[发明专利]一种DDoS攻击的防御方法、系统及相关设备

权利要求书

1.一种DDoS攻击的防御方法，其特征在于，包括：

分布式拒绝服务DDoS封堵设备接收DDoS检测设备发送的DDoS攻击告警数据，所述DDoS攻击告警数据由所述DDoS检测设备通过对流入机房的业务流量进行解析得到，所述DDoS攻击告警数据包括目的IP和所述目的IP的业务流量大小；

所述DDoS封堵设备确定所述目的IP对应的客户类型，获取所述客户类型对应的封堵阈值，并将所述目的IP的业务流量大小与所述封堵阈值和所述机房的安全阈值进行比较；

所述DDoS封堵设备在所述目的IP的业务流量大小大于或等于所述封堵阈值，且小于所述安全阈值时，确定针对所述目的IP的业务流量的封堵策略为通知所述机房对所述目的IP的业务流量进行封堵，在所述目的IP的业务流量的大小大于或等于所述安全阈值时，确定所述封堵策略为联合运营商对所述目的IP的业务流量进行封堵；

若所述封堵策略为通知所述机房对所述目的IP的业务流量进行封堵，则所述DDoS封堵设备通知所述机房将所述目的IP的业务流量丢弃；

若所述封堵策略为联合运营商对所述目的IP的业务流量进行封堵，则所述DDoS封堵设备联合运营商将所述目的IP的业务流量在到达所述机房之前丢弃。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述DDoS封堵设备针对所述机房的目标运营商出口，获取告警时间相同的DDoS攻击告警数据对应的多个目的IP，将所述多个目的IP的业务流量的和与所述目标运营商对应的封堵阈值进行比较，所述目标运营商出口为所述机房包括的运营商出口中的任意一个；

若所述多个目的IP的业务流量的和大于或等于所述封堵阈值，则所述DDoS封堵设备根据所述多个目的IP分别对应的客户类型和业务流量大小，从所述多个目的IP中确定出待封堵的目的IP；

所述DDoS封堵设备确定针对所述DDoS攻击告警数据对应的业务流量的封堵策略为联合运营商对所述待封堵的目的IP的业务流量进行封堵。

3.一种DDoS攻击的防御方法，其特征在于，包括：

DDoS检测设备获取流入机房的业务流量；

所述DDoS检测设备根据网络协议栈的规范对所述业务流量进行数据包的解析，生成DDoS攻击告警数据，所述DDoS攻击告警数据包括目的IP和所述目的IP的业务流量大小；

所述DDoS检测设备向DDoS封堵设备发送所述DDoS攻击告警数据，以使得所述DDoS封堵设备根据所述目的IP的业务流量大小与所述目的IP对应的客户类型的封堵阈值和所述机房的安全阈值确定针对所述目的IP的业务流量的封堵策略，并根据所述封堵策略对所述目的IP的业务流量进行封堵，所述封堵策略包括通知所述机房对所述目的IP的业务流量进行封堵或者联合运营商对所述目的IP的业务流量进行封堵。

4.一种DDoS封堵设备，其特征在于，包括：

接收模块，用于接收DDoS检测设备发送的DDoS攻击告警数据，所述DDoS攻击告警数据由所述DDoS检测设备通过对流入机房的业务流量进行解析得到；

获取模块，用于将所述DDoS攻击告警数据与DDoS封堵规则进行匹配，获取针对所述DDoS攻击告警数据对应的业务流量的封堵策略，所述DDoS攻击告警数据包括目的IP和所述目的IP的业务流量大小；

所述获取模块，还用于确定所述目的IP对应的客户类型，获取所述客户类型对应的封堵阈值，并将所述目的IP的业务流量大小与所述封堵阈值和所述机房的安全阈值进行比较；

所述获取模块，还用于在所述目的IP的业务流量大小大于或等于所述封堵阈值，且小于所述安全阈值时，确定针对所述目的IP的业务流量的封堵策略为通知所述机房对所述目的IP的业务流量进行封堵，在所述目的IP的业务流量的大小大于或等于所述安全阈值时，确定所述封堵策略为联合运营商对所述目的IP的业务流量进行封堵；

封堵模块，用于若所述封堵策略为通知所述机房对所述目的IP的业务流量进行封堵，则通知所述机房将所述目的IP的业务流量丢弃，若所述封堵策略为联合运营商对所述目的IP的业务流量进行封堵，则联合运营商将所述目的IP的业务流量在到达所述机房之前丢弃。