專利名稱：分布式服務(wù)拒絕攻擊的安全的自動化的響應(yīng)裝置與方法
技術(shù)領(lǐng)域：
本發(fā)明一般地涉及服務(wù)拒絕攻擊領(lǐng)域。更具體地說，本發(fā)明涉及一種對分布式服務(wù)拒絕攻擊進行安全的、自動化的響應(yīng)的方法和裝置。
背景技術(shù)：
因特網(wǎng)的出現(xiàn)為因特網(wǎng)用戶提供了點擊一下按鈕就可獲得全球網(wǎng)絡(luò)信息的便捷。相應(yīng)地，響應(yīng)于因特網(wǎng)提供的這種不可置信的延伸范圍，各企業(yè)已通過因特網(wǎng)提供的各種渠道來實現(xiàn)各種商務(wù)。這樣，因特網(wǎng)已成為企業(yè)到客戶(B2C)和企業(yè)到企業(yè)(B2B)商務(wù)的核心機制。而且，許多娛樂提供商已經(jīng)迅速地利用因特網(wǎng)作為它們向用戶提供娛樂內(nèi)容的另一個場所。
不幸的是，許多因特網(wǎng)用戶在通過因特網(wǎng)參與因特網(wǎng)商務(wù)(電子商務(wù))或接收娛樂內(nèi)容時已經(jīng)感受到很大的延遲。大多數(shù)用戶遇到的延遲是由于因特網(wǎng)不能提供足夠的帶寬來支持越來越多的每天都使用因特網(wǎng)的用戶。然而，技術(shù)的改進正在極大地擴展因特網(wǎng)提供的帶寬。另外，用于接收或連接到因特網(wǎng)的傳統(tǒng)手段例如調(diào)制解調(diào)器正在由T-1載波數(shù)字線路(T-1線路)、有線機頂盒、DSL(數(shù)字訂戶線路)等等所取代，其可以在因特網(wǎng)上提供內(nèi)容和商務(wù)，而沒有太多通過傳統(tǒng)調(diào)制解調(diào)器會產(chǎn)生的延遲。
也就是說，隨著因特網(wǎng)提供的帶寬的增長，以及用于連接到因特網(wǎng)的傳統(tǒng)手段的擴展，因特網(wǎng)可以提供這樣一種媒介，用于向全世界的幾乎任何人同時提供商務(wù)和娛樂內(nèi)容，只需在他們的計算機上簡單地點擊一下鼠標(biāo)。不幸的是，隨著我們的社會逐步發(fā)展為一種基于因特網(wǎng)的社會，通過因特網(wǎng)來訪問用于B2C和B2B商務(wù)以及娛樂內(nèi)容的萬維因特網(wǎng)主機等設(shè)備成為了日常商務(wù)用途的關(guān)鍵因素。
隨著分布式服務(wù)拒絕(DDoS)的出現(xiàn)，很明顯，因特網(wǎng)的開放、分布式的特性可能被惡意地利用。DDoS攻擊可很容易地拖垮因特網(wǎng)主機或路由器，使得多種關(guān)鍵服務(wù)長時間停止運營。如本領(lǐng)域內(nèi)的技術(shù)人員所公知的那樣，DDoS攻擊一般由多個主機向單個目標(biāo)因特網(wǎng)主機發(fā)送某種攻擊流量組成。除了具有大得多的規(guī)模之外，DDoS攻擊在內(nèi)容上一般與常規(guī)服務(wù)拒絕(DoS)攻擊沒什么不同。
對DDoS的防御一般由臨時安裝一個或多個過濾器以丟棄來自盡可能多的攻擊者的流量組成。當(dāng)前用于這種安裝的機制需要安裝某種過濾器，該過濾器一般涉及被攻擊的因特網(wǎng)主機的所有者和將所述流量傳遞到該因特網(wǎng)主機的網(wǎng)絡(luò)的(多個)管理員之間的人際接觸。這一通信包括指定與所述流量有關(guān)的信息，然后手動地在網(wǎng)絡(luò)中安裝過濾器，以在這種流量到達該因特網(wǎng)主機之前丟棄它。
不幸的是，DDoS攻擊所引起的問題因其巨大的規(guī)模而進一步嚴(yán)重化，這樣巨大的規(guī)模在攻擊期間必須被響應(yīng)。盡管對于來自單個源的常規(guī)DoS攻擊來說手動響應(yīng)可能就足夠了(雖然還是有點慢)，但是手動響應(yīng)可能不足以防止DDoS攻擊。手動響應(yīng)的失敗是因為DDoS攻擊中的攻擊者的巨大數(shù)量，其絕對超過在動作響應(yīng)循環(huán)中包括人的因素在內(nèi)的系統(tǒng)的響應(yīng)能力。因此，仍需要克服上述現(xiàn)有技術(shù)中的一個或多個限制。


在附圖中以示例而非限制性的方式說明了本發(fā)明，其中圖1示出了一個框圖，圖示了本領(lǐng)域中公知的傳統(tǒng)計算機網(wǎng)絡(luò)；圖2示出了一個框圖，圖示了圖1所示的傳統(tǒng)計算機經(jīng)受分布式服務(wù)拒絕攻擊時的情形；圖3示出了一個框圖，圖示了本領(lǐng)域中公知的傳統(tǒng)路由器；圖4示出了一個框圖，圖示了利用根據(jù)本發(fā)明的實施例的分布式服務(wù)拒絕抑制協(xié)議的路由器；圖5A和5B示出了圖2所示的網(wǎng)絡(luò)以說明本發(fā)明的另一個實施例，所述網(wǎng)絡(luò)利用了根據(jù)本發(fā)明的教導(dǎo)而修正的上游路由器；
圖6示出了一個框圖，圖示了一種根據(jù)本發(fā)明的實施例，對分布式服務(wù)拒絕攻擊的安全的、自動化的響應(yīng)方法；圖7示出了一個框圖，圖示了另一種方法，用于根據(jù)本發(fā)明的另一個實施例來接收分布式服務(wù)拒絕攻擊的通知；圖8示出了一個框圖，圖示了另一種方法，用于根據(jù)本發(fā)明的另一個實施例來向上游路由器建立安全性認(rèn)證；圖9示出了一個框圖，圖示了另一種方法，用于根據(jù)本發(fā)明的另一個實施例來向上游路由器發(fā)送一個或多個DDoS抑制過濾器；圖10示出了一個框圖，圖示了另一種方法，用于根據(jù)本發(fā)明的另一個實施例來響應(yīng)于一個或多個所接收的DDoS抑制過濾器來應(yīng)對分布式服務(wù)拒絕攻擊；圖11示出了一個框圖，圖示了另一種方法，用于根據(jù)本發(fā)明的另一個實施例來向下游設(shè)備建立安全性認(rèn)證；圖12示出了一個框圖，圖示了另一種方法，用于根據(jù)本發(fā)明的另一個實施例來從下游設(shè)備接收一個或多個DDoS抑制過濾器；圖13示出了一個框圖，圖示了另一種方法，用于根據(jù)本發(fā)明的另一個實施例來安裝DDoS抑制過濾器；圖14示出了一個框圖，圖示了另一種方法，用于根據(jù)本發(fā)明的另一個實施例來驗證一個或多個所接收的過濾器；圖15示出了一個框圖，圖示了另一種方法，用于根據(jù)本發(fā)明的另一個實施例來安裝一個或多個所接收的抑制過濾器；以及圖16示出了一個框圖，圖示了一種方法，用于根據(jù)本發(fā)明的示例性實施例來確定上游路由器并向該上游路由器轉(zhuǎn)發(fā)一個或多個所接收的抑制過濾器。
具體實施例方式
本方面描述了一種裝置和方法，用于安全地、自動化地響應(yīng)分布式服務(wù)拒絕攻擊。所描述的方法包括接收分布式服務(wù)拒絕(DDoS)攻擊的通知，所述攻擊來自一個或多個攻擊主機計算機。一旦接受到通知，因特網(wǎng)主機就向從其處接收攻擊流量的上游路由器建立安全性認(rèn)證。建立安全性認(rèn)證后，因特網(wǎng)主機將一個或多個抑制過濾器發(fā)送到上游路由器。因特網(wǎng)主機基于攻擊流量的特性來生成抑制過濾器。結(jié)果，上游路由器安裝抑制過濾器之后，攻擊流量就被丟棄，從而終止了分布式服務(wù)拒絕攻擊。
所述方法還包括由上游路由器接收一個或多個抑制過濾器。相應(yīng)地，向下游設(shè)備(路由器或因特網(wǎng)主機)建立安全性認(rèn)證后，上游路由器將接收一個或多個抑制過濾器，并核實所述一個或多個過濾器只選擇導(dǎo)向該下游設(shè)備的網(wǎng)絡(luò)流量。核實后，就安裝所述一個或多個過濾器。這樣，就可防止與所述一個或多個過濾器相匹配的網(wǎng)絡(luò)流量到達下游設(shè)備。另外，路由器可基于路由表來確定與從其處接收攻擊流量的端口相耦合的一個或多個上路由器。相應(yīng)地，路由器將所述一個或多個過濾器作為路由協(xié)議更新而安全地轉(zhuǎn)發(fā)到上游路由器，以在更接近攻擊源的地點處丟棄攻擊流量。
在下面的描述中，為了說明，給出了大量的具體細(xì)節(jié)，以提供對本發(fā)明的透徹的理解。然而，對本領(lǐng)域內(nèi)的技術(shù)人員來說，很清楚沒有這些具體細(xì)節(jié)中的一些也可以實施本發(fā)明。另外，下面的描述提供了多個示例，并且附圖示出了各種示例，以用于說明。然而，這些示例不應(yīng)該被理解成限制性的，因為它們只是用來提供本發(fā)明的示例，而不是對本發(fā)明的所有可能的實現(xiàn)的窮舉。在其他情形下，未以框圖的形式示出公知結(jié)構(gòu)和設(shè)備，以免混淆本發(fā)明的細(xì)節(jié)。
在實施例中，本發(fā)明的方法包含在及其可執(zhí)行指令中。所述指令可用來使得用所述指令編程的通用或?qū)Ｓ锰幚砥鲌?zhí)行本發(fā)明的步驟。或者，本發(fā)明的步驟可由包含用于執(zhí)行所述步驟的硬布線邏輯的專用硬件組件來執(zhí)行，或者由已編程的計算機組件和定制硬件組件的組合來執(zhí)行。
