通信方法、裝置���、網(wǎng)絡(luò)設(shè)備�����、終端設(shè)備和通信系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域�����,更具體地說(shuō)���,涉及一種通信方法、裝置�����、網(wǎng)絡(luò)設(shè)備�、終端設(shè)備和通信系統(tǒng)。
【背景技術(shù)】
[0002]拒絕服務(wù)攻擊(DOS)是指非法用戶利用大量的數(shù)據(jù)包淹沒(méi)目標(biāo)主機(jī)(如網(wǎng)絡(luò)服務(wù)器)��,耗盡目標(biāo)主機(jī)可用資源乃至系統(tǒng)崩潰����,從而使目標(biāo)主機(jī)無(wú)法對(duì)合法用戶做出響應(yīng)�����,是黑客常用的攻擊手段之一�。分布式拒絕服務(wù)攻擊(DDOS)是在傳統(tǒng)的拒絕服務(wù)攻擊的基礎(chǔ)上產(chǎn)生的一類拒絕服務(wù)攻擊方式���,分布式拒絕服務(wù)攻擊是指將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)�����,對(duì)一個(gè)或多個(gè)目標(biāo)主機(jī)發(fā)動(dòng)拒絕服務(wù)攻擊,通過(guò)海量連接或流量淹沒(méi)目標(biāo)主機(jī)�����,使目標(biāo)主機(jī)無(wú)法對(duì)合法用戶做出響應(yīng)���。
[0003]目前,不管是傳統(tǒng)的DOS,還是DD0S,從內(nèi)容上看,攻擊請(qǐng)求與合法請(qǐng)求完全相同��,這使得對(duì)兩者的鑒別非常困難����。通過(guò)計(jì)算請(qǐng)求速率,檢查網(wǎng)絡(luò)數(shù)據(jù)包的頭字段(包括IP頭��、TCP頭����、HTTP頭等),甚至檢查整個(gè)應(yīng)用層的請(qǐng)求內(nèi)容�����,都無(wú)法有效地區(qū)分攻擊請(qǐng)求與合法請(qǐng)求�����。為了達(dá)到明顯的攻擊效果����,攻擊者往往請(qǐng)求大的Flash、圖片���、視頻文件���、或者促使服務(wù)器進(jìn)行負(fù)載的數(shù)據(jù)庫(kù)查詢和數(shù)據(jù)處理。例如��,一個(gè)精心構(gòu)造的HTTP請(qǐng)求,能夠促使網(wǎng)絡(luò)服務(wù)器在多個(gè)大型數(shù)據(jù)庫(kù)表間進(jìn)行連接��、查詢和排序操作�,這時(shí),使用少量的傀儡主機(jī)發(fā)送低速率的攻擊請(qǐng)求就能迅速消耗目標(biāo)主機(jī)資源��,使其無(wú)法響應(yīng)合法用戶的請(qǐng)求�,攻擊的隱蔽性較強(qiáng),增加了對(duì)DOS攻擊的檢測(cè)難度�。
[0004]而目前,還沒(méi)有一種有效的對(duì)分布式拒絕服務(wù)攻擊進(jìn)行防護(hù)的方法���。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的是提供一種通信方法��、裝置、網(wǎng)絡(luò)設(shè)備����、終端設(shè)備和通信系統(tǒng),以對(duì)拒絕服務(wù)攻擊進(jìn)行有效防護(hù)����。
[0006]為實(shí)現(xiàn)上述目的,本發(fā)明提供了如下技術(shù)方案:
[0007]一種通信方法�����,包括:
[0008]網(wǎng)絡(luò)設(shè)備截獲第一終端設(shè)備向網(wǎng)絡(luò)服務(wù)器發(fā)送的訪問(wèn)請(qǐng)求;
[0009]所述網(wǎng)絡(luò)設(shè)備獲取驗(yàn)證參數(shù)�����,并向所述第一終端設(shè)備發(fā)送所述驗(yàn)證參數(shù)�;
[0010]若所述網(wǎng)絡(luò)設(shè)備接收到所述第一終端設(shè)備發(fā)送的,與所述驗(yàn)證參數(shù)相對(duì)應(yīng)的加密因子�,則依據(jù)所述驗(yàn)證參數(shù)對(duì)所述第一終端設(shè)備發(fā)送的加密因子進(jìn)行驗(yàn)證;
[0011]當(dāng)驗(yàn)證通過(guò)時(shí)�,所述網(wǎng)絡(luò)設(shè)備向所述網(wǎng)絡(luò)服務(wù)器發(fā)送所述訪問(wèn)請(qǐng)求。
