专利名称:一种防止拒绝服务攻击的方法和系统的制作方法
技术领域:
本发明涉及网络信息安全领域,特别是涉及一种防止拒绝服务攻击的方法 和系统。
背景技术:
拒绝服务攻击(Denial of Service, DOS)是现有互联网上对服务器,交换 设备的一种攻击手段,它们攻击现有服务器的缺陷或薄弱点,让设备崩溃,停 止工作,以达到影响服务器的正常业务的目的。Flood (也叫洪水攻击,属于 拒绝服务攻击的一种)攻击就是一种典型的DOS攻击,他们采用短时间内发 送大量报文的形式,去耗竭设备内存资源,耗竭设备CPU资源,达到攻击的 目的。这种攻击具有很强的破坏力,并且包含多种新式,如SYNFlood, UDP Flood, ICMP Flood等。
SYN Flood攻击(洪水攻击),其原理主要是向被攻击主机发送大量伪造 源IP和源端口的TCP连接请求数据包,导致主机缓存资源因处理这些欺骗请 求包被耗尽或因忙于发送回应包,直至系统资源耗尽,从而形成拒绝服务。其 基本过程是, 一台计算机在网络中通讯时首先需要建立TCP (Transmission Control Protocol,传输控制协议)握手,标准的TCP握手需要三次包交换来建 立。 一台服务器一旦接收到客户机的连接请求数据包SYN (Synchronize s叫uence numbers)后必须回应一个请求响应数据包SYN+ACK,然后等待该 客户机回应给它一个响应数据包ACK (Acknowledgment field significant)来确 认,才真正建立连接。然而,如果只发送初始化的连接请求数据包SYN,而 不发送确认服务器的响应数据包ACK会导致服务器一直等待响应数据包 ACK。由于服务器在有限的时间内只能响应有限数量的连捧,这就会导致服务 器一直等待回应而无法响应其它计算机进行的连接请求。
UDP Flood攻击也是导致基于拒绝服务攻击的一种。UDP( User Datagram Protocol,用户数据报文协议)是一种无连接的协议,而且它不需要用任何程序建立连接来传输数据。当攻击者随机地向受害主机的端口发送UDP数据包 的时候,就可能发生了 UDP淹没攻击。当受害系统接收到一个UDP数据包 的时候,它会确定目的端口正在等待中的应用程序。当它发现该端口中并不存 在正在等待的应用程序,它就会产生一个目的地址无法连接的ICMP (Internet Control Message Protocol,网际控制消息协议)数据包发送给该伪造的源地址。 如果向受害主机端口发送了足够多的UDP数据包的时候,整个系统就会瘫 痪。
ICMP Flood攻击也叫做ping Flood攻击,其也是服务拒绝攻击的一种, 一般地,ICMP被IP层用于向一台主机发送单向的告知性消息,在ICMP 中,没有验证机制,这就导致了使用ICMP可以造成服务拒绝的攻击,或者 可以支持攻击者截取数据包。其攻击过程一般是,攻击者通过向受害主机发送 大数量(或刚刚超过规定数量)的ICMP数据包,弓i起受害主机中TCP/IP栈 瘫痪,并停止响应TCP/IP请求。
预防拒绝服务攻击是现有网络交换设备的一项重要功能,目前在交换设备 的标准以及规范上都有明确要求,但是由于目前协议栈的缺项,业界对防止拒 绝服务攻击只能做到受到攻击时,停止工作,进入关闭状态,等攻击停止时, 恢复正常工作状态,而无法在交换设备受到攻击时,在正常工作状态下,防止 拒绝服务攻击,正常报文的转发不受影响。
发明内容
本发明所要解决的问题是提供一种防止拒绝服务攻击的方法和系统,其可 以在正常工作状态下,有效地防止拒绝服务攻击。
为实现本发明目的而提供的一种防止拒绝服务攻击的方法,包括下列步
步骤A,在正常处理连接请求前,截获请求端向目的端发送的报文,解析 所述报文得到报文内容;
步骤B,根据所述报文内容,对所述报文进行拒绝服务攻击判断,并进行 防止拒绝服务攻击处理。
所述步骤B中根据所述报文内容,对所述报文进行拒绝服务攻击判断, 并进行防止拒绝服务攻击处理,具体包括下列步骤
步骤Bl,根据所述报文内容,对所述报文内容的特征进行分析,与拒绝 访问攻击的特征库中的攻击特征信息进行比较,判断所述报文的特征信息是否 符合拒绝服务攻击特征,如果是,则将所述报文丢弃。
所述步骤B1之后还包括下列步骤
步骤Bll,保存具有拒绝服务攻击的报文的请求信息;
步骤B12,在接收后续的报文时,首先在数据链路层检查该后续报文是否
与该已经判断为拒绝服务攻击的连接请求具有相同的请求信息,如果是,则不
再转发这些报文,直接抛弃;否则,转到步骤A。
所述步骤B1中,判断所述报文的特征信息不符合拒绝服务攻击特征时, 进行下列步骤
步骤B21,根据所述报文中的内容,构造请求响应报文进行响应; 步骤B22,截获接收到响应报文,解析响应报文,得到响应报文的内容; 步骤B23,根据响应报文的内容,构造向目的端发送的报文,在得到目的 端的响应后,建立真正的连接。
所述步骤B之后进一步包括下列步骤
判断拒绝服务攻击是否结束,如果是,则停止报文的防止拒绝服务攻击的 工作;否则,返回步骤A,检查后续的报文。
所述报文为连接请求数据包SYN报文;所述请求响应报文为请求响应 SYN+ACK报文;所述响应报文为响应ACK报文。
为实现本发明目的还提供一种防止拒绝服务攻击的系统,包括截获解析模 块,DOS处理模块,其中
所述截获解析模块,用于截获请求端向目的端发送连接请求的报文,解析 所述报文得到报文内容;
DOS处理模块,用于根据所述报文内容,对所述报文的进行拒绝服务攻 击判断,并进行防止拒绝服务攻击处理。
所述DOS处理模块包括攻击特征库,监控模块,其中
攻击特征库,用于保存各种拒绝服务攻击的攻击特征信息;
监控模块,用于分析所述报文的内容,和攻击特征库进行比较,检査所述 报文是否是拒绝服务攻击,并进行处理。
所述系统在数据链路层包括控制模块,用于保存监控制模块检査出的具有拒绝服务攻击的报文的攻击特征信息,直接禁止后续该种报文的访问。
所述的DOS处理模块还进一步包括虚拟连接模块,用于根据请求端报文 的内容,构造请求响应报文进行响应,并在判断该请求为真正连接请求后,根 据响应报文内容,与目的端建立连接,最终建立真正的连接。
所述的防止拒绝服务攻击的系统还包括判断模块,用于判断拒绝服务攻击 是否结束。
所述报文为连接请求数据包SYN报文;所述请求响应报文为请求响应 SYN+ACK报文;所述响应报文为响应ACK报文。
所述的拒绝服务攻击为SYN Flood、 ACK Flood、 UDP Flood、 ICMP Flood、 Land Flood、 IP Fragment attack、 Stream Flood、 Fraggle、 Teardrop、 Bonk、 Smurf、 PingOfDeath、 Unreachable Host Flushot、 Jolt2、 Winnuke、 3HD、 Rage3HD攻 击中的一种或者一种以上的组合。
所述的系统是以软件的方式安装在网络系统中,或者是网关、防火墙、路 由器的一个功能单元,或者是一个单独的边缘服务器设备。
本发明的有益效果是通过本发明的防止拒绝服务攻击的方法和系统,不 仅可以实现防止拒绝服务攻击的功能,而且在受到拒绝服务攻击时,正常报文 转发不受影响,设备基本正常地工作,特别是其可以有效地防止SYNFlood、 UDPFlood、 ICMP Flood等拒绝服务攻击。其使设备受到拒绝服务攻击时,不 仅不会因资源耗竭而停止工作,而且可以自动辨别攻击报文和正常报文,禁止 异常报文的干扰,只处理正常报文,整个设备在攻击过程中不受影响。
图1是本发明防止拒绝服务攻击的方法流程图2是本发明实施例中对SYN报文内容分析处理过程流程图3是本地网关构造请求响应与请求端进行虚拟连接示意图4是本地网关构造新的请求与目的端进行虚拟连接示意图5是本发明防止拒绝服务攻击的系统示意图。
具体实施例方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明的一种防止拒绝服务攻击的方法和系统进行进一步详细说明。 应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发 明。
本文描述了一种防止拒绝服务攻击的方法和系统,通过建立攻击报文特征 库,通过比较报文和特征库,从协议栈的最底层控制攻击报文,解决攻击报文 耗竭设备CPU资源的问题;进一步地,通过在协议栈建立虚拟连接,检査报 文是正常报文还是攻击报文,从而解决攻击报文耗竭设备内存资源的问题。
本发明实施例,本发明实施例特别描述了防止SYN Flood攻击的方法过 程,但本发明同样适用除了以上提到的拒绝服务攻击,如ACK Flood、 UDP Flood、 ICMP Flood、 LandFlood、 IP Fragment attack、 Stream Flood、 Fraggle、 Teardrop 、 Bonk、 Smurf、 Ping Of Death 、 Unreachable Host Flushot、 Jolt2、 Winnuke、 3HD、 Rage3HD等各类DOS攻击的情况。
如图1所示,本发明实施例的一种防止拒绝服务攻击的方法,具体步骤如
下
步骤S100,在正常处理连接请求前,截获请求端51向目的端52发送连 接请求的SYN报文,解析该SYN报文得到报文内容。
用户请求端51从国际互联网等设备(如个人计算机)上向目的端52 (如 网站服务器)请求进行TCP/IP连接时,会发送连接请求的SYN报文,为判断 是否为SYN Flood攻击,在该SYN报文被正常处理前,该SYN报文被网关设 备截获;
网络系统在网关模式下,从外部传入的所有转发向目的端52的数据,均 会通过网络层,在网络层上就可以截获所有的连接请求数据包SYN。
解析SYN数据包,得到SYN报文中的源地址、目的地址和端口信息等内容。
步骤S200,根据该SYN报文内容,对该SYN请求的进行拒绝服务攻击 判断,并进行防止拒绝服务攻击处理。
步骤S300,判断拒绝服务攻击是否结束,如果是,即当攻击方停止攻击, 如某终端中的攻击病毒被清除,不再主动攻击网关设备时,在单位时间内,某 种特征的攻击报文已经不再发送到网关设备上,或者某类报文已经不具有攻击 攻击特征信息,则停止请求SYN报文的防止拒绝服务攻击的工作,避免由于检査而消耗设备CPU资源,以及由于攻击报文的影响其它正常报文的工作;否则,返回步骤S100,检査后续的请求SYN报文。
如图2所示,所述步骤S200,根据该SYN报文内容,对该SYN请求的 进行拒绝服务攻击判断,并进行防止拒绝服务攻击处理。具体包括下列步骤
步骤S210,根据该SYN报文内容,对该SYN报文内容的特征进行分析, 与SYN Flood攻击的特征库中的攻击特征信息进行比较,判断该SYN报文的 特征是否符合SYN Flood攻击特征。
这些攻击特征信息是指某种拒绝服务攻击具有的特征信息,例如在单位时 间内,是否具有为同一源IP地址发送的超过设定数量的请求SYN报文,或是 在单位时间内,同一输入接口上发送的超过设定数量的请求SYN报文等。
如果是,则将该请求SYN报文丢弃,并转到步骤S220;否则为无法判断 其合法性的请求SYN报文,因而转到步骤S240处理;
步骤S220,保存具有SYN Flood攻击的SYN报文的请求信息;
请求信息是指具有SYN Flood攻击的SYN请求信息,如具有所限定的源 IP地址或者输入接口等。
步骤S230,然后,在接收后续的SYN报文时,首先在数据链路层检査该 后续SYN报文是否与该已经判断为SYN Flood攻击的连接请求具有相同的请 求信息,如果是,则不再转发这些报文,直接抛弃,从而将攻击报文对设备 CPU资源的消耗降到最低点;否则,转到步骤SIOO。
步骤S240,根据SYN报文中的内容,构造SYN+ACK报文进行响应。
本地网关利用该SYN报文的内容,构造SYN+ACK报文向请求端51响 应,该SYN+ACK报文的源地址和源MAC地址(网关中的一个硬件地址)均 用SYN报文的目的IP和MAC构造,将该构造的SYN+ACK报文发送给SYN 报文的发送地址(源地址)。
如图3所示,当本地网关收到SYN报文时,先构造请求响应SYN+ACK 报文,并发送回去,由于对方是攻击报文(SYN Flood),故对方永远都不会 回复ACK报文,故该攻击报文就无法像正常连接那样,在协议栈中分配正常 连接所需要的资源,从而解决攻击报文耗竭设备内存资源的问题。
步骤S250,截获接收到响应ACK报文,解析该ACK报文,得到ACK 报文的内容。
当请求端51不是拒绝服务攻击的地址,而是真正的连接请求时,则根据 协议,响应ACK报文,本地网关在截获接收到响应ACK报文后,解析该ACK 报文,就可以得到响应ACK报文的源地址,目的地址,端口号等数据。
步骤S260,根据ACK报文的内容,构造向目的端52发送的请求SYN报 文,在得到目的端52的响应后,建立真正的连接。
利用源地址为本地网关地址,目的地址不变,构造SYN报文,向真正的 目的端52发送请求连接的SYN报文。
目的端52在收到SYN报文后,如图4所示,根据TCP协议,其向发送 端,即本地网关地址回应请求响应的SYN+ACK报文,该报文被本地网关接 收后,回复响应的ACK报文后,本地网关与目的端52建立连接。然后根据本 地网关与请求端51的TCP/IP连接,建立真正的连接。
本发明实施例中,以SYN Flood攻击为例,如果是UDP Flood攻击,或 者ICMP Flood攻击,或者其他拒绝服务攻击,本发明的防止拒绝服务攻击以 相类似的方法进行防护工作。
下面结合本发明的防止拒绝服务攻击的方法,详细说明本发明的防止拒绝 服务攻击的系统。
本发明的防止拒绝服务攻击的系统,在网关,路由器等交换设备上实现, 可以有效的防止拒绝服务攻击(DOS攻击),如SYNFlood、 ACKFlood、 UDP Flood、 ICMPFlood、 LandFlood、 IP Fragment attack、 Stream Flood、 Fraggle、 Teardrop 、 Bonk、 Smurf、 Ping Of Death 、 Unreachable Host Flushot、 Jolt2、 Winnuke、 3HD、 Rage3HD等各类DOS攻击。
本发明所涉及的防止拒绝服务攻击系统,如图5所示,主要用于控制交换 设备,保护交换设备的正常不受攻击影响以及内网环境不会受到攻击。
本发明的防止拒绝服务攻击的系统,位于网络层中,包括截获解析模块 53, DOS处理模块54,判断模块55。其中
截获解析模块53,用于截获请求端51向目的端52发送连接请求的SYN 报文,解析该SYN报文得到报文内容。
DOS处理模块54,用于根据该SYN报文内容,对该SYN请求的进行拒绝服务攻击判断,并进行防止拒绝服务攻击处理。
判断模块55,用于判断拒绝服务攻击是否结束。
其中,在DOS处理模块54中,可以包括攻击特征库541,监控模块542, 以及虚拟连接模块543。其中
攻击特征库541,用于保存各种拒绝服务攻击的攻击特征信息,如在单位 时间内,同一源IP发送超过设定数量的SYN报文,就认定为SYN Flood攻击; 或者在单位时间内,同一源IP发送超过设定数量的UDP报文,就认定为UDP Flood攻击等等。
监控模块542,用于分析请求连接SYN报文的内容,和攻击特征库541 进行比较,检査该请求连接SYN报文是否是拒绝服务攻击,并进行处理;
虚拟连接模块543,用于根据请求端51SYN报文的内容,构造SYN+ACK 报文进行响应,并在判断该请求为真正连接请求后,根据响应的ACK报文内 容,与目的端52建立连接,最终建立真正的连接。
进一步地,在数据链路层中包括控制模块56,用于保存监控模块542检 查出的具有SYN Flood攻击的SYN报文的请求信息,根据请求信息,直接禁 止后续该种报文的访问。
在本发明实施例的防止拒绝服务攻击的系统中,当本地网关设备在正常处 理连接请求时前,并不直接转发,而是截获解析模块53截获连接请求的SYN 报文,解析得到SYN报文的内容,对该SYN请求的进行拒绝服务攻击判断, 并进行防止拒绝服务攻击处理。
一方面,监控模块542分析请求连接SYN报文的内容,和攻击特征库541 进行比较,检査该请求连接SYN报文是否是拒绝服务攻击;对检査出具有SYN Flood攻击特征的SYN报文,控制模块56保存这些SYN报文的请求信息,根 据这些请求信息直接禁止后续该种报文的访问。
另一方面,虚拟连接模块543根据SYN报文的内容,构造请求回复 SYN+ACK报文,并发送回去,如果对方是正常连接请求的SYN报文,则对 方会回复ACK报文,这时虚拟连接模块543再根据ACK报文构造新的请求 与目的端52连接的SYN报文,和目的建立真正连接,最后让目的和请求端 51开始正常的数据交换。
最后,判断模块55判断拒绝服务攻击是否结束。如果是,则停止请求SYN 报文的防止拒绝服务攻击的工作,避免由于检査而消耗设备CPU资源,以及 拒绝服务攻击而影响其它正常报文的工作;否则返回并检查后续的请求SYN报文。
作为本发明的另一个实施例,以一种其他攻击(UDP Flood, Smurf)为例,描述防御过程
首先,监控模块542获得报文,该报文的状态行为和攻击特征库541进行 快速比较,检查是否存在攻击特征,如单位时间内同一网端的源地址发出了大 量的报文,单位时间内同一目标地址,收到大量的异常报文,或者是报文的源 和目的地址相同等,当匹配上,则判定这一类报文是攻击报文;
其次,监控模块把这类报文的特征(如报文源IP,源端口,目的IP,端 口等)通知控制模块,控制模块直接通过简单匹配,就控制这类报文进入协议 栈,从而避免这类报文对系统的危害和消耗系统资源。
最后,控制模块56在阻止该类型报文时,并增加该类型攻击的计数器, 以及更新攻击时间,如果长时间该计数器没有变化,则认为该攻击已经消失, 取消对该攻击的阻止。避免防攻击模块消耗系统资源。
本发明的防止拒绝服务攻击的系统,可以是以软件的方式安装在网络系统 中,也可以是硬件设备,如网关、防火墙、路由器的一个功能单元,也可以是 一个单独的边缘服务器设备。
通过结合附图对本发明具体实施例的描述,本发明的其它方面及特征对本 领域的技术人员而言是显而易见的,因而不再一一详细描述。
通过本发明的防止拒绝服务攻击的方法和系统,不仅可以实现防止拒绝服 务攻击的功能,而且在受到拒绝服务攻击时,正常报文转发不受影响,设备基 本正常地工作,特别是其可以有效地防止SYN Flood、 UDP Flood、 ICMP Flood 等拒绝服务攻击。其使设备受到拒绝服务攻击时,不仅不会因资源耗竭而停止 工作,而且可以自动辨别攻击报文和正常报文,禁止异常报文的干扰,只处理 正常报文,整个设备在攻击过程中不受影响。
以上对本发明的具体实施例进行了描述和说明,这些实施例应被认为其只 是示例性的,并不用于对本发明进行限制,本发明应根据所附的权利要求进行 解释。
权利要求
1、一种防止拒绝服务攻击的方法,其特征在于,包括下列步骤步骤A,在正常处理连接请求前,截获请求端向目的端发送的报文,解析所述报文得到报文内容;步骤B,根据所述报文内容,对所述报文进行拒绝服务攻击判断,并进行防止拒绝服务攻击处理。
2、 根据权利要求1所述的防止拒绝服务攻击的方法,其特征在于,所述 步骤B中根据所述报文内容,对所述报文进行拒绝服务攻击判断,并进行防 止拒绝服务攻击处理,具体包括下列步骤步骤Bl,根据所述报文内容,对所述报文内容的特征进行分析,与拒绝 访问攻击的特征库中的攻击特征信息进行比较,判断所述报文的特征信息是否 符合拒绝服务攻击特征,如果是,则将所述报文丢弃。
3、 根据权利要求2所述的防止拒绝服务攻击的方法,其特征在于,所述 步骤B1之后还包括下列步骤-步骤Bll,保存具有拒绝服务攻击的报文的请求信息;步骤B12,在接收后续的报文时,首先在数据链路层检查该后续报文是否 与该已经判断为拒绝服务攻击的连接请求具有相同的请求信息,如果是,则不 再转发这些报文,直接抛弃;否则,转到步骤A。
4、 根据权利要求1至3任一项所述的防止拒绝服务攻击的方法,其特征 在于,所述步骤B1中,判断所述报文的特征信息不符合拒绝服务攻击特征时, 进行下列步骤步骤B21,根据所述报文中的内容,构造请求响应报文进行响应; 步骤B22,截获接收到响应报文,解析响应报文,得到响应报文的内容; 步骤B23,根据响应报文的内容,构造向目的端发送的报文,在得到目的 端的响应后,建立真正的连接。
5、 根据权利要求4所述的防止拒绝服务攻击的方法,其特征在于,所述 步骤B之后进一步包括下列步骤判断拒绝服务攻击是否结束,如果是,则停止报文的防止拒绝服务攻击的 工作;否则,返回步骤A,检查后续的报文。
6、 根据权利要求4所述的防止拒绝服务攻击的方法,其特征在于,所述 报文为连接请求数据包SYN报文;所述请求响应报文为请求响应SYN+ACK 报文;所述响应报文为响应ACK报文。
7、 根据权利要求1至3任一项所述的防止拒绝服务攻击的方法,其特征 在于,所述拒绝服务攻击为SYNFlood、 ACKFlood、 UDP Flood、 ICMP Flood、 Land Flood 、 IP Fragment attack 、 Stream Flood 、 Fraggle、 Teardrop 、 Bonk、 Smurf、 PingOfDeath、 Unreachable Host Flushot、 Jolt2、 Winnuke、 3HD、 Rage3HD攻 击中的一种或者一种以上的组合。
8、 一种防止拒绝服务攻击的系统,其特征在于,包括截获解析模块,DOS 处理模块,其中所述截获解析模块,用于截获请求端向目的端发送连接请求的报文,解析 所述报文得到报文内容;DOS处理模块,用于根据所述报文内容,对所述报文的进行拒绝服务攻 击判断,并进行防止拒绝服务攻击处理。
9、 根据权利要求8所述的防止拒绝服务攻击的系统,其特征在于,所述 DOS处理模块包括攻击特征库,监控模块,其中攻击特征库,用于保存各种拒绝服务攻击的攻击特征信息; 监控模块,用于分析所述报文的内容,和攻击特征库进行比较,检査所述 报文是否是拒绝服务攻击,并进行处理。
10、 根据权利要求9所述的防止拒绝服务攻击的系统,其特征在于,在数 据链路层包括控制模块,用于保存监控制模块检査出的具有拒绝服务攻击的报 文的攻击特征信息,直接禁止后续该种报文的访问。
11、 根据权利要求8至10任一项所述的防止拒绝服务攻击的系统,其特 征在于,所述的DOS处理模块还进一步包括虚拟连接模块,用于根据请求端 报文的内容,构造请求响应报文进行响应,并在判断该请求为真正连接请求后, 根据响应报文内容,与目的端建立连接,最终建立真正的连接。
12、 根据权利要求11所述的防止拒绝服务攻击的系统,其特征在于,还 包括判断模块,用于判断拒绝服务攻击是否结束。
13、 根据权利要求12所述的防止拒绝服务攻击的系统,其特征在于,所 述报文为连接请求数据包SYN报文;所述请求响应报文为请求响应SYN+ACK报文;所述响应报文为响应ACK报文。
14、 根据权利要求8至10任一项所述的防止拒绝服务攻击的系统,其特 征在于,所述的拒绝服务攻击为SYNFlood、 ACKFlood、 UDP Flood、 ICMP Flood、 Land Flood、 IP Fragment attack、 Stream Flood、 Fraggle、 Teardrop、 Bonk、 Smurf、 Ping Of Death、 Unreachable Host Flushot、 Jolt2、 Winnuke、 3HD、 Rage3HD 攻击中的一种或者一种以上的组合。
15、 根据权利要求8至IO任一项所述的防止拒绝服务攻击的系统,其特 征在于,所述的系统是以软件的方式安装在网络系统中,或者是网关、防火墙、 路由器的一个功能单元,或者是一个单独的边缘服务器设备。
全文摘要
本发明公开了一种防止拒绝服务攻击的方法和系统。该方法包括下列步骤步骤A,在正常处理连接请求前,截获请求端向目的端发送报文,解析所述报文得到报文内容;步骤B,根据所述报文内容,对所述报文进行拒绝服务攻击判断,并进行防止拒绝服务攻击处理。其可以在正常工作状态下,有效地防止拒绝服务攻击。
文档编号H04L29/06GK101202742SQ20061016514
公开日2008年6月18日 申请日期2006年12月13日 优先权日2006年12月13日
发明者伟 缪 申请人:中兴通讯股份有限公司