【技术实现步骤摘要】
本专利技术属于网络安全,具体涉及一种基于双向源地址验证的近源ddos防御方法。
技术介绍
1、反射放大攻击是一种分布式拒绝服务(ddos)攻击,攻击者利用互联网中的反射服务(如dns、ntp、snmp等服务)进行放大,以产生大量流量攻击目标服务器。这类攻击的关键在于利用了大量中继服务器对小请求做出大响应的特性,通过伪造目标地址(即攻击目标的ip地址)发起小型查询请求,使得响应数据(其体积远大于请求)被发送到攻击目标,从而耗尽目标服务器的带宽或资源,影响正常服务。
2、对于服务器而言,现有的服务器保护措施,在面对复杂的网络安全威胁,尤其是源地址伪造和反射放大攻击时,展现出一系列的不足。首先,这些措施通常只针对入站流量进行检查,忽略了对出站流量的同等重视,导致无法有效阻断被伪造的响应数据包。其次,它们大多依赖于静态的防御策略,对动态变化的攻击手段缺乏及时和灵活的应对能力。此外,过分依赖带宽扩展和流量清洗等方法不仅资源消耗巨大,增加了运营成本,而且在面对大规模攻击时仍显脆弱。同时,防御措施的部署往往集中在网络的边缘或关键节点,这种...
【技术保护点】
1.一种基于双向源地址验证的近源DDoS防御方法,其特征在于,在近服务器侧部署双向源地址验证SAV-B代理设备,以实施对网络部署域的安全管理,所述代理设备负责实时监控对公共服务器的请求,并与SAV-B设备协同工作,完成双向源地址验证任务,代理设备执行的任务具体包括以下步骤:
2.根据权利要求1所述的方法,其特征在于,所述SAV-B设备负责收集网络数据包五元组信息,生成报文信息表以及进行源地址真实性验证,所述五元组信息包括源地址、目的地址、协议、源端口、目的端口。
3.根据权利要求1所述的方法,其特征在于,步骤S1中的风险评估包括检查查询请求的源...
【技术特征摘要】
1.一种基于双向源地址验证的近源ddos防御方法,其特征在于,在近服务器侧部署双向源地址验证sav-b代理设备,以实施对网络部署域的安全管理,所述代理设备负责实时监控对公共服务器的请求,并与sav-b设备协同工作,完成双向源地址验证任务,代理设备执行的任务具体包括以下步骤:
2.根据权利要求1所述的方法,其特征在于,所述sav-b设备负责收集网络数据包五元组信息,生成报文信息表以及进行源地址真实性验证,所述五元组信息包括源地址、目的地址、协议、源端口、目的端口。
3.根据权利要求1所述的方法,其特征在于,步骤s1中的风险评估包括检查查询请求的源地址是否在预设的关注名单上。
4.根据权利要求1所述的方法,其特征在于,在步骤s4中,如果sav-b设备返回的验证结果表明源地址是非法的,代理设备将立即丢弃该源地址对应的查询请求,并记录相关事件信息。
5.根据权利要求4所述的方法,其特征在于,在丢弃查询请求的同时,代理设备还会触发额外的安全机制,所述安全机制包括发送警告到网络管理员或自动调整网络防火墙设置。
6.根据权利要求...
【专利技术属性】
技术研发人员:罗昊然,胡水松,汪文勇,吴俊锐,李宇博,苗宇,邓军,
申请(专利权)人:电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。