CN101083563A - 一种防分布式拒绝服务攻击的方法及设备 - Google Patents
一种防分布式拒绝服务攻击的方法及设备 Download PDFInfo
- Publication number
- CN101083563A CN101083563A CNA2007101299434A CN200710129943A CN101083563A CN 101083563 A CN101083563 A CN 101083563A CN A2007101299434 A CNA2007101299434 A CN A2007101299434A CN 200710129943 A CN200710129943 A CN 200710129943A CN 101083563 A CN101083563 A CN 101083563A
- Authority
- CN
- China
- Prior art keywords
- message
- attack
- speed limit
- subelement
- processing unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种防分布式拒绝服务攻击的方法,应用于包括控制单元和处理单元的网络设备中,该方法包括以下步骤:所述处理单元对接收报文按照分类进行低幅限速,并将低幅限速后的报文发送到所述控制单元;所述控制单元判断来自所述处理单元的报文是否为攻击报文,如果是,则向所述处理单元发送切换消息;所述处理单元根据所述切换消息中携带的攻击报文的端口和报文类型分离出攻击报文,对其进行高幅限速。本发明还提供了一种防分布式拒绝服务攻击的设备。本发明通过数据平面和控制平面结合对数据包进行过滤,并进行速率限制,有效防止DDoS攻击对交换机CPU资源的抢占。
Description
技术领域
本发明涉及数据传输技术领域,尤其涉及一种防分布式拒绝服务攻击的方法及设备。
背景技术
DoS(Denial of Service,拒绝服务)指故意攻击网络协议的缺陷或直接耗尽受攻击目标设备的资源,目的是让目标设备或网络无法提供正常的服务,甚至系统崩溃。传统的DoS攻击采用一对一的方式,受攻击目标设备的CPU(Central Process Unit,中央处理单元)速度低、内存小或者网络带宽小等各项性能指标不高时,攻击效果明显。随着计算机与网络技术的发展,CPU的处理能力迅速增长,内存容量增加,同时也出现了千兆级别的网络,受攻击目标设备对恶意攻击包的防御能力加强了不少,例如攻击软件每秒钟可以发送3,000个攻击包,但受攻击目标设备的主机与网络带宽每秒钟可以处理10,000个攻击包,这样攻击就不会对目标设备的主机和网络带宽产生过多影响。
非法用户(例如黑客)为了加强对目标设备的攻击,采用了DDoS(Distributed Denial of Service,分布式拒绝服务)攻击手段。DDoS利用更多的傀儡机发起进攻,使受攻击目标设备无法知道真正发起攻击的非法用户地址。DDoS以比从前更大的规模来进攻目标设备,所以DDos攻击是资源消耗型的攻击,受攻击的目标设备可能是主机、也可能是网络设备。图1为受攻击目标设备为网络设备的攻击示意图,具体攻击过程包括:黑客向傀儡控制机发出攻击命令;该傀儡控制机向多台攻击傀儡机发布攻击命令;多台傀儡攻击机同时向网络设备发起攻击,网络设备受到攻击后,与服务器之间的链接状态接近不可用状态。
上述黑客的攻击将导致连接带宽达到饱和,耗尽服务器和网络设备的资源,中断服务器和网络设备某项服务。连接带宽饱和与CPU耗尽的DDoS攻击可能会拒绝为动态路由协议提供保持相邻关系所需要的带宽。当网络设备和服务器失去与相邻设备的连接时,会反复删除、添加、更新路由,CPU资源最终被大量被占用。
DDoS可以通过多端口、多协议进行攻击,使网络资源大量消耗;受攻击设备中充斥大量无用报文,网络拥塞,网络设备无法和外界通讯,为了保护受攻击网络设备,保护网络的稳定性,网络设备应提供识别、阻止DDoS攻击。现有技术中使用防火墙对交换机进行保护,防火墙通常用于保护内部网络不受外部网络的非授权访问,位于网络设备和服务器之间,对非法数据进行过滤,阻止DDoS攻击。然而,防火墙是要保持连接状态的设备,因此吞吐量受到限制,对于现在的中高端交换机的上百G甚至上T级别的吞吐量来说,防火墙成为了瓶颈。
现有技术中还可以在交换机的控制平面,通过数据包过滤或速率限制来识别和限制DDoS攻击流量。该方案单纯在交换机的控制平面使用软件对接收数据包进行速率控制,严重的依赖CPU的处理能力。当发生攻击时,所有的攻击流量都会到达CPU,对攻击流量的识别和控制本身也会消耗CPU资源,由于DDoS可以轻易的使用数百上千台傀儡主机发起进攻,最终交换机的CPU资源被耗尽。
为了克服使用CPU过滤和限速使得资源耗尽的缺陷,现有技术中提出了一种使用硬件进行包过滤或速率限制的方法,通过在交换机的交换芯片ASIC(application-specific integrated circuit,专用集成电路)上进行流量过滤或速率限制,在交换机的数据平面识别和限制DDoS攻击流量。利用ASIC的上队列资源(不同的队列有不同的优先级),将上CPU的流量进行分类,并入不同的队列,而队列间采用某种调度策略(如严格优先级),从而达到限制某类流量完全抢占带宽,进而达到限制DDoS攻击耗尽CPU资源的目的。然而,单纯在交换机的数据平面,使用ASIC的资源来识别和限制DDoS攻击流量,对于队列较少的ASIC(如8个队列)来说,不可能每种类型的流量都分配一个队列,只能每个队列都被几种类型的流量共用,当共用一个队列的几种流量中有攻击流量时,同一队列的其他流量依然会被抢占带宽资源。当使用的ASIC队列资源是全局的情况下,一个端口遭到攻击,导致某个队列资源被耗尽后,其他端口利用这个队列资源的正常业务也将被拒绝服务。
发明内容
本发明提供了一种防分布式拒绝服务攻击的方法及设备,以解决现有技术中防止DDoS攻击时,会导致正常数据流量被拒绝或受限制的缺陷。
本发明提供一种防分布式拒绝服务攻击的设备,包括处理单元和控制单元:
所述处理单元,用于对接收报文进行低幅限速,将低幅限速后的报文发送到所述控制单元;并当接收到所述控制单元的切换消息后,根据所述切换消息中携带的攻击报文的端口和报文类型信息分离出攻击报文,对其进行高幅限速;
所述控制单元,用于判断所述低幅限速后的报文是否为攻击报文,如果为攻击报文,则发送切换消息通知所述处理单元对所述攻击报文进行高幅限速。
所述处理单元具体包括:
低幅限速子单元,用于对接收报文进行分类,并对所述分类后的报文进行低幅限速;
高幅限速子单元,用于对所述攻击报文进行高幅限速;
切换子单元,分别与所述低幅限速子单元和所述高幅限速子单元连接,用于收到所述控制单元发送的切换消息后,根据切换消息中的报文的端口和分类信息确定攻击报文,将所述攻击报文发送到高幅限速子单元。
所述处理单元还包括:
优先级标记子单元,与所述低幅限速子单元连接,用于按照报文类型对所述报文设置优先级。
所述处理单元还包括:
优先级队列子单元,与所述优先级标记子单元连接,用于将所述报文存储到报文队列中,并按所述优先级标记子单元设置的优先级发送到所述控制单元。
所述处理单元还包括:
恢复子单元,与所述切换子单元连接,用于收到所述控制单元发送的恢复消息后,将经过所述高幅限速子单元的报文切换到所述低幅限速子单元。
所述控制单元具体包括:
调度子单元,用于将来自所述处理单元的报文按分类进入不同队列;
攻击报文确定子单元,与所述调度子单元连接,用于将队列长度与预设门限进行比较,当所述队列长度达到第一门限时,确定其为攻击报文,并通过切换消息发送子单元向处理单元发送切换消息,所述切换消息中携带所述攻击报文的端口和分类信息;
切换消息发送子单元,与所述攻击报文确定子单元连接,用于向所述处理单元发送切换消息,使所述攻击报文由低幅限速子单元切换到高幅限速子单元。
所述控制单元还包括:
第一限速子单元,与所述攻击报文确定子单元连接,用于当所述队列长度达到第一门限时,全部丢弃后续报文;和/或
第二限速子单元,与所述攻击报文确定子单元连接,用于当所述队列长度超出第二门限小于所述第一门限时,随机丢弃后续报文。
所述控制单元还包括:
监测子单元,与所述攻击报文确定子单元连接,用于监视高幅限速后的报文,当其队列长度在预设时间内小于第三门限时,向所述处理单元发送恢复消息。
本发明实施例还提供了一种防分布式拒绝服务攻击的方法,应用于包括控制单元和处理单元的网络设备中,所述方法包括以下步骤:
所述处理单元对接收报文按照分类进行低幅限速,并将低幅限速后的报文发送到所述控制单元;
所述控制单元判断来自所述处理单元的报文是否为攻击报文,如果是,则向所述处理单元发送切换消息;
所述处理单元根据所述切换消息中携带的攻击报文的端口和报文类型信息确认攻击报文,本对所述攻击报文进行高幅限速。
所述将低幅限速后的报文发送到所述控制单元之前还包括:
所述处理单元按照报文类型将报文划分优先级,并存储到优先级队列中。
所述控制单元判断来自所述处理单元的的报文是否为攻击报文具体包括:
设置第一门限;
将所述低幅限速后的报文按分类存入不同队列;
将所述队列长度与预设门限进行比较,当所述队列长度达到预设的第一门限时,确定其为攻击报文。
所述确定其为攻击报文之后还包括:
全部丢弃后续报文。
所述将低幅限速后的报文按分类入不同队列之后还包括:
设置第二门限;
当所述队列长度大于预设的第二门限且小于所述第一门限时,随机丢弃后续报文。
所述处理单元对攻击报文进行高幅限速之后还包括:
设置第三门限;
所述控制单元监视高幅限速后的报文,当其队列长度在预设时间内小于预设的第三门限,向所述处理单元发送恢复消息;
所述处理单元将经过所述高幅限速的报文切换到低幅限速。
有现有技术相比,本发明具有以下优点:
本发明实施例中,通过数据平面和控制平面结合对数据包进行过滤,并进行速率限制,有效防止DDoS攻击对交换机CPU资源的抢占。
另外,本发明可以防止一个队列中的几种类型数据包中有攻击包时,同一队列的其他数据包也会被抢占带宽资源;及防止对一个端口上的某个业务的攻击因资源耗尽而影响此端口上的其他业务正常工作,进而降低某类业务的攻击流量对此类正常业务的影响。并且防止一个端口上一种业务收到攻击时,这个端口上其他业务受到影响。
附图说明
图1是现有技术中黑客攻击网络设备的示意图;
图2是本发明实施例闭环控制设备示意图;
图3是本发明实施例一种防分布式拒绝服务攻击的方法流程图;
图4是本发明实施例防分布式拒绝服务攻击的一个具体实例示意图;
图5是本发明实施例一种防分布式拒绝服务攻击的设备结构图。
具体实施方式
本发明的核心思想是:通过硬件处理芯片和控制芯片结合构成带反馈的闭环控制设备,如图2所示,在硬件处理芯片和控制芯片中分别对报文进行限速,当控制芯片检测到恶意的攻击报文时,可以控制硬件处理芯片对该攻击报文进行更高幅度的限速,使该攻击报文对设备的影响降到可以忽略的程度;并且,当控制芯片检测到攻击报文消失后,恢复相应端口和分类的报文的接收。
下面结合附图和实施例,对本发明的具体实施方式作进一步详细的说明。
