CN101299765A - 抵御ddos攻击的方法 - Google Patents
抵御ddos攻击的方法 Download PDFInfo
- Publication number
- CN101299765A CN101299765A CNA2008101271202A CN200810127120A CN101299765A CN 101299765 A CN101299765 A CN 101299765A CN A2008101271202 A CNA2008101271202 A CN A2008101271202A CN 200810127120 A CN200810127120 A CN 200810127120A CN 101299765 A CN101299765 A CN 101299765A
- Authority
- CN
- China
- Prior art keywords
- port
- ddos
- threshold value
- attack
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种抵御DDOS攻击的方法,包括以下步骤:初始节点判断受到DDOS攻击及其攻击类型;初始节点对其每个处于活动状态的端口设置攻击类型及其阈值;初始节点检测防御DDOS攻击的程度;初始节点向检测认为受到DDOS攻击的端口所连接的节点通知受到DDOS攻击的端口的攻击类型、阈值和初始节点的地址。本发明能够显著减轻协议型DDOS攻击给通信系统带来的损失。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种用来有效抵御DDOS攻击的方法。
背景技术
DDOS(Distributed Denial of Service,分布式拒绝服务)攻击是根据DOS(Denial of Service,拒绝服务)攻击进化出来的一种攻击方法。
DDOS攻击一般被分为三个阶段:
第一阶段是目标确认:黑客一般会入侵因特网上的大量计算机机,植入病毒,使之成为黑客的傀儡机。当傀儡机数量到达一定范围后,就成为了黑客攻击的重要工具了。一般称为“僵尸网络”。
第二阶段是准备阶段:黑客会在网络上锁定一个IP地址。这个被黑客锁定的IP地址可能就是某个企业的Web服务器,DNS(Domain Name Server,域名服务器),或者是某台骨干网路由器的地址。
第三阶段是攻击阶段:黑客将攻击命令发送给所有在“僵尸网络”中的计算机,命令这些计算机不断地向攻击目标发送大量的数据包。使目标设备无法及时处理这些报文,造成设备上的处理进程一直被这些垃圾信息占据。最后可能导致设备瘫痪,甚至整个网络的瘫痪。
DDOS攻击主要的攻击种类可以分为两种,一种是基于流的攻击,一种是基于协议本身漏洞的攻击。
基于流的攻击一般是黑客通过向网络设备发送大量的流,企图用大量的垃圾信息堵死网络通道。但是随着设备的不断更新,网络带宽的不断增加,这种基于流的攻击的可能性变得越来越少。
基于协议的攻击是目前黑客攻击的一种主要方法。如果一个系统在一分钟之内只能处理完成1000个协议报文,但是黑客却向该设备每秒中发出2000个协议报文或者更多的时候,这时候合法用户的请求无法得到响应。因为处理该协议报文的消息队列已经被黑客的攻击报文所占满了,继续攻击甚至可以导致网络设备的瘫痪。例如TCP全连接攻击就是一种基于协议的攻击,该攻击方法可以侵占大量的消息队列导致正常用户无法得到正常的连接。例如著名的SYNflood攻击,该攻击以随机源主机地址向目的设备发送TCP-SYN包,而在收到目的主机的SYN ACK后并不做出回应。这样,目的设备就需要为这些伪造的源主机建立大量的消息队列,而且在超时之前会一直维护这些没有收到ACK回复的队列,因此该目的设备便无法正常处理正常用户发出的请求。
在实现本发明过程中,发明人发现现有技术的通信系统在受到基于协议的DDOS攻击时,性能将严重下降,甚至可能导致瘫痪。
发明内容
本发明旨在提供一种抵御DDOS攻击的方法,以解决上述协议型DDOS攻击给通信系统带来重大损失的问题。
在本发明的实施例中,提供了一种抵御DDOS攻击的方法,包括以下步骤:初始节点判断受到DDOS攻击及其攻击类型;初始节点对其每个处于活动状态的端口设置攻击类型及其阈值;初始节点检测防御DDOS攻击的程度;初始节点向检测认为受到DDOS攻击的端口所连接的节点通知受到DDOS攻击的端口的攻击类型、阈值和初始节点的地址。
优选的,初始节点判断受到DDOS攻击及其攻击类型具体包括:初始节点检测到在预定时间内,其特定协议消息队列中的队列个数一直为其处理能力极限值;初始节点确定其受到DDOS攻击,攻击类型是特定协议。
优选的,初始节点对其每个处于活动状态的端口设置攻击类型及其阈值具体包括:初始节点根据自己处理攻击类型所指示的特定协议的消息队列的能力,设置初始节点的设备阈值;初始节点根据设备阈值以及其每个处于活动状态的端口的优先级,带宽,和或人工配制情况,设置每个处于活动状态的端口的阈值。
优选的,初始节点检测防御DDOS攻击的程度具体包括:初始节点判断DDOS攻击是否降低超过预定程度;如果是,则认为被设置阈值的端口中丢包率超过预定值的端口为可疑攻击端口;如果否,则认为所有被设置阈值的端口为可疑攻击端口。
优选的,初始节点向检测认为受到DDOS攻击的端口所连接的节点通知受到DDOS攻击的端口的攻击类型、阈值和初始节点的地址具体包括:初始节点向可疑攻击端口所连接的节点发送可疑攻击端口被设置的攻击类型、阈值和初始节点的地址。
优选的,还包括:所连接的节点根据收到的阈值对其每个处于活动状态的端口设置阈值;所连接的节点检测防御DDOS攻击的程度;所连接的节点向检测认为受到DDOS攻击的端口所连接的节点通知受到DDOS攻击的端口的攻击类型、阈值和初始节点的地址。
优选的,所连接的节点根据收到的阈值对其每个处于活动状态的端口设置阈值具体包括:所连接的节点检测所收到消息中的地址是否是自己的地址;若是,则放弃所接收的阈值;否则,检测是否已经接收过所收到的相同攻击类型的地址;若是,则用所接收的阈值替换以前接收过的对应阈值;否则,将所接收的攻击类型、阈值和地址作为一条新的信息予以保存。
优选的,所连接的节点根据收到的阈值对其每个处于活动状态的端口设置阈值还包括:将记录的所有阈值相加得到自己的设备阈值;所连接的节点根据自己的设备阈值以及其每个处于活动状态的端口的优先级,带宽,和或人工配制情况,设置每个处于活动状态的端口的阈值。
优选的,所连接的节点检测防御DDOS攻击的程度具体包括:所连接的节点判断DDOS攻击是否降低超过预定程度;如果是,则认为被设置阈值的端口中丢包率超过预定值的端口为可疑攻击端口;如果否,则认为所有被设置阈值的端口为可疑攻击端口。
优选的,所连接的节点向检测认为受到DDOS攻击的端口所连接的节点通知受到DDOS攻击的端口的攻击类型、阈值和初始节点的地址具体包括:所连接的节点向可疑攻击端口所连接的节点发送可疑攻击端口被设置的攻击类型、阈值和初始节点的地址。
上述实施例的抵御DDOS攻击的方法因为对端口的通信实施阈值监控,进行危害最小化设计,所以克服了协议型DDOS攻击给通信系统带来重大损失的问题,能够显著减轻协议型DDOS攻击给通信系统带来的损失。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1示出了根据本发明实施例的抵御DDOS攻击的方法流程图;
图2示出了根据本发明优选实施例的防御DDOS攻击流程图;
图3示出了根据本发明优选实施例的网络场景。
具体实施方式
下面将参考附图并结合实施例,来详细说明本发明。
图1示出了根据本发明实施例的抵御DDOS攻击的方法流程图,包括以下步骤:
步骤S10,初始节点判断受到DDOS攻击及其攻击类型;
步骤S20,初始节点对其每个处于活动状态的端口设置攻击类型及其阈值;
步骤S30,初始节点检测防御DDOS攻击的程度;
步骤S40,初始节点向检测认为受到DDOS攻击的端口所连接的节点通知受到DDOS攻击的端口的攻击类型,阈值和初始节点(即被攻击设备)的地址;
该方法因为对端口的通信实施阈值监控,进行危害最小化设计,并且还可以将防御下发,所以克服了协议型DDOS攻击给通信系统带来重大损失的问题,能够显著减轻协议型DDOS攻击给通信系统带来的损失。
优选的,步骤S10具体包括:初始节点检测到在预定时间内,其特定协议消息队列中的队列个数一直为其处理能力极限值;初始节点确定其受到DDOS攻击,攻击类型是特定协议。
优选的,步骤S20具体包括:初始节点根据自己处理攻击类型所指示的特定协议的消息队列的能力,设置初始节点的设备针对该种类型协议的阈值;初始节点根据设备阈值以及其每个处于活动状态的端口的优先级,带宽,和或人工配制情况,设置每个处于活动状态的端口的针对该种类型协议的阈值。
优选的,步骤S30具体包括:初始节点判断DDOS攻击是否降低超过预定程度;如果是,则认为被设置阈值的端口中丢包率超过预定值的端口为可疑攻击端口;如果否,则认为所有被设置阈值的端口为可疑攻击端口。
优选的,步骤S40具体包括:初始节点向可疑攻击端口所连接的节点发送可疑攻击端口被设置的阈值和被攻击设备的地址。
优选的,还包括:所连接的节点根据收到的阈值对其每个处于活动状态的端口设置阈值;所连接的节点检测防御DDOS攻击的程度;所连接的节点向检测认为受到DDOS攻击的端口所连接的节点通知受到DDOS攻击的端口的攻击类型、阈值和地址。这实现了防御在整个网络中的散发。
优选的,所连接的节点根据收到的阈值对其每个处于活动状态的端口设置阈值具体包括:所连接的节点检测所收到的地址是否是自己的地址;若是,则放弃所接收的阈值;否则,检测是否已经接收过所收到的地址;若是,则用所接收的阈值替换以前接收过的对应阈值;否则,将所接收的攻击类型、阈值和地址作为一条新的信息予以保存。
