CN101960812A - 用于防止消息泛洪攻击的方法和网络单元 - Google Patents
用于防止消息泛洪攻击的方法和网络单元 Download PDFInfo
- Publication number
- CN101960812A CN101960812A CN2008801275517A CN200880127551A CN101960812A CN 101960812 A CN101960812 A CN 101960812A CN 2008801275517 A CN2008801275517 A CN 2008801275517A CN 200880127551 A CN200880127551 A CN 200880127551A CN 101960812 A CN101960812 A CN 101960812A
- Authority
- CN
- China
- Prior art keywords
- message
- network element
- diameter
- transmission
- dwr
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出了一种用于防止消息泛洪攻击的方法和向/从另一网络单元发送/接收信令消息的网络单元。所述方法包括,当关于检测传输故障的若干消息从第一网络单元被发送至第二网络单元时:所述第二网络单元只要从所述第一网络单元接收关于检测传输故障的第一消息就记录该第一消息的到达时间;所述第二网络单元在随后从所述第一网络单元接收关于检测传输故障的第二消息之后确定所述第一消息和所述第二消息各自的到达时间之间的差值;如果所述差值小于预定阈值,则所述第二网络单元发送关于关闭至所述第一网络单元的传输连接的消息;和所述第二网络单元关闭所述传输连接。
Description
技术领域
本发明涉及通信领域,具体地涉及防止来自对等网络中的攻击者的消息泛洪攻击。
背景技术
随着例如无线网络和移动IP的新技术和应用的出现,对认证和授权的需求大大增加,并且接入控制机制变得比以往更加复杂。现有的RADIUS(远程认证拨号用户服务)协议可能不足以满足这些新需求;需要一种能够满足新的接入控制特征同时保持将来扩展的灵活性的新协议。这就是产生Diameter协议的原因。
Diameter被设计成对等结构,并且实现Diameter协议的每个主机都能根据网络部署而用作客户端或服务器。因此,术语“Diameter节点”是指Diameter客户端、Diameter服务器或Diameter代理。
RFC 3588中定义的设备监控请求/应答(Device Watchdog Request/Answer)消息是用来更快地检测传输和应用层故障的Diameter监控消息,这是RFC 3539所要求的。当Diameter节点收到设备监控请求(DWR)消息时,它应当返回设备监控应答(DWA)消息以指示其活动性。然而,RFC 3539中的监控算法并未定义如何在非常短的时期内处理多个DWR消息。因此,它变成一个安全空洞,攻击者可以发出尽可能多的DWR至Diameter节点以导致服务拒绝攻击。这种攻击会用尽被攻击机器的资源并且使得它停止/减慢对其他对等体的Diameter请求的响应。更糟糕的情况是,为了浪费网络带宽并且毁坏被攻击机器的Diameter栈,攻击者可以滥用Diameter的可扩展性以包含尽可能多的无用的AVP(属性值对)从而达到Diameter消息的最大大小(16777216字节)。
图1示出了Diameter服务器被DWR泛洪攻击的情形。攻击者发出尽可能多的DWR消息,这是基于攻击者与受攻击服务器之间的网络带宽的。当服务器接收DWR消息时,它解码该DWR消息然后在将应答消息发回攻击者之前构造DWA消息。当DWR的量到达特定级别时,服务器中用于处理该DWR泛洪的资源将减慢服务器对其他正常Diameter客户端的响应。在最差的情况下,服务器可能用尽其容量并且由于协议差错DIAMETER_TOO_BUSY而必须拒绝其他正常的Diameter请求。
然而,至今为止还不存在对这种攻击的定义和对这种攻击的解决方案。
发明内容
为了解决上述现有技术问题,根据本发明的一个方面,提出了一种用于防止消息泛洪攻击的方法,该方法包括,当关于检测传输故障的若干消息从第一网络单元被发送至第二网络单元时:所述第二网络单元只要从所述第一网络单元接收关于检测传输故障的第一消息就记录该第一消息的到达时间;所述第二网络单元在随后从所述第一网络单元接收关于检测传输故障的第二消息之后确定所述第一消息和所述第二消息各自的到达时间之间的差值;如果所述差值低于预定阈值,则所述第二网络单元发送关于关闭至所述第一网络单元的传输连接的消息;以及所述第二网络单元关闭所述传输连接。
根据本发明的另一方面,提出了一种向/从另一网络单元发送/接收信令消息的网络单元,所述网络单元包括:用于只要从所述另一网络单元接收关于检测传输故障的第一消息就记录该第一消息的到达时间的记录装置;用于当随后从所述另一网络单元接收关于检测传输故障的第二消息时确定所述第一消息和所述第二消息各自的到达时间之间的差值的确定装置;和用于如果所述差值低于预定阈值则发送关于关闭至所述另一网络单元的传输连接的消息的发送装置。
附图说明
参考附图,通过阅读下面对本发明实施例的描述,本发明的所述和许多其他特征和优点将变得明显,其中:
-图1说明了现有技术中可能发生的问题,即Diameter服务器受到DWR泛洪攻击;
-图2说明了本发明的基本思想;
-图3是根据本发明一个实施例的用于防止DWR泛洪攻击的方法的流程图;和
-图4是根据本发明一个实施例的网络单元的框图。
具体实施方式
本发明提出了一种用于防止消息泛洪攻击的方法。这个方法可以例如应用于Diameter节点。参考图2说明本发明的基本思想。
