專利名稱:一種防護(hù)網(wǎng)絡(luò)攻擊的方法�����、系統(tǒng)及網(wǎng)關(guān)�����、域名系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域��,特別是涉及一種防護(hù)網(wǎng)絡(luò)攻擊的方法、系統(tǒng) 及網(wǎng)關(guān)�、域名系統(tǒng)。
背景技術(shù):
DDOS攻擊主要是指攻擊者利用主控主機(jī)做跳板(可能多級(jí)多層)控制大 量受感染而被控制的主機(jī)組成攻擊網(wǎng)絡(luò)來對(duì)受害主機(jī)進(jìn)行大規(guī)模的拒絕服務(wù) 攻擊����。這種攻擊往往能把單個(gè)攻擊者的攻擊以級(jí)數(shù)形式進(jìn)行放大,從而對(duì)用 戶主機(jī)造成重大影響�����,對(duì)網(wǎng)絡(luò)也會(huì)造成嚴(yán)重?fù)砣?br>
DDOS (Distributed Denial of Service,分布式拒絕服務(wù)攻擊)利用攻擊網(wǎng) 絡(luò)對(duì)受害主機(jī)發(fā)起泛洪等�,使得受害主機(jī)忙于處理這些突增請(qǐng)求而無法正常 響應(yīng)合法用戶請(qǐng)求,從而造成癱瘓���。
目前����,常用的防止DDOS是通過在網(wǎng)路上串聯(lián)一個(gè)清洗設(shè)備����,用來對(duì)流量 進(jìn)行清洗,利用這種串聯(lián)清洗的方法����,可以起到防護(hù)DDOS的效果���。
在實(shí)現(xiàn)本發(fā)明的過程中��,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題
由于清洗設(shè)備串聯(lián)在網(wǎng)路里�����,可能會(huì)造成單點(diǎn)故障��。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種防護(hù)網(wǎng)絡(luò)攻擊的方法����、系統(tǒng)及網(wǎng)關(guān)、域名系統(tǒng)���, 實(shí)現(xiàn)對(duì)DDOS的攻擊有效防護(hù)��。
本發(fā)明實(shí)施例提供一種防護(hù)網(wǎng)絡(luò)攻擊的方法,包括
接收客戶端發(fā)送的源請(qǐng)求信息和目的請(qǐng)求信息��,所述目的請(qǐng)求信息由域 名系統(tǒng)DNS根據(jù)所述源請(qǐng)求信息選擇并通知所述客戶端�;
對(duì)所述源請(qǐng)求信息與目的請(qǐng)求信息進(jìn)行校驗(yàn)�����;
當(dāng)所述校驗(yàn)結(jié)果不符合要求時(shí)�,將所述源請(qǐng)求信息與目的請(qǐng)求信息丟棄����。
本發(fā)明實(shí)施例還提供一種網(wǎng)關(guān)����,包括
接收模塊��,用于接收客戶端發(fā)送的源請(qǐng)求信息和目的請(qǐng)求信息�����,所述目 的請(qǐng)求信息由域名系統(tǒng)DNS根據(jù)所述源請(qǐng)求信息選擇并通知所i^戶端; 校驗(yàn)?zāi)K��,用于對(duì)所述源請(qǐng)求信息與目的請(qǐng)求信息進(jìn)行校驗(yàn)��; 處理模塊��,用于當(dāng)所述校驗(yàn)結(jié)果不符合要求時(shí)����,將所述源請(qǐng)求信息與目 的請(qǐng)求信息丟棄。
本發(fā)明實(shí)施例還提供一種防護(hù)網(wǎng)絡(luò)攻擊的系統(tǒng)����,包括客戶端�����、域名系統(tǒng) DNS、網(wǎng)關(guān)����;
所述DNS用于接收所述客戶端發(fā)送的源請(qǐng)求信息����,并才艮據(jù)所述源請(qǐng)求信 息選擇目的請(qǐng)求信息,并通知所述客戶端��,所述客戶端向所述網(wǎng)關(guān)發(fā)送所述 源請(qǐng)求信息和目的請(qǐng)求信息;
所述網(wǎng)關(guān)接收客戶端發(fā)送的所述源請(qǐng)求信息和目的請(qǐng)求信息��,對(duì)所述源 請(qǐng)求信息與目的請(qǐng)求信息進(jìn)行校驗(yàn)����,當(dāng)所述校驗(yàn)結(jié)果不符合要求時(shí),將所述 源請(qǐng)求信息與目的請(qǐng)求信息丟棄。
本發(fā)明實(shí)施例的技術(shù)方案采用在DNS根據(jù)客戶端發(fā)送的源請(qǐng)求信息選擇 目的請(qǐng)求信息�����,并根據(jù)對(duì)所述源請(qǐng)求信息與目的請(qǐng)求信息的校驗(yàn)結(jié)果建立客 戶端與服務(wù)器之間的對(duì)應(yīng)關(guān)系����,防止DDOS的攻擊,因DNS不是與網(wǎng)絡(luò)相串 聯(lián)的���,不僅能夠有效阻隔攻擊���,而且避免出現(xiàn)單點(diǎn)故障。
為了更清楚地說明本發(fā)明實(shí)施例的技術(shù)方案��,下面將對(duì)實(shí)施例描述中所 需要使用的附圖作簡(jiǎn)單地介紹��,顯而易見地��,下面描述中的附圖僅僅是本發(fā) 明的一些實(shí)施例����,對(duì)于本領(lǐng)域普通技術(shù)人員來講�����,在不付出創(chuàng)造性勞動(dòng)的前 提下,還可以根據(jù)這些附圖獲得其他的附圖��。
圖1為本發(fā)明實(shí)施例一防護(hù)網(wǎng)絡(luò)攻擊的方法的流程圖2為本發(fā)明實(shí)施例二提供一種防護(hù)網(wǎng)絡(luò)攻擊的方法的流程圖3為本發(fā)明實(shí)施例一種防護(hù)網(wǎng)絡(luò)攻擊的系統(tǒng)實(shí)施示意圖4為本發(fā)明實(shí)施例三提供一種防護(hù)網(wǎng)絡(luò)攻擊的系統(tǒng)結(jié)構(gòu)示意圖����; 圖5為本發(fā)明實(shí)施例四提供一種網(wǎng)關(guān)結(jié)構(gòu)示意圖; 圖6為本發(fā)明實(shí)施例五提供一種DNS結(jié)構(gòu)示意圖��。
具體實(shí)施例方式
下面將結(jié)合本發(fā)明實(shí)施例中的附圖����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行 清楚、完整地描述�,顯然,所描述的實(shí)施例僅僅是本發(fā)明的一部分實(shí)施例�����, 而不是全部的實(shí)施例�����?;诒景l(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒有 做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍����。
如圖1所示,本發(fā)明實(shí)施例一提供一種防護(hù)網(wǎng)絡(luò)攻擊的方法�,包括以下 步驟
步驟s101,網(wǎng)關(guān)接收客戶端發(fā)送的源請(qǐng)求信息和目的請(qǐng)求信息���,目的請(qǐng) 求信息由域名系統(tǒng)DNS根據(jù)源請(qǐng)求信息選擇并通知客戶端����;
步驟s102���,網(wǎng)關(guān)對(duì)源請(qǐng)求信息與目的請(qǐng)求信息進(jìn)4亍校l^;
步驟s103��,當(dāng)所述校驗(yàn)結(jié)果不符合要求時(shí)���,將所述源請(qǐng)求信息與目的請(qǐng) 求信息丟棄。
本發(fā)明實(shí)施例的技術(shù)方案采用DNS根據(jù)客戶端發(fā)送的源請(qǐng)求信息選擇目 的請(qǐng)求信息���,并根據(jù)校驗(yàn)結(jié)果建立客戶端與服務(wù)器之間的對(duì)應(yīng)關(guān)系,防止 DDOS的攻擊。
如圖2所示���,本發(fā)明實(shí)施例二提供一種防護(hù)網(wǎng)絡(luò)攻擊的方法����,包括以下 步驟����,該防護(hù)方法對(duì)應(yīng)的的系統(tǒng)示意圖如圖3所示,請(qǐng)一并參照?qǐng)D3:
步驟s201�����,域名系統(tǒng)DNS接收客戶端源請(qǐng)求信息��,利用第一哈希函數(shù)選 擇目的請(qǐng)求信息���,并向客戶端發(fā)送該目的請(qǐng)求信息�����。具體的��,客戶端向DNS 發(fā)送服務(wù)器的域名����,如www.abc.com對(duì)應(yīng)的SIP ( source IP,源IP )地址,該 DNS服務(wù)器的域名解析包括N個(gè)IP地址��,這些IP地址為源IP對(duì)應(yīng)的DIP (Destination IP,目的IP )�����, DNS對(duì)該客戶端要求查詢的SIP進(jìn)行哈希運(yùn)算�, 從而映射到所述N個(gè)DIP地址中的一個(gè)DIP,然后DNS服務(wù)器把該DIP通過
目的請(qǐng)求信息返回給客戶端��。該哈希運(yùn)算具體為利用第一哈希函數(shù)對(duì)SIP 進(jìn)行哈希���,選擇與該SIP對(duì)應(yīng)的DIP�����。
步驟s202����,客戶端接收到目的請(qǐng)求信息后���,向網(wǎng)關(guān)發(fā)送該源請(qǐng)求信息與 相應(yīng)的目的請(qǐng)求信息���。客戶端訪問這個(gè)DIP時(shí)����,實(shí)際訪問到與服務(wù)器串聯(lián)的 網(wǎng)關(guān)設(shè)備,該網(wǎng)關(guān)設(shè)備中也綁定所述N個(gè)DIP�����。
步驟s203,網(wǎng)關(guān)利用第二哈希函數(shù)對(duì)源請(qǐng)求信息與目的請(qǐng)求信息進(jìn)行校 驗(yàn)����,判斷源請(qǐng)求信息與目的請(qǐng)求信息是否匹配,如果匹配則進(jìn)行步驟s204�����, 否則進(jìn)行步驟s205�����。具體的����,當(dāng)收到訪問請(qǐng)求時(shí)���,網(wǎng)關(guān)設(shè)備會(huì)依據(jù)DNS的哈 希函數(shù),對(duì)用戶端的SIP再次進(jìn)行哈希函數(shù)運(yùn)算���,再次得到DIP,依據(jù)本次哈 希函數(shù)運(yùn)算后的DIP與訪問用戶端的在DNS端產(chǎn)生的DIP進(jìn)行校驗(yàn)�,判斷該 客戶端是否應(yīng)該以這個(gè)DIP進(jìn)行訪問www.abc.com�����。該校驗(yàn)方法具體為����,根 據(jù)第二哈希函數(shù)對(duì)SIP進(jìn)行計(jì)算,判斷對(duì)SIP進(jìn)行第二哈希函數(shù)運(yùn)算后的DIP 是否與DNS中第一哈希函數(shù)生成的DIP相匹配�����。其中����,第一哈希函數(shù)和第二 哈希函數(shù)是相同的哈希函數(shù)。
步驟s204�,如果源請(qǐng)求信息與目的請(qǐng)求信息匹配,網(wǎng)關(guān)將源請(qǐng)求信息發(fā) 送給服務(wù)器,并進(jìn)行步驟s206���。進(jìn)一步利用應(yīng)用代理技術(shù)把數(shù)據(jù)轉(zhuǎn)發(fā)到客戶 端實(shí)際需要訪問的月l務(wù)器����,實(shí)現(xiàn)應(yīng)用代理��。
步驟s205����,如果源請(qǐng)求信息與目的請(qǐng)求信息不相匹配����,網(wǎng)關(guān)拋棄源請(qǐng)求 信息與目的請(qǐng)求信息,流程結(jié)束��。
步驟s206�,服務(wù)器接收到網(wǎng)關(guān)轉(zhuǎn)發(fā)的源請(qǐng)求信息后,向網(wǎng)關(guān)發(fā)送根據(jù)源 請(qǐng)求信息回復(fù)的回復(fù)信息��;
步驟s207��,網(wǎng)關(guān)接收到該回復(fù)信息后��,向客戶端轉(zhuǎn)發(fā)該回復(fù)信息�。
DDOS攻擊網(wǎng)絡(luò)向服務(wù)器攻擊時(shí)�,攻擊主機(jī)以正常用戶的身份訪問DNS, DNS對(duì)該攻擊主機(jī)的源IP進(jìn)行哈希后�,向攻擊主才幾返回目的IP,攻擊主機(jī)接 收到該目的IP后�,向攻擊網(wǎng)絡(luò)中的大量攻擊子機(jī)發(fā)送該目的IP地址,攻擊主 機(jī)以該IP地址對(duì)應(yīng)服務(wù)器的為攻擊目標(biāo)���,向該被攻擊服務(wù)器發(fā)送大量洪7JC信 息��,這些信息包含目的IP地址和攻擊子機(jī)本身的源IP地址�����。這些信息首先發(fā) 送到服務(wù)器前的網(wǎng)關(guān)上���,該網(wǎng)關(guān)提取這些信息中的源IP地址����,利用該網(wǎng)關(guān)的
第二哈希函數(shù)對(duì)這些源IP進(jìn)行哈希�,得到對(duì)應(yīng)于上述攻擊子才;u的目的ip,由 于根據(jù)攻擊子機(jī)源IP得出的目的IP與原先由攻擊主機(jī)得到的目的IP不同���, 因此網(wǎng)關(guān)檢測(cè)到原先由攻擊主機(jī)源ip得到的目的ip與攻擊子機(jī)源ip得出的 目的IP不同�,因此對(duì)這些洪水信息做;故棄處理。
以上實(shí)施例中以應(yīng)用第 一哈希函數(shù)和第二哈希函數(shù)進(jìn)行SIP和DIP間的 互轉(zhuǎn)換為例����,說明本發(fā)明實(shí)施例中防護(hù)網(wǎng)絡(luò)攻擊的方法,j旦對(duì)SIP和DIP間 進(jìn)行互轉(zhuǎn)換的方法并不限于哈希方法��,使用其他可逆算法實(shí)現(xiàn)本發(fā)明時(shí)也屬 于本發(fā)明的保護(hù)范圍����,在此不進(jìn)行重復(fù)描述。
本發(fā)明實(shí)施例的技術(shù)方案根據(jù)網(wǎng)關(guān)與DNS上設(shè)置的哈希函數(shù)��,客戶端發(fā) 送的源請(qǐng)求信息選擇目的請(qǐng)求信息���,以建立客戶端與服務(wù)器之間的對(duì)應(yīng)關(guān)系, 防止DDOS的攻擊���。利用這個(gè)方法能防止對(duì)服務(wù)器的大規(guī)模攻擊����,減輕洪水 壓力��,對(duì)被保護(hù)服務(wù)器起到保護(hù)作用��。
本發(fā)明實(shí)施例三提供一種防護(hù)網(wǎng)絡(luò)攻擊的系統(tǒng),如圖4所示����,包括客戶 端310、域名系統(tǒng)DNS320����、網(wǎng)關(guān)330;
客戶端310用于向DNS發(fā)送源請(qǐng)求信息,并接收DNS 320根據(jù)該源請(qǐng)求 信息選擇的目的請(qǐng)求信息����,并向網(wǎng)關(guān)330發(fā)送該源請(qǐng)求信息和目的請(qǐng)求信息;
DNS 320用于接收客戶端310發(fā)送的源請(qǐng)求信息����,并才艮據(jù)源請(qǐng)求信息選 擇目的請(qǐng)求信息,并通知客戶端310;
網(wǎng)關(guān)330接收客戶端310發(fā)送的源請(qǐng)求信息和目的請(qǐng)求信息����,對(duì)該源請(qǐng) 求信息與目的請(qǐng)求信息進(jìn)行校驗(yàn),當(dāng)所述校驗(yàn)結(jié)果不符合要求時(shí)�,將所述源 請(qǐng)求信息與目的請(qǐng)求信息丟棄。
該防護(hù)網(wǎng)絡(luò)攻擊系統(tǒng)����,還可以包括月良務(wù)器340;
服務(wù)器340用于當(dāng)校驗(yàn)結(jié)果為該源請(qǐng)求信息和目的請(qǐng)求信息匹配時(shí)��,接 收網(wǎng)關(guān)330轉(zhuǎn)發(fā)的源請(qǐng)求信息���,并向網(wǎng)關(guān)330發(fā)送回復(fù)信息。
網(wǎng)關(guān)330,還用于接收服務(wù)器340根據(jù)該源請(qǐng)求信息回復(fù)的回復(fù)信息���,將 該回復(fù)信息轉(zhuǎn)發(fā)給客戶端310���。
其中,DNS 320利用第一哈希函數(shù)對(duì)源請(qǐng)求信息進(jìn)行哈希����,選擇對(duì)應(yīng)于 源請(qǐng)求信息的目的請(qǐng)求信息。
其中�����,網(wǎng)關(guān)330利用第二哈希函數(shù)對(duì)源請(qǐng)求信息進(jìn)行哈希�,對(duì)源請(qǐng)求信 息與目的請(qǐng)求信息進(jìn)行校驗(yàn)���,判斷源請(qǐng)求信息與目的請(qǐng)求信息是否匹配����。
上述第 一哈希函數(shù)與第二哈希函數(shù)相對(duì)應(yīng),第 一哈希函數(shù)設(shè)置與DNS 320 上���,用于選擇對(duì)應(yīng)于源請(qǐng)求信息的目的請(qǐng)求信息�,第二哈希函數(shù)則是對(duì)同一 源請(qǐng)求信息進(jìn)行校驗(yàn)���,以判斷源請(qǐng)求信息與目的請(qǐng)求信息是否匹配���,第一哈 希函數(shù)和第二哈希函數(shù)是相同的哈希函數(shù)。
上述網(wǎng)關(guān)330,如圖5所示�����,包括
接收模塊331,用于接收客戶端310發(fā)送的源請(qǐng)求信息和目的請(qǐng)求信息��, 目的請(qǐng)求信息由域名系統(tǒng)DNS 320根據(jù)源請(qǐng)求信息選擇并通知客戶端310;
校驗(yàn)?zāi)K332�����,用于對(duì)源請(qǐng)求信息與目的請(qǐng)求信息進(jìn)行校驗(yàn)����;
處理模塊333,用于當(dāng)所述校驗(yàn)結(jié)果不符合要求時(shí)����,將所述源請(qǐng)求信息與 目的請(qǐng)求信息丟棄��。
校驗(yàn)?zāi)K332對(duì)該源請(qǐng)求信息與目的請(qǐng)求信息進(jìn)行校驗(yàn)�,具體為
校驗(yàn)?zāi)K332利用第二哈希函數(shù)對(duì)該源請(qǐng)求信息與目的請(qǐng)求信息進(jìn)行校 驗(yàn)�,判斷該源請(qǐng)求信息與目的請(qǐng)求信息是否匹配;
上述處理模塊333用于當(dāng)校驗(yàn)結(jié)果為源請(qǐng)求信息與目的請(qǐng)求信息不匹配 時(shí)�����,將源請(qǐng)求信息與目的請(qǐng)求信息丟棄�;當(dāng)校驗(yàn)結(jié)果為源請(qǐng)求信息與目的請(qǐng) 求信息匹配時(shí),將源請(qǐng)求信息發(fā)送給服務(wù)器�。
所述處理模塊333還用于接收服務(wù)器340根據(jù)該源請(qǐng)求信息回復(fù)的回復(fù) 信息,將回復(fù)信息轉(zhuǎn)發(fā)給客戶端310��。
網(wǎng)關(guān)設(shè)備上的網(wǎng)卡綁定所述N個(gè)DIP�,當(dāng)收到訪問請(qǐng)求時(shí),這個(gè)網(wǎng)關(guān)設(shè) 備會(huì)依據(jù)DNS的哈希函數(shù)對(duì)訪問用戶端的SIP和DIP進(jìn)行校驗(yàn)��,判斷該客戶 端是否應(yīng)該以所述DIP進(jìn)行訪問www.abc.com����,如果失敗�����,則把該請(qǐng)求包拋 棄,如果成功���,則利用應(yīng)用代理技術(shù)把數(shù)據(jù)轉(zhuǎn)發(fā)到后面的實(shí)際服務(wù)器�����,實(shí)現(xiàn)應(yīng) 用代理�。
上述域名系統(tǒng)DNS320,如圖6所示��,包括 接收模塊321,用于接4t^戶端發(fā)送的源請(qǐng)求信息����;
選擇模塊322,用于根據(jù)接收的源請(qǐng)求信息選取目的請(qǐng)求信息�����; 發(fā)送模塊323��,用于向客戶端發(fā)送目的請(qǐng)求信息�。
其中,選擇模塊322利用第一哈希函數(shù)對(duì)源請(qǐng)求信息進(jìn)行哈希�����,選擇對(duì) 應(yīng)于源請(qǐng)求信息的目的請(qǐng)求信息。
本發(fā)明實(shí)施例的技術(shù)方案根據(jù)網(wǎng)關(guān)與DNS上設(shè)置的哈希函數(shù)�����,客戶端發(fā) 送的源請(qǐng)求信息選擇目的請(qǐng)求信息�,以建立客戶端與服務(wù)器之間的對(duì)應(yīng)關(guān)系, 防止DDOS的攻擊�����。利用這個(gè)方法能防止對(duì)^l良務(wù)器的大規(guī)4莫攻擊�,減輕洪水 壓力,對(duì)被保護(hù)服務(wù)器起到保護(hù)作用�����。
通過以上的實(shí)施方式的描述�,本領(lǐng)域的技術(shù)人員可以清楚地了解到本 發(fā)明可以通過硬件實(shí)現(xiàn),也可以可借助軟件加必要的通用硬件平臺(tái)的方式 來實(shí)現(xiàn)基于這樣的理解���,本發(fā)明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出 來���,該軟件產(chǎn)品可以存儲(chǔ)在一個(gè)非易失性存儲(chǔ)介質(zhì)(可以是CD-ROM, U 盤,移動(dòng)硬盤等)中��,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè) 人計(jì)算機(jī)���,服務(wù)器�����,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法�����。
本領(lǐng)域技術(shù)人員可以理解附圖只是一個(gè)優(yōu)選實(shí)施例的示意圖���,附圖中的 模塊或流程并不一定是實(shí)施本發(fā)明所必須的。
以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式�����,應(yīng)當(dāng)指出�,對(duì)于本技術(shù)領(lǐng)域的 普通技術(shù)人員來說,在不脫離本發(fā)明原理的前提下����,還可以做出若干改進(jìn) 和潤(rùn)飾���,這些改進(jìn)和潤(rùn)飾也應(yīng)一見本發(fā)明的保護(hù)范圍。
權(quán)利要求
1���、一種防護(hù)網(wǎng)絡(luò)攻擊的方法�,其特征在于�����,包括:接收客戶端發(fā)送的源請(qǐng)求信息和目的請(qǐng)求信息�����,所述目的請(qǐng)求信息由域名系統(tǒng)DNS根據(jù)所述源請(qǐng)求信息選擇并通知所述客戶端�;對(duì)所述源請(qǐng)求信息與目的請(qǐng)求信息進(jìn)行校驗(yàn);當(dāng)所述校驗(yàn)結(jié)果不符合要求時(shí)��,將所述源請(qǐng)求信息與目的請(qǐng)求信息丟棄�。
2、 如權(quán)利要求1所述的方法����,其特征在于,域名系統(tǒng)DNS根據(jù)所述源 請(qǐng)求信息選擇并通知所述客戶端,包括所述DNS接收所述客戶端發(fā)送的所述源請(qǐng)求信息�; 所述DNS利用第一哈希函數(shù)對(duì)所述源請(qǐng)求信息進(jìn)行哈希函數(shù)運(yùn)算,選擇 對(duì)應(yīng)于所述源請(qǐng)求信息的目的請(qǐng)求信息�����;所述DNS將所述源請(qǐng)求信息和所述目的請(qǐng)求信息發(fā)送給所述客戶端�����。
3��、 如權(quán)利要求l所述方法����,其特征在于����,所述對(duì)所述源請(qǐng)求信息與目的請(qǐng)求信息進(jìn)行校驗(yàn),包括利用第二哈希函數(shù)判斷所述源請(qǐng)求信息與目的請(qǐng)求信息是否匹配��,所述目的請(qǐng)求信息是由第一哈希函數(shù)對(duì)所述源請(qǐng)求信息進(jìn)行哈希運(yùn)算后所選擇的 目的請(qǐng)求信息��;所述當(dāng)所述校驗(yàn)結(jié)果不符合要求時(shí)���,將所述源請(qǐng)求信息與目的請(qǐng)求信息 丟棄�,包括如果所述校驗(yàn)結(jié)果為所述源請(qǐng)求信息與所述目的請(qǐng)求信息不匹配,則將 所述源請(qǐng)求信息與所述目的請(qǐng)求信息丟棄��。
4��、 如權(quán)利要求3所述方法��,其特征在于�����,如果所述校驗(yàn)結(jié)果為所述源請(qǐng) 求信息與所述目的請(qǐng)求信息匹配���,將所述源請(qǐng)求信息發(fā)送給服務(wù)器��。
5��、 如權(quán)利要求4所述方法�,其特征在于�����,所述將所述源請(qǐng)求信息發(fā)送給 服務(wù)器后��,還包括接收所述服務(wù)器根據(jù)所述源請(qǐng)求信息回復(fù)的回復(fù)信息; 向所述客戶端轉(zhuǎn)發(fā)所述回復(fù)信息�����。
6�����、 如權(quán)利要求3所述方法��,其特征在于����,所述第一哈希函數(shù)與所述第二哈希函數(shù)為相同的哈希函數(shù)�。
7、 一種網(wǎng)關(guān)�����,其特征在于����,包括接收模塊,用于接收客戶端發(fā)送的源請(qǐng)求信息和目的請(qǐng)求信息�,所述目 的請(qǐng)求信息由域名系統(tǒng)DNS根據(jù)所述源請(qǐng)求信息選擇并通知所述客戶端��; 校驗(yàn)?zāi)K����,用于對(duì)所述源請(qǐng)求信息與目的請(qǐng)求信息進(jìn)行校驗(yàn)����; 處理模塊,用于當(dāng)所述校驗(yàn)結(jié)果不符合要求時(shí)�,將所述源請(qǐng)求信息與目 的請(qǐng)求信息丟棄。
8�����、 如權(quán)利要求7所述網(wǎng)關(guān)����,其特征在于,所述處理模塊當(dāng)所述校驗(yàn)結(jié)果 不符合要求時(shí)�,將所述源請(qǐng)求信息與目的請(qǐng)求信息丟棄包括所述處理模塊 當(dāng)所述校驗(yàn)結(jié)果為所述源請(qǐng)求信息與所述目的請(qǐng)求信息不匹配時(shí),將所述源 請(qǐng)求信息與所述目的請(qǐng)求信息丟棄����。
9、 如權(quán)利要求7所述網(wǎng)關(guān)���,其特征在于���,所述處理模塊還用于當(dāng)所述校 驗(yàn)結(jié)果為所述源請(qǐng)求信息與所述目的請(qǐng)求信息匹配時(shí)��,將所述源請(qǐng)求信息發(fā) 送給所述服務(wù)器���。
10、 如權(quán)利要求9所述網(wǎng)關(guān)����,其特征在于��,所述處理模塊還用于接收所 述服務(wù)器根據(jù)所述源請(qǐng)求信息回復(fù)的回復(fù)信息����,將所述回復(fù)信息轉(zhuǎn)發(fā)給所述 客戶端。
11�、 一種域名系統(tǒng)DNS,其特征在于�,包括 接收模塊,用于接收客戶端發(fā)送的源請(qǐng)求信息��;選捧模塊�����,用于根據(jù)接收的所述源請(qǐng)求信息選取目的請(qǐng)求信息;發(fā)送模塊�,用于向所述客戶端發(fā)送所述目的請(qǐng)求信息。
12��、 如權(quán)利要求11所述DNS,其特征在于��,所述選擇模塊利用哈希函數(shù) 對(duì)源請(qǐng)求信息進(jìn)行哈希��,選擇對(duì)應(yīng)于所述源請(qǐng)求信息的目的請(qǐng)求信息�。
13、 一種防護(hù)網(wǎng)絡(luò)攻擊的系統(tǒng)�����,其特征在于�,包括客戶端、域名系統(tǒng)DNS�、 網(wǎng)關(guān),所述DNS用于接收所述客戶端發(fā)送的源請(qǐng)求信息�����,并根據(jù)所述源請(qǐng)求信息選擇目的請(qǐng)求信息����,并通知所述客戶端���,所述客戶端向所述網(wǎng)關(guān)發(fā)送所述源請(qǐng)求信息和目的請(qǐng)求信息;所迷網(wǎng)關(guān)接j)t^戶端發(fā)送的所述源請(qǐng)求信息和目的請(qǐng)求信息��,對(duì)所述源 請(qǐng)求信息與目的請(qǐng)求信息進(jìn)行校驗(yàn)���,當(dāng)所述校驗(yàn)結(jié)果不符合要求時(shí)���,將所述 源請(qǐng)求信息與目的請(qǐng)求信息丟棄。
14�����、 如權(quán)利要求13所述系統(tǒng)���,其特征在于,還包括服務(wù)器��,所述服務(wù)器用于當(dāng)所述校驗(yàn)結(jié)果符合要求時(shí)���,接收所述網(wǎng)關(guān)轉(zhuǎn) 發(fā)的所述源請(qǐng)求信息�����,并向所述網(wǎng)關(guān)發(fā)送回復(fù)信息����。
15、 如權(quán)利要求14所述系統(tǒng)�,其特征在于,所述網(wǎng)關(guān)接收所述服務(wù)器根 據(jù)所述源請(qǐng)求信息回復(fù)的回復(fù)信息��,將所述回復(fù)信息轉(zhuǎn)發(fā)給所ii^戶端���。
全文摘要
本發(fā)明實(shí)施例公開了一種防護(hù)網(wǎng)絡(luò)攻擊的方法����、系統(tǒng)及網(wǎng)關(guān)�����、域名系統(tǒng)�,其中方法包括接收客戶端發(fā)送的源請(qǐng)求信息和目的請(qǐng)求信息,所述目的請(qǐng)求信息由域名系統(tǒng)DNS根據(jù)所述源請(qǐng)求信息選擇并通知所述客戶端�;對(duì)所述源請(qǐng)求信息與目的請(qǐng)求信息進(jìn)行校驗(yàn);當(dāng)所述校驗(yàn)結(jié)果不符合要求時(shí),將所述源請(qǐng)求信息與目的請(qǐng)求信息丟棄�。本發(fā)明實(shí)施例的技術(shù)方案采用在DNS根據(jù)客戶端發(fā)送的源請(qǐng)求信息選擇目的請(qǐng)求信息,并根據(jù)校驗(yàn)結(jié)果建立客戶端與服務(wù)器之間的對(duì)應(yīng)關(guān)系����,防止DDOS的攻擊。
文檔編號(hào)H04L29/12GK101383830SQ200810171999
公開日2009年3月11日 申請(qǐng)日期2008年10月28日 優(yōu)先權(quán)日2008年10月28日
發(fā)明者武 蔣 申請(qǐng)人:成都市華為賽門鐵克科技有限公司