CN108566384A - 一种流量攻击防护方法、装置、防护服务器及存储介质 - Google Patents
一种流量攻击防护方法、装置、防护服务器及存储介质 Download PDFInfo
- Publication number
- CN108566384A CN108566384A CN201810247153.4A CN201810247153A CN108566384A CN 108566384 A CN108566384 A CN 108566384A CN 201810247153 A CN201810247153 A CN 201810247153A CN 108566384 A CN108566384 A CN 108566384A
- Authority
- CN
- China
- Prior art keywords
- message
- load
- sent
- server
- destination server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供一种流量攻击防护方法、装置、防护服务器及存储介质,该方法包括:在目标服务器存在流量攻击可能的情况下,获取待发往目标服务器的报文;从所述待发往目标服务器的报文中,至少提取源端口不为预定源端口的报文的载荷,得到待匹配报文的载荷;将所述待匹配报文的载荷,与预定义的攻击报文的指纹特征进行匹配,从所述待匹配报文中确定攻击报文;所确定的攻击报文的载荷带有所述指纹特征定义的各关键字段相应的字符串;过滤所述攻击报文。本发明实施例可提升流量攻击防护的准确性,提升流量攻击的防护效果,保障目标服务器正常的服务提供。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种流量攻击防护方法、装置、防护服务器及存储介质。
背景技术
流量攻击是指通过向目标服务器发送大量的攻击报文,导致目标服务器无法响应正常业务的请求,影响目标服务器提供服务的一种攻击方式。流量攻击中,DDoS(Distributed Denial of Service,分布式拒绝服务)攻击等最为典型。
目前流量攻击防护方式主要基于报文限速策略实现,即限制同一源IP发往目标IP(目标IP是需保护的目标服务器的IP)的报文速率,从而在源IP和目标IP的纬度上进行报文的速率限制,将同一源IP发往目标IP的超过速率阈值的报文进行过滤,实现目标服务器的防护。这种流量攻击防护方式只能做到报文无差别的限速,存在误杀正常报文的可能(如正常业务的报文流量过大而命中报文限速策略,则正常业务的报文会被误杀),防护的准确性并不高;同时,基于报文限速策略所进行的流量攻击防护,并无法对全部的攻击流量进行过滤,防护的全面性较低,防护效果有限。
发明内容
有鉴于此,本发明实施例提供一种流量攻击防护方法、装置、防护服务器及存储介质,以提升流量攻击防护的准确性和全面性,提升流量攻击的防护效果。
为实现上述目的,本发明实施例提供如下技术方案:
一种流量攻击防护方法,包括:
在目标服务器存在流量攻击可能的情况下,获取待发往目标服务器的报文;
从所述待发往目标服务器的报文中,至少提取源端口不为预定源端口的报文的载荷,得到待匹配报文的载荷;
将所述待匹配报文的载荷,与预定义的攻击报文的指纹特征进行匹配,从所述待匹配报文中确定攻击报文;所确定的攻击报文的载荷带有所述指纹特征定义的各关键字段相应的字符串;
过滤所述攻击报文。
本发明实施例还提供一种流量攻击防护装置,包括:
报文第一获取模块,用于在目标服务器存在流量攻击可能的情况下,获取待发往目标服务器的报文;
载荷提取模块,用于从所述待发往目标服务器的报文中,至少提取源端口不为预定源端口的报文的载荷,得到待匹配报文的载荷;
特征匹配模块,用于将所述待匹配报文的载荷,与预定义的攻击报文的指纹特征进行匹配,从所述待匹配报文中确定攻击报文;所确定的攻击报文的载荷带有所述指纹特征定义的各关键字段相应的字符串;
第一过滤模块,用于过滤所述攻击报文。
本发明实施例还提供一种防护服务器,包括:至少一个存储器和至少一个处理芯片;所述存储器存储程序,所述处理芯片执行所述程序,以实现上述所述的流量攻击防护方法。
本发明实施例还提供一种存储介质,所述存储介质存储有适于处理芯片执行的程序,以实现上述所述的流量攻击防护方法。
基于上述技术方案,本发明实施例可在需保护的目标服务器存在流量攻击可能时,根据预定义的攻击报文的指纹特征,至少对待发往目标服务器的报文中,源端口不为预定源端口的报文的载荷进行分析;通过指纹特征定义的攻击报文应具有的各关键字段相应的字符串,至少从该源端口不为预定源端口的报文中匹配出攻击报文并进行过滤,从而基于报文载荷内容的分析,实现攻击报文的有效识别和过滤,提升流量攻击防护的准确性和全面性。
本发明实施例提供的流量攻击防护方法,可通过预定义攻击报文的指纹特征,对攻击报文应具有的各关键字段相应的字符串进行设定,从而基于报文载荷内容与预定义的攻击报文的指纹特征的匹配,可准确高效的识别和过滤攻击报文,并且对正常报文没有误拦情况,提升了流量攻击防护的准确性和全面性,提升了流量攻击的防护效果,可保证需保护的目标服务器对正常业务的稳定响应,保障目标服务器正常的服务提供。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的流量攻击防护系统的架构图;
图2为本发明实施例提供的流量攻击防护方法的流程图;
图3为攻击报文的各关键字段间的字符串进行组合的示意图;
图4为报文与攻击报文的指纹特征进行匹配的示意图;
图5为本发明实施例提供流量攻击防护方法的另一流程图;
图6为防护服务器处理报文的流程图;
图7为本发明实施例提供的流量攻击防护方法的再一流程图;
图8为TFTP反射攻击的过程示例图;
图9为本发明实施例提供的流量攻击防护方法的又一流程图;
图10为TFTP报文的格式示意图;
图11为本发明实施例提供的流量攻击防护方法的应用场景示例流程图;
图12为本发明实施例提供的流量攻击防护装置的结构框图;
图13为本发明实施例提供的流量攻击防护装置的另一结构框图;
图14为本发明实施例提供的流量攻击防护装置的再一结构框图;
图15为本发明实施例提供的流量攻击防护装置的又一结构框图;
图16为本发明实施例提供的防护服务器的硬件结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供的流量攻击防护方法,可在路由器层面,基于攻击报文的指纹特征,对待发往需保护的目标服务器的攻击报文(即攻击流量)进行拦截过滤,减少目标服务器接收到攻击报文的可能,提升流量攻击防护的准确性和全面性,提升防护效果。
如图1所示流量攻击防护系统,本发明实施例可在路由器层面设置防护服务器,实施本发明实施例提供的流量攻击防护方法;参照图1,本发明实施例提供的流量攻击防护系统可以包括:路由器10,防护服务器20,目标服务器30;
