本发明专利技术提供防御分布式拒绝服务攻击的方法、装置、客户端及设备,其中一种方法包括:截取客户端向服务器发送的业务报文;根据与所述客户端约定的规则,获取所述业务报文的第一预设字段携带的信息、所述业务报文的固有字段携带的固有信息以及至少一个第二预设字段携带的添加信息;按照与客户端约定的哈希算法,对所述固有信息以及至少一个添加信息进行哈希处理,得到哈希结果;确定所述哈希结果与所述第一预设字段携带的信息不同时,丢弃所述业务报文。本发明专利技术由于预先与客户端约定了规则和哈希算法,不需要统计各种业务报文中的特征,实现复杂度相对较低,误丢弃非攻击报文的概率较小。
【技术实现步骤摘要】
本专利技术涉及网络安全
,尤其涉及防御分布式拒绝服务攻击的方法、装置、客户端及设备。
技术介绍
DDOS(Distribut1n Denial of Service,分布式拒绝服务)攻击是一种常见的攻击服务器的手段,攻击者控制大量的傀偏机(攻击客户端),向被攻击的服务器发起大量的业务报文,占用服务器的资源,导致服务器不能良好的服务于正常的客户端。目前采用的防御DD0S攻击的方法为:截取正常客户端发送的业务报文;运用统计和机器学习手段来自动分析出该客户端发送的业务报文的特征;将分析出的业务报文的特征转换为关键字;确定接收到的业务报文中携带该关键字时,将该业务报文转发给服务器;确定接收到的业务报文中未携带该关键字时,将该业务报文丢弃,从而实现DD0S攻击的防御。但是,随着网络中业务种类的增多,每种业务对应一种业务报文,此时运用统计和机器学习手段来自动分析出多种业务报文的特征,从而对DD0S攻击进行防御的方式,复杂度高,并且,当业务报文中的特征不明显时,运用统计和机器学习手段来自动分析出多种业务报文的特征的准确度不够高,可能会导致误丢弃常报文的问题。
技术实现思路
本专利技术提供一种防御分布式拒绝服务攻击的方法、装置、客户端及设备,用以解决现有技术中运用统计和机器学习手段来自动分析出多种业务报文的特征,从而对DD0S攻击进行防御的方式出现的复杂度高,可能会导致误丢弃常报文的问题。第一方面,提供一种防御分布式拒绝服务攻击的方法,包括:截取客户端向服务器发送的业务报文;根据与所述客户端约定的规则,获取所述业务报文的第一预设字段携带的信息、所述业务报文的固有字段携带的固有信息以及至少一个第二预设字段携带的添加信息;按照与客户端约定的哈希算法,对所述固有信息以及至少一个添加信息进行哈希处理,得到哈希结果;确定所述哈希结果与所述第一预设字段携带的信息不同时,丢弃所述业务报文。结合第一方面,在第一种可能的实现方式中,所述第一预设字段携带的信息为所述客户端按照所述哈希算法对所述固有字段携带的固有信息以及至少一个第二预设字段携带的添加信息进行哈希处理后得到的客户端哈希结果,所述固有字段携带的信息为所述客户端的公网网络协议IP,所述第二预设字段包括两个,分别携带的添加信息为:所述客户端的本地IP地址以及所述服务器最近一次返回给所述客户端的响应报文的响应时间。结合第一方面的第一种可能的实现方式,在第二种可能的实现方式中,按照与客户端约定的哈希算法,对所述固有字段携带的信息以及至少一个添加信息进行哈希处理,得到哈希结果,具体包括:将所述客户端的公网IP地址与所述客户端的本地IP地址进行逻辑或运算,得到第一结果;取第一结果的低两个字节与所述响应时间进行逻辑异或运算,得到第二结果;将所述第二结果与预设密钥进行异或运算,得到所述哈希结果;其中,所述预设密钥以及响应时间的长度分别为2字节,所述公网IP地址以及本地IP地址的长度分别为4字节。结合第一方面的第一种可能的实现方式或者第二种可能的实现方式,在第三中可能的实现方式中,还包括:确定所述哈希结果与所述第一预设字段携带的信息相同时,计算所述业务报文中的响应时间与所述客户端发送的前一业务报文中的响应时间的时间差;判断所述时间差是否在预设范围之内;如果是,将所述业务报文转发至所述服务器;如果否,丢弃所述业务报文。第二方面,提供一种防御分布式拒绝服务的方法,包括:按照与防御设备约定的哈希算法,对业务报文的固有字段携带的信息,以及至少一个添加信息进行哈希处理,得到哈希结果;根据与所述防御设备约定的规则,将所述哈希结果编辑到所述业务报文的第一预设字段,并将所述至少一个添加信息编辑到所述业务报文的至少一个第二预设字段;将根据所述约定的规则处理后的业务报文发送给服务器。结合第二方面,在第一种可能的实现方式中,所述固有字段携带的信息为客户端的公网IP地址,所述添加信息包括:所述客户端的本地IP地址以及所述服务器最近一次返回给所述客户端的响应报文的响应时间。结合第二方面的第一种可能的实现方式,在第二种可能的实现方式中,按照与防御设备约定的哈希算法,对业务报文的固有字段携带的信息,以及至少一个添加信息进行哈希处理,得到哈希结果,具体包括:将所述客户端的公网网络协议IP地址与所述客户端的本地IP地址进行逻辑或运算,得到第一结果;取第一结果的低两个字节与所述响应时间进行逻辑异或运算,得到第二结果;将所述第二结果与预设密钥进行异或运算,得到所述哈希结果;其中,所述预设密钥以及响应时间的长度分别为2字节,所述公网IP地址以及本地IP地址的长度分别为4字节。第三方面,提供一种防御分布式拒绝服务攻击的方法,包括:服务器接收到客户端发送的业务报文时,提取本地时间;将所述本地时间携带在响应报文的预设字段,发送给所述客户端。第四方面,提供一种防御分布式拒绝服务攻击的方法,包括:截取客户端向服务器发送的业务报文;根据与客户端约定的规则,获取所述业务报文的第一预设字段携带的信息以及第二预设字段携带的信息;按照与客户端约定的哈希算法,对第二预设字段携带的信息以及预设密钥进行哈希处理,得到哈希结果;确定所述哈希结果与所述第一预设字段携带的信息不同时,丢弃所述业务报文。结合第四方面,在第一种可能的实现方式中,所述第一预设字段携带的信息为所述客户端按照所述哈希算法对所述第二预设字段携带的信息以及预设密钥进行哈希处理后得到的客户端哈希结果,所述第二预设字段为所述业务报文的负载区域中的设定数目个字节组成的字段。结合第四方面的第一种可能的实现方式,在第二种可能的实现方式中,还包括:按照与所述客户端约定的规则,获取所述业务报文的第三预设字段携带的添加信息,所述添加信息为所述客户端发送所述业务报文的时间与标准时间的差值,则,采用如下方式选取所述业务报文的负载区域中的设定数目个字节:计算所述差值除以所述负载区域的长度所得的余数;判断所述余数与所述设定数目之和是否大于所述负载区域的长度;如果是,从所述负载区域的起始位置选取设定数目个字节;如果否,从所述负载区域的起始位置偏移所述余数个字节处开始,选取设定数目个字节。结合第四方面的第二种可能的实现方式,在第三种可能的实现方式中,还包括:确定所述哈希结果与所述第一预设字段携带的信息相同时,计算所述差值减去所述客户端发送的前一业务报文中的差值所得的结果,作为时间差;判断所述时间差是否在预设范围之内;如果是,将所述业务报文转发至所述服务器;如果否,丢弃所述业务报文。结合第四方面,在第四种可能的实现方式中,按照与客户端约定的哈希算法,对第二预设字段携带的信息以及预设密钥进行哈希处理,得到哈希结果,具体包括:将所述第二预设字段携带的信息与预设密钥进行逻辑异或运算所得的结果确定为所述哈希结果,其中,第二预设字段携带的信息的长度为2个字节,所述预设密钥的长度为2个字节。第五方面,提供一种防御分布式拒绝服务攻击的方法,包括:按照与防御设备约定的哈希算法,对业务报文的第二预设字段携带的信息以及预设密钥进行哈希处理,得到哈希结果;根据与所述防御设备约定的规则,将所述哈希结果编辑到所述业务报文的第一预设字段;将根据所述约定的规则处理后的业务报文发送给服务器。结合第五方面,在第一种可能的实现方式中,所述本文档来自技高网...
【技术保护点】
一种防御分布式拒绝服务攻击的方法,其特征在于,包括:截取客户端向服务器发送的业务报文;根据与所述客户端约定的规则,获取所述业务报文的第一预设字段携带的信息、所述业务报文的固有字段携带的固有信息以及至少一个第二预设字段携带的添加信息;按照与客户端约定的哈希算法,对所述固有信息以及至少一个添加信息进行哈希处理,得到哈希结果;确定所述哈希结果与所述第一预设字段携带的信息不同时,丢弃所述业务报文。
【技术特征摘要】
【专利技术属性】
技术研发人员:陈涛,何坤,
申请(专利权)人:北京神州绿盟信息安全科技股份有限公司,北京神州绿盟科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。