技術領域

本發(fā)明涉及通信技術領域，尤其涉及防御網(wǎng)絡攻擊和建立網(wǎng)絡連接的方 法及設備。

背景技術

SIP(Session?Initiation?Protocol，會話初始協(xié)議)用于發(fā)起會話。其采用 Client/Server模型，其元素包括UA(User?Agent，用戶代理)和代理服務器PS (Proxy?Server)。SIP消息分請求和響應兩類，UA發(fā)送或接受請求和響 應，請求消息由UA發(fā)往代理服務器PS，響應消息由PS發(fā)往UA。UA是用戶 代理客戶端UAC(User?Agent?Client)和用戶代理服務器UAS(User?Agent Server)組合的邏輯實體。當UA發(fā)送請求時充當?shù)氖荱AC的角色，當UA接 受請求發(fā)送響應時充當?shù)氖荱AS的角色。

SIP采用三次握手的方式建立會話，如圖1所示，主叫方UAC向被叫方 UAS發(fā)送SIP?Invite請求以建立會話；UAS收到該SIP?Invite請求后回應一個 200OK響應；UAC發(fā)送ACK消息對該響應進行確認，上述消息都通過PS轉 發(fā)。在整個會話的建立過程中，UAS會保存會話狀態(tài)，有狀態(tài)PS在會話過程 中同樣會保存事務狀態(tài)或會話狀態(tài)。

然而攻擊者采用發(fā)送大量的偽From域的SIP?Invite數(shù)據(jù)包來實施洪水攻 擊，有狀態(tài)PS和接收方UAS都會為每一個連接請求維護一個會話狀態(tài)。由于 From域被偽造，UAS在返回200OK響應后，收不到來自發(fā)起方UAC的ACK 確認，會話連接始終處于維護狀態(tài)，導致有狀態(tài)PS和UAS消耗大量的內(nèi)存維 護會話，最終使得PS和接受方UAS內(nèi)存耗盡，拒絕服務，甚至系統(tǒng)癱瘓。因 此當正當發(fā)起方UAC發(fā)送SIP?Invite數(shù)據(jù)包時，由于PS和UAS拒絕服務，導 致UAC接收不到200OK相應。從上述描述可知，當沒有攻擊發(fā)生的情況下， 由于系統(tǒng)能正常運行，SIP?Invite數(shù)據(jù)包的數(shù)目應該與200OK響應的數(shù)目相 等，于是現(xiàn)有技術中采用基于統(tǒng)計的方法來防止攻擊，通過統(tǒng)計某時段內(nèi) SIP?Invite數(shù)據(jù)包的數(shù)目和200OK響應數(shù)據(jù)包的數(shù)目，將SIP?InviteS數(shù)據(jù)包的 個數(shù)和200OK響應數(shù)據(jù)包的個數(shù)的比值與預先設好的閾值進行比較，當所述 比值大于所述閾值時，則認為有攻擊發(fā)生，丟棄該數(shù)據(jù)包并將發(fā)送數(shù)據(jù)包的 源IP地址加入黑名單阻止連接的建立。

在代理服務器和UAS發(fā)起認證的情況下，在UAS發(fā)送200OK響應消息 前，UAC會重發(fā)帶有認證信息的Invite請求，如圖2所示。正常情況下，此時 SIP?Invite數(shù)據(jù)包的數(shù)目為200OK響應數(shù)據(jù)包數(shù)目的兩倍，若用上述方法進 行檢測就會發(fā)生無攻擊情況下SIP?Invite數(shù)據(jù)包的個數(shù)和200OK響應數(shù)據(jù)包 的個數(shù)的比值大于所述閾值，從而出現(xiàn)大量誤報，把合法的請求識別為攻 擊，阻止了合法連接的建立。

發(fā)明內(nèi)容

本發(fā)明實施例提供防御網(wǎng)絡攻擊和建立會話連接的方法及裝置，使得有 效防御網(wǎng)絡攻擊以及建立網(wǎng)絡連接。

本發(fā)明的實施例提供了一種防御網(wǎng)絡攻擊的方法，該方法包括：接收發(fā) 起方用戶代理發(fā)送的第一請求消息；根據(jù)所述第一請求消息中攜帶的數(shù)據(jù)包 信息和域信息確定第一驗證信息，向發(fā)起方用戶代理發(fā)送攜帶所述第一驗證 信息的響應消息；接收發(fā)起方用戶代理應所述響應消息發(fā)送的攜帶認證信息 的第二請求消息；根據(jù)所述第二請求消息中攜帶的數(shù)據(jù)包信息和域信息確定 第二驗證信息，將所述第一驗證信息和所述第二驗證信息進行比較，驗證所 述第二請求消息；驗證所述第一驗證信息和所述第二驗證信息相同，轉發(fā)所 述第二請求消息，否則終止請求。

本發(fā)明的實施例還提供了一種防御網(wǎng)絡攻擊的方法，該方法包括：接收 發(fā)起方用戶代理發(fā)送的第一請求消息；驗證所述第一請求消息的來源，對不 可識別的來源發(fā)送的請求消息，根據(jù)所述第一請求消息中攜帶的數(shù)據(jù)包信息 和域信息確定第一驗證信息，向發(fā)起方用戶代理發(fā)送攜帶所述第一驗證信息 的響應消息；接收發(fā)起方用戶代理應所述響應消息發(fā)送的攜帶認證信息的第 二請求消息；根據(jù)所述第二請求消息中攜帶的數(shù)據(jù)包信息和域信息確定第二 驗證信息，將所述第一驗證信息和所述第二驗證信息進行比較，驗證所述第 二請求消息；驗證所述第一驗證信息和所述第二驗證信息相同，轉發(fā)所述第 二請求消息，否則終止請求。