(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN106657126A(43)申请公布日2017.05.10(21)申请号201710005758.8(22)申请日2017.01.05(71)申请人盛科网络（苏州）有限公司地址215021江苏省苏州市工业园区星汉街5号（腾飞工业坊）B幢4楼13/16单元(72)发明人单哲马千里(74)专利代理机构苏州集律知识产权代理事务所(普通合伙)32269代理人安纪平(51)Int.Cl.H04L29/06(2006.01)权利要求书2页说明书6页附图4页(54)发明名称检测及防御DDoS攻击的装置及方法(57)摘要本发明揭示了一种检测及防御DDoS攻击的装置及方法，应用于网络通信技术领域。检测及防御DDoS攻击的装置包括报文接收模块，DDoS报文识别模块，DDoS报文处理引擎模块，以及报文转发模块；报文接收模块接收报文正常处理后发送至DDoS报文识别模块进行DDoS报文识别；DDoS报文识别模块对报文进行匹配，将匹配的报文标示为需要DDoS报文处理引擎模块处理的报文，发送至DDoS报文处理引擎模块进行相应的处理；DDoS报文处理引擎模块对标示为需要DDoS报文处理引擎模块处理的报文检测处理，若处理结果为丢弃报文，则将报文丢弃，否则，将报文发送至报文转发模块进行转发处理。本发明能够针对洪流类DDoS攻击的检测和防御，有效的减轻了网络终端服务器的负荷及压力，提高网络带宽利用率。CN106657126ACN106657126A权利要求书1/2页1.一种检测及防御DDoS攻击的装置，其特征在于，包括报文接收模块，DDoS报文识别模块，DDoS报文处理引擎模块，以及报文转发模块；所述报文接收模块接收报文正常处理后发送至DDoS报文识别模块进行DDoS报文识别；所述DDoS报文识别模块对报文进行匹配，将匹配的报文标示为需要DDoS报文处理引擎模块处理的报文，并发送至DDoS报文处理引擎模块进行相应的处理；所述DDoS报文处理引擎模块对标示为需要DDoS报文处理引擎模块处理的报文检测处理，若处理结果为丢弃报文，则丢弃报文，否则，将报文发送至报文转发模块进行转发。2.根据权利要求1所述的装置，其特征在于，所述DDoS报文识别模块通过访问控制列表项，以及本地CPU协议报文识别表项对报文进行匹配，将匹配的报文标示为需要DDOS报文处理引擎模块处理的报文。3.根据权利要求2所述的装置，其特征在于，所述DDoS报文识别模块根据所述访问控制列表项，以及本地CPU协议报文识别表项匹配报文，获得配置表项Index，根据所述配置表项Index读取相应的配置表项FlowProfile。4.根据权利要求3所述的装置，其特征在于，所述配置表项FlowProfile包括DDoS门限字段、流细分字段、检测周期字段，以及阻断时间长度字段。5.根据权利要求4所述的装置，其特征在于，所述流细分字段包括IP头和TCP头中的字段，通过选取所述IP头和TCP头中的字段并进行哈希计算对报文进行筛选。6.一种基于权利要求1的检测及防御DDoS攻击的装置的检测及防御DDoS攻击方法，其特征在于，包括如下步骤：步骤1，接收报文并对所述报文进行DDoS报文识别，将匹配的报文标示为需要DDoS处理引擎模块处理的报文；步骤2，所述DDoS报文处理引擎模块对需要DDoS处理引擎模块处理的报文检测处理，判断是否发生DDoS攻击，若是，则对所述报文进行阻断，否则，将所述报文发送至报文转发模块进行转发处理。7.根据权利要求6所述的方法，其特征在于，所述DDoS报文识别包括根据访问控制列表项，以及本地CPU协议报文识别表项对报文进行匹配，获得配置表项Index，根据所述配置表项Index读取相应的配置表项FlowProfile。8.根据权利要求7所述的方法，其特征在于，所述步骤2还包括如下步骤：步骤201，接收需要DDoS处理引擎模块处理的报文，获得所述报文的配置表项Index，读取相应的配置表项FlowProfile；步骤202，配置所述配置表项FlowProfile对所述需要DDoS处理引擎模块处理的报文进行筛选，获得DDoSRecord表项；步骤203，选择DDoSRecord表项，判断是否设置阻断标志位，若设置，则阻断报文；否则，执行步骤204；步骤204，判断DDoSRecord表项中统计的报文数量是否大于预设阈值，若是，则阻断报文一个周期；否则，转发报文。9.根据权利要求8所述的方法，其特征在于，阻断周期内DDoS报文处理引擎模块对DDoSRecord表项的处理方法包括如下步骤：步骤301，判断时钟是否达到预设阈值，若否，时钟加一操作继续判断是否大于预设阈2CN106657126A权利要求书2/2页值，若是，执行步骤302；