一種防止dos攻擊的服務(wù)器及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信領(lǐng)域,尤其涉及一種防止DOS攻擊的服務(wù)器及方法。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)的發(fā)展,服務(wù)器的需求越來越大,同時(shí),服務(wù)器的安全問題也越來越多。DOS (Disk Operating System,磁盤操作系統(tǒng))攻擊是互聯(lián)網(wǎng)中普遍存在的一種攻擊方式,由于,服務(wù)器的IP地址和端口號(hào)通常對(duì)互聯(lián)網(wǎng)中的訪客都是開放的,因此,攻擊者一般很容易利用這一點(diǎn),在一定時(shí)間內(nèi),向服務(wù)器發(fā)送大量的請(qǐng)求,然后拒絕服務(wù)。面對(duì)DOS攻擊,目前普遍的防護(hù)措施為:在硬件方面提高服務(wù)器的性能,例如采用集群部署的方式增加服務(wù)器的數(shù)量,但是,大規(guī)模地提升硬件,不僅提升了硬件成本,而且,客戶端真正的請(qǐng)求并沒有這么高,造成了資源浪費(fèi)。
【發(fā)明內(nèi)容】
[0003]針對(duì)現(xiàn)有防止DOS攻擊的方法存在的上述問題,現(xiàn)提供一種可在不提升硬件成本的情況下提高服務(wù)器的安全性的防止DOS攻擊的服務(wù)器及方法。
[0004]具體技術(shù)方案如下:
[0005]—種防止DOS攻擊的服務(wù)器,其中包括:
[0006]—收發(fā)單元,用以采用用戶數(shù)據(jù)報(bào)協(xié)議接收客戶端發(fā)送的數(shù)據(jù)或認(rèn)證請(qǐng)求,或發(fā)送數(shù)據(jù)至所述客戶端;
[0007]—防火墻單元,用以允許預(yù)設(shè)的互聯(lián)網(wǎng)協(xié)議地址進(jìn)行數(shù)據(jù)傳輸;
[0008]—認(rèn)證單元,分別連接所述收發(fā)單元和所述防火墻單元,用以對(duì)所述認(rèn)證請(qǐng)求進(jìn)行認(rèn)證;
[0009]當(dāng)所述客戶端的所述認(rèn)證請(qǐng)求通過認(rèn)證時(shí),所述認(rèn)證單元將所述客戶端的互聯(lián)網(wǎng)協(xié)議地址添加到所述防火墻單元中;
[0010]一通信單元,分別連接所述防火墻單元和所述收發(fā)單元,用以與所述防火墻單元中的所述互聯(lián)網(wǎng)協(xié)議地址對(duì)應(yīng)的所述客戶端采用傳輸控制協(xié)議通過所述收發(fā)單元進(jìn)行數(shù)據(jù)傳輸。
[0011]優(yōu)選的,所述防火墻單元提供一列表,所述列表用以存儲(chǔ)允許進(jìn)行數(shù)據(jù)傳輸?shù)乃鲱A(yù)設(shè)的互聯(lián)網(wǎng)協(xié)議地址。
[0012]優(yōu)選的,當(dāng)所述客戶端的所述認(rèn)證請(qǐng)求通過認(rèn)證時(shí),所述認(rèn)證單元將通過認(rèn)證的通知消息通過所述收發(fā)單元發(fā)送至所述客戶端。
[0013]優(yōu)選的,所述認(rèn)證單元包括:
[0014]—驗(yàn)證模塊,用以對(duì)所述認(rèn)證請(qǐng)求進(jìn)行解析,根據(jù)預(yù)設(shè)的用戶名和相應(yīng)密碼,對(duì)獲取的所述認(rèn)證請(qǐng)求進(jìn)行驗(yàn)證;
[0015]—反饋模塊,連接所述驗(yàn)證模塊,當(dāng)驗(yàn)證成功時(shí),所述反饋模塊用以生成所述通知消息,并通過所述收發(fā)單元發(fā)送至所述客戶端。
[0016]優(yōu)選的,所述認(rèn)證單元還包括:
[0017]—存儲(chǔ)模塊,連接所述驗(yàn)證模塊,用以存儲(chǔ)預(yù)設(shè)的用戶名和相應(yīng)密碼的表單;
[0018]所述驗(yàn)證模塊用以對(duì)所述認(rèn)證請(qǐng)求進(jìn)行解析,以獲取所述用戶名、所述密碼和所述客戶端的所述互聯(lián)網(wǎng)協(xié)議地址,并根據(jù)所述存儲(chǔ)模塊中的所述表單對(duì)獲取的所述用戶名和所述密碼進(jìn)行驗(yàn)證;
[0019]—添加模塊,連接所述驗(yàn)證模塊,當(dāng)驗(yàn)證成功時(shí),所述添加模塊用以將獲得的所述客戶端的所述互聯(lián)網(wǎng)協(xié)議地址添加到所述防火墻單元的所述列表中。
[0020]一種防止DOS攻擊的方法,提供一防火墻單元用以允許預(yù)設(shè)的互聯(lián)網(wǎng)協(xié)議地址進(jìn)行數(shù)據(jù)傳輸,包括下述步驟:
[0021]S1.采用用戶數(shù)據(jù)報(bào)協(xié)議接收客戶端發(fā)送的認(rèn)證請(qǐng)求;
[0022]S2.對(duì)所述認(rèn)證請(qǐng)求進(jìn)行認(rèn)證;
[0023]S3.當(dāng)所述客戶端的所述認(rèn)證請(qǐng)求通過認(rèn)證時(shí),將所述客戶端的互聯(lián)網(wǎng)協(xié)議地址添加到所述防火墻單元中;
[0024]S4.采用傳輸控制協(xié)議與所述防火墻單元中的所述互聯(lián)網(wǎng)協(xié)議地址對(duì)應(yīng)的所述客戶端進(jìn)行數(shù)據(jù)傳輸;
[0025]S5.數(shù)據(jù)傳輸結(jié)束時(shí),刪除所述防火墻單元中的所述客戶端及相應(yīng)的互聯(lián)網(wǎng)協(xié)議地址,結(jié)束。
[0026]優(yōu)選的,所述防火墻單元提供一列表,所述列表用以存儲(chǔ)允許進(jìn)行數(shù)據(jù)傳輸?shù)乃鲱A(yù)設(shè)的互聯(lián)網(wǎng)協(xié)議地址。
[0027]優(yōu)選的,所述步驟S2包括:
[0028]S21.根據(jù)預(yù)設(shè)的用戶名和相應(yīng)密碼,對(duì)獲取的所述認(rèn)證請(qǐng)求進(jìn)行驗(yàn)證;
[0029]S22.當(dāng)驗(yàn)證成功時(shí),生成所述通知消息,并發(fā)送至所述客戶端。
[0030]優(yōu)選的,提供一存儲(chǔ)用戶名和相應(yīng)密碼的表單,所述步驟S21的具體過程為:
[0031]對(duì)所述認(rèn)證請(qǐng)求進(jìn)行解析,以獲取所述用戶名、所述密碼和所述客戶端的所述互聯(lián)網(wǎng)協(xié)議地址,并根據(jù)所述表單對(duì)獲取的所述用戶名和所述密碼進(jìn)行驗(yàn)證。
[0032]優(yōu)選的,在所述步驟S22中當(dāng)驗(yàn)證成功時(shí),將獲得的所述客戶端的所述互聯(lián)網(wǎng)協(xié)議地址添加到的所述列表中。
[0033]上述技術(shù)方案的有益效果:
[0034]防止DOS攻擊的服務(wù)器采用認(rèn)證單元對(duì)客戶端發(fā)送的請(qǐng)求進(jìn)行認(rèn)證,可濾除掉不合法的客戶端,實(shí)現(xiàn)了在不提升硬件成本的情況下提高服務(wù)器的安全性,以防止DOS攻擊服務(wù)器;
[0035]防止DOS攻擊的方法通過對(duì)客戶端認(rèn)證請(qǐng)求進(jìn)行認(rèn)證的方式識(shí)別合法用戶,以防止DOS攻擊,提高了服務(wù)器的安全性。
【附圖說明】
[0036]圖1為本發(fā)明所述的防止DOS攻擊的服務(wù)器的一種實(shí)施例的內(nèi)部模塊圖;
[0037]圖2為本發(fā)明所述的防止DOS攻擊的方法的一種實(shí)施例的方法流程圖。
【具體實(shí)施方式】
[0038]下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)的前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
[0039]需要說明的是,在不沖突的情況下,本發(fā)明中的實(shí)施例及實(shí)施例中的特征可以相互組合。
[0040]下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步說明,但不作為本發(fā)明的限定。
[0041]如圖1所示,一種防止DOS攻擊的服務(wù)器,包括:
[0042]—收發(fā)單元2,用以采用用戶數(shù)據(jù)報(bào)協(xié)議(User Datagram Protocol,UDP)接收客戶端發(fā)送的數(shù)據(jù)或認(rèn)證請(qǐng)求,或發(fā)送數(shù)據(jù)至客戶端;
[0043]—防火墻單元3,用以允許預(yù)設(shè)的互聯(lián)網(wǎng)協(xié)議地址進(jìn)行數(shù)據(jù)傳輸;
[0044]—認(rèn)證單元4,分別連接收發(fā)單元2和防火墻單元3,用以對(duì)認(rèn)證請(qǐng)求進(jìn)行認(rèn)證;
[0045]當(dāng)客戶端的認(rèn)證請(qǐng)求通過認(rèn)證時(shí),認(rèn)證單元4將客戶端的互聯(lián)網(wǎng)協(xié)議(IP)地址添加到防火墻單元3中;
[0046]—通信單元1,分別連接防火墻單元3和收發(fā)單元2,用以與防火墻單元3中的互聯(lián)網(wǎng)協(xié)議地址對(duì)應(yīng)的客戶端采用傳輸控制協(xié)議(Transmiss1n Control Protocol,TCP)通過收發(fā)單元2進(jìn)行數(shù)據(jù)傳輸。
[0047]TCP是一種面向連接的可靠的通信方式,服務(wù)器一般提供給客戶端的都是TCP服務(wù)端口,而攻擊者正是利用TCP的這一特性,對(duì)服務(wù)器進(jìn)行攻擊。在本實(shí)施例中,通過認(rèn)證單元4對(duì)客戶端的認(rèn)證請(qǐng)求進(jìn)行認(rèn)證,以獲取合法的客戶端,過濾掉不合法的客戶端,從而使合法的客戶端與通信單元1進(jìn)行通信。
[0048]在本實(shí)施例中,當(dāng)客戶端通過認(rèn)證時(shí),可認(rèn)為該客戶端為合法客用戶,將該客戶端的互聯(lián)網(wǎng)協(xié)議地址添加到防火墻單元3中,防火墻單元3中的互聯(lián)網(wǎng)協(xié)議地址為允許通信的地址,從而建立客戶端與通信單元1的通信。采用認(rèn)證單元4對(duì)客戶端發(fā)送的請(qǐng)求進(jìn)行認(rèn)證,可濾除掉不合法的客戶端,實(shí)現(xiàn)了在不提升硬件成本的情況下提高服務(wù)器的安全性,以防止DOS攻擊服務(wù)器。
[0049]在優(yōu)選的實(shí)施例中,防火墻單元提供一列表,列表用以存儲(chǔ)允許進(jìn)行數(shù)據(jù)傳輸?shù)念A(yù)設(shè)的互聯(lián)網(wǎng)協(xié)議地址。
[0050]在本實(shí)施例中,防火墻單元3中的列表存儲(chǔ)的互聯(lián)網(wǎng)協(xié)議地址均為合法的互聯(lián)網(wǎng)協(xié)議地址,可允許與列表中的互聯(lián)網(wǎng)協(xié)議地址對(duì)應(yīng)的客戶端訪問服務(wù)器。
[0051]在優(yōu)選的實(shí)施例中,當(dāng)客戶端的認(rèn)證請(qǐng)求通過認(rèn)證時(shí),認(rèn)證單元4將通過認(rèn)證的通知消息通過收發(fā)單元2發(fā)送至客戶端。
[0052]在優(yōu)選的實(shí)施例中,認(rèn)證單元4包括:
[0053]—驗(yàn)證模塊43,用