【技术实现步骤摘要】
一种反射放大Flood攻击流量存储方法
[0001]本专利技术一般网络安全领域,并且更具体地,涉及一种反射放大
Flood
攻击流量存储方法
。
技术介绍
[0002]对于安全厂商而言,全流量存储回溯系统通常具有数据包采集
、
协议解码与分析
、
流量统计
、
故障诊断与性能管理等多种功能为一体的网络分析产品,能够提供高精度网络诊断分析,多层次展现网络通讯全景,有效地帮助网络管理者梳理网络应用
。
[0003]反射放大
Flood
泛洪攻击是近年来最流行的
DoS(Denial of Service
,拒绝服务攻击
)
与
DDoS(Distributed Denial of Service
,分布式拒绝服务攻击
)
的方式之一,成为全球第三大的
DDos
攻击,简称反射放大攻击
。
反射放大攻击仍然是目前带宽消耗型
DDoS 攻击的主力军,众多知名大流量
DDoS 攻击事件中,都有反射放大攻击身影
。
[0004]反射放大攻击的一大特点就是攻击源为可用的服务器,随着科技的发展,反射放大
DDoS
的攻击报文也变得多种多样,攻击者可能向不同攻击源发送各种长度的请求报文来攻击目标,使得反射放大攻击更难被识别出攻击类型
。
当反射泛洪攻击时,全流量存储回溯系统会...
【技术保护点】
【技术特征摘要】
1.
一种反射放大
Flood
攻击流量存储方法,其特征在于,包括:主线程配置若干个
worker
线程和
reflection
线程;所述
reflection
线程的数量为所述
worker
线程的
1/2
,且对应设置所述
reflection
线程所处理报文的长度范围;所述
worker
线程接收到报文,查询会话哈希表和
reply
半表哈希表,根据查询结果将所述报文存储在存储列表中;若所述
worker
线程中处理时间达到预设的第三时间阈值或达到预设条件,则根据所述
worker
线程的存储列表中报文的长度,将报文发送至对应长度范围的
reflection
线程;所述
reflection
线程接收到报文,若判断所述报文为反射攻击报文,则构建索引表;对所述
reply
半表的存储列表中同一目标的反射攻击报文进行磁盘存储,并将所述反射攻击报文对应的报文地址记录到所述索引表,释放所述反射攻击报文对应的存储列表空间
。2.
根据权利要求1所述的方法,其特征在于,所述查询会话哈希表和
reply
半表哈希表,根据查询结果将所述报文存储在存储列表中,包括:若所述报文所属会话在所述会话哈希表中,则对所述报文进行正常流量存储,否则判断是否所述报文是否为
reply
报文;若所述报文为
reply
报文,则查询
reply
半表,判断所述
reply
半表中是否存在所述
reply
报文对应的表项;若所述报文不是
reply
报文,则新建会话表项,对所述报文进行存储;若所述
reply
半表中存在所述
reply
报文对应的表项,则将所述
reply
报文存入所述表项对应的存储列表中;若所述
reply
半表中不存在所述
reply
报文对应的表项,则在所述
reply
半表中新建所述
reply
报文对应的表项,记录所述
reply
报文的应用类型,将所述
reply
报文存入所述表项对应的存储列表中,并将关键码值映射到所述
reply
半表哈希表中
。3.
根据权利要求2所述的方法,其特征在于,所述将所述
reply
报文存入所述表项对应的存储列表中,包括:若未到达预设的第一时间阈值,则将所述
reply
报文存入
reply
半表中对应表项的通用存储列表中;若达到预设的第一时间阈值,则将所述
reply
报文存入
reply
半表中对应表项的基于长度的存储列表中
。4.
根据权利要求3所述的方法,其特征在于,若所述
reply
半表在预设的第二时间阈值内未收到报文,则将所述
reply
半表中表项的存储列表中的报文移交至
reflection
线程处理,删除所述
reply
半表中的表项,并将所述表项对应的关键码值从所述
reply
半表哈希表中移除
。5.
根据权利要求1所述的方法,其特征在于,所述预设条件为:所述
worker
线程中的
r...
【专利技术属性】
技术研发人员:曲武,胡永亮,
申请(专利权)人:金睛云华沈阳科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。