[发明专利]一种拒绝服务攻击的防御方法及系统、设备及存储介质

说明书

本申请实施例公开了一种分布式拒绝服务DDoS攻击的防御方法及系统、电子设备及存储介质。所述分布式拒绝服务DDoS攻击的防御方法可包括：对被保护设备收发的传输流量，利用DDoS清洗设备对所述传输流量进行DDoS清洗；和/或，利用应用层防火墙对所述传输流量进行应用层清洗；根据所述传输流量的目的地址，传输清洗后的所述传输流量。如此可以实现防护源站的高防转发配置，支撑网络层(2‑4层)和应用层(4‑7层)实现对网络攻击的动态协同防御。

技术领域

本发明涉及网络安全领域，尤其涉及一种分布式拒绝服务DDoS攻击的防御方法及系统、电子设备及存储介质。

背景技术

高防IP是指高防机房所提供的IP，主要是针对网络中的DDoS攻击进行保护。如果一个网络攻击者想对目标进行DDoS攻击，都需要知道目标的IP地址，并用大量的无效流量数据对该IP的服务器进行请求，导致服务器的资源被大量占用，无法对正确的请求作出响应。同时，这些大量的无效数据还会占用该IP所在服务器的带宽资源，造成信息的堵塞。当前高防IP在IP Proxy的前端进行DDoS清洗装置部署，DDoS清洗设备对外接入电信运营商的大带宽中，可以将攻击者的攻击流量进行清洗。

发明内容

有鉴于此，本发明实施例提供一种分布式拒绝服务DDoS攻击的防御方法及系统、电子设备及存储介质。

本发明的技术方案是这样实现的：

第一方面，本发明实施例提供一种分布式拒绝服务DDoS攻击的防御方法，应用于传输流量转发设备，包括：

对被保护设备收发的传输流量，利用DDoS清洗设备对所述传输流量进行DDoS清洗；

和/或，利用应用层防火墙对所述传输流量进行应用层清洗；

根据所述传输流量的目的地址，传输清洗后的所述传输流量。

进一步地，利用DDoS清洗设备对传输流量进行DDoS清洗，包括：依据入向流量路由策略，将入向流量发送到DDoS清洗设备；其中，入向流量为：传输流量中待发送到被保护设备的流量；

接收DDoS清洗设备进行DDoS清洗后的入向流量。

进一步地，利用应用层防火墙对传输流量进行应用层清洗，包括：

利用应用层防火墙对DDoS清洗设备进行了DDoS清洗后的入向流量，进行应用层清洗。

进一步地，依据入向流量路由策略将已进行DDoS清洗后的入向流量路由给网络协议IP代理；

接收IP代理进行IP地址转换后的入向流量；

利用应用层防火墙对DDoS清洗设备进行了DDoS清洗后的入向流量，进行应用层清洗，包括：

利用应用层防火墙将IP代理进行IP地址转换且已进行DDoS清洗后的入向流量，进行应用层清洗。

进一步地，利用应用层防火墙对传输流量进行应用层清洗，包括：

依据出向流量路由策略，将被保护设备发送出向流量发送给应用层防火墙；

接收应用层防火墙对被保护设备发送传输流量进行应用层清洗后的出向流量。

进一步地，依据出向流量路由策略，将已进行应用层清洗后的出向流量发送给IP代理；

接收IP代理进行IP地址转换且已进行应用层清洗后的出向流量；

根据出向流量的目的地址，转发已进行应用层清洗及IP地址转换后的出向流量。

进一步地，接收管理设备的路由配置指令；