CN102510385A - 防ip数据报分片攻击的方法 - Google Patents
防ip数据报分片攻击的方法 Download PDFInfo
- Publication number
- CN102510385A CN102510385A CN2011104133140A CN201110413314A CN102510385A CN 102510385 A CN102510385 A CN 102510385A CN 2011104133140 A CN2011104133140 A CN 2011104133140A CN 201110413314 A CN201110413314 A CN 201110413314A CN 102510385 A CN102510385 A CN 102510385A
- Authority
- CN
- China
- Prior art keywords
- datagram
- fragment message
- fragment
- burst
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种防IP数据报分片攻击的方法,涉及网络安全技术领域,该方法对接收到的IP数据报的分片报文在达对应的处理模块之前进行临时重组,在临时重组过程中,若属于同一IP数据报的分片报文数超出分片阈值,则丢弃该IP数据报。本发明通过将各个IP分片报文存储在一个高速缓存中并虚拟重组这些分段,从而可以检测原始的数据报。这使得网络设备可核实每个片段的顺序和完整性,并发现利用片段进行的恶意攻击,更有效地防止了IP分片报文攻击。
Description
技术领域
本发明涉及计算机网络安全技术领域,特别涉及一种防IP数据报分片攻击的方法。
背景技术
最大传输单元(Maximum Transmission Unit,MTU)是数据链路层的协议数据单元(Protocol Data Unit,PDU),也就是帧的大小。对最常见的以太网而言,采用的是数据链路层协议是基于IEEE802.2/802.3,以太网帧中的数据(有效)字段的长度范围是46~1500个字节。这个1500就是以太网的MTU。当链路层的上层协议,比如IP协议所要传输的IP数据报(包括IP Header)大小超过这个长度范围时,IP数据报就必须分成多片传输,并在目标系统中进行重组。这个过程就是分片(Fragmentation),其中分割出来的每一个片断就是一个分片或分片报文Fragment。
由此可以看出,IP数据报分片在网络环境中是经常发生的事件。但是,如果经过人为的恶意操作的分片,将会导致拒绝服务、攻击或者迂回路由器及防火墙的一种攻击手段。
目前针对DOS类型的IP数据报分片攻击,大部分网络设备制造商的处理方法大致分为以下两种类型:
现有技术一:设置阈值来限制IP数据报的分片报文每秒的流速。
现有技术二:利用访问控制列表在网络上禁止IP数据报后续分片包通过。
由于IP数据报分片是在网络上传输IP报文时常采用的一种技术手段,IP数据报分片攻击就是利用这点,在你发起大量的IP数据报的分片时,而这些分片之间是毫无关系,或者分片的偏移量是经过调整的。这样主机会消耗大量的CPU来重组这些分片,重组完成之后发现是错误的数据报而又丢弃!如果这种数据报较多,系统就无法处理,导致死机!
若采用上述现有技术一的手段,设置阈值来限制IP数据报的分片报文每秒的流速,可以将阈值外的流量丢弃,但无法识别通过、丢弃的分片报文的合法性和完整性;
若采用上述现有技术二的手段,利用访问控制列表可以在网络上放行初始分片包而拒绝后续分片包,但是这种方式无法对正常的分片报文进行正确识别.
