[发明专利]通信方法、装置、网络设备、终端设备和通信系统

说明书

本申请实施例公开了一种通信方法、装置、网络设备、终端设备和通信系统，在终端设备向网络服务器发送访问请求时，网络设备截获终端设备向网络服务器发送的访问请求，然后对终端设备进行验证，验证通过后，才将访问请求发送给网络服务器，而拒绝服务攻击通常是黑客在用户设备侧通过工具模拟合法用户向网络服务器发送大量访问请求，而不会对网络服务器进行响应，因此，非法用户设备不会进行验证响应，因而，通过本申请实施例提供的通信方法、装置、网络设备、终端设备和通信系统，可以防止非法用户发送的访问请求到达网络服务器，降低对网络服务器进行拒绝服务攻击这一事件发生的概率。

技术领域

本发明涉及网络技术领域，更具体地说，涉及一种通信方法、装置、网络设备、终端设备和通信系统。

背景技术

拒绝服务攻击(DOS)是指非法用户利用大量的数据包淹没目标主机(如网络服务器)，耗尽目标主机可用资源乃至系统崩溃，从而使目标主机无法对合法用户做出响应，是黑客常用的攻击手段之一。分布式拒绝服务攻击(DDOS)是在传统的拒绝服务攻击的基础上产生的一类拒绝服务攻击方式，分布式拒绝服务攻击是指将多个计算机联合起来作为攻击平台，对一个或多个目标主机发动拒绝服务攻击，通过海量连接或流量淹没目标主机，使目标主机无法对合法用户做出响应。

目前，不管是传统的DOS，还是DDOS，从内容上看，攻击请求与合法请求完全相同，这使得对两者的鉴别非常困难。通过计算请求速率，检查网络数据包的头字段(包括IP头、TCP头、HTTP头等)，甚至检查整个应用层的请求内容，都无法有效地区分攻击请求与合法请求。为了达到明显的攻击效果，攻击者往往请求大的Flash、图片、视频文件、或者促使服务器进行负载的数据库查询和数据处理。例如，一个精心构造的HTTP请求，能够促使网络服务器在多个大型数据库表间进行连接、查询和排序操作，这时，使用少量的傀儡主机发送低速率的攻击请求就能迅速消耗目标主机资源，使其无法响应合法用户的请求，攻击的隐蔽性较强，增加了对DOS攻击的检测难度。

而目前，还没有一种有效的对分布式拒绝服务攻击进行防护的方法。

发明内容

本发明的目的是提供一种通信方法、装置、网络设备、终端设备和通信系统，以对拒绝服务攻击进行有效防护。

为实现上述目的，本发明提供了如下技术方案：

一种通信方法，包括：

网络设备截获第一终端设备向网络服务器发送的访问请求；

所述网络设备获取验证参数，并向所述第一终端设备发送所述验证参数；

若所述网络设备接收到所述第一终端设备发送的，与所述验证参数相对应的加密因子，则依据所述验证参数对所述第一终端设备发送的加密因子进行验证；

当验证通过时，所述网络设备向所述网络服务器发送所述访问请求。

一种通信方法，包括：

第一终端设备向网络服务器发送访问请求；

所述第一终端设备接收验证参数，所述验证参数由网络设备截获所述第一终端向网络服务器发送的访问请求后获取，并向所述第一终端设备发送；

所述第一终端设备依据所述验证参数计算加密因子；

所述第一终端设备向所述网络服务器发送所述加密因子。

一种通信装置，包括：

截获模块，用于截获第一终端设备向网络服务器发送的访问请求；

参数获取模块，用于在所述截获模块截获第一终端设备向网络服务器发送的访问请求后获取验证参数，并向所述第一终端设备发送所述验证参数；