受害系統的隨機或指定的埠，通常是目標主機的隨機埠。這使得受害系統必須對流入的數據報文進行分析以確定哪個應用服務請求了該數據流，若受害系統的某個攻擊埠沒有運行服務，它將用ICMP報文回應一個「目標埠不可達」消息。當大量的代理主機發送這種數據報時，會使被攻擊主機所在的網絡資源被耗盡，還會使被攻擊主機忙於處理UDP數據報文，而使系統崩潰。
[0003]目前解決這類UDP Flood攻擊的現有檢測方法，主要通過計算單位時間內通過的UDP數據包的數量，如果大於UDP流量的峰值則認為是UDP攻擊。但是由於現有的檢測是孤立和分布式的，所以無法準確判斷所轉發的UDP數據包中哪些屬於UDP Flood的攻擊，對於網絡接入設備來說，若全盤限制或丟棄UDP數據包，可能致使有些應用的正常UDP數據包無法正常到達。如此，無法建立有效的防禦機制。


【發明內容】

[0004]鑑於以上所述現有技術的缺點，本發明的目的在於提供一種防禦數據流攻擊的方法及系統，用於解決現有技術中由於無法有效識別常規UDP數據包和UDP Flood之間的區別，從而無法建立有效的防禦機制的問題。
[0005]為實現上述目的及其他相關目的，本發明提供一種防禦數據流攻擊的方法，包括:I)監聽網絡接入設備轉發的UDP數據包的頭信息，並計算包含相同的部分頭信息的UDP數據包的轉發率；2)當所述轉發率滿足預設的防禦區間，控制所述網絡接入設備將包含所述相同的部分頭信息的UDP數據包進行轉發限制。
[0006]優選地，所述步驟I)包括:監聽網絡接入設備轉發的UDP數據包，當所述網絡接入設備所轉發的各UDP數據包的轉發率大於預設閾值時，將各UDP數據包的頭信息發送給與所述網絡接入設備相連的控制端；由所述控制端根據來自各網絡接入設備的頭信息計算包含相同的部分頭信息的UDP數據包的轉發率。
[0007]優選地，所述步驟2)包括:當包含相同頭信息部分相同的部分頭信息的UDP數據包的轉發率滿足預設的防禦區間，從所對應的UDP數據包的頭信息中確定位於所述頭信息中的源地址信息和源埠信息最近的網絡接入設備，並向所確定的網絡接入設備發送控制表；接收到所述控制表的網絡接入設備按照所述控制表對包含所述相同的部分頭信息的UDP數據包進行轉發限制。
[0008]優選地，所述步驟2)還包括:當包含相同頭信息部分相同的部分頭信息的UDP數據包的轉發率滿足預設的第一防禦子區間，從所對應的UDP數據包的頭信息中確定位於所述頭信息中的源地址信息和源埠信息最近或最遠的網絡接入設備，令所確定的網絡接入設備監聽對應UDP數據包的反饋數據包；由所確定的網絡接入設備監聽所轉發的各所述反饋數據包，並將所監聽的各所述反饋數據包的頭信息發送至所述控制端；由所述控制端從所接收的各所述反饋數據包的頭信息中確定對應包含所述相同的部分頭信息的UDP數據包的反饋數據包，並在所確定的反饋數據包的轉發率滿足所述第一防禦子區間時，向位於所述頭信息中的源地址信息和源埠信息最近的網絡接入設備發送包含限制對包含所述相同的部分頭信息的UDP數據包進行轉發的控制表。
[0009]或者，所述步驟2)包括:當包含相同頭信息部分相同的部分頭信息的UDP數據包的轉發率滿足預設的第二防禦子區間，向所確定的網絡接入設備發送包含丟棄包含所述相同的部分頭信息的UDP數據包的控制表，其中，所述第一防禦子區間小於所述第二防禦子區間。
[0010]優選地，所述防禦方法還包括以下步驟:當包含所述相同的部分頭信息的UDP數據包的轉發率低於所述防禦區間的最小值，令所述網絡接入設備解除對所述UDP數據包的轉發限制。
[0011]基於上述目的，本發明還提供一種防禦數據流攻擊的系統，包括:轉發率計算單元，用於監聽網絡接入設備轉發的UDP數據包的頭信息，並計算包含相同的部分頭信息的UDP數據包的轉發率；限制單元，用於當所述轉發率滿足預設的防禦區間，控制所述網絡接入設備將包含所述相同的部分頭信息的UDP數據包進行轉發限制。
[0012]優選地，所述轉發率計算單元包括:位於所述網絡接入設備中的第一轉發率計算模塊，用於監聽所述網絡接入設備轉發的UDP數據包，當所述網絡接入設備所轉發的各UDP數據包的轉發率大於預設閾值時，將各UDP數據包的頭信息發送給與所述網絡接入設備相連的控制端；位於所述控制端的第二轉發率計算模塊，用於根據來自各網絡接入設備的頭信息計算包含相同的部分頭信息的UDP數據包的轉發率。
