一种防范攻击的方法和设备的制造方法
【技术领域】
[0001]本申请涉及网络技术领域,特别是涉及一种防范攻击的方法和设备。
【背景技术】
[0002]DDoS (Distributed Denial of Service,分布式拒绝服务)随着IT及网络的发展演进至今,早已脱离了早期纯粹黑客行为的范畴,进而形成了完整的黑色产业链,其危害更是远超以往。
[0003]当前DDos单次攻击带宽已突破100G,较之前攻击宽带量倍增长,DDoS攻击数量增加了 20倍,僵尸主机规模已经超过3000万台,给网络带宽带来巨大压力,而且攻击工具越来越智能,攻击行为越来越隐蔽和仿真,尤其是面向IDC(Internet Data Center,互联网数据中心)应用的攻击层出不穷,使得客户当前部署的防御手段基本失效。
[0004]如果DDoS攻击是基于应用层的,采用真实的源IP(Internet Protocol,网络协议)地址,例如:目前的CC(Challenge Collapsar,挑战黑洞)攻击,CC攻击又可分为代理CC攻击,和肉鸡CC攻击。代理CC攻击是黑客借助代理服务器生成指向受害主机的合法网页请求,实现DDoS和伪装。而肉鸡CC攻击是黑客使用CC攻击软件,控制大量肉鸡,发起攻击,同时,肉鸡可以模拟正常用户访问网站的请求,伪造成合法数据包,因此,肉鸡CC攻击更难防御。对于基于应用层的DDoS攻击现有的几种防DDoS攻击的方法都无能为力。
【发明内容】
[0005]本申请提出一种防范攻击的方法,所述方法包括以下步骤:
[0006]服务器接收网络协议IP报文,所述IP报文携带第一摘要信息和时间戳;
[0007]所述服务器确定接收所述IP报文的时间与所述时间戳的时间差是否小于预设时间阈值;
[0008]若所述服务器确定接收所述IP报文的时间与所述时间戳的时间差小于预设时间阈值,则所述服务器根据预设算法利用预设密钥对所述IP报文的元组信息和所述时间戳进行计算,得到第二摘要信息;
[0009]若所述第二摘要信息与所述第一摘要信息不同,则所述服务器确定所述IP报文为非法报文,并丢弃所述IP报文。
[0010]一种防范攻击的方法,所述方法包括:
[0011]用户设备根据预设算法利用预设密钥对网络协议IP报文的元组信息和当前时间进行计算,得到第一摘要信息;
[0012]所述用户设备向服务器发送所述IP报文,所述IP报文携带所述第一摘要信息和时间戳,所述时间戳为所述当前时间,以使所述服务器在接收到IP报文时,根据接收到的IP报文携带的第一摘要信息和时间戳确定该接收到的报文是否为非法报文。
[0013]一种服务器,所述服务器包括:
[0014]接收模块,用于接收网络协议IP报文,所述IP报文携带第一摘要信息和时间戳;
[0015]第一确定模块,用于确定接收所述IP报文的时间与所述时间戳的时间差是否小于预设时间阈值;
[0016]计算模块,若所述确定模块确定接收所述IP报文的时间与所述时间戳的时间差小于预设时间阈值,用于根据预设算法利用预设密钥对所述IP报文的元组信息和所述时间戳进行计算,得到第二摘要信息;
[0017]第二确定模块,若所述第二摘要信息与所述第一摘要信息不同,用于确定所述IP报文为非法报文,并丢弃所述IP报文。
[0018]一种用户设备,所述设备包括:
[0019]计算模块,用于根据预设算法利用预设密钥对网络协议IP报文的元组信息和当前时间进行计算,得到第一摘要信息;
[0020]发送模块,用于向服务器发送所述IP报文,所述IP报文携带所述第一摘要信息和时间戳,所述时间戳为所述当前时间,以使所述服务器在接收到IP报文时,根据接收到的IP报文携带的第一摘要信息和时间戳确定该接收到的报文是否为非法报文。
[0021]本申请中所述服务器根据接收IP报文的时间和所述IP报文的元组信息以及IP报文携带的摘要信息和时间戳判断所述IP报文是否为合法报文,这样能够尽量避免服务器受到DDoS攻击,特别是针对应用层的攻击,效果更佳。
【附图说明】
[0022]为了更清楚地说明本申请或现有技术中的技术方案,下面将对本申请或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0023]图1为本申请实施例中的一种防范攻击的方法流程图之一;
[0024]图2为本申请实施例中的一种防范攻击的方法流程图之二 ;
[0025]图3为本申请实施例中的一种服务器的结构示意图;
[0026]图4为本申请实施例中的一种用户设备的结构示意图。
【具体实施方式】
[0027]下面将结合本申请中的附图,对本申请中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员获得的其他实施例,都属于本申请保护的范围。
[0028]如图1所示,为本申请实施例中的一种防范攻击的方法流程图之一,包括以下步骤:
[0029]步骤101,服务器接收网络协议IP报文。
[0030]其中,所述IP报文携带第一摘要信息和时间戳,所述第一摘要信息是所述终端设备根据预设算法利用预设密钥对所述IP报文的元组信息和生成所述第一摘要信息的当前时间生成的,所述时间戳是用户设备生成所述第一摘要信息的当前时间。
[0031]在一个例子中,终端设备生成第一摘要信息的过程可以包括:
[0032]所述终端设备根据预设算法利用预设密钥对IP报文的元组信息和当前时间进行加密计算,其中,预设算法可以为:MD5算法(message-digest algorithm5,信息一摘要算法)、SHA (Secure Hash Algorithm,安全算列算法)、HMAC (Hash Message Authenticat1nCode,密钥相关的哈希运算);然后终端设备从加密计算结果中获取第一摘要信息,例如,采用HASH算法取加密计算结果中的4个字节作为第一摘要信息。
[0033]由于不同用户设备发送的IP报文的元组信息不同、生成IP报文的第一摘要信息的时间和预先设定的密钥是不同的,因此不同用户设备得到的第一摘要信息也就不同。
[0034]所述IP报文的元组信息包括:所述IP报文的源IP地址、所述IP报文的源端口号、所述IP报文的目的IP地址、所述IP报文的目的端口号。
[0035]步骤102,所述服务器确定接收所述IP报文的时间与所述时间戳的时间差是否小于预设时间阈值,若所述服务器确定接收所述IP报文的时间与所述时间戳的时间差小于预设时间阈值,则进行步骤103 ;若所述服务器确定接收所述IP报文的时间与所述时间戳的时间差不小于预设时间阈值,则进行104。
[0036]具体的,所述IP报文中携带有时间戳,所述服务器确定接收所述IP报文的时间与所述时间戳的时间差是否小于预设时间阈值是为了判断接收到的IP报文是否是经过恶意抓包后再发送给所述服务器的,以此来防止恶意的抓包重放来进行攻击。
[0037]如果由用户设备直接将IP报文发送给所述服务器,那么所述服务器接收到所述IP报文的时间与所述IP报文中的时间戳差会在一定范围内,如果用户设备在发送所述IP报文后被恶意抓包后再向所述服务器发送,那么所述服务器接收到所述IP报文的时间与所述IP报文中的时间戳之差可能会超出正常的范围,因此,当所述服务器确定接收到IP报文,则可先根据接收所述IP报文的时间与所述时间戳的时间差是否小于预设时间阈值,来确定该IP报文是否为非法报文。若接收IP报文的时间和IP报文携带的时间戳小于预设时间阈值,则不能确定该IP报文是非法报文,则可通过步骤103进行进一步确认。若接收所述IP报文的时间与所述时间戳的时间差不小于预设时间阈值,则确定该IP报文为非法报文,则执行步骤104。
[0038]步骤103,所述服务器根据预设算法利用预设密钥对所述IP报文的元组信息和所述时间戳进行计算,得到第二摘要信息。
[0039]所述服务器判断所述第一摘要信息和所述第二摘要信息是否相同,若所述第二摘要信息与所述第一摘要信息不相同,则进行104 ;若所述第二摘要信息与所述第一摘要信息相同,贝1J进行105。
[0040]在一个例子中,所述服务器使用与所述终端设备相同的预设算法利用相同的预设密钥对所述IP报文的元组信息和所述时间戳进行加密计算;然后服务器从该加密计算结果中获取第二摘要信息,例如,采用与所述终端设备相同的HASH算法取该加密计算结果中的4个字节作为第二摘要信息,即该4个字节的位置与终端设备从该终端设备计算出加密计算结果获取第一摘要信息的4个字节的位置相同。
[0041]由于IP报文被恶意抓取再发送时,IP报文的元组信息可能会发生变化,因此,所述服务器对IP报文的第一摘要信息和第二摘要信息进行比较,如果相同,则表示所述IP报文没有被人为恶意抓取,可以确定服务器接收到的IP报文为合法报文;如果不同,则表示所述IP报文是被人为恶意抓取后再发送的,可以确定服务器接收到的IP报文为非法报文。
[0042]步骤104,所述服务器确定所述IP报文为非法报文,并丢弃所述IP报文。
[0043]步骤105,所述服务器确定所述IP报文为合法报文。
[0044]如图2所示,为本申请实施例中的一种防范攻击的方法流程图之二,包括以下步骤:<