本發(fā)明可作為計算機程序產(chǎn)品而提供，所述產(chǎn)品可包括機器可讀介質(zhì)，其上存儲有指令，所述指令可用來對計算機(或其他電子設(shè)備)編程，以根據(jù)本發(fā)明來執(zhí)行處理。所述機器可讀介質(zhì)可包括但不局限于軟盤、光盤、CD-ROM(只讀壓縮光盤存儲器)和磁光盤、ROM(只讀存儲器)、RAM(隨機訪問存儲器)、EPROM(可擦除可編程只讀存儲器)、EEPROM(電可擦除可編程只讀存儲器)、磁或光卡、閃存、或任何其他類型的適于存儲電子指令的媒介/機器可讀介質(zhì)。而且，本發(fā)明也可作為計算機程序產(chǎn)品而下載。這樣，該程序可通過包含在載波或其他傳播介質(zhì)中而經(jīng)由通信鏈路(例如調(diào)制解調(diào)器或網(wǎng)絡(luò)連接)從遠程計算機(例如因特網(wǎng)主機)傳輸?shù)秸埱笥嬎銠C(例如客戶端)。
系統(tǒng)體系結(jié)構(gòu)如上所述，分布式服務(wù)拒絕攻擊(DDoS)一般由多個攻擊主機計算機向單個目標(biāo)因特網(wǎng)主機發(fā)送某種類型的攻擊流量組成。例如，參考圖1所示的網(wǎng)絡(luò)100，某個惡意代理指示多個攻擊主機計算機140(140-1、……、140-N)一起向因特網(wǎng)主機102發(fā)送攻擊流量。如上所述，經(jīng)由一個或多個路由器，攻擊流量被路由通過網(wǎng)絡(luò)例如因特網(wǎng)120，直到被因特網(wǎng)主機102所接收。
如上所述，對DDoS攻擊的防御一般由臨時安裝一個或多個過濾器以丟棄來自盡可能多的攻擊者的流量組成。當(dāng)前用于安裝這種過濾器的機制一般涉及被攻擊的因特網(wǎng)主機的所有者和將所述流量傳遞到該因特網(wǎng)主機的網(wǎng)絡(luò)的管理員之間的人際聯(lián)系。不幸的是，DDoS攻擊的規(guī)模使得DDoS攻擊難于應(yīng)對。如圖1所示，多個攻擊主機計算機140一起向因特網(wǎng)主機102發(fā)送攻擊流量，最終拖垮了因特網(wǎng)主機102并需要關(guān)閉它。事實上，DDoS攻擊中的攻擊者的巨大數(shù)量將絕對超過在動作響應(yīng)循環(huán)中包括人的因素在內(nèi)的任意系統(tǒng)的響應(yīng)能力。
現(xiàn)在參考圖2，圖2示出了圖1所示的網(wǎng)絡(luò)100，還示出了一個或多個路由器202(202-1、202-2、……、202-N)，其負(fù)責(zé)將來自各攻擊主機計算機250(250-1、……、250-N)和290(290-1、……、290-N)的可能包括攻擊流量的網(wǎng)絡(luò)流量270(270-1、……、270-N)和280(280-1、……、280-N)發(fā)送到因特網(wǎng)主機102。相應(yīng)地，如上所述，接收攻擊流量270/280的因特網(wǎng)主機102一般會通過與將該流量傳遞到該因特網(wǎng)主機的網(wǎng)絡(luò)的管理員聯(lián)系來應(yīng)對DDoS攻擊。
例如，因特網(wǎng)主機102可能通過例如從因特網(wǎng)服務(wù)提供商(ISP)240租用的傳輸載波線路(T-1線路)來接收因特網(wǎng)接入。然而，本領(lǐng)域內(nèi)的技術(shù)人員將會認(rèn)識到，因特網(wǎng)主機102或萬維因特網(wǎng)主機可由因特網(wǎng)服務(wù)提供商所支持。無論是被支持還是通過T-1線路經(jīng)由因特網(wǎng)連接，在任一情形下，對DDoS攻擊的響應(yīng)都需要在路由器202內(nèi)安裝一個或多個過濾器，所述路由器正在將所述過濾器發(fā)送到被攻擊的因特網(wǎng)主機102。
再次參考圖2，所描述的實施例圖示了通過ISP 240而接收因特網(wǎng)接入的因特網(wǎng)主機102，從而通過ISP路由器202-1接收網(wǎng)絡(luò)流量。相應(yīng)地，對DDoS攻擊的響應(yīng)將需要聯(lián)系ISP 240的管理員，以及由該管理員在ISP路由器202-1內(nèi)安裝一個或多個與攻擊流量的特性相匹配的過濾器。不幸的是，所描述的手動方法非常麻煩，經(jīng)常在應(yīng)用合適的過濾器之前導(dǎo)致因特網(wǎng)主機102的長時間關(guān)機。這是因為被請求執(zhí)行過濾的設(shè)備(上游路由器)202-1經(jīng)常位于和被攻擊的因特網(wǎng)主機102不同的管理域內(nèi)。
這樣，攻擊主機計算機260(260-1、260-N)可包括主機計算機250以及主機計算機290，其一起生成攻擊流量270/280(270-1、……、270-N)/(280-1、……、280-N)。攻擊流量270/280通過各路由器202而被路由，并通過因特網(wǎng)120而被接收。攻擊流量270/280最終被路由到ISP路由器202-1，以到達與因特網(wǎng)主機102的因特網(wǎng)協(xié)議(IP)地址相匹配的最終目的地IP地址。因此，沒有對檢測到DDoS的自動化響應(yīng)手段，因特網(wǎng)中的因特網(wǎng)主機、萬維因特網(wǎng)主機等將遭受長時間的關(guān)機，這對正朝著將因特網(wǎng)作為核心服務(wù)而利用的基于因特網(wǎng)的社會而發(fā)展的當(dāng)前社會和娛樂以及商務(wù)需求是一個嚴(yán)重的威脅。
現(xiàn)在參考圖3，圖3示出了一個框圖，圖示了傳統(tǒng)路由器202的組件的一個子集。路由器202包括轉(zhuǎn)發(fā)平面280，轉(zhuǎn)發(fā)平面280包含出口過濾器206和轉(zhuǎn)發(fā)決策模塊290。出口過濾器206丟棄與控制平面210提供的特定規(guī)范相匹配的流量。轉(zhuǎn)發(fā)決策模塊290決定怎樣轉(zhuǎn)發(fā)流量。因此，當(dāng)一項網(wǎng)絡(luò)流量(分組)是發(fā)送到本地的時，轉(zhuǎn)發(fā)決策模塊290將該分組轉(zhuǎn)發(fā)給控制平面210，在其中處理該分組。
否則，轉(zhuǎn)發(fā)決策模塊290(例如通過使用查找表)確定出口端口(或輸出端口)和下一跳路由器，通過其來路由該分組，然后將該分組傳送到出口過濾器206。確定后，轉(zhuǎn)發(fā)平面將分組發(fā)送到一個或多個輸出/出口端口210(210-1、……、210-N)。不幸的是，傳統(tǒng)路由器需要手動干預(yù)來指示控制平面將過濾器安裝入出口過濾器206。例如，將過濾器安裝成入口過濾器206一般是通過由管理員在管理員工作站處輸入過濾器來實現(xiàn)的。
現(xiàn)在參考圖4，圖4示出了一個框圖，圖示了根據(jù)本發(fā)明的教導(dǎo)而修正的圖3所示的路由器，以可實現(xiàn)對分布式服務(wù)拒絕攻擊的自動化的、安全的響應(yīng)。如下面將更詳細(xì)地描述的那樣，路由器302的DDoS抑制協(xié)議組件350使得可從因特網(wǎng)主機102接收DDoS抑制過濾器并安裝它們，所述過濾器是響應(yīng)于DDoS攻擊而生成的。在一個實施例中，利用邊界網(wǎng)關(guān)協(xié)議(BGP)或開放式最短路徑優(yōu)先(OSPF)協(xié)議的一些版本來完成下游路由器到上游路由器的過濾器傳播，所述協(xié)議提供將過濾器與特定路由相關(guān)聯(lián)的能力。因此，所描述的路由器302可以實現(xiàn)一種自動化的系統(tǒng)，用于響應(yīng)DDoS攻擊。在一個實施例中，通過利用現(xiàn)存的認(rèn)證和消息完整性機制來完成路由器302，所述機制定義在路由器到路由器以及主機到路由器的基礎(chǔ)上，以建立經(jīng)認(rèn)證的通信。
再次參考圖4，路由器302包括控制平面330和轉(zhuǎn)發(fā)平面310，與圖3所示的路由器相同。如本領(lǐng)域內(nèi)的技術(shù)人員所公知的那樣，控制平面處理任務(wù)包括路由協(xié)議和準(zhǔn)入控制(admission control)等任務(wù)。轉(zhuǎn)發(fā)平面處理包括數(shù)據(jù)路徑分組處理，例如層2和層3交換、分組重定向、分組過濾和分組操縱。然而，修正了控制平面330，以實現(xiàn)DDoS抑制協(xié)議350，其可利用公開密鑰基礎(chǔ)結(jié)構(gòu)(PKI)以及因特網(wǎng)協(xié)議安全性(IPSec)來在上游和下游設(shè)備之間建立安全性認(rèn)證，所述設(shè)備請求與攻擊流量特性相匹配的一個或多個過濾器中的條目，以終止DDoS攻擊。
