本申請提供一種反射攻擊防御方法、裝置、電子設備及存儲介質，涉及網絡安全技術領域。應用于清洗設備的方法包括：將經過網絡通信設備發送至遠端網絡的上行流量鏡像至清洗設備；在接收到檢測設備的聯動信息且牽引IP地址命中防護對象的源IP地址時，基于牽引IP牽引下行流量至清洗設備；基于鏡像的上行流量中的請求報文建立會話；基于會話，針對下行流量的每個流量包進行會話檢查；將會話檢查結果為正常的正常流量包發送至網絡通信設備。該方法在牽引IP命中源IP確定發生反射攻擊后，通過鏡像方式將上行流量鏡像到清洗設備直接創建會話信息，不依賴其他設備同步，實現了基于會話檢查的反射防御，降低會話創建消耗的資源量，避免誤清洗問題。

技術領域

本申請涉及網絡安全技術領域，具體而言，涉及一種反射攻擊防御方法、裝置、電子設備及存儲介質。

背景技術

反射攻擊，也叫反射放大攻擊，是利用服務器響應報文長度或者報文數遠大于請求的原理，攻擊者通過向網絡中現有的服務器發送大量的請求報文，并將請求的源地址設置為攻擊目標的地址，導致攻擊目標收到大量的響應報文，從而達到網絡擁塞或者消耗攻擊目標資源的目的。

目前針對反射攻擊最行之有效的防御方法是基于會話檢查的方式，即首先記錄請求報文的時間和狀態，當接收到響應報文時，通過檢查相應的會話狀態決定是否對其進行阻斷。當然，這種防御方法的前提是正常業務的請求必須經過抗DDoS(Distributed Denialof Service Attack，分布式拒絕服務攻擊)清洗設備，而攻擊流量的請求不經過抗DDoS清洗設備，這就要求被保護的目標盡可能靠近抗DDoS清洗設備，從而攻擊流量的請求無法經過抗DDoS清洗設備創建會話。

當抗DDoS清洗設備旁路部署時，默認情況下，任何流量不經過設備，只有當檢測設備檢測到攻擊時，才會通知清洗設備，將下行流量(上行流量為去往保護目標的方向；下行流量為從保護目標發出的流量)牽引到設備上進行清洗。這種情況下一般只能使用簡單的端口識別進行防御，或者基于業務模型的防御方式(即正常業務不可能有這么大的響應流量)。但由于無法區分正常響應和異常響應，這兩種方式的缺陷是容易對正常業務流量造成誤清洗。

發明內容

有鑒于此，本申請實施例的目的在于提供一種反射攻擊防御方法、裝置、電子設備及存儲介質，以改善現有技術中存在的容易對正常業務流量造成誤清洗問題。

本申請實施例提供了一種反射攻擊防御方法，應用于清洗設備，所述清洗設備分別與檢測設備、網絡通信設備連接，所述檢測設備還與所述網絡通信設備連接，防護對象通過所述網絡通信設備向遠端網絡發送包含請求報文的上行流量，所述遠端網絡通過所述網絡通信設備向所述防護對象發送包含響應報文的下行流量，所述方法包括：將經過所述網絡通信設備發送至所述遠端網絡的上行流量鏡像至所述清洗設備；在接收到所述檢測設備在確定存在反射攻擊時發送的聯動信息且所述聯動信息中的牽引網際互連協議IP地址命中所述防護對象的源IP地址時，基于所述牽引IP從所述網絡通信設備牽引所述下行流量至所述清洗設備；基于鏡像的上行流量中的請求報文建立會話；基于所述會話，針對所述下行流量的每個流量包進行會話檢查；將會話檢查結果為正常的正常流量包發送至所述網絡通信設備，以使所述正常流量包經過所述網絡通信設備到達所述防護對象。

在上述實現方式中，通過鏡像方式將上行流量鏡像到清洗設備直接創建會話信息，不依賴其他設備同步，不需要占用網絡資源同步會話信息，從而以簡單的方式實現了基于會話檢查的反射防御方法，而且在牽引IP命中源IP確定發生反射攻擊后，通過鏡像方式將上行流量鏡像到清洗設備直接創建會話信息，實現了攻擊流量和正常流量的有效區分，在避免了誤清洗問題的同時降低了反射攻擊防御方法對網絡及計算資源的占用率。

可選地，所述基于所述上行流量中的所述請求報文建立會話，包括：基于所述請求報文的五元組信息建立會話。

在上述實現方式中，通過請求報文的五元組信息建立會話，以使后續清洗設備進行會話信息檢查和異常流量清洗時能夠基于會話的五元組信息精準地確定異常流量報文，提高了清洗準確性。