其中,路由器10接入网络;路由器可从网络获取报文,并基于报文的目的IP,将报文发往目的IP相应的服务器,报文发往的服务器包含了本发明实施例需保护的目标服务器30;
若不对路由器10获取的报文进行攻击报文的判断和过滤,则目标服务器30将因接收到大量的攻击报文而无法响应正常业务的报文,导致目标服务器无法提供正常服务;
为解决流量攻击的防护问题,本发明实施例在路由器层面设置了与路由器相连的防护服务器20;防护服务器20可以是在已有的流量攻击防护设备的基础上,增加本发明实施例提供的流量攻击防护方法的功能实现,并设置与路由器10相接;防护服务器20也可以是专门设置的,用于实施本发明实施例提供的流量攻击防护方法的设备;在本发明实施例中,防护服务器20至少具有数据处理,数据通信等功能;
在本发明实施例中,可设置防护服务器需保护的目标服务器,如在防护服务器中设置目标服务器的目标IP(即需保护的目标服务器的IP),将路由器获取的报文中待发往目标服务器的报文(如目的IP为目标IP的报文)牵引至防护服务器,由防护服务器对待发往目标服务器的报文进行载荷分析,过滤攻击报文,保留正常报文,向路由器回注正常报文;提升路由器发往目标服务器的报文均是正常报文的可能。
可以理解的是,攻击报文为攻击者发送的恶意的数据报文,属于攻击流量;正常报文为正常用户请求正常业务的数据报文,属于正常流量。
可选的,图1所示流量攻击防护系统可应用于网络中心,相应的路由器可选用核心路由器,进一步,流量攻击防护系统中还可设置核心网关,通过核心网关实现报文在核心路由器与目标服务器之间的传递;当然,图1所示流量攻击防护系统也可应用于网络的接入端。
基于上述描述的流量攻击防护系统,进行本发明实施例提供流量攻击防护方法的一种可选流程的介绍,结合图2所示,该流程可以包括:
S10、路由器将从网络获取的报文的镜像报文,转发给防护服务器。
对于路由器从网络获取到的各报文,路由器可进行复制形成镜像报文,将镜像报文转发给防护服务器,以便防护服务器检测是否存在针对目标服务器的流量攻击。可以理解的是,路由器可不断的从网络获取到报文,因此防护服务器可不断的获取到镜像报文。
可选的,若使用光纤手段进行数据传输,则路由器可通过分光方式,对获取到的各报文进行复制,得到各报文相应的镜像报文,将镜像报文转发给防护服务器。
在本发明实施例中,路由器从网络获取报文后,并不是基于报文的目的IP传递给服务器,而是需要进行报文复制,将镜像报文转发给防护服务器,基于防护服务器对镜像报文的分析,进行目标服务器是否存在流量攻击可能的判断。
S11、防护服务器根据所述镜像报文,确定待发往目标服务器的报文的速率。
可选的,本发明实施例可在防护服务器中指定需保护的目标服务器,从而对目标服务器进行流量攻击防护;如指定目标服务器的目标IP,目标IP的数量可以为至少一个(即需保护的目标服务器的数量可以为至少一个);
在获取镜像报文后,防护服务器可根据各镜像报文的目的IP,提取目的IP为目标IP的报文,计算出目的IP为目标IP的报文在单位时间内的数量(如1秒内所获取的目的IP为目标IP的报文的数量),得到待发往目标服务器的报文的速率。
可选的,若目标IP的数量为多个,则需要分别对各目标IP进行报文速率的确定。
步骤S12、防护服务器根据待发往目标服务器的报文的速率,判断目标服务器是否存在流量攻击可能。
如果攻击者针对目标服务器发起了流量攻击,则针对目标服务器将存在大量的攻击报文,此时,路由器所获取的待发往目标服务器的报文的数量将突然增加,即目的IP为目标IP的报文的速率将瞬间增大;基于此情况,本发明实施例可设置速率阈值,通过将待发往目标服务器的报文的速率,与速率阈值进行比对,判断待发往目标服务器的报文的速率是否存在突然增大的情况,以判断出目标服务器是否存在流量攻击可能;
相应的,防护服务器在确定待发往目标服务器的报文的速率后,可将待发往目标服务器的报文的速率与速率阈值进行比对,如果待发往目标服务器的报文的速率大于速率阈值,则认为目标服务器存在流量攻击可能(即待发往目标服务器的报文中可能存在攻击报文),如果待发往目标服务器的报文的速率不大于速率阈值,则认为目标服务器不存在流量攻击可能。
步骤S13、若目标服务器存在流量攻击可能,防护服务器向路由器请求牵引待发往目标服务器的报文。
在防护服务器判断目标服务器存在流量攻击可能时,防护服务器可向路由器请求牵引待发往目标服务器的报文,请求将待发往目标服务器的报文牵引到防护服务器进行处理;
可选的,防护服务器可建立与路由器的bgp(Border Gateway Protocol,边界网关协议)关系,向路由器发布目标IP的牵引路由,请求路由器根据所述牵引路由,将待发往目标服务器的报文牵引至防护服务器,以使防护服务器获取到待发往目标服务器的报文。
可选的,如果判断目标服务器不存在流量攻击可能,则可以认为路由器从网络获取的报文均是正常报文(即正常业务的报文),防护服务器可通知路由器将从网络获取的待发往目标服务器的报文转发给目标服务器。
可选的,在本发明实施例中,防护服务器可实时的进行目标服务器是否存在流量攻击可能的判断,也可定时的进行。
步骤S14、路由器将待发往目标服务器的报文牵引至防护服务器。
相应的,防护服务器可获取到牵引的待发往目标服务器的报文。
步骤S15、防护服务器从待发往目标服务器的报文中,过滤源端口为预定源端口的报文。
对于从路由器牵引到防护服务器的待发往目标服务器的报文(即目的IP为目标IP的报文),本发明实施例可对待发往目标服务器的各报文的源端口进行分析,从中过滤掉源端口为预定源端口的报文。
可选的,预定源端口可以是根据攻击报文所使用的协议,预先分析出的攻击报文集聚的源端口,一般可以认为是攻击报文所使用的协议基于的源端口;本发明的发明人经过研究发现,流量攻击过程中,虽然攻击报文的源端口可能呈随机变化的情况,但根据攻击报文所使用的协议基于的源端口,攻击报文一般会大部分集聚在其所使用的协议基于的源端口,因此可先行将待发往目标服务器的报文中,源端口为预定源端口的报文进行过滤;
例如,针对TFTP(Trivial File Transfer Protocol,简单文件传输协议)反射攻击而言,TFTP反射攻击作为一种新型的DDoS攻击手段,其在流量攻击过程中报文的源端口是随机变化的,但由于TFTP协议基于69端口,因此通常TFTP反射攻击的攻击报文会大部分(通常占1/3的比例)集聚在源端口69;基于此,在判断目标服务器存在TFTP反射攻击可能的情况下,可将待发往目标服务器的报文中,源端口为69源端口的报文进行过滤。
可选的,若使用OSI(Open System Interconnection,开放式系统互联)七层模型,则本发明实施例可在OSI七层模型的传输层(即第四层),将待发往目标服务器的报文中,源端口的端口号与预定源端口号相应的报文进行过滤。
