[发明专利]一种UDP Flood攻击的防护方法及装置

说明书

本发明公开了一种UDP Flood攻击的防护方法及装置，应用于清洗设备，所述方法包括：接收终端发送的UDP报文，判断信任列表或限制列表中是否记录有所述终端的信息；如果否，基于TCP协议或ICMP协议向所述终端发送探测报文，判断是否接收到所述终端发送的响应报文，如果是，将所述UDP报文转发至服务器，如果否，对所述UDP报文进行限速处理。由于在本发明实施例中，清洗设备中保存有信任列表和限制列表，如果终端未记录在上述任一列表中，清洗设备基于TCP协议或ICMP协议向所述终端发送探测报文，从而确定是否将该终端记录在上述列表中，并对该UDP报文进行相应处理，使得当终端规模很大时，也能达到有效防护的目的。

技术领域

本发明涉及网络通信安全领域，尤其涉及一种用户数据报协议泛洪(UserDatagram Protocol Flood，UDP Flood)攻击的防护方法及装置。

背景技术

用户数据报协议泛洪(UDP Flood)是日渐猖獗的流量型拒绝服务(Denial ofService，DoS)攻击，常见的情况是利用大量用户数据报协议(User Datagram Protocol，UDP)小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100k pps的UDP Flood经常将线路上的骨干设备，例如防火墙打瘫，造成整个网段的瘫痪。由于UDP协议是一种无连接的协议，在UDP Flood攻击中，攻击者可发送大量虚假源IP地址的小UDP包。但是，由于UDP协议是一种无连接的协议，在进行数据传输之前，源IP不必与服务器进行连接，只要服务器有一个UDP的端口提供相关服务的话，那么源IP就可针对相关服务对所述服务器进行攻击。

现有技术中，在对UDP Flood攻击进行防护时，由于UDP协议是一种无连接的协议，清洗设备不能基于用户的连接状态分析源IP是否是虚假源IP，只能简单粗暴的做基于源IP的限速处理来达到缓解攻击对服务器的影响。这种限速处理是针对全部的源IP进行限速的，不能区分真实源IP和虚假源IP。正是由于UDP协议是一种无连接的协议，攻击者很容易伪造大量的虚假源IP发起攻击。现有技术中基于源IP限速的方法，当源IP规模很大时，基本不能发挥作用，放过的总流量往往大于服务器的承受能力，如果再进一步做基于出口的限速处理，又会造成对真实源IP的UDP报文的误杀，引发大量的投诉，用户的满意度难以保证。因此，现有技术中，在对UDP Flood攻击进行防护时，存在当源IP规模很大时，基本不能进行有效防护的问题。

发明内容

本发明实施例提供了一种UDP Flood攻击的防护方法及装置，用以解决现有技术中在对UDP Flood攻击进行防护时，存在当源IP规模很大时，基本不能进行有效防护的问题。

本发明实施例提供了一种UDP Flood攻击的防护方法，应用于清洗设备，该方法包括：

接收终端发送的UDP报文，判断自身保存的信任列表或限制列表中是否记录有所述终端的信息；

如果信任列表中记录有所述终端的信息，将所述UDP报文转发至服务器，如果限制列表中记录有所述终端的信息，对所述UDP报文进行限速处理；

否则，基于传输控制协议TCP或控制报文协议ICMP向所述终端发送探测报文，判断是否接收到所述终端发送的响应报文，如果是，在所述信任列表中添加所述终端的信息，并将所述UDP报文转发至服务器，如果否，在所述限制列表中添加所述终端的信息，并对所述UDP报文进行限速处理。

进一步地，所述判断自身保存的信任列表或限制列表中是否记录有所述终端的信息之前，所述方法还包括：

获取所述服务器的当前流量，判断所述当前流量是否大于预设的流量阈值，如果是，确定存在UDP Flood攻击，进行后续步骤。

进一步地，所述探测报文包括以下至少一种：

基于TCP协议的请求SYN报文或者确认ACK报文和基于ICMP协议的回声请求ICMPecho报文。