專利名稱:防止dos攻擊的方法及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域��,尤其涉及防止DOS攻擊的方法及設(shè)備����。
背景技術(shù):
隨著Internet的發(fā)展,組網(wǎng)環(huán)境日趨復(fù)雜��,隨之而來(lái)的網(wǎng)絡(luò)攻擊也日益頻 繁��,尤其以DOS ( Denial Of Service,拒絕服務(wù)攻擊)類攻擊(包括DDOS攻 擊(Distributed Deny Of Service,分布式拒絕服務(wù)攻擊))最為常見�,對(duì)網(wǎng)絡(luò)設(shè) 備的危害性也最大。DOS攻擊中��,攻擊者在短時(shí)間內(nèi)使用大量數(shù)據(jù)包或畸形報(bào) 文�,向網(wǎng)絡(luò)設(shè)備不斷發(fā)起連接或請(qǐng)求響應(yīng),導(dǎo)致網(wǎng)絡(luò)設(shè)備由于負(fù)荷過(guò)重而不能 處理合法任務(wù)����,出現(xiàn)業(yè)務(wù)異常甚至設(shè)備癱瘓的情況。
現(xiàn)有技術(shù)提供以下兩種方案用于防止DOS攻擊
現(xiàn)有技術(shù)一
通過(guò)流量限制技術(shù)進(jìn)行DOS攻擊防范�,即限制單位時(shí)間內(nèi)上送設(shè)備的數(shù) 據(jù)流量,以達(dá)到保護(hù)設(shè)備的目的����。
發(fā)明人經(jīng)過(guò)分析,發(fā)現(xiàn)現(xiàn)有技術(shù)一雖然能有效緩解DOS攻擊對(duì)網(wǎng)絡(luò)設(shè)備 帶來(lái)的影響��,但由于其單純依靠傳統(tǒng)的手工設(shè)定流量限制功能對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行 保護(hù),因此仍然存在如下不足
1���、 一旦限定流量值被固定設(shè)置����,網(wǎng)絡(luò)設(shè)備在丟棄異常流量后����,很可能會(huì) 繼續(xù)丟棄正常業(yè)務(wù)才艮文,從而導(dǎo)致正常業(yè)務(wù)受到影響���。在通常情況下����,某一類 協(xié)議的攻擊會(huì)導(dǎo)致設(shè)備級(jí)業(yè)務(wù)的異常�,使非法用戶達(dá)成DOS攻擊的目的,而 單純依靠手工限定流量值進(jìn)行攻擊范圍抑制����,并不能有效地縮小攻擊對(duì)網(wǎng)絡(luò)設(shè) 備的業(yè)務(wù)造成的影響。
2��、 攻擊發(fā)生時(shí)��,僅僅通過(guò)丟包的方式保護(hù)網(wǎng)絡(luò)設(shè)備���,不能進(jìn)行攻擊溯源��。
現(xiàn)有技術(shù)二
通過(guò)部署NETSTREAM (網(wǎng)絡(luò)流量采樣)相關(guān)設(shè)備進(jìn)行設(shè)備流量采樣�,并 對(duì)采樣數(shù)據(jù)進(jìn)行分析以實(shí)現(xiàn)DOS溯源�,達(dá)到防范DOS攻擊的目的。 發(fā)明人經(jīng)過(guò)分析���,發(fā)現(xiàn)現(xiàn)有技術(shù)二存在如下不足之處 1���、需要部署NETSTREM服務(wù)器等設(shè)備,造價(jià)較高����。
2 、網(wǎng)絡(luò)設(shè)備在開啟NETSTREAM采樣后�,對(duì)設(shè)備性能會(huì)造成較大的影響。 另外���,需占用設(shè)備的物理端口連接服務(wù)器�,浪費(fèi)網(wǎng)絡(luò)資源��。
3、由于服務(wù)器�、網(wǎng)絡(luò)設(shè)備是不同的設(shè)備,因此在運(yùn)營(yíng)維護(hù)管理上比單一 設(shè)備管理要困難的多�����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種防止DOS攻擊的方法及設(shè)備�,用以進(jìn)行攻擊溯源, 最大限度地保證網(wǎng)絡(luò)設(shè)備在遭受攻擊的情況下多數(shù)業(yè)務(wù)的正常運(yùn)轉(zhuǎn)��。 本發(fā)明實(shí)施例提供一種防止DOS攻擊的方法��,該方法包4舌 根據(jù)一級(jí)CAR資源對(duì)數(shù)據(jù)報(bào)文進(jìn)行丟包計(jì)數(shù)����;
確定所述數(shù)據(jù)報(bào)文的丟包數(shù)目超過(guò)第一閾值時(shí),提取所述數(shù)據(jù)報(bào)文的入接 口信息�;
根據(jù)所述入接口信息,對(duì)通過(guò)所述入接口的數(shù)據(jù)報(bào)文進(jìn)行流量控制��。
本發(fā)明實(shí)施例還提供一種網(wǎng)絡(luò)設(shè)備���,包括
計(jì)數(shù)模塊�����,用于根據(jù)一級(jí)CAR資源對(duì)數(shù)據(jù)報(bào)文進(jìn)行丟包計(jì)數(shù)�;
提取模塊,用于在確定所述數(shù)據(jù)報(bào)文的丟包數(shù)目超過(guò)第一閾值時(shí)��,提取所 述數(shù)據(jù)報(bào)文的入接口信息����;
控制模塊����,用于根據(jù)所述入接口信息,對(duì)通過(guò)所述入接口的數(shù)據(jù)報(bào)文進(jìn)行 流量控制�����。
本發(fā)明實(shí)施例中���,根據(jù)一級(jí)CAR資源對(duì)數(shù)據(jù)報(bào)文進(jìn)行丟包計(jì)數(shù)�����;確定所 述數(shù)據(jù)報(bào)文的丟包數(shù)目超過(guò)第一閾值時(shí)����,即可確定所述數(shù)據(jù)才良文為DOS攻擊
數(shù)據(jù)報(bào)文;進(jìn)而通過(guò)提取所述數(shù)據(jù)報(bào)文的入接口信息進(jìn)行攻擊溯源����,為防止
DOS攻擊提供依據(jù);只需進(jìn)一步根據(jù)所述入接口信息����,對(duì)通過(guò)所述入接口的數(shù) 據(jù)報(bào)文進(jìn)行流量控制,而無(wú)需對(duì)網(wǎng)絡(luò)設(shè)備處理的所有數(shù)據(jù)才艮文進(jìn)行流量控制��, 從而鎖定流控目標(biāo)��,縮小流控范圍����,最大限度地保證網(wǎng)絡(luò)設(shè)備在遭受攻擊的情 況下多數(shù)業(yè)務(wù)的正常運(yùn)轉(zhuǎn);另外����,采用本發(fā)明實(shí)施例方法,網(wǎng)絡(luò)設(shè)備自身即可 實(shí)現(xiàn)防止DOS攻擊的功能��,而無(wú)需部署專門的服務(wù)器����,并與服務(wù)器進(jìn)行交互 以防止DOS攻擊��,使運(yùn)營(yíng)成本降低��、維護(hù)管理簡(jiǎn)單�,并進(jìn)一步節(jié)約了網(wǎng)絡(luò)資 源�。
圖1為本發(fā)明實(shí)施例中防止DOS攻擊的處理流程圖2為本發(fā)明實(shí)施例中防止DOS攻擊的具體實(shí)例的處理流程圖3A、圖3B���、圖3C、圖3D�、圖3E為本發(fā)明實(shí)施例中網(wǎng)絡(luò)設(shè)備的結(jié)構(gòu)
示意圖。
具體實(shí)施例方式
下面結(jié)合說(shuō)明書附圖對(duì)本發(fā)明實(shí)施例方法進(jìn)行詳細(xì)說(shuō)明�。 如圖1所示,本發(fā)明實(shí)施例中����, 一種防止DOS攻擊的處理流程如下 步驟ll、根據(jù)一級(jí)CAR (Committed Access Rate �����,承諾的訪問速率)資源
對(duì)數(shù)據(jù)報(bào)文進(jìn)行丟包計(jì)數(shù)��。
步驟12�����、確定數(shù)據(jù)報(bào)文的丟包數(shù)目超過(guò)第一閾值時(shí),提取數(shù)據(jù)報(bào)文的入接
口信息�����。
步驟13�����、根據(jù)提取的入接口信息����,對(duì)通過(guò)該入接口的數(shù)據(jù)報(bào)文進(jìn)行流量控制。
在步驟ll中�,第一閾值可以根據(jù)下發(fā)的一級(jí)CAR資源進(jìn)行設(shè)置。在步驟 12中�����,提取數(shù)據(jù)報(bào)文的入接口信息可以包括對(duì)數(shù)據(jù)報(bào)文進(jìn)行采樣���,對(duì)采樣數(shù)
據(jù)進(jìn)行分析���;根據(jù)對(duì)采樣數(shù)據(jù)的分析���,提取數(shù)據(jù)報(bào)文的入接口信息。
一個(gè)實(shí)施例中����,對(duì)數(shù)據(jù)報(bào)文進(jìn)行采樣后,可以將采樣數(shù)據(jù)存儲(chǔ)在本地����。可
以按指定格式進(jìn)行存儲(chǔ)��,如按Ethereal (以太)格式將采樣數(shù)據(jù)存儲(chǔ)在本地�����。 還可以將采樣數(shù)據(jù)存儲(chǔ)至本地的RAM ( Random Access Memory,隨機(jī)存取存 儲(chǔ)器)�、NVRAM (Non Volatile Random Access Memory,非易失性隨才幾存取存 儲(chǔ)器)���、CF存儲(chǔ)卡��、FLASH (閃存)其中之一或任意組合�。
在步驟13中���,根據(jù)提取的入接口信息�����,對(duì)通過(guò)該入接口的數(shù)據(jù)報(bào)文進(jìn)行 流量控制可以包括根據(jù)提取的入接口信息啟動(dòng)二級(jí)CAR��,即針對(duì)此類數(shù)據(jù)報(bào) 文進(jìn)行CAR細(xì)化����,實(shí)現(xiàn)基于入接口信息和數(shù)據(jù)報(bào)文信息的CAR,并進(jìn)一步下 發(fā)二級(jí)CAR資源;根據(jù)下發(fā)的二級(jí)CAR資源對(duì)通過(guò)該入接口的數(shù)據(jù)報(bào)文進(jìn)行 流量控制����。 一個(gè)實(shí)施例中,可以根據(jù)原有的一級(jí)CAR和后續(xù)啟動(dòng)的二級(jí)CAR 設(shè)置第二閾值��,在確定通過(guò)該入接口的數(shù)據(jù)報(bào)文的流量不超過(guò)第二閾值時(shí)�,可 以回收下發(fā)的二級(jí)CAR資源,以便于在再次遭受攻擊時(shí)�,重復(fù)使用二級(jí)CAR 資源。
如圖2所示�, 一個(gè)具體實(shí)例中,防止DOS攻擊的處理流程如下
步驟21�����、設(shè)備布置傳統(tǒng)的CAR方案,即按照業(yè)務(wù)分類或策略或是否具有 至少一個(gè)共同特征的業(yè)務(wù)進(jìn)行CAR資源分配( 一級(jí)CAR資源)�����。
步驟22���、設(shè)備啟動(dòng)監(jiān)控系統(tǒng)�����,進(jìn)行一級(jí)CAR丟棄計(jì)數(shù)實(shí)時(shí)監(jiān)控���,在監(jiān)控 系統(tǒng)發(fā)現(xiàn)某類協(xié)議報(bào)文發(fā)生了大量丟包,并超過(guò)了設(shè)定的第一閾值�,表明此類 業(yè)務(wù)發(fā)生了DOS攻擊�����。
步驟23�、在監(jiān)控系統(tǒng)檢測(cè)到攻擊發(fā)生時(shí),觸發(fā)設(shè)備啟動(dòng)學(xué)習(xí)機(jī)制��,按照設(shè) 定的釆樣比在預(yù)設(shè)時(shí)間內(nèi)進(jìn)行此類報(bào)文特征信息的學(xué)習(xí)。學(xué)習(xí)信息可以包括 入接口信息(如VLAN�、 PORT等)、報(bào)文內(nèi)容信息等����。
步驟24、學(xué)習(xí)時(shí)間達(dá)到設(shè)定值后停止學(xué)習(xí)����,并按照指定的格式進(jìn)行存儲(chǔ)。 指定格式包括Ethereal格式等�,存儲(chǔ)區(qū)域包括設(shè)備的RAM/NVRAM/CF卡 /FLASH等。 一個(gè)實(shí)施例中�����,設(shè)備可以提供交互手段進(jìn)行采樣數(shù)據(jù)查詢�,另外
設(shè)備可以提供交互手段手工觸發(fā)學(xué)習(xí)。
步驟25��、設(shè)備根據(jù)學(xué)習(xí)內(nèi)容進(jìn)行數(shù)據(jù)特征分析�����,并按照此類報(bào)文的入接口 信息啟動(dòng)二級(jí)CAR�,即針對(duì)此類協(xié)議報(bào)文進(jìn)行CAR細(xì)化���,實(shí)現(xiàn)基于子接口和 協(xié)議信息的CAR,這樣確保了 DOS攻擊發(fā)生時(shí)只影響攻擊所在的入接口范圍 業(yè)務(wù),設(shè)備其他接口業(yè)務(wù)可正?���;謴?fù)運(yùn)轉(zhuǎn)。
步驟26�����、設(shè)備繼續(xù)監(jiān)控DOS攻擊情況�,如發(fā)現(xiàn)此類DOS攻擊已不存在, 即丟包數(shù)不超過(guò)第二閾值�����,則回收智能下發(fā)的二級(jí)CAR資源�����,系統(tǒng)按照原有 一級(jí)CAR方案繼續(xù)運(yùn)行��。在設(shè)備再次遭受攻擊時(shí)�,可再次重復(fù)使用二級(jí)CAR 資源�。
基于同一發(fā)明構(gòu)思,本發(fā)明實(shí)施例還提供一種網(wǎng)絡(luò)設(shè)備,其結(jié)構(gòu)如圖3A 所示�����,包括計(jì)數(shù)模塊31�����、提取模塊32�����、控制模塊33;其中�,計(jì)數(shù)模塊31, 用于根據(jù)一級(jí)CAR資源對(duì)數(shù)據(jù)報(bào)文進(jìn)行丟包計(jì)數(shù)����;提取模塊32,用于在確定 數(shù)據(jù)報(bào)文的丟包數(shù)目超過(guò)第一閾值時(shí)��,提取數(shù)據(jù)報(bào)文的入接口信息���;控制模塊 33,用于根據(jù)提取的入接口信息����,對(duì)通過(guò)該入接口的數(shù)據(jù)報(bào)文進(jìn)行流量控制。
如圖3B所示��, 一個(gè)實(shí)施例中��,圖3A所示的提取模塊32可以進(jìn)一步包括 采樣單元321���、分析單元322���、提取單元323;其中,采樣單元321�����,用于對(duì)數(shù) 據(jù)報(bào)文進(jìn)行采樣�;分析單元322,用于對(duì)采樣數(shù)據(jù)進(jìn)行分析;提取單元323, 用于根據(jù)對(duì)采樣數(shù)據(jù)的分析��,提取數(shù)據(jù)報(bào)文的入接口信息����。
如圖3C所示, 一個(gè)實(shí)施例中��,圖3B所示的提取模塊32可以進(jìn)一步包括 存儲(chǔ)單元324,用于將采樣數(shù)據(jù)存儲(chǔ)在本地�����。
存儲(chǔ)單元324可以進(jìn)一步用于按Ethereal格式將采樣數(shù)據(jù)存儲(chǔ)在本地�����。
存儲(chǔ)單元324還可以進(jìn)一步用于將采樣數(shù)據(jù)存儲(chǔ)至本地的RAM����、 NVRAM、 CF卡����、FLASH其中之一或任意組合。
如圖3D所示���, 一個(gè)實(shí)施例中���,圖3A所示的控制模塊33可以進(jìn)一步包括 下發(fā)單元331、控制單元332;其中�����,下發(fā)單元331,用于根據(jù)入接口信息下發(fā) 二級(jí)CAR資源�;控制單元332,用于根據(jù)二級(jí)CAR資源對(duì)通過(guò)該入接口的數(shù)
據(jù)"t艮文進(jìn)行流量控制����。
如圖3E所示�����, 一個(gè)實(shí)施例中����,圖3D所示的網(wǎng)絡(luò)設(shè)備可以進(jìn)一步包括 回收模塊34,用于在確定通過(guò)該入接口的數(shù)據(jù)報(bào)文的流量不超過(guò)第二閾值時(shí), 回收下發(fā)的二級(jí)CAR的資源��。
以通過(guò)程序來(lái)指令相關(guān)的硬件完成���,該程序可以存儲(chǔ)于一計(jì)算機(jī)可讀存儲(chǔ)介質(zhì) 中�,存儲(chǔ)介質(zhì)可以包括ROM�����、 RAM�����、磁盤或光盤等。
本發(fā)明實(shí)施例中��,根據(jù)一級(jí)CAR資源對(duì)數(shù)據(jù)報(bào)文進(jìn)行丟包計(jì)數(shù)�;確定所 述數(shù)據(jù)報(bào)文的丟包數(shù)目超過(guò)第一閾值時(shí),即可確定數(shù)據(jù)報(bào)文為DOS攻擊數(shù)據(jù) 報(bào)文�;進(jìn)而通過(guò)提取數(shù)據(jù)報(bào)文的入接口信息進(jìn)行攻擊溯源����,為防止DOS攻擊 提供依據(jù);只需進(jìn)一步根據(jù)入接口信息���,對(duì)通過(guò)該入接口的數(shù)據(jù)報(bào)文進(jìn)行流量 控制�����,而無(wú)需對(duì)網(wǎng)絡(luò)設(shè)備處理的所有數(shù)據(jù)報(bào)文進(jìn)行流量控制����,從而鎖定流控目 標(biāo)���,縮小流控范圍���,最大限度地保證網(wǎng)絡(luò)設(shè)備在遭受攻擊的情況下多數(shù)業(yè)務(wù)的 正常運(yùn)轉(zhuǎn);另外�����,采用本發(fā)明實(shí)施例方法,網(wǎng)絡(luò)設(shè)備自身即可實(shí)現(xiàn)防止DOS 攻擊的功能�,而無(wú)需部署專門的服務(wù)器,并與服務(wù)器進(jìn)行交互以防止DOS攻 擊�,使運(yùn)營(yíng)成本降低、維護(hù)管理簡(jiǎn)單���,并進(jìn)一步節(jié)約了網(wǎng)絡(luò)資源����。
本發(fā)明實(shí)施例中�,可以在網(wǎng)絡(luò)設(shè)備遭受攻擊的情況下進(jìn)行數(shù)據(jù)采樣并進(jìn)行 本地存儲(chǔ),供攻擊溯源使用���;可以通過(guò)對(duì)采樣溯源數(shù)據(jù)的分類分析��,按照數(shù)據(jù) 來(lái)源范圍產(chǎn)生動(dòng)態(tài)���、智能的更小范圍的CAR功能,進(jìn)行攻擊智能抑制�,有效 地防范了DOS攻擊;在攻擊去除的時(shí)候,網(wǎng)絡(luò)設(shè)備可以回收智能下發(fā)的CAR 資源���,供下次遭受攻擊時(shí)使用��。
本發(fā)明實(shí)施例提供的只是設(shè)置有二級(jí)CAR的情況�����,根據(jù)需要�����,也可以設(shè) 置三級(jí)或更多級(jí)的CAR來(lái)實(shí)現(xiàn)細(xì)化控制,同樣可以達(dá)到本發(fā)明實(shí)施例的技術(shù) 效果��。
顯然�����,本領(lǐng)域的^支術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā) 明的精神和范圍���。這樣�,倘若對(duì)本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求
及其等同技術(shù)的范圍之內(nèi)��,則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。
權(quán)利要求
1��、一種防止DOS攻擊的方法���,其特征在于�,該方法包括根據(jù)一級(jí)CAR資源對(duì)數(shù)據(jù)報(bào)文進(jìn)行丟包計(jì)數(shù)�;確定所述數(shù)據(jù)報(bào)文的丟包數(shù)目超過(guò)第一閾值時(shí),提取所述數(shù)據(jù)報(bào)文的入接口信息�;根據(jù)所述入接口信息,對(duì)通過(guò)所述入接口的數(shù)據(jù)報(bào)文進(jìn)行流量控制���。
2����、 如權(quán)利要求1所述的方法����,其特征在于,提取所述數(shù)據(jù)報(bào)文的入接口 信息包括對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行采樣����,對(duì)采樣數(shù)據(jù)進(jìn)行分析;根據(jù)對(duì)采樣數(shù)據(jù) 的分析����,提取所述數(shù)據(jù)報(bào)文的入接口信息����。
3��、 如權(quán)利要求2所述的方法����,其特征在于,對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行采樣后����, 將釆樣數(shù)據(jù)存儲(chǔ)在本地���。
4��、 如權(quán)利要求3所述的方法��,其特征在于��,按Ethereal格式將采樣數(shù)據(jù) 存儲(chǔ)在本地���。
5�����、 如權(quán)利要求3所述的方法�,其特征在于����,將采樣數(shù)據(jù)存儲(chǔ)至本地的RAM、 NVRAM��、 CF卡��、FLASH其中之一或任意組合���。
6���、 如權(quán)利要求1至5任一項(xiàng)所述的方法,其特征在于���,根據(jù)所述入接口 信息�����,對(duì)通過(guò)所述入接口的數(shù)據(jù)報(bào)文進(jìn)行流量控制包括根據(jù)所述入接口信息下發(fā)二級(jí)CAR資源���;根據(jù)所述二級(jí)CAR資源對(duì)通過(guò)所述入接口的數(shù)據(jù)報(bào)文進(jìn)行流量控制�。
7�����、 如權(quán)利要求6所述的方法���,其特征在于����,該方法進(jìn)一步包括 確定通過(guò)所述入接口的數(shù)據(jù)報(bào)文的流量不超過(guò)第二閾值時(shí)�����,回收所述二級(jí)CAR資源��。
8�����、 一種網(wǎng)絡(luò)設(shè)備���,其特征在于����,包括計(jì)數(shù)模塊�,用于根據(jù)一級(jí)CAR資源對(duì)數(shù)據(jù)報(bào)文進(jìn)行丟包計(jì)數(shù); 提取模塊����,用于在確定所述數(shù)據(jù)報(bào)文的丟包數(shù)目超過(guò)第一閾值時(shí),提取所述數(shù)據(jù)報(bào)文的入接口信息�����;控制模塊��,用于根據(jù)所述入接口信息����,對(duì)通過(guò)所述入接口的數(shù)據(jù)報(bào)文進(jìn)行 流量控制。
9��、 如權(quán)利要求8所述的設(shè)備���,其特征在于����,所述提取模塊進(jìn)一步包括 采樣單元,用于對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行采樣����;分析單元,用于對(duì)采樣數(shù)據(jù)進(jìn)行分析���;提取單元�,用于根據(jù)對(duì)采樣數(shù)據(jù)的分析����,提取所述數(shù)據(jù)報(bào)文的入接口信息。
10��、 如權(quán)利要求9所述的設(shè)備����,其特征在于,所述提取模塊進(jìn)一步包括 存儲(chǔ)單元�����,用于將采樣數(shù)據(jù)存儲(chǔ)在本地���。
11�、 如權(quán)利要求10所述的設(shè)備���,其特征在于����,所述存儲(chǔ)單元進(jìn)一步用于 按Ethereal格式將采樣數(shù)據(jù)存儲(chǔ)在本地�。
12、 如權(quán)利要求10所述的設(shè)備�,其特征在于,所述存儲(chǔ)單元進(jìn)一步用于 將采樣數(shù)據(jù)存儲(chǔ)至本地的RAM�、 NVRAM、 CF卡���、FLASH其中之一或任意組合����。
13�、 如權(quán)利要求8至12任一項(xiàng)所述的設(shè)備,其特征在于�����,所述控制模塊 進(jìn)一步包括下發(fā)單元,用于根據(jù)所述入接口信息下發(fā)二級(jí)CAR資源����; 控制單元,用于才艮據(jù)所述二級(jí)CAR資源對(duì)通過(guò)所述入接口的數(shù)據(jù)報(bào)文進(jìn) 行流量控制��。
14���、 如權(quán)利要求13所述的設(shè)備�����,其特征在于�����,所述設(shè)備進(jìn)一步包括 回收模塊�����,用于在確定通過(guò)所述入接口的數(shù)據(jù)報(bào)文的流量不超過(guò)第二閾值時(shí)�,回收所述二級(jí)CAR資源��。
全文摘要
本發(fā)明公開了一種防止DOS攻擊的方法�,該方法包括根據(jù)一級(jí)CAR資源對(duì)數(shù)據(jù)報(bào)文進(jìn)行丟包計(jì)數(shù);確定所述數(shù)據(jù)報(bào)文的丟包數(shù)目超過(guò)第一閾值時(shí),提取所述數(shù)據(jù)報(bào)文的入接口信息����;根據(jù)所述入接口信息��,對(duì)通過(guò)所述入接口的數(shù)據(jù)報(bào)文進(jìn)行流量控制�����。本發(fā)明同時(shí)公開一種網(wǎng)絡(luò)設(shè)備�����。采用本發(fā)明可以進(jìn)行攻擊溯源���,最大限度地保證網(wǎng)絡(luò)設(shè)備在遭受攻擊的情況下多數(shù)業(yè)務(wù)的正常運(yùn)轉(zhuǎn)����,并且��,可以降低運(yùn)營(yíng)成本���,節(jié)約網(wǎng)絡(luò)資源���。
文檔編號(hào)H04L9/00GK101102323SQ200710140528
公開日2008年1月9日 申請(qǐng)日期2007年8月9日 優(yōu)先權(quán)日2007年8月9日
發(fā)明者趙志旺 申請(qǐng)人:華為技術(shù)有限公司