步骤S16、防护服务器从待发往目标服务器的报文中,提取源端口不为预定源端口的第一报文的载荷。
为便于描述,本发明实施例可称待发往目标服务器的报文中,源端口不为预定源端口的报文为第一报文;可以理解的是,在从待发往目标服务器的报文中,过滤源端口为预定源端口的报文后,剩余报文为第一报文;
由于流量攻击过程中,攻击报文的源端口呈随机变化,因此在目标服务器存在流量攻击可能时,待发往目标服务器的报文中,源端口不为预定源端口的第一报文也可能存在攻击报文;本发明实施例还需进一步分析判断出第一报文中的攻击报文并进行过滤。
本发明实施例对于源端口不为预定源端口的第一报文,主要分析第一报文的载荷实现攻击报文的识别,因此需提取出源端口不为预定源端口的第一报文的载荷,报文的载荷可以认为是报文所携带的信息内容。
步骤S17、防护服务器将所述第一报文的载荷,与预定义的攻击报文的指纹特征进行匹配,从所述第一报文中确定载荷带有所述指纹特征定义的各关键字段相应的字符串的攻击报文,及载荷中未带有所述指纹特征定义的各关键字段相应的字符串的正常报文。
本发明实施例可预先定义攻击报文的指纹特征,攻击报文的指纹特征可以定义攻击报文的各关键字段相应的字符串。
作为一种可选实现,攻击报文的指纹特征可以包括:攻击报文的载荷包含的各关键字段间字符串的各种组合结果;
本发明实施例可在服务器受到流量攻击时,对服务器接收的攻击报文进行收集整理,分析攻击报文的载荷中存在的关键字段(关键字段可能为至少一个),并整理得到攻击报文的各关键字段相应的字符串;
举例来说,如图3所示,可设攻击报文的载荷中存在关键字段1、关键字段2、关键字段3;本发明实施例可对收集的攻击报文的载荷内容进行整理分析,确定关键字段1相应的字符串(可能为至少一个),关键字段2相应的字符串(可能为至少一个),关键字段3相应的字符串(可能为至少一个);如图3,可假设关键字段1相应的字符串为11、12,关键字段2相应的字符串为21、22,关键字段3相应的字符串为31、32;
则可将各关键字段间的字符串进行不重复组合,确定各关键字段间字符串的各种组合结果,以获取到攻击报文的指纹特征;如果第一报文的载荷对应任一种组合结果,则认为第一报文的载荷带有所述指纹特征定义的各关键字段相应的字符串,属于攻击报文,如果第一报文的载荷未对应任一种组合结果,则认为第一报文为正常报文;
如图3所示,攻击报文的指纹特征可以包括各关键字段相应的字符串的如下可能组合结果:112131、112132、112231、112232、122131、122132、122231、122232。
在定义了攻击报文的指纹特征所包括的各关键字段相应的字符串后,本发明实施例可将各第一报文的载荷与攻击报文的指纹特征进行匹配,从第一报文中判断出攻击报文(攻击报文的载荷带有所述指纹特征定义的各关键字段相应的字符串),及正常报文(正常报文的载荷未带有所述指纹特征定义的各关键字段相应的字符串);
如图4所示,以载荷包括112131的字符串的第一报文,以及载荷包括132333的字符串的第一报文为例,将第一报文与攻击报文的指纹特征进行匹配后,可确定载荷包括112131的字符串的第一报文为攻击报文,载荷包括132333的字符串的第一报文为正常报文。
步骤S18、防护服务器过滤所述攻击报文,并将所述正常报文回注给路由器。
防护服务器从第一报文中识别出攻击报文和正常报文后,可对攻击报文进行拦截过滤,保障攻击报文不被发往目标服务器;同时可将识别的正常报文回注给路由器,使得路由器可将正常报文发往目标服务器;实现在拦截过滤攻击报文的同时,不影响目标服务器对正常报文的接收和响应。
需要说明的是,在本发明实施例中,牵引到防护服务器进行防护处理的报文是,路由器从网络获取的目的IP为目标IP的报文;而前文S10步骤中转发给防护服务器的是,路由器从网络获取的报文的镜像报文,两者是存在区别的;即在本发明实施例中,防护服务器可基于镜像报文检测目标服务器是否存在流量攻击可能,而牵引到访问服务器的待发往目标服务器的报文是用于进行攻击报文的识别与过滤,保障过滤后的发往目标服务器的报文均是正常报文;
本发明实施例通过镜像报文进行目标服务器是否存在攻击可能的判断,通过牵引的待发往目标服务器的报文进行攻击报文的识别和过滤,可使得防护服务器与路由器的数据路由功能更好的配合与兼容,实现攻击报文的防护,和正常报文的放行。
图2所示流程中,目标服务器是否存在流量攻击可能的判断也可能在路由器侧执行,路由器可确定从网络获取的待发往目标服务器的报文的速率,并在待发往目标服务器的报文的速率大于速率阈值时,认为目标服务器存在流量攻击可能,从而将待发往目标服务器的报文牵引至防护服务器,进行攻击报文的清洗过滤;
可选的,图5示出了本发明实施例提供流量攻击防护方法的另一种可选流程,参照图5,该流程可以包括:
步骤S20、路由器识别从网络获取的待发往目标服务器的报文,并确定待发往目标服务器的报文的速率。
可选的,路由器对于从网络获取的任一报文可进行目的IP的识别,将获取的目的IP为目标IP的报文,识别为待发往目标服务器的报文;通过确定所获取的待发往目标服务器的报文在单位时间内的数量,得到待发往目标服务器的报文的速率。
步骤S21、路由服务器根据待发往目标服务器的报文的速率,判断目标服务器是否存在流量攻击可能。
可选的,可将待发往目标服务器的报文的速率与速率阈值进行比对,如果待发往目标服务器的报文的速率大于速率阈值,则认为目标服务器存在流量攻击可能,如果待发往目标服务器的报文的速率不大于速率阈值,则认为目标服务器不存在流量攻击可能。
步骤S22、若目标服务器存在流量攻击可能,路由器将待发往目标服务器的报文牵引至防护服务器。
可选的,路由器可根据目标IP的牵引路由,在目标服务器存在流量攻击可能时,将待发往目标服务器的报文牵引至防护服务器。
可选的,若判断目标服务器不存在流量攻击可能,则路由器可将从网络获取的待发往目标服务器的报文发送给目标服务器。
步骤S23、防护服务器从待发往目标服务器的报文中,过滤源端口为预定源端口的报文。
可选的,步骤S23的说明介绍可参照图2所示步骤S15。
步骤S24、防护服务器从待发往目标服务器的报文中,提取源端口不为预定源端口的第一报文的载荷。
可选的,步骤S24的说明介绍可参照图2所示步骤S16。
步骤S25、防护服务器将所述第一报文的载荷,与预定义的攻击报文的指纹特征进行匹配,从所述第一报文中确定载荷带有所述指纹特征定义的各关键字段相应的字符串的攻击报文,及载荷中未带有所述指纹特征定义的各关键字段相应的字符串的正常报文。
可选的,步骤S25的说明介绍可参照图2所示步骤S17。
步骤S26、防护服务器过滤所述攻击报文,并将所述正常报文回注给路由器。
可选的,步骤S26的说明介绍可参照图2所示步骤S18。
