通信方法、装置、网络设备、终端设备和通信系统的制作方法
【技术领域】
[0001]本发明涉及网络技术领域,更具体地说,涉及一种通信方法、装置、网络设备、终端设备和通信系统。
【背景技术】
[0002]拒绝服务攻击(DOS)是指非法用户利用大量的数据包淹没目标主机(如网络服务器),耗尽目标主机可用资源乃至系统崩溃,从而使目标主机无法对合法用户做出响应,是黑客常用的攻击手段之一。分布式拒绝服务攻击(DDOS)是在传统的拒绝服务攻击的基础上产生的一类拒绝服务攻击方式,分布式拒绝服务攻击是指将多个计算机联合起来作为攻击平台,对一个或多个目标主机发动拒绝服务攻击,通过海量连接或流量淹没目标主机,使目标主机无法对合法用户做出响应。
[0003]目前,不管是传统的DOS,还是DD0S,从内容上看,攻击请求与合法请求完全相同,这使得对两者的鉴别非常困难。通过计算请求速率,检查网络数据包的头字段(包括IP头、TCP头、HTTP头等),甚至检查整个应用层的请求内容,都无法有效地区分攻击请求与合法请求。为了达到明显的攻击效果,攻击者往往请求大的Flash、图片、视频文件、或者促使服务器进行负载的数据库查询和数据处理。例如,一个精心构造的HTTP请求,能够促使网络服务器在多个大型数据库表间进行连接、查询和排序操作,这时,使用少量的傀儡主机发送低速率的攻击请求就能迅速消耗目标主机资源,使其无法响应合法用户的请求,攻击的隐蔽性较强,增加了对DOS攻击的检测难度。
[0004]而目前,还没有一种有效的对分布式拒绝服务攻击进行防护的方法。
【发明内容】
[0005]本发明的目的是提供一种通信方法、装置、网络设备、终端设备和通信系统,以对拒绝服务攻击进行有效防护。
[0006]为实现上述目的,本发明提供了如下技术方案:
[0007]一种通信方法,包括:
[0008]网络设备截获第一终端设备向网络服务器发送的访问请求;
[0009]所述网络设备获取验证参数,并向所述第一终端设备发送所述验证参数;
[0010]若所述网络设备接收到所述第一终端设备发送的,与所述验证参数相对应的加密因子,则依据所述验证参数对所述第一终端设备发送的加密因子进行验证;
[0011]当验证通过时,所述网络设备向所述网络服务器发送所述访问请求。
[0012]一种通信方法,包括:
[0013]第一终端设备向网络服务器发送访问请求;
[0014]所述第一终端设备接收验证参数,所述验证参数由网络设备截获所述第一终端向网络服务器发送的访问请求后获取,并向所述第一终端设备发送;
[0015]所述第一终端设备依据所述验证参数计算加密因子;
[0016]所述第一终端设备向所述网络服务器发送所述加密因子。
[0017]一种通信装置,包括:
[0018]截获模块,用于截获第一终端设备向网络服务器发送的访问请求;
[0019]参数获取模块,用于在所述截获模块截获第一终端设备向网络服务器发送的访问请求后获取验证参数,并向所述第一终端设备发送所述验证参数;
[0020]验证模块,用于在接收到所述第一终端设备发送的,与所述验证参数相对应的加密因子时,对所述第一终端设备发送的加密因子进行验证;
[0021]第一发送模块,用于在验证通过时,向所述网络服务器发送所述访问请求。
[0022]一种网络设备,包括如上所述的通信装置。
[0023]一种通信装置,应用于第一终端设备,所述装置包括:
[0024]第二发送模块,用于向网络服务器发送访问请求;
[0025]接收模块,用于接收验证参数,所述验证参数由网络设备截获所述第一终端设备向网络服务器发送的访问请求后获取,并向所述第一终端设备发送;
[0026]计算模块,用于依据所述验证参数计算加密因子;
[0027]第三发送模块,用于向所述网络服务器发送所述加密因子。
[0028]一种终端设备,包括如上所述的通信装置。
[0029]一种通信系统,包括:如上所述的终端设备和如上所述的网络设备。
[0030]通过以上方案可知,本申请提供的一种通信方法、装置、网络设备、终端设备和通信系统,在终端设备向网络服务器发送访问请求时,网络设备截获终端设备向网络服务器发送的访问请求,然后对终端设备进行验证,验证通过后,才将访问请求发送给网络服务器,而拒绝服务攻击通常是黑客在用户设备侧通过工具模拟合法用户向网络服务器发送大量访问请求,而不会对网络服务器进行响应,因此,非法用户设备不会进行验证响应,因而,通过本申请实施例提供的通信方法、装置、网络设备、终端设备和通信系统,可以防止非法用户发送的访问请求到达网络服务器,降低对网络服务器进行拒绝服务攻击这一事件发生的概率。
【附图说明】
[0031]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0032]图1为本申请实施例提供的通信系统的一种结构示意图;
[0033]图2为本申请实施例提供的通信方法的一种实现流程图;
[0034]图3为本申请实施例提供的依据验证参数对第一终端设备发送的加密因子进行验证的一种实现流程图;
[0035]图4为本申请实施例提供的通信方法的另一种实现流程图;
[0036]图5为本申请实施例提供的通信方法的又一种实现流程图;
[0037]图6为本申请实施例提供的通信装置的一种结构示意图;
[0038]图7为本申请实施例提供的参数获取模块的一种结构示意图;
[0039]图8为本申请实施例提供的验证模块的一种结构示意图;
[0040]图9为本申请实施例提供的第一获取单元的一种结构示意图;
[0041]图10为本申请实施例提供的第一获取单元的另一种结构示意图;
[0042]图11为本申请实施例提供的通信装置的另一种结构示意图;
[0043]图12为本申请实施例提供的通信装置的又一种结构示意图;
[0044]图13为本申请实施例提供的通信装置的又一种结构示意图;
[0045]图14为本申请实施例提供的通信装置的又一种结构示意图;
[0046]图15为本申请实施例提供的通信装置的又一种结构示意图;
[0047]图16为本申请实施例提供的网络设备的一种硬件结构框图;
[0048]图17为本申请实施例提供的通信装置的又一种结构示意图;
[0049]图18为本申请实施例提供的计算模块的一种结构示意图;
[0050]图19为本申请实施例提供的计算模块的另一种结构示意图;
[0051]图20为本申请实施例提供的终端设备相关的手机的部分结构的框图。
[0052]说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三” “第四”等(如果存在)是用于区别类似的部分,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示的以外的顺序实施。
【具体实施方式】
[0053]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0054]请参阅图1,图1为本申请实施例提供的通信系统的一种结构示意图,其中,。
[0055]终端设备11通过路由器12接入互联网,并可以与网络服务器14建立连接以进行通信,网络设备13可以截获终端设备11向网络服务器14发送的信息,并对终端设备11的合法性进行验证,当确定终端设备11合法时,才将终端设备11向网络服务器14发送的信息转发给网络服务器14,否则就丢弃终端设备11向网络服务器14发送的信息。
[0056]其中,终端设备11可以是个人计算机(PC机)、笔记本电脑或移动终端,只要该设备可以接入互联网即可。
[0057]基于图1所示通信系统,本申请提供的通信方法的一种实现流程图如图2所示,可以包括:
[0058]步骤S21:网络设备截获第一终端设备向网络服务器发送的访问请求;
[0059]第一终端设备向网络服务器发送的访问请求被网络设备截获。
[0060]所述访问请求可以符合HTTP协议的访问请求,例如,可以是GET请求,网络设备可以以GET方式请求网络服务器上某个通用网关接口(Common Gateway Interface, CGI)以获取所需资源。
[0061]当然,所述访问请求还可以是HTTP协议中的其它类型的请求,如POST请求、HEAD
请求等。
[0062]步骤S22:所述网络设备获取验证参数,并向所述第一终端设备发送所述验证参数;
[0063]网络设备在截获第一终端设备向网络服务器发送的访问请求后,获取验证参数,并将该验证参数发送给第一终端设备。
[0064]可选的,可以依据所述第一终端设备的识别标识,以及所述网络服务器的识别标识获取验证参数。具体的,
[0065]网络设备可以根据访问请求中携带的源IP (即第一终端设备的IP)和目的IP (即网络服务器的IP)计算验证参数。
[0066]可选的,可以依据源IP和目的IP进彳丁 HMAC (Hash-based MessageAuthenticat1n Code)运算,即计算基于散列消息的身份验证代码,以得到验证码。
[0067]可选的,网络设备