[0013]優選地，所述限制單元包括:位於所述控制端的控制表設定模塊，用於當包含相同頭信息部分相同的部分頭信息的UDP數據包的轉發率滿足預設的防禦區間，從所對應的UDP數據包的頭信息中確定位於所述頭信息中的源地址信息和源埠信息最近的網絡接入設備，並向所確定的網絡接入設備發送控制表；位於所述網絡接入設備的限制執行模塊，用於按照所述控制表對包含所述相同的部分頭信息的UDP數據包進行轉發限制。
[0014]優選地，所述控制表設定模塊包括:位於所述控制端的選擇監聽反饋數據包子模塊，用於當包含相同頭信息部分相同的部分頭信息的UDP數據包的轉發率滿足預設的第一防禦子區間，從所對應的UDP數據包的頭信息中確定位於所述頭信息中的源地址信息和源埠信息最近或最遠的網絡接入設備，令所確定的網絡接入設備監聽對應UDP數據包的反饋數據包；位於所確定的網絡接入設備端的監聽反饋數據包子模塊，用於監聽所轉發的各所述反饋數據包，並將所監聽的各所述反饋數據包的頭信息發送至所述控制端；位於所述控制端的第一控制表設定子模塊，用於從所接收的各所述反饋數據包的頭信息中確定對應包含所述相同的部分頭信息的UDP數據包的反饋數據包，並在所確定的反饋數據包的轉發率滿足所述第一防禦子區間時，向位於所述頭信息中的源地址信息和源埠信息最近的網絡接入設備發送包含限制對包含所述相同的部分頭信息的UDP數據包進行轉發的控制表。
[0015]或者，所述限制單元包括:位於所述控制端的第二控制表設定子模塊，用於當包含所述相同的部分頭信息的UDP數據包的所述轉發率滿足預設的第二防禦子區間，向所確定的網絡接入設備發送包含丟棄包含所述相同的部分頭信息的UDP數據包的控制表，其中，所述第一防禦子區間小於所述第二防禦子區間。
[0016]優選地，所述防禦系統還包括解除單元，用於當包含所述相同的部分頭信息的UDP數據包的轉發率低於所述防禦區間的最小值，令所述網絡接入設備解除對所述UDP數據包的轉發限制。
[0017]如上所述，本發明的防禦數據流攻擊的方法及系統，具有以下有益效果:通過監聽包含有相同的部分頭信息的m)P數據包來確定是否為UDP數據包攻擊，所監聽的包含相同的部分頭信息的UDP數據包的轉發率達到防禦區間，則控制網絡接入設備對該種數據包進行限制甚至丟棄，以減少這類UDP數據包對網絡接入設備的資源的佔用；另外，通過設置多個防禦子區間，能夠便於設置限制轉發策略；還有，當包含所述相同的部分頭信息的UDP數據包的轉發率降低時，能夠解除限制，以便網絡接入設備正常工作；此外，在確定有大量的包含相同的部分頭信息的UDP數據包轉發時，進一步監聽反饋數據包，能夠確定UDP數據包攻擊，並建立精準的防禦。

【專利附圖】

【附圖說明】
[0018]圖1顯示為本發明的防禦數據流攻擊的方法的流程圖。
[0019]圖2顯示為本發明的防禦數據流攻擊的方法的一種優選方式的流程圖。
[0020]圖3顯示為本發明的防禦數據流攻擊的系統的結構示意圖。
[0021]圖4顯示為本發明的防禦數據流攻擊的系統的一種優選方式的結構示意圖。

【具體實施方式】
[0022]以下通過特定的具體實例說明本發明的實施方式，本領域技術人員可由本說明書所揭露的內容輕易地了解本發明的其他優點與功效。本發明還可以通過另外不同的【具體實施方式】加以實施或應用，本說明書中的各項細節也可以基於不同觀點與應用，在沒有背離本發明的精神下進行各種修飾或改變。需說明的是，在不衝突的情況下，以下實施例及實施例中的特徵可以相互組合。
[0023]實施例一
[0024]請參閱圖1，本發明提供一種防禦數據流攻擊的方法。所述防禦方法主要由應用在網絡接入設備中的防禦系統來執行。所述網絡接入設備包括但不限於:路由器、交換機等。
[0025]在步驟SI中，所述防禦系統監聽所述網絡接入設備轉發的UDP數據包的頭信息，並計算包含相同的部分頭信息的UDP數據包的轉發率。其中，所述頭信息包括但不限於:目的地址信息、源地址信息、目的埠信息、源埠信息、轉發路徑中的至少一種或任意組合。
[0026]具體地，所述防禦系統監聽所述網絡接入設備的各埠所轉發的UDP數據包的頭信息，當在一預設時段內所轉發的UDP數據包的頭信息中包含相同的目的地址信息、源地址信息、目的埠信息、源埠信息中至少一種、或者包含有部分一致的轉發路徑，則計算該時段內的所轉發的該種UDP數據包的轉發率。其中，所述預設時段舉例為60秒。
[0027]在步驟S2中，當所述轉發率滿足預設的防禦區間，所述防禦系統控制所述網絡接入設備將包含所述相同的部分頭信息的UDP數據包進行轉發限制。
[0028]具體地，所述防禦系統將在步驟SI中所得到的轉發率與預設的防禦區間進行匹配，若在所述防禦區間內，則限制對包含所述相同的部分頭信息的UDP數據包的轉發，或者直接丟棄包含所述相同的部分頭信息的UDP數據包。
