CN107770123A - 一种中央监测的洪水攻击检测方法 - Google Patents

一种中央监测的洪水攻击检测方法 Download PDF

Info

Publication number
CN107770123A
CN107770123A CN201610670261.3A CN201610670261A CN107770123A CN 107770123 A CN107770123 A CN 107770123A CN 201610670261 A CN201610670261 A CN 201610670261A CN 107770123 A CN107770123 A CN 107770123A
Authority
CN
China
Prior art keywords
monitoring device
hash
monitoring
flood attack
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610670261.3A
Other languages
English (en)
Inventor
袁兴飚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Taishan Gold Network Technology Co Ltd
Original Assignee
Taishan Gold Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Taishan Gold Network Technology Co Ltd filed Critical Taishan Gold Network Technology Co Ltd
Priority to CN201610670261.3A priority Critical patent/CN107770123A/zh
Publication of CN107770123A publication Critical patent/CN107770123A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种中央监测的洪水攻击检测方法,包括,S1:在网络入口处设置一监测装置,该监测装置包括IP数据包的转发模块、阻断模块及统计模块;S2:监测装置监测洪水攻击报文,并根据监测结果转发或阻断IP数据包。S2还包括了S21:监测装置创建第一哈希数组及第二哈希数组;S22:监测装置采集SYN数据包信息,并储存到第一哈希数组中;S23:监测装置采集ACK数据包信息,并储存到第二哈希数组中;S24:监测装置检索第二哈希数组及第一哈希,并判断出攻击源。本发明通过对SYN及ACK数据包的系列化并哈希加密转换得到洪水攻击的判定特征,进而有效判定洪水攻击发起端的来源,有效保障网络安全及服务器的稳定性。

Description

一种中央监测的洪水攻击检测方法
技术领域
本发明涉及洪水攻击检测领域,尤其涉及一种中央监测的洪水攻击检测方法。
背景技术
SYN洪水攻击(SYN_FLOOD)是一种广为人知的拒绝服务攻击(DOS)与分布式拒绝服务攻击(DDos)的方式之一,其利用了TCP/IP v4协议的缺陷,发送大量伪造的TCP连接请求,迫使服务器端短时间内发出大量的SYN+ACK应答数据包,从而使服务器资源耗尽(CPU满负荷或内存不足)。TCP连接的建立都是从三次握手开始的,1)客户端会发送一个包含同步(Synchronize,SYN)标志的TCP报文,该同步报文会包含了源地址、源端口、目的地址、目的端口、初始系列号等信息;2)服务器在收到客户端的同步报文后,会返回给客户端一个同步+确认报文(Acknowledgment,ACK),该同步+确认报文也包含了源地址、源端口、目的地址、目的端口、初始系列号等信息;3)当客户端接收到同步+确认报文后,会再返回给服务器一个确认报文,此时一个TCP连接完成。如果服务器发出同步+确认报文后,没有收到相应的客户端的确认报文时,会在30s-2min内不断重试发送同步+确认报文,如果在这个期间一直没收到客户端的确认报文则丢弃这个未完成的连接并释放相应的系统资源。洪水攻击使服务器打开了大量的半开连接请求,使正常的客户请求无法请求。在互联网相当普及的今天,要让联网的服务器稳定地运行,及时做好应对洪水攻击的检测工作成为企业网络安全的基本诉求。目前,洪水攻击的检测方法一般为简单地统计报文中同步报文数量,当单位时间内同步报文数量大于预先设定的阈值时,就确定服务器遭受洪水攻击。这种仅仅是统计SYN数量的监测方式误判率很大,往往会统计到正常的业务数据包,给正常业务造成一定的影响。
发明内容
本发明的目的在于克服现有技术中的缺点与不足,提供一种中央监测的洪水攻击检测方法。
本发明是通过以下技术方案实现的:一种中央监测的洪水攻击检测方法,包括如下步骤:
S1:在网络入口处设置一监测装置,该监测装置包括IP数据包的转发模块、阻断模块及统计模块;
S2:监测装置监测单向流进监测装置的数据报文,并根据监测结果转发或阻断IP数据包,该步骤S2包括如下步骤:
S21:监测装置创建第一哈希数组及第二哈希数组;
S22:监测装置采集来自互联网的SYN数据包(同步请求数据包)并提取SYN数据包信息,并对数据包中的IP五元组进行系列化及哈希加密转换得到第一哈希值,该第一哈希值储存到第一哈希数组中;
S23:监测装置采集来自互联网的ACK数据包(所述同步请求数据包对应的确认数据包)并提取ACK数据包信息,并对数据包中的IP五元组进行系列化及哈希加密转换得到第二哈希值,该第二哈希值储存到第二哈希数组中;
S24:监测装置检索第二哈希数组,如果存在第二哈希值与第一哈希值相同,则为正常数据包、否则为洪水攻击数据包,监测装置将所述第一哈希值反系列化及反哈希加密转换后得到SYN数据包中的攻击源地址,监测装置阻断该攻击源地址对服务器的访问。
进一步,所述步骤S22中的哈希加密转换采用MD5加密算法。
进一步,所述步骤S22中,所述IP五元组为SYN数据包的源地址、源端口、目的地址、目的端口、协议标识。
进一步,所述步骤S23中,所述IP五元组为ACK数据包的源地址、源端口、目的地址、目的端口、协议标识。
相比于现有技术,本发明的有益效果是:
本发明在互联网入口处集中部署监测装置,有利于数据的集中采集和计算;监测装置采集来自互联网的SYN数据包及ACK数据包,并利用第一哈希数组储存SYN数据包信息、利用第二哈希数组储存ACK数据包信息,通过对SYN数据包及ACK数据包的五元组的系列化并哈希加密转换得到洪水攻击的判定特征,进而有效判定洪水攻击发起端的来源,并通过监测装置的阻断模块阻断攻击源,有效保障网络安全及服务器的稳定性。
为了能更清晰的理解本发明,以下将结合附图说明阐述本发明的较佳的实施方式。
附图说明
图1是本发明中的监测装置部署的网络拓扑示意图。
图2是本发明的流程图。
图3是图2中步骤S2的流程图。
具体实施方式
请同时参阅图1至图3,图1是本发明中的监测装置部署的网络拓扑示意图,图2是本发明的流程图,图3是图2中步骤S2的流程图。
见图1和图2,一种中央监测的洪水攻击检测方法,包括如下步骤:
S1:在网络入口处设置一监测装置,该监测装置包括IP数据包的转发模块、阻断模块及统计模块,转发模块将进入监测装置的数据包转发到服务器、阻断模块将来自洪水攻击客户端的数据包阻断、统计模块监测并统计进入该监测装置的各种数据包;
S2:监测装置监测单向流进监测装置的数据报文,并根据监测结果转发或阻断IP数据包,该步骤S2包括如下步骤:(见图3)
S21:监测装置创建第一哈希数组及第二哈希数组;
S22:监测装置采集来自互联网的SYN数据包(同步请求数据包)并提取SYN数据包信息,并对数据包中的IP五元组进行系列化及哈希加密转换得到第一哈希值,该第一哈希值储存到第一哈希数组中,所述SYN数据包为TCP/IP客户端和服务器的第一次握手数据包,所述IP五元组为SYN数据包的源地址、源端口、目的地址、目的端口、协议标识;
S23:监测装置采集来自互联网的ACK数据包(所述同步请求数据包对应的确认数据包)并提取ACK数据包信息,并对数据包中的IP五元组进行系列化及哈希加密转换得到第二哈希值,该第二哈希值储存到第二哈希数组中,所述ACK数据包为客户端发出的TCP/IP客户端与服务器第三次握手时的确认数据包;
S24:监测装置检索第二哈希数组,如果存在第二哈希值与第一哈希值相同,则为正常数据包,否则为洪水攻击数据包,监测装置将所述第一哈希值反系列化及反哈希加密转换后得到SYN数据包中的攻击源地址,监测装置阻断该攻击源地址对服务器的访问。
本发明的中央监测的洪水攻击检测方法根据洪水攻击的特征,即发起攻击的客户端不会发出ACK数据包来对服务器进行应答,从而判断出洪水攻击来源并阻断该来源的数据包,达到防护的目的。
本发明并不局限于上述实施方式,如果对本发明的各种改动或变形不脱离本发明的精神和范围,倘若这些改动和变形属于本发明的权利要求和等同技术范围之内,则本发明也意图包含这些改动和变形。

Claims (4)

1.一种中央监测的洪水攻击检测方法,其特征在于,包括如下步骤:
S1:在网络入口处设置一监测装置,该监测装置包括IP数据包的转发模块、阻断模块及统计模块;
S2:监测装置监测单向流进监测装置的数据报文,并根据监测结果转发或阻断IP数据包,该步骤S2包括如下步骤:
S21:监测装置创建第一哈希数组及第二哈希数组;
S22:监测装置采集来自互联网的SYN数据包并提取SYN数据包信息,并对数据包中的IP五元组进行系列化及哈希加密转换得到第一哈希值,该第一哈希值储存到第一哈希数组中;
S23:监测装置采集来自互联网的ACK数据包并提取ACK数据包信息,并对数据包中的IP五元组进行系列化及哈希加密转换得到第二哈希值,该第二哈希值储存到第二哈希数组中;
S24:监测装置检索第二哈希数组,如果存在第二哈希值与第一哈希值相同,则为正常数据包、否则为洪水攻击数据包,监测装置将所述第一哈希值反系列化及反哈希加密转换后得到SYN数据包中的攻击源地址,监测装置阻断该攻击源地址对服务器的访问。
2.根据权利要求1所述的一种中央监测的洪水攻击检测方法,其特征在于,所述步骤S22中的哈希加密转换采用MD5加密算法。
3.根据权利要求2所述的一种中央监测的洪水攻击检测方法,其特征在于,所述步骤S22中,所述IP五元组为SYN数据包的源地址、源端口、目的地址、目的端口、协议标识。
4.根据权利要求3所述的一种中央监测的洪水攻击检测方法,其特征在于,所述步骤S23中,所述IP五元组为ACK数据包的源地址、源端口、目的地址、目的端口、协议标识。
CN201610670261.3A 2016-08-15 2016-08-15 一种中央监测的洪水攻击检测方法 Pending CN107770123A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610670261.3A CN107770123A (zh) 2016-08-15 2016-08-15 一种中央监测的洪水攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610670261.3A CN107770123A (zh) 2016-08-15 2016-08-15 一种中央监测的洪水攻击检测方法

Publications (1)

Publication Number Publication Date
CN107770123A true CN107770123A (zh) 2018-03-06

Family

ID=61260887

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610670261.3A Pending CN107770123A (zh) 2016-08-15 2016-08-15 一种中央监测的洪水攻击检测方法

Country Status (1)

Country Link
CN (1) CN107770123A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113132359A (zh) * 2021-03-30 2021-07-16 深圳市吉方工控有限公司 一种网络安全数据信息检测方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6823387B1 (en) * 2000-06-23 2004-11-23 Microsoft Corporation System and method for enhancing a server's ability to withstand a “SYN flood” denial of service attack
CN101599957A (zh) * 2009-06-04 2009-12-09 东软集团股份有限公司 一种syn洪水攻击的防御方法和装置
CN102014109A (zh) * 2009-09-08 2011-04-13 华为技术有限公司 一种泛洪攻击的防范方法及装置
CN103986726A (zh) * 2014-05-29 2014-08-13 哈尔滨工业大学 一种基于核内存储的SYN-Flood攻击的容忍系统及容忍方法
CN105119942A (zh) * 2015-09-16 2015-12-02 广东睿江科技有限公司 一种洪水攻击检测方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6823387B1 (en) * 2000-06-23 2004-11-23 Microsoft Corporation System and method for enhancing a server's ability to withstand a “SYN flood” denial of service attack
CN101599957A (zh) * 2009-06-04 2009-12-09 东软集团股份有限公司 一种syn洪水攻击的防御方法和装置
CN102014109A (zh) * 2009-09-08 2011-04-13 华为技术有限公司 一种泛洪攻击的防范方法及装置
CN103986726A (zh) * 2014-05-29 2014-08-13 哈尔滨工业大学 一种基于核内存储的SYN-Flood攻击的容忍系统及容忍方法
CN105119942A (zh) * 2015-09-16 2015-12-02 广东睿江科技有限公司 一种洪水攻击检测方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113132359A (zh) * 2021-03-30 2021-07-16 深圳市吉方工控有限公司 一种网络安全数据信息检测方法

Similar Documents

Publication Publication Date Title
Liu et al. Efficient DDoS attacks mitigation for stateful forwarding in Internet of Things
US6816910B1 (en) Method and apparatus for limiting network connection resources
Yang et al. A DoS-limiting network architecture
US8499146B2 (en) Method and device for preventing network attacks
US7636305B1 (en) Method and apparatus for monitoring network traffic
US6973040B1 (en) Method of maintaining lists of network characteristics
US20020035628A1 (en) Statistics collection for network traffic
US20010042200A1 (en) Methods and systems for defeating TCP SYN flooding attacks
CN100579003C (zh) 一种采用网流技术防御tcp攻击的方法和系统
CN107770113A (zh) 一种精确确定攻击特征的洪水攻击检测方法
Kavisankar et al. A mitigation model for TCP SYN flooding with IP spoofing
Pappas et al. FAIR: forwarding accountability for internet reputability
Huang et al. An authentication scheme to defend against UDP DrDoS attacks in 5G networks
KR101209214B1 (ko) 세션 상태 추적을 통한 서비스 거부 공격 방어 장치 및 방법
Boppana et al. Analyzing the vulnerabilities introduced by ddos mitigation techniques for software-defined networks
Rana et al. A Study and Detection of TCP SYN Flood Attacks with IP spoofing and its Mitigations
EP1154610A2 (en) Methods and system for defeating TCP Syn flooding attacks
Patil et al. A rate limiting mechanism for defending against flooding based distributed denial of service attack
CN107770120A (zh) 一种分布式监测的洪水攻击检测方法
Paruchuri et al. Authenticated autonomous system traceback
Farhat Protecting TCP services from denial of service attacks
CN107770123A (zh) 一种中央监测的洪水攻击检测方法
Biagioni Preventing UDP flooding amplification attacks with weak authentication
Al-Duwairi et al. Distributed packet pairing for reflector based DDoS attack mitigation
Durresi et al. Efficient and secure autonomous system based traceback

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20180306