如图2所示,新的规则被引入针对RFC 3539中定义的AAA协议的现有监控(Watchdog)算法以在最初阶段发现上述DWR泛洪攻击,并且说明了如何在发现这种攻击之后处理它。
关于RFC 3539中定义的监控算法,发送监控的最小时间间隔是4秒。因此,本发明定义了一种用于通过检查接收DWR的时间间隔来发现DWR泛洪的算法。在这里,假设Diameter服务器(例如AAA(认证、授权和计费)服务器)是DWR接收方,而Diameter客户端是DWR发送方,即攻击者。DWR接收方应当记录每个接收的DWR消息的到达时间并且将它与前一个收到的DWR消息的到达时间相比较。如果两个到达时间之差小于1秒,则这意味着发现DWR攻击并且接收方立即发送具有如“不想与你谈话”的断开连接原因的对等连接中止请求(DPR)消息至DWR发送方,然后关闭连接。作为可选的操作,接收方可以将攻击者的地址置于其用户黑名单列表中(永久地或者在网络运营商规定的时期内)。任何来自该黑名单列表中的用户的Diameter连接请求将被立即拒绝。
参考图3,下面将结合图2所示的过程描述用于防止消息泛洪攻击的方法。
如图3所示,首先,当关于检测传输故障的若干消息从第一网络单元被发送到第二网络单元时,在步骤301中,所述第二网络单元只要从所述第一网络单元接收关于检测传输故障的第一消息就记录该第一消息的到达时间。在这里,如图2所示,所述第一网络单元例如是“Diameter客户端”,即攻击者,所述第二网络单元例如是“Diameter服务器”,所述第一消息例如是按照Diameter协议“DWR”消息并且响应消息例如是“DWA”消息。在实践中,在Diameter服务器已收到所述第一DWR消息之后,例如DWA消息的响应消息从Diameter服务器被发送到Diameter客户端。
接着,在步骤302中,所述第二网络单元在随后从所述第一网络单元接收关于检测传输故障的第二消息之后确定所述第一消息和所述第二消息各自的到达时间之间的差值。在这里,关于检测传输故障的所述第二消息例如也是DWR消息。在这个实施例中,Diameter服务器比较所接收的第二DWR消息的到达时间与所接收的第一DWR消息的到达时间。
然后,在步骤303中,如果所述差值低于预定阈值,则所述第二网络单元发送关于关闭至所述第一网络单元的传输连接的消息。在这个情况中,Diameter服务器判定存在DWR泛洪攻击。在这里,关于关闭传输连接的所述消息例如是具有如“不想与你谈话”的断开连接原因的按照Diameter协议的DPR消息。如上文所述,预定阈值可以例如是1秒,而两个连续的DWR消息各自的到达之间之差例如是0.000001秒。
最后,在步骤304中,所述第二网络单元关闭所述传输连接。在这个实施例中,Diameter服务器关闭至Diameter客户端的Diameter连接。
作为一个选项,Diameter服务器可以将Diameter客户端的地址永久地或在一段时期内置于其黑名单列表中。
应当指出,在本发明中,Diameter服务器和Diameter客户端在其各自的功能性方面是有区别的。然而,上述消息既可以从客户到发送到服务器,也可以从服务器发送到客户端。
由此,利用这个方法,通过比较两个连续接收的DWR消息的到达时间并且在检测到攻击后立即断开连接,可以以经济且有效的方式检测并防止DWR泛洪攻击,并且Diameter实现因而可以免于对等网络中的DWR泛洪攻击。
基于同一个发明构思,根据本发明的另一个方面,提出一种向/从另一网络单元发送/接收信令消息的网络单元用以防止消息泛洪攻击。下面将参考图4描述所述网络单元。
图4是根据本发明一个实施例的网络单元的框图,其例如是Diameter节点,具体地是Diameter客户端或Diameter服务器。网络单元400包括记录装置401、确定装置402和发送装置403。在这个实施例中,当若干DWR消息从所述另一网络单元被发送至所述网络单元400时,只要从所述另一网络单元收到第一DWR消息,记录装置401就记录该第一DWR消息的到达时间。然后,当随后从该另一网络单元收到第二DWR消息时,确定装置402确定所述第一DWR消息与第二DWR消息各自的到达时间之间的差值。如果所述差值小于预定阈值,也就是说存在DWR泛洪攻击,则发送装置403将发送具有例如“不想与你谈话”的断开连接原因的DPR消息至所述另一网络单元。如上文所述,所述预定阈值例如是1秒。
可选地,网络单元400还可以包括黑名单列表以在所述差值小于所述预定阈值的情况下将所述另一网络单元的地址纳入其中。也就是说,如果所述差值小于1秒,则网络单元400判定所述另一网络单元是攻击者并且将其地址置于该黑名单列表中。
在实现中,本实施例的网络单元400以及其包含的记录装置401、确定装置402和发送装置403可以以软件、硬件或其组合来实现。例如,本领域技术人员熟悉多种可用来实现这些部件的设备,诸如微处理器、微控制器、专用集成电路(ASIC)、可编程逻辑设备(PLD)和/或现场可编程门阵列(FPGA)等。本实施例的记录装置401、确定装置402和发送装置403可以被实现为集成到网络单元400中,也可以分别实现,并且它们也可以物理地分开实现而操作上地相互连接。
在操作中,结合图4说明的本实施例的网络单元400可以通过比较两个连续接收的DWR消息各自的到达时间来检测和防止DWR消息泛洪攻击并且在检测到攻击后立即断开连接。它是经济且有效的,并且Diameter实现因而免于对等网络中的DWR泛洪攻击。
尽管上面详细描述了本发明的用于防止消息泛洪攻击的方法和向/从另一网络单元发送/接收信令消息的网络单元的示例性实施例,然而以上实施例并不是穷举的,并且本领域技术人员可以在本发明的精神和范围内实现各种变化和修改。因此,本发明并不限于这些实施例,本发明的范围仅由所附权利要求来限定。
Claims (12)
1.一种用于防止消息泛洪攻击的方法,该方法包括,当关于检测传输故障的若干消息从第一网络单元被发送至第二网络单元时:
-所述第二网络单元只要从所述第一网络单元接收关于检测传输故障的第一消息就记录该第一消息的到达时间;
-所述第二网络单元在随后从所述第一网络单元接收关于检测传输故障的第二消息之后确定所述第一消息和所述第二消息各自的到达时间之间的差值;
-如果所述差值小于预定阈值,则所述第二网络单元发送关于关闭至所述第一网络单元的传输连接的消息;和
-所述第二网络单元关闭所述传输连接。
2.根据权利要求1所述的方法,还包括所述第二网络单元在完成上述步骤之后将所述第一网络单元的地址置于其黑名单列表中。
3.根据权利要求1或2所述的方法,其中,所述预定阈值是1秒。
4.根据权利要求1至3中任一项所述的方法,还包括所述第二网络单元响应于所述第一消息而向所述第一网络单元发送响应消息。
5.根据权利要求4所述的方法,其中,所述响应消息是按照Diameter协议的设备监控应答消息。
6.根据权利要求1至5中任一项所述的方法,其中,所述第一消息和所述第二消息是按照Diameter协议的设备监控请求消息。
7.根据权利要求1至6中任一项所述的方法,其中,关于关闭传输连接的所述消息是按照Diameter协议的对等连接中止请求消息。
8.一种向/从另一网络单元发送/接收信令消息的网络单元,包括:
-记录装置,用于只要从所述另一网络单元接收关于检测传输故障的第一消息就记录该第一消息的到达时间;
-确定装置,用于在随后从所述另一网络单元接收关于检测传输故障的第二消息之后确定所述第一消息和所述第二消息各自的到达时间之间的差值;和
-发送装置,用于如果所述差值小于预定阈值则发送关于关闭至所述另一网络单元的传输连接的消息。
9.根据权利要求8所述的网络单元,还包括用于在所述差值小于所述预定阈值的情况下将所述另一网络单元的地址纳入其中的黑名单列表。
10.根据权利要求8或9所述的网络单元,其中,所述预定阈值是1秒。
11.根据权利要求8至10中任一项所述的网络单元,其中,所述第一消息和所述第二消息是按照Diameter协议的设备监控请求消息。
12.根据权利要求8至11中任一项所述的网络单元,其中,关于关闭传输连接的所述消息是按照Diameter协议的对等连接中止请求消息。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2008/000398 WO2009105913A1 (en) | 2008-02-26 | 2008-02-26 | Method for preventing attack of message flood and network element |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101960812A true CN101960812A (zh) | 2011-01-26 |
Family
ID=41015495
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008801275517A Pending CN101960812A (zh) | 2008-02-26 | 2008-02-26 | 用于防止消息泛洪攻击的方法和网络单元 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN101960812A (zh) |
WO (1) | WO2009105913A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104113519A (zh) * | 2013-04-16 | 2014-10-22 | 阿里巴巴集团控股有限公司 | 网络攻击检测方法及其装置 |
CN109309928A (zh) * | 2017-07-26 | 2019-02-05 | 华为技术有限公司 | D2d链路检测方法、相关装置及系统 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101917733B (zh) * | 2010-08-06 | 2012-11-21 | 深圳市兆讯达科技实业有限公司 | 无线自组织网络路由查询泛洪攻击的检测方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1941775A (zh) * | 2006-07-19 | 2007-04-04 | 华为技术有限公司 | 一种防止网络消息攻击的方法及设备 |
CN101035043A (zh) * | 2007-01-29 | 2007-09-12 | 成都金山数字娱乐科技有限公司 | 一种通过网络数据包控制输入的远程协助其他网络用户的方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7468981B2 (en) * | 2005-02-15 | 2008-12-23 | Cisco Technology, Inc. | Clock-based replay protection |
CN100479396C (zh) * | 2007-04-02 | 2009-04-15 | 华为技术有限公司 | 一种检测报文攻击的方法及装置 |
-
2008
- 2008-02-26 WO PCT/CN2008/000398 patent/WO2009105913A1/en active Application Filing
- 2008-02-26 CN CN2008801275517A patent/CN101960812A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1941775A (zh) * | 2006-07-19 | 2007-04-04 | 华为技术有限公司 | 一种防止网络消息攻击的方法及设备 |
CN101035043A (zh) * | 2007-01-29 | 2007-09-12 | 成都金山数字娱乐科技有限公司 | 一种通过网络数据包控制输入的远程协助其他网络用户的方法 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104113519A (zh) * | 2013-04-16 | 2014-10-22 | 阿里巴巴集团控股有限公司 | 网络攻击检测方法及其装置 |
CN104113519B (zh) * | 2013-04-16 | 2017-07-14 | 阿里巴巴集团控股有限公司 | 网络攻击检测方法及其装置 |
CN109309928A (zh) * | 2017-07-26 | 2019-02-05 | 华为技术有限公司 | D2d链路检测方法、相关装置及系统 |
CN109309928B (zh) * | 2017-07-26 | 2021-01-29 | 华为技术有限公司 | D2d链路检测方法、相关装置及系统 |
Also Published As
Publication number | Publication date |
---|---|
WO2009105913A1 (en) | 2009-09-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1799241B (zh) | Ip移动性 | |
CN109639712B (zh) | 一种防护ddos攻击的方法及系统 | |
WO2009134265A1 (en) | Message restriction for diameter servers | |
WO2011020363A1 (zh) | 负载均衡的实现方法和系统以及Diameter客户端 | |
CN103036885B (zh) | Sip服务器过载保护系统及方法 | |
CN104823412A (zh) | 对等体复活检测 | |
CN106341270B (zh) | 一种故障处理方法及装置 | |
CN102231748B (zh) | 一种客户端验证方法及装置 | |
CN100420197C (zh) | 一种实现网络设备防攻击的方法 | |
WO2011011230A1 (en) | Suppression of malicious sip messages using the resource priority header | |
CN101960812A (zh) | 用于防止消息泛洪攻击的方法和网络单元 | |
CN102055639A (zh) | 建立远程访问虚拟专用网连接的方法和访问集中器 | |
US8521804B2 (en) | Interconnection system between at least one communication device and at least one remote data system and interconnection method | |
WO2017028391A1 (zh) | 虚拟网络通信的方法及装置 | |
CN101188574B (zh) | 一种即时通信用户之间的信息传送方法及系统 | |
CN117118914A (zh) | 流量限速方法、系统、装置、设备及介质 | |
US10148732B2 (en) | Secure remote computer network | |
CN102546552B (zh) | 认证方法、设备和系统 | |
US20220385501A1 (en) | User Management Device, BNG, and BNG User Internet Access Method and System | |
CN105939315A (zh) | 一种http攻击防护方法及装置 | |
CN101860544A (zh) | 会话启动协议消息的发送系统及方法 | |
JP3634808B2 (ja) | 通信制御システム、通信制御方法、中継関門処理装置及び管理サーバ | |
WO2019179714A1 (en) | Method for an enhanced functionality of a network function entity in a carrier telecommunications network, the network function entity comprising a control plane functionality and a user plane functionality, carrier telecommunications network, network function entity, and system, program and computer-readable medium | |
US8516556B2 (en) | Methods for server-driven packet congestion control | |
CN112702171B (zh) | 一种面向边缘网关的分布式身份认证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110126 |