CN102281295A - 一种缓解分布式拒绝服务攻击的方法 - Google Patents
一种缓解分布式拒绝服务攻击的方法 Download PDFInfo
- Publication number
- CN102281295A CN102281295A CN2011102241865A CN201110224186A CN102281295A CN 102281295 A CN102281295 A CN 102281295A CN 2011102241865 A CN2011102241865 A CN 2011102241865A CN 201110224186 A CN201110224186 A CN 201110224186A CN 102281295 A CN102281295 A CN 102281295A
- Authority
- CN
- China
- Prior art keywords
- message
- character
- tcp
- distributed denial
- service attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
缓解分布式拒绝服务攻击的方法,已有检测或防御技术有不足。本发明方法:给定以
IP
地址块表示的一组区域范围和该区域范围每个子区域允许的协议类型或报文性质的报文个数的阈值;每收到一个相应协议类型或报文性质的报文,根据源
IP
地址查找其所属子区域;如果所属子区域的对应的协议类型或报文性质的报文个数当前值
cv
大于
0
,将
cv
减
1
后将收到的报文根据协议类型或报文性质进一步正常处理;如果
cv
等于
0
,则或者直接丢弃或者记录该报文有关信息后丢弃该报文;针对缓解不同类型的分布式拒绝服务攻击的要求,并发地对给定区域范围中相应子区域的对应的协议类型或报文性质的报文个数当前值实施不同的恢复处理。本发明用于
IP
网络中。
Description
技术领域
本发明属于网络安全技术领域,涉及一种IP网络中缓解分布式拒绝服务DDoS攻击的方法。
背景技术
大规模、高并发的分布式拒绝服务DDoS攻击是一种在被攻击一方很难彻底防御的攻击方式,特别是僵尸网络的出现和扩张进一步加剧了DDoS攻击的防御难度,如何有效缓解大规模、高并发的DDoS攻击的效果使被攻击方在遭受攻击期间仍然能够继续对一些正常用户提供一定程度上的服务具有重要意义和价值。大规模僵尸网络具有的特征之一是,从IP地址块分布来看,僵尸主机的分布具有一定程度的区域集中特性。已有的检测或防御DDoS攻击技术中,基于负载预测等流量检测这类方法一方面存在预测不准确的问题,同时还无法有效地抵御低速拒绝服务LDoS (Low-rate Denial of Service)攻击,LDoS攻击能够躲避传统的检测方法;基于生成有关参数或签名信息反向验证数据源合法性这类方法则由于计算复杂而无法应对大流量、高并发的非法数据包的攻击问题,使服务器瘫痪产生拒绝服务效果;
传输控制协议TCP同步SYN报文洪泛DDoS攻击是一种攻击TCP协议栈半连接表syn_table的攻击,抵御这种洪泛攻击的一种方法是将半连接表syn_table作为一个整体根据其总容量即表元总数量的百分比x%来控制缓解SYN报文洪泛攻击,这种方法还是无法有效应对大流量、高并发的非法数据包的攻击问题,来自部分区域的高并发攻击流量会使无攻击源区域的正常访问也受到影响,总的服务效率即用户正常连接的建立成功率不高;抵御SYN报文洪泛攻击的另一种方法是对同一来源的首次连接请求SYN报文丢弃不予理睬,再次收到同一来源的连接请求SYN报文时才进行正常的处理,这种方法一方面需要记录和查找每个连接请求来源信息,并需要用户方二次发送连接请求,增加了建立连接所需时间,容易对用户体验产生不利影响,另一方面这种方法只对每个攻击源每次只发送1个SYN报文的攻击方式起作用,每个攻击源只要每次至少发送2个SYN报文,这种方法就会失效;
SYN Cookie方法是抵御SYN报文洪泛攻击的另一种方法,能有效抵御由虚假连接请求构成的SYN报文洪泛攻击,但SYN Cookie方法也存在如下一些不足之处及安全隐患:(1) SYN Cookie方法实施过程没有遵循TCP协议的有限状态机的规定,摒弃了TCP协议中的半连接表;(2) SYN Cookie方法实施过程需要对TCP协议进行修改,且对操作系统内核修改较大;(3)由于摒弃了TCP协议中的半连接表,则服务器端对SYN连接请求中的IP报文选项和TCP报文选项将无法记录,协议的某些扩展功能无法使用;(4)如果攻击者获取了SYN Cookie方法中服务器端生成起始序列号ISN的生成方法,则攻击者可以直接按相应的方法生成和发送序列号为ISN+1的ACK报文,使服务器端的ehash表建立大量的非正常TCP连接,既耗费服务器端的CPU资源和内存资源,又会使服务器端服务进程性能下降;当ehash表中的连接总数超过了内核初始化时系统所规定的上限值,则其后的合法连接请求也将全部被丢弃。通常,服务器端生成起始序列号ISN的加密算法计算步骤比较复杂,例如采用MD5算法或RSA算法。当网络中存在大量的虚假SYN连接请求报文和虚假ACK报文时,服务器端会对每一个SYN连接请求报文通过复杂的计算生成ISN,也需要对每一个ACK报文通过复杂的计算验证该ACK来决定是否能够建立合法的连接,从而耗费CPU大量时间计算ISN和验证ISN,使服务器端服务性能显著下降。
本发明主要通过配置以IP地址块表示的一组区域范围以及为该区域范围中每个子区域指定允许的给定协议类型或报文性质的报文个数的正整数阈值为基础来达到缓解分布式拒绝服务攻击的目的。
本发明的方法或者部署在被保护的服务器上,或者部署在网关设备或者路由器上,网关设备或者路由器位于客户端与被保护的服务器之间。。
发明内容
一种缓解分布式拒绝服务攻击的方法,所述方法包括以下步骤:
步骤1,给定一个以网际协议IP地址块表示的一组区域范围area_blocks,以及针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求给定的该区域范围中,每个子区域允许的不同协议类型或报文性质的报文个数的正整数阈值;每个子区域允许的协议类型或报文性质的报文个数的当前值初值,设置为该子区域的对应的协议类型或报文性质的报文个数正整数阈值;
步骤2,每接收到一个给定的协议类型或报文性质的报文,则根据其源IP地址在给定的区域范围area_blocks中查找其所属的子区域subarea;
