CN101034975A - 防范小报文攻击的方法和装置 - Google Patents
防范小报文攻击的方法和装置 Download PDFInfo
- Publication number
- CN101034975A CN101034975A CNA2007100739761A CN200710073976A CN101034975A CN 101034975 A CN101034975 A CN 101034975A CN A2007100739761 A CNA2007100739761 A CN A2007100739761A CN 200710073976 A CN200710073976 A CN 200710073976A CN 101034975 A CN101034975 A CN 101034975A
- Authority
- CN
- China
- Prior art keywords
- message
- equipment
- minimum length
- flow
- length
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 23
- 230000000052 comparative effect Effects 0.000 claims description 3
- 238000004891 communication Methods 0.000 abstract description 3
- 230000003449 preventive effect Effects 0.000 abstract 1
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及通信领域,尤其涉及一种防范网络攻击的方法和装置。本发明提供防范小报文攻击的方法和装置,解决目前通信网络中无法防范小报文攻击的问题。该方法包括:确定设备可处理的报文的最小长度和数据流流量限制值;将接收到的报文的实际长度与所述最小长度做比较,如果所述接收到的报文的实际长度小于所述最小长度,则使用所述最小长度计算数据流流量;当数据流的流量达到所述数据流流量限制值时,设备将启动防范措施。采用本发明的实施方式的技术方案,可使设备提前进入攻击防范状态,避免单位时间内上送设备的报文数量过大,引起设备的异常,从而实现对小报文的有效攻击防范。
Description
技术领域
本发明涉及通信领域,尤其涉及一种防范网络攻击的方法和装置。
背景技术
拒绝服务DoS(Denial of Service,简称DoS)在广义上可以指任何导致服务器不能正常提供服务的攻击。最常见的DoS攻击是利用大量的服务请求来占用过多的服务资源,致使服务超载,无法响应其他的请求。这些服务资源包括网络带宽、文件系统空间容量、开放的进程或连接数。因为任何资源都有一定的限制,所以无论计算机的处理速度多么快、内存容量多么大、与互连网连接的带宽多么高,都无法避免这种攻击带来的后果。另外一种常见的DOS攻击是通过欺骗伪装等方法使得提供服务资源的主机出现错误响应,从而使其停止提供服务甚至崩溃。
分布式拒绝服务DDoS(Dist ributed Denial of Service,简称DDoS)攻击是DoS攻击的加强形式。DoS攻击是以一台接入互联网的单机向目标发动攻击,消耗目标主机或者网络的资源,从而干扰或者完全阻止为合法用户提供服务,而DDoS攻击采用大量分布的主机对单个或多个目标进行攻击。
针对DOS攻击和DDoS攻击,网络设备通常使用流量限制(限制单位时间内上送设备的报文字节数)功能进行DOS攻击防范。
网络设备的流量限制功能是通过限定单位时间内上送的数据流大小来达到保护设备的目的,但因构成数据流的报文是存在大小区别的,所以在相同的数据流的情况下,如果组成数据流的报文大小存在巨大差异,可能会导致单位时间内上送网络设备的报文个数存在巨大差异,因报文个数的巨大差异通常会导致对网络设备资源占用的差异,从而导致了在相同数据流大小限定的情况下出现网络设备攻击防范功能的差异。比如,攻击者通常会抓住这个漏洞,短时间内向网络设备发送大量的超小报文,致使传统的基于数据流流量大小限制的防攻击防范效果下降、甚至防范功能瘫痪。
发明内容
本发明的实施方式提供防范小报文攻击的方法和装置,解决目前通信网络中无法防范小报文攻击的问题。
本发明解决上述技术问题的一个实施方式是:
一种防范小报文攻击的方法,包括以下步骤:确定设备可处理的报文的最小长度和数据流流量限制值;将接收到的报文的实际长度与所述最小长度做比较,如果所述接收到的报文的实际长度小于所述最小长度,则使用所述最小长度计算数据流流量;当数据流的流量达到所述数据流流量限制值时,设备将启动防范措施。
本发明解决上述技术问题的另一个实施方式是:
一种防范小报文攻击的装置,包括接收单元、比较单元和处理单元,其中,接收单元用于接收其他设备发来的报文,并获取该接收到的报文的实际长度;比较单元将该接收到的报文的实际长度与确定的设备可处理的报文的最小长度值比较并根据比较结果计算数据流流量,如果所述接收到的报文的实际长度小于设定的设备可处理的报文的最小长度,则使用所述最小长度计算数据流流量;处理单元根据数据流的流量和设备的数据流流量限制值确定是否采取攻击防范措施。
与现有技术相比,本发明实施方式提供的技术方案中,由于当设备收到的是长度小于设备可处理的报文的最小长度的小报文时,设备在计算流量的时候并没有使用该收到的报文的实际长度,而是使用了比它大的预先确定的设备可处理的报文的最小长度,相当于动态地调大了上送流量,达到对小报文进行长度补偿的目的。当数据流的流量达到所述数据流流量限制值时,设备提前进入攻击防范状态,避免单位时间内上送设备的报文数量过大,引起设备的异常,从而实现对小报文攻击的有效防范。
附图说明
图1为本发明一个实施方式的防范小报文攻击的方法流程图;
图2为本发明另一实施方式的防范小报文攻击的装置的结构框图。
具体实施方式
以下结合具体实施方式来说明本发明的实现过程。
请参阅图1,为在本发明一个实施方式的防范小报文攻击的方法流程图。该方法包括以下步骤:
用户根据网络设备业务的特征确定设备可处理的报文的最小长度;同时,在设备接口上设置承诺速率限制(committed access rate,简称CAR),将数据流的流量限制在一个范围之内,允许其适量的通过,同时保证了其它数据流的正常通过。
此处,设定设备可处理的报文的最小长度时,可以根据特定设备处理的业务本身的要求来设定,比如地址解析协议(Address Resolution Protocol,ARP)报文的最小长度为42字节,即ARP请求或回答的数据帧长都是42字节(28字节的ARP数据,14字节的以太网帧头),因此,可以设定处理ARP报文的设备的可处理的报文的最小长度为42字节,或者根据经验设置更小的长度值。
网络设备在接收到报文后,获取报文的实际长度;
进行报文长度判断,并依据判断结果进行数据流流量计算。
具体判断方法为:如果报文的实际长度大于或等于设定的设备可处理的报文的最小长度,则按照报文的实际长度计算数据流流量;如果报文的实际长度小于所述最小长度,则使用所述最小长度计算数据流流量。
由于当设备收到的是长度小于所述最小长度的小报文时,设备在计算流量的时候并没有使用该收到的报文的实际长度,而是使用了比它大的预先设定的设备可处理的报文的最小长度,相当于动态地调大了上送流量,达到对小报文进行长度补偿的目的。这样,当该数据流的流量达到流量限制值时,设备将启动防范措施,将该特定数据流的流量限制在该流量限制值之内,同时保证其他数据流的正常通过。因此采用该方法,可使设备提前进入攻击防范状态,避免单位时间内上送设备的报文数量过大,引起设备的异常,从而实现对小报文攻击的有效防范。
上述实施方式所述的方法可以适用于在防火墙、路由器、以太网交换机、宽带接入设备上实现,也可以在其他设备上使用此方案。
本发明的另一实施方式提供一种防范小报文攻击的装置,该装置包括:接收单元、比较单元和处理单元。其中,接收单元接收其他设备发来的业务报文,并获取该报文的实际长度,比较单元将该业务报文的实际长度与设定的设备可处理的报文的最小长度值比较并根据比较结果计算数据流流量,如果报文的实际长度大于或等于设定的设备可处理的报文的最小长度,则按照报文的实际长度计算数据流流量;如果报文的实际长度小于用户设定的设备可处理的报文的最小长度,则使用设定的设备可处理的报文的最小长度计算数据流流量。
处理单元根据上述比较单元计算得到的数据流流量值来确定是否启动攻击防范措施。当数据流的流量达到数据流流量限制值时,设备将启动防范措施,将该特定数据流的流量限制在该数据流流量限制值以下,同时保证其他数据流的正常通过。
当设备收到的是长度小于设备可处理的报文的最小长度的小报文时,设备在计算流量的时候并没有使用该报文的实际长度,而是使用了比它大的用户设定的设备可处理的报文的最小长度,相当于动态地调大了上送流量,达到对小报文进行长度补偿的目的,这样,当数据流的流量达到数据流流量限制值时,设备将启动防范措施,将该特定数据流的流量限制在该数据流流量限制值之内,同时保证其他数据流的正常通过。因此该防范小报文攻击的装置可使设备提前进入攻击防范状态,避免单位时间内上送设备的报文数量过大,引起设备的异常,从而实现对小报文攻击的有效防范。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围和不脱离本发明的技术思想范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (11)
1.一种防范小报文攻击的方法,其特征在于,包括以下步骤:
确定设备可处理的报文的最小长度和数据流流量限制值;
将接收到的报文的实际长度与所述最小长度做比较,如果所述接收到的报文的实际长度小于所述最小长度,则使用所述最小长度计算数据流流量;
当数据流的流量达到所述数据流流量限制值时,设备将启动防范措施。
2.如权利要求1所述的方法,其特征在于,所述最小长度根据设备业务的特征确定。
3.如权利要求2所述的方法,其特征在于,所述最小长度不大于设备业务的特征所要求的最小值。
4.如权利要求1所述的方法,其特征在于,如果所述接收到的报文的实际长度大于或等于所述最小长度,则按照报文的实际长度计算数据流流量。
5.如权利要求1所述的方法,其特征在于,所述设备将启动的防范措施为:将该数据流的流量限制在该数据流流量限制值以下,并允许其他的数据流正常通过。
6.如权利要求1所述的方法,其特征在于,所述设备是防火墙或路由器或以太网交换机或宽带接入设备。
7.一种防范小报文攻击的装置,其特征在于,包括接收单元、比较单元和处理单元,其中,
接收单元用于接收其他设备发来的报文,并获取该接收到的报文的实际长度;
比较单元将该接收到的报文的实际长度与确定的设备可处理的报文的最小长度值比较并根据比较结果计算数据流流量,如果所述接收到的报文的实际长度小于所述最小长度,则使用所述最小长度计算数据流流量;
处理单元根据数据流的流量和设备的数据流流量限制值确定是否采取攻击防范措施。
8.如权利要求7所述的装置,其特征在于,所述最小长度根据设备业务的特征确定。
9.如权利要求8所述的装置,其特征在于,所述最小长度不大于设备业务的特征所要求的最小值。
10.如权利要求7所述的装置,其特征在于,如果所述接收到的报文的实际长度大于或等于所述最小长度,则按照报文的实际长度计算数据流流量。
11.如权利要求7所述的装置,其特征在于,所述设备是防火墙或路由器或以太网交换机或宽带接入设备。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200710073976A CN101034975B (zh) | 2007-04-05 | 2007-04-05 | 防范小报文攻击的方法和装置 |
PCT/CN2007/071368 WO2008122186A1 (fr) | 2007-04-05 | 2007-12-28 | Procédé et dispositif permettant d'empêcher une attaque d'un petit paquet de données |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200710073976A CN101034975B (zh) | 2007-04-05 | 2007-04-05 | 防范小报文攻击的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101034975A true CN101034975A (zh) | 2007-09-12 |
CN101034975B CN101034975B (zh) | 2010-05-26 |
Family
ID=38731297
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200710073976A Expired - Fee Related CN101034975B (zh) | 2007-04-05 | 2007-04-05 | 防范小报文攻击的方法和装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN101034975B (zh) |
WO (1) | WO2008122186A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008122186A1 (fr) * | 2007-04-05 | 2008-10-16 | Huawei Technologies Co., Ltd. | Procédé et dispositif permettant d'empêcher une attaque d'un petit paquet de données |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1145318C (zh) * | 2001-06-26 | 2004-04-07 | 华为技术有限公司 | 一种因特网服务提供者安全防护的实现方法 |
CN100525200C (zh) * | 2004-04-01 | 2009-08-05 | 华为技术有限公司 | 一种控制协议报文攻击的方法 |
CN100420197C (zh) * | 2004-05-13 | 2008-09-17 | 华为技术有限公司 | 一种实现网络设备防攻击的方法 |
CN100512207C (zh) * | 2004-12-10 | 2009-07-08 | 华为技术有限公司 | 一种流量控制方法 |
US7607170B2 (en) * | 2004-12-22 | 2009-10-20 | Radware Ltd. | Stateful attack protection |
CN100433711C (zh) * | 2005-06-08 | 2008-11-12 | 杭州华三通信技术有限公司 | 一种报文限速方法 |
US7486673B2 (en) * | 2005-08-29 | 2009-02-03 | Connect Technologies Corporation | Method and system for reassembling packets prior to searching |
CN1941775A (zh) * | 2006-07-19 | 2007-04-04 | 华为技术有限公司 | 一种防止网络消息攻击的方法及设备 |
CN101034975B (zh) * | 2007-04-05 | 2010-05-26 | 华为技术有限公司 | 防范小报文攻击的方法和装置 |
-
2007
- 2007-04-05 CN CN200710073976A patent/CN101034975B/zh not_active Expired - Fee Related
- 2007-12-28 WO PCT/CN2007/071368 patent/WO2008122186A1/zh active Application Filing
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008122186A1 (fr) * | 2007-04-05 | 2008-10-16 | Huawei Technologies Co., Ltd. | Procédé et dispositif permettant d'empêcher une attaque d'un petit paquet de données |
Also Published As
Publication number | Publication date |
---|---|
WO2008122186A1 (fr) | 2008-10-16 |
CN101034975B (zh) | 2010-05-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101060531B (zh) | 网络设备攻击防范的方法和装置 | |
US7882556B2 (en) | Method and apparatus for protecting legitimate traffic from DoS and DDoS attacks | |
US9088607B2 (en) | Method, device, and system for network attack protection | |
JP3993092B2 (ja) | サービス拒否攻撃を防ぐための方法 | |
US9043912B2 (en) | Method for thwarting application layer hypertext transport protocol flood attacks focused on consecutively similar application-specific data packets | |
US8769681B1 (en) | Methods and system for DMA based distributed denial of service protection | |
US8095675B2 (en) | Priority and bandwidth specification at mount time of NAS device volume | |
EP1705863A1 (en) | Method and apparatus for traffic control of dynamic denial of service attacks within a communications network | |
US20060098585A1 (en) | Detecting malicious attacks using network behavior and header analysis | |
EP2139187A1 (en) | Method, communication system and device for arp packet processing | |
US7818795B1 (en) | Per-port protection against denial-of-service and distributed denial-of-service attacks | |
US9032524B2 (en) | Line-rate packet filtering technique for general purpose operating systems | |
KR20120060655A (ko) | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 | |
WO2018095375A1 (zh) | 一种dns的防护方法、管理设备及域名解析服务器 | |
US20110179479A1 (en) | System and method for guarding against dispersed blocking attacks | |
EP3618355B1 (en) | Systems and methods for operating a networking device | |
CN103685315A (zh) | 一种防御拒绝服务攻击的方法及系统 | |
WO2023040303A1 (zh) | 网络流量控制方法以及相关系统 | |
US20110265181A1 (en) | Method, system and gateway for protection against network attacks | |
CN108810008A (zh) | 传输控制协议流量过滤方法、装置、服务器及存储介质 | |
KR20180046894A (ko) | Nfv 기반 메시징 서비스 보안 제공 방법 및 이를 위한 시스템 | |
CN101034975B (zh) | 防范小报文攻击的方法和装置 | |
CN1510872A (zh) | 一种dns和应用代理相结合对抗拒绝服务攻击的方法 | |
CN107689967B (zh) | 一种DDoS攻击检测方法和装置 | |
US20080019360A1 (en) | Multi-level packet classification |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100526 |