[发明专利]一种分布式拒绝服务攻击的防御方法

说明书

技术领域

本发明涉及互联网通信系统的通信控制与通信处理，具体涉及网络安全，特别是涉及采用多台计算机作为向目标发送信息的网络攻击的防御方法。

背景技术

分布式拒绝服务(DDoS：Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃的帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间内主控程序与大量的代理程序通讯，将代理程序安装在Internet上的许多计算机上，利用客户/服务器技术在几秒钟内激活成百上千次代理程序的运行。当代理程序收到指令时就发动攻击，从而使被攻击者更加难以防范。因此，针对DDoS攻击的防御方法成为本领域的研究热点。

公开号为CN 1972286A的发明专利申请公开了一种针对DDOS攻击的防御方法，该方法的其特征在于当网络设备在接收到TCP连接报文时进行如下步骤的操作：

①依据检测规则判断网络设备当前是否处于被攻击状态，如果出现检钡(规则中的状态之一，认为网络设备被攻击，执行步骤②，否则进行步骤③；所述的检测规则是：

a.系统中第一次握手的半连接队列中的SYN报文数量超过正常值；

b.系统中第一次握手的半连接队列中的SYN报文超过了最大容量的95％；

c.系统中第一次握手的半连接队列中的SYN报文增长速度超过极限值；

②将系统中停留时间超过1秒的SYN报文进行抛弃；

③执行系统正常的TCP连接过程；

所述的SYN报文数量的正常值为网络设备日常处理量的平均值；

所述的SYN报文增长速度的极限值为网络设备处理正常突发流量时每秒新增TCP连接数的最大值。

由上面的描述可见，公开号为CN 1972286A的发明专利申请所述方案是一种避免服务器遭受网络攻击的保护方法，因此在攻击流到达服务器前必然占据了该服务器所在域的每一条线路，网络阻塞的问题依然存在。

公开号为CN 101383812A的发明专利申请公开了一种基于活动IP记录的IP欺骗DDoS攻击防御方法，该方法利用活动IP表在自治系统边界对进入其中的网络流进行限制，优先让来自活动IP的网络流通过，而对来自非活动IP的网络流并不是武断地丢弃，而是减小其TTL值让其在到达本自治域服务器前被丢弃。由此可见，上述专利申请所述方法虽然可保证真实IP的客户(活动IP的客户)优先通过，而需要确定身份的客户(非活动IP的客户)在没重传数据包前则无法与服务器连接，从而确保服务器的安全。但是，上述专利申请所述方法，在边界路由中对于非活动IP的数据包只是随机地改为一个较小的TTL后就放行，因此尽管它不能到达自治域服务器，而其造成自治域内网络拥堵的危害是显而易见的。

发明内容

鉴于现有技术存在上述不足，本发明所要解决的技术问题是提供一种防御DDoS攻击的网络安全方案，该方案既可保护自治域内服务器不受攻击，又可在有限资源条件下确保自治域内网络通畅。

本发明解决上述问题的技术方案如下所述：

一种分布式拒绝服务攻击的防御方法，其特征在于，

在拓朴结构的自治域网络的每一边界路由器中建立一频繁用户记录表和一等待用户记录表，其中，

所述的频繁用户记录表分为频繁用户部分和随机用户部分，其中，频繁用户部分为N行3列，每一行的3列分别记录已转发包数大于等于2的频繁用户的IP、当前数据包的剩余存活时间和已转发包数；随机用户部分为N′行3列，每一行的3列分别记录已转发包数等于1的随机用户的IP、当前数据包的剩余存活时间和已转发包数；所述的N与N′均为大于等于1的自然数，二者之比为1；

所述的等待用户记录表为M行3列，每一行的3列分别记录在频繁用户记录表的随机用户部分已填满时的随机用户的IP、当前数据包文件的编号和所存储的数据包总数；所述的M为大于等于1的自然数；

初始时，直接向本自治域网络的服务器转发到达边界路由器的每一来自域外的数据包，同时在频繁用户记录表的频繁用户部分记录下该用户的IP和已转发包数，并将当前数据包的剩余存活时间置为7天；此后便不停地刷新频繁用户记录表中所有记录，删除数据包的剩余存活时间为零的用户记录，并在3小时时间内更新一次等待用户记录表，删除最后记录在等待用户记录表中的500条用户记录；当频繁用户记录表的频繁用户部分填满后，对到达边界路由器的每一自域外的数据包进行以下操作：