CN104486340B - 防御数据流攻击的方法及系统 - Google Patents
防御数据流攻击的方法及系统 Download PDFInfo
- Publication number
- CN104486340B CN104486340B CN201410785010.0A CN201410785010A CN104486340B CN 104486340 B CN104486340 B CN 104486340B CN 201410785010 A CN201410785010 A CN 201410785010A CN 104486340 B CN104486340 B CN 104486340B
- Authority
- CN
- China
- Prior art keywords
- header
- udp message
- network access
- message bag
- access equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 21
- 230000007123 defense Effects 0.000 claims abstract description 24
- 238000012544 monitoring process Methods 0.000 claims abstract description 20
- 238000003780 insertion Methods 0.000 description 5
- 230000037431 insertion Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000008260 defense mechanism Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000029058 respiratory gaseous exchange Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种防御数据流攻击的方法及系统。根据所述防御方法,是防御系统监听网络接入设备转发的UDP数据包的头信息,并计算包含相同的部分头信息的UDP数据包的转发率;当所述转发率满足预设的防御区间,控制所述网络接入设备将包含所述相同的部分头信息的UDP数据包进行转发限制。本发明通过监听包含有相同的部分头信息的UDP数据包来确定是否为UDP数据包攻击,所监听的包含相同的部分头信息的UDP数据包的转发率达到防御区间,则控制网络接入设备对该种数据包进行限制甚至丢弃,以减少这类UDP数据包对网络接入设备的资源的占用。
Description
技术领域
本发明涉及一种网络安全技术,特别是涉及一种防御数据流攻击的方法及系统。
背景技术
UDP Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一。这类攻击是抓住了UDP协议是一个面向无连接的传输层协议,以至于数据传送过程中,不需要建立连接和进行认证这一特点。进行攻击时攻击方就可以向被攻击方发送大量的异常高流量的完整UDP数据报文。在UDP Flood攻击时,报文发往受害系统的随机或指定的端口,通常是目标主机的随机端口。这使得受害系统必须对流入的数据报文进行分析以确定哪个应用服务请求了该数据流,若受害系统的某个攻击端口没有运行服务,它将用ICMP报文回应一个“目标端口不可达”消息。当大量的代理主机发送这种数据报时,会使被攻击主机所在的网络资源被耗尽,还会使被攻击主机忙于处理UDP数据报文,而使系统崩溃。
目前解决这类UDP Flood攻击的现有检测方法,主要通过计算单位时间内通过的UDP数据包的数量,如果大于UDP流量的峰值则认为是UDP攻击。但是由于现有的检测是孤立和分布式的,所以无法准确判断所转发的UDP数据包中哪些属于UDP Flood的攻击,对于网络接入设备来说,若全盘限制或丢弃UDP数据包,可能致使有些应用的正常UDP数据包无法正常到达。如此,无法建立有效的防御机制。
发明内容
鉴于以上所述现有技术的缺点,本发明的目的在于提供一种防御数据流攻击的方法及系统,用于解决现有技术中由于无法有效识别常规UDP数据包和UDP Flood之间的区别,从而无法建立有效的防御机制的问题。
为实现上述目的及其他相关目的,本发明提供一种防御数据流攻击的方法,包括:1)监听网络接入设备转发的UDP数据包的头信息,并计算包含相同的部分头信息的UDP数据包的转发率;2)当所述转发率满足预设的防御区间,控制所述网络接入设备将包含所述相同的部分头信息的UDP数据包进行转发限制。
优选地,所述步骤1)包括:监听网络接入设备转发的UDP数据包,当所述网络接入设备所转发的各UDP数据包的转发率大于预设阈值时,将各UDP数据包的头信息发送给与所述网络接入设备相连的控制端;由所述控制端根据来自各网络接入设备的头信息计算包含相同的部分头信息的UDP数据包的转发率。
优选地,所述步骤2)包括:当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的防御区间,从所对应的UDP数据包的头信息中确定位于所述头信息中的源地址信息和源端口信息最近的网络接入设备,并向所确定的网络接入设备发送控制表;接收到所述控制表的网络接入设备按照所述控制表对包含所述相同的部分头信息的UDP数据包进行转发限制。
优选地,所述步骤2)还包括:当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的第一防御子区间,从所对应的UDP数据包的头信息中确定位于所述头信息中的源地址信息和源端口信息最近或最远的网络接入设备,令所确定的网络接入设备监听对应UDP数据包的反馈数据包;由所确定的网络接入设备监听所转发的各所述反馈数据包,并将所监听的各所述反馈数据包的头信息发送至所述控制端;由所述控制端从所接收的各所述反馈数据包的头信息中确定对应包含所述相同的部分头信息的UDP数据包的反馈数据包,并在所确定的反馈数据包的转发率满足所述第一防御子区间时,向位于所述头信息中的源地址信息和源端口信息最近的网络接入设备发送包含限制对包含所述相同的部分头信息的UDP数据包进行转发的控制表。
或者,所述步骤2)包括:当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的第二防御子区间,向所确定的网络接入设备发送包含丢弃包含所述相同的部分头信息的UDP数据包的控制表,其中,所述第一防御子区间小于所述第二防御子区间。
优选地,所述防御方法还包括以下步骤:当包含所述相同的部分头信息的UDP数据包的转发率低于所述防御区间的最小值,令所述网络接入设备解除对所述UDP数据包的转发限制。
基于上述目的,本发明还提供一种防御数据流攻击的系统,包括:转发率计算单元,用于监听网络接入设备转发的UDP数据包的头信息,并计算包含相同的部分头信息的UDP数据包的转发率;限制单元,用于当所述转发率满足预设的防御区间,控制所述网络接入设备将包含所述相同的部分头信息的UDP数据包进行转发限制。
优选地,所述转发率计算单元包括:位于所述网络接入设备中的第一转发率计算模块,用于监听所述网络接入设备转发的UDP数据包,当所述网络接入设备所转发的各UDP数据包的转发率大于预设阈值时,将各UDP数据包的头信息发送给与所述网络接入设备相连的控制端;位于所述控制端的第二转发率计算模块,用于根据来自各网络接入设备的头信息计算包含相同的部分头信息的UDP数据包的转发率。
优选地,所述限制单元包括:位于所述控制端的控制表设定模块,用于当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的防御区间,从所对应的UDP数据包的头信息中确定位于所述头信息中的源地址信息和源端口信息最近的网络接入设备,并向所确定的网络接入设备发送控制表;位于所述网络接入设备的限制执行模块,用于按照所述控制表对包含所述相同的部分头信息的UDP数据包进行转发限制。
优选地,所述控制表设定模块包括:位于所述控制端的选择监听反馈数据包子模块,用于当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的第一防御子区间,从所对应的UDP数据包的头信息中确定位于所述头信息中的源地址信息和源端口信息最近或最远的网络接入设备,令所确定的网络接入设备监听对应UDP数据包的反馈数据包;位于所确定的网络接入设备端的监听反馈数据包子模块,用于监听所转发的各所述反馈数据包,并将所监听的各所述反馈数据包的头信息发送至所述控制端;位于所述控制端的第一控制表设定子模块,用于从所接收的各所述反馈数据包的头信息中确定对应包含所述相同的部分头信息的UDP数据包的反馈数据包,并在所确定的反馈数据包的转发率满足所述第一防御子区间时,向位于所述头信息中的源地址信息和源端口信息最近的网络接入设备发送包含限制对包含所述相同的部分头信息的UDP数据包进行转发的控制表。
或者,所述限制单元包括:位于所述控制端的第二控制表设定子模块,用于当包含所述相同的部分头信息的UDP数据包的所述转发率满足预设的第二防御子区间,向所确定的网络接入设备发送包含丢弃包含所述相同的部分头信息的UDP数据包的控制表,其中,所述第一防御子区间小于所述第二防御子区间。
优选地,所述防御系统还包括解除单元,用于当包含所述相同的部分头信息的UDP数据包的转发率低于所述防御区间的最小值,令所述网络接入设备解除对所述UDP数据包的转发限制。
如上所述,本发明的防御数据流攻击的方法及系统,具有以下有益效果:通过监听包含有相同的部分头信息的UDP数据包来确定是否为UDP数据包攻击,所监听的包含相同的部分头信息的UDP数据包的转发率达到防御区间,则控制网络接入设备对该种数据包进行限制甚至丢弃,以减少这类UDP数据包对网络接入设备的资源的占用;另外,通过设置多个防御子区间,能够便于设置限制转发策略;还有,当包含所述相同的部分头信息的UDP数据包的转发率降低时,能够解除限制,以便网络接入设备正常工作;此外,在确定有大量的包含相同的部分头信息的UDP数据包转发时,进一步监听反馈数据包,能够确定UDP数据包攻击,并建立精准的防御。
附图说明
图1显示为本发明的防御数据流攻击的方法的流程图。
图2显示为本发明的防御数据流攻击的方法的一种优选方式的流程图。
图3显示为本发明的防御数据流攻击的系统的结构示意图。
图4显示为本发明的防御数据流攻击的系统的一种优选方式的结构示意图。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
实施例一
请参阅图1,本发明提供一种防御数据流攻击的方法。所述防御方法主要由应用在网络接入设备中的防御系统来执行。所述网络接入设备包括但不限于:路由器、交换机等。
在步骤S1中,所述防御系统监听所述网络接入设备转发的UDP数据包的头信息,并计算包含相同的部分头信息的UDP数据包的转发率。其中,所述头信息包括但不限于:目的地址信息、源地址信息、目的端口信息、源端口信息、转发路径中的至少一种或任意组合。
具体地,所述防御系统监听所述网络接入设备的各端口所转发的UDP数据包的头信息,当在一预设时段内所转发的UDP数据包的头信息中包含相同的目的地址信息、源地址信息、目的端口信息、源端口信息中至少一种、或者包含有部分一致的转发路径,则计算该时段内的所转发的该种UDP数据包的转发率。其中,所述预设时段举例为60秒。
在步骤S2中,当所述转发率满足预设的防御区间,所述防御系统控制所述网络接入设备将包含所述相同的部分头信息的UDP数据包进行转发限制。
具体地,所述防御系统将在步骤S1中所得到的转发率与预设的防御区间进行匹配,若在所述防御区间内,则限制对包含所述相同的部分头信息的UDP数据包的转发,或者直接丢弃包含所述相同的部分头信息的UDP数据包。
优选地,所述防御区间可以包含一个防御子区间,也可以包含多个防御子区间。若包含多个防御子区间,则所述防御系统可按照各防御子区间设置限制级别。例如,所述转发率在第一防御子区间内,所述防御系统可以限制所述网络接入设备对包含所述相同的部分头信息的UDP数据包的转发流量。所述转发率在第二防御子区间内,所述防御系统可以控制所述网络接入设备直接丢弃包含所述相同的部分头信息的UDP数据包。
优选地,所述防御方法还包括:步骤S3(未予图示)。
在步骤S3中,当包含所述相同的部分头信息的UDP数据包的转发率低于所述防御区间的最小值,所述防御系统令所述网络接入设备解除对所述UDP数据包的转发限制。
具体地,所述防御系统一边对包含有相同的部分头信息的UDP数据包进行限制,一边继续统计这类UDP数据包的转发率,当这类UDP数据包的转发率低于所述防御区间的最小值,所述防御系统令所述网络接入设备解除对所述UDP数据包的转发限制。
实施例二
请参阅图2,所述防御方法主要由安装在网络接入设备和控制端中的防御系统来执行。其中,所述网络接入设备包括但不限于:路由器、交换机等。所述控制端与至少一个所述网络接入设备通信连接,用于根据各网络接入设备所提供的数据包的头信息,对各网络接入设备进行路径选择、流量等控制。在本实施例中,所述防御系统位于所述网络接入设备中的部分称为第一防御子系统。所述防御系统位于所述控制端中的部分称为第二防御子系统。
在步骤S1’中,所述第一防御子系统监听所述网络接入设备转发的UDP数据包,当所述网络接入设备所转发的各UDP数据包的转发率大于预设阈值时,将各UDP数据包的头信息发送给与所述网络接入设备相连的控制端。其中,所述头信息包括但不限于:目的地址信息、源地址信息、目的端口信息、源端口信息、转发路径中的至少一种或任意组合。
具体地,所述第一防御子系统监听所述网络接入设备中转发的所有UDP数据包,当在一预设时段内所述网络接入设备所转发的各UDP数据包的转发率大于预设阈值时,将各UDP数据包的头信息发送给位于所述控制端中第二防御子系统。其中,所述预设时段举例为60秒。
在步骤S2’中,所述第二防御子系统根据来自各网络接入设备的头信息计算包含相同的部分头信息的UDP数据包的转发率。
具体地,所述第二防御子系统收集各网络接入设备所提供的UDP数据包的头信息,当在一预设时段内所收集的头信息中包含相同的目的地址信息、源地址信息、目的端口信息、源端口信息中至少一种、或者包含有部分一致的转发路径,则计算该时段内对应的UDP数据包的转发率。
在步骤S3’中,当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的防御区间,所述第二防御子系统从所对应的UDP数据包的头信息中确定位于所述头信息中的源地址信息和源端口信息最近的网络接入设备,并向所确定的网络接入设备发送控制表。
具体地,当所述转发率在预设的防御区间内,则所述第二防御子系统需确定距离发送所述UDP数据包的源地址信息和源端口信息最近的网络接入设备,或者说所能确定的所述UDP数据包的入口网络接入设备。
在此,所述第二防御子系统从各网络接入设备所提供的头信息中的转发路径中能够确定距离发送所述UDP数据包的源地址信息和源端口信息最近的网络接入设备。例如,所述第二防御子系统接收到路由器A1和A2所提供的头信息,其中,路由器A1所提供的头信息中的转发路径为:源地址信息和源端口信息-路由器B1的路由信息-路由器A1的路由信息,路由器A2所提供的头信息中的转发路径为:源地址信息和源端口信息-路由器B2的转发信息-路由器B3的路由信息-路由器A2的路由信息。则所述第二防御子系统通过比较转发路径的长短来确定路由器A1为距离发送所述UDP数据包的源地址信息和源端口信息最近的网络接入设备。
在确定了网络接入设备之后,所述第二防御子系统向位于所确定的网络接入设备中第一防御子系统发送控制表。所述控制表中包含所要限制的UDP数据包的头信息、所述网络接入设备转发所要限制的UDP数据包的端口、限制级别等。
优选地,所述防御区间可以包含一个防御子区间,也可以包含多个防御子区间。若包含多个防御子区间,则所述第二防御系统可按照各防御子区间设置限制级别。例如,所述转发率在第一防御子区间内,所述第二防御子系统在所述限制级别中设置限制所述网络接入设备对包含所述相同的部分头信息的UDP数据包的转发流量。
若所述防御区间还包含大于所述第一防御子区间的第二防御子区间,则所述步骤S3’包含:当所述转发率满足预设的第二防御子区间,并向所确定的网络接入设备发送包含丢弃包含所述相同的部分头信息的UDP数据包的控制表的步骤。
更为优选地,针对所述转发率在第一防御子区间内,所述步骤S3’包括:步骤S31’、S32’、S33’。(均未予图示)
在步骤S31’中,当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的第一防御子区间,所述第二防御子系统从所对应的UDP数据包的头信息中确定位于所述头信息中的源地址信息和源端口信息最近或最远的网络接入设备,令所确定的网络接入设备监听对应UDP数据包的反馈数据包。
具体地,当一设备C1利用包含有相同的部分头信息的UDP数据包攻击网络中的又一设备C2时,该设备C2可能并未开放相应端口来接收所述UDP数据包,此时,设备C2将对应反馈包含“目标端口不可达”报文的数据包。针对该种情况,所述第二防御子系统令位于距离所述头信息中的源地址信息和源端口信息最近或最远的网络接入设备监听所转发的对应所有UDP数据包的反馈数据包。
需要说明的是,本领域技术人员应该理解,所述第二防御子系统确定距离所述头信息中的源地址信息和源端口信息最近或最远的网络接入设备的方式与前述步骤S3’中描述的相同或相似,在此不再详述。
接着,在步骤S32’中,位于距离所述头信息中的源地址信息和源端口信息最近或最远的网络接入设备中的所述第一防御子系统监听所述反馈数据包,并将所述反馈数据包的头信息发送至所述控制端。
在步骤S33’中,所述第二防御子系统从所接收的各所述反馈数据包的头信息中确定对应包含所述相同的部分头信息的UDP数据包的反馈数据包,并在所确定的反馈数据包的转发率满足所述第一防御子区间时,向位于所述头信息中的源地址信息和源端口信息最近的网络接入设备发送包含限制对包含所述相同的部分头信息的UDP数据包进行转发的控制表。
具体地,所述第二防御子系统所接收到的各所述反馈数据包的头信息中即包含对应UDP数据包攻击的反馈数据包的头信息,也包含正常的对应UDP数据包的反馈数据包的头信息。所述第二防御子系统根据在步骤S31’中所得到的包含相同的部分头信息的头信息能够确定所对应反馈数据包的头信息。
例如,所述第二防御子系统将所述反馈数据包的头信息中的源地址信息、目的地址信息、源端口信息、目的端口信息分别与步骤S31’中所得到的包含相同的部分头信息的头信息中的目的地址信息、源地址信息、目的端口信息、源端口信息相对应,若一致,则确定所述头信息对应所要确定的反馈数据包。如此,进一步计算所确定的反馈数据包的转发率,当所计算的转发率满足所述第一防御子区间时,向位于所述头信息中的源地址信息和源端口信息最近的网络接入设备发送包含限制对包含所述相同的部分头信息的UDP数据包进行转发的控制表。
在步骤S4’中,所述第一防御子系统按照所述控制表控制所述网络接入设备对包含所述相同的部分头信息的UDP数据包进行转发限制。
例如,距离发送包含所述相同的部分头信息的UDP数据包的源地址信息和端口信息最近的网络接入设备中的第一防御子系统在接收到包含丢弃所述UDP数据包的控制表时,控制所述网络接入设备监听所接收的UDP数据包,并当所接收的UDP数据包的头信息符合所述控制表所提供的头信息时,对该种UDP数据包进行丢弃处理。
又如,所述第一防御子系统在接收到包含限制指定头信息的UDP数据包转发的控制表时,按照所述控制表中的限制要求,对所接收到的对应所指定的头信息的UDP数据包进行转发限制。
作为又一种优选方案,所述第第二防御子系统一边对满足所述防御区间的UDP数据包的头信息进行限制处理,一边继续监听各所述网络接入设备中的第一防御子系统所提供的UDP数据包的头信息,当所限制的UDP数据包的头信息的转发率低于所述防御区间的最小值,则令所对应的网络接入设备解除转发限制。
例如,网络接入设备的转发限制为丢弃或者限制包含所述相同的部分头信息的UDP数据包,则当所述第二防御子系统确定所限制的UDP数据包的头信息的转发率低于所述第一防御子区间的最小值时,令所述网络接入设备解除对所述UDP数据包的转发限制。
又如,所述网络接入设备的转发限制为丢弃包含所述相同的部分头信息的UDP数据包,当所述第二防御子系统确定所限制的UDP数据包的头信息的转发率低于所述第二防御子区间的最小值时,向位于所述网络接入设备中的第一防御子系统发送包含限制所述UDP数据包的转发速度的控制表,以便允许但限制对所述UDP数据包的转发。
实施例三
请参阅图3,本发明提供一种防御数据流攻击的系统。所述防御系统1主要为安装在网络接入设备中的软件和硬件。所述网络接入设备包括但不限于:路由器、交换机等。所述防御系统1包括:转发率计算单元11、限制单元12。
所述转发率计算单元11用于监听所述网络接入设备转发的UDP数据包的头信息,并计算包含相同的部分头信息的UDP数据包的转发率。其中,所述头信息包括但不限于:目的地址信息、源地址信息、目的端口信息、源端口信息、转发路径中的至少一种或任意组合。
具体地,所述转发率计算单元11监听所述网络接入设备的各端口所转发的UDP数据包的头信息,当在一预设时段内所转发的UDP数据包的头信息中包含相同的目的地址信息、源地址信息、目的端口信息、源端口信息中至少一种、或者包含有部分一致的转发路径,则计算该时段内的所转发的该种UDP数据包的转发率。其中,所述预设时段举例为60秒。
所述限制单元12用于当所述转发率满足预设的防御区间,控制所述网络接入设备将包含所述相同的部分头信息的UDP数据包进行转发限制。
具体地,所述转发率计算单元11将在所述转发率计算单元11中所得到的转发率与预设的防御区间进行匹配,若在所述防御区间内,则限制对包含所述相同的部分头信息的UDP数据包的转发,或者直接丢弃包含所述相同的部分头信息的UDP数据包。
优选地,所述防御区间可以包含一个防御子区间,也可以包含多个防御子区间。若包含多个防御子区间,则所述转发率计算单元11可按照各防御子区间设置限制级别。例如,所述转发率在第一防御子区间内,所述转发率计算单元11可以限制所述网络接入设备对包含所述相同的部分头信息的UDP数据包的转发流量。所述转发率在第二防御子区间内,所述转发率计算单元11可以控制所述网络接入设备直接丢弃包含所述相同的部分头信息的UDP数据包。
优选地,所述防御系统1还包括:解除单元(未予图示)。
所述解除单元用于当包含所述相同的部分头信息的UDP数据包的转发率低于所述防御区间的最小值,令所述网络接入设备解除对所述UDP数据包的转发限制。
具体地,所述限制单元12一边对包含有相同的部分头信息的UDP数据包进行限制,一边继续统计这类UDP数据包的转发率,当这类UDP数据包的转发率低于所述防御区间的最小值,启动所述解除单元令所述网络接入设备解除对所述UDP数据包的转发限制。
实施例四
请参阅图4,所述防御系统主要包含安装在网络接入设备和控制端中的软件和硬件。其中,所述网络接入设备包括但不限于:路由器、交换机等。所述控制端与至少一个所述网络接入设备通信连接,用于根据各网络接入设备所提供的数据包的头信息,对各网络接入设备进行路径选择、流量等控制。在本实施例中,所述防御系统2位于所述网络接入设备中的部分称为第一防御子系统。所述防御系统2位于所述控制端中的部分称为第二防御子系统。其中,所述第一防御子系统包括:第一转发率计算模块21、限制执行模块24。所述第二防御子系统包括:第二转发率计算模块22、控制表设定模块23。其中,所述第一转发率计算模块21和第二转发率计算模块22为所述实施例三中的转发率计算单元11的扩展。所述控制表设定模块23和限制执行模块24为所述实施例三中的限制单元12的扩展。
所述第一转发率计算模块21用于监听所述网络接入设备转发的UDP数据包,当所述网络接入设备所转发的各UDP数据包的转发率大于预设阈值时,将各UDP数据包的头信息发送给与所述网络接入设备相连的控制端。其中,所述头信息包括但不限于:目的地址信息、源地址信息、目的端口信息、源端口信息、转发路径中的至少一种或任意组合。
具体地,所述第一转发率计算模块21监听所述网络接入设备中转发的所有UDP数据包,当在一预设时段内所述网络接入设备所转发的各UDP数据包的转发率大于预设阈值时,将各UDP数据包的头信息发送给位于所述控制端中第二防御子系统。其中,所述预设时段举例为60秒。
所述第二转发率计算模块22用于根据来自各网络接入设备的头信息计算包含相同的部分头信息的UDP数据包的转发率。
具体地,所述第二转发率计算模块22收集各网络接入设备所提供的UDP数据包的头信息,当在一预设时段内所收集的头信息中包含相同的目的地址信息、源地址信息、目的端口信息、源端口信息中至少一种、或者包含有部分一致的转发路径,则计算该时段内对应的UDP数据包的转发率。
所述控制表设定模块23用于当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的防御区间,从所对应的UDP数据包的头信息中确定位于所述头信息中的源地址信息和源端口信息最近的网络接入设备,并向所确定的网络接入设备发送控制表。
具体地,当所述转发率在预设的防御区间内,则所述控制表设定模块23需确定距离发送所述UDP数据包的源地址信息和源端口信息最近的网络接入设备,或者说所能确定的所述UDP数据包的入口网络接入设备。
在此,所述控制表设定模块23从各网络接入设备所提供的头信息中的转发路径中能够确定距离发送所述UDP数据包的源地址信息和源端口信息最近的网络接入设备。例如,所述控制表设定模块23接收到路由器A1和A2所提供的头信息,其中,路由器A1所提供的头信息中的转发路径为:源地址信息和源端口信息-路由器B1的路由信息-路由器A1的路由信息,路由器A2所提供的头信息中的转发路径为:源地址信息和源端口信息-路由器B2的转发信息-路由器B3的路由信息-路由器A2的路由信息。则所述控制表设定模块23通过比较转发路径的长短来确定路由器A1为距离发送所述UDP数据包的源地址信息和源端口信息最近的网络接入设备。
在确定了网络接入设备之后,所述控制表设定模块23向位于所确定的网络接入设备中限制执行模块24发送控制表。所述控制表中包含所要限制的UDP数据包的头信息、所述网络接入设备转发所要限制的UDP数据包的端口、限制级别等。
优选地,所述防御区间可以包含一个防御子区间,也可以包含多个防御子区间。若包含多个防御子区间,则所述控制表设定模块23可按照各防御子区间设置限制级别。例如,所述转发率在第一防御子区间内,所述控制表设定模块23在所述限制级别中设置限制所述网络接入设备对包含所述相同的部分头信息的UDP数据包的转发流量。
若所述防御区间还包含大于所述第一防御子区间的第二防御子区间,则所述控制表设定模块23包含:第二控制表设定子模块(未予图示),用于当所述转发率满足预设的第二防御子区间,向所确定的网络接入设备发送包含丢弃包含所述相同的部分头信息的UDP数据包的控制表。
更为优选地,针对所述转发率在第一防御子区间内,所述控制表设定模块23包括:位于所述控制端的选择监听反馈数据包子模块、位于所确定的网络接入设备端的监听反馈数据包子模块、位于所述控制端的第一控制表设定子模块。(未予图示)
所述选择监听反馈数据包子模块用于当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的第一防御子区间,从所对应的UDP数据包的头信息中确定位于所述头信息中的源地址信息和源端口信息最近或最远的网络接入设备,令所确定的网络接入设备监听对应UDP数据包的反馈数据包。
具体地,当一设备C1利用包含有相同的部分头信息的UDP数据包攻击网络中的又一设备C2时,该设备C2可能并未开放相应端口来接收所述UDP数据包,此时,设备C2将对应反馈包含“目标端口不可达”报文的数据包。针对该种情况,所述选择监听反馈数据包子模块令位于距离所述头信息中的源地址信息和源端口信息最近或最远的网络接入设备监听所转发的对应所有UDP数据包的反馈数据包。
需要说明的是,本领域技术人员应该理解,所述选择监听反馈数据包子模块确定距离所述头信息中的源地址信息和源端口信息最近或最远的网络接入设备的方式与前述中描述的相同或相似,在此不再详述。
接着,位于距离所述头信息中的源地址信息和源端口信息最近或最远的网络接入设备中的所述监听反馈数据包子模块监听所述反馈数据包,并将所述反馈数据包的头信息发送至所述控制端。
所述第一控制表设定子模块用于从所接收的各所述反馈数据包的头信息中确定对应包含所述相同的部分头信息的UDP数据包的反馈数据包,并在所确定的反馈数据包的转发率满足所述第一防御子区间时,向位于所述头信息中的源地址信息和源端口信息最近的网络接入设备发送包含限制对包含所述相同的部分头信息的UDP数据包进行转发的控制表。
具体地,所述第一控制表设定子模块所接收到的各所述反馈数据包的头信息中即包含对应UDP数据包攻击的反馈数据包的头信息,也包含正常的对应UDP数据包的反馈数据包的头信息。所述第一控制表设定子模块根据此前所得到的包含相同的部分头信息的头信息能够确定所对应反馈数据包的头信息。
例如,所述第一控制表设定子模块将所述反馈数据包的头信息中的源地址信息、目的地址信息、源端口信息、目的端口信息分别与所述选择监听反馈数据包子模块中所得到的包含相同的部分头信息的头信息中的目的地址信息、源地址信息、目的端口信息、源端口信息相对应,若一致,则确定所述头信息对应所要确定的反馈数据包。如此,进一步计算所确定的反馈数据包的转发率,当所计算的转发率满足所述第一防御子区间时,向位于所述头信息中的源地址信息和源端口信息最近的网络接入设备发送包含限制对包含所述相同的部分头信息的UDP数据包进行转发的控制表。
所述限制执行模块24用于按照所述控制表控制所述网络接入设备对包含所述相同的部分头信息的UDP数据包进行转发限制。
例如,距离发送包含所述相同的部分头信息的UDP数据包的源地址信息和端口信息最近的网络接入设备中的限制执行模块24在接收到包含丢弃所述UDP数据包的控制表时,控制所述网络接入设备监听所接收的UDP数据包,并当所接收的UDP数据包的头信息符合所述控制表所提供的头信息时,对该种UDP数据包进行丢弃处理。
又如,所述限制执行模块24在接收到包含限制指定头信息的UDP数据包转发的控制表时,按照所述控制表中的限制要求,对所接收到的对应所指定的头信息的UDP数据包进行转发限制。
作为又一种优选方案,所述第二防御子系统中还包括解除单元(未予图示)。
具体地,所述控制表设定模块23一边对满足所述防御区间的UDP数据包的头信息进行限制处理,一边继续监听各所述网络接入设备中第一转发率计算模块21所提供的UDP数据包的头信息,当所限制的UDP数据包的头信息的转发率低于所述防御区间的最小值,则启动所述解除单元,以令所对应的网络接入设备解除转发限制。
例如,网络接入设备的转发限制为丢弃或者限制包含所述相同的部分头信息的UDP数据包,则当所述解除单元确定所限制的UDP数据包的头信息的转发率低于所述第一防御子区间的最小值时,令所述网络接入设备中的限制执行模块24解除对所述UDP数据包的转发限制。
又如,所述网络接入设备的转发限制为丢弃包含所述相同的部分头信息的UDP数据包,当所述解除单元确定所限制的UDP数据包的头信息的转发率低于所述第二防御子区间的最小值时,向位于所述网络接入设备中的限制执行模块24发送包含限制所述UDP数据包的转发速度的控制表,以便允许但限制对所述UDP数据包的转发。
综上所述,本发明的防御数据流攻击的方法及系统,通过监听包含有相同的部分头信息的UDP数据包来确定是否为UDP数据包攻击,所监听的包含相同的部分头信息的UDP数据包的转发率达到防御区间,则控制网络接入设备对该种数据包进行限制甚至丢弃,以减少这类UDP数据包对网络接入设备的资源的占用;另外,通过设置多个防御子区间,能够便于设置限制转发策略;还有,当包含所述相同的部分头信息的UDP数据包的转发率降低时,能够解除限制,以便网络接入设备正常工作;此外,在确定有大量的包含相同的部分头信息的UDP数据包转发时,进一步监听反馈数据包,能够确定UDP数据包攻击,并建立精准的防御。所以,本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
Claims (6)
1.一种防御数据流攻击的方法,其特征在于,包括:
1)监听网络接入设备转发的UDP数据包的头信息,并计算包含相同的部分头信息的UDP数据包的转发率;
2)当所述转发率满足预设的防御区间,控制所述网络接入设备将包含所述相同的部分头信息的UDP数据包进行转发限制;具体的包括:
当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的防御区间,从所对应的UDP数据包的头信息中确定位于所述头信息中的源地址信息和源端口信息最近的网络接入设备,并向所确定的网络接入设备发送控制表;
接收到所述控制表的网络接入设备按照所述控制表对包含所述相同的部分头信息的UDP数据包进行转发限制;
当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的第一防御子区间,从所对应的UDP数据包的头信息中确定位于所述头信息中的源地址信息和源端口信息最近或最远的网络接入设备,令所确定的网络接入设备监听对应UDP数据包的反馈数据包;
由所确定的网络接入设备监听所转发的各所述反馈数据包,并将所监听的各所述反馈数据包的头信息发送至所述控制端;
由所述控制端从所接收的各所述反馈数据包的头信息中确定对应包含所述相同的部分头信息的UDP数据包的反馈数据包,并在所确定的反馈数据包的转发率满足所述第一防御子区间时,向位于所述头信息中的源地址信息和源端口信息最近的网络接入设备发送包含限制对包含所述相同的部分头信息的UDP数据包进行转发的控制表;
或者,当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的第二防御子区间,向所确定的网络接入设备发送包含丢弃包含所述相同的部分头信息的UDP数据包的控制表,其中,所述第一防御子区间小于所述第二防御子区间。
2.根据权利要求1所述的防御数据流攻击的方法,其特征在于:所述步骤1)包括:
监听网络接入设备转发的UDP数据包,当所述网络接入设备所转发的各UDP数据包的转发率大于预设阈值时,将各UDP数据包的头信息发送给与所述网络接入设备相连的控制端;
由所述控制端根据来自各网络接入设备的头信息计算包含相同的部分头信息的UDP数据包的转发率。
3.根据权利要求1所述的防御数据流攻击的方法,其特征在于:所述防御方法还包括以下步骤:当包含所述相同的部分头信息的UDP数据包的转发率低于所述防御区间的最小值,令所述网络接入设备解除对所述UDP数据包的转发限制。
4.一种应用于权利要求1的方法的防御数据流攻击的系统,其特征在于,包括:
转发率计算单元,用于监听网络接入设备转发的UDP数据包的头信息,并计算包含相同的部分头信息的UDP数据包的转发率;
限制单元,用于当所述转发率满足预设的防御区间,控制所述网络接入设备将包含所述相同的部分头信息的UDP数据包进行转发限制;
限制单元包括:
位于所述控制端的控制表设定模块,用于当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的防御区间,从所对应的UDP数据包的头信息中确定位于所述头信息中的源地址信息和源端口信息最近的网络接入设备,并向所确定的网络接入设备发送控制表;
位于所述网络接入设备的限制执行模块,用于按照所述控制表对包含所述相同的部分头信息的UDP数据包进行转发限制;
所述控制表设定模块包括:
位于所述控制端的选择监听反馈数据包子模块,用于当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的第一防御子区间,从所对应的UDP数据包的头信息中确定位于所述头信息中的源地址信息和源端口信息最近或最远的网络接入设备,令所确定的网络接入设备监听对应UDP数据包的反馈数据包;
位于所确定的网络接入设备端的监听反馈数据包子模块,用于监听所转发的各所述反馈数据包,并将所监听的各所述反馈数据包的头信息发送至所述控制端;
位于所述控制端的第一控制表设定子模块,用于从所接收的各所述反馈数据包的头信息中确定对应包含所述相同的部分头信息的UDP数据包的反馈数据包,并在所确定的反馈数据包的转发率满足所述第一防御子区间时,向位于所述头信息中的源地址信息和源端口信息最近的网络接入设备发送包含限制对包含所述相同的部分头信息的UDP数据包进行转发的控制表;
或者,位于所述控制端的第二控制表设定子模块,用于当包含所述相同的部分头信息的UDP数据包的所述转发率满足预设的第二防御子区间,向所确定的网络接入设备发送包含丢弃包含所述相同的部分头信息的UDP数据包的控制表,其中,所述第一防御子区间小于所述第二防御子区间。
5.根据权利要求4所述的防御数据流攻击的系统,其特征在于:所述转发率计算单元包括:位于所述网络接入设备中的第一转发率计算模块,用于监听所述网络接入设备转发的UDP数据包,当所述网络接入设备所转发的各UDP数据包的转发率大于预设阈值时,将各UDP数据包的头信息发送给与所述网络接入设备相连的控制端;
位于所述控制端的第二转发率计算模块,用于根据来自各网络接入设备的头信息计算包含相同的部分头信息的UDP数据包的转发率。
6.根据权利要求4所述的防御数据流攻击的系统,其特征在于:所述防御系统还包括解除单元,用于当包含所述相同的部分头信息的UDP数据包的转发率低于所述防御区间的最小值,令所述网络接入设备解除对所述UDP数据包的转发限制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410785010.0A CN104486340B (zh) | 2014-12-16 | 2014-12-16 | 防御数据流攻击的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410785010.0A CN104486340B (zh) | 2014-12-16 | 2014-12-16 | 防御数据流攻击的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104486340A CN104486340A (zh) | 2015-04-01 |
| CN104486340B true CN104486340B (zh) | 2018-02-06 |
Family
ID=52760844
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410785010.0A Active CN104486340B (zh) | 2014-12-16 | 2014-12-16 | 防御数据流攻击的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104486340B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108616488B (zh) | 2016-12-09 | 2021-06-29 | 腾讯科技(深圳)有限公司 | 一种攻击的防御方法及防御设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101202742A (zh) * | 2006-12-13 | 2008-06-18 | 中兴通讯股份有限公司 | 一种防止拒绝服务攻击的方法和系统 |
| CN101286996A (zh) * | 2008-05-30 | 2008-10-15 | 北京星网锐捷网络技术有限公司 | 一种风暴攻击抵抗方法与装置 |
| CN101378394A (zh) * | 2008-09-26 | 2009-03-04 | 成都市华为赛门铁克科技有限公司 | 分布式拒绝服务检测防御方法及网络设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8982887B2 (en) * | 2007-05-18 | 2015-03-17 | International Business Machines Corporation | System, method and program for making routing decisions |
| KR101136529B1 (ko) * | 2010-11-09 | 2012-04-17 | 플러스기술주식회사 | 세션기반의 트래픽 분석 시스템 |
-
2014
- 2014-12-16 CN CN201410785010.0A patent/CN104486340B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101202742A (zh) * | 2006-12-13 | 2008-06-18 | 中兴通讯股份有限公司 | 一种防止拒绝服务攻击的方法和系统 |
| CN101286996A (zh) * | 2008-05-30 | 2008-10-15 | 北京星网锐捷网络技术有限公司 | 一种风暴攻击抵抗方法与装置 |
| CN101378394A (zh) * | 2008-09-26 | 2009-03-04 | 成都市华为赛门铁克科技有限公司 | 分布式拒绝服务检测防御方法及网络设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104486340A (zh) | 2015-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2016150253A1 (zh) | 基于sdn的ddos攻击防护方法、装置及系统 | |
| CN104580168B (zh) | 一种攻击数据包的处理方法、装置及系统 | |
| Liu et al. | Netfence: preventing internet denial of service from inside out | |
| Cao et al. | When to use and when not to use BBR: An empirical analysis and evaluation study | |
| US8667585B2 (en) | Transmission control protocol flooding attack prevention method and apparatus | |
| Zhang et al. | Modeling and solving TCP incast problem in data center networks | |
| EP3324586B1 (en) | Method and device for processing flow table | |
| CN109005175B (zh) | 网络防护方法、装置、服务器及存储介质 | |
| US20190149573A1 (en) | System of defending against http ddos attack based on sdn and method thereof | |
| Foroushani et al. | TDFA: traceback-based defense against DDoS flooding attacks | |
| Ahuja et al. | DDoS attack detection & prevention in SDN using OpenFlow statistics | |
| Oura et al. | Fairness comparisons among modern TCP implementations | |
| Dillon et al. | Openflow (d) dos mitigation | |
| Bogdanoski et al. | Wireless network behavior under icmp ping flooddos attack and mitigation techniques | |
| EP2648383B1 (en) | Method and device for data transmission | |
| CN104486340B (zh) | 防御数据流攻击的方法及系统 | |
| WO2019096104A1 (zh) | 攻击防范 | |
| JP2010193083A (ja) | 通信システムおよび通信方法 | |
| JP2013070325A (ja) | 通信システム、通信装置、サーバ、通信方法 | |
| Khanna et al. | Adaptive selective verification | |
| Kharat et al. | Modified QUIC protocol for improved network performance and comparison with QUIC and TCP | |
| CN109936557A (zh) | 一种基于ForCES架构中利用sFlow防御DDoS攻击的方法及系统 | |
| Bedi et al. | Mitigating congestion-based denial of service attacks with active queue management | |
| Kieu et al. | Using CPR metric to detect and filter low-rate DDoS flows | |
| Letourneau et al. | Assessing the threats targeting low latency traffic: the case of L4S |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201030 Address after: 318015 no.2-3167, zone a, Nonggang City, no.2388, Donghuan Avenue, Hongjia street, Jiaojiang District, Taizhou City, Zhejiang Province Patentee after: Taizhou Jiji Intellectual Property Operation Co.,Ltd. Address before: 201616 Shanghai city Songjiang District Sixian Road No. 3666 Patentee before: Phicomm (Shanghai) Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211220 Address after: 518000 701-03, unit 1, building B, Kexing Science Park, Keyuan Road, Central District, Yuehai Street Science Park, Nanshan District, Shenzhen City, Guangdong Province Patentee after: Shenzhen xinyun'an Development Technology Co.,Ltd. Address before: 318015 no.2-3167, area a, nonggangcheng, 2388 Donghuan Avenue, Hongjia street, Jiaojiang District, Taizhou City, Zhejiang Province Patentee before: Taizhou Jiji Intellectual Property Operation Co.,Ltd. |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Methods and systems for defending against data stream attacks Granted publication date: 20180206 Pledgee: Bank of Jiangsu Limited by Share Ltd. Shenzhen branch Pledgor: Shenzhen xinyun'an Development Technology Co.,Ltd. Registration number: Y2024980024416 |