[发明专利]反射攻击防护方法、系统、介质和电子设备

说明书

本公开涉及一种反射攻击防护方法、系统、介质和电子设备，属于计算机技术领域，能够提高反射攻击的防护效率和性能。一种反射攻击防护方法，包括：对流入服务器的入向流量进行镜像得到镜像流量；对所述镜像流量进行自学习，以目的IP为统计对象，统计每个所述目的IP的源端口中存在业务流量的源端口作为所述目的IP对应的基线数据；对所述镜像流量进行分析，以检测所述目的IP是否遭受TCP反射攻击；若检测到所述目的IP遭受所述TCP反射攻击，则基于所述目的IP对应的基线数据进行反射攻击防护。

技术领域

本公开涉及计算机技术领域，具体地，涉及一种反射攻击防护方法、系统、介质和电子设备。

背景技术

反射攻击指的是攻击者控制僵尸网络伪造被攻击者的IP向公网中开放了特定服务的服务器发送请求报文，使得该服务器将给被攻击者应答比请求报文大几倍的响应报文，从而被攻击者接收到大量垃圾流量，最终实现对被攻击者的反射放大攻击。因此，亟需一种防护效率高、防护效果好的反射攻击防护方法。

发明内容

提供该发明内容部分以便以简要的形式介绍构思，这些构思将在后面的具体实施方式部分被详细描述。该发明内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征，也不旨在用于限制所要求的保护的技术方案的范围。

第一方面，本公开提供一种反射攻击防护方法，包括：对流入服务器的入向流量进行镜像得到镜像流量；对所述镜像流量进行自学习，以目的IP为统计对象，统计每个所述目的IP的源端口中存在业务流量的源端口作为所述目的IP对应的基线数据；对所述镜像流量进行分析，以检测所述目的IP是否遭受TCP反射攻击；若检测到所述目的IP遭受所述TCP反射攻击，则基于所述目的IP对应的基线数据进行反射攻击防护。

第二方面，本公开提供一种反射攻击防护系统，包括：镜像模块，用于对流入服务器的入向流量进行镜像得到镜像流量；防护模块，用于对所述镜像流量进行自学习，以目的IP为统计对象，统计每个所述目的IP的源端口中存在业务流量的源端口作为所述目的IP对应的基线数据，对所述镜像流量进行分析，以检测所述目的IP是否遭受TCP反射攻击，若检测到所述目的IP遭受所述TCP反射攻击，则基于所述目的IP对应的基线数据进行反射攻击防护。

第三方面，本公开提供一种计算机可读介质，其上存储有计算机程序，该程序被处理装置执行时实现本公开第一方面中任一项所述方法的步骤。

第四方面，本公开提供一种电子设备，包括：存储装置，其上存储有计算机程序；处理装置，用于执行所述存储装置中的所述计算机程序，以实现本公开第一方面中任一项所述方法的步骤。

通过采用上述技术方案，在检测到TCP反射攻击的情况下，是基于对镜像流量进行自学习而得到的基线数据来进行TCP反射攻击防护的，这就意味着通过自学习而使得基线数据能够随着镜像流量的变化而实时地动态变化，因此，实现了防护策略的自动、实时和动态调整，降低了误杀风险、提高了防护效果、避免了服务器由于遭受攻击而瘫痪并保障了业务稳定性，无需人工分析和配置防护策略从而提高了防护效率，无需人工维护和调整防护策略从而降低了运维成本，无需额外部署代理IP从而提高了场景适用性。

本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。

附图说明

结合附图并参考以下具体实施方式，本公开各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中，相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的，原件和元素不一定按照比例绘制。在附图中：

图1示出了TCP反射攻击过程的示意图。

图2示出基于中间盒的TCP反射攻击的示意图。

图3示出服务器前部署代理IP的场景示意图。

图4是根据本公开一种实施例的反射攻击防护方法的流程图。