CN101834875B - 防御DDoS攻击的方法、装置和系统 - Google Patents
防御DDoS攻击的方法、装置和系统 Download PDFInfo
- Publication number
- CN101834875B CN101834875B CN2010101847002A CN201010184700A CN101834875B CN 101834875 B CN101834875 B CN 101834875B CN 2010101847002 A CN2010101847002 A CN 2010101847002A CN 201010184700 A CN201010184700 A CN 201010184700A CN 101834875 B CN101834875 B CN 101834875B
- Authority
- CN
- China
- Prior art keywords
- defence
- destination server
- server
- user
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明公开了一种防御DDoS攻击的方法、装置和系统,涉及通信领域,为解决现有技术不能在流量过载时保证合法用户访问受攻击的服务器并且防御设备本身负载高的问题而发明。在本发明实施例中,检测设备向攻击源所在网段的接入设备发送防御消息,所述防御消息包含目标服务器标识;接入设备记录目标服务器标识,并将用户对目标服务器的连接请求转发到代理服务器;代理服务器代替目标服务器与用户进行三次握手连接,并完成用户与目标服务器之间的报文转发。本发明适用于计算机网络。
Description
技术领域
本发明涉及通信领域,尤其涉及一种防御DDoS攻击的方法、装置和系统。
背景技术
现有通过网络对服务器进行远程攻击的方式中有一种为拒绝服务攻击(Denial of Service,简称DoS),攻击者向服务器发送带有虚假地址的请求,服务器发送回复报文到虚假地址,然后服务器一直等待所需的回复报文。拒绝服务攻击会占据服务器过多的资源,从而使合法用户无法得到服务器的响应。由于服务器的处理能力通常较高,利用单个计算机进行DoS攻击往往无法达到预期的效果,因此出现了分布式拒绝服务攻击(Distributed Denial of Service,简称DDoS)。攻击者首先控制大量的傀儡计算机,并将其中一部分傀儡计算机设置为主控端,然后攻击者发送攻击指令给各个主控端,并由主控端将指令发送给所有的傀儡计算机,最后傀儡计算机对指定的服务器进行DoS攻击,从而造成服务器超载或者死机。
为了防御DDoS的攻击,现有防御DDoS攻击的方案主要有两种:
一种为:在靠近服务器的位置部署检测DDoS攻击的设备。当检测设备发现流量过载时,生成一个防御消息并广播给各个靠近用户的防御设备。防御设备收到防御消息后,首先对消息的有效性进行验证,验证通过后,对异常流量进行阻断。
另一种为:在靠近服务器的地方部署一个防御DDoS攻击的设备,由防御设备来代理用户和服务器之间的数据交互过程。如果防御设备和用户之间TCP三次握手能够顺利完成,则认为是合法的连接请求,否则就是无效的连接请求。
在实现上述防御DDoS攻击的过程中,发明人发现现有技术中至少存在如下问题:第一种防御方案中,防御设备直接阻断部分流量,会造成合法用户无法访问受攻击的服务器。第二种防御方案中,当DDoS攻击的流量很大时,会有大量的连接请求需要防御设备处理,此时防御设备本身会发生超载或者死机。
发明内容
本发明的实施例提供一种防御DDoS攻击的方法、装置、系统,能够在流量过载时保证合法用户访问受攻击的服务器并且降低防御设备本身的负载。
为达到上述目的,本发明的实施例采用如下技术方案:
一种防御DDoS攻击的方法,包括:
接收用户访问目标服务器的连接请求;
判断防御表中是否保存有所述连接请求中携带的目标服务器的标识;
当防御表中保存有所述连接请求中携带的目标服务器的标识时,将所述连接请求转发到代理服务器,以使所述代理服务器代替目标服务器与用户进行三次握手连接,并使所述代理服务器在与所述用户建立连接成功后,代理所述用户与目标服务器进行报文交互。
一种防御DDoS攻击的方法,包括:
接收接入设备根据防御表转发的用户针对目标服务器的连接请求;
与所述用户进行三次握手连接;
在与用户三次握手连接成功后,与目标服务器进行三次握手连接;
在与目标服务器三次握手连接成功后,转发用户与目标服务器之间的报文。
一种接入设备,包括:
防御消息接收模块,用于接收来自检测设备的防御消息,将防御消息中的目标服务器标识添加到防御表中;
连接请求转发模块,用于将用户对防御表中目标服务器的连接请求转发到代理服务器,以使代理服务器代替目标服务器与用户进行三次握手连接。
一种代理服务器,包括:
