CN1669009A - 用于改善内容分发网络对分布式拒绝服务攻击的适应力的方法和设备 - Google Patents
用于改善内容分发网络对分布式拒绝服务攻击的适应力的方法和设备 Download PDFInfo
- Publication number
- CN1669009A CN1669009A CNA038168065A CN03816806A CN1669009A CN 1669009 A CN1669009 A CN 1669009A CN A038168065 A CNA038168065 A CN A038168065A CN 03816806 A CN03816806 A CN 03816806A CN 1669009 A CN1669009 A CN 1669009A
- Authority
- CN
- China
- Prior art keywords
- server
- client
- cdn
- website
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供了若干适于内容分发网络(CDN)(120)的制止机制。这些机制包括基于散列的请求路由选择方案和站点分配方案。基于散列的请求路由选择方案提供区分合法请求与虚假请求的方法。使用该机制,当站点内容从n个CDN高速缓存服务时,需要攻击者产生O(n2)的通信量来使CDN托管站点(120)不可用。在没有这些改进的情况下,攻击者只需产生O(n)的通信量来使站点停工。站点分配方案提供了CDN托管网站(120)之间的充分隔离以防止一个网站上的攻击使其他站点不可用。使用基于二进制码的分配策略,可以保证使其所分配的服务器失去能力的任何单独网站上的成功攻击不会也使由CDN托管的其他网站(120)停工。
Description
技术领域
本发明一般涉及计算机网络,特别涉及用于改善内容分发网络对分布式拒绝服务攻击的适应力的技术。
背景技术
检测和阻止对因特网服务器的分布式拒绝服务(DDoS)攻击的问题最近引起了网络化研究团体和主要是为了抗击这些类型的攻击而建立的新公司的高度关注。这些攻击典型地以虚假请求分组淹没(flood)网络或服务器,使得其不可用于处理合法请求。在性能和可用性是因特网服务的关键区别因素的时代,这样的停工期将导致相当大的经济损失。尽管对安全问题的认识日益增强,但是拒绝服务攻击仍然是一个严重问题。例如,根据最近的计算机安全协会调查,表明其网站遭到DoS攻击(例如,TCP SYN淹没)的被调查者数目从2000年的27%升至2001年的38%。
目前大部分对抗DDoS攻击的工作集中于针对单个集中服务器位置或网站的攻击,其中攻击者可以相对容易地使带宽和服务器资源超限运行。然而,在现今的因特网架构中,很多高容量站点是分布式的,其或者在若干数据中心处复制内容,或者使用内容分发服务提供者(CDSP)分发内容。例如,在由Media Metrix报导的通信量最大的前20个因特网站点中,至少15个站点使用CDSP,如Akamai、Digital Island或Speedera。另外,显然的是,高容量站点很可能是DDoS攻击的目标。例如,在2000年2月,大量高级DDoS攻击使若干高性能(high-profile)站点包括Yahoo、Ebay、Amazon.com、CNN和Buy.com停工,其中的大部分站点目前都是采用CDSP来分发内容。
除了期望的较佳性能之外,CDSP通常还声称它们可以提供较强的对DDoS攻击的适应力。虽然内容分发网络(CDN)由于其内在的分布特性而确实提供一些对抗DDoS攻击的保护,但是其共享的服务器底层结构也是一个弱点。对单个CDN托管(CDN-hosted)网站的攻击会影响由CDSP托管的很多(或所有)客户站点。在没有仔细的站点分配策略的情况下,由CDN提供的冗余性和复制为所有托管的客户提供有限的保护。
发明内容
根据本发明的各个实施例,提供了适于内容分发网络(CDN)的拒绝服务攻击制止机制。这些机制包括基于散列(hash-based)的请求路由选择方案和站点分配方案。基于散列的请求路由选择方案提供区分合法请求与虚假请求的方法。使用该机制,当站点内容从n个CDN高速缓存(cache)服务时,需要攻击者产生O(n2)的通信量来使CDN托管站点不可用。在没有这些改进的情况下,攻击者只需产生O(n)的通信量来使站点停工。站点分配方案提供了CDN托管网站之间的充分隔离以防止一个网站上的攻击使其他站点不可用。使用基于二进制码的分配策略,可以提供使其所分配的服务器失去能力的任何单独网站上的成功攻击不会使由CDN托管的其他网站停工的保证。
在本发明的各个实施例中,提供了一种用于改善内容分发网络对分布式拒绝服务攻击的适应力的方法。根据该方法,从客户端接收源地址,然后验证源地址以确保它在服务器处被接受。如果它被接受,则向客户端提供更高级别的服务。
验证源地址属于客户端可以包括采用基于散列的技术,其中对源地址和站点地址执行散列操作(hash)以获得服务器标识,并且将服务器标识发送到源地址。当服务器接收到包括客户端源地址和所请求的站点地址的客户端请求时,对这些值执行散列操作以获得第二服务器标识。然后,确定该服务器标识是否标识该服务器。
当不是所有CDN服务器都托管全部客户站点时,使用客户端源地址和目的站点地址在服务器处确定客户端请求的接受。本发明提供了一种随同客户端源地址一起在客户端请求中传达站点信息的方法。可以根据由客户端用来联系服务器的目的地址在服务器处确定所请求的站点地址。
可以将来自被提供更高级别服务的客户端的请求插入到正常队列中,并且将其余的来自客户端的请求插入到低优先级队列中。正常队列中的请求被给予比低优先级队列中的请求更高的优先级。低优先级队列中的请求可被丢弃。
另外,可提供多个优先级级别。在这种情况下,来自客户端的请求被插入到多级优先级队列的第i级别中,其中i是服务器处的客户端优先级级别。
在CDN中使用的散列函数可以是使用在路由器和服务器之间共享的秘密密钥的带密钥散列函数。这些散列函数可被周期性地更新。在预定时间间隔期间,在验证源地址时,可以认可(honor)旧和更新的散列函数。
根据本发明的各个实施例,还提供一种用于在内容分发网络中将网站分配给服务器的方法。为多个网站提供分配向量,每个分配向量包括用于映射服务器到网站的分配的二进制向量。使用指定资源约束确定网站到服务器的最佳分配,然后配置分配向量以反映所确定的最佳分配。
可以使用编码理论的结果来确定最佳分配向量。例如,可以为预定数目的服务器生成多个n位二进制向量,使得每个n位二进制向量具有相等的汉明权重,并且n位二进制向量之间的成对汉明距离为最大值。如果服务器数目是已知的,则可以通过为预定数目的服务器生成多个n位二进制向量来确定给定汉明距离的最佳分配,使得每个n位二进制向量具有相等的汉明权重,并且n位二进制向量之间的成对汉明距离为预定值。
通过下面结合附图阅读的对优选实施例的详细描述,本发明的这些和其他目的、特性和优点将会变得清楚。
附图说明
图1示出示例性内容分发网络;以及
图2示出根据本发明实施例的基于散列的请求路由选择技术。
具体实施方式
本发明集中于开发适于内容分发网络(CDN)的制止机制。根据本发明的各个实施例,提供了一种通过支持(leverage)独特于CDN的特性即将客户端请求引导到最适合的CDN服务器的请求路由选择系统,以及将网站内容分配给共享CDN服务器的策略而使攻击者的工作变得困难得多的技术。公开了各种机制,其改善共享CDN内容服务底层结构的适应力,并且还提供了CDN托管网站之间的充分隔离以防止对一个网站的攻击使其他站点不可用。
本发明提供了显著更高的对DDoS攻击的适应力,并且改善了网站可用性,从而使得攻击者在CDN环境中实现其目标困难得多。此外,不是试图在仍然提供某种级别的保护的同时优化CDN的性能,焦点集中于保证对单独网站的攻击不影响其他CDN托管站点的站点分配方案。该方案是保持该保证同时对于其余站点还尽可能少地降低性能。
参照图1,内容分发网络(CDN)100包括分布在多个区域内的多个CDN服务器,如CDN服务器120。如图1所示,CDN区域如CDN区域110包括CDN服务器组。虽然区域典型地具有某布局或地理意义,但是可以任意地定义它们。例如,部署在一组ISP网络或自主系统中的服务器可以是单个CDN区域的一部分。
由于每个CDN服务器可以服务来自多个内容提供者(即,CDSP的客户)的内容,因此它是共享的。还可以存在起源服务器(originserver),其担当特定内容提供者的授权内容源。该模型适用于在很多站点之间复制的任何基于万维网的内容或应用程序。
在工作时,客户端140通过首先联系请求路由器如请求路由器130来访问来自CDN服务器的内容,其中该请求路由器(透明地)将客户端140引导到适当的区域高速缓存。请求路由器在逻辑上与高速缓存分离,不过它也可以在物理上与其共处一地。请求路由器的分布通常取决于CDN大小。例如,如果CDN具有非常广的分布,则可以在每一个区域内部署它们。请求路由器可以使其决策基于客户端IP地址,也许还可以基于有关网络或候选服务器的状态或者有关正被请求的内容的其他信息。实际上,请求路由器可以是当客户端发出名称解析请求或客户端请求时分别选择邻近高速缓存的DNS服务器或万维网服务器。我们不考虑客户端如何与请求路由器进行联系。然而,很多CDN使用DNS来达到此目的。
本发明集中于淹没型攻击,其中,攻击者试图以极其大量的网络通信量淹没受攻击网站,使得站点实际上不可用于服务用户请求。
为了启动大规模DDoS攻击,攻击者必须首先渗入和策反大量在地理上分布的连接到网络的机器。然后,使用这些被侵害机器产生攻击通信量或者作为跳板来隐藏攻击的真实起源。侵害主机并安装攻击工具的过程经常是自动的,并且可以数秒内在单个主机上完成。由于被侵害主机本身可用来进一步扫描和策反其他主机,因此在一小时内可以侵害数千主机。如果使用攻击主机来了解一些有关托管目标网站的CDN的信息(例如,CDN服务器的地址),则主机可以在攻击过程中交换该信息。
经常地,攻击者将在攻击分组中伪造源IP地址,以便隐藏攻击的真实起源,并且提高其有效性。使用真实IP地址将泄露攻击源,从而允许现有方案对其进行追溯。而且,使用有状态分组过滤,检测大量来自一组IP地址的分组随后阻止该通信量是相当可行的。最初,我们假设攻击者从整个IP地址空间均匀选择源IP地址。然而,后来我们发现如果攻击者试图更仔细地选择地址,我们方案的有效性也不降低。
由于HTTP协议使用TCP,因此淹没CDN服务器是TCP SYN淹没攻击的特殊情况。众多应对TCP SYN淹没攻击的保护措施已被提出和部署。一些应对措施被部署在潜在的攻击目标上,例如随机丢弃TCPSYN分组,缩短为建立TCP连接而允许的时间周期,增加保存部分建立的TCP连接的队列的长度,以及增加系统存储器大小。其他方案被部署在网络路由器上,例如速率限制和通信量调整(traffic-shaping)。虽然所有这些应对措施在防止攻击目标处的过载方面是有效的,但是它们不能区分恶意TCP SYN分组与由突发事件触发的大量合法TCP SYN分组。应当清楚,本发明不仅防止过载,而且提供发向CDN服务器的恶意和合法请求之间的有效区别。
为了帮助更好地理解本发明,我们首先考虑一种简单的度量来定量网站的相对适应力。直观上,如果攻击者需要发送比使站点B停工所需更多的通信量来使站点A停工,则我们认为站点A比站点B更有适应力。因此,我们如下定义站点A与另一个站点B相比的相对适应力:
服务器的适应力:如果需要比使服务器B不可用多k倍的攻击通信量来使服务器A不可用,则服务器A具有比服务器B大k倍的适应力,其中不可用性对于服务器A和B是相同定义的。
更具体地说,当我们把CDN视作复制起源服务器的完全内容的n个服务器的网络时,由于使所有n个高速缓存停工花费比使单个服务器停工所需多n倍的攻击通信量,因此可以简单直接地表示与单个服务器相比,CDN提供O(n)的适应力。
我们的第二度量定量一站点与由相同CDN托管的另一个站点上的攻击的隔离或保护度。例如,考虑托管两个独立网站A和B的CDN。理想地,站点A上的DDoS攻击根本不应当影响站点B的性能或可用性。当两个站点不共享任何公共服务器,这为真。但是实际上,网站由共享服务器托管以便通过多个服务器实现良好的吞吐量性能。因此,平衡被托管网站的性能要求和保护是重要的。具体地说,一个重要目标是最大化托管每个站点的服务器数,同时保证它们之间的隔离级别。
一种定量隔离级别的方法是计算未被感兴趣站点共享的服务器数。更具体地说,我们如下定义任何两个站点之间的隔离度:
隔离度:设wi和wj表示两个独立网站,并且Si={s1,...sl}且 分别表示分配给wi和wj的CDN服务器集合。我们定义wi和wj之间的隔离度为min(|Si-Sj|,Sj-Si|)。
如后面所示,假设向每个站点分配相等数目的服务器,则两个站点之间的隔离度简单地为d/2,其中d表示不相交高速缓存的数目。
接下来,我们提出一种称作基于散列的请求路由选择的新颖算法,其可以显著改善CDN对使用伪造IP地址的DDoS攻击的适应力。基于散列的请求路由选择的主要思想是区别对待具有合法源IP地址的请求和具有伪造源IP地址的请求,使得当CDN过载时优选地丢弃大部分攻击分组同时服务合法请求。该目标通过支持独特于CDN的特性之一即请求路由选择系统来实现。该基于散列的请求路由选择方案在根本不禁止合法请求的情况下阻止大部分攻击通信量。更具体地说,当存在n个服务网站的服务器时,服务器将丢弃攻击通信量的
部分。这样,我们可以确保即使在攻击下服务器资源也大部分用来服务合法请求,从而显著改善CDN的生存性。
该基于散列的请求路由选择算法基于大部分CDN采用请求路由选择系统作为其服务底层结构的一部分这一事实而构建:当客户端想要访问由CDN托管的网站时,它首先联系本地请求路由器以得到所要联系的CDN服务器的IP地址。一般而言,请求路由选择系统试图优化客户端感觉到的响应时间或者均衡CDN服务器处的负载。在我们的架构中,该基于散列的请求路由选择用于区分合法请求与具有伪造IP地址的潜在攻击通信量的目的。该目标通过使用在路由器和CDN服务器之间共享的秘密密钥的简单带密钥散列法来实现。
参照图2,示出基于散列的请求算法的操作。当客户端想要访问网站时,它首先发送请求到本地请求路由器以发现所要联系的CDN服务器的地址(步骤1)。客户端可以联系其区域内的任何请求路由器。接下来,请求路由器使用与CDN服务器秘密共享的散列函数H基于网站和客户端的源IP地址选择CDN服务器(步骤2)。可以使用简单的均匀散列函数。例如,H:网站×IP地址→服务器地址。换句话说,任何给定(网站,IP地址)对同等可能地通过散列操作而转换成任何服务器地址。
接下来,请求路由器以所要联系的CDN服务器的地址响应(步骤3)。注意,攻击者不能使用伪造地址发现IP地址与服务器之间的映射,因为响应将被发送回到包含在查询中的源地址。换句话说,攻击者只能发现被侵害主机IP地址的映射,这些IP地址与整个可用IP地址空间相比相对较小。
当接收到来自请求路由器的响应时,客户端发送请求到具有服务器地址的服务器(步骤4)。当CDN服务器接收到请求时,它使用共享散列函数H检查请求中的(源地址,网站)对是否通过散列操作而转换成其自己的地址。
如果散列值匹配其自己的地址,则服务器将请求插入到“正常”服务队列中;否则,它将请求插入到“低优先级”服务队列中,其中“低优先级”服务队列只有小量的缓冲区来吸收由于路由选择异常或者任何临时不一致性所引起的误导分组(步骤5)。“正常”服务队列中的请求总是在“低优先级”服务队列之前得到服务;只有当“正常”队列空时,“低优先级”队列才得到服务。
一旦服务器处理了请求,则将所请求的对象返回给客户端(步骤6)。注意,在假设在请求路由器与服务器之间保持H的一致性的普通情况下,没有合法请求将被插入到“低优先级”服务队列中。
现在,假定攻击者通过从整个IP地址空间随机选择IP地址来伪造源地址。根据均匀散列函数H的假设,在统计上只有总攻击通信量的1/n部分将通过服务器处的测试,并且将被插入在正常服务队列中。攻击通信量的其他
部分将不能通过测试,并且将被放入低优先级队列。由于低优先级队列只有有限数量的缓冲区来处理诸如误导分组的稀少事件,因此大部分攻击通信量将被无声无息地丢弃。因此,服务器的宝贵资源不会被攻击通信量浪费。
从攻击者的角度来说,这意味着它必须产生更多的攻击通信量来使服务器停工。更具体地说,使具有基于我们的基于散列的请求路由选择机制的过滤的单个CDN服务器停工所需的攻击通信量实际上比使没有该过滤的服务器停工所需的攻击通信量多O(n)倍。由于在一个区域内存在n个这样的协作服务器,因此为了同时使所有n个服务器停工而使站点完全不可用,攻击者需要产生总共比使由单个服务器托管的站点停工所需多O(n2)倍的攻击通信量。换句话说,与单服务器站点相比,基于散列的请求路由选择算法对于具有n个服务器的CDN保证O(n2)的适应力。
前面提及过,试图以巨大数量的具有真实源IP地址的请求淹没站点应当被视为对于攻击者是无效的,因为它泄漏了攻击源。而且,有状态分组过滤可以通过检测来自一组IP地址的巨大通信量来有效地阻止攻击流。因此,当攻击站点时,攻击者将必须伪造源IP地址。前面提及过,实际上存在无限数目的候选散列函数,并且这些函数不基于任何网络级信息,例如,服务器与特定IP地址的邻近性或者每个服务器的负载级别。因此,实际上不可能让攻击者猜测到映射并且智能地伪造IP地址。
应当理解,这里描述的方案区别对待由于来自仅仅用户兴趣突增情况下的攻击而造成的过载。在攻击的情况下,理想地服务器应当忽略进入请求而不采取任何操作。另一方面,在过载的情况下,服务器应当试图以性能下降例如响应时间增加为代价按照到达次序服务所有用户请求。本发明通过丢弃大部分攻击分组而大致遵循理想行为,从而允许服务器实际上仅仅处理攻击分组的一小部分;而在过载的情况下,所有请求都将被放入正常队列,并且最终将按照其到达次序由服务器进行服务。
为了容错和负载均衡的目的,请求路由器可以以多于一个服务器地址响应客户端请求。如同在DNS中,当服务器之一由于故障而不能提供期望服务时,客户端可以试图联系其他服务器以获得对象。同时,通过在响应中随机选择所要联系的初级服务器,可以降低使单个服务器过载的机会。然而,该方法不利地影响基于散列的请求路由选择机制的有效性,因为此时单个IP地址将通过多个服务器的测试。因此,具有伪造IP地址的攻击通信量具有较高的机会通过服务器的基于散列的过滤。
更具体地说,如果请求路由器以{服务器1、服务器2、...、服务器n}响应客户端x的网站查询,则在列表中的所有k个服务器处都必须接受来源于x的通信量。假设k个随机选择的服务器与每个IP地址相关联,则每个服务器必须接受与以前相比k倍的地址是合法的。按照DDoS攻击,服务器处的基于散列的过滤此时接受攻击通信量的k/n部分而不是通信量的1/n部分。这实际上将基于散列的请求路由选择方案的适应力从O(n2)降低到O(n2/K)。
一种克服该问题的方法是带优先级地关联IP地址与服务器标识,并且只要可能就让客户端首先联系初级服务器。例如,对于地址x,假设服务器1是初级服务器,服务器2是次级服务器等等。在这种情况下,客户端x必须首先联系服务器1以检索对象。只有当服务器1不可用时,客户端才可依次尝试服务器2和列表中的其他服务器。在服务器处,我们产生一组地址的不同类型带优先级关联。我们假设每个服务器具有带k+1个级别的优先级队列,其中,级别1是最高优先级。对于分组的源地址,让我们定义分组的优先级类别为服务器的等级。当服务器接收到来自优先级类别i中的地址的分组时,它将分组插入到优先级队列的第i级别中。如果分组来自范围外(out-of-profile)的地址,则将它放入最低优先级队列。这样,服务器处理来自具有最高优先级的第一优先级地址的分组,从而优化响应时间。
实际上,为了实用起见,k值将较小,例如,k=2或者3,从而对于带优先级的操作只需少量的附加开销,同时提供必要的冗余性。
虽然在理论上攻击者只能发现其控制下的被侵害主机的映射,但是他们可以通过各种渠道了解其他IP地址的映射,例如通过在网络链路上窃听从请求路由器出来的响应。虽然攻击者可能没有资源或时间来捕获所有响应或者发送探测分组,但是考虑到该了解过程也可以采用分布方式并行完成,攻击者在攻击过程中或者甚至在启动大规模攻击之前就可以发现大部分映射。为了解决这一问题,我们可以在一定间隔之后周期性地更新共享散列函数H,从而使攻击者在前面间隔内了解到的映射无效。
具体地说,CDN服务提供者预先将一组H分发给请求路由器和服务器。通过该“供应”,CDN服务器和请求路由器可以在攻击过程期间独立地更新散列函数H。当更新散列函数H时,可能存在一段时间在请求路由器与服务器之间散列函数不一致。该问题可以通过允许“切换”期间来容易地处理,在此期间,认可旧和新的映射。通过该附加的保护级别,攻击者发现散列函数H难得多。
现在我们概述各种将网站分配给不同CDN服务器的策略,其目的在于隔离任何一个站点上的攻击的影响。理想地,我们想要这样的站点到服务器的分配,其使得即使由相同CDN服务的其他站点受到攻击,站点的响应时间和吞吐量也尽可能小地恶化。分配策略应当解决下面两个相互冲突的目标:(1)对于每个网站,我们想要让大量CDN服务器服务站点。(2)对于任何网站对,如果一个是DDoS的目标,则另一个应当尽可能小地遭受服务损失。
第一目标最大化由CDN托管的任何站点的吞吐量,并且第二目标使网站与任何其他站点上的攻击相隔离。这样的分配策略在与前述请求路由选择算法相结合时大大增加了攻击者试图通过攻击由CDN同时托管的另一个网站而使网站停工所需的工作量。直观地,向两个不同站点的每一个均分配大部分可用高速缓存将迫使托管这两个站点的服务器之间的较大重叠。因此,使托管一个站点的服务器停工的攻击也对其他站点间接地产生了较大的服务损失。因此,分配策略必须均衡将站点分配给服务器中的这两个要求。
下面术语在形式上表述了服务器分配策略的问题。
设S是CDN服务器集合,W是分配给S中的服务器的网站集合。对于每个站点w∈W,形成长度|S|的二进制向量,其中如果w被分配给服务器i,则设置位i。该|S|长度位向量称作站点的分配向量。
遵循标准术语,二进制向量的汉明权重被定义为该向量中1的数目。因此,站点分配向量的汉明权重表示为该网站服务内容的CDN服务器的数目。这样,上面要求可以如下重新表述。
(1)每个站点的分配向量具有尽可能大的汉明权重。
(2)对于任何两个网站w1和w2,服务w1而非w2(以及相反)的服务器的数目尽可能地大,即如果s1和s2分别是分配向量w1和w2,则二进制向量(s1∧(
s2))和(s2∧(
s1))尽可能地大。
在同等对待所有网站的受限情况下,即当分配向量s1和s2具有相等汉明权重时,则有
汉明权重(s1s2)
=2×汉明权重(s1∧(
s2))
=2×汉明权重(s2∧(
s1))
向量的汉明权重(s1s2)称作向量s1和s2之间的汉明距离。因此,在此受限情况下,我们想要得到这样的站点分配向量,其具有大的汉明权重以及具有尽可能大的向量间汉明距离的约束。给定固定数目的CDN服务器,分配策略必须灵活得足以容纳尽可能大的网站集合。因此,站点分配的问题可以如下表述:
给定n即CDN服务器的数目,我们想要一种高效算法来枚举长度均为n的大量二进制向量,使得每个向量均具有正好为h的汉明权重(尽可能地大),并且向量间的成对汉明距离d尽可能地大。
这样的算法可以顺序产生这样的n位向量,并且分配它们作为每个网站的分配向量。然后,该算法保证每个网站由可能n个CDN服务器中的h个CDN服务器服务。如果对应于特定站点的服务器全都由于拒绝服务攻击而使得不工作,则任何其他站点被保证由至少d/2个服务器服务。因此,在这样的分配下,每个网站利用可用容量的h/n,并且当任何一个网站停工时导致的服务损失最大为
百分比。
根据前述要求,最好让参数h和d尽可能地大并且存在足够的向量来覆盖所有网站。接下来,我们概述试图随同最大化m即可以容纳的网站总数一起最大化h和d的一般分配方法。后面,我们考虑其他可能性,例如给定m的固定值并且希望优化其他参数h和d的情况。
在本发明中,分配策略是来自编码理论的结果的改用(adaptation),其中该编码理论是生成大量具有有保证的向量间汉明距离的二进制向量(不一定具有相同汉明权重)的高效算法的研究。在形式上,长度n和最小距离d的码是长度n的二进制向量的集合,其中任何两个向量之间的汉明距离至少为d。已提出了各种算法以将码转换成分配向量。我们的讨论概述没有实际码细节的一般构造。
一般而言,定义具有大量向量的码,其中所有码字正好具有固定的汉明权重,这是编码理论中的困难问题。称作不变权重码的用来产生不变汉明权重码字的现有少数码通常仅产生小数目(通常为码长度的多项式)的码字。为了容纳较大数目的网站,我们探索了多种采取任意码并且修剪(prune)它们以产生适合我们规定的二进制向量的算法。我们的第一分配策略尝试是下面的朴素算法。
算法1:以大的最小距离d固定长度n的码。选择参数h,使得存在足够的汉明权重h的码字。枚举分配向量的简单策略是生成汉明权重正好为h的所有二进制向量,并且仅输出作为码字即属于该码的那些向量。
注意,在该算法的描述中,对于d或h没有固定的特定值。为此,首先从固定参数d的码族中固定码。一旦固定了码或码族,则这定义了码中向量的汉明权重分布。然后,根据该汉明权重分布来选择参数h以具有至少m个网站的分配。
除了得到参数h和d的良好值之外,我们还希望使用具有枚举码字的显式构造和高效算法的码。特别好的具有容易的码字识别算法的码类别是线性码类别。这包括多种码,例如在其他领域内也具有广泛应用的里德-所罗门(Reed-Solomon)码。
我们定义线性码是形成线性子空间的一组长度n的向量,即如果c1和c2是码字,则c1c2是码字。(n,k,d)线性码是具有最小距离d的长度n的线性码,并且线性子空间的维数(dimension)为k。这样的线性码由称作生成矩阵的k×n二进制矩阵G定义,并且码字的集合由x×G获得,其中x涵盖(range over)长度k的所有二进制向量。
回想一下在我们的讨论中使用的有关线性码的一些基本事实。首先,注意线性码产生具有任意汉明权重的码字。产生属于线性码的字的算法是简单直接的:顺序地枚举长度k的向量,并且乘以生成矩阵G。可选地,线性码还由其伴随式矩阵C即(n-k)×n二进制矩阵定义:当且仅当x×CT=0时,n长度字x属于码。使用此,对得到分配向量的下一步改进如下:
算法2:以大的最小距离d固定(n,d,k)线性码。然后,系统地生成汉明权重h的所有二进制向量,并且仅保持使得x×CT=0的那些字x。可选地,我们可以枚举长度k的向量y,并且作为y×G生成码字,并且仅保持具有汉明权重h的那些码字。
再次,如同以前,通过首先固定线性码族来选择参数d和h以限定d。一旦码被固定,则选择h以最大化该码中具有汉明权重h的码字数。
在我们提供有关一些实际码及其产生的参数的细节之前,我们将描述另一种用来从码获得分配向量的一般方案。在此方案中,不是选择任意的h值,而是试图集中于特别好的h值。注意,如果我们为h选择太大的值,则存在极少的汉明权重h的向量,由此存在极少的汉明权重h的码字。另外,为h选择太大的值意味着最大距离(最大可以是n-h)将较小。另一方面,如果我们为h选择太小的值,则每个网站由最多h个CDN服务器服务,因此导致浪费的容量。从这一角度而言,优选的h值为n/2。这是存在最大数目的二进制向量由此有可能存在大量码字的值。对于h的这一选择,我们可以使用下面技术,其在码长度方面很少浪费但产生具有准确汉明权重的字。
算法3:以最小长度d固定长度n的码C。定义改进码C’,其中对于每个码字c∈C,C’包含2n长度字c’=c
c。
在改进码C’中,如此生成的每个码字具有长度2n。此外,改进码中的每个码字具有正好为n的权重(码长度的一半),并且C’中的最小字距离至少为2d。这是使用任何码来产生具有h=n/2的不变汉明权重的字的快速方法。如果我们选择多个良好的码作为C的候选者,则因为C中的每个码字然后将被转换成分配向量,所以该算法将产生很多分配向量。
这些算法是用来将码转换成将网站分配给CDN服务器的分配策略的一般方法。将良好的码内插到上述构造中将产生良好的分配策略。我们还注意到,在另一方向上也保持等价性:任何分配策略可以被转换成码。如果我们具有将m个网站的每一个分配给n个CDN服务器中的h个的策略,其中不受攻击的网站被保证让其CDN服务器的至少部分f仍然工作,则分配向量形成n长度不变权重码(权重h)和最小距离2fh,其中具有至少m个码字。该等价性有用于研究具有特定参数的分配策略是否是可能的:存在多个表,在给定h和距离d的值的情况下,(针对小的n值)列出这样的码中可能的最大数目的码字。
现在,我们考虑实际上可以如何使用不同参数的实际值执行分配的例子。我们所考虑的例子是我们具有要由CDN托管的100个网站的情况,其中保证在任何时候不受攻击的网站由CDN中的3个服务器服务。换一个方式表述,该问题是:给定m=100且最小距离d=6,我们想要得到n和h的最佳值。
第一步骤是得到这样的n的最小值,其中对于该值,存在具有距离d=6且至少m=100个码字的码。参考标准表,我们将知道n的最小可能值为15。
第一分配策略是使用非常具体化(specialized)的非线性码,其产生具有汉明权重8且长度n=16的大约128个码字。这向我们提供相当好的使用秘密(esoteric)非线性码的分配策略。
另一种分配策略可以使用算法2中的里德-所罗门码来获得。所使用的特定里德-所罗门码具有n=21的长度和d=5的距离,其产生512个码字。检查每个汉明权重的码字数,我们发现码字的分布在权重10和11下最大。我们选择h=11,并且仅选择权重11的码字,这产生126个码字。对于这些不变权重字,距离(必须是偶数)实际上为6,这匹配所要求的参数。
略微次优但是简单直接的分配是使用算法3,其选择码C为长度15和距离3的汉明码。汉明码具有极其简单的编码算法和大量的码字,但是距离仅为3。对于所选的参数,汉明码具有2048个码字。将该码内插到算法3中向我们提供可容易实现的分配策略,其中n=30并且每个网站被分配给至少15个CDN服务器。虽然不是最优的,但是该码产生了大量的码字,这向我们提供了在需要时扩展至更多网站的灵活性。
我们选择了这些码来阐述分配中的折衷。最优码一般往往是非线性的且具有复杂的编码算法。简单直接的码选择如里德-所罗门码向我们提供了n的略微次优值。一旦固定了码和n,则h的最优值往往为大约n/2。在本例中使用的码仅是很多可能选择中的一些。
接下来,我们讨论多种可能的分配策略,其处理不同的场景,即针对不同类别的参数m、h和d,并且枚举它们能够提供的保证。应当理解,这里给出的情况表示一大堆(a whole host of)参数,并且决不意味着是详尽无遗漏的。表1汇总了使用在此给出的码的站点分配策略。
表1
所考虑的第一情况是与n即CDN服务器数相比m即网站数小的情况。对于m小于(2n-2)的情况,我们可以使用哈德门码子集,并且获得非常良好的有关CDN服务器适应力的保证。哈德门码是(n,log(2n),n/2)线性码,并且包含2n个码字。当n是2的幂时,可以递归地构造哈德门矩阵,其中除一行之外的其他所有行正好具有n/2。因此,采用该构造,我们可以构造均具有n/2的汉明权重的2n-2个二进制向量,使得最小成对距离为n/2。使用此作为分配向量集合,我们可以将每个站点分配给n/2个服务器,其中保证即使所有驻留另一个网站的服务器由于DDoS攻击而变得不可用,站点也将总是由至少n/4个服务器服务。这样,该分配保证网站将具有不大于50%的服务损失。因此,对于m的小值,我们可以获得非常良好的有关CDN适应力的保证。
除了参数优化之外,我们还希望具有高效的分配向量构造。非常通用的良好类别的具有大的最小距离和高效的码字生成算法的码是里德-所罗门码。它们典型地为大的字母表(alphabet)产生最佳参数,但是这里我们仅集中于这些码的二进制型式。里德-所罗门码是具有以下参数的线性码:对于满足s≤r≤q的任何整数q、r和s,存在里德-所罗门码。通过仔细地选择参数并且使用上述算法3的技术,给定n,我们可以使用里德-所罗门码来枚举指数个数(2c1n)的具有至少为
的最小距离的码字,其中c1和c2是常量。因此,可以保证,即使当其他网站受到攻击而使得在其上托管它们的CDN服务器不工作时,没有网站将遭受多于log(n)系数的服务下降。虽然log(n)系数服务下降的保证较高,但是如此获得的分配算法是可容易实现的。
如同对于小网站数的情况产生良好分配策略的哈德门码,存在很多其他可以被转换成良好分配策略的码。然而,在使用更高级的编码方法的同时应当注意,因为典型地,更高级的编码技术具有复杂的编码算法,并且可以为n的大值获得最佳参数。一个这样的产生良好参数的码族是Justesen码。将这些码内插到上述算法3中向我们提供了产生指数个数的分配向量的分配算法,其中每个网站被分配给n/2个CDN服务器,其中可以保证,即使另一个网站受到攻击,不受攻击的网站也将最多仅遭受(小)不变系数的服务损失。
到此为止,我们枚举了一些基于为不同范围的参数产生良好结果的示例码的分配策略。实际上,所选的实际码完全取决于参数n、m的实际值以及h和d的期望值。得到码以转换成分配向量的第一步骤是调查可行性。例如,给定n的特定值,可以使用标准表访问关于d的各个值的码字数上限的表,其中标准表列出n的小值的这些限制。这直接给出可以为d的不同值分配的最大网站数。类似地,对于n的较大值,可以使用关于任何码的距离的一般上限,以消除给定n和m的情况下d的某些值。注意,仅因为特定的值选择未被这些限制排除,并不意味着可以为给定参数得到码。
到此为止,我们仅考虑了单一类别的服务即所有网站被同等对待的情况。只有当分配向量的汉明权重相同时,分配适应力与码距离之间的直接关系才是可能的。实际上,在构建CDN的同时,我们可能需要多个级别的服务以提供分化级别的服务。
为了处理k个级别的服务,分配问题变成得到k个二进制向量集合S1、...、Sk的问题,其中每个集合包含相同汉明权重的向量,使得对于属于任意集合的任何两个向量u和v,要求向量的汉明权重u∧
v和v∧
u尽可能地大。虽然要求与以前相同,但是等式汉明权重(uv)=2×汉明权重(u∧(
v))=2×汉明权重(v∧(
u))不再有效。换句话说,适应力不再与距离直接相关。因此,分配算法可以不再直接使用码的构造。尽管非常简短地概括,但仍然可以使用码得到多个类别的服务的分配。首先,必须调整(tweak)码字,使得码的汉明距离产生关于想要的隔离属性的保证。存在若干可能的方法来实现,这里我们概述了非常基本的方案。
调整码字以获得良好隔离的第一基本方法如下:将n长度码字分成2位块,并且通过使用其余三位以分别采用第3、4或5位中的1记录二位块的汉明权重(0,1或2),将每个2位块编码成5位块。通过该调整,如果两个2位块x和y具有非零汉明距离,则向量x′∧
y′和y′∧
x′具有至少1的汉明权重,其中x’和y’是x和y的调整型式。因此,如果两个n位向量u和v具有至少d的汉明距离,则其调整型式u’和v’具有至少d/2的隔离。这些调整形式具有长度5n/2。这是非常基本的将距离d码字转换成具有至少d/2隔离的二进制向量的方案。然而,放大是相当大的,并且码长度显著上升。存在很多其他通过扩展码长度类似地将码转换成有适应力分配的方案。例如,通过加倍距离d里德-所罗门码的长度并且使用小调整,我们可以获得提供d的隔离保证的二进制向量。
使用调整码字以获得提供良好隔离保证的向量的这样方案,我们可以定义类似于受限情况的算法的分配策略。该方法是类似的:选择具有良好距离的码C,并且调整以获得具有良好隔离的二进制向量。选择权重h1、...、hk的值,使得在具有这些汉明权重的调整码中存在足够的字。具有权重h1、...、hk的不同码字集合为不同级别的服务定义分配向量。如同以前,实际的权重选择取决于码选择。服务级别数即k值和在不同级别的服务中所需的分化量对汉明权重的选择施加了附加的约束。然而,首先选择良好码并且将码字转换成分配向量的一般策略在此设置中也同等好地工作。
如上所述,基于散列的请求路由选择算法根据将客户端IP地址唯一地映射到区域内的CDN服务器的散列函数来区分虚假分组与合法分组。然而,随着站点分配算法的引入,请求路由选择算法必须根据客户端地址及其希望访问的网站将客户端映射到CDN服务器标识符。这可以通过为每个客户网站引入散列函数来完成。不过,如果CDN服务器在接收到没有表明正被请求的站点的分组(例如,TCP SYN分组)时不知道要应用哪个散列函数,则基于散列的请求路由选择的有效性可能降低。
如果可以强制客户端在发送第一SYN以建立连接时向CDN服务器通知正在请求哪个站点,则可以解决此问题。一个简单的方法是在由请求路由器返回的IP地址中对站点信息进行编码。具体地说,请求路由器以这样的地址响应,其网络部分包含CDN服务器的真实网络地址,但是主机部分包含(站点,服务器标识)的编码。
例如,如果对于站点A所要联系的CDN服务器是192.19.1.13,则请求路由器可以以192.19.212.9响应,其中网络地址192.19.0.0/16相同,但是该地址的主机部分212.9是有关站点A和服务器标识的编码信息。当客户端发送初始SYN分组时,该分组将经过路由选择被传送到CDN服务器群集所驻留的192.19.0.0/16子网。在入口点,分组使用交换机(例如,快速NAT盒或层4交换机)被交换到正确的服务器,其中交换机典型地执行CDN服务器之间的负载均衡。在该方案中,交换机根据(站点,服务器标识)编码将分组转发到CDN服务器,并且该服务器可以计算散列函数以判定分组是否合法。可选地,CDSP可以将散列功能性安设(co-locate)在交换机处,以较早地滤出虚假分组。该方案是吸引人的,因为它对于客户端是透明的,但是适用于在每个区域内部署一些服务器群集的CDSP。
虽然在此参照附图描述了本发明的示例性实施例,但是应当理解,本发明不局限于这些具体实施例,并且本领域的技术人员可以实现各种其他改变和修改而不脱离本发明的范围或精神。
Claims (15)
1.一种用于改善内容分发网络(CDN)对分布式拒绝服务攻击的适应力的方法,包括:
从客户端接收源地址;
验证源地址在服务器处被接受;以及
如果源地址在服务器处被接受,则向客户端提供更高级别的服务。
2.如权利要求1所述的方法,其中验证源地址在服务器处被接受包括以下步骤:
对源地址和站点地址执行散列操作以获得服务器标识;
将服务器标识发送到源地址;
在服务器处接收客户端请求,其包括客户端源地址和所请求的站点地址;
对客户端源地址和所请求的站点地址执行散列操作以获得第二服务器标识;以及
确定第二服务器标识是否标识所联系的服务器。
3.如权利要求1所述的方法,其中向客户端提供更高级别的服务包括将客户端请求插入到正常队列中。
4.如权利要求1所述的方法,还包括以下步骤:如果源地址在服务器处未被接受,则将客户端请求插入到低优先级队列中。
5.如权利要求4所述的方法,其中丢弃低优先级队列中的请求。
6.如权利要求5所述的方法,其中所丢弃的请求在低优先级队列满时被丢弃。
7.如权利要求1所述的方法,其中向客户端提供更高级别的服务包括将客户端请求插入到多级优先级队列的第i级别中,其中i是服务器处的客户端优先级级别。
8.如权利要求2所述的方法,其中根据客户端用来联系服务器的目的地址在服务器处确定所请求的站点地址。
9.如权利要求2所述的方法,其中在CDN中使用的散列函数是使用在路由器和服务器之间共享的秘密密钥的带密钥散列函数。
10.如权利要求9所述的方法,其中周期性地更新散列函数。
11.如权利要求10所述的方法,其中在预定时间间隔期间,在验证源地址时,认可旧和更新的散列函数。
12.一种用于在内容分发网络中将网站分配给服务器的方法,包括:
为多个网站的每一个提供分配向量,每个分配向量包括用于映射服务器到网站的分配的二进制向量;
使用指定资源约束确定网站到服务器的最佳分配;以及
配置分配向量以反映所确定的最佳分配。
13.如权利要求12所述的方法,其中确定网站到服务器的最佳分配包括为预定数目的服务器生成多个n位二进制向量,使得每个n位二进制向量具有相等的汉明权重,并且n位二进制向量之间的成对汉明距离为最大值。
14.如权利要求12所述的方法,其中确定网站到服务器的最佳分配包括为预定数目的服务器生成多个n位二进制向量,使得每个n位二进制向量具有相等的汉明权重,并且n位二进制向量之间的成对汉明距离为预定值。
15.一种可机读程序存储装置,有形地包含可在机器上执行的指令程序以执行用于改善内容分发网络(CDN)对分布式拒绝服务攻击的适应力的方法步骤,这些方法步骤包括:
从客户端接收源地址;
验证源地址在服务器处被接受;以及
如果源地址在服务器处被接受,则向客户端提供更高级别的服务。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/207,695 | 2002-07-29 | ||
| US10/207,695 US7836295B2 (en) | 2002-07-29 | 2002-07-29 | Method and apparatus for improving the resilience of content distribution networks to distributed denial of service attacks |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100018560A Division CN101005517B (zh) | 2002-07-29 | 2003-06-24 | 在内容分发网络中将网站分配给服务器的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1669009A true CN1669009A (zh) | 2005-09-14 |
| CN1323360C CN1323360C (zh) | 2007-06-27 |
Family
ID=30770513
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB038168065A Expired - Fee Related CN1323360C (zh) | 2002-07-29 | 2003-06-24 | 用于改善内容分发网络对分布式拒绝服务攻击的适应力的方法和设备 |
| CN2007100018560A Expired - Fee Related CN101005517B (zh) | 2002-07-29 | 2003-06-24 | 在内容分发网络中将网站分配给服务器的方法 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100018560A Expired - Fee Related CN101005517B (zh) | 2002-07-29 | 2003-06-24 | 在内容分发网络中将网站分配给服务器的方法 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US7836295B2 (zh) |
| EP (1) | EP1552401A4 (zh) |
| JP (1) | JP4074621B2 (zh) |
| KR (1) | KR100656224B1 (zh) |
| CN (2) | CN1323360C (zh) |
| AU (1) | AU2003247703A1 (zh) |
| CA (1) | CA2493350A1 (zh) |
| WO (1) | WO2004012089A1 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101276388B (zh) * | 2007-02-28 | 2011-08-10 | 英特尔公司 | 保护系统管理模式(smm)空间免受高速缓存攻击 |
| CN101681331B (zh) * | 2006-09-06 | 2012-08-29 | 阿卡麦科技公司 | 混合型内容分发网络(cdn)和对等(p2p)网络 |
| CN104615666A (zh) * | 2008-06-19 | 2015-05-13 | 微软公司 | 使用本地托管高速缓存和密码散列函数来减少网络通信的方法和系统 |
| WO2015078388A1 (zh) * | 2013-11-29 | 2015-06-04 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法及装置 |
| CN104836810A (zh) * | 2015-05-14 | 2015-08-12 | 江苏大学 | 一种ndn低速缓存污染攻击的协同检测方法 |
| WO2017096842A1 (zh) * | 2015-12-07 | 2017-06-15 | 乐视控股(北京)有限公司 | 内容分发任务的提交方法及系统 |
| CN110535857A (zh) * | 2019-08-29 | 2019-12-03 | 中国工商银行股份有限公司 | 防护网络攻击的方法和装置 |
Families Citing this family (63)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7533412B2 (en) * | 2002-04-23 | 2009-05-12 | Stmicroelectronics S.A. | Processor secured against traps |
| US7774466B2 (en) | 2002-10-17 | 2010-08-10 | Intel Corporation | Methods and apparatus for load balancing storage nodes in a distributed storage area network system |
| US7926104B1 (en) * | 2003-04-16 | 2011-04-12 | Verizon Corporate Services Group Inc. | Methods and systems for network attack detection and prevention through redirection |
| US7721329B2 (en) * | 2003-11-18 | 2010-05-18 | Aol Inc. | Method and apparatus for trust-based, fine-grained rate limiting of network requests |
| US7657622B1 (en) * | 2003-12-23 | 2010-02-02 | At&T Intellectual Property Ii, L.P. | Unified web hosting and content distribution system and method for assuring predetermined performance levels |
| US7363513B2 (en) * | 2004-04-15 | 2008-04-22 | International Business Machines Corporation | Server denial of service shield |
| CN100362802C (zh) * | 2004-06-29 | 2008-01-16 | 华为技术有限公司 | 一种抵御拒绝服务攻击的方法 |
| US20060140191A1 (en) * | 2004-12-29 | 2006-06-29 | Naik Uday R | Multi-level scheduling using single bit vector |
| CN100380871C (zh) * | 2005-01-26 | 2008-04-09 | 北京大学 | 一种针对分布式拒绝服务攻击的防范系统和方法 |
| US7730536B2 (en) * | 2005-06-08 | 2010-06-01 | Verizon Business Global Llc | Security perimeters |
| KR100733830B1 (ko) * | 2005-06-09 | 2007-07-02 | 충남대학교산학협력단 | 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법 |
| US20070297408A1 (en) * | 2006-06-22 | 2007-12-27 | Jooyong Kim | Message control system in a shared hosting environment |
| US8045457B1 (en) * | 2006-06-29 | 2011-10-25 | Symantec Corporation | Dropping packets to prevent unauthorized data transfer through multimedia tunnels |
| CN101146022B (zh) * | 2006-09-11 | 2011-08-17 | 上海思华科技股份有限公司 | 节点重叠内容分发网络 |
| US8125988B1 (en) * | 2007-06-04 | 2012-02-28 | Rangecast Technologies Llc | Network audio terminal and method |
| US7991910B2 (en) | 2008-11-17 | 2011-08-02 | Amazon Technologies, Inc. | Updating routing information based on client location |
| US8028090B2 (en) * | 2008-11-17 | 2011-09-27 | Amazon Technologies, Inc. | Request routing utilizing client location information |
| US8606996B2 (en) | 2008-03-31 | 2013-12-10 | Amazon Technologies, Inc. | Cache optimization |
| US7962597B2 (en) | 2008-03-31 | 2011-06-14 | Amazon Technologies, Inc. | Request routing based on class |
| US7970820B1 (en) | 2008-03-31 | 2011-06-28 | Amazon Technologies, Inc. | Locality based content distribution |
| CN101383830A (zh) * | 2008-10-28 | 2009-03-11 | 成都市华为赛门铁克科技有限公司 | 一种防护网络攻击的方法、系统及网关、域名系统 |
| KR100900491B1 (ko) * | 2008-12-02 | 2009-06-03 | (주)씨디네트웍스 | 분산 서비스 거부 공격의 차단 방법 및 장치 |
| US8397298B2 (en) * | 2009-12-08 | 2013-03-12 | At&T Intellectual Property I, L.P. | Method and system for content distribution network security |
| US9495338B1 (en) | 2010-01-28 | 2016-11-15 | Amazon Technologies, Inc. | Content distribution network |
| CN102387176B (zh) * | 2010-08-31 | 2017-10-10 | 中兴通讯股份有限公司 | 互连cdn间实现内容分发的方法和cdn互连的架构 |
| US9003035B1 (en) | 2010-09-28 | 2015-04-07 | Amazon Technologies, Inc. | Point of presence management in request routing |
| US9712484B1 (en) | 2010-09-28 | 2017-07-18 | Amazon Technologies, Inc. | Managing request routing information utilizing client identifiers |
| US10467042B1 (en) | 2011-04-27 | 2019-11-05 | Amazon Technologies, Inc. | Optimized deployment based upon customer locality |
| US8935750B2 (en) * | 2011-10-03 | 2015-01-13 | Kaspersky Lab Zao | System and method for restricting pathways to harmful hosts in computer networks |
| US9154551B1 (en) | 2012-06-11 | 2015-10-06 | Amazon Technologies, Inc. | Processing DNS queries to identify pre-processing information |
| KR101370244B1 (ko) * | 2012-10-16 | 2014-03-06 | 한국과학기술원 | 응용 계층 디도스 공격의 탐지 및 차단 방법과 그 장치 |
| US9853995B2 (en) | 2012-11-08 | 2017-12-26 | AO Kaspersky Lab | System and method for restricting pathways to harmful hosts in computer networks |
| CN102932380B (zh) * | 2012-11-30 | 2016-06-29 | 网宿科技股份有限公司 | 基于内容分发网络的分布式防恶意攻击方法和系统 |
| WO2014155629A1 (ja) * | 2013-03-28 | 2014-10-02 | 楽天株式会社 | 要求処理システム、要求処理方法、プログラムおよび情報記憶媒体 |
| US9020469B2 (en) | 2013-06-04 | 2015-04-28 | Rangecast Technologies, Llc | Network audio distribution system and method |
| CN104954401B (zh) * | 2014-03-27 | 2018-06-08 | 阿里巴巴集团控股有限公司 | 流量调度方法和装置 |
| US9686312B2 (en) | 2014-07-23 | 2017-06-20 | Cisco Technology, Inc. | Verifying network attack detector effectiveness |
| US9628455B2 (en) * | 2014-12-09 | 2017-04-18 | Akamai Technologies, Inc. | Filtering TLS connection requests using TLS extension and federated TLS tickets |
| US10097448B1 (en) | 2014-12-18 | 2018-10-09 | Amazon Technologies, Inc. | Routing mode and point-of-presence selection service |
| US10225326B1 (en) | 2015-03-23 | 2019-03-05 | Amazon Technologies, Inc. | Point of presence based data uploading |
| US9832141B1 (en) | 2015-05-13 | 2017-11-28 | Amazon Technologies, Inc. | Routing based request correlation |
| US20160344751A1 (en) * | 2015-05-19 | 2016-11-24 | Fastly, Inc. | Customized record handling in a content delivery network |
| CN105991635A (zh) * | 2015-07-08 | 2016-10-05 | 成都惠申科技有限公司 | 一种确保cdn内容访问安全性及一致性的方法和装置 |
| US10091056B1 (en) * | 2015-08-06 | 2018-10-02 | Amazon Technologies, Inc. | Distribution of modular router configuration |
| JP6098687B2 (ja) | 2015-09-10 | 2017-03-22 | 日本電気株式会社 | 通信先判定装置、通信先判定方法、及び、通信先判定プログラム |
| US10419282B1 (en) | 2015-09-24 | 2019-09-17 | Amazon Technologies, Inc. | Self-configuring network devices |
| US10270878B1 (en) | 2015-11-10 | 2019-04-23 | Amazon Technologies, Inc. | Routing for origin-facing points of presence |
| CN105897674A (zh) * | 2015-11-25 | 2016-08-24 | 乐视云计算有限公司 | 用于CDN服务器群组的DDoS攻击防护方法及系统 |
| US20170149821A1 (en) * | 2015-11-25 | 2017-05-25 | Le Holdings (Beijing) Co., Ltd. | Method And System For Protection From DDoS Attack For CDN Server Group |
| CN105491060B (zh) * | 2015-12-30 | 2019-07-02 | 北京神州绿盟信息安全科技股份有限公司 | 防御分布式拒绝服务攻击的方法、装置、客户端及设备 |
| US10075551B1 (en) | 2016-06-06 | 2018-09-11 | Amazon Technologies, Inc. | Request management for hierarchical cache |
| US10110694B1 (en) | 2016-06-29 | 2018-10-23 | Amazon Technologies, Inc. | Adaptive transfer rate for retrieving content from a server |
| US10848586B2 (en) * | 2016-07-25 | 2020-11-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Content delivery network (CDN) for uploading, caching and delivering user content |
| US10505961B2 (en) | 2016-10-05 | 2019-12-10 | Amazon Technologies, Inc. | Digitally signed network address |
| US10831549B1 (en) | 2016-12-27 | 2020-11-10 | Amazon Technologies, Inc. | Multi-region request-driven code execution system |
| US10986019B2 (en) | 2017-05-09 | 2021-04-20 | Proofpoint, Inc. | IP address and routing schemes for overlay network |
| US11095507B2 (en) | 2017-05-09 | 2021-08-17 | Proofpoint, Inc. | Globally-distributed secure end-to-end identity-based overlay network |
| US10742593B1 (en) | 2017-09-25 | 2020-08-11 | Amazon Technologies, Inc. | Hybrid content request routing system |
| CN109561051A (zh) * | 2017-09-26 | 2019-04-02 | 中兴通讯股份有限公司 | 内容分发网络安全检测方法及系统 |
| CN107786668B (zh) * | 2017-11-09 | 2020-06-12 | 成都知道创宇信息技术有限公司 | 一种基于cdn网络的权重缓存网站方法 |
| US10862852B1 (en) | 2018-11-16 | 2020-12-08 | Amazon Technologies, Inc. | Resolution of domain name requests in heterogeneous network environments |
| CN112799811B (zh) * | 2021-01-26 | 2024-04-26 | 重庆邮电大学 | 一种边缘网关的高并发线程池任务调度方法 |
| CN113625684B (zh) * | 2021-07-26 | 2022-08-09 | 云境商务智能研究院南京有限公司 | 一种混合网络攻击下基于事件触发机制的跟踪控制器的设计方法 |
Family Cites Families (48)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5274631A (en) * | 1991-03-11 | 1993-12-28 | Kalpana, Inc. | Computer network switching system |
| US5509123A (en) * | 1994-03-22 | 1996-04-16 | Cabletron Systems, Inc. | Distributed autonomous object architectures for network layer routing |
| US5826014A (en) | 1996-02-06 | 1998-10-20 | Network Engineering Software | Firewall system for protecting network elements connected to a public network |
| US5923654A (en) * | 1996-04-25 | 1999-07-13 | Compaq Computer Corp. | Network switch that includes a plurality of shared packet buffers |
| US6101543A (en) * | 1996-10-25 | 2000-08-08 | Digital Equipment Corporation | Pseudo network adapter for frame capture, encapsulation and encryption |
| US6470389B1 (en) * | 1997-03-14 | 2002-10-22 | Lucent Technologies Inc. | Hosting a network service on a cluster of servers using a single-address image |
| US6112239A (en) * | 1997-06-18 | 2000-08-29 | Intervu, Inc | System and method for server-side optimization of data delivery on a distributed computer network |
| JP3372455B2 (ja) * | 1997-07-03 | 2003-02-04 | 富士通株式会社 | パケット中継制御方法,パケット中継装置およびプログラム記憶媒体 |
| US6006264A (en) * | 1997-08-01 | 1999-12-21 | Arrowpoint Communications, Inc. | Method and system for directing a flow between a client and a server |
| JPH11122288A (ja) | 1997-10-17 | 1999-04-30 | Hitachi Ltd | Lan接続装置 |
| US6370584B1 (en) * | 1998-01-13 | 2002-04-09 | Trustees Of Boston University | Distributed routing |
| US6519636B2 (en) | 1998-10-28 | 2003-02-11 | International Business Machines Corporation | Efficient classification, manipulation, and control of network transmissions by associating network flows with rule based functions |
| US6427174B1 (en) * | 1998-11-12 | 2002-07-30 | Cisco Technology, Inc. | Dynamic IP addressing and quality of service assurance |
| US6006259A (en) * | 1998-11-20 | 1999-12-21 | Network Alchemy, Inc. | Method and apparatus for an internet protocol (IP) network clustering system |
| US6553028B1 (en) * | 1999-04-30 | 2003-04-22 | Cisco Technology, Inc. | Method and apparatus for multicast switching using a centralized switching engine |
| US6289455B1 (en) * | 1999-09-02 | 2001-09-11 | Crypotography Research, Inc. | Method and apparatus for preventing piracy of digital content |
| US7039641B2 (en) * | 2000-02-24 | 2006-05-02 | Lucent Technologies Inc. | Modular packet classification |
| US6671724B1 (en) | 2000-03-21 | 2003-12-30 | Centrisoft Corporation | Software, systems and methods for managing a distributed network |
| JP2001292167A (ja) * | 2000-04-10 | 2001-10-19 | Fujitsu Ltd | ネットワーク中継システムおよび中継装置 |
| US7577754B2 (en) * | 2000-04-28 | 2009-08-18 | Adara Networks, Inc. | System and method for controlling access to content carried in a caching architecture |
| EP1154610A3 (en) * | 2000-05-12 | 2005-05-11 | International Business Machines Corporation | Methods and system for defeating TCP Syn flooding attacks |
| US6870849B1 (en) * | 2000-07-06 | 2005-03-22 | Ross W. Callon | Apparatus and method for efficient hashing in networks |
| US20020040389A1 (en) * | 2000-10-03 | 2002-04-04 | Wirespring Technologies, Inc. | System and method for remotely-managed content distribution network |
| JP2002124996A (ja) | 2000-10-13 | 2002-04-26 | Yoshimi Baba | 高速パケット取得エンジン・セキュリティ |
| US6985956B2 (en) * | 2000-11-02 | 2006-01-10 | Sun Microsystems, Inc. | Switching system |
| US6980521B1 (en) * | 2000-11-29 | 2005-12-27 | Cisco Technology, Inc. | Method and apparatus for per session load balancing with improved load sharing in a packet switched network |
| US6980550B1 (en) * | 2001-01-16 | 2005-12-27 | Extreme Networks, Inc | Method and apparatus for server load balancing |
| US7441017B2 (en) * | 2001-06-29 | 2008-10-21 | Thomas Lee Watson | System and method for router virtual networking |
| ATE241820T1 (de) * | 2001-07-12 | 2003-06-15 | Castify Networks Sa | Verfahren zum bereitstellen von kundenzugriff auf einen inhaltanbietenden server unter kontrolle eines resoursenlokalisierenden servers |
| US7197142B2 (en) * | 2001-08-24 | 2007-03-27 | Alten Alexander I | System and methods for a vernam stream cipher |
| KR100442594B1 (ko) * | 2001-09-11 | 2004-08-02 | 삼성전자주식회사 | 무선통신 시스템의 패킷 데이터 서비스 방법 및 장치 |
| GB2401293B (en) * | 2002-01-17 | 2004-12-22 | Toshiba Res Europ Ltd | Data transmission links |
| GB2384403B (en) * | 2002-01-17 | 2004-04-28 | Toshiba Res Europ Ltd | Data transmission links |
| US20040093525A1 (en) * | 2002-02-01 | 2004-05-13 | Larnen Vincent Alan | Process based security tai building |
| US7249379B2 (en) * | 2002-02-01 | 2007-07-24 | Systems Advisory Group Enterprises, Inc. | Method and apparatus for implementing process-based security in a computer system |
| US7145911B2 (en) * | 2002-03-05 | 2006-12-05 | Hewlett-Packard Company | Method and system for parallel hash transformation for an address input |
| US7085271B2 (en) * | 2002-03-14 | 2006-08-01 | Hewlett-Packard Development Company, L.P. | Method and system for performing flow based hash transformation to generate hash pointers for a network device |
| US20060143453A1 (en) * | 2002-06-19 | 2006-06-29 | Secured Communications, Inc | Inter-authentication method and device |
| US20060064458A1 (en) * | 2002-09-16 | 2006-03-23 | Christian Gehrmann | Secure access to a subscription module |
| US7376840B2 (en) * | 2002-09-30 | 2008-05-20 | Lucent Technologies, Inc. | Streamlined service subscription in distributed architectures |
| US7293282B2 (en) * | 2003-07-03 | 2007-11-06 | Time Warner Cable, Inc. | Method to block unauthorized access to TFTP server configuration files |
| US7908484B2 (en) * | 2003-08-22 | 2011-03-15 | Nokia Corporation | Method of protecting digest authentication and key agreement (AKA) against man-in-the-middle (MITM) attack |
| US8171562B2 (en) * | 2003-08-26 | 2012-05-01 | Oregon Health & Science University | System and methods for protecting against denial of service attacks |
| BRPI0417326B1 (pt) * | 2003-12-23 | 2019-03-06 | Wachovia Corporation | Sistema de autenticação para aplicativos de computadores em rede |
| US7693797B2 (en) * | 2004-06-21 | 2010-04-06 | Nokia Corporation | Transaction and payment system security remote authentication/validation of transactions from a transaction provider |
| US8042165B2 (en) * | 2005-01-14 | 2011-10-18 | Citrix Systems, Inc. | Method and system for requesting and granting membership in a server farm |
| US7634280B2 (en) * | 2005-02-17 | 2009-12-15 | International Business Machines Corporation | Method and system for authenticating messages exchanged in a communications system |
| US8194664B2 (en) * | 2006-10-10 | 2012-06-05 | Cisco Technology, Inc. | Two-level load-balancing of network traffic over an MPLS network |
-
2002
- 2002-07-29 US US10/207,695 patent/US7836295B2/en not_active Expired - Fee Related
-
2003
- 2003-06-24 JP JP2004524542A patent/JP4074621B2/ja not_active Expired - Fee Related
- 2003-06-24 KR KR1020057000148A patent/KR100656224B1/ko not_active IP Right Cessation
- 2003-06-24 EP EP03771555A patent/EP1552401A4/en not_active Withdrawn
- 2003-06-24 CN CNB038168065A patent/CN1323360C/zh not_active Expired - Fee Related
- 2003-06-24 CA CA002493350A patent/CA2493350A1/en not_active Abandoned
- 2003-06-24 AU AU2003247703A patent/AU2003247703A1/en not_active Abandoned
- 2003-06-24 WO PCT/US2003/020833 patent/WO2004012089A1/en active Application Filing
- 2003-06-24 CN CN2007100018560A patent/CN101005517B/zh not_active Expired - Fee Related
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101681331B (zh) * | 2006-09-06 | 2012-08-29 | 阿卡麦科技公司 | 混合型内容分发网络(cdn)和对等(p2p)网络 |
| CN101276388B (zh) * | 2007-02-28 | 2011-08-10 | 英特尔公司 | 保护系统管理模式(smm)空间免受高速缓存攻击 |
| CN104615666A (zh) * | 2008-06-19 | 2015-05-13 | 微软公司 | 使用本地托管高速缓存和密码散列函数来减少网络通信的方法和系统 |
| US9747340B2 (en) | 2008-06-19 | 2017-08-29 | Microsoft Technology Licensing, Llc | Method and system of using a local hosted cache and cryptographic hash functions to reduce network traffic |
| CN104615666B (zh) * | 2008-06-19 | 2018-06-05 | 微软技术许可有限责任公司 | 有助于减少网络通信的客户端和服务器 |
| WO2015078388A1 (zh) * | 2013-11-29 | 2015-06-04 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法及装置 |
| CN104836810A (zh) * | 2015-05-14 | 2015-08-12 | 江苏大学 | 一种ndn低速缓存污染攻击的协同检测方法 |
| CN104836810B (zh) * | 2015-05-14 | 2017-11-03 | 江苏大学 | 一种ndn低速缓存污染攻击的协同检测方法 |
| WO2017096842A1 (zh) * | 2015-12-07 | 2017-06-15 | 乐视控股(北京)有限公司 | 内容分发任务的提交方法及系统 |
| CN110535857A (zh) * | 2019-08-29 | 2019-12-03 | 中国工商银行股份有限公司 | 防护网络攻击的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4074621B2 (ja) | 2008-04-09 |
| AU2003247703A1 (en) | 2004-02-16 |
| JP2005535021A (ja) | 2005-11-17 |
| CN101005517B (zh) | 2010-05-19 |
| US7836295B2 (en) | 2010-11-16 |
| US20040019781A1 (en) | 2004-01-29 |
| KR20050018950A (ko) | 2005-02-28 |
| CN101005517A (zh) | 2007-07-25 |
| EP1552401A1 (en) | 2005-07-13 |
| KR100656224B1 (ko) | 2006-12-13 |
| CA2493350A1 (en) | 2004-02-05 |
| WO2004012089A1 (en) | 2004-02-05 |
| EP1552401A4 (en) | 2009-03-25 |
| CN1323360C (zh) | 2007-06-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1323360C (zh) | 用于改善内容分发网络对分布式拒绝服务攻击的适应力的方法和设备 | |
| CN101488950B (zh) | 用于因特网的对称密钥分发的方法、设备和系统 | |
| US9294483B2 (en) | Method and system for mitigation of distributed denial of service (DDOS) attacks | |
| US20110153811A1 (en) | System and method for modeling activity patterns of network traffic to detect botnets | |
| CN1734463A (zh) | 信息提供方法、信息提供系统以及中继装置 | |
| US20060130147A1 (en) | Method and system for detecting and stopping illegitimate communication attempts on the internet | |
| Chatterjee et al. | Security issues in named data networks | |
| CN1506873A (zh) | 在全异的网域之间验证和传送可核实授权的方法和系统 | |
| US10171424B2 (en) | Privacy enhancing networks | |
| CN101796861B (zh) | 安全无线网状网络中的不良行为检测方法 | |
| CN106357839B (zh) | 一种dns查询方法及装置 | |
| CN100538588C (zh) | 通信系统和提供移动通信业务的方法 | |
| CN1728637A (zh) | 入网终端物理唯一性识别方法和终端接入认证系统 | |
| Zhao et al. | Two-servers PIR based DNS query scheme with privacy-preserving | |
| CN107454162A (zh) | 一种提高云计算环境可靠性的系统 | |
| CN1750456A (zh) | 提供第二层帧的轻量级验证的基于网络跟踪器的机制 | |
| Kong et al. | Let your cyberalter ego share information and manage spam | |
| EP3284231B1 (en) | Method and device for establishing a computational puzzle for use in communication between a client and a server. | |
| Lee et al. | Improving the resilience of content distribution networks to large scale distributed denial of service attacks | |
| Szymanski | A Software-Defined Deterministic Internet of Things (IoT) with Artificial Intelligence (AI) for Quantum-Safe Cyber-Security | |
| Kakoi et al. | Design and implementation of a client based DNSSEC validation and alert system | |
| KR100827166B1 (ko) | 무선 센서 네트워크에서 소스 센서의 익명성 제공 방법 | |
| Chen et al. | Dual‐collaborative DoS/DDoS mitigation approach in information‐centric mobile Internet | |
| Lee et al. | Á Å Research Division | |
| Lin et al. | Evaluating Intrusion‐Tolerant Certification Authority Systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20070627 Termination date: 20200624 |