[发明专利]一种防御拒绝服务攻击的方法和防护装置

说明书

技术领域

本发明涉及网络通信技术领域，尤指一种防御拒绝服务攻击的方法和防护装置。

背景技术

分布式拒绝服务(DDoS，Distributed Denial of Service)攻击是多个攻击者(主机)对同一个被攻击者(可包括主机、服务器和网络设备)发起攻击，使被攻击者不能正常工作的攻击方式。DDoS的典型特征为通过“多个打一个”的方式对被攻击者发起攻击，通过消耗被攻击者的带宽、CPU处理能力和内存占用等方式达到拒绝服务攻击的目的，而且尤以带宽消耗方式最为常见，也最为有效。

图1为现有的DDoS攻击体系结构示意图。如图1所示，攻击者通过控制成千上万的傀儡主机发送攻击报文，这种情况下，由于被攻击者的入口带宽有限，攻击报文通过挤占带宽使正常的业务流量无法访问被攻击者，从而达到拒绝服务攻击的目的。目前，最常见的DDoS攻击方式有：ICMPFLOOD、UDP FLODD、TCP SYN FLOOD、TCP ACK FLOOD等。

由于DDoS攻击的分布式、大流量特点，如果防御点靠近被攻击者部署，则由于带宽已经被挤占，被攻击者的CPU处理能力已经耗尽，往往不能达到防范效果。因此，一般采用异常流量检测加清洗模式的专用设备在靠近被攻击者的城域网侧部署。

图2是异常流量检测加清洗模式的DDoS攻击防御的原理示意图。如图2所示，正常流量在到达客户端之前被镜像到流量清洗中心；然后由异常流量检测平台根据预定的攻击防范方法进行异常流量检测，当发现攻击时通知业务管理平台；业务管理平台通知异常流量清洗平台开启攻击防御；异常流量清洗平台牵引流量，并对其中的异常流量进行清洗后回注流量；异常流量清洗平台在攻击停止时通知业务管理平台。

目前的攻击防范方法主要包括基于已知缺陷攻击防范和基于固定特征统计的防范。

基于已知缺陷攻击防范是针对已经知道的缺陷，分析其特点进行防范。例如，在ICMP FLOOD中，攻击者经常采用的方式是通过大报文进行ping攻击，以最大限度地消耗带宽，但在真实环境中这种长度超大的ICMP报文数量是非常少的，可以通过限制这种长度超大的ICMP报文的数量进行防范。又例如，在TCP SYN FLOOD中，攻击者经常发送源IP不断变化的SYN报文，一方面消耗带宽，另一方面利用一些操作系统处理单个SYN报文时也会建立状态机的缺陷，消耗被攻击者的内存资源。当前操作系统一般都弥补了这个缺陷，但仍然免不了受带宽消耗的攻击，因此针对这一攻击，通常由防护设备代替被攻击者进行应答，验证通过后的SYN报文才能通过。

基于固定特征统计的防范为：对于被保护的主机或服务器，其历史上的流量分布能够较清晰刻画其提供的服务，例如，对于一个HTTP服务器来说，访问量基本上比较平稳，如果突然某一天的流量比历史最大流量高了几倍甚至十几倍，则判定发生攻击了，可以根据历史流量进行阈值丢弃处理。例如，防护设备学习到达被保护主机或服务器TCP 80端口的流量，根据历史流量形成合适的阈值，当攻击发生时根据阈值进行报文丢弃处理。

但是，虽然基于已知缺陷攻击的防范方法对于已知的缺陷攻击可以进行精确防范，但是需要针对每种缺陷攻击专门进行处理，缺陷攻击类型越多，处理代价越高，如果攻击流量很大，针对每种缺陷攻击进行扫描是不现实的，因此，这种方案只作为辅助手段。而基于固定特征统计的防范方法只要知道被防护的服务类型和特征就可以根据历史数据得到合适的门限，也能对非法流量进行一定程度的甄别，实现简单，处理效率高，是目前DDoS防护设备采用的主要手段，但缺点是目前的服务器种类比较多，其中游戏服务器占了很大比例，每种游戏服务器的协议特征都不相同，很难根据服务类型和特征对这一类的服务器进行很好的防护。

发明内容

本发明提供了一种防御拒绝服务攻击的方法，该方法能够有效识别大流量的攻击报文。

本发明还提供了一种防御拒绝服务攻击的防护装置，该装置能够有效识别大流量的攻击报文。

为达到上述目的，本发明的技术方案具体是这样实现的：

本发明公开了一种防御拒绝服务攻击的方法，该方法包括：

获取主机或服务器的指定端口所接收报文的指定字段的取值统计分布，如果该指定字段取同一个值的概率高于预设阀值，则将该指定字段作为特征字段；

之后，对于所述指定端口所接收的报文，根据该报文的特征字段的取值以及特征字段的取值统计分布，确定该报文为攻击报文或业务报文。

本发明还公开了一种防御拒绝服务攻击的防护装置，该防护装置包括：特征字段获取模块和防护模块，其中，