本發明涉及網絡技術，尤其涉及一種分流反射型DDOS流量的方法及系統。

背景技術：

目前不論是應對普通的DDOS攻擊抑或反射型DDOS攻擊，都采用在被保護端前部署流量清洗設備，使用主動檢測和被動牽引清洗的方式，這種方式具有非常大的缺陷，就是流量一旦已經形成，來到被保護端的傳輸鏈路，再清洗只能起到相當一部分的作用，如果流量不足以使到傳輸擁塞，這種清洗方法還尚算比較有效，但一旦流量大到足以擁塞傳輸，這種清洗方案能起到的作用已經相當有限了，而反射型的DDOS攻擊流量，一般都能達到幾十Gbps以上，一般的數據中心和小運營商，都不一定能夠有足量的帶寬去傳輸如此巨大的流量。

還有一種比較新型的清洗方案，在每個網絡的傳輸源端都部署清洗設備，用來清洗每個源端發出的攻擊流量，這種清洗源端的方法能夠在攻擊流量發出點就可以清洗掉流量，對阻止大攻擊流量的形成具有非常明顯的效果，但也同樣有一個很大的缺點，這種清洗方法部署成本非常高昂，網絡的架設復雜度也比較大。

技術實現要素：

本發明的目的在于提出一種分流反射型DDOS流量的方法及系統，通過主動向被利用的基礎服務器發送請求，去引流并吸引基礎服務器的流量，減少攻擊者向基礎服務器發送的攻擊請求被處理的數量，進而間接減少基礎服務器向被攻擊目標發送的流量，達到對反射型流量進行分流的效果。

為達此目的，本發明采用以下技術方案：

一種分流反射型DDOS流量的方法，包括：

獲取并檢測網絡節點A的數據流，獲得攻擊源SIP和攻擊類型集合T；

將所述攻擊源SIP和攻擊類型T發送至引流設備；

所述引流設備向所述攻擊源SIP發送所述攻擊類型集合T的所有請求；

所述攻擊源SIP發出的攻擊流量被引流至網絡節點B，所述攻擊類型集合T所產生的T類型的攻擊流量被清洗，正常流量被回注；

其中攻擊源SIP為被黑客利用的基礎服務器的IP。

進一步，所述網絡節點A的帶寬較所述網絡節點B的帶寬窄。

進一步，獲取所述基礎服務器的數據流是通過分光或鏡像的方式，并通過算法分析和策略匹配檢測所述數據流，獲得所述攻擊源SIP和攻擊類型集合T。

一種分流反射型DDOS流量的系統，包括：

檢測設備，用于獲取并檢測網絡節點A的數據流，獲得攻擊源SIP和攻擊類型集合T，將所述攻擊源SIP和攻擊類型T發送至引流設備；

引流設備，用于向所述攻擊源SIP發送所述攻擊類型集合T的所有請求；

清洗設備，用于將所述攻擊源SIP發出的攻擊流量被引流至網絡節點B，所述攻擊類型集合T所產生的T類型的攻擊流量被清洗，正常流量被回注。

進一步，所述網絡節點A的帶寬較所述網絡節點B的帶寬窄。

進一步，所述檢測設備部署于所述網絡節點A，所述引流設備和清洗設備部署于所述網絡節點B。

進一步，所述檢測設備是通過分光或鏡像的方式獲取所述基礎服務器的數據流，并通過算法分析和策略匹配檢測所述數據流，獲得所述攻擊源SIP和攻擊類型集合T。

所述攻擊源SIP為被黑客利用的基礎服務器的IP，通過獲取并檢測所述網絡節點A的數據流以直接獲得攻擊源SIP和攻擊類型集合T，然后再將所述攻擊源SIP和攻擊類型T發送至引流設備，本實施例的所述引流設備是由幾臺普通的服務器組成，操作上更加方便快捷，對網絡架構和部署沒有嚴格的要求，部署非常容易且能夠非常有效控制成本。

所述引流設備向所述攻擊源SIP發送所述攻擊類型集合T的所有請求，所述攻擊源SIP發出的攻擊流量被引流至網絡節點B，所述攻擊類型集合T所產生的T類型的攻擊流量被清洗，正常流量被回注。

通過主動向被利用的所述基礎服務器發送所述攻擊類型集合T的所有請求，去引流并吸引所述基礎服務器的流量，因為所述基礎服務器所能發出的總流量一般是恒定的，其性能也是有限的，通過向所述基礎服務器發送請求，減少攻擊者向所述基礎服務器發送的攻擊請求被處理的數量，進而間接減少所述基礎服務器向被攻擊者發送的攻擊流量，達到對反射型DDOS流量進行分流的效果，避免被攻擊目標所在的網絡節點A生傳輸擁塞。

