[发明专利]一种UDP Flood攻击的防护方法及装置

权利要求书

1.一种用户数据报协议泛滥UDP Flood攻击的防护方法，其特征在于，应用于清洗设备，所述方法包括：

接收终端发送的UDP报文，判断自身保存的信任列表或限制列表中是否记录有所述终端的信息；

如果信任列表中记录有所述终端的信息，将所述UDP报文转发至服务器，如果限制列表中记录有所述终端的信息，对所述UDP报文进行限速处理；

否则，基于传输控制协议TCP或控制报文协议ICMP向所述终端发送探测报文，判断是否接收到所述终端发送的响应报文，如果是，在所述信任列表中添加所述终端的信息，并将所述UDP报文转发至服务器，如果否，在所述限制列表中添加所述终端的信息，并对所述UDP报文进行限速处理；

其中，所述探测报文包括基于TCP协议的请求SYN报文、确认ACK报文和基于ICMP协议的回声请求ICMP echo报文；

向所述终端发送SYN报文、ACK报文和ICMP echo报文，如果接收到SYN报文对应的响应报文、ACK报文对应的响应报文和ICMP echo报文对应的响应报文，则在所述信任列表中添加所述终端的信息，否则在所述限制列表中添加所述终端的信息；

所述对所述UDP报文进行限速处理包括：

获取所述信任列表中的每个终端，在第二设定时间长度内发送的UDP报文的总流量；

判断所述总流量是否大于所述服务器能接受的最大的理论流量；

如果是，确定对所述UDP报文限速处理后的转发速率为0；

如果否，根据所述服务器能接受的最大的理论流量和所述总流量的差值，确定限速后的所述UDP报文的转发速率，并根据限速后的转发速率转发所述UDP报文。

2.如权利要求1所述的方法，其特征在于，所述判断自身保存的信任列表或限制列表中是否记录有所述终端的信息之前，所述方法还包括：

获取所述服务器的当前流量，判断所述当前流量是否大于预设的流量阈值，如果是，确定存在UDP Flood攻击，进行后续步骤。

3.如权利要求1所述的方法，其特征在于，所述判断是否接收到所述终端发送的响应报文包括：

判断在第一设定时间长度内是否接收到所述终端发送的响应报文。

4.一种用户数据报协议泛滥UDP Flood攻击的防护装置，其特征在于，所述装置包括：

接收判断模块，用于接收终端发送的UDP报文，判断自身保存的信任列表或限制列表中是否记录有所述终端的信息；

第一处理模块，用于如果信任列表中记录有所述终端的信息，将所述UDP报文转发至服务器，如果限制列表中记录有所述终端的信息，对所述UDP报文进行限速处理；

第二处理模块，用于基于传输控制协议TCP或控制报文协议ICMP向所述终端发送探测报文，判断是否接收到所述终端发送的响应报文，如果是，在所述信任列表中添加所述终端的信息，并将所述UDP报文转发至服务器，如果否，在所述限制列表中添加所述终端的信息，并对所述UDP报文进行限速处理；

其中，所述探测报文包括基于TCP协议的请求SYN报文、确认ACK报文和基于ICMP协议的回声请求ICMP echo报文；

向所述终端发送SYN报文、ACK报文和ICMP echo报文，如果接收到SYN报文对应的响应报文、ACK报文对应的响应报文和ICMP echo报文对应的响应报文，则在所述信任列表中添加所述终端的信息，否则在所述限制列表中添加所述终端的信息；

所述第一处理模块和第二处理模块，具体用于获取所述信任列表中的每个终端，在第二设定时间长度内发送的UDP报文的总流量；判断所述总流量是否大于所述服务器能接受的最大的理论流量；如果是，确定对所述UDP报文限速处理后的转发速率为0；如果否，根据所述服务器能接受的最大的理论流量和所述总流量的差值，确定限速后的所述UDP报文的转发速率，并根据限速后的转发速率转发所述UDP报文。

5.如权利要求4所述的装置，其特征在于，所述装置还包括：

获取判断模块，用于获取所述服务器的当前流量，判断所述当前流量是否大于预设的流量阈值，如果是，确定存在UDP Flood攻击，触发接收判断模块。

6.如权利要求4所述的装置，其特征在于，所述第二处理模块，具体用于判断在第一设定时间长度内是否接收到所述终端发送的响应报文。