反射攻击防御方法、装置、电子设备及存储介质与流程

1.本申请涉及网络安全技术领域，具体而言，涉及一种反射攻击防御方法、装置、电子设备及存储介质。


背景技术：

2.反射攻击，也叫反射放大攻击，是利用服务器响应报文长度或者报文数远大于请求的原理，攻击者通过向网络中现有的服务器发送大量的请求报文，并将请求的源地址设置为攻击目标的地址，导致攻击目标收到大量的响应报文，从而达到网络拥塞或者消耗攻击目标资源的目的。
3.目前针对反射攻击最行之有效的防御方法是基于会话检查的方式，即首先记录请求报文的时间和状态，当接收到响应报文时，通过检查相应的会话状态决定是否对其进行阻断。当然，这种防御方法的前提是正常业务的请求必须经过抗ddos(distributed denial of service attack，分布式拒绝服务攻击)清洗设备，而攻击流量的请求不经过抗ddos清洗设备，这就要求被保护的目标尽可能靠近抗ddos清洗设备，从而攻击流量的请求无法经过抗ddos清洗设备创建会话。
4.当抗ddos清洗设备旁路部署时，默认情况下，任何流量不经过设备，只有当检测设备检测到攻击时，才会通知清洗设备，将下行流量(上行流量为去往保护目标的方向；下行流量为从保护目标发出的流量)牵引到设备上进行清洗。这种情况下一般只能使用简单的端口识别进行防御，或者基于业务模型的防御方式(即正常业务不可能有这么大的响应流量)。但由于无法区分正常响应和异常响应，这两种方式的缺陷是容易对正常业务流量造成误清洗。


技术实现要素：

5.有鉴于此，本申请实施例的目的在于提供一种反射攻击防御方法、装置、电子设备及存储介质，以改善现有技术中存在的容易对正常业务流量造成误清洗问题。
6.本申请实施例提供了一种反射攻击防御方法，应用于清洗设备，所述清洗设备分别与检测设备、网络通信设备连接，所述检测设备还与所述网络通信设备连接，防护对象通过所述网络通信设备向远端网络发送包含请求报文的上行流量，所述远端网络通过所述网络通信设备向所述防护对象发送包含响应报文的下行流量，所述方法包括：将经过所述网络通信设备发送至所述远端网络的上行流量镜像至所述清洗设备；在接收到所述检测设备在确定存在反射攻击时发送的联动信息且所述联动信息中的牵引网际互连协议ip地址命中所述防护对象的源ip地址时，基于所述牵引ip从所述网络通信设备牵引所述下行流量至所述清洗设备；基于镜像的上行流量中的请求报文建立会话；基于所述会话，针对所述下行流量的每个流量包进行会话检查；将会话检查结果为正常的正常流量包发送至所述网络通信设备，以使所述正常流量包经过所述网络通信设备到达所述防护对象。
7.在上述实现方式中，通过镜像方式将上行流量镜像到清洗设备直接创建会话信
息，不依赖其他设备同步，不需要占用网络资源同步会话信息，从而以简单的方式实现了基于会话检查的反射防御方法，而且在牵引ip命中源ip确定发生反射攻击后，通过镜像方式将上行流量镜像到清洗设备直接创建会话信息，实现了攻击流量和正常流量的有效区分，在避免了误清洗问题的同时降低了反射攻击防御方法对网络及计算资源的占用率。
8.可选地，所述基于所述上行流量中的所述请求报文建立会话，包括：基于所述请求报文的五元组信息建立会话。
9.在上述实现方式中，通过请求报文的五元组信息建立会话，以使后续清洗设备进行会话信息检查和异常流量清洗时能够基于会话的五元组信息精准地确定异常流量报文，提高了清洗准确性。
10.可选地，所述联动信息包括牵引网际互连协议ip地址和攻击类型，所述在接收到所述检测设备在确定存在反射攻击时发送的联动信息时，从所述网络通信设备牵引所述下行流量至所述清洗设备，包括：接收所述检测设备在确定存在反射攻击时发送的所述联动信息；解析所述联动信息，以获得所述牵引ip地址；在所述牵引ip地址命中所述防护对象的所述源地址时，基于所述牵引ip地址和所述攻击类型向所述网络通信设备进行动态路由通告，以将所述下行流量牵引至所述清洗设备。
11.在上述实现方式中，清洗设备基于检测设备发送的联动信息中的牵引ip地址和攻击类型进行下行流量牵引，保证了攻击流量的检测准确性。
12.可选地，所述基于会话，针对所述下行流量的每个流量包进行会话检查，包括：针对所述下行流量中的每个流量包，与所述会话进行五元组信息匹配；在所述会话中存在与当前流量包匹配的五元组信息时，确定所述当前流量包为所述正常流量包。
13.在上述实现方式中，通过对下行流量基于五元组信息匹配，实现对五元组数据不匹配的异常流量包清洗，提高了异常流量的识别准确率。
14.本申请实施例还提供了一种反射攻击防御方法，应用于检测设备，所述检测设备分别与清洗设备、网络通信设备连接，所述检测设备还与所述网络通信设备连接，防护对象通过所述网络通信设备向远端网络发送包含请求报文的上行流量，所述远端网络通过所述网络通信设备向所述防护对象发送包含响应报文的下行流量，所述方法包括：将经过所述网络通信设备发送至所述防护对象的下行流量镜像至所述检测设备；在基于镜像的所述下行流量确定存在反射攻击时，向所述清洗设备发送联动信息，以使所述清洗设备在接收到所述联动信息且所述联动信息中的牵引ip地址命中所述防护对象的源ip地址时，基于所述牵引ip从所述网络通信设备牵引所述下行流量至所述清洗设备，以使所述清洗设备基于镜像的上行流量中的请求报文建立会话，并基于会话，针对所述下行流量的每个流量包进行会话检查，将会话检查结果为正常的正常流量包发送至所述网络通信设备，经过所述网络通信设备将所述正常流量包发送至所述防护对象。
15.在上述实现方式中，检测设备对下行流量进行攻击检测后发现存在反射攻击时通过联动信息通知清洗设备，以使清洗设备基于五元组信息进行会话建立以及流量清洗，从而以简单的方式实现了基于会话检查的反射防御方法，避免对不需要建立会话的安全流量进行会话建立，实现了攻击流量的有效检测，降低了资源占用率，提高了反射攻击检测准确性，从而提高了反射攻击防御的整体准确性。
16.可选地，在所述在基于镜像的所述下行流量确定存在反射攻击时，向所述清洗设
备发送联动信息之前，所述方法还包括：基于流量异常检测确定所述下行流量是否存在反射攻击。
17.在上述实现方式中，基于流量阈值确定下行流量是否存在反射攻击，简单有效地保证了反射攻击检测的准确率，并提高了检测效率。
18.本申请实施例还提供了一种反射攻击防御装置，应用于清洗设备，所述清洗设备分别与检测设备、网络通信设备连接，所述检测设备还与所述网络通信设备连接，防护对象通过所述网络通信设备向远端网络发送包含请求报文的上行流量，所述远端网络通过所述网络通信设备向所述防护对象发送包含响应报文的下行流量，所述装置包括：上行流量镜像装置，用于将经过所述网络通信设备发送至所述远端网络的上行流量镜像至所述清洗设备；牵引模块，用于在接收到所述检测设备在确定存在反射攻击时发送的联动信息且所述联动信息中的牵引网际互连协议ip地址命中所述防护对象的源ip地址时，基于所述牵引ip从所述网络通信设备牵引所述下行流量至所述清洗设备；会话建立模块，用于基于镜像的所述上行流量中的所述请求报文建立会话；会话检查模块，用于基于所述会话，针对所述下行流量的每个流量包进行会话检查；流量回注模块，用于将会话检查结果为正常的正常流量包发送至所述网络通信设备，以使所述正常流量包经过所述网络通信设备到达所述防护对象。
19.在上述实现方式中，通过镜像方式将上行流量镜像到清洗设备直接创建会话信息，不依赖其他设备同步，不需要占用网络资源同步会话信息，从而以简单的方式实现了基于会话检查的反射防御方法，而且在牵引ip命中源ip确定发生反射攻击后，通过镜像方式将上行流量镜像到清洗设备直接创建会话信息，同时可以降低同步以及建立会话信息对网络资源的占用，从而避免在会话信息同步完成前无法对攻击流量和正常流量进行准确清洗的情况，实现了攻击流量和正常流量的有效区分，在避免了误清洗问题的同时降低了反射攻击防御方法对网络及计算资源的占用率。
20.可选地，所述会话建立模块具体用于：基于所述请求报文的五元组信息建立会话。
21.在上述实现方式中，通过请求报文的五元组信息建立会话，以使后续清洗设备进行会话信息检查和异常流量清洗时能够基于会话的五元组信息精准地确定异常流量报文，提高了清洗准确性。
22.可选地，所述联动信息包括所述牵引ip地址和攻击类型，所述牵引模块具体用于：接收所述检测设备在确定存在反射攻击时发送的所述联动信息；解析所述联动信息，以获得所述牵引ip地址；在所述牵引ip地址命中所述防护对象的所述源地址时，基于所述牵引ip地址和所述攻击类型向所述网络通信设备进行动态路由通告，以将所述下行流量牵引至所述清洗设备。
23.在上述实现方式中，清洗设备基于检测设备发送的联动信息中的牵引ip地址和攻击类型进行下行流量牵引，保证了攻击流量的检测准确性。
24.可选地，所述会话检查模块具体用于：针对所述下行流量中的每个流量包，与所述会话进行五元组信息匹配；在所述会话中存在与当前流量包匹配的五元组信息时，确定所述当前流量包为所述正常流量包。
25.在上述实现方式中，通过对下行流量基于五元组信息匹配，实现对五元组数据不匹配的异常流量包清洗，提高了异常流量的识别准确率。
26.本申请实施例还提供了一种反射攻击防御装置，应用于检测设备，所述检测设备分别与清洗设备、网络通信设备连接，所述检测设备还与所述网络通信设备连接，防护对象通过所述网络通信设备向远端网络发送包含请求报文的上行流量，所述远端网络通过所述网络通信设备向所述防护对象发送包含响应报文的下行流量，所述装置包括：下行流量镜像模块，用于将经过所述网络通信设备发送至所述防护对象的下行流量镜像至所述检测设备；联动信息发送模块，用于在基于镜像的所述下行流量确定存在反射攻击时，向所述清洗设备发送联动信息，以使所述清洗设备在接收到所述联动信息且所述联动信息中的牵引ip地址命中所述防护对象的源ip地址时，基于所述牵引ip从所述网络通信设备牵引所述下行流量至所述清洗设备，以使所述清洗设备基于镜像的上行流量中的请求报文建立会话，并基于会话，针对所述下行流量的每个流量包进行会话检查，将会话检查结果为正常的正常流量包发送至所述网络通信设备，经过所述网络通信设备将所述正常流量包发送至所述防护对象。
27.在上述实现方式中，检测设备对下行流量进行攻击检测后发现存在反射攻击时通过联动信息通知清洗设备，以使清洗设备基于五元组信息进行会话建立以及流量清洗，从而以简单的方式实现了基于会话检查的反射防御方法，避免对不需要建立会话的安全流量进行会话建立，实现了攻击流量的有效检测，降低了资源占用率，提高了反射攻击检测准确性，从而提高了反射攻击防御的整体准确性。可选地，所述反射攻击防御装置还包括：反射攻击判断模块，用于在基于流量异常检测确定所述下行流量是否存在反射攻击。
28.在上述实现方式中，基于流量阈值确定下行流量是否存在反射攻击，简单有效地保证了反射攻击检测的准确率，并提高了检测效率。
29.本申请实施例还提供了一种电子设备，所述电子设备包括存储器和处理器，所述存储器中存储有程序指令，所述处理器读取并运行所述程序指令时，执行上述任一实现方式中的步骤。
30.本申请实施例还提供了一种可读取存储介质，所述可读取存储介质中存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行上述任一实现方式中的步骤。
附图说明
31.为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
32.图1为本申请实施例提供的一种反射攻击防御系统的结构示意图。
33.图2为本申请实施例提供的一种反射攻击防御方法的流程示意图。
34.图3为本申请实施例提供的一种监听流量的会话记录步骤的流程示意图。
35.图4为本申请实施例提供的一种应用于清洗设备的反射攻击防御装置的模块示意图。
36.图5为本申请实施例提供的一种应用于检测设备的反射攻击防御装置的模块示意图。
37.图标：10
‑
反射攻击防御系统；11
‑
防护对象；12
‑
交换机；13
‑
路由器；14
‑
远端网络；15
‑
清洗设备；16
‑
检测设备；20
‑
反射攻击防御装置；21
‑
上行流量镜像装置；22
‑
牵引模块；23
‑
会话建立模块；24
‑
会话检查模块；25
‑
流量回注模块；30
‑
反射攻击防御装置；31
‑
下行流量镜像模块；32
‑
联动信息发送模块。
具体实施方式
38.下面将结合本申请实施例中附图，对本申请实施例中的技术方案进行描述。
39.经本申请人研究发现，现在基于抗ddos清洗设备的反射攻击防御方式技术实现难度较大，通常首先需要在检测设备创建会话信息，然后同步到清洗设备，而且对同步的及时性、准确性和稳定性要求较高，因为一旦同步不及时或者信息丢失，会造成误清洗，或者是根据指定服务类型的响应数据包与所述指定服务类型的请求数据包的数量差来对反射攻击进行防御，无法有效区分攻击流量和正常流量，容易误伤正常业务。
40.针对现有技术实现难度大，对网络带来额外负担，以及容易造成误清洗的缺陷，我们提出了一种反射攻击防御方法，能够有效解决这些缺陷。即通过调整组网方式(端口镜像)，将上行流量镜像到清洗设备，在清洗设备上直接创建会话信息，不需要依赖其他设备同步，从而实现了基于会话检查的反射防御方法，而且不需要同步会话信息，对网络没有任何资源负载影响，同时可以有效区分攻击流量和正常流量，避免误清洗问题。
41.首先本实施例提供了一种用于执行反射攻击防御方法的反射攻击防御系统10，请参考图1，图1为本申请实施例提供的一种反射攻击防御系统的结构示意图。
42.反射攻击防御系统10为旁路部署，其包括防护对象11、网络通信设备、远端网络14、清洗设备15和检测设备16组成，防护对象11通过网络通信设备与远端网络14网络连接，防护对象11发送的流量为上行流量、接收的流量为下行流量，清洗设备15分别与检测设备16以及网络通信设备网络连接，检测设备16还与网络通信设备网络连接。
43.可选地，本实施中的网络通信设备可以包括交换机12和路由器13，防护对象11、交换机12、路由器13和远端网络14依次网络连接，清洗设备15分别与交换机12和路由器13网络连接，检测设备16与路由器13网络连接。
44.请参考图2，图2为本申请实施例提供的一种反射攻击防御方法的流程示意图，该反射攻击防御方法的具体步骤可以如下：
45.防护对象11向远端网络14发送请求报文的信息流为s1
→
s2
→
s3，其为上行流量，并且在上行流量经过路由器13时将上行流量镜像一份至清洗设备15，该镜像上行流量见图2中p0所示。
46.本实施中的镜像是指将经过指定端口(源端口或者镜像端口)的报文复制一份到另一个指定端口(目的端口或者观察端口)。镜像可以在不影响设备对报文进行正常处理的情况下，将镜像端口的报文复制一份到观察端口。
47.远端网络14基于请求报文向清洗设备15返回的响应报文的信息流为c1
→
c2
→
c3,其为下行流量，并且在下行流量经过路由器13时将下行流量发送一份至检测设备16。
48.可选地，检测设备16从路由器13获取下行流量(如图2所示p1)的方式可以是通过镜像或基于netflow监听获取。
49.检测设备16对下行流量进行检测，以确定下行流量中是否出现反射攻击，在出现
反射攻击时向清洗设备15发送联动信息(如图2中所示p2)。
50.可选地，上述联动信息可以包括牵引ip(internet protocol，网际互连协议)地址和攻击类型。牵引ip地址为受攻击的ip地址，攻击类型通常包括memcached反射攻击、ntp(network time protocol)反射攻击和ssdp(simple service discovery protocol，简单服务器发现协议)反射攻击等。
51.本实施例中的反射攻击检测方式可以是采用机器学习原理的深度报文解析(deep packet inspection，dpi)、深度/动态流检测(deep/dynamic flow inspection，dfi)等攻击检测方式，也可以是构建流量模型，设置安全阈值或安全基线的方式。
52.可选地，本实施例中采用构建流量模型，设置安全阈值的方式进行反射攻击检测。基于统计学的异常流量检测，会假设当前网络环境处于一个似稳态的状态中。算法会在前期收集和整理大量正常流量数据，通过对历史流量数据进行统计分析或者数据变换设置初始阈值，然后对当前网络的下行流量数据进行计算，通过与初始阈值进行对比，判断当前网络是否发生异常。如果当前网络的下行流量的数据中某一统计信息超出相应阈值，则代表出现了异常流量，即存在反射攻击。
53.在异常流量检测中常用的网络流量特征有字节数、分组数、流计数、审计记录数据、审计事件的数量、间隔事件、五元组以及资源消耗事件等。
54.清洗设备15可以对检测设备16进行联动信息的监听，解析联动信息的牵引ip和攻击类型，并基于牵引ip确定该牵引ip所属设备即防护对象11的对应网络通信设备即路由器13，随后清洗设备15基于牵引ip和攻击类型生成相应的动态路由并通告给路由器13，将包含反射攻击的下行流量(如图2中所示p3)牵引至清洗设备15。
55.可选地，本实施例中清洗设备15对包含反射攻击的下行流量即监听流量的会话进行记录，其具体方式可以参考图3，图3为本申请实施例提供的一种监听流量的会话记录步骤的流程示意图。
56.防护对象11的源ip命中牵引ip，并且牵引ip对应的攻击类型中包含反射攻击时，则表示联动消息中携带的攻击类型中包含反射攻击，或者清洗设备有反射防御丢包统计，则基于牵引ip记录相应的会话，否则直接将监听流量丢弃。
57.清洗设备15持续将上行流量中包含反射攻击的流量从路由器13镜像至清洗设备15本地，并基于其中的请求报文建立会话。
58.可选地，本实施例中基于请求报文的五元组信息记录对应的会话信息，并建立会话。其中，五元组是指源ip地址、源端口、目的ip地址、目的端口和传输层协议五个量组成的一个集合。
59.应当理解的是，清洗设备15从路由器13镜像过来的流量最终会被直接丢弃，不会进行转发。
60.清洗设备15针对每个牵引来的下行流量中的每个流量包(包含响应报文的响应流量)进行会话检查，在流量包通过会话检查被确定为正常流量包(如图2中所示p4)时回注至交换机12，然后经过c3到达防护对象11，此时防护对象11收到的响应包就是之前发出去的请求报文对应的响应报文；在流量包通过会话检查被确定为异常流量包时，直接丢弃该异常流量包。
61.可选地，本实施例中清洗设备15进行会话检查的具体方式可以包括：针对下行流
量中的每个流量包，与会话进行五元组信息匹配；在会话中存在与当前流量包匹配的五元组信息时，确定当前流量包为正常流量包。
62.在下行流量被检测设备16确定为不包含反射攻击的流量后，检测设备16可以直接通过路由器13和交换机12将不包含反射攻击的流量发送至防护对象11。
63.此外，在下行流量被检测设备16确定为包含反射攻击的流量时，针对之前或当前的正常上行流量，由于清洗设备15未建立该部分正常上行流量对应会话而使其对应的下行流量无法发送至防护对象11，基于通常的请求响应规则，防护对象11会针对未响应的正常上行流量再次向远端网络发送请求报文，再次发送请求报文的上行流量则被清洗设备15进行会话记录，从而能够在后续流量清洗中通过清洗设备15回注，防护对象11正常获取响应报文。
64.本实施例提供的上述反射攻击防御方法在旁路部署情况下，只需要修改组网方式(端口镜像)，将联动信息命中的具有反射攻击的流量直接镜像到清洗设备上创建会话信息，以非常简单的方式实现了基于会话检查的反射防御方法，而且避免了额外的网络通信以及会话建立的资源开销，从而能准确区分攻击流量与正常流量，避免误清洗。
65.为了配合本实施例提供的上述反射攻击防御方法，本申请实施例还提供了一种应用于清洗设备15的反射攻击防御装置20，请参考图4，图4为本申请实施例提供的一种应用于清洗设备的反射攻击防御装置的模块示意图。
66.反射攻击防御装置20包括：
67.上行流量镜像装置21，用于将经过网络通信设备发送至远端网络的上行流量镜像至清洗设备；
68.牵引模块22，用于在接收到检测设备在确定存在反射攻击时发送的联动信息且联动信息中的牵引ip地址命中防护对象的源ip地址时，基于牵引ip从网络通信设备牵引下行流量至所述清洗设备；
69.会话建立模块23，用于基于镜像的上行流量中的请求报文建立会话；
70.会话检查模块24，用于基于会话，针对下行流量的每个流量包进行会话检查；
71.流量回注模块25，用于将会话检查结果为正常的正常流量包发送至网络通信设备，以使正常流量包经过网络通信设备到达防护对象。
72.可选地，会话建立模块23具体用于：基于请求报文的五元组信息建立会话。
73.可选地，联动信息包括牵引网际互连协议ip地址和攻击类型，牵引模块22具体用于：接收检测设备在确定存在反射攻击时发送的联动信息；解析联动信息，以获得牵引ip地址和攻击类型；基于牵引ip地址和攻击类型向网络通信设备进行动态路由通告，以将下行流量牵引至清洗设备。
74.可选地，会话检查模块24具体用于：针对下行流量中的每个流量包，与会话进行五元组信息匹配；在会话中存在与当前流量包匹配的五元组信息时，确定当前流量包为正常流量包。
75.为了配合本实施例提供的上述反射攻击防御方法，本申请实施例还提供了一种应用于检测设备16的反射攻击防御装置30，请参考图5，图5为本申请实施例提供的一种应用于检测设备的反射攻击防御装置的模块示意图。
76.反射攻击防御装置30包括：
77.下行流量镜像模块31，用于将经过网络通信设备发送至防护对象的下行流量镜像至检测设备；
78.联动信息发送模块32，用于在基于镜像的下行流量确定存在反射攻击时，向清洗设备发送联动信息，以使清洗设备在接收到联动信息且联动信息中的牵引ip地址命中防护对象的源ip地址时，基于牵引ip从网络通信设备牵引下行流量至清洗设备，以使清洗设备基于镜像的上行流量中的请求报文建立会话，并基于会话，针对下行流量的每个流量包进行会话检查，将会话检查结果为正常的正常流量包发送至网络通信设备，经过网络通信设备将正常流量包发送至防护对象。
79.可选地，反射攻击防御装置30还包括：反射攻击判断模块，用于在基于流量异常检测确定下行流量是否存在反射攻击。
80.本申请实施例还提供了一种电子设备，该电子设备包括存储器和处理器，所述存储器中存储有程序指令，所述处理器读取并运行所述程序指令时，执行本实施例提供的反射攻击防御方法中任一项所述方法中的步骤。
81.应当理解是，该电子设备可以是个人电脑(personal computer，pc)、平板电脑、智能手机、个人数字助理(personal digital assistant，pda)等具有逻辑计算功能的电子设备。
82.本申请实施例还提供了一种可读取存储介质，所述可读取存储介质中存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行反射攻击防御方法中的步骤。
83.综上所述，本申请实施例提供了一种反射攻击防御方法、装置、电子设备及存储介质，应用于清洗设备的方法中，所述清洗设备分别与检测设备、网络通信设备连接，所述检测设备还与所述网络通信设备连接，防护对象通过所述网络通信设备向远端网络发送包含请求报文的上行流量，所述远端网络通过所述网络通信设备向所述防护对象发送包含响应报文的下行流量，所述应用于清洗设备的方法包括：将经过所述网络通信设备发送至所述远端网络的上行流量镜像至所述清洗设备；在接收到所述检测设备在确定存在反射攻击时发送的联动信息且所述联动信息中的牵引网际互连协议ip地址命中所述防护对象的源ip地址时，基于所述牵引ip从所述网络通信设备牵引所述下行流量至所述清洗设备；基于镜像的上行流量中的请求报文建立会话；基于所述会话，针对所述下行流量的每个流量包进行会话检查；将会话检查结果为正常的正常流量包发送至所述网络通信设备，以使所述正常流量包经过所述网络通信设备到达所述防护对象。
84.在上述实现方式中，通过镜像方式将上行流量镜像到清洗设备直接创建会话信息，不依赖其他设备同步，不需要占用网络资源同步会话信息，从而以简单的方式实现了基于会话检查的反射防御方法，而且在牵引ip命中源ip确定发生反射攻击后，通过镜像方式将上行流量镜像到清洗设备直接创建会话信息，实现了攻击流量和正常流量的有效区分，在避免了误清洗问题的同时降低了反射攻击防御方法对网络及计算资源的占用率。
85.在本申请所提供的几个实施例中，应该理解到，所揭露的设备，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的框图显示了根据本申请的多个实施例的设备的可能实现的体系架构、功能和操作。在这点上，框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或
多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图中的每个方框、以及框图的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
86.另外，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
87.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。因此本实施例还提供了一种可读取存储介质中存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行区块数据存储方法中任一项所述方法中的步骤。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read
‑
only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
88.以上所述仅为本申请的实施例而已，并不用于限制本申请的保护范围，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
89.以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。
90.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。