CN104202314B - 一种阻止ddos攻击的方法及装置 - Google Patents
一种阻止ddos攻击的方法及装置 Download PDFInfo
- Publication number
- CN104202314B CN104202314B CN201410418607.1A CN201410418607A CN104202314B CN 104202314 B CN104202314 B CN 104202314B CN 201410418607 A CN201410418607 A CN 201410418607A CN 104202314 B CN104202314 B CN 104202314B
- Authority
- CN
- China
- Prior art keywords
- address
- destination
- router
- data flow
- route
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000011084 recovery Methods 0.000 claims description 12
- 230000002265 prevention Effects 0.000 claims description 10
- 238000004891 communication Methods 0.000 abstract description 10
- 230000005540 biological transmission Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 11
- 238000004140 cleaning Methods 0.000 description 4
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 206010033799 Paralysis Diseases 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 210000000988 bone and bone Anatomy 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的实施例提供一种阻止DDOS攻击的方法及装置,涉及通信领域,在不需要更改AS域网络的拓扑结构的情况下,能够通过源AS域网络中的路由器自动更改路由,实现阻止DDOS攻击AS域网络。源路由器向目的路由器发送数据流;接收目的路由器发送的申请阻止消息;更新第一路由得到第二路由。所述阻止DDOS攻击的方法及装置用于在攻击源端阻止DDOS攻击。
Description
技术领域
本发明涉及通信领域,尤其涉及一种阻止DDOS攻击的方法及装置。
背景技术
目前,DDOS(Distributed Denial of Service,分布式拒绝服务)攻击是AS(Autonomous System,自治***)域网络中存在的最常见、危害性最大的攻击形式之一。首先,攻击者将控制源AS域网络中大量的傀儡计算机,将多个傀儡计算机联合起来作为攻击平台,其中一部分傀儡计算机可以设置为主控端,然后,攻击者通过主控端将攻击指令发送至所有的傀儡计算机,最后,所有的傀儡计算机向目的AS域网络发送数据流,对目的AS域网络中的服务器进行DDOS攻击,从而造成目的AS域网络中服务器超载或者死机,甚至造成目的AS域网络瘫痪。
现有技术中,当存在数据流攻击目的AS域网络时,可以采用专用流量清洗设备对所述数据流进行清洗,来阻止DDOS攻击目的AS域网络,所述专用流量清洗设备部署在目的AS域网络中;或者,人工更改所述数据流的路由,来阻止DDOS攻击目的AS域网络。
但是,若在目的AS域网络中部署专用流量清洗设备,则需要对目的AS域网络的拓扑结构、目的AS域网络中设备接口,甚至管理目的AS域网络的流程进行较大改变,而且在专用流量清洗设备对数据流进行清洗之前,目的AS域网络可能已经被数据流攻击造成目的AS域网络瘫痪。再者,不同的AS域网络可能属于不同的运营商甚至不同的国家,若采用人工更改数据流的路由,来阻止DDOS攻击目的AS域网络,存在着人工更改数据流的路由的工作量大,效率较低,而且存在误操作风险等。因此,如何在不更改AS域网络的拓扑结构,或/和不使用人工更改数据流的路由的情况下,阻止DDOS攻击AS域网络是一个亟待解决的问题。
发明内容
本发明的实施例提供一种阻止DDOS攻击的方法及装置,在不需要更改AS域网络的拓扑结构的情况下,能够通过源AS域网络中的路由器自动更改路由,实现阻止DDOS攻击AS域网络。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,提供一种阻止DDOS攻击的方法,应用于源路由器,包括:
向目的路由器发送数据流;
接收所述目的路由器发送的申请阻止消息,所述申请阻止消息包括所述数据流访问的目的互联网协议IP地址,所述申请阻止消息用于指示所述源路由器阻止所述源路由器向所述目的路由器发送访问所述目的IP地址的数据流;
更新第一路由得到第二路由,所述第二路由用于指示在更新时段内访问所述目的IP地址的数据流的下一跳指向黑洞路由地址,所述第一路由用于指示访问所述目的IP地址的数据流的下一跳指向预先设置的目的IP地址。
第二方面,提供一种阻止DDOS攻击的方法,应用于目的路由器,包括:
接收源路由器发送的数据流;
从所述数据流中获取所述数据流的目的互联网协议IP地址和所述数据流的流量值;
判断所述目的IP地址是否与第一目的IP地址相同,所述第一目的IP地址为目的IP地址列表中任意一个目的IP地址;
若所述目的IP地址与第一目的IP地址相同,判断在预设时段内访问所述目的IP地址的数据流的流量值是否大于等于所述第一目的IP地址的最大访问流量门限;
若在预设时段内访问所述目的IP地址的数据流的流量值大于等于所述第一目的IP地址的最大访问流量门限,向所述源路由器发送申请阻止消息,以便于所述源路由器更新第一路由得到第二路由,所述申请阻止消息包括所述数据流访问的所述目的IP地址,所述申请阻止消息用于指示所述源路由器阻止所述源路由器向所述目的路由器发送访问所述目的IP地址的数据流,所述第二路由用于指示在更新时段内访问所述目的IP地址的数据流的下一跳指向黑洞路由地址,所述第一路由用于指示访问所述目的IP地址的数据流的下一跳指向预先设置的目的IP地址。
本发明的实施例提供一种阻止DDOS攻击的方法及装置。所述阻止DDOS攻击的方法,包括:在源路由器向目的路由器发送数据流之后,若接收到所述目的路由器发送的包括所述数据流访问的目的IP地址的申请阻止消息,则该源路由器更新第一路由得到第二路由,从而在更新时段内,源路由器将该源路由器向所述目的路由器发送的访问所述目的IP地址的数据流的下一跳指向黑洞路由地址,相对于现有技术,在不需要更改AS域网络的拓扑结构的情况下,能够通过源AS域网络中的路由器自动更改路由,将在更新时段内的数据流丢弃,实现阻止DDOS攻击AS域网络。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供一种阻止DDOS攻击的方法流程图;
图2为本发明实施例提供另一种阻止DDOS攻击的方法流程图;
图3为本发明实施例提供一种阻止DDOS攻击的通信网络结构示意图;
图4为本发明实施例提供又一种阻止DDOS攻击的方法流程图;
图5为本发明实施例提供再一种阻止DDOS攻击的方法流程图;
图6为本发明实施例提供另再一种阻止DDOS攻击的方法流程图;
图7为本发明实施例提供一种源路由器结构示意图;
图8为本发明实施例提供一种目的路由器结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种阻止DDOS攻击的方法,应用于源路由器,如图1所示,包括:
步骤101、向目的路由器发送数据流。
步骤102、接收所述目的路由器发送的申请阻止消息,所述申请阻止消息包括所述数据流访问的目的互联网协议IP地址,所述申请阻止消息用于指示所述源路由器阻止所述源路由器向所述目的路由器发送访问所述目的IP地址的数据流。
步骤103、更新第一路由得到第二路由,所述第二路由用于指示在更新时段内访问所述目的IP地址的数据流的下一跳指向黑洞路由地址,所述第一路由用于指示访问所述目的IP地址的数据流的下一跳指向预先设置的目的IP地址。
这样一来,在源路由器向目的路由器发送数据流之后,若接收到所述目的路由器发送的包括所述数据流访问的目的IP地址的申请阻止消息,则该源路由器更新第一路由得到第二路由,从而在更新时段内,源路由器将该源路由器向所述目的路由器发送的访问所述目的IP地址的数据流的下一跳指向黑洞路由地址,相对于现有技术,在不需要更改AS域网络的拓扑结构的情况下,能够通过源AS域网络中的路由器自动更改路由,将在更新时段内的数据流丢弃,实现阻止DDOS攻击AS域网络。
需要说明的是,在源路由器向目的路由器发送数据流之前,预先设置目的IP地址列表、所述目的IP地址列表中每个目的IP地址对应的最大访问流量门限、预设时段和更新时段,所述目的IP地址列表包括至少一个需要监测的目的IP地址,所述更新时段用于更新访问所述目的IP地址的数据流的下一跳的路由后的恢复时段,所述预设时段用于所述源路由器在所述预设时段内判断访问所述目的IP地址列表中的目的IP地址的数据流的流量值是否大于等于所述目的IP地址的最大访问流量门限,所述目的IP地址列表与所述目的路由器预先设置的目的IP地址列表相同。
进一步的,在源路由器更新第一路由得到第二路由,在所述更新时段之后,更新所述第二路由得到所述第一路由,以便于所述目的路由器接收所述源路由器发送的访问所述目的IP地址的数据流。
本发明实施例提供阻止DDOS攻击的方法,应用于目的路由器,如图2所示,包括:
步骤201、接收源路由器发送的数据流。
步骤202、从所述数据流中获取所述数据流的目的互联网协议IP地址和所述数据流的流量值。
步骤203、判断所述目的IP地址是否与第一目的IP地址相同,所述第一目的IP地址为目的IP地址列表中任意一个目的IP地址。
步骤204、若所述目的IP地址与第一目的IP地址相同,判断在预设时段内访问所述目的IP地址的数据流的流量值是否大于等于所述第一目的IP地址的最大访问流量门限。
步骤205、若在预设时段内访问所述目的IP地址的数据流的流量值大于等于所述第一目的IP地址的最大访问流量门限,向所述源路由器发送申请阻止消息,以便于所述源路由器更新第一路由得到第二路由,所述申请阻止消息包括所述数据流访问的所述目的IP地址,所述申请阻止消息用于指示所述源路由器阻止所述源路由器向所述目的路由器发送访问所述目的IP地址的数据流,所述第二路由用于指示在更新时段内访问所述目的IP地址的数据流的下一跳指向黑洞路由地址,所述第一路由用于指示访问所述目的IP地址的数据流的下一跳指向预先设置的目的IP地址。
这样一来,目的路由器接收到源路由器发送的数据流之后,首先,从所述数据流中获取所述数据流的目的IP地址和所述数据流的流量值,然后,判断所述目的IP地址是否与第一目的IP地址相同,若所述目的IP地址与第一目的IP地址相同,判断在预设时段内访问所述目的IP地址的数据流的流量值是否大于等于所述第一目的IP地址的最大访问流量门限,若在预设时段内访问所述目的IP地址的数据流的流量值大于等于所述第一目的IP地址的最大访问流量门限,该目的路由器向所述源路由器发送申请阻止消息,以便于所述源路由器更新第一路由得到第二路由,在更新时段内阻止所述源路由器向该目的路由器发送访问所述目的IP地址的数据流,相对于现有技术,在不需要更改AS域网络的拓扑结构的情况下,能够通过源AS域网络中的路由器自动更改路由,将在更新时段内的数据流丢弃,实现阻止DDOS攻击AS域网络。
需要说明的是,在目的路由器接收源路由器发送的数据流之前,预先设置目的IP地址列表、所述目的IP地址列表中每个目的IP地址对应的最大访问流量门限、预设时段和更新时段,所述目的IP地址列表包括至少一个需要监测的目的IP地址,所述更新时段用于更新访问所述目的IP地址的数据流的下一跳的路由后的恢复时段,所述预设时段用于所述目的路由器在所述预设时段内判断访问所述目的IP地址列表中的目的IP地址的数据流的流量值是否大于等于所述目的IP地址的最大访问流量门限,所述目的IP地址列表与所述源路由器预先设置的目的IP地址列表相同。
进一步的,在目的路由器向所述源路由器发送申请阻止消息之后,该目的路由器记录所述申请阻止消息。
可选的,在目的路由器向所述源路由器发送申请阻止消息之后,该目的路由器还可以更新第三路由得到第四路由,所述第四路由用于指示在更新时段内访问所述目的IP地址的数据流的下一跳指向黑洞路由地址,所述第三路由用于指示访问所述目的IP地址的数据流的下一跳指向预先设置的目的IP地址。在所述更新时段之后,更新所述第四路由得到所述第三路由,以便于所述目的路由器将所述访问所述目的IP地址的数据流路由到所述目的IP地址。
本发明提供一种阻止DDOS攻击的通信网络结构示意图,如图3所示,包括AS1域网络30、AS2域网络31和AS3域网络32;所述AS1域网络30包括第一路由器301、第二路由器302、第三路由器303、第一攻击服务器304和第二攻击服务器305,其中,第一路由器301分别与第二路由器302和第三路由器303连接,第二路由器302与第一攻击服务器304连接,第三路由器303与第二攻击服务器305连接;所述AS2域网络31包括第四路由器311、第五路由器312、第六路由器313、被攻击服务器314,其中,第四路由器311分别与第五路由器312和第六路由器313连接,第五路由器312与被攻击服务器314连接;所述AS3域网络32包括第七路由器321、第八路由器322、第九路由器323、第三攻击服务器324和第四攻击服务器325,其中,第七路由器321分别与第八路由器322和第九路由器323连接,第八路由器322与第三攻击服务器324连接,第九路由器323与第四攻击服务器325连接。
需要说明的是,第一路由器301为AS1域网络30的核心路由器,用于将该AS1域网络30的数据流发送至其他网络或接收其他网络发送至该AS1域网络30的数据流,第二路由器302和第三路由器303为第二级路由器,用于接收第一路由器301的数据流或者向第一路由器301发送数据流。第四路由器311为AS2域网络31的核心路由器,用于将该AS2域网络31的数据流发送至其他网络或接收其他网络发送至该AS2域网络31的数据流,第五路由器312和第六路由器313为第二级路由器,用于接收第四路由器311的数据流或者向第四路由器311发送数据流。第七路由器321为AS3域网络32的核心路由器,用于将该AS3域网络32的数据流发送至其他网络或接收其他网络发送至该AS3域网络32的数据流,第八路由器322和第九路由器323为第二级路由器,用于接收第七路由器321的数据流或者向第七路由器321发送数据流。
其中,第一路由器301、第四路由器311和第七路由器321分别预先设置目的IP地址列表、所述目的IP地址列表中每个目的IP地址对应的最大访问流量门限、预设时段和更新时段,所述目的IP地址列表包括至少一个需要监测的目的IP地址,所述更新时段用于更新访问所述目的IP地址的数据流的下一跳的路由后的恢复时段,所述预设时段用于路由器在所述预设时段内判断访问所述目的IP地址列表中的目的IP地址的数据流的流量值是否大于等于所述目的IP地址的最大访问流量门限。需要说明的是,在预先设置时所述每个目的IP地址对应的最大访问流量门限小于网络拥堵的极限值。第一路由器301、第四路由器311和第七路由器321预先设置的目的IP地址列表、所述目的IP地址列表中每个目的IP地址对应的最大访问流量门限、预设时段和更新时段相同。本发明所提供的通信网络结构示意图中的第二级路由器也可以预先设置目的IP地址列表、所述目的IP地址列表中每个目的IP地址对应的最大访问流量门限、预设时段和更新时段。第一路由器301、第四路由器311和第七路由器321可以相互直接连接,或者通过路由器等网络设备连接。
特别的,实际应用中,还可以包括更多的路由器或其他通信设备,本发明所提供的阻止DDOS攻击的通信网络结构示意图只是示意性说明,对此不做任何限定。例如,AS1域网络可以是中国的骨干网,AS2域网络可以是美国的骨干网;或者,AS1域网络可以是北京的骨干网,AS2域网络可以是陕西的骨干网等,因此,本发明提供的阻止DDOS攻击的方法可以适应于任何范围的网络。
本发明实施例提供一种阻止DDOS攻击的方法,假设应用于如图3所示的通信网络,假设第一路由器301和第七路由器321为源路由器,第四路由器311为目的路由器,第一攻击服务器304、第二攻击服务器305、第三攻击服务器324、第四攻击服务器325同时攻击被攻击服务器314,如图4所示,所述方法包括:
步骤401、源路由器预先设置目的IP地址列表、所述目的IP地址列表中每个目的IP地址对应的最大访问流量门限、预设时段和更新时段。
所述目的IP地址列表包括至少一个需要监测的目的IP地址,所述更新时段用于更新访问所述目的IP地址的数据流的下一跳的路由后的恢复时段,所述预设时段用于所述源路由器在所述预设时段内判断访问所述目的IP地址列表中的目的IP地址的数据流的流量值是否大于等于所述目的IP地址的最大访问流量门限,所述目的IP地址列表与所述目的路由器预先设置的目的IP地址列表相同。
步骤402、目的路由器预先设置目的IP地址列表、所述目的IP地址列表中每个目的IP地址对应的最大访问流量门限、预设时段和更新时段。
所述目的IP地址列表包括至少一个需要监测的目的IP地址,所述更新时段用于更新访问所述目的IP地址的数据流的下一跳的路由后的恢复时段,所述预设时段用于所述目的路由器在所述预设时段内判断访问所述目的IP地址列表中的目的IP地址的数据流的流量值是否大于等于所述目的IP地址的最大访问流量门限,所述目的IP地址列表与所述源路由器预先设置的目的IP地址列表相同。
需要说明的是,本发明实施例提供的阻止DDOS攻击的方法步骤的先后顺序可以进行适当调整,步骤也可以根据情况进行相应增减。如步骤401和步骤402之间的前后顺序可以互换,即目的路由器可以先进行预先配置。任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化的方法,都应涵盖在本发明的保护范围之内,因此不再赘述。
步骤403、源路由器向目的路由器发送数据流。
第一攻击服务器304向第二路由器302发送数据包,第二攻击服务器305向第三路由器303发送数据包,第一路由器301接收第二路由器302和第三路由器303发送的数据包,第一路由器301再向目的路由器发送该数据包组成的数据流。第三攻击服务器324向第八路由器322发送数据包,第四攻击服务器325向第九路由器323发送数据包,第七路由器321接收第八路由器322和第九路由器323发送的数据包,第七路由器321再向目的路由器发送该数据包组成的数据流。所述数据包包括该数据包的源IP地址和目的IP地址。所述数据流可以是多个数据包的字节数的总和。
步骤404、目的路由器从数据流中获取所述数据流的目的IP地址和所述数据流的流量值。
目的路由器接收到源路由器发送的数据流后,目的路由器从数据流中获取所述数据流的目的IP地址和所述数据流的流量值。所述数据流的流量值可以是第一路由器301和第七路由器321发送至第四路由器311的数据流的流量值。
步骤405、目的路由器判断所述目的IP地址与第一目的IP地址相同。
目的路由器从本地获取目的IP地址列表,将所述目的IP地址与所述目的IP地址列表中的每个目的IP地址进行比较,获取所述目的IP地址列表中与所述目的IP地址相同的目的IP地址。若所述目的IP地址与第一目的IP地址相同,执行步骤406,所述第一目的IP地址为目的IP地址列表中任意一个目的IP地址。若不存在与所述目的IP地址相同的目的IP地址,该目的路由器将所述访问所述目的IP地址的数据流路由到所述目的IP地址。例如,该目的路由器可以将数据流先路由到第五路由器312,第五路由器再将该数据流路由到被攻击服务器314。
本发明实施例假设所述目的IP地址与第一目的IP地址相同,执行步骤406。
步骤406、目的路由器判断在预设时段内访问所述目的IP地址的数据流的流量值大于等于所述第一目的IP地址的最大访问流量门限。
目的路由器从本地获取所述第一目的IP地址的最大访问流量门限,比较在预设时段内访问所述目的IP地址的数据流的流量值是否大于等于所述第一目的IP地址的最大访问流量门限。所述第一目的IP地址的最大访问流量门限为防止第一目的IP地址所在的AS2域网络拥堵的最大访问流量门限。
若在预设时段内访问所述目的IP地址的数据流的流量值大于等于所述第一目的IP地址的最大访问流量门限,执行步骤407,若在预设时段内访问所述目的IP地址的数据流的流量值小于所述第一目的IP地址的最大访问流量门限,该目的路由器将所述访问所述目的IP地址的数据流路由到所述目的IP地址。预设时段可以根据实际应用自行设置,例如,可以将预设时段设置为1秒或10毫秒。
本发明实施例假设在预设时段内访问所述目的IP地址的数据流的流量值大于等于所述第一目的IP地址的最大访问流量门限,执行步骤407。
步骤407、目的路由器向源路由器发送申请阻止消息。
目的路由器生成申请阻止消息,所述申请阻止消息包括所述数据流访问的所述目的IP地址,所述申请阻止消息用于指示所述源路由器阻止所述源路由器向所述目的路由器发送访问所述目的IP地址的数据流。
步骤408、源路由器更新第一路由得到第二路由。
源路由器接收到目的路由器发送的申请阻止消息,更新第一路由得到第二路由,在更新时段内,源路由器再接收到需要路由到所述目的IP地址的数据流时,将该数据流路由到黑洞路由地址,即将该数据流丢弃。所述第二路由用于指示在更新时段内访问所述目的IP地址的数据流的下一跳指向黑洞路由地址,所述第一路由用于指示访问所述目的IP地址的数据流的下一跳指向预先设置的目的IP地址。
源路由器可以通过设置边界网关协议族(BGP community)中的参数来限定路由信息。例如,可以将BGP community设置为IBGP(Interior Border Gateway Protocol,内部边界网关协议),则当数据流路由到源路由器时,源路由器可以将该数据流丢弃。
步骤409、源路由器更新所述第二路由得到所述第一路由。
在更新时段之后,源路由器更新所述第二路由得到所述第一路由,当源路由器再接收到需要路由到所述目的IP地址的数据流时,可以将所述数据流路由到目的IP地址,以便于所述目的路由器接收所述源路由器发送的访问所述目的IP地址的数据流。该更新时段可以根据实际应用自行设置,例如,可以将该更新时段设置为10秒。
步骤4010、目的路由器记录所述申请阻止消息。
可选的,本发明实施例还可以包括步骤4011至步骤4012。
步骤4011、目的路由器更新第三路由得到第四路由。
