WO2017114175A1 - 防御分布式拒绝服务攻击的方法、装置、客户端及设备 - Google Patents

防御分布式拒绝服务攻击的方法、装置、客户端及设备 Download PDF

Info

Publication number
WO2017114175A1
WO2017114175A1 PCT/CN2016/110159 CN2016110159W WO2017114175A1 WO 2017114175 A1 WO2017114175 A1 WO 2017114175A1 CN 2016110159 W CN2016110159 W CN 2016110159W WO 2017114175 A1 WO2017114175 A1 WO 2017114175A1
Authority
WO
WIPO (PCT)
Prior art keywords
client
service packet
information carried
preset
bytes
Prior art date
Application number
PCT/CN2016/110159
Other languages
English (en)
French (fr)
Inventor
陈涛
何坤
Original Assignee
北京神州绿盟信息安全科技股份有限公司
北京神州绿盟科技有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 北京神州绿盟信息安全科技股份有限公司, 北京神州绿盟科技有限公司 filed Critical 北京神州绿盟信息安全科技股份有限公司
Priority to US16/067,485 priority Critical patent/US10812525B2/en
Priority to JP2018533899A priority patent/JP2019502315A/ja
Publication of WO2017114175A1 publication Critical patent/WO2017114175A1/zh
Priority to US16/024,073 priority patent/US10812524B2/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload

Definitions

  • the present invention relates to the field of network security technologies, and in particular, to a method, an apparatus, a client, and a device for defending a distributed denial of service attack.
  • a DDOS (Distributed Denial of Service) attack is a common means of attacking a server.
  • the attacker controls a large number of downtimes (attacking clients), and initiates a large number of service packets to the attacked server.
  • the method for defending against DDOS attacks is: intercepting service packets sent by the normal client; using statistics and machine learning means to automatically analyze the characteristics of the service packets sent by the client; and analyzing the characteristics of the service packets If the keyword is carried in the received service packet, the service packet is forwarded to the server, and the service packet is discarded when the service packet is not carried in the received service packet. Thereby achieving the defense of DDOS attacks.
  • each service corresponds to a service packet.
  • statistics and machine learning methods are used to automatically analyze the characteristics of multiple service packets to defend against DDOS attacks.
  • the accuracy of using the statistical and machine learning methods to automatically analyze the characteristics of multiple service packets is not high enough, which may lead to the problem of discarding normal packets.
  • the invention provides a method, a device, a client and a device for defending a distributed denial of service attack, which are used to solve the DDOS attack by using the statistics and machine learning means to automatically analyze the characteristics of multiple service packets in the prior art.
  • the high complexity of the method may lead to the problem of accidentally discarding normal messages.
  • the service packet is discarded.
  • the information carried by the first preset field is inherent information carried by the client to the inherent field according to the hash algorithm, and at least one second a client hash result obtained by performing hash processing on the added information carried in the preset field
  • the inherent information carried by the inherent field is the public network protocol IP address of the client
  • the second preset field includes two
  • the added information carried by the client is the local IP address of the client and the response time of the response packet that the server last returned to the client.
  • the inherent information carried by the inherent field and the at least one added information are hashed according to a hash algorithm agreed with the client. Processing, get the hash results, including:
  • the length of the preset key and the response time are respectively 2 bytes, and the lengths of the public network IP address and the local IP address are respectively 4 bytes.
  • the inherent information carried in the intrinsic field of the service packet and the at least one added information are hashed to obtain a hash result
  • the service packet processed according to the agreed rule is sent to the server.
  • the inherent information carried by the intrinsic field is a public network IP address of the client, and the added information includes: a local IP address of the client, and a last time of the server. The response time of the response message returned to the client.
  • a hash algorithm agreed with the defense device the inherent information carried in the inherent field of the service packet, and at least one added information Perform hash processing to get hash results, including:
  • the local time is carried in a preset field of the response message and sent to the client.
  • the selected number of bytes in the load area of the service packet is selected as follows:
  • an apparatus for defending distributed denial of service including:
  • a processing unit configured to perform hash processing on the inherent information carried in the intrinsic field of the service packet and the at least one added information according to a hash algorithm agreed with the defense device, to obtain a hash result;
  • An editing unit configured to edit the hash result to a first preset field of the service packet according to a rule agreed with the defense device, and edit the at least one added information to the service packet At least one second preset field;
  • a client is provided, comprising any of the eighth aspects.
  • an apparatus for defending against a distributed denial of service attack including:
  • an apparatus for defending against a distributed denial of service attack including:
  • An intercepting unit configured to intercept a service packet sent by the client to the server
  • An obtaining unit configured to acquire information carried in a first preset field of the service packet and information carried in a second preset field according to a rule agreed with the client;
  • a processing unit configured to perform hash processing on the information carried in the second preset field and the preset key according to a hash algorithm agreed with the client, to obtain a hash result
  • a determining unit configured to discard the service packet when the hash result is different from the information carried by the first preset field.
  • the information carried by the first preset field is information that the client carries to the second preset field according to the hash algorithm, and A client hash result obtained by performing a hash process on the preset key, where the second preset field is a field consisting of a set number of bytes in a load area of the service packet.
  • the acquiring unit is further configured to:
  • the obtaining unit is further configured to: select a set number of bytes in a load area of the service packet by using the following manner:
  • the determining unit is further configured to:
  • the result obtained by subtracting the difference in the previous service packet sent by the client is calculated as a time difference
  • the processing unit is specifically configured to:
  • a client is provided, including any of the thirteenth aspects.
  • the defense device in the embodiment of the present invention is pre- The rules and the hash algorithm are agreed with the client.
  • the characteristics of the service packets are not required to be collected.
  • the complexity is relatively low, and the probability of discarding non-attack packets (normal packets) is small.
  • FIG. 2 is a schematic diagram of a format of a service packet according to an embodiment of the present disclosure
  • FIG. 3 is a flowchart of a method for performing hash processing according to an embodiment of the present invention
  • FIG. 4 is a second flowchart of a method for defending a distributed denial of service attack according to an embodiment of the present invention
  • FIG. 5 is a third flowchart of a method for defending a distributed denial of service attack according to an embodiment of the present invention
  • FIG. 7 is a fourth flowchart of a method for defending a distributed denial of service attack according to an embodiment of the present invention.
  • FIG. 8 is a fifth flowchart of a method for defending a distributed denial of service attack according to an embodiment of the present invention.
  • FIG. 9 is a flowchart of a method for selecting a set number of bytes in a load area of a service packet according to an embodiment of the present disclosure
  • FIG. 10 is a second schematic diagram of a format of a service packet according to an embodiment of the present disclosure.
  • FIG. 11 is a flowchart of a method for defending a distributed denial of service attack according to an embodiment of the present invention. six;
  • FIG. 12 is a seventh flowchart of a method for defending a distributed denial of service attack according to an embodiment of the present invention.
  • FIG. 13 is a second flowchart of a method for selecting a set number of bytes in a load area of a service packet according to an embodiment of the present disclosure
  • FIG. 14 is a schematic diagram of an apparatus for defending a distributed denial of service attack according to an embodiment of the present invention.
  • FIG. 15 is a second schematic diagram of a device for defending distributed denial of service according to an embodiment of the present invention.
  • FIG. 18 is a fifth diagram of an apparatus for defending a distributed denial of service attack according to an embodiment of the present invention.
  • the embodiment of the invention provides a method for defending against a distributed denial of service attack, as shown in FIG. 1 , including:
  • step 101 the service packet sent by the client to the server is intercepted.
  • Step 102 Acquire a first preset of the service packet according to a rule agreed with the client.
  • the rule that is agreed with the client is: the information carried in the specified field of the service packet is obtained for each service packet from the client.
  • the first preset field of the service packet is carried.
  • the intrinsic field indicates a field in the service packet specified in the public protocol, and the intrinsic information is information to be carried in the service packet specified in the public protocol; the first preset field and the at least one second preset field may be The newly added field may also be an editable field in the service packet.
  • the first preset field and the at least one second preset field are fields in a load area of the service packet, and further, the first pre- The setting field and the at least one second preset field are arranged in order from the end of the load area of the service packet, and the order of the first preset field and each second preset field in the load area is not limited, as long as The defense device and the client pre-arrange the order of the first preset field and each second preset field in the load area, for example, the second preset field includes two, the first preset field, and the two second presets.
  • the order of the fields is: one second preset field, the first preset field, and another second preset field, the three preset fields are adjacent to each other, and the second preset word is It located before the end of the load range, wherein the first predetermined field is located in a second predetermined field, the second predetermined field of the other before the first predetermined field.
  • the format of the service packet provided by the embodiment of the present invention is as shown in FIG. 2, wherein the fields corresponding to the Ethernet header, the IP header, and the TCP/UDP header are all intrinsic fields of the service packet, that is, the content carried by the inherent field does not occur. Changes, and the content carried in the load area will vary depending on the role of the service message.
  • the position of the first preset field and the two second preset fields is marked in FIG. 2 .
  • the positions of the first preset field and the two second preset fields in FIG. 2 are only an example, and the first preset field and the two second preset fields may also be located at other positions of the load area.
  • Step 103 Perform hash processing on the inherent information and the at least one added information according to a hash algorithm agreed with the client, to obtain a hash result.
  • the defense device and the client pre-agreed the hash algorithm, and the defense device acquires the inherent information and the added information in the service packet sent by the client, and is inherently in accordance with the agreed hash algorithm.
  • the information and each added information are hashed to obtain a hash result on the defense device side.
  • Step 104 If the hash result is different from the information carried in the first preset field, discard the service packet.
  • the information carried in the first preset field in the non-attack service packet is the inherent information in the non-attack service packet, and the client that sends the non-attack service packet according to the hash algorithm agreed with the defense device.
  • the information carried in the first preset field is compared. If the hash result of the defense device is different from the information carried in the first preset field of the service packet, the service packet is determined to be an attack packet. The service packet is discarded.