附圖說明

圖1是本發明其中一個實施例的分流反射型DDOS流量的方法的流程圖。

圖2是本發明其中一個實施例的分流反射型DDOS流量的系統的示意圖。

其中：檢測設備11、引流設備12、清洗設備13。

具體實施方式

下面結合附圖并通過具體實施方式來進一步說明本發明的技術方案。

一種分流反射型DDOS流量的方法包括：

步驟一S1：獲取并檢測網絡節點A的數據流，獲得攻擊源SIP和攻擊類型集合T；

步驟二S2：將所述攻擊源SIP和攻擊類型T發送至引流設備12；

步驟三S3：所述引流設備12向所述攻擊源SIP發送所述攻擊類型集合T的所有請求；

步驟四S4：所述攻擊源SIP發出的攻擊流量被引流至網絡節點B，所述攻擊類型集合T所產生的T類型的攻擊流量被清洗，正常流量被回注。

本實施例中的所述攻擊類型集合T包括ntp、ssdp和dns，這幾種攻擊類型較為常見，當然在其他實施例中所述攻擊類型集合T可以為其他的攻擊類型。

本實施例中，所述攻擊源SIP為被黑客利用的基礎服務器的IP，通過獲取并檢測所述網絡節點A的數據流以直接獲得攻擊源SIP和攻擊類型集合T，然后再將所述攻擊源SIP和攻擊類型T發送至引流設備12，本實施例的所述引流設備12是由幾臺普通的服務器組成，操作上更加方便快捷，對網絡架構和部署沒有嚴格的要求，部署非常容易且能夠非常有效控制成本。

所述引流設備12向所述攻擊源SIP發送所述攻擊類型集合T的所有請求，所述攻擊源SIP發出的攻擊流量被引流至網絡節點B，所述攻擊類型集合T所產生的T類型的攻擊流量被清洗，正常流量被回注。

通過主動向被利用的所述基礎服務器發送所述攻擊類型集合T的所有請求，去引流并吸引所述基礎服務器的流量，因為所述基礎服務器所能發出的總流量一般是恒定的，其性能也是有限的，通過向所述基礎服務器發送請求，減少攻擊者向所述基礎服務器發送的攻擊請求被處理的數量，進而間接減少所述基礎服務器向被攻擊者發送的攻擊流量，達到對反射型DDOS流量進行分流的效果，避免被攻擊目標所在的網絡節點A發生傳輸擁塞。

進一步，所述網絡節點A的帶寬較所述網絡節點B的帶寬窄。

這樣的話，能夠利用帶寬資源較為充足的所述網絡節點B保護帶寬資源較少的所述網絡節點A，降低所述網絡節點A發生傳輸擁塞的可能。

進一步，步驟一S1是通過分光或鏡像的方式獲取所述網絡節點A的數據流，并通過算法分析和策略匹配檢測所述數據流，獲得所述攻擊源SIP和攻擊類型集合T。

一種分流反射型DDOS流量的系統，包括：

檢測設備11，用于獲取并檢測網絡節點A的數據流，獲得攻擊源SIP和攻擊類型集合T，將所述攻擊源SIP和攻擊類型T發送至引流設備12；

引流設備12，用于向所述攻擊源SIP發送所述攻擊類型集合T的所有請求；

清洗設備13，用于將所述攻擊源SIP發出的攻擊流量被引流至網絡節點B，所述攻擊類型集合T所產生的T類型的攻擊流量被清洗，正常流量被回注。

本實施例中，所述攻擊源SIP為被黑客利用的基礎服務器的IP，通過獲取并檢測所述網絡節點A的數據流以直接獲得攻擊源SIP和攻擊類型集合T，然后再將所述攻擊源SIP和攻擊類型T發送至引流設備12，本實施例的所述引流設備12是由幾臺普通的服務器組成，操作上更加方便快捷，對網絡架構和部署沒有嚴格的要求，部署非常容易且能夠非常有效控制成本。

所述引流設備12向所述攻擊源SIP發送所述攻擊類型集合T的所有請求，所述攻擊源SIP發出的攻擊流量被引流至網絡節點B，所述攻擊類型集合T所產生的T類型的攻擊流量被清洗，正常流量被回注。

通過主動向被利用的所述基礎服務器發送所述攻擊類型集合T的所有請求，去引流并吸引所述基礎服務器的流量，因為所述基礎服務器所能發出的總流量一般是恒定的，其性能也是有限的，通過向所述基礎服務器發送請求，減少攻擊者向所述基礎服務器發送的攻擊請求被處理的數量，進而間接減少所述基礎服務器向被攻擊者發送的攻擊流量，達到對反射型DDOS流量進行分流的效果，避免被攻擊目標所在的網絡節點A發生傳輸擁塞。

進一步，所述網絡節點A的帶寬較所述網絡節點B的帶寬窄。

這樣的話，能夠利用帶寬資源較為充足的所述網絡節點B保護帶寬資源較少的所述網絡節點A，降低所述網絡節點A發生傳輸擁塞的可能。

進一步，所述檢測設備11部署于所述網絡節點A，所述引流設備12和清洗設備13部署于所述網絡節點B。

因為所述網絡節點A的帶寬資源較少，將所述檢測設備11部署于所述網絡節點A，更利于利用帶寬資源較為充足的所述網絡節點B保護帶寬資源較少的所述網絡節點A。

進一步，所述檢測設備11是通過分光或鏡像的方式獲取所述網絡節點A的數據流，并通過算法分析和策略匹配檢測所述數據流，獲得所述攻擊源SIP和攻擊類型集合T。

以上結合具體實施例描述了本發明的技術原理。這些描述只是為了解釋本發明的原理，而不能以任何方式解釋為對本發明保護范圍的限制?；诖颂幍慕忉?，本領域的技術人員不需要付出創造性的勞動即可聯想到本發明的其它具體實施方式，這些方式都將落入本發明的保護范圍之內。