连接请求接收模块,用于接收接入设备根据防御表转发的用户针对目标服务器的连接请求;
用户连接模块,用于与所述用户进行三次握手连接;
目标服务器连接模块,用于在与用户三次握手连接成功后,与目标服务器进行三次握手连接;
报文转发模块,用于在与目标服务器三次握手连接成功后,转发用户与目标服务器之间的报文。
一种防御DDoS攻击的系统,包括:
检测设备,用于向攻击源所在网段的接入设备发送防御消息,所述防御消息包含目标服务器标识;
接入设备,用于记录目标服务器标识,并将用户对目标服务器的连接请求转发到代理服务器;
代理服务器,用于代替目标服务器与用户三次握手连接,并完成用户与目标服务器之间的报文转发。
本发明实施例提供的防御DDoS攻击的方法、装置和系统,在目标服务器受到攻击时,只针对攻击源所在网段,通过代理服务器进行与用户之间的握手连接,能够在流量过载时保证合法用户访问受攻击的服务器并且降低接入设备本身的负载。
附图说明
图1为本发明防御DDoS攻击的方法的一个实施例的流程图。
图2为本发明防御DDoS攻击的方法的另一个实施例的流程图。
图3为本发明防御DDoS攻击的方法的另一个实施例的流程图。
图4为本发明防御DDoS攻击的方法的另一个完整实施例的流程图。
图5为本发明一种检测设备的实施例的结构示意图。
图6为本发明一种接入设备的实施例的结构示意图。
图7为本发明一种代理服务器的实施例的结构示意图。
图8为本发明一种防御DDoS攻击的系统的实施例的结构示意图。
具体实施方式
下面结合附图对本发明实施例的方法、装置、系统进行详细描述。
本发明防御DDoS攻击的方法的一个实施例,应用于检测设备,如图1所示,包括:
S101、在发生针对目标服务器的DDoS攻击时,识别出攻击源所在网段。
用户在访问目标服务器时会发出SYN连接请求,检测设备对这些SYN连接请求进行统计,当单位检测时间内SYN连接请求的数目到达警戒值时,检测设备检测是否发生了DDoS攻击,并识别出攻击源可能所在的网段。如果检测设备检测到某个网段内的用户对目标服务器的连接频率异常增加,则判定发生了针对该目标服务器的DDoS攻击,该网段即为攻击源所在网段。其中,以上提到的单位检测时间、警戒值和对目标服务器的连接频率的具体取值可以由网络管理人员根据经验进行配置。
S102、向攻击源所在网段的接入设备发送防御消息,所述防御消息包含目标服务器的标识,以使所述接入设备对标识对应的目标服务器进行DDoS攻击防御。
所述目标服务器标识可以是目标服务器的IP地址。
正常情况下,用户在访问目标服务器时会发出SYN连接请求,目标服务器在收到用户的SYN连接请求后,与用户进行三次握手连接,如果成功则双方进行通信。而现有的DDoS攻击恰恰利用了这一过程,发送大量虚假的SYN连接请求,造成目标服务器资源耗尽而瘫痪。
本实施例通过检测设备检测是否出现DDoS攻击,在发生DDoS攻击时,以防御消息的形式通知接入设备对目标服务器进行DDoS攻击防御,相比现有技术的第二种防御方式,无需接入设备一直处于防御状态,节省了接入设备资源,减少了由于大量连接请求需要处理而造成的接入设备超载或者死机。另外,本实施例只向攻击源所在网段的接入设备发送防御消息,进一步降低了全网络中对接入设备资源的消耗。
本发明防御DDoS攻击的方法的另一个实施例,应用于接入设备,如图2所示,包括:
S201、接收来自检测设备的防御消息,该防御消息中携带目标服务器的标识,将防御消息中的目标服务器的标识添加到防御表中。
接入设备自身保存一个防御表,用来记录遭到攻击的目标服务器的标识,所述遭到攻击的目标服务器的标识由检测设备通过防御消息发送。
S202、将用户对防御表中目标服务器的连接请求转发到代理服务器,以使代理服务器代替目标服务器与用户进行三次握手连接。
接入设备接收来自用户的连接请求,判断防御表中是否保存有所述连接请求中携带的目标服务器的标识,当防御表中保存有所述连接请求中携带的目标服务器的标识时,接入设备将该连接请求转发给代理服务器,由代理服务器与用户进行三次握手连接;如果所述防御表中没有保存所述连接请求中携带的目标服务器的标识,按正常流程将用户的连接请求转发给目标服务器。
其中,目标服务器的标识可以是目标服务器的IP地址。
上述步骤S201和S202之间并没有执行上的先后顺序。
本实施例在接入设备内设置防御表,只将针对防御表中目标服务器的链接请求转发给代理服务器,不会对其他正常的连接请求造成影响。
本发明防御DDoS攻击的方法的另一个实施例,应用于代理服务器,如图3所示,包括:
S301、接收接入设备根据防御表转发的用户针对目标服务器的连接请求。
S302、与所述用户进行三次握手连接。
用户针对目标服务器的SYN连接请求中包含目标服务器的标识,可以是目标服务器的IP地址,代理服务器接收接入设备转发的用户针对目标服务器的SYN连接请求后,代替目标服务器向用户发送SYN+ACK报文,并用目标服务器的地址代替代理服务器的IP地址,作为源地址载入发送的SYN+ACK报文。之后,代理服务器等待用户返回的ACK回复报文,如果代理服务器收到ACK回复报文,三次握手连接成功,进入步骤303;如果代理服务器未收到ACK回复报文,三次握手连接失败,流程终止。
S303、在与用户三次握手连接成功后,与目标服务器进行三次握手连接。
如果代理服务器收到用户的ACK回复报文,判定三次握手连接成功,用户为合法用户,代理服务器向目标服务器发送SYN连接请求,接收目标服务器返回的SYN+ACK报文,然后向目标服务器发送ACK回复报文,完成三次握手。
S304、在与目标服务器三次握手连接成功后,转发用户与目标服务器之间的报文。
用户与目标服务器的报文传输经过代理服务器中转,即用户发送给目标服务器的报文由代理服务器转发给目标服务器;目标服务器发送给用户的报文由代理服务器转发给用户。
本实施例通过代理服务器代替目标服务器与用户进行三次握手连接,降低了目标服务器受到攻击的风险,提高了系统安全性。
本发明防御DDoS攻击的方法的另一个完整实施例,如图4所示,包括:
S401、检测设备在发生针对目标服务器的DDoS攻击时,识别出攻击源所在网段。
比如,一个恶意访客通过计算机网吧Y中的一台电脑作为攻击终端,以用户X的身份向目标服务器A不断发出SYN连接请求(比如每分钟5千次)且不对目标服务器A返回的SYN+ACK报文进行回应,意图大量消耗目标服务器A的系统资源以达到攻击目的。检测设备检测到单位检测时间内(比如5分钟)针对目标服务器A的SYN连接请求的数目非常高(比如5万次),已经超过了警戒值(1万次),检测设备进一步检测哪个网段对目标服务器A的SYN连接请求的频率已经达到常规的认为已经发生DDoS攻击的频率(比如每分钟1千次),这时检测设备检测到计算机网吧Y所在的网段可能发生DDoS攻击(现有检测设备不能直接查出进行DDoS攻击的用户,但是能查到发生DDoS攻击的用户所在网段这一层)。
S402、检测设备向攻击源所在网段的接入设备发送防御消息,所述防御消息包含目标服务器的标识。
检测设备向计算机网吧Y所在的网段的接入设备发送防御消息,所述防御消息包含目标服务器A的标识,该标识可以是IP地址。
S403、接入设备接收来自检测设备的防御消息,将防御消息中的目标服务器的标识添加到防御表中。
具体可以是接入设备将目标服务器A的IP地址存入防御表。
S404、接入设备将用户对防御表中的标识对应的目标服务器的连接请求转发到代理服务器,以使代理服务器代替目标服务器与用户进行三次握手连接。
接入设备将后续计算机网吧Y所在的网段的所有用户访问目标服务器A的SYN连接请求都转发给代理服务器B,由代理服务器B代替目标服务器A与用户进行三次握手连接。本实施例中,接入设备将针对防御表中所有目标服务器的连接请求都转发到同一个代理服务器B,由代理服务器B转发给各目标服务器。实际应用中,接入设备可以根据系统设定或者路由选取规则将用户发送的针对防御表中某一个或某几个目标服务器的连接请求及以后的报文通过两个或两个以上代理服务器分别转发。其中,系统设定或者路由选取规则可以是本领域常用的规则,比如,根据用户访问优先级将不同用户的连接请求和报文转发给不同的代理服务器;或者根据每个目标服务器目前的访问量不同将针对不同目标服务器的连接请求和报文转发给不同的代理服务器。
S405、代理服务器接收接入设备转发的用户针对目标服务器的连接请求。
S406、代理服务器与所述用户进行三次握手连接。
代理服务器B与包括用户X在内的计算机网吧Y所在的网段的访问目标服务器A的各用户逐一进行三次握手。
在握手过程中,代理服务器B以目标服务器A的IP地址作为源地址向各用户返回SYN+ACK报文,并等待用户返回的ACK回复报文。由于用户X是恶意访客,只发出SYN连接请求,不对代理服务器B返回的SYN+ACK报文进行回应,所以代理服务器B与用户X的握手必然不成功,用户X将无法连接到目标服务器,也就避免了用户X对目标服务器的攻击。
S407、在与用户三次握手连接成功后,代理服务器与目标服务器进行三次握手连接。
假设除了X的其它用户都是正常连接,代理服务器B接收接入设备转发的其他用户针对目标服务器A的SYN连接请求后,代替目标服务器A向用户发送SYN+ACK报文,并用目标服务器A的IP地址代替代理服务器B的IP地址,作为源地址载入发送的SYN+ACK报文。之后,如果代理服务器B收到某个用户的ACK回复报文,代理服务器B与该用户的三次握手连接成功。之后,代理服务器B向目标服务器A发送SYN连接请求,接收目标服务器A返回的SYN+ACK报文,然后向目标服务器A发送ACK回复报文,完成三次握手。
S408、代理服务器在与目标服务器三次握手连接成功后,转发用户与目标服务器之间的报文。
转发的具体过程为:用户发送给目标服务器A的报文先发送到接入设备,接入设备在防御表中查找到目标服务器A的标识,并且代理服务器B为目标服务器A的代理服务器,接入设备将用户发送给目标服务器A的报文转发给代理服务器B,代理服务器B将该报文再转发给目标服务器A。之后,目标服务器A发送给用户的报文先通过接入设备发送给代理服务器B,代理服务器B修改报文的目的IP地址为用户的IP地址后,将所述报文发送给接入设备,接入设备将所述报文发送给用户。
S409、代理服务器统计单位时间内用户针对目标服务器的连接请求,如果少于攻击阈值,向接入设备发送防御解除消息,所述防御解除消息包含需要解除DDoS攻击防御的目标服务器的标识。
代理服务器B统计单位时间内(比如10分钟),所有用户针对目标服务器A的连接请求是否少于攻击阈值(比如4万次),向接入设备发送防御解除消息,所述防御解除消息包含目标服务器A的IP地址。其中,攻击阈值为经验值或统计值,可人为设置。
S410、接入设备接收来自代理服务器的防御解除消息。
S411、接入设备根据所述防御解除消息删除防御表中的目标服务器的标识,解除对该标识对应的目标服务器的DDoS攻击防御。
防御解除之后,接入设备将用户发送的SYN连接请求直接发送给目标服务器A,由目标服务器A与用户进行三次握手连接,三次握手连接成功后,用户与目标服务器A之间的报文仅通过接入设备转发。
本实施例通过检测设备检测是否出现DDoS攻击,在发生DDoS攻击时,以防御消息的形式通知攻击源所在网段的接入设备对目标服务器进行DDoS攻击防御。本实施例在接入设备内设置防御表,只针对防御表中的标识对应的目标服务器的连接请求转发给代理服务器,不会对其他正常的连接请求造成影响,防御更加准确,更有针对性。并且,本实施例无需接入设备一直处于防御状态,节省了接入设备资源,减少了由于大量连接请求需要处理而造成的接入设备超载或者死机。另外,本实施例只向攻击源所在网段的接入设备发送防御消息,进一步降低了对全网络中接入设备资源的消耗。本实施例通过代理服务器代替目标服务器与用户进行三次握手连接,降低了目标服务器受到攻击的风险,提高了系统安全性。
对应图1所示的方法实施例,本发明还提供一种检测设备的实施例,如图5所示,包括:
识别模块51,用于在发生针对目标服务器的DDoS攻击时,识别出攻击源所在网段。
防御消息发送模块52,用于向攻击源所在网段的接入设备发送防御消息,所述防御消息包含目标服务器标识,以使所述接入设备对标识对应的目标服务器进行防御。
对应图2所示的方法实施例,本发明还提供一种接入设备的实施例,如图6所示,包括:
防御消息接收模块61,用于接收来自检测设备的防御消息,将防御消息中的目标服务器标识添加到防御表中。
连接请求转发模块62,用于将用户对防御表中目标服务器的连接请求转发到代理服务器,以使代理服务器代替目标服务器与用户进行三次握手连接。
进一步的,以上实施例还可以包括:
报文转发模块63,用于将用户对防御表中目标服务器的后续报文转发到代理服务器,将代理服务器转发的来自防御表中目标服务器的后续报文发送给用户。
防御解除消息接收模块64,用于接收来自代理服务器的防御解除消息。
防御解除模块65,用于根据所述防御解除消息删除防御表中的目标服务器标识,并解除对标识对应的目标服务器的防御。
对应图3所示的方法实施例,本发明还提供一种代理服务器的实施例,如图7所示,包括:
连接请求接收模块71,用于接收接入设备根据防御表转发的用户针对目标服务器的连接请求。
用户连接模块72,用于与所述用户进行三次握手连接。
目标服务器连接模块73,用于在与用户三次握手连接成功后,与目标服务器进行三次握手连接。
报文转发模块74,用于在与目标服务器三次握手连接成功后,转发用户与目标服务器之间的报文。
进一步的,以上实施例还可以包括:
防御解除消息发送模块75,用于统计单位时间内用户针对目标服务器的连接请求少于攻击阈值,向接入设备发送防御解除消息,所述防御解除消息包含解除防御的目标服务器标识,以使接入设备解除对标识对应的目标服务器的防御。
对应图4所示的方法实施例,本发明还提供一种防御DDoS攻击的系统的实施例,如图8所示,包括:
检测设备81,用于向攻击源所在网段的接入设备发送防御消息,所述防御消息包含目标服务器标识。
接入设备82,用于记录目标服务器标识,并将用户对目标服务器的连接请求转发到代理服务器。
代理服务器83,用于代替目标服务器与用户三次握手连接,并完成用户与目标服务器之间的报文转发。
对应图1所示的方法实施例,检测设备81用于在发生针对目标服务器的DDoS攻击时,识别出攻击源所在网段,并向攻击源所在网段的接入设备发送防御消息,所述防御消息包含目标服务器标识,以使所述接入设备对标识对应的目标服务器进行防御。
