CN106470187A - 防止dos攻击方法、装置和系统 - Google Patents
防止dos攻击方法、装置和系统 Download PDFInfo
- Publication number
- CN106470187A CN106470187A CN201510504850.XA CN201510504850A CN106470187A CN 106470187 A CN106470187 A CN 106470187A CN 201510504850 A CN201510504850 A CN 201510504850A CN 106470187 A CN106470187 A CN 106470187A
- Authority
- CN
- China
- Prior art keywords
- ttl
- bmp
- bmp message
- message
- dos attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
Abstract
本发明公开了一种防止DOS攻击方法,该方法包括步骤:接收发送端发送的边界网关监测协议BMP报文;获取所述BMP报文的生存时间TTL值;当所述BMP报文的TTL值小于所述预设TTL门限值时,判定所述BMP报文受到DOS攻击,丢弃所述BMP报文。本发明还公开了一种BMP报文防止DOS攻击装置和系统。本发明实现了通过TTL值来防止受到伪装IP的DOS攻击。
Description
技术领域
本发明涉及通信领域,尤其涉及一种防止DOS攻击方法、装置和系统。
背景技术
拒绝服务(Denial of Service,DOS)攻击是一种通过发送大量数据包使得计算机或者网络无法提供正常服务的攻击形式。它可能在短时间内耗尽所有可用的网络资源或者被攻击对象的系统资源,使得合法的用户无法通过或被处理,从而阻碍网络中的正常通信,给被攻击者乃至网络带来巨大的危害。
BMP(BGP Monitoring Protocol draft-ietf-grow-bmp-07,BGP协议draft-ietf-grow-bmp-07监测)定义了设备之间建立链接和报文交互处理的方法,在对设备间报文交互处理过程。大部分控制协议对等进程都建立在相邻或者直连的路由器之间,在路由器之间进行报文交互处理过程中,攻击者会模拟真实的BMP报文,对节点发送报文。当设备的接口板接收到这些报文后,直接送到控制层面的BMP协议处理,而不去辨别这些报文的“合法性”,不去辨别这些报文是否为DOS攻击报文,所述设备因为处理这些“合法”报文,即处理受到伪装IP(Internet Protocol,因特网互联协议)的DOS攻击的报文,会导致系统异常繁忙,CPU(Central Processing Unit,中央处理器)占用率高。
发明内容
本发明的主要目的在于提供一种防止DOS攻击方法、装置和装置,解决防止受到伪装IP的DOS攻击的技术问题。
为实现上述目的,本发明提供的一种防止DOS攻击方法,包括步骤:
接收发送端发送的边界网关监测协议BMP报文;
获取所述BMP报文的生存时间TTL值;
当所述BMP报文的TTL值小于所述预设TTL门限值时,判定所述BMP报文受到DOS攻击,丢弃所述BMP报文。
优选地,所述获取所述BMP报文的TTL值的步骤之后,还包括:
当所述BMP报文的TTL值大于或等于所述预设TTL门限值时,判定所述BMP报文为正常BMP报文,继续对所述BMP报文进行处理。
优选地,所述接收发送端发送的BMP报文的步骤之前,还包括:
根据通用TTL安全保护机制设置所述预设TTL门限值。
优选地,所述根据通用TTL安全保护机制设置所述预设TTL门限值的步骤之前,还包括:
通过网络通讯协议与发送端建立链接。
此外,为实现上述目的,本发明还提供一种防止DOS攻击装置,所述装置包括:
接收模块,用于接收发送端发送的边界网关监测协议BMP报文;
获取模块,用于获取所述BMP报文的生存时间TTL值;
判定模块,用于当所述BMP报文的TTL值小于所述预设TTL门限值时,判定所述BMP报文受到DOS攻击,丢弃所述BMP报文。
优选地,所述判定模块,还用于当所述BMP报文的TTL值大于或等于所述预设TTL门限值时,判定所述BMP报文为正常BMP报文,继续对所述BMP报文进行处理。
优选地,所述防止DOS攻击装置还包括:
设置模块,用于根据通用TTL安全保护机制设置所述预设TTL门限值。
优选地,所述防止DOS攻击装置还包括:
建立模块,用于通过网络通讯协议与发送端建立链接。
此外,为实现上述目的,本发明还提供一种防止DOS攻击系统,所述系统发送端和接收端:
所述接收端,用于接收发送端发送的边界网关监测协议BMP报文;
所述接收端,还用于获取所述BMP报文的生存时间TTL值;
所述接收端,还用于当所述BMP报文的TTL值小于所述预设TTL门限值时,判定所述BMP报文受到DOS攻击,丢弃所述BMP报文;
所述发送端,用于向所述接收端发送边界网关监测协议BMP报文。
优选地,所述接收端,还用于当所述BMP报文的TTL值大于或等于所述预设TTL门限值时,判定所述BMP报文为正常BMP报文,继续对所述BMP报文进行处理;
所述接收端,还用于根据通用TTL安全保护机制设置所述预设TTL门限值;
所述发送端,还用于当向所述接收端发送BMP报文时,将所述BMP报文的TTL值修改成TTL的最大值255。
本发明通过获取所接收到的BMP报文的TTL值,当所述接收到的BMP报文的TTL值小于预设TTL门限值时,将所述BMP报文丢弃,实现通过TTL值来防止受到伪装IP的DOS攻击。
附图说明
图1为本发明防止DOS攻击方法较佳实施例的流程示意图;
图2为本发明防止DOS攻击装置较佳实施例的功能模块示意图;
图3为本发明防止DOS攻击系统较佳实施例的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:接收发送端发送的边界网关监测协议BMP报文;获取所述BMP报文的生存时间TTL值;当所述BMP报文的TTL值小于所述预设TTL门限值时,判定所述BMP报文受到DOS攻击,丢弃所述BMP报文。通过获取所接收到的BMP报文的TTL值,当所述接收到的BMP报文的TTL值小于预设TTL门限值时,将所述BMP报文丢弃,实现通过TTL值来防止受到伪装IP的DOS攻击。
由于现有的技术无法通过更改TTL值来防止受到拒绝服务攻击,从而浪费CPU资源。
基于上述问题,本发明提供一种防止DOS攻击方法。
参照图1,图1为本发明防止DOS攻击方法第一实施例的流程示意图。
在本实施例中,所述防止DOS攻击方法包括:
步骤S10,接收发送端发送的边界网关监测协议BMP报文;
接收端和发送端通过TCP/IP协议建立链接。所述TCP/IP协议是Internet最基本的协议,是Internet国际互联网的基础,由网络层的IP协议和传输层的TCP协议组成。所述接收端还可以通过IPX/SPX(Internetwork PacketExchange/Sequences Packet Exchange,分组交换/顺序交换)协议等与所述发送端建立链接。在所述IPX/SPX中,IPX主要实现网络设备之间连接的建立维持和终止;SPX协议是IPX的辅助协议,主要实现发出信息的分组、跟踪分组传输,保证信息完整无缺的传输。
所述接收端接收所述发送端发送的BMP数据报文,所述接收端和所述发送端都配置了GTSM(Generalized TTL Security Mechanism,通用TTL安全保护机制)。所述GTSM是一种通过检查IP报文头中的TTL值是否在一个预先定义好的特定范围内,从而实现对IP上的业务进行保护的机制。所述GTSM主要用于保护建立在TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/因特网互联协议,又名网络通讯协议)基础上的控制层面协议免受DOS攻击。例如,攻击者模拟真实的通讯协议,对一台设备不断发送报文,导致设备因处理这些“合法(攻击报文)”而使系统异常繁忙,CPU占用率过高。所述发送端发送的BMP数据报文的TTL值是经过其数据层面修改的。所述TTL值是指定IP数据包在被路由器丢弃之前允许通过的最大网段数量,TTL的作用是限制IP数据包在计算机网络中的存在时间,所述TTL的最大值是255,TTL字段由IP数据包的发送者设置,在所述IP数据包从源目的的整个转发路径上,每经过一个转发路径上的路由器,所述转发路径上的路由器都会修改这个TTL值,具体做法是将所述TTL值减1,然后再把所述IP数据包转发出去。因此,优选地,所述发送端将要发送给接收端的BMP数据报文的TTL值修改成255。所述发送端优选为网关设备,如路由器,具有三层交换功能的网络交换机等,所述接收端包括但不限于服务器等能提供计算服务的设备,优选地,所述发送端为路由器,所述接收端为服务器。即所述服务器和所述路由器通过TCP/IP协议建立链接。所述服务器和所述路由器都配置了GTSM。当所述路由器要向所述服务器发送BMP数据报文时,所述路由器将要发送给服务器的BMP数据报文的TTL值修改成255。所述服务器接收所述路由器发送的BMP数据报文。
步骤S20,获取所述BMP报文的生存时间TTL值;
当所述接收端接收到所述发送端发送的BMP数据报文时,通过其数据层面获取所述BMP数据报文的TTL值。如所述服务器接收所述路由器发送的BMP数据报文时,通过其数据层面获取所述BMP数据报文的TTL值。
