專利名稱:響應(yīng)拒絕服務(wù)攻擊的方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
一般來(lái)說(shuō)��,本發(fā)明涉及一種改進(jìn)的數(shù)據(jù)處理系統(tǒng)�����,具體來(lái)說(shuō)����,涉及一種用于進(jìn)行數(shù)據(jù)處理的方法和設(shè)備。更具體來(lái)說(shuō)����,本發(fā)明涉及用于阻止來(lái)自客戶端數(shù)據(jù)處理系統(tǒng)的攻擊的方法、設(shè)備和計(jì)算機(jī)指令���。
背景技術(shù):
因特網(wǎng)通常被許多用戶用來(lái)獲取信息以及購(gòu)買和銷售商品及服務(wù)���。許多用戶和單位都設(shè)立了網(wǎng)站以提供信息和開展商務(wù)����。在使用過(guò)程中�����,發(fā)生了網(wǎng)站被惡意攻擊和被“黑”的情況�����。攻擊者常常用大量的流量發(fā)往流行的網(wǎng)站��。所使用的一種類型的攻擊是拒絕服務(wù)(DOS)攻擊�。
這種類型的攻擊是這樣的一種攻擊����,其中,用戶或單位喪失他們通常希望在因特網(wǎng)上具有的資源或服務(wù)��。通常���,喪失服務(wù)是指諸如電子郵件之類的特定的網(wǎng)絡(luò)服務(wù)不可用或臨時(shí)喪失所有的網(wǎng)絡(luò)連接和服務(wù)����。在某些情況下,被數(shù)百萬(wàn)用戶同時(shí)訪問的網(wǎng)站可能被迫臨時(shí)停止操作���。拒絕服務(wù)攻擊還可能銷毀數(shù)據(jù)處理系統(tǒng)中的文件���。拒絕服務(wù)攻擊被視為一種違反安全的情況,這種情況不會(huì)導(dǎo)致信息被盜竊或其他安全方面的損失���。然而�����,這些類型的攻擊可能會(huì)使遭受攻擊的用戶或單位損失大量的時(shí)間和金錢���。
有許多不同類型的拒絕服務(wù)攻擊。例如�,攻擊類型包括,緩沖器溢出攻擊�����、淹沒式拒絕服務(wù)攻擊(smurf attack)、淚滴式攻擊和身份驗(yàn)證攻擊���。這些類型及其他類型的攻擊可能會(huì)導(dǎo)致網(wǎng)站上的資源耗盡并阻止合法用戶對(duì)網(wǎng)站進(jìn)行訪問�。有限資源的示例包括帶寬���、數(shù)據(jù)庫(kù)連接�����、磁盤存儲(chǔ)器����、處理器資源�����、存儲(chǔ)器��、線程或應(yīng)用程序特定的資源���。所有這些資源都可能會(huì)耗盡或被針對(duì)資源的攻擊停止運(yùn)行。
例如���,一種消耗處理器資源或使處理器資源停止活動(dòng)的攻擊是身份驗(yàn)證拒絕服務(wù)攻擊����。在這種類型的攻擊中,可以向網(wǎng)站的服務(wù)器提供無(wú)效憑據(jù)或訪問服務(wù)���。當(dāng)接收到憑據(jù)時(shí)�����,需要執(zhí)行非常消耗處理器的加密進(jìn)程���,以判斷憑據(jù)是否無(wú)效。一旦檢測(cè)到無(wú)效的憑據(jù)����,攻擊者會(huì)立即重新發(fā)送無(wú)效的憑據(jù)。這種重新發(fā)送憑據(jù)的過(guò)程會(huì)使服務(wù)器重復(fù)執(zhí)行驗(yàn)證過(guò)程�����。
當(dāng)前����,可以選擇閾值或容許級(jí)別����,以使服務(wù)器識(shí)別正在發(fā)生身份驗(yàn)證拒絕服務(wù)攻擊��?��?梢詾閬?lái)自特定客戶端的無(wú)效憑據(jù)的數(shù)量設(shè)置閾值�。當(dāng)識(shí)別出這樣的攻擊時(shí)�����,服務(wù)器拒絕來(lái)自此惡意客戶端的所有連接嘗試���。此客戶端識(shí)別出它不能連接到該服務(wù)器之后�,會(huì)將攻擊重定向到另一臺(tái)服務(wù)器�����。第二服務(wù)器與原始服務(wù)器完成相同的過(guò)程�����,使用處理器資源處理來(lái)自攻擊客戶端的憑據(jù)�,直到達(dá)到閾值,第二服務(wù)器拒絕來(lái)自該客戶端的其他連接����。雖然在達(dá)到閾值之后可以拒絕連接,但是在達(dá)到閾值之前會(huì)耗盡處理器資源��。此外���,這些攻擊通常會(huì)涉及大量的發(fā)出攻擊的針對(duì)服務(wù)器的客戶端�。
因此���,應(yīng)該有一種改進(jìn)的方法��、設(shè)備和計(jì)算機(jī)指令����,用于識(shí)別和防止身份驗(yàn)證拒絕服務(wù)攻擊���。
發(fā)明內(nèi)容
本發(fā)明提供了一種用于響應(yīng)拒絕服務(wù)攻擊的方法�����、設(shè)備和計(jì)算機(jī)指令���。該方法包括從遠(yuǎn)程數(shù)據(jù)處理系統(tǒng)檢測(cè)發(fā)生了拒絕服務(wù)攻擊�����,其中����,向數(shù)據(jù)處理系統(tǒng)提供了無(wú)效憑據(jù)���。響應(yīng)檢測(cè)到發(fā)生了拒絕服務(wù)攻擊的情況���,阻止從遠(yuǎn)程數(shù)據(jù)處理系統(tǒng)到數(shù)據(jù)處理系統(tǒng)的連接。響應(yīng)檢測(cè)到發(fā)生了拒絕服務(wù)攻擊的情況�,有選擇地向服務(wù)器數(shù)據(jù)處理系統(tǒng)發(fā)送命令,以阻止來(lái)自遠(yuǎn)程數(shù)據(jù)處理系統(tǒng)的連接��。
在所附的權(quán)利要求中闡述了本發(fā)明的新穎的特征�����。然而���,本發(fā)明本身����,以及優(yōu)選的使用模式��,進(jìn)一步的目標(biāo)和優(yōu)點(diǎn)����,通過(guò)參考對(duì)說(shuō)明性的實(shí)施例的詳細(xì)描述并參考附圖,將得到最好的理解�,其中圖1是可以在其中實(shí)現(xiàn)本發(fā)明的數(shù)據(jù)處理系統(tǒng)的網(wǎng)絡(luò)的圖形表示;圖2是根據(jù)本發(fā)明的優(yōu)選實(shí)施例可以作為服務(wù)器實(shí)現(xiàn)的數(shù)據(jù)處理系統(tǒng)的方框圖�����;圖3是顯示可以在其中實(shí)現(xiàn)本發(fā)明的數(shù)據(jù)處理系統(tǒng)的方框圖���;圖4是顯示根據(jù)本發(fā)明的優(yōu)選實(shí)施例的響應(yīng)拒絕服務(wù)攻擊時(shí)使用的組件的圖表����;圖5是根據(jù)本發(fā)明的優(yōu)選實(shí)施例的檢測(cè)和響應(yīng)使用無(wú)效憑據(jù)的拒絕服務(wù)攻擊的過(guò)程的流程圖�;以及圖6是根據(jù)本發(fā)明的優(yōu)選實(shí)施例的阻止來(lái)自客戶端的拒絕服務(wù)攻擊的過(guò)程的流程圖。
具體實(shí)施例方式
現(xiàn)在參考附圖��,圖1描述了在其中可以實(shí)現(xiàn)本發(fā)明的數(shù)據(jù)處理系統(tǒng)的網(wǎng)絡(luò)的圖形表示。網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng)100是在其中可以實(shí)現(xiàn)本發(fā)明的計(jì)算機(jī)網(wǎng)絡(luò)�。網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng)100包含網(wǎng)絡(luò)102,該網(wǎng)絡(luò)是用來(lái)在網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng)100內(nèi)連接在一起的各個(gè)設(shè)備和計(jì)算機(jī)之間提供通信鏈路的媒介��。網(wǎng)絡(luò)102可以包括諸如有線��、無(wú)線通信鏈路或光纖電纜之類的連接����。
在所描述的示例中,服務(wù)器103和服務(wù)器104與存儲(chǔ)單元106一起連接到網(wǎng)絡(luò)102�����。此外�,客戶端108、110和112也連接到網(wǎng)絡(luò)102�。這些客戶端108、110和112可以是個(gè)人計(jì)算機(jī)或網(wǎng)絡(luò)計(jì)算機(jī)��。在所描述的示例中����,服務(wù)器104為客戶端108-112提供諸如啟動(dòng)文件、操作系統(tǒng)映像和應(yīng)用程序之類的數(shù)據(jù)���??蛻舳?08�����、110和112是服務(wù)器104的客戶端�����。網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng)100可以包括更多的服務(wù)器���、客戶端��,及其他未顯示的設(shè)備���。這些客戶端中的一臺(tái)或多臺(tái)客戶端可能是啟動(dòng)身份驗(yàn)證拒絕服務(wù)攻擊的惡意客戶端,在攻擊中�����,向服務(wù)器104提供了無(wú)效憑據(jù)供其進(jìn)行處理�,企圖耗盡處理器資源。
當(dāng)服務(wù)器104識(shí)別出發(fā)生了拒絕服務(wù)攻擊之后�,該服務(wù)器拒絕來(lái)自攻擊客戶端的所有連接嘗試�。另外��,根據(jù)本發(fā)明的優(yōu)選實(shí)施例�,服務(wù)器104與服務(wù)器103共享拒絕服務(wù)攻擊。此功能允許服務(wù)器103繞過(guò)拒絕服務(wù)攻擊�����,并立即阻止攻擊客戶端��。
在所描述的示例中��,網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng)100是因特網(wǎng)��,網(wǎng)絡(luò)102表示全世界的網(wǎng)絡(luò)和網(wǎng)關(guān)的集合��,它們使用傳輸控制協(xié)議/因特網(wǎng)協(xié)議(TCP/IP)協(xié)議套件彼此進(jìn)行通信����。因特網(wǎng)的核心是主節(jié)點(diǎn)或主機(jī)計(jì)算機(jī)之間的高速數(shù)據(jù)通信線路構(gòu)成的主干網(wǎng),包括成千上萬(wàn)的商業(yè)��、政府���、教育及其他路由數(shù)據(jù)和消息的計(jì)算機(jī)系統(tǒng)�����。當(dāng)然����,網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng)100還可以作為許多不同類型的網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)���,例如����,內(nèi)部網(wǎng)���、局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)���。圖1只作為示例,而不對(duì)本發(fā)明的體系結(jié)構(gòu)作出限制�。
請(qǐng)參看圖2,根據(jù)本發(fā)明的優(yōu)選實(shí)施例��,描述了可以作為服務(wù)器(如圖1中的服務(wù)器104)實(shí)現(xiàn)的數(shù)據(jù)處理系統(tǒng)的方框圖����。服務(wù)器數(shù)據(jù)處理系統(tǒng)200是其中可以實(shí)現(xiàn)本發(fā)明的機(jī)制以防止涉及無(wú)效憑據(jù)的拒絕服務(wù)攻擊的服務(wù)器的示例���。
服務(wù)器數(shù)據(jù)處理系統(tǒng)200可以是包括連接到系統(tǒng)總線206的多個(gè)處理器202和204的對(duì)稱多處理器(SMP)系統(tǒng)?��;蛘?�,也可以使用單處理器系統(tǒng)����。與系統(tǒng)總線206相連接的還有存儲(chǔ)器控制器/緩存208�����,它提供了到本地存儲(chǔ)器209的接口����。I/O總線橋路210連接到系統(tǒng)總線206,并提供到I/O總線212的接口�����。如本文所述��,存儲(chǔ)器控制器/緩存208和I/O總線橋路210也可以集成在一起�����。
連接到I/O總線212的外圍組件互連(PCI)總線橋路214提供了到PCI本地總線216的接口。許多調(diào)制解調(diào)器可以連接到PCI本地總線216���。典型的PCI總線實(shí)現(xiàn)方式將支持四個(gè)PCI擴(kuò)展槽或插入式連接器��。到圖1中的客戶端108-112的通信鏈路可以利用通過(guò)插入式連接器連接到PCI本地總線216的調(diào)制解調(diào)器218和網(wǎng)絡(luò)適配器220來(lái)提供���。
更多的PCI總線橋路222和224為更多的PCI本地總線226和228提供了接口����,從這些接口,可以支持更多的調(diào)制解調(diào)器或網(wǎng)絡(luò)適配器����。如此,通過(guò)數(shù)據(jù)處理系統(tǒng)200���,可以連接到多個(gè)網(wǎng)絡(luò)計(jì)算機(jī)�����。如文本所描述的���,存儲(chǔ)器映射圖形適配器230和硬盤232也可以直接或間接地連接到I/O總線212��。
那些本領(lǐng)域技術(shù)人員將認(rèn)識(shí)到��,圖2所描述的硬件可以不同����。例如����,除了所描述的硬件,也可以使用諸如光盤驅(qū)動(dòng)器之類的其他外圍設(shè)備���,或者代替所描述的硬件��。所描述的示例不對(duì)本發(fā)明的體系結(jié)構(gòu)作出限制�。
圖2中所描述的數(shù)據(jù)處理系統(tǒng)可以是��,運(yùn)行高級(jí)交互執(zhí)行(AIX)操作系統(tǒng)或LINUX操作系統(tǒng)的IBM eServer pSeries系統(tǒng)����,該系統(tǒng)是位于紐約Armonk的IBM公司的產(chǎn)品。
現(xiàn)在參考圖3,該圖描述了說(shuō)明在其中可以實(shí)現(xiàn)本發(fā)明的數(shù)據(jù)處理系統(tǒng)的方框圖��。數(shù)據(jù)處理系統(tǒng)300是客戶計(jì)算機(jī)的一個(gè)示例�����。數(shù)據(jù)處理系統(tǒng)300使用外圍組件互連(PCI)本地總線體系結(jié)構(gòu)�����。雖然所描述的示例使用了PCI總線�,但是也可以使用諸如加速圖形端口(AGP)和工業(yè)標(biāo)準(zhǔn)體系結(jié)構(gòu)(ISA)之類的其他總線體系結(jié)構(gòu)。處理器302和主存儲(chǔ)器304通過(guò)PCI橋路308連接到PCI本地總線306��。PCI橋路308還可以包括集成的存儲(chǔ)器控制器和處理器302的高速緩沖存儲(chǔ)器����。在所描述的示例中�����,局域網(wǎng)(LAN)適配器310���、SCSI主機(jī)總線適配器312和擴(kuò)展總線接口314通過(guò)直接組件連接而連接到PCI本地總線306����。與此對(duì)比,音頻適配器316��、圖形適配器318和音頻/視頻適配器319通過(guò)插入到擴(kuò)展槽中的插入式電路板連接到PCI本地總線306����。擴(kuò)展總線接口314為鍵盤和鼠標(biāo)適配器320、調(diào)制解調(diào)器322和更多的存儲(chǔ)器324提供了連接�。小型計(jì)算機(jī)系統(tǒng)接口(SCSI)主機(jī)總線適配器312為硬盤驅(qū)動(dòng)器326、磁帶驅(qū)動(dòng)器328和光盤驅(qū)動(dòng)器330提供了連接�����。典型的PCI本地總線實(shí)現(xiàn)方式將支持三個(gè)或四個(gè)PCI擴(kuò)展槽或插入式連接器��。
那些本領(lǐng)域技術(shù)人員將認(rèn)識(shí)到���,圖3中的硬件可以隨實(shí)現(xiàn)方式不同而不同�����。除了圖3中所描述的硬件之外�����,還可以使用諸如flash只讀存儲(chǔ)器(ROM)�����、等效的非易失性存儲(chǔ)器或光盤驅(qū)動(dòng)器之類的其他內(nèi)部硬件或外圍設(shè)備�����,或代替它們��。此外��,本發(fā)明的進(jìn)程還可以應(yīng)用于多處理器數(shù)據(jù)處理系統(tǒng)�。
圖3中所描述的示例和上文描述的示例不對(duì)本發(fā)明的體系結(jié)構(gòu)作出限制。例如�,除PDA的形式之外,數(shù)據(jù)處理系統(tǒng)300還可以是筆記本電腦或手持式計(jì)算機(jī)��。數(shù)據(jù)處理系統(tǒng)300還可以是kiosk或Web設(shè)備�����。
本發(fā)明提供了一種用于響應(yīng)拒絕服務(wù)攻擊的方法�����、設(shè)備和計(jì)算機(jī)指令�。當(dāng)檢測(cè)到涉及提供無(wú)效憑據(jù)的拒絕服務(wù)攻擊時(shí),本發(fā)明的機(jī)制基本上會(huì)產(chǎn)生拒絕服務(wù)屏蔽�����。當(dāng)這樣的攻擊被第一服務(wù)器檢測(cè)到時(shí)�����,來(lái)自提供無(wú)效憑據(jù)的客戶端的連接被阻止或拒絕�����。在這些說(shuō)明性示例中�,術(shù)語(yǔ)“阻止”和“拒絕”是同一個(gè)意思。來(lái)自客戶端的數(shù)據(jù)包不被允許進(jìn)入數(shù)據(jù)處理系統(tǒng)����。另外,其中一個(gè)拒絕服務(wù)攻擊的實(shí)例被第一服務(wù)器向第二服務(wù)器重放����。如果向該第二服務(wù)器重放的實(shí)例失敗,則向第二服務(wù)器發(fā)送命令以阻止來(lái)自客戶端的連接���。
通過(guò)重放攻擊的實(shí)例��,該機(jī)制可以避免錯(cuò)誤的拒絕客戶端對(duì)第二服務(wù)器的訪問���。例如����,客戶端可能具有對(duì)第二服務(wù)器的訪問權(quán)����,而由于在向第一服務(wù)器進(jìn)行身份驗(yàn)證時(shí)無(wú)意造成了錯(cuò)誤,而無(wú)法訪問第一服務(wù)器�。
現(xiàn)在請(qǐng)參看圖4,根據(jù)本發(fā)明的優(yōu)選實(shí)施例���,描述了一個(gè)在拒絕服務(wù)攻擊中使用的組件的圖表���。在此說(shuō)明性示例中,攻擊客戶端400向服務(wù)器404發(fā)送身份驗(yàn)證請(qǐng)求402���。圖4中的此服務(wù)器及其他服務(wù)器可以使用圖2中的服務(wù)器數(shù)據(jù)處理系統(tǒng)200來(lái)實(shí)現(xiàn)。圖4中所顯示的服務(wù)器可以是一組用于為網(wǎng)站提供服務(wù)的服務(wù)器��。
身份驗(yàn)證請(qǐng)求402包括無(wú)效憑據(jù)。此請(qǐng)求是攻擊客戶端400與服務(wù)器404建立連接之后發(fā)送的�����。服務(wù)器404使用諸如加密過(guò)程之類的處理器密集的過(guò)程來(lái)對(duì)這些憑據(jù)進(jìn)行身份驗(yàn)證�����。由于身份驗(yàn)證請(qǐng)求402中的憑據(jù)無(wú)效���,因此����,服務(wù)器404拒絕這些憑據(jù)�����。
攻擊客戶端400繼續(xù)發(fā)送無(wú)效憑據(jù)�����,直到服務(wù)器404識(shí)別出有人正在進(jìn)行拒絕服務(wù)攻擊�����。識(shí)別拒絕服務(wù)攻擊的過(guò)程可以在DoS屏蔽單元406中實(shí)現(xiàn)。當(dāng)滿足某個(gè)容許級(jí)別或閾值時(shí)����,來(lái)自攻擊客戶端400的請(qǐng)求可以被確定為拒絕服務(wù)攻擊。例如���,如果攻擊客戶端發(fā)送的無(wú)效憑據(jù)超過(guò)某個(gè)選定的次數(shù)��,那么�����,DoS屏蔽單元406將這些連接請(qǐng)求標(biāo)識(shí)為拒絕服務(wù)攻擊的一部分�����。閾值級(jí)別的一個(gè)示例是三次不成功的身份驗(yàn)證嘗試����。檢測(cè)拒絕服務(wù)攻擊的另一種方式是�,如果攻擊客戶端400跳過(guò)身份驗(yàn)證過(guò)程并直接從服務(wù)器404請(qǐng)求服務(wù)。服務(wù)器404查找攻擊客戶端400��,并發(fā)現(xiàn)此客戶端沒有經(jīng)過(guò)身份驗(yàn)證。此時(shí)����,服務(wù)器404可以拒絕對(duì)服務(wù)的訪問��,并將請(qǐng)求標(biāo)識(shí)為拒絕服務(wù)攻擊的一部分���。
此時(shí)���,DoS屏蔽單元406拒絕或阻止來(lái)自攻擊客戶端400的其他連接嘗試。在這些說(shuō)明性示例中��,攻擊客戶端400是使用IP請(qǐng)求來(lái)進(jìn)行標(biāo)識(shí)的��,標(biāo)識(shí)身份驗(yàn)證請(qǐng)求402中的請(qǐng)求的來(lái)源�。
根據(jù)本發(fā)明的優(yōu)選實(shí)施例,DoS屏蔽單元406可以使服務(wù)器408阻止來(lái)自攻擊客戶端400的連接請(qǐng)求�����,而不要求服務(wù)器408處理來(lái)自攻擊客戶端400的服務(wù)器請(qǐng)求���,直到達(dá)到閾值級(jí)別���。具體來(lái)說(shuō)����,將重放410發(fā)送到服務(wù)器408����。重放410是攻擊客戶端400作出的拒絕服務(wù)攻擊的一個(gè)實(shí)例。具體來(lái)說(shuō)�����,重放410是攻擊客戶端400作出的諸如身份驗(yàn)證請(qǐng)求402之類的身份驗(yàn)證請(qǐng)求��。如果重放410中的連接請(qǐng)求被服務(wù)器408拒絕��,則DoS屏蔽單元406向DoS屏蔽單元414發(fā)送指令412����。此指令使服務(wù)器408自動(dòng)拒絕來(lái)自攻擊客戶端400的連接請(qǐng)求。在此情況下��,服務(wù)器甚至實(shí)際拒絕允許客戶端建立作出身份驗(yàn)證請(qǐng)求所要求的連接���。換句話說(shuō)����,在自動(dòng)拒絕連接請(qǐng)求的情況下,來(lái)自攻擊客戶端400的連接請(qǐng)求在沒有處理這些請(qǐng)求中包含的憑據(jù)的情況下就被拒絕����。此指令包括用于標(biāo)識(shí)要被拒絕的請(qǐng)求的攻擊客戶端400的IP地址。
如果重放410中的連接請(qǐng)求被服務(wù)器408接受�����,那么�,不會(huì)向服務(wù)器408發(fā)送指令412��。這種由服務(wù)器404標(biāo)識(shí)的攻擊的實(shí)例的重放過(guò)程防止了錯(cuò)誤的阻止或拒絕攻擊客戶端400作出的請(qǐng)求�����。攻擊客戶端400可能具有對(duì)服務(wù)器408的訪問權(quán)限�����,但沒有對(duì)服務(wù)器404的訪問權(quán)限���。發(fā)往服務(wù)器404的連接請(qǐng)求可能是錯(cuò)誤地作出的�����,而這些請(qǐng)求本應(yīng)發(fā)送給服務(wù)器408的��。此功能避免了錯(cuò)誤的拒絕攻擊客戶端400對(duì)服務(wù)器408的訪問��。
服務(wù)器404還可以向服務(wù)器418發(fā)送重放416��。同樣����,如果重放416中的連接請(qǐng)求被服務(wù)器418拒絕,則指令420被發(fā)送到DoS屏蔽單元422�����,以使服務(wù)器418阻止來(lái)自攻擊客戶端400的連接請(qǐng)求����。此外,如果連接請(qǐng)求被拒絕�,服務(wù)器418可以向服務(wù)器426發(fā)送重放424,后面跟著指令428�����。如此,DoS屏蔽單元430將使服務(wù)器426拒絕來(lái)自攻擊客戶端400的連接請(qǐng)求�����。
圖4中的說(shuō)明性示例演示了為服務(wù)器組服務(wù)器404��、408��、418和426創(chuàng)建拒絕服務(wù)屏蔽的過(guò)程�����。具體來(lái)說(shuō)���,向其發(fā)送重放和指令的服務(wù)器可以通過(guò)服務(wù)器列表來(lái)進(jìn)行標(biāo)識(shí)。例如��,DoS屏蔽406從列表432標(biāo)識(shí)服務(wù)器408和服務(wù)器416�����。在這些說(shuō)明性示例中����,服務(wù)器418知道使用列表434向服務(wù)器426發(fā)送重放424和指令428���。服務(wù)器426不與另一臺(tái)服務(wù)器進(jìn)行聯(lián)系,因?yàn)榱斜?36指回服務(wù)器418�。列表438指向服務(wù)器404?���;蛘撸恳慌_(tái)服務(wù)器都可以包括將要受保護(hù)的所有服務(wù)器的列表�。
標(biāo)識(shí)攻擊客戶端400的另一個(gè)機(jī)制是使用分發(fā)列表。指令428可以包含指出服務(wù)器404����、408和418已經(jīng)具有拒絕訪問的指令的指令。如此�,服務(wù)器426可以知道哪些其他服務(wù)器已經(jīng)看到標(biāo)識(shí)已經(jīng)發(fā)生了拒絕服務(wù)攻擊的指令。如此����,一旦一臺(tái)服務(wù)器檢測(cè)到攻擊,本發(fā)明的機(jī)制會(huì)主動(dòng)地在客戶端對(duì)服務(wù)器發(fā)動(dòng)攻擊之前阻止來(lái)自攻擊客戶端的連接請(qǐng)求��。
現(xiàn)在參考圖5�����,根據(jù)本發(fā)明的優(yōu)選實(shí)施例,描述了檢測(cè)和響應(yīng)使用無(wú)效憑據(jù)的拒絕服務(wù)攻擊的過(guò)程的流程圖��。圖5中顯示的過(guò)程可以以諸如圖4中的DoS屏蔽單元406之類的拒絕服務(wù)屏蔽單元來(lái)實(shí)現(xiàn)�。
過(guò)程從監(jiān)視拒絕服務(wù)(DoS)攻擊開始(步驟500)。接下來(lái)��,判斷是否存在攻擊(步驟502)��。在這些說(shuō)明性示例中���,判斷的監(jiān)視涉及在選定的時(shí)間段內(nèi)接收到來(lái)自客戶端的身份驗(yàn)證請(qǐng)求超過(guò)某個(gè)次數(shù)�。
如果存在攻擊���,則阻止攻擊客戶端的連接嘗試(步驟504)。攻擊客戶端由身份驗(yàn)證嘗試中的IP地址來(lái)進(jìn)行標(biāo)識(shí)���,來(lái)自此地址的進(jìn)一步的連接請(qǐng)求自動(dòng)被拒絕���,而不處理憑據(jù)。接下來(lái)����,啟動(dòng)屏蔽過(guò)程(步驟506)���,此后終止過(guò)程。此屏蔽過(guò)程涉及有選擇地使其他服務(wù)器在不使用處理器資源處理請(qǐng)求中的憑據(jù)的情況下阻止來(lái)自攻擊客戶端的連接請(qǐng)求����。此步驟將在下面的圖6中比較詳細(xì)地描述。
請(qǐng)回頭參看步驟502�����,如果不存在攻擊�����,那么��,過(guò)程返回到如上所述的步驟500�。
現(xiàn)在參考圖6,根據(jù)本發(fā)明的優(yōu)選實(shí)施例��,描述了阻止來(lái)自客戶端的拒絕服務(wù)攻擊的過(guò)程的流程圖�����。圖6中顯示的過(guò)程可以以諸如圖4中的DoS屏蔽單元406之類的拒絕服務(wù)屏蔽單元來(lái)實(shí)現(xiàn)�。圖6中的流程圖是圖5中的步驟506的比較詳細(xì)的描述�����。
過(guò)程從選擇服務(wù)器開始(步驟600)�����。在這些說(shuō)明性示例中�����,服務(wù)器是從服務(wù)器列表標(biāo)識(shí)的�����。此列表可以由管理員來(lái)進(jìn)行選擇�,并包括彼此關(guān)聯(lián)的一臺(tái)或多臺(tái)服務(wù)器�����。接下來(lái)���,向所選擇的服務(wù)器重放包含無(wú)效憑據(jù)的身份驗(yàn)證請(qǐng)求的實(shí)例(步驟602)。此實(shí)例是被確定為發(fā)出了拒絕服務(wù)攻擊的攻擊客戶端發(fā)出的連接請(qǐng)求集中的一個(gè)連接請(qǐng)求��。此身份驗(yàn)證請(qǐng)求是由服務(wù)器接收到的身份驗(yàn)證請(qǐng)求的副本,包括相同的標(biāo)頭和憑據(jù)信息����。在這些示例中使用了相同的標(biāo)頭,只是作為源地址����,服務(wù)器可以將其自己的IP地址放在數(shù)據(jù)包中,而不是放置攻擊客戶端的IP地址����。如此,被測(cè)試的服務(wù)器將響應(yīng)發(fā)出了攻擊的重放的服務(wù)器��,而不是響應(yīng)攻擊客戶端�。
接下來(lái),判斷憑據(jù)是否未被接受(步驟604)��。步驟604涉及選定服務(wù)器使用處理器資源處理憑據(jù)�,以判斷憑據(jù)是否將被接受。步驟604中的判斷基于選定的服務(wù)器返回的響應(yīng)��??赡軙?huì)出現(xiàn)這樣的情況對(duì)于圖6的過(guò)程所在的服務(wù)器無(wú)效的憑據(jù),可能對(duì)于選定的服務(wù)器有效。如果憑據(jù)失敗�,那么,指示選定的服務(wù)器阻止來(lái)自攻擊客戶端的所有連接(步驟606)����。接下來(lái),判斷列表中是否存在更多未處理的服務(wù)器(步驟608)���。如果不存在更多的未處理的服務(wù)器���,那么,過(guò)程終止�����。
請(qǐng)回頭參看步驟604�,如果憑據(jù)沒有失敗,則過(guò)程繼續(xù)進(jìn)入如上所述的步驟608�����。在步驟608中���,如果存在其他未處理的服務(wù)器,那么,過(guò)程繼續(xù)進(jìn)入如上所述的步驟600���。
如此���,本發(fā)明提供了用于響應(yīng)拒絕服務(wù)攻擊的改進(jìn)的方法、設(shè)備和計(jì)算機(jī)指令��。當(dāng)在這些服務(wù)器中的一臺(tái)服務(wù)器上檢測(cè)到拒絕服務(wù)攻擊時(shí)�����,本發(fā)明的機(jī)制允許對(duì)于服務(wù)器集引發(fā)屏蔽��。在第一服務(wù)器上檢測(cè)到拒絕服務(wù)攻擊會(huì)使該服務(wù)器有選擇地指示其他服務(wù)器拒絕或阻止來(lái)自攻擊數(shù)據(jù)處理系統(tǒng)的連接���。
這些說(shuō)明性示例中的有選擇性的拒絕或阻止功能是基于向第二服務(wù)器重放由第一服務(wù)器從攻擊數(shù)據(jù)處理系統(tǒng)接收到的憑據(jù)來(lái)完成的���。如果這些憑據(jù)被拒絕或失敗,那么��,指示該第二服務(wù)器阻止或拒絕來(lái)自攻擊數(shù)據(jù)處理系統(tǒng)的連接���。如此�����,被允許訪問第二服務(wù)器的數(shù)據(jù)處理系統(tǒng)�,不會(huì)基于在嘗試連接到第一服務(wù)器時(shí)所發(fā)生的錯(cuò)誤而被錯(cuò)誤地拒絕對(duì)該服務(wù)器的訪問。
結(jié)果�,本發(fā)明的機(jī)制允許基于錯(cuò)誤的憑據(jù)比當(dāng)前對(duì)拒絕服務(wù)攻擊作出更快的響應(yīng)。本發(fā)明的機(jī)制允許在某個(gè)數(shù)據(jù)處理系統(tǒng)可以攻擊其他服務(wù)器之前先發(fā)制人地阻止或拒絕來(lái)自該攻擊數(shù)據(jù)處理系統(tǒng)的連接�。
值得注意的是,盡管是在完全運(yùn)轉(zhuǎn)的數(shù)據(jù)處理系統(tǒng)的上下文中描述本發(fā)明的���,那些本領(lǐng)域技術(shù)人員將認(rèn)識(shí)到��,本發(fā)明的進(jìn)程能夠以存儲(chǔ)了指令的計(jì)算機(jī)可讀的介質(zhì)的形式和各種各樣的形式進(jìn)行分發(fā)�����,本發(fā)明同樣適用����,不管實(shí)際用于進(jìn)行分發(fā)的承載信號(hào)的介質(zhì)的特定類型是什么���。計(jì)算機(jī)可讀的介質(zhì)的示例包括可記錄類型的介質(zhì)��,如軟盤�����、硬盤驅(qū)動(dòng)器���、RAM、CD-ROM��、DVD-ROM�����、傳輸類型的介質(zhì)��,例如使用諸如射頻和光波傳輸?shù)膫鬏斝问降臄?shù)字和模擬通信鏈路���、有線或無(wú)線通信鏈路�����。計(jì)算機(jī)可讀的介質(zhì)可以采取編碼格式的形式�,這些編碼在特定數(shù)據(jù)處理系統(tǒng)中實(shí)際使用時(shí)被解碼����。
本發(fā)明的說(shuō)明書只作說(shuō)明����,而不是詳盡的說(shuō)明或限于所說(shuō)明的形式�����。那些本領(lǐng)域技術(shù)人員將認(rèn)識(shí)到����,可以進(jìn)行許多修改。所選擇的實(shí)施例只是為了最好地說(shuō)明本發(fā)明的原理���,實(shí)際應(yīng)用�,并使其他本領(lǐng)域技術(shù)人員懂得�,帶有各種修改的各種實(shí)施例也是可以接受的。
權(quán)利要求
1.一種在第一服務(wù)器數(shù)據(jù)處理系統(tǒng)中的用于響應(yīng)來(lái)自客戶端的拒絕服務(wù)攻擊的方法����,該方法包括檢測(cè)來(lái)自客戶端的拒絕服務(wù)攻擊的發(fā)生,在所述攻擊中由客戶端向第一服務(wù)器數(shù)據(jù)處理系統(tǒng)提供憑據(jù)�����;響應(yīng)檢測(cè)到發(fā)生了拒絕服務(wù)攻擊的情況���,阻止從客戶端到第一服務(wù)器數(shù)據(jù)處理系統(tǒng)的連接��;響應(yīng)檢測(cè)到發(fā)生了拒絕服務(wù)攻擊的情況��,向第二服務(wù)器數(shù)據(jù)處理系統(tǒng)重放拒絕服務(wù)攻擊的實(shí)例��;以及響應(yīng)在第二服務(wù)器數(shù)據(jù)處理系統(tǒng)上拒絕服務(wù)攻擊的實(shí)例失敗的情況����,向第二服務(wù)器數(shù)據(jù)處理系統(tǒng)發(fā)送命令以阻止來(lái)自客戶端的連接��。
2.根據(jù)權(quán)利要求1所述的方法�����,其中����,重放步驟包括向第二服務(wù)器數(shù)據(jù)處理系統(tǒng)提供憑據(jù)。
3.根據(jù)權(quán)利要求2所述的方法�,其中,如果第二服務(wù)器數(shù)據(jù)處理系統(tǒng)未能接受憑據(jù)���,則實(shí)例失敗��。
4.根據(jù)權(quán)利要求1所述的方法�,進(jìn)一步包括對(duì)于一組服務(wù)器數(shù)據(jù)處理系統(tǒng),重復(fù)重放步驟和發(fā)送步驟��。
5.根據(jù)權(quán)利要求1所述的方法�,其中,檢測(cè)步驟包括從客戶端接收憑據(jù)�;判斷憑據(jù)是否有效;以及響應(yīng)憑據(jù)是無(wú)效憑據(jù)的情況��,判斷來(lái)自客戶端的拒絕服務(wù)攻擊是否響應(yīng)接收到無(wú)效憑據(jù)而發(fā)生�。
6.根據(jù)權(quán)利要求5所述的方法,其中�,判斷來(lái)自客戶端的拒絕服務(wù)攻擊是否響應(yīng)接收到無(wú)效憑據(jù)而發(fā)生的步驟包括判斷從客戶端接收到的無(wú)效憑據(jù)的數(shù)量是否已經(jīng)超過(guò)選定的閾值以觸發(fā)拒絕服務(wù)攻擊的出現(xiàn)。
7.根據(jù)權(quán)利要求1所述的方法���,進(jìn)一步包括響應(yīng)從另一服務(wù)器數(shù)據(jù)處理系統(tǒng)接收到命令的情況��,阻止來(lái)自客戶端的連接�����。
8.根據(jù)權(quán)利要求1所述的方法����,其中,命令包括拒絕服務(wù)攻擊的實(shí)例��,其中����,該方法進(jìn)一步包括響應(yīng)從另一服務(wù)器數(shù)據(jù)處理系統(tǒng)接收到命令的情況,向第二服務(wù)器數(shù)據(jù)處理系統(tǒng)重放拒絕服務(wù)攻擊的實(shí)例����;以及響應(yīng)在第二服務(wù)器數(shù)據(jù)處理系統(tǒng)上拒絕服務(wù)攻擊的實(shí)例失敗的情況,向第二服務(wù)器數(shù)據(jù)處理系統(tǒng)發(fā)送命令以阻止來(lái)自客戶端的連接�。
9.一種在第一服務(wù)器數(shù)據(jù)處理系統(tǒng)中的用于響應(yīng)來(lái)自客戶端的拒絕服務(wù)攻擊的數(shù)據(jù)處理系統(tǒng)��,該數(shù)據(jù)處理系統(tǒng)包括檢測(cè)裝置�,用于檢測(cè)來(lái)自客戶端的拒絕服務(wù)攻擊的發(fā)生,在所述攻擊中由客戶端向第一服務(wù)器數(shù)據(jù)處理系統(tǒng)提供憑據(jù)���;阻止裝置�����,用于響應(yīng)檢測(cè)到發(fā)生了拒絕服務(wù)攻擊的情況����,阻止從客戶端到第一服務(wù)器數(shù)據(jù)處理系統(tǒng)的連接;重放裝置�����,用于響應(yīng)檢測(cè)到發(fā)生了拒絕服務(wù)攻擊的情況�����,向第二服務(wù)器數(shù)據(jù)處理系統(tǒng)重放拒絕服務(wù)攻擊的實(shí)例�;以及發(fā)送裝置,用于響應(yīng)在第二服務(wù)器數(shù)據(jù)處理系統(tǒng)上拒絕服務(wù)攻擊的實(shí)例失敗的情況�����,向第二服務(wù)器數(shù)據(jù)處理系統(tǒng)發(fā)送命令以阻止來(lái)自客戶端的連接�����。
10.根據(jù)權(quán)利要求9所述的數(shù)據(jù)處理系統(tǒng)�����,其中�,重放裝置包括提供裝置,用于向第二服務(wù)器數(shù)據(jù)處理系統(tǒng)提供憑據(jù)。
11.根據(jù)權(quán)利要求10所述的數(shù)據(jù)處理系統(tǒng)����,其中,如果第二服務(wù)器數(shù)據(jù)處理系統(tǒng)未能接受憑據(jù)�����,則實(shí)例失敗����。
12.根據(jù)權(quán)利要求9所述的數(shù)據(jù)處理系統(tǒng),進(jìn)一步包括重復(fù)裝置�����,用于對(duì)于一組服務(wù)器數(shù)據(jù)處理系統(tǒng)����,重復(fù)啟動(dòng)重放裝置和發(fā)送裝置�。
13.根據(jù)權(quán)利要求9所述的數(shù)據(jù)處理系統(tǒng),其中���,檢測(cè)裝置包括接收裝置���,用于從客戶端接收憑據(jù)����;第一判斷裝置�����,用于判斷憑據(jù)是否有效����;以及第二判斷裝置,用于響應(yīng)憑據(jù)是無(wú)效憑據(jù)的情況�����,判斷來(lái)自客戶端的拒絕服務(wù)攻擊是否響應(yīng)接收到無(wú)效憑據(jù)而發(fā)生��。
14.根據(jù)權(quán)利要求13所述的數(shù)據(jù)處理系統(tǒng)���,其中����,所述第二判斷裝置包括一種裝置��,用于判斷從客戶端接收到的無(wú)效憑據(jù)的數(shù)量是否已經(jīng)超過(guò)選定的閾值以觸發(fā)拒絕服務(wù)攻擊的出現(xiàn)。
15.根據(jù)權(quán)利要求9所述的數(shù)據(jù)處理系統(tǒng)����,其中,所述阻止裝置是第一阻止裝置并進(jìn)一步包括第二阻止裝置���,用于響應(yīng)從另一服務(wù)器數(shù)據(jù)處理系統(tǒng)接收到命令的情況�,阻止來(lái)自客戶端的連接�。
16.一種在第一服務(wù)器數(shù)據(jù)處理系統(tǒng)中的計(jì)算機(jī)可讀介質(zhì)中的計(jì)算機(jī)程序產(chǎn)品,用于響應(yīng)來(lái)自客戶端的拒絕服務(wù)攻擊��,該計(jì)算機(jī)程序產(chǎn)品包括第一指令�,用于檢測(cè)來(lái)自客戶端的拒絕服務(wù)攻擊的發(fā)生,在所述攻擊中由客戶端向第一服務(wù)器數(shù)據(jù)處理系統(tǒng)提供憑據(jù)�;第二指令,用于響應(yīng)檢測(cè)到發(fā)生了拒絕服務(wù)攻擊的情況�,阻止從客戶端到第一服務(wù)器數(shù)據(jù)處理系統(tǒng)的連接;第三指令����,用于響應(yīng)檢測(cè)到發(fā)生了拒絕服務(wù)攻擊的情況����,向第二服務(wù)器數(shù)據(jù)處理系統(tǒng)重放拒絕服務(wù)攻擊的實(shí)例;以及第四指令,用于響應(yīng)在第二服務(wù)器數(shù)據(jù)處理系統(tǒng)上拒絕服務(wù)攻擊的實(shí)例失敗的情況��,向第二服務(wù)器數(shù)據(jù)處理系統(tǒng)發(fā)送命令以阻止來(lái)自客戶端的連接���。
17.根據(jù)權(quán)利要求16所述的計(jì)算機(jī)程序產(chǎn)品����,其中����,第三指令包括子指令,用于向第二服務(wù)器數(shù)據(jù)處理系統(tǒng)提供憑據(jù)����。
18.根據(jù)權(quán)利要求17所述的計(jì)算機(jī)程序產(chǎn)品,其中�,如果第二服務(wù)器數(shù)據(jù)處理系統(tǒng)未能接受憑據(jù),則實(shí)例失敗�����。
19.根據(jù)權(quán)利要求16所述的計(jì)算機(jī)程序產(chǎn)品����,進(jìn)一步包括子指令���,用于對(duì)于一組服務(wù)器數(shù)據(jù)處理系統(tǒng),重復(fù)啟動(dòng)第三指令和第四指令��。
20.根據(jù)權(quán)利要求16所述的計(jì)算機(jī)程序產(chǎn)品����,其中,第二指令包括第一子指令�����,用于從客戶端接收憑據(jù)�����;第二子指令�,用于判斷憑據(jù)是否有效;以及第三子指令�����,用于響應(yīng)憑據(jù)是無(wú)效憑據(jù)的情況���,判斷來(lái)自客戶端的拒絕服務(wù)攻擊是否響應(yīng)接收到無(wú)效憑據(jù)而發(fā)生�����。
21.根據(jù)權(quán)利要求20所述的計(jì)算機(jī)程序產(chǎn)品�,其中����,子指令包括一種指令,用于判斷從客戶端接收到的無(wú)效憑據(jù)的數(shù)量是否已經(jīng)超過(guò)選定的閾值以觸發(fā)拒絕服務(wù)攻擊的出現(xiàn)����。
22.根據(jù)權(quán)利要求16所述的計(jì)算機(jī)程序產(chǎn)品,進(jìn)一步包括第五指令�,用于響應(yīng)從另一服務(wù)器數(shù)據(jù)處理系統(tǒng)接收到命令的情況,阻止來(lái)自客戶端的連接��。
23.一種數(shù)據(jù)處理系統(tǒng)��,包括總線系統(tǒng)���;連接到總線系統(tǒng)的存儲(chǔ)器����,其中���,存儲(chǔ)器包括一個(gè)指令集����;以及連接到總線系統(tǒng)的處理單元,其中�����,處理單元執(zhí)行指令集��,檢測(cè)來(lái)自客戶端的拒絕服務(wù)攻擊的發(fā)生��,在所述攻擊中由客戶端向第一服務(wù)器數(shù)據(jù)處理系統(tǒng)提供憑據(jù)�;響應(yīng)檢測(cè)到發(fā)生了拒絕服務(wù)攻擊的情況,阻止從客戶端到第一服務(wù)器數(shù)據(jù)處理系統(tǒng)的連接�;響應(yīng)檢測(cè)到發(fā)生了拒絕服務(wù)攻擊的情況,向第二服務(wù)器數(shù)據(jù)處理系統(tǒng)重放拒絕服務(wù)攻擊的實(shí)例�����;以及響應(yīng)在第二服務(wù)器數(shù)據(jù)處理系統(tǒng)上拒絕服務(wù)攻擊的實(shí)例失敗的情況����,向第二服務(wù)器數(shù)據(jù)處理系統(tǒng)發(fā)送命令以阻止來(lái)自客戶端的連接。
全文摘要
一種用于響應(yīng)拒絕服務(wù)攻擊的方法、設(shè)備和計(jì)算機(jī)指令�����。該方法包括從遠(yuǎn)程數(shù)據(jù)處理系統(tǒng)檢測(cè)發(fā)生了拒絕服務(wù)攻擊�����,其中���,向數(shù)據(jù)處理系統(tǒng)提供了無(wú)效憑據(jù)。響應(yīng)檢測(cè)到發(fā)生了拒絕服務(wù)攻擊的情況�����,阻止從遠(yuǎn)程數(shù)據(jù)處理系統(tǒng)到數(shù)據(jù)處理系統(tǒng)的連接���。響應(yīng)檢測(cè)到發(fā)生了拒絕服務(wù)攻擊的情況���,有選擇地向服務(wù)器數(shù)據(jù)處理系統(tǒng)發(fā)送命令,以阻止來(lái)自遠(yuǎn)程數(shù)據(jù)處理系統(tǒng)的連接�����。
文檔編號(hào)H04L9/00GK1684431SQ20051005188
公開日2005年10月19日 申請(qǐng)日期2005年3月3日 優(yōu)先權(quán)日2004年4月15日
發(fā)明者蘇珊·瑪麗·考哈尼, 杰拉德·弗蘭希斯·邁克布雷迪, 沙恩·帕特里克·穆倫, 杰西卡·凱利·莫利羅, 紀(jì)翰尼·蒙-漢·謝 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司