CN1949762A - 网络地址转换中防止拒绝服务攻击的方法及装置 - Google Patents
网络地址转换中防止拒绝服务攻击的方法及装置 Download PDFInfo
- Publication number
- CN1949762A CN1949762A CNA2005101004138A CN200510100413A CN1949762A CN 1949762 A CN1949762 A CN 1949762A CN A2005101004138 A CNA2005101004138 A CN A2005101004138A CN 200510100413 A CN200510100413 A CN 200510100413A CN 1949762 A CN1949762 A CN 1949762A
- Authority
- CN
- China
- Prior art keywords
- denial
- session
- service attack
- stream
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种网络地址转换中防止拒绝服务攻击的方法,该方法包括:确定网络地址转换中具有拒绝服务攻击特征的流允许建立的最大会话个数;当网络地址转换中所述具有拒绝服务攻击特征流建立的会话个数达到所述最大会话个数时,限制所述拒绝服务攻击特征流的会话建立以防止拒绝服务攻击。另外,本发明还公开一种相应的装置。本发明可以保证正常用户的业务。
Description
技术领域
本发明涉及网络地址转换技术,更具体的说,本发明涉及一种网络地址转换中防止拒绝服务攻击的方法及装置。
背景技术
网络地址转换(NAT,Network Address Translation)是一个Internet工程任务组(Internet Engineering Task Force,IETF)标准,用于允许专用网络上的多台PC(使用专用地址段,例如10.0.x.x、192.168.x.x、172.x.x.x)共享单个、全局路由的IPv4地址,NAT-PT过渡机制则是解决IPv4主机和IPv6主机互访的问题而提出IPv6过度技术中的一种,在RFC2766--Network AddressTranslation-Protocol Translation(NAT-PT)、RFC2765--Stateless IP/ICMPTranslation Algorithm(SIIT)中定义了IPv6和IPv4节点互访时的地址分配方法,当IPv6节点开始访问IPv4节点时,NAT-PT从其IPv4地址缓冲池中为IPv6节点动态地分配一个IPv4地址。NAT-PT通过对IPv6和IPv4地址的翻译、绑定,在无需对节点做改动的情况下,为IPv6和IPv4域中节点的相互通信提供了透明的路由。这要求NAT-PT能跟踪所建立的通信会话,并且属于该会话的数据包要通过同一个NAT-PT设备。
在IPv4向IPv6过渡阶段,若采用NAT-PT作为IPv4和IPv6的网关,NAT-PT设备成为IPv4和IPv6网络互通的必经之路,如果NAT-PT被黑客进行拒绝服务攻击,将导致IPv4和IPv6之间的流量全部中断,具体拒绝服务攻击方法如下:
当NAT-PT设备做NAPT转换时,通常为每一个不同地址、不同端口号、不同协议类型的流建立一个会话session,影射关系如表一所示:
表一
IPv6 session | IPv4 session |
IPv6 source ip address | IPv4 source ip address |
IPv6 source port | IPv4 source port |
IPv6 target ip address | IPv4 target ip address |
IPv6 source port | IPv4 source port |
IPv6 next header(TCP/UDP) | IPv4 protocol(TCP/UDP) |
拒绝服务攻击可通过上述手段建立大量的会话session,每一个会话session要占用一定量的内存,同时随着会话session数目的增大,处理的速度也会有一定下降,攻击行为可以通过更换会话session中的某一个字段,让NAT-PT设备生成一个新会话session,而这个会话session却没有相应的流量,是一个无用的会话session,这样无用的会话session将内存站满或者芯片处理不过来,正常的新业务将无法申请到会话session,导致业务中断。
发明内容
本发明解决的技术问题是提供一种网络地址转换中防止拒绝服务攻击的方法及装置,以保证正常用户的业务。
为解决上述问题,本发明的网络地址转换中防止拒绝服务攻击的方法,包括:
确定网络地址转换中具有拒绝服务攻击特征的流允许建立的最大会话个数;
当网络地址转换中所述具有拒绝服务攻击特征流建立的会话个数达到所述最大会话个数时,限制所述拒绝服务攻击特征流的会话建立以防止拒绝服务攻击。
其中,所述拒绝服务攻击特征流可为网络中具有以预定源地址、预定目的地址以及反向路径检查中属于同一个路由表项中至少一个特征建立会话的流。
可选地,所述限制拒绝服务攻击特征流的会话建立为:
限制网络中每一台用户主机被允许发起的具有拒绝服务特征流建立的会话个数。
其中,所述限制拒绝服务攻击特征流的会话建立还包括:
为网络中的用户配置优先级,优先级高的用户主机被允许建立的具有拒绝服务特征流的会话个数多,优先级低的用户主机被允许建立的具有拒绝服务特征流会话个数少。
可选地,所述限制拒绝服务攻击特征流的会话建立为:
限制网络预定网段中每一台主机被允许发起的具有拒绝服务特征流建立的会话个数。
可选地,所述限制拒绝服务攻击特征流的会话建立为:
对于会话建立的目标主机,限制每个源地址的用户主机访问该目标主机的具有拒绝服务特征流的会话个数。
可选地,所述限制拒绝服务攻击特征流的会话建立为:
对于会话建立的目标主机,限制网络上预定网段中每个源地址访问该目标主机的具有拒绝服务特征流的会话个数。
可选地,所述限制拒绝服务攻击特征流的会话建立为:
限制网络上预定网段中所有主机被允许发起的具有拒绝服务特征流的会话总个数。
相应地,本发明的网络地址转换中防止拒绝服务攻击的装置,包括:
存储装置,用于存储预先确定的网络地址转换中具有拒绝服务攻击特征的流允许建立的最大会话个数;
特征流限制装置,当网络地址转换中所述具有拒绝服务攻击特征流建立的会话个数达到所述最大会话个数时,限制所述拒绝服务攻击特征流的会话建立以防止拒绝服务攻击。
其中,所述拒绝服务攻击特征流为网络中具有以预定源地址、预定目的地址以及反向路径检查中属于同一个路由表项中至少一个特征建立会话的流。
与现有技术相比,本发明具有以下有益效果:
本发明通过确定网络地址转换中具有拒绝服务攻击特征的流允许建立的最大会话个数;当网络地址转换中所述具有拒绝服务攻击特征流建立的会话个数达到所述最大会话个数时,限制所述拒绝服务攻击特征流的会话建立,从而有效防止拒绝服务攻击,避免拒绝服务攻击导致正常的业务中断。
附图说明
图1是本发明网络地址转换中拒绝服务攻击的方法流程图;
图2是本发明网络地址转换中拒绝服务攻击的装置示意图。
具体实施方式
由于目前的网络应用,网络中同一台主机发起的会话数目是有限的,一般是十几或者几十个,特殊的应用可能达到几百个,拒绝服务攻击会发起超过正常会话数目的会话请求,以达到消耗攻击目标的资源的目的。
另外,通过攻击导致大量无用连接的方法主要有:
采用更换报文的访问的不同的目的地址;
采用相同报文的目的地址不同端口号;
采用更换报文的源地址;
相同报文的源地址不同的端口号。
本发明中基于上述拒绝服务攻击的手段以及网络主机会话现状主要采用如下手段防止拒绝服务攻击:
步骤11:确定网络地址转换中具有拒绝服务攻击特征的流允许建立的最大会话个数,具体实现时,通过上述对拒绝服务攻击的手段分析可确定具有拒绝服务攻击特征的流,本发明中对于所述具有拒绝服务攻击特征的流预先确定该流允许建立的最大会话个数;需要说明的,本发明中所述拒绝服务攻击特征流可以为网络中具有以预定源地址、预定目的地址以及反向路径检查中属于同一个路由表项中至少一个特征建立会话的流。
步骤12,当网络地址转换中所述具有拒绝服务攻击特征流建立的会话个数达到所述最大会话个数时,限制所述拒绝服务攻击特征流的会话建立以防止拒绝服务攻击。
上述通过限制攻击发起的主机或者网络在网络地址转换NAT-PT设备上建立具有拒绝服务攻击特征流的会话个数,可保证网络地址转换NAT-PT设备预留有足够的内存,通过这种方法同时可以限制攻击发起者到达某个目标主机的会话数量,从而保护目标主机不受攻击。
下面说明本发明的另一方面,参考图2,该图是本发明网络地址转换中拒绝服务攻击的装置示意图,主要包括:
存储装置21,用于存储预先确定的网络地址转换中具有拒绝服务攻击特征的流允许建立的最大会话个数;
特征流限制装置22,当网络地址转换中所述具有拒绝服务攻击特征流建立的会话个数达到所述最大会话个数时,限制所述拒绝服务攻击特征流的会话建立以防止拒绝服务攻击。
其中所述拒绝服务攻击特征流为网络中具有以预定源地址、预定目的地址以及反向路径检查中属于同一个路由表项中至少一个特征建立会话的流。
上述装置可设置在网络地址转换设备中,例如NAT-PT设备中,这里不再详细说明。
以下具体举例说明本发明的应用。
本发明中基于对上述具有拒绝服务攻击特征流建立的会话个数的限制可以实现对拒绝服务攻击的多种可行的防范,具体具例如下:
本发明可以限制网络中每一台用户主机被允许发起的具有拒绝服务特征流建立的会话个数,具体实现时,还可将网络中的用户主机配置优先级级,优先级高的用户主机被允许建立的具有拒绝服务特征流的会话个数多,优先级低的用户主机被允许建立的具有拒绝服务特征流会话个数少,这样网络运营者可以根据用户的交费情况提供区分服务;
本发明中也可以限制网络预定网段中每一台主机被允许发起的具有拒绝服务特征流建立的会话个数,同样的,对于网络中的用户可以配置优先级,优先级高的用户主机被允许建立的具有拒绝服务特征流的会话个数多,,优先级低的用户主机被允许建立的具有拒绝服务特征流会话个数少;
为保护一个特定的目标主机,即对于会话建立的目标主机,本发明中可以限制每个源地址的用户主机访问该目标主机的具有拒绝服务特征流的会话个数,例如针对访问目的地址为www.xxxx.cn的连接请求,每一个源地址的用户主机不能建立超过20个会话,这样某一个会话的发起主机到达某一个受限制的目标主机会话个数已经达到最大个数后,这个会话的发起主机还是可以继续访问其他目标主机。
同样的,为保护一个特定的目标主机,即对于会话建立的目标主机,本发明限制网络上预定网段中每个源地址访问该目标主机的具有拒绝服务特征流的会话个数,例如针对访问目的地址为www.xxxx.cn的连接请求,网络上某一个网段中每一个源地址用户主机不能建立超过20个会话,这样网络上这个网段中某一个会话的发起主机到达某一个受限制的目标会话数目已经达到最大个数后,这个会话的发起主机还是可以继续访问其他目标主机。
本发明还可以限制网络上预定网段中所有主机被允许发起的具有拒绝服务特征流的会话总个数,这样可能某一个网段中有一批主机发起拒绝服务攻击时,因为已经限制了这个网段会话总数,所以攻击可以被控制在一定的数量以内,其他网段还是可以正常的使用网络地址转换NAT-PT设备。
以上所述仅为本发明的优选实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的权利要求保护范围之内。
Claims (10)
1、一种网络地址转换中防止拒绝服务攻击的方法,其特征在于,包括:
确定网络地址转换中具有拒绝服务攻击特征的流允许建立的最大会话个数;
当网络地址转换中所述具有拒绝服务攻击特征流建立的会话个数达到所述最大会话个数时,限制所述拒绝服务攻击特征流的会话建立以防止拒绝服务攻击。
2、根据权利要求1所述的网络地址转换中防止拒绝服务攻击的方法,其特征在于,所述拒绝服务攻击特征流为网络中具有以预定源地址、预定目的地址以及反向路径检查中属于同一个路由表项中至少一个特征建立会话的流。
3、根据权利要求1或2所述的网络地址转换中防止拒绝服务攻击的方法,其特征在于,所述限制拒绝服务攻击特征流的会话建立为:
限制网络中每一台用户主机被允许发起的具有拒绝服务特征流建立的会话个数。
4、根据权利要求3所述的网络地址转换中防止拒绝服务攻击的方法,其特征在于,所述限制拒绝服务攻击特征流的会话建立还包括:
为网络中的用户配置优先级,优先级高的用户主机被允许建立的具有拒绝服务特征流的会话个数多,优先级低的用户主机被允许建立的具有拒绝服务特征流会话个数少。
5、根据权利要求1或2所述的网络地址转换中防止拒绝服务攻击的方法,其特征在于,所述限制拒绝服务攻击特征流的会话建立为:
限制网络预定网段中每一台主机被允许发起的具有拒绝服务特征流建立的会话个数。
6、根据权利要求1或2所述的网络地址转换中防止拒绝服务攻击的方法,其特征在于,所述限制拒绝服务攻击特征流的会话建立为:
对于会话建立的目标主机,限制每个源地址的用户主机访问该目标主机的具有拒绝服务特征流的会话个数。
7、根据权利要求1或2所述的网络地址转换中防止拒绝服务攻击的方法,其特征在于,所述限制拒绝服务攻击特征流的会话建立为:
对于会话建立的目标主机,限制网络上预定网段中每个源地址访问该目标主机的具有拒绝服务特征流的会话个数。
8、根据权利要求1或2所述的网络地址转换中防止拒绝服务攻击的方法,其特征在于,所述限制拒绝服务攻击特征流的会话建立为:
限制网络上预定网段中所有主机被允许发起的具有拒绝服务特征流的会话总个数。
9、一种网络地址转换中防止拒绝服务攻击的装置,其特征在于,包括:
存储装置,用于存储预先确定的网络地址转换中具有拒绝服务攻击特征的流允许建立的最大会话个数;
特征流限制装置,当网络地址转换中所述具有拒绝服务攻击特征流建立的会话个数达到所述最大会话个数时,限制所述拒绝服务攻击特征流的会话建立以防止拒绝服务攻击。
10、根据权利要求9所述的网络地址转换中防止拒绝服务攻击的装置,其特征在于,所述拒绝服务攻击特征流为网络中具有以预定源地址、预定目的地址以及反向路径检查中属于同一个路由表项中至少一个特征建立会话的流。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2005101004138A CN1949762A (zh) | 2005-10-14 | 2005-10-14 | 网络地址转换中防止拒绝服务攻击的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2005101004138A CN1949762A (zh) | 2005-10-14 | 2005-10-14 | 网络地址转换中防止拒绝服务攻击的方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1949762A true CN1949762A (zh) | 2007-04-18 |
Family
ID=38019144
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2005101004138A Pending CN1949762A (zh) | 2005-10-14 | 2005-10-14 | 网络地址转换中防止拒绝服务攻击的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1949762A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106453350A (zh) * | 2016-10-31 | 2017-02-22 | 杭州华三通信技术有限公司 | 一种防攻击的方法及装置 |
CN107819888A (zh) * | 2016-09-14 | 2018-03-20 | 华为技术有限公司 | 一种分配中继地址的方法、装置以及网元 |
CN111565237A (zh) * | 2020-07-15 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络参数确定方法、装置、计算机设备及存储介质 |
-
2005
- 2005-10-14 CN CNA2005101004138A patent/CN1949762A/zh active Pending
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107819888A (zh) * | 2016-09-14 | 2018-03-20 | 华为技术有限公司 | 一种分配中继地址的方法、装置以及网元 |
CN107819888B (zh) * | 2016-09-14 | 2020-03-31 | 华为技术有限公司 | 一种分配中继地址的方法、装置以及网元 |
CN106453350A (zh) * | 2016-10-31 | 2017-02-22 | 杭州华三通信技术有限公司 | 一种防攻击的方法及装置 |
CN106453350B (zh) * | 2016-10-31 | 2021-06-11 | 新华三技术有限公司 | 一种防攻击的方法及装置 |
CN111565237A (zh) * | 2020-07-15 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络参数确定方法、装置、计算机设备及存储介质 |
CN111565237B (zh) * | 2020-07-15 | 2020-11-03 | 腾讯科技(深圳)有限公司 | 网络参数确定方法、装置、计算机设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1146809C (zh) | 综合ip网络 | |
US20100175110A1 (en) | Protecting a network from unauthorized access | |
CN1922826A (zh) | 隧道服务方法和系统 | |
CN101047618A (zh) | 获取网络路径信息的方法和系统 | |
CN1592300A (zh) | 多媒体协议穿越网络地址转换设备的实现方法 | |
CN101079807A (zh) | 一种控制媒体传输路径的网状中继方法及ip通信系统 | |
CN1921487A (zh) | 基于签名的自治系统间IPv6真实源地址验证方法 | |
CN1801781A (zh) | 交换设备及其防止流量冲击的报文处理方法 | |
CN1773993A (zh) | 会话中继设备和会话中继方法 | |
CN103167049A (zh) | 按需分配的网络地址转换方法、设备和系统 | |
CN1917512A (zh) | 一种建立对等直连通道的方法 | |
CN1835474A (zh) | 一种移动互联网协议网络中的报文传送方法 | |
CN1863138A (zh) | 一种实现多媒体业务nat穿越的方法 | |
CN1496642A (zh) | 具有对于接入规则的索引的防火墙 | |
CN1960316A (zh) | 分片报文的网络地址转换方法 | |
CN1949762A (zh) | 网络地址转换中防止拒绝服务攻击的方法及装置 | |
CN101056273A (zh) | 基于会话的网络限速方法及装置 | |
CN1643858A (zh) | 服务质量请求关联 | |
CN1863152A (zh) | 内网用户之间传递各种报文的方法 | |
KR100705567B1 (ko) | 브이오아이피 호 처리 시스템 및 그 방법 | |
CN1744561A (zh) | 报文转换过程中的超长报文的处理方法 | |
CN1691664A (zh) | Nat-pt网关中pat模式下icmp差错报文的转换方法 | |
CN1567873A (zh) | 一种虚拟私有网上的数据传输方法 | |
CN1677949A (zh) | 在网络中实现设备间通讯的方法 | |
CN114531417A (zh) | 一种通信方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Open date: 20070418 |