专利名称:防止dos攻击的方法及设备的制作方法
技术领域:
本发明涉及网络技术领域,尤其涉及防止DOS攻击的方法及设备。
背景技术:
随着Internet的发展,组网环境日趋复杂,随之而来的网络攻击也日益频 繁,尤其以DOS ( Denial Of Service,拒绝服务攻击)类攻击(包括DDOS攻 击(Distributed Deny Of Service,分布式拒绝服务攻击))最为常见,对网络设 备的危害性也最大。DOS攻击中,攻击者在短时间内使用大量数据包或畸形报 文,向网络设备不断发起连接或请求响应,导致网络设备由于负荷过重而不能 处理合法任务,出现业务异常甚至设备瘫痪的情况。
现有技术提供以下两种方案用于防止DOS攻击
现有技术一
通过流量限制技术进行DOS攻击防范,即限制单位时间内上送设备的数 据流量,以达到保护设备的目的。
发明人经过分析,发现现有技术一虽然能有效緩解DOS攻击对网络设备 带来的影响,但由于其单纯依靠传统的手工设定流量限制功能对网络设备进行 保护,因此仍然存在如下不足
1、 一旦限定流量值被固定设置,网络设备在丢弃异常流量后,很可能会 继续丟弃正常业务才艮文,从而导致正常业务受到影响。在通常情况下,某一类 协议的攻击会导致设备级业务的异常,使非法用户达成DOS攻击的目的,而 单纯依靠手工限定流量值进行攻击范围抑制,并不能有效地缩小攻击对网络设 备的业务造成的影响。
2、 攻击发生时,仅仅通过丢包的方式保护网络设备,不能进行攻击溯源。
现有技术二
通过部署NETSTREAM (网络流量采样)相关设备进行设备流量采样,并 对采样数据进行分析以实现DOS溯源,达到防范DOS攻击的目的。 发明人经过分析,发现现有技术二存在如下不足之处 1、需要部署NETSTREM服务器等设备,造价较高。
2 、网络设备在开启NETSTREAM采样后,对设备性能会造成较大的影响。 另外,需占用设备的物理端口连接服务器,浪费网络资源。
3、由于服务器、网络设备是不同的设备,因此在运营维护管理上比单一 设备管理要困难的多。
发明内容
本发明实施例提供一种防止DOS攻击的方法及设备,用以进行攻击溯源, 最大限度地保证网络设备在遭受攻击的情况下多数业务的正常运转。 本发明实施例提供一种防止DOS攻击的方法,该方法包4舌 根据一级CAR资源对数据报文进行丟包计数;
确定所述数据报文的丢包数目超过第一阈值时,提取所述数据报文的入接 口信息;
根据所述入接口信息,对通过所述入接口的数据报文进行流量控制。
本发明实施例还提供一种网络设备,包括
计数模块,用于根据一级CAR资源对数据报文进行丢包计数;
提取模块,用于在确定所述数据报文的丢包数目超过第一阈值时,提取所 述数据报文的入接口信息;
控制模块,用于根据所述入接口信息,对通过所述入接口的数据报文进行 流量控制。
本发明实施例中,根据一级CAR资源对数据报文进行丢包计数;确定所 述数据报文的丟包数目超过第一阈值时,即可确定所述数据才良文为DOS攻击
数据报文;进而通过提取所述数据报文的入接口信息进行攻击溯源,为防止
DOS攻击提供依据;只需进一步根据所述入接口信息,对通过所述入接口的数 据报文进行流量控制,而无需对网络设备处理的所有数据才艮文进行流量控制, 从而锁定流控目标,缩小流控范围,最大限度地保证网络设备在遭受攻击的情 况下多数业务的正常运转;另外,采用本发明实施例方法,网络设备自身即可 实现防止DOS攻击的功能,而无需部署专门的服务器,并与服务器进行交互 以防止DOS攻击,使运营成本降低、维护管理简单,并进一步节约了网络资 源。
图1为本发明实施例中防止DOS攻击的处理流程图2为本发明实施例中防止DOS攻击的具体实例的处理流程图3A、图3B、图3C、图3D、图3E为本发明实施例中网络设备的结构
示意图。
具体实施例方式
下面结合说明书附图对本发明实施例方法进行详细说明。 如图1所示,本发明实施例中, 一种防止DOS攻击的处理流程如下 步骤ll、根据一级CAR (Committed Access Rate ,承诺的访问速率)资源
对数据报文进行丢包计数。
步骤12、确定数据报文的丟包数目超过第一阈值时,提取数据报文的入接
口信息。
步骤13、根据提取的入接口信息,对通过该入接口的数据报文进行流量控制。
在步骤ll中,第一阈值可以根据下发的一级CAR资源进行设置。在步骤 12中,提取数据报文的入接口信息可以包括对数据报文进行采样,对采样数
据进行分析;根据对采样数据的分析,提取数据报文的入接口信息。
一个实施例中,对数据报文进行采样后,可以将采样数据存储在本地。可
以按指定格式进行存储,如按Ethereal (以太)格式将采样数据存储在本地。 还可以将采样数据存储至本地的RAM ( Random Access Memory,随机存取存 储器)、NVRAM (Non Volatile Random Access Memory,非易失性随才几存取存 储器)、CF存储卡、FLASH (闪存)其中之一或任意组合。
在步骤13中,根据提取的入接口信息,对通过该入接口的数据报文进行 流量控制可以包括根据提取的入接口信息启动二级CAR,即针对此类数据报 文进行CAR细化,实现基于入接口信息和数据报文信息的CAR,并进一步下 发二级CAR资源;根据下发的二级CAR资源对通过该入接口的数据报文进行 流量控制。 一个实施例中,可以根据原有的一级CAR和后续启动的二级CAR 设置第二阈值,在确定通过该入接口的数据报文的流量不超过第二阈值时,可 以回收下发的二级CAR资源,以便于在再次遭受攻击时,重复使用二级CAR 资源。
如图2所示, 一个具体实例中,防止DOS攻击的处理流程如下
步骤21、设备布置传统的CAR方案,即按照业务分类或策略或是否具有 至少一个共同特征的业务进行CAR资源分配( 一级CAR资源)。
步骤22、设备启动监控系统,进行一级CAR丢弃计数实时监控,在监控 系统发现某类协议报文发生了大量丟包,并超过了设定的第一阈值,表明此类 业务发生了DOS攻击。
步骤23、在监控系统检测到攻击发生时,触发设备启动学习机制,按照设 定的釆样比在预设时间内进行此类报文特征信息的学习。学习信息可以包括 入接口信息(如VLAN、 PORT等)、报文内容信息等。
步骤24、学习时间达到设定值后停止学习,并按照指定的格式进行存储。 指定格式包括Ethereal格式等,存储区域包括设备的RAM/NVRAM/CF卡 /FLASH等。 一个实施例中,设备可以提供交互手段进行采样数据查询,另外
设备可以提供交互手段手工触发学习。
步骤25、设备根据学习内容进行数据特征分析,并按照此类报文的入接口 信息启动二级CAR,即针对此类协议报文进行CAR细化,实现基于子接口和 协议信息的CAR,这样确保了 DOS攻击发生时只影响攻击所在的入接口范围 业务,设备其他接口业务可正常恢复运转。
步骤26、设备继续监控DOS攻击情况,如发现此类DOS攻击已不存在, 即丟包数不超过第二阈值,则回收智能下发的二级CAR资源,系统按照原有 一级CAR方案继续运行。在设备再次遭受攻击时,可再次重复使用二级CAR 资源。
基于同一发明构思,本发明实施例还提供一种网络设备,其结构如图3A 所示,包括计数模块31、提取模块32、控制模块33;其中,计数模块31, 用于根据一级CAR资源对数据报文进行丢包计数;提取模块32,用于在确定 数据报文的丢包数目超过第一阈值时,提取数据报文的入接口信息;控制模块 33,用于根据提取的入接口信息,对通过该入接口的数据报文进行流量控制。
如图3B所示, 一个实施例中,图3A所示的提取模块32可以进一步包括 采样单元321、分析单元322、提取单元323;其中,采样单元321,用于对数 据报文进行采样;分析单元322,用于对采样数据进行分析;提取单元323, 用于根据对采样数据的分析,提取数据报文的入接口信息。
如图3C所示, 一个实施例中,图3B所示的提取模块32可以进一步包括 存储单元324,用于将采样数据存储在本地。
存储单元324可以进一步用于按Ethereal格式将采样数据存储在本地。
存储单元324还可以进一步用于将采样数据存储至本地的RAM、 NVRAM、 CF卡、FLASH其中之一或任意组合。
如图3D所示, 一个实施例中,图3A所示的控制模块33可以进一步包括 下发单元331、控制单元332;其中,下发单元331,用于根据入接口信息下发 二级CAR资源;控制单元332,用于根据二级CAR资源对通过该入接口的数
据"t艮文进行流量控制。
如图3E所示, 一个实施例中,图3D所示的网络设备可以进一步包括 回收模块34,用于在确定通过该入接口的数据报文的流量不超过第二阈值时, 回收下发的二级CAR的资源。
以通过程序来指令相关的硬件完成,该程序可以存储于一计算机可读存储介质 中,存储介质可以包括ROM、 RAM、磁盘或光盘等。
本发明实施例中,根据一级CAR资源对数据报文进行丢包计数;确定所 述数据报文的丢包数目超过第一阈值时,即可确定数据报文为DOS攻击数据 报文;进而通过提取数据报文的入接口信息进行攻击溯源,为防止DOS攻击 提供依据;只需进一步根据入接口信息,对通过该入接口的数据报文进行流量 控制,而无需对网络设备处理的所有数据报文进行流量控制,从而锁定流控目 标,缩小流控范围,最大限度地保证网络设备在遭受攻击的情况下多数业务的 正常运转;另外,采用本发明实施例方法,网络设备自身即可实现防止DOS 攻击的功能,而无需部署专门的服务器,并与服务器进行交互以防止DOS攻 击,使运营成本降低、维护管理简单,并进一步节约了网络资源。
本发明实施例中,可以在网络设备遭受攻击的情况下进行数据采样并进行 本地存储,供攻击溯源使用;可以通过对采样溯源数据的分类分析,按照数据 来源范围产生动态、智能的更小范围的CAR功能,进行攻击智能抑制,有效 地防范了DOS攻击;在攻击去除的时候,网络设备可以回收智能下发的CAR 资源,供下次遭受攻击时使用。
本发明实施例提供的只是设置有二级CAR的情况,根据需要,也可以设 置三级或更多级的CAR来实现细化控制,同样可以达到本发明实施例的技术 效果。
显然,本领域的^支术人员可以对本发明进行各种改动和变型而不脱离本发 明的精神和范围。这样,倘若对本发明的这些修改和变型属于本发明权利要求
及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1、一种防止DOS攻击的方法,其特征在于,该方法包括根据一级CAR资源对数据报文进行丢包计数;确定所述数据报文的丢包数目超过第一阈值时,提取所述数据报文的入接口信息;根据所述入接口信息,对通过所述入接口的数据报文进行流量控制。
2、 如权利要求1所述的方法,其特征在于,提取所述数据报文的入接口 信息包括对所述数据报文进行采样,对采样数据进行分析;根据对采样数据 的分析,提取所述数据报文的入接口信息。
3、 如权利要求2所述的方法,其特征在于,对所述数据报文进行采样后, 将釆样数据存储在本地。
4、 如权利要求3所述的方法,其特征在于,按Ethereal格式将采样数据 存储在本地。
5、 如权利要求3所述的方法,其特征在于,将采样数据存储至本地的RAM、 NVRAM、 CF卡、FLASH其中之一或任意组合。
6、 如权利要求1至5任一项所述的方法,其特征在于,根据所述入接口 信息,对通过所述入接口的数据报文进行流量控制包括根据所述入接口信息下发二级CAR资源;根据所述二级CAR资源对通过所述入接口的数据报文进行流量控制。
7、 如权利要求6所述的方法,其特征在于,该方法进一步包括 确定通过所述入接口的数据报文的流量不超过第二阈值时,回收所述二级CAR资源。
8、 一种网络设备,其特征在于,包括计数模块,用于根据一级CAR资源对数据报文进行丟包计数; 提取模块,用于在确定所述数据报文的丢包数目超过第一阈值时,提取所述数据报文的入接口信息;控制模块,用于根据所述入接口信息,对通过所述入接口的数据报文进行 流量控制。
9、 如权利要求8所述的设备,其特征在于,所述提取模块进一步包括 采样单元,用于对所述数据报文进行采样;分析单元,用于对采样数据进行分析;提取单元,用于根据对采样数据的分析,提取所述数据报文的入接口信息。
10、 如权利要求9所述的设备,其特征在于,所述提取模块进一步包括 存储单元,用于将采样数据存储在本地。
11、 如权利要求10所述的设备,其特征在于,所述存储单元进一步用于 按Ethereal格式将采样数据存储在本地。
12、 如权利要求10所述的设备,其特征在于,所述存储单元进一步用于 将采样数据存储至本地的RAM、 NVRAM、 CF卡、FLASH其中之一或任意组合。
13、 如权利要求8至12任一项所述的设备,其特征在于,所述控制模块 进一步包括下发单元,用于根据所述入接口信息下发二级CAR资源; 控制单元,用于才艮据所述二级CAR资源对通过所述入接口的数据报文进 行流量控制。
14、 如权利要求13所述的设备,其特征在于,所述设备进一步包括 回收模块,用于在确定通过所述入接口的数据报文的流量不超过第二阈值时,回收所述二级CAR资源。
全文摘要
本发明公开了一种防止DOS攻击的方法,该方法包括根据一级CAR资源对数据报文进行丢包计数;确定所述数据报文的丢包数目超过第一阈值时,提取所述数据报文的入接口信息;根据所述入接口信息,对通过所述入接口的数据报文进行流量控制。本发明同时公开一种网络设备。采用本发明可以进行攻击溯源,最大限度地保证网络设备在遭受攻击的情况下多数业务的正常运转,并且,可以降低运营成本,节约网络资源。
文档编号H04L9/00GK101102323SQ200710140528
公开日2008年1月9日 申请日期2007年8月9日 优先权日2007年8月9日
发明者赵志旺 申请人:华为技术有限公司