[发明专利]用于防止消息泛洪攻击的方法和网络单元

说明书

技术领域

本发明涉及通信领域，具体地涉及防止来自对等网络中的攻击者的消息泛洪攻击。

背景技术

随着例如无线网络和移动IP的新技术和应用的出现，对认证和授权的需求大大增加，并且接入控制机制变得比以往更加复杂。现有的RADIUS(远程认证拨号用户服务)协议可能不足以满足这些新需求；需要一种能够满足新的接入控制特征同时保持将来扩展的灵活性的新协议。这就是产生Diameter协议的原因。

Diameter被设计成对等结构，并且实现Diameter协议的每个主机都能根据网络部署而用作客户端或服务器。因此，术语“Diameter节点”是指Diameter客户端、Diameter服务器或Diameter代理。

RFC 3588中定义的设备监控请求/应答(Device Watchdog Request/Answer)消息是用来更快地检测传输和应用层故障的Diameter监控消息，这是RFC 3539所要求的。当Diameter节点收到设备监控请求(DWR)消息时，它应当返回设备监控应答(DWA)消息以指示其活动性。然而，RFC 3539中的监控算法并未定义如何在非常短的时期内处理多个DWR消息。因此，它变成一个安全空洞，攻击者可以发出尽可能多的DWR至Diameter节点以导致服务拒绝攻击。这种攻击会用尽被攻击机器的资源并且使得它停止/减慢对其他对等体的Diameter请求的响应。更糟糕的情况是，为了浪费网络带宽并且毁坏被攻击机器的Diameter栈，攻击者可以滥用Diameter的可扩展性以包含尽可能多的无用的AVP(属性值对)从而达到Diameter消息的最大大小(16777216字节)。

图1示出了Diameter服务器被DWR泛洪攻击的情形。攻击者发出尽可能多的DWR消息，这是基于攻击者与受攻击服务器之间的网络带宽的。当服务器接收DWR消息时，它解码该DWR消息然后在将应答消息发回攻击者之前构造DWA消息。当DWR的量到达特定级别时，服务器中用于处理该DWR泛洪的资源将减慢服务器对其他正常Diameter客户端的响应。在最差的情况下，服务器可能用尽其容量并且由于协议差错DIAMETER_TOO_BUSY而必须拒绝其他正常的Diameter请求。

然而，至今为止还不存在对这种攻击的定义和对这种攻击的解决方案。

发明内容

为了解决上述现有技术问题，根据本发明的一个方面，提出了一种用于防止消息泛洪攻击的方法，该方法包括，当关于检测传输故障的若干消息从第一网络单元被发送至第二网络单元时：所述第二网络单元只要从所述第一网络单元接收关于检测传输故障的第一消息就记录该第一消息的到达时间；所述第二网络单元在随后从所述第一网络单元接收关于检测传输故障的第二消息之后确定所述第一消息和所述第二消息各自的到达时间之间的差值；如果所述差值低于预定阈值，则所述第二网络单元发送关于关闭至所述第一网络单元的传输连接的消息；以及所述第二网络单元关闭所述传输连接。

根据本发明的另一方面，提出了一种向/从另一网络单元发送/接收信令消息的网络单元，所述网络单元包括：用于只要从所述另一网络单元接收关于检测传输故障的第一消息就记录该第一消息的到达时间的记录装置；用于当随后从所述另一网络单元接收关于检测传输故障的第二消息时确定所述第一消息和所述第二消息各自的到达时间之间的差值的确定装置；和用于如果所述差值低于预定阈值则发送关于关闭至所述另一网络单元的传输连接的消息的发送装置。

附图说明

参考附图，通过阅读下面对本发明实施例的描述，本发明的所述和许多其他特征和优点将变得明显，其中：

-图1说明了现有技术中可能发生的问题，即Diameter服务器受到DWR泛洪攻击；

-图2说明了本发明的基本思想；

-图3是根据本发明一个实施例的用于防止DWR泛洪攻击的方法的流程图；和

-图4是根据本发明一个实施例的网络单元的框图。

具体实施方式

本发明提出了一种用于防止消息泛洪攻击的方法。这个方法可以例如应用于Diameter节点。参考图2说明本发明的基本思想。

如图2所示，新的规则被引入针对RFC 3539中定义的AAA协议的现有监控(Watchdog)算法以在最初阶段发现上述DWR泛洪攻击，并且说明了如何在发现这种攻击之后处理它。