图2所示流程和图5所示流程中,防护服务器是先从待发往目标服务器的报文中,过滤源端口为预定源端口的报文,然后再根据攻击报文的指纹特征,对源端口不为预定源端口的第一报文进行攻击报文的识别和过滤;作为一种变形,防护服务器可根据攻击报文的指纹特征,对待发往目标服务器的报文直接进行攻击报文的识别和过滤,而不一定是先从待发往目标服务器的报文中,过滤源端口为预定源端口的报文;
可选的,图6示出了防护服务器处理待发往目标服务器的报文的一种可选流程,该流程可由防护服务器执行,具体可在图2所示步骤S14之后替换图2的后续流程,或,在图5所示步骤S22之后替换图5的后续流程;参照图6,该流程可以包括:
步骤S30、防护服务器提取待发往目标服务器的报文的载荷。
可选的,防护服务器在获取待发往目标服务器的报文后,可提取待发往目标服务器的报文的载荷。
步骤S31、防护服务器将待发往目标服务器的报文的载荷,与预定义的攻击报文的指纹特征进行匹配,确定载荷带有所述指纹特征定义的各关键字段相应的字符串的攻击报文,及载荷中未带有所述指纹特征定义的各关键字段相应的字符串的正常报文。
可选的,攻击报文的指纹特征可以包括:攻击报文的载荷包含的各关键字段相应的字符串;在提取待发往目标服务器的报文的载荷后,可从待发往目标服务器的报文中,识别攻击报文(载荷带有所述指纹特征定义的各关键字段相应的字符串),以及正常报文(载荷中未带有所述指纹特征定义的各关键字段相应的字符串)。
步骤S32、防护服务器过滤所述攻击报文,并将所述正常报文回注给路由器。
可以看出,在本发明实施例中,防护服务器获取待发往目标服务器的报文后,可至少提取源端口不为预定源端口的报文的载荷(包括:提取源端口不为预定源端口的第一报文的载荷;或,除提取源端口不为预定源端口的第一报文的载荷外,还提取源端口为预定源端口的报文的载荷,即对待发往目标服务器的报文全部进行载荷提取),从而得到待与攻击报文的指纹特征进行匹配的待匹配报文的载荷(待匹配报文可以是待与攻击报文的指纹特征进行匹配的报文,包括:源端口不为预定源端口的第一报文,或,待发往目标服务器的报文),进而将待匹配报文的载荷与攻击报文的指纹特征进行匹配,识别出攻击报文进行过滤拦截,识别出正常报文回注给路由器;
相应的,从防护服务器的角度来看,本发明实施例提供的流量攻击防护方法的再一流程可如图7所示,图7所示流程可由防护服务器执行,参照图7,该流程可以包括:
步骤S40、在目标服务器存在流量攻击可能的情况下,防护服务器获取待发往目标服务器的报文。
可选的,可由防护服务器进行目标服务器是否存在流量攻击可能的判断,相应的,防护服务器可在判断目标服务器存在流量攻击可能的情况下,向路由器请求牵引待发往目标服务器的报文,获取到待发往目标服务器的报文;
作为另一种实现方式,也可由路由器进行目标服务器是否存在流量攻击可能的判断,相应的,路由器可在判断目标服务器存在流量攻击可能的情况下,将待发往目标服务器的报文牵引至防护服务器,使得防护服务器获取到待发往目标服务器的报文。
步骤S41、防护服务器从待发往目标服务器的报文中,至少提取源端口不为预定源端口的报文的载荷,得到待匹配报文的载荷。
可选的,防护服务器可仅从待发往目标服务器的报文中,提取源端口不为预定源端口的报文(称为第一报文)的载荷,得到待匹配报文的载荷;
作为另一种实现,防护服务器可从待发往目标服务器的报文中,提取源端口不为预定源端口的报文的载荷,及源端口为预定源端口的报文的载荷,得到待匹配报文的载荷。
步骤S42、防护服务器将所述待匹配报文的载荷,与预定义的攻击报文的指纹特征进行匹配,从所述待匹配报文中确定攻击报文;所述攻击报文的载荷带有所述指纹特征定义的各关键字段相应的字符串。
可选的,步骤S42的介绍说明可参照图2所示步骤S17。
进一步,本发明实施例可使用字符串多模式匹配算法将所述待匹配报文的载荷,与预定义的攻击报文的指纹特征进行匹配,提升匹配分析的效率与准确性;可选的,字符串多模式匹配算法可选用AC(Aho Corasick)算法实现,AC算法是开源的多模式匹配算法,可以有效减轻匹配过程中造成的性能损耗,以实现高效的匹配;
可选的,本发明实施例可使用字符串多模式匹配算法将所述待匹配报文的载荷,与预定义的攻击报文的各关键字段间字符串的各种组合结果进行匹配。
步骤S43、防护服务器过滤所述攻击报文。
可选的,进一步,若待匹配报文中存在正常报文,则防护服务器可在待匹配报文的载荷,与预定义的攻击报文的指纹特征进行匹配时,从所述待匹配报文中确定正常报文,所述正常报文的载荷未带有所述指纹特征定义的各关键字段相应的字符串;并向路由器回注正常报文,以使正常报文发送至目标服务器。
可选的,如果待匹配报文包括源端口不为预定源端口的报文,及源端口为预定源端口的报文,则通过图7所示流程,防护服务器可对待发往目标服务器的报文完成攻击报文的过滤拦截,完成针对目标服务器的流量攻击防护;而如果待匹配报文包括源端口不为预定源端口的报文,则针对源端口为预定源端口的报文,防护服务器还可从待发往目标服务器的报文中,过滤源端口为预定源端口的报文。
本发明实施例可在需保护的目标服务器存在流量攻击可能时,根据预定义的攻击报文的指纹特征,至少对待发往目标服务器的报文中,源端口不为预定源端口的报文的载荷进行分析;通过指纹特征定义的攻击报文应具有的各关键字段相应的字符串,至少从该源端口不为预定源端口的报文中匹配出攻击报文并进行过滤,从而基于报文载荷内容的分析,实现攻击报文的有效识别和过滤,提升流量攻击防护的准确性和全面性。
本发明实施例提供的流量攻击防护方法,可通过预定义攻击报文的指纹特征,对攻击报文应具有的各关键字段相应的字符串进行设定,从而基于报文载荷内容与预定义的攻击报文的指纹特征的匹配,可准确高效的识别和过滤攻击报文,并且对正常报文没有误拦情况,提升了流量攻击防护的准确性和全面性,提升了流量攻击的防护效果,可保证需保护的目标服务器对正常业务的稳定响应,保障目标服务器正常的服务提供。
TFTP(Trivial File Transfer Protocol,简单文件传输协议)反射攻击作为一种新型的DDoS攻击方式,本发明实施例提供的流量攻击防护方法同样可适用于TFTP反射攻击的防护。
TFTP反射攻击主要是攻击者利用网络中配置不当的TFTP服务器作为肉鸡,攻击者通过伪造目标服务器的IP向TFTP服务器发起请求,从而使得TFTP服务器响应攻击者的请求后,向目标服务器发起大量的TFTP响应报文,实现TFTP反射放大攻击;TFTP反射攻击的过程可如图8所示示例;
针对TFTP反射攻击,本发明实施例可分析TFTP服务器响应攻击者的请求后,向目标服务器发送的TFTP响应报文的指纹特征,实现TFTP响应报文包含的各关键字段相应的字符串的设定;
本发明的发明人通过分析发现,TFTP反射攻击是基于攻击者伪造目标服务器的IP对TFTP服务器发起请求实现,由于攻击者发起的请求并不是在请求实际存在内容,所以TFTP服务器响应的TFTP响应报文一般是TFTP报错应答报文;TFTP报错应答报文可以认为是TFTP反射攻击场景下的攻击报文,当然在其他形式的流量攻击场景下,攻击报文的形式可相应调整,TFTP报错应答报文仅是本发明实施例所指的攻击报文的一种可选形式;
通过分析TFTP报错应答报文的载荷(即信息内容),可以发现:TFTP报错应答报文的载荷主要分为3块,即操作码、差错码、及差错信息;即在TFTP反射攻击场景下,攻击报文的关键字段可以包括:操作码、差错码、及差错信息;从而可分析TFTP报错应答报文的操作码所相应的字符串内容,差错码所相应的字符串内容,及差错信息所相应的字符串内容,实现TFTP反射攻击的防护场景下,攻击报文的各关键字段相应的字符串的定义。
前文所述的图2流程在防护TFTP反射攻击场景的适用可参照图9所示,当然前文所述的任一流程均可在防护TFTP反射攻击场景进行适用,此处仅以图2所示流程进行说明;
图9为本发明实施例提供的流量攻击防护方法的又一可选流程,参照图9,该流程可以包括:
步骤S50、路由器将从网络获取的udp报文的镜像udp报文,转发给防护服务器。
在防护TFTP反射攻击的场景下,TFTP服务器的报错应答报文一般是udp(UserDatagram Protocol,用户数据报协议)报文形式,因此在防护TFTP反射攻击时,路由器可通过分光方式,将从网络获取的udp报文进行复制,复制得到的镜像udp报文可转发给防护服务器。
可以理解的是,udp报文仅是在防护TFTP反射攻击的场景下,路由器从网络获取的报文的一种可选形式,相应的,镜像udp报文仅是本发明实施例所指的镜像报文的一种可选形式。
步骤S51、防护服务器根据所述镜像udp报文,确定待发往目标服务器的udp报文的速率。
防护服务器可设置需保护的目标服务器的目标IP,对镜像报文中目的IP为目标IP的udp报文的流量进行统计分析,确定待发往目标服务器的udp报文的速率(如单位时间内待发往目标服务器的udp报文的数量)。
步骤S52、防护服务器根据待发往目标服务器的udp报文的速率,判断目标服务器是否存在TFTP反射攻击可能。
如果目的IP为目标IP的udp报文的速率突增,如1秒内目的IP为目标IP的udp报文的数量超过一定阈值,则认为待发往目标服务器的udp报文的速率大于速率阈值,目标服务器存在TFTP反射攻击可能。
步骤S53、若目标服务器存在TFTP反射攻击可能,防护服务器向路由器请求牵引待发往目标服务器的udp报文。
可选的,若待发往目标服务器的udp报文的速率不大于速率阈值,则目标服务器不存在TFTP反射攻击可能,可通知路由器将待发往目标服务器的udp报文发送给目标服务器。
步骤S54、路由器将待发往目标服务器的udp报文牵引至防护服务器。
相应的,防护服务器可获取到牵引的待发往目标服务器的udp报文。
步骤S55、防护服务器从待发往目标服务器的udp报文中,过滤源端口的端口号为69的udp报文。
本发明的发明人发现,TFTP反射攻击在整个攻击过程中源端口是呈随机变化,因此基于过滤固定源端口的udp报文的方式,并不能全面的过滤掉TFTP报错应答报文,但仍然会存在部分的TFTP反射攻击集聚在TFTP协议的源端口69,因此本发明实施例可先行将待发往目标服务器的udp报文中,源端口的端口号为69的udp报文进行过滤,然后再对源端口的端口号不为69的udp报文进行基于TFTP报错应答报文的指纹特征的匹配。
可选的,端口号为69的源端口仅是本发明实施例所指的预定源端口的一种可选形式,在其他形式的流量攻击场景下,预定源端口可能并不一定是69源端口,如在NTP反射攻击场景下,预定源端口可以是端口号为123的源端口、在ssdp反射攻击场景下,预定源端口可以是端口号为1900的源端口。
可选的,本发明实施例可在OSI七层模型的传输层(即第四层),从待发往目标服务器的udp报文中,过滤源端口的端口号为69的udp报文。
步骤S56、防护服务器从待发往目标服务器的udp报文中,提取源端口的端口号不为69的第一报文的载荷。
在从待发往目标服务器的udp报文中过滤掉源端口的端口号为69的报文后,本发明实施例可对源端口的端口号不为69的报文(本发明实施例所指的第一报文的一种可选形式)的载荷进行提取。
步骤S57、防护服务器将所述第一报文的载荷,与预定义的TFTP报错应答报文的指纹特征进行匹配,从所述第一报文中确定载荷带有所述指纹特征定义的操作码、差错码、及差错信息分别相应的字符串的TFTP报错应答报文,及载荷未带有所述指纹特征定义的操作码、差错码、及差错信息分别相应的字符串的正常udp报文。
在防护TFTP反射攻击的场景下,本发明实施例预定义的TFTP报错应答报文的指纹特征可以包括:操作码、差错码、及差错信息分别相应的字符串;
本发明实施例可将TFTP报错应答报文的操作码、差错码、及差错信息相应的字符串进行不重复的组合,得到TFTP报错应答报文的操作码、差错码、及差错信息相应的字符串的各种组合结果,如果第一报文的载荷对应任一种组合结果,则认为第一报文属于攻击报文,如果第一报文的载荷未对应任一种组合结果,则认为第一报文属于正常报文。
作为一种示例,TFTP报文的格式可如图10所示,其中加粗方框内的内容可以认为是TFTP应答报文的格式,当操作码=5(error)的时候(仅是一种示例),这个TFTP应答报文就是需要防护的TFTP报错应答报文。
可选的,通过对TFTP报错应答报文进行收集和分析,操作码、差错码、及差错信息分别对应的字符串可以如下,如下所示内容仅是一种示例说明:
操作码:0x00、0x05 #Error
差错码:
差错信息:TFTP报错应答报文的差错信息会由于不同的差错码和不同的服务器版本而携带不同的差错信息,本发明实施例可对收集的所有差错信息进行记录,并利用正则表达式的方式减少差错信息的条目梳理,提高了匹配效率,差错信息举例如下:
No%20suchile%20or%20directory
Tftp
TFTP%20
%20TFTP
RRQ%20%22(.*)
....
基于上述示例,则可将TFTP报错应答报文的操作码、差错码、及差错信息相应的字符串进行不重复的组合,得到TFTP报错应答报文的操作码、差错码、及差错信息相应的字符串的各种组合结果;即TFTP报错应答报文的指纹特征包括:操作码相应的任一字符串+差错码相应的任一字符串+差错信息相应的任一字符串;示例如下:
^%00%05%00%00(.*)No%20suchile%20or%20directory
^%00%05%00%00(.*)tftp
pattern:^%00%05%00%00(.*)TFTP%20
^%00%05%00%00(.*)%20TFTP
^%00%05%00%00(.*)RRQ%20%22(.*)%22%20netascii
^%00%05%00%00(.*)tftp%20operation
^%00%05%00%00(.*)file(.*)not%20found
^%00%05%00%00(.*)transfer%20mode....
如对于^%00%05%00%00(.*)No%20suchile%20or%20directory的组合结果,其含义是以%00%05%00%00开头(%是指16进制),这里操作码为%00%05,差错码为%00%00,而且存在字符串No%20suchile%20or%20directory(%20是指空格)的差错信息;
显然,上述以TFTP报错应答报文的操作码、差错码、及差错信息间字符串的各种组合结果,作为TFTP报错应答报文的指纹特征仅是一种示例;本发明实施例也可列举出TFTP报错应答报文的操作码相应的字符串,差错码相应的字符串,及差错信息相应的字符串,来作为TFTP报错应答报文的指纹特征,而不进行组合。
在提取第一报文的载荷后,可将第一报文的载荷与上述TFTP报错应答报文的操作码、差错码、及差错信息相应的字符串的各种组合结果进行匹配,判断是否存在载荷匹配任一种组合结果的第一报文,从而将载荷匹配任一种组合结果的第一报文识别为攻击报文进行过滤,将载荷不匹配任一种组合结果的第一报文识别为正常保护,并将正常报文回注给路由器,以使正常报文发送至目标服务器。
可选的,本发明实施例可使用AC算法将所述第一报文的载荷,与预定义的TFTP报错应答报文的指纹特征进行匹配。
步骤S58、防护服务器过滤所述TFTP报错应答报文,将所述正常udp报文回注给路由器。
当然,在适用图5所示流程进行TFTP反射攻击的防护时,本发明实施例也可由路由器进行目标服务器是否存在TFTP反射攻击可能的判断;当然,本发明实施例也可支持对待发往目标服务器的所有udp报文进行TFTP报错应答报文的指纹特征匹配。
本发明实施例能够准确、高效地识别TFTP反射攻击流量,而且对正常的udp业务流量不会有误拦,能够有效地防护TFTP反射攻击,避免服务器的业务遭受攻击而造成拒绝服务,保障服务器的业务稳定可用,并且可将TFTP反射攻击防护成功率提升到近乎100%,实现全面、准确的TFTP反射攻击防护。
作为一种应用示例,本发明实施例可在游戏场景下,进行游戏服务器的保护,防护来自外部的TFTP反射攻击;图11示出了本发明实施例提供的流量攻击防护方法的应用场景示例,如图11所示,该场景示例的过程可以如下:
S1、攻击者伪造游戏服务器的IP向TFTP服务器发起请求,由于攻击者发起的请求并不是在请求实际存在内容,因此TFTP服务器会产生TFTP报错应答报文;基于攻击者伪造的游戏服务器的IP,TFTP服务器将TFTP报错应答报文发送给游戏服务器;
S2、同时,游戏用户也将请求游戏业务,向游戏服务器发送正常的udp业务报文;
S3、位于网络中心的核心路由器,会接收到TFTP报错应答报文和正常的udp业务报文,此处统称为udp报文;核心路由器可通过分光方式,将udp报文的镜像报文传递给防护服务器;
S4、防护服务器分析目的IP为游戏服务器的IP的udp报文的速率,在速率不大于速率阈值时(即游戏服务器不存在TFTP发射攻击),执行S5,在速率大于速率阈值时(即游戏服务器存在TFTP发射攻击),执行S6;
S5、防护服务器确定udp报文为正常的udp业务报文,通知核心路由器将正常的udp业务报文转发给游戏服务器;
S6、防护服务器过滤源端口的端口号为69的udp报文,对源端口的端口号不为69的udp报文进行TFTP报错应答报文的指纹特征匹配,识别并过滤TFTP报错应答报文,向核心路由器回注正常的udp业务报文。
S7、核心路由器将正常的udp业务报文,通过核心网关发送给游戏服务器。
可选的,上述应用场景示例中,防护服务器可实时的进行TFTP反射攻击的防护,并在检测到游戏服务器存在TFTP反射攻击可能时,从待发往游戏服务器的udp报文中,过滤清洗TFTP报错应答报文;可见在图11所示应用场景示例中,防护服务器可从核心路由器获取的报文中,准确、全面的识别TFTP报错应答报文,并对正常的udp业务报文给予准确的放行,可有效的对TFTP反射攻击进行防护,保障游戏服务器的业务正常运行。
同理,本发明实施例提供的流量攻击防护方法也可适用于电子商务,云服务,即时通讯等业务场景,对不同业务进行流量攻击的全面、准确防护。
下面对本发明实施例提供的流量攻击防护装置进行介绍,下文描述的流量攻击防护装置可以认为是防护服务器,为实现本发明实施例提供的流量攻击防护方法所需设置的程序模块;下文描述的流量攻击防护装置的内容,可与上文描述的流量攻击防护方法的内容相互对应参照。
图12为本发明实施例提供的流量攻击防护装置的结构框图,该流量攻击防护装置可应用于防护服务器,参照图12,该流量攻击防护装置可以包括:
报文第一获取模块100,用于在目标服务器存在流量攻击可能的情况下,获取待发往目标服务器的报文;
载荷提取模块200,用于从所述待发往目标服务器的报文中,至少提取源端口不为预定源端口的报文的载荷,得到待匹配报文的载荷;
特征匹配模块300,用于将所述待匹配报文的载荷,与预定义的攻击报文的指纹特征进行匹配,从所述待匹配报文中确定攻击报文;所确定的攻击报文的载荷带有所述指纹特征定义的各关键字段相应的字符串;
第一过滤模块400,用于过滤所述攻击报文。
可选的,图13示出了本发明实施例提供的流量攻击防护装置的另一结构框图,结合图12和图13所示,该流量攻击防护装置还可以包括:
正常报文确定模块500,用于从所述待匹配报文中确定正常报文;所述正常报文的载荷未带有所述指纹特征定义的各关键字段相应的字符串;
正常报文回注模块600,用于向路由器回注所述正常报文。
可选的,所述指纹特征包括:预定义的攻击报文的各关键字段间字符串的各种组合结果;
可选的,特征匹配模块300,用于将所述待匹配报文的载荷,与预定义的攻击报文的指纹特征进行匹配,具体包括:
将所述待匹配报文的载荷,与所述各种组合结果进行匹配;
可选的,特征匹配模块300,用于从所述待匹配报文中确定攻击报文,具体包括:
从所述待匹配报文中确定载荷对应任一种组合结果的攻击报文。
相应的,正常报文确定模块500,用于从所述待匹配报文中确定正常报文,具体包括:
从所述待匹配报文中确定载荷未对应任一种组合结果的正常报文。
可选的,特征匹配模块300,用于将所述待匹配报文的载荷,与所述各种组合结果进行匹配,具体包括:
使用字符串多模式匹配算法将所述待匹配报文的载荷,与所述各种组合结果进行匹配。
可选的,本发明实施例可适用于TFTP反射攻击的防护,相应的,攻击报文可以包括:TFTP报错应答报文;TFTP报错应答报文的各关键字段可以包括:TFTP报错应答报文的操作码、差错码、及差错信息;相应的,TFTP报错应答报文的指纹特征可以定义有操作码、差错码、及差错信息分别相应的字符串;
作为一种可选实现,TFTP报错应答报文的指纹特征可以包括:操作码、差错码、及差错信息间的字符串的各种组合结果。
可选的,作为一种可选实现,载荷提取模块200可仅提取源端口不为预定源端口的报文的载荷,得到待匹配报文的载荷;
相应的,图14示出了本发明实施例提供的流量攻击防护装置的再一结构框图,结合图13和图14所示,该流量攻击防护装置还可以包括:
第二过滤模块700,用于从所述待发往目标服务器的报文中,过滤源端口为预定源端口的报文。
可选的,第二过滤模块700,用于从所述待发往目标服务器的报文中,过滤源端口为预定源端口的报文,具体包括:
在OSI七层模型的传输层,将待发往目标服务器的报文中,源端口的端口号与预定源端口号相应的报文进行过滤。
可选的,作为另一种可选实现,载荷提取模块200可提取待发往目标服务器的报文的载荷,得到待匹配报文的载荷。
可选的,图15示出了本发明实施例提供的流量攻击防护装置的又一结构框图,结合图14和图15所示,该流量攻击防护装置还可以包括:
报文第二获取模块800,用于获取路由器转发的从网络获取的报文的镜像报文;
速率确定模块900,用于从所述镜像报文中确定单位时间内待发往目标服务器的报文的数量,得到待发往目标服务器的报文的速率;
判断模块1000,用于根据所述速率,判断目标服务器是否存在流量攻击可能;
流量攻击可能确定模块1100,用于若所述速率大于速率阈值,确定目标服务器存在流量攻击可能。
可选的,图15所示增加的程序模块也可应用于图12或图13所示结构中。
可选的,报文第一获取模块100,用于获取待发往目标服务器的报文,具体包括:
向路由器发布目标服务器相应的目标IP的牵引路由,请求路由器将待发往目标服务器的报文牵引至防护服务器;
获取路由器所牵引的待发往目标服务器的报文。
本发明实施例提供的流量攻击防护装置可通过预定义攻击报文的指纹特征,对攻击报文应具有的各关键字段相应的字符串进行设定,从而基于报文载荷内容与预定义的攻击报文的指纹特征的匹配,可准确高效的识别和过滤攻击报文,并且对正常报文没有误拦情况,提升了流量攻击防护的准确性和全面性,提升了流量攻击的防护效果,可保证需保护的目标服务器对正常业务的稳定响应,保障目标服务器正常的服务提供。
本发明实施例还提供一种防护服务器,该防护服务器可装载实现上述程序模块的程序,以执行本发明实施例提供的流量攻击防护方法;图16示出了防护服务器的一种硬件结构,参照图16,该防护服务器可以包括:至少一个处理芯片1,至少一个通信接口2,至少一个存储器3和至少一个通信总线4;
在本发明实施例中,处理芯片1、通信接口2、存储器3、通信总线4的数量为至少一个,且处理芯片1、通信接口2、存储器3通过通信总线4完成相互间的通信;
可选的,处理芯片1可能是一个中央处理器CPU,或者是特定集成电路ASIC(Application Specific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
存储器3可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatilememory),例如至少一个磁盘存储器;
其中,存储器可存储程序,处理芯片执行所述程序,以实现上述所述的流量攻击防护方法的步骤。
本发明实施例还一种存储介质,所述存储介质存储有适于处理芯片执行的程序,以实现上述所述的流量攻击防护方法的步骤。
可选的,上述所指的程序主要用于:
在目标服务器存在流量攻击可能的情况下,获取待发往目标服务器的报文;
从所述待发往目标服务器的报文中,至少提取源端口不为预定源端口的报文的载荷,得到待匹配报文的载荷;
将所述待匹配报文的载荷,与预定义的攻击报文的指纹特征进行匹配,从所述待匹配报文中确定攻击报文;所确定的攻击报文的载荷带有所述指纹特征定义的各关键字段相应的字符串;
过滤所述攻击报文。
可选的,所述程序的细化功能和扩展功能可参照上文描述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理芯片执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的核心思想或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (15)
1.一种流量攻击防护方法,其特征在于,包括:
在目标服务器存在流量攻击可能的情况下,获取待发往目标服务器的报文;
从所述待发往目标服务器的报文中,至少提取源端口不为预定源端口的报文的载荷,得到待匹配报文的载荷;
将所述待匹配报文的载荷,与预定义的攻击报文的指纹特征进行匹配,从所述待匹配报文中确定攻击报文;所确定的攻击报文的载荷带有所述指纹特征定义的各关键字段相应的字符串;
过滤所述攻击报文。
2.根据权利要求1所述的流量攻击防护方法,其特征在于,还包括:
从所述待匹配报文中确定正常报文;所述正常报文的载荷未带有所述指纹特征定义的各关键字段相应的字符串;
向路由器回注所述正常报文,以使所述路由器将所述正常报文发送给所述目标服务器。
3.根据权利要求2所述的流量攻击防护方法,其特征在于,所述指纹特征包括:所述各关键字段间字符串的各种组合结果;
所述将所述待匹配报文的载荷,与预定义的攻击报文的指纹特征进行匹配包括:
将所述待匹配报文的载荷,与所述各种组合结果进行匹配;
所述从所述待匹配报文中确定攻击报文包括:
从所述待匹配报文中确定载荷对应任一种组合结果的攻击报文。
4.根据权利要求3所述的流量攻击防护方法,其特征在于,所述从所述待匹配报文中确定正常报文包括:
从所述待匹配报文中确定载荷未对应任一种组合结果的正常报文。
5.根据权利要求3所述的流量攻击防护方法,其特征在于,所述将所述待匹配报文的载荷,与所述各种组合结果进行匹配包括:
使用字符串多模式匹配算法将所述待匹配报文的载荷,与所述各种组合结果进行匹配。
6.根据权利要求1-5任一项所述的攻击防护方法,其特征在于,所述攻击报文包括:TFTP报错应答报文;所述各关键字段包括:TFTP报错应答报文的操作码、差错码、及差错信息;所述指纹特征定义有TFTP报错应答报文的操作码、差错码、及差错信息分别相应的字符串。
7.根据权利要求6所述的流量攻击防护方法,其特征在于,还包括:
从所述待发往目标服务器的报文中,过滤源端口为预定源端口的报文。
8.根据权利要求7所述的流量攻击防护方法,其特征在于,所述从所述待发往目标服务器的报文中,过滤源端口为预定源端口的报文包括:
在开放式系统互联OSI七层模型的传输层,将待发往目标服务器的报文中,源端口的端口号与预定源端口号相应的报文进行过滤。
9.根据权利要求6所述的流量攻击防护方法,其特征在于,所述从所述待发往目标服务器的报文中,至少提取源端口不为预定源端口的报文的载荷,得到待匹配报文的载荷包括:
提取待发往目标服务器的报文的载荷,得到待匹配报文的载荷。
10.根据权利要求1所述的流量攻击防护方法,其特征在于,还包括:
获取路由器转发的从网络获取的报文的镜像报文;
从所述镜像报文中确定单位时间内待发往目标服务器的报文的数量,得到待发往目标服务器的报文的速率;
根据所述速率,判断目标服务器是否存在流量攻击可能;
若所述速率大于速率阈值,确定目标服务器存在流量攻击可能。
11.根据权利要求10所述的流量攻击防护方法,其特征在于,所述获取待发往目标服务器的报文包括:
向路由器发布目标服务器相应的目标IP的牵引路由,请求路由器将待发往目标服务器的报文牵引至防护服务器;
获取路由器所牵引的待发往目标服务器的报文。
12.一种流量攻击防护装置,其特征在于,包括:
报文第一获取模块,用于在目标服务器存在流量攻击可能的情况下,获取待发往目标服务器的报文;
载荷提取模块,用于从所述待发往目标服务器的报文中,至少提取源端口不为预定源端口的报文的载荷,得到待匹配报文的载荷;
特征匹配模块,用于将所述待匹配报文的载荷,与预定义的攻击报文的指纹特征进行匹配,从所述待匹配报文中确定攻击报文;所确定的攻击报文的载荷带有所述指纹特征定义的各关键字段相应的字符串;
第一过滤模块,用于过滤所述攻击报文。
13.根据权利要求12所述的流量攻击防护装置,其特征在于,还包括:
正常报文确定模块,用于从所述待匹配报文中确定正常报文;所述正常报文的载荷未带有所述指纹特征定义的各关键字段相应的字符串;
正常报文回注模块,用于向路由器回注所述正常报文。
14.一种防护服务器,其特征在于,包括:至少一个存储器和至少一个处理芯片;所述存储器存储程序,所述处理芯片执行所述程序,以实现权利要求1-11任一项所述的流量攻击防护方法。
15.一种存储介质,其特征在于,所述存储介质存储有适于处理芯片执行的程序,以实现权利要求1-11任一项所述的流量攻击防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810247153.4A CN108566384B (zh) | 2018-03-23 | 2018-03-23 | 一种流量攻击防护方法、装置、防护服务器及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810247153.4A CN108566384B (zh) | 2018-03-23 | 2018-03-23 | 一种流量攻击防护方法、装置、防护服务器及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108566384A true CN108566384A (zh) | 2018-09-21 |
| CN108566384B CN108566384B (zh) | 2021-09-28 |
Family
ID=63533033
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810247153.4A Active CN108566384B (zh) | 2018-03-23 | 2018-03-23 | 一种流量攻击防护方法、装置、防护服务器及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108566384B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109194680A (zh) * | 2018-09-27 | 2019-01-11 | 腾讯科技(深圳)有限公司 | 一种网络攻击识别方法、装置及设备 |
| CN112367326A (zh) * | 2020-11-13 | 2021-02-12 | 武汉虹旭信息技术有限责任公司 | 车联网流量的识别方法及装置 |
| CN113067792A (zh) * | 2020-01-02 | 2021-07-02 | 深信服科技股份有限公司 | 一种xss攻击识别方法、装置、设备及介质 |
| CN114124474A (zh) * | 2021-11-03 | 2022-03-01 | 中盈优创资讯科技有限公司 | 一种基于BGP flowspec的DDOS攻击源处置方法及装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060225133A1 (en) * | 2005-04-05 | 2006-10-05 | Cisco Technology, Inc. | Method and system for preventing DOS attacks |
| EP2154813A1 (en) * | 2007-08-08 | 2010-02-17 | Huawei Technologies Co., Ltd. | Method and network device for defending against invalid message attack |
| CN103856470A (zh) * | 2012-12-06 | 2014-06-11 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击检测方法及检测装置 |
| CN105939314A (zh) * | 2015-09-21 | 2016-09-14 | 杭州迪普科技有限公司 | 网络防护方法和装置 |
| CN105959290A (zh) * | 2016-06-06 | 2016-09-21 | 杭州迪普科技有限公司 | 攻击报文的检测方法及装置 |
| CN106534068A (zh) * | 2016-09-29 | 2017-03-22 | 广州华多网络科技有限公司 | 一种ddos防御系统中清洗伪造源ip的方法和装置 |
| CN107135238A (zh) * | 2017-07-12 | 2017-09-05 | 中国互联网络信息中心 | 一种dns反射放大攻击检测方法、装置及系统 |
| CN107404459A (zh) * | 2016-05-19 | 2017-11-28 | 华为技术有限公司 | 获取网络攻击报文的指纹特征的方法以及网络设备 |
-
2018
- 2018-03-23 CN CN201810247153.4A patent/CN108566384B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060225133A1 (en) * | 2005-04-05 | 2006-10-05 | Cisco Technology, Inc. | Method and system for preventing DOS attacks |
| EP2154813A1 (en) * | 2007-08-08 | 2010-02-17 | Huawei Technologies Co., Ltd. | Method and network device for defending against invalid message attack |
| CN103856470A (zh) * | 2012-12-06 | 2014-06-11 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击检测方法及检测装置 |
| CN105939314A (zh) * | 2015-09-21 | 2016-09-14 | 杭州迪普科技有限公司 | 网络防护方法和装置 |
| CN107404459A (zh) * | 2016-05-19 | 2017-11-28 | 华为技术有限公司 | 获取网络攻击报文的指纹特征的方法以及网络设备 |
| CN105959290A (zh) * | 2016-06-06 | 2016-09-21 | 杭州迪普科技有限公司 | 攻击报文的检测方法及装置 |
| CN106534068A (zh) * | 2016-09-29 | 2017-03-22 | 广州华多网络科技有限公司 | 一种ddos防御系统中清洗伪造源ip的方法和装置 |
| CN107135238A (zh) * | 2017-07-12 | 2017-09-05 | 中国互联网络信息中心 | 一种dns反射放大攻击检测方法、装置及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 杨旭: "《TFTP反射攻击分析报告》", 《HTTP://BLOG.NSFOCUS.NET/TFTP-REFLECTION-ATTACK-ANALYSIS-REPORT/》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109194680A (zh) * | 2018-09-27 | 2019-01-11 | 腾讯科技(深圳)有限公司 | 一种网络攻击识别方法、装置及设备 |
| CN109194680B (zh) * | 2018-09-27 | 2021-02-12 | 腾讯科技(深圳)有限公司 | 一种网络攻击识别方法、装置及设备 |
| CN113067792A (zh) * | 2020-01-02 | 2021-07-02 | 深信服科技股份有限公司 | 一种xss攻击识别方法、装置、设备及介质 |
| CN112367326A (zh) * | 2020-11-13 | 2021-02-12 | 武汉虹旭信息技术有限责任公司 | 车联网流量的识别方法及装置 |
| CN114124474A (zh) * | 2021-11-03 | 2022-03-01 | 中盈优创资讯科技有限公司 | 一种基于BGP flowspec的DDOS攻击源处置方法及装置 |
| CN114124474B (zh) * | 2021-11-03 | 2023-06-23 | 中盈优创资讯科技有限公司 | 一种基于BGP flowspec的DDOS攻击源处置方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108566384B (zh) | 2021-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| CN108566384A (zh) | 一种流量攻击防护方法、装置、防护服务器及存储介质 | |
| CN107426242B (zh) | 网络安全防护方法、装置及存储介质 | |
| CN109756512B (zh) | 一种流量应用识别方法、装置、设备及存储介质 | |
| Smys | DDOS attack detection in telecommunication network using machine learning | |
| CN102801697B (zh) | 基于多url的恶意代码检测方法和系统 | |
| CN110933111B (zh) | 一种基于DPI的DDoS攻击识别方法及装置 | |
| CN109768991B (zh) | 报文的重放攻击检测方法、装置、电子设备 | |
| US10999304B2 (en) | Bind shell attack detection | |
| US9203856B2 (en) | Methods, systems, and computer program products for detecting communication anomalies in a network based on overlap between sets of users communicating with entities in the network | |
| US10440035B2 (en) | Identifying malicious communication channels in network traffic by generating data based on adaptive sampling | |
| JP2016046654A (ja) | セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム | |
| CN107018084A (zh) | 基于sdn架构的ddos攻击防御网络安全系统和方法 | |
| CN109818970A (zh) | 一种数据处理方法及装置 | |
| US20170310694A1 (en) | Malicious communication pattern extraction apparatus, malicious communication pattern extraction method, and malicious communication pattern extraction program | |
| CN111565203B (zh) | 业务请求的防护方法、装置、系统和计算机设备 | |
| KR100684602B1 (ko) | 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법 | |
| Osanaiye et al. | TCP/IP header classification for detecting spoofed DDoS attack in Cloud environment | |
| JP6386593B2 (ja) | 悪性通信パターン抽出装置、悪性通信パターン抽出システム、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム | |
| KR20080026122A (ko) | 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법 | |
| CN106850571A (zh) | 僵尸网络家族的识别方法和装置 | |
| CN108234345A (zh) | 一种终端网络应用的流量特征识别方法、装置和系统 | |
| Chovancová et al. | Securing distributed computer systems using an advanced sophisticated hybrid honeypot technology | |
| CN105939328A (zh) | 网络攻击特征库的更新方法及装置 | |
| CN112751804B (zh) | 一种仿冒域名的识别方法、装置和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |