[发明专利]一种缓解分布式拒绝服务攻击的方法

权利要求书

1.一种缓解分布式拒绝服务攻击的方法，其特征是: 所述方法包括以下步骤：

步骤1，给定一个以网际协议IP地址块表示的一组区域范围area_blocks，以及针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求给定的该区域范围中，每个子区域允许的不同协议类型或报文性质的报文个数的正整数阈值；每个子区域允许的协议类型或报文性质的报文个数的当前值初值，设置为该子区域的对应的协议类型或报文性质的报文个数正整数阈值；

步骤2，每接收到一个给定的协议类型或报文性质的报文，则根据其源IP地址在给定的区域范围area_blocks中查找其所属的子区域subarea；

步骤3，如果该子区域subarea的对应的协议类型或报文性质的报文个数当前值大于0，则将该子区域的对应的协议类型或报文性质的报文个数当前值减1，然后将接收到的报文根据协议类型或报文性质进一步正常处理；

如果该子区域subarea的对应的协议类型或报文性质的报文个数当前值等于0，则：或者直接丢弃该报文、或者记录该报文的有关信息后丢弃该报文；

记录该报文的有关信息时至少记录报文的源IP地址和协议类型信息；针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求，分析模块根据记录的信息对接收到的相应区域的对应的协议类型或报文性质的报文分布情况给出攻击疑似度s的分析结果；

步骤4，针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求，并发地对区域范围area_blocks中相应子区域的对应的协议类型或报文性质的报文个数当前值实施不同的恢复处理。

2.根据权利要求1所述的一种缓解分布式拒绝服务攻击的方法，其特征是：所述的给定一个以网际协议IP地址块表示的一组区域范围area_blocks，是指所给定的区域范围area_blocks，或者依据于IP地址分配信息以及whois信息整理，或者依据于对实际的正常访问流量的分析结果整理；所述的区域范围area_blocks中的每个子区域都是以一组网际协议IP地址块IP_blocks表示的物理网络区域或是逻辑网络区域；每个地址块以网络前缀或IP地址范围的形式表示。

3.根据权利要求1或2所述的一种缓解分布式拒绝服务攻击的方法，其特征是：所述的针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求给定的该区域范围中每个子区域允许的不同协议类型或报文性质的报文个数的正整数阈值，是指如果针对的是缓解传输控制协议TCP同步SYN报文性质的或者TCP结束FIN报文性质的或者TCP重置RST报文性质的或者TCP的确认连接SYN和ACK比特同时置I报文性质的或者TCP的确认结束FIN和ACK比特同时置I报文性质的或者TCP的确认重置RST和ACK比特同时置I报文性质的洪泛flooding分布式拒绝服务攻击，则每个子区域允许的协议类型或报文性质的报文个数的正整数阈值：或者根据TCP半连接表syn_table的表元总数确定、或者根据实际的正常访问流量中该子区域的对应的协议类型或报文性质的报文个数的分析结果确定；

如果针对的是缓解用户数据报协议UDP报文或者TCP确认ACK报文性质的洪泛分布式拒绝服务攻击，则每个子区域允许的协议类型或报文性质的报文个数的正整数阈值根据实际的正常访问流量中该子区域的对应的协议类型或报文性质的报文个数的分析结果确定。