CN103262023A - 用于在源头附近防止拒绝服务攻击的技术 - Google Patents
用于在源头附近防止拒绝服务攻击的技术 Download PDFInfo
- Publication number
- CN103262023A CN103262023A CN2011800611387A CN201180061138A CN103262023A CN 103262023 A CN103262023 A CN 103262023A CN 2011800611387 A CN2011800611387 A CN 2011800611387A CN 201180061138 A CN201180061138 A CN 201180061138A CN 103262023 A CN103262023 A CN 103262023A
- Authority
- CN
- China
- Prior art keywords
- network
- computer
- objectives
- network traffics
- traffics
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提供防止拒绝服务攻击的系统和方法。通过一个或多个位置路由发给一个或多个网络目标的远程来源的网络流量。位置中的一个或多个可能地理上靠近拒绝服务攻击源。一个或多个拒绝服务攻击缓解策略被应用到在一个或多个位置处接收的网络流量的部分。未根据一个或多个拒绝服务攻击缓解策略受阻的网络流量被分发到其预定接收者。把未受阻的网络流量分发到其预定接收者可包括使用一个或多个专用信道和/或一个或多个另外的拒绝服务攻击缓解策略。
Description
发明背景
可通过例如互联网的公共通信网络来访问各种计算设备。虽然所述访问向使用所述网络的组织提供许多机会,但是也提供了相当大的风险。例如,分布式拒绝服务(DDoS)攻击已成为通常在未经授权的控制下使用分布式计算资源的常用方式,从而使组织系统的能力超载。例如,DDoS攻击可包括可位于各种地理位置的计算机的集体组,所述计算机把多个请求提交到网络或其它服务器(或服务器集合)来使用服务器能力,从而防止服务器及时回应合法请求(若有)。对于例如使用互联网与客户交互和/或服务客户的组织的许多组织,阻止服务器回应合法请求可对成本、收益、客户商誉造成严重危害且以其它方式造成危害。不仅阻止了DDoS受害对象服务客户,而且也可对互联网服务提供商(ISP)可归因于DDoS攻击的增大的网络流量的成本负责。
另外,从DDoS攻击的受害对象看来,DDoS攻击常源自一个或多个远程地理位置。由于DDoS攻击的分布式本质,DDoS攻击常影响预定受害对象之外的实体。作为DDoS攻击部分的通信可穿过多个ISP、电信运营商和其它实体。例如,可能需要DDoS攻击的有效部分起源的区域的ISP,来支付可归因于DDoS攻击越过其它ISP和/或运营商网络的超出的流量。另外,DDoS攻击可滥用网络资源,从而阻碍甚至停止各种用户使用网络资源的能力。受影响的用户可能不仅包括DDoS受害对象资源的用户,还包括可使用网络资源的其它用户。
附图简述
图1是根据至少一个实施方案的示出用于实施方面的示范性环境的示意图;
图2是根据至少一个实施方案的描绘示范性虚拟设施提供体系结构的方面的示意图;
图3是根据至少一个实施方案的描绘示范性数据中心的其它方面的示意图;
图4是根据至少一个实施方案的缓解DDoS攻击的影响的过程的说明性实例的流程图;
图5是示出DDoS攻击的示意图;
图6是示出使用各种实施方案来缓解DDoS攻击的影响的效果的示意图;
图7是根据至少一个实施方案的提供DDoS缓解技术作为服务的过程的说明性实例的流程图;
图8是根据至少一个实施方案的缓解DDoS攻击的影响的过程的说明性实例的流程图;
图9是根据至少一个实施方案的保护DDoS攻击的受害对象的过程的说明性实例的流程图;和
图10是根据至少一个实施方案的进一步缓解DDoS攻击的影响的过程的说明性实例的流程图。
具体实施方式
在以下描述中,将描述各种实施方案。为了说明的目的,阐述特定配置和细节来提供对实施方案的透彻理解。然而,对于本领域的技术人员显而易见的是可在没有特定细节的情况下实践实施方案。另外,可能省略或简化众所周知的特征,以免使所描述的实施方案晦涩难懂。
本文描述并建议的技术包括用于例如通过使用拒绝服务(DoS)攻击和/或分布式拒绝服务(DDoS)攻击来缓解试图不利影响计算机系统的影响的系统和方法。具体来说,本公开的实施方案通过在地理上靠近网络流量起源的地理区域的一个或多个位置上阻止可归因于DoS攻击的网络流量来缓解DoS攻击的影响。例如,一个或多个位置可对应于远程部署网络存在点(POP)。在一个实施方案中,定向到一个或多个网络目标的至少一些网络流量通过一个或多个位置被路由。例如,一个或多个位置中每一个可对应于与一个或多个网络目标所位于的一个或多个提供商网络不同的提供商网络中的网络位置。例如,一个或多个网络位置可在与一个或多个网络目标的一个或多个国家不同的一个或多个国家。网络目标可对应于代表远程计算服务提供商或其它物理或虚拟计算设备的客户操作的虚拟机实例。
网络流量的路由可以是连续的,或者可在其它时间进行。在一个实施方案中,如根据传统的路由技术所确定,网络流量以一种方式流动,直到检测到网络目标的DoS攻击为止。回应于检测到DoS攻击,发给网络目标的网络流量的至少部分可通过一个或多个远程位置被路由。网络流量可通过确定为靠近显著量的流量来源的地理区域的一个或多个远程位置或可通过多个远程位置可用于所述路由的各种地理区域的多个远程位置被路由。路由网络流量可用各种方式来进行。在一个实施方案中,网络流量是通过向网络目标宣布边界网关协议(BGP)路由来执行,使得BGP路由包括一个或多个远程位置。然而,可使用使网络流量的至少部分通过一个或多个预定网络目标的任何适当的方法。例如,可进行到ISP的一个或多个通信来请求ISP把到一个或多个网络目标的流量通过一个或多个远程位置路由。ISP的对等或其它协议可处于适当位置来促进所述路由。
如下文进一步讨论,一个或多个DoS缓解策略可在一个或多个远程位置应用,来阻止非法网络流量同时允许未被确定为非法的流量朝它目标行进。未被识别为非法的流量可用任何适当的方式分发到其预定目标。在一个实施方案中,在一个或多个远程位置未被确定为非法的网络流量是使用专用信道来分发到其目标的,所述专用信道例如虚拟专用网络(VPN)、通用路由封装(GRE)通道、专用骨干网、IP安全(IPsec)通道和/或暗光纤网络。在一个实施方案中,专用信道是被配置成使得对于通过专用信道的网络流量网络流量的原始源是可确定的且使得流量可被识别为已通过远程部署的POP中的一个或多个被路由的任何适当的专用信道。例如,如果数据包是由计算设备通过专用信道接收的,那么在一个实施方案中,计算设备就能够确定数据包的源发站的IP地址且能够确定数据包是否通过远程部署的POP。当在专用信道时,另外的DoS缓解策略可被应用到流量来进一步阻止被确定为非法的网络流量,同时允许未被确定为非法的网络流量朝它目标行进。
本文描述并提出的技术可应用于各种上下文。如上所述,在一个实施方案中,一个或多个网络目标对应于远程计算服务提供商操作的一个或多个虚拟机实例。虚拟机实例可在一个或多个数据中心内操作。因此,在一个实施方案中,应用一个或多个DoS缓解策略的网络流量在一个或多个数据中心处接收,且被传递到一个或多个虚拟机来进行处理。如上所述,一个或多个数据中心可把另外的DoS缓解策略应用到接收的流量,然后把流量传递到预定接收者。然而,本公开的实施方案也适用于其它上下文。例如,本公开的实施方案可结合DoS攻击的任何潜在受害对象使用。例如,数据中心可接收根据本文描述并建议的各种技术缓解的网络流量,并把缓解的流量从数据中心分发到另一位置。
其它变化和增强也被认为是在本公开的范围内。例如,DoS攻击的受害对象常重新配置它们的资源来回应于DoS攻击。例如,受害对象可增大它使用的服务器的数量,来确保足够资源的可用性从而维持操作。另外或替代,受害对象可在受攻击时改变网络地址,如果攻击适于新的地址那么可能重复改变网络地址。例如,受害对象可把新的互联网协议(IP)地址分配给它的服务器,使得DoS攻击将至少暂时集中在旧的IP地址。当攻击集中在新的地址时,可能需要重复进行重新分配。为了维持防止DoS攻击,本公开的各种实施方案动态地适于所述重新配置。在一个实施方案中,检测所述重新配置,且作为回应,进行更新来确保定向到改变的一个或多个网络地址的集合的流量通过一个或多个远程位置被路由。例如,可更新BGP路由来确保互联网服务提供商(ISP)把到新的地址的流量的至少部分通过一个或多个远程位置路由。下文描述其它实例和变化。
可在各种环境中实施各种方法来进行各种应用。例如,图1示出用于实施根据各种实施方案的方面的示范性环境100的方面。应理解,虽然为达说明的目的可使用基于网络的环境,但是适当时可使用不同的环境来实施各种实施方案。示出的环境100包括测试或开发部分(或端)和生产部分。生产部分包括电子客户端设备102,电子客户端设备102可包括可操作以通过适当的网络104发送和接收请求、消息或信息并把信息传递回设备102的用户的任何适当的设备。所述客户端设备的实例包括个人计算机、手机、手持通讯设备、膝上型计算机、平板计算机、机顶盒、个人数据助理、电子书阅读器等。
网络104可包括任何适当的网络,包括内联网、互联网、蜂窝网络、局域网络、广域网络、无线数据网络,或任何其它这样的网络或它们的组合。所述系统使用的组件可至少部分依赖于所选择的网络和/或环境的类型。用于通过这样的网络通信的协议和组件是众所周知的,本文将不再详细讨论。通过网络的通信可通过有线或无线连接和它们的组合来实现。在本实例中,当环境包括用于接收请求并回应于请求提供内容的网络服务器106时,网络104包括互联网,但是本领域的普通技术人员将显而易见,对于其它网络,也可使用用于类似目的的替代的设备。
说明性环境100包括至少一个应用服务器108和数据存储110。应理解,可能有几个应用服务器、层或可链接或以其它方式配置的其它元件、过程或组件,所述应用服务器、层或其它元件、过程或组件可交互来执行例如从适当数据存储获得数据的任务。本文使用的用语“数据存储”指能够存储、访问和/或检索数据的任何设备或设备的组合,这可包括任何标准、分布式或集群环境中的任何组合和数量的数据服务器、数据库、数据存储设备和数据存储介质。
应用服务器108可包括用于如所需地与数据存储集成来执行用于客户端设备102的一个或多个应用的方面的任何适当的硬件和软件,且甚至可处理大多数用于应用的数据访问和业务逻辑。应用服务器108与数据存储110合作提供访问控制服务,且能够产生例如将传递给用户的文字、图形、音频和/或视频的内容,在本实例中该内容可通过网络服务器106以HTML、XML或另一适当的结构化语言的形式提供给用户。
所有请求和响应的处理以及客户端设备102和应用服务器108之间的内容传递可由网络服务器106来处理。应理解,网络服务器106和应用服务器108不是必需的,且它们只是示范性的组件,因为本文讨论的结构化的代码可在本文别处讨论的任何适当的设备或主机上执行。另外,环境100可被构建成使得可提供测试自动化框架来作为用户或应用可订阅的服务。可提供测试自动化框架来作为任何本文讨论的各种测试模式的实施,但是如本文所讨论或指出的,也可使用各种其它实施。
环境100也可包括开发和/或测试端,所述开发和/或测试端包括允许例如开发人员、数据管理员或测试员的用户访问系统的用户设备118。用户设备118可以是例如上文相对于客户端设备102描述的任何适当的设备或机器。例如,环境100也可包括开发服务器120,开发服务器120功能类似于应用服务器108,但是通常在开发和测试期间运行代码,然后才在生产端上部署并执行代码且外部用户才可访问代码。在一些实施方案中,应用服务器可充当开发服务器,且可不使用单独的生产和测试存储。
数据存储110可包括几个单独的数据表、数据库或用于存储与特定方面相关的数据的其它数据存储机构和介质。例如,示出的数据存储110包括用于存储生产数据112和用户信息116的机构,生产数据112和用户信息116可用来为生产端提供内容。数据存储110也示出为包括用于存储测试数据114的机构,测试数据114可与用户信息一起用于测试端。应理解,可能有存储在数据存储110中的例如用于页面映像信息和访问权限信息的许多其它方面,页面映像信息和访问权限信息适当时可存储在上文列出的任何机构中或数据存储110中另外的机构中。
数据存储110可通过与之相关的逻辑来操作,以接收来自应用服务器108或开发服务器120的指令,并作为回应获得、更新或处理数据。在一个实例中,用户可提交对某一类型项目的搜索请求。在这种状况下,数据存储110可访问用户信息116来验证用户身份,且可访问目录详细信息来获得关于所述类型项目的信息。然后,可将信息返回到用户,例如,以在用户能够通过用户设备102上的浏览器来查看的网页上列出的结果的形式。可在专用页面或浏览器的窗口中查看感兴趣的特定项目的信息。
每个服务器通常将包括提供用于该服务器的一般管理和操作的可执行程序指令的操作系统,且通常将包括存储被服务器的处理器执行时允许服务器执行其预定功能的指令的计算机可读介质。服务器的操作系统和一般功能的适当实施是已知的或可购得的,且易于由本领域的普通技术人员特别是根据本文的公开来实施。
在一个实施方案中,环境100是使用几个计算机系统和组件的分布式计算环境,这些计算机系统和组件使用一个或多个计算机网络或直接连接通过通信链接互连。然而,本领域的普通技术人员应理解,所述系统可在具有比图1示出的组件更多或更少组件的系统中同样操作良好。因此,图1中系统100的描绘应理解为本质上是说明性,而不是限制本公开的范围。
在至少一个实施方案中,环境100的一个或多个方面可合并和/或合并成虚拟设施提供体系结构。图2描绘了根据至少一个实施方案的示范性虚拟设施提供体系结构200的方面。示范性虚拟设施提供体系结构200包括通过网络208通信地连接到虚拟设施提供商206的多个客户端202-204。例如,客户端202-204可对应于例如图1的计算设备102的计算设备和/或并入这样的计算设备的客户端程序。客户端202和客户端204之间的省略号指示虚拟设施提供体系结构200可包括任何适当数量的客户端(例如,成千上万、数百万或更多个),但是为了简洁,图2中只示出两个客户端。
客户端202-204中的一个或多个可被虚拟设施提供商206的一个或多个客户用来与虚拟设施提供商206的控制平面210交互,从而提供一个或多个虚拟设施212。另外或替代,客户端202-204中的一个或多个可被(不一定是虚拟设施提供商206的客户)用来与提供的虚拟设施212交互。提供的虚拟设施212可包括任何适当的虚拟设施。适当虚拟设施212的实例包括虚拟计算机系统214、虚拟网络连接216和虚拟数据存储218,以及图2中未示出的虚拟设施,例如专门的数据处理代理、包括音频和视频流代理的媒体流代理、消息队列、被配置来通知订阅者具有匹配发布到发布-订阅主题的事件的订阅的发布-订阅主题、监控代理、负载平衡代理和它们的适当组合。
虚拟设施提供商206可包括任何适当的实施资源220。虚拟设施212中的每一个可被实施资源220集合来实施。在至少一个实施方案中,实施资源220的各种实施资源可被配置来参与至少部分实施虚拟设施212的多个虚拟设施。适当的实施资源220的实例包括虚拟计算机系统(VCS)服务器222、网络硬件224和数据存储服务器226,以及图2中未示出的实施资源和/或下文参看图3更详细描述的实施资源。控制平面210可处理虚拟设施提供请求、管理虚拟设施212到实施资源220的分配和/或管理实施资源220到虚拟设施212的分配,以及提供相关成本核算服务。
当实施资源220的特定实施资源参与虚拟设施212的多个虚拟设施的实施时,实施资源可变得争用,例如,实施资源可从请求服务时间增加的多个虚拟设施接收足够的服务请求。争用的实施资源可以是例如至少部分基于请求服务时间的变化的虚拟设施之间非预定和/或未经授权的信息传递的源。在至少一个实施方案中,客户可至少部分通过请求客户的虚拟设施被提供有专用实施资源来向虚拟设施提供商206的其它客户建立所述信息传递的屏障。所述屏障可降低虚拟设施的其它客户中的一个或多个访问关于客户的虚拟设施的未公开信息的可能性。界定实施资源专用单元的实施资源专用边界可对应于物理和/或硬件组件之间的边界,包括由于物理屏障和/或物理分离所产生的边界以及硬(例如,硬件执行)调度和/或时间界限,和它们的适当组合。
图3描绘了根据至少一个实施方案的数据中心的其它方面。数据中心302可包括多个服务器机架304-306。数据中心302是图4的数据中心402、404的实例。服务器机架304和服务器机架306之间的省略号指示数据中心302可包括任何适当数量的服务器机架,但是为了简洁,图3中只示出两个服务器机架。每个服务器机架304-306可参与维护服务,例如,到多个服务器计算机308-314和316-322的电力和数据通信。另外,省略号指示服务器机架304-306可包括任何适当数量的服务器计算机。例如,服务器计算机308-322可包括一个或多个VCS服务器222(图2)和/或一个或多个数据存储服务器226。每个服务器308-322可对应于实施资源专用单元。
在图3中,每个服务器机架304-306被描绘为包括机架交换机324-326。机架交换机324和326可负责把数字数据的数据包交换到它们服务器计算机308-314和316-322的各自的集合以及从它们服务器计算机308-314和316-322的各自的集合来交换数字数据的数据包。每个机架交换机324-326可对应于实施资源专用单元。然而,在服务器机架304-306包括一个机架交换机324-326的状况下(图3中描绘),把机架交换机324-326专用于虚拟设施提供商206(图2)的特定客户造成了各自的服务器机架304-306的专用。这是根据至少一个实施方案的造成含有专用单元(“含有单元专用”)的专用的实施资源专用单元的组件(实施资源专用子单元)的专用的实例。实施资源专用单元可指示它们子单元中哪些(若有)造成含有单元专用。
机架交换机324-326可通信地链接到数据中心交换结构328,然后链接到把数据中心302连接到包括互联网的一个或多个其它计算机网络的边缘路由器330的集合。边缘路由器330可被配置来把一些或所有传入的网络流量路由到一个或多个DDoS缓解设备331。例如,如果一个或多个互联网协议(IP)地址是当前DDoS攻击的目标,那么边缘路由器330可被配置来把定向到那些IP地址的流量路由到DDoS缓解设备331。DDoS缓解设备可以是可操作以分析网络流量和/或与之相关的信息并至少部分基于分析来通过阻止或缓解例如DDoS攻击部分所产生的流量的潜在有害流量从而缓解网络流量的任何设备。这样的DDoS缓解设备的实例可购自位于6Omni Way,Chelmsford,Massachusetts01824的Arbor Networks,例如,ArborPeakflow SP、Arbor Peakflow TMS、Arbor Peakflow X和/或可购自Arbor Networks的其它设备。通常,DDoS缓解设备可以是可操作以缓解DDoS或其它潜在有害流量的任何设备或设备的组合。例如,虽然在附图中示出为在边缘路由器330和交换结构之间,但是DDoS缓解设备可位于其它位置,例如,数据中心的外部网络和可能潜在成为DDoS和/或其它攻击的对象的计算设备之间的任何适当的位置。例如,虽然示出为单独的设备,但是数据中心中其它设备、DDoS缓解设备的功能可由其它设备来执行。例如,充当边缘路由器的一个或多个设备可执行DDoS缓解功能。类似地,数据中心中多个设备可共同执行示出的DDoS缓解设备的一个或多个功能。
交换结构可包括网络组件的任何适当的集合,所述网络组件包括布置在一个或多个交换层中的一个或多个交换机类型的多个互连交换机332-338(为了简洁,图3中只示出了4个),以及路由器、网关、网桥、集线器、中继器、防火墙、计算机和它们适当的组合。在至少一个实施方案中,机架交换机324-326和边缘路由器330被认为是交换结构328的部分。机架交换机324-326、边缘路由器330和交换结构328的组件是图2的网络硬件224的实例。
交换结构328的部分、例如交换机332-338的集合的交换结构328网络组件的集合和/或边缘路由器330可对应于实施资源专用单元。另外或替代,虚拟设施提供商206(图2)的特定客户可指定客户的虚拟设施被提供有通过交换结构328和/或边缘路由器330的专用数据路径和/或信道(统称为“数据路径”)的集合。相对于专用数据路径,实施资源专用单元可对应于例如导线和/或电缆集合的物理数据路径。另外或替代,实施资源专用单元可对应于同步通信方案中的硬调度通信时隙。
图4示出了根据一个实施方案的对应于DDoS攻击的过程400的说明性实例。过程400(或本文描述的任何其它过程,或变化和/或它们的组合)可在配备有可执行指令的一个或多个计算机系统的控制下执行,且可被硬件实施为共同在一个或多个处理器上执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用程序),或它们的组合。例如,代码可用包括可由一个或多个处理器执行的多个指令的计算机程序的形式存储在计算机可读存储介质上。在一个实施方案中,过程400包括在多个地理位置部署402网络存在点(POP)。例如,POP可位于由各种互联网服务提供商(ISP)服务的多个地理位置中。例如,POP可与各种ISP的数据中心并置。举例来说,POP可部署到DDoS攻击目前起源的任何地理位置。为了说明的目的,当本公开讨论多个POP的部署时,本公开的各种实施方案可使用单个部署的POP。在一个实施方案中,每个POP可操作以宣布边界网关协议(BGP)路由到互联网,以使到某些目标的至少一些网络流量通过POP被路由。当本公开就部署POP而言讨论实施方案时,其它变化也是可能的。例如,POP可能已由ISP或其它实体部署。本公开的各种实施方案可包括与所述实体合作来使用所述POP的资源。
在一个实施方案中,检测DDoS攻击404。DDoS攻击的检测可用任何适当的方式来进行,例如,使用合适的网络分析且/或接收指示DDoS攻击的信息。例如,远程计算服务提供商的客户可通知远程计算服务提供商:由远程计算服务提供商代表客户服务的一个或多个IP地址目前正受DDoS攻击。在一个实施方案中,当检测到DDoS攻击时,识别DDoS攻击的一个或多个地理来源406。识别DDoS攻击来源可用任何适当的方式执行,例如,通过分析识别的IP数据包的源IP地址,或例如下文更详细描述的其它方式。
一旦DDoS攻击的一个或多个来源被识别,就识别被识别来源的一个或多个部署的POP408。一个或多个POP例如可以是地理上最接近被识别为DDoS攻击的来源的地理区域的POP。例如,如果DDoS攻击的来源被识别为在特定国家,那么POP可识别为至少部分基于在那个国家或地理上接近那个国家的POP。如果国家由多个ISP服务,那么可识别多个POP,其中每个ISP有一个POP。一个或多个POP也可至少部分基于以其它方式测量的接近性来识别,例如,至少部分基于网络拓扑和/或其它网络状况的接近性。例如,可根据一个或多个网络状况来识别一个或多个POP,所述网络状况包括但不限于观察到的等待时间、跳计数(网络拓扑距离)、可用的带宽、地理距离和政治管辖权。网络状况可通过测量定向到检测的DDoS攻击的受害对象的所有或一些网络流量的适当值或以任何适当的方式来确定。在一些实施方案中,POP可位于可获得多个运营商的交换中。另外,多个ISP服务的地理位置在安装时可具有单个POP,其中可从多个ISP中一个或多个获得低等待时间、价格相对低廉的带宽和/或其它优点。在地理位置(例如,国家)被多个ISP服务的实例中,可识别一个、一些或所有ISP的POP。
作为特定实例,对于一些政治管辖权,可能期望把相同政治管辖权中的POP识别为被接收的网络流量的至少部分的来源。另举一例,可能期望识别一个或多个POP,在通过所述POP路由网络流量之后,所述POP将产生网络流量的最低等待时间。在这后一个实例中,如果管辖考虑不另作指示,那么就可识别具有对应网络流量的最低等待时间的POP。识别的POP可能是也可能不是地理上最接近检测到的DDoS攻击的地理来源的POP。通常,一个或多个POP的识别可用至少部分基于重新定向DDoS攻击的流量通过所识别的POP的能力来选择POP的方式来进行。一旦识别了一个或多个识别的来源的一个或多个POP,那么在一个实施方案中,一个或多个边界网关协议(BGP)路由就被在识别的一个或多个POP处宣布(宣扬)410。路由的宣布可由POP的BGP扬声器进行。BGP扬声器可用指示一个或多个合适的ISP把流量通过一个或多个POP路由的任何方式来宣扬路由。这样,与POP连接的ISP可更新路由表来反映通过所识别的POP的网络流量的优选路由,或者可重新配置一个或多个系统,使得与DDoS攻击潜在相关的网络流量的至少部分通过一个或多个识别的POP被路由。
一旦宣布了一个或多个BGP路由,就可接收412宣布的BGP路由中一个或多个位置处的网络流量。例如,网络流量可在POP处被接收。然而,网络流量可在其它位置被接收,例如是宣布的BGP路由的部分的另一位置。通过接收网络流量,一个或多个缓解技术可应用414到接收的流量。例如,可分析接收的流量的数据包,且如果分析把数据包识别为DDoS攻击的部分就可阻止数据包。各种技术包括但不限于使用SYN代理、源速率限制、使用访问控制列表的动态过滤、高速缓存被确定为合法的IP地址时使用SYN代理的有效验证、例如传输控制协议(TCP)状态异常识别的异常识别、粒度速率限制、白名单、黑名单、阻止来自黑暗的IP地址的流量、其它技术,以及技术的组合。通常,可使用用于识别源自DoS的网络流量的至少部分的任何技术。未根据一个或多个缓解技术受阻的流量可被分发416到流量的预定目标。
图5和6分别提供DDoS攻击和执行上文结合图4描述的过程400的结果的说明性实例。具体来说,图5示出包括美国、俄罗斯、乌克兰和澳大利亚的表示的地图500。如图所示,地图500包括美国的数据中心502和源自分布在例如来自俄罗斯、乌克兰和澳大利亚的各种位置的各种地理位置的多个计算设备504的流量。在这个特定的实例中,一个或多个计算设备504可把流量发送到数据中心202服务的IP地址(或IP地址的集合)。这个流量的一部分可能是合法流量,而所述流量的其它部分可能是DDoS攻击的部分。在这个特定的实例中,数据中心502位于美国,且计算设备504位于澳大利亚、俄罗斯和乌克兰。当然,所描绘的特定国家只是说明性实例,且DDoS攻击可源自其它地方,包括与DDoS攻击的受害对象相同的国家。另外,虽然图5为了说明的目的示出了本公开就各种国家的各种方面,但是DDoS攻击的部分来源的地理区域不一定必需对应于政治边界,且/或可对应于或大致对应于其它类型的政治边界,例如,城市边界、州边界、县边界、大陆边界等。
如图5所示,发送到数据中心502的流量可通过各种路由到达数据中心。这些路由可穿过多个提供商网络。例如,源自俄罗斯的网络流量可最初通过俄罗斯ISP的通信信道(例如,光纤电缆)直到进入另一ISP或其它电信运营商的信道。网络流量在到达它的目标之前可通过许多区域和/或国家ISP和其它电信运营商。例如,源自俄罗斯的至少一些流量可通过至少一个俄罗斯公司、至少一个欧洲公司、至少一个跨洲运营商和至少一个美国公司操作的设备。源自一个国家的各种数据包可进行各种路由到相同的目标。
另外,如图5示出,地图500也包括多个远程部署的POP506。具体来说,在这个说明性实例中,一个POP位于俄罗斯、乌克兰和澳大利亚中每一个中。POP506中一个或多个可以是可包括但不必需包括一个或多个服务器、路由器、异步传输模式(ATM)交换机和/或数字/模拟调用聚合器的物理位置。物理位置中每一个可能是与数据中心502相关的实体出租、租赁或以其他方式使用的电信提供商的设施的部分,但是物理位置也可以是单独的。POP中一个或多个也可位于互联网交换点或并置中心。如附图所示,到数据中心502的流量中的一些可通过POP中一个或多个来作为正常路由的部分,但是流量不需要通过任何POP来作为正常路由的部分。
如上所述,图6示出地图600,在这个实例中,地图600是上文讨论的地图500。例如,如参看图5所述,图6的地图600包括位于美国的数据中心602和把信息发送到数据中心602的多个计算设备604。如图示出,计算设备位于澳大利亚、俄罗斯和乌克兰。另外,地图600也包括多个POP606,在这个实例中,俄罗斯、乌克兰和澳大利亚中每个有一个POP。在一个实施方案中,一旦检测到DDoS攻击,附图中示出的POP中每一个就可宣扬一个或多个通过POP的BGP路由,从而使相关ISP把到数据中心602的流量通过POP路由。POP606然后接收来自计算设备604的流量的部分、如上文描述般过滤所述流量,并把未过滤的流量传递到数据中心602。未过滤的流量可通过专用VPN或暗光纤网络来发送,但是流量也可通过例如一个或多个另外的VPN或暗光纤网络的其它信道来发送。这样,涉及DDoS攻击的流量的部分在靠近攻击源的位置处被阻止。
如上所述,图5和6共同示出DDoS攻击和缓解DDoS攻击的影响的实施方案。然而,上文所述过程的变化被认为是在本公开的范围内。例如,POP可在检测到DDoS攻击之前宣布一个或多个IP地址(可能是数据中心的几个客户的IP地址)的BGP路由。这样,到源自俄罗斯、乌克兰和/或澳大利亚的数据中心的大量的流量可在大部分时间通过POP。流过POP的网络流量可始终被过滤,或者为了节约计算资源可在检测到DoS攻击之后被过滤。包括下文讨论的一些变化的其它变化也在本公开的范围内。
如上所述,本公开的各种实施方案可用以提供DDoS缓解服务来作为对一个或多个客户的服务。例如,参看图5和6,客户可能是操作数据中心的远程计算服务提供商的用户。然而,客户可能是其它客户,例如,使用其它数据中心和/或它们自己的数据中心的实体。客户也可能是ISP、电信运营商或促进网络流量通过各种网络的传递的其它实体。因此,图7示出了根据一个实施方案的用于向所述客户提供DDoS缓解服务的示范性过程700。在这个实例中,过程700包括接收702DDoS攻击的通知。例如,发现受到DDoS攻击的组织(例如,计算服务提供商的客户)可订购DDoS缓解服务,且可接收通知作为订购过程的部分。另举一例,通知可从可能是检测DDoS攻击的第三方系统的系统接收。通常,可使用被通知DDoS攻击的任何方式。
在一个实施方案中,在接收通知(或以其它方式知晓有DDoS攻击)之后,宣布704攻击目标(受害对象)的一个或多个BGP路由。例如,宣布一个或多个BGP路由可根据以上描述来执行。例如,可向对应于目标的一个或多个IP地址宣布BGP路由。也可向可以是含有攻击目标的一个或多个IP地址集合的最小IP地址空间的IP地址空间宣布BGP路由。如上所述,宣布一个或多个BGP路由可使网络流量在宣布的一个或多个BGP路由的一个或多个位置处被接收706。例如,网络流量可在例如上文讨论的一个或多个远程部署的POP处被接收。一个或多个缓解技术(策略)可例如以上文描述的方式来应用708到接收的网络流量。
与缓解技术应用同时,或在另一适当的时间,可进行一个或多个攻击相关测量710。攻击相关测量可以是被提供给受影响实体的DDoS缓解服务的任何方面的测量。例如,测量可以是定向到被接收的DDoS受害对象的流量的测量。另外或替代,可对被从预定目标阻止的流量进行测量。可使用的其它可能测量包括但不限于应用任何DDoS缓解策略的时间量、作为DDoS攻击目标的IP地址的数量,和/或DDoS缓解服务的通常任何方面。通常,可测量指示代表受害对象的DDoS缓解服务的性能的任何方面。
在一个实施方案中,已被接收但未被阻止的流量被例如以上文描述的方式分发712到它的预定目标。另外,可至少部分基于所进行的测量来产生714一个或多个报告。例如,根据本描述产生的报告可以是概述代表客户进行的DDoS缓解的发票。因此,在一个实施方案中,所产生的报告被提供716到受影响实体,且来自受影响实体的值可至少部分基于报告来接收718。例如,报告可陈述将免除的金额,且值可能就是所述金额或另外的量。
如上所述,本公开的各种实施方案以不同方式操作。例如,上文结合图4讨论的过程400包括检测DDoS攻击和向识别为地理上靠近攻击的一个或多个源区域的POP宣布BGP路由。图8示出这个过程的变化的说明性实例的流程图。具体来说,图8示出了根据一个实施方案的可用于DDoS缓解的过程800的说明性实例。过程800的方面可类似于结合上文结合图4描述的过程400描述的方面。例如,在一个实施方案中,网络POP被例如以上文描述的方式部署802在多个地理位置。类似地,可检测DDoS攻击804。另外,根据一个实施方案,一个或多个BGP路由被POP宣布。在一个实施方案中,向所有部署的POP宣布BGP路由,但是BGP路由可被向少于所有部署的POP宣布。宣布BGP路由可独立于DDoS攻击的任何地理来源的任何确定而执行。
如上文所讨论,在POP宣布BGP路由可使与DDoS攻击相关的流量的至少一些通过宣布的BGP路由的一个或多个位置被路由,例如,在POP本身。因此,一个或多个缓解技术可应用808到在POP接收的流量。例如,缓解技术可以是根据以上描述的那些技术。在一个实施方案中,对POP中每一个测量810每个POP处阻止的流量的量。例如,可计数因为应用DDoS缓解技术而阻止的IP数据包的数量。通常,可使用测量缓解DDoS攻击所用的计算资源或测量指示所述资源消耗的任何方面的任何适当的方式。
在一个实施方案中,具有低测量阻止的一个或多个POP被识别812,且根据一个实施方案用于缓解识别的POP的资源被减少814。例如,可允许接收的IP数据包传递到它们的目标而不被分析且潜在地阻止。另外或替代,可更新宣布的BGP路由来减少、可能完全减少到远程部署的POP接收并被POP过滤的DDoS受害对象的网络流量的量。另外,对于定向到DDoS受害对象的至少网络流量,POP可停止与ISP的通信,从而迫使ISP更新它的路由表来不包括POP。另外,可使用更快但效果较差的DDoS缓解技术来代替更深入和资源密集型的技术。通常,可使用减小DDoS缓解所用的资源的任何适当的方法。
如图所示,每个POP(或其它适当的指示器)处阻止的流量的量可被反复测量并使用,来识别未阻止显著量的流量的POP并相应地减少DDoS缓解所用的资源。这样,DDoS缓解所用的计算资源被持续监控,且资源消耗被相应地调整。另外,如果DDoS攻击停止,那么受害对象的DDoS缓解的资源消耗可停止,且阻止的流量的量减小而DDoS缓解所用的资源的量也相应地减小。
正如本文描述的所有过程,变化被认为是在本公开的范围内。例如,图8中描绘的过程800也可包括监控来确定是否根据DDoS攻击的来源随时间的改变宣布BGP路由。另外,如上所述,BGP路由可在检测或以其它方式知晓有DDoS攻击之前宣布。在这个实例中,可在必要时调整DDoS缓解所用的资源的量,同时网络流量的显著部分仍将流经远程部署的POP。
如上所述,本公开的实施方案提供超过用于缓解DDoS攻击和类似网络状况的影响的传统技术的许多优势。例如,对DDoS攻击作出反应的一种方式涉及改变受攻击的网络目标的IP地址(或位置集合的多个地址),使得DDoS相关的流量被发送到旧的IP地址,而新的IP地址可用于合法目的。然而,更新IP地址来避免DDoS攻击可包括更新域名系统(DNS)配置,使得合法流量可路由到更新的IP地址。然而,当更新DNS配置时,DDoS攻击可重新配置来攻击新的IP地址。其它传统的技术可涉及更新IP地址和重新配置网络设备,使得合法流量通过第三方被路由且预定到不源自第三方的原始IP地址的流量不被允许到达原始IP地址。所述技术可侵入受害对象,因为它们可要求重新配置DNS配置(且等候所述配置改变来传播)。然而,本公开的各种实施方案不需要DDoS攻击的受害对象来更新IP地址,因为可归因于DDoS攻击的网络流量实质减少并可能消除。因此,DDoS攻击的受害对象(例如,使用本文描述的一个或多个技术的计算服务提供商的客户)能够获得保护而具有更少的干扰和不便。
如上所述,虽然在各种实施方案中不是必须的,但是作为另外的策略,DDoS攻击的受害对象可试图通过改变它们操作的一个或多个IP地址来避免DDoS攻击的有害影响。例如,如果组织是一个或多个IP地址组的DDoS攻击的受害对象,那么组织可重新配置它的服务器来使用一个或多个不同的IP地址操作。在重新配置之后,新的IP地址可在一个或多个域名系统(DNS)服务器中更新,来通知用户新的地址。然而,DDoS攻击也可适应,来当刷新DNS信息或以其它方式发现新的网络位置时攻击新宣布的IP地址。因此,图9示出缓解使用所述避免攻击技术的受害对象的DDoS攻击的影响的过程900。
所本文所说明,过程900是结合检测902的对例如远程计算服务提供商的客户的客户的DDoS攻击示出的。然而,可根据DDoS攻击的任何受害对象来使用过程900的变化。在一个实施方案中,当检测到DDoS攻击时,例如以上文描述的方式来宣布904攻击目标的一个或多个BGP路由。如上文结合宣布的攻击目标的BGP路由所述,可在宣布的BGP路由中的位置接收906网络流量。例如,网络流量可在根据本文描述的各种实施方案部署的POP处接收。另外,一个或多个缓解技术可应用912到接收的流量,且未受阻流量可分发914到它的预定目标。
在一个实施方案中,检测916客户的一个或多个新的IP地址和/或终止IP地址。例如,根据使用例如上文结合图2描述的系统的系统的实施方案,虚拟资源提供商206可检测对应于订购新的IP地址和/或终止现有IP地址的一个或多个客户端204的它的控制平面210事件。在一个实施方案中,在检测到新的和/或终止的IP地址之后,更新918一个或多个BGP路由,来使DDoS攻击的网络流量路由使得一个或多个DDoS缓解技术可例如以上文所述的方式应用到所述流量。这样,当客户或其它组织更新IP地址时,可相应地更新BGP路由,使得接近不断地缓解DDoS攻击的影响。重要的是,在攻击者能够发现受害对象的新的IP地址之前,使其免受DoS攻击的保护就位。
如上所述,数据中心或流量最终预定的其它位置可使用例如上文结合图3所述的一个或多个DDoS缓解设备。然而,DDoS缓解设备通常比较昂贵,因此,为了接收最值,可能期望通过选择性地路由流量通过DDoS缓解设备来选择性地使用DDoS缓解设备。因此,图10示出选择性地使用DoS缓解资源的过程1000。在一个实施方案中,过程1000的性能在托管与受到DDoS攻击的系统的一个或多个IP地址相关的一个或多个设备的数据中心处执行。在一个实施方案中,接收1002入站数据包。虽然图10的说明性实例讨论本公开与数据包相关的实施方案,但是过程1000可适用于其它类型的流量,包括非基于数据包的流量。例如,过程1000可适于接收并分析传递通过网络的例如流的信息的其它单元,其中流是相关数据包的序列。在图10示出的特定实施方案中,当接收1002入站数据包时,确定1004数据包的源。在一个实施方案中,确定源是部署的缓解设备(例如,根据上文描述的远程部署的POP中的设备)还是另一源。例如,部署的缓解设备可以是提供比数据中心处的另一缓解设备粗劣的网络过滤水平的设备,例如上文所述的Arbor产品。在一个实施方案中,如果确定数据包的源是部署的缓解设备,那么数据包就被路由到第二缓解设备,例如上文结合图3讨论的DDoS缓解。例如,第二缓解设备可以是Arbor或其它产品,且可比部署的缓解设备更精细地过滤网络流量。
根据一个实施方案,可将一种或多种第二缓解技术应用1008到接收的数据包,例如上文讨论的Arbor Networks提供的解决方案所使用的一种或多种技术。在把任何缓解技术应用到接收的数据包之后,如果数据包未被应用的第二缓解技术过滤,那么未过滤的数据包被路由1010到它的预定目标,例如,接收入站数据包的数据中心托管的设备的IP地址。这样,与DDoS攻击相关的易检测的网络流量源附近停止,而较难检测的DDoS流量可在更中心位置处被阻止。因此,较便宜的设备可远程部署到许多远程位置,而较昂贵的设备可部署在较中心位置,从而允许能够使用较昂贵的设备来保护比如果未部署并使用远程缓解设备更大数量的网络目标。当接收1002数据包时,可重复过程100来确保更可能成为DDoS攻击部分的流量被分析且必要时被过滤,而成为DDoS攻击部分的可能性较小的其它流量被直接路由到它的预定目标。
如上所述,以上描述的变化被认为是在本公开的范围内。例如,虽然以上说明性实例示出了与DDoS攻击相关的各种实施方案,但是本文描述并建议的许多技术类似地可应用到其它类型的攻击。例如,以上技术中的许多技术可应用到其它类型的DoS攻击而不只是DDoS攻击。本领域的技术人员将理解其它变化。
条款:
条款1.一种用于缓解分布式拒绝服务攻击的影响的计算机实施的方法,其包括:
在配备有可执行指令的一个或多个计算机系统的控制下,
接收指示对受害对象的分布式拒绝服务攻击的信息;和
进行使一个或多个远程部署的网络存在点每个都接收发给所述受害对象的网络流量的至少部分的一个或多个行动;
向一个或多个远程部署的网络存在点发送使所述一个或多个远程部署的网络存在点每个都进行以下操作的指令:
分析发给所述受害对象的所接收的网络流量的至少部分;
至少部分基于分析发给所述受害对象的所述接收的网络流量的所述部分,阻止可归因于所述分布式拒绝服务攻击的所述接收的网络流量的至少部分;和
把发给所述受害对象的所述接收的网络流量的未受阻部分分发到所述受害对象。
条款2.如条款1所述的计算机实施的方法,其还包括:
接收所述接收的网络流量的所述分发的未受阻部分;和
把一个或多个分布式拒绝服务攻击缓解技术应用到所述网络流量的所述接收的分发的未受阻部分。
条款3.如条款1所述的计算机实施的方法,其中所述一个或多个行动包括:对于所述一个或多个远程部署的网络存在点中的每一个,促使宣布所述受害对象的一个或多个互联网协议地址的对应优选边界网关协议路由。
条款4.如条款1所述的计算机实施的方法,其还包括:
识别与所述分布式拒绝服务攻击相关的一个或多个网络状况;
至少部分基于所述识别的一个或多个网络状况,从远程部署的网络存在点的集合选择所述一个或多个远程部署的网络存在点。
条款5.如条款4所述的计算机实施的方法,其中识别所述一个或多个网络状况包括确定由以下项组成的组的一个或多个成员的一个或多个值:等待时间、跳计数、可用的带宽、地理距离和政治管辖权。
条款6.如条款1所述的计算机实施的方法,其中分发发给所述受害对象的所述接收的网络流量的所述未受阻部分包括:把所述接收的网络的所述未受阻部分通过与所述一个或多个计算机系统相关的专用信道向所述受害对象发送。
条款7.如条款1所述的计算机实施的方法,其中所述一个或多个行动不包括改变所述受害对象的目标网络地址。
条款8.如条款1所述的计算机实施的方法,其中接收指示对所述受害对象的所述分布式拒绝服务攻击的所述信息包括:接收来自所述受害对象的针对所述分布式拒绝服务攻击给予保护的请求。
条款9.一种用于缓解拒绝服务状况的影响的计算机实施的方法,其包括:
在配备有可执行指令的一个或多个计算机系统的控制下,
进行使至少一个远程网络服务提供商通过特定位置路由发给一个或多个网络目标的网络流量的至少部分的一个或多个行动,所述一个或多个网络目标对应于地理上远离所述特定位置的一个或多个服务器;
至少在指示对所述一个或多个网络目标的拒绝服务攻击的网络状况期间,使所述特定位置处的一个或多个计算设备过滤发给所述一个或多个网络目标的网络流量,然后再把所述过滤的网络流量向所述一个或多个网络目标分发,所述过滤的网络流量不包括发给被确定为非法的所述一个或多个网络目标的网络流量。
条款10.如条款9所述的计算机实施的方法,其中进行所述一个或多个行动是回应于所述拒绝服务攻击。
条款11.如条款9所述的计算机实施的方法,其中使所述一个或多个计算设备过滤网络流量包括使所述一个或多个计算设备通过与所述一个或多个计算机系统相关的专用信道路由所述过滤的网络流量。
条款12.如条款9所述的计算机实施的方法,其还包括:
接收所述过滤的网络流量;
把一个或多个拒绝服务缓解策略应用到所述过滤的网络流量来进一步过滤所述过滤的网络流量;和
把所述进一步过滤的网络流量分发到所述一个或多个网络目标。
条款13.如条款9所述的计算机实施的方法,其还包括:
检测与所述一个或多个网络目标相关的一个或多个新的网络地址;和
进行使发给所述一个或多个网络目标的所述一个或多个新的地址的网络流量通过所述特定位置被路由的一个或多个更新行动。
条款14.如条款13所述的计算机实施的方法,其中所述一个或多个新的网络地址由代表计算服务提供商的客户的所述一个或多个计算机系统来提供,且其中所述一个或多个计算机系统和所述特定位置的一个或多个设备都由所述计算服务提供商操作。
条款15.如条款13所述的计算机实施的方法,其中所述一个或多个计算机系统包括控制环境,其中所述一个或多个新的网络地址是使用所述控制环境来提供的,且其中检测所述一个或多个新的网络地址是在所述控制环境中执行的。
条款16.如条款9所述的计算机实施的方法,其中所述一个或多个计算机系统在第一国家,且其中所述特定位置在与所述第一国家不同的第二国家。
条款17.如条款9所述的计算机实施的方法,其中所述一个或多个目标对应于一个或多个目标网络地址,且其中所述一个或多个行动不包括改变所述一个或多个目标网络地址。
条款18.一种用于缓解拒绝服务攻击的影响的计算机实施的方法,其包括:
在配备有可执行指令的一个或多个计算机系统的控制下,
对于一个或多个网络目标,使发给所述一个或多个网络目标的网络流量通过一个或多个地理上远程的网络位置被路由,所述一个或多个地理上远程的网络位置中的每一个可操作以把一个或多个拒绝服务缓解策略应用到所述网络流量,所述一个或多个网络目标在一个或多个提供商网络中,且所述地理上远程的网络位置中的每一个在与所述一个或多个提供商网络不同的对应提供商网络中;
通过专用信道接收所述网络流量;和
把所述接收的网络流量的至少一些提供给所述一个或多个网络目标。
条款19.如条款18所述的计算机实施的方法,其中使发给所述一个或多个网络目标的所述网络流量是回应于对所述一个或多个网络目标的拒绝服务攻击来执行的。
条款20.如条款18所述的计算机实施的方法,其还包括:
把一个或多个第二拒绝服务缓解技术应用到所述接收的网络流量。
条款21.如条款18所述的计算机实施的方法,其中所述一个或多个网络目标每个都对应于虚拟机实例。
条款22.如条款18所述的计算机实施的方法,其还包括:
检测所述一个或多个网络目标的一个或多个网络地址的集合中的改变;且
其中使发给所述一个或多个网络目标的所述网络流量包括根据所述检测的改变来更新一个或多个BGP路由。
条款23.如条款18所述的计算机实施的方法,其中所述一个或多个网络目标和所述一个或多个地理上远程的位置每个都包括在与所述一个或多个计算机系统相关的实体的共同控制下的一个或多个设备。
条款24.一种用于防止拒绝服务攻击的计算机系统,其包括:
一个或多个处理器;和
包括在被所述一个或多个处理器执行时使所述计算机系统至少进行以下操作的可执行指令的存储器:
进行使至少一个远程网络服务提供商通过特定位置路由发给一个或多个网络目标的网络流量的至少部分的一个或多个行动,所述一个或多个网络目标对应于地理上远离所述特定位置的一个或多个服务器;
至少在指示对所述一个或多个网络目标的拒绝服务攻击的网络状况期间,使所述特定位置处的一个或多个计算设备过滤发给所述一个或多个网络目标的网络流量,然后再把所述过滤的网络流量向所述一个或多个网络目标分发,所述过滤的网络流量不包括发给被确定为非法的所述一个或多个网络目标的网络流量。
条款25.如条款24所述的计算机系统,其中进行所述一个或多个行动是回应于所述拒绝服务攻击。
条款26.如条款24所述的计算机系统,其中使所述一个或多个计算设备过滤网络流量包括使所述一个或多个计算设备通过与所述一个或多个计算机系统相关的专用信道路由所述过滤的网络流量。
条款27.如条款24所述的计算机系统,其中所述可执行指令进一步使所述计算机系统:
接收所述过滤的网络流量;
把一个或多个拒绝服务缓解策略应用到所述过滤的网络流量来进一步过滤所述过滤的网络流量;和
把所述进一步过滤的网络流量分发到所述一个或多个网络目标。
条款28.如条款24所述的计算机系统,其中所述可执行指令进一步使所述计算机系统:
检测与所述一个或多个网络目标相关的一个或多个新的网络地址;和
进行使发给所述一个或多个网络目标的所述一个或多个新的地址的网络流量通过所述特定位置被路由的一个或多个更新行动。
条款29.一个或多个计算机可读存储介质,其上存储有可由计算机系统的一个或多个处理器执行的指令,当所述指令被所述一个或多个处理器执行时使所述计算机系统至少进行以下操作:
对于一个或多个网络目标,使发给所述一个或多个网络目标的网络流量通过一个或多个地理上远程的网络位置被路由,所述一个或多个地理上远程的网络位置中的每一个可操作以把一个或多个拒绝服务缓解策略应用到所述网络流量,所述一个或多个网络目标在一个或多个提供商网络中,且所述地理上远程的网络位置中的每一个在与所述一个或多个提供商网络不同的对应提供商网络中;
通过专用信道接收所述网络流量;和
把所述接收的网络流量的至少一些提供给所述一个或多个网络目标。
条款30.如条款29所述的一个或多个计算机可读存储介质,其中使发给所述一个或多个网络目标的所述网络流量是回应于对所述一个或多个网络目标的拒绝服务攻击来执行的。
条款31.如条款29所述的一个或多个计算机可读存储介质,其中所述可执行指令还包括使所述计算机系统把一个或多个第二拒绝服务缓解技术应用到所述接收的网络流量的指令。
条款32.如条款29所述的一个或多个计算机可读存储介质,其中所述一个或多个网络目标每个都对应于虚拟机实例。
条款33.如条款29所述的一个或多个计算机可读存储介质,其中所述可执行指令还包括使所述计算机系统至少进行以下操作的指令:
检测所述一个或多个网络目标的一个或多个网络地址的集合中的改变;且
其中使发给所述一个或多个网络目标的所述网络流量包括根据所述检测的改变来更新一个或多个BGP路由。
各种实施方案还可在各种操作环境中实施,所述操作环境在一些状况下可包括可被用来操作许多应用中的任何应用的一个或多个用户计算机、计算设备或处理设备。用户或客户端设备可包括许多例如运行标准操作系统的台式或膝上型计算机的通用个人计算机和运行移动软件且能够支持许多网络和消息协议的蜂窝、无线和手持设备中的任何一个。这样的系统也可包括运行各种市售操作系统和用于例如开发和数据库管理的其它已知应用中的任何一个的许多工作站。这些设备也可包括其它电子设备,例如,哑终端、瘦客户机、游戏系统和能够通过网络通信的其它设备。
大多数实施方案使用本领域的技术人员熟悉的用于使用各种市售协议(例如TCP/IP、OSI、FTP、UPnP、NFS、CIFS和AppleTalk)来支持通信的至少一个网络。例如,网络可能是局域网、广域网、虚拟专用网络、互联网、内联网、外联网、公共交换电话网络、红外网络、无线网络及其组合。
在使用网络服务器的实施方案中,网络服务器可运行任何各种服务器或中间层应用中的任何一个,包括HTTP服务器、FTP服务器、CGI服务器、数据服务器、Java服务器和业务应用服务器。服务器可能也能够回应于来自用户设备的请求而例如通过执行一个或多个网络应用来执行程序或脚本,所述网络应用可实施为以例如
C、C#或C++的任何编程语言或例如Perl、Python或TCL及其组合的任何脚本语言编写的一个或多个脚本或程序。服务器也可包括数据库服务器,包括但不限于可购自和
的服务器。
环境可包括如上文所述的各种数据存储和其它存储器和存储介质。它们可位于各种位置,例如在一个或多个计算机本地(和/或驻留在其中)或对于网络上的任何计算机或所有计算机为远程的存储介质上。在实施方案的特定集合中,信息可位于本领域的技术人员熟悉的存储区域网络(“SAN”)中。类似地,用于执行归因于计算机、服务器或其它网络设备的功能的任何必需的文件可根据情况存储在本地和/或远程。在系统包括计算机化设备的情况下,每个这样的设备可包括可通过总线电耦接的硬件元件,该元件包括例如至少一个中央处理单元(CPU)、至少一个输入设备(例如,鼠标、键盘、控制器、触摸屏或小键盘)和至少一个输出设备(例如,显示设备、打印机或扬声器)。这样的系统也可包括一个或多个存储设备,例如,磁盘驱动器、光学存储设备和固态存储设备,例如随机存取存储器(“RAM”)或只读存储器(“ROM”),以及可移动介质设备、存储卡、闪存卡等。
这样的设备也可包括如上文所述的计算机可读存储介质读写器、通信设备(例如,调制解调器、网络卡(无线或有线)、红外通信设备等)和工作存储器。计算机可读存储介质读写器可与计算机可读存储介质连接或者被配置来接收计算机可读存储介质,所述计算机可读存储介质代表远程、本地、固定和/或可移动存储设备以及用于暂时和/或更永久地包含、存储、传输和检索计算机可读信息的存储介质。系统和各种设备通常也将包括许多软件应用、模块、服务或位于至少一个工作存储器设备内的其它元件,包括操作系统和应用程序,例如客户端应用或网络浏览器。应理解,替代实施方案可具有许多与上文描述的不同的变化。例如,也可使用定制的硬件,且/或特定元件可用硬件、软件(包括便携软件,例如,小程序)或两者来实施。另外,可使用到例如网络输入/输出设备的其它计算设备的连接。
用于包含代码或代码的部分的存储介质和计算机可读介质可包括在本领域中已知或使用的任何适当的介质,包括存储介质和通信介质,例如但不限于以用于信息(例如计算机可读指令、数据结构、程序模块或其它数据)的存储和/或传输的任何方法或技术来实施的易失性和非易失性、可移动和不可移动介质,包括RAM、ROM、EEPROM、快闪存储器或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光学存储、磁带盒、磁带、磁盘存储或其它磁存储设备,或可用来存储所需信息且可由系统设备访问的任何其它介质。基于本文提供的公开和教导,本领域的普通技术人员将理解实施各种实施方案的其它方式和/或方法。
因此,本说明书和附图应被理解为是说明性而不是限制性的。然而,很明显,在不脱离如权利要求书所阐述的本发明的较宽广精神和范围的情况下,可进行各种修改和改变。
其它变化在本公开的精神内。因此,虽然所公开的技术易受各种修改和替代结构的影响,但是本发明的某些说明的实施方案在附图中示出且在上文进行了详细描述。然而,应理解,并不旨在把本发明限于所公开的特定形式,相反,旨在包括落入权利要求书中限定的本发明的精神和范围内的所有修改、替代结构和相等物。
在描述所公开实施方案的上下文(特别是在以上权利要求书的上下文)中使用的用语“一个”和“所述”和类似指代应被理解为包括单数和复数,除非本文另有指示或明显与上下文冲突。用语“包括”、“具有”、“包含”和“含有”应被理解为开放式的用语(即,意指“包括但不限于”),除非另有指定。用语“连接”应被理解为部分或完全包括在其中、附接到或连接在一起,即使有一些干预。本文值的范围的叙述仅旨在充当个别指示落入范围内的每个单独值的速记方法,除非本文另有指示,且每个单独值均被并入说明书,如同其在本文被个别陈述一样。本文描述的所有方法可用任何适当的次序来执行,除非本文另有指示或明显与上下文冲突。本文提供的任何和所有实例或示范性语言(例如,“例如”)的使用仅旨在更好地说明本发明的实施方案而不是限制本发明的范围,除非另有说明。说明书中的语言不应被理解为指示任何未被请求的元件对于实践本发明是必需的。
本文描述了本公开的优选实施方案,包括发明者已知的执行本发明的最佳模式。本领域的普通技术人员在阅读上文描述之后将显而易见这些优选实施方案的变化。发明者预期熟练技术人员根据需要使用这种变化,且发明者预计以本文具体描述的方式之外的方式来实践本发明。因此,本发明包括如适用法律允许的权利要求书中所述主题的所有修改和相等物。另外,本发明包括本发明的所有可能变化中上述元件的任何组合,除非本文另有指示或明显与上下文冲突。
本文引用的包括公开案、专利申请案和专利案的所有参考在此以引用的方式并入,如同每个参考都被个别地并具体地指示为以引用的方式并入并在本文完整地被阐述。
Claims (14)
1.一种用于缓解拒绝服务状况的影响的计算机实施的方法,其包括:
在配备有可执行指令的一个或多个计算机系统的控制下,
进行使至少一个远程网络服务提供商通过特定位置路由发给一个或多个网络目标的网络流量的至少部分的一个或多个行动,所述一个或多个网络目标对应于地理上远离所述特定位置的一个或多个服务器;
至少在指示对所述一个或多个网络目标的拒绝服务攻击的网络状况期间,使所述特定位置处的一个或多个计算设备过滤发给所述一个或多个网络目标的网络流量,然后再把所述过滤的网络流量向所述一个或多个网络目标分发,所述过滤的网络流量不包括发给被确定为非法的所述一个或多个网络目标的网络流量。
2.如权利要求1所述的计算机实施的方法,其中进行所述一个或多个行动是回应于所述拒绝服务攻击。
3.如权利要求1所述的计算机实施的方法,其中使所述一个或多个计算设备过滤网络流量包括使所述一个或多个计算设备通过与所述一个或多个计算机系统相关的专用信道路由所述过滤的网络流量。
4.如权利要求1所述的计算机实施的方法,其还包括:
接收所述过滤的网络流量;
把一个或多个拒绝服务缓解策略应用到所述过滤的网络流量来进一步过滤所述过滤的网络流量;和
把所述进一步过滤的网络流量分发到所述一个或多个网络目标。
5.如权利要求1所述的计算机实施的方法,其还包括:
检测与所述一个或多个网络目标相关的一个或多个新的网络地址;和
进行使发给所述一个或多个网络目标的所述一个或多个新的地址的网络流量通过所述特定位置被路由的一个或多个更新行动。
6.如权利要求5所述的计算机实施的方法,其中所述一个或多个新的网络地址由代表计算服务提供商的客户的所述一个或多个计算机系统来提供,且其中所述一个或多个计算机系统和所述特定位置的一个或多个设备都由所述计算服务提供商操作。
7.如权利要求5所述的计算机实施的方法,其中所述一个或多个计算机系统包括控制环境,其中所述一个或多个新的网络地址是使用所述控制环境来提供的,且其中检测所述一个或多个新的网络地址是在所述控制环境中执行的。
8.如权利要求1所述的计算机实施的方法,其中所述一个或多个计算机系统在第一国家,且其中所述特定位置在与所述第一国家不同的第二国家。
9.如权利要求1所述的计算机实施的方法,其中所述一个或多个目标对应于一个或多个目标网络地址,且其中所述一个或多个行动不包括改变所述一个或多个目标网络地址。
10.一种用于防止拒绝服务攻击的计算机系统,其包括:
一个或多个处理器;和
包括在被所述一个或多个处理器执行时使所述计算机系统至少进行以下操作的可执行指令的存储器:
进行使至少一个远程网络服务提供商通过特定位置路由发给一个或多个网络目标的网络流量的至少部分的一个或多个行动,所述一个或多个网络目标对应于地理上远离所述特定位置的一个或多个服务器;
至少在指示对所述一个或多个网络目标的拒绝服务攻击的网络状况期间,使所述特定位置处的一个或多个计算设备过滤发给所述一个或多个网络目标的网络流量,然后再把所述过滤的网络流量向所述一个或多个网络目标分发,所述过滤的网络流量不包括发给被确定为非法的所述一个或多个网络目标的网络流量。
11.如权利要求10所述的计算机系统,其中进行所述一个或多个行动是回应于所述拒绝服务攻击。
12.如权利要求10所述的计算机系统,其中使所述一个或多个计算设备过滤网络流量包括使所述一个或多个计算设备通过与所述一个或多个计算机系统相关的专用信道路由所述过滤的网络流量。
13.如权利要求10所述的计算机系统,其中所述可执行指令进一步使所述计算机系统:
接收所述过滤的网络流量;
把一个或多个拒绝服务缓解策略应用到所述过滤的网络流量来进一步过滤所述过滤的网络流量;和
把所述进一步过滤的网络流量分发到所述一个或多个网络目标。
14.如权利要求10所述的计算机系统,其中所述可执行指令进一步使所述计算机系统:
检测与所述一个或多个网络目标相关的一个或多个新的网络地址;和
进行使发给所述一个或多个网络目标的所述一个或多个新的地址的网络流量通过所述特定位置被路由的一个或多个更新行动。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/981,198 US8966622B2 (en) | 2010-12-29 | 2010-12-29 | Techniques for protecting against denial of service attacks near the source |
| US12/981,198 | 2010-12-29 | ||
| PCT/US2011/065876 WO2012091992A1 (en) | 2010-12-29 | 2011-12-19 | Techniques for protecting against denial of service attacks near the source |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103262023A true CN103262023A (zh) | 2013-08-21 |
Family
ID=46383467
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011800611387A Pending CN103262023A (zh) | 2010-12-29 | 2011-12-19 | 用于在源头附近防止拒绝服务攻击的技术 |
Country Status (7)
| Country | Link |
|---|---|
| US (2) | US8966622B2 (zh) |
| EP (1) | EP2659353B1 (zh) |
| JP (1) | JP2014504111A (zh) |
| CN (1) | CN103262023A (zh) |
| CA (2) | CA2820308C (zh) |
| SG (1) | SG190752A1 (zh) |
| WO (1) | WO2012091992A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113056896A (zh) * | 2018-09-28 | 2021-06-29 | 奥兰治 | 在与至少一个域相关联的保护服务之间进行协作和请求协作的方法、相应的代理和计算机程序 |
| CN114598485A (zh) * | 2020-12-04 | 2022-06-07 | 中国电信股份有限公司 | 在小程序后台防止DDoS攻击的方法、设备和介质 |
Families Citing this family (123)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8028090B2 (en) | 2008-11-17 | 2011-09-27 | Amazon Technologies, Inc. | Request routing utilizing client location information |
| US7991910B2 (en) | 2008-11-17 | 2011-08-02 | Amazon Technologies, Inc. | Updating routing information based on client location |
| US7970820B1 (en) | 2008-03-31 | 2011-06-28 | Amazon Technologies, Inc. | Locality based content distribution |
| US8601090B1 (en) | 2008-03-31 | 2013-12-03 | Amazon Technologies, Inc. | Network resource identification |
| US7962597B2 (en) | 2008-03-31 | 2011-06-14 | Amazon Technologies, Inc. | Request routing based on class |
| US8533293B1 (en) | 2008-03-31 | 2013-09-10 | Amazon Technologies, Inc. | Client side cache management |
| US8321568B2 (en) | 2008-03-31 | 2012-11-27 | Amazon Technologies, Inc. | Content management |
| US8606996B2 (en) | 2008-03-31 | 2013-12-10 | Amazon Technologies, Inc. | Cache optimization |
| US8447831B1 (en) | 2008-03-31 | 2013-05-21 | Amazon Technologies, Inc. | Incentive driven content delivery |
| US9407681B1 (en) | 2010-09-28 | 2016-08-02 | Amazon Technologies, Inc. | Latency measurement in resource requests |
| US9912740B2 (en) | 2008-06-30 | 2018-03-06 | Amazon Technologies, Inc. | Latency measurement in resource requests |
| US8122098B1 (en) | 2008-11-17 | 2012-02-21 | Amazon Technologies, Inc. | Managing content delivery network service providers by a content broker |
| US8732309B1 (en) | 2008-11-17 | 2014-05-20 | Amazon Technologies, Inc. | Request routing utilizing cost information |
| US8073940B1 (en) | 2008-11-17 | 2011-12-06 | Amazon Technologies, Inc. | Managing content delivery network service providers |
| US8412823B1 (en) | 2009-03-27 | 2013-04-02 | Amazon Technologies, Inc. | Managing tracking information entries in resource cache components |
| US8688837B1 (en) | 2009-03-27 | 2014-04-01 | Amazon Technologies, Inc. | Dynamically translating resource identifiers for request routing using popularity information |
| US8756341B1 (en) | 2009-03-27 | 2014-06-17 | Amazon Technologies, Inc. | Request routing utilizing popularity information |
| US8782236B1 (en) | 2009-06-16 | 2014-07-15 | Amazon Technologies, Inc. | Managing resources using resource expiration data |
| US8397073B1 (en) | 2009-09-04 | 2013-03-12 | Amazon Technologies, Inc. | Managing secure content in a content delivery network |
| US8433771B1 (en) | 2009-10-02 | 2013-04-30 | Amazon Technologies, Inc. | Distribution network with forward resource propagation |
| US9495338B1 (en) | 2010-01-28 | 2016-11-15 | Amazon Technologies, Inc. | Content distribution network |
| US8577992B1 (en) | 2010-09-28 | 2013-11-05 | Amazon Technologies, Inc. | Request routing management based on network components |
| US10958501B1 (en) | 2010-09-28 | 2021-03-23 | Amazon Technologies, Inc. | Request routing information based on client IP groupings |
| US9712484B1 (en) | 2010-09-28 | 2017-07-18 | Amazon Technologies, Inc. | Managing request routing information utilizing client identifiers |
| US10097398B1 (en) | 2010-09-28 | 2018-10-09 | Amazon Technologies, Inc. | Point of presence management in request routing |
| US8468247B1 (en) | 2010-09-28 | 2013-06-18 | Amazon Technologies, Inc. | Point of presence management in request routing |
| US9003035B1 (en) | 2010-09-28 | 2015-04-07 | Amazon Technologies, Inc. | Point of presence management in request routing |
| US8452874B2 (en) | 2010-11-22 | 2013-05-28 | Amazon Technologies, Inc. | Request routing processing |
| US10467042B1 (en) | 2011-04-27 | 2019-11-05 | Amazon Technologies, Inc. | Optimized deployment based upon customer locality |
| US8949459B1 (en) * | 2011-10-06 | 2015-02-03 | Amazon Technologies, Inc. | Methods and apparatus for distributed backbone internet DDOS mitigation via transit providers |
| US10021179B1 (en) | 2012-02-21 | 2018-07-10 | Amazon Technologies, Inc. | Local resource delivery network |
| US10623408B1 (en) | 2012-04-02 | 2020-04-14 | Amazon Technologies, Inc. | Context sensitive object management |
| US9210180B2 (en) | 2012-04-18 | 2015-12-08 | Radware Ltd. | Techniques for separating the processing of clients' traffic to different zones in software defined networks |
| US9503463B2 (en) * | 2012-05-14 | 2016-11-22 | Zimperium, Inc. | Detection of threats to networks, based on geographic location |
| US9154551B1 (en) | 2012-06-11 | 2015-10-06 | Amazon Technologies, Inc. | Processing DNS queries to identify pre-processing information |
| US9323577B2 (en) | 2012-09-20 | 2016-04-26 | Amazon Technologies, Inc. | Automated profiling of resource usage |
| US10205698B1 (en) | 2012-12-19 | 2019-02-12 | Amazon Technologies, Inc. | Source-dependent address resolution |
| US8997224B1 (en) * | 2013-03-14 | 2015-03-31 | Hrl Laboratories, Llc | Explosive network attack and mitigation strategies |
| US9450981B2 (en) * | 2013-03-14 | 2016-09-20 | Radware, Ltd. | System and method thereof for mitigating denial of service attacks in virtual networks |
| US9722918B2 (en) | 2013-03-15 | 2017-08-01 | A10 Networks, Inc. | System and method for customizing the identification of application or content type |
| US9912555B2 (en) | 2013-03-15 | 2018-03-06 | A10 Networks, Inc. | System and method of updating modules for application or content identification |
| US9838425B2 (en) | 2013-04-25 | 2017-12-05 | A10 Networks, Inc. | Systems and methods for network access control |
| US9294391B1 (en) | 2013-06-04 | 2016-03-22 | Amazon Technologies, Inc. | Managing network computing components utilizing request routing |
| US10038714B2 (en) | 2013-06-18 | 2018-07-31 | Level 3 Communications, Llc | Data center redundancy in a network |
| US9172721B2 (en) * | 2013-07-16 | 2015-10-27 | Fortinet, Inc. | Scalable inline behavioral DDOS attack mitigation |
| US9294503B2 (en) * | 2013-08-26 | 2016-03-22 | A10 Networks, Inc. | Health monitor based distributed denial of service attack mitigation |
| US10877951B2 (en) | 2014-01-22 | 2020-12-29 | International Business Machines Corporation | Network control software notification and invalidation of static entries |
| US10419267B2 (en) | 2014-01-22 | 2019-09-17 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Network control software notification with advance learning |
| US9992161B2 (en) | 2014-06-03 | 2018-06-05 | The Viki Group, Inc. | DDOS protection infrastructures using IP sharing across wide area networks |
| US9350668B2 (en) * | 2014-06-03 | 2016-05-24 | The Viki Group, Inc. | Systems and methods for IP sharing across wide area networks |
| US9497215B2 (en) | 2014-07-23 | 2016-11-15 | Cisco Technology, Inc. | Stealth mitigation for simulating the success of an attack |
| WO2016039642A1 (en) | 2014-09-11 | 2016-03-17 | Pickles Samuel Geoffrey | A telecommunications defence system |
| US9769202B2 (en) * | 2014-09-12 | 2017-09-19 | Level 3 Communications, Llc | Event driven route control |
| WO2016039643A1 (en) * | 2014-09-12 | 2016-03-17 | Pickles Samuel Geoffrey | A telecommunications defence system |
| US9756071B1 (en) | 2014-09-16 | 2017-09-05 | A10 Networks, Inc. | DNS denial of service attack protection |
| US9537886B1 (en) | 2014-10-23 | 2017-01-03 | A10 Networks, Inc. | Flagging security threats in web service requests |
| US9485273B2 (en) | 2014-12-09 | 2016-11-01 | At&T Intellectual Property I, L.P. | System and method to diffuse denial-of-service attacks using virtual machines |
| US10091096B1 (en) | 2014-12-18 | 2018-10-02 | Amazon Technologies, Inc. | Routing mode and point-of-presence selection service |
| US10097448B1 (en) | 2014-12-18 | 2018-10-09 | Amazon Technologies, Inc. | Routing mode and point-of-presence selection service |
| US10033627B1 (en) | 2014-12-18 | 2018-07-24 | Amazon Technologies, Inc. | Routing mode and point-of-presence selection service |
| US9253206B1 (en) | 2014-12-18 | 2016-02-02 | Docusign, Inc. | Systems and methods for protecting an online service attack against a network-based attack |
| US9621575B1 (en) | 2014-12-29 | 2017-04-11 | A10 Networks, Inc. | Context aware threat protection |
| US9584318B1 (en) | 2014-12-30 | 2017-02-28 | A10 Networks, Inc. | Perfect forward secrecy distributed denial of service attack defense |
| US9900343B1 (en) | 2015-01-05 | 2018-02-20 | A10 Networks, Inc. | Distributed denial of service cellular signaling |
| US10560466B2 (en) * | 2015-01-13 | 2020-02-11 | Level 3 Communications, Llc | Vertical threat analytics for DDoS attacks |
| US9848013B1 (en) | 2015-02-05 | 2017-12-19 | A10 Networks, Inc. | Perfect forward secrecy distributed denial of service attack detection |
| US10063591B1 (en) | 2015-02-14 | 2018-08-28 | A10 Networks, Inc. | Implementing and optimizing secure socket layer intercept |
| US10129293B2 (en) * | 2015-02-23 | 2018-11-13 | Level 3 Communications, Llc | Managing traffic control in a network mitigating DDOS |
| US10225326B1 (en) | 2015-03-23 | 2019-03-05 | Amazon Technologies, Inc. | Point of presence based data uploading |
| CN106161333B (zh) * | 2015-03-24 | 2021-01-15 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及系统 |
| US9887932B1 (en) | 2015-03-30 | 2018-02-06 | Amazon Technologies, Inc. | Traffic surge management for points of presence |
| US9819567B1 (en) | 2015-03-30 | 2017-11-14 | Amazon Technologies, Inc. | Traffic surge management for points of presence |
| US9887931B1 (en) | 2015-03-30 | 2018-02-06 | Amazon Technologies, Inc. | Traffic surge management for points of presence |
| US9832141B1 (en) | 2015-05-13 | 2017-11-28 | Amazon Technologies, Inc. | Routing based request correlation |
| US9621577B2 (en) | 2015-05-28 | 2017-04-11 | Microsoft Technology Licensing, Llc | Mitigation of computer network attacks |
| JP5977860B1 (ja) * | 2015-06-01 | 2016-08-24 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 通信制御方法、通信制御装置及びプログラム |
| US10097566B1 (en) | 2015-07-31 | 2018-10-09 | Amazon Technologies, Inc. | Identifying targets of network attacks |
| US10116692B2 (en) * | 2015-09-04 | 2018-10-30 | Arbor Networks, Inc. | Scalable DDoS protection of SSL-encrypted services |
| US9787581B2 (en) | 2015-09-21 | 2017-10-10 | A10 Networks, Inc. | Secure data flow open information analytics |
| US9774619B1 (en) * | 2015-09-24 | 2017-09-26 | Amazon Technologies, Inc. | Mitigating network attacks |
| US9742795B1 (en) * | 2015-09-24 | 2017-08-22 | Amazon Technologies, Inc. | Mitigating network attacks |
| US9794281B1 (en) | 2015-09-24 | 2017-10-17 | Amazon Technologies, Inc. | Identifying sources of network attacks |
| US10270878B1 (en) | 2015-11-10 | 2019-04-23 | Amazon Technologies, Inc. | Routing for origin-facing points of presence |
| US10505984B2 (en) | 2015-12-08 | 2019-12-10 | A10 Networks, Inc. | Exchange of control information between secure socket layer gateways |
| US10469594B2 (en) | 2015-12-08 | 2019-11-05 | A10 Networks, Inc. | Implementation of secure socket layer intercept |
| US10049051B1 (en) | 2015-12-11 | 2018-08-14 | Amazon Technologies, Inc. | Reserved cache space in content delivery networks |
| US10257307B1 (en) | 2015-12-11 | 2019-04-09 | Amazon Technologies, Inc. | Reserved cache space in content delivery networks |
| US10348639B2 (en) | 2015-12-18 | 2019-07-09 | Amazon Technologies, Inc. | Use of virtual endpoints to improve data transmission rates |
| JP6232456B2 (ja) * | 2016-02-02 | 2017-11-15 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 制御装置、緩和システム、制御方法及びコンピュータプログラム |
| JP6604220B2 (ja) * | 2016-02-02 | 2019-11-13 | 富士通株式会社 | 管理装置、管理システム、及びスケーリング方法 |
| WO2017142595A1 (en) * | 2016-02-19 | 2017-08-24 | The Viki Group, Llc | Ddos protection infrastructures using ip sharing across wide area networks |
| US10554683B1 (en) * | 2016-05-19 | 2020-02-04 | Board Of Trustees Of The University Of Alabama, For And On Behalf Of The University Of Alabama In Huntsville | Systems and methods for preventing remote attacks against transportation systems |
| US10075551B1 (en) | 2016-06-06 | 2018-09-11 | Amazon Technologies, Inc. | Request management for hierarchical cache |
| US10237301B2 (en) * | 2016-06-16 | 2019-03-19 | Fortinet, Inc. | Management of cellular data usage during denial of service (DoS) attacks |
| US10116634B2 (en) | 2016-06-28 | 2018-10-30 | A10 Networks, Inc. | Intercepting secure session upon receipt of untrusted certificate |
| US10110694B1 (en) | 2016-06-29 | 2018-10-23 | Amazon Technologies, Inc. | Adaptive transfer rate for retrieving content from a server |
| US10158666B2 (en) | 2016-07-26 | 2018-12-18 | A10 Networks, Inc. | Mitigating TCP SYN DDoS attacks using TCP reset |
| US9992086B1 (en) | 2016-08-23 | 2018-06-05 | Amazon Technologies, Inc. | External health checking of virtual private cloud network environments |
| US10033691B1 (en) | 2016-08-24 | 2018-07-24 | Amazon Technologies, Inc. | Adaptive resolution of domain name requests in virtual private cloud network environments |
| JP6913206B2 (ja) * | 2016-08-25 | 2021-08-04 | フォルシアクラリオン・エレクトロニクス株式会社 | ログ解析方法及びログ優先度テーブル管理方法 |
| US10469513B2 (en) | 2016-10-05 | 2019-11-05 | Amazon Technologies, Inc. | Encrypted network addresses |
| US10372499B1 (en) | 2016-12-27 | 2019-08-06 | Amazon Technologies, Inc. | Efficient region selection system for executing request-driven code |
| US10831549B1 (en) | 2016-12-27 | 2020-11-10 | Amazon Technologies, Inc. | Multi-region request-driven code execution system |
| US10938884B1 (en) | 2017-01-30 | 2021-03-02 | Amazon Technologies, Inc. | Origin server cloaking using virtual private cloud network environments |
| US10911483B1 (en) * | 2017-03-20 | 2021-02-02 | Amazon Technologies, Inc. | Early detection of dedicated denial of service attacks through metrics correlation |
| US10503613B1 (en) | 2017-04-21 | 2019-12-10 | Amazon Technologies, Inc. | Efficient serving of resources during server unavailability |
| US10498810B2 (en) * | 2017-05-04 | 2019-12-03 | Amazon Technologies, Inc. | Coordinating inter-region operations in provider network environments |
| US11075987B1 (en) | 2017-06-12 | 2021-07-27 | Amazon Technologies, Inc. | Load estimating content delivery network |
| US10447648B2 (en) | 2017-06-19 | 2019-10-15 | Amazon Technologies, Inc. | Assignment of a POP to a DNS resolver based on volume of communications over a link between client devices and the POP |
| EP3422659A1 (en) * | 2017-06-30 | 2019-01-02 | Thomson Licensing | Method of blocking distributed denial of service attacks and corresponding apparatus |
| JP6711786B2 (ja) * | 2017-06-30 | 2020-06-17 | 日本電信電話株式会社 | 通信システムおよび通信方法 |
| US10671723B2 (en) * | 2017-08-01 | 2020-06-02 | Sap Se | Intrusion detection system enrichment based on system lifecycle |
| US11316877B2 (en) | 2017-08-01 | 2022-04-26 | Sap Se | Intrusion detection system enrichment based on system lifecycle |
| US10601849B2 (en) * | 2017-08-24 | 2020-03-24 | Level 3 Communications, Llc | Low-complexity detection of potential network anomalies using intermediate-stage processing |
| US10742593B1 (en) | 2017-09-25 | 2020-08-11 | Amazon Technologies, Inc. | Hybrid content request routing system |
| US10592578B1 (en) | 2018-03-07 | 2020-03-17 | Amazon Technologies, Inc. | Predictive content push-enabled content delivery network |
| US10944783B2 (en) | 2018-07-12 | 2021-03-09 | At&T Intellectual Property I, L.P. | Dynamic denial of service mitigation system |
| JP6939726B2 (ja) * | 2018-07-17 | 2021-09-22 | 日本電信電話株式会社 | 攻撃対処箇所選択装置及び攻撃対処箇所選択方法 |
| US11050785B2 (en) * | 2018-08-25 | 2021-06-29 | Mcafee, Llc | Cooperative mitigation of distributed denial of service attacks originating in local networks |
| US10862852B1 (en) | 2018-11-16 | 2020-12-08 | Amazon Technologies, Inc. | Resolution of domain name requests in heterogeneous network environments |
| US11025747B1 (en) | 2018-12-12 | 2021-06-01 | Amazon Technologies, Inc. | Content request pattern-based routing system |
| US12063245B2 (en) | 2019-05-10 | 2024-08-13 | Akamai Technologies, Inc. | Using the state of a request routing mechanism to inform attack detection and mitigation |
| US11962615B2 (en) | 2021-07-23 | 2024-04-16 | Bank Of America Corporation | Information security system and method for denial-of-service detection |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060010389A1 (en) * | 2004-07-09 | 2006-01-12 | International Business Machines Corporation | Identifying a distributed denial of service (DDoS) attack within a network and defending against such an attack |
| US20060185014A1 (en) * | 2005-02-15 | 2006-08-17 | Oliver Spatscheck | Systems, methods, and devices for defending a network |
| CN1848852A (zh) * | 2005-02-25 | 2006-10-18 | 尚飞股份有限公司 | 相互兼容的通信系统和相关的通信帧 |
| CN101924764A (zh) * | 2010-08-09 | 2010-12-22 | 中国电信股份有限公司 | 基于二级联动机制的大规模DDoS攻击防御系统及方法 |
Family Cites Families (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7685311B2 (en) * | 1999-05-03 | 2010-03-23 | Digital Envoy, Inc. | Geo-intelligent traffic reporter |
| US7363361B2 (en) * | 2000-08-18 | 2008-04-22 | Akamai Technologies, Inc. | Secure content delivery system |
| US7278159B2 (en) * | 2000-09-07 | 2007-10-02 | Mazu Networks, Inc. | Coordinated thwarting of denial of service attacks |
| US7836498B2 (en) * | 2000-09-07 | 2010-11-16 | Riverbed Technology, Inc. | Device to protect victim sites during denial of service attacks |
| US7702806B2 (en) * | 2000-09-07 | 2010-04-20 | Riverbed Technology, Inc. | Statistics collection for network traffic |
| US7188366B2 (en) * | 2000-09-12 | 2007-03-06 | Nippon Telegraph And Telephone Corporation | Distributed denial of service attack defense method and device |
| US7707305B2 (en) * | 2000-10-17 | 2010-04-27 | Cisco Technology, Inc. | Methods and apparatus for protecting against overload conditions on nodes of a distributed network |
| US20020120853A1 (en) * | 2001-02-27 | 2002-08-29 | Networks Associates Technology, Inc. | Scripted distributed denial-of-service (DDoS) attack discrimination using turing tests |
| US7028179B2 (en) * | 2001-07-03 | 2006-04-11 | Intel Corporation | Apparatus and method for secure, automated response to distributed denial of service attacks |
| US7389537B1 (en) * | 2001-10-09 | 2008-06-17 | Juniper Networks, Inc. | Rate limiting data traffic in a network |
| US7356596B2 (en) * | 2001-12-07 | 2008-04-08 | Architecture Technology Corp. | Protecting networks from access link flooding attacks |
| US7743415B2 (en) * | 2002-01-31 | 2010-06-22 | Riverbed Technology, Inc. | Denial of service attacks characterization |
| JP3652661B2 (ja) | 2002-03-20 | 2005-05-25 | 日本電信電話株式会社 | サービス不能攻撃の防御方法および装置ならびにそのコンピュータプログラム |
| KR100481614B1 (ko) * | 2002-11-19 | 2005-04-08 | 한국전자통신연구원 | 서비스 거부와 분산 서비스 거부 공격으로부터 정상트래픽을 보호하는 방법 및 그 장치 |
| US20040148520A1 (en) | 2003-01-29 | 2004-07-29 | Rajesh Talpade | Mitigating denial of service attacks |
| US7681235B2 (en) * | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
| US7526807B2 (en) * | 2003-11-26 | 2009-04-28 | Alcatel-Lucent Usa Inc. | Distributed architecture for statistical overload control against distributed denial of service attacks |
| US7925766B2 (en) | 2004-02-18 | 2011-04-12 | At&T Intellectual Property Ii, L.P. | Method for distributed denial-of-service attack mitigation by selective black-holing in MPLS VPNS |
| EP1746791A1 (en) * | 2004-05-12 | 2007-01-24 | Nippon Telegraph and Telephone Corporation | Network attack combating method, network attack combating device and network attack combating program |
| KR20060069517A (ko) | 2004-10-21 | 2006-06-21 | 니폰덴신뎅와 가부시키가이샤 | 방어장치, 방어방법 및 방어 프로그램 및 네트워크 공격방어 시스템 |
| US8059539B2 (en) * | 2004-12-29 | 2011-11-15 | Hewlett-Packard Development Company, L.P. | Link throughput enhancer |
| US8839427B2 (en) * | 2005-04-13 | 2014-09-16 | Verizon Patent And Licensing Inc. | WAN defense mitigation service |
| JP4545647B2 (ja) * | 2005-06-17 | 2010-09-15 | 富士通株式会社 | 攻撃検知・防御システム |
| US7987493B1 (en) * | 2005-07-18 | 2011-07-26 | Sprint Communications Company L.P. | Method and system for mitigating distributed denial of service attacks using centralized management |
| US7584507B1 (en) * | 2005-07-29 | 2009-09-01 | Narus, Inc. | Architecture, systems and methods to detect efficiently DoS and DDoS attacks for large scale internet |
| US7889735B2 (en) * | 2005-08-05 | 2011-02-15 | Alcatel-Lucent Usa Inc. | Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs |
| US20070130619A1 (en) * | 2005-12-06 | 2007-06-07 | Sprint Communications Company L.P. | Distributed denial of service (DDoS) network-based detection |
| US8510826B1 (en) * | 2005-12-06 | 2013-08-13 | Sprint Communications Company L.P. | Carrier-independent on-demand distributed denial of service (DDoS) mitigation |
| US20070153763A1 (en) * | 2005-12-29 | 2007-07-05 | Rampolla Richard A | Route change monitor for communication networks |
| WO2008080416A1 (en) * | 2006-12-28 | 2008-07-10 | Telecom Italia S.P.A. | Method and apparatus to control application messages between a client and a server having a private network address |
| US8572735B2 (en) * | 2007-03-29 | 2013-10-29 | George Mason Research Foundation, Inc. | Attack resistant continuous network service trustworthiness controller |
| US8505091B2 (en) * | 2007-04-30 | 2013-08-06 | Hewlett-Packard Development Company, L.P. | Method of protecting against denial-of-service attacks |
| US20090013404A1 (en) * | 2007-07-05 | 2009-01-08 | Alcatel Lucent | Distributed defence against DDoS attacks |
| CN101588246B (zh) * | 2008-05-23 | 2012-01-04 | 成都市华为赛门铁克科技有限公司 | 防范分布式阻断服务DDoS攻击的方法、网络设备和网络系统 |
| US8068419B2 (en) * | 2008-11-13 | 2011-11-29 | Jeremy Dujardin | System and method for transmitting video, audio, and data content using a fiber optic network |
| KR100900491B1 (ko) * | 2008-12-02 | 2009-06-03 | (주)씨디네트웍스 | 분산 서비스 거부 공격의 차단 방법 및 장치 |
| JP5178573B2 (ja) * | 2009-02-17 | 2013-04-10 | 株式会社Kddi研究所 | 通信システムおよび通信方法 |
| US20100251329A1 (en) * | 2009-03-31 | 2010-09-30 | Yottaa, Inc | System and method for access management and security protection for network accessible computer services |
| JP2009219128A (ja) | 2009-04-15 | 2009-09-24 | Fujitsu Telecom Networks Ltd | Dos/DDos攻撃を防ぐ加入者線終端装置及びユーザ端末 |
| US8261355B2 (en) * | 2009-07-24 | 2012-09-04 | Cisco Technology, Inc. | Topology-aware attack mitigation |
| US8782787B2 (en) * | 2009-10-28 | 2014-07-15 | Hewlett-Packard Development Company, L.P. | Distributed packet flow inspection and processing |
-
2010
- 2010-12-29 US US12/981,198 patent/US8966622B2/en active Active
-
2011
- 2011-12-19 CN CN2011800611387A patent/CN103262023A/zh active Pending
- 2011-12-19 CA CA2820308A patent/CA2820308C/en active Active
- 2011-12-19 EP EP11853877.6A patent/EP2659353B1/en active Active
- 2011-12-19 WO PCT/US2011/065876 patent/WO2012091992A1/en active Application Filing
- 2011-12-19 JP JP2013547534A patent/JP2014504111A/ja active Pending
- 2011-12-19 CA CA2963544A patent/CA2963544C/en active Active
- 2011-12-19 SG SG2013043203A patent/SG190752A1/en unknown
-
2015
- 2015-02-23 US US14/629,257 patent/US20150200960A1/en not_active Abandoned
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060010389A1 (en) * | 2004-07-09 | 2006-01-12 | International Business Machines Corporation | Identifying a distributed denial of service (DDoS) attack within a network and defending against such an attack |
| US20060185014A1 (en) * | 2005-02-15 | 2006-08-17 | Oliver Spatscheck | Systems, methods, and devices for defending a network |
| CN1848852A (zh) * | 2005-02-25 | 2006-10-18 | 尚飞股份有限公司 | 相互兼容的通信系统和相关的通信帧 |
| CN101924764A (zh) * | 2010-08-09 | 2010-12-22 | 中国电信股份有限公司 | 基于二级联动机制的大规模DDoS攻击防御系统及方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113056896A (zh) * | 2018-09-28 | 2021-06-29 | 奥兰治 | 在与至少一个域相关联的保护服务之间进行协作和请求协作的方法、相应的代理和计算机程序 |
| CN113056896B (zh) * | 2018-09-28 | 2024-01-05 | 奥兰治 | 在与至少一个域相关联的保护服务之间进行协作和请求协作的方法、相应的代理和计算机程序 |
| CN114598485A (zh) * | 2020-12-04 | 2022-06-07 | 中国电信股份有限公司 | 在小程序后台防止DDoS攻击的方法、设备和介质 |
| CN114598485B (zh) * | 2020-12-04 | 2024-03-26 | 中国电信股份有限公司 | 在小程序后台防止DDoS攻击的方法、设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20130263256A1 (en) | 2013-10-03 |
| CA2820308C (en) | 2017-05-23 |
| EP2659353A1 (en) | 2013-11-06 |
| CA2963544C (en) | 2018-06-26 |
| SG190752A1 (en) | 2013-07-31 |
| CA2820308A1 (en) | 2012-07-05 |
| CA2963544A1 (en) | 2012-07-05 |
| WO2012091992A1 (en) | 2012-07-05 |
| EP2659353A4 (en) | 2017-04-12 |
| JP2014504111A (ja) | 2014-02-13 |
| US8966622B2 (en) | 2015-02-24 |
| EP2659353B1 (en) | 2019-08-07 |
| US20150200960A1 (en) | 2015-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103262023A (zh) | 用于在源头附近防止拒绝服务攻击的技术 | |
| US11863581B1 (en) | Subscription-based malware detection | |
| US11997111B1 (en) | Attribute-controlled malware detection | |
| AU2019204090B2 (en) | Networking flow logs for multi-tenant environments | |
| US10666670B2 (en) | Managing security breaches in a networked computing environment | |
| US10848397B1 (en) | System and method for enforcing compliance with subscription requirements for cyber-attack detection service | |
| CN102859934B (zh) | 网络可接入计算机服务的接入管理和安全保护系统和方法 | |
| US8484726B1 (en) | Key security indicators | |
| US8806593B1 (en) | Guest account management using cloud based security services | |
| US11700279B2 (en) | Integrated security and threat prevention and detection platform | |
| US20160212012A1 (en) | System and method of network functions virtualization of network services within and across clouds | |
| Ganesh Kumar et al. | Improved network traffic by attacking denial of service to protect resource using Z-test based 4-tier geomark traceback (Z4TGT) | |
| CN109088909B (zh) | 一种基于商户类型的服务灰度发布方法及设备 | |
| KR100723657B1 (ko) | 사설 아이피 사용자가 동시에 인터넷에 접속할 경우티씨피/아이피 기반에서 선별적으로 허용 및 차단하는 방법 | |
| CN106534174A (zh) | 一种敏感数据的云防护方法、装置及系统 | |
| WO2019070216A2 (en) | FIREWALL EFFECTIVENESS MEASUREMENT WITH MULTIPORT INTRUSION DETECTION SYSTEM | |
| US7359378B2 (en) | Security system for preventing unauthorized packet transmission between customer servers in a server farm | |
| EP4320820A1 (en) | System and method for securing communication and information of mobile devices through a controlled cellular communication network | |
| Sattid et al. | Information security standards for e-businesses | |
| CN114726562A (zh) | 一种流量过滤方法、装置、通信设备及可读存储介质 | |
| CN116032739A (zh) | 一种基于银行核心的多功能分布式边车系统 | |
| WO2006066315A1 (en) | Communications network monitoring system, method & apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130821 |