CN101883078A - 流媒体服务器应用层ddos攻击防御***及方法 - Google Patents
流媒体服务器应用层ddos攻击防御***及方法 Download PDFInfo
- Publication number
- CN101883078A CN101883078A CN200910050815XA CN200910050815A CN101883078A CN 101883078 A CN101883078 A CN 101883078A CN 200910050815X A CN200910050815X A CN 200910050815XA CN 200910050815 A CN200910050815 A CN 200910050815A CN 101883078 A CN101883078 A CN 101883078A
- Authority
- CN
- China
- Prior art keywords
- proxy
- order
- module
- streaming media
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明揭示一种流媒体服务器应用层DDOS攻击防御***及方法,攻击防御***用以防御流媒体服务***的DoS、DDoS攻击;所述流媒体服务***包括服务主机Server、及至少一客户端Client;所述防御***连接服务主机Server、及各客户端Client。攻击防御***包括至少一流媒体服务代理模块、控制中心模块。流媒体服务代理模块用以负责流媒体控制信息及数据信息的转发、各种统计信息的采集、防御决策的最终执行;控制中心模块用以统筹监测整个流媒体服务***的当前状态,并向Proxy发出命令进行防御。本发明前瞻性的研究基于流媒体RTSP的各种DDOS攻击,设计了一套基于PROXY GROUP的流媒体DDOS防御体系,有效的保障了互联网上无须授权的流媒体服务的安全性。
Description
技术领域
本发明属于网络多媒体技术领域,涉及一种攻击防御***,尤其涉及一种流媒体服务器应用层DDOS攻击防御***及方法。
背景技术
随着网络技术和多媒体技术的快速发展,流媒体技术应运而生。流媒体技术是一种允许用户通过Internet或者Intranet现场直播、点播音视频等多媒体文件的技术。流媒体服务器向用户计算机连续实时地传送媒体数据。用户通过播放器应用程序处理流媒体数据,然后回放媒体内容。内容播放过程中,用户不需要等待下载全部媒体文件便可以欣赏到媒体内容。播放结束以后,没有数据驻留在本地计算机。流媒体的这些特性为互联网提供了新颖的多媒体互动模式,减少用户等待下载媒体数据的时间,丰富了用户的互联网生活。
现如今,流媒体服务日益成为广大网民使用的主要互联网服务之一。根据中国互联网络信息中心的统计,截止2008年底,中国网民数量已达到2.98亿,其中83.7%的网民通过互联网享用网络音乐服务,67.7%的网民使用网络视频服务。流媒体服务已经成为互联网上的主流应用。
面对巨大的服务需求,在进一步提高服务性能,保证服务质量的同时,如何有效的提高流媒体服务的整体安全性,如何提高服务自身防御恶意攻击的能力已经成为流媒体服务提供商面临的重大挑战。
拒绝服务攻击(Denial of Service Attack,DoS)是一类使流媒体服务器无法为正常用户提供服务的攻击行为,可以导致流媒体服务器完全瘫痪,无法正常提供服务。当发起DoS攻击的源节点不是一个或很少的若干个,而是源节点众多时,这种攻击行为则被称作为分布式拒绝服务攻击(Distributed Denialof Service Attack,DDoS)。通过利用众多的攻击源,DDoS的攻击能力变得更加强大,同时,也使得DDoS的防御变得越发复杂。
目前针对传统因特网的DoS、DDoS的攻击问题,许多应用软件已经在很多方面给出了卓有成效的防御策略。传统的网络DoS、DDoS的攻击防御策略。其策略主要分为类:第一类为源端攻击检测技术。这类技术主要依据攻击源端的行为特征,对异常行为进行侦测报警以及估计。第二类为网络中间结点的DoS、DDoS攻击防御策略,这类策略基于网络中间节点环境,从网络中间节点的角度观察网络的异常行为,从而对各类DoS、DDoS攻击进行检测和防御。第三类为末端节点攻击防御策略。当攻击到达末端主机网络时,防御策略主要要做的就是以最快的速度进行攻击防御。然而,针对流媒体服务的应用层RTSP交互协议的DoS、DDoS的攻击及防御却没有一个***、成熟、有效的方法。
发明内容
本发明所要解决的技术问题是:提供一种流媒体服务器应用层DDOS攻击防御***,可有效保障互联网上无须授权的流媒体服务的安全性。
同时,本发明提供包括上述攻击防御***的流媒体服务***。
另外,本发明还提供上述攻击防御***的攻击防御方法。
为解决上述技术问题,本发明采用如下技术方案:
一种流媒体服务器应用层DDOS攻击防御***,用以防御流媒体服务***的DoS、DDoS攻击;所述流媒体服务***包括服务主机Server、及至少一客户端Client;所述防御***连接所述服务主机Server、及各客户端Client;其包括:至少一流媒体服务代理模块Proxy、控制中心模块。流媒体服务代理模块Proxy用以负责流媒体控制信息及数据信息的转发、各种统计信息的采集、防御决策的最终执行;Client发送到Proxy的RTSP请求,被Proxy修改,变成对应的Proxy向Server的RTSP请求,并提交到Server端;Server针对Proxy的RTSP请求的响应信息,被Proxy修改,之后转变成对应的响应信息再转发给Client;控制中心模块用以统筹监测整个流媒体服务***的当前状态,并向Proxy发出命令进行防御。
作为本发明的一种优选方案,所述流媒体服务代理模块Proxy包括
RTSP请求接收单元,用以接收client的RTSP请求,将RTSP请求进行解析,并将相关信息汇报给数据收集单元;
数据收集单元,用以负责统计数据的采集及维护,所述统计数据包括设定时间内新IP会话请求数据;
过滤单元,用以根据控制中心模块产生的明确过滤指令,过滤掉相应的恶意IP的会话;
回应单元,用以执行整个攻击反应决策,负责维护Proxy上的白名单、以及和白名单相关的查询工作,使得在攻击防御的过程中RTSP请求接收单元仍能够通过与回应单元的合作从而放行受信任IP用户,继续为受信任IP用户提供服务;
映射单元,用以负责将Server对Proxy的RTSP响应信息,映射成Proxy对client的响应信息;
第一通讯单元,用以负责流媒体服务代理模块中各单元与控制中心模块的通讯;
映射表维护单元,用以负责各类端口信息与会话整体信息的映射表维护;
数据传送单元,用以负责将流媒体服务器发送到Proxy对应端口的数据根据映射表维护单元中的对应关系,转发到客户端的对应端口,包括视频数据转发、音频数据转发、以及相关的RTX数据转发;
执行单元,用以执行控制中心模块下达的各项命令。
作为本发明的一种优选方案,所述控制中心模块包括
第二通讯单元,用以负责管理与所有Proxy之间的通信交互,接收来自Proxy的报告,发送决策单元的命令至Proxy;
IAD构建单元,用以负责对决策单元掌握的整个***会话及IP信息进行不定期随机采样,以及IAD受信任IP项的更迭维护;
决策单元,用以根据各项统计数据做出决策;当单个IP的会话数量过多时,该决策单元将通知Proxy剔除这一IP地址的所有会话;当某一IP被多次过滤时,该决策单元将视该IP为一恶意IP,通知Proxy将其加入黑名单;当发现***正遭受DDoS攻击时,该决策单元将通知Proxy进入攻击反应状态,同时,该决策单元将提取出IAD中的所有受信任IP将其以白名单的形式发送给Proxy;当DDoS攻击结束时,该决策单元将通知所有Proxy恢复到正常状态。
一种流媒体服务***,包括服务主机Server、及至少一客户端Client;所述流媒体服务***还包括攻击防御***,该攻击防御***连接所述服务主机Server、及各客户端Client;所述攻击防御***包括至少一流媒体服务代理模块Proxy、控制中心模块。流媒体服务代理模块Proxy用以负责流媒体控制信息及数据信息的转发、各种统计信息的采集、防御决策的最终执行;Client发送到Proxy的RTSP请求,被Proxy修改,变成对应的Proxy向Server的RTSP请求,并提交到Server端;Server针对Proxy的RTSP请求的响应信息,被Proxy修改,之后转变成对应的响应信息再转发给Client;控制中心模块用以统筹监测整个流媒体服务***的当前状态,并向Proxy发出命令进行防御。
作为本发明的一种优选方案,所述流媒体服务代理模块Proxy包括
RTSP请求接收单元,用以接收client的RTSP请求,将RTSP请求进行解析,并将相关信息汇报给数据收集单元;
数据收集单元,用以负责统计数据的采集及维护,所述统计数据包括设定时间内新IP会话请求数据;
过滤单元,用以根据控制中心模块产生的明确过滤指令,过滤掉相应的恶意IP的会话;
回应单元,用以执行整个攻击反应决策,负责维护Proxy上的白名单、以及和白名单相关的查询工作,使得在攻击防御的过程中RTSP请求接收单元仍能够通过与回应单元的合作从而放行受信任IP用户,继续为受信任IP用户提供服务;
映射单元,用以负责将Server对Proxy的RTSP响应信息,映射成Proxy对client的响应信息;
第一通讯单元,用以负责流媒体服务代理模块中各单元与控制中心模块的通讯;
映射表维护单元,用以负责各类端口信息与会话整体信息的映射表维护;
数据传送单元,用以负责将流媒体服务器发送到Proxy对应端口的数据根据映射表维护单元中的对应关系,转发到客户端的对应端口,包括视频数据转发、音频数据转发、以及相关的RTX数据转发;
执行单元,用以执行控制中心模块下达的各项命令。
作为本发明的一种优选方案,所述控制中心模块包括
第二通讯单元,用以负责管理与所有Proxy之间的通信交互,接收来自Proxy的报告,发送决策单元的命令至Proxy;
IAD构建单元,用以负责对决策单元掌握的整个***会话及IP信息进行不定期随机采样,以及IAD受信任IP项的更迭维护;
决策单元,用以根据各项统计数据做出决策;当单个IP的会话数量过多时,该决策单元将通知Proxy剔除这一IP地址的所有会话;当某一IP被多次过滤时,该决策单元将视该IP为一恶意IP,通知Proxy将其加入黑名单;当发现***正遭受DDoS攻击时,该决策单元将通知Proxy进入攻击反应状态,同时,该决策单元将提取出IAD中的所有受信任IP将其以白名单的形式发送给Proxy;当DDoS攻击结束时,该决策单元将通知所有Proxy恢复到正常状态。
一种上述攻击防御***的攻击防御方法,该方法包括如下步骤:
RTSP请求接收步骤:RTSP请求接收单元接收client的RTSP请求,将RTSP请求进行解析,并将相关信息汇报给数据收集单元;
数据收集步骤:数据收集单元统计数据的采集及维护,所述统计数据包括设定时间内新IP会话请求数据;
过滤步骤:过滤单元根据控制中心模块产生的明确过滤指令,过滤掉相应的恶意IP的会话;
回应步骤:回应单元执行整个攻击反应决策,负责维护Proxy上的白名单、以及和白名单相关的查询工作,使得在攻击防御的过程中RTSP请求接收单元仍能够通过与回应单元的合作从而放行受信任IP用户,继续为受信任IP用户提供服务;
映射步骤:映射单元将Server对Proxy的RTSP响应信息,映射成Proxy对client的响应信息;
映射表维护步骤:映射表维护单元维护各类端口信息与会话整体信息的映射表;
数据传送步骤:将流媒体服务器发送到Proxy对应端口的数据根据映射表维护单元中的对应关系,转发到客户端的对应端口,包括视频数据转发、音频数据转发、以及相关的RTX数据转发;
IAD构建步骤:IAD构建单元对决策单元掌握的整个***会话及IP信息进行不定期随机采样,以及IAD受信任IP项的更迭维护;
决策步骤:决策单元根据各项统计数据做出决策;当单个IP的会话数量过多时,该决策单元将通知Proxy剔除这一IP地址的所有会话;当某一IP被多次过滤时,该决策单元将视该IP为一恶意IP,通知Proxy将其加入黑名单;当发现***正遭受DDoS攻击时,该决策单元将通知Proxy进入攻击反应状态,同时,该决策单元将提取出IAD中的所有受信任IP将其以白名单的形式发送给Proxy;当DDoS攻击结束时,该决策单元将通知所有Proxy恢复到正常状态;
执行步骤:执行单元执行控制中心模块下达的各项命令,同时对途经Proxy的所有会话进行转发,包括RTSP控制请求的转发以及RTP数据的转发。
本发明的有益效果在于:本发明提出的流媒体服务器应用层DDOS攻击防御***,前瞻性的研究基于流媒体RTSP的各种DDOS攻击,设计了一套基于PROXY GROUP的流媒体DDOS防御体系,有效的保障了互联网上无须授权的流媒体服务的安全性。
附图说明
图1为本发明流媒体服务***的组成示意图。
图2为本发明流媒体服务代理模块的组成示意图。
图3为本发明流媒体服务代理模块线程结构关系示意图。
图4为本发明控制中心模块的组成示意图。
具体实施方式
下面结合附图详细说明本发明的优选实施例。
本发明揭示了一种流媒体服务***及其攻击防御***,攻击防御***用以防御流媒体服务***的DoS、DDoS攻击。请参阅图1,所述流媒体服务***包括服务主机Server、及至少一客户端Client;所述攻击防御***连接所述服务主机Server、及各客户端Client。所述攻击防御***包括:至少一流媒体服务代理模块Proxy、控制中心模块。流媒体服务代理模块Proxy用以负责流媒体控制信息及数据信息的转发、各种统计信息的采集、防御决策的最终执行;Client发送到Proxy的RTSP请求,被Proxy修改,变成对应的Proxy向Server的RTSP请求,并提交到Server端;Server针对Proxy的RTSP请求的响应信息,被Proxy修改,之后转变成对应的响应信息再转发给Client;控制中心模块用以统筹监测整个流媒体服务***的当前状态,并向Proxy发出命令进行防御。
如上所述,本发明设计了一套基于“Proxy Group”的防御方案,整套防御方案有两大功能子***组成:流媒体服务代理模块(Proxy)和控制中心模块(Control Center),其具体架构如下图1所示。
本发明的防御方案主要思想在于利用分布式多点的Proxy分摊负载,将目标流媒体服务主机位置隐藏(location hiding),置于Proxy Group之后。同时,在Proxy Group中设置一中心控制节点(Control Center),用于统筹监测整个流媒体服务的当前状态,并在适当的时候向Proxy发出命令进行防御。将原来的单一流媒体节点暴露在外向外界提供流媒体服务,转变为如今的这种形式。流媒体服务器不再暴露在外,而是将各Proxy向外公布,通过Proxy间接的为用户提供服务。通过这一Proxy Group形式,真正的做到了防御方案独立与特定的流媒体服务器端软件。防御方案不需要了解商用的后端流媒体服务器端软件的内部实现细节,而只需要实现简单的各种RTSP交互过程,完成整个流媒体会话过程的控制与数据转发,就可以很好实现各种防御功能。同时,考虑到防御方案也有可能遭受到攻击的可能性,本发明将整个防御方案设计成分布式,从而可以开放众多Proxy,使得即使在某一Proxy遭受恶意攻击近乎瘫痪的情况下,用户还能够通过其他Proxy享受流媒体服务,整个***不至于因单点遭受攻击而无法继续正常工作。同时,迫使恶意攻击者需要发动更大规模的攻击才能使所有Proxy均瘫痪,一定程度上,也加大了恶意攻击者的整体攻击难度。
请参阅图1,本发明揭示了一种流媒体服务DDOS防御***,用于防御流媒体服务器的DDOS攻击保证其安全性。该***基于PROXY模式参见图1,攻击防御***包括:RTSP Front-End Module(RTSP请求接收单元)、Collection Module(数据收集单元)、Filter Module(过滤单元)、Reaction Module(回应单元)、RTSP Back-End Module(映射单元)、Communication Module(第一通讯单元)、Map Module(映射表维护单元)、Data Transfer Module(数据传送单元)、执行单元等模块。该流媒体DDOS***安装于独立服务器上,假设于流媒体服务的前端。本套方案旨在为针对流媒体服务的DoS、DDoS攻击进行防御。整套方案能够准确并迅速的防御上章发现的各种攻击行为,同时还可以尽可能的降低因防御***而为整个流媒体服务***带来的性能损失。
【流媒体服务代理模块Proxy】
Proxy部分主要负责流媒体控制信息及数据信息的转发,各种统计信息的采集,防御决策的最终执行。通过Proxy的信息转发功能,Client发送到Proxy的RTSP请求,将被Proxy修改,变成对应的Proxy向Media Server的RTSP请求,并提交到Media Server端。Media Server针对Proxy RTSP请求的响应信息,也将被Proxy修改,之后转变成对应的响应信息再转发给Client。从而完成整个RTSP交互的转发。RTP数据转发过程,由Proxy接收来自Media Server的音视频数据,之后Proxy再将收到的数据转交到Client端。Proxy需要向Control Center汇报若干信息。主要包括当前Proxy的会话数量以及IP数量信息;Δ时间内新进IP信息;针对Desc Flood,Setup Attack以及Con-LenAttack的会话过滤信息以及单一IP会话数量超标的IP过滤信息。Proxy的防御决策执行,主要通过剔除恶意会话连接,剔除某一IP地址的所有会话,设置会话请求黑名单,设置DDoS攻击防御状态会话请求白名单等行动来完成。Proxy子***的各功能模块如图2所示。
(1)RTSP Front-End Module:
主要负责接收client的RTSP请求,将RTSP请求进行解析,并将相关信息汇报给Collection Module模块。为防止Desc Flood,Setup Attack,在RTSP Front-End Module上进行DESCRIBE及SETUP请求超时设置:一定时间段内如果后续请求如期而至,那么整个会话继续进行,否则,将该会话视为一攻击会话,直接从Proxy的Front-End Module上将该会话剔除,同时通过Communication Module向Control Center汇报相关过滤信息。这一模块还接受IP黑名单设置,从而起到直接过滤指定IP会话请求的功能。
(2)Collection Module:
该模块主要负责Proxy上相关统计数据的采集及维护,主要有Δ时间内新IP会话请求数据采集,
(3)Filter Module:
当Control Center端接收到一定统计数据之后,其将能够产生一定的过滤策略,从而保护流媒体服务器的正常运行。Filter Module根据ControlCenter产生的明确过滤指令,过滤掉相应的恶意IP的会话。
(4)Reaction Module
Reaction Module在整个***遭受DDoS攻击时被激活,用于整个攻击反应决策的执行。其负责维护Proxy上的白名单,以及和白名单相关的查询工作,使得在攻击防御的过程中RTSP Front-End Module仍能够通过与ReactionModule的合作从而放行受信任IP用户,继续为受信任IP用户提供服务,从而降低遭受攻击的损失。
(5)RTSP Back-End Module
RTSP Back-End Module用于负责将Server对Proxy的RTSP响应信息,转换“映射”成Proxy对client的响应信息。这其中主要是包括各种端口的映射和请求内部参数值的修改。
(6)Communication Module
主要是负责Proxy的各个子模块与Control Center进行通讯,将各个子模块收集的信息提交给Control Center,同时,将Control Center的各种决策传递给各个子模块。
(7)Map Module
映射表维护单元Map Module负责各类端口信息与会话整体信息的映射表维护。Proxy进行数据转发的过程中,Map Module负责根据端口信息,提交对应会话的其他信息,从而保证整个转发的顺利进行
(8)Data Transfer Module
主要是负责将流媒体服务器发送到proxy对应端口的数据根据Map Module中的对应关系,转发到客户端的对应端口。转发的数据包括视频数据转发、音频数据转发以及相关的RTX数据转发。
(9)执行单元
执行单元用以执行控制中心模块下达的各项命令。
流媒体服务代理模块(Proxy子***)为整套防御方案中的行动执行部分,除执行Control Center下达的各项命令以外,还需要对途径该Proxy的所有会话进行转发,其中包括RTSP控制请求的转发以及RTP数据的转发。由于流媒体服务具有数据流量大的特点,与流媒体服务器相比,Proxy减少了磁盘吞吐这一性能瓶颈点,然而网络I/O吞吐性能仍然是影响Proxy子***的工作性能,乃至整个防御***性能的关键点。如何充分利用Proxy所在计算机的计算能力以及网络吞吐能力,是必须要考虑的问题。
为充分提升Proxy子***的整体性能,本发明将整个Proxy子***设计成一多线程并发运行的结构,其线程结构及关系如下图3所示:
Proxy子***主要在以下三个方面需要较高的处理能力:
(1)处理大量的由Client端发送来的RTSP请求,并将该请求修改转发到流媒体服务器端。这里需要大量的请求信息修改处理及转发操作,势必将占用大量的CPU处理能力。
(2)处理大量的有Server端发送来的RTSP响应,并将该响应修改转发到指定的客户端。这里同样需要对各种RTSP响应进行处理再转发,也将占用大量的CPU。
(3)接受大量的音视频RTP数据包,并将其转发到指定的Client端。这里强调网络I/O的吞吐性能,在网卡I/O达到吞吐性能上限之前,都应该通过提升Proxy运行效率,达到提升整体转发性能的目的。
为尽可能的提升以上三个方面的性能,在Proxy子***的整体线程结构设计过程中,本发明采取了“线程池”的技术手段,从而将整体性能充分提升。如上图所示的①,②,③处,本发明构建了三个线程池,分别用以提升上述三处的性能。在***整体负载较弱的情况下,线程池中的大部分线程将处于休眠状态,不占用***的任何资源,此时只需较少的线程便能负担整个***的负载。在***负载不断变大的时,休眠的线程将不断的被唤起Client DispatchThread,Server Dispatch Thread以及UDP Dispatch Thread所唤起。将需要处理的socket移交给相应的工作线程,工作线程便会尽全力处理自己负责的socket任务了。
【控制中心模块】
控制中心模块Control Center为整个防御方案的决策中心,其主要工作在与根据各Proxy子***对各自状态的信息汇报,检测遭受各种DoS或者DDoS攻击的可能性,并通知Proxy子***采取行动;根据Proxy子***汇报的Δ新进IP信息构建并维护IAD,用于DDoS攻击的检测和反应。根据Proxy汇报的会话数量及IP情况数据,Control Center将掌握整个***的会话连接状况,这一信息将用于IAD的随机采样。根据Proxy汇报的Δ新进IP信息,结合IAD受信任IP数据项,Control Center将可以判断整个***是否处于DDoS攻击状态。根据Proxy的会话及IP过滤信息汇总,Control Center将可以判断某一IP是否存在恶意攻击行为。其具体做法为,当有一IP被多个Proxy或者被同一Proxy多次过滤时,本发明认为该IP为恶意IP,将向所有的Proxy传递过滤该IP所有会话,并同时将该IP加入Proxy本地黑名单的命令。当ControlCenter检测出***整体处于DDoS攻击状态时,Control Center会向所有Proxy发出攻击反应的命令,并同时下达白名单列表。当Control Center对整个***进行持续观察,发现***已经从攻击中脱离迟来时,Control Center同样还会通知所有Proxy进入正常工作状态。Control Center子***的各功能模块如图4所示,其包括Communication Module(第二通讯单元)、IAD ConstructModule(IAD构建单元)、Decision Make Module(决策单元)。
Communication Module主要负责管理与所有Proxy之间的通信交互,接收来自Proxy的报告,发送Decision Make Module的命令。
IAD Construct Module负责对Decision Make Module掌握的整个***会话及IP信息进行不定期随机采样,以及IAD受信任IP项的更迭维护。
Decision Make Module根据各项统计数据做出决策。当单个IP的会话数量过多时,其将通知所有Proxy剔除这一IP地址的所有会话。当某一IP被多次过滤时,其将视该IP为一恶意IP,通知所有Proxy将其加入黑名单。当发现***正遭受DDoS攻击时,其将通知所有Proxy进入攻击反应状态,同时,其将提取出IAD中的所有受信任IP将其以白名单的形式发送给各个Proxy。当DDoS攻击结束时,其将通知所有Proxy恢复到正常状态。
以上介绍了攻击防御***的组成,以下通过介绍上述攻击防御***的攻击防御方法进一步介绍本发明,该方法包括如下步骤:
RTSP请求接收步骤:RTSP请求接收单元接收client的RTSP请求,将RTSP请求进行解析,并将相关信息汇报给数据收集单元;
数据收集步骤:数据收集单元统计数据的采集及维护,所述统计数据包括设定时间内新IP会话请求数据;
过滤步骤:过滤单元根据控制中心模块产生的明确过滤指令,过滤掉相应的恶意IP的会话;
回应步骤:回应单元执行整个攻击反应决策,负责维护Proxy上的白名单、以及和白名单相关的查询工作,使得在攻击防御的过程中RTSP请求接收单元仍能够通过与回应单元的合作从而放行受信任IP用户,继续为受信任IP用户提供服务;
映射步骤:映射单元将Server对Proxy的RTSP响应信息,映射成Proxy对client的响应信息;
映射表维护步骤:映射表维护单元维护各类端口信息与会话整体信息的映射表;
数据传送步骤:将流媒体服务器发送到Proxy对应端口的数据根据映射表维护单元中的对应关系,转发到客户端的对应端口,包括视频数据转发、音频数据转发、以及相关的RTX数据转发;
IAD构建步骤:IAD构建单元对决策单元掌握的整个***会话及IP信息进行不定期随机采样,以及IAD受信任IP项的更迭维护;
决策步骤:决策单元根据各项统计数据做出决策;当单个IP的会话数量过多时,该决策单元将通知Proxy剔除这一IP地址的所有会话;当某一IP被多次过滤时,该决策单元将视该IP为一恶意IP,通知Proxy将其加入黑名单;当发现***正遭受DDoS攻击时,该决策单元将通知Proxy进入攻击反应状态,同时,该决策单元将提取出IAD中的所有受信任IP将其以白名单的形式发送给Proxy;当DDoS攻击结束时,该决策单元将通知所有Proxy恢复到正常状态;
执行步骤:执行单元执行控制中心模块下达的各项命令,同时对途经Proxy的所有会话进行转发,包括RTSP控制请求的转发以及RTP数据的转发。
经过上述改进,本发明前瞻性的研究基于流媒体RTSP的各种DDOS攻击,设计了一套基于PROXY GROUP的流媒体DDOS防御体系,有效的保障了互联网上无须授权的流媒体服务的安全性。
这里本发明的描述和应用是说明性的,并非想将本发明的范围限制在上述实施例中。这里所披露的实施例的变形和改变是可能的,对于那些本领域的普通技术人员来说实施例的替换和等效的各种部件是公知的。本领域技术人员应该清楚的是,在不脱离本发明的精神或本质特征的情况下,本发明可以以其它形式、结构、布置、比例,以及用其它组件、材料和部件来实现。在不脱离本发明范围和精神的情况下,可以对这里所披露的实施例进行其它变形和改变。
Claims (7)
1.一种流媒体服务器应用层DDOS攻击防御***,用以防御流媒体服务***的DoS、DDoS攻击;所述流媒体服务***包括服务主机Server、及至少一客户端Client;其特征在于:
所述防御***连接所述服务主机Server、及各客户端Client;其包括:
至少一流媒体服务代理模块Proxy,用以负责流媒体控制信息及数据信息的转发、各种统计信息的采集、防御决策的最终执行;Client发送到Proxy的RTSP请求,被Proxy修改,变成对应的Proxy向Server的RTSP请求,并提交到Server端;Server针对Proxy的RTSP请求的响应信息,被Proxy修改,之后转变成对应的响应信息再转发给Client;
控制中心模块,用以统筹监测整个流媒体服务***的当前状态,并向Proxy发出命令进行防御。
2.根据权利要求1所述的流媒体服务器应用层DDOS攻击防御***,其特征在于:
所述流媒体服务代理模块Proxy包括
RTSP请求接收单元,用以接收client的RTSP请求,将RTSP请求进行解析,并将相关信息汇报给数据收集单元;
数据收集单元,用以负责统计数据的采集及维护,所述统计数据包括设定时间内新IP会话请求数据;
过滤单元,用以根据控制中心模块产生的明确过滤指令,过滤掉相应的恶意IP的会话;
回应单元,用以执行整个攻击反应决策,负责维护Proxy上的白名单、以及和白名单相关的查询工作,使得在攻击防御的过程中RTSP请求接收单元仍能够通过与回应单元的合作从而放行受信任IP用户,继续为受信任IP用户提供服务;
映射单元,用以负责将Server对Proxy的RTSP响应信息,映射成Proxy对client的响应信息;
第一通讯单元,用以负责流媒体服务代理模块中各单元与控制中心模块的通讯;
映射表维护单元,用以负责各类端口信息与会话整体信息的映射表维护;
数据传送单元,用以负责将流媒体服务器发送到Proxy对应端口的数据根据映射表维护单元中的对应关系,转发到客户端的对应端口,包括视频数据转发、音频数据转发、以及相关的RTX数据转发;
执行单元,用以执行控制中心模块下达的各项命令。
3.根据权利要求1所述的流媒体服务器应用层DDOS攻击防御***,其特征在于:
所述控制中心模块包括
第二通讯单元,用以负责管理与所有Proxy之间的通信交互,接收来自Proxy的报告,发送决策单元的命令至Proxy;
IAD构建单元,用以负责对决策单元掌握的整个***会话及IP信息进行不定期随机采样,以及IAD受信任IP项的更迭维护;
决策单元,用以根据各项统计数据做出决策;当单个IP的会话数量过多时,该决策单元将通知Proxy剔除这一IP地址的所有会话;当某一IP被多次过滤时,该决策单元将视该IP为一恶意IP,通知Proxy将其加入黑名单;当发现***正遭受DDoS攻击时,该决策单元将通知Proxy进入攻击反应状态,同时,该决策单元将提取出IAD中的所有受信任IP将其以白名单的形式发送给Proxy;当DDoS攻击结束时,该决策单元将通知所有Proxy恢复到正常状态。
4.一种流媒体服务***,包括服务主机Server、及至少一客户端Client;其特征在于:
所述流媒体服务***还包括攻击防御***,该攻击防御***连接所述服务主机Server、及各客户端Client;
所述攻击防御***包括
至少一流媒体服务代理模块Proxy,用以负责流媒体控制信息及数据信息的转发、各种统计信息的采集、防御决策的最终执行;Client发送到Proxy的RTSP请求,被Proxy修改,变成对应的Proxy向Server的RTSP请求,并提交到Server端;Server针对Proxy的RTSP请求的响应信息,被Proxy修改,之后转变成对应的响应信息再转发给Client;
控制中心模块,用以统筹监测整个流媒体服务***的当前状态,并向Proxy发出命令进行防御。
5.根据权利要求4所述的流媒体服务***,其特征在于:
所述流媒体服务代理模块Proxy包括
RTSP请求接收单元,用以接收client的RTSP请求,将RTSP请求进行解析,并将相关信息汇报给数据收集单元;
数据收集单元,用以负责统计数据的采集及维护,所述统计数据包括设定时间内新IP会话请求数据;
过滤单元,用以根据控制中心模块产生的明确过滤指令,过滤掉相应的恶意IP的会话;
回应单元,用以执行整个攻击反应决策,负责维护Proxy上的白名单、以及和白名单相关的查询工作,使得在攻击防御的过程中RTSP请求接收单元仍能够通过与回应单元的合作从而放行受信任IP用户,继续为受信任IP用户提供服务;
映射单元,用以负责将Server对Proxy的RTSP响应信息,映射成Proxy对client的响应信息;
第一通讯单元,用以负责流媒体服务代理模块中各单元与控制中心模块的通讯;
映射表维护单元,用以负责各类端口信息与会话整体信息的映射表维护;
数据传送单元,用以负责将流媒体服务器发送到Proxy对应端口的数据根据映射表维护单元中的对应关系,转发到客户端的对应端口,包括视频数据转发、音频数据转发、以及相关的RTX数据转发;
执行单元,用以执行控制中心模块下达的各项命令。
6.根据权利要求4所述的流媒体服务***,其特征在于:
所述控制中心模块包括
第二通讯单元,用以负责管理与所有Proxy之间的通信交互,接收来自Proxy的报告,发送决策单元的命令至Proxy;
IAD构建单元,用以负责对决策单元掌握的整个***会话及IP信息进行不定期随机采样,以及IAD受信任IP项的更迭维护;
决策单元,用以根据各项统计数据做出决策;当单个IP的会话数量过多时,该决策单元将通知Proxy剔除这一IP地址的所有会话;当某一IP被多次过滤时,该决策单元将视该IP为一恶意IP,通知Proxy将其加入黑名单;当发现***正遭受DDoS攻击时,该决策单元将通知Proxy进入攻击反应状态,同时,该决策单元将提取出IAD中的所有受信任IP将其以白名单的形式发送给Proxy;当DDoS攻击结束时,该决策单元将通知所有Proxy恢复到正常状态。
7.一种权利要求1至3所述攻击防御***的攻击防御方法,其特征在于,该方法包括如下步骤:
RTSP请求接收步骤:RTSP请求接收单元接收client的RTSP请求,将RTSP请求进行解析,并将相关信息汇报给数据收集单元;
数据收集步骤:数据收集单元统计数据的采集及维护,所述统计数据包括设定时间内新IP会话请求数据;
过滤步骤:过滤单元根据控制中心模块产生的明确过滤指令,过滤掉相应的恶意IP的会话;
回应步骤:回应单元执行整个攻击反应决策,负责维护Proxy上的白名单、以及和白名单相关的查询工作,使得在攻击防御的过程中RTSP请求接收单元仍能够通过与回应单元的合作从而放行受信任IP用户,继续为受信任IP用户提供服务;
映射步骤:映射单元将Server对Proxy的RTSP响应信息,映射成Proxy对client的响应信息;