步骤S30,当所述BMP报文的TTL值小于所述预设TTL门限值时,判定所述BMP报文受到DOS攻击,丢弃所述BMP报文。
当所述接收端接收的BMP数据报文的TTL值小于所述预设TTL门限值时,判定所述BMP数据报文受到DOS攻击,为非法的BMP数据报文,所述接收端就会丢弃所述非法的BMP数据报文,不会继续向数据层面的上层传递所述非法的BMP数据报文。优选地,所述预设TTL门限值为所述接收端通过配置的GTSM设置。所述接收端通过其配置的GTSM,根据所述接收端和所述发送端之间的网络拓扑结构设置所述预设TTL门限值,所述网络拓扑结构是指用传输介质互连各种设备的物理布局,指构成网络的成员间特定的物理的,即真实的、或者逻辑的,即虚拟的排列方式。如当所述接收端和所述发送端之间的网络中的转发路径上有10个路由器,则将所述预设TTL门限值设置为245。因为所述发送端发送的BMP数据报文的TTL值每经过一个转发路径上的路由器,所述TTL值就会减1,当所述BMP数据报文经过转发路径上的10个路由器时,所述BMP数据报文的TTL值减小至245,因此将所述预设TTL门限值设置为245,即所述接收端接收的BMP数据报文的TTL值的范围应该在245到255之间。
所述接收端在接收所述发送端发送的BMP数据报文时,会同时接收其它设备发送的受到DOS攻击的BMP数据报文,而所述其它设备发送的的受到DOS攻击的BMP数据报文的TTL值一般都为64或100等,并不会达到255,所以当所述发送端发送的BMP数据报文和所述其它设备发送的受到DOS攻击的BMP数据报文都经过同样个数转发路径上的路由器时,所述其它设备发送的受到DOS攻击的BMP数据报文的TTL值会小于预设TTL门限值。如当所述预设TTL门限值为245时,则当所述接收端接收的BMP数据报文的TTL值小于245时,则判定所述接收端接收的BMP数据报文为非法的BMP数据报文,丢弃所述非法的BMP数据报文。如当所述服务器和所述路由器之间存在10个转发BMP数据报文的路由器时,当所述服务器接收到所述路由器发送的BMP数据报文的TTL值小于245时,表示所述服务器接收的BMP数据报文为非法的BMP数据报文,所述服务器会将所述BMP数据报文丢弃。
当所述接收端接收的BMP数据报文的TTL值大于或者等于所述预设TTL门限值时,判定所述BMP数据报文未受到DOS攻击,为正常的BMP数据报文,并将所述正常的BMP数据报文继续向数据层面的上层传递,如向控制层面传递,即继续对所述正常的BMP数据报文进行处理。如当所述预设TTL门限值为245时,则当所述服务器接收的BMP数据报文的TTL值大于或者等于245时,则判定所述服务器接收的BMP数据报文为正常的BMP数据报文,继续对所述正常的BMP数据报文进行处理。
本实施例通过获取所接收到的BMP报文的TTL值,当所述接收到的BMP报文的TTL值小于预设TTL门限值时,将所述BMP报文丢弃,实现通过TTL值来防止受到伪装IP的DOS攻击,降低设备的CPU占用率,提高设备的使用寿命。
本发明进一步提供一种防止DOS攻击装置。
参照图2,图2为本发明防止DOS攻击装置较佳实施例的功能模块示意图。
在本实施例中,所述防止DOS攻击装置包括:
接收模块10,用于接收发送端发送的边界网关监测协议BMP报文;
接收端和发送端通过TCP/IP协议建立链接。所述TCP/IP协议是Internet最基本的协议,是Internet国际互联网的基础,由网络层的IP协议和传输层的TCP协议组成。所述接收端还可以通过IPX/SPX协议等与所述发送端建立链接。在所述IPX/SPX中,IPX主要实现网络设备之间连接的建立维持和终止;SPX协议是IPX的辅助协议,主要实现发出信息的分组、跟踪分组传输,保证信息完整无缺的传输。
所述接收端接收所述发送端发送的BMP数据报文,所述接收端和所述发送端都配置了GTSM。所述发送端发送的BMP数据报文的TTL值是经过其数据层面修改的。所述TTL值是指定IP数据包在被路由器丢弃之前允许通过的最大网段数量,TTL的作用是限制IP数据包在计算机网络中的存在时间,所述TTL的最大值是255,TTL字段由IP数据包的发送者设置,在所述IP数据包从源目的的整个转发路径上,每经过一个转发路径上的路由器,所述转发路径上的路由器都会修改这个TTL值,具体做法是将所述TTL值减1,然后再把所述IP数据包转发出去。因此,优选地,所述发送端将要发送给接收端的BMP数据报文的TTL值修改成255。所述发送端优选为网关设备,如路由器,具有三层交换功能的网络交换机等,所述接收端包括但不限于服务器等能提供计算服务的设备,优选地,所述发送端为路由器,所述接收端为服务器。即所述服务器和所述路由器通过TCP/IP协议建立链接。所述服务器和所述路由器都配置了GTSM。当所述路由器要向所述服务器发送BMP数据报文时,所述路由器将要发送给服务器的BMP数据报文的TTL值修改成255。所述服务器接收所述路由器发送的BMP数据报文。
获取模块20,用于获取所述BMP报文的生存时间TTL值;
当所述接收端接收到所述发送端发送的BMP数据报文时,通过其数据层面获取所述BMP数据报文的TTL值。如所述服务器接收所述路由器发送的BMP数据报文时,通过其数据层面获取所述BMP数据报文的TTL值。
判定模块30,用于当所述BMP报文的TTL值小于所述预设TTL门限值时,判定所述BMP报文受到DOS攻击,丢弃所述BMP报文。
当所述接收端接收的BMP数据报文的TTL值小于所述预设TTL门限值时,判定所述BMP数据报文受到DOS攻击,为非法的BMP数据报文,所述接收端就会丢弃所述非法的BMP数据报文,不会继续向数据层面的上层传递所述非法的BMP数据报文。优选地,所述预设TTL门限值为所述接收端通过配置的GTSM设置。所述接收端通过其配置的GTSM,根据所述接收端和所述发送端之间的网络拓扑结构设置所述预设TTL门限值,所述网络拓扑结构是指用传输介质互连各种设备的物理布局,指构成网络的成员间特定的物理的,即真实的、或者逻辑的,即虚拟的排列方式。如当所述接收端和所述发送端之间的网络中的转发路径上有10个路由器,则将所述预设TTL门限值设置为245。因为所述发送端发送的BMP数据报文的TTL值每经过一个转发路径上的路由器,所述TTL值就会减1,当所述BMP数据报文经过转发路径上的10个路由器时,所述BMP数据报文的TTL值减小至245,因此将所述预设TTL门限值设置为245,即所述接收端接收的BMP数据报文的TTL值的范围应该在245到255之间。
所述接收端在接收所述发送端发送的BMP数据报文时,会同时接收其它设备发送的受到DOS攻击的BMP数据报文,而所述其它设备发送的的受到DOS攻击的BMP数据报文的TTL值一般都为64或100等,并不会达到255,所以当所述发送端发送的BMP数据报文和所述其它设备发送的受到DOS攻击的BMP数据报文都经过同样个数转发路径上的路由器时,所述其它设备发送的受到DOS攻击的BMP数据报文的TTL值会小于预设TTL门限值。如当所述预设TTL门限值为245时,则当所述接收端接收的BMP数据报文的TTL值小于245时,则判定所述接收端接收的BMP数据报文为非法的BMP数据报文,丢弃所述非法的BMP数据报文。如当所述服务器和所述路由器之间存在10个转发BMP数据报文的路由器时,当所述服务器接收到所述路由器发送的BMP数据报文的TTL值小于245时,表示所述服务器接收的BMP数据报文为非法的BMP数据报文,所述服务器会将所述BMP数据报文丢弃。
当所述接收端接收的BMP数据报文的TTL值大于或者等于所述预设TTL门限值时,判定所述BMP数据报文未受到DOS攻击,为正常的BMP数据报文,并将所述正常的BMP数据报文继续向数据层面的上层传递,如向控制层面传递,即继续对所述正常的BMP数据报文进行处理。如当所述预设TTL门限值为245时,则当所述服务器接收的BMP数据报文的TTL值大于或者等于245时,则判定所述服务器接收的BMP数据报文为正常的BMP数据报文,继续对所述正常的BMP数据报文进行处理。
本实施例通过获取所接收到的BMP报文的TTL值,当所述接收到的BMP报文的TTL值小于预设TTL门限值时,将所述BMP报文丢弃,实现通过TTL值来防止受到伪装IP的DOS攻击,降低设备的CPU占用率,提高设备的使用寿命。
本发明进一步提供一种防止DOS攻击系统。
参照图3,图3为本发明防止DOS攻击系统较佳实施例的功能模块示意图。
在本实施例中,所述防止DOS攻击系统发送端110和接收端220:
所述接收端220,用于接收发送端发送的边界网关监测协议BMP报文;
所述发送端110,用于向所述接收端发送边界网关监测协议BMP报文。
在本实施例中,所述发送端110优选为路由器,所述接收端220优选为服务器。
所述服务器和所述路由器通过TCP/IP协议建立链接。所述TCP/IP协议是Internet最基本的协议,是Internet国际互联网的基础,由网络层的IP协议和传输层的TCP协议组成。所述服务器还可以通过IPX/SPX协议等与所述路由器建立链接。在所述IPX/SPX中,IPX主要实现网络设备之间连接的建立维持和终止;SPX协议是IPX的辅助协议,主要实现发出信息的分组、跟踪分组传输,保证信息完整无缺的传输。
所述路由器发送BMP数据报文给所述服务器,所述服务器接收所述路由器发送的BMP数据报文。优选地,所述服务器和所述路由器都配置了GTSM。
所述发送端220,还用于当向所述接收端发送BMP报文时,将所述BMP报文的TTL值修改成TTL的最大值255。