对应图2所示的方法实施例,接入设备82用于接收来自检测设备的防御消息,将防御消息中的目标服务器标识添加到防御表中,并将用户对防御表中目标服务器的连接请求转发到代理服务器,以使代理服务器代替目标服务器与用户进行三次握手连接。此外,接入设备82还用于将用户对防御表中目标服务器的后续报文转发到代理服务器,将代理服务器转发的来自防御表中目标服务器的后续报文发送给用户。进一步的,接入设备82还用于接收来自代理服务器的防御解除消息,根据所述防御解除消息删除防御表中的目标服务器标识,并解除对标识对应的目标服务器的防御。
对应图3所示的方法实施例,代理服务器83用于接收接入设备根据防御表转发的用户针对目标服务器的连接请求,之后与所述用户进行三次握手连接。在与用户三次握手连接成功后,与目标服务器进行三次握手连接。在与目标服务器三次握手连接成功后,转发用户与目标服务器之间的报文。此外,代理服务器83还用于统计单位时间内用户针对目标服务器的连接请求,如果连接请求次数少于攻击阈值,向接入设备发送防御解除消息,所述防御解除消息包含解除防御的目标服务器标识,以使接入设备解除对标识对应的目标服务器的防御。
本发明提供的防御DDoS攻击的装置和系统实施例,在目标服务器受到攻击时,只针对攻击源所在网段,通过代理服务器进行与用户之间的握手连接,能够在流量过载时保证合法用户访问受攻击的服务器并且降低防御设备本身的负载。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (18)
1.一种防御DDoS攻击的方法,其特征在于,包括:
接收用户访问目标服务器的连接请求;
判断防御表中是否保存有所述连接请求中携带的目标服务器的标识;
当防御表中保存有所述连接请求中携带的目标服务器的标识时,将所述连接请求转发到代理服务器,以使所述代理服务器代替目标服务器与用户进行三次握手连接,并使所述代理服务器在与所述用户建立连接成功后,代理所述用户与目标服务器进行报文交互。
2.根据权利要求1所述的方法,其特征在于,还包括:
将所述用户发送给所述目标服务器的后续报文转发到所述代理服务器,将所述代理服务器转发的来自所述目标服务器的后续报文发送给所述用户。
3.根据权利要求1或2所述的方法,其特征在于,还包括:
接收来自检测设备的防御消息,该防御消息中携带需要进行DDoS防御的目标服务器的标识;
当所述防御表中没有保存所述目标服务器的标识时,将所述目标服务器的标识添加到所述防御表中;
对所述防御表中的标识对应的目标服务器进行DDoS攻击防御。
4.根据权利要求3所述的方法,其特征在于,还包括:
接收来自所述代理服务器的防御解除消息,所述防御解除消息中携带目标服务器的标识;
根据所述防御解除消息解除对所述标识对应的目标服务器的DDoS攻击防御。
5.根据权利要求3所述的方法,其特征在于,所述目标服务器标识为目标服务器IP地址。
6.一种防御DDoS攻击的方法,其特征在于,包括:
接收接入设备根据防御表转发的用户针对目标服务器的连接请求,其中,所述防御表中保存有所述连接请求中携带的目标服务器的标识;
与所述用户进行三次握手连接;
在与用户三次握手连接成功后,与目标服务器进行三次握手连接;
在与目标服务器三次握手连接成功后,转发用户与目标服务器之间的报文。
7.根据权利要求6所述的方法,其特征在于,还包括:
统计单位时间内用户针对目标服务器的连接请求,如果少于攻击阈值,向接入设备发送防御解除消息,所述防御解除消息包含解除防御的目标服务器的标识,以使接入设备解除对所述标识对应的目标服务器的DDoS攻击防御。
8.一种接入设备,其特征在于,包括:
防御消息接收模块,用于接收来自检测设备的防御消息,将防御消息中的目标服务器标识添加到防御表中;
连接请求转发模块,用于将用户对防御表中目标服务器的连接请求转发到代理服务器,以使代理服务器代替目标服务器与用户进行三次握手连接。
9.根据权利要求8所述的接入设备,其特征在于,还包括:
报文转发模块,用于将用户对防御表中目标服务器的后续报文转发到代理服务器,将代理服务器转发的来自防御表中目标服务器的后续报文发送给用户。
10.根据权利要求8所述的接入设备,其特征在于,还包括:
防御解除消息接收模块,用于接收来自代理服务器的防御解除消息;
防御解除模块,用于根据所述防御解除消息删除防御表中的目标服务器标识,以解除对标识对应的目标服务器的防御。
11.一种代理服务器,其特征在于,包括:
连接请求接收模块,用于接收接入设备根据防御表转发的用户针对目标服务器的连接请求,其中,所述防御表中保存有所述连接请求中携带的目标服务器的标识;
用户连接模块,用于与所述用户进行三次握手连接;
目标服务器连接模块,用于在与用户三次握手连接成功后,与目标服务器进行三次握手连接;
报文转发模块,用于在与目标服务器三次握手连接成功后,转发用户与目标服务器之间的报文。
12.根据权利要求11所述的代理服务器,其特征在于,还包括:
防御解除消息发送模块,用于统计单位时间内用户针对目标服务器的连接请求,如果少于攻击阈值,向接入设备发送防御解除消息,所述防御解除消息包含解除防御的目标服务器标识,以使接入设备解除对标识对应的目标服务器的防御,从防御表中删除目标服务器对应的表项。
13.一种防御DDoS攻击的系统,其特征在于,包括:
检测设备,用于向攻击源所在网段的接入设备发送防御消息,所述防御消息包含目标服务器标识;
接入设备,用于记录目标服务器标识,并将用户对目标服务器的连接请求转发到代理服务器;
代理服务器,用于代替目标服务器与用户三次握手连接,并完成用户与目标服务器之间的报文转发。
14.根据权利要求13所述的系统,其特征在于,检测设备还用于在发生针对目标服务器的DDoS攻击时,识别出攻击源所在网段。
15.根据权利要求13所述的系统,其特征在于,接入设备还用于完成代理服务器与目标服务器之间的报文转发。
16.根据权利要求13所述的系统,其特征在于,接入设备还用于根据来自代理服务器的防御解除消息删除防御表中的目标服务器标识,并解除对标识对应的目标服务器的防御。
17.根据权利要求13所述的系统,其特征在于,代理服务器还用于在与用户三次握手连接成功后,与目标服务器进行三次握手连接。
18.根据权利要求13所述的系统,其特征在于,代理服务器还用于统计单位时间内用户针对目标服务器的连接请求,如果连接请求次数少于攻击阈值,向接入设备发送防御解除消息,所述防御解除消息包含解除防御的目标服务器标识,以使接入设备解除对标识对应的目标服务器的防御。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010101847002A CN101834875B (zh) | 2010-05-27 | 2010-05-27 | 防御DDoS攻击的方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010101847002A CN101834875B (zh) | 2010-05-27 | 2010-05-27 | 防御DDoS攻击的方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101834875A CN101834875A (zh) | 2010-09-15 |
| CN101834875B true CN101834875B (zh) | 2012-08-22 |
Family
ID=42718804
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010101847002A Expired - Fee Related CN101834875B (zh) | 2010-05-27 | 2010-05-27 | 防御DDoS攻击的方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101834875B (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102143173A (zh) * | 2011-03-23 | 2011-08-03 | 深信服网络科技(深圳)有限公司 | 防御分布式拒绝服务攻击的方法、系统以及网关设备 |
| US8935430B2 (en) | 2012-06-29 | 2015-01-13 | Verisign, Inc. | Secondary service updates into DNS system |
| CN103795590B (zh) * | 2013-12-30 | 2017-07-04 | 北京天融信软件有限公司 | 一种网络流量检测阈值的计算方法 |
| CN105407068B (zh) * | 2014-06-30 | 2019-02-15 | 优视科技有限公司 | 网络数据获取方法、装置和系统 |
| CN107104926B (zh) * | 2016-02-22 | 2019-10-18 | 华为技术有限公司 | 攻击防护系统、方法、装置和网络设备 |
| CN107135187A (zh) * | 2016-02-29 | 2017-09-05 | 阿里巴巴集团控股有限公司 | 网络攻击的防控方法、装置及系统 |
| CN109871689A (zh) * | 2018-05-04 | 2019-06-11 | 360企业安全技术(珠海)有限公司 | 操作行为的拦截方法及装置、存储介质、电子装置 |
| CN109905397A (zh) * | 2019-03-12 | 2019-06-18 | 深圳市网心科技有限公司 | 一种建立数据连接的方法及内网服务器 |
| CN110266802A (zh) * | 2019-06-24 | 2019-09-20 | 深圳市网心科技有限公司 | 基于id识别的反向代理服务方法、服务器、系统及介质 |
| CN112104744B (zh) * | 2020-03-30 | 2022-09-09 | 厦门网宿有限公司 | 流量代理方法、服务器及存储介质 |
| CN114257434B (zh) * | 2021-12-14 | 2023-10-13 | 北京知道创宇信息技术股份有限公司 | 一种DDoS攻击防御方法、电子设备及存储介质 |
| CN114567512B (zh) * | 2022-04-26 | 2022-08-23 | 深圳市永达电子信息股份有限公司 | 基于改进art2的网络入侵检测方法、装置及终端 |
| CN115174233B (zh) * | 2022-07-08 | 2024-03-26 | 广东瑞普科技股份有限公司 | 基于大数据的网络安全分析方法、设备、系统及介质 |
| CN115811428A (zh) * | 2022-11-28 | 2023-03-17 | 济南大学 | 一种抵御DDoS攻击的防御方法、系统、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1750536A (zh) * | 2004-09-14 | 2006-03-22 | 国际商业机器公司 | 管理拒绝服务攻击的方法和系统 |
| CN1972286A (zh) * | 2006-12-05 | 2007-05-30 | 苏州国华科技有限公司 | 一种针对DDoS攻击的防御方法 |
| CN101309150A (zh) * | 2008-06-30 | 2008-11-19 | 华为技术有限公司 | 分布式拒绝服务攻击的防御方法、装置和系统 |
| CN101588246A (zh) * | 2008-05-23 | 2009-11-25 | 成都市华为赛门铁克科技有限公司 | 防范分布式阻断服务DDoS攻击的方法、网络设备和网络系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7584352B2 (en) * | 2002-12-04 | 2009-09-01 | International Business Machines Corporation | Protection against denial of service attacks |
-
2010
- 2010-05-27 CN CN2010101847002A patent/CN101834875B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1750536A (zh) * | 2004-09-14 | 2006-03-22 | 国际商业机器公司 | 管理拒绝服务攻击的方法和系统 |
| CN1972286A (zh) * | 2006-12-05 | 2007-05-30 | 苏州国华科技有限公司 | 一种针对DDoS攻击的防御方法 |
| CN101588246A (zh) * | 2008-05-23 | 2009-11-25 | 成都市华为赛门铁克科技有限公司 | 防范分布式阻断服务DDoS攻击的方法、网络设备和网络系统 |
| CN101309150A (zh) * | 2008-06-30 | 2008-11-19 | 华为技术有限公司 | 分布式拒绝服务攻击的防御方法、装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101834875A (zh) | 2010-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101834875B (zh) | 防御DDoS攻击的方法、装置和系统 | |
| US7818786B2 (en) | Apparatus and method for managing session state | |
| CN105827646B (zh) | Syn攻击防护的方法及装置 | |
| CN1799241B (zh) | Ip移动性 | |
| US8175096B2 (en) | Device for protection against illegal communications and network system thereof | |
| US7571479B2 (en) | Denial of service defense by proxy | |
| US6816910B1 (en) | Method and apparatus for limiting network connection resources | |
| US9038182B2 (en) | Method of defending against a spoofing attack by using a blocking server | |
| EP2161898B1 (en) | Method and system for defending DDoS attack | |
| US11206285B2 (en) | Systems and methods for preventing remote attacks against transportation systems | |
| US8387144B2 (en) | Network amplification attack mitigation | |
| CN108737447B (zh) | 用户数据报协议流量过滤方法、装置、服务器及存储介质 | |
| KR20130046895A (ko) | Arp 스푸핑 공격 탐지 시스템 및 방법 | |
| JP2008054204A (ja) | 接続装置及び端末装置及びデータ確認プログラム | |
| CN113347155A (zh) | 一种arp欺骗的防御方法、系统及装置 | |
| CN108512833B (zh) | 一种防范攻击方法及装置 | |
| CN101494536B (zh) | 一种防arp攻击的方法、装置和系统 | |
| CN115766201B (zh) | 一种大量ip地址快速封禁的解决方法 | |
| CN114024731B (zh) | 报文处理方法及装置 | |
| CN112968913B (zh) | 一种基于可编程交换机的ddos防御方法、装置、设备及介质 | |
| Syed et al. | Avoidance of Black hole affected routes in AODV-based MANET | |
| CN111866005A (zh) | 基于区块链的arp欺骗攻击防御方法、系统及装置 | |
| KR100714131B1 (ko) | IPv6 로컬 네트워크에서의 이웃 발견 서비스 거부 공격방지 장치 및 방법 | |
| US20230269236A1 (en) | Automatic proxy system, automatic proxy method and non-transitory computer readable medium | |
| JP2007208575A (ja) | 不正トラフィック管理装置およびシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20170714 Address after: 510640 Guangdong City, Tianhe District Province, No. five, road, public education building, unit 371-1, unit 2401 Patentee after: Guangdong Gaohang Intellectual Property Operation Co., Ltd. Address before: 518129 headquarters building of Bantian HUAWEI base, Longgang District, Guangdong, Shenzhen Patentee before: Huawei Technologies Co., Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20171010 Address after: 201906 room 1205, room A, room 968, 128 Memorial Road, 1018, Shanghai, Baoshan District Patentee after: Shanghai youo blue information Polytron Technologies Inc Address before: 510640 Guangdong City, Tianhe District Province, No. five, road, public education building, unit 371-1, unit 2401 Patentee before: Guangdong Gaohang Intellectual Property Operation Co., Ltd. |
|
| TR01 | Transfer of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120822 Termination date: 20180527 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |