[发明专利]用户端设备及其防止攻击的方法

说明书

技术领域

本发明涉及网络通信技术领域，尤其涉及一种用户端设备及其防止攻击的方法。

背景技术

分布式拒绝服务(Distributed Deny of Service，DDoS)攻击是指通过控制大量的傀儡主机在同一时间发送大量数据封包至被攻击的网络设备，从而造成被攻击的网络设备的数据通道堵塞，无法及时接收和响应合法用户发送的正常数据封包，从而影响了正常数据封包的传送，进而影响合法用户的正常访问。

因此，有必要提供一种有效防止分布式拒绝服务攻击的方法。

发明内容

有鉴于此，本发明提供一种用户端设备，可以有效的防止分布式拒绝服务攻击。

此外，本发明还提供一种用户端设备防止攻击的方法，可以有效的防止分布式拒绝服务攻击。

本发明实施方式中提供的用户端设备，经由网络服务设备连接至广域网，所述用户端设备通过原有服务流从所述网络服务设备接收数据封包。所述用户端设备包括侦测模块、建立模块及传输模块。侦测模块用于侦测所述原有服务流中的数据封包中是否有攻击封包，并当有攻击封包时确定所述攻击封包的来源网络地址。建立模块用于与所述网络服务设备建立新增服务流，其中所述新增服务流的来源网络地址定义为所述攻击封包的来源网络地址，所述新增服务流的传输速度低于所述原有服务流的传输速度。传输模块用于将所述原有服务流中的攻击封包导向至所述新增服务流。

优选地，所述攻击封包为分布式拒绝服务攻击封包。

优选地，所述侦测模块还用于统计所述原有服务流中的数据封包的所有来源网络地址，判断单位时间内所述原有服务流传输的每个来源网络地址的数据封包数量是否超过预设数量，当单位时间内所述原有服务流传输的一个来源网络地址的数据封包数量超过所述预设数量时判定所述原有服务流中的数据封包中有攻击封包。

优选地，所述建立模块还用于通过发送动态服务增加请求至所述网络服务设备，从所述网络服务设备接收动态服务增加响应以及发送动态服务增加确认至所述网络服务设备来建立所述新增服务流。

优选地，所述新增服务流的传输速度低于所述原有服务流的传输速度一百倍以上。

本发明实施方式中提供的用户端设备防止攻击的方法，所述用户端设备经由网络服务设备连接至广域网，所述用户端设备通过原有服务流从所述网络服务设备接收数据封包，所述用户端设备防止攻击的方法包括以下步骤：侦测所述原有服务流中的数据封包中是否有攻击封包；若所述原有服务流中的数据封包中有攻击封包，则确定所述攻击封包的来源网络地址；与所述网络服务设备建立新增服务流，其中所述新增服务流的来源网络地址定义为所述攻击封包的来源网络地址，所述新增服务流的传输速度低于所述原有服务流的传输速度；及将所述原有服务流中的攻击封包导向至所述新增服务流。

优选地，所述攻击封包为分布式拒绝服务攻击封包。

优选地，所述侦测所述原有服务流中的数据封包中是否有攻击封包的步骤包括以下步骤：统计所述原有服务流中的数据封包的所有来源网络地址；判断单位时间内所述原有服务流传输的每个来源网络地址的数据封包数量是否超过预设数量；及当单位时间内所述原有服务流传输的一个来源网络地址的数据封包数量超过所述预设数量时判定所述原有服务流中的数据封包中有攻击封包。

优选地，所述与所述网络服务设备建立新增服务流的步骤包括以下步骤：发送动态服务增加请求至所述网络服务设备；从所述网络服务设备接收动态服务增加响应；及发送动态服务增加确认至所述网络服务设备；其中，所述动态服务增加请求、所述动态服务增加响应及所述动态服务增加确认用于建立所述新增服务流。

优选地，所述新增服务流的传输速度低于所述原有服务流的传输速度一百倍以上。

本发明实施方式中的用户端设备及其防止攻击的方法通过将攻击封包导向至新增服务流来有效的防止分布式拒绝服务攻击。

附图说明

图1是本发明用户端设备一实施方式的实施环境图。

图2是本发明用户端设备防止攻击的方法一实施方式的传输图。

图3是本发明用户端设备一实施方式的模块图。

图4是本发明用户端设备防止攻击的方法一实施方式的流程图。

主要元件符号说明

网络服务设备         10

用户端设备           20

侦测模块             22

建立模块             24

传输模块             26