所述路由器发送的BMP数据报文的TTL值是经过其数据层面修改的。所述TTL值时指定IP数据包在被路由器丢弃之前允许通过的最大网段数量,TTL的作用是限制IP数据包在计算机网络中的存在时间,所述TTL的最大值是255,TTL字段由IP数据包的发送者设置,在所述IP数据包从源目的的整个转发路径上,每经过一个转发路径上的路由器,所述转发路径上的路由器都会修改这个TTL值,具体做法是将所述TTL值减1,然后再把所述IP数据包转发出去。因此,优选地,所述路由器将要发送给服务器的BMP数据报文的TTL值修改成255。
所述接收端220,还用于获取所述BMP报文的生存时间TTL值;
当所述服务器接收到所述路由器发送的BMP数据报文时,通过其数据层面获取所述BMP数据报文的TTL值。
所述接收端220,还用于当所述BMP报文的TTL值小于所述预设TTL门限值时,判定所述BMP报文受到DOS攻击,丢弃所述BMP报文;
当所述服务器接收的BMP数据报文的TTL值小于所述预设TTL门限值时,判定所述BMP数据报文受到DOS攻击,为非法的BMP数据报文,所述服务器就会丢弃所述非法的BMP数据报文,不会继续向数据层面的上层传递所述非法的BMP数据报文。
所述接收端220,还用于根据通用TTL安全保护机制设置所述预设TTL门限值;
优选地,所述预设TTL门限值为所述服务器通过配置的GTSM设置。所述服务器通过其配置的GTSM,根据所述服务器和所述路由器之间的网络拓扑结构设置所述预设TTL门限值,所述网络拓扑结构是指用传输介质互连各种设备的物理布局,指构成网络的成员间特定的物理的,即真实的、或者逻辑的,即虚拟的排列方式。如当所述服务器和所述路由器之间的网络中的转发路径上有10个路由器,则将所述预设TTL门限值设置为245。因为所述路由器发送的BMP数据报文的TTL值每经过一个转发路径上的路由器,所述TTL值就会减1,当所述BMP数据报文经过转发路径上的10个路由器时,所述BMP数据报文的TTL值减小至245,因此将所述预设TTL门限值设置为245,即所述服务器接收的BMP数据报文的TTL值的范围应该在245到255之间。
所述服务器在接收所述路由器发送的BMP数据报文时,会同时接收其它设备发送的受到DOS攻击的BMP数据报文,而所述其它设备发送的的受到DOS攻击的BMP数据报文的TTL值一般都为64或100等,并不会达到255,所以当所述路由器发送的BMP数据报文和所述其它设备发送的受到DOS攻击的BMP数据报文都经过同样个数转发路径上的路由器时,所述其它设备发送的受到DOS攻击的BMP数据报文的TTL值会小于预设TTL门限值。如当所述预设TTL门限值为245时,则当所述服务器接收的BMP数据报文的TTL值小于245时,则判定所述服务器接收的BMP数据报文为非法的BMP数据报文,丢弃所述非法的BMP数据报文。
所述接收端220,还用于当所述BMP报文的TTL值大于或等于所述预设TTL门限值时,判定所述BMP报文为正常BMP报文,继续对所述BMP报文进行处理;
若所述服务器接收的BMP数据报文的TTL值大于或者等于所述预设TTL门限值,则判定所述BMP数据报文未受到DOS攻击,为正常的BMP数据报文,并将所述正常的BMP数据报文继续向数据层面的上层传递,如向控制层面传递,即继续对所述正常的BMP数据报文进行处理。如当所述预设TTL门限值为245时,则当所述服务器接收的BMP数据报文的TTL值大于或者等于245时,则判定所述服务器接收的BMP数据报文为正常的BMP数据报文,继续对所述正常的BMP数据报文进行处理。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种防止拒绝服务DOS攻击方法,其特征在于,所述防止DOS攻击方法包括以下步骤:
接收发送端发送的边界网关监测协议BMP报文;
获取所述BMP报文的生存时间TTL值;
当所述BMP报文的TTL值小于所述预设TTL门限值时,判定所述BMP报文受到DOS攻击,丢弃所述BMP报文。
2.如权利要求1所述的防止DOS攻击方法,其特征在于,所述获取所述BMP报文的TTL值的步骤之后,还包括:
当所述BMP报文的TTL值大于或等于所述预设TTL门限值时,判定所述BMP报文为正常BMP报文,继续对所述BMP报文进行处理。
3.如权利要求1或2所述的防止DOS攻击方法,其特征在于,所述接收发送端发送的BMP报文的步骤之前,还包括:
根据通用TTL安全保护机制设置所述预设TTL门限值。
4.如权利要求3所述的防止DOS攻击方法,其特征在于,所述根据通用TTL安全保护机制设置所述预设TTL门限值的步骤之前,还包括:
通过网络通讯协议与发送端建立链接。
5.一种防止拒绝服务DOS攻击装置,其特征在于,所述防止DOS攻击装置包括:
接收模块,用于接收发送端发送的边界网关监测协议BMP报文;
获取模块,用于获取所述BMP报文的生存时间TTL值;
判定模块,用于当所述BMP报文的TTL值小于所述预设TTL门限值时,判定所述BMP报文受到DOS攻击,丢弃所述BMP报文。
6.如权利要求5所述的防止DOS攻击装置,其特征在于,所述判定模块,还用于当所述BMP报文的TTL值大于或等于所述预设TTL门限值时,判定所述BMP报文为正常BMP报文,继续对所述BMP报文进行处理。
7.如权利要求5或6所述的BMP报文防止DOS攻击装置,其特征在于,所述防止DOS攻击装置还包括:
设置模块,用于根据通用TTL安全保护机制设置所述预设TTL门限值。
8.如权利要求7所述的BMP报文防止DOS攻击装置,其特征在于,所述防止DOS攻击装置还包括:
建立模块,用于通过网络通讯协议与发送端建立链接。
9.一种防止拒绝服务DOS攻击系统,其特征在于,所述防止DOS攻击系统包括发送端和接收端:
所述接收端,用于接收发送端发送的边界网关监测协议BMP报文;
所述接收端,还用于获取所述BMP报文的生存时间TTL值;
所述接收端,还用于当所述BMP报文的TTL值小于所述预设TTL门限值时,判定所述BMP报文受到DOS攻击,丢弃所述BMP报文;
所述发送端,用于向所述接收端发送边界网关监测协议BMP报文。
10.如权利要求9所述的防止DOS攻击系统,其特征在于,所述接收端,还用于当所述BMP报文的TTL值大于或等于所述预设TTL门限值时,判定所述BMP报文为正常BMP报文,继续对所述BMP报文进行处理;
所述接收端,还用于根据通用TTL安全保护机制设置所述预设TTL门限值;
所述发送端,还用于当向所述接收端发送BMP报文时,将所述BMP报文的TTL值修改成TTL的最大值255。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510504850.XA CN106470187A (zh) | 2015-08-17 | 2015-08-17 | 防止dos攻击方法、装置和系统 |
| PCT/CN2016/076649 WO2016177131A1 (zh) | 2015-08-17 | 2016-03-17 | 防止dos攻击方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510504850.XA CN106470187A (zh) | 2015-08-17 | 2015-08-17 | 防止dos攻击方法、装置和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106470187A true CN106470187A (zh) | 2017-03-01 |
Family
ID=57218130
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510504850.XA Pending CN106470187A (zh) | 2015-08-17 | 2015-08-17 | 防止dos攻击方法、装置和系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN106470187A (zh) |
| WO (1) | WO2016177131A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110213254A (zh) * | 2019-05-27 | 2019-09-06 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别伪造互联网协议ip报文的方法和设备 |
| CN112448912A (zh) * | 2019-08-27 | 2021-03-05 | 中兴通讯股份有限公司 | 一种防报文攻击方法、装置及存储介质 |
| WO2021093797A1 (zh) * | 2019-11-15 | 2021-05-20 | 华为技术有限公司 | 一种信息上报方法和信息处理方法及设备 |
| CN114531270A (zh) * | 2021-12-31 | 2022-05-24 | 网络通信与安全紫金山实验室 | 针对分段路由标签探测的防御方法及装置 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113572685B (zh) | 2020-04-29 | 2023-03-10 | 华为技术有限公司 | 一种信息上报方法、信息处理方法、装置及设备 |
| CN113709156B (zh) * | 2021-08-27 | 2022-09-27 | 哈尔滨工业大学 | 一种nids网络渗透检测方法、计算机及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1517517A1 (en) * | 2003-09-17 | 2005-03-23 | Alcatel | IP time to live (ttl) field used as a covert channel |
| CN101582833A (zh) * | 2008-05-15 | 2009-11-18 | 成都市华为赛门铁克科技有限公司 | 一种伪造ip数据包的处理方法及装置 |
| CN101674312A (zh) * | 2009-10-19 | 2010-03-17 | 中兴通讯股份有限公司 | 一种在网络传输中防止源地址欺骗的方法及装置 |
| CN104125242A (zh) * | 2014-08-18 | 2014-10-29 | 北京阅联信息技术有限公司 | 识别伪装ldns请求的ddos攻击的防护方法及装置 |
| CN104348794A (zh) * | 2013-07-30 | 2015-02-11 | 深圳市腾讯计算机系统有限公司 | 网络层ddos攻击源识别方法、装置及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006345347A (ja) * | 2005-06-10 | 2006-12-21 | Matsushita Electric Ind Co Ltd | 通信装置、ネットワーク構成調査方法、およびプログラム |
| CN104348749B (zh) * | 2014-07-28 | 2018-02-16 | 湖北誉恒科技有限公司 | 一种流量控制方法、装置及系统 |
-
2015
- 2015-08-17 CN CN201510504850.XA patent/CN106470187A/zh active Pending
-
2016
- 2016-03-17 WO PCT/CN2016/076649 patent/WO2016177131A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1517517A1 (en) * | 2003-09-17 | 2005-03-23 | Alcatel | IP time to live (ttl) field used as a covert channel |
| CN101582833A (zh) * | 2008-05-15 | 2009-11-18 | 成都市华为赛门铁克科技有限公司 | 一种伪造ip数据包的处理方法及装置 |
| CN101674312A (zh) * | 2009-10-19 | 2010-03-17 | 中兴通讯股份有限公司 | 一种在网络传输中防止源地址欺骗的方法及装置 |
| CN104348794A (zh) * | 2013-07-30 | 2015-02-11 | 深圳市腾讯计算机系统有限公司 | 网络层ddos攻击源识别方法、装置及系统 |
| CN104125242A (zh) * | 2014-08-18 | 2014-10-29 | 北京阅联信息技术有限公司 | 识别伪装ldns请求的ddos攻击的防护方法及装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110213254A (zh) * | 2019-05-27 | 2019-09-06 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别伪造互联网协议ip报文的方法和设备 |
| CN112448912A (zh) * | 2019-08-27 | 2021-03-05 | 中兴通讯股份有限公司 | 一种防报文攻击方法、装置及存储介质 |
| CN112448912B (zh) * | 2019-08-27 | 2023-08-01 | 中兴通讯股份有限公司 | 一种防报文攻击方法、装置及存储介质 |
| WO2021093797A1 (zh) * | 2019-11-15 | 2021-05-20 | 华为技术有限公司 | 一种信息上报方法和信息处理方法及设备 |
| CN114531270A (zh) * | 2021-12-31 | 2022-05-24 | 网络通信与安全紫金山实验室 | 针对分段路由标签探测的防御方法及装置 |
| CN114531270B (zh) * | 2021-12-31 | 2023-11-03 | 网络通信与安全紫金山实验室 | 针对分段路由标签探测的防御方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016177131A1 (zh) | 2016-11-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106470187A (zh) | 防止dos攻击方法、装置和系统 | |
| CN103460648B (zh) | 用于在Diameter信令路由器(DSR)内屏蔽Diameter消息的方法和系统 | |
| Simpson et al. | An inter-domain collaboration scheme to remedy DDoS attacks in computer networks | |
| CN102132532B (zh) | 用于避免不需要的数据分组的方法和装置 | |
| CN107623661A (zh) | 阻断访问请求的系统、方法及装置,服务器 | |
| CN101106518B (zh) | 为中央处理器提供负载保护的拒绝服务方法 | |
| Sanmorino et al. | DDoS attack detection method and mitigation using pattern of the flow | |
| CN107623663A (zh) | 处理网络流量的方法及装置 | |
| CN107104929A (zh) | 防御网络攻击的方法、装置和系统 | |
| CN102739684A (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
| CN104917765A (zh) | 一种防范攻击的方法和设备 | |
| EP1804465A1 (en) | Collaborative communication traffic control network | |
| Hsiao et al. | STRIDE: sanctuary trail--refuge from internet DDoS entrapment | |
| CN105812318A (zh) | 用于在网络中防止攻击的方法、控制器和系统 | |
| Dhurandher et al. | Message trust‐based secure multipath routing protocol for opportunistic networks | |
| US8688077B2 (en) | Communication system and method for providing a mobile communications service | |
| RU2576488C1 (ru) | СПОСОБ ПОСТРОЕНИЯ СЕТЕЙ ПЕРЕДАЧИ ДАННЫХ С ПОВЫШЕННЫМ УРОВНЕМ ЗАЩИТЫ ОТ DDоS-АТАК | |
| CN106603512A (zh) | 一种基于sdn架构的is‑is路由协议的可信认证方法 | |
| Asuquo et al. | Analysis of dos attacks in delay tolerant networks for emergency evacuation | |
| CN109150829A (zh) | 软件定义云网络可信数据分发方法、可读存储介质和终端 | |
| Diep et al. | Detecting flooding attack in delay tolerant networks by piggybacking encounter records | |
| Maheshwar et al. | Black hole effect analysis and prevention through IDS in MANET environment | |
| 梁丰 | Using adaptive router throttles against distributed denial-of-service attacks | |
| Mughaid et al. | Simulation and analysis performance of ad-hoc routing protocols under DDoS attack and proposed solution | |
| CN103546983B (zh) | 通信方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170301 |