專利名稱:分布式拒絕服務(wù)ddos攻擊的防護(hù)方法、設(shè)備及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù),尤其涉及一種分布式拒絕服務(wù)DDOS攻擊的防護(hù)方法、設(shè)備 及系統(tǒng)。
背景技術(shù):
傳統(tǒng)的拒絕服務(wù)(Denail of Service ;以下簡稱DoS)攻擊主要進(jìn)行一對一的攻 擊方式,最基本的DoS攻擊是利用合理的服務(wù)請求來占用過多的服務(wù)資源,從而使服務(wù)器 無法處理合法用戶的指令。隨著計算機與網(wǎng)絡(luò)技術(shù)的發(fā)展,在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn) 生了分布式拒絕服務(wù)(Distribution Denial ofService ;以下簡稱:DDoS)攻擊,即采用多 對一的方式進(jìn)行攻擊。 分布式哈希表(Distributed Hash Table ;以下簡稱DHT)技術(shù)是一種分布式存 儲方法,在不需要服務(wù)器的情況下,使得接入DHT網(wǎng)絡(luò)中的任何一個節(jié)點(即一臺計算機) 都實現(xiàn)服務(wù)器的部分功能,使得用戶的下載不再依靠于服務(wù)器。 發(fā)明人在實現(xiàn)本發(fā)明的過程中,發(fā)現(xiàn)現(xiàn)有技術(shù)的一種分布式拒絕服務(wù)DDOS攻擊 的防護(hù)方法,在DHT網(wǎng)絡(luò)中設(shè)置受信節(jié)點,通過該受信節(jié)點對新加入節(jié)點的節(jié)點簽名和標(biāo) 識(Identity ;以下簡稱ID)進(jìn)行認(rèn)證。但惡意節(jié)點在加入DHT網(wǎng)絡(luò)的過程中,可能偽造節(jié) 點簽名和ID而通過受信節(jié)點的認(rèn)證并加入DHT網(wǎng)絡(luò)。當(dāng)其他節(jié)點向惡意節(jié)點發(fā)送查詢業(yè) 務(wù)請求提供節(jié)點的請求消息時,惡意節(jié)點將偽造指向被攻擊節(jié)點的反饋信息返回給發(fā)出請 求的節(jié)點,發(fā)出請求的節(jié)點還會將指向被攻擊節(jié)點的反饋信息擴(kuò)散到DHT網(wǎng)絡(luò)中的其他節(jié) 點,導(dǎo)致DHT網(wǎng)絡(luò)中大量的節(jié)點向被攻擊節(jié)點發(fā)出請求,從而占用被攻擊節(jié)點的資源,而使 向被攻擊節(jié)點發(fā)出正常請求的節(jié)點得不到響應(yīng)。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種分布式拒絕服務(wù)DD0S攻擊的防護(hù)方法、設(shè)備及系統(tǒng),以 解決現(xiàn)有技術(shù)中偽造報文在DHT網(wǎng)絡(luò)中擴(kuò)散,被攻擊節(jié)點的資源被占用,使得向被攻擊節(jié) 點發(fā)出正常請求的節(jié)點得不到響應(yīng)的問題。 為實現(xiàn)上述目的,本發(fā)明實施例提供了一種分布式拒絕服務(wù)DD0S攻擊的防護(hù)方 法,包括 向至少一個被請求節(jié)點發(fā)送業(yè)務(wù)查詢請求,所述業(yè)務(wù)查詢請求中包含有所請求的 業(yè)務(wù)標(biāo)識信息; 接收至少一個被請求節(jié)點的反饋消息,所述反饋消息中包含有所述業(yè)務(wù)標(biāo)識信息 對應(yīng)的業(yè)務(wù)提供節(jié)點的IP地址、端口號信息以及所述被請求節(jié)點對所述業(yè)務(wù)提供節(jié)點的 信任率; 根據(jù)所述業(yè)務(wù)提供節(jié)點的IP地址、端口號信息向所述業(yè)務(wù)提供節(jié)點發(fā)送業(yè)務(wù)請 求; 根據(jù)所述業(yè)務(wù)提供節(jié)點對所述業(yè)務(wù)請求的響應(yīng)情況更新所述業(yè)務(wù)提供節(jié)點在本地記錄信息中的信任率; 當(dāng)所述業(yè)務(wù)提供節(jié)點在本地記錄信息中的信任率低于預(yù)設(shè)閾值時,刪除所述本地 記錄信息中所述業(yè)務(wù)提供節(jié)點的相關(guān)信息。 本發(fā)明實施例還提供了一種分布式拒絕服務(wù)DD0S攻擊的防護(hù)方法,包括
接收業(yè)務(wù)查詢請求,所述業(yè)務(wù)查詢請求中包含有所請求的業(yè)務(wù)標(biāo)識信息;
根據(jù)所述業(yè)務(wù)標(biāo)識信息在本地記錄信息中查找對應(yīng)的業(yè)務(wù)提供節(jié)點的相關(guān)信息, 所述本地記錄信息中包含有業(yè)務(wù)標(biāo)識信息以及對應(yīng)的信任率高于預(yù)設(shè)閾值的業(yè)務(wù)提供節(jié) 點信息,所述業(yè)務(wù)提供節(jié)點的相關(guān)信息包括所述業(yè)務(wù)提供節(jié)點的IP地址、端口號信息以及 對所述業(yè)務(wù)提供節(jié)點的信任率; 當(dāng)查找到所述業(yè)務(wù)標(biāo)識信息對應(yīng)的業(yè)務(wù)提供節(jié)點的相關(guān)信息時,發(fā)送反饋消息, 所述反饋消息中包含有所述業(yè)務(wù)提供節(jié)點的IP地址、端口號以及所述信任率。
本發(fā)明實施例提供一種業(yè)務(wù)請求節(jié)點,包括 查詢模塊,用于向至少一個被請求節(jié)點發(fā)送業(yè)務(wù)查詢請求,所述業(yè)務(wù)查詢請求中 包含有所請求的業(yè)務(wù)標(biāo)識信息; 接收模塊,用于接收至少一個被請求節(jié)點的反饋消息,所述反饋消息中包含有所 述業(yè)務(wù)標(biāo)識信息對應(yīng)的業(yè)務(wù)提供節(jié)點的IP地址、端口號信息以及所述被請求節(jié)點對所述 業(yè)務(wù)提供節(jié)點的信任率; 業(yè)務(wù)請求模塊,用于根據(jù)所述業(yè)務(wù)提供節(jié)點的IP地址、端口號信息向所述業(yè)務(wù)提 供節(jié)點發(fā)送業(yè)務(wù)請求; 更新模塊,用于根據(jù)所述業(yè)務(wù)提供節(jié)點對所述業(yè)務(wù)請求的響應(yīng)情況更新所述業(yè)務(wù) 提供節(jié)點在本地記錄信息中的信任率; 處理模塊,用于當(dāng)所述業(yè)務(wù)提供節(jié)點在本地記錄信息中的信任率低于預(yù)設(shè)閾值 時,刪除所述本地記錄信息中所述業(yè)務(wù)提供節(jié)點的信息。
本發(fā)明實施例提供一種被請求節(jié)點,包括 接收單元,用于接收業(yè)務(wù)查詢請求,所述業(yè)務(wù)查詢請求中包含有所請求的業(yè)務(wù)標(biāo) 識信息; 查找單元,用于根據(jù)所述業(yè)務(wù)標(biāo)識信息在本地記錄信息中查找對應(yīng)的業(yè)務(wù)提供節(jié) 點的相關(guān)信息,所述業(yè)務(wù)提供節(jié)點的相關(guān)信息包括所述業(yè)務(wù)提供節(jié)點的IP地址、端口號信 息以及對所述業(yè)務(wù)提供節(jié)點的信任率; 發(fā)送單元,用于當(dāng)查找到所述業(yè)務(wù)標(biāo)識信息對應(yīng)的業(yè)務(wù)提供節(jié)點的相關(guān)信息時, 發(fā)送反饋消息,所述反饋消息中包含有所述業(yè)務(wù)提供節(jié)點的IP地址、端口號以及所述信任率。 本發(fā)明實施例還提供了一種分布式拒絕服務(wù)DDOS攻擊的防護(hù)系統(tǒng),包括請求節(jié) 點、被請求節(jié)點和業(yè)務(wù)提供節(jié)點; 所述請求節(jié)點,用于向至少一個被請求節(jié)點發(fā)送業(yè)務(wù)查詢請求;接收至少一個被 請求節(jié)點的反饋消息,根據(jù)所述反饋消息向業(yè)務(wù)提供節(jié)點發(fā)送業(yè)務(wù)請求,并根據(jù)所述業(yè)務(wù) 提供節(jié)點對所述業(yè)務(wù)請求的響應(yīng)情況更新所述業(yè)務(wù)提供節(jié)點在本地記錄信息中的信任率, 且當(dāng)所述業(yè)務(wù)提供節(jié)點在本地記錄信息中的信任率低于預(yù)設(shè)閾值時,刪除所述本地記錄信 息中所述業(yè)務(wù)提供節(jié)點的相關(guān)信息;所述業(yè)務(wù)查詢請求中包含有所請求的業(yè)務(wù)標(biāo)識信息,所述反饋消息中包含有所述業(yè)務(wù)標(biāo)識信息對應(yīng)的業(yè)務(wù)提供節(jié)點的IP地址、端口號信息以 及所述被請求節(jié)點對所述業(yè)務(wù)提供節(jié)點的信任率; 所述被請求節(jié)點,用于接收請求節(jié)點發(fā)送的所述業(yè)務(wù)查詢請求,所述業(yè)務(wù)查詢請 求中包含有所請求的業(yè)務(wù)標(biāo)識信息,并根據(jù)所述業(yè)務(wù)標(biāo)識信息在本地記錄信息中查找對應(yīng) 的業(yè)務(wù)提供節(jié)點的相關(guān)信息,當(dāng)查找到所述業(yè)務(wù)標(biāo)識信息對應(yīng)的業(yè)務(wù)提供節(jié)點的相關(guān)信息 時,向所述請求節(jié)點發(fā)送反饋消息,所述反饋消息中包含有所述業(yè)務(wù)提供節(jié)點的IP地址、 端口號以及所述信任率,所述本地記錄信息中包含有業(yè)務(wù)標(biāo)識信息以及對應(yīng)的信任率高于 預(yù)設(shè)閾值的業(yè)務(wù)提供節(jié)點信息,所述業(yè)務(wù)提供節(jié)點的相關(guān)信息包括所述業(yè)務(wù)提供節(jié)點的IP 地址、端口號信息以及對所述業(yè)務(wù)提供節(jié)點的信任率; 所述業(yè)務(wù)提供節(jié)點,用于接收所述請求節(jié)點根據(jù)所述被請求節(jié)點的反饋消息發(fā)起 的業(yè)務(wù)請求,所述業(yè)務(wù)請求中包含有所請求的業(yè)務(wù)標(biāo)識信息,并根據(jù)所述業(yè)務(wù)標(biāo)識信息向 所述請求節(jié)點提供相應(yīng)的業(yè)務(wù)。 