所述第四路由用于指示在更新时段内访问所述目的IP地址的数据流的下一跳指向黑洞路由地址,所述第三路由用于指示访问所述目的IP地址的数据流的下一跳指向预先设置的目的IP地址。
在本发明实施例中目的路由器更新第三路由得到第四路由,是将目的路由器本次接收到的访问所述目的IP地址的数据流的下一跳指向黑洞路由地址。
需要说明的是,下一跳指路由器路由选择的下面一次跳跃,即如果路由器没有直接连接到目的网络,它会有一个提供下一跳路由的邻居路由器,用来传递数据到目的地。路由器可以使用语法命令为ip route network-address subnet-mask ip-address进行路由,其中,network-address为要加入路由表的远程网络的目的网络地址,subnet-mask为要加入的路由表的远程网络的子网掩码,ip-address为下一跳路由器的IP地址。实际应用中,下一跳IP地址可以是服务器地址或路由器地址。在本发明实施例中所述下一跳IP地址可以是第五路由器地址。
步骤4012、目的路由器更新所述第四路由得到所述第三路由。
在更新时段之后,目的路由器更新所述第四路由得到所述第三路由,当目的路由器再接收到需要路由到所述目的IP地址的数据流时,可以将所述数据流路由到目的IP地址,以便于所述目的路由器将所述访问所述目的IP地址的数据流路由到所述目的IP地址。该更新时段可以根据实际应用自行设置,例如,可以将该更新时段设置为10秒。
示例的,如图3所示,假设数据流的目的IP地址为被攻击服务器的IP地址,第四路由器可以将数据流先路由到第五路由器,第五路由器再将数据流路由到被攻击服务器。
需要说明的是,当目的路由器判断在预设时段内访问所述目的IP地址的数据流的流量值大于等于所述第一目的IP地址的最大访问流量门限,也可以不执行步骤4011至步骤4012,因为第一目的IP地址的最大访问流量门限不是AS2域网络能够承载的最大访问流量门限,实际应用中,可以设置第一目的IP地址的最大访问流量门限小于AS2域网络能够承载的最大访问流量门限,那么即使当目的路由器判断在预设时段内访问所述目的IP地址的数据流的流量值大于等于所述第一目的IP地址的最大访问流量门限,不至于AS2域网络拥堵,并且在以上所述的情况下,目的路由器可以向源路由器发送申请阻止消息,指示所述源路由器阻止所述源路由器向所述目的路由器发送访问所述目的IP地址的数据流,所述申请阻止消息包括所述数据流访问的所述目的IP地址,有效地解决了数据流对AS2域网络造成的拥堵,同时实现阻止DDOS攻击AS2域网络。
如图5所示,本发明实施例所述的阻止DDOS攻击的方法,在执行步骤403之前,还可以包括步骤4013至步骤4015。
步骤4013、源路由器从数据流中获取所述数据流的目的IP地址和所述数据流的流量值。
第一路由器301接收第二路由器302和第三路由器303发送的数据流,解析该数据流,从该数据流中获取该数据流的目的IP地址和该数据流的流量值。第七路由器321接收第八路由器322和第九路由器323发送的数据流,解析该数据流,从该数据流中获取该数据流的目的IP地址和该数据流的流量值。
步骤4014、源路由器判断所述目的IP地址与第一目的IP地址相同。
第一路由器301从本地获取目的IP地址列表,将所述目的IP地址与所述目的IP地址列表中的每个目的IP地址进行比较,获取所述目的IP地址列表中与所述目的IP地址相同的目的IP地址。若所述目的IP地址与第一目的IP地址相同,执行步骤4015,所述第一目的IP地址为目的IP地址列表中任意一个目的IP地址。若不存在与所述目的IP地址相同的目的IP地址,执行步骤403。
同理,第七路由器321从本地获取目的IP地址列表,将所述目的IP地址与所述目的IP地址列表中的每个目的IP地址进行比较,获取所述目的IP地址列表中与所述目的IP地址相同的目的IP地址。若所述目的IP地址与第一目的IP地址相同,执行步骤4015,所述第一目的IP地址为目的IP地址列表中任意一个目的IP地址。若不存在与所述目的IP地址相同的目的IP地址,执行步骤403。
本发明实施例假设所述目的IP地址与第一目的IP地址相同,执行步骤4015。
步骤4015、源路由器判断在预设时段内访问所述目的IP地址的数据流的流量值小于所述第一目的IP地址的最大访问流量门限。
所述第一目的IP地址的最大访问流量门限为防止第一目的IP地址所在的AS2域网络拥堵的最大访问流量门限。第一路由器301从本地获取所述第一目的IP地址的最大访问流量门限,比较数据流的流量值与所述第一目的IP地址的最大访问流量门限,若数据流的流量值大于等于所述第一目的IP地址的最大访问流量门限,第一路由器301更新第一路由得到第二路由,所述第二路由用于指示在更新时段内访问所述目的IP地址的数据流的下一跳指向黑洞路由地址,所述第一路由用于指示访问所述目的IP地址的数据流的下一跳指向预先设置的目的IP地址;若数据流的流量值小于所述第一目的IP地址的最大访问流量门限,执行步骤403。
同理,第七路由器321从本地获取所述第一目的IP地址的最大访问流量门限,比较数据流的流量值与所述第一目的IP地址的最大访问流量门限,若数据流的流量值大于等于所述第一目的IP地址的最大访问流量门限,第七路由器321更新第一路由得到第二路由;若数据流的流量值小于所述第一目的IP地址的最大访问流量门限,执行步骤403。预设时段可以根据实际应用自行设置,例如,可以将预设时段设置为1秒或10毫秒。
本发明实施例假设数据流的流量值小于所述第一目的IP地址的最大访问流量门限,执行步骤403。
这样一来,通过源路由器判断该源路由器向目的路由器发送的数据流的流量值,当所述数据流的流量值大于等于所述数据流的目的IP地址的最大访问流量门限,更新访问所述目的IP地址的数据流的下一跳指向黑洞路由地址,直接将该数据流丢弃,相对于现有技术,在不需要更改AS1域网络和AS2域网络的拓扑结构的情况下,能够通过AS1域网络中的路由器自动更改路由,在更新时段内将数据流丢弃,有效地解决了数据流对该AS1域网络造成的拥堵,同时实现阻止DDOS攻击AS2域网络。
特别的,本发明实施例所述的阻止DDOS攻击的方法不仅用于阻止跨域的DDOS攻击,也可以在同一个域内的同一个路由器实现本发明实施例所述的阻止DDOS攻击的方法,即源路由器和目的路由器可以是同一台路由器。例如,局域网包括一个路由器和多个主机,当其中一个主机攻击另一个主机时,路由器可以使用本发明实施例所述的阻止DDOS攻击的方法阻止所述一个主机攻击另一个主机。
本发明实施例提供的阻止DDOS攻击的方法,首先,源路由器和目的路由器预先设置目的IP地址列表、所述目的IP地址列表中每个目的IP地址对应的最大访问流量门限、预设时段和更新时段,源路由器向目的路由器发送数据流,然后,目的路由器从接收到的数据流中获取所述数据流的目的IP地址和所述数据流的流量值,判断所述目的IP地址与第一目的IP地址相同,判断在预设时段内访问所述目的IP地址的数据流的流量值大于等于所述第一目的IP地址的最大访问流量门限,目的路由器向源路由器发送申请阻止消息,源路由器接收到申请阻止消息后,更新第一路由得到第二路由,源路由器在更新时段内根据所述第二路由将访问所述目的IP地址的数据流丢弃,相对于现有技术,在不需要更改AS域网络的拓扑结构的情况下,能够通过源AS域网络中的路由器自动更改路由,将在更新时段内的数据流丢弃,实现阻止DDOS攻击AS域网络。
本发明实施例提供一种阻止DDOS攻击的方法,假设应用于如图3所示的通信网络,假设第一路由器301为源路由器,第四路由器311为目的路由器,第一攻击服务器304、第二攻击服务器305、第三攻击服务器324、第四攻击服务器325同时攻击被攻击服务器314,如图6所示,所述方法包括:
步骤501、源路由器预先设置目的IP地址列表、所述目的IP地址列表中每个目的IP地址对应的最大访问流量门限、预设时段和更新时段。
所述目的IP地址列表包括至少一个需要监测的目的IP地址,所述更新时段用于更新访问所述目的IP地址的数据流的下一跳的路由后的恢复时段,所述预设时段用于所述源路由器在所述预设时段内判断访问所述目的IP地址列表中的目的IP地址的数据流的流量值是否大于等于所述目的IP地址的最大访问流量门限,所述目的IP地址列表与所述目的路由器预先设置的目的IP地址列表相同。
步骤502、源路由器从数据流中获取所述数据流的目的IP地址和所述数据流的流量值。
第一攻击服务器304向第二路由器302发送数据包,第二攻击服务器305向第三路由器303发送数据包,第一路由器301接收第二路由器302和第三路由器303发送的数据包,第一路由器301再向目的路由器发送该数据包组成的数据流。第三攻击服务器324向第八路由器322发送数据包,第四攻击服务器325向第九路由器323发送数据包,第七路由器321接收第八路由器322和第九路由器323发送的数据包,第七路由器321再向目的路由器发送该数据包组成的数据流。所述数据包包括该数据包的源IP地址和目的IP地址。所述数据流可以是多个数据包的字节数的总和。
步骤503、源路由器判断所述目的IP地址是否与第一目的IP地址相同。
第一路由器301从本地获取目的IP地址列表,将所述目的IP地址与所述目的IP地址列表中的每个目的IP地址进行比较,获取所述目的IP地址列表中与所述目的IP地址相同的目的IP地址。若所述目的IP地址与第一目的IP地址相同,执行步骤504,所述第一目的IP地址为目的IP地址列表中任意一个目的IP地址。若不存在与所述目的IP地址相同的目的IP地址,执行步骤507。
同理,第七路由器321从本地获取目的IP地址列表,将所述目的IP地址与所述目的IP地址列表中的每个目的IP地址进行比较,获取所述目的IP地址列表中与所述目的IP地址相同的目的IP地址。若所述目的IP地址与第一目的IP地址相同,执行步骤504,所述第一目的IP地址为目的IP地址列表中任意一个目的IP地址。若不存在与所述目的IP地址相同的目的IP地址,执行步骤507。
步骤504、源路由器判断在预设时段内访问所述目的IP地址的数据流的流量值是否大于等于所述第一目的IP地址的最大访问流量门限。
所述第一目的IP地址的最大访问流量门限为防止第一目的IP地址所在的AS2域网络拥堵的最大访问流量门限。源路由器从本地获取所述第一目的IP地址的最大访问流量门限,比较数据流的流量值与所述第一目的IP地址的最大访问流量门限,若数据流的流量值大于等于所述第一目的IP地址的最大访问流量门限,执行步骤505;若数据流的流量值小于所述第一目的IP地址的最大访问流量门限,执行步骤507。预设时段可以根据实际应用自行设置,例如,可以将预设时段设置为1秒或10毫秒。
这样一来,通过源路由器判断该源路由器向目的路由器发送的数据流的流量值,当所述数据流的流量值大于等于所述数据流的目的IP地址的最大访问流量门限,更新访问所述目的IP地址的所述数据流的下一跳指向黑洞路由地址,直接将该数据流丢弃,相对于现有技术,在不需要更改AS1域网络和AS2域网络的拓扑结构的情况下,能够通过AS1域网络中的路由器自动更改路由,在更新时段内将数据流丢弃,有效地解决了数据流对该AS1域网络造成的拥堵,同时实现阻止DDOS攻击AS2域网络。
步骤505、源路由器更新第一路由得到第二路由。
源路由器更新第一路由得到第二路由,在更新时段内,源路由器接收到需要路由到所述目的IP地址的数据流时,将该数据流路由到黑洞路由地址,即将该数据流丢弃。所述第二路由用于指示在更新时段内访问所述目的IP地址的数据流的下一跳指向黑洞路由地址,所述第一路由用于指示访问所述目的IP地址的数据流的下一跳指向预先设置的目的IP地址。
源路由器可以通过设置边界网关协议族(BGP community)中的参数来限定路由信息。例如,可以将BGP community设置为IBGP(Interior Border Gateway Protocol,内部边界网关协议),则当第一数据流路由到源路由器时,源路由器可以将该第一数据流丢弃。
步骤506、源路由器更新所述第二路由得到所述第一路由。
在更新时段之后,源路由器更新所述第二路由得到所述第一路由,当源路由器再接收到需要路由到所述目的IP地址的数据流时,可以将所述数据流路由到目的IP地址,以便于所述目的路由器接收所述源路由器发送的访问所述目的IP地址的数据流。该更新时段可以根据实际应用自行设置,例如,可以将该更新时段设置为10秒。
步骤507、源路由器向目的路由器发送数据流。
步骤508、源路由器接收到目的路由器发送的申请阻止消息。
步骤509、源路由器更新第一路由得到第二路由。
源路由器接收到目的路由器发送的申请阻止消息,更新第一路由得到第二路由,在更新时段内,源路由器再接收到需要路由到所述目的IP地址的数据流时,将该数据流路由到黑洞路由地址,即将该数据流丢弃。所述第二路由用于指示在更新时段内访问所述目的IP地址的数据流的下一跳指向黑洞路由地址,所述第一路由用于指示访问所述目的IP地址的数据流的下一跳指向预先设置的目的IP地址。
源路由器可以通过设置边界网关协议族(BGP community)中的参数来限定路由信息。例如,可以将BGP community设置为IBGP(Interior Border Gateway Protocol,内部边界网关协议),则当数据流路由到源路由器时,源路由器可以将该数据流丢弃。
步骤5010、源路由器更新所述第二路由得到所述第一路由。
在更新时段之后,源路由器更新所述第二路由得到所述第一路由,当源路由器再接收到需要路由到所述目的IP地址的数据流时,可以将所述数据流路由到目的IP地址,以便于所述目的路由器接收所述源路由器发送的访问所述目的IP地址的数据流。该更新时段可以根据实际应用自行设置,例如,可以将该更新时段设置为10秒。
本发明实施例提供的阻止DDOS攻击的方法,在源路由器向目的路由器发送数据流之前,首先,源路由器从数据流中获取所述数据流的目的IP地址和所述数据流的流量值,源路由器判断所述目的IP地址是否与第一目的IP地址相同,若所述目的IP地址与第一目的IP地址相同,判断在预设时段内访问所述目的IP地址的数据流的流量值是否大于等于所述第一目的IP地址的最大访问流量门限,若在预设时段内访问所述目的IP地址的数据流的流量值大于等于所述第一目的IP地址的最大访问流量门限,更新访问所述目的IP地址的所述数据流的下一跳指向黑洞路由地址,若在预设时段内访问所述目的IP地址的数据流的流量值小于所述第一目的IP地址的最大访问流量门限,向目的路由器发送数据流,相对于现有技术,在不需要更改AS域网络的拓扑结构的情况下,能够通过AS1域网络中的路由器自动更改路由,将在更新时段内的数据流丢弃,实现阻止DDOS攻击AS域网络。
本发明实施例提供一种源路由器60,如图7所示,包括:
发送单元601,用于向目的路由器发送数据流;
接收单元602,用于接收所述目的路由器发送的申请阻止消息,所述申请阻止消息包括所述数据流访问的目的互联网协议IP地址,所述申请阻止消息用于指示所述源路由器阻止所述源路由器向所述目的路由器发送访问所述目的IP地址的数据流;
处理单元603,用于更新第一路由得到第二路由,所述第二路由用于指示在更新时段内访问所述目的IP地址的数据流的下一跳指向黑洞路由地址,所述第一路由用于指示访问所述目的IP地址的数据流的下一跳指向预先设置的目的IP地址。
这样一来,在源路由器向目的路由器发送数据流之后,若接收到所述目的路由器发送的包括所述数据流访问的目的IP地址的申请阻止消息,则该源路由器更新第一路由得到第二路由,从而在更新时段内,源路由器将该源路由器向所述目的路由器发送的访问所述目的IP地址的数据流的下一跳指向黑洞路由地址,相对于现有技术,在不需要更改AS域网络的拓扑结构的情况下,能够通过源AS域网络中的路由器自动更改路由,将在更新时段内的数据流丢弃,实现阻止DDOS攻击AS域网络。
所述处理单元603还用于:
预先设置目的IP地址列表、所述目的IP地址列表中每个目的IP地址对应的最大访问流量门限、预设时段和更新时段,所述目的IP地址列表包括至少一个需要监测的目的IP地址,所述更新时段用于更新访问所述目的IP地址的数据流的下一跳的路由后的恢复时段,所述预设时段用于所述源路由器在所述预设时段内判断访问所述目的IP地址列表中的目的IP地址的数据流的流量值是否大于等于所述目的IP地址的最大访问流量门限,所述目的IP地址列表与所述目的路由器预先设置的目的IP地址列表相同。
所述处理单元603还用于:在所述更新时段之后,更新所述第二路由得到所述第一路由,以便于所述目的路由器接收所述源路由器发送的访问所述目的IP地址的数据流。
本发明实施例提供一种目的路由器70,如图8所示,包括:
接收单元701,用于接收源路由器发送的数据流;
处理单元702,用于从所述数据流中获取所述数据流的目的互联网协议IP地址和所述数据流的流量值;
所述处理单元702还用于:判断所述目的IP地址是否与第一目的IP地址相同,所述第一目的IP地址为目的IP地址列表中任意一个目的IP地址;
所述处理单元702还用于:若所述目的IP地址与第一目的IP地址相同,判断在预设时段内访问所述目的IP地址的数据流的流量值是否大于等于所述第一目的IP地址的最大访问流量门限;
发送单元703,用于若在预设时段内访问所述目的IP地址的数据流的流量值大于等于所述第一目的IP地址的最大访问流量门限,向所述源路由器发送申请阻止消息,以便于所述源路由器更新第一路由得到第二路由,所述申请阻止消息包括所述数据流访问的所述目的IP地址,所述申请阻止消息用于指示所述源路由器阻止所述源路由器向所述目的路由器发送访问所述目的IP地址的数据流,所述第二路由用于指示在更新时段内访问所述目的IP地址的数据流的下一跳指向黑洞路由地址,所述第一路由用于指示访问所述目的IP地址的数据流的下一跳指向预先设置的目的IP地址。
这样一来,目的路由器接收到源路由器发送的数据流之后,首先,从所述数据流中获取所述数据流的目的IP地址和所述数据流的流量值,然后,判断所述目的IP地址是否与第一目的IP地址相同,若所述目的IP地址与第一目的IP地址相同,判断在预设时段内访问所述目的IP地址的数据流的流量值是否大于等于所述第一目的IP地址的最大访问流量门限,若在预设时段内访问所述目的IP地址的数据流的流量值大于等于所述第一目的IP地址的最大访问流量门限,该目的路由器向所述源路由器发送申请阻止消息,以便于所述源路由器更新第一路由得到第二路由,在更新时段内阻止所述源路由器向该目的路由器发送访问所述目的IP地址的数据流,相对于现有技术,在不需要更改AS域网络的拓扑结构的情况下,能够通过源AS域网络中的路由器自动更改路由,将在更新时段内的数据流丢弃,实现阻止DDOS攻击AS域网络。
所述处理单元702还用于:
预先设置目的IP地址列表、所述目的IP地址列表中每个目的IP地址对应的最大访问流量门限、预设时段和更新时段,所述目的IP地址列表包括至少一个需要监测的目的IP地址,所述更新时段用于更新访问所述目的IP地址的数据流的下一跳的路由后的恢复时段,所述预设时段用于所述目的路由器在所述预设时段内判断访问所述目的IP地址列表中的目的IP地址的数据流的流量值是否大于等于所述目的IP地址的最大访问流量门限,所述目的IP地址列表与所述源路由器预先设置的目的IP地址列表相同。
所述处理单元702还用于:记录所述申请阻止消息;
所述处理单元702还用于:更新第三路由得到第四路由,所述第四路由用于指示在更新时段内访问所述目的IP地址的数据流的下一跳指向黑洞路由地址,所述第三路由用于指示访问所述目的IP地址的数据流的下一跳指向预先设置的目的IP地址。
所述处理单元702还用于:在所述更新时段之后,更新所述第四路由得到所述第三路由,以便于所述目的路由器将所述访问所述目的IP地址的数据流路由到所述目的IP地址。
需要说明的是,本发明中所述的数据流访问的目的IP地址可以是被攻击AS网络中多个服务器的公网IP地址。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理包括,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (14)
1.一种阻止DDOS攻击的方法,其特征在于,应用于源路由器,第一自治***AS域包括所述源路由器,第二AS域包括目的路由器,包括:
向所述目的路由器发送数据流;
接收所述目的路由器发送的申请阻止消息,所述申请阻止消息包括所述数据流访问的目的互联网协议IP地址,所述申请阻止消息用于指示所述源路由器阻止所述源路由器向所述目的路由器发送访问所述目的IP地址的数据流;
更新第一路由得到第二路由,所述第二路由用于指示在更新时段内访问所述目的IP地址的数据流的下一跳指向黑洞路由地址,所述第一路由用于指示访问所述目的IP地址的数据流的下一跳指向预先设置的目的IP地址。
2.根据权利要求1所述的阻止DDOS攻击的方法,其特征在于,在所述向目的路由器发送数据流之前,所述方法还包括:
预先设置目的IP地址列表、所述目的IP地址列表中每个目的IP地址对应的最大访问流量门限、预设时段和更新时段,所述目的IP地址列表包括至少一个需要监测的目的IP地址,所述更新时段用于更新访问所述目的IP地址的数据流的下一跳的路由后的恢复时段,所述预设时段用于所述源路由器在所述预设时段内判断访问所述目的IP地址列表中的目的IP地址的数据流的流量值是否大于等于所述目的IP地址的最大访问流量门限,所述目的IP地址列表与所述目的路由器预先设置的目的IP地址列表相同。
3.根据权利要求2所述的阻止DDOS攻击的方法,其特征在于,在所述更新第一路由得到第二路由之后,所述方法还包括:
在所述更新时段之后,更新所述第二路由得到所述第一路由,以便于所述目的路由器接收所述源路由器发送的访问所述目的IP地址的数据流。
4.一种阻止DDOS攻击的方法,其特征在于,应用于目的路由器,第一自治***AS域包括源路由器,第二AS域包括所述目的路由器,包括:
接收所述源路由器发送的数据流;
从所述数据流中获取所述数据流的目的互联网协议IP地址和所述数据流的流量值;
判断所述目的IP地址是否与第一目的IP地址相同,所述第一目的IP地址为目的IP地址列表中任意一个目的IP地址;
若所述目的IP地址与第一目的IP地址相同,判断在预设时段内访问所述目的IP地址的数据流的流量值是否大于等于所述第一目的IP地址的最大访问流量门限;
若在预设时段内访问所述目的IP地址的数据流的流量值大于等于所述第一目的IP地址的最大访问流量门限,向所述源路由器发送申请阻止消息,以便于所述源路由器更新第一路由得到第二路由,所述申请阻止消息包括所述数据流访问的所述目的IP地址,所述申请阻止消息用于指示所述源路由器阻止所述源路由器向所述目的路由器发送访问所述目的IP地址的数据流,所述第二路由用于指示在更新时段内访问所述目的IP地址的数据流的下一跳指向黑洞路由地址,所述第一路由用于指示访问所述目的IP地址的数据流的下一跳指向预先设置的目的IP地址。
5.根据权利要求4所述的阻止DDOS攻击的方法,其特征在于,在所述接收源路由器发送的数据流之前,所述方法还包括:
预先设置目的IP地址列表、所述目的IP地址列表中每个目的IP地址对应的最大访问流量门限、预设时段和更新时段,所述目的IP地址列表包括至少一个需要监测的目的IP地址,所述更新时段用于更新访问所述目的IP地址的数据流的下一跳的路由后的恢复时段,所述预设时段用于所述目的路由器在所述预设时段内判断访问所述目的IP地址列表中的目的IP地址的数据流的流量值是否大于等于所述目的IP地址的最大访问流量门限,所述目的IP地址列表与所述源路由器预先设置的目的IP地址列表相同。
6.根据权利要求5所述的阻止DDOS攻击的方法,其特征在于,在所述向所述源路由器发送申请阻止消息之后,所述方法还包括:
记录所述申请阻止消息;
更新第三路由得到第四路由,所述第四路由用于指示在更新时段内访问所述目的IP地址的数据流的下一跳指向黑洞路由地址,所述第三路由用于指示访问所述目的IP地址的数据流的下一跳指向预先设置的目的IP地址。
7.根据权利要求6所述的阻止DDOS攻击的方法,其特征在于,在所述更新第三路由得到第四路由之后,所述方法还包括:
在所述更新时段之后,更新所述第四路由得到所述第三路由,以便于所述目的路由器将所述访问所述目的IP地址的数据流路由到所述目的IP地址。
8.一种源路由器,其特征在于,第一自治***AS域包括所述源路由器,第二AS域包括目的路由器,包括:
发送单元,用于向所述目的路由器发送数据流;
接收单元,用于接收所述目的路由器发送的申请阻止消息,所述申请阻止消息包括所述数据流访问的目的互联网协议IP地址,所述申请阻止消息用于指示所述源路由器阻止所述源路由器向所述目的路由器发送访问所述目的IP地址的数据流;
处理单元,用于更新第一路由得到第二路由,所述第二路由用于指示在更新时段内访问所述目的IP地址的数据流的下一跳指向黑洞路由地址,所述第一路由用于指示访问所述目的IP地址的数据流的下一跳指向预先设置的目的IP地址。
9.根据权利要求8所述的源路由器,其特征在于,
所述处理单元还用于:
预先设置目的IP地址列表、所述目的IP地址列表中每个目的IP地址对应的最大访问流量门限、预设时段和更新时段,所述目的IP地址列表包括至少一个需要监测的目的IP地址,所述更新时段用于更新访问所述目的IP地址的数据流的下一跳的路由后的恢复时段,所述预设时段用于所述源路由器在所述预设时段内判断访问所述目的IP地址列表中的目的IP地址的数据流的流量值是否大于等于所述目的IP地址的最大访问流量门限,所述目的IP地址列表与所述目的路由器预先设置的目的IP地址列表相同。
10.根据权利要求9所述的源路由器,其特征在于,
所述处理单元还用于:
在所述更新时段之后,更新所述第二路由得到所述第一路由,以便于所述目的路由器接收所述源路由器发送的访问所述目的IP地址的数据流。
11.一种目的路由器,其特征在于,第一自治***AS域包括源路由器,第二AS域包括所述目的路由器,包括:
接收单元,用于接收所述源路由器发送的数据流;
处理单元,用于从所述数据流中获取所述数据流的目的互联网协议IP地址和所述数据流的流量值;
所述处理单元还用于:
判断所述目的IP地址是否与第一目的IP地址相同,所述第一目的IP地址为目的IP地址列表中任意一个目的IP地址;
所述处理单元还用于:
若所述目的IP地址与第一目的IP地址相同,判断在预设时段内访问所述目的IP地址的数据流的流量值是否大于等于所述第一目的IP地址的最大访问流量门限;
发送单元,用于若在预设时段内访问所述目的IP地址的数据流的流量值大于等于所述第一目的IP地址的最大访问流量门限,向所述源路由器发送申请阻止消息,以便于所述源路由器更新第一路由得到第二路由,所述申请阻止消息包括所述数据流访问的所述目的IP地址,所述申请阻止消息用于指示所述源路由器阻止所述源路由器向所述目的路由器发送访问所述目的IP地址的数据流,所述第二路由用于指示在更新时段内访问所述目的IP地址的数据流的下一跳指向黑洞路由地址,所述第一路由用于指示访问所述目的IP地址的数据流的下一跳指向预先设置的目的IP地址。
12.根据权利要求11所述的目的路由器,其特征在于,
所述处理单元还用于:
预先设置目的IP地址列表、所述目的IP地址列表中每个目的IP地址对应的最大访问流量门限、预设时段和更新时段,所述目的IP地址列表包括至少一个需要监测的目的IP地址,所述更新时段用于更新访问所述目的IP地址的数据流的下一跳的路由后的恢复时段,所述预设时段用于所述目的路由器在所述预设时段内判断访问所述目的IP地址列表中的目的IP地址的数据流的流量值是否大于等于所述目的IP地址的最大访问流量门限,所述目的IP地址列表与所述源路由器预先设置的目的IP地址列表相同。
13.根据权利要求12所述的目的路由器,其特征在于,
所述处理单元还用于:
记录所述申请阻止消息;
所述处理单元还用于:
更新第三路由得到第四路由,所述第四路由用于指示在更新时段内访问所述目的IP地址的数据流的下一跳指向黑洞路由地址,所述第三路由用于指示访问所述目的IP地址的数据流的下一跳指向预先设置的目的IP地址。
14.根据权利要求13所述的目的路由器,其特征在于,
所述处理单元还用于:
在所述更新时段之后,更新所述第四路由得到所述第三路由,以便于所述目的路由器将所述访问所述目的IP地址的数据流路由到所述目的IP地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410418607.1A CN104202314B (zh) | 2014-08-22 | 2014-08-22 | 一种阻止ddos攻击的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410418607.1A CN104202314B (zh) | 2014-08-22 | 2014-08-22 | 一种阻止ddos攻击的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104202314A CN104202314A (zh) | 2014-12-10 |
| CN104202314B true CN104202314B (zh) | 2018-04-20 |
Family
ID=52087539
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410418607.1A Active CN104202314B (zh) | 2014-08-22 | 2014-08-22 | 一种阻止ddos攻击的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104202314B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106302318A (zh) * | 2015-05-15 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种网站攻击防御方法及装置 |
| CN106845263B (zh) * | 2015-12-04 | 2020-06-26 | 阿里巴巴集团控股有限公司 | 一种访问数据库的方法、装置及电子设备 |
| CN107332810A (zh) * | 2016-04-29 | 2017-11-07 | 阿里巴巴集团控股有限公司 | 攻击防御方法及装置、*** |
| CN106209784B (zh) * | 2016-06-24 | 2019-09-17 | 新华三技术有限公司 | 一种数据过滤方法和装置 |
| CN106060068A (zh) * | 2016-06-27 | 2016-10-26 | 杭州华三通信技术有限公司 | 一种信息过滤方法和装置 |
| CN105959334B (zh) * | 2016-07-20 | 2019-09-24 | 上海携程商务有限公司 | DDoS攻击的自动防御***及方法 |
| CN109104437B (zh) * | 2018-10-22 | 2021-09-28 | 苏州盛科通信股份有限公司 | 路由域、用于在路由域中处理ip报文的方法和装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1640090A (zh) * | 2001-07-03 | 2005-07-13 | 英特尔公司 | 分布式服务拒绝攻击的安全的自动化的响应装置与方法 |
| CN101518017A (zh) * | 2006-03-01 | 2009-08-26 | 新泽西理工学院 | 用于因特网协议(ip)追踪的基于自治***的边缘标记(asem) |
| CN102271068A (zh) * | 2011-09-06 | 2011-12-07 | 电子科技大学 | 一种dos/ddos攻击检测方法 |
| CN103685315A (zh) * | 2013-12-30 | 2014-03-26 | 曙光云计算技术有限公司 | 一种防御拒绝服务攻击的方法及*** |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040148520A1 (en) * | 2003-01-29 | 2004-07-29 | Rajesh Talpade | Mitigating denial of service attacks |
| US7444417B2 (en) * | 2004-02-18 | 2008-10-28 | Thusitha Jayawardena | Distributed denial-of-service attack mitigation by selective black-holing in IP networks |
-
2014
- 2014-08-22 CN CN201410418607.1A patent/CN104202314B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1640090A (zh) * | 2001-07-03 | 2005-07-13 | 英特尔公司 | 分布式服务拒绝攻击的安全的自动化的响应装置与方法 |
| CN101518017A (zh) * | 2006-03-01 | 2009-08-26 | 新泽西理工学院 | 用于因特网协议(ip)追踪的基于自治***的边缘标记(asem) |
| CN102271068A (zh) * | 2011-09-06 | 2011-12-07 | 电子科技大学 | 一种dos/ddos攻击检测方法 |
| CN103685315A (zh) * | 2013-12-30 | 2014-03-26 | 曙光云计算技术有限公司 | 一种防御拒绝服务攻击的方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104202314A (zh) | 2014-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104202314B (zh) | 一种阻止ddos攻击的方法及装置 | |
| Stone | {CenterTrack}: An {IP} Overlay Network for Tracking {DoS} Floods | |
| JP5880560B2 (ja) | 通信システム、転送ノード、受信パケット処理方法およびプログラム | |
| US7260645B2 (en) | Methods, apparatuses and systems facilitating determination of network path metrics | |
| CN103650436B (zh) | 业务路径分配方法、路由器和业务执行实体 | |
| CN106131031B (zh) | 一种DDoS流量清洗处理的方法及装置 | |
| JP4975190B2 (ja) | IPv6ネットワーク内のホストの探索方法 | |
| Jen et al. | APT: A practical tunneling architecture for routing scalability | |
| CN107018056A (zh) | 具有mac(l2)级认证、安全和策略控制的增强的evpn mac路由通知 | |
| Massey et al. | A scalable routing system design for future internet | |
| CA2515687A1 (en) | Method and apparatus for determining neighboring routing elements and rerouting traffic in a computer network | |
| CN107743109A (zh) | 流量攻击的防护方法、控制装置、处理装置及*** | |
| CN106452857A (zh) | 生成配置信息的方法和网络控制单元 | |
| JP2011160041A (ja) | フロントエンドシステム、フロントエンド処理方法 | |
| WO2006093852A2 (en) | Limiting vpnv4 prefixes in inter-autonomous environment | |
| CN113114509B (zh) | 一种在sdn网络环境中进行报文转发仿真的方法及设备 | |
| CN104969521B (zh) | 数据发送处理方法及路由器 | |
| CN106302351A (zh) | 收集访问控制列表的方法、装置及*** | |
| EP2916497A1 (en) | Communication system, path information exchange device, communication node, transfer method for path information and program | |
| JP5178573B2 (ja) | 通信システムおよび通信方法 | |
| Damanik | Fast-recovery and optimization multipath circuit networks environments using routing policies different administrative distance and internal BGP | |
| Mardedi et al. | Developing computer network based on EIGRP performance comparison and OSPF | |
| Feamster et al. | Network-wide BGP route prediction for traffic engineering | |
| Cisco | Cisco IOS Profiled Release 12.0(23)S System Testing for Service Provider/IP Backbone Customer June 2003 | |
| Cisco | DECnet Commands |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |