本發明涉及與一個或多個域相關聯的保護服務之間進行協作的方法。根據本發明，這種方法包括：?使得由第一保護服務使用的第一代理識別(221)對由所述第一保護服務保護的域所管理的至少一個資源的攻擊，?向由第二保護服務使用的至少一個第二代理傳送(222)與由所述第一代理識別的所述攻擊相關的至少一條信息，該至少一個第二代理已對由所述第一保護服務提供的至少一個信息共享服務進行了訂閱。

技術領域

本發明的領域是通信網絡(例如IP網絡)內的通信的領域，并且具體地，是增值IP(added-value)服務的領域。

更具體地，本發明提供了一種允許保護一個或多個域的不同保護服務進行協作的解決方案。這種保護服務例如是屬于DPS(DDoS保護服務)類型，其實施例如但不限于DOTS類型(DDoS開放威脅信令)的架構。保護服務和被部署為提供這種服務的基礎設施在以下被無差別地(indifferently)稱為“保護服務”。

具體地，本發明提供了一種在識別到拒絕服務攻擊時協調緩解(mitigation)行動的解決方案。

在使用可能遭受病毒、SPAM、SPIT(通過IP電話的SPAM)、DDoS等攻擊的計算機網絡的任何領域，本發明都有特別地應用。

背景技術

將在本文檔的剩余部分中更具體地描述在緩解DDoS攻擊領域中存在的問題。當然，本發明不限于此特定的應用領域，而是對緩解所有類型的攻擊均有益處(interest)。

作為提醒，DDoS攻擊是試圖使資源(例如網絡或計算資源)對其用戶不可用。通過危害大量主機并使用這些主機來放大攻擊，這種攻擊可以被大規模部署。

為了緩解這些DDoS攻擊，一些接入或服務提供商向其客戶端提供檢測和緩解服務。這種保護服務或DPS(DDoS保護服務)可以被托管在由接入提供商運營的基礎設施內或云中。具體地，它們使得可能區分“合法(legitimate)”業務(即經用戶同意的數據)與“可疑”業務。

當DPS類型的服務被托管在云中時，難以預先檢測到DDoS攻擊，因為這種服務不一定存在于用于到達受DDoS攻擊的網絡的路由路徑上(默認情況下)。

為了解決這個問題，已特別地提出了建立隧道，以迫使業務(入站(inbound)或出站(outbound))進入將由DPS服務檢查的站點或網絡。然而，這種方法大大增加了用戶觀察到的延遲，并對DPS服務的大小(sizing)施加了限制，以使得DPS服務能夠處理來自網絡中的所有用戶的所有入站或出站業務，而不會損害向客戶端提供的服務的性能或質量水平。此外，這種隧道被認為是潛在的攻擊載體(vector)。

當DPS服務被托管在由接入提供商運營的基礎設施內時，即使DPS服務存在于網絡的入站或出站業務的路由路徑中，在識別可疑業務時也可能出現困難。具體地，隨著加密業務的增加(尤其是UDP上承載的業務(例如QUIC業務“快速UDP互聯網連接”))，難以區分合法業務與可疑業務。難以接入純文本控制消息(諸如TCP協議中規定的“SYN/SYN-ACK/ACK”消息)是與驗證網絡節點是否同意接收業務相關聯的復雜性的另一示例。

為了幫助識別可疑業務，IETF已經標準化了特定的基礎設施。這種基礎設施(稱為DOTS)特別允許客戶端節點(稱為DOTS客戶端)通知服務器(稱為DOTS服務器)該客戶端節點檢測到DDoS攻擊并且需要適當的行動。

因此，如果客戶端域是DDoS攻擊的目標，作為該客戶端域的一部分的DOTS客戶端可以向DOTS服務器發送請求協助的消息。DOTS服務器與緩解器協調，以確保與拒絕服務攻擊相關聯的可疑業務不再被路由到客戶端域，而合法業務繼續被正常地路由到客戶端域。緩解器具體可以與DOTS服務器共址(co-located)。

DOTS基礎設施基于DOTS客戶端和DOTS服務器之間的兩個通信通道的使用：

-DOTS信號通道，以及