技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及一種網(wǎng)絡(luò)攻擊防護(hù)方法、設(shè)備及系統(tǒng)。

背景技術(shù)

分布式拒絕服務(wù)(DDOS，Distribution?Denial?Of?Service)攻擊是一種主控者利用攻擊控制主機(jī)做跳板，控制大量受感染而被控制的攻擊主機(jī)組成攻擊網(wǎng)絡(luò)來(lái)對(duì)受害主機(jī)進(jìn)行大規(guī)模的拒絕服務(wù)攻擊的網(wǎng)絡(luò)攻擊行為。分布式拒絕服務(wù)攻擊通常利用攻擊網(wǎng)絡(luò)對(duì)受害主機(jī)發(fā)起大量服務(wù)請(qǐng)求報(bào)文，使得受害主機(jī)忙于處理這些突發(fā)請(qǐng)求，而無(wú)法正常響應(yīng)合法用戶請(qǐng)求，從而造成受害主機(jī)癱瘓。

現(xiàn)有技術(shù)中提出了一種通過(guò)DDOS清洗設(shè)備來(lái)對(duì)服務(wù)請(qǐng)求進(jìn)行清洗的網(wǎng)絡(luò)攻擊防護(hù)方法。該方法主要通過(guò)攻擊探測(cè)設(shè)備對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行探測(cè)，在探測(cè)到網(wǎng)絡(luò)攻擊后，通知DDOS清洗設(shè)備，DDOS清洗設(shè)備向路由器發(fā)送指令，使得目標(biāo)服務(wù)器(即受害主機(jī))的數(shù)據(jù)包全部從路由器引流到DDOS清洗設(shè)備，在DDOS清洗設(shè)備對(duì)數(shù)據(jù)包進(jìn)行清洗后，再返回給路由器，最終由路由器將清洗后的數(shù)據(jù)發(fā)送給目標(biāo)服務(wù)器。

發(fā)明人在研究現(xiàn)有技術(shù)的過(guò)程中發(fā)現(xiàn)，現(xiàn)有的網(wǎng)絡(luò)攻擊防護(hù)方法主要對(duì)受害主機(jī)進(jìn)行保護(hù)，只能在大流量的DDOS攻擊到達(dá)了受害主機(jī)才進(jìn)行清洗，而此時(shí)大流量的DDOS攻擊已經(jīng)造成了受害主機(jī)的上游網(wǎng)絡(luò)堵塞，浪費(fèi)了網(wǎng)絡(luò)帶寬。

發(fā)明內(nèi)容

本發(fā)明提供一種防止受害主機(jī)的上游網(wǎng)絡(luò)發(fā)生堵塞的網(wǎng)絡(luò)攻擊防護(hù)方法、設(shè)備及系統(tǒng)。

本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)攻擊防護(hù)方法，包括：

接收攻擊源信息，所述攻擊源信息中攜帶有攻擊主機(jī)的地址信息；

根據(jù)所述攻擊主機(jī)的地址信息以及預(yù)設(shè)的主機(jī)與網(wǎng)關(guān)之間的對(duì)應(yīng)關(guān)系獲得所述攻擊主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)的地址信息；

根據(jù)所述攻擊主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)的地址信息向所述攻擊主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)發(fā)送第一控制消息，所述第一控制消息指示所述攻擊主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)對(duì)所述攻擊主機(jī)的流量進(jìn)行控制。

本發(fā)明實(shí)施例還提供一種網(wǎng)絡(luò)攻擊防護(hù)方法，該方法包括：

接收攻擊源信息，所述攻擊源信息中攜帶有攻擊主機(jī)的地址信息；

根據(jù)所述攻擊主機(jī)的地址信息獲得所述攻擊主機(jī)所屬的攻擊網(wǎng)絡(luò)中攻擊控制主機(jī)的地址信息；

根據(jù)所述攻擊控制主機(jī)的地址信息以及預(yù)設(shè)的主機(jī)與網(wǎng)關(guān)之間的對(duì)應(yīng)關(guān)

系獲得所述攻擊控制主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)的地址信息；

根據(jù)所述攻擊控制主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)的地址信息向所述攻擊控制主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)發(fā)送第二控制消息，所述第二控制消息指示所述攻擊控制主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)對(duì)所述攻擊控制主機(jī)的流量進(jìn)行控制。

本發(fā)明實(shí)施例還提供一種網(wǎng)絡(luò)攻擊防護(hù)設(shè)備，包括：

接收單元，用于接收攻擊源信息，所述攻擊源信息中攜帶有攻擊主機(jī)的地址信息；

第一獲取單元，用于根據(jù)所述攻擊主機(jī)的地址信息以及預(yù)設(shè)的主機(jī)與網(wǎng)

關(guān)之間的對(duì)應(yīng)關(guān)系，獲得所述攻擊主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)的地址信息；

處理單元，用于根據(jù)所述攻擊主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)的地址信息向所述攻擊主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)發(fā)送第一控制消息，所述第一控制消息指示所述攻擊主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)對(duì)所述攻擊主機(jī)的流量進(jìn)行控制。

本發(fā)明實(shí)施例還提供一種網(wǎng)絡(luò)攻擊防護(hù)設(shè)備，包括：

接收模塊，用于接收攻擊源信息，所述攻擊源信息攜帶攻擊主機(jī)的地址信息；

第一獲取模塊，用于根據(jù)所述接收模塊所接收的所述攻擊主機(jī)的地址信息獲得所述攻擊主機(jī)所屬的攻擊網(wǎng)絡(luò)中攻擊控制主機(jī)的地址信息；

第二獲取模塊，用于根據(jù)所述攻擊控制主機(jī)的地址信息以及預(yù)設(shè)的主機(jī)與網(wǎng)關(guān)之間的對(duì)應(yīng)關(guān)系獲得所述攻擊控制主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)的地址信息；

處理模塊，用于根據(jù)所述攻擊控制主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)的地址信息向所述攻擊控制主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)發(fā)送第二控制消息，所述第二控制消息指示所述攻擊控制主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)對(duì)所述攻擊控制主機(jī)的流量進(jìn)行控制。

本發(fā)明實(shí)施例還提供一種網(wǎng)絡(luò)攻擊防護(hù)系統(tǒng)，包括網(wǎng)絡(luò)攻擊檢測(cè)設(shè)備、網(wǎng)絡(luò)攻擊防護(hù)設(shè)備、攻擊網(wǎng)絡(luò)監(jiān)控設(shè)備以及網(wǎng)關(guān)，其中：

所述網(wǎng)絡(luò)攻擊檢測(cè)設(shè)備，用于檢測(cè)網(wǎng)絡(luò)中的攻擊源，并向網(wǎng)絡(luò)攻擊防護(hù)設(shè)備發(fā)送攻擊源信息，所述攻擊源信息中攜帶有攻擊主機(jī)的地址信息；

所述網(wǎng)絡(luò)攻擊防護(hù)設(shè)備，用于接收所述網(wǎng)絡(luò)攻擊檢測(cè)設(shè)備發(fā)送的攻擊源信息，根據(jù)所述攻擊源信息向所述攻擊網(wǎng)絡(luò)監(jiān)控設(shè)備查詢所述攻擊主機(jī)所屬攻擊網(wǎng)絡(luò)中的攻擊控制主機(jī)的地址信息，并根據(jù)所述攻擊控制主機(jī)的地址信息以及預(yù)設(shè)的主機(jī)與網(wǎng)關(guān)之間的對(duì)應(yīng)關(guān)系獲得所述攻擊控制主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)的地址信息，向所述攻擊控制主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)發(fā)送控制消息，所述控制消息指示所述攻擊控制主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)對(duì)所述攻擊控制主機(jī)的流量進(jìn)行控制；