CN105337970A - 路由器、服务器以及两者协同的网络访问控制方法 - Google Patents
路由器、服务器以及两者协同的网络访问控制方法 Download PDFInfo
- Publication number
- CN105337970A CN105337970A CN201510683147.XA CN201510683147A CN105337970A CN 105337970 A CN105337970 A CN 105337970A CN 201510683147 A CN201510683147 A CN 201510683147A CN 105337970 A CN105337970 A CN 105337970A
- Authority
- CN
- China
- Prior art keywords
- client
- server
- router
- access request
- blacklist
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种路由器与服务器协同的网络访问控制方法,包括:由路由器接收客户端的访问请求;解析接收到的访问请求中的客户端IP地址;判断解析出的客户端IP地址是否与预设的拒绝服务攻击黑名单相符;当客户端IP地址与拒绝服务攻击黑名单相符时,拒绝客户端的访问请求,不向服务器转发该访问请求;服务器接收由路由器转发的客户端的访问请求;对接收到的访问请求反馈响应服务;判断客户端是否接受了反馈的响应服务;当客户端超出预定时间不接受反馈的响应服务时,忽略此次访问请求,并将客户端的IP地址加入路由器上的拒绝服务攻击黑名单。本发明使得服务器对DOS攻击的防护效率大大提高,此外避免了服务器遭受流量消耗攻击。
Description
技术领域
本发明涉及网络访问控制的技术领域,特别是涉及一种路由器与服务器协同的网络访问控制方法。
背景技术
随着技术的发展,移动终端越来越多,移动终端之间需要相互通信,这离不开后台的服务器的支撑。服务器的稳定运行,关系到数千个甚至上万个移动终端的正常使用,而服务器也经常成为攻击者的目标。因此,设计出高可靠度的服务器是非常有必要的事情。
目前,普遍都在服务器侧对客户端进行防护,为了防止不合法的用户接入,服务器侧可以做一系列的安全措施,并可以起到一定的效果。
目前的普遍做法缺点是,单纯的从服务器进行防护,效果往往有限,因为,服务器处理请求的效率并不高,面对大流量的访问,很容易达到性能瓶颈。
路由器属于三层网络设备,具有较强的处理IP报文的能力,其吞吐量远远大于服务器,网络攻击者发出的请求很难达到路由器的瓶颈,如果能在路由器侧辨别出不合法的接入用户,将不合法的报文直接由路由器丢弃,则可以减轻服务器的负载,从而提高服务器的效率。
发明内容
本发明的目的是提出一种路由器和服务器协同的工作模式,对传统的路由器进行一些改进,配合服务器,两者共同运作,从而提升服务器的处理效率。
根据本发明的一个技术方案,提供了一种路由器与服务器协同的网络访问控制方法,包括由路由器执行的以下步骤:由路由器接收客户端的访问请求;解析接收到的访问请求中的客户端IP地址;判断解析出的客户端IP地址是否与预设的拒绝服务攻击黑名单相符;当客户端IP地址与拒绝服务攻击黑名单相符时,拒绝客户端的访问请求,不向服务器转发该访问请求;否则,向服务器转发该访问请求。
根据本发明的另一个技术方案,提供了一种路由器与服务器协同的网络访问控制方法,包括由路由器执行的以下步骤:由路由器接收客户端的访问请求;解析接收到的访问请求中的客户端IP地址;判断解析出的客户端IP地址是否与预设的拒绝服务攻击黑名单相符;当客户端IP地址与拒绝服务攻击黑名单相符时,拒绝客户端的访问请求,不向服务器转发该访问请求;当客户端IP地址与拒绝服务攻击黑名单不相符时,还需判断解析出的客户端IP地址是否与预设的流量消耗攻击黑名单相符;当客户端IP地址与流量消耗攻击黑名单不相符时,直接向服务器转发该访问请求;当客户端IP地址与流量消耗攻击黑名单相符时,根据流量消耗攻击黑名单中设定的最大允许流量向服务器限速转发客户端的访问请求。
根据本发明的又一个技术方案,提供了一种路由器与服务器协同的网络访问控制方法。包括由路由器执行的以下步骤:由路由器接收客户端的访问请求;解析接收到的访问请求中的客户端IP地址;判断解析出的客户端IP地址是否与预设的拒绝服务攻击黑名单相符;当客户端IP地址与拒绝服务攻击黑名单相符时,拒绝客户端的访问请求,不向服务器转发该访问请求;否则,向服务器转发该访问请求。还包括由服务器执行的以下步骤:接收由路由器转发的客户端的访问请求;对接收到的访问请求反馈响应服务;判断客户端是否接受了反馈的响应服务;当客户端超出预定时间不接受反馈的响应服务时,忽略客户端的此次访问请求,并将客户端的IP地址加入路由器上的拒绝服务攻击黑名单。