  • the defense device obtains the information carried in the first preset field of the service packet, the inherent information carried in the at least one second preset field, and the added information according to the rules agreed in advance with the client, and according to the client.
  • the agreed hash algorithm performs hash processing on the intrinsic information and the added information, and then compares with the information carried in the first preset field, and determines whether to discard the service packet according to the comparison result, thereby achieving the purpose of defending against DDOS attacks.
  • the statistic device and the machine learning method are used to automatically analyze the characteristics of the plurality of service messages to defend against the DDOS attack.
  • the defense device in the embodiment of the present invention prescribes rules and rules with the client.
  • the hash algorithm does not need to collect features in various service packets. The implementation complexity is relatively low, and the probability of discarding non-attack packets (normal packets) is small.
  • the defense device follows the rules agreed with the client, and the information carried in the first preset field of the default service packet is inherent to the client according to the hash algorithm.
  • the client hash result obtained by hashing the information and the added information carried in the at least one second preset field, and the defense device defaults the inherent information carried by the inherent field to the client according to a rule agreed with the client.
  • the public network IP address Internet Protocol
  • the public network IP address is located in the IP header of the service packet format shown in FIG. 2, and the second preset field includes two, and the added information carried by each is: The local IP address of the client and the response time of the response message that the server last returned to the client.
  • the response time of the response message sent by the server to the client last time is 0 or other default value when the client sends the service packet to the server for the first time.
  • the attack client when it is determined that the service packet currently processed by the defense device is an attack packet, the attack client may be determined by using the local IP address.
  • a technical service packet does not carry the local IP address of the client, and only carries the public IP address of the client.
  • NAT Network Address Translation
  • multiple clients correspond to the same public IP address.
  • the attack target can be targeted to a specific client by using the local IP address of the client, so that the attack client is further restricted.
  • the public network IP address of the client carried in the attack packet and the local IP address of the client are added to the blacklist for each of the blacklists.
  • the client sets the remaining time of the client in the blacklist. When the remaining time is 0, the public IP address and local IP address of the client are cleared from the blacklist. Specifically, after the blacklist is established, for each service packet, the client that sends the service packet is found in the blacklist. If yes, the service packet is directly discarded, and the service packet is sent. The remaining time of the client in the blacklist is set to a maximum value; if not, the process of defending against DDOS attacks provided in FIG. 1 is performed for the service packet.
  • the defense device and the client agree that the inherent information carried by the inherent field is The public network IP address of the client
  • the second preset field includes two
  • the added information carried by the client is: the local IP address of the client and the response of the response message sent by the server to the client last time.
  • step 103 performs hash processing on the inherent information carried in the intrinsic field and the at least one added information according to the hash algorithm agreed with the client, and obtains a hash result.
  • the method specifically includes:
  • Step 201 Perform a logical OR operation on the public network IP address of the client and the local IP address of the client to obtain a first result.
  • the length of the first preset field of the service packet is 4 bytes
  • the length of the second preset field carrying the local IP address is 4 bytes. Also 4 bytes.
  • the information in the service packet is represented by a binary string. Therefore, the public IP address of the client is logically ORed with the local IP address of the client, specifically, the public network IP address of the client is corresponding.
  • the binary string is logically ORed with the binary string corresponding to the client's local IP address, and the first result is also presented as a binary string.
  • Step 202 Perform a logical exclusive OR operation on the lower two bytes of the first result and the response time to obtain a second result.
  • the length of the first result is 4 bytes
  • the lower two bytes of the first result are logically exclusive ORed with the response time, where the response time is the response time of the response message that the server last returned to the client.
  • the length of the response time is 2 bytes
  • the binary string corresponding to the lower two bytes of the first result is logically XORed with the binary string corresponding to the response time to obtain a second result, and the second result is Rendered as a binary string.
  • Step 203 Perform an exclusive OR operation on the second result and the preset key to obtain the hash result.
  • the embodiment of the present invention provides a specific hash algorithm, which is a hash algorithm pre-agreed by the defense device and the client.
  • the defense device hashes the acquired inherent information and added information.
  • the processing gets the hash result on the defense device side.
  • the hash algorithm provided by the embodiment of the present invention is only a preferred implementation manner, and the hash algorithm agreed by the defense device and the client may also be other hash algorithms, which is not limited herein, as long as the defense device side and the client side follow. The algorithm is consistent.
  • the method specifically includes:
  • Step 301 Calculate a time difference between a response time in the service packet and a response time in the previous service packet sent by the client.
  • the response time in the service packet is the response time of the response packet sent by the server to the client last time in the second preset field of the service packet; the previous service packet A non-attack service packet that is adjacent to the current service packet and is processed by the device before the current service packet.
  • the response time in the service packet is the difference between the time when the server sends the response packet and the standard time, and the response time is in seconds. Therefore, the unit of the time difference calculated in step 301 is seconds.
  • Step 302 Determine whether the time difference is within a preset range. If yes, go to step 303. Otherwise, go to step 304.
  • the preset range may be set according to an actual scenario, and the preset range is not limited in the embodiment of the present invention.
  • the time difference T is determined to be in a preset range. Internally, otherwise, it is determined that the time difference T is not within the preset range, that is, the preset range is preferably (-60, 60).
  • Step 303 Forward the service packet to the server.
  • step 304 the service packet is discarded.
  • step 301 when the time difference in step 301 is within the preset range, it is determined that the current service message is not a playback message attack. When the time difference in step 301 is not within the preset range, determining that the current service message is playback. Attack message. With the embodiment of the invention, not only the DDOS attack can be defended, It also prevents playback message attacks.
  • Step 302 is only a method for judging whether to discard the service packet.
  • the method of determining whether to discard the service packet is as follows: The length of the response time in the service packet is two bytes, and the current service packet is in the current service packet. The response time is A1, and the response time in the previous service packet sent by the client is A2. When A1 is greater than A2, and A1-A2 ⁇ B, step 303 is performed. Otherwise, step 304 is performed; when A1 is smaller than A2, And, when C+A1-A2 ⁇ B, step 303 is performed; otherwise, step 304 is performed. Where B is the set time threshold and C is the decimal number corresponding to 0xffff.
  • FIG. 1 is a description of a method for defending a distributed denial of service attack provided by the embodiment of the present invention based on the defense device side.
  • the method for defending the distributed denial of service attack provided by the embodiment of the present invention is described in detail below. Description.
  • the embodiment of the present invention further provides a method for defending a distributed denial of service. As shown in FIG. 5 , the method includes:
  • Step 401 Perform hash processing on the inherent information carried in the intrinsic field of the service packet and the at least one added information according to the hash algorithm agreed with the defense device, to obtain a hash result.
  • Step 901 Determine, when the hash result is the same as the information carried in the first preset field, calculate a result obtained by subtracting the difference in the previous service packet sent by the client, as Time difference.
  • the determining unit 1404 is configured to discard the service packet when the hash result is different from the information carried in the first preset field.
  • the embodiment of the present invention provides a device for defending a distributed denial of service, as shown in FIG.
  • the inherent information carried by the intrinsic field is a public network IP address of the device, and the added information includes: a local IP address of the device and a response message that the server returns to the device last time. Response time.
  • the processing unit is specifically configured to:
  • the embodiment of the invention further provides a server device, including the device provided in FIG.
  • the obtaining unit 1702 is configured to obtain information carried in the first preset field of the service packet and information carried in the second preset field according to the rule agreed with the client.
  • the determining unit 1704 is configured to discard the service packet when the hash result is different from the information carried in the first preset field.
  • the obtaining unit is further configured to:
  • the obtaining unit is further configured to: select a set number of bytes in a load area of the service packet by using the following manner:
  • the processing unit is specifically configured to:
  • the result of performing a logical exclusive OR operation on the information carried in the second preset field and the preset key is determined as the hash result, where the length of the information carried in the second preset field is 2 bytes.
  • the preset key has a length of 2 bytes.
  • the embodiment of the present invention provides an apparatus for defending against a distributed denial of service attack, as shown in FIG. 18, including:
  • the editing unit 1802 is configured to edit the hash result to a first preset field of the service packet according to a rule agreed with the defense device;
  • the sending unit 1803 is configured to send the service packet processed according to the agreed rule to the server.
  • the second preset field is a field consisting of a set number of bytes in a load area of the service message.
  • the editing unit is further configured to:
  • the editing unit is configured to select a set number of bytes in a load area of the service packet by using the following manner:
  • the processing unit is specifically configured to:
  • the result of performing a logical exclusive OR operation on the information carried in the second preset field and the preset key is determined as the hash result, where the length of the information carried in the second preset field is 2 bytes.
  • the preset key has a length of 2 bytes.
  • the embodiment of the present invention further provides a client, including any device provided in Embodiment 10.
  • These computer program instructions can also be loaded onto a computer or other programmable data processing device such that a series of operational steps are performed on a computer or other programmable device to produce computer-implemented processing for execution on a computer or other programmable device.
  • the instructions provide steps for implementing the functions specified in one or more of the flow or in a block or blocks of a flow diagram.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供防御分布式拒绝服务攻击的方法、装置、客户端及设备,其中一种方法包括:截取客户端向服务器发送的业务报文;根据与所述客户端约定的规则,获取所述业务报文的第一预设字段携带的信息、所述业务报文的固有字段携带的固有信息以及至少一个第二预设字段携带的添加信息;按照与客户端约定的哈希算法,对所述固有信息以及至少一个添加信息进行哈希处理,得到哈希结果;确定所述哈希结果与所述第一预设字段携带的信息不同时,丢弃所述业务报文。本发明由于预先与客户端约定了规则和哈希算法,不需要统计各种业务报文中的特征,实现复杂度相对较低,误丢弃非攻击报文的概率较小。

Description

防御分布式拒绝服务攻击的方法、装置、客户端及设备
本申请要求在2015年12月30日提交中国专利局、申请号为201511021292.8、发明名称为“防御分布式拒绝服务攻击的方法、装置、客户端及设备”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本发明涉及网络安全技术领域,尤其涉及防御分布式拒绝服务攻击的方法、装置、客户端及设备。
背景技术
DDOS(Distribution Denial of Service,分布式拒绝服务)攻击是一种常见的攻击服务器的手段,攻击者控制大量的傀儡机(攻击客户端),向被攻击的服务器发起大量的业务报文,占用服务器的资源,导致服务器不能良好的服务于正常的客户端。
目前采用的防御DDOS攻击的方法为:截取正常客户端发送的业务报文;运用统计和机器学习手段来自动分析出该客户端发送的业务报文的特征;将分析出的业务报文的特征转换为关键字;确定接收到的业务报文中携带该关键字时,将该业务报文转发给服务器;确定接收到的业务报文中未携带该关键字时,将该业务报文丢弃,从而实现DDOS攻击的防御。
但是,随着网络中业务种类的增多,每种业务对应一种业务报文,此时运用统计和机器学习手段来自动分析出多种业务报文的特征对DDOS攻击进行防御的方式,复杂度高,并且,当业务报文中的特征不明显时,运用统计和机器学习手段来自动分析出多种业务报文的特征的准确度不够高,可能会导致误丢弃正常报文的问题。
发明内容
本发明提供一种防御分布式拒绝服务攻击的方法、装置、客户端及设备,用以解决现有技术中运用统计和机器学习手段来自动分析出多种业务报文的特征对DDOS攻击进行防御的方式出现的复杂度高,可能会导致误丢弃正常报文的问题。
第一方面,提供一种防御分布式拒绝服务攻击的方法,包括:
截取客户端向服务器发送的业务报文;
根据与所述客户端约定的规则,获取所述业务报文的第一预设字段携带的信息、所述业务报文的固有字段携带的固有信息以及至少一个第二预设字段携带的添加信息;
按照与客户端约定的哈希算法,对所述固有信息以及至少一个添加信息进行哈希处理,得到哈希结果;
确定所述哈希结果与所述第一预设字段携带的信息不同时,丢弃所述业务报文。
结合第一方面,在第一种可能的实现方式中,所述第一预设字段携带的信息为所述客户端按照所述哈希算法对所述固有字段携带的固有信息以及至少一个第二预设字段携带的添加信息进行哈希处理后得到的客户端哈希结果,所述固有字段携带的固有信息为所述客户端的公网网络协议IP地址,所述第二预设字段包括两个,分别携带的添加信息为:所述客户端的本地IP地址以及所述服务器最近一次返回给所述客户端的响应报文的响应时间。
结合第一方面的第一种可能的实现方式,在第二种可能的实现方式中,按照与客户端约定的哈希算法,对所述固有字段携带的固有信息以及至少一个添加信息进行哈希处理,得到哈希结果,具体包括:
将所述客户端的公网IP地址与所述客户端的本地IP地址进行逻辑或运算,得到第一结果;
取第一结果的低两个字节与所述响应时间进行逻辑异或运算,得到第二结果;
将所述第二结果与预设密钥进行异或运算,得到所述哈希结果;
其中,所述预设密钥以及响应时间的长度分别为2字节,所述公网IP地址以及本地IP地址的长度分别为4字节。
结合第一方面的第一种可能的实现方式或者第二种可能的实现方式,在第三中可能的实现方式中,还包括:
确定所述哈希结果与所述第一预设字段携带的信息相同时,计算所述业务报文中的响应时间与所述客户端发送的前一业务报文中的响应时间的时间差;
判断所述时间差是否在预设范围之内;
如果是,将所述业务报文转发至所述服务器;
如果否,丢弃所述业务报文。
第二方面,提供一种防御分布式拒绝服务的方法,包括:
按照与防御设备约定的哈希算法,对业务报文的固有字段携带的固有信息,以及至少一个添加信息进行哈希处理,得到哈希结果;
根据与所述防御设备约定的规则,将所述哈希结果编辑到所述业务报文的第一预设字段,并将所述至少一个添加信息编辑到所述业务报文的至少一个第二预设字段;
将根据所述约定的规则处理后的业务报文发送给服务器。
结合第二方面,在第一种可能的实现方式中,所述固有字段携带的固有信息为客户端的公网IP地址,所述添加信息包括:所述客户端的本地IP地址以及所述服务器最近一次返回给所述客户端的响应报文的响应时间。
结合第二方面的第一种可能的实现方式,在第二种可能的实现方式中,按照与防御设备约定的哈希算法,对业务报文的固有字段携带的固有信息,以及至少一个添加信息进行哈希处理,得到哈希结果,具体包括:
将所述客户端的公网IP地址与所述客户端的本地IP地址进行逻辑或运算,得到第一结果;
取第一结果的低两个字节与所述响应时间进行逻辑异或运算,得到第二结果;
将所述第二结果与预设密钥进行异或运算,得到所述哈希结果;
其中,所述预设密钥以及响应时间的长度分别为2字节,所述公网IP地址以及本地IP地址的长度分别为4字节。
第三方面,提供一种防御分布式拒绝服务攻击的方法,包括:
服务器接收到客户端发送的业务报文时,提取本地时间;
将所述本地时间携带在响应报文的预设字段,发送给所述客户端。
第四方面,提供一种防御分布式拒绝服务攻击的方法,包括:
截取客户端向服务器发送的业务报文;
根据与客户端约定的规则,获取所述业务报文的第一预设字段携带的信息以及第二预设字段携带的信息;
按照与客户端约定的哈希算法,对第二预设字段携带的信息以及预设密钥进行哈希处理,得到哈希结果;
确定所述哈希结果与所述第一预设字段携带的信息不同时,丢弃所述业务报文。
结合第四方面,在第一种可能的实现方式中,所述第一预设字段携带的信息为所述客户端按照所述哈希算法对所述第二预设字段携带的信息以及预设密钥进行哈希处理后得到的客户端哈希结果,所述第二预设字段为所述业务报文的负载区域中的设定数目个字节组成的字段。
结合第四方面的第一种可能的实现方式,在第二种可能的实现方式中,还包括:
按照与所述客户端约定的规则,获取所述业务报文的第三预设字段携带的添加信息,所述添加信息为所述客户端发送所述业务报文的时间与标准时间的差值,则,
采用如下方式选取所述业务报文的负载区域中的设定数目个字节:
计算所述差值除以所述负载区域的长度所得的余数;
判断所述余数与所述设定数目之和是否大于所述负载区域的长度;
如果是,从所述负载区域的起始位置选取设定数目个字节;
如果否,从所述负载区域的起始位置偏移所述余数个字节处开始,选取设定数目个字节。
结合第四方面的第二种可能的实现方式,在第三种可能的实现方式中,还包括:
确定所述哈希结果与所述第一预设字段携带的信息相同时,计算所述差值减去所述客户端发送的前一业务报文中的差值所得的结果,作为时间差;
判断所述时间差是否在预设范围之内;
如果是,将所述业务报文转发至所述服务器;
如果否,丢弃所述业务报文。
结合第四方面,在第四种可能的实现方式中,按照与客户端约定的哈希算法,对第二预设字段携带的信息以及预设密钥进行哈希处理,得到哈希结果,具体包括:
将所述第二预设字段携带的信息与预设密钥进行逻辑异或运算所得的结果确定为所述哈希结果,其中,第二预设字段携带的信息的长度为2个字节,所述预设密钥的长度为2个字节。
第五方面,提供一种防御分布式拒绝服务攻击的方法,包括:
按照与防御设备约定的哈希算法,对业务报文的第二预设字段携带的信息以及预设密钥进行哈希处理,得到哈希结果;
根据与所述防御设备约定的规则,将所述哈希结果编辑到所述业务报文的第一预设字段;
将根据所述约定的规则处理后的业务报文发送给服务器。
结合第五方面,在第一种可能的实现方式中,所述第二预设字段为所述业务报文的负载区域中的设定数目个字节组成的字段。
结合第五方面的第一种可能的实现方式,在第二种可能的实现方式中,还包括:
按照与所述防御设备约定的规则,将添加信息编辑到所述业务报文的第三预设字段,所述添加信息为客户端发送所述业务报文的时间与标准时间的 差值,则,
采用如下方式选取所述业务报文的负载区域中的设定数目个字节:
计算所述差值除以所述负载区域的长度所得的余数;
判断所述余数与所述设定数目之和是否大于所述负载区域的长度;
如果是,从所述负载区域的起始位置选取设定数目个字节;
如果否,从所述负载区域的起始位置偏移所述余数个字节处开始,选取设定数目个字节。
结合第五方面或者第五方面的第一种可能的实现方式或者第二种可能的实现方式,在第三中可能的实现方式中,按照与防御设备约定的哈希算法,对业务报文的第二预设字段携带的信息以及预设密钥进行哈希处理,得到哈希结果,具体包括:
将所述第二预设字段携带的信息与预设密钥进行逻辑异或运算所得的结果确定为所述哈希结果,其中,第二预设字段携带的信息的长度为2个字节,所述预设密钥的长度为2个字节。
第六方面,提供一种防御分布式拒绝服务攻击的装置,包括:
截取单元,用于截取客户端向服务器发送的业务报文;
获取单元,用于根据与所述客户端约定的规则,获取所述业务报文的第一预设字段携带的信息、所述业务报文的固有字段携带的固有信息以及至少一个第二预设字段携带的添加信息;
处理单元,用于按照与客户端约定的哈希算法,对所述固有信息以及至少一个添加信息进行哈希处理,得到哈希结果;
确定单元,用于确定所述哈希结果与所述第一预设字段携带的信息不同时,丢弃所述业务报文。
结合第六方面,在第一种可能的实现方式中,所述第一预设字段携带的信息为所述客户端按照所述哈希算法对所述固有字段携带的固有信息以及至少一个第二预设字段携带的添加信息进行哈希处理后得到的客户端哈希结果,所述固有字段携带的固有信息为所述客户端的公网网络协议IP地址,所 述第二预设字段包括两个,分别携带的添加信息为:所述客户端的本地IP地址以及所述服务器最近一次返回给所述客户端的响应报文的响应时间。
结合第六方面的第一种可能的实现方式,在第二种可能的实现方式中,所述处理单元具体用于:
将所述客户端的公网IP地址与所述客户端的本地IP地址进行逻辑或运算,得到第一结果;
取第一结果的低两个字节与所述响应时间进行逻辑异或运算,得到第二结果;
将所述第二结果与预设密钥进行异或运算,得到所述哈希结果;
其中,所述预设密钥以及响应时间的长度分别为2字节,所述公网IP地址以及本地IP地址的长度分别为4字节。
结合第六方面的第一种可能的实现方式或者第二种可能的实现方式,在第三种可能的实现方式中,所述确定单元还用于:
确定所述哈希结果与所述第一预设字段携带的信息相同时,计算所述业务报文中的响应时间与所述客户端发送的前一业务报文中的响应时间的时间差;
判断所述时间差是否在预设范围之内;
如果是,将所述业务报文转发至所述服务器;
如果否,丢弃所述业务报文。
第七方面,提供一种防御设备,包括第六方面中的任一装置。
第八方面,提供一种防御分布式拒绝服务的装置,包括:
处理单元,用于按照与防御设备约定的哈希算法,对业务报文的固有字段携带的固有信息,以及至少一个添加信息进行哈希处理,得到哈希结果;
编辑单元,用于根据与所述防御设备约定的规则,将所述哈希结果编辑到所述业务报文的第一预设字段,并将所述至少一个添加信息编辑到所述业务报文的至少一个第二预设字段;
发送单元,用于将根据所述约定的规则处理后的业务报文发送给服务器。
结合第八方面,在第一种可能的实现方式中,所述固有字段携带的固有信息为所述装置的公网IP地址,所述添加信息包括:所述装置的本地IP地址以及所述服务器最近一次返回给所述装置的响应报文的响应时间。
结合第八方面的第一种可能的实现方式,在第二种可能的实现方式中,所述处理单元具体用于:
将所述装置的公网网络协议IP地址与所述装置的本地IP地址进行逻辑或运算,得到第一结果;
取第一结果的低两个字节与所述响应时间进行逻辑异或运算,得到第二结果;
将所述第二结果与预设密钥进行异或运算,得到所述哈希结果;
其中,所述预设密钥以及响应时间的长度分别为2字节,所述公网IP地址以及本地IP地址的长度分别为4字节。
第九方面,提供一种客户端,包括第八方面中的任一装置。
第十方面,提供一种防御分布式拒绝服务攻击的装置,包括:
提取单元,用于接收到客户端发送的业务报文时,提取本地时间;
发送单元,用于将所述本地时间携带在响应报文的预设字段,发送给所述客户端。
第十一方面,提供一种防御分布式拒绝服务攻击的装置,包括:
截取单元,用于截取客户端向服务器发送的业务报文;
获取单元,用于根据与客户端约定的规则,获取所述业务报文的第一预设字段携带的信息以及第二预设字段携带的信息;
处理单元,用于按照与客户端约定的哈希算法,对第二预设字段携带的信息以及预设密钥进行哈希处理,得到哈希结果;
确定单元,用于确定所述哈希结果与所述第一预设字段携带的信息不同时,丢弃所述业务报文。
结合第十一方面,在第一种可能的实现方式中,所述第一预设字段携带的信息为所述客户端按照所述哈希算法对所述第二预设字段携带的信息以及 预设密钥进行哈希处理后得到的客户端哈希结果,所述第二预设字段为所述业务报文的负载区域中的设定数目个字节组成的字段。
结合第十一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述获取单元还用于:
按照与所述客户端约定的规则,获取所述业务报文的第三预设字段携带的添加信息,所述添加信息为所述客户端发送所述业务报文的时间与标准时间的差值,则,
所述获取单元还用于:采用如下方式选取所述业务报文的负载区域中的设定数目个字节:
计算所述差值除以所述负载区域的长度所得的余数;
判断所述余数与所述设定数目之和是否大于所述负载区域的长度;
如果是,从所述负载区域的起始位置选取设定数目个字节;
如果否,从所述负载区域的起始位置偏移所述余数个字节处开始,选取设定数目个字节。
结合第十一方面的第二种可能的实现方式,在第三种可能的实现方式中,所述确定单元还用于:
确定所述哈希结果与所述第一预设字段携带的信息相同时,计算所述差值减去所述客户端发送的前一业务报文中的差值所得的结果,作为时间差;
判断所述时间差是否在预设范围之内;
如果是,将所述业务报文转发至所述服务器;
如果否,丢弃所述业务报文。
结合第十一方面的第三种可能的实现方式,在第四种可能的实现方式中,所述处理单元,具体用于:
将所述第二预设字段携带的信息与预设密钥进行逻辑异或运算所得的结果确定为所述哈希结果,其中,第二预设字段携带的信息的长度为2个字节,所述预设密钥的长度为2个字节。
第十二方面,提供一种防御设备,包括第十一方面中的任一装置。
第十三方面,提供一种防御分布式拒绝服务攻击的装置,包括:
处理单元,用于按照与防御设备约定的哈希算法,对业务报文的第二预设字段携带的信息以及预设密钥进行哈希处理,得到哈希结果;
编辑单元,用于根据与所述防御设备约定的规则,将所述哈希结果编辑到所述业务报文的第一预设字段;
发送单元,用于将根据所述约定的规则处理后的业务报文发送给服务器。
结合第十三方面,在第一种可能的实现方式中,所述第二预设字段为所述业务报文的负载区域中的设定数目个字节组成的字段。
结合第十三方面的第一种可能的实现方式,在第二种可能的实现方式中,所述编辑单元还用于:
按照与所述防御设备约定的规则,将添加信息编辑到所述业务报文的第三预设字段,所述添加信息为所述装置发送所述业务报文的时间与标准时间的差值,则,
所述编辑单元用于采用如下方式选取所述业务报文的负载区域中的设定数目个字节:
计算所述差值除以所述负载区域的长度所得的余数;
判断所述余数与所述设定数目之和是否大于所述负载区域的长度;
如果是,从所述负载区域的起始位置选取设定数目个字节;
如果否,从所述负载区域的起始位置偏移所述余数个字节处开始,选取设定数目个字节。
结合第十三方面的第一种可能的实现方式或者第二种可能的实现方式,在第三种可能的实现方式中,所述处理单元具体用于:
将所述第二预设字段携带的信息与预设密钥进行逻辑异或运算所得的结果确定为所述哈希结果,其中,第二预设字段携带的信息的长度为2个字节,所述预设密钥的长度为2个字节。
第十四方面,提供一种客户端,包括第十三方面中的任一装置。
利用本发明提供的防御分布式拒绝服务攻击的方法、装置、客户端及设 备方法,具有以下有益效果:防御设备按照预先与客户端约定的规则,获取业务报文的第一预设字段携带的信息、固有字段携带的固有信息以及至少一个第二预设字段携带的添加信息,并按照与客户端约定的哈希算法,对固有信息和添加信息进行哈希处理后,再与第一预设字段携带的信息进行比较,根据比较结果确定是否丢弃该业务报文,从而实现了防御DDOS攻击的目的,相比于现有技术中的运用统计和机器学习手段来自动分析出多种业务报文的特征来防御DDOS攻击的方式,本发明实施例中的防御设备由于预先与客户端约定了规则和哈希算法,不需要统计各种业务报文中的特征,实现复杂度相对较低,误丢弃非攻击报文(正常报文)的概率较小。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的防御分布式拒绝服务攻击的方法流程图之一;
图2为本发明实施例提供的业务报文的格式示意图之一;
图3为本发明实施例提供的进行哈希处理的方法流程图之一;
图4为本发明实施例提供的防御分布式拒绝服务攻击的方法流程图之二;
图5为本发明实施例提供的防御分布式拒绝服务攻击的方法流程图之三;
图6为本发明实施例提供的进行哈希处理的方法流程图之二;
图7为本发明实施例提供的防御分布式拒绝服务攻击的方法流程图之四;
图8为本发明实施例提供的防御分布式拒绝服务攻击的方法流程图之五;
图9为本发明实施例提供的选取业务报文的负载区域中的设定数目个字节的方法流程图之一;
图10为本发明实施例提供的业务报文的格式示意图之二;
图11为本发明实施例提供的防御分布式拒绝服务攻击的方法流程图之 六;
图12为本发明实施例提供的防御分布式拒绝服务攻击的方法流程图之七;
图13为本发明实施例提供的选取业务报文的负载区域中的设定数目个字节的方法流程图之二;
图14为本发明实施例提供的防御分布式拒绝服务攻击的装置示意图之一;
图15为本发明实施例提供的防御分布式拒绝服务的装置示意图之二;
图16为本发明实施例提供的防御分布式拒绝服务攻击的装置之三;
图17为本发明实施例提供的防御分布式拒绝服务攻击的装置之四;
图18为本发明实施例提供的防御分布式拒绝服务攻击的装置之五。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例一
本发明实施例提供一种防御分布式拒绝服务攻击的方法,如图1所示,包括:
步骤101,截取客户端向服务器发送的业务报文。
具体的,防御DDOS攻击的设备(防御设备)截取客户端向服务器发送的业务报文,客户端发送的业务报文为TCP(Transmission Control Protocol,传输控制协议)或UDP(User Datagram Protocol,用户数据报协议)格式的报文,包括:TCP请求报文、UDP请求报文以及其他与服务器通信的报文。
步骤102,根据与所述客户端约定的规则,获取所述业务报文的第一预设 字段携带的信息、所述业务报文的固有字段携带的固有信息以及至少一个第二预设字段携带的添加信息。
其中,与客户端约定的规则为:针对来自客户端的每个业务报文,获取该业务报文的指定字段中携带的信息,本发明实施例中,获取业务报文的第一预设字段携带的信息、业务报文固有字段携带的固有信息以及至少一个第二预设字段携带的添加信息。其中,固有字段表示公有协议中规定的业务报文中的字段,固有信息为公有协议中规定的业务报文中需携带的信息;第一预设字段和至少一个第二预设字段为可以为新添加的字段,也可以为业务报文中的可编辑字段,优选地,第一预设字段和至少一个第二预设字段为业务报文的负载区域中的字段,进一步地,第一预设字段和至少一个第二预设字段按照设定顺序从业务报文的负载区域的末端开始依次排列,第一预设字段和各个第二预设字段在负载区域中的先后顺序不限,只要防御设备和客户端预先约定第一预设字段和各个第二预设字段在负载区域中的顺序即可,比如,第二预设字段包括两个,第一预设字段和两个第二预设字段的排列顺序为:其中一个第二预设字段、第一预设字段、另一第二预设字段,这三个预设字段相邻,所述其中一个第二预设字段位于负载区域的末尾、第一预设字段位于其中一个第二预设字段之前、另一第二预设字段位于第一预设字段之前。本发明实施例提供的业务报文的格式如图2所示,其中,以太头、IP头和TCP/UDP头对应的字段均为业务报文的固有字段,即固有字段携带的内容不会发生变化,而负载区域携带的内容会因业务报文的不同作用而不同。图2中标注了第一预设字段、两个第二预设字段的位置。图2中的第一预设字段和两个第二预设字段的位置只是一种举例,第一预设字段和两个第二预设字段也可位于负载区域的其它位置。
步骤103,按照与客户端约定的哈希算法,对所述固有信息以及至少一个添加信息进行哈希处理,得到哈希结果。
具体的,防御设备和客户端预先约定哈希算法,防御设备获取客户端发送的业务报文中的固有信息和各个添加信息后,按照约定的哈希算法对固有 信息和各个添加信息进行哈希处理,得到防御设备侧的哈希结果。
步骤104,确定所述哈希结果与所述第一预设字段携带的信息不同时,丢弃所述业务报文。
具体的,非攻击业务报文中的第一预设字段携带的信息为发送该非攻击业务报文的客户端根据与防御设备约定的哈希算法,对非攻击业务报文中的固有信息和添加信息进行哈希处理后的客户端哈希结果,而攻击报文中的第一预设字段携带的信息为未知信息,因此,防御设备将防御设备侧计算出的哈希结果与业务报文中的第一预设字段携带的信息进行比较,如果防御设备侧的哈希结果与其接收到的业务报文的第一预设字段携带的信息不同,则确定该业务报文为攻击报文,并丢弃该业务报文。
本发明实施例,防御设备按照预先与客户端约定的规则,获取业务报文的第一预设字段携带的信息、至少一个第二预设字段携带的固有信息和添加信息,并按照与客户端约定的哈希算法,对固有信息和添加信息进行哈希处理后,再与第一预设字段携带的信息进行比较,根据比较结果确定是否丢弃该业务报文,从而实现了防御DDOS攻击的目的,相比于现有技术中的运用统计和机器学习手段来自动分析出多种业务报文的特征来防御DDOS攻击的方式,本发明实施例中的防御设备由于预先与客户端约定了规则和哈希算法,不需要统计各种业务报文中的特征,实现复杂度相对较低,误丢弃非攻击报文(正常报文)的概率较小。
具体的,在防御设备侧,防御设备按照与客户端约定的规则,默认业务报文的第一预设字段携带的信息为所述客户端按照所述哈希算法对所述固有字段携带的固有信息以及至少一个第二预设字段携带的添加信息进行哈希处理后得到的客户端哈希结果,防御设备按照与客户端约定的规则,默认所述固有字段携带的固有信息为所述客户端的公网IP(Internet Protocol,网络协议)地址,该公网IP地址位于图2所示的业务报文格式的IP头中,所述第二预设字段包括两个,分别携带的添加信息为:所述客户端的本地IP地址以及所述服务器最近一次返回给所述客户端的响应报文的响应时间。即,无论防御设 备截取的业务报文是否为非攻击报文,防御设备在进行步骤104的处理之前,均默认业务报文的第一预设字段携带的信息为所述客户端按照所述哈希算法对所述固有字段携带的固有信息以及至少一个第二预设字段携带的添加信息进行哈希处理后得到的客户端哈希结果、固有字段携带的固有信息为客户端公网IP地址、两个第二预设字段分别携带的添加信息为客户端的本地IP地址以及所述服务器最近一次返回给所述客户端的响应报文的响应时间。当然,防御设备与客户端也可约定固有字段携带的固有信息为客户端公网IP地址之外的信息,添加信息也可为其它信息,这里不做限定。
其中,当客户端第一次向服务器发送业务报文时,该业务报文中携带的所述服务器最近一次返回给所述客户端的响应报文的响应时间的值为0或者其它默认值。
具体的,在添加信息中包括客户端的本地IP地址和客户端的公网IP地址时,当确定防御设备当前处理的业务报文为攻击报文时,可通过本地IP地址确定攻击客户端,而现有技术的业务报文中不携带客户端的本地IP地址,只携带客户端的公网IP地址,在同一NAT(Network Address Translation,网络地址转换)环境下,多个客户端对应同一公网IP地址,此时,很难将攻击目标定位到具体的客户端。本发明实施例,通过客户端的本地IP地址可以将攻击目标定位到具体的客户端,从而对该攻击客户端进行进一步地限制。
当确定防御设备当前处理的业务报文为攻击报文时,可将该攻击报文中携带的客户端的公网IP地址、客户端的本地IP地址添加到黑名单中,针对该黑名单中的每个客户端,设置该客户端在黑名单中的剩余时间,当该剩余时间为0时,将该客户端的公网IP地址和本地IP地址从黑名单中清除。具体的,黑名单建立后,针对每个业务报文,先查找黑名单中是否存在发送该业务报文的客户端,如果存在,则直接丢弃该业务报文,并将发送该业务报文的客户端在黑名单中的剩余时间置为最大值;如果不存在,则针对该业务报文执行图1提供的防御DDOS攻击的过程。
优选地,当防御设备与客户端约定:所述固有字段携带的固有信息为所 述客户端的公网IP地址,所述第二预设字段包括两个,分别携带的添加信息为:所述客户端的本地IP地址以及所述服务器最近一次返回给所述客户端的响应报文的响应时间时,则步骤103按照与客户端约定的哈希算法,对所述固有字段携带的固有信息以及至少一个添加信息进行哈希处理,得到哈希结果,如图3所示,具体包括:
步骤201,将所述客户端的公网IP地址与所述客户端的本地IP地址进行逻辑或运算,得到第一结果。
具体的,客户端的公网IP地址和本地IP地址的长度为4字节,则,业务报文的第一预设字段的长度为4字节,携带本地IP地址的第二预设字段的长度也为4字节。由于业务报文中的信息以二进制字符串形式呈现,因此,将所述客户端的公网IP地址与所述客户端的本地IP地址进行逻辑或运算,具体为,将客户端的公网IP地址对应的二进制字符串与客户端的本地IP地址对应的二进制字符串进行逻辑或运算,得到的第一结果也以二进制字符串的形式呈现。
步骤202,取第一结果的低两个字节与所述响应时间进行逻辑异或运算,得到第二结果。
具体的,第一结果的长度为4字节,取该第一结果的低两个字节与响应时间进行逻辑异或运算,该响应时间为服务器最近一次返回给客户端的响应报文的响应时间,该响应时间的长度为2字节,具体将第一结果的低两个字节对应的二进制字符串与响应时间对应的二进制字符串进行逻辑异或运算,得到第二结果,第二结果以二进制字符串的形式呈现。
步骤203,将所述第二结果与预设密钥进行异或运算,得到所述哈希结果。
具体的,第二结果的长度为2字节,预设密钥的长度也为2字节,则,将第二结果对应的二进制字符串和预设密钥对应的二进制字符串进行逻辑异或运算得到哈希结果。其中,预设密钥为防御设备和客户端约定的密钥。
本发明实施例提供了具体的哈希算法,该哈希算法为防御设备和客户端预先约定的哈希算法,防御设备通过对获取的固有信息和添加信息进行哈希 处理得到防御设备侧的哈希结果。
本发明实施例提供的哈希算法只是一种优选实施方式,防御设备与客户端约定的哈希算法也可以为其它哈希算法,这里不做限定,只要防御设备侧和客户端侧遵循的哈希算法一致即可。
优选地,当业务报文的其中一个第二预设字段携带的添加信息为所述服务器最近一次返回给所述客户端的响应报文的响应时间时,进一步优选地,如图4所示,在确定防御设备计算出的哈希结果与所述第一预设字段携带的信息相同时,具体包括:
步骤301,计算所述业务报文中的响应时间与所述客户端发送的前一业务报文中的响应时间的时间差。
具体的,所述业务报文中的响应时间即该业务报文的其中一个第二预设字段携带的所述服务器最近一次返回给所述客户端的响应报文的响应时间;前一业务报文为防御设备在当前业务报文之前处理的,与当前业务报文相邻的非攻击业务报文。具体的,业务报文中的响应时间为服务器发送响应报文的时间与标准时间的差值,该响应时间的单位为秒。因此,步骤301中计算出的时间差的单位为秒。
步骤302,判断所述时间差是否在预设范围之内,如果是,执行步骤303,否则,执行步骤304。
具体的,该预设范围可根据实际场景设定,本发明实施例中不对该预设范围进行限定,优选地,当时间差T大于-60且小于60时,确定该时间差T在预设范围之内,否则,确定该时间差T不在预设范围之内,即,该预设范围优选为(-60,60)。
步骤303,将所述业务报文转发至所述服务器。
步骤304,丢弃所述业务报文。
具体的,当步骤301中的时间差在预设范围内时,确定当前的业务报文不是回放报文攻击,当步骤301中的时间差不在预设范围之内时,确定当前的业务报文为回放攻击报文。利用本发明实施例,不仅可以防御DDOS攻击, 还可防止回放报文攻击。
其中,步骤302只是一种判断是否丢弃业务报文的方式,也可采用如下方式判断是否丢弃业务报文:假设业务报文中的响应时间的长度为两个字节,当前业务报文中的响应时间为A1,客户端发送的前一业务报文中的响应时间为A2,当A1大于A2,且,A1-A2<B时,执行步骤303,否则,执行步骤304;当A1小于A2,且,C+A1-A2<B时,执行步骤303,否则,执行步骤304。其中,B为设定的时间阈值,C为0xffff对应的十进制数。
实施例二
图1提供的实施例是基于防御设备侧对本发明实施例提供的防御分布式拒绝服务攻击的方法进行的说明,下面基于客户端侧对本发明实施例提供的防御分布式拒绝服务攻击的方法进行详细说明。
与图1提供的实施例相对应,本发明实施例还提供一种防御分布式拒绝服务的方法,如图5所示,包括:
步骤401,按照与防御设备约定的哈希算法,对业务报文的固有字段携带的固有信息,以及至少一个添加信息进行哈希处理,得到哈希结果。
步骤402,根据与所述防御设备约定的规则,将所述哈希结果编辑到所述业务报文的第一预设字段,并将所述至少一个添加信息编辑到所述业务报文的至少一个第二预设字段。
具体的,一个添加信息对应一个第二预设字段。
步骤401和步骤402中关于约定的哈希算法、约定的规则、固有信息、添加信息、固有字段以及第二预设字段的解释说明,参见图1所示的实施例,这里不做赘述。
步骤403,将根据所述约定的规则处理后的业务报文发送给服务器。
具体的,客户端将编辑了哈希结果和添加信息的业务报文发送给服务器,客户端发出的业务报文的目的地址指向了服务器,但,防御设备会截取客户端发送的业务报文。
本发明实施例,客户端按照预先与防御设备约定的哈希算法,对业务报 文的固有字段携带的固有信息,以及至少一个添加信息进行哈希处理,并按照与防御设备约定的规则,分别将哈希结果编辑到业务报文的第一预设字段,并将至少一个添加信息编辑到业务报文的至少一个第二预设字段后,将业务报文发送给服务器,从而使非攻击客户端发送出去的业务报文具有明显的特征,以便于防御设备根据与客户端约定的规则和哈希算法对业务报文进行过滤,使得防御设备不需要统计各种业务报文中的特征,实现复杂度相对较低,误丢弃非攻击报文(正常报文)的概率较小。
优选地,图5提供的实施例中,所述固有字段携带的固有信息为客户端的公网IP地址,所述添加信息包括:所述客户端的本地IP地址以及所述服务器最近一次返回给所述客户端的响应报文的响应时间。其中,当客户端第一次向服务器发送业务报文时,该业务报文中携带的所述服务器最近一次返回给所述客户端的响应报文的响应时间的值为0或者其它默认值。
优选地,步骤401按照与防御设备约定的哈希算法,对业务报文的固有字段携带的固有信息,以及至少一个添加信息进行哈希处理,得到哈希结果,如图6所示,具体包括:
步骤501,将所述客户端的公网IP地址与所述客户端的本地IP地址进行逻辑或运算,得到第一结果;
步骤502,取第一结果的低两个字节与所述响应时间进行逻辑异或运算,得到第二结果。
步骤503,将所述第二结果与预设密钥进行异或运算,得到所述哈希结果。
其中,所述预设密钥以及响应时间的长度分别为2字节,所述公网IP地址以及本地IP地址的长度分别为4字节。
具体的,图5对应的两个优选实施例与图1对应的相应优选实施例的具体实施过程类似,这里不做赘述。
实施例三
图5提供的实施例中的业务报文中携带服务器最近一次返回给客户端的响应报文的响应时间,但是现有技术中,服务器向客户端返回响应报文时, 并不会在响应报文中携带该响应时间,因此,本发明实施例还提供一种防御分布式拒绝服务攻击的方法,如图7所示,包括:
步骤601,服务器接收到客户端发送的业务报文时,提取本地时间。
其中,本地时间为:服务器返回响应报文的时刻对应的秒数与标准时间的差值。步骤601中的本地时间即上述实施例中提及的服务器返回给客户端的响应报文的响应时间。
步骤602,将所述本地时间携带在响应报文的预设字段,发送给所述客户端。
具体的,服务器将步骤601中的本地时间编辑到响应报文的预设字段后,发送给客户端。客户端收到服务器返回的响应报文时,从响应报文的预设字段提取该本地时间,并将该本地时间作为服务器返回给客户端的响应报文的响应时间。
本发明实施例提供的基于服务器侧的防御分布式拒绝服务攻击的方法,为防御设备利用本发明实施例提供的方法进行DDOS攻击的防御提供了前提。
实施例四
本发明实施例还提供一种防御分布式拒绝服务攻击的方法,如图8所示,包括:
步骤701,截取客户端向服务器发送的业务报文。
具体的,防御DDOS攻击的设备(防御设备)截取客户端向服务器发送的业务报文,客户端发送的业务报文为TCP或UDP格式的报文,包括:TCP请求报文、UDP请求报文以及其他与服务器通信的报文。
步骤702,根据与客户端约定的规则,获取所述业务报文的第一预设字段携带的信息以及第二预设字段携带的信息。
具体的,与客户端约定的规则为:针对来自客户端的每个业务报文,获取该业务报文的指定字段中携带的信息,本发明实施例中,获取业务报文的第一预设字段携带的信息以及第二预设字段携带的信息。优选地,第一预设 字段和第二预设字段为业务报文的负载区域中的字段,进一步地,第一预设字段位于业务报文的负载区域的末端。
步骤703,按照与客户端约定的哈希算法,对第二预设字段携带的信息以及预设密钥进行哈希处理,得到哈希结果。
具体的,防御设备按照与客户端约定的哈希算法,对第二预设字段携带的信息和与客户端约定的预设密钥进行哈希处理,得到防御设备侧的哈希结果。
步骤704,确定所述哈希结果与所述第一预设字段携带的信息不同时,丢弃所述业务报文。
具体的,非攻击业务报文中的第一预设字段携带的信息为发送该非攻击业务报文的客户端根据与防御设备约定的哈希算法,对非攻击业务报文中的第二预设字段携带的信息和预设密钥进行哈希处理后的客户端哈希结果,而攻击报文中的第一预设字段携带的信息为未知信息,因此,防御设备将防御设备侧计算出的哈希结果与业务报文中的第一预设字段携带的信息进行比较,如果防御设备侧的哈希结果与其接收到的业务报文的第一预设字段携带的信息不同,则确定该业务报文为攻击报文,并丢弃该业务报文。
本发明实施例,防御设备按照预先与客户端约定的规则,获取业务报文的第二预设字段携带的信息,并按照与客户端约定的哈希算法,对第二预设字段携带的信息和预设密钥进行哈希处理后,再与第一预设字段携带的信息进行比较,根据比较结果确定是否丢弃该业务报文,从而实现了防御DDOS攻击的目的,相比于现有技术中的运用统计和机器学习手段来自动分析出多种业务报文的特征来防御DDOS攻击的方式,本发明实施例中的防御设备由于预先与客户端约定了规则和哈希算法,不需要统计各种业务报文中的特征,实现复杂度相对较低,误丢弃非攻击报文(正常报文)的概率较小。
具体的,在防御设备侧,防御设备按照与客户端约定的规则,默认业务报文的第一预设字段携带的信息为所述客户端按照所述哈希算法对业务报文的第二预设字段携带的信息以及预设密钥进行哈希处理后得到的客户端哈希 结果;业务报文的第二预设字段为所述业务报文的负载区域中的设定数目个字节组成的字段,此时,业务报文的第二预设字段携带的信息为负载区域中的设定数目个字节对应的信息,进一步地,设定数目个字节对应的信息以二进制字符串形式呈现。
优选地,步骤703按照与客户端约定的哈希算法,对第二预设字段携带的信息以及预设密钥进行哈希处理,得到哈希结果,具体包括:
将所述第二预设字段携带的信息与预设密钥进行逻辑异或运算所得的结果确定为所述哈希结果,其中,第二预设字段的长度为2个字节,所述预设密钥的长度为2个字节。
具体的,第二预设字段携带的信息对应的二进制字符串与预设密钥对应的二进制字符串进行逻辑异或运算,其中,第二预设字段携带的信息的长度为2个字节,此时,第二预设字段的长度为2个字节;预设密钥的长度为2个字节。第二预设字段携带的信息的长度和预设密钥的长度可以但不限定为2个字节。
本发明实施例提供了具体的哈希算法,该哈希算法为防御设备和客户端预先约定的哈希算法,防御设备通过对获取的第二预设字段携带的信息和预设密钥进行哈希处理得到防御设备侧的哈希结果。
本发明实施例提供的哈希算法只是一种优选实施方式,防御设备与客户端约定的哈希算法也可以为其它哈希算法,这里不做限定,只要防御设备侧和客户端侧遵循的哈希算法一致即可。
优选地,当业务报文的第二预设字段为所述业务报文的负载区域中的设定数目个字节组成的字段时,本发明实施例提供的防御分布式拒绝服务攻击的方法,还包括:
按照与所述客户端约定的规则,获取所述业务报文的第三预设字段携带的添加信息,所述添加信息为所述客户端发送所述业务报文的时间与标准时间的差值,则,
如图9所示,采用如下方式选取所述业务报文的负载区域中的设定数目 个字节:
步骤801,计算所述差值除以所述负载区域的长度所得的余数。
具体的,根据该差值除以负载区域的长度所得的余数,从负载区域选取设定数目个字节。第三预设字段优选为负载区域中的字段,其中,第三预设字段与第一预设字段在负载区域中的先后顺序不做限定,优选地,第一预设字段位于第三预设字段之前,第三预设字段位于负载区域的末端。添加信息还可以为其它信息,比如客户端的本地IP地址,这里不做限定。
步骤802,判断所述余数与所述设定数目之和是否大于所述负载区域的长度,如果是,执行步骤803,否则,执行步骤804。
步骤803,从所述负载区域的起始位置选取设定数目个字节。
步骤804,从所述负载区域的起始位置偏移所述余数个字节处开始,选取设定数目个字节。
具体的,步骤801中的余数为负载区域的偏移位置,即,从负载区域的起始位置开始向负载区域的末端偏移余数个字节处,开始选取设定数目个字节,但是,当余数与设定数目之和大于负载区域的长度时,还从负载区域的起始位置开始向负载区域的末端偏移余数个字节处,开始选取设定数目个字节会导致负载区域长度不够的问题,比如,如果余数为10,负载区域的长度为11,设定数目为2时,余数10与设定数目2之和大于负载区域的长度,则从负载区域的起始位置开始选取2个字节;如果余数为10,负载区域的长度为15,设定数目为2时,余数10与设定数目2之和不大于负载区域的长度,则从负载区域的起始位置开始向负载区域的末端偏移10个字节处开始,选择2个字节,即,从负载区域的第10个字节处开始选取2个字节。
本发明实施例,通过动态确定第二预设字段携带的信息,能够提高防御DDOS攻击的准确性。
本发明实施例提供的业务报文的格式如图10所示,图10中标注了第一预设字段和第三预设字段的位置,第二预设字段的位置是动态变化的,因此未标出。图10中的第一预设字段和第三预设字段的位置只是一种举例,第一 预设字段和第三预设字段也可位于负载区域的其它位置。
当然,设定数目个字节也可以负载区域中固定位置的设定数目个字节,这里不做限定。
当业务报文的第三预设字段携带所述客户端发送所述业务报文的时间与标准时间的差值时,如图11所示,本发明实施例提供的防御分布式拒绝服务攻击的方法,还包括:
步骤901,确定所述哈希结果与所述第一预设字段携带的信息相同时,计算所述差值减去所述客户端发送的前一业务报文中的差值所得的结果,作为时间差。
所述客户端发送的前一业务报文指,在当前业务报文之前发送且与该当前业务报文相邻的一个业务报文,具体的前一业务报文的含义可参见上文对前一业务报文的描述,这里不做赘述。
步骤902,判断所述时间差是否在预设范围之内,如果是,执行步骤903,否则,执行步骤904。
具体的,该预设范围可根据实际场景设定,本发明实施例中不对该预设范围进行限定,优选地,当时间差T大于-60且小于60时,确定该时间差T在预设范围之内,否则,确定该时间差T不再预设范围之内,即,该预设范围优选为(-60,60)。
步骤903,将所述业务报文转发至所述服务器;
步骤904,丢弃所述业务报文。
具体的,当步骤901中的时间差在预设范围内时,确定当前的业务报文不是回放报文攻击,当步骤901中的时间差不在预设范围之内时,确定当前的业务报文为回放攻击报文。利用本发明实施例,不仅可以防御DDOS攻击,还可防止回放报文攻击。
其中,步骤902只是一种判断是否丢弃业务报文的方式,也可采用如下方式判断是否丢弃业务报文:假设业务报文中的响应时间的长度为两个字节,当前业务报文中的响应时间为A1,客户端发送的前一业务报文中的响应时间 为A2,当A1大于A2,且,A1-A2<B时,执行步骤903,否则,执行步骤904;当A1小于A2,且,C+A1-A2<B时,执行步骤903,否则,执行步骤904。其中,B为设定的时间阈值,C为0xffff对应的十进制数。
实施例五
图8提供的实施例,是基于防御设备侧对本发明实施例提供的防御分布式拒绝服务攻击的方法进行的说明,下面基于客户端侧对本发明实施例提供的防御分布式拒绝服务攻击的方法进行详细说明。
与图8提供的防御分布式拒绝服务攻击的方法对应,本发明实施例还提供一种防御分布式拒绝服务攻击的方法,如图12所示,包括:
步骤1001,按照与防御设备约定的哈希算法,对业务报文的第二预设字段携带的信息以及预设密钥进行哈希处理,得到哈希结果。
步骤1002,根据与所述防御设备约定的规则,将所述哈希结果编辑到所述业务报文的第一预设字段。
步骤1001和步骤1002中关于约定的哈希算法、约定的规则、第二预设字段携带的信息、第一预设字段携带的信息、第一预设字段以及第二预设字段的解释说明,参见图8所示的实施例,这里不做赘述。
步骤1003,将根据所述约定的规则处理后的业务报文发送给服务器。
具体的,客户端将编辑了哈希结果的业务报文发送给服务器,客户端发出的业务报文的目的地址指向了服务器,但,防御设备会截取客户端发送的业务报文。
本发明实施例,客户端按照预先与防御设备约定的哈希算法,对业务报文的第二预设字段携带的信息和预设密钥进行哈希处理,并按照与防御设备约定的规则,将哈希结果编辑到业务报文的第一预设字段后,将业务报文发送给服务器,从而使非攻击客户端发送出去的业务报文具有明显的特征,以便于防御设备根据与客户端约定的规则和哈希算法对业务报文进行过滤,使得防御设备不需要统计各种业务报文中的特征,实现复杂度相对较低,误丢弃非攻击报文(正常报文)的概率较小。
优选地,所述第二预设字段为所述业务报文的负载区域中的设定数目个字节组成的字段。
优选地,本发明实施例提供的防御分布式拒绝服务攻击的方法,还包括:
按照与所述防御设备约定的规则,将添加信息编辑到所述业务报文的第三预设字段,所述添加信息为客户端发送所述业务报文的时间与标准时间的差值,则,
如图13所示,采用如下方式选取所述业务报文的负载区域中的设定数目个字节:
步骤1101,计算所述差值除以所述负载区域的长度所得的余数;
步骤1102,判断所述余数与所述设定数目之和是否大于所述负载区域的长度,如果是,执行步骤1103,否则,执行步骤1104。
步骤1103,从所述负载区域的起始位置选取设定数目个字节;
步骤1104,从所述负载区域的起始位置偏移所述余数个字节处开始,选取设定数目个字节。
优选地,步骤1001按照与防御设备约定的哈希算法,对业务报文的第二预设字段携带的信息以及预设密钥进行哈希处理,得到哈希结果,具体包括:
将所述第二预设字段携带的信息与预设密钥进行逻辑异或运算所得的结果确定为所述哈希结果,其中,第二预设字段的长度为两个字节,所述预设密钥的长度为两个字节。
具体的,本发明实施例提供的各个优选实施例的具体实施过程与图8提供的实施例中的对应优选实施例类似,这里不做详细阐述。
实施例六
与实施例一对应,本发明实施例提供一种防御分布式拒绝服务攻击的装置,如图14所示,包括:
截取单元1401,用于截取客户端向服务器发送的业务报文;
获取单元1402,用于根据与所述客户端约定的规则,获取所述业务报文的第一预设字段携带的信息、所述业务报文的固有字段携带的固有信息以及 至少一个第二预设字段携带的添加信息;
处理单元1403,用于按照与客户端约定的哈希算法,对所述固有信息以及至少一个添加信息进行哈希处理,得到哈希结果;
确定单元1404,用于确定所述哈希结果与所述第一预设字段携带的信息不同时,丢弃所述业务报文。
优选地,所述第一预设字段携带的信息为所述客户端按照所述哈希算法对所述固有字段携带的固有信息以及至少一个第二预设字段携带的添加信息进行哈希处理后得到的客户端哈希结果,所述固有字段携带的固有信息为所述客户端的公网网络协议IP地址,所述第二预设字段包括两个,分别携带的添加信息为:所述客户端的本地IP地址以及所述服务器最近一次返回给所述客户端的响应报文的响应时间。
优选地,所述处理单元具体用于:
将所述客户端的公网IP地址与所述客户端的本地IP地址进行逻辑或运算,得到第一结果;
取第一结果的低两个字节与所述响应时间进行逻辑异或运算,得到第二结果;
将所述第二结果与预设密钥进行异或运算,得到所述哈希结果;
其中,所述预设密钥以及响应时间的长度分别为2字节,所述公网IP地址以及本地IP地址的长度分别为4字节。
优选地,所述确定单元还用于:
确定所述哈希结果与所述第一预设字段携带的信息相同时,计算所述业务报文中的响应时间与所述客户端发送的前一业务报文中的响应时间的时间差;
判断所述时间差是否在预设范围之内;
如果是,将所述业务报文转发至所述服务器;
如果否,丢弃所述业务报文。
本发明实施例还提供一种防御设备,包括实施例六提供的任一装置。
实施例七
与实施例二对应,本发明实施例提供一种防御分布式拒绝服务的装置,如图15所示,包括:
处理单元1501,用于按照与防御设备约定的哈希算法,对业务报文的固有字段携带的固有信息,以及至少一个添加信息进行哈希处理,得到哈希结果;
编辑单元1502,用于根据与所述防御设备约定的规则,将所述哈希结果编辑到所述业务报文的第一预设字段,并将所述至少一个添加信息编辑到所述业务报文的至少一个第二预设字段;
发送单元1503,用于将根据所述约定的规则处理后的业务报文发送给服务器。
优选地,所述固有字段携带的固有信息为所述装置的公网IP地址,所述添加信息包括:所述装置的本地IP地址以及所述服务器最近一次返回给所述装置的响应报文的响应时间。
优选地,所述处理单元具体用于:
将所述装置的公网网络协议IP地址与所述装置的本地IP地址进行逻辑或运算,得到第一结果;
取第一结果的低两个字节与所述响应时间进行逻辑异或运算,得到第二结果;
将所述第二结果与预设密钥进行异或运算,得到所述哈希结果;
其中,所述预设密钥以及响应时间的长度分别为2字节,所述公网IP地址以及本地IP地址的长度分别为4字节。
本发明实施例还提供一种客户端,包括实施例七提供的任一装置。
实施例八
与实施例三对应,本发明实施例提供一种防御分布式拒绝服务攻击的装置,如图16所示,包括:
提取单元1601,用于接收到客户端发送的业务报文时,提取本地时间;
发送单元1602,用于将所述本地时间携带在响应报文的预设字段,发送给所述客户端。
本发明实施例还提供一种服务器设备,包括图16提供的装置。
实施例九
与实施例四对应,本发明实施例提供一种防御分布式拒绝服务攻击的装置,如图17所示,包括:
截取单元1701,用于截取客户端向服务器发送的业务报文;
获取单元1702,用于根据与客户端约定的规则,获取所述业务报文的第一预设字段携带的信息以及第二预设字段携带的信息;
处理单元1703,用于按照与客户端约定的哈希算法,对第二预设字段携带的信息以及预设密钥进行哈希处理,得到哈希结果;
确定单元1704,用于确定所述哈希结果与所述第一预设字段携带的信息不同时,丢弃所述业务报文。
优选地,所述第一预设字段携带的信息为所述客户端按照所述哈希算法对所述第二预设字段携带的信息以及预设密钥进行哈希处理后得到的客户端哈希结果,所述第二预设字段为所述业务报文的负载区域中的设定数目个字节组成的字段。
优选地,所述获取单元还用于:
按照与所述客户端约定的规则,获取所述业务报文的第三预设字段携带的添加信息,所述添加信息为所述客户端发送所述业务报文的时间与标准时间的差值,则,
所述获取单元还用于:采用如下方式选取所述业务报文的负载区域中的设定数目个字节:
计算所述差值除以所述负载区域的长度所得的余数;
判断所述余数与所述设定数目之和是否大于所述负载区域的长度;
如果是,从所述负载区域的起始位置选取设定数目个字节;
如果否,从所述负载区域的起始位置偏移所述余数个字节处开始,选取 设定数目个字节。
优选地,所述确定单元还用于:
确定所述哈希结果与所述第一预设字段携带的信息相同时,计算所述差值减去所述客户端发送的前一业务报文中的差值所得的结果,作为时间差;
判断所述时间差是否在预设范围之内;
如果是,将所述业务报文转发至所述服务器;
如果否,丢弃所述业务报文。
优选地,所述处理单元,具体用于:
将所述第二预设字段携带的信息与预设密钥进行逻辑异或运算所得的结果确定为所述哈希结果,其中,第二预设字段携带的信息的长度为2个字节,所述预设密钥的长度为2个字节。
本发明实施例还提供一种防御设备,包括实施例九提供的任一装置。
实施例十
与实施例五对应,本发明实施例提供一种防御分布式拒绝服务攻击的装置,如图18所示,包括:
处理单元1801,用于按照与防御设备约定的哈希算法,对业务报文的第二预设字段携带的信息以及预设密钥进行哈希处理,得到哈希结果;
编辑单元1802,用于根据与所述防御设备约定的规则,将所述哈希结果编辑到所述业务报文的第一预设字段;
发送单元1803,用于将根据所述约定的规则处理后的业务报文发送给服务器。
优选地,所述第二预设字段为所述业务报文的负载区域中的设定数目个字节组成的字段。
优选地,所述编辑单元还用于:
按照与所述防御设备约定的规则,将添加信息编辑到所述业务报文的第三预设字段,所述添加信息为所述装置发送所述业务报文的时间与标准时间的差值,则,
所述编辑单元用于采用如下方式选取所述业务报文的负载区域中的设定数目个字节:
计算所述差值除以所述负载区域的长度所得的余数;
判断所述余数与所述设定数目之和是否大于所述负载区域的长度;
如果是,从所述负载区域的起始位置选取设定数目个字节;
如果否,从所述负载区域的起始位置偏移所述余数个字节处开始,选取设定数目个字节。
优选地,所述处理单元具体用于:
将所述第二预设字段携带的信息与预设密钥进行逻辑异或运算所得的结果确定为所述哈希结果,其中,第二预设字段携带的信息的长度为2个字节,所述预设密钥的长度为2个字节。
本发明实施例还提供一种客户端,包括实施例十提供的任一装置。
利用本发明提供的防御分布式拒绝服务攻击的方法、装置、客户端及设备方法,具有以下有益效果:防御设备按照预先与客户端约定的规则,获取业务报文的第一预设字段携带的信息、至少一个第二预设字段携带的固有信息和添加信息,并按照与客户端约定的哈希算法,对固有信息和添加信息进行哈希处理后,再与第一预设字段携带的信息进行比较,根据比较结果确定是否丢弃该业务报文,从而实现了防御DDOS攻击的目的,相比于现有技术中的运用统计和机器学习手段来自动分析出多种业务报文的特征来防御DDOS攻击的方式,本发明实施例中的防御设备由于预先与客户端约定了规则和哈希算法,不需要统计各种业务报文中的特征,实现复杂度相对较低,误丢弃非攻击报文(正常报文)的概率较小。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通 过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (38)

  1. 一种防御分布式拒绝服务攻击的方法,其特征在于,包括:
    截取客户端向服务器发送的业务报文;
    根据与所述客户端约定的规则,获取所述业务报文的第一预设字段携带的信息、所述业务报文的固有字段携带的固有信息以及至少一个第二预设字段携带的添加信息;
    按照与客户端约定的哈希算法,对所述固有信息以及至少一个添加信息进行哈希处理,得到哈希结果;
    确定所述哈希结果与所述第一预设字段携带的信息不同时,丢弃所述业务报文。
  2. 如权利要求1所述的方法,其特征在于,所述第一预设字段携带的信息为所述客户端按照所述哈希算法对所述固有字段携带的固有信息以及至少一个第二预设字段携带的添加信息进行哈希处理后得到的客户端哈希结果,所述固有字段携带的固有信息为所述客户端的公网网络协议IP地址,所述第二预设字段包括两个,分别携带的添加信息为:所述客户端的本地IP地址以及所述服务器最近一次返回给所述客户端的响应报文的响应时间。
  3. 如权利要求2所述的方法,其特征在于,按照与客户端约定的哈希算法,对所述固有字段携带的固有信息以及至少一个添加信息进行哈希处理,得到哈希结果,具体包括:
    将所述客户端的公网IP地址与所述客户端的本地IP地址进行逻辑或运算,得到第一结果;
    取第一结果的低两个字节与所述响应时间进行逻辑异或运算,得到第二结果;
    将所述第二结果与预设密钥进行异或运算,得到所述哈希结果;
    其中,所述预设密钥以及响应时间的长度分别为2字节,所述公网IP地址以及本地IP地址的长度分别为4字节。
  4. 如权利要求2或3所述的方法,其特征在于,还包括:
    确定所述哈希结果与所述第一预设字段携带的信息相同时,计算所述业务报文中的响应时间与所述客户端发送的前一业务报文中的响应时间的时间差;
    判断所述时间差是否在预设范围之内;
    如果是,将所述业务报文转发至所述服务器;
    如果否,丢弃所述业务报文。
  5. 一种防御分布式拒绝服务的方法,其特征在于,包括:
    按照与防御设备约定的哈希算法,对业务报文的固有字段携带的固有信息,以及至少一个添加信息进行哈希处理,得到哈希结果;
    根据与所述防御设备约定的规则,将所述哈希结果编辑到所述业务报文的第一预设字段,并将所述至少一个添加信息编辑到所述业务报文的至少一个第二预设字段;
    将根据所述约定的规则处理后的业务报文发送给服务器。
  6. 如权利要求5所述的方法,其特征在于,所述固有字段携带的信固有息为客户端的公网网络协议IP地址,所述添加信息包括:所述客户端的本地IP地址以及所述服务器最近一次返回给所述客户端的响应报文的响应时间。
  7. 如权利要求6所述的方法,其特征在于,按照与防御设备约定的哈希算法,对业务报文的固有字段携带的固有信息,以及至少一个添加信息进行哈希处理,得到哈希结果,具体包括:
    将所述客户端的公网IP地址与所述客户端的本地IP地址进行逻辑或运算,得到第一结果;
    取第一结果的低两个字节与所述响应时间进行逻辑异或运算,得到第二结果;
    将所述第二结果与预设密钥进行异或运算,得到所述哈希结果;
    其中,所述预设密钥以及响应时间的长度分别为2字节,所述公网IP地址以及本地IP地址的长度分别为4字节。
  8. 一种防御分布式拒绝服务攻击的方法,其特征在于,包括:
    服务器接收到客户端发送的业务报文时,提取本地时间;
    将所述本地时间携带在响应报文的预设字段,发送给所述客户端。
  9. 一种防御分布式拒绝服务攻击的方法,其特征在于,包括:
    截取客户端向服务器发送的业务报文;
    根据与客户端约定的规则,获取所述业务报文的第一预设字段携带的信息以及第二预设字段携带的信息;
    按照与客户端约定的哈希算法,对第二预设字段携带的信息以及预设密钥进行哈希处理,得到哈希结果;
    确定所述哈希结果与所述第一预设字段携带的信息不同时,丢弃所述业务报文。
  10. 如权利要求9所述的方法,其特征在于,所述第一预设字段携带的信息为所述客户端按照所述哈希算法对所述第二预设字段携带的信息以及预设密钥进行哈希处理后得到的客户端哈希结果,所述第二预设字段为所述业务报文的负载区域中的设定数目个字节组成的字段。
  11. 如权利要求10所述的方法,其特征在于,还包括:
    按照与所述客户端约定的规则,获取所述业务报文的第三预设字段携带的添加信息,所述添加信息为所述客户端发送所述业务报文的时间与标准时间的差值,则,
    采用如下方式选取所述业务报文的负载区域中的设定数目个字节:
    计算所述差值除以所述负载区域的长度所得的余数;
    判断所述余数与所述设定数目之和是否大于所述负载区域的长度;
    如果是,从所述负载区域的起始位置选取设定数目个字节;
    如果否,从所述负载区域的起始位置偏移所述余数个字节处开始,选取设定数目个字节。
  12. 如权利要求11所述的方法,其特征在于,还包括:
    确定所述哈希结果与所述第一预设字段携带的信息相同时,计算所述差 值减去所述客户端发送的前一业务报文中的差值所得的结果,作为时间差;
    判断所述时间差是否在预设范围之内;
    如果是,将所述业务报文转发至所述服务器;
    如果否,丢弃所述业务报文。
  13. 如权利要求9-12任一所述的方法,其特征在于,按照与客户端约定的哈希算法,对第二预设字段携带的信息以及预设密钥进行哈希处理,得到哈希结果,具体包括:
    将所述第二预设字段携带的信息与预设密钥进行逻辑异或运算所得的结果确定为所述哈希结果,其中,第二预设字段携带的信息的长度为2个字节,所述预设密钥的长度为2个字节。
  14. 一种防御分布式拒绝服务攻击的方法,其特征在于,包括:
    按照与防御设备约定的哈希算法,对业务报文的第二预设字段携带的信息以及预设密钥进行哈希处理,得到哈希结果;
    根据与所述防御设备约定的规则,将所述哈希结果编辑到所述业务报文的第一预设字段;
    将根据所述约定的规则处理后的业务报文发送给服务器。
  15. 如权利要求14所述的方法,其特征在于,所述第二预设字段为所述业务报文的负载区域中的设定数目个字节组成的字段。
  16. 如权利要求15所述的方法,其特征在于,还包括:
    按照与所述防御设备约定的规则,将添加信息编辑到所述业务报文的第三预设字段,所述添加信息为客户端发送所述业务报文的时间与标准时间的差值,则,
    采用如下方式选取所述业务报文的负载区域中的设定数目个字节:
    计算所述差值除以所述负载区域的长度所得的余数;
    判断所述余数与所述设定数目之和是否大于所述负载区域的长度;
    如果是,从所述负载区域的起始位置选取设定数目个字节;
    如果否,从所述负载区域的起始位置偏移所述余数个字节处开始,选取 设定数目个字节。
  17. 如权利要求14-16任一所述的方法,其特征在于,按照与防御设备约定的哈希算法,对业务报文的第二预设字段携带的信息以及预设密钥进行哈希处理,得到哈希结果,具体包括:
    将所述第二预设字段携带的信息与预设密钥进行逻辑异或运算所得的结果确定为所述哈希结果,其中,第二预设字段携带的信息的长度为2个字节,所述预设密钥的长度为2个字节。
  18. 一种防御分布式拒绝服务攻击的装置,其特征在于,包括:
    截取单元,用于截取客户端向服务器发送的业务报文;
    获取单元,用于根据与所述客户端约定的规则,获取所述业务报文的第一预设字段携带的信息、所述业务报文的固有字段携带的固有信息以及至少一个第二预设字段携带的添加信息;
    处理单元,用于按照与客户端约定的哈希算法,对所述固有信息以及至少一个添加信息进行哈希处理,得到哈希结果;
    确定单元,用于确定所述哈希结果与所述第一预设字段携带的信息不同时,丢弃所述业务报文。
  19. 如权利要求18所述的装置,其特征在于,所述第一预设字段携带的信息为所述客户端按照所述哈希算法对所述固有字段携带的固有信息以及至少一个第二预设字段携带的添加信息进行哈希处理后得到的客户端哈希结果,所述固有字段携带的固有信息为所述客户端的公网网络协议IP地址,所述第二预设字段包括两个,分别携带的添加信息为:所述客户端的本地IP地址以及所述服务器最近一次返回给所述客户端的响应报文的响应时间。
  20. 如权利要求19所述的装置,其特征在于,所述处理单元具体用于:
    将所述客户端的公网IP地址与所述客户端的本地IP地址进行逻辑或运算,得到第一结果;
    取第一结果的低两个字节与所述响应时间进行逻辑异或运算,得到第二结果;
    将所述第二结果与预设密钥进行异或运算,得到所述哈希结果;
    其中,所述预设密钥以及响应时间的长度分别为2字节,所述公网IP地址以及本地IP地址的长度分别为4字节。
  21. 如权利要求19或20所述的装置,其特征在于,所述确定单元还用于:
    确定所述哈希结果与所述第一预设字段携带的信息相同时,计算所述业务报文中的响应时间与所述客户端发送的前一业务报文中的响应时间的时间差;
    判断所述时间差是否在预设范围之内;
    如果是,将所述业务报文转发至所述服务器;
    如果否,丢弃所述业务报文。
  22. 一种防御设备,其特征在于,包括权利要求18-21任一所述的装置。
  23. 一种防御分布式拒绝服务的装置,其特征在于,包括:
    处理单元,用于按照与防御设备约定的哈希算法,对业务报文的固有字段携带的固有信息,以及至少一个添加信息进行哈希处理,得到哈希结果;
    编辑单元,用于根据与所述防御设备约定的规则,将所述哈希结果编辑到所述业务报文的第一预设字段,并将所述至少一个添加信息编辑到所述业务报文的至少一个第二预设字段;
    发送单元,用于将根据所述约定的规则处理后的业务报文发送给服务器。
  24. 如权利要求23所述的装置,其特征在于,所述固有字段携带的固有信息为所述装置的公网网络协议IP地址,所述添加信息包括:所述装置的本地IP地址以及所述服务器最近一次返回给所述装置的响应报文的响应时间。
  25. 如权利要求24所述的装置,其特征在于,所述处理单元具体用于:
    将所述装置的公网网络协议IP地址与所述装置的本地IP地址进行逻辑或运算,得到第一结果;
    取第一结果的低两个字节与所述响应时间进行逻辑异或运算,得到第二结果;
    将所述第二结果与预设密钥进行异或运算,得到所述哈希结果;
    其中,所述预设密钥以及响应时间的长度分别为2字节,所述公网IP地址以及本地IP地址的长度分别为4字节。
  26. 一种客户端,其特征在于,包括权利要求23-25任一所述的装置。
  27. 一种防御分布式拒绝服务攻击的装置,其特征在于,包括:
    提取单元,用于接收到客户端发送的业务报文时,提取本地时间;
    发送单元,用于将所述本地时间携带在响应报文的预设字段,发送给所述客户端。
  28. 一种防御分布式拒绝服务攻击的装置,其特征在于,包括:
    截取单元,用于截取客户端向服务器发送的业务报文;
    获取单元,用于根据与客户端约定的规则,获取所述业务报文的第一预设字段携带的信息以及第二预设字段携带的信息;
    处理单元,用于按照与客户端约定的哈希算法,对第二预设字段携带的信息以及预设密钥进行哈希处理,得到哈希结果;
    确定单元,用于确定所述哈希结果与所述第一预设字段携带的信息不同时,丢弃所述业务报文。
  29. 如权利要求28所述的装置,其特征在于,所述第一预设字段携带的信息为所述客户端按照所述哈希算法对所述第二预设字段携带的信息以及预设密钥进行哈希处理后得到的客户端哈希结果,所述第二预设字段为所述业务报文的负载区域中的设定数目个字节组成的字段。
  30. 如权利要求29所述的装置,其特征在于,所述获取单元还用于:
    按照与所述客户端约定的规则,获取所述业务报文的第三预设字段携带的添加信息,所述添加信息为所述客户端发送所述业务报文的时间与标准时间的差值,则,
    所述获取单元还用于:采用如下方式选取所述业务报文的负载区域中的设定数目个字节:
    计算所述差值除以所述负载区域的长度所得的余数;
    判断所述余数与所述设定数目之和是否大于所述负载区域的长度;
    如果是,从所述负载区域的起始位置选取设定数目个字节;
    如果否,从所述负载区域的起始位置偏移所述余数个字节处开始,选取设定数目个字节。
  31. 如权利要求30所述的装置,其特征在于,所述确定单元还用于:
    确定所述哈希结果与所述第一预设字段携带的信息相同时,计算所述差值减去所述客户端发送的前一业务报文中的差值所得的结果,作为时间差;
    判断所述时间差是否在预设范围之内;
    如果是,将所述业务报文转发至所述服务器;
    如果否,丢弃所述业务报文。
  32. 如权利要求28-31任一所述的装置,其特征在于,所述处理单元,具体用于:
    将所述第二预设字段携带的信息与预设密钥进行逻辑异或运算所得的结果确定为所述哈希结果,其中,第二预设字段携带的信息的长度为2个字节,所述预设密钥的长度为2个字节。
  33. 一种防御设备,其特征在于,包括权利要求28-32任一所述的装置。
  34. 一种防御分布式拒绝服务攻击的装置,其特征在于,包括:
    处理单元,用于按照与防御设备约定的哈希算法,对业务报文的第二预设字段携带的信息以及预设密钥进行哈希处理,得到哈希结果;
    编辑单元,用于根据与所述防御设备约定的规则,将所述哈希结果编辑到所述业务报文的第一预设字段;
    发送单元,用于将根据所述约定的规则处理后的业务报文发送给服务器。
  35. 如权利要求34所述的装置,其特征在于,所述第二预设字段为所述业务报文的负载区域中的设定数目个字节组成的字段。
  36. 如权利要求35所述的装置,其特征在于,所述编辑单元还用于:
    按照与所述防御设备约定的规则,将添加信息编辑到所述业务报文的第三预设字段,所述添加信息为所述装置发送所述业务报文的时间与标准时间 的差值,则,
    所述编辑单元用于采用如下方式选取所述业务报文的负载区域中的设定数目个字节:
    计算所述差值除以所述负载区域的长度所得的余数;
    判断所述余数与所述设定数目之和是否大于所述负载区域的长度;
    如果是,从所述负载区域的起始位置选取设定数目个字节;
    如果否,从所述负载区域的起始位置偏移所述余数个字节处开始,选取设定数目个字节。
  37. 如权利要求34-36任一所述的装置,其特征在于,所述处理单元具体用于:
    将所述第二预设字段携带的信息与预设密钥进行逻辑异或运算所得的结果确定为所述哈希结果,其中,第二预设字段携带的信息的长度为2个字节,所述预设密钥的长度为2个字节。
  38. 一种客户端,其特征在于,包括权利要求34-37任一所述的装置。
PCT/CN2016/110159 2015-12-30 2016-12-15 防御分布式拒绝服务攻击的方法、装置、客户端及设备 WO2017114175A1 (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US16/067,485 US10812525B2 (en) 2015-12-30 2016-12-15 Method and system for defending distributed denial of service attack
JP2018533899A JP2019502315A (ja) 2015-12-30 2016-12-15 分散型サービス拒否攻撃を防御する方法、装置、クライアントおよびデバイス
US16/024,073 US10812524B2 (en) 2015-12-30 2018-06-29 Method, and devices for defending distributed denial of service attack

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201511021292.8A CN105491060B (zh) 2015-12-30 2015-12-30 防御分布式拒绝服务攻击的方法、装置、客户端及设备
CN201511021292.8 2015-12-30

Related Child Applications (1)

Application Number Title Priority Date Filing Date
US16/024,073 Continuation US10812524B2 (en) 2015-12-30 2018-06-29 Method, and devices for defending distributed denial of service attack

Publications (1)

Publication Number Publication Date
WO2017114175A1 true WO2017114175A1 (zh) 2017-07-06

Family

ID=55677774

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2016/110159 WO2017114175A1 (zh) 2015-12-30 2016-12-15 防御分布式拒绝服务攻击的方法、装置、客户端及设备

Country Status (4)

Country Link
US (2) US10812525B2 (zh)
JP (1) JP2019502315A (zh)
CN (1) CN105491060B (zh)
WO (1) WO2017114175A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110019067A (zh) * 2017-09-26 2019-07-16 深圳市中兴微电子技术有限公司 一种日志分析方法及***

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105491060B (zh) 2015-12-30 2019-07-02 北京神州绿盟信息安全科技股份有限公司 防御分布式拒绝服务攻击的方法、装置、客户端及设备
CN106534068B (zh) * 2016-09-29 2023-12-22 广州华多网络科技有限公司 一种ddos防御***中清洗伪造源ip的方法和装置
US10116671B1 (en) 2017-09-28 2018-10-30 International Business Machines Corporation Distributed denial-of-service attack detection based on shared network flow information
CN110099027B (zh) * 2018-01-29 2021-09-28 腾讯科技(深圳)有限公司 业务报文的传输方法和装置、存储介质、电子装置
CN108616594B (zh) * 2018-05-04 2021-05-07 广东唯一网络科技有限公司 基于dpdk的http旁路阻断方法
CN109587117B (zh) * 2018-11-09 2021-03-30 杭州安恒信息技术股份有限公司 一种全网udp端口扫描的防重放攻击方法
US11503471B2 (en) * 2019-03-25 2022-11-15 Fortinet, Inc. Mitigation of DDoS attacks on mobile networks using DDoS detection engine deployed in relation to an evolve node B
US11748655B2 (en) * 2019-05-31 2023-09-05 Apple Inc. Classification of messages using learned rules
US11652789B2 (en) * 2019-06-27 2023-05-16 Cisco Technology, Inc. Contextual engagement and disengagement of file inspection
US10880329B1 (en) * 2019-08-26 2020-12-29 Nanning Fugui Precision Industrial Co., Ltd. Method for preventing distributed denial of service attack and related equipment
CN110650018A (zh) * 2019-09-06 2020-01-03 南京南瑞继保工程技术有限公司 一种报文防篡改方法和装置
CN110717183B (zh) * 2019-12-09 2020-10-27 深信服科技股份有限公司 病毒查杀方法、装置、设备及存储介质
CN113655992B (zh) * 2021-08-16 2024-03-15 Oppo广东移动通信有限公司 哈希函数电路、芯片及通信设备
CN114172738B (zh) * 2021-12-15 2022-12-13 广州市苏纳米实业有限公司 基于智能安全箱的抗DDoS攻击方法、装置及智能安全箱

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080295175A1 (en) * 2007-05-25 2008-11-27 Nirwan Ansari PROACTIVE TEST-BASED DIFFERENTIATION METHOD AND SYSTEM TO MITIGATE LOW RATE DoS ATTACKS
US20110099622A1 (en) * 2009-10-22 2011-04-28 Tai Jin Lee Apparatus for detecting and filtering application layer ddos attack of web service
US8781442B1 (en) * 2006-09-08 2014-07-15 Hti Ip, Llc Personal assistance safety systems and methods
CN104079408A (zh) * 2014-05-30 2014-10-01 国家电网公司 一种工业控制***中增强通信安全性的方法
CN104917765A (zh) * 2015-06-10 2015-09-16 杭州华三通信技术有限公司 一种防范攻击的方法和设备
CN105491060A (zh) * 2015-12-30 2016-04-13 北京神州绿盟信息安全科技股份有限公司 防御分布式拒绝服务攻击的方法、装置、客户端及设备

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09252323A (ja) 1996-01-11 1997-09-22 Sony Corp 通信システムおよび通信装置
US20020092015A1 (en) * 2000-05-26 2002-07-11 Sprunk Eric J. Access control processor
US7116668B2 (en) 2001-10-09 2006-10-03 Telefunaktiebolaget Lm Ericsson (Publ) Method for time stamp-based replay protection and PDSN synchronization at a PCF
US7836295B2 (en) * 2002-07-29 2010-11-16 International Business Machines Corporation Method and apparatus for improving the resilience of content distribution networks to distributed denial of service attacks
JP3794491B2 (ja) * 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
JP4263986B2 (ja) 2003-11-25 2009-05-13 日本電信電話株式会社 情報通過制御システム、情報通過制御装置、プログラム及び記録媒体
US7372856B2 (en) * 2004-05-27 2008-05-13 Avaya Technology Corp. Method for real-time transport protocol (RTP) packet authentication
US7552476B2 (en) 2004-06-25 2009-06-23 Canon Kabushiki Kaisha Security against replay attacks of messages
US7725934B2 (en) * 2004-12-07 2010-05-25 Cisco Technology, Inc. Network and application attack protection based on application layer message inspection
US7610622B2 (en) * 2006-02-06 2009-10-27 Cisco Technology, Inc. Supporting options in a communication session using a TCP cookie
CN101035175B (zh) * 2006-03-09 2011-08-10 华为技术有限公司 节省数字用户线功率的方法及装置
CN101162449B (zh) * 2007-10-08 2010-06-02 福州瑞芯微电子有限公司 Nand flash控制器及其与nand flash芯片的数据交互方法
US8549296B2 (en) * 2007-11-28 2013-10-01 Honeywell International Inc. Simple authentication of messages
CN101420433B (zh) * 2008-12-01 2013-03-13 成都市华为赛门铁克科技有限公司 防御域名***欺骗攻击的方法及装置
US8370920B2 (en) * 2009-10-28 2013-02-05 Aunigma Network Security Corp. System and method for providing unified transport and security protocols
JP2011205572A (ja) 2010-03-26 2011-10-13 Shimane Prefecture 不正アクセス監視システム及びプログラム
WO2011144026A2 (zh) * 2011-05-18 2011-11-24 华为终端有限公司 一种消息发送方法及装置
US8898263B2 (en) * 2011-05-24 2014-11-25 Autonomy Inc. Detecting change of settings stored on a remote server by making use of a network filter driver
US9288227B2 (en) * 2012-11-28 2016-03-15 Verisign, Inc. Systems and methods for transparently monitoring network traffic for denial of service attacks
US8978138B2 (en) * 2013-03-15 2015-03-10 Mehdi Mahvi TCP validation via systematic transmission regulation and regeneration
CN104378327B (zh) * 2013-08-12 2018-12-28 深圳市腾讯计算机***有限公司 网络攻击防护方法、装置及***
WO2015036860A2 (en) * 2013-09-10 2015-03-19 Haproxy S.A.R.L. Line-rate packet filtering technique for general purpose operating systems
US10326803B1 (en) * 2014-07-30 2019-06-18 The University Of Tulsa System, method and apparatus for network security monitoring, information sharing, and collective intelligence
CN104702677B (zh) * 2015-02-13 2017-06-23 腾讯科技(深圳)有限公司 链接处理方法、装置和***
CN106304203B (zh) * 2015-05-29 2020-02-21 腾讯科技(深圳)有限公司 数据传输方法及装置
CN107800528B (zh) * 2016-08-31 2021-04-06 中兴通讯股份有限公司 一种传输同步信息的方法、装置和***

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8781442B1 (en) * 2006-09-08 2014-07-15 Hti Ip, Llc Personal assistance safety systems and methods
US20080295175A1 (en) * 2007-05-25 2008-11-27 Nirwan Ansari PROACTIVE TEST-BASED DIFFERENTIATION METHOD AND SYSTEM TO MITIGATE LOW RATE DoS ATTACKS
US20110099622A1 (en) * 2009-10-22 2011-04-28 Tai Jin Lee Apparatus for detecting and filtering application layer ddos attack of web service
CN104079408A (zh) * 2014-05-30 2014-10-01 国家电网公司 一种工业控制***中增强通信安全性的方法
CN104917765A (zh) * 2015-06-10 2015-09-16 杭州华三通信技术有限公司 一种防范攻击的方法和设备
CN105491060A (zh) * 2015-12-30 2016-04-13 北京神州绿盟信息安全科技股份有限公司 防御分布式拒绝服务攻击的方法、装置、客户端及设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110019067A (zh) * 2017-09-26 2019-07-16 深圳市中兴微电子技术有限公司 一种日志分析方法及***
CN110019067B (zh) * 2017-09-26 2023-05-30 深圳市中兴微电子技术有限公司 一种日志分析方法及***

Also Published As

Publication number Publication date
CN105491060B (zh) 2019-07-02
US20180309784A1 (en) 2018-10-25
JP2019502315A (ja) 2019-01-24
US10812524B2 (en) 2020-10-20
CN105491060A (zh) 2016-04-13
US20190028507A1 (en) 2019-01-24
US10812525B2 (en) 2020-10-20

Similar Documents

Publication Publication Date Title
WO2017114175A1 (zh) 防御分布式拒绝服务攻击的方法、装置、客户端及设备
US9544273B2 (en) Network traffic processing system
US10084713B2 (en) Protocol type identification method and apparatus
US9584531B2 (en) Out-of band IP traceback using IP packets
CN104468624B (zh) Sdn控制器、路由/交换设备及网络防御方法
US20100161741A1 (en) Using a server&#39;s capability profile to establish a connection
US20160261611A1 (en) Identifying malware-infected network devices through traffic monitoring
CN109587167B (zh) 一种报文处理的方法和装置
US10911581B2 (en) Packet parsing method and device
WO2011131076A1 (zh) 建立流转发表项的方法及数据通信设备
WO2016177131A1 (zh) 防止dos攻击方法、装置和***
US11277428B2 (en) Identifying malware-infected network devices through traffic monitoring
Grigoryan et al. Lamp: Prompt layer 7 attack mitigation with programmable data planes
CN114830113A (zh) 保护有状态连接管理器中资源分配的***和方法
CN110661763B (zh) 一种DDoS反射攻击防御方法、装置及其设备
CN110198290B (zh) 一种信息处理方法、设备、装置及存储介质
Vrat et al. Anomaly detection in IPv4 and IPv6 networks using machine learning
WO2021084439A1 (en) System and method for identifying exchanges of encrypted communication traffic
Kim et al. ARP Poisoning attack detection based on ARP update state in software-defined networks
WO2016014178A1 (en) Identifying malware-infected network devices through traffic monitoring
CN113992421A (zh) 一种报文处理方法、装置及电子设备
Thang et al. Synflood spoofed source DDoS attack defense based on packet ID anomaly detection with bloom filter
CN114567450A (zh) 一种协议报文处理方法及装置
TWI784938B (zh) 電文清理方法及裝置
WO2024099078A1 (zh) 检测攻击流量的方法及相关设备

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16880965

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2018533899

Country of ref document: JP

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 16880965

Country of ref document: EP

Kind code of ref document: A1