门设备8获取授权地址信息,该信息表示由网络2上所提供的授权设备(地址发布服务器10)发送过来的非攻击性分组的源地址。门设备8基于所获取的授权地址信息来产生用于表示非攻击性分组所对应的条件的正常条件信息,并在从网络中接收到的诸多分组中限制在通信设备7上进行攻击的分组的传递,同时允许传递与正常条件信息中所示的条件相匹配的分组。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种拒绝服务攻击保护方法,该方法用门设备或中继器设备来保护通信设备使其免受拒绝服务攻击,其中门设备插放在构成网络一部分的中继器设备与作为拒绝服务攻击目标的通信设备之间;本专利技术也涉及拒绝服务攻击保护系统、拒绝服务攻击保护设备、中继器设备、拒绝服务攻击保护程序以及用于该中继器设备的程序。更具体地讲,本专利技术涉及一种拒绝服务攻击保护方法,该方法能够很容易在作为保护目标的通信设备上管理正常的条件信息,该信息表示并不攻击的非攻击性分组所对应的条件;本专利技术还涉及拒绝服务攻击保护系统、拒绝服务攻击保护设备、中继器设备、拒绝服务攻击保护程序以及用于该中继器设备的程序。
技术介绍
已知在网络上存在各种攻击,比如拒绝服务攻击和分布式拒绝服务攻击(在下文中称为“DDos攻击”)。在用来保护通信设备免受这种DDos攻击的分布式拒绝服务攻击保护系统中,用网关设备或构成网络的路由器来限制这些分组,其中网关设备位于作为攻击目标的通信设备与网络之间。更具体地讲,通过网络被发送至通信设备的分组分成正常分组和可疑分组或恶意分组,以限制这些分组被发送至通信设备(例如,可参看专利文档1)。在这种常规的分布式拒绝服务攻击保护系统中,当网关设备基于之前注册过的攻击检测条件来检测攻击时,产生了可疑的表示分组特征的签名,该可疑签名是作为已经攻击的一个签名而被检测出来的,并且所产生的可疑签名被报道至中继器设备,比如构成网络的路由器。另一方面,在应用于可疑签名的诸多分组中,网关设备基于之前注册过的正常条件信息来产生正常的用于表示分组特征的签名,在通信设备上该正常签名并不被视为进行攻击的一个签名。所产生的正常签名被报告给中继器设备,比如构成网络的路由器。基于可疑签名和正常签名,要被中继器设备和网关设备中继的分组经历整形和滤波,其中可疑签名和正常签名都报告给该中继设备。这样,通过将攻击性分组的传递限制在尽可能靠近攻击源的位置,常规的分布式拒绝服务攻击保护系统便可尽可能地减小因要攻击的分组(在下文中称为“攻击性分组”)而产生的坏影响。专利文档1日本专利申请特许公开号2003-283554。
技术实现思路
本专利技术将要解决的问题在常规的分布式拒绝服务攻击保护系统中,在作为保护目标使其免受攻击的通信设备上表示非攻击性分组条件的正常条件信息的添加和改变都是受网关设备的操作人员管理的。因此,正常条件信息的管理变得复杂。本专利技术已实现基于常规技术来解决上述问题,并且本专利技术的目的在于提供一种拒绝服务攻击方法,该方法能够很容易在作为保护对象的通信设备上管理正常条件信息,该信息表示并不攻击的非攻击性分组所对应的条件;本专利技术的目的还在于提供拒绝服务攻击保护系统、拒绝服务攻击保护设备、中继器设备、拒绝服务攻击保护程序、以及用于该中继器设备的程序。解决问题的方式为解决上述问题并实现上述目的,用门设备或中继器设备(该门设备插放在构成网络一部分的中继器设备与作为拒绝服务攻击对象的通信设备之间)保护通信设备免受拒绝服务攻击的拒绝服务攻击保护方法包括发布步骤,其中在网络上授权设备发布用于表示非攻击性分组源地址的授权地址信息;以及限制步骤,其中门设备基于由授权设备发布的授权地址信息来限制可能在通信设备上进行攻击的分组的传递。根据本专利技术,在网络上授权设备发布用于表示非攻击性分组源地址的授权地址信息,并且门设备基于由授权设备发布的授权地址信息来限制可能在通信设备上进行攻击的分组的传递。因此,可以有效地保护通信设备使其免受拒绝服务攻击。此外,用门设备或中继器设备(该门设备插放在构成网络一部分的中继器设备与作为拒绝服务攻击对象的通信设备之间)来保护通信设备使其免受拒绝服务攻击的拒绝服务攻击保护方法包括授权地址信息获取步骤,其中门设备获取授权地址信息,该信息表示由网络上授权设备发送过来的非攻击性分组的源地址;正常条件信息产生步骤,其中门设备基于在授权地址信息获取步骤中所获取的授权地址信息来产生用于表示非攻击性分组条件的正常条件信息;以及分组限制步骤,其中在从网络中接收到的分组中门设备会限制可能在通信设备上进行攻击的分组的传递,同时允许传递与在正常条件信息产生步骤中产生的正常条件信息所表示的条件相匹配的分组。根据本专利技术,门设备要求用于表示由网络上授权设备发送过来的非攻击性分组的源地址的授权地址信息,基于所获取的授权地址信息来产生用于表示非攻击性分组条件的正常条件信息,并且在从网络中接收到的分组中限制可能在通信设备上进行攻击的分组的传递,同时允许传递与在所产生的正常条件信息中所表示的条件相匹配的分组。因此,可以有效地产生正常条件信息,由此减小了门设备的操作人员管理正常条件信息的负担。此外,在上述的拒绝服务攻击保护方法中,授权地址信息获取步骤包括地址信息报告步骤,其中门设备将其自身设备的地址信息报告给中继器设备;授权地址信息中继步骤,其中当从授权设备中接收授权地址信息时,中继器设备基于在地址信息报告步骤中所报告的地址信息将授权地址信息转发给门设备;以及接收步骤,其中门设备接收授权地址信息。根据本专利技术,门设备将其自身设备的地址信息报告给中继器设备。当从授权设备中接收授权地址信息时,中继器设备基于所报告的地址信息将授权地址信息转发给门设备,并且门设备接收该授权地址信息。因此,门设备仅将其自身设备的地址信息报告给中继器设备,由此获取授权设备通过中继器设备发送过来的授权地址信息。此外,在上述拒绝服务攻击保护方法中,在地址信息报告步骤中,向其报告门设备地址信息的中继器设备将门设备地址信息转发给与该中继器设备相邻的另一个中继器设备;并且在授权地址信息转发步骤中,当正在从授权设备中接收授权地址信息时,另一个中继器设备基于门设备的地址信息将授权地址信息转发给相邻的中继器设备或门设备。根据本专利技术,向其报告门设备地址信息的中继器设备将门设备地址信息转发给与该中继器设备相邻的另一个中继器。当正在从授权设备中接收授权地址信息时,另一个中继器设备基于门设备的地址信息将授权地址信息转发给相邻的中继器设备或门设备。因此,在通过必要的中继器设备的同时,可以有效地将授权地址信息转发给门设备。此外,在上述的拒绝服务攻击保护方法中,授权地址信息获取步骤包括授权地址信息存储步骤,其中综合性地管理着授权地址信息的授权地址信息提供设备从各个授权设备中接收授权地址信息,并将其存储;授权地址信息报告步骤,其中当从门设备中接收授权地址信息的传输请求时,授权地址信息提供设备将被请求传输的授权地址信息报告给门设备;以及接收步骤,其中门设备接收授权地址信息。根据本专利技术,用来综合性地管理授权地址信息的授权地址信息提供设备先前从各个授权设备中接收授权地址信息,并将其存储。当正在从门设备中接收授权地址信息的传输请求时,授权地址信息提供设备将请求传输的授权地址信息报告给门设备,并且该门设备接收授权地址信息。因此,无论何时只要需要,该门设备都可以从授权地址信息提供设备中获取授权地址信息,而无需之前先报告自身设备的地址信息。此外,在上述拒绝服务攻击保护方法中,在授权地址信息获取步骤中,门设备获取由发布地址的地址发布设备或被授权的通信设备发送过来的授权地址信息。根据本专利技术,用来发布地址的地址发布设备或经授权过的通信设备都被视为在网络上提供的授权设备,并且该本文档来自技高网...
【技术保护点】
一种用门设备或中继器设备来保护通信设备使其免受拒绝服务攻击的拒绝服务攻击保护方法,所述门设备插放在构成网络一部分的中继器设备与身为所述拒绝服务攻击对象的通信设备之间,所述方法包括:发布步骤,其中在所述网络上的授权设备发布用于表示非攻击性分组的源地址的授权地址信息;以及限制步骤,其中所述门设备基于由所述授权设备发布的授权地址信息来限制可能在所述通信设备上进行攻击的分组的传递。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:佐竹康宏,三好润,长岛雅夫,
申请(专利权)人:日本电信电话株式会社,
类型:发明
国别省市:JP[日本]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。