Cdn流量放大攻擊的防御方法及裝置制造方法
【專利摘要】本發(fā)明公開了一種CDN流量放大攻擊的防御方法及裝置���。其中的方法包括:接收連接請求消息,計(jì)算連接請求的最優(yōu)路徑跳數(shù)�����;通過至少一個(gè)CDN節(jié)點(diǎn)對所述連接請求消息進(jìn)行轉(zhuǎn)發(fā)����;在所述連接請求消息每次經(jīng)過一個(gè)CDN節(jié)點(diǎn)時(shí),對所述連接請求消息頭中的跳數(shù)累計(jì)字段計(jì)數(shù)��;判斷所述跳數(shù)累計(jì)字段的值是否超過所述最優(yōu)路徑跳數(shù)��,如果是��,確定存在CDN流量放大攻擊,對所述連接請求消息進(jìn)行相應(yīng)處理����,如果否,則對所述連接請求消息繼續(xù)轉(zhuǎn)發(fā)�。可見���,本發(fā)明通過對http協(xié)議報(bào)文簡單的改造�,即僅增加一個(gè)跳數(shù)累計(jì)字段��,即可實(shí)現(xiàn)跳數(shù)的統(tǒng)計(jì)���,當(dāng)跳數(shù)值超過最優(yōu)路徑跳數(shù)時(shí)�,則可容易地確定發(fā)生了CDN流量放大攻擊�����。
【專利說明】CDN流量放大攻擊的防御方法及裝置【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】��,具體涉及一種CDN流量放大攻擊的防御方法及裝置��。
【背景技術(shù)】
[0002]Q)N(內(nèi)容分發(fā)網(wǎng)絡(luò),Content Delivery Network),通過在網(wǎng)絡(luò)各處的加速節(jié)點(diǎn)服務(wù)器來為網(wǎng)站抵擋惡意流量��,把正常流量進(jìn)行轉(zhuǎn)發(fā)。CDN —般有三個(gè)作用:跨運(yùn)營商加速����、緩存加速以及惡意流量過濾。
[0003]目前存在一種攻擊���,不是對保護(hù)的網(wǎng)站進(jìn)行攻擊�����,而是對提供網(wǎng)站服務(wù)的服務(wù)節(jié)點(diǎn)進(jìn)行攻擊�。CDN流量放大攻擊就屬于這樣一種對CDN節(jié)點(diǎn)進(jìn)行攻擊的方式�����,它的原理是�����,在請求消息中通過偽裝目的地址而使請求消息在CDN節(jié)點(diǎn)發(fā)生死循環(huán)�����。例如����,CDN節(jié)點(diǎn)接收到一條post請求消息后,會解析獲知目的地址,例如要請求訪問域名WWW, baidu.com,正常情況下CDN節(jié)點(diǎn)會將消息發(fā)送給www.baidu.com對應(yīng)的目的地址,此時(shí),如果通過攻擊手段將post請求消息中的目的地址進(jìn)行修改���,修改為⑶N節(jié)點(diǎn)本身的地址��,那么��,在此情況下��,CDN節(jié)點(diǎn)會將消息一直發(fā)給自身��?��?梢姡珻DN流量放大攻擊利用一個(gè)請求消息就可以在CDN節(jié)點(diǎn)造成死循環(huán)�,將流量放大了很多倍。
[0004]現(xiàn)有對CDN流量放大攻擊的防御方法是���,通過http消息自帶的字段(X-Forwarded-For字段)可以獲知請求消息經(jīng)過的路徑��,現(xiàn)有的防御方法就是通過檢測路徑中的某個(gè)IP是否循環(huán)(重復(fù))����,如果循環(huán),則確定發(fā)生了 CDN流量放大攻擊���,繼而對數(shù)據(jù)包進(jìn)行丟棄等處理��。這種防御方法中��,在每次請求到來時(shí)����,都需要進(jìn)行http解析��,并通過復(fù)雜的計(jì)算才能獲知某個(gè)IP循環(huán)次數(shù)����,消耗的網(wǎng)絡(luò)資源多�,代價(jià)高。
【發(fā)明內(nèi)容】
`[0005]鑒于上述問題��,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的CDN流量放大攻擊的防御方法及裝置���。
[0006]依據(jù)本發(fā)明的一個(gè)方面�����,提供一種CDN流量放大攻擊的防御方法�,包括:接收連接請求消息,計(jì)算連接請求的最優(yōu)路徑跳數(shù)�;通過至少一個(gè)CDN節(jié)點(diǎn)對所述連接請求消息進(jìn)行轉(zhuǎn)發(fā);在所述連接請求消息每次經(jīng)過一個(gè)CDN節(jié)點(diǎn)時(shí)�,對所述連接請求消息頭中的跳數(shù)累計(jì)字段計(jì)數(shù);判斷所述跳數(shù)累計(jì)字段的值是否超過所述最優(yōu)路徑跳數(shù)�,如果是,確定存在CDN流量放大攻擊���,對所述連接請求消息進(jìn)行相應(yīng)處理���,如果否,則對所述連接請求消息繼續(xù)轉(zhuǎn)發(fā)�。
[0007]優(yōu)選的,所述跳數(shù)累計(jì)字段是在http協(xié)議報(bào)文頭部增加的字段���。
[0008]優(yōu)選的��,所述在連接請求消息每次經(jīng)過一個(gè)CDN節(jié)點(diǎn)時(shí)���、對連接請求消息頭中的跳數(shù)累計(jì)字段計(jì)數(shù)包括:
[0009]優(yōu)選的,在連接請求消息每次經(jīng)過一個(gè)CDN節(jié)點(diǎn)時(shí)����,將連接請求消息頭中的跳數(shù)累計(jì)字段的數(shù)值加I��。[0010]優(yōu)選的���,所述計(jì)算連接請求的最優(yōu)路徑跳數(shù)包括:計(jì)算連接請求到源站的最短路徑所經(jīng)過的CDN節(jié)點(diǎn)次數(shù)。
[0011]優(yōu)選的����,所述對連接請求消息進(jìn)行相應(yīng)處理包括:丟棄所述連接請求消息。
[0012]優(yōu)選的,所述連接請求包括http連接的get請求和post請求���。
[0013]依據(jù)本發(fā)明的另一個(gè)方面�����,提供一種CDN流量放大攻擊的防御裝置�,包括:消息接收單元����,用于接收連接請求消息�����;最優(yōu)路徑計(jì)算單元,用于計(jì)算連接請求的最優(yōu)路徑跳數(shù)�����;消息處理單元���,用于對所述連接請求消息進(jìn)行轉(zhuǎn)發(fā)或丟棄處理����,其中���,所述連接請求消息經(jīng)過至少一個(gè)CDN節(jié)點(diǎn)轉(zhuǎn)發(fā)����;跳數(shù)累計(jì)單元,用于在所述連接請求消息每次經(jīng)過一個(gè)CDN節(jié)點(diǎn)時(shí)�����,對所述連接請求消息頭中的跳數(shù)累計(jì)字段計(jì)數(shù)��;判斷單元���,用于判斷所述跳數(shù)累計(jì)字段的值是否超過所述最優(yōu)路徑跳數(shù)����,如果是,確定存在CDN流量放大攻擊�,通過所述消息處理單元對所述連接請求消息進(jìn)行相應(yīng)處理,如果否��,則通過所述消息處理單元對所述連接請求消息繼續(xù)轉(zhuǎn)發(fā)��。
[0014]優(yōu)選的��,所述跳數(shù)累計(jì)字段是在http協(xié)議報(bào)文頭部增加的字段���。
[0015]優(yōu)選的����,所述跳數(shù)累計(jì)單元具體用于在連接請求消息每次經(jīng)過一個(gè)CDN節(jié)點(diǎn)時(shí)��,將連接請求消息頭中的跳數(shù)累計(jì)字段的數(shù)值加I����。
[0016]優(yōu)選的,所述最優(yōu)路徑計(jì)算單元具體用于計(jì)算連接請求到源站的最短路徑所經(jīng)過的CDN節(jié)點(diǎn)次數(shù)����。
[0017]優(yōu)選的,當(dāng)所述判斷單元確定存在CDN流量放大攻擊����,通過所述消息處理單元丟棄所述連接請求消息。
[0018]優(yōu)選的,所述連接請求包括http連接的get請求和post請求�。
[0019]可見,本發(fā)明通過對http協(xié)議報(bào)文簡單的改造��,即僅增加一個(gè)跳數(shù)累計(jì)字段���,即可實(shí)現(xiàn)跳數(shù)的統(tǒng)計(jì)�����,當(dāng)跳數(shù)值超過最優(yōu)路徑跳數(shù)時(shí)�,則可容易地確定發(fā)生了 CDN流量放大攻擊�����。相比于現(xiàn)有的通過http協(xié)議的X-Forwarded-For字段防御方式,無需進(jìn)行協(xié)議解析及拆分而獲得IP地址���,也無需通過復(fù)雜的計(jì)算方式獲知該IP的循環(huán)次數(shù)�,從而簡化流程,節(jié)省系統(tǒng)開銷��。
[0020]上述說明僅是本發(fā)明技術(shù)方案的概述�����,為了能夠更清楚了解本發(fā)明的技術(shù)手段�����,而可依照說明書的內(nèi)容予以實(shí)施���,并且為了讓本發(fā)明的上述和其它目的��、特征和優(yōu)點(diǎn)能夠更明顯易懂�,以下特舉本發(fā)明的【具體實(shí)施方式】�。
【專利附圖】
【附圖說明】
[0021]通過閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述,各種其他的優(yōu)點(diǎn)和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了���。附圖僅用于示出優(yōu)選實(shí)施方式的目的����,而并不認(rèn)為是對本發(fā)明的限制��。而且在整個(gè)附圖中,用相同的參考符號表示相同的部件��。在附圖中:
[0022]圖1示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的CDN流量放大攻擊的防御方法流程圖���。
【具體實(shí)施方式】
[0023]下面將參照附圖更詳細(xì)地描述本公開的示例性實(shí)施例。雖然附圖中顯示了本公開的示例性實(shí)施例�,然而應(yīng)當(dāng)理解,可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制���。相反��,提供這些實(shí)施例是為了能夠更透徹地理解本公開����,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員����。
[0024]如前所述的,⑶N通過在網(wǎng)絡(luò)各處的加速節(jié)點(diǎn)服務(wù)器來為網(wǎng)站抵擋惡意流量�����,把正常流量進(jìn)行轉(zhuǎn)發(fā)��。
[0025]⑶N —般有三個(gè)作用:
[0026]1.跨運(yùn)營商加速:一個(gè)網(wǎng)站常常只屬于一個(gè)運(yùn)營商(比如:電信),而加速節(jié)點(diǎn)遍布每家運(yùn)營商����,于是和網(wǎng)站不同運(yùn)營商(比如:聯(lián)通)的用戶訪問起來就不會那么慢了。
[0027]2.緩存加速:很多的靜態(tài)資源以及一部分頁面更新都是比較慢的(比如首頁)�����,這個(gè)時(shí)候⑶N就會根據(jù)瀏覽器的max-age和last-modif ied值以及管理員的預(yù)設(shè)值來進(jìn)行緩存��,于是很多流量CDN節(jié)點(diǎn)就不會每次都來向網(wǎng)站請求�,CDN節(jié)點(diǎn)可以直接將命中的緩存內(nèi)容返回。
[0028]3.惡意流量過濾:這是⑶N非常重要的一個(gè)作用��,也是很多網(wǎng)站會用⑶N的原因�����,因?yàn)镃DN能為網(wǎng)站抵擋攻擊大流量攻擊�、普通的攻擊(比如注入等),只有正常流量才會轉(zhuǎn)發(fā)給網(wǎng)站�。
[0029]名詞說明:
[0030]源站:被保護(hù)的網(wǎng)站就被稱為是源站,也就是要訪問的網(wǎng)站��。
[0031]反向代理:⑶N節(jié)點(diǎn)向源站請求數(shù)據(jù)的方式就叫反向代理��,也就是上文所說的轉(zhuǎn)發(fā)。
[0032]回源:CDN節(jié)點(diǎn)向源站請求數(shù)據(jù)的行為就叫做回源���。
[0033]X-Forwarded-For 機(jī)制:X-Forwarded_For 是 http 協(xié)議自帶的字段�,X-Forwarded-For機(jī)制是通過一層代理后記錄一個(gè)IP,讓源站在使用⑶N后能夠獲得真實(shí)的訪客IP而不是CDN節(jié)點(diǎn)IP���。
[0034]下面探討⑶N流量放大攻擊的原理及實(shí)現(xiàn)���。
[0035]例如���,發(fā)現(xiàn)一個(gè)沒有人訪問的網(wǎng)站居然會有流量�,并且有著驚人的訪問次數(shù)����。
[0036]通過CDN節(jié)點(diǎn)定期的(例如2分鐘)反向代理檢測,檢測到的訪問次數(shù)加起來為幾百次���,而實(shí)際訪問次數(shù)達(dá)到百萬次�。通過查看日志�����,可發(fā)現(xiàn)單個(gè)域名的日志到達(dá)了幾十G之多,而將其打開之后發(fā)現(xiàn)X-Forwarded-For字段中充斥著大量IP����,而且都是本服務(wù)器IP。通過在管理端上驗(yàn)證可以得知把源站IP設(shè)成了⑶N節(jié)點(diǎn)的IP���。由于2分鐘一次的檢測觸發(fā)CDN節(jié)點(diǎn)的回源�,而這個(gè)站點(diǎn)的源站是CDN節(jié)點(diǎn)本身��,于是CDN就開始不斷自身反向代理死循環(huán)�����,這樣一個(gè)請求就被無限地放大了��。當(dāng)超時(shí)或者數(shù)據(jù)頭(HEADER)太大(就是X-Forwarded-For字段導(dǎo)致HEADER溢出)的時(shí)候,請求會被丟棄�����。
[0037]把站點(diǎn)的源站IP設(shè)為CDN節(jié)點(diǎn)本身���,能夠讓CDN節(jié)點(diǎn)進(jìn)行自我的反向代理死循環(huán)�����,然后放大流量��。
[0038]于是可總結(jié)�,這種節(jié)點(diǎn)反向代理自身的攻擊手法可以適用于這樣的場景:想要攻擊某個(gè)CDN節(jié)點(diǎn),但是如果攻擊頁面消耗不了太多��,而如果攻擊CDN中的某個(gè)站點(diǎn)�����,因?yàn)榱髁繒┩高^去����,可能還沒有把CDN節(jié)點(diǎn)攻擊掉�,背后的站點(diǎn)早被穿透死了。這個(gè)時(shí)候��,如果讓節(jié)點(diǎn)進(jìn)行自身反向代理死循環(huán)�,它就會把所有的流量給吃進(jìn)去,并且沒法吐出來��,這個(gè)時(shí)候可以產(chǎn)生一定量的流量杠桿效應(yīng)�����,可以使得CDN節(jié)點(diǎn)出現(xiàn)異常。
[0039]同理�,既然一個(gè)節(jié)點(diǎn)能死循環(huán),那兩個(gè)節(jié)點(diǎn)也是會產(chǎn)生死循環(huán)��,并且產(chǎn)生了質(zhì)的變化��。[0040]假設(shè)了這樣的一個(gè)場景:
[0041]假設(shè)一個(gè)攻擊(例如cc攻擊)在甲⑶N服務(wù)商注冊服務(wù)�,并且在乙⑶N服務(wù)商注冊服務(wù),然后得到甲⑶N服務(wù)商的一個(gè)⑶N加速節(jié)點(diǎn)1.1.1.1�,然后又得到乙⑶N服務(wù)商的一個(gè)⑶N加速節(jié)點(diǎn)2.2.2.2。然后�����,攻擊方把在甲⑶N服務(wù)商設(shè)置源站為乙的加速節(jié)點(diǎn)
2.2.2.2����,在乙⑶N服務(wù)商設(shè)置源站為甲的加速節(jié)點(diǎn)1.1.1.1,然后甲會問乙去索取源站��,乙又來問甲索取源站���,于是1.1.1.1和2.2.2.2就不停地交互起來�。
[0042]以POST包作為測試包,原因有兩個(gè):
[0043]1.⑶N節(jié)點(diǎn)是會有緩存機(jī)制的�,剛剛請求的地址命中緩存,那么就直接返回��,不會成為死循環(huán)了�����,而POST包則有一個(gè)很好的特性�����,絕對回源��。
[0044]2.POST包可以擴(kuò)大體積��,在同等連接數(shù)的情況下讓攻擊效應(yīng)更加明顯���。
[0045]例如,測試發(fā)送500個(gè)POST包����,每個(gè)體積大概為IOk左右。然后總共發(fā)送的流量為5M����。
[0046]這一種攻擊方式和前一種相比有兩個(gè)“優(yōu)點(diǎn)”:
[0047]1.⑶N服務(wù)商不能把源站IP做限制來防御�����,因?yàn)樗麩o法知道別家的⑶N節(jié)點(diǎn)IP�����。
[0048]2.可以用一家⑶N服務(wù)商的⑶N節(jié)點(diǎn)來打另外一家⑶N服務(wù)商�����。
[0049]同理�����,一個(gè)站點(diǎn)可以把兩個(gè)節(jié)點(diǎn)陷入死循環(huán)�����,如果把更多的節(jié)點(diǎn)引入是否同樣會引起死循環(huán)�����。
[0050]假設(shè)�,讓多個(gè)⑶N節(jié)點(diǎn)和一個(gè)⑶N節(jié)點(diǎn)死循環(huán),把中間的⑶N節(jié)點(diǎn)帶寬耗盡�����。畢竟在CDN服務(wù)商添加一個(gè)域名的代價(jià)是很小的(免費(fèi))�����,因此���,可以用一個(gè)一個(gè)域名將節(jié)點(diǎn)串起來���,然后突然一下開始流量死循環(huán)震蕩。
[0051]通過以上描述�,了解了⑶N流量放大攻擊的原理及實(shí)現(xiàn)方式。本發(fā)明提出的防御方法����,針對一條連接,統(tǒng)計(jì)它的連接消息經(jīng)過CDN節(jié)點(diǎn)的跳數(shù)��,當(dāng)統(tǒng)計(jì)的跳數(shù)值超過最優(yōu)路徑跳數(shù)時(shí)��,確定發(fā)生了 CDN流量放大攻擊���,然后對數(shù)據(jù)包進(jìn)行丟棄等處理�����。
[0052]參見圖1����,為CDN流量放大攻擊的防御方法流程圖���。該方法包括以下步驟:
[0053]SlOl:接收連接請求消息,計(jì)算連接請求的最優(yōu)路徑跳數(shù)���;
[0054]S102:通過至少一個(gè)⑶N節(jié)點(diǎn)對連接請求消息進(jìn)行轉(zhuǎn)發(fā);
[0055]S103:在連接請求消息每次經(jīng)過一個(gè)⑶N節(jié)點(diǎn)時(shí)�,對連接請求消息頭中的跳數(shù)累計(jì)字段計(jì)數(shù);
[0056]S104:判斷跳數(shù)累計(jì)字段的值是否超過最優(yōu)路徑跳數(shù)�����,如果是����,執(zhí)行S105 ;如果否,執(zhí)行S106 ��;
[0057]S105:當(dāng)跳數(shù)累計(jì)字段的值超過最優(yōu)路徑跳數(shù)時(shí),確定存在CDN流量放大攻擊����,對連接請求消息進(jìn)行相應(yīng)處理;
[0058]S106:當(dāng)跳數(shù)累計(jì)字段的值沒有超過最優(yōu)路徑跳數(shù)時(shí)����,確定不存在CDN流量放大攻擊,則對連接請求消息繼續(xù)轉(zhuǎn)發(fā)�����。
[0059]下面以http連接請求消息的處理為例對本發(fā)明進(jìn)行說明��。
[0060]本領(lǐng)域技術(shù)人員了解�����,Http連接包括GET請求和POST請求����。創(chuàng)建的步驟分別是:1、創(chuàng)建HttpGet (或HttpPost)對象,將要請求的URL通過構(gòu)造方法傳入HttpGet (或HttpPost)對象中�����;2、使用 DefaultHttpClient 類的 execute 方法發(fā)送 HTTP GET 或 HTTPPOST請求�����,并返回HttpResponse對象�����;3�、通過HttpResponse接口的getEntity方法返回響應(yīng)信息����。
[0061]例如,“云服務(wù)”系統(tǒng)接收訪問域名www.baidu.com的http連接請求消息,并對該連接請求消息進(jìn)行網(wǎng)絡(luò)拓?fù)溆?jì)算以及相應(yīng)的轉(zhuǎn)發(fā)處理。假設(shè)通過網(wǎng)絡(luò)拓?fù)溆?jì)算���,該連接請求的最優(yōu)路徑是“北京一成都一百度網(wǎng)站”�,也就是該連接請求消息要經(jīng)過這三地的服務(wù)節(jié)點(diǎn)處理轉(zhuǎn)發(fā)���,那么最優(yōu)路徑跳數(shù)就是3����。正常情況下�����,該連接請求消息經(jīng)過三地的三個(gè)CDN節(jié)點(diǎn)轉(zhuǎn)發(fā)即可完成該連接的建立。假設(shè)此時(shí)出現(xiàn)了 CDN流量放大攻擊����,該連接請求消息被攻擊方通過將源站地址修改為某個(gè)/些⑶N節(jié)點(diǎn)地址的方式在這個(gè)/些節(jié)點(diǎn)之間循環(huán)發(fā)送,從而造成了死循環(huán)�,占用系統(tǒng)資源。本發(fā)明提出���,在http協(xié)議報(bào)文頭中增加一個(gè)字段���,稱為跳數(shù)累計(jì)字段,用于專門針對一條連接對其請求消息所經(jīng)過的跳數(shù)進(jìn)行統(tǒng)計(jì)���。如上場景���,當(dāng)發(fā)生了 CDN流量放大攻擊而使得連接請求消息在某個(gè)/些CDN節(jié)點(diǎn)不停循環(huán)時(shí),當(dāng)跳數(shù)累計(jì)字段累加到4����,即超過最優(yōu)路徑跳數(shù)3時(shí),本發(fā)明即自動判斷出CDN流量放大攻擊����,此時(shí)���,可對消息進(jìn)行丟棄等處理,從而避免繼續(xù)浪費(fèi)系統(tǒng)資源�����。假如跳數(shù)累計(jì)字段沒有超過最優(yōu)路徑跳數(shù)���,則對消息進(jìn)行繼續(xù)的轉(zhuǎn)發(fā)等處理。本發(fā)明提供的方法對于上面列舉的單個(gè)CDN攻擊��、多個(gè)CDN攻擊以及服務(wù)商交互式的CDN攻擊都適用����,因?yàn)椴徽撨@三種方式中的哪一種,都是對本系統(tǒng)的CDN節(jié)點(diǎn)過多過少地(交互式CDN攻擊只對本系統(tǒng)造成一部分流量放大)造成了死循環(huán)���,那么通過跳數(shù)統(tǒng)計(jì)及判斷�,即可在超過最優(yōu)跳數(shù)門限制時(shí)確定是否發(fā)生了 CDN流量放大攻擊�。其中,此處是假設(shè)每個(gè)地方由一個(gè)CDN節(jié)點(diǎn)����,并且這三個(gè)CDN節(jié)點(diǎn)的關(guān)系是平等的“兄弟”節(jié)點(diǎn)關(guān)系�����,當(dāng)然對于每個(gè)地方CDN節(jié)點(diǎn)的布置不作限制��。
[0062]可見�,本發(fā)明通過對http協(xié)議報(bào)文簡單的改造�����,即僅增加一個(gè)跳數(shù)累計(jì)字段�����,即可實(shí)現(xiàn)跳數(shù)的統(tǒng)計(jì)�����,當(dāng)跳數(shù)值超過最優(yōu)路徑跳數(shù)時(shí)��,則可容易地確定發(fā)生了 CDN流量放大攻擊��。相比于現(xiàn)有的通過http協(xié)議的X-Forwarded-For字段防御方式,無需進(jìn)行協(xié)議解析及拆分而獲得IP地址,也無需通過復(fù)雜的計(jì)算方式獲知該IP的循環(huán)次數(shù)����,從而簡化流程,節(jié)省系統(tǒng)開銷����。
[0063]與上述方法相對應(yīng),本發(fā)明還提供一種⑶N流量放大攻擊的防御裝置��。該裝置可以通過硬件�����、軟件或軟硬件結(jié)合實(shí)現(xiàn)���。具體的,該裝置可以是只CDN節(jié)點(diǎn)或其他服務(wù)節(jié)點(diǎn)內(nèi)部的功能實(shí)體�����,也可以是指CDN節(jié)點(diǎn)本身或其他服務(wù)節(jié)點(diǎn)�����,只要能夠?qū)崿F(xiàn)相應(yīng)功能即可,對其存在形式不作限定�����。
[0064]該裝置可包括:
[0065]消息接收單元,用于接收連接請求消息��;
[0066]最優(yōu)路徑計(jì)算單元�����,用于計(jì)算連接請求的最優(yōu)路徑跳數(shù)���;
[0067]消息處理單元�,用于對連接請求消息進(jìn)行轉(zhuǎn)發(fā)或丟棄處理���,其中�,連接請求消息經(jīng)過至少一個(gè)⑶N節(jié)點(diǎn)轉(zhuǎn)發(fā)���;
[0068]跳數(shù)累計(jì)單元����,用于在連接請求消息每次經(jīng)過一個(gè)⑶N節(jié)點(diǎn)時(shí)�,對連接請求消息頭中的跳數(shù)累計(jì)字段計(jì)數(shù)��;
[0069]判斷單元���,用于判斷跳數(shù)累計(jì)字段的值是否超過最優(yōu)路徑跳數(shù),如果是��,確定存在CDN流量放大攻擊���,通過消息處理單元對連接請求消息進(jìn)行相應(yīng)處理�,如果否����,則通過消息處理單元對連接請求消息繼續(xù)轉(zhuǎn)發(fā)。
[0070]優(yōu)選的�����,跳數(shù)累計(jì)字段是在http協(xié)議報(bào)文頭部增加的字段����。
[0071]其中����,跳數(shù)累計(jì)單元具體用于在連接請求消息每次經(jīng)過一個(gè)⑶N節(jié)點(diǎn)時(shí),將連接請求消息頭中的跳數(shù)累計(jì)字段的數(shù)值加I。
[0072]其中�,最優(yōu)路徑計(jì)算單元具體用于計(jì)算連接請求到源站的最短路徑所經(jīng)過的⑶N節(jié)點(diǎn)次數(shù)。
[0073]其中���,當(dāng)判斷單元確定存在⑶N流量放大攻擊����,通過消息處理單元丟棄連接請求消息�����。
[0074]優(yōu)選的,連接請求包括http連接的get請求和post請求�。
[0075]在此提供的算法和顯示不與任何特定計(jì)算機(jī)、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)�����。各種通用系統(tǒng)也可以與基于在此的示教一起使用���。根據(jù)上面的描述���,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的。此外���,本發(fā)明也不針對任何特定編程語言�。應(yīng)當(dāng)明白,可以利用各種編程語言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容���,并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式�。
[0076]在此處所提供的說明書中����,說明了大量具體細(xì)節(jié)。然而��,能夠理解�,本發(fā)明的實(shí)施例可以在沒有這些具體細(xì)節(jié)的情況下實(shí)踐。在一些實(shí)例中�,并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù)�����,以便不模糊對本說明書的理解�。
[0077]類似地��,應(yīng)當(dāng)理解��,為了精簡本公開并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè),在上面對本發(fā)明的示例性實(shí)施例的描述中����,本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例、圖�、或者對其的描述中。然而���,并不應(yīng)將該公開的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征��。更確切地說�����,如下面的權(quán)利要求書所反映的那樣�����,發(fā)明方面在于少于前面公開的單個(gè)實(shí)施例的所有特征�。因此�,遵循【具體實(shí)施方式】的權(quán)利要求書由此明確地并入該【具體實(shí)施方式】,其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例��。
[0078]本領(lǐng)域那些技術(shù)人員可以理解����,可以對實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們設(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中�?���?梢园褜?shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件,以及此外可以把它們分成多個(gè)子模塊或子單元或子組件���。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外����,可以采用任何組合對本說明書(包括伴隨的權(quán)利要求����、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合。除非另外明確陳述���,本說明書(包括伴隨的權(quán)利要求��、摘要和附圖)中公開的每個(gè)特征可以由提供相同�、等同或相似目的的替代特征來代替�。
[0079]此外�,本領(lǐng)域的技術(shù)人員能夠理解���,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例����。例如,在下面的權(quán)利要求書中��,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來使用��。
[0080]本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn)��,或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn)�����,或者以它們的組合實(shí)現(xiàn)�。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解,可以在實(shí)踐中使用微處理器或者數(shù)字信號處理器(DSP)來實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的CDN流量放大攻擊的防御裝置中的一些或者全部部件的一些或者全部功能�����。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如�����,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲在計(jì)算機(jī)可讀介質(zhì)上�����,或者可以具有一個(gè)或者多個(gè)信號的形式�����。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到�����,或者在載體信號上提供����,或者以任何其他形式提供。
[0081]應(yīng)該注意的是上述實(shí)施例對本發(fā)明進(jìn)行說明而不是對本發(fā)明進(jìn)行限制�����,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例�。在權(quán)利要求中,不應(yīng)將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制�。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來實(shí)現(xiàn)�����。在列舉了若干裝置的單元權(quán)利要求中�����,這些裝置中的若干個(gè)可以是通過同一個(gè)硬件項(xiàng)來具體體現(xiàn)����。單詞第一��、第二����、以及第三等的使用不表示任何順序?����?蓪⑦@些單詞解釋為名稱�。
[0082]本發(fā)明提供:A1、一種⑶N流量放大攻擊的防御方法����,包括:
[0083]接收連接請求消息�����,計(jì)算連接請求的最優(yōu)路徑跳數(shù)�����;
[0084]通過至少一個(gè)⑶N節(jié)點(diǎn)對所述連接請求消息進(jìn)行轉(zhuǎn)發(fā)�����;
[0085]在所述連接請求消息每次經(jīng)過一個(gè)CDN節(jié)點(diǎn)時(shí)��,對所述連接請求消息頭中的跳數(shù)累計(jì)字段計(jì)數(shù)���;
[0086]判斷所述跳數(shù)累計(jì)字段的值是否超過所述最優(yōu)路徑跳數(shù),如果是��,確定存在CDN流量放大攻擊���,對所述連接請求消息進(jìn)行相應(yīng)處理����,如果否,則對所述連接請求消息繼續(xù)轉(zhuǎn)發(fā)��。
[0087]A2�、如Al所述的方法,所述跳數(shù)累計(jì)字段是在http協(xié)議報(bào)文頭部增加的字段����。
[0088]A3�����、如Al所述的方法,所述在連接請求消息每次經(jīng)過一個(gè)⑶N節(jié)點(diǎn)時(shí)�����、對連接請求消息頭中的跳數(shù)累計(jì)字段計(jì)數(shù)包括:
[0089]在連接請求消息每次經(jīng)過一個(gè)CDN節(jié)點(diǎn)時(shí)��,將連接請求消息頭中的跳數(shù)累計(jì)字段的數(shù)值加I��。
[0090]A4�����、如Al所述的方法�����,所述計(jì)算連接請求的最優(yōu)路徑跳數(shù)包括:計(jì)算連接請求到源站的最短路徑所經(jīng)過的CDN節(jié)點(diǎn)次數(shù)。
[0091]A5����、如Al所述的方法,所述對連接請求消息進(jìn)行相應(yīng)處理包括:丟棄所述連接請求消息��。
[0092]A6�����、如Al所述的方法,所述連接請求包括http連接的get請求和post請求���。
[0093]B7�、一種⑶N流量放大攻擊的防御裝置�����,包括:
[0094]消息接收單元��,用于接收連接請求消息����;
[0095]最優(yōu)路徑計(jì)算單元��,用于計(jì)算連接請求的最優(yōu)路徑跳數(shù)�;
[0096]消息處理單元�,用于對所述連接請求消息進(jìn)行轉(zhuǎn)發(fā)或丟棄處理,其中�����,所述連接請求消息經(jīng)過至少一個(gè)⑶N節(jié)點(diǎn)轉(zhuǎn)發(fā)���;
[0097]跳數(shù)累計(jì)單元,用于在所述連接請求消息每次經(jīng)過一個(gè)⑶N節(jié)點(diǎn)時(shí)����,對所述連接請求消息頭中的跳數(shù)累計(jì)字段計(jì)數(shù);
[0098]判斷單元��,用于判斷所述跳數(shù)累計(jì)字段的值是否超過所述最優(yōu)路徑跳數(shù)�����,如果是���,確定存在CDN流量放大攻擊���,通過所述消息處理單元對所述連接請求消息進(jìn)行相應(yīng)處理�����,如果否����,則通過所述消息處理單元對所述連接請求消息繼續(xù)轉(zhuǎn)發(fā)���。
[0099]B8dn B7所述的裝置�,所述跳數(shù)累計(jì)字段是在http協(xié)議報(bào)文頭部增加的字段�����。[0100]B9�����、如B7所述的裝置�,所述跳數(shù)累計(jì)單元具體用于在連接請求消息每次經(jīng)過一個(gè)CDN節(jié)點(diǎn)時(shí),將連接請求消息頭中的跳數(shù)累計(jì)字段的數(shù)值加I���。
[0101]BlO^ B7所述的裝置�,所述最優(yōu)路徑計(jì)算單元具體用于計(jì)算連接請求到源站的最短路徑所經(jīng)過的CDN節(jié)點(diǎn)次數(shù)。
[0102]B11����、如B7所述的裝置,當(dāng)所述判斷單元確定存在⑶N流量放大攻擊��,通過所述消息處理單元丟棄所述連接請求消息���。
[0103]B12����、如B7所 述的裝置,所述連接請求包括http連接的get請求和post請求��。
【權(quán)利要求】
1.一種CDN流量放大攻擊的防御方法���,其特征在于,包括: 接收連接請求消息��,計(jì)算連接請求的最優(yōu)路徑跳數(shù)���; 通過至少一個(gè)CDN節(jié)點(diǎn)對所述連接請求消息進(jìn)行轉(zhuǎn)發(fā)���; 在所述連接請求消息每次經(jīng)過一個(gè)CDN節(jié)點(diǎn)時(shí)��,對所述連接請求消息頭中的跳數(shù)累計(jì)字段計(jì)數(shù)���; 判斷所述跳數(shù)累計(jì)字段的值是否超過所述最優(yōu)路徑跳數(shù),如果是��,確定存在CDN流量放大攻擊����,對所述連接請求消息進(jìn)行相應(yīng)處理,如果否�,則對所述連接請求消息繼續(xù)轉(zhuǎn)發(fā)。
2.如權(quán)利要求1所述的方法�����,其特征在于�����,所述跳數(shù)累計(jì)字段是在http協(xié)議報(bào)文頭部增加的字段�����。
3.如權(quán)利要求1所述的方法,其特征在于����,所述在連接請求消息每次經(jīng)過一個(gè)CDN節(jié)點(diǎn)時(shí)、對連接請求消息頭中的跳數(shù)累計(jì)字段計(jì)數(shù)包括: 在連接請求消息每次經(jīng)過一個(gè)CDN節(jié)點(diǎn)時(shí)�,將連接請求消息頭中的跳數(shù)累計(jì)字段的數(shù)值加I。
4.如權(quán)利要求1所述的方法���,其特征在于����,所述計(jì)算連接請求的最優(yōu)路徑跳數(shù)包括:計(jì)算連接請求到源站的最短路徑所經(jīng)過的⑶N節(jié)點(diǎn)次數(shù)�。
5.如權(quán)利要求1所述的方法,其特征在于�,所述對連接請求消息進(jìn)行相應(yīng)處理包括:丟棄所述連接請求消息。
6.如權(quán)利要求1所述的方法����,其特征在于,所述連接請求包括http連接的get請求和post請求���。
7.—種CDN流量放大攻擊的防御裝置,其特征在于�����,包括: 消息接收單元,用于接收連接請求消息�; 最優(yōu)路徑計(jì)算單元,用于計(jì)算連接請求的最優(yōu)路徑跳數(shù)�; 消息處理單元,用于對所述連接請求消息進(jìn)行轉(zhuǎn)發(fā)或丟棄處理����,其中,所述連接請求消息經(jīng)過至少一個(gè)⑶N節(jié)點(diǎn)轉(zhuǎn)發(fā)��; 跳數(shù)累計(jì)單元����,用于在所述連接請求消息每次經(jīng)過一個(gè)CDN節(jié)點(diǎn)時(shí),對所述連接請求消息頭中的跳數(shù)累計(jì)字段計(jì)數(shù)��; 判斷單元��,用于判斷所述跳數(shù)累計(jì)字段的值是否超過所述最優(yōu)路徑跳數(shù)�,如果是,確定存在CDN流量放大攻擊��,通過所述消息處理單元對所述連接請求消息進(jìn)行相應(yīng)處理�����,如果否,則通過所述消息處理單元對所述連接請求消息繼續(xù)轉(zhuǎn)發(fā)���。
8.如權(quán)利要求7所述的裝置���,其特征在于,所述跳數(shù)累計(jì)字段是在http協(xié)議報(bào)文頭部增加的字段�����。
9.如權(quán)利要求7所述的裝置����,其特征在于,所述跳數(shù)累計(jì)單元具體用于在連接請求消息每次經(jīng)過一個(gè)CDN節(jié)點(diǎn)時(shí)��,將連接請求消息頭中的跳數(shù)累計(jì)字段的數(shù)值加I����。
10.如權(quán)利要求7所述的裝置,其特征在于��,所述最優(yōu)路徑計(jì)算單元具體用于計(jì)算連接請求到源站的最短路徑所經(jīng)過的CDN節(jié)點(diǎn)次數(shù)��。
【文檔編號】H04L29/06GK103685253SQ201310652790
【公開日】2014年3月26日 申請日期:2013年12月5日 優(yōu)先權(quán)日:2013年12月5日
【發(fā)明者】姚熙 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司