映射表维护步骤:映射表维护单元维护各类端口信息与会话整体信息的映射表;
数据传送步骤:将流媒体服务器发送到Proxy对应端口的数据根据映射表维护单元中的对应关系,转发到客户端的对应端口,包括视频数据转发、音频数据转发、以及相关的RTX数据转发;
IAD构建步骤:IAD构建单元对决策单元掌握的整个***会话及IP信息进行不定期随机采样,以及IAD受信任IP项的更迭维护;
决策步骤:决策单元根据各项统计数据做出决策;当单个IP的会话数量过多时,该决策单元将通知Proxy剔除这一IP地址的所有会话;当某一IP被多次过滤时,该决策单元将视该IP为一恶意IP,通知Proxy将其加入黑名单;当发现***正遭受DDoS攻击时,该决策单元将通知Proxy进入攻击反应状态,同时,该决策单元将提取出IAD中的所有受信任IP将其以白名单的形式发送给Proxy;当DDoS攻击结束时,该决策单元将通知所有Proxy恢复到正常状态;
执行步骤:执行单元执行控制中心模块下达的各项命令,同时对途经Proxy的所有会话进行转发,包括RTSP控制请求的转发以及RTP数据的转发。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910050815XA CN101883078A (zh) | 2009-05-08 | 2009-05-08 | 流媒体服务器应用层ddos攻击防御***及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910050815XA CN101883078A (zh) | 2009-05-08 | 2009-05-08 | 流媒体服务器应用层ddos攻击防御***及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101883078A true CN101883078A (zh) | 2010-11-10 |
Family
ID=43054969
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910050815XA Pending CN101883078A (zh) | 2009-05-08 | 2009-05-08 | 流媒体服务器应用层ddos攻击防御***及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101883078A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8935430B2 (en) | 2012-06-29 | 2015-01-13 | Verisign, Inc. | Secondary service updates into DNS system |
| WO2016150253A1 (zh) * | 2015-03-24 | 2016-09-29 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及*** |
| CN106170015A (zh) * | 2016-07-26 | 2016-11-30 | 杭州迪普科技有限公司 | 一种限制并发会话数的方法及装置 |
| CN106506497A (zh) * | 2016-11-04 | 2017-03-15 | 广州华多网络科技有限公司 | 伪造白名单ip地址检测方法、装置及服务器 |
| CN107277074A (zh) * | 2017-08-17 | 2017-10-20 | 无锡江南影视传播有限公司 | 一种防止网络攻击的方法和设备 |
| CN108810124A (zh) * | 2018-06-02 | 2018-11-13 | 上海清鹤科技股份有限公司 | 一种对公网环境下大量多媒体终端的远程访问控制*** |
-
2009
- 2009-05-08 CN CN200910050815XA patent/CN101883078A/zh active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8935430B2 (en) | 2012-06-29 | 2015-01-13 | Verisign, Inc. | Secondary service updates into DNS system |
| WO2016150253A1 (zh) * | 2015-03-24 | 2016-09-29 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及*** |
| US10630719B2 (en) | 2015-03-24 | 2020-04-21 | Huawei Technologies Co., Ltd. | SDN-based DDOS attack prevention method, apparatus, and system |
| US11394743B2 (en) | 2015-03-24 | 2022-07-19 | Huawei Technologies Co., Ltd. | SDN-based DDoS attack prevention method, apparatus, and system |
| CN106170015A (zh) * | 2016-07-26 | 2016-11-30 | 杭州迪普科技有限公司 | 一种限制并发会话数的方法及装置 |
| CN106506497A (zh) * | 2016-11-04 | 2017-03-15 | 广州华多网络科技有限公司 | 伪造白名单ip地址检测方法、装置及服务器 |
| CN106506497B (zh) * | 2016-11-04 | 2019-08-30 | 广州华多网络科技有限公司 | 伪造白名单ip地址检测方法、装置及服务器 |
| CN107277074A (zh) * | 2017-08-17 | 2017-10-20 | 无锡江南影视传播有限公司 | 一种防止网络攻击的方法和设备 |
| CN108810124A (zh) * | 2018-06-02 | 2018-11-13 | 上海清鹤科技股份有限公司 | 一种对公网环境下大量多媒体终端的远程访问控制*** |
| CN108810124B (zh) * | 2018-06-02 | 2020-07-31 | 北京清鹤科技有限公司 | 一种对公网环境下大量多媒体终端的远程访问控制*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Wang et al. | SGS: Safe-guard scheme for protecting control plane against DDoS attacks in software-defined networking | |
| EP2036276B1 (en) | Router and method for server load balancing | |
| CN101883078A (zh) | 流媒体服务器应用层ddos攻击防御***及方法 | |
| CN101495993B (zh) | 用于分布式多重处理安全网关的***和方法 | |
| US7870611B2 (en) | System method and apparatus for service attack detection on a network | |
| WO2017088397A1 (zh) | 用于CDN服务器群组的DDoS攻击防护方法及*** | |
| CN109450841B (zh) | 一种基于云+端设备按需联动模式的抗大规模DDoS攻击的防御方法 | |
| CN101068229A (zh) | 一种基于网络过滤器的内容过滤网关实现方法 | |
| CN101286996A (zh) | 一种风暴攻击抵抗方法与装置 | |
| CN101127760A (zh) | 网络中双向协议隔离方法及其装置 | |
| CN102882894A (zh) | 一种识别攻击的方法及装置 | |
| CN103441905A (zh) | 网络流量监控*** | |
| CN102984031A (zh) | 一种使编码设备安全接入监控网络的方法和装置 | |
| Wang et al. | A DDoS attack detection based on deep learning in software-defined Internet of things | |
| CN101188607A (zh) | 基于网络处理器的dslam设备防止协议包攻击的方法 | |
| US20170149821A1 (en) | Method And System For Protection From DDoS Attack For CDN Server Group | |
| Gonzalez et al. | The impact of application-layer denial-of-service attacks | |
| CN111641628B (zh) | 一种子网欺骗DDoS攻击监测预警方法 | |
| CN101582880B (zh) | 一种基于被审计对象的报文过滤方法及*** | |
| CN106790310A (zh) | 分布式拒绝服务攻击防护与负载均衡一体化的方法和*** | |
| Balaji et al. | EUDIS-an encryption scheme for user-data security in public networks | |
| CN110581843B (zh) | 一种拟态Web网关多应用流量定向分配方法 | |
| Nguyen et al. | Distributed defense of distributed DoS using pushback and communicate mechanism | |
| CN113765858A (zh) | 一种实现高性能状态防火墙的方法及装置 | |
| Ogu et al. | Partitioning of Resource Provisions for Cloud Computing Infrastructure against DoS and DDoS Attacks. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| DD01 | Delivery of document by public notice |
Addressee: Shanghai ClearCrane Digital Technology Co., Ltd. Zhang Xiaolei Document name: Notification of before Expiration of Request of Examination as to Substance |
|
| DD01 | Delivery of document by public notice |
Addressee: Shanghai Qing Crane Digital Technology Co., Ltd. Zhang Xiaolei Document name: Notification that Application Deemed to be Withdrawn |
|
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20101110 |