在圖4所示的實施例中，控制平面330包括處理器334，其指示控制平面接口332如何操作?？刂破矫娼涌?32處理實現(xiàn)在路由器302上的各種協(xié)議。在一個實施例中，路由器302可使用邊界網(wǎng)關(guān)協(xié)議(BGP)模塊342以及開放式最短路徑優(yōu)先(OSPF)協(xié)議模塊344。如本領(lǐng)域內(nèi)的技術(shù)人員所公知的那樣，BGP協(xié)議是用于在自治系統(tǒng)的網(wǎng)絡(luò)中的網(wǎng)關(guān)主機之間交換路由信息的協(xié)議。BGP利用了包含有已知路由器列表、它們可到達的地址以及與到每個路由器的路徑相關(guān)聯(lián)的成本度量值的路由表，從而可選擇最佳可用路由。
相反，OSPF協(xié)議是在更大的自治系統(tǒng)網(wǎng)絡(luò)中使用的路由器協(xié)議。使用OSPF，獲得路由表的改變或檢測到網(wǎng)絡(luò)的改變的主機或因特網(wǎng)主機立即將所述信息多播到該網(wǎng)絡(luò)中的所有其他主機，以使得所有主機將具有同樣的路由表信息。一般地說，使用OSPF，只發(fā)送路由表被改變的部分。然而，與一般限制在BGP和OSPF協(xié)議的傳統(tǒng)路由器不同，路由器302實現(xiàn)了DDoS抑制協(xié)議。如圖4所示，控制平面330包括DDoS抑制協(xié)議模塊350，其利用安全性模塊346來認(rèn)證過濾器的源，以及在轉(zhuǎn)發(fā)所接收的過濾器時向下游路由器建立安全性認(rèn)證。
相應(yīng)地，圖5A和5B示出了圖2所示的網(wǎng)絡(luò)200中使用的如圖4所示的路由器302。結(jié)果，需要響應(yīng)DDoS攻擊的因特網(wǎng)主機102向上游路由器302建立安全性認(rèn)證，所述路由器302如圖4所示地那樣配置。因此，路由器302將通過輸入端口318(318-1、……、318-N)接收所述一個或多個過濾器。這樣，轉(zhuǎn)發(fā)決策模塊314將確定所接收的網(wǎng)絡(luò)分組是否是本地發(fā)送到路由器302的。如果檢測到是這樣，則將網(wǎng)絡(luò)分組傳輸給控制平面接口332。
相應(yīng)地，按照處理器344所指示的那樣，控制平面接口332將調(diào)用DDoS抑制協(xié)議模塊350，以建立因特網(wǎng)主機102的安全性認(rèn)證。在一個實施例中，上游路由器302使用一個身份標(biāo)識系統(tǒng)，例如公開密鑰基礎(chǔ)結(jié)構(gòu)，以響應(yīng)來自因特網(wǎng)主機的安全性認(rèn)證請求。如本領(lǐng)域內(nèi)的技術(shù)人員所公知的那樣，公開密鑰基礎(chǔ)結(jié)構(gòu)(PKI)使得不安全的公共網(wǎng)絡(luò)例如因特網(wǎng)的用戶可以通過使用公開加密密鑰和私有加密密鑰對來安全而私密地交換數(shù)據(jù)和金錢，所述密鑰對是通過一個受信機構(gòu)而獲得并共享的。
使用數(shù)字證書，PKI可基于所接收的加密的數(shù)字證書來識別個人或組織。因此，通過接收一個源的數(shù)字證書并使用其公開密鑰來解密該證書，可認(rèn)證該源。因此，解密后，可檢查該數(shù)字證書，以核實路由器中的一個或多個DDoS抑制過濾器的首要請求條目(principal requesting entry)的確是所述有問題的因特網(wǎng)主機。如在此所述的那樣，術(shù)語“安全性認(rèn)證”指的是路由器中的一個或多個DDoS抑制條目中的首要請求條目的確是有問題的因特網(wǎng)主機或下游路由器。
在一個實施例中，路由器302使用PKI來執(zhí)行安全性認(rèn)證，并且，在數(shù)字證書之外，還接收一個正在其上接收攻擊流量的特定IP地址。因此，一旦建立安全性認(rèn)證之后，因特網(wǎng)主機102將一個或多個DDoS過濾器條目發(fā)送到上游路由器302。接收后，上游路由器利用DDoS抑制協(xié)議模塊350來核實已從因特網(wǎng)主機102接收的每一個過濾器不會影響其他的下游主機。這一核實是通過確定所請求的過濾器包含與因特網(wǎng)主機102的已認(rèn)證的地址相匹配的目的地IP分量來完成的。在一個實施例中，因特網(wǎng)主機對所述一個或多個過濾器進行數(shù)字簽名，以同時實現(xiàn)源認(rèn)證和完整性認(rèn)證。
而且，對于防止DDoS攻擊，第二層對過濾沒有用處。因此，上游路由器禁止對任何層2協(xié)議字段的過濾。這樣，上游路由器302允許將過濾器的所有剩余的層3以上的字段(例如SIP、DPORT)設(shè)置成因特網(wǎng)主機102已指定來描述所述攻擊流中的一個或多個攻擊流的任意值。另外，所接收的過濾器還需要某種禁止(deactivation)機制，優(yōu)選地例如是與每個過濾器相關(guān)聯(lián)的特定生命期。在一個實施例中，這指的是DDoS抑制生存時間(TTL)值，該值與傳統(tǒng)分組的TTL值不同。這樣，當(dāng)所述生命期已過期時，上游路由器302去除該過濾器。在上述約束之外，對所有與給定約束相匹配的分組執(zhí)行的動作總是丟棄。
在一個實施例中，使用因特網(wǎng)協(xié)議安全性(IPSec)來保護路由器到路由器消息以及因特網(wǎng)主機到路由器消息的完整性和真實性(authencitity)。IPSec是一項發(fā)展中的標(biāo)準(zhǔn)，用于網(wǎng)絡(luò)或網(wǎng)絡(luò)通信的分組處理層的安全性。如本領(lǐng)域內(nèi)的技術(shù)人員所公知的那樣，IPSec提供兩種安全性服務(wù)的選擇-認(rèn)證頭部和封裝安全性有效載荷，前者本質(zhì)上允許對發(fā)送者數(shù)據(jù)進行認(rèn)證，后者同時支持發(fā)送者的認(rèn)證和數(shù)據(jù)加密。與這些服務(wù)中的每一個服務(wù)相關(guān)聯(lián)的的具體信息被插入到分組中的一個頭部，該頭部跟在IP分組頭部之后?？梢赃x擇不同的密鑰協(xié)議，例如ISAKMP/Oakley協(xié)議。如在此所述的那樣，數(shù)字證書認(rèn)證頭部、數(shù)字簽名、ESP等等在此一起被稱為“認(rèn)證信息”。
這樣，利用各種安全的連接需求以及各種對所述過濾器執(zhí)行的核實，從路由器希望丟棄的流量和路由器希望傳送的流量的角度來看，路由器部分的動作都是安全的。即，從路由器將正常地丟棄的流量以及路由器的動作也必須是丟棄的流量的意義上，根據(jù)本發(fā)明的教導(dǎo)而設(shè)計的過濾器被安裝后是安全的。因此，不會允許任何新流量通過這種過濾器。
另外，與過濾器的傳遞相關(guān)聯(lián)的約束以及過濾器自身的特性確保過濾器將丟棄發(fā)送到請求該過濾器的特定因特網(wǎng)主機102的流量。因此，所述過濾器不會影響通過路由器的任何其他流量的接收者。而且，用來發(fā)送過濾器的消息完整性機制(在此也統(tǒng)稱為“安全性認(rèn)證”)確保了其他主機不會妨礙這種過濾器。因此，就提供了防止這種可能性的保護在攻擊期間，第三方利用一個人來修改這種過濾器。
再次參考圖5A和5B，圖5A和5B示出了如圖2所示的網(wǎng)絡(luò)200，其利用了根據(jù)本發(fā)明的教導(dǎo)而修正的上游路由器302。參考圖5，因特網(wǎng)主機102接收基于攻擊流量270/280的DDoS攻擊的通知。相應(yīng)地，一旦被通知，因特網(wǎng)主機102就向路由器302建立安全性認(rèn)證，并發(fā)送與攻擊流量270/280相匹配的一個或多個過濾器。相應(yīng)地，安裝后，因特網(wǎng)主機102就不再接收攻擊流量，從而終止DDoS攻擊。
現(xiàn)在參考圖5B，圖5B示出了一個實施例，其發(fā)生在上游路由器302已安裝一個或多個所接收的過濾器之后。因此，上游路由器302-1已接收并認(rèn)證這種過濾器之后，路由器302就成為下游路由器，并可安全地將所述過濾器作為路由協(xié)議更新而轉(zhuǎn)發(fā)到更上游的其他路由器。如果攻擊的規(guī)模大到需要丟棄離DDoS攻擊源更近的攻擊流量，則可能需要這一動作。與主機到路由器的情形一樣，過濾器被限制的屬性使得可使用安全性認(rèn)證來安全地安裝所述過濾器，所述安全性認(rèn)證一起包括下述內(nèi)容。
因此，可使用BGP和OSPF安全性機制來認(rèn)證過濾器的路由器到路由器通信。另外，在某些實施例中，使用由IPSec提供的AH或ESP來認(rèn)證各種所接收的分組?；蛘?，所述過濾器可被數(shù)字簽名，以確保源或完整性認(rèn)證，二者中的每一個都統(tǒng)稱為“安全性認(rèn)證”。而且，接收包含一個或多個DDoS抑制過濾器的路由協(xié)議更新的路由器可將攻擊流量的目的地IP地址與它的路由表進行比較，以核實該目的地IP地址與從其處接收到所述路由協(xié)議更新的地址相匹配。