根据本发明的再一个技术方案,提供了一种路由器与服务器协同的网络访问控制方法。包括由路由器执行的以下步骤:由路由器接收客户端的访问请求;解析接收到的访问请求中的客户端IP地址;判断解析出的客户端IP地址是否与预设的拒绝服务攻击黑名单相符;当客户端IP地址与拒绝服务攻击黑名单相符时,拒绝客户端的访问请求,不向服务器转发该访问请求;当客户端IP地址与拒绝服务攻击黑名单不相符时,还需判断解析出的客户端IP地址是否与预设的流量消耗攻击黑名单相符;当客户端IP地址与流量消耗攻击黑名单不相符时,直接向服务器转发该访问请求;当客户端IP地址与流量消耗攻击黑名单相符时,根据流量消耗攻击黑名单中设定的最大允许流量向服务器限速转发客户端的访问请求。还包括由服务器执行的以下步骤:接收由路由器转发的客户端的访问请求;对接收到的访问请求反馈响应服务;判断客户端是否接受了反馈的响应服务;当客户端超出预定时间不接受反馈的响应服务时,忽略客户端的此次访问请求,并将客户端的IP地址加入路由器上的拒绝服务攻击黑名单;当客户端接受反馈的响应服务时,统计所述客户端的访问请求的数据流量;当统计出的访问请求的数据流量达到预设的流量消耗攻击警戒值时,忽略客户端的此次访问请求,并将客户端的IP地址加入路由器上的流量消耗攻击黑名单,同时对该客户端的IP地址设定最大允许流量。
优选的,本发明的技术方案中,设定的最大允许流量小于等于所述的流量消耗攻击警戒值。
根据本发明的又一个技术方案,提供了一种路由器,包括:客户端连接端口,接收来自客户端的访问请求,还向客户端转发来自服务器的响应服务;IP地址解析模块,接收来自客户端连接端口的客户端的访问请求,解析接其中的客户端IP地址;拒绝服务攻击防御模块,存储有预设的拒绝服务攻击黑名单,接收来自IP地址解析模块的客户端IP地址,根据所述拒绝服务攻击黑名单,拒绝或通过来自客户端连接端口的访问请求;以及服务器连接端口,将通过的客户端访问请求向服务器转发,并接收来自服务器的响应服务。
优选的,本发明的技术方案中,路由器还包括流量消耗攻击防御模块,存储有预设的流量消耗攻击黑名单,接收来自IP地址解析模块的客户端IP地址,根据所述流量消耗攻击黑名单,直接通过来自客户端连接端口的访问请求,或对自客户端连接端口的访问请求限制最大允许流量通过。
优选的,本发明的技术方案中,路由器还包括黑名单设置模块,接收来自服务器连接端口的黑名单设置命令,并向对应的拒绝服务攻击防御模块和/或流量消耗攻击防御模块设置相应的黑名单。服务器连接端口将通过的客户端访问请求向服务器转发,并接收来自服务器的响应服务,还接收来自服务器的黑名单设置命令。
根据本发明的再一个技术方案,提供了一种服务器,包括:路由器连接端口,接收来自路由器转发的客户端的访问请求,还向路由器发送访问服务模块反馈的响应服务;访问服务模块,接收来自路由器连接端口的访问请求,并反馈响应服务;拒绝服务攻击识别模块,读取访问服务模块的工作状态,判断客户端是否接受了反馈的响应服务;当客户端超出预定时间不接受反馈的响应服务时,命令访问服务模块忽略客户端的此次访问请求,并向路由器连接端口发送加入拒绝服务攻击黑名单的设置命令。
优选的,本发明的技术方案中,服务器还包括流量消耗攻击识别模块,读取访问服务模块的工作状态,统计所述客户端的访问请求的数据流量;当统计出的访问请求的数据流量达到预设的流量消耗攻击警戒值时,命令访问服务模块忽略客户端的此次访问请求,并向路由器连接端口发送加入流量消耗攻击黑名单的设置命令,同时对该客户端的IP地址设定最大允许流量。
与现有技术相比,本发明提供了路由器与服务器协同的网络访问控制功能,利用了路由器强大的处理能力,使得服务器对DOS(拒绝服务)攻击的防护效率大大提高。此外,避免了服务器遭受流量消耗攻击。使得网络访问控制兼具防护效率与灵活性
附图说明
下面将以明确易懂的方式,结合附图说明优选实施方式,对本发明的主要特性、技术特征、优点及其实现方式予以进一步说明。
图1是本发明一个实施例的网络访问控制方法在路由器内的流程图;
图2是本发明一个实施例的网络访问控制方法在服务器内的流程图;
图3是本发明另一个实施例的网络访问控制方法在路由器内的流程图;
图4是本发明另一个实施例的网络访问控制方法在服务器内的流程图;
图5是本发明一个实施例的路由器的示意图;
图6是本发明一个实施例的服务器的示意图;
图7是本发明的网络访问控制方法在服务器内处理新客户端的流程示意图。
附图标号说明:
110客户端连接端口,120IP地址解析模块,130拒绝服务攻击防御模块,150流量消耗攻击防御模块,170服务器连接端口,180黑名单设置模块;
210路由器连接端口,220访问服务模块,230拒绝服务攻击识别模块,260流量消耗攻击识别模块。
具体实施方式
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对照附图说明本发明的具体实施方式。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图,并获得其他的实施方式。
为使图面简洁,各图中只示意性地表示出了与本发明相关的部分,它们并不代表其作为产品的实际结构。另外,以使图面简洁便于理解,在有些图中具有相同结构或功能的部件,仅示意性地绘示了其中的一个,或仅标出了其中的一个。在本文中,“一个”不仅表示“仅此一个”,也可以表示“多于一个”的情形。
图1是本发明一个实施例的网络访问控制方法在路由器内的流程图。
结合图1说明本发明的一种网络访问控制方法。图1中包括由路由器执行的以下步骤:S110由路由器接收客户端的访问请求;S120解析接收到的访问请求中的客户端IP地址;S130判断解析出的客户端IP地址是否与预设的拒绝服务攻击黑名单相符;S140当客户端IP地址与拒绝服务攻击黑名单相符时,拒绝客户端的访问请求,不向服务器转发该访问请求;S170否则,向服务器转发该访问请求。
可以理解,由于路由器具有比服务器更强大的IP报文处理能力,使得对DOS(拒绝服务)攻击的防护效率大大提高。
图2是本发明一个实施例的网络访问控制方法在服务器内的流程图。
结合图1、图2,本发明的一种路由器与服务器协同的网络访问控制方法,包括由路由器执行的以下步骤:S110由路由器接收客户端的访问请求;S120解析接收到的访问请求中的客户端IP地址;S130判断解析出的客户端IP地址是否与预设的拒绝服务攻击黑名单相符;S140当客户端IP地址与拒绝服务攻击黑名单相符时,拒绝客户端的访问请求,不向服务器转发该访问请求;S170否则,向服务器转发该访问请求。
同时,路由器与服务器协同的网络访问控制方法还包括由服务器执行的以下步骤:S210接收由路由器转发的客户端的访问请求;S220对接收到的访问请求反馈响应服务;S230判断客户端是否接受了反馈的响应服务;S240当客户端超出预定时间不接受反馈的响应服务时,忽略客户端的此次访问请求,并将客户端的IP地址加入路由器上的拒绝服务攻击黑名单。
可以理解,由于路由器具有比服务器更强大的IP报文处理能力,使得对DOS(拒绝服务)攻击的防护效率大大提高。然而,服务器判断客户端是否进行DOS攻击,也比路由器具有更高的灵活性。因此路由器与服务器协同的网络访问控制方法,兼具防护效率与灵活性。
图3是本发明另一个实施例的网络访问控制方法在路由器内的流程图。
结合图3说明本发明的一种网络访问控制方法。图1中包括由路由器执行的以下步骤:S110由路由器接收客户端的访问请求;S120解析接收到的访问请求中的客户端IP地址;S130判断解析出的客户端IP地址是否与预设的拒绝服务攻击黑名单相符;S140当客户端IP地址与拒绝服务攻击黑名单相符时,拒绝客户端的访问请求,不向服务器转发该访问请求;S150当客户端IP地址与拒绝服务攻击黑名单不相符时,还需判断解析出的客户端IP地址是否与预设的流量消耗攻击黑名单相符;S160当客户端IP地址与流量消耗攻击黑名单相符时,根据流量消耗攻击黑名单中设定的最大允许流量向服务器限速转发客户端的访问请求;S170当客户端IP地址与流量消耗攻击黑名单不相符时,直接向服务器转发该访问请求。
可以理解,由于路由器具有比服务器更强大的IP报文处理能力,使得对DOS(拒绝服务)攻击、流量消耗攻击的防护效率都大大提高。
图4是本发明另一个实施例的网络访问控制方法在服务器内的流程图。
结合图3、图4,本发明的另一种路由器与服务器协同的网络访问控制方法,包括由路由器执行的以下步骤:S110由路由器接收客户端的访问请求;S120解析接收到的访问请求中的客户端IP地址;S130判断解析出的客户端IP地址是否与预设的拒绝服务攻击黑名单相符;S140当客户端IP地址与拒绝服务攻击黑名单相符时,拒绝客户端的访问请求,不向服务器转发该访问请求;S150当客户端IP地址与拒绝服务攻击黑名单不相符时,还需判断解析出的客户端IP地址是否与预设的流量消耗攻击黑名单相符;S160当客户端IP地址与流量消耗攻击黑名单相符时,根据流量消耗攻击黑名单中设定的最大允许流量向服务器限速转发客户端的访问请求;S170当客户端IP地址与流量消耗攻击黑名单不相符时,直接向服务器转发该访问请求。
同时,路由器与服务器协同的网络访问控制方法还包括由服务器执行的以下步骤:S210接收由路由器转发的客户端的访问请求;S220对接收到的访问请求反馈响应服务;S230判断客户端是否接受了反馈的响应服务;S240当客户端超出预定时间不接受反馈的响应服务时,忽略客户端的此次访问请求,并将客户端的IP地址加入路由器上的拒绝服务攻击黑名单;S250当客户端接受反馈的响应服务时,统计所述客户端的访问请求的数据流量;S260判断统计出的访问请求的数据流量是否达到预设的流量消耗攻击警戒值;S270当统计出的访问请求的数据流量达到预设的流量消耗攻击警戒值时,忽略客户端的此次访问请求,并将客户端的IP地址加入路由器上的流量消耗攻击黑名单,同时对该客户端的IP地址设定最大允许流量;S280否则,向用户提供正常的服务器响应服务。
可以理解,由于路由器具有比服务器更强大的IP报文处理能力,使得对DOS攻击、流量消耗攻击的防护效率大大提高。然而,服务器判断客户端是否进行DOS攻击、流量消耗攻击,也比路由器具有更高的灵活性。因此路由器与服务器协同的网络访问控制方法,兼具防护效率与灵活性。
一个正常的客户端,其单位时间内的访问流量会有上限。在此实施例中,流量消耗攻击警戒值是管理员预先在服务器上设定的。可以理解,这一流量消耗攻击警戒值可以是等于正常客户端单位时间内访问流量上限值,也可以比正常客户端的上限值略大。
在将客户端的IP地址加入路由器上的流量消耗攻击黑名单的同时,还可以设定的最大允许流量。可以理解设定的最大允许流量至少应等于流量消耗攻击警戒值。优选的,设定的最大允许流量小于流量消耗攻击警戒值。
当设定的最大允许流量等于0时,实际上不允许流量消耗攻击的客户端继续与服务器连接。然而,为了避免误报流量消耗攻击对正常客户端的影响,也可以设定最大允许流量在一个恰当的小于流量消耗攻击警戒值的值,使得误报的正常客户端仍可维持与服务器的可用连接。
图5是本发明一个实施例的路由器的示意图。
结合图5说明本发明的一种路由器,包括:客户端连接端口110,接收来自客户端的访问请求,还向客户端转发来自服务器的响应服务;IP地址解析模块120,接收来自客户端连接端口110的客户端的访问请求,解析接其中的客户端IP地址;拒绝服务攻击防御模块130,存储有预设的拒绝服务攻击黑名单,接收来自IP地址解析模块120的客户端IP地址,根据所述拒绝服务攻击黑名单,拒绝或通过来自客户端连接端口的访问请求;以及服务器连接端口170,将通过的客户端访问请求向服务器转发,并接收来自服务器的响应服务。
优选的,本发明的路由器还包括流量消耗攻击防御模块150,存储有预设的流量消耗攻击黑名单,接收来自IP地址解析模块120的客户端IP地址,根据所述流量消耗攻击黑名单,直接通过来自客户端连接端口110的访问请求,或对自客户端连接端口110的访问请求限制最大允许流量通过。
优选的,本发明的路由器还包括黑名单设置模块180,接收来自服务器连接端口170的黑名单设置命令,并向对应的拒绝服务攻击防御模块130和/或流量消耗攻击防御模块150设置相应的黑名单。服务器连接端口170将通过的客户端访问请求向服务器转发,并接收来自服务器的响应服务,还接收来自服务器的黑名单设置命令。
图6是本发明一个实施例的服务器的示意图。
结合图6说明本发明的一种服务器,包括:路由器连接端口210,接收来自路由器转发的客户端的访问请求,向路由器发送访问服务模块220反馈的响应服务;访问服务模块220,接收来自路由器连接端口210的访问请求,并反馈响应服务;拒绝服务攻击识别模块230,读取访问服务模块220的工作状态,判断客户端是否接受了反馈的响应服务,当客户端超出预定时间不接受反馈的响应服务时,命令访问服务模块220忽略客户端的此次访问请求,并向路由器连接端口210发送加入拒绝服务攻击黑名单的设置命令。
优选的,本发明的服务器还包括流量消耗攻击识别模块260,读取访问服务模块220的工作状态,统计所述客户端的访问请求的数据流量,当统计出的访问请求的数据流量达到预设的流量消耗攻击警戒值时,命令访问服务模块220忽略客户端的此次访问请求,并向路由器连接端口210发送加入流量消耗攻击黑名单的设置命令,同时对该客户端的IP地址设定最大允许流量。
结合图3~图6,本发明的路由器与服务器协同的网络访问控制方法是这样实现的。