[0012]一種通信方法�,包括:
[0013]第一終端設(shè)備向網(wǎng)絡(luò)服務(wù)器發(fā)送訪問(wèn)請(qǐng)求;
[0014]所述第一終端設(shè)備接收驗(yàn)證參數(shù)���,所述驗(yàn)證參數(shù)由網(wǎng)絡(luò)設(shè)備截獲所述第一終端向網(wǎng)絡(luò)服務(wù)器發(fā)送的訪問(wèn)請(qǐng)求后獲取�,并向所述第一終端設(shè)備發(fā)送�����;
[0015]所述第一終端設(shè)備依據(jù)所述驗(yàn)證參數(shù)計(jì)算加密因子����;
[0016]所述第一終端設(shè)備向所述網(wǎng)絡(luò)服務(wù)器發(fā)送所述加密因子���。
[0017]一種通信裝置,包括:
[0018]截獲模塊����,用于截獲第一終端設(shè)備向網(wǎng)絡(luò)服務(wù)器發(fā)送的訪問(wèn)請(qǐng)求;
[0019]參數(shù)獲取模塊����,用于在所述截獲模塊截獲第一終端設(shè)備向網(wǎng)絡(luò)服務(wù)器發(fā)送的訪問(wèn)請(qǐng)求后獲取驗(yàn)證參數(shù),并向所述第一終端設(shè)備發(fā)送所述驗(yàn)證參數(shù)�;
[0020]驗(yàn)證模塊,用于在接收到所述第一終端設(shè)備發(fā)送的��,與所述驗(yàn)證參數(shù)相對(duì)應(yīng)的加密因子時(shí)�����,對(duì)所述第一終端設(shè)備發(fā)送的加密因子進(jìn)行驗(yàn)證���;
[0021]第一發(fā)送模塊,用于在驗(yàn)證通過(guò)時(shí)�����,向所述網(wǎng)絡(luò)服務(wù)器發(fā)送所述訪問(wèn)請(qǐng)求。
[0022]一種網(wǎng)絡(luò)設(shè)備���,包括如上所述的通信裝置�����。
[0023]一種通信裝置��,應(yīng)用于第一終端設(shè)備��,所述裝置包括:
[0024]第二發(fā)送模塊�����,用于向網(wǎng)絡(luò)服務(wù)器發(fā)送訪問(wèn)請(qǐng)求�;
[0025]接收模塊����,用于接收驗(yàn)證參數(shù),所述驗(yàn)證參數(shù)由網(wǎng)絡(luò)設(shè)備截獲所述第一終端設(shè)備向網(wǎng)絡(luò)服務(wù)器發(fā)送的訪問(wèn)請(qǐng)求后獲取�,并向所述第一終端設(shè)備發(fā)送;
[0026]計(jì)算模塊�,用于依據(jù)所述驗(yàn)證參數(shù)計(jì)算加密因子;
[0027]第三發(fā)送模塊,用于向所述網(wǎng)絡(luò)服務(wù)器發(fā)送所述加密因子�。
[0028]一種終端設(shè)備,包括如上所述的通信裝置��。
[0029]一種通信系統(tǒng)�����,包括:如上所述的終端設(shè)備和如上所述的網(wǎng)絡(luò)設(shè)備��。
[0030]通過(guò)以上方案可知��,本申請(qǐng)?zhí)峁┑囊环N通信方法��、裝置���、網(wǎng)絡(luò)設(shè)備�����、終端設(shè)備和通信系統(tǒng)���,在終端設(shè)備向網(wǎng)絡(luò)服務(wù)器發(fā)送訪問(wèn)請(qǐng)求時(shí),網(wǎng)絡(luò)設(shè)備截獲終端設(shè)備向網(wǎng)絡(luò)服務(wù)器發(fā)送的訪問(wèn)請(qǐng)求�����,然后對(duì)終端設(shè)備進(jìn)行驗(yàn)證�����,驗(yàn)證通過(guò)后��,才將訪問(wèn)請(qǐng)求發(fā)送給網(wǎng)絡(luò)服務(wù)器��,而拒絕服務(wù)攻擊通常是黑客在用戶設(shè)備側(cè)通過(guò)工具模擬合法用戶向網(wǎng)絡(luò)服務(wù)器發(fā)送大量訪問(wèn)請(qǐng)求���,而不會(huì)對(duì)網(wǎng)絡(luò)服務(wù)器進(jìn)行響應(yīng)��,因此��,非法用戶設(shè)備不會(huì)進(jìn)行驗(yàn)證響應(yīng)����,因而����,通過(guò)本申請(qǐng)實(shí)施例提供的通信方法、裝置�、網(wǎng)絡(luò)設(shè)備、終端設(shè)備和通信系統(tǒng),可以防止非法用戶發(fā)送的訪問(wèn)請(qǐng)求到達(dá)網(wǎng)絡(luò)服務(wù)器����,降低對(duì)網(wǎng)絡(luò)服務(wù)器進(jìn)行拒絕服務(wù)攻擊這一事件發(fā)生的概率。
【附圖說(shuō)明】
[0031]為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案���,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹��,顯而易見(jiàn)地�����,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例�����,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講�,在不付出創(chuàng)造性勞動(dòng)的前提下��,還可以根據(jù)這些附圖獲得其他的附圖�����。
[0032]圖1為本申請(qǐng)實(shí)施例提供的通信系統(tǒng)的一種結(jié)構(gòu)示意圖�;
[0033]圖2為本申請(qǐng)實(shí)施例提供的通信方法的一種實(shí)現(xiàn)流程圖�;
[0034]圖3為本申請(qǐng)實(shí)施例提供的依據(jù)驗(yàn)證參數(shù)對(duì)第一終端設(shè)備發(fā)送的加密因子進(jìn)行驗(yàn)證的一種實(shí)現(xiàn)流程圖�����;
[0035]圖4為本申請(qǐng)實(shí)施例提供的通信方法的另一種實(shí)現(xiàn)流程圖����;
[0036]圖5為本申請(qǐng)實(shí)施例提供的通信方法的又一種實(shí)現(xiàn)流程圖��;
[0037]圖6為本申請(qǐng)實(shí)施例提供的通信裝置的一種結(jié)構(gòu)示意圖����;
[0038]圖7為本申請(qǐng)實(shí)施例提供的參數(shù)獲取模塊的一種結(jié)構(gòu)示意圖;
[0039]圖8為本申請(qǐng)實(shí)施例提供的驗(yàn)證模塊的一種結(jié)構(gòu)示意圖�;
[0040]圖9為本申請(qǐng)實(shí)施例提供的第一獲取單元的一種結(jié)構(gòu)示意圖;
[0041]圖10為本申請(qǐng)實(shí)施例提供的第一獲取單元的另一種結(jié)構(gòu)示意圖�;
[0042]圖11為本申請(qǐng)實(shí)施例提供的通信裝置的另一種結(jié)構(gòu)示意圖;
[0043]圖12為本申請(qǐng)實(shí)施例提供的通信裝置的又一種結(jié)構(gòu)示意圖�;
[0044]圖13為本申請(qǐng)實(shí)施例提供的通信裝置的又一種結(jié)構(gòu)示意圖;
[0045]圖14為本申請(qǐng)實(shí)施例提供的通信裝置的又一種結(jié)構(gòu)示意圖����;
[0046]圖15為本申請(qǐng)實(shí)施例提供的通信裝置的又一種結(jié)構(gòu)示意圖;
[0047]圖16為本申請(qǐng)實(shí)施例提供的網(wǎng)絡(luò)設(shè)備的一種硬件結(jié)構(gòu)框圖���;
[0048]圖17為本申請(qǐng)實(shí)施例提供的通信裝置的又一種結(jié)構(gòu)示意圖���;
[0049]圖18為本申請(qǐng)實(shí)施例提供的計(jì)算模塊的一種結(jié)構(gòu)示意圖���;
[0050]圖19為本申請(qǐng)實(shí)施例提供的計(jì)算模塊的另一種結(jié)構(gòu)示意圖;
[0051]圖20為本申請(qǐng)實(shí)施例提供的終端設(shè)備相關(guān)的手機(jī)的部分結(jié)構(gòu)的框圖���。
[0052]說(shuō)明書和權(quán)利要求書及上述附圖中的術(shù)語(yǔ)“第一”���、“第二”、“第三” “第四”等(如果存在)是用于區(qū)別類似的部分��,而不必用于描述特定的順序或先后次序����。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換,以便這里描述的本申請(qǐng)的實(shí)施例能夠以除了在這里圖示的以外的順序?qū)嵤?br>【具體實(shí)施方式】
[0053]下面將結(jié)合本發(fā)明實(shí)施例中的附圖����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述�����,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例��,而不是全部的實(shí)施例����。基于本發(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍�。
[0054]請(qǐng)參閱圖1,圖1為本申請(qǐng)實(shí)施例提供的通信系統(tǒng)的一種結(jié)構(gòu)示意圖�,其中,���。
[0055]終端設(shè)備11通過(guò)路由器12接入互聯(lián)網(wǎng)�,并可以與網(wǎng)絡(luò)服務(wù)器14建立連接以進(jìn)行通信���,網(wǎng)絡(luò)設(shè)備13可以截獲終端設(shè)備11向網(wǎng)絡(luò)服務(wù)器14發(fā)送的信息����,并對(duì)終端設(shè)備11的合法性進(jìn)行驗(yàn)證�,當(dāng)確定終端設(shè)備11合法時(shí)�����,才將終端設(shè)備11向網(wǎng)絡(luò)服務(wù)器14發(fā)送的信息轉(zhuǎn)發(fā)給網(wǎng)絡(luò)服務(wù)器14�����,否則就丟棄終端設(shè)備11向網(wǎng)絡(luò)服務(wù)器14發(fā)送的信息�。
[0056]其中��,終端設(shè)備11可以是個(gè)人計(jì)算機(jī)(PC機(jī))��、筆記本電腦或移動(dòng)終端��,只要該設(shè)備可以接入互聯(lián)網(wǎng)即可��。
[0057]基于圖1所示通信系統(tǒng)����,本申請(qǐng)?zhí)峁┑耐ㄐ欧椒ǖ囊环N實(shí)現(xiàn)流程圖如圖2所示,可以包括:
[0058]步驟S21:網(wǎng)絡(luò)設(shè)備截獲第一終端設(shè)備向網(wǎng)絡(luò)服務(wù)器發(fā)送的訪問(wèn)請(qǐng)求�����;
[0059]第一終端設(shè)備向網(wǎng)絡(luò)服務(wù)器發(fā)送的訪問(wèn)請(qǐng)求被網(wǎng)絡(luò)設(shè)備截獲��。
[0060]所述訪問(wèn)請(qǐng)求可以符合HTTP協(xié)議的訪問(wèn)請(qǐng)求,例如����,可以是GET請(qǐng)求,網(wǎng)絡(luò)設(shè)備可以以GET方式請(qǐng)求網(wǎng)絡(luò)服務(wù)器上某個(gè)通用網(wǎng)關(guān)接口(Common Gateway Interface, CGI)以獲取所需資源��。
[0061]當(dāng)然��,所述訪問(wèn)請(qǐng)求還可以是HTTP協(xié)議中的其它類型的請(qǐng)求,如POST請(qǐng)求�、HEAD
請(qǐng)求等。
[0062]步驟S22:所述網(wǎng)絡(luò)設(shè)備獲取驗(yàn)證參數(shù)����,并向所述第一終端設(shè)備發(fā)送所述驗(yàn)證參數(shù)�����;
[0063]網(wǎng)絡(luò)設(shè)備在截獲第一終端設(shè)備向網(wǎng)絡(luò)服務(wù)器發(fā)送的訪問(wèn)請(qǐng)求后���,獲取驗(yàn)證參數(shù)�����,并將該驗(yàn)證參數(shù)發(fā)送給第一終端設(shè)備�����。
[0064]可選的����,可以依據(jù)所述第一終端設(shè)備的識(shí)別標(biāo)識(shí),以及所述網(wǎng)絡(luò)服務(wù)器的識(shí)別標(biāo)識(shí)獲取驗(yàn)證參數(shù)����。具體的,
[0065]網(wǎng)絡(luò)設(shè)備可以根據(jù)訪問(wèn)請(qǐng)求中攜帶的源IP (即第一終端設(shè)備的IP)和目的IP (即網(wǎng)絡(luò)服務(wù)器的IP)計(jì)算驗(yàn)證參數(shù)��。
[0066]可選的��,可以依據(jù)源IP和目的IP進(jìn)彳丁 HMAC (Hash-based MessageAuthenticat1n Code)運(yùn)算��,即計(jì)算基于散列消息的身份驗(yàn)證代碼�����,以得到驗(yàn)證碼����。
[0067]可選的,網(wǎng)絡(luò)設(shè)備