一种DDOS防御系统中清洗伪造源IP的方法和装置制造方法及图纸

本发明专利技术公开了一种DDOS防御系统中清洗伪造源IP的方法和装置。该方法包括：检测访问地址为目标服务器的报文流量；当所述报文流量超过设定阈值时，从所述流量中截取预设数量的报文作为待检测报文；获取其中一个待检测报文的源IP地址和生存时间值，根据该生存时间值计算该待检测报文途径网络节点的跳数；在本地数据表中查询所述源IP地址对应的跳数集合，当所述跳数不属于所述跳数集合时，丢弃该待检测报文，以避免该待检测报文达到所述目标服务器。采用本发明专利技术，可以有助于有效准确的清洗伪造流量。

【技术实现步骤摘要】

本专利技术涉及网络安全
，更具体地，涉及一种DDOS防御系统中清洗伪造源IP的方法和装置。
技术介绍
分布式拒绝服务(DDoS，DistributedDenialofService)攻击是攻击者通过让大量的网络流量同时涌向攻击目标，造成目标主机网络拥塞、资源耗尽甚至宕机，实现让目标主机拒绝服务的目的。DDOS攻击通常是由僵尸网络和代理服务器上各种攻击软件、应用软件产生大量流量来实现的。在攻击中，伪造源IP攻击是很常用的方式，原因有：(1)可以避免监管和追溯；(2)避免目标主机对攻击数据的响应给攻击主机带来压力；(3)通过伪造源IP还可以实现反射攻击，其威力巨大。DDOS防御系统就是用来检测和清洗这些异常流量，保障被攻击主机能够持续在线服务。在该系统中，源IP识别和与之相关的统计是常用的流量清洗依据。例如，(1)通过源IP与白名单、恶意名单匹配与否来决定是否放行；(2)在避免SYNFLOOD攻击时需要计算SYNcookie或者使用SYN首包丢弃/SYNproxy技术并维护大量的连接状态表；(3)在HTTP应用中，通过封源IP、对源IP限速的方式来解决源IP访问频率过快、流量过大、恶意访问等；(4)通过对爬虫源IP进行反向DNS查找来辨别google、百度等搜索网站爬虫的真伪，避免爬虫DDOS攻击。在上述DDOS防御过程中，如果有大量伪造源IP攻击，会导致攻击流量绕过防御系统或者给防御系统带来巨大压力：(1)伪造源IP如果命中白名单可能会直接穿透DDOS防御系统而不被阻拦；(2)伪造源IP的攻击特征是，攻击报文多，但是属于同一个源IP/同一个流的报文个数很少，大部分情况下一个源IP只会有一个报文，使得基于统计，流分析方式的清洗算法不能有效发挥，清洗效果不理想；(3)短时间内伪造源IP数量巨大，使得维护源IP统计表/连接状态表/计算syncookie将耗费很多DDOS防御系统的资源。这对防御系统本身带来挑战。
技术实现思路
鉴于上述问题，本专利技术提出了一种在DDOS防御系统中清洗伪造源IP的方法和系统，有助于有效准确的清洗伪造流量。本专利技术实施例中提供了一种DDOS防御系统中清洗伪造源IP的方法，包括：检测访问地址为目标服务器的报文流量；当所述报文流量超过设定阈值时，从所述流量中截取预设数量的报文作为待检测报文；获取其中一个待检测报文的源IP地址和生存时间值，根据该生存时间值计算该待检测报文途径网络节点的跳数；在本地数据表中查询所述源IP地址对应的跳数集合，当所述跳数不属于所述跳数集合时，丢弃该待检测报文，以避免该待检测报文达到所述目标服务器。优选地，根据该生存时间值计算该待检测报文途径网络节点的跳数的步骤，包括：从报文生存时间的系统初始设置值当中，选取一个大于且最接近所述生存时间值的系统初始设置值，作为所述待检测报文的报文初始值；将所述报文初始值减去所述生存时间值，获得该待检测报文途径网络节点的跳数。优选地，所述本地数据表至少包含由连续的IP地址组成的IP地址段和该IP地址段对应的跳数集合，在本地数据表中查询所述源IP地址对应的跳数集合的步骤，包括：在本地数据表中以升序或降序对所述IP地址段进行排列；根据所述源IP地址归属的IP地址段，获取对应的跳数集合。