本發明實施例公開了一種DDoS攻擊防御方法、裝置及系統，控制器接收攻擊檢測設備發送的、包括被檢測出的攻擊報文的第一特征信息攻擊信息；從各個網絡節點獲取包括對應網絡節點已經轉發的報文的第二特征信息節點信息；通過匹配第一特征信息與第二特征信息，從參考網絡節點確定轉發攻擊報文、距離攻擊報文源頭最近的網絡節點作為攻擊防御設備；最后控制攻擊防御設備過濾攻擊報文。在上述過程中，控制器在位于運營商網絡邊緣的網絡節點上執行防御操作，將攻擊報文攔截在運營商網絡入口處，能夠有效減少進入運營商網絡內部的攻擊報文，節約帶寬資源，進而保證運營商網絡內部的網絡通暢。

技術領域

本發明涉及通信技術領域，特別是涉及一種分布式拒絕服務(英文：distributeddenial-of-service，簡稱DDoS)攻擊防御方法、裝置及系統。

背景技術

DDoS是一種利用多臺主機向目標主機發送攻擊報文，導致目標主機對正常業務請求拒絕服務的攻擊行為。DDoS通過制造高流量無用數據，使目標主機所在網絡充斥大量的無用數據包，從而造成網絡擁塞，使目標主機無法正常和外界通訊。

如圖1所示的運營商網絡包括位于運營商網絡內部的網絡節點C1至C4，以及位于運營商網絡邊緣的網絡節點E1至E5。其中，網絡節點C1位于運營商網絡的核心層，用于承擔核心數據交互；網絡節點C2、C3和C4均連接至網絡節點C1，用于承擔相應區域內部的用戶數據交互，以及將用戶數據匯入到網絡節點C1；網絡節點E1至E5為用戶主機的接入節點，用戶主機通過網絡節點E1至E5中的任意一個接入運營商網絡。在圖1所示的運營商網絡中，目標主機通過網絡節點E1接入運營商網絡，為防止DDoS攻擊，通常的做法是為目標主機設置防御系統。所述防御系統包括攻擊檢測設備、防御管理設備和清理設備；所述防御檢測設備設置在網絡節點E1上，通過檢測網絡節點E1轉發的報文，判斷是否出現DDoS攻擊，并在檢測到攻擊報文后，向防御管理設備發出攻擊報警；所述防御管理設備與攻擊檢測設備和清理設備均相連接，接收來自攻擊檢測設備的攻擊報警，并向清理設備下發流量清理命令；所述清理設備通常設置在網絡節點C1上，在接收到流量清理命令后將報文流量均引向自己，對報文流量進行清洗，以去除其中的DDoS攻擊報文，再將經過清理后的流量通過網絡節點C1、網絡節點C2以及網絡節點E1重新注入給目標主機。

然而，發明人通過研究發現，在DDoS攻擊過程中，網絡節點E5上接入的攻擊主機發出的攻擊報文通過網絡節點C4、網絡節點C1、網絡節點C2以及網絡節點E1，對目標主機進行攻擊；網絡節點E2上接入的攻擊主機發出的攻擊報文通過網絡節點E2、網絡節點C2以及網絡節點E1，對目標主機進行攻擊；如果進行流量清理，清理設備將所述攻擊報文引流至自己，那么當所述攻擊報文的流量較大時，很容易導致網絡節點C1與網絡節點C4，以及網絡節點C1與網絡節點C2之間的帶寬資源被大量消耗，進而造成網絡節點C1附近的網絡擁堵，難以達到DDoS防御要求。

發明內容

本發明實施例中提供了一種DDoS攻擊防御方法、裝置及系統，以減少DDoS防御過程中網絡節點之間的帶寬資源消耗。

為了解決上述技術問題，本發明實施例公開了如下技術方案：

本發明第一方面提供了一種DDoS攻擊防御方法，該方法包括：接收攻擊檢測設備發送的攻擊信息，所述攻擊信息包括被檢測出的攻擊報文的第一特征信息；獲取多個網絡節點的節點信息，每個網絡節點的節點信息包括所述網絡節點已經轉發的報文的第二特征信息；逐一匹配所述第一特征信息與所述多個網絡節點中每個網絡節點的第二特征信息，根據匹配結果從參考網絡節點中確定轉發所述攻擊報文且距離所述攻擊報文的源頭最近的網絡節點作為攻擊防御設備，其中，所述參考網絡節點為能夠進行DDoS攻擊防御的網絡節點；控制攻擊防御設備根據所述第一特征信息過濾后續接收的攻擊報文。采用本實現方式，在位于運營商網絡邊緣的網絡節點上執行防御操作，將攻擊報文攔截在運營商網絡入口處，能夠有效減少進入運營商網絡內部的攻擊報文，進而節約帶寬資源，保證運營商網絡內部的網絡通暢。