本發(fā)明實施例提供的分布式拒絕服務(wù)DD0S攻擊的防護(hù)方法、設(shè)備及系統(tǒng),DHT網(wǎng) 絡(luò)中的被請求節(jié)點對于查詢業(yè)務(wù)請求的請求節(jié)點返回反饋消息,在反饋消息中通過信任率 來標(biāo)識業(yè)務(wù)提供節(jié)點對業(yè)務(wù)請求的響應(yīng)概率,業(yè)務(wù)請求節(jié)點根據(jù)信任率和業(yè)務(wù)提供節(jié)點對 業(yè)務(wù)請求的實際響應(yīng)情況確定是否刪除本地記錄信息中的該業(yè)務(wù)提供節(jié)點的相關(guān)信息,進(jìn) 而使DHT網(wǎng)絡(luò)中向被攻擊節(jié)點發(fā)出業(yè)務(wù)請求的節(jié)點大大減少,減少了被攻擊節(jié)點資源被占 用以及向被攻擊節(jié)點發(fā)出正常請求的節(jié)點得不到響應(yīng)的情況。
為了更清楚地說明本發(fā)明實施例中的技術(shù)方案,下面將對本發(fā)明實施例描述中所 需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施 例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲 得其他的附圖。 圖1為本發(fā)明一個實施例提供的分布式拒絕服務(wù)DD0S攻擊的防護(hù)方法流程圖;
圖2為本發(fā)明又一個實施例提供的分布式拒絕服務(wù)DDOS攻擊的防護(hù)方法流程 圖; 圖3為本發(fā)明另一個實施例提供的分布式拒絕服務(wù)DDOS攻擊的防護(hù)方法流程 圖; 圖4為本發(fā)明再一個實施例提供的分布式拒絕服務(wù)DD0S攻擊的防護(hù)方法流程 圖; 圖5為本發(fā)明一個實施例提供的業(yè)務(wù)請求節(jié)點結(jié)構(gòu)示意圖;
圖6為本發(fā)明又一個實施例提供的業(yè)務(wù)請求節(jié)點結(jié)構(gòu)示意圖;
圖7為本發(fā)明一個實施例提供的被請求節(jié)點結(jié)構(gòu)示意圖; 圖8為本發(fā)明一個實施例提供的分布式拒絕服務(wù)DDOS攻擊的防護(hù)系統(tǒng)結(jié)構(gòu)示意 圖。
具體實施例方式
下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例?;?本發(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他 實施例,都屬于本發(fā)明保護(hù)的范圍。 圖1為本發(fā)明一個實施例提供的分布式拒絕服務(wù)DDOS攻擊的防護(hù)方法流程圖,如 圖l所示,該方法包括 SlOl、向至少一個被請求節(jié)點發(fā)送業(yè)務(wù)查詢請求,業(yè)務(wù)查詢請求中包含有所請求 的業(yè)務(wù)標(biāo)識信息; 具體的,在DHT網(wǎng)絡(luò)中,當(dāng)節(jié)點A有業(yè)務(wù)需求時,例如需要下載文件等需求,節(jié)點A 會通過DHT網(wǎng)絡(luò)中特定的規(guī)則或算法找到一個或多個節(jié)點,并向這些節(jié)點發(fā)出業(yè)務(wù)查詢請 求,查詢業(yè)務(wù)提供節(jié)點,這些節(jié)點即為被請求節(jié)點,節(jié)點A向這些被請求節(jié)點發(fā)出的業(yè)務(wù)查 詢請求中可以包括所請求的業(yè)務(wù)標(biāo)識信息,該業(yè)務(wù)標(biāo)識信息中可以包括請求的業(yè)務(wù)名稱、 請求的業(yè)務(wù)類型等信息,例如該業(yè)務(wù)標(biāo)識信息可能為"下載多媒體文件",則節(jié)點A向這些 被請求節(jié)點發(fā)出業(yè)務(wù)查詢請求表示了節(jié)點A向被請求節(jié)點查詢"能夠下載多媒體文件的節(jié) 點"。 S102、接收至少一個被請求節(jié)點的反饋消息,反饋消息中包含有業(yè)務(wù)標(biāo)識信息對 應(yīng)的業(yè)務(wù)提供節(jié)點的IP地址、端口號信息以及被請求節(jié)點對業(yè)務(wù)提供節(jié)點的信任率;
節(jié)點A在向這些被請求節(jié)點發(fā)出請求消息后,可能收到這些節(jié)點中的一個或多 個節(jié)點返回的反饋消息,反饋消息中包括提供該業(yè)務(wù)標(biāo)識信息對應(yīng)的業(yè)務(wù)提供節(jié)點信息, 即能夠提供業(yè)務(wù)請求的業(yè)務(wù)提供節(jié)點信息,反饋消息中包括業(yè)務(wù)提供節(jié)點的互聯(lián)網(wǎng)協(xié)議 (Internet Protocol ;以下簡稱IP)地址、端口號和被請求節(jié)點對業(yè)務(wù)提供節(jié)點的信任 率,可以用〈IP,port, trustrate〉來表示,其中,通過〈IP, port〉能夠唯一確定DHT網(wǎng)絡(luò)中 的一個節(jié)點,信任率(trustrate)表示了被請求節(jié)點對該業(yè)務(wù)提供節(jié)點的信任程度,本實 例中可以用信任率來反應(yīng)業(yè)務(wù)提供節(jié)點對相應(yīng)的業(yè)務(wù)請求的響應(yīng)概率。
S103、根據(jù)業(yè)務(wù)提供節(jié)點的IP地址、端口號信息向業(yè)務(wù)提供節(jié)點發(fā)送業(yè)務(wù)請求;
S104、根據(jù)業(yè)務(wù)提供節(jié)點對業(yè)務(wù)請求的響應(yīng)情況更新業(yè)務(wù)提供節(jié)點在本地記錄信 息中的信任率; 由于SIOI中請求節(jié)點會向網(wǎng)絡(luò)中的至少一個被請求節(jié)點發(fā)送業(yè)務(wù)查詢請求,在 接收到第一個被請求節(jié)點返回的反饋消息后,通常會根據(jù)該反饋消息在本地記錄中記錄該 反饋消息對應(yīng)的業(yè)務(wù)提供節(jié)點的相關(guān)信息。因此,在接收到一個被請求節(jié)點返回的反饋消 息時,本地記錄信息中可能已經(jīng)保存有該業(yè)務(wù)提供節(jié)點的相關(guān)信息。請求節(jié)點可以在向業(yè) 務(wù)提供節(jié)點發(fā)送業(yè)務(wù)請求后,根據(jù)業(yè)務(wù)提供節(jié)點的實際響應(yīng)情況對該業(yè)務(wù)提供節(jié)點在本地 記錄信息中的信任率進(jìn)行更新,即根據(jù)業(yè)務(wù)提供節(jié)點對該業(yè)務(wù)請求是否響應(yīng)來提高或降低 本地記錄信息中該業(yè)務(wù)節(jié)點的相關(guān)信息中的信任率,以動態(tài)的反應(yīng)對該業(yè)務(wù)提供節(jié)點的信 任程度。 S105、當(dāng)業(yè)務(wù)提供節(jié)點在本地記錄信息中的信任率低于預(yù)設(shè)閾值時,刪除本地記 錄信息中業(yè)務(wù)提供節(jié)點的相關(guān)信息。 當(dāng)該業(yè)務(wù)提供節(jié)點在本地記錄信息中的信任率低到一定程度時,則說明該業(yè)務(wù)提 供節(jié)點對業(yè)務(wù)請求無法響應(yīng)的概率很大,該業(yè)務(wù)提供節(jié)點有可能是網(wǎng)絡(luò)中惡意節(jié)點攻擊的 對象,即當(dāng)惡意節(jié)點作為被請求節(jié)點時,向請求節(jié)點發(fā)送的反饋消息指向某一被攻擊節(jié)點,
8而實際上該被攻擊節(jié)點無法對該業(yè)務(wù)請求做出響應(yīng)。因此,請求節(jié)點需要在本地記錄信息 中將該業(yè)務(wù)提供節(jié)點的相關(guān)信息刪除,以防止該業(yè)務(wù)提供節(jié)點的相關(guān)信息向網(wǎng)絡(luò)中其他請 求節(jié)點擴(kuò)散,進(jìn)而防止該業(yè)務(wù)提供節(jié)點的資源被大量業(yè)務(wù)請求占用。 本實施例提供的分布式拒絕服務(wù)DDOS攻擊的防護(hù)方法,通過DHT網(wǎng)絡(luò)中的被請求 節(jié)點對于查詢業(yè)務(wù)請求的請求節(jié)點返回反饋消息,該反饋消息中通過信任率來標(biāo)識業(yè)務(wù)提 供節(jié)點對業(yè)務(wù)請求的響應(yīng)概率,業(yè)務(wù)請求節(jié)點根據(jù)信任率和業(yè)務(wù)提供節(jié)點對業(yè)務(wù)請求的實 際響應(yīng)情況確定是否刪除本地記錄信息中的該業(yè)務(wù)提供節(jié)點的相關(guān)信息,進(jìn)而使DHT網(wǎng)絡(luò) 中向被攻擊節(jié)點發(fā)出業(yè)務(wù)請求的節(jié)點大大減少,減少了被攻擊節(jié)點的資源被占用以及向被 攻擊節(jié)點發(fā)出正常請求的節(jié)點得不到響應(yīng)的情況。 