CN109104437B - 路由域、用于在路由域中处理ip报文的方法和装置 - Google Patents
路由域、用于在路由域中处理ip报文的方法和装置 Download PDFInfo
- Publication number
- CN109104437B CN109104437B CN201811227439.2A CN201811227439A CN109104437B CN 109104437 B CN109104437 B CN 109104437B CN 201811227439 A CN201811227439 A CN 201811227439A CN 109104437 B CN109104437 B CN 109104437B
- Authority
- CN
- China
- Prior art keywords
- messages
- address
- router
- routing domain
- dividing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种路由域、用于在路由域中处理IP报文的方法和装置,所述处理IP报文的方法包括以下步骤:在预设时间段内,获取流入所述路由域中的边界路由器的所有IP报文;依据预设规则、将所有IP报文划分为若干不同的IP数据流,在确定第一IP数据流中的所有IP报文的长度总和大于预设阀值时,控制所述路由域中的路由器丢弃第一IP数据流中的IP报文。从而能够判断DDOS攻击流并丢弃DDOS攻击IP报文。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种路由域、用于在路由域中处理IP报文的方法和装置。
背景技术
分布式拒绝服务(Distributed Denial of Service,DDOS)是一种非常严重的网络攻击,其基本原理为:利用分布式的客户端,向服务器发起大量看似合法的请求,消耗或者长期占用大量资源,从而达到拒绝服务的目的。DDOS的攻击方式有很多种,最基本的DDOS攻击方式包括:利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应,从而达到拒绝服务的目的。
因此,在一个网络中,如何判断DDOS攻击流、并丢弃DDOS攻击IP(InternetProtocol,网络互连协议)报文,就成为一个亟待解决的问题。
发明内容
本发明的目的在于提供一种路由域、用于在路由域中处理IP报文的方法和装置。
为了实现上述发明目的之一,本发明一实施方式提供一种用于在路由域中处理IP报文的方法,包括以下步骤:在预设时间段内,获取流入所述路由域中的边界路由器的所有IP报文;依据预设规则、将所有IP报文划分为若干不同的IP数据流,在确定第一IP数据流中的所有IP报文的长度总和大于预设阀值时,控制所述路由域中的路由器丢弃第一IP数据流中的IP报文。
作为本发明一实施方式的进一步改进,所述控制所述路由域中的路由器丢弃第一IP数据流中的IP报文,包括:控制所述路由域中的路由器执行以下操作:在接收到IP报文时,依据所述预设规则,确定所述IP报文属于第一IP数据流时,丢弃所述IP报文。
作为本发明一实施方式的进一步改进,所述依据预设规则,将所有IP报文划分为若干不同的IP数据流,包括:将目的IP地址不相同的IP报文划分到不同的IP数据流,目的IP地址相同的IP报文划分到相同的IP数据流。
作为本发明一实施方式的进一步改进,所述控制所述路由域中的路由器丢弃第一IP数据流中的IP报文,包括:获取第一IP数据流的目的IP地址为第一IP地址;在所述路由域中的路由器中,将目的IP地址为第一IP地址的IP报文的下一跳设置为NULL0。
作为本发明一实施方式的进一步改进,所述依据预设规则,将所有IP报文划分为若干不同的IP数据流,包括:将源IP地址不相同的IP报文划分到不同的IP数据流,源IP地址相同的IP报文划分到相同的IP数据流。
本发明实施例还提供了一种用于在路由域中处理IP报文的装置,包括以下模块:报文获取模块,用于在预设时间段内,获取流入所述路由域中的边界路由器的所有IP报文;报文处理模块,用于依据预设规则、将所有IP报文划分为若干不同的IP数据流,在确定第一IP数据流中的所有IP报文的长度总和大于预设阀值时,控制所述路由域中的路由器丢弃第一IP数据流中的IP报文。
作为本发明一实施方式的进一步改进,所述报文处理模块,还用于:控制所述路由域中的路由器执行以下操作:在接收到IP报文时,依据所述预设规则,确定所述IP报文属于第一IP数据流时,丢弃所述IP报文。
作为本发明一实施方式的进一步改进,所述报文处理模块,还用于:将目的IP地址不相同的IP报文划分到不同的IP数据流,目的IP地址相同的IP报文划分到相同的IP数据流。
作为本发明一实施方式的进一步改进,所述报文处理模块,还用于:获取第一IP数据流的目的IP地址为第一IP地址;在所述路由域中的路由器中,将目的IP地址为第一IP地址的IP报文的下一跳设置为NULL0。
本发明实施例还提供了一种路由域,包括:若干边界路由器、若干内部路由器和触发路由器;所述若干边界路由器将流入的所有IP报文发送给触发路由器;所述触发路由器用于接收所述若干边界路由器所发送的所有IP报文,依据预设规则、将在预设时间段内所接收的所有IP报文划分为若干不同的IP数据流,在确定第一IP数据流中的所有IP报文的长度总和大于预设阀值时,获取第一IP数据流的目的IP地址为第一IP地址,在路由表中将目的IP地址为第一IP地址的IP报文的下一跳设置为NULL0,并且将所述路由表发布到所述路由域中,其中,所述预设规则包括:将目的IP地址不相同的IP报文划分到不同的IP数据流,目的IP地址相同的IP报文划分到相同的IP数据流。
相对于现有技术,本发明的技术效果在于:本发明实施例提供了一种路由域、用于在路由域中处理IP报文的方法和装置,所述处理IP报文的方法包括以下步骤:在预设时间段内,获取流入所述路由域中的边界路由器的所有IP报文;依据预设规则、将所有IP报文划分为若干不同的IP数据流,在确定第一IP数据流中的所有IP报文的长度总和大于预设阀值时,控制所述路由域中的路由器丢弃第一IP数据流中的IP报文。从而能够判断DDOS攻击流并丢弃DDOS攻击IP报文。
附图说明
图1是本发明实施例一提供的处理IP报文的方法的流程示意图;
图2是本发明实施例二提供的路由域的结构示意图。
具体实施方式
以下将结合附图所示的各实施方式对本发明进行详细描述。但这些实施方式并不限制本发明,本领域的普通技术人员根据这些实施方式所做出的结构、方法、或功能上的变换均包含在本发明的保护范围内。
本发明实施例一提供了一种用于在路由域中处理IP(Internet Protocol,网络互连协议)报文的方法,在实际的路由域中,通常会包含有若干路由器,可以理解的是,在该路由域中,需要有一台计算机来执行该处理IP报文的方法,该计算机可以为该路由域中的一个路由器,也可以是位于该路由域中的一台专门的计算机;如图1所示,包括以下步骤:
步骤101:在预设时间段内,获取流入所述路由域中的边界路由器的所有IP报文;这里,该预设时间段可以为1S。可以理解的是,该IP报文可以IPv4(Internet Protocolversion 4,网络互连协议第4版)报文或IPv6(Internet Protocol version 6,网络互连协议第6版)报文。
这里,当一个IP报文流入该路由域的一个边界路由器时,在该路由域中,该IP报文流经过若干路由器的转发,最终到达目的计算机或者最终通过另一个边界路由器流出,可以理解的是,为了精确的统计不同的数据流的大小,只需要统计流入边界路由的所有报文即可。
步骤102:依据预设规则、将所有IP报文划分为若干不同的IP数据流,在确定第一IP数据流中的所有IP报文的长度总和大于预设阀值时,控制所述路由域中的路由器丢弃第一IP数据流中的IP报文。这里,预设规则可以根据实际情况而设定,例如:(1)以IP报文中的目的IP地址为划分依据,即包含相同目的IP地址的IP报文划分到同一IP数据流中,不同目的IP地址的IP报文划分到不同的IP数据流中;(2)以IP报文中的源IP地址为划分依据,即包含相同源IP地址的IP报文划分到同一IP数据流中,不同源IP地址的IP报文划分到不同的IP数据流中;(3)可以使用一个四元组(源IP地址,源端口号,目的IP地址,目的端口号)为划分依据,即包含相同四元组(即两个四元组所包含的四个对应的元素的值都相等,这两个四元组才相同)的IP报文划分到同一IP数据流中,不四元组的IP报文划分到不同的IP数据流中。进一步,TCP(Transmission Control Protocol,传输控制协议)/IP协议中的二层(链路层)、三层(网络层)或四层(传输层)的任意字段或者某些字段的组合都可以用来作为IP数据流的划分依据。
这里,在预设时间段内,如果第一IP数据流的所有IP报文的长度总和大于预设阀值(例如,在1S内,所有IP报文所携带的数据的长度总和大于1000Mb)时,也可以理解为,网络速率=所有IP报文的长度总和/预设时间段的时间长度,且该网络速率大于速率阈值时,则可以确定第一IP数据流可能为一个攻击流,为了阻止该攻击流,可以丢弃第一IP数据流中的IP报文。
这里,在步骤101中,首先获取流入所述路由域中的边界路由器的所有IP报文,在步骤102中,然后确定不同的IP数据流中的所有IP报文的长度总和,可以理解的是,边界路由器可以直接将所接收到的所有IP报文发送给执行该处理IP报文的方法的计算机,然后由该计算机来进行统计;也可以首先由边界路由器进行统计,之后每个边界路由器都将统计结果发送给执行该处理IP报文的方法的计算机,然后该计算机进行汇总。
可选的,所述确定第一IP数据流中的所有IP报文的长度总和大于预设阀值,包括:确定第一IP数据流中的所有IP报文的所携带的数据的长度总和大于预设阀值。在实际中,每个IP报文都会包含有IP基本头部和所携带的数据,可以理解的是,所携带的数据是有效数据,因此,在预设时间段内,某个IP数据流中所携带的数据的长度总和能够更加精确的表征该流的网络速率。
可选的,所述在预设时间段内,获取流入所述路由域中的边界路由器的所有IP报文,包括:在1S时间段内,获取流入所述路由域中的边界路由器的所有IP报文。在本领域中,为了计算网络速率,通常需要获得时间长度T内的数据的总长度L,则网络速率=L/T,且单位通常为bit/S,可以理解的是,该网络速率是时间T中的平均速率;这里,如果获取在1S内的所有IP报文的数据的长度总和,则所述长度总和即为网络速率,可以理解的是,这不仅便于计算网络速率(即不需要执行除法),而且精度高(可以精确的得到每秒的网络速率)。
优选的,所述控制所述路由域中的路由器丢弃第一IP数据流中的IP报文,包括:控制所述路由域中的路由器执行以下操作:在接收到IP报文时,依据所述预设规则,确定所述IP报文属于第一IP数据流时,丢弃所述IP报文。
优选的,所述依据预设规则,将所有IP报文划分为若干不同的IP数据流,包括:将目的IP地址不相同的IP报文划分到不同的IP数据流,目的IP地址相同的IP报文划分到相同的IP数据流。这里,在预设时间段内,如果流向某个目的IP地址的所有IP报文的长度总和大于预设阀值(例如,在1S内,所有IP报文所携带的数据的长度总和大于1000Mb)时,也可以理解为,网络速率=所有IP报文的长度总和/预设时间段的时间长度,且该网络速率大于速率阈值时,则可以确定该目的IP地址所对应的网卡遭受了DDOS攻击,为了保护该网卡,可以控制该路由域中的路由器丢弃流向该目的IP地址的IP报文。
优选的,所述控制所述路由域中的路由器丢弃第一IP数据流中的IP报文,包括:获取第一IP数据流的目的IP地址为第一IP地址;在所述路由域中的路由器中,将目的IP地址为第一IP地址的IP报文的下一跳设置为NULL0。NULL0是路由器中的一逻辑接口,NULL0接口总是处于UP状态,但不转发任何报文。当NULL0接口接收到报文后,会把报文丢弃。不能在NULL0接口上配置IP地址,也不能在NULL0接口上封装任何链路层协议。NULL0主要用于防止路由环路或用于过滤数据报文。这里,当目的IP地址为第一IP地址的IP报文被转发到NULL0接口时,该IP报文就会被丢弃。
可选的,所述控制所述路由域中的路由器丢弃第一IP数据流中的IP报文,包括:获取第一IP数据流的目的IP地址为第一IP地址,在路由表中将目的IP地址为第一IP地址的IP报文的下一跳设置为NULL0,并且将所述路由表发布到所述路由域中。这里,可以利用路由表的发布功能,把该路由表都发送到该路由域中的路由器中。
可选的,所述控制所述路由域中的路由器丢弃第一IP数据流中的IP报文,包括:获取第一IP数据流的目的IP地址为第一IP地址,控制所述路由域中的边界路由器丢弃目的IP地址为第一IP地址的IP报文。这里,可以理解的是,如果DDOS攻击报文是该路由域的外部流入到该路由域中的,因此,可以仅仅控制边界路由器丢弃所述IP报文。
可选的,所述路由域中执行的BGP(Border Gateway Protocol,边界网关协议)协议、OSPF(Open Shortest Path First,开放式最短路径优先)协议、IS-IS(IntermediateSystem to Intermediate System,中间系统到中间系统)协议或者IGRP(InteriorGateway Routing Protool,内部网关路由协议)协议等。
优选的,所述依据预设规则,将所有IP报文划分为若干不同的IP数据流,包括:将源IP地址不相同的IP报文划分到不同的IP数据流,源IP地址相同的IP报文划分到相同的IP数据流。这里,源IP地址可以为某个计算机的网卡上的IP地址,则该处理IP报文的方法能够防止该计算机向网络发送一些攻击报文(例如,某些计算机在网络上发送某些扫描数据,用于获取网络上的计算机上所存在的漏洞等),从而可以有效的保护该路由域中的计算机的安全。
可选的,所述控制所述路由域中的路由器丢弃第一IP数据流中的IP报文,包括:控制所述路由域中的路由器执行以下操作:获取第一IP数据流的源IP地址为第二IP地址;在接收到IP报文时,确定所述IP报文的源IP地址等于第二IP数据流时,丢弃所述IP报文。
本发明实施例还提供了一种用于在路由域中处理IP报文的装置,包括以下模块:
报文获取模块,用于在预设时间段内,获取流入所述路由域中的边界路由器的所有IP报文;
报文处理模块,用于依据预设规则、将所有IP报文划分为若干不同的IP数据流,在确定第一IP数据流中的所有IP报文的长度总和大于预设阀值时,控制所述路由域中的路由器丢弃第一IP数据流中的IP报文。
优选的,所述报文处理模块,还用于:控制所述路由域中的路由器执行以下操作:在接收到IP报文时,依据所述预设规则,确定所述IP报文属于第一IP数据流时,丢弃所述IP报文。
优选的,所述报文处理模块,还用于:将目的IP地址不相同的IP报文划分到不同的IP数据流,目的IP地址相同的IP报文划分到相同的IP数据流。
优选的,所述报文处理模块,还用于:获取第一IP数据流的目的IP地址为第一IP地址;在所述路由域中的路由器中,将目的IP地址为第一IP地址的IP报文的下一跳设置为NULL0。
本发明实施例二提供了一种路由域,如图2所示,包括:
若干边界路由器、若干内部路由器和触发路由器;
所述若干边界路由器将流入的所有IP报文发送给触发路由器;
所述触发路由器用于接收所述若干边界路由器所发送的所有IP报文,依据预设规则、将在预设时间段内所接收的所有IP报文划分为若干不同的IP数据流,在确定第一IP数据流中的所有IP报文的长度总和大于预设阀值时,获取第一IP数据流的目的IP地址为第一IP地址,在路由表中将目的IP地址为第一IP地址的IP报文的下一跳设置为NULL0,并且将所述路由表发布到所述路由域中,其中,所述预设规则包括:将目的IP地址不相同的IP报文划分到不同的IP数据流,目的IP地址相同的IP报文划分到相同的IP数据流。
优选的,在所述路由域中运行的是BGP协议。
可选的,在触发路由器中可以执行以下操作:
(1)设置IPDA(IP Destination Address,IP目的IP地址)为IP报文的特征字段,相同IPDA的流认为是相同的流,例如,可以执行:flow hash-field-select ipda;
(2)配置EFD(Elephant Flow Detect,大象流识别)识别流的速率阈值,即,标识速率超过某个值时的流会被识别为大象流,可以理解的是,目的IP地址为第一IP地址的所有IP报文的长度总和除以预设时间段的时间长度值就为速率,例如,当标识速率为1000Mbps时,可以执行:efd detect speed 1000;
(3)在触发路由器中添加黑洞路由功能,例如,可以执行:efd black-hole-routegw[IP地址]tag 10000,该IP地址可以为触发路由器中的NULL0接口的IP地址,tag为10000;
(4)设置黑洞路由老化时间为500,例如,可以执行:efd black-hole-routeaging-timer 500;
(5)使能,例如,可以执行:interface eth-0-1;efd enable;
(6)创建route map,例如,可以执行:route-map abc;
(7)匹配route rag为10000的路由,例如,可以执行:match tag 10000;
(8)设置路由下一跳地址,例如,可以执行:set ip next-hop[下一跳地址;
(9)创建router bgp,例如,可以执行:router bgp 1;
(10)创建ibgp连接,例如,可以执行:neighbor 1.1.1.2remote-as 1;neighbor1.1.1.2as-origination-interval 1;neighbor 1.1.1.2advertisement-interval 1,这里,配置bgp邻居发布路由的时间参数,可以尽快将路由发布给邻居;
(10)将静态路由发布到bgp中,并应用route map,例如,可以执行:redistributestatic route-map abc。
可选的,在边界路由器上可以执行以下操作:
(1)创建router bgp,例如,可以执行:router bgp 1;
(2)创建ibgp连接,例如,可以执行:neighbor 1.1.1.1remote-as 1;
(3)根据route map中配置的下一跳地址来配置黑洞路由,让发布过来的bgp路由递归到这条路由上,形成新的递归黑洞路由,以完成阻止DDOS攻击,例如,可以执行:iproute 5.5.5.5 255.255.255.255Null0。
应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施方式中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
上文所列出的一系列的详细说明仅仅是针对本发明的可行性实施方式的具体说明,它们并非用以限制本发明的保护范围,凡未脱离本发明技艺精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。
Claims (4)
1.一种用于在路由域中处理IP报文的方法,其特征在于,包括以下步骤:
在预设时间段内,获取流入所述路由域中的边界路由器的所有IP报文;
依据预设规则、将所有IP报文划分为若干不同的IP数据流,在确定第一IP数据流中的所有IP报文的长度总和大于预设阀值时,控制所述路由域中的路由器丢弃第一IP数据流中的IP报文;
其中,所述获取流入所述路由域中的边界路由器的所有IP报文,包括:
对所述边界路由器的所有IP报文镜像;
所述控制所述路由域中的路由丢弃第一IP数据流中的IP报文,包括:
获取第一IP数据流的目的IP地址为第一IP地址,在路由表中将目的IP地址为第一IP地址的IP报文的下一跳设置为NULL0,并且将所述路由表发布到所述路由域中。
2.根据权利要求1所述的处理IP报文的方法,其特征在于,所述依据预设规则,将所有IP报文划分为若干不同的IP数据流,包括:
将目的IP地址不相同的IP报文划分到不同的IP数据流,目的IP地址相同的IP报文划分到相同的IP数据流。
3.根据权利要求1所述的处理IP报文的方法,其特征在于,所述依据预设规则,将所有IP报文划分为若干不同的IP数据流,包括:
将源IP地址不相同的IP报文划分到不同的IP数据流,源IP地址相同的IP报文划分到相同的IP数据流。
4.一种路由域,其特征在于,包括:
若干边界路由器、若干内部路由器和触发路由器;
所述若干边界路由器将流入的所有IP报文发送给触发路由器;
所述触发路由器用于接收所述若干边界路由器所发送的所有IP报文,依据预设规则、将在预设时间段内所接收的所有IP报文划分为若干不同的IP数据流,在确定第一IP数据流中的所有IP报文的长度总和大于预设阀值时,获取第一IP数据流的目的IP地址为第一IP地址,在路由表中将目的IP地址为第一IP地址的IP报文的下一跳设置为NULL0,并且将所述路由表发布到所述路由域中,其中,所述预设规则包括:将目的IP地址不相同的IP报文划分到不同的IP数据流,目的IP地址相同的IP报文划分到相同的IP数据流;其中,所述接收所述若干边界路由器所发送的所有IP报文,包括:对所述边界路由器的所有IP报文镜像;
所述触发路由器包括EFD(Elephant Flow Detect,大象流识别),用于在预设时间段内,当第一IP数据流中所有报文的长度总和大于预设阀值时,识别所述第一IPR数据流为具有攻击性的大象流。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811227439.2A CN109104437B (zh) | 2018-10-22 | 2018-10-22 | 路由域、用于在路由域中处理ip报文的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811227439.2A CN109104437B (zh) | 2018-10-22 | 2018-10-22 | 路由域、用于在路由域中处理ip报文的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109104437A CN109104437A (zh) | 2018-12-28 |
CN109104437B true CN109104437B (zh) | 2021-09-28 |
Family
ID=64868999
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811227439.2A Active CN109104437B (zh) | 2018-10-22 | 2018-10-22 | 路由域、用于在路由域中处理ip报文的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109104437B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113938312B (zh) * | 2021-11-12 | 2024-01-26 | 北京天融信网络安全技术有限公司 | 一种暴力破解流量的检测方法及装置 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101505218B (zh) * | 2009-03-18 | 2012-04-18 | 杭州华三通信技术有限公司 | 攻击报文的检测方法和装置 |
CN101848160B (zh) * | 2010-05-26 | 2012-07-18 | 钱叶魁 | 在线检测和分类全网络流量异常的方法 |
CN102413051B (zh) * | 2011-11-30 | 2015-01-14 | 深圳市共进电子股份有限公司 | 一种服务质量调度方法和装置 |
US8856924B2 (en) * | 2012-08-07 | 2014-10-07 | Cloudflare, Inc. | Mitigating a denial-of-service attack in a cloud-based proxy service |
CN104202314B (zh) * | 2014-08-22 | 2018-04-20 | 中国联合网络通信集团有限公司 | 一种阻止ddos攻击的方法及装置 |
CN104202336A (zh) * | 2014-09-22 | 2014-12-10 | 浪潮电子信息产业股份有限公司 | 一种基于信息熵的DDoS攻击检测方法 |
CN106487790B (zh) * | 2016-10-09 | 2020-01-31 | 广东睿江云计算股份有限公司 | 一种ack flood攻击的清洗方法及系统 |
CN107370752B (zh) * | 2017-08-21 | 2020-09-25 | 北京工业大学 | 一种高效的远控木马检测方法 |
CN108600206A (zh) * | 2018-04-12 | 2018-09-28 | 国家计算机网络与信息安全管理中心 | 一种基于网络处理器实现抗dns攻击的系统及方法 |
-
2018
- 2018-10-22 CN CN201811227439.2A patent/CN109104437B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN109104437A (zh) | 2018-12-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3151470B1 (en) | Analytics for a distributed network | |
US7580351B2 (en) | Dynamically controlling the rate and internal priority of packets destined for the control plane of a routing device | |
EP3449600B1 (en) | A data driven intent based networking approach using a light weight distributed sdn controller for delivering intelligent consumer experiences | |
US9166990B2 (en) | Distributed denial-of-service signature transmission | |
US7522521B2 (en) | Route processor adjusting of line card admission control parameters for packets destined for the route processor | |
US7224668B1 (en) | Control plane security and traffic flow management | |
US9065724B2 (en) | Managing a flow table | |
US9722926B2 (en) | Method and system of large flow control in communication networks | |
US20050102414A1 (en) | Systems and methods to support quality of service in communications networks | |
US20190166013A1 (en) | A data driven intent based networking approach using a light weight distributed SDN controller for delivering intelligent consumer experience | |
CN101106518B (zh) | 为中央处理器提供负载保护的拒绝服务方法 | |
US20050018608A1 (en) | Progressive and distributed regulation of selected network traffic destined for a network node | |
US20180167319A1 (en) | Application identification cache | |
Afaq et al. | Large flows detection, marking, and mitigation based on sFlow standard in SDN | |
US8630296B2 (en) | Shared and separate network stack instances | |
US8964763B2 (en) | Inter-router communication method and module | |
Kong et al. | Random flow network modeling and simulations for DDoS attack mitigation | |
CN109104437B (zh) | 路由域、用于在路由域中处理ip报文的方法和装置 | |
CN107690004A (zh) | 地址解析协议报文的处理方法及装置 | |
Beitollahi et al. | A cooperative mechanism to defense against distributed denial of service attacks | |
Krishnan et al. | Mechanisms for optimizing link aggregation group (LAG) and equal-cost multipath (ECMP) component link utilization in networks | |
US9282043B1 (en) | Trend-based flow aggregation for flow suppression | |
US8281400B1 (en) | Systems and methods for identifying sources of network attacks | |
CN108650237B (zh) | 一种基于存活时间的报文安全检查方法及系统 | |
US10050937B1 (en) | Reducing impact of network attacks in access networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 215000 unit 13 / 16, 4th floor, building B, No.5 Xinghan street, Suzhou Industrial Park, Jiangsu Province Applicant after: Suzhou Shengke Communication Co.,Ltd. Address before: Xinghan Street Industrial Park of Suzhou city in Jiangsu province 215021 B No. 5 Building 4 floor 13/16 unit Applicant before: CENTEC NETWORKS (SU ZHOU) Co.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |