专利名称:网络放大攻击的缓解的制作方法
技术领域:
本发明一般涉及网络基础结构,尤其涉及网络放大攻击缓解。
背景技术:
因特网站点上的服务拒绝(DoS)攻击是经常发生的,导致对受攻击的计算机系统的某些形式的恶意破坏。一般而言,DoS攻击的目的是阻止合法用户访问这类系统上的计算机服务。例如,通过吞没商业网站的网络带宽,恶意计算机(或计算机组)可阻止其它用户访问该商业网站和订货或获取服务。这类攻击的理由各不相同,但是近来有勒索的企图,这类似于向商号收取保护费用的黑社会组织。在某些情况下,DoS攻击也可类似于对拥有计算机系统的企业“设置警哨”。
犯罪者可以用若干种方式来生成DoS攻击。存在三种基本的攻击范围,尽管也可使用其它攻击(1)诸如带宽、盘空间或CPU时间等有限资源的消耗;(2)对诸如路由信息或注册表条目等配置信息的改变;以及(3)联网组件的物理破坏。
对资源的攻击变得越来越普及,这主要是通过用因特网上的过度或伪造分组数据“注满”网络,由此阻止对网站的合法话务来作出。在分布式服务拒绝(DDoS)攻击中,许多计算机一起工作来攻击目标系统。
某些DDoS攻击针对网络端点(即,终端系统)使用分布式中介设备。潜在不可信或敌对的主控制器具有指令若干中介从代理(如,路由器或代理)向网络中的终端系统发送过度网络话务(即,攻击话务)(或过度地使用该终端系统的某些资源)的能力。当从每一从设备生成的攻击话务负荷大于由欺诈的主控制器或“犯罪者”注入到从设备的话务负荷时,这类攻击被称为“网络放大攻击”。
发明内容
此处描述并要求保护的实现通过提供了用于缓解网络放大攻击的改进的网络协议解决了上述问题。任一瞬时分布式攻击可导致的绝对网络负荷或资源负荷基于资源信贷方案来界定。在某些实现中,这一攻击的时间帧也使用应用于资源信贷方案的时间限制来界定。
在某些实现中,提供了制造物品(articles of manufacture)作为计算机程序产品。计算机程序产品的一种实现提供了可由计算机系统读取并对计算机程序编码的计算机程序存储介质。计算机程序产品的另一种实现可以由计算机系统以包含在载波中的计算机数据信号提供,并对计算机程序进行编码。
计算机程序产品对用于计算机系统上执行的计算机进程的计算机程序进行编码。计算机进程缓解了由控制器节点对网络中的终端系统的放大攻击。检测网络中中间节点接收的一个或多个候选攻击请求分组。从中间节点传递到终端系统的响应分组的响应话务由从控制器节点传递到中间节点的候选攻击请求分组中导出的信用来限制。
在另一实现中,提供了一种缓解由控制器节点对网络中的终端系统的放大攻击的方法。检测由网络中的中间节点接收的一个或多个候选攻击请求分组。从中间节点传递到终端系统的响应分组的响应话务由从控制器节点传递到中间节点的检测到的候选攻击请求分组导出的信用来限制。从中间节点发送到终端系统的每一响应分组取出该信用。
在另一实现中,提供了一种用于缓解由控制器节点对网络中的终端系统的放大攻击的应用程序。网络请求处理器检测由网络中的中间节点接收的一个或多个候选攻击请求分组。发送调度器通过从控制器节点传递到中间节点的候选攻击请求分组导出的信用限制了从中间节点传递到终端系统的响应分组的响应话务。
在又一实现中,提供了一种用于缓解由控制器节点对网络中的终端系统的放大攻击的联网子系统。网络请求处理器检测由网络中的中间节点接收的一个或多个候选攻击请求分组。发送调度器通过从控制器节点传递到中间节点的候选攻击请求分组导出的信用限制了从中间节点传递到终端系统的响应分组的响应话务。
此处也描述和叙述了其它实现。
图1示出了一种网络配置,它包括控制器节点、多个中间节点和终端系统。
图2示出了一种网络配置,它包括控制器节点、路由器形式的多个中间节点和终端系统。
图3示出了放大攻击缓解子系统的一个示例性实现。
图4示出了一个应用中放大攻击缓解组件的一个示例性实现。
图5示出了用于接收分组的示例性操作。
图6示出了用于发送响应分组的示例性操作。
图7示出了一种网络配置,它包括控制器节点、具有存储资源的多个终端系统以及具有存储资源的备份服务器。
图8示出了可用于实现所描述的技术的示例性系统。
具体实施例方式
提供了一种用于缓解网络放大攻击的改进的网络协议。任一瞬时分布式攻击可导致的绝对网络负荷或资源负荷可基于资源信贷方案来界定。协议在接收和检测候选攻击请求分组时累计“信用”,并在发送响应的分组时消耗该信用。在某些实现中,这一攻击的时间帧也使用应用于资源信贷方案的时间限制来界定。
图1示出了网络配置100,它包括控制器节点102、多个中间节点104和106(如,代理服务器)以及终端系统108,如企业的电子商务站点或其它资源服务器。在示例性放大攻击情形中,控制器节点102(或“犯罪者”)通过网络112向中间节点104和106发送大量的攻击请求话务110。这一话务包括攻击请求分组,其每一个被配置成导致各个中间节点104和106向终端节点108发送攻击响应分组。由此,如果攻击响应数据量大于攻击请求数据量,则“放大”级别的攻击响应话务114被传递到终端系统208(即,与攻击请求话务的级别相关)。
例如,欺诈的控制器节点102可向中间节点104和106发送大量的HTTP GET请求话务。在一种类型的攻击中,HTTP GET请求话务包含包括受害者(即,终端节点108)的被欺骗的源地址的攻击请求分组。中间节点将通过向攻击话务的源地址发送HTTP RESPONSE分组序列来响应HTTP GET请求分组,并且这一响应话务通常大于插入的HTTP GET请求话务的响应话务。因此,中间节点按比例放大了从欺诈的控制器节点102接收的话务,使得中间节点发送“放大的”响应话务作为对终端节点108的攻击。多个中间节点104和106的使用进一步放大了这一效果。这一放大的攻击话务可吞没终端节点108的可用带宽和其它资源,导致终端节点108上的“服务拒绝”攻击。中间节点104和106以及终端系统108两者的操作可被这类攻击损害。
应当理解,并非中间节点接收的所有分组都必定构成攻击请求分组。在许多情形下,任意的控制器节点可向代理服务器发送合法请求来访问终端系统而不构成攻击。例如,中间节点可接收并响应合法的HTTP GET请求,而这些请求不成为攻击的一部分。尽管如此,控制器节点也可向代理服务器发送攻击请求分组作为放大攻击的一部分。在各个合法请求分组和攻击请求分组之间辨别是有问题的,因为攻击请求分组的欺诈特性通常不基于个别的分组是显然的。
另外,在一个实现中,在控制器节点和中间节点之间可存在一信任关系,使得信任关系内接收到的分组可以被认为是安全或“非攻击”分组。因此,在某些实现中,这类分组可不被考虑为“候选”攻击请求分组。然而,应当理解,即使在信任关系中传递的话务仍可包括攻击请求分组;因此,在其它实现中,这类分组仍被认为是潜在的攻击者。网络管理员可就可信分组是否被认为是候选攻击请求分组来配置中间节点。尽管如此,候选攻击请求分组可以实际上是或不是攻击请求分组。
因此,“候选攻击请求分组”指的是蕴含或指定控制器节点监视的资源量的控制器请求分组,并且如果由中间节点执行,会导致终端系统上该监视的资源的响应量的消耗(或对消耗的请求)。响应量可大于、小于或等于请求量。这类候选攻击请求分组可导致具有可能的放大的分布式服务拒绝攻击。“蕴含的”资源量的一个示例是网络带宽,它可由请求分组话务量来蕴含。相反,存储请求可指定由控制器节点请求的存储量。
候选攻击请求分组的一个示例包括来自控制器的HTTP请求,它由web代理接收并检测,其中,web代理通过向另一服务器(如,由URL或下一中继段代理建议的服务器)作出代理请求以仅满足该请求。同样,在某些实现中,候选攻击请求分组可在缓解框架内由网络内的中间节点正常地处理,而不依赖于中间节点和控制器节点之间存在的先验信任/身份关系。
给定接收攻击请求分组的可能性,每一中间节点104和106结合了缓解可能响应于这类分组而导致的可能破坏的特征。为此,中间节点104和106可检测候选攻击请求分组,并基于进入的候选攻击请求分组话务限制传出的可能攻击响应分组的话务。在一个实现中,放大比(从给定来源接收的请求分组和通过每一中间节点发送的响应分组之间)被限于不大于1∶1的比(如,1∶“≤1”)。在其它实现中,可接受的放大比可限于接近1∶1的比(如,1∶“≤1.1”1∶“≤2”,或被认为网络管理员可接受的更大的所定义的比)。大于1∶1为控制器提供了更短的加载周期(charging cycle)。尽管如此,网络管理员可发现这一折衷对改进通过中间节点的合法话务的性能是可接受的。通过如此基于接收的候选攻击请求话务级别限制从每一中间节点到终端系统的响应话务级别,攻击者特意拦截分布式从设备的动机得以很大程度的降低。
另外,如果在中间节点之间存在通过可信信道116的通信,则中间节点可协调其放大比的管理,以提供网络使用的分布式管辖和监视。
图2示出了网络配置200,它包括控制器节点202、路由器形式的多个中间节点204、206和208、以及终端系统210,如企业的电子商务站点或其它资源服务器。例如,路由器204、206和208将分组路由到企业218的内部网络中。在一个示例性放大攻击情形中,欺诈的控制器节点202通过网络214将大量的攻击请求分组212插入到路由器204、206和208中。攻击请求分组被配置成导致每一路由器向终端节点210发送攻击响应分组216的序列(例如,通过欺骗HTTP GET请求中的源地址或某些其它方法)。由此,攻击响应话务216的放大级别被传递到终端系统210。
然而,中间节点204、206和208可检测候选攻击请求分组,并基于进入的候选攻击请求分组话务的检测限制可能的攻击响应分组的传出话务。在一个实现中,在接收到的请求分组和发送的请求分组之间通过每一中间节点维持1∶“≤1”的放大比。通过如此地基于接收到的候选攻击请求话务的级别限制从每一路由器到终端系统的响应话务的级别,攻击者特意拦截分布式从设备的动机得以很大程度地降低。
以类似于关于图1所讨论的方式,如果在中间节点之间存在通过可信信道的通信,则中间节点可协调其放大比管理,以提供网络使用的分布式管辖和监视。
图3示出了放大攻击缓解子系统300的一个示例性实现。在图3所示的实现中,放大攻击缓解系统被实现为网络子系统模块(如,以协议驱动程序的形式),它为中间节点提供了攻击缓解功能。
分组话务通过网络传输栈302用网络来传递。可能包括来自合法节点或欺诈节点的请求分组的接收到的分组被传递到网络请求处理器304,它检测/评估每一分组的目的地地址、类型和源地址。基于这一信息,网络请求处理器304确定每一接收到的分组是否为候选攻击请求分组。这一检测可被配置成定义导致分组被认为是“候选”攻击请求分组的分组信息。例如,管理员可确定给定类型的分组或到给定目的地地址的分组从不被认为是“候选”攻击。因此,在一个实现中,检测操作是可选择且可配置的。
如果检测到候选攻击请求分组,则网络请求处理器304计算该分组的信用。示例性信用属性可基于分组大小、存储需求大小、中央处理器单元(CPU)使用需求、功率需求等。为每一分组所计算的信用被传递到发送调度器308的信用计数器306,并且分组通过接口312被转发到目的地应用程序310,如代理应用程序、路由应用程序或某些其它中间应用程序。
信用计数器306维护可用于传输的信用余额。在使用接收到的字节作为信用属性的简单示例中,如果中间节点接收到其每一个为100字节的五个候选攻击请求分组,则可将500个信用单位“存入”信用计数器306中。因此,响应于接收到的请求分组可发送多达500字节,其中,当通过发送调度器308发送响应分组时,取出信用。在一个实现中,对所有的控制器累计信用(而非在每一控制器的基础上),以避免这样一种情形攻击者假扮多个有效控制器的身份以创建放大的信用构建。然而,在其它实现中,可在每一控制器的基础上、每一分组类型基础上、每一终端系统基础上(如,在给定系统类中可靠地标识的主机组)、以及其它较细粒度的基础上累计和评估信用。
在一个示例性实现中,信用计数器306也被界定,设置了限制可由信用计数器306累计的最大信用量的信用限制L。由此,中间节点能够累计信用(如,基于从当前控制器接收的已接收数据量)直到信用限制L。
另外,在一个示例性实现中,信用计数器306也可与信用定时器314交互,后者限制信用可用于通过发送调度器308来发送的时间段。在初始状态(如,信用计数器306中没有累计信用),当信用被添加到信用计数器306时,从超时值T开始启动信用定时器314。在信用定时器314被递减计数期间,可针对由信用计数器306维护的信用来取出传输。如果信用定时器314超时,则信用计数器306中的所有剩余信用被取消(如,清零)。信用限制L和超时值T可被设置成与网络内预期的实际工作负荷相一致。
如果当信用定时器314在递减计数时中间节点接收到额外的候选攻击请求分组,并且信用计数器306未达到其最大值L,则从超时值T开始重新启动信用定时器314。在信用定时器314递减计数期间,当接收到额外的候选攻击请求分组时,如果信用计数器306已处于其最大值L,则递减计数继续而无需重新启动。
基于参考图3所描述的配置,网络向分布式攻击暴露的风险(即,最大数量的攻击字节Bmax)由Min(U*T,N*L)来界定,其中,U表示“攻击者的上行链路带宽”,N表示“网络中中间节点的数量”。企业的分布式网络协议的设计者可定义Bmax的可接受值。在一个实现中,Bmax可由企业网络中跨所有已知攻击目标的最小下行链路带宽来界定。
接口312提供了应用程序310和放大攻击缓解子系统300之间的通信接口。另外,接口312也可提供用户界面以允许管理员监视网络统计量,包括信用状态和定时器状态的观察,并配置子系统属性(如,信用限制L或超时值T)。
应当理解,在某些实现中,中间节点可维护用于不同资源(如,带宽、存储等)、不同控制器地址、不同终端系统、不同分组类型和其它标准的各个信用计数器和定时器。中间节点跟踪哪些响应分组从哪些请求分组中得出,并从对应的信用计数器中取出信用。
图4示出了一个应用程序400中放大攻击缓解组件的一个示例性实现。图4中应用程序攻击的一个区别在于应用程序攻击组件被集成到应用程序400中,使得应用程序模块402直接与网络请求处理器404和发送调度器406通信,而非通过接口408来通信。一般而言,图3和4所示的实现表示放大攻击缓解子系统可在网络子系统(图3)中展开,或作为应用程序(图4)的一个特征展开,如作为代理应用程序或路由器应用程序。
图5示出了用于接收分组的示例性操作500。接收操作502从一个或多个来源接收分组。接收到的分组可包括非攻击分组和攻击分组。检测操作504评估每一分组以确定分组是否可能为基于可用候选定义的攻击分组。例如,检测操作504可向每一分组应用候选定义,并且如果分组满足该定义,将分组指定为候选攻击请求分组。示例性候选定义参数可包括源地址、分组类型、目的地地址、日期、时间、分组大小和其它分组特征。
例如,TCP栈签名可用作候选定义参数。评估特定TCP实现的延迟和行为来标识特定的终端系统类型/版本。这是可能的,因为TCP/IP规范允许足够的灵活性来允许细微的不同实现。这些细微不同行为的检测是一种用于确定终端系统是否正在运行特定OS版本以及TCP/IP的特定补丁级别是否易受恶意利用的攻击的经典黑客技术。
如果分组未被指定为候选攻击请求分组,则分组通过发送操作506被发送到目的地(如,中间节点内的应用程序)。然而,如果分组被指定为候选攻击请求分组,则在计算操作508中计算该分组的信用值(如,分组大小、需求的资源量等)。
在存放操作510中,计算的信用被“存入”信用计数器中,直到中间节点的信用限制L。如果信用计数器不处于其信用限制,存放可导致重新启动信用定时器。接收到的分组然后由发送操作507发送到目的地(即,本地应用程序)。处理然后返回到接收操作502以接收一后继分组。
图6示出了用于发送响应分组的示例性操作600。选择操作602从由中间节点中的应用程序或服务填充的发送缓冲区中选择一分组。计算操作604计算将所选择的分组发送到目的地所需的信用。例如,分组大小可用作信用要求。相反,所选择的分组的目的地节点需求的存储量(即,备份或数据镜像应用程序中)也可用作信用属性。也可采用其它信用属性,包括CPU需求、存储容量、功率等。
判定操作606判断信用计数器中是否存在足够的信用来发送该分组。如果否,则在改变操作608中以某一方式改变分组的发送。例如,分组的发送可以被延迟到存在足够的信用之后和/或被放弃(例如,分组被丢弃)。处理然后返回到接收操作602以选择一后继分组。
如果信用计数器中存在足够的信用来发送分组,则扣除操作610从信用计数器中扣除所需的信用,并且发送操作612将分组发送到其目的地。处理然后返回到接收操作602以选择一后继分组。
图7示出了一个网络配置,它包括控制器节点700、具有存储资源706、708的多个终端系统702和704、以及具有存储资源712的备份服务器710。图7的体系结构被设计成允许控制器节点700在存储资源706和708上储存数据,使得储存的数据然后被备份到备份服务器710的存储资源712中。在操作时,例如,控制器700可发送需要终端系统702处的指定量存储空间的存储分组。作为对此请求的响应,终端系统702将数据储存在存储资源706中,并将备份请求和数据转发到备份服务器710。
以足够的卷,欺诈控制器节点能够用通过一个或多个子系统的这类请求吞没备份服务器710,使得到备份服务器710的带宽饱和,和/或可用存储和CPU容量被耗尽。因此,通过使用信用计数和信用定时来限制通过终端系统702和704(在此示例中担当控制器700和备份服务器710之间的中间节点)请求的备份存储量,对备份服务器和终端系统的性能和资源的损害可以被缓解。
应当理解,在所描述的系统、方法和程序产品的各个实现中,可以保护其它终端系统资源,包括但不限于,CPU容量、来自电力网或电池备份的电力和存储器容量。
用于实现本发明的图8的示例性硬件和操作系统包括计算机20形式的通用计算装置,包括处理单元21、系统存储器22以及将包括系统存储器的各类系统组件耦合至处理单元21的系统总线23。可以只有一个或有一个以上处理单元21,使得计算机20的处理器包括单个中央处理单元(CPU)或多个处理处理单元,通常被称为并行处理环境。计算机20可以是常规计算机、分布式计算机或任一其它类型的计算机;本发明不限于此。
系统总线23可以是若干种总线结构类型的任一种,包括存储器总线或存储器控制器、外围总线、交换光纤、点对点连接、以及使用各类总线体系结构的局部总线。系统存储器也可被简称为存储器,包括只读存储器(ROM)24和随机存取存储器(RAM)25。基本输入/输出系统(BIOS)26,包含如在启动时协助在计算机20内的元件之间传输信息的基本例程,可储存在ROM24中。计算机20也包括用于对硬盘(未示出)进行读写的硬盘驱动器27、用于对可移动磁盘29进行读写的磁盘驱动器28以及用于对可移动光盘31如CD ROM或其它光介质进行读写的光盘驱动器30。
硬盘驱动器27、磁盘驱动器28以及光盘驱动器30分别通过硬盘驱动器接口32、磁盘驱动器接口33和光盘驱动器接口34连接至系统总线23。驱动器及其相关的计算机可读介质为计算机20提供了计算机可执行指令、数据结构、程序模块和其它数据的非易失性存储。应当理解,示例性操作环境中也可以使用可储存可由计算机访问的数据的其它类型的计算机可读介质,如盒式磁带、闪存卡、数字视频盘、随机存取存储器(RAM)、只读存储器(ROM)等等。
若干程序模块可储存在硬盘、磁盘29、光盘31、ROM24或RAM25中,包括操作系统35、一个或多个应用程序36、其它程序模块37以及程序数据38。用户可以通过诸如键盘40和指点设备42等输入设备向计算机20输入命令和信息。其它输入设备(未示出)可包括麦克风、操纵杆、游戏垫、圆盘式卫星天线、扫描仪等等。这些和其它输入设备通常通过耦合至系统总线的串行端口接口46连接到处理单元21,但也可以通过其它接口连接,如并行端口、游戏端口或通用串行总线(USB)。监视器47或其它类型的显示设备也通过接口,如视频适配器48连接到系统总线23。除监视器之外,个人计算机通常包括其它外围输出设备(未示出),如扬声器和打印机。
计算机20可以在使用到一个或多个远程计算机,如远程计算机49的逻辑连接的网络化环境中操作。这些逻辑连接通过耦合至计算机20或作为其一部分的通信设备来实现;本发明不限于特定类型的通信设备。远程计算机49可以是另一计算机、服务器、路由器、网络PC、对等设备或其它公用网络节点,并通常包括许多或所有上述与计算机20相关的元件,尽管在图8中仅示出了存储器存储设备50。图8描述的逻辑连接包括局域网(LAN)51和广域网(WAN)52。这类网络环境常见于办公室、企业范围计算机网络、内联网以及因特网,它们是所有的网络类型。
当在LAN网络环境中使用时,计算机20通过网络接口或适配器53(它是一种类型的通信设备)连接至局域网51。当在WAN网络环境中使用时,计算机20通常包括调制解调器54、网络适配器、一种类型的通信设备或任一其它类型的通信设备,用于通过广域网52建立通信。调制解调器54可以是内置或外置的,通过串行端口接口46连接至系统总线23。在网络化环境中,描述的与计算机20相关的程序模块或其部分可储存在远程存储器存储设备中。可以理解,示出的网络连接是示例性的,也可以使用在计算机之间建立通信链路的其它装置。
在一个示例性实现中,网络请求处理器、发送调度器、接口、应用程序模块、网络传输栈和其它模块可作为操作系统35、应用程序36或其它程序模块37的一部分结合在内。信用数据、信用限制、超时值、源和目的地地址、候选定义和其它数据可作为程序数据38储存。
此处描述的本发明实施例被实现为一个或多个计算机系统中的逻辑步骤。本发明的逻辑操作被实现为(1)一个或多个计算机系统中执行的处理器实现步骤的序列,以及(2)一个或多个计算机系统内互连的机器模块。实现大约是一种选择,取决于实现本发明的计算机系统的性能要求。因此,构成此处描述的本发明的实施例的逻辑操作以不同的名称被称为操作、步骤、对象或模块。
上述说明书、示例和数据提供了本发明的示例性实施例的结构和使用的完整描述。由于可在不脱离本发明的精神和范围的情况下作出本发明的各种实施例,因此本发明驻留在所附权利要求书中。
权利要求
1.一种缓解由控制器节点对网络中的终端系统的放大攻击的方法,其特征在于,所述方法包括检测由网络中的中间节点接收的一个或多个候选攻击请求分组;以及通过从控制器节点传递到中间节点的所检测的候选攻击请求分组中导出的信用,限制从中间节点传递到终端系统的响应分组的响应话务,其中,从中间节点发送到终端系统的每一响应分组取出信用。
2.如权利要求1所述的方法,其特征在于,所述信用表示一个或多个候选攻击请求中接收到的数据量,对于响应分组的每一发送,它经受减少信用属性的取出。
3.如权利要求1所述的方法,其特征在于,所述限制操作包括对中间节点接收的每一候选攻击请求分组累计信用;计算与要从中间节点发送到终端系统的个别响应分组相关联的信用值;如果所述信用值不超过所累计的信用,则将个别响应分组从中间节点发送到终端系统。
4.如权利要求1所述的方法,其特征在于,所述限制操作包括响应于响应分组的发送,将所累计的信用减少所计算的与个别响应分组相关联的信用值。
5.如权利要求1所述的方法,其特征在于,所述限制操作包括对由中间节点接收的每一候选攻击请求分组累计信用;计算与要从中间节点发送到终端系统的个别响应分组相关联的信用值;如果所述信用值超过所累计的信用,则在中间节点处丢弃个别的响应分组。
6.如权利要求1所述的方法,其特征在于,所述限制操作包括对中间节点接收的每一候选攻击请求分组累计信用;确定与要从中间节点发送到终端系统的个别响应分组相关联的信用值;如果所述信用值超过所累计的信用,则延迟从中间节点到终端系统的个别响应分组的发送。
7.如权利要求1所述的方法,其特征在于,所述限制操作包括对中间节点接收的每一候选攻击请求分组累计信用;以及将中间节点累计的信用限制到一预定阈值。
8.如权利要求1所述的方法,其特征在于,所述限制操作包括对中间节点接收的每一候选攻击请求分组累计信用;以及依照一定时器减少中间节点所累计的信用。
9.如权利要求1所述的方法,其特征在于,所述限制操作包括对中间节点接收的每一候选攻击请求分组累计信用;以及依照一定时器减少中间节点所累计的信用,其中,当由中间节点接收一新的候选攻击请求分组,并且所累计的信用递增时,重新启动所述定时器。
10.一种用计算机程序编码的计算机程序产品,所述计算机程序用于缓解由控制器节点对网络中的终端系统的放大攻击,所述计算机过程包括检测由网络中的中间节点接收的一个或多个候选攻击请求分组;以及通过从控制器节点传递到中间节点的候选攻击请求分组导出的信用,限制从中间节点传递到终端系统的响应分组的响应话务。
11.如权利要求10所述的计算机程序产品,其特征在于,从中间节点发送到终端系统的每一响应分组取出信用。
12.如权利要求10所述的计算机程序产品,其特征在于,所述信用表示一个或多个候选攻击请求中接收的数据量,对于响应分组的每一发送,它经受减少信用属性的取出。
13.如权利要求10所述的计算机程序产品,其特征在于,所述限制操作包括对中间节点接收的每一候选攻击请求分组累计信用;计算与要从中间节点发送到终端系统的个别响应分组相关联的信用值;如果所述信用值不超过所累计的信用,将个别的响应分组从中间节点发送到终端系统。
14.如权利要求10所述的计算机程序产品,其特征在于,所述限制操作包括响应于所述响应分组的发送,将所累计的信用减少所计算的与个别响应分组相关联的信用值。
15.如权利要求10所述的计算机程序产品,其特征在于,所述限制操作包括对中间节点接收的每一候选攻击请求分组累计信用;计算与要从中间节点发送到终端系统的个别响应分组相关联的信用值;如果所述信用值超过所累计的信用,则在中间节点处丢弃个别的响应分组。
16.如权利要求10所述的计算机程序产品,其特征在于,所述限制操作包括对中间节点接收的每一候选攻击请求分组累计信用;确定与要从中间节点发送到终端系统的个别响应分组相关联的信用值;如果所述信用值超过所累计的信用,则延迟从中间节点到终端系统的个别响应分组的发送。
17.如权利要求10所述的计算机程序产品,其特征在于,所述限制操作包括对中间节点接收的每一候选攻击请求分组累计信用;将中间节点累计的信用限制到一预定阈值。
18.如权利要求10所述的计算机程序产品,其特征在于,所述限制操作包括对中间节点接收的每一候选攻击请求分组累计信用;依照一定时器减少由中间节点累计的信用。
19.如权利要求10所述的计算机程序产品,其特征在于,所述限制操作包括对中间节点接收的每一候选攻击请求分组累计信用;依照一定时器减少由中间节点累计的信用,其中,当中间节点接收一新的候选攻击请求分组,并且所累计的信用递增时,重新启动所述定时器。
20.一种用于缓解由控制器节点对网络中的终端系统的放大攻击的应用程序,其特征在于,所述应用程序包括一网络请求处理器,它检测由网络中的中间节点接收的一个或多个候选攻击请求分组;以及一发送调度器,它通过从控制器节点传递到中间节点的候选攻击请求分组导出的信用,限制从中间节点传递到终端系统的响应分组的响应话务。
21.如权利要求20所述的应用程序,其特征在于,从中间节点发送到终端系统的每一响应分组取出信用。
22.如权利要求20所述的应用程序,其特征在于,所述信用表示一个或多个候选攻击请求中接收到的数据量,对于响应分组的每一发送,它经受减少信用属性的取出。
23.一种用于缓解由控制器节点对网络中的终端系统的放大攻击的网络子系统,其特征在于,所述网络子系统包括一网络请求处理器,它检测由网络中的中间节点接收的一个或多个候选攻击请求分组;以及一发送调度器,它通过从控制器节点传递到中间节点的候选攻击请求分组导出的信用,限制从中间节点传递到终端系统的响应分组的响应话务。
24.如权利要求23所述的网络子系统,其特征在于,从中间节点发送到终端系统的每一响应分组取出信用。
25.如权利要求23所述的网络子系统,其特征在于,所述信用表示一个或多个候选攻击请求中接收到的数据量,对于响应分组的每一发送,它经受减少信用属性的取出。
全文摘要
提供了一种用于缓解网络放大攻击的改进的网络协议。任一瞬时分布式攻击可导致的绝对网络负荷基于资源信贷方案来界定。该协议在接收并检测到候选攻击请求分组时累计“信用”,并且当发送响应分组时取出该信用。在某些实现中,这类攻击的时间帧也使用应用于资源信贷方案的时间限制来界定。其它资源也可由资源信贷方案来界定,包括但不限于CPU利用率、存储容量、功率等。
文档编号H04L12/56GK1783809SQ20051006491
公开日2006年6月7日 申请日期2005年4月4日 优先权日2004年4月29日
发明者D·古纳瓦德纳 申请人:微软公司