[0029]優選地，所述防禦區間可以包含一個防禦子區間，也可以包含多個防禦子區間。若包含多個防禦子區間，則所述防禦系統可按照各防禦子區間設置限制級別。例如，所述轉發率在第一防禦子區間內，所述防禦系統可以限制所述網絡接入設備對包含所述相同的部分頭信息的UDP數據包的轉發流量。所述轉發率在第二防禦子區間內，所述防禦系統可以控制所述網絡接入設備直接丟棄包含所述相同的部分頭信息的UDP數據包。
[0030]優選地，所述防禦方法還包括:步驟S3 (未予圖示)。
[0031]在步驟S3中，當包含所述相同的部分頭信息的UDP數據包的轉發率低於所述防禦區間的最小值，所述防禦系統令所述網絡接入設備解除對所述UDP數據包的轉發限制。
[0032]具體地，所述防禦系統一邊對包含有相同的部分頭信息的UDP數據包進行限制，一邊繼續統計這類UDP數據包的轉發率，當這類UDP數據包的轉發率低於所述防禦區間的最小值，所述防禦系統令所述網絡接入設備解除對所述UDP數據包的轉發限制。
[0033]實施例二
[0034]請參閱圖2，所述防禦方法主要由安裝在網絡接入設備和控制端中的防禦系統來執行。其中，所述網絡接入設備包括但不限於:路由器、交換機等。所述控制端與至少一個所述網絡接入設備通信連接，用於根據各網絡接入設備所提供的數據包的頭信息，對各網絡接入設備進行路徑選擇、流量等控制。在本實施例中，所述防禦系統位於所述網絡接入設備中的部分稱為第一防禦子系統。所述防禦系統位於所述控制端中的部分稱為第二防禦子系統。
[0035]在步驟SI』中，所述第一防禦子系統監聽所述網絡接入設備轉發的UDP數據包，當所述網絡接入設備所轉發的各UDP數據包的轉發率大於預設閾值時，將各UDP數據包的頭信息發送給與所述網絡接入設備相連的控制端。其中，所述頭信息包括但不限於:目的地址信息、源地址信息、目的埠信息、源埠信息、轉發路徑中的至少一種或任意組合。
[0036]具體地，所述第一防禦子系統監聽所述網絡接入設備中轉發的所有UDP數據包，當在一預設時段內所述網絡接入設備所轉發的各UDP數據包的轉發率大於預設閾值時，將各UDP數據包的頭信息發送給位於所述控制端中第二防禦子系統。其中，所述預設時段舉例為60秒。
[0037]在步驟S2』中，所述第二防禦子系統根據來自各網絡接入設備的頭信息計算包含相同的部分頭信息的UDP數據包的轉發率。
[0038]具體地，所述第二防禦子系統收集各網絡接入設備所提供的UDP數據包的頭信息，當在一預設時段內所收集的頭信息中包含相同的目的地址信息、源地址信息、目的埠信息、源埠信息中至少一種、或者包含有部分一致的轉發路徑，則計算該時段內對應的UDP數據包的轉發率。
[0039]在步驟S3』中，當包含相同頭信息部分相同的部分頭信息的UDP數據包的轉發率滿足預設的防禦區間，所述第二防禦子系統從所對應的UDP數據包的頭信息中確定位於所述頭信息中的源地址信息和源埠信息最近的網絡接入設備，並向所確定的網絡接入設備發送控制表。
[0040]具體地，當所述轉發率在預設的防禦區間內，則所述第二防禦子系統需確定距離發送所述UDP數據包的源地址信息和源埠信息最近的網絡接入設備，或者說所能確定的所述UDP數據包的入口網絡接入設備。
[0041]在此，所述第二防禦子系統從各網絡接入設備所提供的頭信息中的轉發路徑中能夠確定距離發送所述UDP數據包的源地址信息和源埠信息最近的網絡接入設備。例如，所述第二防禦子系統接收到路由器Al和A2所提供的頭信息，其中，路由器Al所提供的頭信息中的轉發路徑為:源地址信息和源埠信息-路由器BI的路由信息-路由器Al的路由信息，路由器A2所提供的頭信息中的轉發路徑為:源地址信息和源埠信息-路由器B2的轉發信息-路由器B3的路由信息-路由器A2的路由信息。則所述第二防禦子系統通過比較轉發路徑的長短來確定路由器Al為距離發送所述UDP數據包的源地址信息和源埠信息最近的網絡接入設備。
[0042]在確定了網絡接入設備之後，所述第二防禦子系統向位於所確定的網絡接入設備中第一防禦子系統發送控制表。所述控制表中包含所要限制的UDP數據包的頭信息、所述網絡接入設備轉發所要限制的UDP數據包的埠、限制級別等。
[0043]優選地，所述防禦區間可以包含一個防禦子區間，也可以包含多個防禦子區間。若包含多個防禦子區間，則所述第二防禦系統可按照各防禦子區間設置限制級別。例如，所述轉發率在第一防禦子區間內，所述第二防禦子系統在所述限制級別中設置限制所述網絡接入設備對包含所述相同的部分頭信息的UDP數據包的轉發流量。
[0044]若所述防禦區間還包含大於所述第一防禦子區間的第二防禦子區間，則所述步驟S3』包含:當所述轉發率滿足預設的第二防禦子區間，並向所確定的網絡接入設備發送包含丟棄包含所述相同的部分頭信息的UDP數據包的控制表的步驟。
[0045]更為優選地，針對所述轉發率在第一防禦子區間內，所述步驟S3』包括:步驟S31』、S32』、S33』。(均未予圖示)
[0046]在步驟S31』中，當包含相同頭信息部分相同的部分頭信息的UDP數據包的轉發率滿足預設的第一防禦子區間，所述第二防禦子系統從所對應的UDP數據包的頭信息中確定位於所述頭信息中的源地址信息和源埠信息最近或最遠的網絡接入設備，令所確定的網絡接入設備監聽對應UDP數據包的反饋數據包。
[0047]具體地，當一設備Cl利用包含有相同的部分頭信息的UDP數據包攻擊網絡中的又一設備C2時，該設備C2可能並未開放相應埠來接收所述m)P數據包，此時，設備C2將對應反饋包含「目標埠不可達」報文的數據包。針對該種情況，所述第二防禦子系統令位於距離所述頭信息中的源地址信息和源埠信息最近或最遠的網絡接入設備監聽所轉發的對應所有m)P數據包的反饋數據包。
[0048]需要說明的是，本領域技術人員應該理解，所述第二防禦子系統確定距離所述頭信息中的源地址信息和源埠信息最近或最遠的網絡接入設備的方式與前述步驟S3』中描述的相同或相似，在此不再詳述。
[0049]接著，在步驟S32』中，位於距離所述頭信息中的源地址信息和源埠信息最近或最遠的網絡接入設備中的所述第一防禦子系統監聽所述反饋數據包，並將所述反饋數據包的頭信息發送至所述控制端。
[0050]在步驟S33』中，所述第二防禦子系統從所接收的各所述反饋數據包的頭信息中確定對應包含所述相同的部分頭信息的UDP數據包的反饋數據包，並在所確定的反饋數據包的轉發率滿足所述第一防禦子區間時，向位於所述頭信息中的源地址信息和源埠信息最近的網絡接入設備發送包含限制對包含所述相同的部分頭信息的UDP數據包進行轉發的控制表。
[0051]具體地，所述第二防禦子系統所接收到的各所述反饋數據包的頭信息中即包含對應m)P數據包攻擊的反饋數據包的頭信息，也包含正常的對應UDP數據包的反饋數據包的頭信息。所述第二防禦子系統根據在步驟S31』中所得到的包含相同的部分頭信息的頭信息能夠確定所對應反饋數據包的頭信息。
[0052]例如，所述第二防禦子系統將所述反饋數據包的頭信息中的源地址信息、目的地址信息、源埠信息、目的埠信息分別與步驟S31』中所得到的包含相同的部分頭信息的頭信息中的目的地址信息、源地址信息、目的埠信息、源埠信息相對應，若一致，則確定所述頭信息對應所要確定的反饋數據包。如此，進一步計算所確定的反饋數據包的轉發率，當所計算的轉發率滿足所述第一防禦子區間時，向位於所述頭信息中的源地址信息和源埠信息最近的網絡接入設備發送包含限制對包含所述相同的部分頭信息的UDP數據包進行轉發的控制表。
[0053]在步驟S4』中，所述第一防禦子系統按照所述控制表控制所述網絡接入設備對包含所述相同的部分頭信息的UDP數據包進行轉發限制。
[0054]例如，距離發送包含所述相同的部分頭信息的UDP數據包的源地址信息和埠信息最近的網絡接入設備中的第一防禦子系統在接收到包含丟棄所述UDP數據包的控制表時，控制所述網絡接入設備監聽所接收的UDP數據包，並當所接收的UDP數據包的頭信息符合所述控制表所提供的頭信息時，對該種UDP數據包進行丟棄處理。
[0055]又如，所述第一防禦子系統在接收到包含限制指定頭信息的UDP數據包轉發的控制表時，按照所述控制表中的限制要求，對所接收到的對應所指定的頭信息的UDP數據包進行轉發限制。
[0056]作為又一種優選方案，所述第第二防禦子系統一邊對滿足所述防禦區間的UDP數據包的頭信息進行限制處理，一邊繼續監聽各所述網絡接入設備中的第一防禦子系統所提供的UDP數據包的頭信息，當所限制的UDP數據包的頭信息的轉發率低於所述防禦區間的最小值，則令所對應的網絡接入設備解除轉發限制。
[0057]例如，網絡接入設備的轉發限制為丟棄或者限制包含所述相同的部分頭信息的UDP數據包，則當所述第二防禦子系統確定所限制的UDP數據包的頭信息的轉發率低於所述第一防禦子區間的最小值時，令所述網絡接入設備解除對所述UDP數據包的轉發限制。
[0058]又如，所述網絡接入設備的轉發限制為丟棄包含所述相同的部分頭信息的UDP數據包，當所述第二防禦子系統確定所限制的UDP數據包的頭信息的轉發率低於所述第二防禦子區間的最小值時，向位於所述網絡接入設備中的第一防禦子系統發送包含限制所述UDP數據包的轉發速度的控制表，以便允許但限制對所述UDP數據包的轉發。
[0059]實施例三
[0060]請參閱圖3，本發明提供一種防禦數據流攻擊的系統。所述防禦系統I主要為安裝在網絡接入設備中的軟體和硬體。所述網絡接入設備包括但不限於:路由器、交換機等。所述防禦系統I包括:轉發率計算單元U、限制單元12。
[0061]所述轉發率計算單元11用於監聽所述網絡接入設備轉發的UDP數據包的頭信息，並計算包含相同的部分頭信息的UDP數據包的轉發率。其中，所述頭信息包括但不限於:目的地址信息、源地址信息、目的埠信息、源埠信息、轉發路徑中的至少一種或任意組合。
[0062]具體地，所述轉發率計算單元11監聽所述網絡接入設備的各埠所轉發的UDP數據包的頭信息，當在一預設時段內所轉發的UDP數據包的頭信息中包含相同的目的地址信息、源地址信息、目的埠信息、源埠信息中至少一種、或者包含有部分一致的轉發路徑，則計算該時段內的所轉發的該種UDP數據包的轉發率。其中，所述預設時段舉例為60秒。
[0063]所述限制單元12用於當所述轉發率滿足預設的防禦區間，控制所述網絡接入設備將包含所述相同的部分頭信息的UDP數據包進行轉發限制。
[0064]具體地，所述轉發率計算單元11將在所述轉發率計算單元11中所得到的轉發率與預設的防禦區間進行匹配，若在所述防禦區間內，則限制對包含所述相同的部分頭信息的m)P數據包的轉發，或者直接丟棄包含所述相同的部分頭信息的m)P數據包。
[0065]優選地，所述防禦區間可以包含一個防禦子區間，也可以包含多個防禦子區間。若包含多個防禦子區間，則所述轉發率計算單元11可按照各防禦子區間設置限制級別。例如，所述轉發率在第一防禦子區間內，所述轉發率計算單元11可以限制所述網絡接入設備對包含所述相同的部分頭信息的UDP數據包的轉發流量。所述轉發率在第二防禦子區間內，所述轉發率計算單元11可以控制所述網絡接入設備直接丟棄包含所述相同的部分頭信息的m)P數據包。
[0066]優選地，所述防禦系統I還包括:解除單元(未予圖示)。
[0067]所述解除單元用於當包含所述相同的部分頭信息的UDP數據包的轉發率低於所述防禦區間的最小值，令所述網絡接入設備解除對所述UDP數據包的轉發限制。
[0068]具體地，所述限制單元12 —邊對包含有相同的部分頭信息的UDP數據包進行限制，一邊繼續統計這類UDP數據包的轉發率，當這類UDP數據包的轉發率低於所述防禦區間的最小值，啟動所述解除單元令所述網絡接入設備解除對所述UDP數據包的轉發限制。
[0069]實施例四
[0070]請參閱圖4，所述防禦系統主要包含安裝在網絡接入設備和控制端中的軟體和硬體。其中，所述網絡接入設備包括但不限於:路由器、交換機等。所述控制端與至少一個所述網絡接入設備通信連接，用於根據各網絡接入設備所提供的數據包的頭信息，對各網絡接入設備進行路徑選擇、流量等控制。在本實施例中，所述防禦系統2位於所述網絡接入設備中的部分稱為第一防禦子系統。所述防禦系統2位於所述控制端中的部分稱為第二防禦子系統。其中，所述第一防禦子系統包括:第一轉發率計算模塊21、限制執行模塊24。所述第二防禦子系統包括:第二轉發率計算模塊22、控制表設定模塊23。其中，所述第一轉發率計算模塊21和第二轉發率計算模塊22為所述實施例三中的轉發率計算單元11的擴展。所述控制表設定模塊23和限制執行模塊24為所述實施例三中的限制單元12的擴展。
[0071]所述第一轉發率計算模塊21用於監聽所述網絡接入設備轉發的UDP數據包，當所述網絡接入設備所轉發的各UDP數據包的轉發率大於預設閾值時，將各UDP數據包的頭信息發送給與所述網絡接入設備相連的控制端。其中，所述頭信息包括但不限於:目的地址信息、源地址信息、目的端□信息、源端□信息、轉發路徑中的至少一種或任意組合。
[0072]具體地，所述第一轉發率計算模塊21監聽所述網絡接入設備中轉發的所有UDP數據包，當在一預設時段內所述網絡接入設備所轉發的各UDP數據包的轉發率大於預設閾值時，將各UDP數據包的頭信息發送給位於所述控制端中第二防禦子系統。其中，所述預設時段舉例為60秒。
[0073]所述第二轉發率計算模塊22用於根據來自各網絡接入設備的頭信息計算包含相同的部分頭信息的UDP數據包的轉發率。
[0074]具體地，所述第二轉發率計算模塊22收集各網絡接入設備所提供的UDP數據包的頭信息，當在一預設時段內所收集的頭信息中包含相同的目的地址信息、源地址信息、目的埠信息、源埠信息中至少一種、或者包含有部分一致的轉發路徑，則計算該時段內對應的m)P數據包的轉發率。
[0075]所述控制表設定模塊23用於當包含相同頭信息部分相同的部分頭信息的UDP數據包的轉發率滿足預設的防禦區間，從所對應的UDP數據包的頭信息中確定位於所述頭信息中的源地址信息和源埠信息最近的網絡接入設備，並向所確定的網絡接入設備發送控制表。
[0076]具體地，當所述轉發率在預設的防禦區間內，則所述控制表設定模塊23需確定距離發送所述UDP數據包的源地址信息和源埠信息最近的網絡接入設備，或者說所能確定的所述UDP數據包的入口網絡接入設備。
[0077]在此，所述控制表設定模塊23從各網絡接入設備所提供的頭信息中的轉發路徑中能夠確定距離發送所述UDP數據包的源地址信息和源埠信息最近的網絡接入設備。例如，所述控制表設定模塊23接收到路由器Al和A2所提供的頭信息，其中，路由器Al所提供的頭信息中的轉發路徑為:源地址信息和源埠信息-路由器BI的路由信息-路由器Al的路由信息，路由器A2所提供的頭信息中的轉發路徑為:源地址信息和源埠信息-路由器B2的轉發信息-路由器B3的路由信息-路由器A2的路由信息。則所述控制表設定模塊23通過比較轉發路徑的長短來確定路由器Al為距離發送所述UDP數據包的源地址信息和源埠信息最近的網絡接入設備。
[0078]在確定了網絡接入設備之後，所述控制表設定模塊23向位於所確定的網絡接入設備中限制執行模塊24發送控制表。所述控制表中包含所要限制的UDP數據包的頭信息、所述網絡接入設備轉發所要限制的UDP數據包的埠、限制級別等。
[0079]優選地，所述防禦區間可以包含一個防禦子區間，也可以包含多個防禦子區間。若包含多個防禦子區間，則所述控制表設定模塊23可按照各防禦子區間設置限制級別。例如，所述轉發率在第一防禦子區間內，所述控制表設定模塊23在所述限制級別中設置限制所述網絡接入設備對包含所述相同的部分頭信息的UDP數據包的轉發流量。
[0080]若所述防禦區間還包含大於所述第一防禦子區間的第二防禦子區間，則所述控制表設定模塊23包含:第二控制表設定子模塊(未予圖示)，用於當所述轉發率滿足預設的第二防禦子區間，向所確定的網絡接入設備發送包含丟棄包含所述相同的部分頭信息的UDP數據包的控制表。
[0081]更為優選地，針對所述轉發率在第一防禦子區間內，所述控制表設定模塊23包括:位於所述控制端的選擇監聽反饋數據包子模塊、位於所確定的網絡接入設備端的監聽反饋數據包子模塊、位於所述控制端的第一控制表設定子模塊。(未予圖示)
[0082]所述選擇監聽反饋數據包子模塊用於當包含相同頭信息部分相同的部分頭信息的UDP數據包的轉發率滿足預設的第一防禦子區間，從所對應的UDP數據包的頭信息中確定位於所述頭信息中的源地址信息和源埠信息最近或最遠的網絡接入設備，令所確定的網絡接入設備監聽對應UDP數據包的反饋數據包。
[0083]具體地，當一設備Cl利用包含有相同的部分頭信息的UDP數據包攻擊網絡中的又一設備C2時，該設備C2可能並未開放相應埠來接收所述m)P數據包，此時，設備C2將對應反饋包含「目標埠不可達」報文的數據包。針對該種情況，所述選擇監聽反饋數據包子模塊令位於距離所述頭信息中的源地址信息和源埠信息最近或最遠的網絡接入設備監聽所轉發的對應所有m)P數據包的反饋數據包。
[0084]需要說明的是，本領域技術人員應該理解，所述選擇監聽反饋數據包子模塊確定距離所述頭信息中的源地址信息和源埠信息最近或最遠的網絡接入設備的方式與前述中描述的相同或相似，在此不再詳述。
[0085]接著，位於距離所述頭信息中的源地址信息和源埠信息最近或最遠的網絡接入設備中的所述監聽反饋數據包子模塊監聽所述反饋數據包，並將所述反饋數據包的頭信息發送至所述控制端。
[0086]所述第一控制表設定子模塊用於從所接收的各所述反饋數據包的頭信息中確定對應包含所述相同的部分頭信息的UDP數據包的反饋數據包，並在所確定的反饋數據包的轉發率滿足所述第一防禦子區間時，向位於所述頭信息中的源地址信息和源埠信息最近的網絡接入設備發送包含限制對包含所述相同的部分頭信息的UDP數據包進行轉發的控制表。
[0087]具體地，所述第一控制表設定子模塊所接收到的各所述反饋數據包的頭信息中即包含對應m)P數據包攻擊的反饋數據包的頭信息，也包含正常的對應UDP數據包的反饋數據包的頭信息。所述第一控制表設定子模塊根據此前所得到的包含相同的部分頭信息的頭信息能夠確定所對應反饋數據包的頭信息。
[0088]例如，所述第一控制表設定子模塊將所述反饋數據包的頭信息中的源地址信息、目的地址信息、源埠信息、目的埠信息分別與所述選擇監聽反饋數據包子模塊中所得到的包含相同的部分頭信息的頭信息中的目的地址信息、源地址信息、目的埠信息、源埠信息相對應，若一致，則確定所述頭信息對應所要確定的反饋數據包。如此，進一步計算所確定的反饋數據包的轉發率，當所計算的轉發率滿足所述第一防禦子區間時，向位於所述頭信息中的源地址信息和源埠信息最近的網絡接入設備發送包含限制對包含所述相同的部分頭信息的UDP數據包進行轉發的控制表。
[0089]所述限制執行模塊24用於按照所述控制表控制所述網絡接入設備對包含所述相同的部分頭信息的UDP數據包進行轉發限制。
[0090]例如，距離發送包含所述相同的部分頭信息的UDP數據包的源地址信息和埠信息最近的網絡接入設備中的限制執行模塊24在接收到包含丟棄所述UDP數據包的控制表時，控制所述網絡接入設備監聽所接收的UDP數據包，並當所接收的UDP數據包的頭信息符合所述控制表所提供的頭信息時，對該種UDP數據包進行丟棄處理。
[0091]又如，所述限制執行模塊24在接收到包含限制指定頭信息的UDP數據包轉發的控制表時，按照所述控制表中的限制要求，對所接收到的對應所指定的頭信息的UDP數據包進行轉發限制。
[0092]作為又一種優選方案，所述第二防禦子系統中還包括解除單元(未予圖示)。
[0093]具體地，所述控制表設定模塊23 —邊對滿足所述防禦區間的UDP數據包的頭信息進行限制處理，一邊繼續監聽各所述網絡接入設備中第一轉發率計算模塊21所提供的UDP數據包的頭信息，當所限制的UDP數據包的頭信息的轉發率低於所述防禦區間的最小值，則啟動所述解除單元，以令所對應的網絡接入設備解除轉發限制。
[0094]例如，網絡接入設備的轉發限制為丟棄或者限制包含所述相同的部分頭信息的UDP數據包，則當所述解除單元確定所限制的UDP數據包的頭信息的轉發率低於所述第一防禦子區間的最小值時，令所述網絡接入設備中的限制執行模塊24解除對所述UDP數據包的轉發限制。
[0095]又如，所述網絡接入設備的轉發限制為丟棄包含所述相同的部分頭信息的UDP數據包，當所述解除單元確定所限制的UDP數據包的頭信息的轉發率低於所述第二防禦子區間的最小值時，向位於所述網絡接入設備中的限制執行模塊24發送包含限制所述UDP數據包的轉發速度的控制表，以便允許但限制對所述UDP數據包的轉發。
[0096]綜上所述，本發明的防禦數據流攻擊的方法及系統，通過監聽包含有相同的部分頭信息的m)P數據包來確定是否為UDP數據包攻擊，所監聽的包含相同的部分頭信息的m)P數據包的轉發率達到防禦區間，則控制網絡接入設備對該種數據包進行限制甚至丟棄，以減少這類UDP數據包對網絡接入設備的資源的佔用；另外，通過設置多個防禦子區間，能夠便於設置限制轉發策略；還有，當包含所述相同的部分頭信息的UDP數據包的轉發率降低時，能夠解除限制，以便網絡接入設備正常工作；此外，在確定有大量的包含相同的部分頭信息的m)P數據包轉發時，進一步監聽反饋數據包，能夠確定m)P數據包攻擊，並建立精準的防禦。所以，本發明有效克服了現有技術中的種種缺點而具高度產業利用價值。
[0097]上述實施例僅例示性說明本發明的原理及其功效，而非用於限制本發明。任何熟悉此技術的人士皆可在不違背本發明的精神及範疇下，對上述實施例進行修飾或改變。因此，舉凡所屬【技術領域】中具有通常知識者在未脫離本發明所揭示的精神與技術思想下所完成的一切等效修飾或改變，仍應由本發明的權利要求所涵蓋。
【權利要求】
1.一種防禦數據流攻擊的方法，其特徵在於，包括: 1)監聽網絡接入設備轉發的UDP數據包的頭信息，並計算包含相同的部分頭信息的UDP數據包的轉發率； 2)當所述轉發率滿足預設的防禦區間，控制所述網絡接入設備將包含所述相同的部分頭信息的UDP數據包進行轉發限制。
2.根據權利要求1所述的防禦數據流攻擊的方法，其特徵在於:所述步驟I)包括: 監聽網絡接入設備轉發的UDP數據包，當所述網絡接入設備所轉發的各UDP數據包的轉發率大於預設閾值時，將各UDP數據包的頭信息發送給與所述網絡接入設備相連的控制端; 由所述控制端根據來自各網絡接入設備的頭信息計算包含相同的部分頭信息的UDP數據包的轉發率。
3.根據權利要求1所述的防禦數據流攻擊的方法，其特徵在於:所述步驟2)包括: 當包含相同頭信息部分相同的部分頭信息的UDP數據包的轉發率滿足預設的防禦區間，從所對應的UDP數據包的頭信息中確定位於所述頭信息中的源地址信息和源埠信息最近的網絡接入設備，並向所確定的網絡接入設備發送控制表； 接收到所述控制表的網絡接入設備按照所述控制表對包含所述相同的部分頭信息的UDP數據包進行轉發限制。
4.根據權利要求3所述的防禦數據流攻擊的方法，其特徵在於:所述步驟2)還包括: 當包含相同頭信息部分相同的部分頭信息的UDP數據包的轉發率滿足預設的第一防禦子區間，從所對應的UDP數據包的頭信息中確定位於所述頭信息中的源地址信息和源埠信息最近或最遠的網絡接入設備，令所確定的網絡接入設備監聽對應UDP數據包的反饋數據包； 由所確定的網絡接入設備監聽所轉發的各所述反饋數據包，並將所監聽的各所述反饋數據包的頭信息發送至所述控制端； 由所述控制端從所接收的各所述反饋數據包的頭信息中確定對應包含所述相同的部分頭信息的UDP數據包的反饋數據包，並在所確定的反饋數據包的轉發率滿足所述第一防禦子區間時，向位於所述頭信息中的源地址信息和源埠信息最近的網絡接入設備發送包含限制對包含所述相同的部分頭信息的UDP數據包進行轉發的控制表； 或者，當包含相同頭信息部分相同的部分頭信息的UDP數據包的轉發率滿足預設的第二防禦子區間，向所確定的網絡接入設備發送包含丟棄包含所述相同的部分頭信息的UDP數據包的控制表，其中，所述第一防禦子區間小於所述第二防禦子區間。
5.根據權利要求1、3或4所述的防禦數據流攻擊的方法，其特徵在於:所述防禦方法還包括以下步驟:當包含所述相同的部分頭信息的UDP數據包的轉發率低於所述防禦區間的最小值，令所述網絡接入設備解除對所述UDP數據包的轉發限制。
6.一種防禦數據流攻擊的系統，其特徵在於，包括: 轉發率計算單元，用於監聽網絡接入設備轉發的UDP數據包的頭信息，並計算包含相同的部分頭信息的UDP數據包的轉發率； 限制單元，用於當所述轉發率滿足預設的防禦區間，控制所述網絡接入設備將包含所述相同的部分頭信息的UDP數據包進行轉發限制。
7.根據權利要求6所述的防禦數據流攻擊的系統，其特徵在於:所述轉發率計算單元包括: 位於所述網絡接入設備中的第一轉發率計算模塊，用於監聽所述網絡接入設備轉發的UDP數據包，當所述網絡接入設備所轉發的各UDP數據包的轉發率大於預設閾值時，將各UDP數據包的頭信息發送給與所述網絡接入設備相連的控制端； 位於所述控制端的第二轉發率計算模塊，用於根據來自各網絡接入設備的頭信息計算包含相同的部分頭信息的UDP數據包的轉發率。
8.根據權利要求6所述的防禦數據流攻擊的系統，其特徵在於:所述限制單元包括: 位於所述控制端的控制表設定模塊，用於當包含相同頭信息部分相同的部分頭信息的UDP數據包的轉發率滿足預設的防禦區間，從所對應的UDP數據包的頭信息中確定位於所述頭信息中的源地址信息和源埠信息最近的網絡接入設備，並向所確定的網絡接入設備發送控制表； 位於所述網絡接入設備的限制執行模塊，用於按照所述控制表對包含所述相同的部分頭信息的UDP數據包進行轉發限制。
9.根據權利要求8所述的防禦數據流攻擊的系統，其特徵在於:所述控制表設定模塊包括: 位於所述控制端的選擇監聽反饋數據包子模塊，用於當包含相同頭信息部分相同的部分頭信息的UDP數據包的轉發率滿足預設的第一防禦子區間，從所對應的UDP數據包的頭信息中確定位於所述頭信息中的源地址信息和源埠信息最近或最遠的網絡接入設備，令所確定的網絡接入設備監聽對應UDP數據包的反饋數據包； 位於所確定的網絡接入設備端的監聽反饋數據包子模塊，用於監聽所轉發的各所述反饋數據包，並將所監聽的各所述反饋數據包的頭信息發送至所述控制端； 位於所述控制端的第一控制表設定子模塊，用於從所接收的各所述反饋數據包的頭信息中確定對應包含所述相同的部分頭信息的UDP數據包的反饋數據包，並在所確定的反饋數據包的轉發率滿足所述第一防禦子區間時，向位於所述頭信息中的源地址信息和源埠信息最近的網絡接入設備發送包含限制對包含所述相同的部分頭信息的UDP數據包進行轉發的控制表； 或者，位於所述控制端的第二控制表設定子模塊，用於當包含所述相同的部分頭信息的UDP數據包的所述轉發率滿足預設的第二防禦子區間，向所確定的網絡接入設備發送包含丟棄包含所述相同的部分頭信息的UDP數據包的控制表，其中，所述第一防禦子區間小於所述第二防禦子區間。
10.根據權利要求6、8或9所述的防禦數據流攻擊的系統，其特徵在於:所述防禦系統還包括解除單元，用於當包含所述相同的部分頭信息的UDP數據包的轉發率低於所述防禦區間的最小值，令所述網絡接入設備解除對所述UDP數據包的轉發限制。
【文檔編號】H04L29/06GK104486340SQ201410785010
【公開日】2015年4月1日 申請日期:2014年12月16日 優先權日:2014年12月16日
【發明者】翟躍 申請人:上海斐訊數據通信技術有限公司