本发明提供了一种防分布式拒绝服务攻击的方法,应用于包括控制单元和处理单元的网络设备设备中,其中,控制单元为处理能力高的芯片,包括CPU等,处理单元为具有较大存储容量的硬件芯片,例如交换芯片等。该方法如图3所示,包括以下步骤:
步骤s301,处理单元接收报文后,通过ACL(access control list,访问控制列表)对报文进行分类,具体包括:根据报文特征分类,将同一类型的报文组队,并对不同类型的报文进行低幅限速;然后根据报文的特征划分优先级,使不同类型的报文具有不同的优先级,并按照优先级将报文存储到向控制单元发送的优先级队列中,按照优先级向控制单元发送经过低幅限速的报文。其中,每个队列中可能包括一个类型的报文或多个类型的报文。
其中,低幅限速可以采用但不限于CAR(Committed Access Rate,承诺接入速率)方式,CAR能被用于基于特定匹配标准的速率限制通信,例如引入的界面,IP优先权,QoS组或IP访问列表标准;当通信符合或超过速率限制时,根据引入的界面,IP优先权,QoS组或IP访问列表等标准丢弃报文,达到限速目的。例如,预先设定的门限为每秒接收10个报文,而实际如果每秒接收12个报文,则将多余的2个报文丢弃,以达到限速的目的。
步骤s302,控制单元判断来自处理单元的报文是否为攻击报文,如果是,则向处理单元发送切换消息。具体过程包括:将来自处理单元经过低幅限速的报文按分类存入不同队列,每个队列独立控制出队列速度,即可以进一步根据报文类型灵活地实现不同的限速,减小可能存在的攻击报文对设备的攻击。在控制单元中预先设定第一门限值和第二门限值,并实时或定时检测每个队列长度。当队列长度超出第一门限时,确定其为攻击报文,对此类报文标记为攻击报文,并全部丢弃该队列后续报文;当队列长度大于第二门限小于第一门限时,该报文虽然不一定是攻击报文,但是该报文会占用大量资源,因此可以随机丢弃该队列后续报文,没丢弃的报文进入协议栈继续处理;当队列长度小于第二门限时,不丢弃后续报文,并报文进行正常处理,即将报文调度至协议栈进行后续处理。
步骤s303,如步骤302所述,当控制单元发现攻击报文,则向处理单元发送切换消息,处理单元接收到所述控制单元发送的切换消息。所述切换消息中包括攻击报文的类型及攻击报文进入的端口,处理单元将来自该端口的该类报文分离出来,对其进行高幅限速,即在低幅限速ACL处找出被攻击报文类型的报文,将其删除,放入高幅限速ACL中处理。其中,高幅限速的具体范围需要根据系统的处理能力进行设置,比如,当系统处理能力较低时,可以设置为5%、8%或10%,当系统处理能力较高时,可以设置为30%或40%,但是,不论如何设置,高幅限速比低幅限速对报文限速的幅度都应该大得多,以达到惩罚攻击报文的目的。
步骤s303之后,还包括取消对攻击报文惩罚的步骤:控制单元实时或定时监视攻击报文所在队列,当其队列长度在预设时间内小于预先设定的第三门限,则向处理单元发送恢复消息,该恢复消息中携带需要恢复的报文来自的端口及报文类型信息;处理单元将来自该端口及对应类型的报文从高幅限速切换到低幅限速。例如,通过高幅限速惩罚攻击报文开始后一段时间(如5秒),再次监视被惩罚的流量是否有明显降低,如果流量明显降低且持续的时间达到预设的时间长度,则将其恢复到正常的低幅限速。其中流量明显降低可以为降低至限速的30%或更低。
例如上述方法进行防分布式拒绝服务攻击的一个具体实例,如图4所示,该实例通过将该方法应用于交换机而进行说明,并不限于交换机。交换机中包括交换芯片和CPU。设输入端口包括端口1和端口2,实线箭头代表正常报文,从端口1进入交换机,虚线箭头代表攻击报文,从端口2进入交换机。
正常报文和攻击报文到达分类/限速1处,根据报文的类型进行分类,例如将OSPF(Open Shortest Path First,开放最短路径优先)报文、ARP(AddressResolution Protocol,地址解析协议)报文等相互区分开,并按照各自的分类进行低幅限速。正常报文长度较小,不会超过限速门限,因此不会被丢弃。攻击报文一般流量较大,在此处会被丢弃一部分,减小冲击。
分类限速后的正常报文和攻击报文,进入CPU端口优先级队列。该队列通常较少,例如8个,也可以是其他数量,但通常总数比前面的分类/限速的数目少,因此,一个队列中可能存入一个或多个类型的报文。如果限速后的攻击报文优先级小于正常报文,则对正常报文流量有一定保护,限速后的攻击报文可能再次被部分丢弃;若限速后的攻击报文的优先级不低于正常报文,则一起被调度进入CPU。正常报文和限速后的攻击报文进入CPU后,立即按照不同的报文类型进入不同的软件调度队列,即每个队列中只包括一种类型的报文。其中正常报文被调度后,进入协议栈做后续业务处理。
在软件调度队列中,经过交换芯片低幅限速过的攻击报文流量很大,所在队列长度通常较长,需要进一步限速。具体过程包括:攻击报文所在某队列长度超过丢弃开始门限(即第二门限)后会随机丢弃后续报文;当攻击报文所在某队列长度超过完全丢弃门限(即第一门限)后会完全丢弃后续报文且CPU确定该报文是攻击报文。
在确定攻击报文后,CPU向交换芯片发送携带所述攻击报文标记的切换消息,交换芯片解析所述切换消息,本实施例中,通过解析切换消息可以确定攻击报文来自端口2,报文类型为某种确定类型。交换芯片将所述来自端口2的对应类型的报文从原来的由分类限速1处上CPU,切换到由分类限速2上CPU。在分类限速2中,会对该攻击报文做高幅限速,丢弃该攻击报文中的大部分流量。丢弃后剩下的流量即使同正常报文处在一个队列,对正常报文的影响也大大减小,保护了正常的业务。高幅限速后的攻击报文随后进入CPU端口优先级队列,再进入CPU的软件调度队列,此时高幅限速后的攻击报文对CPU的攻击效果已经大大减小。
CPU对经过限速后的攻击报文会持续做监视,当监测到攻击消失后,控制交换芯片亦恢复到正常的工作状态,将来自端口2的对应类型报文发送到分类/限速1,做正常处理。
本发明实施例还提供了一种防分布式拒绝服务攻击的设备,如图5所示,包括:处理单元100,用于对接收报文进行低幅限速,将低幅限速后的报文发送到控制单元200;并当接收到控制单元200的切换消息后,根据切换消息中携带的攻击报文的端口和报文类型分离出攻击报文,对其进行高幅限速;控制单元200,用于判断低幅限速后的报文是否为攻击报文,如果为攻击报文,则利用切换消息通知处理单元100对攻击报文进行高幅限速。
其中,处理单元100具体包括:低幅限速子单元110,用于对接收报文进行分类,并对分类后的报文进行低幅限速;切换子单元120,分别与低幅限速子单元110和高幅限速子单元130连接,用于收到控制单元发送的切换消息后,根据切换消息中的报文的端口和分类确定攻击报文,将攻击报文发送到高幅限速子单元130;高幅限速子单元130,用于对攻击报文进行高幅限速;优先级标记子单元140,与低幅限速子单元110连接,用于按照报文类型对报文设置优先级;优先级队列子单元150,与优先级标记子单元140连接,用于将报文存储到报文队列中,并按优先级发送到控制单元200;恢复子单元160,与切换子单元120连接,用于收到控制单元200发送的恢复消息后,将经过高幅限速子单元130的报文切换到低幅限速子单元110。
控制单元200具体包括:调度子单元210,用于将来自处理单元100的报文按分类存入不同队列;攻击报文确定子单元220,与调度子单元210连接,用于将队列长度与预设门限进行比较,当队列长度超出第一门限时,确定其为攻击报文,并通过切换消息发送子单元230向处理单元100发送切换消息,切换消息中携带攻击报文的端口和分类;切换消息发送子单元230,与攻击报文确定子单元220连接,用于向处理单元100发送切换消息,使攻击报文由低幅限速子单元110切换到高幅限速子单元130;第一限速子单元240,与攻击报文确定子单元220连接,用于当队列长度超出第一门限时,丢弃队列中的全部报文;第二限速子单元250,与攻击报文确定子单元220连接,用于当队列长度超出第二门限小于第一门限时,随机丢弃队列中的报文;监测子单元260,与攻击报文确定子单元220连接,用于监视高幅限速后的报文,当其队列长度在预设时间内小于第三门限时,向处理单元100发送恢复消息。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (14)
1、一种防分布式拒绝服务攻击的设备,包括处理单元和控制单元,其特征在于,
所述处理单元,用于对接收报文进行低幅限速,将低幅限速后的报文发送到所述控制单元;并当接收到所述控制单元的切换消息后,根据所述切换消息中携带的攻击报文的端口和报文类型信息分离出攻击报文,对其进行高幅限速;
所述控制单元,用于判断所述低幅限速后的报文是否为攻击报文,如果为攻击报文,则发送切换消息通知所述处理单元对所述攻击报文进行高幅限速。
2、如权利要求1所述防分布式拒绝服务攻击的设备,其特征在于,所述处理单元具体包括:
低幅限速子单元,用于对接收报文进行分类,并对所述分类后的报文进行低幅限速;
高幅限速子单元,用于对所述攻击报文进行高幅限速;
切换子单元,分别与所述低幅限速子单元和所述高幅限速子单元连接,用于收到所述控制单元发送的切换消息后,根据切换消息中的报文的端口和分类信息确定攻击报文,将所述攻击报文发送到高幅限速子单元。
3、如权利要求2所述防分布式拒绝服务攻击的设备,其特征在于,所述处理单元还包括:
优先级标记子单元,与所述低幅限速子单元连接,用于按照报文类型对所述报文设置优先级。
4、如权利要求3所述防分布式拒绝服务攻击的设备,其特征在于,所述处理单元还包括:
优先级队列子单元,与所述优先级标记子单元连接,用于将所述报文存储到报文队列中,并按所述优先级标记子单元设置的优先级发送到所述控制单元。
5、如权利要求2所述防分布式拒绝服务攻击的设备,其特征在于,所述处理单元还包括:
恢复子单元,与所述切换子单元连接,用于收到所述控制单元发送的恢复消息后,将经过所述高幅限速子单元的报文切换到所述低幅限速子单元。
6、如权利要求1所述防分布式拒绝服务攻击的设备,其特征在于,所述控制单元具体包括:
调度子单元,用于将来自所述处理单元的报文按分类进入不同队列;
攻击报文确定子单元,与所述调度子单元连接,用于将队列长度与预设门限进行比较,当所述队列长度达到第一门限时,确定其为攻击报文,并通过切换消息发送子单元向处理单元发送切换消息,所述切换消息中携带所述攻击报文的端口和分类信息;
切换消息发送子单元,与所述攻击报文确定子单元连接,用于向所述处理单元发送切换消息,使所述攻击报文由低幅限速子单元切换到高幅限速子单元。
7、如权利要求6所述防分布式拒绝服务攻击的设备,其特征在于,所述控制单元还包括:
第一限速子单元,与所述攻击报文确定子单元连接,用于当所述队列长度达到第一门限时,全部丢弃后续报文;和/或
第二限速子单元,与所述攻击报文确定子单元连接,用于当所述队列长度超出第二门限小于所述第一门限时,随机丢弃后续报文。
8、如权利要求6所述防分布式拒绝服务攻击的设备,其特征在于,所述控制单元还包括:
监测子单元,与所述攻击报文确定子单元连接,用于监视高幅限速后的报文,当其队列长度在预设时间内小于第三门限时,向所述处理单元发送恢复消息。
9、一种防分布式拒绝服务攻击的方法,应用于包括控制单元和处理单元的网络设备中,其特征在于,所述方法包括以下步骤:
所述处理单元对接收报文按照分类进行低幅限速,并将低幅限速后的报文发送到所述控制单元;
所述控制单元判断来自所述处理单元的报文是否为攻击报文,如果是,则向所述处理单元发送切换消息;
所述处理单元根据所述切换消息中携带的攻击报文的端口和报文类型信息确认攻击报文,并对所述攻击报文进行高幅限速。
10、如权利要求9所述防分布式拒绝服务攻击的方法,其特征在于,所述将低幅限速后的报文发送到所述控制单元之前还包括:
所述处理单元按照报文类型将报文划分优先级,并存储到优先级队列中。
11、如权利要求9所述防分布式拒绝服务攻击的方法,其特征在于,所述控制单元判断来自所述处理单元的的报文是否为攻击报文具体包括:
设置第一门限;
将所述低幅限速后的报文按分类存入不同队列;
将所述队列长度与预设门限进行比较,当所述队列长度达到预设的第一门限时,确定其为攻击报文。
12、如权利要求11所述防分布式拒绝服务攻击的方法,其特征在于,所述确定其为攻击报文之后还包括:
全部丢弃后续报文。
13、如权利要求12所述防分布式拒绝服务攻击的方法,其特征在于,所述将低幅限速后的报文按分类入不同队列之后还包括:
设置第二门限;
当所述队列长度大于预设的第二门限且小于所述第一门限时,随机丢弃后续报文。
14、如权利要求11所述防分布式拒绝服务攻击的方法,其特征在于,所述处理单元对攻击报文进行高幅限速之后还包括:
设置第三门限;
所述控制单元监视高幅限速后的报文,当其队列长度在预设时间内小于预设的第三门限,向所述处理单元发送恢复消息;
所述处理单元将经过所述高幅限速的报文切换到低幅限速。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101299434A CN101083563B (zh) | 2007-07-20 | 2007-07-20 | 一种防分布式拒绝服务攻击的方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101299434A CN101083563B (zh) | 2007-07-20 | 2007-07-20 | 一种防分布式拒绝服务攻击的方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101083563A true CN101083563A (zh) | 2007-12-05 |
| CN101083563B CN101083563B (zh) | 2010-08-11 |
Family
ID=38912856
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101299434A Active CN101083563B (zh) | 2007-07-20 | 2007-07-20 | 一种防分布式拒绝服务攻击的方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101083563B (zh) |
Cited By (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101217472B (zh) * | 2007-12-29 | 2010-09-29 | 福建星网锐捷网络有限公司 | 模块化交换机报文路由方法 |
| CN101980489A (zh) * | 2010-10-28 | 2011-02-23 | 中兴通讯股份有限公司 | 一种防止协议报文攻击cpu的保护方法及系统 |
| CN101557324B (zh) * | 2008-12-17 | 2011-06-08 | 天津大学 | 针对DDoS攻击的实时可视化检测方法 |
| CN102111383A (zh) * | 2009-12-28 | 2011-06-29 | 北京安码科技有限公司 | 一种利用优先级队列防止dos攻击的方法 |
| CN101753315B (zh) * | 2008-11-27 | 2011-09-21 | 百度在线网络技术(北京)有限公司 | DDoS攻击测试方法、装置和系统 |
| CN102299850A (zh) * | 2011-08-29 | 2011-12-28 | 中兴通讯股份有限公司 | 保护cpu的方法和装置 |
| CN101378394B (zh) * | 2008-09-26 | 2012-01-18 | 成都市华为赛门铁克科技有限公司 | 分布式拒绝服务检测方法及网络设备 |
| CN102355422A (zh) * | 2011-10-17 | 2012-02-15 | 苏州迈科网络安全技术股份有限公司 | 多核并行无锁的qos流量控制方法 |
| CN101483512B (zh) * | 2009-02-10 | 2012-05-23 | 中兴通讯股份有限公司 | 报文过滤方法及装置 |
| CN102655493A (zh) * | 2011-03-01 | 2012-09-05 | 国基电子(上海)有限公司 | 用户端设备及其防止攻击的方法 |
| CN103392176A (zh) * | 2011-02-24 | 2013-11-13 | 国际商业机器公司 | 网络事件管理 |
| CN103441946A (zh) * | 2013-09-05 | 2013-12-11 | 上海斐讯数据通信技术有限公司 | 保护cpu的大流量攻击识别方法及装置 |
| CN104038494A (zh) * | 2014-06-11 | 2014-09-10 | 普联技术有限公司 | 一种记录攻击来源的方法及交换机 |
| CN104283643A (zh) * | 2014-10-24 | 2015-01-14 | 杭州华三通信技术有限公司 | 报文限速方法和装置 |
| CN104702560A (zh) * | 2013-12-04 | 2015-06-10 | 华为技术有限公司 | 一种防止报文攻击方法及装置 |
| WO2015161552A1 (zh) * | 2014-04-21 | 2015-10-29 | 中兴通讯股份有限公司 | 基于令牌桶的流量监管方法及装置 |
| CN105357184A (zh) * | 2015-10-08 | 2016-02-24 | 上海斐讯数据通信技术有限公司 | 一种交换机cpu的二级保护方法 |
| CN105516174A (zh) * | 2015-12-25 | 2016-04-20 | 北京奇虎科技有限公司 | 网络攻击追踪显示系统和方法 |
| CN106060045A (zh) * | 2016-05-31 | 2016-10-26 | 东北大学 | 面向带宽消耗型攻击的过滤位置选择方法 |
| CN106131083A (zh) * | 2016-08-30 | 2016-11-16 | 迈普通信技术股份有限公司 | 一种攻击报文检测和防范的方法及交换机 |
| CN106330962A (zh) * | 2016-09-30 | 2017-01-11 | 中国联合网络通信集团有限公司 | 一种流量清洗管理方法及装置 |
| CN107241304A (zh) * | 2016-03-29 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 一种DDos攻击的检测方法及装置 |
| CN107690004A (zh) * | 2016-08-04 | 2018-02-13 | 中兴通讯股份有限公司 | 地址解析协议报文的处理方法及装置 |
| CN108028828A (zh) * | 2015-08-29 | 2018-05-11 | 华为技术有限公司 | 一种分布式拒绝服务DDoS攻击检测方法及相关设备 |
| CN108737150A (zh) * | 2017-09-28 | 2018-11-02 | 新华三信息安全技术有限公司 | 承诺访问速率管理方法、业务板及主控板 |
| CN109587079A (zh) * | 2018-12-14 | 2019-04-05 | 北京物芯科技有限责任公司 | 一种oam业务处理系统和方法 |
| CN110519302A (zh) * | 2019-09-29 | 2019-11-29 | 锐捷网络股份有限公司 | 一种防报文攻击的方法和装置 |
| CN110830383A (zh) * | 2019-11-27 | 2020-02-21 | 新华三半导体技术有限公司 | 限速控制方法、装置和限速设备 |
| CN111294291A (zh) * | 2020-01-16 | 2020-06-16 | 新华三信息安全技术有限公司 | 一种协议报文的处理方法和装置 |
| CN111404866A (zh) * | 2019-01-02 | 2020-07-10 | 中国移动通信有限公司研究院 | 跨域联动防护系统、方法、装置、介质和设备 |
| IT202100025925A1 (it) | 2021-10-08 | 2023-04-08 | Phoenix ICT | Metodo e sistema anti ddos per la gestione dinamica di una risorsa attiva |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1182685C (zh) * | 2002-04-29 | 2004-12-29 | 清华大学 | 用于报文转发系统的队列管理方法 |
| CN100433711C (zh) * | 2005-06-08 | 2008-11-12 | 杭州华三通信技术有限公司 | 一种报文限速方法 |
| CN100454839C (zh) * | 2005-11-24 | 2009-01-21 | 华为技术有限公司 | 一种基于用户防攻击的装置以及方法 |
-
2007
- 2007-07-20 CN CN2007101299434A patent/CN101083563B/zh active Active
Cited By (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101217472B (zh) * | 2007-12-29 | 2010-09-29 | 福建星网锐捷网络有限公司 | 模块化交换机报文路由方法 |
| CN101378394B (zh) * | 2008-09-26 | 2012-01-18 | 成都市华为赛门铁克科技有限公司 | 分布式拒绝服务检测方法及网络设备 |
| CN101753315B (zh) * | 2008-11-27 | 2011-09-21 | 百度在线网络技术(北京)有限公司 | DDoS攻击测试方法、装置和系统 |
| CN101557324B (zh) * | 2008-12-17 | 2011-06-08 | 天津大学 | 针对DDoS攻击的实时可视化检测方法 |
| CN101483512B (zh) * | 2009-02-10 | 2012-05-23 | 中兴通讯股份有限公司 | 报文过滤方法及装置 |
| CN102111383A (zh) * | 2009-12-28 | 2011-06-29 | 北京安码科技有限公司 | 一种利用优先级队列防止dos攻击的方法 |
| CN101980489A (zh) * | 2010-10-28 | 2011-02-23 | 中兴通讯股份有限公司 | 一种防止协议报文攻击cpu的保护方法及系统 |
| US9191296B2 (en) | 2011-02-24 | 2015-11-17 | International Business Machines Corporation | Network event management |
| US9239988B2 (en) | 2011-02-24 | 2016-01-19 | International Business Machines Corporation | Network event management |
| CN103392176A (zh) * | 2011-02-24 | 2013-11-13 | 国际商业机器公司 | 网络事件管理 |
| CN102655493A (zh) * | 2011-03-01 | 2012-09-05 | 国基电子(上海)有限公司 | 用户端设备及其防止攻击的方法 |
| CN102299850A (zh) * | 2011-08-29 | 2011-12-28 | 中兴通讯股份有限公司 | 保护cpu的方法和装置 |
| CN102355422B (zh) * | 2011-10-17 | 2014-07-23 | 苏州迈科网络安全技术股份有限公司 | 多核并行无锁的qos流量控制方法 |
| CN102355422A (zh) * | 2011-10-17 | 2012-02-15 | 苏州迈科网络安全技术股份有限公司 | 多核并行无锁的qos流量控制方法 |
| CN103441946A (zh) * | 2013-09-05 | 2013-12-11 | 上海斐讯数据通信技术有限公司 | 保护cpu的大流量攻击识别方法及装置 |
| CN104702560A (zh) * | 2013-12-04 | 2015-06-10 | 华为技术有限公司 | 一种防止报文攻击方法及装置 |
| WO2015161552A1 (zh) * | 2014-04-21 | 2015-10-29 | 中兴通讯股份有限公司 | 基于令牌桶的流量监管方法及装置 |
| CN105024932A (zh) * | 2014-04-21 | 2015-11-04 | 中兴通讯股份有限公司 | 基于令牌桶的流量监管方法及装置 |
| CN104038494A (zh) * | 2014-06-11 | 2014-09-10 | 普联技术有限公司 | 一种记录攻击来源的方法及交换机 |
| CN104283643A (zh) * | 2014-10-24 | 2015-01-14 | 杭州华三通信技术有限公司 | 报文限速方法和装置 |
| CN104283643B (zh) * | 2014-10-24 | 2018-06-12 | 新华三技术有限公司 | 报文限速方法和装置 |
| CN108028828A (zh) * | 2015-08-29 | 2018-05-11 | 华为技术有限公司 | 一种分布式拒绝服务DDoS攻击检测方法及相关设备 |
| CN108028828B (zh) * | 2015-08-29 | 2020-10-27 | 华为技术有限公司 | 一种分布式拒绝服务DDoS攻击检测方法及相关设备 |
| CN105357184A (zh) * | 2015-10-08 | 2016-02-24 | 上海斐讯数据通信技术有限公司 | 一种交换机cpu的二级保护方法 |
| CN105516174A (zh) * | 2015-12-25 | 2016-04-20 | 北京奇虎科技有限公司 | 网络攻击追踪显示系统和方法 |
| CN107241304A (zh) * | 2016-03-29 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 一种DDos攻击的检测方法及装置 |
| CN107241304B (zh) * | 2016-03-29 | 2021-02-02 | 阿里巴巴集团控股有限公司 | 一种DDoS攻击的检测方法及装置 |
| CN106060045B (zh) * | 2016-05-31 | 2019-12-06 | 东北大学 | 面向带宽消耗型攻击的过滤位置选择方法 |
| CN106060045A (zh) * | 2016-05-31 | 2016-10-26 | 东北大学 | 面向带宽消耗型攻击的过滤位置选择方法 |
| CN107690004A (zh) * | 2016-08-04 | 2018-02-13 | 中兴通讯股份有限公司 | 地址解析协议报文的处理方法及装置 |
| CN106131083A (zh) * | 2016-08-30 | 2016-11-16 | 迈普通信技术股份有限公司 | 一种攻击报文检测和防范的方法及交换机 |
| CN106330962B (zh) * | 2016-09-30 | 2019-04-12 | 中国联合网络通信集团有限公司 | 一种流量清洗管理方法及装置 |
| CN106330962A (zh) * | 2016-09-30 | 2017-01-11 | 中国联合网络通信集团有限公司 | 一种流量清洗管理方法及装置 |
| CN108737150B (zh) * | 2017-09-28 | 2019-07-05 | 新华三信息安全技术有限公司 | 承诺访问速率管理方法、业务板及主控板 |
| CN108737150A (zh) * | 2017-09-28 | 2018-11-02 | 新华三信息安全技术有限公司 | 承诺访问速率管理方法、业务板及主控板 |
| CN109587079A (zh) * | 2018-12-14 | 2019-04-05 | 北京物芯科技有限责任公司 | 一种oam业务处理系统和方法 |
| CN109587079B (zh) * | 2018-12-14 | 2020-11-20 | 北京物芯科技有限责任公司 | 一种oam业务处理系统和方法 |
| CN111404866A (zh) * | 2019-01-02 | 2020-07-10 | 中国移动通信有限公司研究院 | 跨域联动防护系统、方法、装置、介质和设备 |
| CN111404866B (zh) * | 2019-01-02 | 2022-09-27 | 中国移动通信有限公司研究院 | 跨域联动防护系统、方法、装置、介质和设备 |
| CN110519302A (zh) * | 2019-09-29 | 2019-11-29 | 锐捷网络股份有限公司 | 一种防报文攻击的方法和装置 |
| CN110830383A (zh) * | 2019-11-27 | 2020-02-21 | 新华三半导体技术有限公司 | 限速控制方法、装置和限速设备 |
| CN111294291A (zh) * | 2020-01-16 | 2020-06-16 | 新华三信息安全技术有限公司 | 一种协议报文的处理方法和装置 |
| IT202100025925A1 (it) | 2021-10-08 | 2023-04-08 | Phoenix ICT | Metodo e sistema anti ddos per la gestione dinamica di una risorsa attiva |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101083563B (zh) | 2010-08-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101083563B (zh) | 一种防分布式拒绝服务攻击的方法及设备 | |
| CN101616129B (zh) | 防网络攻击流量过载保护的方法、装置和系统 | |
| CN101106518B (zh) | 为中央处理器提供负载保护的拒绝服务方法 | |
| US7903548B2 (en) | BFD rate-limiting and automatic session activation | |
| EP1592197B1 (en) | Network amplification attack mitigation | |
| CN100428688C (zh) | 网络攻击的防护方法 | |
| CN109617931B (zh) | 一种SDN控制器的DDoS攻击防御方法及防御系统 | |
| CN109768955B (zh) | 基于软件定义网络防御分布式拒绝服务攻击的系统及方法 | |
| CN101616097B (zh) | 一种网络处理器输出端口队列的管理方法及系统 | |
| CN101465855B (zh) | 一种同步泛洪攻击的过滤方法及系统 | |
| WO2012090355A1 (en) | Communication system, forwarding node, received packet process method, and program | |
| CN101547187B (zh) | 宽带接入设备的网络攻击防护方法 | |
| CN106161333A (zh) | 基于sdn的ddos攻击防护方法、装置及系统 | |
| KR20110061784A (ko) | 네트워크 공격 방어 장치 및 방법, 이를 포함한 패킷 송수신 처리 장치 및 방법 | |
| CN100574249C (zh) | 虚拟路由器冗余协议报文传输方法及装置 | |
| EP2073457A1 (en) | A method and apparatus for preventing igmp message attack | |
| CN108028828B (zh) | 一种分布式拒绝服务DDoS攻击检测方法及相关设备 | |
| CN111294291A (zh) | 一种协议报文的处理方法和装置 | |
| CN102223269B (zh) | 一种报文处理方法、mac地址漂移的检测方法及装置 | |
| CN101883054B (zh) | 组播报文处理方法、装置和设备 | |
| JP4022017B2 (ja) | Lan中継装置 | |
| CN101355567B (zh) | 一种对交换路由设备中央处理器进行安全保护的方法 | |
| CN101771575B (zh) | 一种处理ip分片报文的方法、装置及系统 | |
| CN100479419C (zh) | 防止拒绝服务型攻击的方法 | |
| CN101582880A (zh) | 一种基于被审计对象的报文过滤方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address |