[发明专利]保护客户端域的方法、对应客户端节点、服务器和计算机程序

说明书

本发明涉及一种在客户端域的客户端节点中实现的用于保护客户端域例如免受计算攻击的方法，所述方法包括：‑发现(21)所述客户端域的至少一个其他客户端节点，通常称作已发现节点；‑检测(22)与所述客户端域相关联的流量的至少两个管理规则之间的冲突；和‑解决(23)所述检测到的冲突，包括：o如果所述规则之一由所述已发现节点安装，则修改所述规则或与所述已发现节点相关联的状态；o否则，源自所述已发现节点获得关于已经安装所述规则之一的所述客户端域的至少一个节点的识别信息项；使用在所述客户端域的所述至少一个其他节点的所述发现期间获得的信息项，来检测和/或解决所述冲突。

技术领域

本发明的领域是在通信网络(例如，IP网络)内的通信的领域，尤其是增值IP服务的领域。

更具体地说，本发明提供了一种用于即使在管理规则之间检测到冲突的情况下、仍管理与客户端域相关联的流量(即进入客户端域或离开客户端域的流量)的解决方案。

特别地，本发明提供了一种解决方案，所述解决方案使得客户端节点能够发现客户端域内的其他客户端节点，检测与所述客户端域相关联的两个网络流量管理规则之间的冲突，并使用从所述发现得到的所述信息来发起冲突解决动作。

特别地，例如通过仅实施由IETF标准化的DDoS开放威胁信令(DOTS)体系结构，本发明在缓解分布式拒绝服务(DDoS)攻击的领域中具有应用。

背景技术

提醒一下，DDoS攻击是试图使资源(例如网络或计算资源)对它们的用户不可用。通过危害大量主机并使用这些主机来放大攻击，可以大规模部署此类攻击。

为了减轻这些DDoS攻击，某些访问或服务提供商向他们的客户提供DDoS攻击检测和缓解服务。这种缓解服务(DDoS保护服务)可以被托管在由访问提供商运营的基础架构内或云中。特别地，它们使得可能区分“合法”流量(即用户同意的数据)和“可疑”流量。

当DPS类型的服务托管在云中时，很难预先识别DDoS攻击，因为这种服务不在用于到达作为DDoS攻击的受害者的网络的路由路径(默认情况下)上存在。

为了解决这个问题，特别地提出了建立隧道以将流量(传入或传出)强加到站点或网络上以由DPS服务进行检查。但是，这个方案显著增加了用户观察的等待时间，并且对DPS服务的大小施加了限制，以便能够处理来自网络的所有用户的所有传入或传出流量。此外，所述隧道被认为是潜在的攻击矢量。

当DPS类型的服务被托管在由访问提供商运营的基础架构中时，即使DPS服务存在于网络的传入或传出流量的路由路径中，在识别可疑流量时也可能会遇到困难。尤其是，随着加密流量的增加，尤其是UDP承载的流量(例如QUIC流量“快速UDP网络连接”)，很难将合法流量与可疑流量区分开。访问纯文本控制消息(例如TCP协议中提供的“SYN/SYN-ACK/ACK”消息)的困难确实会使验证网络节点同意接收流量变得复杂。

为了帮助识别可疑流量，IETF内正在对一种特定的体系结构进行标准化。这种称为DOTS的体系结构允许客户端节点(称为DOTS客户端)通知服务器(称为DOTS服务器)它检测到DDoS攻击，并且需要采取适当的措施。

当客户端域是DDoS攻击的目标时，作为那个客户端域的一部分的DOTS客户端可以向DOTS服务器发送消息，以寻求帮助。后者与缓解器进行协调，以确保与服务攻击的拒绝相关联的可疑流量不再被路由到所述客户端域，而合法流量继续正常路由到所述客户端域。

所述DOTS体系结构基于DOTS客户端和DOTS服务器之间的两个通信通道的使用：

-DOTS信号通道，以及

-DOTS数据通道。