优选地，在本地数据表中查询所述源IP地址对应的跳数集合的步骤之后，还包括：当所述跳数属于所述跳数集合，且判定所述待检测报文符合所述目标服务器预设的筛查条件时，将该待检测报文转发到所述目标服务器。优选地，在本地数据表中查询所述源IP地址对应的跳数集合的步骤之后，还包括：当在本地数据表中查询不到所述源IP地址，或查询到的所述跳数集合为空集时，向所述源IP地址发送反探测报文；若收到所述源IP地址对所述反探测报文的响应报文，则根据所述响应报文的生存时间值计算跳数，并将该跳数添加至所述源IP地址对应的跳数集合之中，以备下一个待检测报文的查询；若收不到所述源IP地址对所述反探测报文的响应报文，则将所述待检测报文途径网络节点的跳数，添加至所述源IP地址对应的跳数集合之中，以备下一个待检测报文的查询。相应地，本专利技术实施例提供了一种DDOS防御系统中清洗伪造源IP的装置，包括：流量监控单元，用于检测访问地址为目标服务器的报文流量；流量牵引单元，用于当所述报文流量超过设定阈值时，从所述流量中截取预设数量的报文作为待检测报文；跳数计算单元，用于获取其中一个待检测报文的源IP地址和生存时间值，根据该生存时间值计算该待检测报文途径网络节点的跳数；判断清洗单元，用于在本地数据表中查询所述源IP地址对应的跳数集合，当所述跳数不属于所述跳数集合时，丢弃该待检测报文，以避免该待检测报文达到所述目标服务器。优选地，所述跳数计算单元，包括：初值估算单元，用于从报文生存时间的系统初始设置值当中，选取一个大于且最接近所述生存时间值的系统初始设置值，作为所述待检测报文的报文初始值；跳数推测单元，用于将所述报文初始值减去所述生存时间值，获得该待检测报文途径网络节点的跳数。优选地，所述本地数据表至少包含由连续的IP地址组成的IP地址段和该IP地址段对应的跳数集合，所述判断清洗单元，包括：IP段排列单元，用于在本地数据表中以升序或降序对所述IP地址段进行排列；归属查询单元，用于根据所述源IP地址归属的IP地址段，获取对应的跳数集合。优选地，还包括：判断转发单元和/或反向探测单元；所述判断转发单元，用于当所述跳数属于所述跳数集合，且判定所述待检测报文符合所述目标服务器预设的筛查条件时，将该待检测报文转发到所述目标服务器；所述反向探测单元，用于当在本地数据表中查询不到所述源IP地址，或查询到的所述跳数集合为空集时，向所述源IP地址发送反探测报文；所述反向探测单元还与所述本地数据表相连，若收到所述源IP地址对所述反探测报文的响应报文，则根据所述响应报文的生存时间值计算跳数，并将该跳数添加至所述源IP地址对应的跳数集合之中，以备下一个待检测报文的查询；若收不到所述源IP地址对所述反探测报文的响应报文，则将所述待检测报文途径网络节点的跳数，添加至所述源IP地址对应的跳数集合之中，以备下一个待检测报文的查询。相应地，本专利技术实施例还提供了一种DDOS防御系统，包括：交换机、清洗设备和检测设备；其中，所述清洗设备包含如前述的DDOS防御系统中清洗伪造源IP的装置，所述检测设备包含本地数据表；其中，所述交换机与目标服务器相连，用于转发访问地址为目标服务器的报文；所述清洗设备与所述交换机并联，用于分流访问地址为目标服务器的报文；所述检测设备连接在所述交换机与所述清洗设备之间，用于检测访问地址为目标服务器的报文，生成本地数据表，以供所述清洗设备进行清洗。相对于现有技术，本专利技术提供的方案，检测访问地址为目标服务器的报文流量；当所述报文流量超过设定阈值时，从所述流量中截取预设数量的报文作为待检测报文。流量检测可以采用对核心交换机镜像过来的入口流量进行分析、检测和统计，判断被保护服务器上是否有攻击发生，如果判定有攻击发生，再通过流量牵引技术截取发往目标服务器的部分预设数量的流量。对流量进行统计、分析和识别等处理，获取其中一个待检测报文的源IP地址和生存时间值，根据该生存时间值计算该待检测报文途径网络节点的跳数；本文档来自技高网...

【技术保护点】
一种DDOS防御系统中清洗伪造源IP的方法，其特征在于，包括：检测访问地址为目标服务器的报文流量；当所述报文流量超过设定阈值时，从所述流量中截取预设数量的报文作为待检测报文；获取其中一个待检测报文的源IP地址和生存时间值，根据该生存时间值计算该待检测报文途径网络节点的跳数；在本地数据表中查询所述源IP地址对应的跳数集合，当所述跳数不属于所述跳数集合时，丢弃该待检测报文，以避免该待检测报文达到所述目标服务器。

【技术特征摘要】
1.一种DDOS防御系统中清洗伪造源IP的方法，其特征在于，包括：检测访问地址为目标服务器的报文流量；当所述报文流量超过设定阈值时，从所述流量中截取预设数量的报文作为待检测报文；获取其中一个待检测报文的源IP地址和生存时间值，根据该生存时间值计算该待检测报文途径网络节点的跳数；在本地数据表中查询所述源IP地址对应的跳数集合，当所述跳数不属于所述跳数集合时，丢弃该待检测报文，以避免该待检测报文达到所述目标服务器。2.根据权利要求1所述的DDOS防御系统中清洗伪造源IP的方法，其特征在于，根据该生存时间值计算该待检测报文途径网络节点的跳数的步骤，包括：从报文生存时间的系统初始设置值当中，选取一个大于且最接近所述生存时间值的系统初始设置值，作为所述待检测报文的报文初始值；将所述报文初始值减去所述生存时间值，获得该待检测报文途径网络节点的跳数。3.根据权利要求1所述的DDOS防御系统中清洗伪造源IP的方法，其特征在于，所述本地数据表至少包含由连续的IP地址组成的IP地址段和该IP地址段对应的跳数集合，在本地数据表中查询所述源IP地址对应的跳数集合的步骤，包括：在本地数据表中以升序或降序对所述IP地址段进行排列；根据所述源IP地址归属的IP地址段，获取对应的跳数集合。4.根据权利要求1所述的DDOS防御系统中清洗伪造源IP的方法，其特征在于，在本地数据表中查询所述源IP地址对应的跳数集合的步骤之后，还包括：当所述跳数属于所述跳数集合，且判定所述待检测报文符合所述目标服务器预设的筛查条件时，将该待检测报文转发到所述目标服务器。5.根据权利要求1所述的DDOS防御系统中清洗伪造源IP的方法，其特征在于，在本地数据表中查询所述源IP地址对应的跳数集合的步骤之后，还包括：当在本地数据表中查询不到所述源IP地址，或查询到的所述跳数集合为空集时，向所述源IP地址发送反探测报文；若收到所述源IP地址对所述反探测报文的响应报文，则根据所述响应报文的生存时间值计算跳数，并将该跳数添加至所述源IP地址对应的跳数集合之中，以备下一个待检测报文的查询；若收不到所述源IP地址对所述反探测报文的响应报文，则将所述待检测报文途径网络节点的跳数，添加至所述源IP地址对应的跳数集合之中，以备下一个待检测报文的查询。6.一种DDOS防御系统中清洗伪造源IP的装置，其特征在于，包括：流量监控单元，用于检测访问地址为目标服务器的报文流量；流量牵引单元，用于当所述报文流量超过设定阈值时，从所述流量中截取预设数量的报文作为待检测报文；跳数计...

【专利技术属性】
技术研发人员：王辉，
申请(专利权)人：广州华多网络科技有限公司，
类型：发明
国别省市：广东;44