本发明的提供一种路由器及网络访问控制方法。其中路由器包括:客户端连接端口110,用于执行网络访问控制步骤S110,接收客户端的访问请求;还用于执行网络访问控制步骤S170,向客户端转发来自服务器的响应服务。IP地址解析模块120,用于执行网络访问控制步骤S120,接收来自客户端连接端口110的客户端的访问请求,解析接其中的客户端IP地址。拒绝服务攻击防御模块130,存储有预设的拒绝服务攻击黑名单,用于执行网络访问控制步骤S130,接收来自IP地址解析模块120的客户端IP地址,判断解析出的客户端IP地址是否与预设的拒绝服务攻击黑名单相符;还用于执行网络访问控制步骤S140,当客户端IP地址与拒绝服务攻击黑名单相符时,拒绝客户端的访问请求,不向服务器转发该访问请求。流量消耗攻击防御模块150,存储有预设的流量消耗攻击黑名单,用于执行网络访问控制步骤S150,接收来自IP地址解析模块120的客户端IP地址,判断解析出的客户端IP地址是否与预设的流量消耗攻击黑名单相符;还用于执行网络访问控制步骤S160,当客户端IP地址与流量消耗攻击黑名单相符时,根据流量消耗攻击黑名单中设定的最大允许流量向服务器限速转发客户端的访问请求。以及服务器连接端口170,用于执行网络访问控制步骤S170,将通过的客户端访问请求向服务器转发,并接收来自服务器的响应服务。
本发明的路由器还包括黑名单设置模块180,接收来自服务器连接端口170的黑名单设置命令,并向对应的拒绝服务攻击防御模块130和/或流量消耗攻击防御模块150设置相应的黑名单。服务器连接端口170将通过的客户端访问请求向服务器转发,并接收来自服务器的响应服务,还接收来自服务器的黑名单设置命令。
其中服务器包括:路由器连接端口210,用于执行网络访问控制步骤S210,接收来自路由器转发的客户端的访问请求;并向路由器发送访问服务模块220反馈的响应服务。访问服务模块220,用于执行网络访问控制步骤S220,接收来自路由器连接端口210的访问请求,并反馈响应服务。拒绝服务攻击识别模块230,用于执行网络访问控制步骤S230,读取访问服务模块220的工作状态,判断客户端是否接受了反馈的响应服务;还用于执行网络访问控制步骤S240,当客户端超出预定时间不接受反馈的响应服务时,命令访问服务模块220忽略客户端的此次访问请求,并向路由器连接端口210发送加入拒绝服务攻击黑名单的设置命令。流量消耗攻击识别模块260,用于执行网络访问控制步骤S250,读取访问服务模块220的工作状态,统计所述客户端的访问请求的数据流量;还用于执行网络访问控制步骤S260,判断统计出的访问请求的数据流量是否达到预设的流量消耗攻击警戒值;还用于执行网络访问控制步骤S270,当统计出的访问请求的数据流量达到预设的流量消耗攻击警戒值时,命令访问服务模块220忽略客户端的此次访问请求,并向路由器连接端口210发送加入流量消耗攻击黑名单的设置命令,同时对该客户端的IP地址设定最大允许流量。
可以理解,由于路由器具有比服务器更强大的IP报文处理能力,使得对DOS攻击、流量消耗攻击的防护效率大大提高。然而,服务器判断客户端是否进行DOS攻击、流量消耗攻击,也比路由器具有更高的灵活性。因此路由器与服务器协同的网络访问控制方法,兼具防护效率与灵活性。
一个正常的客户端,其单位时间内的访问流量会有上限。在此实施例中,流量消耗攻击警戒值是管理员预先在服务器上设定的。可以理解,这一流量消耗攻击警戒值可以是等于正常客户端单位时间内访问流量上限值,也可以比正常客户端的上限值略大。
在将客户端的IP地址加入路由器上的流量消耗攻击黑名单的同时,还可以设定的最大允许流量。可以理解设定的最大允许流量至少应等于流量消耗攻击警戒值。优选的,设定的最大允许流量小于流量消耗攻击警戒值。
当设定的最大允许流量等于0时,实际上不允许流量消耗攻击的客户端继续与服务器连接。然而,为了避免误报流量消耗攻击对正常客户端的影响,也可以设定最大允许流量在一个恰当的小于流量消耗攻击警戒值的值,使得误报的正常客户端仍可维持与服务器的可用连接。
图7是本发明的网络访问控制方法在服务器内处理新客户端的流程示意图。
传统的路由器和服务器并没有功能上的交互,在整个系统中,它们是独立运行的个体,本方案中,在传统的路由器上增加一个模块,用于和服务器进行通信。服务器侧也增加一个模块,用于和路由器进行通信。
如图7所示,根据本发明的再一个实施例,服务器处理新客户端的流程图如下:
有新的客户端请求服务器;判断新的客户端是否正常接收服务;如果接收服务,则判断为正常的客户端,如果不接收服务,则判断为非法的客户端,并将该IP地址发送给路由器,路由器将该IP地址设置到黑名单中。
如果服务器有需求要修改客户端的流量限速,也可以采用相同的方式。
通过以上的方法,可以有效拒绝不合法的客户端发送大量请求,提高服务器的效率。
通常而言,攻击者发出的请求有一些特征,比如:
(1)请求无意义,比如同一个请求在短时间内周期性频繁发生,并且该请求频率非手工操作能够达到;(2)请求后拒绝服务,也就是通常的DOS攻击,当服务器接受到请求后响应客户端,但客户端却不再回复服务器;(3)同一个客户端访问的流量很大。
面对以上几点,服务器系统侧(包括服务器和路由器)可以从几个方面着手,对攻击者进行防护。特征(1)中,请求数量很大必然会造成客户端的访问流量很大,因此和特征(3)可以归为一类,一个正常的客户端,其单位时间内的访问流量会有上限,可以通过测试得到该上限值,然后,在路由器侧对每个IP地址进行流量限速,这样就可以很大程度上防止特征(1)和特征(3)。对于特征(2),服务器侧可以检测到该攻击,但是对于此类攻击的频繁发生往往无能为力,在本发明中,服务器一旦检测到此类攻击,就将该客户端的IP地址发送给路由器,路由器将该IP地址加入到黑名单中。加入黑名单后,该攻击者发送的所有报文都将被路由器丢弃。
应当说明的是,上述实施例均可根据需要自由组合。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种路由器与服务器协同的网络访问控制方法,其特征在于,包括由路由器执行的以下步骤:
由路由器接收客户端的访问请求;
解析接收到的访问请求中的客户端IP地址;
判断解析出的客户端IP地址是否与预设的拒绝服务攻击黑名单相符;
当客户端IP地址与拒绝服务攻击黑名单相符时,拒绝客户端的访问请求,不向服务器转发该访问请求;
否则,向服务器转发该访问请求。
2.一种根据权利要求1所述的路由器与服务器协同的网络访问控制方法,其特征在于,还包括以下步骤:
判断解析出的客户端IP地址是否与预设的流量消耗攻击黑名单相符;
当客户端IP地址与流量消耗攻击黑名单不相符时,直接向服务器转发该访问请求;
当客户端IP地址与流量消耗攻击黑名单相符时,根据流量消耗攻击黑名单中设定的最大允许流量向服务器限速转发客户端的访问请求。
3.一种根据权利要求1或2所述的路由器与服务器协同的网络访问控制方法,其特征在于,包括由服务器执行的以下步骤:
接收由路由器转发的客户端的访问请求;
对接收到的访问请求反馈响应服务;
判断客户端是否接受了反馈的响应服务;
当客户端超出预定时间不接受反馈的响应服务时,忽略客户端的此次访问请求,并将客户端的IP地址加入路由器上的拒绝服务攻击黑名单。
4.一种根据权利要求3所述的路由器与服务器协同的网络访问控制方法,其特征在于,还包括由服务器执行的以下步骤:
当客户端接受反馈的响应服务时,统计所述客户端的访问请求的数据流量;
当统计出的访问请求的数据流量达到预设的流量消耗攻击警戒值时,忽略客户端的此次访问请求,并将客户端的IP地址加入路由器上的流量消耗攻击黑名单,同时对该客户端的IP地址设定最大允许流量。
5.一种根据权利要求4所述的路由器与服务器协同的网络访问控制方法,其特征在于,所述设定的最大允许流量小于等于所述的流量消耗攻击警戒值。
6.一种应用权利要求1-5任一所述的网络访问控制方法的路由器,其特征在于,包括:
客户端连接端口,接收来自客户端的访问请求;
IP地址解析模块,接收来自客户端连接端口的客户端的访问请求,解析接其中的客户端IP地址;
拒绝服务攻击防御模块,存储有预设的拒绝服务攻击黑名单,接收来自IP地址解析模块的客户端IP地址;根据所述拒绝服务攻击黑名单,拒绝或通过来自客户端连接端口的访问请求;
以及,服务器连接端口,将通过的客户端访问请求向服务器转发,并接收来自服务器的响应服务;
所述客户端连接端口还向客户端转发来自服务器的响应服务。
7.一种根据权利要求6所述的路由器,其特征在于,还包括:
流量消耗攻击防御模块,存储有预设的流量消耗攻击黑名单,接收来自IP地址解析模块的客户端IP地址;根据所述流量消耗攻击黑名单,直接通过来自客户端连接端口的访问请求,或对自客户端连接端口的访问请求限制最大允许流量通过。
8.一种根据权利要求6或7所述的路由器,其特征在于,所述服务器连接
端口还接收来自服务器的黑名单设置命令;
所述路由器还包括:黑名单设置模块,接收来自服务器连接端口的黑名单设置命令,并向对应的拒绝服务攻击防御模块和/或流量消耗攻击防御模块设置相应的黑名单。
9.一种与权利要求6-8任一所述的路由器配合使用的服务器,其特征在于,包括:
路由器连接端口,接收来自路由器转发的客户端的访问请求;
访问服务模块,接收来自路由器连接端口的访问请求,并反馈响应服务;所述路由器连接端口还向路由器发送访问服务模块反馈的响应服务;
拒绝服务攻击识别模块,读取访问服务模块的工作状态,判断客户端是否接受了反馈的响应服务;当客户端超出预定时间不接受反馈的响应服务时,命令访问服务模块忽略客户端的此次访问请求,并向路由器连接端口发送加入拒绝服务攻击黑名单的设置命令。
10.一种根据权利要求9所述的服务器,其特征在于,还包括:
流量消耗攻击识别模块,读取访问服务模块的工作状态,统计所述客户端的访问请求的数据流量;当统计出的访问请求的数据流量达到预设的流量消耗攻击警戒值时,命令访问服务模块忽略客户端的此次访问请求,并向路由器连接端口发送加入流量消耗攻击黑名单的设置命令,同时对该客户端的IP地址设定最大允许流量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510683147.XA CN105337970A (zh) | 2015-10-20 | 2015-10-20 | 路由器、服务器以及两者协同的网络访问控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510683147.XA CN105337970A (zh) | 2015-10-20 | 2015-10-20 | 路由器、服务器以及两者协同的网络访问控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105337970A true CN105337970A (zh) | 2016-02-17 |
Family
ID=55288253
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510683147.XA Pending CN105337970A (zh) | 2015-10-20 | 2015-10-20 | 路由器、服务器以及两者协同的网络访问控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105337970A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107277008A (zh) * | 2017-06-16 | 2017-10-20 | 福建中金在线信息科技有限公司 | 一种限制访问网络接口的方法、装置及电子设备 |
| CN109743294A (zh) * | 2018-12-13 | 2019-05-10 | 平安科技(深圳)有限公司 | 接口访问控制方法、装置、计算机设备及存储介质 |
| CN112751974A (zh) * | 2020-12-29 | 2021-05-04 | 上海异势信息科技有限公司 | 手机app客户端智能加速限速方法、系统、介质及设备 |
| CN113452794A (zh) * | 2021-06-30 | 2021-09-28 | 深圳鲲鹏无限科技有限公司 | 智能动态添加黑名单的方法、系统、服务器和路由器 |
| CN113572735A (zh) * | 2021-06-24 | 2021-10-29 | 北京卫达信息技术有限公司 | 一种利用隐藏服务器防止网络攻击的方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1893375A (zh) * | 2005-07-07 | 2007-01-10 | 国际商业机器公司 | 用于检测和减轻分布式拒绝服务攻击的系统和方法 |
| CN101018156A (zh) * | 2007-02-16 | 2007-08-15 | 华为技术有限公司 | 防止带宽型拒绝服务攻击的方法、设备及系统 |
| CN101136922A (zh) * | 2007-04-28 | 2008-03-05 | 华为技术有限公司 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 |
| US7613179B2 (en) * | 2003-11-26 | 2009-11-03 | Nortel Networks Limited | Technique for tracing source addresses of packets |
| CN102413105A (zh) * | 2010-09-25 | 2012-04-11 | 杭州华三通信技术有限公司 | 防范cc攻击的方法和装置 |
-
2015
- 2015-10-20 CN CN201510683147.XA patent/CN105337970A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7613179B2 (en) * | 2003-11-26 | 2009-11-03 | Nortel Networks Limited | Technique for tracing source addresses of packets |
| CN1893375A (zh) * | 2005-07-07 | 2007-01-10 | 国际商业机器公司 | 用于检测和减轻分布式拒绝服务攻击的系统和方法 |
| CN101018156A (zh) * | 2007-02-16 | 2007-08-15 | 华为技术有限公司 | 防止带宽型拒绝服务攻击的方法、设备及系统 |
| CN101136922A (zh) * | 2007-04-28 | 2008-03-05 | 华为技术有限公司 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 |
| CN102413105A (zh) * | 2010-09-25 | 2012-04-11 | 杭州华三通信技术有限公司 | 防范cc攻击的方法和装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107277008A (zh) * | 2017-06-16 | 2017-10-20 | 福建中金在线信息科技有限公司 | 一种限制访问网络接口的方法、装置及电子设备 |
| CN109743294A (zh) * | 2018-12-13 | 2019-05-10 | 平安科技(深圳)有限公司 | 接口访问控制方法、装置、计算机设备及存储介质 |
| CN112751974A (zh) * | 2020-12-29 | 2021-05-04 | 上海异势信息科技有限公司 | 手机app客户端智能加速限速方法、系统、介质及设备 |
| CN113572735A (zh) * | 2021-06-24 | 2021-10-29 | 北京卫达信息技术有限公司 | 一种利用隐藏服务器防止网络攻击的方法 |
| CN113452794A (zh) * | 2021-06-30 | 2021-09-28 | 深圳鲲鹏无限科技有限公司 | 智能动态添加黑名单的方法、系统、服务器和路由器 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11240159B2 (en) | Service link selection control method and device | |
| CN105337970A (zh) | 路由器、服务器以及两者协同的网络访问控制方法 | |
| CN100450046C (zh) | 一种结合病毒检测与入侵检测的方法及系统 | |
| US11671402B2 (en) | Service resource scheduling method and apparatus | |
| CN108551446A (zh) | 防攻击的syn报文处理方法、装置、防火墙及存储介质 | |
| CN106656989B (zh) | 一种流量监控方法及终端 | |
| CN101351781B (zh) | 在通信网络中处理传入分组的方法和系统 | |
| CN101150586A (zh) | Cc攻击防范方法及装置 | |
| CN106657126A (zh) | 检测及防御DDoS攻击的装置及方法 | |
| CN113132308B (zh) | 一种网络安全防护方法及防护设备 | |
| CN116094978A (zh) | 一种信息上报方法和信息处理方法及设备 | |
| CN101883054B (zh) | 组播报文处理方法、装置和设备 | |
| CN1152517C (zh) | 防范网络攻击的方法 | |
| CN101141396B (zh) | 报文处理方法和网络设备 | |
| CN101582880B (zh) | 一种基于被审计对象的报文过滤方法及系统 | |
| JP2019152912A (ja) | 不正通信対処システム及び方法 | |
| CN101771575B (zh) | 一种处理ip分片报文的方法、装置及系统 | |
| CN106911590B (zh) | 报文处理方法、装置及分布式设备 | |
| CN102231874A (zh) | 一种短信处理方法、装置及系统 | |
| CN102056105A (zh) | 一种监控垃圾短信的方法和系统 | |
| CN101778055B (zh) | 一种消息处理方法和网络实体 | |
| CN1996960A (zh) | 一种即时通信消息的过滤方法及即时通信系统 | |
| CN114050917A (zh) | 音频数据的处理方法、装置、终端、服务器及存储介质 | |
| CN105208023A (zh) | 中心控制器保护方法、设备及系统 | |
| CN112134845A (zh) | 一种抗拒绝服务系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160217 |
|
| RJ01 | Rejection of invention patent application after publication |