也就是說，上游路由器例如302-N將只安裝這種過濾器，其丟棄來自可能實際接收有問題的流量的路由器的攻擊流量。因此，使用例如公共開放式策略服務(wù)協(xié)議(COPS)等協(xié)議，可獲得各種路由器的實現(xiàn)。COPS是一項建議標(biāo)準(zhǔn)協(xié)議，用來在網(wǎng)絡(luò)中的策略決策點(PDP)和策略執(zhí)行點(PEPS)之間交換網(wǎng)絡(luò)策略信息?；蛘?，可使用簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)來生成這種過濾器。SNMP是控制網(wǎng)絡(luò)管理和網(wǎng)絡(luò)設(shè)備及其功能的監(jiān)控的協(xié)議。
如下所述，下述內(nèi)容包括一種使用COPS的可能的策略信息基(PIB)語法，以實現(xiàn)本發(fā)明所描述的DDoS抑制協(xié)議。
<pre listing-type="program-listing"><![CDATA[ClientSquelchTable OBJECT-TYPE　　 SYNTAXSEQUENCE OF SquelchEntry　　 POLICY-ACCESS install　　 STATUScurrent　　 DESCRIPTION ″ISP客戶端在PEP上安裝這一信息，并描述抑制哪些分組。PEP必須核實這一過濾器中包含的目的地IP地址與安裝這一抑制條目的源的已認(rèn)證的地址相匹配.″　　 ∷＝{filteringPibClass 6}squelchEntry OBJECT-TYPE　　 SYNTAX SquelchEntry　　 STATUS current　　 DESCRIPTION″單個抑制請求.″　　 ∷＝{ClientSquelchTable 1}SquelchEntry∷＝SEQUENCE{　　 /*不需要顯式的“動作”字段，因為它必須是丟棄*/　　 nextHopRouter InetAddress，/*下一跳路由器的IP地址，將為其丟棄與其他過濾器規(guī)范相匹配的流量*/　　 srcIpAddress InetAddress，/*攻擊流量的源地址*/　　 srcIpAddress_set TruthValue，/*這一過濾器使用前面的字段？*/　　 srcIpMask InetAddress，/*所述流量的源網(wǎng)絡(luò)掩碼*/　　 srcIpMask_set TruthValue，/*這一過濾器使用前面的字段？*/　　 destIpAddress InetAddress，/*攻擊流量的目的地地址*/　　 destIpAddress_set TruthValue，/*這一過濾器使用前面的字段？*/　　 destIpMask InetAddress，/*所述流量的目的地網(wǎng)絡(luò)掩碼*/destIpMask_setTruthValue，/*這一過濾器使用前面的字段？*/　　 srcPort Integer，/*傳輸協(xié)議源端口*/　　 srcPort_set TruthValue，/*這一過濾器使用前面的字段？*/　　 destPort Integer，/*傳輸協(xié)議目的地端口*/　　 destPort_set TruthValue，/*這一過濾器使用前面的字段？*/　　 protocol Integer，/*攻擊流量的協(xié)議*/　　 protocol_set TruthValue/*這一過濾器使用前面的字段？*/}nextHopRouter OBJECT-TYPE　　 SYNTAXInetAddress，　　 POLICY-ACCESS INSTALL　　 STATUScurrent　　 DESCRIPTION ″正在向其轉(zhuǎn)發(fā)攻擊流量的下一跳路由器地址。這一地址必須與請求這一抑制條目的路由器的已認(rèn)證的地址相匹配.″　　 ∷＝{SquelchEntry 1}　　 srcIpAddress OBJECT-TYPE　　 SYNTAXInetAddress，　　 POLICY-ACCESS INSTALL　　 STATUScurrent　　 DESCRIPTION ″如果srcIpAddress_set是true，這就指定了為其匹配分組的源IP地址.″　　 ∷＝{SquelchEntry 2}　　 srcIpAddress_set OBJECT-TYPE　　 SYNTAXTruthValue，　　 POLICY-ACCESS INSTALL　　 STATUScurrent　　 DESCRIPTION ″如果是true，這一字段就指定了srcIpAddress是所請求的過濾器的一部分.″　　 ∷＝{SquelchEntry 3}　　 srcIpMask OBJECT-TYPE　　 SYNTAXInetAddress，　　 POLICY-ACCESS INSTALL　　 STATUScurrent　　 DESCRIPTION ″如果srcIpMask_set是true，則這就指定了用來匹配分組的源網(wǎng)絡(luò)掩碼.″　　 ∷＝(SquelchEntry 4)　　 srcIpMask_set OBJECT-TYPE　　 SYNTAXTruthValue，　　 POLICY-ACCESS INSTALL　　 STATUScurrent　　 DESCRIPTION ″如果是true，這一字段就指定了srcIpMask是所請求的過濾器的一部分.″∷＝{SquelchEntry 5}destIpAddress OBJECT-TYPE　　 SYNTAX InetAddress，　　 POLICY-ACCESS INSTALL　　 STATUS current　　 DESCRIPTION ″如果destIpAddress-set是true，這一字段就指定了為其匹配分組的目的地地址.″　　 ∷＝{SquelchEntry 6}destIpAddress_set OBJECT TYPE　　 SYNTAX TruthValue，　　 POLICY-ACCESS INSTALL　　 STATUS current　　 DESCRIPTION ″如果是true，這一字段就指定了destIpAddress是所請求的過濾器的一部分.″　　 ∷＝{SquelchEntry 7}　　 destIpMask OBJECT-TYPE　　 SYNTAX InetAddress，　　 POLICY-ACCESS INSTALL　　 STATUS current　　 DESCRIPTION ″如果destIpMask set是true，則這就指定了用來匹配分組的目的地網(wǎng)絡(luò)掩碼.″　　 ∷＝{SquelchEntry 8} destIpMask_set OBJECT-TYPE　　 SYNTAX TruthValue，　　 POLICY-ACCESS INSTALL　　 STATUS current　　 DESCAIPTION ″如果是true，則這一字段就指定了destIpMask是所請求的過濾器的一部分.″　　 ∷＝{SquelchEntry 9}srcPort OBJECT-TYPE　　 SYNTAX Integer，　　 POLICY-ACCESS INSTALL　　 STATUS current　　 DESCRIPTION ″如果srcPort_set是true，則這一字段就指定了在其上進行過濾的那個TCP或UDP端口。必須指定協(xié)議以使用這一字段.″　　 ∷＝{SquelchEntry 10}srcPort_set OBIECT-TYPE　　 SYNTAX TruthValue，　　 POLICY-ACCESS INSTALL　　 STATUS current　　 DESCRIPTION ″如果是true，則這就指定了將用來匹配分組的TCP或UDP源端口.″∷＝{SquelchEntry 11}destPort OBJECT-TYPE　　 SYNTAX Integer，　　 POLICY-ACCESS INSTALL　　 STATUS current　　 DESCAlPTION ″如果destPort_set是true，則這一字段就指定了在其上進行過濾的那個TCP或UDP目的地端口.必須指定協(xié)議以使用這一字段.″　　 ∷＝{SquelchEntry 12}destPort_set OBJECT-TYPE　　 SYNTAX TruthValue，　　 POLICY-ACCESS INSTALL　　 STATUS current　　 DESCRIPTION″如果是true，則這就指定了將用來匹配分組的TCP或UDP目的地端口.″　　 ∷＝{SquelchEntry 13}protocol OBJECT-TYPE　　 SYNTAX Integer，　　 POLICY-ACCESS INSTALL　　 STATUS current　　 DESCRIPTION ″如果protocol_set是true，則這一字段指定與其匹配的IP協(xié)議.″　　 ∷＝{SquelchEntry 14}protocol_set OBJECT-TYPE　　 SYNTAX TruthValue，　　 POLICY-ACCESS INSTALL　　 STATUS current　　 DESCRJPTION ″如果是true，這就指定了將用來匹配分組的協(xié)議.″　　 ∷＝{SquelchEntry 15}]]></pre>這樣，利用上述語法，本領(lǐng)域內(nèi)的技術(shù)人員就可以實現(xiàn)本發(fā)明所教導(dǎo)的DDoS抑制協(xié)議?，F(xiàn)在描述實現(xiàn)本發(fā)明的教導(dǎo)的過程性方法。
操作現(xiàn)在參考圖6，圖6示出了一個框圖，圖示了一種在圖5A所示的網(wǎng)絡(luò)300中對分布式服務(wù)拒絕攻擊進行安全的、自動化的響應(yīng)方法。在處理框502，因特網(wǎng)主機102可能接收到DDoS攻擊的通知。當(dāng)因特網(wǎng)主機102接收DDoS攻擊的通知時，執(zhí)行處理框520。在處理框520，因特網(wǎng)主機102向從其處接收攻擊流量的上游路由器302建立安全性認(rèn)證。在各實施例中，使用公共密鑰基礎(chǔ)結(jié)構(gòu)、因特網(wǎng)協(xié)議安全性、數(shù)字簽名、路由器到路由器安全性機制等等來建立安全性認(rèn)證。
然后，在處理框540，因特網(wǎng)主機102將一個或多個DDoS抑制過濾器發(fā)送到上游路由器302。如上所述，安裝在出口過濾器316中之后，所述一個或多個DDoS抑制過濾器指示上游路由器302(302-1、……、302-N)丟棄與所述一個或多個過濾器相匹配的網(wǎng)絡(luò)流量。相應(yīng)地，與所述一個或多個過濾器相匹配的網(wǎng)絡(luò)流量在此稱為“攻擊流量”。最后，在處理框560，確定是否接收到響應(yīng)于由上游路由器302安裝一個或多個過濾器而終止了DDoS攻擊的通知。這樣，重復(fù)處理框520-540，直到終止DDoS攻擊。
現(xiàn)在參考圖7，圖7示出了另一種方法504，用于通知如圖6所示的在處理框502檢測到DDoS攻擊。在處理框506，監(jiān)控因特網(wǎng)主機102接收的網(wǎng)絡(luò)流量。在一個實施例中，對因特網(wǎng)主機102接收的網(wǎng)絡(luò)流量進行監(jiān)控是通過使用模式識別來執(zhí)行的，例如模糊邏輯，其可以被訓(xùn)練來確定正常的流量水平?；谡５钠骄髁克剑撃：壿嬁梢源_定流量水平何時超過正常水平一個預(yù)定量或閾值，以檢測DDoS攻擊。然而，本發(fā)明所考慮的DDoS攻擊的檢測包括各種用于檢測DDoS攻擊的傳統(tǒng)技術(shù)。
這樣，確定網(wǎng)絡(luò)流量的大小是否超過正?；蚱骄髁看笮∫粋€預(yù)定閾值。如果檢測到這樣的情況，則在處理框508處檢測DDoS攻擊，并且執(zhí)行處理框510。在一個實施例中，所述預(yù)定閾值是基于正常、平均流量水平與在所檢測的攻擊期間的流量水平相比較而言的。然而，DDoS攻擊檢測并不局限于所描述的過量的流量水平。在處理框510，將包括各種攻擊流量270/280在內(nèi)的DDoS攻擊通知給因特網(wǎng)主機。一旦被檢測到，控制流就返回到圖6的處理框520。
現(xiàn)在參考圖8，圖8示出了一個框圖，圖示了另一種方法，用于執(zhí)行圖6所示的處理框520的向上游路由器建立安全性認(rèn)證。在處理框524，因特網(wǎng)主機生成安全性認(rèn)證請求。在處理框526，因特網(wǎng)主機102將安全性認(rèn)證請求發(fā)送到上游路由器302，該請求包括認(rèn)證信息和攻擊流量的目的地地址。最后，在處理框528，確定因特網(wǎng)主機102是否已收到向上游路由器302建立安全性認(rèn)證的授權(quán)。一旦接收到授權(quán)，控制流就返回到處理框520，如圖6所示。
現(xiàn)在參考圖9，圖9示出了另一種方法542，用于執(zhí)行圖6所示的處理框540的一個或多個DDoS抑制過濾器的發(fā)送。在處理框544，因特網(wǎng)主機102識別處因特網(wǎng)主機102接收的攻擊流量的攻擊流量特性。在一個實施例中，攻擊流量特性包括攻擊流量的目的地端口、攻擊流量的源端口、攻擊流量的源IP地址、攻擊流量的目的地IP地址以及攻擊流量的生存時間分量中的一個或多個。
在處理框546，因特網(wǎng)主機102基于所識別的攻擊流量特性生成一個或多個DDoS抑制過濾器。如上所述，所述一個或多個過濾器的動作分量指示丟棄與所述一個或多個過濾器相匹配的流量(攻擊流量)。在處理框548，因特網(wǎng)主機102對所述一個或多個過濾器進行數(shù)字簽名，已實現(xiàn)源和完整性認(rèn)證。最后，在處理框550，因特網(wǎng)主機102將所述一個或多個過濾器發(fā)送到上游路由器302。一旦被發(fā)送，控制流就返回到處理框540，如圖6所示。相應(yīng)地，上游路由器302接收到過濾器之后，安裝過濾器的安裝與丟棄匹配網(wǎng)絡(luò)流量應(yīng)該會結(jié)束因特網(wǎng)主機102處的DDoS攻擊。
現(xiàn)在參考圖10，圖10示出了一種方法，用于安裝上游路由器所接收的一個或多個路由器，以在例如圖5A和5B所示的網(wǎng)絡(luò)300中終止DDoS攻擊。在處理框602，上游路由器302可接收路由協(xié)議更新。否則，在處理框604，上游路由器302可接收來自下游設(shè)備的安全性認(rèn)證請求。在一個實施例中，下游設(shè)備是因特網(wǎng)主機102。然而，在另一個實施例中，下游設(shè)備例如是一個下游路由器，其已經(jīng)接收并安裝了用于抑制DDoS攻擊的一個或多個DDoS抑制過濾器，并且正在將所述一個或多個過濾器安全地轉(zhuǎn)發(fā)給連接到某個端口的路由器，其中正從該端口接收攻擊流量。
接收請求后，執(zhí)行處理框606。在處理框606，上游路由器建立下游設(shè)備的安全性認(rèn)證。建立安全性認(rèn)證后，執(zhí)行處理框630。在處理框630，上游路由器302可從下游設(shè)備接收一個或多個DDoS抑制過濾器作為路由協(xié)議更新的一部分。接收所述一個或多個過濾器后，執(zhí)行處理框650。在處理框650，確定所述過濾器是否只選擇導(dǎo)向到該下游設(shè)備的網(wǎng)絡(luò)流量。如果是如此，則執(zhí)行處理框660。
在處理框660，上游路由器將安裝所述一個或多個過濾器。相應(yīng)地，安裝后，上游路由器將丟棄與所述一個或多個過濾器中所指示的特性相匹配的網(wǎng)絡(luò)流量，從而丟棄攻擊流量并終止DDoS服務(wù)攻擊。而且，過濾器的各種檢查確保其他設(shè)備不會受到所述一個或多個過濾器的安裝的影響，并且，下游設(shè)備的安全性認(rèn)證可防止DDoS抑制協(xié)議的惡意使用，如在此所述的那樣。
在一個實施例中，如圖4所示，當(dāng)路由器接收到路由協(xié)議更新時，轉(zhuǎn)發(fā)決策模塊314將路由協(xié)議更新分組發(fā)送到控制平面接口332，其將它發(fā)送給BGP模塊342或OSPF模塊344。這些模塊中的每一個都認(rèn)證協(xié)議更新的源，其中可能利用了安全性模塊346和PKI基礎(chǔ)結(jié)構(gòu)的幫助?，F(xiàn)在參考圖11，當(dāng)路由器接收路由協(xié)議更新時，路由器首先認(rèn)證該更新的合法性。然后，對于路由表中的每一個目的地網(wǎng)絡(luò)，如果提供了一個或多個關(guān)聯(lián)DDoS抑制過濾器，則所述路由器被置入到圖4的出口過濾器316中。
再次參考圖11，圖11示出了另一種方法608，用于建立下游設(shè)備的安全性認(rèn)證。在處理框610，確定下游設(shè)備是否是因特網(wǎng)主機102。如果下游設(shè)備是因特網(wǎng)主機102，則執(zhí)行處理框612。否則，執(zhí)行處理框618。在處理框612，上游路由器從接收自因特網(wǎng)主機102的安全性認(rèn)證請求中選擇認(rèn)證信息。在一個實施例中，因特網(wǎng)主機102和路由器302可利用公共密鑰基礎(chǔ)結(jié)構(gòu)來執(zhí)行源認(rèn)證。這樣，認(rèn)證信息是可能被加密的數(shù)字證書。
然后，上游路由器302解密任何已加密的認(rèn)證信息。在一個實施例中，公共密鑰基礎(chǔ)結(jié)構(gòu)使得可使用公共密鑰來解密作為認(rèn)證信息而接收的數(shù)字證書。在處理框614，確定因特網(wǎng)主機的身份標(biāo)識是否與所接收的認(rèn)證信息相匹配。如果認(rèn)證失敗，則所述處理終止。否則，執(zhí)行處理框616。在處理框616，上游路由器302建立因特網(wǎng)主機102的成功的安全性認(rèn)證。或者，可由從下游設(shè)備接收的數(shù)字簽名消息來提供認(rèn)證，所述消息可同時實現(xiàn)源和完整性認(rèn)證。執(zhí)行后，控制流返回到處理框630，如圖10所示。
然而，如果在處理框610處檢測到下游設(shè)備是路由器，則執(zhí)行處理框618。在處理框618，路由器從路由協(xié)議更新中選擇認(rèn)證信息(例如認(rèn)證頭部)。如果被加密，則解密所述認(rèn)證信息。選擇后，執(zhí)行處理框620。在處理框620，確定是否已基于認(rèn)證信息來認(rèn)證了下游路由器身份標(biāo)識。或者，可使用數(shù)字簽名來用于源認(rèn)證。如果認(rèn)證失敗，則所述處理終止。否則，執(zhí)行處理框624。在處理框626，路由器從路由協(xié)議更新中選擇一個或多個DDoS抑制過濾器。
現(xiàn)在參考圖12，圖12示出了另一種方法632，用于圖10所示的處理框630的所述一個或多個過濾器的接收(或從路由協(xié)議更新中選擇所述過濾器)。在處理框634，路由器302利用所述一個或多個過濾器的數(shù)字簽名來核實過濾器的源是所述下游設(shè)備。另外，該數(shù)字簽名可用于完整性認(rèn)證。然后，在處理框636，確定路由器的管理員是否已為所接收的DDoS抑制過濾器設(shè)置DDoS抑制TTL值。這一預(yù)定TTL值使得路由器302可為每一個過濾器生成過期時間，并在所生成的過期時間已過期后去除任何已安裝的過濾器。然后，執(zhí)行處理框648。在處理框648，核實每個過濾器的動作分量是“丟棄”，否則就不考慮所述一個或多個已接收的過濾器。然而，如果每個過濾器都包含DDoS抑制TTL值并且每個過濾器的動作分量都是“丟棄”，則控制流返回到處理框630，如圖10所示。
現(xiàn)在參考圖13，圖13示出了一種軟狀態(tài)機制(如在本領(lǐng)域中所指的那樣)，用來安裝DDoS抑制過濾器。由于因特網(wǎng)主機102可能忘記卸載DDoS抑制過濾器，因此路由器需要一種機制來防止過期的DDoS抑制過濾器的無休止的累積。因此，圖13示出了另一種方法637，用于例如在圖4的出口過濾器316中安裝圖13所示的處理框638的DDoS抑制過濾器。每一個所安裝的過濾器都包括基于預(yù)定DDoS抑制TTL值的過期時間時間戳，所述TTL值由各路由器的管理員設(shè)置。該時間戳表示這一DDoS抑制過濾器應(yīng)該被去除的時間。
相應(yīng)地，在處理框638，基于預(yù)定的DDoS抑制TTL值，為每一個過濾器生成過濾器過期時間。然后，在處理框640，選擇已安裝的過濾器。在處理框642，將所選擇的DDoS抑制過濾器的過期時間與當(dāng)前時間進行比較。如果該過濾器過期時間小于當(dāng)前時間，則在處理框644，路由器從圖4的出口過濾器316去除該DDoS抑制過濾器。如果過濾器過期時間大于當(dāng)前時間，則不做任何事情。在任一情形下，在處理框646都檢查下一個DDoS抑制過濾器，直到所有當(dāng)前已安裝的DDoS抑制過濾器都已通過為每一個已安裝的DDoS抑制過濾器重復(fù)處理框640-644而被檢查。
現(xiàn)在參考圖14，圖14示出了另一種方法652，用于執(zhí)行圖10所示的處理框650的過濾器核實。在處理框654，路由器選擇每個所接收的過濾器的目的地地址分量。然后，在處理框656，將每個過濾器的所選擇的目的地地址與下游設(shè)備的IP地址進行比較。如果每個所選擇的地址與下游設(shè)備的已存儲的地址相匹配，則執(zhí)行處理框658。否則，忽略所述一個或多個所接收的過濾器。最后，在處理框658，路由器302存儲來自下游設(shè)備的一個或多個所接收的過濾器。存儲后，控制流返回到處理框660，如圖10所示。
現(xiàn)在參考圖15，圖15示出了另一種方法662，用于執(zhí)行圖10所示的處理框660處的過濾器的安裝。在處理框664，確定網(wǎng)絡(luò)流量是否與所接收的過濾器中的一個或多個相匹配。如上所述，在此將與所述一個或多個所接收的過濾器相匹配的網(wǎng)絡(luò)流量稱為“攻擊流量”。最后，執(zhí)行處理框668。在處理框668，路由器丟棄匹配網(wǎng)絡(luò)流量。因此，由于丟棄了與所述一個或多個所接收的過濾器相匹配的網(wǎng)絡(luò)流量的部分，所以最后將終止因特網(wǎng)主機102所遭受的DDoS攻擊。執(zhí)行處理框668后，控制流返回到處理框660，如圖10所示。
最后參考圖16，圖16示出了方法670，用于轉(zhuǎn)發(fā)一個或多個從下游設(shè)備接收的過濾器。在處理框672，路由器基于所接收的一個或多個過濾器來確定一個或多個正在從其處接收攻擊流量的端口。確定后，執(zhí)行處理框674。在處理框674，路由器確定耦合到所述一個或多個已確定的端口的一個或多個更上游的路由器。然后，執(zhí)行處理框676。在處理框676，路由器302生成路由協(xié)議更新，其包括所述一個或多個DDoS抑制過濾器。生成后，路由器將所述一個或多個已接收的DDoS抑制過濾器作為路由協(xié)議更新而安全地轉(zhuǎn)發(fā)到所確定的上游路由器中的每一個。
因此，使用方法670，由因特網(wǎng)主機102所生成的一個或多個DDoS抑制過濾器被選擇性地沿著網(wǎng)絡(luò)路徑轉(zhuǎn)發(fā)，并最終到達DDoS攻擊的源。因此，在一個實施例中，一經(jīng)確定，就可聯(lián)系各權(quán)力機構(gòu)并向之警示這一狀況。這樣，利用本發(fā)明所描述的各種核實和安全性技術(shù)，可實現(xiàn)一種系統(tǒng)，用來安全而自動化地對檢測到分布式服務(wù)拒絕攻擊進行響應(yīng)。因此，從傳統(tǒng)的DDoS攻擊響應(yīng)的動作響應(yīng)循環(huán)中去除了人的因素，這使得攻擊從一開始就受到抑制。結(jié)果，就將DDoS攻擊對社會的威脅最小化了，而這個社會越來越依賴于因特網(wǎng)，以用于包括商務(wù)與娛樂在內(nèi)的各種關(guān)鍵服務(wù)。
可選實施例在此已經(jīng)描述了用于提供對分布式服務(wù)拒絕攻擊的安全的、自動化的響應(yīng)的系統(tǒng)的一種實現(xiàn)的多個方面。然而，所述自動化的、安全的響應(yīng)的各種實現(xiàn)提供了大量的特征，可包括、完善、補充和/或取代例如上述的安全性認(rèn)證等特征。多個特征可以不同的實現(xiàn)形式而實現(xiàn)為萬維因特網(wǎng)主機/主機的一部分，或者網(wǎng)絡(luò)處理器例如路由器的一部分。另外，為了說明的目的，前述描述使用了特定的術(shù)語，以提供對本發(fā)明的透徹的理解。然而，對本領(lǐng)域內(nèi)的技術(shù)人員來說，很清楚并不需要這些特定細(xì)節(jié)來實施本發(fā)明。
另外，盡管在此描述的實施例涉及DDoS攻擊的因特網(wǎng)主機檢測，但是，本領(lǐng)域內(nèi)的技術(shù)人員將會認(rèn)識到，本發(fā)明的教導(dǎo)可應(yīng)用到其他系統(tǒng)。實際上，帶有利用過濾器的傳播的檢測/響應(yīng)循環(huán)的人力響應(yīng)系統(tǒng)包含于本發(fā)明的教導(dǎo)之內(nèi)，而沒有偏離本發(fā)明的范圍和精神。選擇并描述了上述實施例，以最好地說明本發(fā)明的原理及其實際應(yīng)用。選擇了這些實施例，以使得本領(lǐng)域內(nèi)的技術(shù)人員可最好地利用本發(fā)明，并且，具有各種修正的各種實施例對于所考慮的特定用途也是適合的。
應(yīng)該理解到，即使在前面的描述中已經(jīng)給出了本發(fā)明各種實施例的大量特性和優(yōu)點，以及本發(fā)明各種實施例的結(jié)構(gòu)和功能的細(xì)節(jié)，但是這些公開只是描述性的。在所附權(quán)利要求表達的寬廣的意義所表示的范圍內(nèi)，可在本發(fā)明的原理內(nèi)做出各種細(xì)節(jié)上的改變，尤其是有關(guān)某些部件的結(jié)構(gòu)和管理上改變。
與現(xiàn)有技術(shù)相比，本發(fā)明提供了許多優(yōu)點。本發(fā)明包括了已認(rèn)證的、安全的過濾器的組合，其中，目的地IP地址必須與因特網(wǎng)主機的地址相匹配，或者其IP地址和請求了所述分組的下一跳路由器相關(guān)聯(lián)，并且其動作必須是“丟棄”，以使得可以自動化的方式來使用這一服務(wù)。可以自動化地使用這一服務(wù)，因為它在傳送什么流量這一方面沒有擴寬路由器或因特網(wǎng)主機的信任模型。另外，因特網(wǎng)主機被局限在對發(fā)送到其自身的流量進行限制的能力上，而不是允許它限制發(fā)送到其他節(jié)點的流量。這種特性組合就是之所以可以自動的方式(即，因特網(wǎng)主機識別到攻擊者是DDoS流量的源后，立即開始安裝用于攻擊者的上游過濾器)而無需人工干預(yù)地使用這一系統(tǒng)的原因所在。
由于已經(jīng)公開了示例性實施例和最佳實施模式，因此可對所公開的實施例做出各種修正與變動，而仍落在本發(fā)明由下面的權(quán)利要求所限定的范圍之內(nèi)。
權(quán)利要求
1.一種方法，包括接收分布式服務(wù)拒絕攻擊的通知；向正從其處接收攻擊流量的上游路由器建立安全性認(rèn)證，所述攻擊流量由一個或多個攻擊主機計算機發(fā)送；以及建立安全性認(rèn)證后，將一個或多個過濾器發(fā)送到所述上游路由器，以使得所述上游路由器丟棄所述攻擊流量，從而終止所述分布式服務(wù)拒絕攻擊。
2.如權(quán)利要求1所述的方法，其中檢測所述攻擊流量還包括監(jiān)控由因特網(wǎng)主機接收的網(wǎng)絡(luò)流量；以及當(dāng)檢測到分布式服務(wù)拒絕攻擊時，將該分布式服務(wù)拒絕攻擊通知給所述因特網(wǎng)主機。
3.如權(quán)利要求1所述的方法，其中建立安全性認(rèn)證還包括向所述上游路由器發(fā)送安全性認(rèn)證請求，所述請求包括認(rèn)證信息，所述認(rèn)證信息包括所述攻擊流量的目的地地址；以及從所述上游路由器接收安全性認(rèn)證的建立的授權(quán)。
4.如權(quán)利要求1所述的方法，其中發(fā)送所述一個或多個過濾器還包括識別由因特網(wǎng)主機接收的攻擊流量的攻擊流量特性；基于所識別的攻擊流量特性，生成一個或多個過濾器，以使得所述一個或多個過濾器指示所述上游路由器丟棄與所述攻擊流量特性相匹配的網(wǎng)絡(luò)流量；使用所述因特網(wǎng)主機的數(shù)字證書對所述一個或多個過濾器進行數(shù)字簽名；以及將所述一個或多個已數(shù)字簽名的過濾器發(fā)送到所述上游路由器。
5.一種方法，包括建立正經(jīng)受分布式服務(wù)拒絕攻擊的因特網(wǎng)主機的安全性認(rèn)證；從該因特網(wǎng)主機接收一個或多個過濾器；當(dāng)建立安全性認(rèn)證時，核實所述一個或多個過濾器只選擇導(dǎo)向到所述因特網(wǎng)主機的網(wǎng)絡(luò)流量；以及核實后，安裝所述一個或多個過濾器，以使得可防止與所述一個或多個過濾器相匹配的網(wǎng)絡(luò)流量到達所述因特網(wǎng)主機。
6.如權(quán)利要求5所述的方法，其中建立安全性認(rèn)證還包括從所述因特網(wǎng)主機接收包括認(rèn)證信息的安全性認(rèn)證請求；從所述安全性認(rèn)證請求中選擇所述認(rèn)證信息；以及基于所選擇的認(rèn)證信息，認(rèn)證所述因特網(wǎng)主機的身份標(biāo)識。
7.如權(quán)利要求5所述的方法，其中接收所述一個或多個過濾器還包括認(rèn)證所接收的一個或多個過濾器的源是所述因特網(wǎng)主機；認(rèn)證后，核實路由器管理員已為所接收的過濾器設(shè)置分布式服務(wù)拒絕抑制生存時間值；核實后，基于所述生存時間值，為每一個過濾器生成過濾器過期時間，以使得所述過期時間過期后就卸載所述過濾器；核實所述過濾器中的每一個的動作分量是丟棄；以及否則，忽略從所述因特網(wǎng)主機接收的一個或多個過濾器。
8.如權(quán)利要求5所述的方法，其中核實所述一個或多個過濾器還包括對從所述因特網(wǎng)主機接收的一個或多個過濾器中的每一個過濾器選擇目的地地址分量；將所選擇的目的地地址分量與所述因特網(wǎng)主機的地址進行比較；核實所選擇的目的地地址與所述因特網(wǎng)主機地址相匹配；以及否則，忽略從所述因特網(wǎng)主機接收的一個或多個過濾器。
9.如權(quán)利要求5所述的方法，其中安裝所述一個或多個過濾器還包括選擇與從所述因特網(wǎng)主機接收的過濾器中的一個或多個過濾器相匹配的網(wǎng)絡(luò)流量；以及丟棄所選擇的網(wǎng)絡(luò)流量，從而消除所述因特網(wǎng)主機從一個或多個攻擊主機計算機接收的攻擊流量，以終止所述分布式服務(wù)拒絕攻擊。
10.如權(quán)利要求5所述的方法，還包括基于路由表，由從所述因特網(wǎng)主機接收所述一個或多個過濾器的上游路由器來確定一個或多個端口，其中，正在所述端口處接收與所述一個或多個過濾器相匹配的攻擊流量；從所述一個或多個已確定的端口中選擇一個端口；基于路由表，確定連接到所選擇的端口的上游路由器；將從所述因特網(wǎng)主機接收的一個或多個過濾器作為路由協(xié)議更新而安全地轉(zhuǎn)發(fā)到所確定的上游路由器；以及對所述一個或多個已確定的端口中的每一個重復(fù)所述選擇、確定和轉(zhuǎn)發(fā)操作。
11.一種方法，包括從下游路由器接收路由協(xié)議更新；從接收自所述下游路由器的路由協(xié)議更新中選擇一個或多個過濾器；建立所述下游路由器的安全性認(rèn)證；建立認(rèn)證后，核實所述一個或多個過濾器只選擇導(dǎo)向到所述下游路由器的網(wǎng)絡(luò)流量；以及核實后，安裝所述一個或多個過濾器，以使得可防止與所述一個或多個過濾器相匹配的攻擊流量到達所述下游路由器。
12.如權(quán)利要求11所述的方法，其中建立所述下游路由器的安全性認(rèn)證還包括從接收自所述下游路由器的所述路由協(xié)議更新中選擇認(rèn)證信息；選擇后，基于所述認(rèn)證信息，認(rèn)證所述下游路由器的身份標(biāo)識；認(rèn)證所述一個或多個路由器的源是所述下游路由器；認(rèn)證后，核實路由器管理員已為所接收的過濾器設(shè)置分布式服務(wù)拒絕抑制生存時間值；核實后，基于所述生存時間值，為每個過濾器生成過濾器過期時間，以使得所述過期時間過期后就卸載所述過濾器；核實所述過濾器中的每一個的動作分量是丟棄；以及否則，忽略從所述下游路由器接收的所述一個或多個過濾器。
13.如權(quán)利要求11所述的方法，其中核實所述一個或多個過濾器還包括對從所述一個或多個過濾器中的每一個過濾器選擇目的地地址分量；將所選擇的目的地地址分量與所述下游路由器的地址進行比較；核實所選擇的目的地地址與所述下游路由器地址相匹配；以及否則，忽略從所述下游路由器接收的所述一個或多個過濾器。
14.如權(quán)利要求11所述的方法，還包括由從所述下游路由器接收一個或多個過濾器的上游路由器來確定一個或多個端口，其中，正在所述端口處接收與所述一個或多個過濾器相匹配的攻擊流量；從所述一個或多個已確定的端口中選擇一個端口；基于路由表，確定耦合到所選擇的端口的上游路由器；將所述所接收的一個或多個過濾器作為路由協(xié)議更新而安全地轉(zhuǎn)發(fā)到所確定的上游路由器；以及對所述一個或多個已確定的端口中的每一個端口重復(fù)所述選擇、確定和轉(zhuǎn)發(fā)操作。
15.一種計算機可讀存儲介質(zhì)，其包含程序指令，所述指令由處理器執(zhí)行時指示計算機以特定方式而工作，所述程序指令包括接收分布式服務(wù)拒絕攻擊的通知；向正從其處接收攻擊流量的上游路由器建立安全性認(rèn)證，所述攻擊流量由一個或多個攻擊主機計算機發(fā)送；以及建立安全性認(rèn)證后，將一個或多個過濾器發(fā)送到所述上游路由器，以使得所述上游路由器丟棄所述攻擊流量，從而終止所述分布式服務(wù)拒絕攻擊。
16.如權(quán)利要求15所述的計算機可讀存儲介質(zhì)，其中檢測所述攻擊流量的指令還包括監(jiān)控由因特網(wǎng)主機接收的網(wǎng)絡(luò)流量；以及當(dāng)檢測到分布式服務(wù)拒絕攻擊時，將該分布式服務(wù)拒絕攻擊通知給所述因特網(wǎng)主機。
17.如權(quán)利要求15所述的計算機可讀存儲介質(zhì)，其中建立安全性認(rèn)證的指令還包括向所述上游路由器發(fā)送安全性認(rèn)證請求，所述請求包括認(rèn)證信息，所述認(rèn)證信息包括所述攻擊流量的目的地地址；以及從所述上游路由器接收安全性認(rèn)證的建立的授權(quán)。
18.如權(quán)利要求15所述的計算機可讀存儲介質(zhì)，其中發(fā)送所述一個或多個過濾器的指令還包括識別由因特網(wǎng)主機接收的攻擊流量的攻擊流量特性；基于所識別的攻擊流量特性，生成一個或多個過濾器，以使得所述一個或多個過濾器指示所述上游路由器丟棄與所述攻擊流量特性相匹配的網(wǎng)絡(luò)流量；使用所述因特網(wǎng)主機的數(shù)字證書對所述一個或多個過濾器進行數(shù)字簽名；以及將所述一個或多個已數(shù)字簽名的過濾器發(fā)送到所述上游路由器。
19.一種計算機可讀存儲介質(zhì)，其包含程序指令，所述指令由處理器執(zhí)行時指示計算機以特定方式而工作，所述程序指令包括建立下游設(shè)備的安全性認(rèn)證；建立安全性認(rèn)證后，核實來自所述下游設(shè)備的一個或多個過濾器只選擇導(dǎo)向到所述下游設(shè)備的網(wǎng)絡(luò)流量；以及核實后，安裝所述一個或多個過濾器，以使得可防止與所述一個或多個過濾器相匹配的網(wǎng)絡(luò)流量到達所述下游設(shè)備。
20.如權(quán)利要求19所述的計算機可讀存儲介質(zhì)，其中建立安全性認(rèn)證的指令還包括從所述下游設(shè)備接收路由協(xié)議更新；從所述所接收的路由協(xié)議更新中選擇所述認(rèn)證信息；基于所選擇的認(rèn)證信息，認(rèn)證所述下游設(shè)備的身份標(biāo)識；認(rèn)證后，從所接收的路由協(xié)議更新中選擇所述一個或多個過濾器；以及基于所述過濾器的數(shù)字簽名，認(rèn)證所述一個或多個過濾器的完整性。
21.如權(quán)利要求19所述的計算機可讀存儲介質(zhì)，其中核實所述一個或多個過濾器的指令還包括認(rèn)證所接收的一個或多個過濾器的源是所述下游設(shè)備；認(rèn)證后，核實路由器管理員已為所接收的過濾器設(shè)置分布式服務(wù)拒絕抑制生存時間值；核實后，基于所述生存時間值，為每一個過濾器生成過濾器過期時間，以使得所述過期時間過期后就卸載所述過濾器；核實所述過濾器中的每一個的動作分量是丟棄；以及否則，忽略從所述下游設(shè)備接收的一個或多個過濾器。
22.如權(quán)利要求19所述的計算機可讀存儲介質(zhì)，其中核實所述一個或多個過濾器的指令還包括對從所述下游設(shè)備接收的一個或多個過濾器中的每一個過濾器選擇目的地地址分量；將所述目的地地址分量與所述下游設(shè)備的地址進行比較；核實所選擇的目的地地址與所述下游設(shè)備地址相匹配；以及否則，忽略從所述下游設(shè)備接收的一個或多個過濾器。
23.如權(quán)利要求19所述的計算機可讀存儲介質(zhì)，其中建立安全性認(rèn)證的指令還包括從所述下游設(shè)備接收包括認(rèn)證信息的安全性認(rèn)證請求；從所述安全性認(rèn)證請求中選擇所述認(rèn)證信息；以及基于所選擇的認(rèn)證信息，認(rèn)證所述下游設(shè)備的身份標(biāo)識。
24.如權(quán)利要求19所述的計算機可讀存儲介質(zhì)，其中安裝所述一個或多個過濾器的指令還包括選擇與從所述下游設(shè)備接收的過濾器中的一個或多個過濾器相匹配的網(wǎng)絡(luò)流量；以及丟棄所選擇的網(wǎng)絡(luò)流量，從而消除所述下游設(shè)備從一個或多個攻擊主機計算機接收的攻擊流量，以終止所述分布式服務(wù)拒絕攻擊。
25.如權(quán)利要求19所述的計算機可讀存儲介質(zhì)，還包括下述指令由從所述下游設(shè)備接收一個或多個過濾器的上游路由器來確定一個或多個端口，其中，正在所述端口處接收與所述一個或多個所接收的過濾器相匹配的攻擊流量；從所述一個或多個已確定的端口中選擇一個端口；基于路由表，確定耦合到所選擇的端口的上游路由器；將所述一個或多個過濾器作為路由協(xié)議更新而安全地轉(zhuǎn)發(fā)到所確定的上游路由器；以及對所述一個或多個已確定的端口中的每一個端口重復(fù)所述選擇、確定和轉(zhuǎn)發(fā)操作。
26.一種裝置，包括處理器，其具有執(zhí)行指令的電路；控制平面接口，其耦合到所述處理器，所述控制平面接口接收分組處理過濾器，并認(rèn)證所述分組處理過濾器的源；以及存儲設(shè)備，其耦合到所述處理器，具有存儲在其中的指令序列，所述指令由所述處理器執(zhí)行時使得所述處理器建立下游設(shè)備的安全性認(rèn)證；建立安全性認(rèn)證后，核實來自所述下游設(shè)備的一個或多個過濾器只選擇導(dǎo)向到所述下游設(shè)備的網(wǎng)絡(luò)流量；以及核實后，安裝所述一個或多個過濾器，以使得可防止與所述一個或多個過濾器相匹配的網(wǎng)絡(luò)流量到達所述下游設(shè)備。
27.如權(quán)利要求26所述的裝置，其中建立安全性認(rèn)證的指令還使得所述處理器從所述下游設(shè)備接收路由協(xié)議更新；從所述所接收的路由協(xié)議更新中選擇所述認(rèn)證信息；基于所選擇的認(rèn)證信息，認(rèn)證所述下游設(shè)備的身份標(biāo)識；認(rèn)證后，從所接收的路由協(xié)議更新中選擇所述一個或多個過濾器；以及基于所述過濾器的數(shù)字簽名，認(rèn)證所述一個或多個過濾器的完整性。
28.如權(quán)利要求26所述的裝置，其中接收所述一個或多個過濾器的指令還使得所述處理器認(rèn)證所接收的所述一個或多個過濾器的源是所述下游設(shè)備；認(rèn)證后，核實路由器管理員已為所接收的過濾器設(shè)置分布式服務(wù)拒絕抑制生存時間值；核實后，基于所述生存時間值，為每一個過濾器生成過濾器過期時間，以使得所述過期時間過期后就卸載所述過濾器；核實所述過濾器中的每一個的動作分量是丟棄；以及否則，忽略從所述下游設(shè)備接收的一個或多個過濾器。
29.如權(quán)利要求26所述的裝置，其中核實所述一個或多個過濾器的指令還使得所述處理器對從所述下游設(shè)備接收的一個或多個過濾器中的每一個過濾器選擇目的地地址分量；將所述目的地地址分量與所述下游設(shè)備的地址進行比較；核實所選擇的目的地地址與所述下游設(shè)備地址相匹配；以及否則，忽略從所述下游設(shè)備接收的一個或多個過濾器。
30.如權(quán)利要求26所述的裝置，其中安裝所述一個或多個過濾器的指令還使得所述處理器選擇與從所述下游設(shè)備接收的過濾器中的一個或多個過濾器相匹配的網(wǎng)絡(luò)流量；以及丟棄所選擇的網(wǎng)絡(luò)流量，從而消除所述下游設(shè)備從一個或多個攻擊主機計算機接收的攻擊流量，以終止所述分布式服務(wù)拒絕攻擊。
31.如權(quán)利要求26所述的裝置，其中還使得所述處理器基于路由表，由從所述下游設(shè)備接收一個或多個過濾器的路由器來確定一個或多個端口，其中，正在所述端口處接收與所述一個或多個所接收的過濾器相匹配的攻擊流量；確定連接到所確定的端口的一個或多個上游的路由器；向所述一個或多個上游的路由器中的每一個建立安全的連接，以及將從所述下游設(shè)備接收的所述一個或多個過濾器轉(zhuǎn)發(fā)到所述一個或多個上游的路由器。
32.如權(quán)利要求26所述的裝置，其中建立安全性認(rèn)證的指令還使得所述處理器從所述下游設(shè)備接收包括認(rèn)證信息的安全性認(rèn)證請求；解密所接收的認(rèn)證信息；從所述安全性認(rèn)證請求中選擇認(rèn)證信息；以及基于所選擇的認(rèn)證信息，認(rèn)證所述下游設(shè)備的身份標(biāo)識。
33.一種系統(tǒng)，包括因特網(wǎng)主機；廣域網(wǎng)；以及路由器，其耦合在所述因特網(wǎng)主機和所述廣域網(wǎng)之間，所述路由器具有處理器，其具有執(zhí)行指令的電路；控制平面接口，其耦合到所述處理器，所述控制平面接口接收分組處理過濾器，并認(rèn)證所述分組處理過濾器的源；以及存儲設(shè)備，其耦合到所述處理器，具有存儲在其中的指令序列，所述指令由所述處理器執(zhí)行時使得所述處理器建立正經(jīng)受分布式服務(wù)拒絕攻擊的因特網(wǎng)主機的安全性認(rèn)證；從所述因特網(wǎng)主機接收一個或多個過濾器；當(dāng)建立安全性認(rèn)證時，核實來自所述因特網(wǎng)主機的一個或多個過濾器只選擇導(dǎo)向到所述因特網(wǎng)主機的網(wǎng)絡(luò)流量；以及核實后，安裝所述一個或多個過濾器，以使得可防止與所述一個或多個過濾器相匹配的網(wǎng)絡(luò)流量到達所述因特網(wǎng)主機。
34.如權(quán)利要求33所述的系統(tǒng)，其中，所述因特網(wǎng)主機接收分布式服務(wù)拒絕攻擊的通知，向正從其處接收攻擊流量的上游路由器建立安全性認(rèn)證，并且將一個或多個過濾器發(fā)送到所述上游路由器，以使得所述上游路由器丟棄所述攻擊流量，從而終止所述分布式服務(wù)拒絕攻擊，其中所述攻擊流量由一個或多個攻擊主機計算機發(fā)送。
35.如權(quán)利要求33所述的系統(tǒng)，其中還使得所述處理器基于路由表，由從所述下游設(shè)備接收一個或多個過濾器的路由器來確定一個或多個端口，其中，正從所述端口處接收與所述一個或多個過濾器相匹配的攻擊流量；確定連接到所確定的端口的一個或多個上游的路由器；以及將從所述下游設(shè)備接收的所述一個或多個過濾器作為路由協(xié)議更新而安全地轉(zhuǎn)發(fā)到所述一個或多個上游的路由器。
全文摘要
本發(fā)明描述了一種裝置和方法，用于安全地、自動化地響應(yīng)分布式服務(wù)拒絕(DDoS)攻擊。該方法包括通知由因特網(wǎng)主機接收的DDoS攻擊。因特網(wǎng)主機接收后，該因特網(wǎng)主機向上游路由器建立安全性認(rèn)證，其中所述攻擊流量是從該上游路由器接收的，并且是由一個或多個主機計算機發(fā)送的。因特網(wǎng)主機然后將(多個)過濾器發(fā)送到上游路由器，其中所述過濾器是基于攻擊流量的特性而生成的。由上游路由器安裝后，就丟棄所述攻擊流量以終止DDoS攻擊。另外，路由器可確定耦合到從其處接收攻擊流量的端口的(多個)上游路由器，并將所述(多個)過濾器作為路由協(xié)議更新而安全地轉(zhuǎn)發(fā)到所述上游路由器，以在離DDoS攻擊的源的更近處丟棄攻擊流量。
文檔編號H04L29/06GK1640090SQ02813607
公開日2005年7月13日 申請日期2002年6月27日 優(yōu)先權(quán)日2001年7月3日
發(fā)明者戴維·普措盧, 托德·安德森 申請人:英特爾公司