优选的,所连接的节点根据收到的阈值对其每个处于活动状态的端口设置阈值还包括:将记录的所有阈值相加得到自己的设备阈值;所连接的节点根据自己的设备阈值以及其每个处于活动状态的端口的优先级,带宽,和或人工配制情况,设置每个处于活动状态的端口的阈值。
优选的,所连接的节点检测防御DDOS攻击的程度具体包括:所连接的节点判断DDOS攻击是否降低超过预定程度;如果是,则认为被设置阈值的端口中丢包率超过预定值的端口为可疑攻击端口;如果否,则认为所有被设置阈值的端口为可疑攻击端口。
优选的,所连接的节点向检测认为受到DDOS攻击的端口所连接的节点通知受到DDOS攻击的端口的阈值具体包括:所连接的节点向可疑攻击端口所连接的节点发送可疑攻击端口被设置的阈值。
优选的,网络设备支持扩展ACL和QoS。例如,可以如下设置:
access-list 100 permit tcp any 1.1.1.1 0.0.0.0
class-map match-all DDOS-tcp-class
match access-group 100
policy-map DDOS-tcp-QoS-class
class DDOS-tcp-class
police 8000 10000 10000 conform-action transmitexceed-action drop
其中access-list 100 permit tcp any 1.1.1.1 0.0.0.0中1.1.1.1表示被攻击设备的IP地址。后面用DOS-IP代替。access-list 100 permittcp any DOS-IP 0.0.0.0
引入DDOS-QoS数据库,包含端口,被攻击设备IP,QoS策略,攻击协议号,优先级,手工加权值等信息。其中X为判断的攻击协议类型,如TCP,UDP等。
判断攻击类型的具体方法如下:
设置进程队列告警,当某一种进程长时间处于满队列状态,那么就告警认为该进程处理的协议可能被攻击了。
DDOS-QoS-X是设备对于DDOS攻击的一种策略,该值的初始值为被攻击设备生成,数值为被攻击设备的协议队列极限值。当设备收到一个携带这P-DDOS-QoS-X的值后,便会把该值存入DDOS-QoS数据库。
P-DDOS-QoS-X:为基于端口的DDOS-QoS-X。计算公式为:
当该端口被设置为手动加权后:
P_DDOS_QoS_X=X*N%(N>=1)(N为端口的手工加权值,X为DDOS-QoS-X的值)
当该端口没有被设置为手动加权:
P_DDOS_QoS_X=(100-N)*X/(P_number-P_N_number)
(N为端口的手工加权值,P_number为总的活动端口数,P_N_number为总的加权端口数,X为DDOS-QoS-X的值)
设备会从端口向对端设备发送带有P_DDOS_QoS_X信息参数的数据报文。
所介绍的DDOS_QoS_X所需包含的参数除了QoS参数值还包括被攻击设备IP(DOS-IP),被攻攻击的协议类型等。为了方便这些信息在该发明中一起被称为DDOS_QoS_X信息。
具体的报文传递实现可以利用UDP,TCP等协议进行,传递的参数有:1,被攻击设备的IP地址;(让所有接受到该信息的设备都知道是哪一台设备被攻击了,以便使这些设备知道从现在开始,再往该IP地址转发报文的时候就应该注意对这些报文进行策略限制了。)
2,攻击类型;(让设备知道将对哪些类型的协议进行策略限制)
3,P_DDOS_QoS_X的值;(让设备知道是一个什么样的QoS策略)
根据以上程序设计,图2示出了根据本发明优选实施例的防御DDOS攻击流程图,包括以下步骤:
步骤1,判断设备受到DDOS攻击;
步骤2,判断攻击协议类型;
步骤3,将该协议极限值设置为存入DDOS-QoS数据库;
步骤4,计算每一个处于活动状态的端口应有的P-DDOS-QoS-X值;如果该DDOS-Qos-X值是通过其他设备下发的,则接受该信息的端口不参加计算,也不会被认为是可疑攻击端口。
步骤5,将P-DDOS-QoS-X赋值给相应端口;
步骤6,检测防御攻击程度;
步骤7,判断是否攻击程度明显降低;
步骤8,若受攻击程度明显降低,则认为下发P-DDOS-QoS-X后,丢包率明显较高的端口为可疑攻击端口;
步骤9,若攻击程度没有明显降低,则认为所有端口都为可疑攻击端口;
步骤10,将可疑攻击端口上的P-DDOS-QoS-X发送到对端设备上去;
步骤11,一个端口收到了一个P-DDOS-QoS-X信息;
步骤12,检测该信息包含的被攻击设备的IP地址是否是自己设备的IP地址;
步骤13,若是,则不处理;
步骤14,然后判断是否数据库中已经存在一个从该端口接受到的P-DDOS-QoS-X的信息;
步骤15,如果有的话,则用新的信息覆盖之前旧的信息;
步骤16,如果没有的话,则在数据库中添加一条新的P-DDOS-QOS-X信息;
步骤17,如果数据库中存在从其他的端口收到的P-DDOS-QoS-X信息,则将所有的P-DDOS-QoS-X的值相加后再赋值给DDOS-QoS-X;
步骤18,当接收设备将接收到的P-DDOS-QoS-X成功计算并保存到数据库后,接受设备将会发送一个应答确认消息给发送设备;
当一台设备收到了一个关于P-DDOS-QoS-X的应答确认消息的时候,将会在DDOS-QoS数据库把发送该消息的设备进行标记;
然后重复步骤4-10。
利用以上的步骤,便可以自动计算并下发QoS到底层的网络设备上去。对被攻击设备进行策略控制,将所有以被攻击设备IP为目的地址的该类型的网络报文进行策略控制。
如图2的网络环境中,设备R1遭到了DDOS攻击,例如TCP-DDOS攻击,现在假设R1每秒最多可以处理的TCP连接的个数是X,那个我们设R1-DDOS-TCP=X,意思为,当设备R1在一个计时器时间内,TCP消息队列中的队列个数一直为X的时候,我们就认为设备很有可能已经遭遇到DDOS攻击的了。
设备R1(即被攻击设备)将在其所有处于连接状态的通讯接口上启动DDOS-QoS-TCP,用来对发到该被攻击设备上的TCP进行限制,保证所有DDOS-QoS-TCP的总和为X。具体会根据各个接口的优先级,带宽,和人工配制进行比例分配。假设R1上面的port 1/1,port 1/2,port 1/3这三个端口的带宽相同,优先级相同,但是port 1/3上人工声明了P-DDOS-QoS-TCP 30,意思是在下发关于TCP的P-DDOS-QoS的时候,port 1/3端口分配的P-DDOS-QoS-TCP的额度是0.3X,即X的30%。剩下的port 1/1和port 1/2将平分剩下的0.7X。
这时候,可能会出现两种情况。第一种情况,在启动P-DDOS-QoS-TCP后,设备处理的TCP连接明显小于X了。这时候,将检测所有启动P-DDOS-QoS-TCP的接口上的TCP丢包率。将存在大量丢包的端口设为DDOS攻击端口。第二种情况,在启动P-DDOS-QoS-TCP后,设备处理的TCP的消息队列与之前相比没有明显变化。此时设备便会认为所有端口都是DDOS攻击端口。
设备R1从所有的DDOS可疑攻击端口上,把该端口的DDOS-QoS-TCP发送给与其端口相连接的网络设备。假设R1的port1/1和port 1/2为可疑端口。则R1会分别从port 1/1发布该接口DDOS-QoS-TCP的值P_DDOS_QoS_X=(100-N)*X/(P_number-P_N_number)给R2,从port 1/2发布该接口DDOS-QoS-TCP的值P_DDOS_QoS_X给R3。
当设备R2收到了R1上port 1/1端口发过来的DDOS-QoS-TCP值的时候,便知道了R1需要R2限制通过R2转发到目的地址是R1的TCP连接的每秒个数。个数为P_DDOS_QoS_X。
设备R2在将收到的P_DDOS_QoS_X的值存入数据库的时候便会发布一个应答确认信息给设备R1。告知设备R1自己已经成功初始化数据了。R1设备也将在数据库中对R2设备进行标记。
然后依照之前的方法对该设备R2上相关的接口进行DDOS-QoS-TCP的下发。如此循环下去,根据TCP报文的丢失情况,便很容易确定黑客攻击的路径,并且有效、快速的抑制攻击,将受影响的程度降到最低。使绝大部分正常用户受到攻击的影响。
当一台设备从一个端口收到了一个DDOS-QoS-TCP下发命令的时候,将不会把这个端口加入到计算P-DDOS-QoS-TCP的端口中去,并且不会将通过此计算得到的P-DDOS-Qos-TCP从该端口下发。
当一台设备从另一个端口收到了另一个DDOS-QoS-TCP下发命令的时候,会将该值与原有的值进行相加,并再次从没有收到过DDOS-QoS-TCP的端口下发。
重复上面的步骤。这样便可以自动并有效地控制住DDOS的攻击端口,而且对正常使用的,且未被攻击的端口影响很小。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种抵御DDOS攻击的方法,其特征在于,包括以下步骤:
初始节点判断受到DDOS攻击及其攻击类型;
所述初始节点对其每个处于活动状态的端口设置所述攻击类型及其阈值;
所述初始节点检测防御DDOS攻击的程度;
所述初始节点向检测认为受到DDOS攻击的端口所连接的节点通知所述受到DDOS攻击的端口的攻击类型、阈值和所述初始节点的地址。
2.根据权利要求1所述的方法,其特征在于,初始节点判断受到DDOS攻击及其攻击类型具体包括:
所述初始节点检测到在预定时间内,其特定协议消息队列中的队列个数一直为其处理能力极限值;
所述初始节点确定其受到DDOS攻击,攻击类型是所述特定协议。
3.根据权利要求1所述的方法,其特征在于,所述初始节点对其每个处于活动状态的端口设置所述攻击类型及其阈值具体包括:
所述初始节点根据自己处理所述攻击类型所指示的特定协议的消息队列的能力,设置所述初始节点的设备阈值;
所述初始节点根据所述设备阈值以及其每个处于活动状态的端口的优先级,带宽,和或人工配制情况,设置每个处于活动状态的端口的阈值。
4.根据权利要求1所述的方法,其特征在于,所述初始节点检测防御DDOS攻击的程度具体包括:
所述初始节点判断DDOS攻击是否降低超过预定程度;
如果是,则认为被设置所述阈值的端口中丢包率超过预定值的端口为可疑攻击端口;
如果否,则认为所有被设置所述阈值的端口为可疑攻击端口。
5.根据权利要求4所述的方法,其特征在于,所述初始节点向检测认为受到DDOS攻击的端口所连接的节点通知所述受到DDOS攻击的端口的攻击类型、阈值和所述初始节点的地址具体包括:
所述初始节点向所述可疑攻击端口所连接的节点发送所述可疑攻击端口被设置的攻击类型、阈值和所述初始节点的地址。
6.根据权利要求1所述的方法,其特征在于,还包括:
所连接的节点根据收到的阈值对其每个处于活动状态的端口设置阈值;
所连接的节点检测防御DDOS攻击的程度;
所连接的节点向检测认为受到DDOS攻击的端口所连接的节点通知所述受到DDOS攻击的端口的攻击类型、阈值和所述初始节点的地址。
7.根据权利要求6所述的方法,其特征在于,所连接的节点根据收到的阈值对其每个处于活动状态的端口设置阈值具体包括:
所连接的节点检测所收到消息中的地址是否是自己的地址;
若是,则放弃所接收的阈值;
否则,检测是否已经接收过所收到的相同攻击类型的地址;
若是,则用所接收的阈值替换以前接收过的对应阈值;
否则,将所接收的攻击类型、阈值和地址作为一条新的信息予以保存。
8.根据权利要求7所述的方法,其特征在于,所连接的节点根据收到的阈值对其每个处于活动状态的端口设置阈值还包括:
将记录的所有阈值相加得到自己的设备阈值;
所连接的节点根据自己的设备阈值以及其每个处于活动状态的端口的优先级,带宽,和或人工配制情况,设置每个处于活动状态的端口的阈值。
9.根据权利要求6所述的方法,其特征在于,所连接的节点检测防御DDOS攻击的程度具体包括:
所连接的节点判断DDOS攻击是否降低超过预定程度;
如果是,则认为被设置所述阈值的端口中丢包率超过预定值的端口为可疑攻击端口;
如果否,则认为所有被设置所述阈值的端口为可疑攻击端口。
10.根据权利要求9所述的方法,其特征在于,所连接的节点向检测认为受到DDOS攻击的端口所连接的节点通知所述受到DDOS攻击的端口的攻击类型、阈值和所述初始节点的地址具体包括:
所连接的节点向所述可疑攻击端口所连接的节点发送所述可疑攻击端口被设置的攻击类型、阈值和所述初始节点的地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101271202A CN101299765B (zh) | 2008-06-19 | 2008-06-19 | 抵御ddos攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101271202A CN101299765B (zh) | 2008-06-19 | 2008-06-19 | 抵御ddos攻击的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101299765A true CN101299765A (zh) | 2008-11-05 |
| CN101299765B CN101299765B (zh) | 2012-02-08 |
Family
ID=40079444
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101271202A Active CN101299765B (zh) | 2008-06-19 | 2008-06-19 | 抵御ddos攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101299765B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102752304A (zh) * | 2012-07-06 | 2012-10-24 | 汉柏科技有限公司 | 防止半连接攻击的方法及系统 |
| CN104468636A (zh) * | 2015-01-09 | 2015-03-25 | 李忠 | DDoS威胁过滤与链路重配的SDN架构及工作方法 |
| CN104519049A (zh) * | 2013-09-30 | 2015-04-15 | 瞻博网络公司 | 通过增加客户端资源需求来限制拒绝服务攻击的效力 |
| CN105871773A (zh) * | 2015-01-18 | 2016-08-17 | 吴正明 | 一种基于SDN网络架构的DDoS过滤方法 |
| CN107241304A (zh) * | 2016-03-29 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 一种DDos攻击的检测方法及装置 |
| CN115051830A (zh) * | 2022-04-29 | 2022-09-13 | 国网浙江省电力有限公司宁波供电公司 | 一种电力靶场隐患数据安全监控系统及方法 |
| CN116760641A (zh) * | 2023-08-18 | 2023-09-15 | 中国电子信息产业集团有限公司第六研究所 | 一种卫星安全通信监测方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7028179B2 (en) * | 2001-07-03 | 2006-04-11 | Intel Corporation | Apparatus and method for secure, automated response to distributed denial of service attacks |
| US7363513B2 (en) * | 2004-04-15 | 2008-04-22 | International Business Machines Corporation | Server denial of service shield |
| US8423645B2 (en) * | 2004-09-14 | 2013-04-16 | International Business Machines Corporation | Detection of grid participation in a DDoS attack |
| EP1926277A1 (en) * | 2006-11-24 | 2008-05-28 | Matsushita Electric Industrial Co., Ltd. | Method for mitigating denial of service attacks against a home agent |
| CN101060531B (zh) * | 2007-05-17 | 2010-10-13 | 华为技术有限公司 | 网络设备攻击防范的方法和装置 |
| CN101102323B (zh) * | 2007-08-09 | 2011-04-20 | 华为技术有限公司 | 防止dos攻击的方法及设备 |
-
2008
- 2008-06-19 CN CN2008101271202A patent/CN101299765B/zh active Active
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102752304B (zh) * | 2012-07-06 | 2015-11-18 | 汉柏科技有限公司 | 防止半连接攻击的方法及系统 |
| CN102752304A (zh) * | 2012-07-06 | 2012-10-24 | 汉柏科技有限公司 | 防止半连接攻击的方法及系统 |
| US10021132B2 (en) | 2013-09-30 | 2018-07-10 | Juniper Networks, Inc. | Limiting the efficacy of a denial of service attack by increasing client resource demands |
| CN104519049A (zh) * | 2013-09-30 | 2015-04-15 | 瞻博网络公司 | 通过增加客户端资源需求来限制拒绝服务攻击的效力 |
| US9699212B2 (en) | 2013-09-30 | 2017-07-04 | Juniper Networks, Inc. | Limiting the efficacy of a denial of service attack by increasing client resource demands |
| CN104468636A (zh) * | 2015-01-09 | 2015-03-25 | 李忠 | DDoS威胁过滤与链路重配的SDN架构及工作方法 |
| CN105871773A (zh) * | 2015-01-18 | 2016-08-17 | 吴正明 | 一种基于SDN网络架构的DDoS过滤方法 |
| CN107241304A (zh) * | 2016-03-29 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 一种DDos攻击的检测方法及装置 |
| CN107241304B (zh) * | 2016-03-29 | 2021-02-02 | 阿里巴巴集团控股有限公司 | 一种DDoS攻击的检测方法及装置 |
| CN115051830A (zh) * | 2022-04-29 | 2022-09-13 | 国网浙江省电力有限公司宁波供电公司 | 一种电力靶场隐患数据安全监控系统及方法 |
| CN115051830B (zh) * | 2022-04-29 | 2023-12-26 | 国网浙江省电力有限公司宁波供电公司 | 一种电力靶场隐患数据安全监控系统及方法 |
| CN116760641A (zh) * | 2023-08-18 | 2023-09-15 | 中国电子信息产业集团有限公司第六研究所 | 一种卫星安全通信监测方法 |
| CN116760641B (zh) * | 2023-08-18 | 2023-12-15 | 中国电子信息产业集团有限公司第六研究所 | 一种卫星安全通信监测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101299765B (zh) | 2012-02-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101299765B (zh) | 抵御ddos攻击的方法 | |
| US9288218B2 (en) | Securing an accessible computer system | |
| Wang et al. | Mitigating bandwidth-exhaustion attacks using congestion puzzles | |
| KR101217647B1 (ko) | 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치 | |
| Wu et al. | On modeling and simulation of game theory-based defense mechanisms against DoS and DDoS attacks | |
| US8645537B2 (en) | Deep packet scan hacker identification | |
| Gavaskar et al. | Three counter defense mechanism for TCP SYN flooding attacks | |
| Apiecionek et al. | Quality of services method as a DDoS protection tool | |
| CN109005175A (zh) | 网络防护方法、装置、服务器及存储介质 | |
| CN101378395A (zh) | 一种防止拒绝访问攻击的方法及装置 | |
| KR20080026122A (ko) | 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법 | |
| CN109587167A (zh) | 一种报文处理的方法和装置 | |
| EP2081356A1 (en) | Method of and telecommunication apparatus for SIP anomaly detection in IP networks | |
| JP2004302538A (ja) | ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 | |
| CN1906905B (zh) | 拒绝服务攻击防御系统、拒绝服务攻击防御方法 | |
| JP2005073272A (ja) | Tcpステートレス・ホグによるtcpサーバに対する分散サービス妨害攻撃を防御する方法および装置 | |
| CN106487790A (zh) | 一种ack flood攻击的清洗方法及系统 | |
| CN108667829A (zh) | 一种网络攻击的防护方法、装置及存储介质 | |
| JP4694578B2 (ja) | コンピュータネットワークをパケットフラッド(flood)から保護するための方法及びシステム | |
| CN102291378B (zh) | 一种防御DDoS攻击的方法和设备 | |
| Yang et al. | Modeling and mitigating the coremelt attack | |
| CN102164135B (zh) | 前置可重构DDoS攻击防御装置及方法 | |
| You et al. | A distributed defense framework for flooding-based DDoS attacks | |
| Khirwadkar | Defense against network attacks using game theory | |
| WO2007122495A2 (en) | A framework for protecting resource-constrained network devices from denial-of-service attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |