技術領域

本發明屬于網絡通信安全技術領域，具體涉及一種抗分布式拒絕服務(Distributed?Denial?Of?Service,DDOS)攻擊的控制方法和裝置。

背景技術

拒絕服務(Denial?Of?Service,DOS)攻擊是當前網絡中威脅最大的攻擊之一。DOS攻擊主要是通過惡意手段使目標服務器的CPU達到滿載，耗盡服務器的資源，從而使用戶無法實現對服務器的正常訪問。分布式拒絕服務(Distributed?Denial?Of?Service,DDOS)攻擊指借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動攻擊，從而成倍地提高DOS攻擊的威力。

目前，大多數防火墻設備都提供抗DDOS攻擊服務，為了預防DDOS攻擊，防火墻設備一般一直開啟著抗DDOS攻擊模塊，以有效的阻止DDOS攻擊行為。但是，如果防火墻一直開啟著抗DDOS攻擊模塊，則需要對所有通過防火墻的數據包都進行攻擊檢測，如此，增加了防火墻的檢測負擔，從而導致防火墻轉發數據包的速率下降，降低了防火墻的性能。

發明內容

本發明的目的是提供一種抗DDOS攻擊的方法和裝置，僅在需要的時候才開啟抗DDOS攻擊服務，在保證阻止DDOS攻擊的前提下，有效的保證了數據轉發的速率。

根據本發明的一個方面，提供了一種抗分布式拒絕服務DDOS攻擊的控制方法，所述方法包括如下步驟：

配置session表的創建速率閾值；

檢測當前session表的創建速率；

比較所述當前session表創建速率與所述閾值；

當所述當前session表的創建速率大于或等于所述閾值時，開啟抗DDOS攻擊服務；

當所述當前session表的創建速率小于所述閾值時，關閉抗DDOS攻擊服務。

上述方案中，所述配置session表的創建速率閾值，具體為：

通過命令語句查看session表創建速率的統計值，根據所述統計值配置session表的創建速率閾值。

上述方案中，所述統計值至少包括：當日session表創建速率的最大值和平均值、當前周session表創建速率的最大值和平均值和當前月session表創建速率的最大值和平均值。

上述方案中，所述session表由帶有因特網協議安全IPSec功能的網絡設備在轉發報文時進行創建。

本發明所提供的一種抗DDOS攻擊的控制方法，通過預先配置session表創建速率閾值，當檢測到的當前session表的創建速率大于或等于所述閾值時，開啟抗DDOS攻擊服務；當檢測到的當前session表的創建速率小于所述閾值時，關閉抗DDOS攻擊服務。如此，僅在需要的時候才開啟抗DDOS攻擊服務，克服了現有技術中DDOS服務需要一直處于開啟狀態、對所有轉發的數據包進行DDOS檢測的敝端，在保證阻止DDOS攻擊的前提下，有效的保證了數據轉發的速率。

根據本發明的另一個方面，還提供了一種抗分布式拒絕服務DDOS攻擊的控制裝置，所述裝置包括：

閾值配置單元，用于配置session表的創建速率閾值；

session表創建速率檢測單元，用于檢測當前session表的創建速率；

DDOS啟閉控制單元，分別與所述閾值配置單元和所述session表創建速率檢測單元連接，用于比較所述當前session表創建速率與所述閾值，當所述當前session表的創建速率大于所述閾值時，開啟抗DDOS攻擊單元；當所述當前session表的創建速率小于或等于所述閾值時，關閉抗DDOS攻擊單元；以及

所述抗DDOS攻擊單元，與所述DDOS啟閉控制單元相連，用于提供抗DDOS攻擊服務。

上述方案中，所述閾值配置單元進一步用于：通過命令語句查看session表創建速率的統計值，根據所述統計值配置session表創建速率閾值。

上述方案中，所述統計值至少包括：當日session表創建速率的最大值和平均值、當前周session表創建速率的最大值和平均值和當前月session表創建速率的最大值和平均值。

上述方案中，其特征在于，所述session表由帶有因特網協議安全IPSec功能的網絡設備在轉發報文時進行創建。

上述方案中，所述網絡設備為防火墻。