圖2為本發(fā)明又一個實施例提供的分布式拒絕服務(wù)DDOS攻擊的防護(hù)方法流程圖, 如圖2所示,該方法包括 S201、向至少一個被請求節(jié)點發(fā)送業(yè)務(wù)查詢請求,業(yè)務(wù)查詢請求中包含有所請求 的業(yè)務(wù)標(biāo)識信息,執(zhí)行S202; 具體的,在DHT網(wǎng)絡(luò)中,當(dāng)節(jié)點A有業(yè)務(wù)需求時,可以通過DHT網(wǎng)絡(luò)中特定的規(guī)則 或算法找到一個或多個節(jié)點,并向這些節(jié)點發(fā)出查詢業(yè)務(wù)提供節(jié)點的業(yè)務(wù)查詢請求消息, 該業(yè)務(wù)查詢請求消息中包括所請求的業(yè)務(wù)標(biāo)識信息,業(yè)務(wù)標(biāo)識信息中可以包括請求的業(yè)務(wù) 名稱、請求的業(yè)務(wù)類型等信息,以使被請求節(jié)點獲知具體的業(yè)務(wù)需求。 S202、接收至少一個被請求節(jié)點的反饋消息,反饋消息中包含有業(yè)務(wù)標(biāo)識信息對 應(yīng)的業(yè)務(wù)提供節(jié)點的IP地址、端口號信息以及被請求節(jié)點對業(yè)務(wù)提供節(jié)點的信任率,執(zhí)行 S203 ; 節(jié)點A在向這些被請求節(jié)點發(fā)出請求消息后,可能收到這些節(jié)點中的一個或多個 節(jié)點返回的反饋消息,反饋消息中包括提供該業(yè)務(wù)標(biāo)識信息對應(yīng)的業(yè)務(wù)提供節(jié)點信息,該 反饋消息中包括業(yè)務(wù)提供節(jié)點的IP地址、端口號和被請求節(jié)點對業(yè)務(wù)提供節(jié)點的信任 率,可以表示為〈IP, port, trustrate〉,其中,通過〈IP, port〉能夠唯一確定DHT網(wǎng)絡(luò)中的 一個節(jié)點,信任率(trustrate)表示了被請求節(jié)點對該業(yè)務(wù)提供節(jié)點的信任程度。
S203、判斷本地記錄信息中是否包含有被請求節(jié)點反饋的業(yè)務(wù)提供節(jié)點的IP地 址和端口號信息,是則執(zhí)行S204,否則執(zhí)行S205 ; 具體的,節(jié)點A向一個或多個被請求節(jié)點發(fā)出業(yè)務(wù)查詢請求后,可能先后收到這
些被請求節(jié)點中的一個或多個節(jié)點返回的反饋消息,而這些反饋消息可能指向同一個業(yè)務(wù) 提供節(jié)點,節(jié)點A會根據(jù)最先接收到的反饋消息,在本地記錄信息中記錄業(yè)務(wù)提供節(jié)點的 相關(guān)信息,因此,節(jié)點A在收到某一被請求節(jié)點發(fā)送的反饋消息之前,本地記錄信息中可能 已經(jīng)保存有該業(yè)務(wù)標(biāo)識信息對應(yīng)的業(yè)務(wù)提供節(jié)點的相關(guān)信息。 S204、根據(jù)反饋信息中的信任率以及本地記錄信息中的該業(yè)務(wù)提供節(jié)點的信任率
之間的最小值確定該業(yè)務(wù)提供節(jié)點在本地記錄信息中的信任率,執(zhí)行S206 ; 不同的被請求節(jié)點對于該業(yè)務(wù)提供節(jié)點的信任程度是不同的,因此不同的被請求
節(jié)點返回的反饋消息中的信任率通常是不同的,則節(jié)點A接收到的反饋信息中的信任率通
常與該業(yè)務(wù)提供節(jié)點在本地記錄信息中的信任率通常是不同的。由于網(wǎng)絡(luò)中的惡意節(jié)點作
為被請求節(jié)點時,為了對某一節(jié)點進(jìn)行攻擊,通常向請求節(jié)點返回的反饋消息中具有較高
的信任率,以便使請求節(jié)點向被攻擊節(jié)點發(fā)起業(yè)務(wù)請求,因此為了防止惡意攻擊,防止受害節(jié)點的信息在網(wǎng)絡(luò)中進(jìn)一步擴(kuò)散,請求節(jié)點A可以將接收到的反饋消息中的信任率與該業(yè) 務(wù)提供節(jié)點在本地記錄信息中的信任率進(jìn)行比較,選擇反饋消息中的信任率與該業(yè)務(wù)提供 節(jié)點在本地記錄信息中的信任率之間的最小值作為該業(yè)務(wù)提供節(jié)點在本地記錄信息中的 信任率。 S205、根據(jù)被請求節(jié)點的反饋信息在本地記錄信息中保存業(yè)務(wù)標(biāo)識信息對應(yīng)的業(yè) 務(wù)提供節(jié)點的相關(guān)信息,執(zhí)行S206 ; 具體的,當(dāng)請求節(jié)點A的本地記錄信息中沒有被請求節(jié)點反饋消息中指向的業(yè)務(wù) 提供節(jié)點信息,可以在收到反饋消息后在本地對該業(yè)務(wù)提供節(jié)點信息進(jìn)行記錄,該記錄信 息可以包括該業(yè)務(wù)提供節(jié)點的IP地址、端口號信息以及信任率,對于首次在請求節(jié)點A的 本地記錄信息中記錄的業(yè)務(wù)提供節(jié)點的信任率,可以根據(jù)被請求節(jié)點反饋消息中的信任率 來確定。 S206、根據(jù)反饋消息向業(yè)務(wù)提供節(jié)點發(fā)送業(yè)務(wù)請求,執(zhí)行S207 ; S207、判斷是否在預(yù)設(shè)時間內(nèi)接收到業(yè)務(wù)提供節(jié)點對業(yè)務(wù)請求的響應(yīng),是則執(zhí)行
S208,否則執(zhí)行S209 ; S208、當(dāng)在預(yù)設(shè)的時間內(nèi)接收到業(yè)務(wù)節(jié)點對業(yè)務(wù)請求的響應(yīng)消息時,對本地記錄 信息中該業(yè)務(wù)提供節(jié)點的信任率進(jìn)行增益處理,執(zhí)行S210 ; S209、對本地記錄信息中該業(yè)務(wù)提供節(jié)點的信任率進(jìn)行衰減處理,執(zhí)行S210 ;
具體的,若沒有得到業(yè)務(wù)提供節(jié)點對于業(yè)務(wù)請求的響應(yīng),則說明業(yè)務(wù)提供節(jié)點為 被攻擊節(jié)點的可能性很大,則對本地記錄信息中該業(yè)務(wù)提供節(jié)點的信任率做衰減處理,例 如可以將信任率乘以一個大于O小于1的數(shù)值,使信任率降低;相對的,若得到了業(yè)務(wù)提 供節(jié)點對于業(yè)務(wù)請求的響應(yīng),則對本地記錄信息中該業(yè)務(wù)提供節(jié)點的信任率做增益處理, 例如可以將信任率除以一個大于O小于1的數(shù)值,使信任率增大。這個大于O小于1的數(shù) 值成為增益值或衰減值,具體的數(shù)值可以根據(jù)經(jīng)驗選取,例如可以選擇增益值或衰減值為 0. 8,若本地記錄信息中的該業(yè)務(wù)提供節(jié)點的信任率為80,若得不到業(yè)務(wù)提供節(jié)點的響應(yīng), 用衰減值0. 8乘以信任率80,使信任率由80降低為64。若得到響應(yīng),則用將信任率80除 以0. 8,使信任率由80提高到100。 S210、判斷本地記錄信息中該業(yè)務(wù)提供節(jié)點的信任率是否低于預(yù)設(shè)閾值,如果低
于預(yù)設(shè)預(yù)置則執(zhí)行S211,否則不進(jìn)行處理,該流程結(jié)束; S211、刪除本地記錄信息中該業(yè)務(wù)提供節(jié)點的相關(guān)信息。 為避免惡意節(jié)點提供的虛假反饋信息在網(wǎng)絡(luò)中擴(kuò)散,當(dāng)本地記錄信息中該業(yè)務(wù)提 供節(jié)點的信任率小于某一信任閥值時,將本地記錄信息中的該業(yè)務(wù)提供節(jié)點的相關(guān)信息刪 除,以防止該業(yè)務(wù)提供節(jié)點的相關(guān)信息進(jìn)一步擴(kuò)散給網(wǎng)絡(luò)中的其他請求節(jié)點。其中,該信任 閥值可以為一預(yù)設(shè)的數(shù)值,該數(shù)值可以為經(jīng)驗值,該信任閥值用來衡量是否將本地記錄信 息中該業(yè)務(wù)提供節(jié)點相關(guān)信息進(jìn)行清除。 另外,即便業(yè)務(wù)提供節(jié)點為被攻擊節(jié)點,在本次處理過程中,請求節(jié)點A向業(yè)務(wù)提 供節(jié)點發(fā)出的業(yè)務(wù)請求沒有得到響應(yīng),而本地記錄信息中該業(yè)務(wù)提供節(jié)點的信任率又因為 沒有低于信任閥值而沒有被刪除,在下一次處理過程中,當(dāng)有其他節(jié)點向A發(fā)出查詢業(yè)務(wù) 請求時,節(jié)點A將信任率為64的反饋消息返回給該節(jié)點,若該節(jié)點仍然得不到業(yè)務(wù)提供節(jié) 點的響應(yīng),則該節(jié)點會進(jìn)一步對的信任率64做衰減處理,這樣,經(jīng)過一個或幾個處理流程
10后,信任率便經(jīng)過一次次的衰減,直到信任率低于信任閥值時被某一節(jié)點刪除掉而不再向 DHT網(wǎng)絡(luò)中的其他節(jié)點擴(kuò)散。 本實施例提供的分布式拒絕服務(wù)DD0S攻擊的防護(hù)方法,DHT網(wǎng)絡(luò)中的被請求節(jié)點 對于查詢業(yè)務(wù)請求的請求節(jié)點返回反饋消息,在反饋消息中通過信任率來標(biāo)識業(yè)務(wù)提供節(jié) 點對業(yè)務(wù)請求的響應(yīng)概率,請求節(jié)點根據(jù)業(yè)務(wù)提供節(jié)點對業(yè)務(wù)請求的實際響應(yīng)情況對本地 記錄信息中該業(yè)務(wù)提供節(jié)點對應(yīng)的信任率進(jìn)行衰減或增益處理,當(dāng)信任率低于一定數(shù)值時 則將本地記錄信息中該業(yè)務(wù)提供節(jié)點對應(yīng)的相關(guān)信息刪除,從而防止了惡意節(jié)點指向的被 攻擊節(jié)點的相關(guān)信息在DHT網(wǎng)絡(luò)中擴(kuò)散,使DHT網(wǎng)絡(luò)中向被攻擊節(jié)點發(fā)出業(yè)務(wù)請求的節(jié)點 大大減少,減少了被攻擊節(jié)點的資源被占用以及向被攻擊節(jié)點發(fā)出正常請求的節(jié)點得不到 響應(yīng)的情況。 圖3為本發(fā)明另一個實施例提供的分布式拒絕服務(wù)DDOS攻擊的防護(hù)方法流程圖, 如圖3所示,該方法包括 S301、接收請求節(jié)點發(fā)送的業(yè)務(wù)查詢請求,業(yè)務(wù)查詢請求中包含有所請求的業(yè)務(wù) 標(biāo)識信息; 具體的,請求節(jié)點發(fā)出的業(yè)務(wù)查詢請求中包括業(yè)務(wù)標(biāo)識信息,該業(yè)務(wù)標(biāo)識信息中
可以包括請求的業(yè)務(wù)名稱、請求的業(yè)務(wù)類型等信息,例如該業(yè)務(wù)標(biāo)識信息可能為"下載多
媒體文件",則業(yè)務(wù)查詢請求表示請求節(jié)點查詢"能夠下載多媒體文件的節(jié)點"。 S302、根據(jù)業(yè)務(wù)標(biāo)識信息在本地記錄信息中查找對應(yīng)的業(yè)務(wù)提供節(jié)點的相關(guān)信
息,相關(guān)信息包括業(yè)務(wù)提供節(jié)點的IP地址、端口號信息以及對業(yè)務(wù)提供節(jié)點的信任率,本
地記錄信息中包含有業(yè)務(wù)標(biāo)識信息以及對應(yīng)的信任率高于預(yù)設(shè)閾值的業(yè)務(wù)提供節(jié)點信
息; 在本地記錄信息中,保存有數(shù)多個業(yè)務(wù)標(biāo)識信息,還保存有與每個業(yè)務(wù)標(biāo)識信息 相對應(yīng)的業(yè)務(wù)提供節(jié)點的相關(guān)信息,業(yè)務(wù)提供節(jié)點的相關(guān)信息包括業(yè)務(wù)提供節(jié)點的IP地 址、端口號以及對業(yè)務(wù)提供節(jié)點的信任率(trustrate)。其中,IP地址和端口號能夠唯一確 定DHT網(wǎng)絡(luò)中的一個節(jié)點,信任率(trustrate)表示了對業(yè)務(wù)提供節(jié)點的信任程度。本實 例中可以用信任率來反應(yīng)業(yè)務(wù)提供節(jié)點對相應(yīng)的業(yè)務(wù)請求的響應(yīng)概率。當(dāng)然,在某個節(jié)點 中存儲的信任率則表示該業(yè)務(wù)提供節(jié)點對該節(jié)點的業(yè)務(wù)請求的響應(yīng)概率。也就是說,A節(jié) 點中記錄的對業(yè)務(wù)提供節(jié)點C的信任率,是指業(yè)務(wù)提供節(jié)點C對A節(jié)點的業(yè)務(wù)請求的響應(yīng) 情況,B節(jié)點中記錄的對業(yè)務(wù)提供節(jié)點C的信任率是指業(yè)務(wù)提供節(jié)點C對節(jié)點B的業(yè)務(wù)請 求的響應(yīng)情況,這兩個信任率可以不相同。 S303、當(dāng)查找到業(yè)務(wù)標(biāo)識信息對應(yīng)的業(yè)務(wù)提供節(jié)點的相關(guān)信息時,向請求節(jié)點發(fā)
送反饋消息,反饋消息中包含有業(yè)務(wù)提供節(jié)點的IP地址、端口號以及信任率。 在本地記錄信息中存儲的該業(yè)務(wù)標(biāo)識信息對應(yīng)的業(yè)務(wù)提供節(jié)點的信任率需要高
于某一閾值,以避免將根據(jù)本地記錄信息中具有低信任率的業(yè)務(wù)提供節(jié)點的相關(guān)信息擴(kuò)散
至網(wǎng)絡(luò)中其他節(jié)點。其中,閥值為一預(yù)設(shè)的數(shù)值,該數(shù)值可以為經(jīng)驗值。 進(jìn)一步的,該方法還可以包括 根據(jù)業(yè)務(wù)提供節(jié)點對相應(yīng)業(yè)務(wù)請求的響應(yīng)情況更新該業(yè)務(wù)提供節(jié)點在本地記錄
信息中的信任率,并刪除信任率低于預(yù)設(shè)閥值的業(yè)務(wù)提供節(jié)點的相關(guān)信息。 具體的,可以根據(jù)業(yè)務(wù)提供節(jié)點對本節(jié)點發(fā)出的業(yè)務(wù)請求的響應(yīng)情況對本地記錄請求節(jié)點也可以作為請求節(jié)點向 業(yè)務(wù)提供節(jié)點發(fā)送業(yè)務(wù)請求,并根據(jù)業(yè)務(wù)提供節(jié)點的響應(yīng)情況更新該業(yè)務(wù)提供節(jié)點在本地 記錄信息中的信任率,并將信任率低于預(yù)設(shè)閥值的業(yè)務(wù)提供節(jié)點的相關(guān)信息刪除,防止被 攻擊節(jié)點的信息在網(wǎng)絡(luò)中進(jìn)一步被傳播。 本實施例提供的分布式拒絕服務(wù)DD0S攻擊的防護(hù)方法,通過接收DHT網(wǎng)絡(luò)中的 請求節(jié)點發(fā)送的查詢業(yè)務(wù)請求,將本地記錄信息中對應(yīng)的業(yè)務(wù)提供點的相關(guān)信息通過反饋 消息反饋給請求節(jié)點,而本地記錄信息中業(yè)務(wù)提供點的相關(guān)信息中的信任率均高于預(yù)設(shè)閥 值。從而防止了惡意節(jié)點指向被攻擊節(jié)點的相關(guān)信息在DHT網(wǎng)絡(luò)中擴(kuò)散,使DHT網(wǎng)絡(luò)中向 被攻擊節(jié)點發(fā)出業(yè)務(wù)請求的節(jié)點大大減少,減小了被攻擊節(jié)點的資源被占用以及向被攻擊 節(jié)點發(fā)出正常請求的節(jié)點得不到響應(yīng)的情況。 可以理解的是,本發(fā)明實施例中,網(wǎng)絡(luò)中的同一個節(jié)點可以是請求節(jié)點,也可以是 被請求節(jié)點,還可以是業(yè)務(wù)提供節(jié)點,也就是說,同一個節(jié)點在一種情況下可以向其他節(jié)點 發(fā)出業(yè)務(wù)請求,也就是作為上述實施例中的請求節(jié)點的角色,在另一種情況下也可以向其 他請求節(jié)點反饋信息,成為是上述實施例中的被情況節(jié)點,再一種情況下,還可以向其他請 求節(jié)點提供相應(yīng)的業(yè)務(wù),作為業(yè)務(wù)提供節(jié)點。上述實施例只是為了描述方便,分別從請求節(jié) 點、被請求節(jié)點的角度分別進(jìn)行描述。 下面為了更清楚的闡述本發(fā)明實施所述的分布式拒絕服務(wù)DDOS攻擊的防護(hù)方 法,圖4提供了本發(fā)明再一個實施例提供的分布式拒絕服務(wù)DDOS攻擊的防護(hù)方法流程圖, 如圖4所示,該方法包括 S4 01、請求節(jié)點向至少一個被請求節(jié)點發(fā)送業(yè)務(wù)查詢請求,業(yè)務(wù)查詢請求中包含 有所請求的業(yè)務(wù)標(biāo)識信息,執(zhí)行S402 ; S402、被請求節(jié)點根據(jù)業(yè)務(wù)標(biāo)識信息在本地記錄信息中查找對應(yīng)的業(yè)務(wù)提供節(jié)點
的相關(guān)信息,相關(guān)信息包括業(yè)務(wù)提供節(jié)點的IP地址、端口號信息以及對業(yè)務(wù)提供節(jié)點的信 任率,本地記錄信息中包含有業(yè)務(wù)標(biāo)識信息以及對應(yīng)的信任率高于預(yù)設(shè)閾值的業(yè)務(wù)提供節(jié)
點信息,執(zhí)行S403 ; S403、當(dāng)被請求節(jié)點查找到業(yè)務(wù)標(biāo)識信息對應(yīng)的業(yè)務(wù)提供節(jié)點的相關(guān)信息時,向 請求節(jié)點發(fā)送反饋消息,反饋消息中包含有業(yè)務(wù)提供節(jié)點的IP地址、端口號以及信任率, 執(zhí)行S404 ; S404、請求節(jié)點查詢本地記錄信息中是否包含有被請求節(jié)點反饋的業(yè)務(wù)提供節(jié)點 的IP地址和端口號信息,是則執(zhí)行S405,否則執(zhí)行S406 ; S405、請求節(jié)點根據(jù)反饋信息中的信任率以及本地記錄信息中的該業(yè)務(wù)提供節(jié)點 的信任率之間的最小值確定該業(yè)務(wù)提供節(jié)點在本地記錄信息中的信任率,執(zhí)行S407 ;
S406、請求節(jié)點根據(jù)被請求節(jié)點的反饋信息在本地記錄信息中保存業(yè)務(wù)標(biāo)識信息 對應(yīng)的業(yè)務(wù)提供節(jié)點的相關(guān)信息,執(zhí)行S407 ; S407、請求節(jié)點根據(jù)反饋消息向業(yè)務(wù)提供節(jié)點發(fā)送業(yè)務(wù)請求,執(zhí)行S408 ; S408、業(yè)務(wù)提供節(jié)點是否在設(shè)定的時間內(nèi)對業(yè)務(wù)請求做出響應(yīng),如果業(yè)務(wù)節(jié)點做
出響應(yīng)則執(zhí)行409,否則執(zhí)行S410 ; S409、請求節(jié)點對本地記錄信息中該業(yè)務(wù)提供節(jié)點的信任率進(jìn)行增益處理,執(zhí)行
S411 ;
S410、請求節(jié)點對述本地記錄信息中該業(yè)務(wù)提供節(jié)點的信任率進(jìn)行衰減處理,執(zhí) 行S411 ; S411、請求節(jié)點判斷本地記錄信息中該業(yè)務(wù)提供節(jié)點的信任率是否低于預(yù)設(shè)閾 值,是則執(zhí)行S412,否則執(zhí)行結(jié)束; S412、請求節(jié)點刪除本地記錄信息中該業(yè)務(wù)提供節(jié)點的相關(guān)信息。 其中請求節(jié)點與被請求節(jié)點的具體交互過程參見前述方法實施例,不再贅述。 本實施例提供的分布式拒絕服務(wù)DDOS攻擊的防護(hù)方法,DHT網(wǎng)絡(luò)中的被請求節(jié)點
對于查詢業(yè)務(wù)請求的請求節(jié)點返回反饋消息,在反饋消息中通過信任率來標(biāo)識業(yè)務(wù)提供節(jié)
點對業(yè)務(wù)請求的響應(yīng)概率,請求節(jié)點根據(jù)業(yè)務(wù)提供節(jié)點對業(yè)務(wù)請求的實際響應(yīng)情況對本地
記錄信息中該業(yè)務(wù)提供節(jié)點對應(yīng)的信任率進(jìn)行衰減或增益處理,當(dāng)信任率低于一定數(shù)值時
則將本地記錄信息中該業(yè)務(wù)提供節(jié)點對應(yīng)的相關(guān)信息刪除,從而防止了惡意節(jié)點指向的被
攻擊節(jié)點的相關(guān)信息在DHT網(wǎng)絡(luò)中擴(kuò)散,使DHT網(wǎng)絡(luò)中向被攻擊節(jié)點發(fā)出業(yè)務(wù)請求的節(jié)點
大大減少,減少了被攻擊節(jié)點的資源被占用以及向被攻擊節(jié)點發(fā)出正常請求的節(jié)點得不到
響應(yīng)的情況。 本領(lǐng)域普通技術(shù)人員可以理解上述實施例的各種方法中的全部或部分步驟是可 以通過程序來指令相關(guān)的硬件來完成,該程序可以存儲于一計算機可讀存儲介質(zhì)中,存儲 介質(zhì)可以包括ROM、RAM、磁盤或光盤等。 圖5為本發(fā)明一個實施例提供的業(yè)務(wù)請求節(jié)點結(jié)構(gòu)示意圖,如圖5所示,該節(jié)點包 括 查詢模塊51,用于向至少一個被請求節(jié)點發(fā)送業(yè)務(wù)查詢請求,所述業(yè)務(wù)查詢請求 中包含有所請求的業(yè)務(wù)標(biāo)識信息; 接收模塊52,用于接收至少一個被請求節(jié)點的反饋消息,反饋消息中包含有業(yè)務(wù) 標(biāo)識信息對應(yīng)的業(yè)務(wù)提供節(jié)點的IP地址、端口號信息以及被請求節(jié)點對業(yè)務(wù)提供節(jié)點的 信任率; 業(yè)務(wù)請求模塊53,用于根據(jù)業(yè)務(wù)提供節(jié)點的IP地址、端口號信息向業(yè)務(wù)提供節(jié)點 發(fā)送業(yè)務(wù)請求; 更新模塊54,用于根據(jù)業(yè)務(wù)提供節(jié)點對業(yè)務(wù)請求的響應(yīng)情況更新業(yè)務(wù)提供節(jié)點在 本地記錄信息中的信任率; 處理模塊55,用于當(dāng)業(yè)務(wù)提供節(jié)點在本地記錄信息中的信任率低于預(yù)設(shè)閾值時, 刪除本地記錄信息中業(yè)務(wù)提供節(jié)點的信息。 具體的,在DHT網(wǎng)絡(luò)中,當(dāng)請求節(jié)點業(yè)務(wù)需求時,會通過DHT網(wǎng)絡(luò)中特定的規(guī)則或 算法找到一個或多個被請求節(jié)點,并通過查詢模塊51向這些被請求節(jié)點發(fā)出業(yè)務(wù)查詢請 求,查詢模塊51向這些被請求節(jié)點發(fā)出的業(yè)務(wù)查詢請求中包括所請求的業(yè)務(wù)標(biāo)識信息,該 業(yè)務(wù)標(biāo)識信息中可以包括請求的業(yè)務(wù)名稱、請求的業(yè)務(wù)類型等信息,以使被請求節(jié)點獲知 請求節(jié)點需要查詢的業(yè)務(wù)內(nèi)容。 接收模塊52可能收到這些節(jié)點中的一個或多個節(jié)點返回的反饋消息,反饋消息 中包括提供該業(yè)務(wù)標(biāo)識信息對應(yīng)的業(yè)務(wù)提供節(jié)點信息,反饋消息中包括業(yè)務(wù)提供節(jié)點的 IP地址、端口號和被請求節(jié)點對業(yè)務(wù)提供節(jié)點的信任率,可以用〈IP, port, trustrate〉表 示,其中,通過〈IP, port〉能夠唯一確定DHT網(wǎng)絡(luò)中的一個節(jié)點,信任率(trustrate)表示了被請求節(jié)點對該業(yè)務(wù)提供節(jié)點的信任程度,本實例中可以用信任率來反應(yīng)業(yè)務(wù)提供節(jié)點 對相應(yīng)的業(yè)務(wù)請求的響應(yīng)概率。 由于查詢模塊51會向網(wǎng)絡(luò)中的至少一個被請求節(jié)點發(fā)送業(yè)務(wù)查詢請求,在接收 模塊52接收到第一個被請求節(jié)點返回的反饋消息后,通常會根據(jù)該反饋消息在本地記錄 中記錄該反饋消息對應(yīng)的業(yè)務(wù)提供節(jié)點的相關(guān)信息。因此,在接收到一個被請求節(jié)點返回 的反饋消息時,本地記錄信息中可能已經(jīng)保存有該業(yè)務(wù)提供節(jié)點的相關(guān)信息。業(yè)務(wù)請求模 塊53根據(jù)接收模塊52所接收的反饋消息中的業(yè)務(wù)提供節(jié)點信息向業(yè)務(wù)提供節(jié)點發(fā)送業(yè)務(wù) 請求后,由更新模塊54根據(jù)業(yè)務(wù)提供節(jié)點的實際響應(yīng)情況對該業(yè)務(wù)提供節(jié)點在本地記錄 信息中的信任率進(jìn)行更新,即根據(jù)業(yè)務(wù)提供節(jié)點對該業(yè)務(wù)請求是否在設(shè)定時間內(nèi)對業(yè)務(wù)請 求做出響應(yīng)來提高或降低本地記錄信息中該業(yè)務(wù)節(jié)點的相關(guān)信息中的信任率,以動態(tài)的反 應(yīng)對該業(yè)務(wù)提供節(jié)點的信任程度。 當(dāng)該業(yè)務(wù)提供節(jié)點在本地記錄信息中的信任率低到一定程度時,則說明該業(yè)務(wù)提 供節(jié)點對業(yè)務(wù)請求無法響應(yīng)的概率很大,該業(yè)務(wù)提供節(jié)點有可能是網(wǎng)絡(luò)中惡意節(jié)點攻擊的 對象,因此,處理模塊55將本地記錄信息中該業(yè)務(wù)提供節(jié)點的相關(guān)信息刪除,以防止該業(yè) 務(wù)提供節(jié)點的相關(guān)信息向網(wǎng)絡(luò)中其他請求節(jié)點擴(kuò)散,進(jìn)而防止該業(yè)務(wù)提供節(jié)點的資源被大 量業(yè)務(wù)請求占用。 本發(fā)明實施例提供的業(yè)務(wù)請求節(jié)點,DHT網(wǎng)絡(luò)中被請求節(jié)點在返回消息中通過信
任率來標(biāo)識業(yè)務(wù)提供節(jié)點對業(yè)務(wù)請求的響應(yīng)概率,業(yè)務(wù)請求節(jié)點根據(jù)信任率和業(yè)務(wù)提供節(jié)
點對業(yè)務(wù)請求的實際響應(yīng)情況決定是否刪除本地記錄信息中的該業(yè)務(wù)提供節(jié)點的相關(guān)信
息,從而防止了惡意節(jié)點指向的被攻擊節(jié)點的相關(guān)信息在DHT網(wǎng)絡(luò)中擴(kuò)散,減少了被攻擊
節(jié)點的資源被占用以及向被攻擊節(jié)點發(fā)出正常請求的節(jié)點得不到響應(yīng)的情況。 圖6為本發(fā)明又一個實施例提供的業(yè)務(wù)請求節(jié)點結(jié)構(gòu)示意圖,如圖6所示,該裝置
在圖5所示實施例的基礎(chǔ)上進(jìn)一步還包括 判斷模塊56,用于判斷本地記錄信息中是否包含有接收模塊52接收的被請求節(jié) 點反饋的業(yè)務(wù)提供節(jié)點的IP地址和端口號信息; 確定模塊57,用于當(dāng)判斷模塊56的判斷結(jié)果為本地記錄信息中包含有被請求節(jié) 點反饋的業(yè)務(wù)提供節(jié)點的IP地址和端口號信息時,則根據(jù)反饋信息中的信任率以及本地 記錄信息中所述業(yè)務(wù)提供節(jié)點的信任率之間的最小值確定業(yè)務(wù)提供節(jié)點在本地記錄信息 中的信任率; 記錄模塊58,用于當(dāng)判斷模塊56的判斷結(jié)果為本地記錄信息中沒有包含被請求 節(jié)點反饋的業(yè)務(wù)提供節(jié)點的IP地址和端口號信息時,根據(jù)被請求節(jié)點的反饋信息在本地 記錄信息中記錄業(yè)務(wù)提供節(jié)點的相關(guān)信息。
進(jìn)一步的,更新模塊54還可以包括 第一更新子單元541,用于當(dāng)在預(yù)設(shè)的時間內(nèi)沒有接收到業(yè)務(wù)節(jié)點對業(yè)務(wù)請求的 響應(yīng)消息時,對本地記錄信息中業(yè)務(wù)提供節(jié)點的信任率進(jìn)行衰減處理;
第二更新子單元542,用于當(dāng)在預(yù)設(shè)的時間內(nèi)接收到業(yè)務(wù)節(jié)點對業(yè)務(wù)請求的響應(yīng) 消息時,對本地記錄信息中業(yè)務(wù)提供節(jié)點的信任率進(jìn)行增益處理。 具體的,在DHT網(wǎng)絡(luò)中,當(dāng)某節(jié)點有業(yè)務(wù)需求時,可以通過DHT網(wǎng)絡(luò)中特定的規(guī)則 或算法找到一個或多個被請求節(jié)點,并通過查詢模塊51向這些節(jié)點發(fā)出查詢業(yè)務(wù)提供節(jié)點的業(yè)務(wù)查詢請求消息,該業(yè)務(wù)查詢請求消息中包括所請求的業(yè)務(wù)標(biāo)識信息,業(yè)務(wù)標(biāo)識信 息中可以包括請求的業(yè)務(wù)名稱、請求的業(yè)務(wù)類型等信息,以使被請求節(jié)點獲知具體的業(yè)務(wù) 需求。 接收模塊52可能收到這些節(jié)點中的一個或多個節(jié)點返回的反饋消息,反饋 消息中包括提供該業(yè)務(wù)標(biāo)識信息對應(yīng)的業(yè)務(wù)提供節(jié)點信息,該反饋消息中包括業(yè)務(wù) 提供節(jié)點的IP地址、端口號和被請求節(jié)點對業(yè)務(wù)提供節(jié)點的信任率,可以表示為〈IP, port, trustrate〉,其中,通過〈IP, port〉能夠唯一確定DHT網(wǎng)絡(luò)中的一個節(jié)點,信任率 (trustrate)表示了被請求節(jié)點對該業(yè)務(wù)提供節(jié)點的信任程度。 查詢模塊51向一個或多個被請求節(jié)點發(fā)出業(yè)務(wù)查詢請求后,接收模塊52可能先 后收到這些被請求節(jié)點中的一個或多個節(jié)點返回的反饋消息,而這些反饋消息可能指向IP 地址和端口號相同的同一業(yè)務(wù)提供節(jié)點,因此,判斷模塊56需要判斷本地記錄信息中是否 包含有被請求節(jié)點反饋的業(yè)務(wù)提供節(jié)點的IP地址和端口號信息,若不存在,則通過記錄模 塊58在本地記錄信息中該業(yè)務(wù)提供節(jié)點的相關(guān)信息。若存在,則確定模塊57選取反饋消 息中的信任率與該業(yè)務(wù)提供節(jié)點在本地記錄信息中的信任率之間的最小值作為該業(yè)務(wù)提 供節(jié)點在本地記錄信息中的信任率。 業(yè)務(wù)請求模塊53根據(jù)反饋消息向業(yè)務(wù)提供節(jié)點發(fā)送業(yè)務(wù)請求,若沒有得到業(yè)務(wù) 提供節(jié)點的響應(yīng),則說明業(yè)務(wù)提供節(jié)點為被攻擊節(jié)點的可能性很大,則通過更新模塊54中 的第一更新子單元541對本地記錄信息中該業(yè)務(wù)提供節(jié)點的信任率做衰減處理,例如可 以將信任率乘以一個大于0小于1的數(shù)值,使信任率降低;相對的,若得到了業(yè)務(wù)提供節(jié)點 對于業(yè)務(wù)請求的響應(yīng),則通過更新模塊54中的第二更新子單元542對本地記錄信息中該業(yè) 務(wù)提供節(jié)點的信任率做增益處理,例如可以將信任率除以一個大于O小于1的數(shù)值,使信 任率增大。這個大于0小于1的數(shù)值成為增益值或衰減值,具體的數(shù)值可以根據(jù)經(jīng)驗選取, 例如可以選擇增益值或衰減值為0. 8,若本地記錄信息中該業(yè)務(wù)提供節(jié)點的信任率為80, 若得不到業(yè)務(wù)提供節(jié)點的響應(yīng),用衰減值0.8乘以信任率80,使信任率由80降低為64。若 得到響應(yīng),則用將信任率80除以0. 8,使信任率由80提高到100。當(dāng)本地記錄信息中該業(yè) 務(wù)提供節(jié)點的信任率小于預(yù)設(shè)閾值時,通過處理模塊55刪除本地記錄信息中該業(yè)務(wù)提供 節(jié)點的相關(guān)信息。其中,信任閥值為一預(yù)設(shè)的數(shù)值,該數(shù)值可以為經(jīng)驗值,該信任閥值用來 衡量是否將本地記錄信息中該業(yè)務(wù)提供節(jié)點相關(guān)信息進(jìn)行清除,以防止本地記錄信息中該 業(yè)務(wù)提供節(jié)點的相關(guān)信息擴(kuò)散到網(wǎng)絡(luò)中的其他節(jié)點。 本發(fā)明實施例提供的業(yè)務(wù)請求節(jié)點,DHT網(wǎng)絡(luò)中的被請求節(jié)點在返回消息中通過 信任率來標(biāo)識業(yè)務(wù)提供節(jié)點對業(yè)務(wù)請求的響應(yīng)概率,業(yè)務(wù)請求節(jié)點根據(jù)業(yè)務(wù)提供節(jié)點實際 相應(yīng)情況和預(yù)設(shè)閥值對本地記錄信息中該業(yè)務(wù)節(jié)點相關(guān)信息中的信任率做出是否保存的 限制,從而防止了惡意節(jié)點指向的被攻擊節(jié)點的相關(guān)信息在DHT網(wǎng)絡(luò)中擴(kuò)散,進(jìn)而減小了 被攻擊節(jié)點的資源被占用以及向被攻擊節(jié)點發(fā)出正常請求的節(jié)點得不到響應(yīng)的情況。
圖7為本發(fā)明一個實施例提供的被請求節(jié)點結(jié)構(gòu)示意圖,如圖7所示,該被請求節(jié) 點包括接收單元71、查找單元72和發(fā)送單元73 ; 接收單元71,用于接收請求節(jié)點發(fā)送的業(yè)務(wù)查詢請求,該業(yè)務(wù)查詢請求中包含有 所請求的業(yè)務(wù)標(biāo)識信息; 查找單元72,用于根據(jù)所述業(yè)務(wù)標(biāo)識信息在本地記錄信息中查找對應(yīng)的業(yè)務(wù)提供節(jié)點的相關(guān)信息,所述業(yè)務(wù)提供節(jié)點的相關(guān)信息包括所述業(yè)務(wù)提供節(jié)點的IP地址、端口號信息以及對所述業(yè)務(wù)提供節(jié)點的信任率; 發(fā)送單元73,用于當(dāng)查找到業(yè)務(wù)標(biāo)識信息對應(yīng)的業(yè)務(wù)提供節(jié)點的相關(guān)信息時,向請求節(jié)點發(fā)送反饋消息,該反饋消息中包含有業(yè)務(wù)提供節(jié)點的IP地址、端口號以及信任率。 具體的,接收單元71接收到的請求節(jié)點發(fā)出的業(yè)務(wù)查詢請求中包括業(yè)務(wù)標(biāo)識信息,該業(yè)務(wù)標(biāo)識信息中可以包括請求的業(yè)務(wù)名稱、請求的業(yè)務(wù)類型等信息,例如該業(yè)務(wù)標(biāo)識信息可能為"下載多媒體文件",則業(yè)務(wù)查詢請求表示請求節(jié)點查詢"能夠下載多媒體文件的節(jié)點"。 查找單元72根據(jù)業(yè)務(wù)標(biāo)識信息在本地記錄信息中查找對應(yīng)的業(yè)務(wù)提供節(jié)點的相關(guān)信息,相關(guān)信息包括業(yè)務(wù)提供節(jié)點的IP地址、端口號信息以及對業(yè)務(wù)提供節(jié)點的信任率,信任率高于預(yù)設(shè)閾值; 在本地記錄信息中,保存有多個業(yè)務(wù)標(biāo)識信息,還保存有與每個業(yè)務(wù)標(biāo)識信息相對應(yīng)的業(yè)務(wù)提供節(jié)點的相關(guān)信息,業(yè)務(wù)提供節(jié)點的相關(guān)信息包括業(yè)務(wù)提供節(jié)點的IP地址、端口號以及對業(yè)務(wù)提供節(jié)點的信任率(trustrate)。其中,IP地址和端口號能夠唯一確定DHT網(wǎng)絡(luò)中的一個節(jié)點,信任率(trustrate)表示了對業(yè)務(wù)提供節(jié)點的信任程度。本實例中可以用信任率來反應(yīng)業(yè)務(wù)提供節(jié)點對相應(yīng)的業(yè)務(wù)請求的響應(yīng)概率。 當(dāng)查找單元72查找到業(yè)務(wù)標(biāo)識信息對應(yīng)的業(yè)務(wù)提供節(jié)點的相關(guān)信息時,發(fā)送單元73向請求節(jié)點發(fā)送反饋消息,反饋消息中包含有業(yè)務(wù)提供節(jié)點的IP地址、端口號以及信任率。 在本地記錄信息中存儲的該業(yè)務(wù)標(biāo)識信息對應(yīng)的業(yè)務(wù)提供節(jié)點的的信任率需要高于某一閾值,以避免將根據(jù)本地記錄信息中具有低信任率的業(yè)務(wù)提供節(jié)點的相關(guān)信息擴(kuò)散至網(wǎng)絡(luò)中其他節(jié)點,其中,閥值為一預(yù)設(shè)的數(shù)值,該數(shù)值可以為經(jīng)驗值。
進(jìn)一步的,該被請求節(jié)點還可以包括 設(shè)置單元74,用于設(shè)置本地記錄信息,本地記錄信息中包含有業(yè)務(wù)標(biāo)識信息以及
與業(yè)務(wù)標(biāo)識信息對應(yīng)的信任率高于預(yù)設(shè)閾值的業(yè)務(wù)提供節(jié)點的相關(guān)信息; 維護(hù)單元75,用于維護(hù)本地記錄信息,包括根據(jù)業(yè)務(wù)提供節(jié)點對相應(yīng)的業(yè)務(wù)請求
的響應(yīng)情況更新業(yè)務(wù)提供節(jié)點在本地記錄信息中的信任率,并刪除信任率低于預(yù)設(shè)閾值的
業(yè)務(wù)提供節(jié)點的相關(guān)信息。 具體的,可以根據(jù)業(yè)務(wù)提供節(jié)點對本節(jié)點發(fā)出的業(yè)務(wù)請求的響應(yīng)情況對本地記錄信息中對業(yè)務(wù)提供節(jié)點的信任率進(jìn)行維護(hù)更新。也就是說,被請求節(jié)點也可以作為請求節(jié)點向業(yè)務(wù)提供節(jié)點發(fā)送業(yè)務(wù)請求,并根據(jù)業(yè)務(wù)提供節(jié)點的響應(yīng)情況更新該業(yè)務(wù)提供節(jié)點在本地記錄信息中的信任率,并將信任率低于預(yù)設(shè)閥值的業(yè)務(wù)提供節(jié)點的相關(guān)信息刪除,防止被攻擊節(jié)點的信息在網(wǎng)絡(luò)中進(jìn)一步被傳播。 本實施例提供的被請求節(jié)點,通過接收到DHT網(wǎng)絡(luò)中的請求節(jié)點發(fā)送的查詢業(yè)務(wù)請求,將本地記錄信息中對應(yīng)的業(yè)務(wù)提供點的相關(guān)信息通過反饋消息反饋給請求節(jié)點,而
本地記錄信息中業(yè)務(wù)提供點的相關(guān)信息中的信任率均高于預(yù)設(shè)閥值。從而防止了惡意節(jié)點偽造指向的被攻擊節(jié)點的相關(guān)信息在DHT網(wǎng)絡(luò)中擴(kuò)散,進(jìn)而使DHT網(wǎng)絡(luò)中向被攻擊節(jié)點發(fā)出業(yè)務(wù)請求的節(jié)點大大減少,減小了被攻擊節(jié)點的資源被占用以及向被攻擊節(jié)點發(fā)出正常
16請求的節(jié)點得不到響應(yīng)的情況。 可以理解的是,本發(fā)明實施例中,網(wǎng)絡(luò)中的同一個節(jié)點可以是請求節(jié)點,也可以是被請求節(jié)點,還可以是業(yè)務(wù)提供節(jié)點,也就是說,同一個節(jié)點在一種情況下可以向其他節(jié)點發(fā)出業(yè)務(wù)請求,也就是作為上述實施例中的請求節(jié)點的角色,在另一種情況下也可以向其他請求節(jié)點反饋信息,成為是上述實施例中的被情況節(jié)點,再一種情況下,還可以向其他請求節(jié)點提供相應(yīng)的業(yè)務(wù),作為業(yè)務(wù)提供節(jié)點。上述實施例只是為了描述方便,分別從請求節(jié)點、被請求節(jié)點的角度分別進(jìn)行描述。 圖8為本發(fā)明一個實施例提供的分布式拒絕服務(wù)DD0S攻擊的防護(hù)系統(tǒng)結(jié)構(gòu)示意圖,如圖8所示,該系統(tǒng)包括請求節(jié)點1、被請求節(jié)點2和業(yè)務(wù)提供節(jié)點3 ;
請求節(jié)點l,用于向至少一個被請求節(jié)點2發(fā)送業(yè)務(wù)查詢請求;接收至少一個被請求節(jié)點2的反饋消息,根據(jù)反饋消息向業(yè)務(wù)提供節(jié)點3發(fā)送業(yè)務(wù)請求,并根據(jù)業(yè)務(wù)提供節(jié)點3對業(yè)務(wù)請求的響應(yīng)情況更新業(yè)務(wù)提供節(jié)點3在本地記錄信息中的信任率,且當(dāng)業(yè)務(wù)提供節(jié)點3在本地記錄信息中的信任率低于預(yù)設(shè)閾值時,刪除本地記錄信息中業(yè)務(wù)提供節(jié)點3的相關(guān)信息;其中,業(yè)務(wù)查詢請求中包含有所請求的業(yè)務(wù)標(biāo)識信息,反饋消息中包含有業(yè)務(wù)標(biāo)識信息對應(yīng)的業(yè)務(wù)提供節(jié)點的IP地址、端口號信息以及被請求節(jié)點2對業(yè)務(wù)提供節(jié)點3的信任率; 被請求節(jié)點2用于接收請求節(jié)點1發(fā)送的業(yè)務(wù)查詢請求,業(yè)務(wù)查詢請求中包含有所請求的業(yè)務(wù)標(biāo)識信息,并根據(jù)業(yè)務(wù)標(biāo)識信息在本地記錄信息中查找對應(yīng)的業(yè)務(wù)提供節(jié)點3的相關(guān)信息,當(dāng)查找到業(yè)務(wù)標(biāo)識信息對應(yīng)的業(yè)務(wù)提供節(jié)點3的相關(guān)信息時,向請求節(jié)點1發(fā)送反饋消息,反饋消息中包含有業(yè)務(wù)提供節(jié)點3的IP地址、端口號以及信任率,其中,本地記錄信息中包含有業(yè)務(wù)標(biāo)識信息以及對應(yīng)的信任率高于預(yù)設(shè)閾值的業(yè)務(wù)提供節(jié)點3信息,業(yè)務(wù)提供節(jié)點3的相關(guān)信息包括業(yè)務(wù)提供節(jié)點3的IP地址、端口號信息以及被請求節(jié)點2對業(yè)務(wù)提供節(jié)點3的信任率; 業(yè)務(wù)提供節(jié)點3,用于接收請求節(jié)點1根據(jù)被請求節(jié)點2的反饋消息發(fā)起的業(yè)務(wù)請求,業(yè)務(wù)請求中包含有所請求的業(yè)務(wù)標(biāo)識信息,并根據(jù)業(yè)務(wù)標(biāo)識信息向請求節(jié)點1提供相應(yīng)的業(yè)務(wù)。 具體的,關(guān)于請求節(jié)點1、被請求節(jié)點2的詳細(xì)描述可以參見上述相關(guān)的方法及裝置實施例,在此不再贅述。 可以理解的是,本發(fā)明實施例中,網(wǎng)絡(luò)中的同一個節(jié)點可以是請求節(jié)點,也可以是被請求節(jié)點,還可以是業(yè)務(wù)提供節(jié)點,也就是說,同一個節(jié)點在一種情況下可以向其他節(jié)點發(fā)出業(yè)務(wù)請求,也就是作為上述實施例中的請求節(jié)點的角色,在另一種情況下也可以向其他請求節(jié)點反饋信息,成為是上述實施例中的被情況節(jié)點,再一種情況下,還可以向其他請求節(jié)點提供相應(yīng)的業(yè)務(wù),作為業(yè)務(wù)提供節(jié)點。上述實施例只是為了描述方便,分角度進(jìn)行描述。 本發(fā)明實施例提供的分布式拒絕服務(wù)DDOS攻擊的防護(hù)系統(tǒng),被請求節(jié)點對于查詢業(yè)務(wù)請求的請求節(jié)點返回反饋消息,在反饋消息中通過信任率來標(biāo)識業(yè)務(wù)提供節(jié)點對業(yè)務(wù)請求的響應(yīng)概率,業(yè)務(wù)請求節(jié)點根據(jù)業(yè)務(wù)提供節(jié)點對業(yè)務(wù)請求的實際響應(yīng)情況確定對業(yè)務(wù)提供節(jié)點的信任率,并在信任率低于預(yù)設(shè)閾值時,將業(yè)務(wù)提供節(jié)點在本地記錄信息中記錄進(jìn)行刪除,防止被攻擊節(jié)點的信息在網(wǎng)絡(luò)中進(jìn)一步被傳播,減少了網(wǎng)絡(luò)中其他節(jié)點均向被攻擊節(jié)點發(fā)送業(yè)務(wù)請求導(dǎo)致被攻擊節(jié)點工作性能降低甚至癱瘓的可能性,提高了網(wǎng)絡(luò)安 全性。 最后應(yīng)說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案,而非對其限制;盡 管參照前述實施例對本發(fā)明進(jìn)行了詳細(xì)的說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然 可以對前述各實施例所記載的技術(shù)方案進(jìn)行修改,或者對其中部分技術(shù)特征進(jìn)行等同替 換;而這些修改或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精 神和范圍。
權(quán)利要求
一種分布式拒絕服務(wù)DDOS攻擊的防護(hù)方法,其特征在于,包括向至少一個被請求節(jié)點發(fā)送業(yè)務(wù)查詢請求,所述業(yè)務(wù)查詢請求中包含有所請求的業(yè)務(wù)標(biāo)識信息;接收至少一個被請求節(jié)點的反饋消息,所述反饋消息中包含有所述業(yè)務(wù)標(biāo)識信息對應(yīng)的業(yè)務(wù)提供節(jié)點的IP地址、端口號信息以及所述被請求節(jié)點對所述業(yè)務(wù)提供節(jié)點的信任率;根據(jù)所述業(yè)務(wù)提供節(jié)點的IP地址、端口號信息向所述業(yè)務(wù)提供節(jié)點發(fā)送業(yè)務(wù)請求;根據(jù)所述業(yè)務(wù)提供節(jié)點對所述業(yè)務(wù)請求的響應(yīng)情況更新所述業(yè)務(wù)提供節(jié)點在本地記錄信息中的信任率;當(dāng)所述業(yè)務(wù)提供節(jié)點在本地記錄信息中的信任率低于預(yù)設(shè)閾值時,刪除所述本地記錄信息中所述業(yè)務(wù)提供節(jié)點的相關(guān)信息。
2. 根據(jù)權(quán)利要求l所述的方法,其特征在于,還包括當(dāng)本地記錄信息中包含有所述被請求節(jié)點反饋的所述業(yè)務(wù)提供節(jié)點的IP地址和端口 號信息時,則根據(jù)所述反饋信息中的信任率以及所述本地記錄信息中所述業(yè)務(wù)提供節(jié)點的 信任率之間的最小值確定所述業(yè)務(wù)提供節(jié)點在所述本地記錄信息中的信任率;當(dāng)本地記錄信息中沒有包含所述被請求節(jié)點反饋的所述業(yè)務(wù)提供節(jié)點的IP地址和端 口號信息時,根據(jù)所述被請求節(jié)點的反饋信息在本地記錄信息中記錄所述業(yè)務(wù)提供節(jié)點的 相關(guān)信息。
3. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述根據(jù)所述業(yè)務(wù)提供節(jié)點對所述業(yè)務(wù) 請求的響應(yīng)情況更新所述業(yè)務(wù)提供節(jié)點在本地記錄信息中的信任率包括當(dāng)在預(yù)設(shè)的時間內(nèi)沒有接收到所述業(yè)務(wù)節(jié)點對所述業(yè)務(wù)請求的響應(yīng)消息時,對所述本 地記錄信息中所述業(yè)務(wù)提供節(jié)點的信任率進(jìn)行衰減處理;當(dāng)在預(yù)設(shè)的時間內(nèi)接收到所述業(yè)務(wù)節(jié)點對所述業(yè)務(wù)請求的響應(yīng)消息時,對所述本地記 錄信息中所述業(yè)務(wù)提供節(jié)點的信任率進(jìn)行增益處理。
4. 一種分布式拒絕服務(wù)DDOS攻擊的防護(hù)方法,其特征在于,包括 接收業(yè)務(wù)查詢請求,所述業(yè)務(wù)查詢請求中包含有所請求的業(yè)務(wù)標(biāo)識信息; 根據(jù)所述業(yè)務(wù)標(biāo)識信息在本地記錄信息中查找對應(yīng)的業(yè)務(wù)提供節(jié)點的相關(guān)信息,所述本地記錄信息中包含有業(yè)務(wù)標(biāo)識信息以及對應(yīng)的信任率高于預(yù)設(shè)閾值的業(yè)務(wù)提供節(jié)點信 息,所述業(yè)務(wù)提供節(jié)點的相關(guān)信息包括所述業(yè)務(wù)提供節(jié)點的IP地址、端口號信息以及對所 述業(yè)務(wù)提供節(jié)點的信任率;當(dāng)查找到所述業(yè)務(wù)標(biāo)識信息對應(yīng)的業(yè)務(wù)提供節(jié)點的相關(guān)信息時,發(fā)送反饋消息,所述 反饋消息中包含有所述業(yè)務(wù)提供節(jié)點的IP地址、端口號以及所述信任率。
