[发明专利]一种利用优先级队列防止DOS攻击的方法

说明书

技术领域

本发明涉及网络防御技术，特别涉及一种利用优先级队列防止DOS攻击的方法。

背景技术

作为多媒体会话控制信令的SIP协议是根据简化、易扩展的思路设计的，而不是根据安全的思路设计的。因此在应用安全方面，协议有其自身特殊的特点。协议是以文本形式传送的，同时，由于应用中的中间服务器需要读取消息中的某些字段以获取信息将包传送到正确的目的地，因此消息体在中间服务器间的传送过程是不允许完全加密也是可以随时被修改的。而且随着协议的逐渐兴起，越来越多的厂商、用户希望将协议支持的广泛功能应用日常的生产生活中。这时，协议的安全就成为一个棘手又不可回避的问题。

SIP服务终端一般是通过代理服务器进行连接，所以针对SIP的攻击即可以作用在终端上也可以作用在代理服务器上。

近些年针对SIP协议的攻击逐渐增多，包括注册劫持，伪装服务器，篡改消息，恶意结束会话。但主要的攻击手段依然是DOS攻击，包括针对终端的DOS攻击和针对中间服务器的DOS攻击，比较普遍的就是不断发送的INVITE报的洪水攻击。

本专利主要是针对发送INVITE的DOS攻击。

大多数DOS攻击都以耗尽服务器的某种资源为目的，使服务器由于资源缺乏而拒绝合法用户的各类服务请求。对SIP服务器来说主要包括CPU，内存和带宽这三类资源。

而INVITE攻击的主要作用原理与DOS攻击相一致，攻击者向用户端不断发送INVITE数据包，致使带宽堵塞，使别的数据丢失或不能按时到达接收端；内存要被不断到达的INVITE消息塞满，得不到及时清理缓存导致反应变慢或者死机。CPU要不断的处理INVITE消息，CPU资源都被占用致使不能处理别的数据。

当发生INVITE洪水攻击时，会要大量的INVITE请求发过来邀请用户端参加会话，短时间内的INVITE包使用户端对于响应这些消息疲于拼命，致使带宽堵塞，用户端的资源被耗尽。

目前常见的防御SIP DOS攻击技术包括：1、SIP服务器当前业务量设置门限值；2、普通队列防治。简单介绍如下：

现有技术一：SIP服务器对当前业务量预先设定的拥塞门限

原理：主要方法是SIP服务器对其当前处理的业务量进行检测，当检测到当前处理的业务量达到预先设定的拥塞门限时，对于其接收的请求消息返回拥塞响应消息，SIP请求方根据拥塞响应消息进行相应的处理，这些处理包括利用预先配置的其他SIP服务器地址作为拥塞发生时的代替地址；对不同的请求消息进行不同的处理方式，例如在拥塞时对BYE消息正常接收，对INVITE消息返回拥塞控制消息。

SIP服务器是否发生拥塞是通过检测SIP服务器处理业务量进行判断的，当SIP服务器的业务量达到了与其自身最大处理能力的比例为一定值时，设定为发生拥塞，可以由运营商或设备商预先设定，或者根据SIP服务器的重要程度不同设置不同的P值。

缺点：该方案主要有以下缺点：

1)该方案只是在当发生拥塞时给请求消息一个反馈，使其向别处或者延时再发送请求消息，若此时SIP服务器受到了DOS攻击，延时或者转发到其他服务器都不能解决问题。服务器将一直拥塞下去永远不能正常处理请求消息。

2)若受到DOS攻击，攻击机不断发送INVITE消息，由于INVITE消息是B类消息，服务器对每一个INVITE消息都会处理，若此时服务器正处在拥塞中，服务器将返回拥塞消息，而INVITE攻击是不断发送INVITE包的，服务器不断回应拥塞响应消息，不断占用资源，反而加重了攻击的程度。

3)该方案只是能在业务繁忙时一定程度缓解拥塞压力，并不能在当受到DOS攻击时自动调节，在一定程度上消除DOS攻击的影响。

现有技术二：使用普通队列来进行舒缓。

原理：当合法的INVITE数据包和非法的INVITE数据包都充斥在队列中时，当队列满时就将队列清空，进而接收剩下的数据包。。

缺点：将队列全清空，合法的和非法的数据包都被丢弃，虽然合法的依然有可能被处理，但由于在DOS攻击时非法的占大多数，队列中也大部分是非法的INVITE包，若DOS攻击很严重，每次进入队列的合法的包很少，若都在队列尾部几乎都会来不及被处理就被队列清空丢弃，而且延时很严重。

综上所述，现有技术的防攻击功能都已经有破解方法，SIP服务器容易被DOS攻击，不能正常服务。

发明内容

本发明实施例提供的一种利用优先级队列防止DOS攻击的方法，用以解决DoS攻击SIP服务器导致消息丢失的问题。

一种采用优先级队列防止DOS攻击的方法，具体包括：