一种防御UDP无连接洪水攻击的方法技术

本发明专利技术涉及云计算管理技术领域，特别是指一种防御UDP无连接洪水攻击的方法。本发明专利技术首先设置日志检测周期，防御网络数据包数量；当有利用UDP洪水攻击工具攻击目标服务器地址时，目标服务器通过软件防火墙检测到访问量，并将访问信息记录到日志；分析日志，倒序列出在同一检测周期内每个IP的发包数量；若超出限制防御包数量，对比IP白名单；若IP在白名单列表，则不做任何处理；若IP不在白名单，则自动化脚本将调用软件防火墙将IP封禁；最后若未超出防御包数量，则不做任何处理。本发明专利技术的方法成本低、自动化程度高、通用性强，不依赖于单一的软件防火墙。

【技术实现步骤摘要】

本专利技术涉及云计算管理
，特别是指一种防御UDP无连接洪水攻击的方法。
技术介绍
随着云计算的发展，其对信息技术产业的影响，已经从IT基础设施领域，扩展到了硬件和设备制造、软件开发平台、软件部署、软件销售、IT服务，几乎涵盖所有的IT硬件、软件、服务领域。随着越来越多的公司开始使用虚拟化数据中心和云服务，云基础设施平台出现了新的弱点。云计算拒绝服务攻击也开始由原来利用大量数据流进行暴力式攻击转变为针对基础应用程序的技术性攻击。近年来，DDOS攻击手法和方式越来越多变，其中UDP无连接洪水攻击比较难于防御，通常采用以下方式：1、采购昂贵的高级防火墙，通过防火墙防御UDP洪水攻击。2、采用iptables、APF等软防火墙将UDP攻击源封禁。以上两种方式存在以下弊端：1、成本高，一般中小企业不会轻易采购高级防火墙。2、自动化程度低，iptables、APF只能靠运维人员发现了流量异常后才手动封禁，同时对于无连接的攻击无法自动监测。UDP，是UserDatagramProtocol的简称，中文名是用户数据包协议，是OSI参考模型中一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务；它是IETFRFC768是UDP的正式规范。UDP洪水攻击，又称UDP洪水攻击或UDP淹没攻击(英文：UDPFloodAttack)是导致基於主机的服务拒绝攻击的一种；UDP是一种无连接的协议，而且它不需要用任何程序建立连接来传输数据。当攻击者随机地向受害系统的端口发送UDP数据包的时候，就可能发生了UDP淹没攻击。
技术实现思路
本专利技术解决的技术问题在于提供一种防御UDP无连接洪水攻击的方法，解决现在防御方法的不足，为云计算环境下基础设施云平台提供一种即节省硬件成本，又有效的UDP无连接洪水攻击解决方案。本专利技术解决上述问题的基数方案是：所述方法包括如下步骤：步骤1：设置日志检测周期，防御网络数据包数量；步骤2：当有利用UDP洪水攻击工具攻击目标服务器地址时，目标服务器通过软件防火墙检测到访问量，并将访问信息记录到日志；步骤3：分析日志，倒序列出在同一检测周期内每个IP的发包数量；步骤4：若超出限制防御网络数据包数量，对比IP白名单；步骤5：若IP在白名单列表，则不做任何处理；步骤6：若IP不在白名单，则自动化脚本调用软件防火墙将IP封禁；步骤7：若未超出防御包数量，则不做任何处理。所述的日志检测周期，是指每隔多长时间检查网络数据包日志；所述的网络数据包，是TCP/IP协议通信传输中的数据单位。所述的目标服务器地址指基础设施云平台对外提供服务的地址；所述的IP白名单，这里是指被云平台认定为合法的IP地址列表，由运维人员提前录入。所述的软件防火墙，包括iptables、IPCopFirewall、APF软件防火墙；所述的iptables是与Linux内核集成的IP信息包过滤系统，如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器，则该系统有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置；所述的IPCopFirewall是一个Linux下的防火墙套件，主要面向家庭和SOHO(SmallOffice/HomeOffice)用户；它界面非常友好，并且是基于任务的，它位于用户工作区域和Internet连接之间，通过一些TCP/IP业务规则对各种信息进行监控和管理；所述的APF，是指AdvancedPolicyFirewall，Linux环境下的软件防火墙；采用Linux系统默认的iptables规则。本专利技术的方法成本低，只需要一台配置不高的安全代理服务器就能够完成UDP洪水攻击的过滤；本专利技术的方法自动化程度高，通过日志检测方式，自动化脚本完成UDP攻击的检测和防御；本专利技术的方法通用性强，不依赖于单一的软件防火墙。附图说明下面结合附图对本专利技术进一步说明：图1为本专利技术的流程图；图2为本专利技术的技术原理图。具体实施方式本专利技术的实施方式有多种，这里将基于Linux下iptables防火墙方式，具体实施过程如下：如图1所示，过程如下：步骤1：设置日志检测周期，防御网络数据包数量。#vi/uer/local/udpflood.conf#NO_OF_CONNECTIONS＝600//防御网络数据包数量#CHECK_CYCLE＝60//检测周期，单位s步骤2：利用UDP洪水攻击工具攻击目标服务器地址。这里的工具采用LOIC，是一种淹没式工具，会产生大量的流量。步骤3：目标服务器通过软件防火墙检测到访问量，并将访问信息记录到日志。在iptables防火墙里面加入一条规则，记录所有UDP的访问日志：#-AINPUT-pUDP-jLOG-log-prefix′UDP-DDOS：′--log-ip-options步骤4：分析日志，倒序列出在同一检测周期内每个IP的发包数量。分析核心脚本如下：第一个参数是包的数量，后面是发送包的IP步骤5：若超出限制防御网络数据包数量，对比IP白名单。步骤6：若IP在白名单列表，则不做任何处理。核心函数如下：步骤7：若IP不在白名单，则自动化脚本将调用软件防火墙将IP封禁。步骤8：若未超出防御包数量，则不做任何处理。本文档来自技高网...

【技术保护点】
一种防御UDP无连接洪水攻击的方法，其特征在于：所述方法包括如下步骤：步骤1：设置日志检测周期，防御网络数据包数量；步骤2：当有利用UDP洪水攻击工具攻击目标服务器地址时，目标服务器通过软件防火墙检测到访问量，并将访问信息记录到日志；步骤3：分析日志，倒序列出在同一检测周期内每个IP的发包数量；步骤4：若超出限制防御网络数据包数量，对比IP白名单；步骤5：若IP在白名单列表，则不做任何处理；步骤6：若IP不在白名单，则自动化脚本调用软件防火墙将IP封禁；步骤7：若未超出防御包数量，则不做任何处理。

【技术特征摘要】
1.一种防御UDP无连接洪水攻击的方法，其特征在于：所述方法包括如下步骤：步骤1：设置日志检测周期，防御网络数据包数量；步骤2：当有利用UDP洪水攻击工具攻击目标服务器地址时，目标服务器通过软件防火墙检测到访问量，并将访问信息记录到日志；步骤3：分析日志，倒序列出在同一检测周期内每个IP的发包数量；步骤4：若超出限制防御网络数据包数量，对比IP白名单；步骤5：若IP在白名单列表，则不做任何处理；步骤6：若IP不在白名单，则自动化脚本调用软件防火墙将IP封禁；步骤7：若未超出防御包数量，则不做任何处理。2.根据权利要求1所述的方法，其特征在于：所述的日志检测周期，是指每隔多长时间检查网络数据包日志；所述的网络数据包，是TCP/IP协议通信传输中的数据单位。3.根据权利要求1所述的方法，其特征在于：所述的目标服务器地址指基础设施云平台对外提供服务的地址；所述的IP白名单，这里是指被云平台认定为合法的IP地址列表，由运维人员提前录入。4....

【专利技术属性】
技术研发人员：刘勇彬，杨松，季统凯，
申请(专利权)人：国云科技股份有限公司，
类型：发明
国别省市：广东;44