CN100588201C - 一种针对DDoS攻击的防御方法 - Google Patents
一种针对DDoS攻击的防御方法 Download PDFInfo
- Publication number
- CN100588201C CN100588201C CN200610098227A CN200610098227A CN100588201C CN 100588201 C CN100588201 C CN 100588201C CN 200610098227 A CN200610098227 A CN 200610098227A CN 200610098227 A CN200610098227 A CN 200610098227A CN 100588201 C CN100588201 C CN 100588201C
- Authority
- CN
- China
- Prior art keywords
- time
- syn message
- network equipment
- attack
- formation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种计算机网络安全技术,特别涉及一种针对DDoS攻击的网络设备安全防御的方法。它采用的技术方案是:启用网络设备是否受到攻击的判断程序,依据的检测规则是:1、半连接队列中的SYN报文数量超过全部所能容纳量的95%;2、半连接队列中的SYN报文数量在单位时间内增长速度过快;3、半连接队列中的SYN报文量超过正常值;如出现上述状况之一便视为网络设备受到攻击,执行抛弃程序,将占用系统资源的攻击性的停留时间超过1秒的SYN报文进行抛弃,它能有效地帮助系统提高对抗DDoS攻击的能力,并且在承受DDoS攻击的时候依然能够接收新的客户访问,从而,针对DDoS对网络设备攻击实现了方便、有效的安全防御,有利于推广应用。
Description
技术领域
本发明涉及一种计算机网络安全技术,特别涉及一种针对DDoS攻击的网络设备安全防御的方法。
背景技术
TCP(Transmission Control Protocol)协议是目前广泛应用的一种网络传输控制协议,它是一个面向连接的协议。在网络中,无论哪一方向另一方发送数据之前,都必须先在双方之间建立一条连接,为了建立这一连接,一般的步骤是:第一步,请求端(通常称为客户端)发送一个SYN报文段(报文段1),指明客户打算连接的服务器的端口,以及初始序号ISN;第二步,服务器发回包含服务器的初始序号的SYN报文段(报文段2)作为应答,同时,将确认序号设置为客户的ISN加1以对客户的SYN报文段进行确认,一个SYN将占用一个序号;第三步,客户必须将确认序号设置为服务器的ISN加1以对服务器的SYN报文段进行确认(报文段3)。这三个报文段完成TCP连接的建立,这个过程也称为三次握手(three-way handshake)。
目前,网络上存在一种针对TCP连接三次握手过程的网络攻击模式,其攻击方式是在第二步服务器端发送连接应答报文后,客户端恶意地不发送第三次确认报文,由此导致服务器端一直等待第三次握手信息,并且会反复发送第二次应答报文给客户端,从而占用大量的服务器资源,最终导致服务器无法对其他客户进行服务,被称为拒绝服务攻击(Denial of Service,DoS)。而操纵网络上大量的PC机对服务器发起的集体攻击被称为分布式拒绝服务攻击(Distributed Denial of Service,DDoS)。由于分布式拒绝服务攻击是利用TCP连接需要进行“三次握手”的特性,通过正常的TCP连接途径进行攻击以消耗服务器资源为目的的,因此,对网络防御常见的方法是增加服务器的数量,以增加服务方的服务能力来应付处理大量的攻击信息。但是这种方法需要大量的资金来采购硬件和维护服务器,对于很多资金并不富余和没有必要采用大量服务器的公司来说是很不切实际的做法。
在本发明作出之前,公开号为CN 1697397A的中国发明专利“一种实现网络设备防攻击的方法”中,公开了一种针对名为TCP SYN Flood的DDoS类型网络攻击的防御方法,它采用在网络设备中记录每个用户IP建立的TCP连接数量,通过判断该用户IP的连接数是否超过预定值,如果超过,则丢弃从该用户IP发过来的超过连接数量的TCP SYN报文的方法,通过限制单个用户IP的连接数量来限制该IP对网络设备发动的TCP SYN Flood攻击。该方法在防止单个用户对网络设备进行的DDoS攻击的时候是比较有效的,但是,随着网络设备处理能力的发展,单个用户通过单台系统单个IP发动TCP SYN Flood攻击,对目前的网络设备造成的影响已经不是特别地严重,而目前出现的新型网络攻击更多的是从多个不同的IP地址(包含伪造的)发动TCP SYN Flood攻击,在这种情况下,上述技术方案中所描述的记录并限制用户IP连接数量的防御方法就无法有效地防御多个IP同时发动的攻击,并且,还会因为要记录太多的IP信息而消耗设备资源。
发明内容
本发明的目的在于克服现有技术存在的不足,提供一种效果好、易实现的针对DDoS攻击的网络设备安全防御方法。
本发明所采用的技术方案是:当网络设备在接收到TCP连接报文时进行如下步骤的操作:
①依据检测规则判断网络设备当前是否处于被攻击状态,如果出现检测规则中的状态之一,认为网络设备被攻击,执行步骤②,否则进行步骤③;所述的检测规则是:
a.系统中第一次握手的半连接队列中的SYN报文数量超过正常值;
b.系统中第一次握手的半连接队列中的SYN报文超过了最大容量的95%;
c.系统中第一次握手的半连接队列中的SYN报文增长速度超过其极限值;
②将系统中停留时间超过1秒的SYN报文进行抛弃;
③执行系统正常的TCP连接过程。
所述的SYN报文数量的正常值为网络设备日常处理中的平均值。
所述的SYN报文增长速度的极限值为网络设备处理正常突发流量时每秒新增TCP连接数的最大值。
在目前的操作系统中,对TCP协议的实现通常是要维护一个半连接队列来接收新的第一次握手信息,当该队列中的第一次握手信息超过队列所能容纳的范围时,该队列便无法再接收新的TCP第一次握手信息,从而无法与客户端建立TCP连接来提供服务,一般情况下,当检测到下列情况之一时,便可视为系统已受到DDoS攻击:1、半连接队列中的SYN报文数量超过全部所能容纳量的95%;2、半连接队列中的SYN报文数量在单位时间内增长速度过快;3、半连接队列中的SYN报文量超过正常值。若网络设备依据上述检测规则判断自身正在遭受DDoS攻击,那么将对网络设备中存在的第一次握手信息的集合进行处理,依据抛弃规则来判断所有第一次握手信息中的属于攻击的部分,然后抛弃被认定为DDoS攻击的第一次握手信息,从而保证系统有足够资源处理新进来的第一次握手信息,然后接受新进入的第一次握手信息,并向客户端发送第二次握手信息,等待客户端第三次握手信息的到来。
由于TCP协议会保存第一次握手的半连接队列(SYN队列),它是为了保证连接不丢失报文而建立的,而以当前的网络铺设情况来看,出现由于网络线路问题而丢失消息的情况已经越来越少了,也就是说绝大部分的正常客户端在进行三次握手的时候不会停留在第一次握手阶段很长时间,因此,按照正常情况,半连接队列中的SYN报文数量是有正常值的,而且,其中的SYN报文停留时间是非常短的,因此,可将半连接队列中等待时间过长的SYN报文视为恶意攻击执行抛弃,按照平均的统计时间在1秒左右,就可有效防御网络设备遭到DDoS的攻击。
与现有技术相比,本发明的优点是:由于依据检测规则启用了网络设备是否受到攻击的判断程序,并将占用系统资源的攻击性的第一次握手请求抛弃,因此,有效地帮助系统提高对抗DDoS攻击的能力,并且在承受DDoS攻击的时候依然能够接收新的客户访问,从而,针对DDoS对网络设备攻击实现了方便、有效的安全防御,有利于推广应用。
附图说明
图1是本发明实施例所提供的技术方案的流程图。
具体实施方式
下面结合附图及实施例对本发明作进一步描述。
实施例一:
本实施例提供的技术方案是:当客户端发送第一次握手信息到服务器端的时候,调用检测规则,判断服务器是否处于被攻击状态,若没有受到任何攻击,系统则接受客户端发来的第一次握手信息,并向客户端发送第二次握手信息,等待客户端第三次握手信息的到来;若服务器依据检测规则判断自身正在遭受DDoS攻击,那么将对服务器中存在的第一次握手信息的集合进行处理,依据抛弃规则来判断所有第一次握手信息中的属于攻击的部分,然后抛弃被认定为DDoS攻击的第一次握手信息,从而保证系统有足够资源处理新进来的第一次握手信息,并接受新进入的第一次握手信息,向客户端发送第二次握手信息,等待客户端第三次握手信息的到来。
参见附图1,在本实施例中,当网络设备在接收到TCP连接报文时进行如下步骤的操作:
步骤10:TCP连接第一次握手信息到来;
步骤20:启动DDoS攻击检测模块,即调用检测规则;
步骤30:服务器依据检测规则判断是否当前处于被攻击状态,所述的检测规则是:
a.系统中的第一次握手的半连接队列(SYN队列)中的SYN报文数量是否超过正常值,一般情况下,该正常值可以按网络设备日常处理中的一个平均值来设定;
b.系统中的第一次握手的半连接队列(SYN队列)中的SYN报文是否超过了最大容量的95%;
d.系统中的第一次握手的半连接队列(SYN队列)中的SYN报文增长速度是否超过其极限值,所述的增长速度的极限值为网络设备处理正常突发流量时每秒新增TCP连接数的最大值,可以根据不同网络设备来设定该值;
步骤40:如果没有检测到步骤30所述规则中出现的情况,则转到步骤70继续执行系统正常的TCP连接,如果出现步骤30所述规则中的任何一种情况,则判断系统正遭受DDoS攻击,转入步骤50;
步骤50:启动防御方案,调用步骤60中的抛弃规则抛弃DDoS攻击报文;
步骤60:启动抛弃规则:将系统中停留时间超过1秒的SYN报文进行抛弃,执行完毕后转到步骤70继续执行系统正常的TCP连接;
步骤70:执行系统正常的TCP连接过程:接受新的第一次握手信息、向客户端发送第二次握手信息,等待客户端发送第三次握手信息,建立TCP连接。
针对DDoS攻击,采用本实施例所述的防御技术方案对网络设备进行测试,硬件测试平台:服务器1台,普通PC机5台;服务器软件平台:Redhat Linux2.4;测试方法:利用5台加载了DDoS攻击软件的PC机对服务器进行DDoS攻击,不断增加攻击的信息数量,测试CPU和RAM的占用率的情况,并且尝试正常的服务器访问请求。表1为不使用任何防御措施的情况下的测试数据结果;表2为使用本实施例所提供的服务器安全防御技术方案后的测试数据结果。
表1
表2
参见表1,当DDoS攻击的速度达到11500个/秒的时候,服务器的CPU已经满载,此时,对服务器的正常访问已经无法打开网页。
参见表2,当DDoS攻击的速度达到15000个/秒的时候,虽然服务器的内存消耗较大,但此时仍然可以对服务器进行正常访问。
从表1、表2的测试数据中可以看出,在采用了本发明所提供的DDoS防御方法的情况下,CPU的资源占用极大的降低了,在承受15000个/秒的数据包攻击的时候仍然能够保持在60%左右的占用率,性能提高了50%以上;而由于抛弃规则的原因,虽然占用了一定的内存,但比在不使用DDoS防御方法的情况下提高了40%的性能,并且在承受15000/秒的数据包攻击的情况下,依然能够为用户提供正常的访问服务。
由此可见,本发明所提供的技术方案能有效地帮助系统提高对抗DDoS攻击的能力,并且在承受DDoS攻击的时候依然能够接收新的客户访问,这是因为在新的第一次握手请求到来的时候,将会抛弃占用系统资源的攻击性的第一次握手请求,以保证新请求能够被接受,从而,针对DDoS对网络设备攻击实现了方便、有效的安全防御,有利于推广应用。
Claims (1)
1.一种针对DDoS攻击的防御方法,其特征在于当网络设备在接收到TCP连接报文时进行如下步骤的操作:
①依据检测规则判断网络设备当前是否处于被攻击状态,如果出现检测规则中的状态之一,认为网络设备被攻击,执行步骤②,否则进行步骤③;所述的检测规则是:
a.系统中第一次握手的半连接队列中的SYN报文数量超过正常值;
b.系统中第一次握手的半连接队列中的SYN报文超过了最大容量的95%;
c.系统中第一次握手的半连接队列中的SYN报文增长速度超过极限值;
②将系统中停留时间超过1秒的SYN报文进行抛弃;
③执行系统正常的TCP连接过程。
所述的SYN报文数量的正常值为网络设备日常处理量的平均值。
所述的SYN报文增长速度的极限值为网络设备处理正常突发流量时每秒新增TCP连接数的最大值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610098227A CN100588201C (zh) | 2006-12-05 | 2006-12-05 | 一种针对DDoS攻击的防御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610098227A CN100588201C (zh) | 2006-12-05 | 2006-12-05 | 一种针对DDoS攻击的防御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1972286A CN1972286A (zh) | 2007-05-30 |
| CN100588201C true CN100588201C (zh) | 2010-02-03 |
Family
ID=38112871
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200610098227A Expired - Fee Related CN100588201C (zh) | 2006-12-05 | 2006-12-05 | 一种针对DDoS攻击的防御方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100588201C (zh) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101163041B (zh) * | 2007-08-17 | 2013-10-16 | 中兴通讯股份有限公司 | 一种防范syn洪泛攻击的方法及系统 |
| CN101582791B (zh) * | 2008-05-16 | 2011-08-10 | 北京启明星辰信息技术股份有限公司 | 一种实时传讯会话的监控方法及系统 |
| CN101360052B (zh) * | 2008-09-28 | 2011-02-09 | 成都市华为赛门铁克科技有限公司 | 一种流量调度的方法和装置 |
| CN101540761B (zh) * | 2009-04-24 | 2012-02-01 | 成都市华为赛门铁克科技有限公司 | 一种分布式拒绝服务攻击的监控方法和监控设备 |
| CN102045251B (zh) * | 2009-10-20 | 2012-08-22 | 国基电子(上海)有限公司 | 路由器及tcp端口防御方法 |
| CN101702727B (zh) * | 2009-11-25 | 2012-09-05 | 北京交通大学 | 地址分离映射网络中DDoS防御方法 |
| CN101834875B (zh) * | 2010-05-27 | 2012-08-22 | 华为技术有限公司 | 防御DDoS攻击的方法、装置和系统 |
| CN102035850A (zh) * | 2010-12-26 | 2011-04-27 | 广州大学 | 一种分布式拒绝服务攻击的防御方法 |
| CN102053927B (zh) * | 2010-12-29 | 2013-11-27 | 北京握奇数据系统有限公司 | 攻击监控方法及具有攻击监控功能的装置 |
| CN102882894A (zh) * | 2012-10-30 | 2013-01-16 | 杭州迪普科技有限公司 | 一种识别攻击的方法及装置 |
| CN103973584B (zh) * | 2013-02-06 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 动态切换数据包的转发方式的方法和设备 |
| CN104079558B (zh) * | 2014-05-22 | 2018-02-13 | 汉柏科技有限公司 | 一种防止DoS攻击的方法及防火墙 |
| CN107623685B (zh) * | 2017-09-08 | 2020-04-07 | 杭州安恒信息技术股份有限公司 | 快速检测SYN Flood攻击的方法及装置 |
| CN109309679B (zh) * | 2018-09-30 | 2020-10-20 | 国网湖南省电力有限公司 | 一种基于tcp流状态的网络扫描检测方法及检测系统 |
| CN109088898A (zh) * | 2018-10-26 | 2018-12-25 | 北京天融信网络安全技术有限公司 | 一种拒绝网络攻击的方法和装置 |
| CN110071939B (zh) * | 2019-05-05 | 2021-06-29 | 江苏亨通工控安全研究院有限公司 | 针对传统ddos防火墙syn flood防护在工业网络中的改进方法 |
| CN110535861B (zh) * | 2019-08-30 | 2022-01-25 | 杭州迪普信息技术有限公司 | 一种识别syn攻击行为中统计syn包数量的方法及装置 |
| CN110661809B (zh) * | 2019-09-29 | 2021-07-30 | 新华三信息安全技术有限公司 | 一种攻击防御方法及装置 |
| CN111756713B (zh) * | 2020-06-15 | 2022-12-27 | Oppo广东移动通信有限公司 | 网络攻击识别方法、装置、计算机设备及介质 |
| CN116628694B (zh) * | 2023-07-25 | 2023-11-21 | 杭州海康威视数字技术股份有限公司 | 反序列化0day安全风险防御方法、装置与设备 |
-
2006
- 2006-12-05 CN CN200610098227A patent/CN100588201C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1972286A (zh) | 2007-05-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100588201C (zh) | 一种针对DDoS攻击的防御方法 | |
| Wang et al. | Defending against denial-of-service attacks with puzzle auctions | |
| US8856913B2 (en) | Method and protection system for mitigating slow HTTP attacks using rate and time monitoring | |
| US20010042200A1 (en) | Methods and systems for defeating TCP SYN flooding attacks | |
| US7836498B2 (en) | Device to protect victim sites during denial of service attacks | |
| US7711790B1 (en) | Securing an accessible computer system | |
| US20020035683A1 (en) | Architecture to thwart denial of service attacks | |
| US20020032774A1 (en) | Thwarting source address spoofing-based denial of service attacks | |
| US20020035628A1 (en) | Statistics collection for network traffic | |
| US20020032880A1 (en) | Monitoring network traffic denial of service attacks | |
| WO2004010259A2 (en) | Denial of service defense by proxy | |
| Gavaskar et al. | Three counter defense mechanism for TCP SYN flooding attacks | |
| US20120039336A1 (en) | High Performance, High Bandwidth Network Operating System | |
| Kavisankar et al. | A mitigation model for TCP SYN flooding with IP spoofing | |
| CN103685315A (zh) | 一种防御拒绝服务攻击的方法及系统 | |
| CN101795277B (zh) | 一种单向流检测模式下的流量检测方法和设备 | |
| EP1154610A2 (en) | Methods and system for defeating TCP Syn flooding attacks | |
| Safa et al. | A collaborative defense mechanism against SYN flooding attacks in IP networks | |
| Bani-Hani et al. | SYN flooding attacks and countermeasures: a survey | |
| Vellalacheruvu et al. | Effectiveness of built-in security protection of microsoft’s windows server 2003 against TCP SYN based DDoS attacks | |
| WO2015018200A1 (zh) | 防火墙设备中检测引擎的升级方法及装置 | |
| US9537878B1 (en) | Network adaptor configured for connection establishment offload | |
| Hang et al. | A novel SYN Cookie method for TCP layer DDoS attack | |
| Zeng et al. | Research on an effective approach against DDoS attacks | |
| Kim et al. | Annulling SYN flooding attacks with whitelist |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| DD01 | Delivery of document by public notice |
Addressee: Suzhou Gopha Technology Co., Ltd. Document name: Notification to Pay the Fees |
|
| DD01 | Delivery of document by public notice |
Addressee: Suzhou Gopha Technology Co., Ltd. Document name: Notification of Termination of Patent Right |
|
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100203 Termination date: 20111205 |