【技术实现步骤摘要】
本专利技术涉及网络安全,尤其涉及一种基于基数树的syn flood攻击防御系统。
技术介绍
1、近年来ddos(分布式拒绝服务攻击,distributed denial of service,ddos)攻击的数量和威胁逐渐增大,其利用了客户端/服务器技术,源攻击者将网络中众多代理服务器联合起来组成僵尸网络,共同对受害目标发起攻击。ddos攻击形式多种多样,随着技术的发展也越来越复杂,变化越来越多端。
2、现有技术下,syn flood(tcp半开放泛洪)攻击是ddos攻击最普通最常见的形式,防火墙如果做ddos攻击防御功能,首先应该具备syn flood防攻击能力,但是,目前的synflood攻击防御,大多数都集合到了专业的抗d设备中(指专业的抗ddos攻击的防御设备),这种设备部署到网络需要对其进行提前规划;另外云环境下,所有流量需先流经抗d设备进行清洗,容易形成单点瓶颈;也有少量把抗d系统(含syn flood攻击防御功能)集成到云防火墙的产品,但是这些产品里的抗d系统对云防火墙自身来说,又过于臃肿,大多不够灵活简便。
技术实现思路
1、本部分的目的在于概述本专利技术的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和专利技术名称中可能会做些简化或省略以避免使本部分、说明书摘要和专利技术名称的目的模糊,而这种简化或省略不能用于限制本专利技术的范围。
2、鉴于上述现有技术下存在的问题,提出了本专利技术。
3、为解决上述
4、一种基于基数树的syn flood攻击防御系统,包括阈值检测模块、名单过滤模块和攻击检测模块;
5、所述阈值检测模块用于对syn报文进行pps速率统计,并且根据pps速率统计的结果控制攻击检测模块的开启和关闭;
6、所述名单过滤模块用于保存攻击检测模块对syn报文的检测结果,并且根据检测结果选择将syn报文的源ip加入黑名单或白名单;
7、所述攻击检测模块用于对不同种类的ddos攻击进行综合考虑,并且对不同的攻击做出不同的检测和应对方法。
8、作为本专利技术所述一种基于基数树的syn flood攻击防御系统的一种优选方案,其中,所述阈值检测模块综合考虑日志和统计,若pps速率没有超过阈值,则不开启攻击检测模块,若pps速率超过阈值,则开启攻击检测模块。
9、作为本专利技术所述一种基于基数树的syn flood攻击防御系统的一种优选方案,其中,所述名单过滤模块设置有黑名单和白名单,所述名单过滤模块基于基数树的ip地址查找名单,若syn报文经攻击检测模块判定为攻击报文,则将该报文的源ip加入名单过滤模块的黑名单,若报文经攻击检测模块判定为正常报文,则将该报文的源ip加入名单过滤模块的白名单。
10、作为本专利技术所述一种基于基数树的syn flood攻击防御系统的一种优选方案,其中,匹配所述黑名单的报文直接丢弃,未匹配所述黑名单的报文进入下一业务点,黑名单的业务点维护黑名单表项,首个匹配黑名单的报文会建立统计节点,后续报文每匹配一次统计数据会随之增加一次,匹配所述白名单的报文被标记为“不许攻击检测模块检测”,直接绕过攻击检测模块。
11、作为本专利技术所述一种基于基数树的syn flood攻击防御系统的一种优选方案,其中,基数树ip地址的每个节点包含user_date,基数树ip地址包含了单个ip以及整个网段。
12、作为本专利技术所述一种基于基数树的syn flood攻击防御系统的一种优选方案,其中,所述攻击检测模块支持典型泛洪攻击,并且所述攻击检测模块支持上报告警日志、丢弃报文、源认证和加入黑名单的防御手段。
13、作为本专利技术所述一种基于基数树的syn flood攻击防御系统的一种优选方案,其中,所述攻击检测模块支持创建、删除及查看攻击防御策略,所述攻击检测模块按照策略来组织规则。
14、作为本专利技术所述一种基于基数树的syn flood攻击防御系统的一种优选方案,其中,所述攻击检测模块支持按照攻击类别分别创建、删除、修改查看攻击检测与防御规则防御策略中具体的检测及防御规则,所述攻击检测模块根据ddos攻击类别的不同,可以分别进行设置。
15、作为本专利技术所述一种基于基数树的syn flood攻击防御系统的一种优选方案,其中,所述攻击检测模块支持查看并清除攻击统计数据,所述攻击检测模块支持查看防御策略所应用的攻击统计数据。
16、作为本专利技术所述一种基于基数树的syn flood攻击防御系统的一种优选方案,其中,所述攻击检测模块支持查看代理保护ip、信任ip及黑名单表项,且所述攻击检测模块支持tcp源认证、dns源认证及http源认证功能。
17、本专利技术的有益效果:
18、本专利技术提出一种灵活、轻量、高性能的syn flood防御系统,该系统便于集成到云防火墙上发挥基本的抗d能力,随防火墙可大量部署,相当于每一台防火墙都能抵御synflood攻击,不容易被单点攻破,增强云环境的鲁棒性,另外该系统实现了抗ddos的基本框架,框架虽然轻量级,但是“麻雀虽小,五脏俱全”,具备可拓展性,后期还可以实现其他攻击方式的防御,例如icmp flood(icmp泛洪攻击)、udp flood(udp泛洪攻击)的能力,最后,基于dpdk(数据平台开发套件,data plane development kit,dpdk)的编程优化手段、以及基于基数树的高效查找优化,显示了本系统的高性能。实测发现,本系统性能优于同类其他产品。
本文档来自技高网...【技术保护点】
1.一种基于基数树的SYN Flood攻击防御系统,其特征在于,包括阈值检测模块、名单过滤模块和攻击检测模块;
2.根据权利要求1所述的一种基于基数树的SYN Flood攻击防御系统,其特征在于,所述阈值检测模块综合考虑日志和统计,若PPS速率没有超过阈值,则不开启攻击检测模块,若PPS速率超过阈值,则开启攻击检测模块。
3.根据权利要求1所述的一种基于基数树的SYN Flood攻击防御系统,其特征在于,所述名单过滤模块设置有黑名单和白名单,所述名单过滤模块基于基数树的IP地址查找名单,若SYN报文经攻击检测模块判定为攻击报文,则将该报文的源IP加入名单过滤模块的黑名单,若报文经攻击检测模块判定为正常报文,则将该报文的源IP加入名单过滤模块的白名单。
4.根据权利要求3所述的一种基于基数树的SYN Flood攻击防御系统,其特征在于,匹配所述黑名单的报文直接丢弃,未匹配所述黑名单的报文进入下一业务点,黑名单的业务点维护黑名单表项,首个匹配黑名单的报文会建立统计节点,后续报文每匹配一次统计数据会随之增加一次,匹配所述白名单的报文被标记为“不许攻击
5.根据权利要求3所述的一种基于基数树的SYN Flood攻击防御系统,其特征在于,基数树IP地址的每个节点包含user_date,基数树IP地址包含了单个IP以及整个网段。
6.根据权利要求1所述的一种基于基数树的SYN Flood攻击防御系统,其特征在于,所述攻击检测模块支持典型泛洪攻击,并且所述攻击检测模块支持上报告警日志、丢弃报文、源认证和加入黑名单的防御手段。
7.根据权利要求1所述的一种基于基数树的SYN Flood攻击防御系统,其特征在于,所述攻击检测模块支持创建、删除及查看攻击防御策略,所述攻击检测模块按照策略来组织规则。
8.根据权利要求1所述的一种基于基数树的SYN Flood攻击防御系统,其特征在于,所述攻击检测模块支持按照攻击类别分别创建、删除、修改查看攻击检测与防御规则防御策略中具体的检测及防御规则,所述攻击检测模块根据DDOS攻击类别的不同,可以分别进行设置。
9.根据权利要求1所述的一种基于基数树的SYN Flood攻击防御系统,其特征在于,所述攻击检测模块支持查看并清除攻击统计数据,所述攻击检测模块支持查看防御策略所应用的攻击统计数据。
10.根据权利要求1所述的一种基于基数树的SYN Flood攻击防御系统,其特征在于,所述攻击检测模块支持查看代理保护IP、信任IP及黑名单表项,且所述攻击检测模块支持TCP源认证、DNS源认证及HTTP源认证功能。
...【技术特征摘要】
1.一种基于基数树的syn flood攻击防御系统,其特征在于,包括阈值检测模块、名单过滤模块和攻击检测模块;
2.根据权利要求1所述的一种基于基数树的syn flood攻击防御系统,其特征在于,所述阈值检测模块综合考虑日志和统计,若pps速率没有超过阈值,则不开启攻击检测模块,若pps速率超过阈值,则开启攻击检测模块。
3.根据权利要求1所述的一种基于基数树的syn flood攻击防御系统,其特征在于,所述名单过滤模块设置有黑名单和白名单,所述名单过滤模块基于基数树的ip地址查找名单,若syn报文经攻击检测模块判定为攻击报文,则将该报文的源ip加入名单过滤模块的黑名单,若报文经攻击检测模块判定为正常报文,则将该报文的源ip加入名单过滤模块的白名单。
4.根据权利要求3所述的一种基于基数树的syn flood攻击防御系统,其特征在于,匹配所述黑名单的报文直接丢弃,未匹配所述黑名单的报文进入下一业务点,黑名单的业务点维护黑名单表项,首个匹配黑名单的报文会建立统计节点,后续报文每匹配一次统计数据会随之增加一次,匹配所述白名单的报文被标记为“不许攻击检测模块检测”,直接绕过攻击检测模块。
5.根据权利要求3所述的一种基于基数树的syn flood攻击防御系统,其特征在于,基数树ip地址的每个节点...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。