5. 根據(jù)權(quán)利要求4所述的方法,其特征在于,還包括根據(jù)業(yè)務(wù)提供節(jié)點對相應(yīng)的業(yè)務(wù)請求的響應(yīng)情況更新業(yè)務(wù)提供節(jié)點在本地記錄信息 中的信任率,并刪除信任率低于預(yù)設(shè)閾值的業(yè)務(wù)提供節(jié)點的相關(guān)信息。
6. —種業(yè)務(wù)請求節(jié)點,其特征在于,包括查詢模塊,用于向至少一個被請求節(jié)點發(fā)送業(yè)務(wù)查詢請求,所述業(yè)務(wù)查詢請求中包含 有所請求的業(yè)務(wù)標(biāo)識信息;接收模塊,用于接收至少一個被請求節(jié)點的反饋消息,所述反饋消息中包含有所述業(yè)務(wù)標(biāo)識信息對應(yīng)的業(yè)務(wù)提供節(jié)點的IP地址、端口號信息以及所述被請求節(jié)點對所述業(yè)務(wù) 提供節(jié)點的信任率;業(yè)務(wù)請求模塊,用于根據(jù)所述業(yè)務(wù)提供節(jié)點的IP地址、端口號信息向所述業(yè)務(wù)提供節(jié) 點發(fā)送業(yè)務(wù)請求;更新模塊,用于根據(jù)所述業(yè)務(wù)提供節(jié)點對所述業(yè)務(wù)請求的響應(yīng)情況更新所述業(yè)務(wù)提供 節(jié)點在本地記錄信息中的信任率;處理模塊,用于當(dāng)所述業(yè)務(wù)提供節(jié)點在本地記錄信息中的信任率低于預(yù)設(shè)閾值時,刪 除所述本地記錄信息中所述業(yè)務(wù)提供節(jié)點的信息。
7. 根據(jù)權(quán)利要求6所述的節(jié)點,其特征在于,還包括判斷模塊,用于判斷所述本地記錄信息中是否包含有所述接收模塊所接收的所述被請 求節(jié)點反饋的業(yè)務(wù)提供節(jié)點的IP地址和端口號信息;確定模塊,用于當(dāng)判斷模塊的判斷結(jié)果為本地記錄信息中包含有所述被請求節(jié)點反饋 的所述業(yè)務(wù)提供節(jié)點的IP地址和端口號信息時,則根據(jù)所述反饋信息中的信任率以及所 述本地記錄信息中所述業(yè)務(wù)提供節(jié)點的信任率之間的最小值確定所述業(yè)務(wù)提供節(jié)點在所 述本地記錄信息中的信任率;記錄模塊,用于當(dāng)所述判斷模塊的判斷結(jié)果為本地記錄信息中沒有包含所述被請求節(jié) 點反饋的所述業(yè)務(wù)提供節(jié)點的IP地址和端口號信息時,根據(jù)所述被請求節(jié)點的反饋信息 在本地記錄信息中記錄所述業(yè)務(wù)提供節(jié)點的相關(guān)信息。
8. 根據(jù)權(quán)利要求6或7所述的節(jié)點,其特征在于,所述更新模塊包括 第一更新子單元,用于當(dāng)在預(yù)設(shè)的時間內(nèi)沒有接收到所述業(yè)務(wù)節(jié)點對所述業(yè)務(wù)請求的響應(yīng)消息時,對所述本地記錄信息中所述業(yè)務(wù)提供節(jié)點的信任率進(jìn)行衰減處理;第二更新子單元,用于當(dāng)在預(yù)設(shè)的時間內(nèi)接收到所述業(yè)務(wù)節(jié)點對所述業(yè)務(wù)請求的響應(yīng) 消息時,對所述本地記錄信息中所述業(yè)務(wù)提供節(jié)點的信任率進(jìn)行增益處理。
9. 一種被請求節(jié)點,其特征在于,包括接收單元,用于接收請求節(jié)點發(fā)送的業(yè)務(wù)查詢請求,所述業(yè)務(wù)查詢請求中包含有所請 求的業(yè)務(wù)標(biāo)識信息;查找單元,用于根據(jù)所述業(yè)務(wù)標(biāo)識信息在本地記錄信息中查找對應(yīng)的業(yè)務(wù)提供節(jié)點的 相關(guān)信息,所述業(yè)務(wù)提供節(jié)點的相關(guān)信息包括所述業(yè)務(wù)提供節(jié)點的IP地址、端口號信息以 及對所述業(yè)務(wù)提供節(jié)點的信任率;發(fā)送單元,用于當(dāng)查找到所述業(yè)務(wù)標(biāo)識信息對應(yīng)的業(yè)務(wù)提供節(jié)點的相關(guān)信息時,發(fā)送 反饋消息,所述反饋消息中包含有所述業(yè)務(wù)提供節(jié)點的IP地址、端口號以及所述信任率。
10. 根據(jù)權(quán)利要求9所述的節(jié)點,其特征在于,還包括設(shè)置單元,用于設(shè)置本地記錄信息,所述本地記錄信息中包含有業(yè)務(wù)標(biāo)識信息以及與 業(yè)務(wù)標(biāo)識信息對應(yīng)的信任率高于預(yù)設(shè)閾值的業(yè)務(wù)提供節(jié)點的相關(guān)信息;維護(hù)單元,用于維護(hù)本地記錄信息,包括根據(jù)業(yè)務(wù)提供節(jié)點對相應(yīng)的業(yè)務(wù)請求的響應(yīng) 情況更新業(yè)務(wù)提供節(jié)點在本地記錄信息中的信任率,并刪除信任率低于預(yù)設(shè)閾值的業(yè)務(wù)提 供節(jié)點的相關(guān)信息。
11. 一種分布式拒絕服務(wù)DD0S攻擊的防護(hù)系統(tǒng),其特征在于,包括請求節(jié)點、被請求節(jié) 點和業(yè)務(wù)提供節(jié)點,其中所述請求節(jié)點,用于向至少一個被請求節(jié)點發(fā)送業(yè)務(wù)查詢請求;接收至少一個被請求 節(jié)點的反饋消息,根據(jù)所述反饋消息向業(yè)務(wù)提供節(jié)點發(fā)送業(yè)務(wù)請求,并根據(jù)所述業(yè)務(wù)提供 節(jié)點對所述業(yè)務(wù)請求的響應(yīng)情況更新所述業(yè)務(wù)提供節(jié)點在本地記錄信息中的信任率,且當(dāng) 所述業(yè)務(wù)提供節(jié)點在本地記錄信息中的信任率低于預(yù)設(shè)閾值時,刪除所述本地記錄信息中 所述業(yè)務(wù)提供節(jié)點的相關(guān)信息;所述業(yè)務(wù)查詢請求中包含有所請求的業(yè)務(wù)標(biāo)識信息,所述 反饋消息中包含有所述業(yè)務(wù)標(biāo)識信息對應(yīng)的業(yè)務(wù)提供節(jié)點的IP地址、端口號信息以及所 述被請求節(jié)點對所述業(yè)務(wù)提供節(jié)點的信任率;所述被請求節(jié)點,用于接收請求節(jié)點發(fā)送的所述業(yè)務(wù)查詢請求,所述業(yè)務(wù)查詢請求中 包含有所請求的業(yè)務(wù)標(biāo)識信息,并根據(jù)所述業(yè)務(wù)標(biāo)識信息在本地記錄信息中查找對應(yīng)的業(yè) 務(wù)提供節(jié)點的相關(guān)信息,當(dāng)查找到所述業(yè)務(wù)標(biāo)識信息對應(yīng)的業(yè)務(wù)提供節(jié)點的相關(guān)信息時, 向所述請求節(jié)點發(fā)送反饋消息,所述反饋消息中包含有所述業(yè)務(wù)提供節(jié)點的IP地址、端口 號以及所述信任率,所述本地記錄信息中包含有業(yè)務(wù)標(biāo)識信息以及對應(yīng)的信任率高于預(yù)設(shè) 閾值的業(yè)務(wù)提供節(jié)點信息,所述業(yè)務(wù)提供節(jié)點的相關(guān)信息包括所述業(yè)務(wù)提供節(jié)點的IP地 址、端口號信息以及對所述業(yè)務(wù)提供節(jié)點的信任率;所述業(yè)務(wù)提供節(jié)點,用于接收所述請求節(jié)點根據(jù)所述被請求節(jié)點的反饋消息發(fā)起的業(yè) 務(wù)請求,所述業(yè)務(wù)請求中包含有所請求的業(yè)務(wù)標(biāo)識信息,并根據(jù)所述業(yè)務(wù)標(biāo)識信息向所述 請求節(jié)點提供相應(yīng)的業(yè)務(wù)。
全文摘要
本發(fā)明實施例涉及一種分布式拒絕服務(wù)DDOS攻擊的防護(hù)方法、設(shè)備及系統(tǒng),該方法包括向至少一個被請求節(jié)點發(fā)送業(yè)務(wù)查詢請求;接收至少一個被請求節(jié)點的反饋消息;根據(jù)業(yè)務(wù)提供節(jié)點的IP地址、端口號信息向業(yè)務(wù)提供節(jié)點發(fā)送業(yè)務(wù)請求;根據(jù)業(yè)務(wù)提供節(jié)點對業(yè)務(wù)請求的響應(yīng)情況更新業(yè)務(wù)提供節(jié)點在本地記錄信息中的信任率;當(dāng)業(yè)務(wù)提供節(jié)點在本地記錄信息中的信任率低于預(yù)設(shè)閾值時,刪除本地記錄信息中業(yè)務(wù)提供節(jié)點的相關(guān)信息。本發(fā)明實施例使DHT網(wǎng)絡(luò)中向被攻擊節(jié)點發(fā)出業(yè)務(wù)請求的節(jié)點大大減少,防止了被攻擊節(jié)點的資源被占用以及向被攻擊節(jié)點發(fā)出正常請求的節(jié)點得不到響應(yīng)。
文檔編號H04L29/06GK101729569SQ20091024339
公開日2010年6月9日 申請日期2009年12月22日 優(yōu)先權(quán)日2009年12月22日
發(fā)明者夏祖轉(zhuǎn) 申請人:成都市華為賽門鐵克科技有限公司