通过上面说明可以看出现有技术只是对IP数据报的分片报文在通过网络设备的过程中定义了开关或者是限流进行IP数据报的分片报文的控制,但是并没有对IP数据报的分片报文的合法性、完整性进行检测,这样无法做到从根本上阻止IP数据报的分片报文的攻击。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何防止IP数据报的分片报文对网络设备的攻击。
(二)技术方案
为解决上述技术问题,本发明提供了一种防IP数据报分片攻击的方法,对接收到的IP数据报的分片报文在达对应的处理模块之前进行临时重组,在临时重组过程中,若属于同一IP数据报的分片报文数超出分片阈值,则丢弃该IP数据报。
其中,对所述IP数据报的分片报文进行临时重组的步骤包括:
将所述IP数据报的分片报文暂存在缓存中,根据所述分片报文的五元组对分片报文进行分流,并对每个分片报文添加标签以识别不同的流,对分流和添加标签后的分片报文进行重组。
其中,所述分流的方式如下:
利用分片报文五元组中的上层协议进行分离,分离后对分片报文的五元组中的源地址、目的地址、源端口、目的端口进行hash运算,利用每个分片报文的hash值为标签标示该分片报文,标签相同的分片报文分为同一个流。
其中,在临时重组前还包括:将所述IP数据报的分片报文与攻击检测中的特征码进行匹配,若有分片报文与所述特征码匹配,则将所述IP数据报丢弃。
其中,若所述缓存中的等待重组的IP数据报大于包阈值,则将后续IP数据报的分片报文存储在队列中。
其中,当在预定时间内未接收到IP数据报的最后一个分片报文,则丢弃已接收的该IP数据报的所有分片报文。
(三)有益效果
本发明的防IP数据报分片攻击的方法通过将各个IP数据报的分片报文存储在一个高速缓存中并临时重组这些分片报文,从而检测IP数据报的完整性,同时还将分片报文与攻击检测中的特征码对比,以检查分片报文的合法性,因此更有效地防止了IP数据报分片攻击。
附图说明
图1是本发明实施例的一种防IP数据报分片攻击的方法流程图;
图2是图1中临时重组检测时的流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
本实施例中以防火墙执行本发明方法为例进行说明,为了避免防火墙(其它网络设备类似)每个业务模块(地址转换、访问控制、数据加解密)单独处理IP数据报的分片报文乱序这种情况而导致复杂度过高,防火墙对收到的分片报文进行临时重组(即在防火墙接口收到分片包后交予后续上层业务模块进行重组处理之前,每个接口下定义的缓存空间中进行分片报文的重组)。临时重组过程中对分片报文进行检验、缓存和排序,保证后续业务模块处理的都是完整、正确的分片报文。
如图1所示,当防火墙的某个接口接收到数据后,首先判断是否为IP数据报的分片报文,若不为分片报文则按常规方式交给后续模块处理。若为分片报文,则将分片报文存储在高速缓存中。防火墙在内存中为每个接口保留可变的数据报存储空间,临时存储那些等待重组的分片报文。对缓存中的分片报文进行临时重组,通过重组检测数据报的完整性及合法性来确定哪些IP数据报是具有攻击性的IP数据报。
临时重组检测方式如图2所示,高速缓存中按分片报文的五元组(源IP、目的IP、源端口、目的端口、协议)进行hash运算将高速缓存中的分片报文进行分流,根据分片报文加载的上层协议(TCP\UDP)进行分离,分离后的分片报文按照<源地址、目的地址、源端口、目的端口>进行hash运算,由于同一个IP数据报的五元组相同,采用相同的hash运算后得到的hash值也相同,以hash值作为分片报文的标签同时标识唯一的一条流,即一条流中包含的分片报文来自同一个IP数据报。若分流后发现某个IP数据报分片数超过分片阈值max-fragment,则丢弃该IP数据报,若未超过分片阈值,则对添加标签后的分片报文进行重组,相同标签的分片报文根据标志字段第二位置1和偏移量为0确定报文的第一分片,然后根据标志字段第二位置0确定报文的最后分片,中间的分片根据分片偏移量从小到大一次填充直至分片报文按顺序重组完成,重组完成后交给后续模块处理。
优选地,在重组前还包括步骤:按接收顺序将IP数据报的分片报文与攻击检测中的特征码(Ping of death、Teardrop、Jolt2、Tinyfragment)进行匹配,若匹配(说明该片段具有攻击性),则将该IP分片报文丢弃。这样提前排除了本身具有攻击性的数据报,能够减少待重组的IP数据报,提高重组效率。
为了更好的控制临时重组的过程,本实施例中在虚拟重组功能中还加入另外两个参数。一个参数是等待重组的分片包个数的阈值:database-limit。一个参数是同一数据报所有分片超时时间:holdtime。这两个参数连同分片阈值:max-fragment的具体定义如下:
1:限定等待重组的分段数
PowerAegis(config)#fragment size database-limit
默认情况下,防火墙在内存中为每个接口保留200个已分片数据报空间用来临时存储IP分片报文,database-limit的取值范围为1个-30000个数据报。若缓存中的等待重组的数据报大于200,则将后续包的IP分片报文存储在队列中。
2:限定每个数据报的分片数
PowerAegis(config)#fragment chain max-fragment
默认情况下,防火墙在丢弃一个数据报的所有分片前,最多可接收该数据报的24个分片,max-fragment的取值范围[1-8200]。若每个数据报的IP分片报文数大于24,则丢弃该数据报。
3:为数据报的所有部分限制到达时间
PowerAegis(config)#fragment timeout holdtime
默认情况下,防火墙在分片到达5秒后开始收集片段,如果最后的分片在此时间内还没有到达,所有的分片都将被丢弃,holdtime的取值范围为1s-30s。该参数可以防止某个IP数据报长时间的等待。
另外,还可以动态调整虚拟重组参数,如下表所示。
可以使用下面的命令监视防火墙的所有虚拟重组的行为。例如,以下输出中显示的防火墙的mgmt接口默认分片设置(数据库大小为200个数据报,流限制为24个分片,超时限制为5秒)。
PowerAegis#show fragment mgmt
*---------------------------------------------------------------------------*
|Interface | mgmt |
Size:200,Chain:24,Timeout:5,IDS Threshold:152
Queue:3,Assemble:331,Fail:895,Overflow:231
还可以看到防火墙已处理152个攻击报文,已经重组331个数据报,还有3个在队列中等待重组。另外,重组过程中失败了895次,这是因为在等待所有分片到达期间超时值过期;上述过程还发生了溢出情况,可以看到231个不同的数据报均出现了多于24个分片的情况。
可以根据监视得到的实时数据动态调整上面定义的3个参数的大小,例:Queue排队太多可以调大Size的值;不同链路会有不同大小的报文,以太网(最大MTU为1500字节)最大不超过24个分片;可以自主定义所有分片报文全部到达的容忍时间。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (6)
1.一种防IP数据报分片攻击的方法,其特征在于,对接收到的IP数据报的分片报文在达对应的处理模块之前进行临时重组,在临时重组过程中,若属于同一IP数据报的分片报文数超出分片阈值,则丢弃该IP数据报。
2.如权利要求1所述的防IP数据报分片攻击的方法,其特征在于,对所述IP数据报的分片报文进行临时重组的步骤包括:
将所述IP数据报的分片报文暂存在缓存中,根据所述分片报文的五元组对分片报文进行分流,并对每个分片报文添加标签以识别不同的流,对分流和添加标签后的分片报文进行重组。
3.如权利要求2所述的防IP数据报分片攻击的方法,其特征在于,所述分流的方式如下:
利用分片报文五元组中的上层协议进行分离,分离后对分片报文的五元组中的源地址、目的地址、源端口、目的端口进行hash运算,利用每个分片报文的hash值为标签标示该分片报文,标签相同的分片报文分为同一个流。
4.如权利要求1~3中任一项所述的防IP数据报分片攻击的方法,其特征在于,在临时重组前还包括:将所述IP数据报的分片报文与攻击检测中的特征码进行匹配,若有分片报文与所述特征码匹配,则将所述IP数据报丢弃。
5.如权利要求1所述的防IP数据报分片攻击的方法,其特征在于,若所述缓存中的等待重组的IP数据报大于包阈值,则将后续IP数据报的分片报文存储在队列中。
6.如权利要求1所述的防IP数据报分片攻击的方法,其特征在于,当在预定时间内未接收到IP数据报的最后一个分片报文,则丢弃已接收的该IP数据报的所有分片报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011104133140A CN102510385A (zh) | 2011-12-12 | 2011-12-12 | 防ip数据报分片攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011104133140A CN102510385A (zh) | 2011-12-12 | 2011-12-12 | 防ip数据报分片攻击的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102510385A true CN102510385A (zh) | 2012-06-20 |
Family
ID=46222438
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011104133140A Pending CN102510385A (zh) | 2011-12-12 | 2011-12-12 | 防ip数据报分片攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102510385A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103346935A (zh) * | 2013-07-26 | 2013-10-09 | 迈普通信技术股份有限公司 | 分片报文重组测试的方法、设备及系统 |
| CN103491096A (zh) * | 2013-09-29 | 2014-01-01 | 中国科学院信息工程研究所 | 一种IPv6分片报文抗攻击重组方法及装置 |
| CN103916379A (zh) * | 2013-12-04 | 2014-07-09 | 哈尔滨安天科技股份有限公司 | 一种基于高频统计的cc攻击识别方法及系统 |
| CN107181605A (zh) * | 2016-03-09 | 2017-09-19 | 阿里巴巴集团控股有限公司 | 报文检测方法及系统、内容提取装置、流量匹配装置 |
| CN107332839A (zh) * | 2017-06-28 | 2017-11-07 | 杭州迪普科技股份有限公司 | 一种报文传输方法及装置 |
| CN111447110A (zh) * | 2020-03-24 | 2020-07-24 | 北京润科通用技术有限公司 | 一种数据监控方法及系统 |
| CN113179219A (zh) * | 2021-03-29 | 2021-07-27 | 新华三信息安全技术有限公司 | 一种报文处理方法、装置、设备及机器可读存储介质 |
| CN114039749A (zh) * | 2021-10-26 | 2022-02-11 | 中国银联股份有限公司 | 一种攻击检测方法、装置、设备及存储介质 |
| CN114826634A (zh) * | 2021-01-28 | 2022-07-29 | 深信服科技股份有限公司 | 一种报文检测方法、电子设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1868321A1 (en) * | 2006-06-12 | 2007-12-19 | Mitsubishi Denki Kabushiki Kaisha | In-line content analysis of a TCP segment stream |
| CN101505218A (zh) * | 2009-03-18 | 2009-08-12 | 杭州华三通信技术有限公司 | 攻击报文的检测方法和装置 |
| US20090316698A1 (en) * | 2008-06-23 | 2009-12-24 | Lucent Technologies Inc. | Processing of packet fragments |
| CN101656634A (zh) * | 2008-12-31 | 2010-02-24 | 暨南大学 | 基于IPv6网络环境的入侵检测系统及方法 |
| CN101656677A (zh) * | 2009-09-18 | 2010-02-24 | 杭州迪普科技有限公司 | 一种报文分流处理方法及装置 |
| CN101795236A (zh) * | 2010-03-31 | 2010-08-04 | 成都市华为赛门铁克科技有限公司 | 报文保序方法及装置 |
| CN101902338A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种采用统一检测框架的入侵检测系统和入侵检测方法 |
-
2011
- 2011-12-12 CN CN2011104133140A patent/CN102510385A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1868321A1 (en) * | 2006-06-12 | 2007-12-19 | Mitsubishi Denki Kabushiki Kaisha | In-line content analysis of a TCP segment stream |
| US20090316698A1 (en) * | 2008-06-23 | 2009-12-24 | Lucent Technologies Inc. | Processing of packet fragments |
| CN101656634A (zh) * | 2008-12-31 | 2010-02-24 | 暨南大学 | 基于IPv6网络环境的入侵检测系统及方法 |
| CN101505218A (zh) * | 2009-03-18 | 2009-08-12 | 杭州华三通信技术有限公司 | 攻击报文的检测方法和装置 |
| CN101902338A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种采用统一检测框架的入侵检测系统和入侵检测方法 |
| CN101656677A (zh) * | 2009-09-18 | 2010-02-24 | 杭州迪普科技有限公司 | 一种报文分流处理方法及装置 |
| CN101795236A (zh) * | 2010-03-31 | 2010-08-04 | 成都市华为赛门铁克科技有限公司 | 报文保序方法及装置 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103346935B (zh) * | 2013-07-26 | 2016-03-16 | 迈普通信技术股份有限公司 | 分片报文重组测试的方法、设备及系统 |
| CN103346935A (zh) * | 2013-07-26 | 2013-10-09 | 迈普通信技术股份有限公司 | 分片报文重组测试的方法、设备及系统 |
| CN103491096A (zh) * | 2013-09-29 | 2014-01-01 | 中国科学院信息工程研究所 | 一种IPv6分片报文抗攻击重组方法及装置 |
| CN103916379A (zh) * | 2013-12-04 | 2014-07-09 | 哈尔滨安天科技股份有限公司 | 一种基于高频统计的cc攻击识别方法及系统 |
| CN103916379B (zh) * | 2013-12-04 | 2017-07-18 | 哈尔滨安天科技股份有限公司 | 一种基于高频统计的cc攻击识别方法及系统 |
| CN107181605B (zh) * | 2016-03-09 | 2020-06-23 | 阿里巴巴集团控股有限公司 | 报文检测方法及系统、内容提取装置、流量匹配装置 |
| CN107181605A (zh) * | 2016-03-09 | 2017-09-19 | 阿里巴巴集团控股有限公司 | 报文检测方法及系统、内容提取装置、流量匹配装置 |
| CN107332839A (zh) * | 2017-06-28 | 2017-11-07 | 杭州迪普科技股份有限公司 | 一种报文传输方法及装置 |
| CN111447110A (zh) * | 2020-03-24 | 2020-07-24 | 北京润科通用技术有限公司 | 一种数据监控方法及系统 |
| CN111447110B (zh) * | 2020-03-24 | 2023-03-10 | 北京润科通用技术有限公司 | 一种数据监控方法及系统 |
| CN114826634A (zh) * | 2021-01-28 | 2022-07-29 | 深信服科技股份有限公司 | 一种报文检测方法、电子设备及存储介质 |
| CN113179219A (zh) * | 2021-03-29 | 2021-07-27 | 新华三信息安全技术有限公司 | 一种报文处理方法、装置、设备及机器可读存储介质 |
| CN113179219B (zh) * | 2021-03-29 | 2022-05-27 | 新华三信息安全技术有限公司 | 一种报文处理方法、装置、设备及机器可读存储介质 |
| CN114039749A (zh) * | 2021-10-26 | 2022-02-11 | 中国银联股份有限公司 | 一种攻击检测方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102510385A (zh) | 防ip数据报分片攻击的方法 | |
| CN107710680B (zh) | 网络攻击防御策略发送、网络攻击防御的方法和装置 | |
| JP4829896B2 (ja) | データ破壊を避けることによる改善されたネットワーク性能のための方法、システム及び物品 | |
| US8320242B2 (en) | Active response communications network tap | |
| US7742454B2 (en) | Network performance by dynamically setting a reassembly timer based on network interface | |
| KR101442020B1 (ko) | 송신 제어 프로토콜 플러딩 공격 방어 방법 및 장치 | |
| US10931711B2 (en) | System of defending against HTTP DDoS attack based on SDN and method thereof | |
| US7219228B2 (en) | Method and apparatus for defending against SYN packet bandwidth attacks on TCP servers | |
| CA2553102C (en) | Preventing network data injection attacks | |
| CA2548476C (en) | Preventing network data injection attacks using duplicate-ack and reassembly gap approaches | |
| US20120227088A1 (en) | Method for authenticating communication traffic, communication system and protective apparatus | |
| US20070025374A1 (en) | TCP normalization engine | |
| US7818795B1 (en) | Per-port protection against denial-of-service and distributed denial-of-service attacks | |
| CN110198293B (zh) | 服务器的攻击防护方法、装置、存储介质和电子装置 | |
| US20060191003A1 (en) | Method of improving security performance in stateful inspection of TCP connections | |
| CN100420197C (zh) | 一种实现网络设备防攻击的方法 | |
| WO2016177131A1 (zh) | 防止dos攻击方法、装置和系统 | |
| CN105812318A (zh) | 用于在网络中防止攻击的方法、控制器和系统 | |
| CN110071939B (zh) | 针对传统ddos防火墙syn flood防护在工业网络中的改进方法 | |
| JP5178573B2 (ja) | 通信システムおよび通信方法 | |
| CN101771575B (zh) | 一种处理ip分片报文的方法、装置及系统 | |
| CN100479419C (zh) | 防止拒绝服务型攻击的方法 | |
| KR20130022089A (ko) | 서비스 거부 공격에 대한 tcp연결 해제 방법 및 장치 | |
| CN211183974U (zh) | 基于tcp/ip卸载引擎的量子密钥分发片上系统 | |
| JP4391455B2 (ja) | DDoS攻撃に対する不正アクセス検知システム及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120620 |