[发明专利]防御网络攻击和建立网络连接的方法及设备

说明书

技术领域

本发明涉及通信技术领域，尤其涉及防御网络攻击和建立网络连接的方 法及设备。

背景技术

SIP(Session Initiation Protocol，会话初始协议)用于发起会话。其采用 Client/Server模型，其元素包括UA(User Agent，用户代理)和代理服务器PS (Proxy Server)。SIP消息分请求和响应两类，UA发送或接受请求和响 应，请求消息由UA发往代理服务器PS，响应消息由PS发往UA。UA是用户 代理客户端UAC(User Agent Client)和用户代理服务器UAS(User Agent Server)组合的逻辑实体。当UA发送请求时充当的是UAC的角色，当UA接 受请求发送响应时充当的是UAS的角色。

SIP采用三次握手的方式建立会话，如图1所示，主叫方UAC向被叫方 UAS发送SIP Invite请求以建立会话；UAS收到该SIP Invite请求后回应一个 200OK响应；UAC发送ACK消息对该响应进行确认，上述消息都通过PS转 发。在整个会话的建立过程中，UAS会保存会话状态，有状态PS在会话过程 中同样会保存事务状态或会话状态。

然而攻击者采用发送大量的伪From域的SIP Invite数据包来实施洪水攻 击，有状态PS和接收方UAS都会为每一个连接请求维护一个会话状态。由于 From域被伪造，UAS在返回200OK响应后，收不到来自发起方UAC的ACK 确认，会话连接始终处于维护状态，导致有状态PS和UAS消耗大量的内存维 护会话，最终使得PS和接受方UAS内存耗尽，拒绝服务，甚至系统瘫痪。因 此当正当发起方UAC发送SIP Invite数据包时，由于PS和UAS拒绝服务，导 致UAC接收不到200OK相应。从上述描述可知，当没有攻击发生的情况下， 由于系统能正常运行，SIP Invite数据包的数目应该与200OK响应的数目相 等，于是现有技术中采用基于统计的方法来防止攻击，通过统计某时段内 SIP Invite数据包的数目和200OK响应数据包的数目，将SIP InviteS数据包的 个数和200OK响应数据包的个数的比值与预先设好的阈值进行比较，当所述 比值大于所述阈值时，则认为有攻击发生，丢弃该数据包并将发送数据包的 源IP地址加入黑名单阻止连接的建立。

在代理服务器和UAS发起认证的情况下，在UAS发送200OK响应消息 前，UAC会重发带有认证信息的Invite请求，如图2所示。正常情况下，此时 SIP Invite数据包的数目为200OK响应数据包数目的两倍，若用上述方法进 行检测就会发生无攻击情况下SIP Invite数据包的个数和200OK响应数据包 的个数的比值大于所述阈值，从而出现大量误报，把合法的请求识别为攻 击，阻止了合法连接的建立。

发明内容

本发明实施例提供防御网络攻击和建立会话连接的方法及装置，使得有 效防御网络攻击以及建立网络连接。

本发明的实施例提供了一种防御网络攻击的方法，该方法包括：接收发 起方用户代理发送的第一请求消息；根据所述第一请求消息中携带的数据包 信息和域信息确定第一验证信息，向发起方用户代理发送携带所述第一验证 信息的响应消息；接收发起方用户代理应所述响应消息发送的携带认证信息 的第二请求消息；根据所述第二请求消息中携带的数据包信息和域信息确定 第二验证信息，将所述第一验证信息和所述第二验证信息进行比较，验证所 述第二请求消息；验证所述第一验证信息和所述第二验证信息相同，转发所 述第二请求消息，否则终止请求。

本发明的实施例还提供了一种防御网络攻击的方法，该方法包括：接收 发起方用户代理发送的第一请求消息；验证所述第一请求消息的来源，对不 可识别的来源发送的请求消息，根据所述第一请求消息中携带的数据包信息 和域信息确定第一验证信息，向发起方用户代理发送携带所述第一验证信息 的响应消息；接收发起方用户代理应所述响应消息发送的携带认证信息的第 二请求消息；根据所述第二请求消息中携带的数据包信息和域信息确定第二 验证信息，将所述第一验证信息和所述第二验证信息进行比较，验证所述第 二请求消息；验证所述第一验证信息和所述第二验证信息相同，转发所述第 二请求消息，否则终止请求。