步骤3,如果该子区域subarea的对应的协议类型或报文性质的报文个数当前值大于0,则将该子区域的对应的协议类型或报文性质的报文个数当前值减1,然后将接收到的报文根据协议类型或报文性质进一步正常处理;
如果该子区域subarea的对应的协议类型或报文性质的报文个数当前值等于0,则:或者直接丢弃该报文、或者记录该报文的有关信息后丢弃该报文;
记录该报文的有关信息时至少记录报文的源IP地址和协议类型信息;针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求,分析模块根据记录的信息对接收到的相应区域的对应的协议类型或报文性质的报文分布情况给出攻击疑似度s的分析结果;
步骤4,针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求,并发地对区域范围area_blocks中相应子区域的对应的协议类型或报文性质的报文个数当前值实施不同的恢复处理。
所述的一种缓解分布式拒绝服务攻击的方法,所述的给定一个以网际协议IP地址块表示的一组区域范围area_blocks,是指所给定的区域范围area_blocks,或者依据于IP地址分配信息以及whois信息整理,或者依据于对实际的正常访问流量的分析结果整理;所述的区域范围area_blocks中的每个子区域都是以一组网际协议IP地址块IP_blocks表示的物理网络区域或是逻辑网络区域;每个地址块以网络前缀或IP地址范围的形式表示。
所述的一种缓解分布式拒绝服务攻击的方法,所述的针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求给定的该区域范围中每个子区域允许的不同协议类型或报文性质的报文个数的正整数阈值,是指如果针对的是缓解传输控制协议TCP同步SYN报文性质的或者TCP结束FIN报文性质的或者TCP重置RST报文性质的或者TCP的确认连接SYN和ACK比特同时置I报文性质的或者TCP的确认结束FIN和ACK比特同时置I报文性质的或者TCP的确认重置RST和ACK比特同时置I报文性质的洪泛flooding分布式拒绝服务攻击,则每个子区域允许的协议类型或报文性质的报文个数的正整数阈值、或者根据TCP半连接表syn_table的表元总数确定、或者根据实际的正常访问流量中该子区域的对应的协议类型或报文性质的报文个数的分析结果确定;
如果针对的是缓解用户数据报协议UDP报文或者TCP确认ACK报文性质的洪泛分布式拒绝服务攻击,则每个子区域允许的协议类型或报文性质的报文个数的正整数阈值根据实际的正常访问流量中该子区域的对应的协议类型或报文性质的报文个数的分析结果确定。
所述的一种缓解分布式拒绝服务攻击的方法,所述的针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求,可选的分析模块根据记录的信息对接收到的相应区域的对应的协议类型或报文性质的报文分布情况给出攻击疑似度s的分析结果,是指如果针对的是缓解传输控制协议TCP同步SYN报文性质的洪泛分布式拒绝服务攻击,则分析模块是可选的;如果针对的是缓解TCP FIN报文性质的、或者TCP RST报文性质的、或者TCP ACK报文性质的、或者TCP的SYN和ACK比特同时置I报文性质的、或者TCP的FIN和ACK比特同时置I报文性质的、或者TCP的RST和ACK比特同时置I报文性质的、或者用户数据报协议UDP报文的洪泛分布式拒绝服务攻击,则设置分析模块;
如果设置了分析模块,则如果接收到的相应区域的对应的协议类型或报文性质的报文的源IP地址均匀分布在相应区域的地址块中,则给出分布式拒绝服务攻击疑似度s为0的结果;如果接收到的相应区域的对应的协议类型或报文性质的报文的目的IP地址分布集中,且源IP地址集中分布在相应区域的一个或几个地址块中,则根据源IP地址集中分布情况给出分布式拒绝服务攻击疑似度s为大于0且小于等于1.0之间的一个小数的结果,否则给出分布式拒绝服务攻击疑似度s为0的结果。
所述的一种缓解分布式拒绝服务攻击的方法,所述的针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求,并发地对区域范围area_blocks中相应子区域的对应的协议类型或报文性质的报文个数当前值实施不同的恢复处理,是指如果针对的是缓解传输控制协议TCP同步SYN报文性质的洪泛分布式拒绝服务攻击,则当半连接表syn_table中与连接有关的表元结构信息或者由于被挂入连接表,或者由于等待超时,而被从半连接表syn_table中删除时,根据源IP地址定位到给定的区域范围area_blocks中其所属的子区域subarea,然后将与该子区域subarea的对应的传输控制协议TCP同步SYN报文性质的报文个数当前值加1;
如果针对的是缓解TCP FIN报文性质的或者TCP RST报文性质的或者TCP ACK报文性质的或者TCP的SYN和ACK比特同时置I报文性质的或者TCP的FIN和ACK比特同时置I报文性质的或者TCP的RST和ACK比特同时置I报文性质的或者用户数据报协议UDP报文的洪泛分布式拒绝服务攻击,则或者按固定值定期地,或者根据分析模块的结果疑似度s以及相应区域的对应的协议类型或报文性质的报文个数当前值按1-s比例地,增加相应区域的对应的协议类型或报文性质的报文个数当前值,但不超过相应的正整数阈值。
本发明有益效果:
1、本发明的方法不同于已有的检测或防御DDoS攻击的方法,而是一种通过配置以IP地址块表示的一组区域范围以及为该区域范围中每个子区域指定允许的给定协议类型或报文性质的报文个数的正整数阈值为基础的方法来达到缓解分布式拒绝服务攻击的效果。这些特征保证了本发明的方法具有新颖性、创造性和实用性,具体实施方式也表明本发明的方法切实可行。
、本发明的方法不同于已有的将半连接表syn_table作为一个整体进行检测和防御传输控制协议TCP同步SYN报文洪泛DDoS攻击的方法;在将半连接表作为一个整体的方法中,半连接表表元没有按区域划分,所有的半连接表表元可以属于同一个区域,因此来自一个区域的攻击流量就可能占用了全部半连接表资源,使无攻击源区域的正常用户访问无法建立连接,产生拒绝服务效果;本发明的方法根据IP地址块分配信息为每个子区域指定该子区域对应的TCP SYN报文个数正整数阈值,即该子区域可以使用的半连接表syn_table表元数量,从而每个区域最多只占用半连接表表元总数量的一部分,达到来自部分区域的高并发攻击流量不会使无攻击源区域的正常用户的访问连接建立受到影响的目的,使系统在承受DDoS攻击时仍然能对一些用户提供服务,有效地提高了系统抵御DDoS攻击的能力,从而实现了方便、有效的安全防御,有利于推广和应用。本发明的方法也不同于速率限制rate limiting方法,后者是限制单位时间接收到的报文个数,例如某种报文每秒最多接收5个,本发明的方法是从相应区域对应的报文总数量方面进行动态控制的过程,对单位时间接收到的报文个数没有限制。这些特征保证了本发明的方法具有新颖性、创造性和实用性,具体实施方式也表明本发明的方法切实可行,在计算机网络安全领域具有高实用价值。
、对于TCP SYN报文的DDoS攻击的情形,不同于SYN Cookie方法,本发明的方法能够在不修改TCP协议机制、遵循半连接和三次握手过程的情况下实现,接收者的TCP实现保持了与文档RFC793兼容。这些特征保证了本发明的方法具有新颖性、创造性和实用性,具体实施方式也表明本发明的方法切实可行。
、本发明的方法实现中不存在检查IP地址空间中的每一个地址所导致的计算资源开销大的问题,而是检查IP地址范围即可,对于有n个地址块范围的情形如果采用二分查找只需log n次查找即可,当n等于300000时最多只需19次查找,具有提高检索性能的优点。这些特征保证了本发明的方法具有新颖性、创造性和实用性,具体实施方式也表明本发明的方法切实可行。
本发明的方法已经通过网络模拟器NS2模拟得到验证。在针对缓解传输控制协议TCP同步SYN报文洪泛DDoS攻击时,将半连接表syn_table的表元总数设置成可容纳1048576(即2的20次幂)个表元;每个TCP半连接对应一个半连接表的表元;从whois信息整理得到IP地址块所表示的区域范围,其中一个子区域对应的TCP SYN报文个数正整数阈值即该子区域可以使用的半连接表syn_table表元数量根据经验设置,剩余的每个子区域根据该子区域IP地址数量以及半连接表syn_table的表元总数分别按比例地以及均匀地设置该子区域对应的半连接表表元数量的正整数阈值;在相同背景流量和攻击流量情况下,在不采用本方法时用户正常连接建立的成功率即总服务率仅为14.58%,采用本方法并均匀地设置子区域的半连接表表元数量阈值时总服务率提高至51.52%,按子区域包含IP地址个数的比例设置子区域的半连接表表元数量阈值时总服务率提高至81.66%,均匀和按比例这两种情形总服务率都有很大幅度的提高,且达到了来自部分区域的高并发攻击流量不会使无攻击源区域的正常用户访问的连接建立受到影响的效果,使系统在承受DDoS攻击时仍然能对一些用户提供服务的效果,有效地提高了系统抵御DDoS攻击的能力。这些特征保证了本发明的方法具有新颖性、创造性和实用性,具体实施方式也表明本发明的方法切实可行。
本发明的具体实施方式:
实施例1:
一种缓解分布式拒绝服务攻击的方法,本发明的方法部署在被保护的服务器上,或者部署在网关设备上,网关设备位于客户端与被保护的服务器之间;本实施例针对的是缓解传输控制协议TCP同步SYN报文洪泛DDoS攻击;给定一个以网际协议IP地址块表示的一组区域范围area_blocks,例如共有m+1个子区域,即子区域0,子区域1,子区域2,…,子区域m,以及给定的该区域范围中每个子区域允许的协议类型或报文性质的报文个数的正整数阈值,其中一个子区域例如子区域0对应的TCP SYN报文个数正整数阈值即该子区域可以使用的半连接表syn_table表元数量阈值根据经验设置,剩余的每个子区域,例如子区域1,子区域2,…,子区域m,对应的TCP SYN报文的正整数阈值即子区域可以使用的半连接表syn_table表元数量阈值根据TCP半连接表syn_table的表元总数以及该子区域IP地址数量分别按比例地或者均匀地设置;每个子区域允许的协议类型或报文性质的报文个数的当前值初值设置为该子区域的对应的协议类型或报文性质的报文个数正整数阈值,即每个子区域允许的TCP SYN报文个数当前值cv的初值设置为该区域可以使用的半连接表syn_table表元数量阈值;所给定的区域范围area_blocks依据于IP地址分配信息以及whois信息;区域范围area_blocks中的每个子区域都是以一组网际协议IP地址块IP_blocks表示的物理网络区域或是逻辑网络区域;每个地址块以网络前缀或IP地址范围的形式表示;
每接收到一个TCP SYN报文,则根据其源IP地址在给定的区域范围area_blocks中,采用二分查找方法查找其所属的子区域subarea;如果该子区域subarea的对应的TCP SYN报文个数当前值cv大于0,则将该子区域的对应的TCP SYN报文个数当前值cv减1,然后将接收到的报文根据TCP协议进一步正常处理,在TCP半连接表syn_table中建立一个对应的表元;如果该子区域subarea的对应的TCP SYN报文个数当前值cv等于0,则本实施例采用直接丢弃该报文,本实施例不设置分析模块,即不进行相应的报文分布情况的分析;
针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求,并发地对区域范围area_blocks中相应子区域对应的协议类型或报文性质的报文个数当前值实施不同的恢复处理;
本实施例针对的是缓解传输控制协议TCP同步SYN报文洪泛DDoS攻击,因此当半连接表syn_table中与连接有关的表元结构信息或者由于被挂入连接表,或者由于等待超时,而被从半连接表syn_table中删除时,根据源IP地址定位到给定的区域范围area_blocks中其所属的子区域subarea,然后将与该子区域subarea的对应的TCP SYN报文的报文个数当前值cv加1。
实施例2:
一种缓解分布式拒绝服务攻击的方法,本发明的方法或者部署在被保护的服务器上,或者部署在网关设备或者路由器上,网关设备或者路由器位于客户端与被保护的服务器之间;本实施例针对的是缓解传输控制协议TCP结束FIN报文洪泛DDoS攻击;给定一个以网际协议IP地址块表示的一组区域范围area_blocks,例如共有m+1个子区域,即子区域0,子区域1,子区域2,…,子区域m,以及给定的该区域范围中每个子区域允许的TCP FIN报文个数的正整数阈值,其中一个子区域例如子区域0对应的TCP FIN报文个数的正整数阈值即该子区域可以使用的半连接表syn_table表元数量阈值根据经验设置,剩余的每个子区域,例如子区域1,子区域2,…,子区域m,对应的TCP FIN报文的正整数阈值即子区域可以使用的半连接表syn_table表元数量阈值根据TCP半连接表syn_table的表元总数以及该子区域IP地址数量分别按比例地或者均匀地设置;每个子区域允许的协议类型或报文性质的报文个数的当前值初值设置为该子区域的对应的协议类型或报文性质的报文个数正整数阈值,即每个子区域允许的TCP FIN报文个数当前值cv的初值设置为该区域可以使用的半连接表syn_table表元数量阈值;所给定的区域范围area_blocks或者依据于IP地址分配信息以及whois信息,或者依据于对实际的正常访问流量的分析结果;区域范围area_blocks中的每个子区域都是以一组网际协议IP地址块IP_blocks表示的物理网络区域或是逻辑网络区域;每个地址块以网络前缀或IP地址范围的形式表示;
每接收到一个TCP FIN报文,则根据其源IP地址在给定的区域范围area_blocks中查找其所属的子区域subarea;如果该子区域subarea的对应的TCP FIN报文个数当前值大于0,则将该子区域对应的TCP FIN报文个数当前值减1,然后将接收到的报文根据TCP协议进一步正常处理;如果该子区域subarea的对应的TCP FIN报文个数当前值等于0,则本实施例记录该报文的源IP地址、目的IP地址、源端口、目的端口、协议类型、生存时间TTL、报文长度、接收时间、控制比特、序列号、确认号信息后丢弃该报文,分析模块根据记录的信息对接收到的相应区域的报文的分布情况给出分析结果;如果接收到的相应区域的TCP FIN报文的源IP地址均匀分布在相应区域的地址块中,则给出分布式拒绝服务攻击疑似度s为0的结果;如果接收到的相应区域的TCP FIN报文的源IP地址是集中分布在相应区域的一个或几个地址块中,则根据集中分布情况给出分布式拒绝服务攻击疑似度s为大于0且小于等于1.0之间的一个小数的结果,否则给出分布式拒绝服务攻击疑似度s为0的结果;
针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求,并发地对区域范围area_blocks中相应子区域对应的协议类型或报文性质的报文个数当前值实施不同的恢复处理;
本实施例针对的是缓解TCP FIN报文洪泛DDoS攻击,根据分析模块的结果疑似度s以及相应区域对应的TCP FIN报文个数当前值按1-s比例地增加相应区域对应的TCP FIN报文个数当前值,但不超过相应区域允许的TCP FIN报文个数的正整数阈值。
实施例3:
一种缓解分布式拒绝服务攻击的方法,本发明的方法或者部署在被保护的服务器上,或者部署在网关设备或者路由器上,网关设备或者路由器位于客户端与被保护的服务器之间;本实施例针对的是缓解用户数据报协议UDP报文洪泛DDoS攻击;给定一个以网际协议IP地址块表示的一组区域范围area_blocks,以及给定的该区域范围中每个子区域允许的根据实际的正常访问流量中UDP报文个数的分析结果确定的UDP报文个数的正整数阈值;每个子区域允许的UDP报文个数的当前值初值设置为该子区域对应的UDP报文个数的正整数阈值:所给定的区域范围area_blocks或者依据于IP地址分配信息以及whois信息,或者依据于对实际的正常访问流量的分析结果;区域范围area_blocks中的每个子区域都是以一组网际协议IP地址块IP_blocks表示的物理网络区域或是逻辑网络区域;每个地址块以网络前缀或IP地址范围的形式表示;
每接收到一个UDP报文,则根据其源IP地址在给定的区域范围area_blocks中查找其所属的子区域subarea;如果该子区域subarea对应的UDP报文个数当前值大于0,则将该子区域对应的UDP报文个数当前值减1,然后将接收到的报文根据UDP协议进一步正常处理;如果该子区域subarea对应的UDP报文个数当前值等于0,则本实施例记录该报文的源IP地址、目的IP地址、源端口、目的端口、协议类型、生存时间TTL、报文长度、接收时间信息后丢弃该报文,分析模块根据记录的信息对接收到的相应区域的报文的分布情况给出分析结果;如果接收到的相应区域的UDP报文的源IP地址均匀分布在相应区域的地址块中,则给出分布式拒绝服务攻击疑似度s为0的结果;如果接收到的相应区域的UDP报文的源IP地址是集中分布在相应区域的一个或几个地址块中,则根据集中分布情况给出分布式拒绝服务攻击疑似度s为大于0且小于等于1.0之间的一个小数的结果,否则给出分布式拒绝服务攻击疑似度s为0的结果;
针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求,并发地对区域范围area_blocks中相应子区域对应的协议类型或报文性质的报文个数当前值实施不同的恢复处理;
本实施例针对的是缓解UDP报文洪泛DDoS攻击,根据分析模块的结果疑似度s以及相应区域对应的UDP报文个数当前值按1-s比例地增加相应区域对应的UDP报文个数当前值,但不超过相应区域允许的UDP报文个数的正整数阈值。
Claims (8)
1.一种缓解分布式拒绝服务攻击的方法,其特征是: 所述方法包括以下步骤:
步骤1,给定一个以网际协议IP地址块表示的一组区域范围area_blocks,以及针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求给定的该区域范围中,每个子区域允许的不同协议类型或报文性质的报文个数的正整数阈值;每个子区域允许的协议类型或报文性质的报文个数的当前值初值,设置为该子区域的对应的协议类型或报文性质的报文个数正整数阈值;
步骤2,每接收到一个给定的协议类型或报文性质的报文,则根据其源IP地址在给定的区域范围area_blocks中查找其所属的子区域subarea;
步骤3,如果该子区域subarea的对应的协议类型或报文性质的报文个数当前值大于0,则将该子区域的对应的协议类型或报文性质的报文个数当前值减1,然后将接收到的报文根据协议类型或报文性质进一步正常处理;
如果该子区域subarea的对应的协议类型或报文性质的报文个数当前值等于0,则:或者直接丢弃该报文、或者记录该报文的有关信息后丢弃该报文;
记录该报文的有关信息时至少记录报文的源IP地址和协议类型信息;针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求,分析模块根据记录的信息对接收到的相应区域的对应的协议类型或报文性质的报文分布情况给出攻击疑似度s的分析结果;
步骤4,针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求,并发地对区域范围area_blocks中相应子区域的对应的协议类型或报文性质的报文个数当前值实施不同的恢复处理。
2.根据权利要求1所述的一种缓解分布式拒绝服务攻击的方法,其特征是:所述的给定一个以网际协议IP地址块表示的一组区域范围area_blocks,是指所给定的区域范围area_blocks,或者依据于IP地址分配信息以及whois信息整理,或者依据于对实际的正常访问流量的分析结果整理;所述的区域范围area_blocks中的每个子区域都是以一组网际协议IP地址块IP_blocks表示的物理网络区域或是逻辑网络区域;每个地址块以网络前缀或IP地址范围的形式表示。
3.根据权利要求1或2所述的一种缓解分布式拒绝服务攻击的方法,其特征是:所述的针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求给定的该区域范围中每个子区域允许的不同协议类型或报文性质的报文个数的正整数阈值,是指如果针对的是缓解传输控制协议TCP同步SYN报文性质的或者TCP结束FIN报文性质的或者TCP重置RST报文性质的或者TCP的确认连接SYN和ACK比特同时置I报文性质的或者TCP的确认结束FIN和ACK比特同时置I报文性质的或者TCP的确认重置RST和ACK比特同时置I报文性质的洪泛flooding分布式拒绝服务攻击,则每个子区域允许的协议类型或报文性质的报文个数的正整数阈值:或者根据TCP半连接表syn_table的表元总数确定、或者根据实际的正常访问流量中该子区域的对应的协议类型或报文性质的报文个数的分析结果确定;
如果针对的是缓解用户数据报协议UDP报文或者TCP确认ACK报文性质的洪泛分布式拒绝服务攻击,则每个子区域允许的协议类型或报文性质的报文个数的正整数阈值根据实际的正常访问流量中该子区域的对应的协议类型或报文性质的报文个数的分析结果确定。
4.根据权利要求1或2所述的一种缓解分布式拒绝服务攻击的方法,其特征是:所述的针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求,可选的分析模块根据记录的信息对接收到的相应区域的对应的协议类型或报文性质的报文分布情况给出攻击疑似度s的分析结果,是指如果针对的是缓解传输控制协议TCP同步SYN报文性质的洪泛分布式拒绝服务攻击,则分析模块是可选的;如果针对的是缓解TCP FIN报文性质的、或者TCP RST报文性质的、或者TCP ACK报文性质的、或者TCP的SYN和ACK比特同时置I报文性质的、或者TCP的FIN和ACK比特同时置I报文性质的、或者TCP的RST和ACK比特同时置I报文性质的、或者用户数据报协议UDP报文的洪泛分布式拒绝服务攻击,则设置分析模块;
如果设置了分析模块,则如果接收到的相应区域的对应的协议类型或报文性质的报文的源IP地址均匀分布在相应区域的地址块中,则给出分布式拒绝服务攻击疑似度s为0的结果;如果接收到的相应区域的对应的协议类型或报文性质的报文的目的IP地址分布集中,且源IP地址集中分布在相应区域的一个或几个地址块中,则根据源IP地址集中分布情况给出分布式拒绝服务攻击疑似度s为大于0且小于等于1.0之间的一个小数的结果,否则给出分布式拒绝服务攻击疑似度s为0的结果。
5.根据权利要求3所述的一种缓解分布式拒绝服务攻击的方法,其特征是:所述的针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求,可选的分析模块根据记录的信息对接收到的相应区域的对应的协议类型或报文性质的报文分布情况给出攻击疑似度s的分析结果,是指如果针对的是缓解传输控制协议TCP同步SYN报文性质的洪泛分布式拒绝服务攻击,则分析模块是可选的;如果针对的是缓解TCP FIN报文性质的、或者TCP RST报文性质的、或者TCP ACK报文性质的、或者TCP的SYN和ACK比特同时置I报文性质的、或者TCP的FIN和ACK比特同时置I报文性质的、或者TCP的RST和ACK比特同时置I报文性质的、或者用户数据报协议UDP报文的洪泛分布式拒绝服务攻击,则设置分析模块;
如果设置了分析模块,则如果接收到的相应区域的对应的协议类型或报文性质的报文的源IP地址均匀分布在相应区域的地址块中,则给出分布式拒绝服务攻击疑似度s为0的结果;如果接收到的相应区域的对应的协议类型或报文性质的报文的目的IP地址分布集中,且源IP地址集中分布在相应区域的一个或几个地址块中,则根据源IP地址集中分布情况给出分布式拒绝服务攻击疑似度s为大于0且小于等于1.0之间的一个小数的结果,否则给出分布式拒绝服务攻击疑似度s为0的结果。
6.根据权利要求1或2或5所述的一种缓解分布式拒绝服务攻击的方法,其特征是:所述的针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求,并发地对区域范围area_blocks中相应子区域的对应的协议类型或报文性质的报文个数当前值实施不同的恢复处理,是指如果针对的是缓解传输控制协议TCP同步SYN报文性质的洪泛分布式拒绝服务攻击,则当半连接表syn_table中与连接有关的表元结构信息或者由于被挂入连接表,或者由于等待超时,而被从半连接表syn_table中删除时,根据源IP地址定位到给定的区域范围area_blocks中其所属的子区域subarea,然后将与该子区域subarea的对应的传输控制协议TCP同步SYN报文性质的报文个数当前值加1;
如果针对的是缓解TCP FIN报文性质的或者TCP RST报文性质的或者TCP ACK报文性质的或者TCP的SYN和ACK比特同时置I报文性质的或者TCP的FIN和ACK比特同时置I报文性质的或者TCP的RST和ACK比特同时置I报文性质的或者用户数据报协议UDP报文的洪泛分布式拒绝服务攻击,则 或者按固定值定期地,或者根据分析模块的结果疑似度s以及相应区域的对应的协议类型或报文性质的报文个数当前值按1-s比例地,增加相应区域的对应的协议类型或报文性质的报文个数当前值,但不超过相应的正整数阈值。
7.根据权利要求4所述的一种缓解分布式拒绝服务攻击的方法,其特征是:所述的针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求,并发地对区域范围area_blocks中相应子区域的对应的协议类型或报文性质的报文个数当前值实施不同的恢复处理,是指如果针对的是缓解传输控制协议TCP同步SYN报文性质的洪泛分布式拒绝服务攻击,则当半连接表syn_table中与连接有关的表元结构信息或者由于被挂入连接表,或者由于等待超时,而被从半连接表syn_table中删除时,根据源IP地址定位到给定的区域范围area_blocks中其所属的子区域subarea,然后将与该子区域subarea的对应的传输控制协议TCP同步SYN报文性质的报文个数当前值加1;
如果针对的是缓解TCP FIN报文性质的或者TCP RST报文性质的或者TCP ACK报文性质的或者TCP的SYN和ACK比特同时置I报文性质的或者TCP的FIN和ACK比特同时置I报文性质的或者TCP的RST和ACK比特同时置I报文性质的或者用户数据报协议UDP报文的洪泛分布式拒绝服务攻击,则 或者按固定值定期地,或者根据分析模块的结果疑似度s以及相应区域的对应的协议类型或报文性质的报文个数当前值按1-s比例地,增加相应区域的对应的协议类型或报文性质的报文个数当前值,但不超过相应的正整数阈值。
8.根据权利要求4所述的一种缓解分布式拒绝服务攻击的方法,其特征是:所述的针对缓解不同的协议类型或报文性质的分布式拒绝服务攻击的要求,并发地对区域范围area_blocks中相应子区域的对应的协议类型或报文性质的报文个数当前值实施不同的恢复处理,是指如果针对的是缓解传输控制协议TCP同步SYN报文性质的洪泛分布式拒绝服务攻击,则当半连接表syn_table中与连接有关的表元结构信息或者由于被挂入连接表,或者由于等待超时,而被从半连接表syn_table中删除时,根据源IP地址定位到给定的区域范围area_blocks中其所属的子区域subarea,然后将与该子区域subarea的对应的传输控制协议TCP同步SYN报文性质的报文个数当前值加1;
如果针对的是缓解TCP FIN报文性质的或者TCP RST报文性质的或者TCP ACK报文性质的或者TCP的SYN和ACK比特同时置I报文性质的或者TCP的FIN和ACK比特同时置I报文性质的或者TCP的RST和ACK比特同时置I报文性质的或者用户数据报协议UDP报文的洪泛分布式拒绝服务攻击,则 或者按固定值定期地,或者根据分析模块的结果疑似度s以及相应区域的对应的协议类型或报文性质的报文个数当前值按1-s比例地,增加相应区域的对应的协议类型或报文性质的报文个数当前值,但不超过相应的正整数阈值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110224186.5A CN102281295B (zh) | 2011-08-06 | 2011-08-06 | 一种缓解分布式拒绝服务攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110224186.5A CN102281295B (zh) | 2011-08-06 | 2011-08-06 | 一种缓解分布式拒绝服务攻击的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102281295A true CN102281295A (zh) | 2011-12-14 |
| CN102281295B CN102281295B (zh) | 2015-01-21 |
Family
ID=45106469
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110224186.5A Expired - Fee Related CN102281295B (zh) | 2011-08-06 | 2011-08-06 | 一种缓解分布式拒绝服务攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102281295B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102752208A (zh) * | 2012-07-06 | 2012-10-24 | 汉柏科技有限公司 | 防止半连接攻击的方法及系统 |
| CN103441946A (zh) * | 2013-09-05 | 2013-12-11 | 上海斐讯数据通信技术有限公司 | 保护cpu的大流量攻击识别方法及装置 |
| CN104519049A (zh) * | 2013-09-30 | 2015-04-15 | 瞻博网络公司 | 通过增加客户端资源需求来限制拒绝服务攻击的效力 |
| CN104539554A (zh) * | 2014-12-22 | 2015-04-22 | 上海斐讯数据通信技术有限公司 | 一种报文传输方法及报文处理系统 |
| CN105491016A (zh) * | 2015-07-21 | 2016-04-13 | 成都理工大学 | 一种隐藏网络tcp端口的方法 |
| CN105577669A (zh) * | 2015-12-25 | 2016-05-11 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别虚假源攻击的方法及装置 |
| CN105610851A (zh) * | 2016-01-14 | 2016-05-25 | 北京乐动卓越科技有限公司 | 防御分布式拒绝服务攻击的方法及系统 |
| CN109657463A (zh) * | 2018-12-18 | 2019-04-19 | 北京东土军悦科技有限公司 | 一种报文洪泛攻击的防御方法及装置 |
| CN110691076A (zh) * | 2019-09-24 | 2020-01-14 | 上海实茂信息科技有限公司 | 一种针对分布式拒绝服务攻击的防护方法 |
| CN111385248A (zh) * | 2018-12-28 | 2020-07-07 | 华为技术有限公司 | 攻击防御方法和攻击防御设备 |
| CN112910889A (zh) * | 2021-01-29 | 2021-06-04 | 湖南大学 | SDN中基于FGD-FM的LDoS攻击检测与缓解方案 |
| CN113709156A (zh) * | 2021-08-27 | 2021-11-26 | 哈尔滨工业大学 | 一种nids网络渗透检测方法、计算机及存储介质 |
| CN115589326A (zh) * | 2022-10-25 | 2023-01-10 | 湖南大学 | FIN的LDoS攻击实时检测与缓解方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040187032A1 (en) * | 2001-08-07 | 2004-09-23 | Christoph Gels | Method, data carrier, computer system and computer progamme for the identification and defence of attacks in server of network service providers and operators |
| CN1764126A (zh) * | 2005-11-11 | 2006-04-26 | 上海交通大学 | 突发性异常网络流量的检测与监控方法 |
| CN1917514A (zh) * | 2006-01-18 | 2007-02-21 | 中国科学院计算技术研究所 | 一种分域溯源式全局网络安全体系的构建方法 |
-
2011
- 2011-08-06 CN CN201110224186.5A patent/CN102281295B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040187032A1 (en) * | 2001-08-07 | 2004-09-23 | Christoph Gels | Method, data carrier, computer system and computer progamme for the identification and defence of attacks in server of network service providers and operators |
| CN1764126A (zh) * | 2005-11-11 | 2006-04-26 | 上海交通大学 | 突发性异常网络流量的检测与监控方法 |
| CN1917514A (zh) * | 2006-01-18 | 2007-02-21 | 中国科学院计算技术研究所 | 一种分域溯源式全局网络安全体系的构建方法 |
Non-Patent Citations (2)
| Title |
|---|
| 张永铮等: ""DDoS攻击检测和控制方法"", 《软件学报》 * |
| 王欣等: ""DDOS攻击中的相变理论研究"", 《全国网络与信息安全技术研讨会2005论文集(上册)》 * |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102752208A (zh) * | 2012-07-06 | 2012-10-24 | 汉柏科技有限公司 | 防止半连接攻击的方法及系统 |
| CN103441946A (zh) * | 2013-09-05 | 2013-12-11 | 上海斐讯数据通信技术有限公司 | 保护cpu的大流量攻击识别方法及装置 |
| US10021132B2 (en) | 2013-09-30 | 2018-07-10 | Juniper Networks, Inc. | Limiting the efficacy of a denial of service attack by increasing client resource demands |
| CN104519049A (zh) * | 2013-09-30 | 2015-04-15 | 瞻博网络公司 | 通过增加客户端资源需求来限制拒绝服务攻击的效力 |
| CN104519049B (zh) * | 2013-09-30 | 2018-11-09 | 瞻博网络公司 | 限制拒绝服务攻击的效力的设备、系统及方法 |
| US9699212B2 (en) | 2013-09-30 | 2017-07-04 | Juniper Networks, Inc. | Limiting the efficacy of a denial of service attack by increasing client resource demands |
| CN104539554A (zh) * | 2014-12-22 | 2015-04-22 | 上海斐讯数据通信技术有限公司 | 一种报文传输方法及报文处理系统 |
| CN104539554B (zh) * | 2014-12-22 | 2018-05-18 | 上海斐讯数据通信技术有限公司 | 一种报文传输方法及报文处理系统 |
| CN105491016A (zh) * | 2015-07-21 | 2016-04-13 | 成都理工大学 | 一种隐藏网络tcp端口的方法 |
| CN105577669B (zh) * | 2015-12-25 | 2018-09-21 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别虚假源攻击的方法及装置 |
| CN105577669A (zh) * | 2015-12-25 | 2016-05-11 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别虚假源攻击的方法及装置 |
| CN105610851A (zh) * | 2016-01-14 | 2016-05-25 | 北京乐动卓越科技有限公司 | 防御分布式拒绝服务攻击的方法及系统 |
| CN105610851B (zh) * | 2016-01-14 | 2018-11-09 | 北京乐动卓越科技有限公司 | 防御分布式拒绝服务攻击的方法及系统 |
| CN109657463A (zh) * | 2018-12-18 | 2019-04-19 | 北京东土军悦科技有限公司 | 一种报文洪泛攻击的防御方法及装置 |
| CN111385248A (zh) * | 2018-12-28 | 2020-07-07 | 华为技术有限公司 | 攻击防御方法和攻击防御设备 |
| CN110691076A (zh) * | 2019-09-24 | 2020-01-14 | 上海实茂信息科技有限公司 | 一种针对分布式拒绝服务攻击的防护方法 |
| CN112910889A (zh) * | 2021-01-29 | 2021-06-04 | 湖南大学 | SDN中基于FGD-FM的LDoS攻击检测与缓解方案 |
| CN112910889B (zh) * | 2021-01-29 | 2022-05-13 | 湖南大学 | SDN中基于FGD-FM的LDoS攻击检测与缓解方法 |
| CN113709156A (zh) * | 2021-08-27 | 2021-11-26 | 哈尔滨工业大学 | 一种nids网络渗透检测方法、计算机及存储介质 |
| CN113709156B (zh) * | 2021-08-27 | 2022-09-27 | 哈尔滨工业大学 | 一种nids网络渗透检测方法、计算机及存储介质 |
| CN115589326A (zh) * | 2022-10-25 | 2023-01-10 | 湖南大学 | FIN的LDoS攻击实时检测与缓解方法 |
| CN115589326B (zh) * | 2022-10-25 | 2024-04-19 | 湖南大学 | FIN的LDoS攻击实时检测与缓解方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102281295B (zh) | 2015-01-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102281295B (zh) | 一种缓解分布式拒绝服务攻击的方法 | |
| Liu et al. | Efficient DDoS attacks mitigation for stateful forwarding in Internet of Things | |
| Liu et al. | To filter or to authorize: Network-layer DoS defense against multimillion-node botnets | |
| US8289867B2 (en) | Message routing mechanism for communication networks | |
| Sanmorino et al. | DDoS attack detection method and mitigation using pattern of the flow | |
| US20070266426A1 (en) | Method and system for protecting against denial of service attacks using trust, quality of service, personalization, and hide port messages | |
| US8387144B2 (en) | Network amplification attack mitigation | |
| US8887280B1 (en) | Distributed denial-of-service defense mechanism | |
| US20090141713A1 (en) | Remote Message Routing Device and Methods Thereof | |
| Aishwarya et al. | Intrusion detection system-An efficient way to thwart against Dos/DDos attack in the cloud environment | |
| Chouhan et al. | Packet monitoring approach to prevent DDoS attack in cloud computing | |
| Kim et al. | An effective defense against SYN flooding attack in SDN | |
| Zunnurhain | Fapa: a model to prevent flooding attacks in clouds | |
| KR102578852B1 (ko) | 도시 컴퓨팅 환경에서 엣지 컴퓨팅 기반의 공격 탐지 모델 공유 시스템 및 그 방법 | |
| Li et al. | Prospect for the future internet: A study based on TCP/IP vulnerabilities | |
| Wang et al. | An IP-traceback-based packet filtering scheme for eliminating DDoS attacks | |
| Kodada et al. | Protection against DDoS and data modification attack in computational grid cluster environment | |
| Song et al. | A novel frame switching model based on virtual MAC in SDN | |
| Liu et al. | A recoverable hybrid C&C botnet | |
| Fu et al. | Club: a cluster based framework for mitigating distributed denial of service attacks | |
| Feng et al. | The case for public work | |
| Bhirud et al. | SYN flood attack prevention using main-memory database management system | |
| Chouhan et al. | Hierarchical storage technique for maintaining hop-count to prevent ddos attack in cloud computing | |
| Lang et al. | Analysis and Defense of Network Attacking Based on the Linux Server | |
| Lukyanenko et al. | Playing Defense by Offense: Equilibrium in the DoS-attack problem |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder |
Address after: 150000 Harbin, Heilongjiang, Nangang District Road, No. 74 Patentee after: Heilongjiang University Address before: 150076 No. 74, Xuefu Road, Harbin, Heilongjiang Patentee before: Heilongjiang University |
|
| CP02 | Change in the address of a patent holder | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150121 Termination date: 20170806 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |