CN108777680B - 一种在物联网中基于多点防御的ssdp反射攻击的防御方法与防御装置 - Google Patents
一种在物联网中基于多点防御的ssdp反射攻击的防御方法与防御装置 Download PDFInfo
- Publication number
- CN108777680B CN108777680B CN201810522484.4A CN201810522484A CN108777680B CN 108777680 B CN108777680 B CN 108777680B CN 201810522484 A CN201810522484 A CN 201810522484A CN 108777680 B CN108777680 B CN 108777680B
- Authority
- CN
- China
- Prior art keywords
- ssdp
- data message
- defense
- same
- time interval
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供了一种物联网中基于多点防御的SSDP反射攻击防御方法。本发明的一种物联网中基于多点防御的SSDP反射攻击防御方法,在僵尸机、服务提供者、受害者等多个网络位置部署防御机制,如图1所示。设定僵尸机发送相同SSDP请求报文的时间间隔,以降低单位时间内报文发送次数;设定服务提供者相同响应报文的时间间隔,以降低单位时间内响应次数;设置SSDP服务响应报文的合理TTL值,限制远距离传送SSDP服务响应报文;设定受害者接收相同报文的时间间隔,丢弃相同的服务响应报文。本发明可在不影响网络服务效率的前提下降低网络流量,因此不需要事先检测出SSDP反射攻击的发生。本发明实施例还提供一种物联网中基于多点防御的SSDP反射攻击装置。
Description
技术领域
本发明涉及一种基于SSDP协议的反射攻击防御方法与防御装置,特别涉及一种存在于物联网环境中基于多点防御的SSDP反射攻击的防御方法与防御装置。
背景技术
DDoS攻击是网络空间中一种常用的有效的攻击手段,该攻击方式可以在短时间内通过控制大量的僵尸机不断发送各种请求给受害者,从而导致受害者的网络流量激增直至无法为外界提供正常服务。
SSDP,即简单服务发现协议(SSDP,Simple Service Discovery Protocol),是一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一。当基于SSDP协议的智能设备接收到SSDP请求数据报文时,若该设备可以提供请求中的服务,则该设备会向发送请求的IP地址发送SSDP响应数据报文,并提供相应的服务。
随着物联网的广泛应用,越来越多的基于SSDP协议的智能设备(也称为服务提供者或反射器)接入到了网络中,这使得攻击者可以利用SSDP协议的漏洞进行DDoS攻击。基于SSDP协议的DDoS反射攻击,在服务提供者接收到SSDP请求数据报文之后,返回比请求报文大多倍的SSDP响应数据报文,这些报文的源IP地址被伪造成受害者的IP地址,从而响应报文发送至受害者而非请求报文的发送者,从而达到利用服务提供者来向受害者发送大量的SSDP响应数据报文,阻塞受害者网络流量并使其停止服务的目的,如图2所示。
近年来,基于SSDP协议的DDoS反射攻击在所有DDoS攻击中持续占据首位,该攻击手段易于实现,难以追踪,破坏性大,持续威胁着全球的网络安全体系。针对DDoS反射攻击的防御主要有5种方式:
1)在路由器上进行防御
该方法大多在路由器上进行流量监控,当监测到网络流量达到异常值时,丢弃异常来源的数据包以减少网络流量。
该方法对于传统DDoS攻击具有较好的防御效果,但由于基于SSDP协议的DDoS反射攻击的请求数据包伪造了源IP地址,因此该方法无法正确识别并丢弃DDoS攻击数据包。
2)添加专用设备
3)该方法在网络中添加一些专用设备用于监测网络流量异常,并且监测攻击来源,从而切断攻击来源的网络流量,阻止DDoS攻击继续进行。在服务提供者上进行防御
该方法在服务提供者上进行流量监控,当监测出DDoS攻击时则阻止该智能设备发送响应数据包。
4)使用软件定义的网络结构进行防御
该方法在软件定义的网络结构上进行流量监测,当监测到受害者遭到DDoS攻击时,便减少提供给该受害者的网络资源,将网络资源更多地提供给其它主机。
5)在受害者上进行防御
该方法通过对受害者进行流量监控,当监测到受害者遭到DDoS攻击时,对接收到的攻击数据包进行丢包,从而缓解受害者的网络压力。
以上方法首先识别DDoS攻击,然后进行防御,识别过程需要大量时间和空间开销,更重要的是识别准确率不高,致使防御效果不好。另外限制网络流量和网络资源,会影响服务提供者和受害者节点正常的网络服务。
发明内容
为了解决现有的技术问题,本发明提供了一种在物联网中基于多点防御的SSDP反射攻击防御方法,在近攻击方(由攻击者控制的僵尸机)、服务提供者、受害者等多个网络位置部署防御机制,通过简单代码监控网络中各角色的发送、处理数据报文事件,并对其加以限制,如图1所示。该防御装置在启动时就在不影响网络服务效率的前提下降低网络流量,因此在对SSDP反射攻击防御时,不需要事先检测出SSDP反射攻击的发生,便可以在不影响网络服务效率的前提下降低网络中的数据流量,避免了因SSDP反射攻击而引起的网络流量激增,从而大大提高了防御SSDP反射攻击的效率,提高了整个网络的安全性。
本发明所采用的技术方案如下:
一种在物联网中基于多点防御的SSDP反射攻击防御方法,包括以下组成部分:
A.在近攻击方进行防御部署,其中近攻击方是指由攻击者控制的僵尸机,设定僵尸机发送相同SSDP请求报文的时间间隔。
B.在服务提供者上进行防御部署:
i.设定服务提供者接收相同SSDP请求数据报文的时间间隔;
ii.设定服务提供者响应相同SSDP请求数据报文的时间间隔;
iii.设定服务提供者响应SSDP请求数据报文的TTL值;
C.在受害者上进行防御部署:
设定受害者接收相同响应数据报文的时间间隔。
组成部分A中所述的防御方法,在部署该防御机制的僵尸机上设定对外发送相同SSDP请求数据报文的时间间隔,在设定的时间范围内,只发送一次同一种类型的SSDP请求数据报文,以降低单位时间内SSDP请求报文发送次数。
组成部分B(i)中所述的防御方法,记录SSDP请求数据报文的请求来源IP地址和请求类型,若设定的时间间隔内有多条来自同一IP地址的同一SSDP请求数据报文,则丢弃重复的SSDP数据报文,以降低单位时间内服务提供者接收到的SSDP请求数据报文,过滤大量攻击数据流量。
组成部分B(ii)中所述的防御方法,在服务提供者发送SSDP响应数据报文时,限制其发送间隔,在设定的时间间隔内只响应一次同一来源与同一类型的SSDP请求数据报文,以降低单位时间内SSDP响应数据报文的发送次数。
组成部分B(iii)中所述的防御方法,设定服务提供者所发送的SSDP响应数据报文的TTL值,当SSDP响应数据报文的传输过程中跳数超过TTL值时则会被网络设备丢弃,限制远距离传送SSDP服务响应数据报文,防范远距离基于SSDP协议的DDoS攻击。
组成部分C中所述的防御方法,记录SSDP响应数据报文的来源IP地址和响应类型,如果短时间内多次接收来自同一IP地址的同一种SSDP响应数据报文,则丢弃重复的数据报文。减少受害者需要处理的攻击数据包,降低其网络流量与处理器负担。
另一方面,本发明提供了一种在物联网中基于多点防御的SSDP反射攻击防御装置,包括以下模块:
近攻击方防御模块:设定僵尸机对外发送相同SSDP请求数据报文的时间间隔,经过设定的时间间隔后才可再次发送同一种类型的SSDP请求数据报文。
服务提供者防御模块:记录SSDP请求数据报文的请求来源IP地址和请求类型,若设定的时间间隔内有多次来自同一IP地址的同一SSDP请求数据报文,则丢弃重复的SSDP数据报文;在服务提供者发送SSDP响应数据报文时,限制其发送间隔,在设定的时间间隔内只响应一次同一来源与同一类型的SSDP请求数据报文;设定服务提供者所发送的SSDP响应数据报文的TTL值,当SSDP响应数据报文的传输过程中跳数超过TTL值时则会被网络设备丢弃。
受害者防御模块:记录SSDP响应数据报文的来源IP地址和响应类型,如果短时间内多次接收来自同一IP地址的同一种SSDP响应数据报文,则丢弃重复的数据报文。
本发明提供的技术方案以及防御装置带来的有益效果是:
在上述的组成部分中,由于该防御装置在启动时就在不影响网络服务效率的前提下通过限制网络角色发送、处理SSDP数据报文的时间间隔以及SSDP数据报文发送的TTL值来降低网络流量,因此在对SSDP反射攻击防御时,不需要事先识别出SSDP反射攻击的发生,便可以在不影响网络服务效率的前提下降低网络中的数据流量,避免了因SSDP反射攻击而引起的网络流量激增,从而大大提高了防御SSDP反射攻击的效率,提高了整个网络的安全性。
附图说明
为了更清楚的说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为传统SSDP协议的运行方式与基于SSDP协议的DDoS反射攻击以及防御机制部署位置的示意图。
图2为基于SSDP协议的DDoS攻击的网络流量情况示意图。
图3为使用了本发明的防御装置之后的网络流量情况示意图。
图4为测试本发明中的防御方法与防御装置的防御效果对比图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
在一个完整的基于SSDP协议的DDoS攻击中,有以下几个角色:攻击者、僵尸机、路由器、服务提供者和受害者。由于攻击者不可控,因此我们在僵尸机、服务提供者和受害者上部署本发明的防御方法与防御装置。
1)限制僵尸机发送SSDP请求数据包的时间间隔,用TZ表示,例如TZ=0.01秒发送一种SSDP请求数据包,同类型的SSDP请求在小于TZ的时间间隔内重复发送,会被防御装置阻止。
2)限制服务提供者接收SSDP请求数据报文的时间间隔TS_recive以及响应SSDP请求数据报文的时间间隔TS_response,例如TS_recive=TS_response=0.1秒,当来自同一个IP地址的同类型的SSDP请求数据报文在小于TS_recive的时间间隔内重复接收,则服务提供者会将多余的SSDP请求数据报文丢弃,只留下一条进行响应处理;当服务提供者响应SSDP请求数据报文时,当其响应了一条同IP、同类型的请求后,必须过了TS_response时间间隔之后才可以再次响应同样的SSDP请求。
3)设定服务提供者所发送的SSDP响应数据报文的TTL值,当SSDP响应数据报文的传输跳数超过TTL值时则会被网络设备丢弃,限制远距离传送SSDP服务响应数据报文。
4)在受害者上记录SSDP响应数据报文的来源IP地址和响应类型,设定接收时间间隔TV,如果在小于TV的时间间隔内多次接收来自同一IP地址的同一种SSDP响应数据报文,则丢弃重复的数据报文。
我们通过多组对比实验来验证本发明中的防御装置的有效性,首先我们不部署任何防御装置发起基于SSDP协议的DDoS反射攻击,记录此时受害者的网络流量;然后我们仅在僵尸机上部署我们防御装置,限定每个僵尸机的攻击线程发送SSDP请求数据报文的时间间隔为0.01秒,记录此时受害者的网络流量;其次我们仅在服务提供者和受害者上部署我们的防御装置,限定时间间隔阈值为0.1秒,服务提供者和受害者会丢弃时间间隔阈值内重复的SSDP请求数据报文,且服务提供者响应SSDP请求数据报文的时间间隔为0.1秒,记录此时受害者的网络流量;最后,我们在僵尸机、服务提供者以及受害者上部署我们的多点防御装置,限定僵尸机发送SSDP请求数据报文的时间间隔、服务提供者接收SSDP请求数据报文的时间间隔、服务提供者响应SSDP请求数据报文的时间间隔以及受害者接收SSDP响应数据报文的时间间隔,记录此时受害者的网络流量。不同情况下的受害者网络流量情况如图4所示,在不部署任何防御措施时,我们的模拟攻击可以使受害者达到每秒26502个数据包的网络流量;仅在僵尸机上部署防御装置,可以使受害者的网络流量在同等攻击强度的情况下降低至每秒1076个数据包;仅在服务提供者和受害者上部署防御装置,可以使受害者的网络流量在同等攻击强度的情况下降低至每秒95个数据包;在多点部署我们的防御装置,可以使受害者的网络流量在同等攻击强度的情况下降低至每秒39个数据包,可见本发明中的防御装置在单点部署的情况即可达到非常好的防御效果,在多点防御的情况下可以将受害者的网络流量降低679倍。
基于本发明的在物联网中基于多点防御的SSDP反射攻击防御装置,可以在启动时就在不影响网络服务效率的前提下通过限制网络角色发送、处理SSDP数据报文的时间间隔以及SSDP数据报文发送的TTL值来降低网络流量,因此在对SSDP反射攻击防御时,不需要事先检测出SSDP反射攻击的发生。
Claims (7)
1.一种在物联网中基于多点防御的SSDP反射攻击防御方法,包括以下几个部分:
A.在近攻击方进行防御部署,其中近攻击方是指由攻击者控制的僵尸机,设定僵尸机发送相同SSDP请求报文的时间间隔;
B.在服务提供者上进行防御部署:
i.设定服务提供者接收相同SSDP请求数据报文的时间间隔;
ii.设定服务提供者响应相同SSDP请求数据报文的时间间隔;
iii.设定服务提供者响应SSDP请求数据报文的TTL值;
C.在受害者上进行防御部署:
设定受害者接收相同响应数据报文的时间间隔。
2.根据权利要求1中所述的一种在物联网中基于多点防御的SSDP反射攻击防御方法,其特征在于,所述的部分A中,设定僵尸机对外发送相同SSDP请求数据报文的时间间隔,经过设定的时间间隔后才可再次发送同一种类型的SSDP请求数据报文,以降低单位时间内SSDP请求报文发送次数。
3.根据权利要求1中所述的一种在物联网中基于多点防御的SSDP反射攻击防御方法,其特征在于,所述的部分B(i)中,记录SSDP请求数据报文的请求来源IP地址和请求类型,若设定的时间间隔内有多次来自同一IP地址的同一SSDP请求数据报文,则丢弃重复的SSDP数据报文,以降低单位时间内服务提供者接收到的SSDP请求数据报文,过滤大量攻击数据流量。
4.根据权利要求1中所述的一种在物联网中基于多点防御的SSDP反射攻击防御方法,其特征在于,所述的部分B(ii)中,在服务提供者发送SSDP响应数据报文时,限制其发送间隔,在设定的时间间隔内只响应一次同一来源与同一类型的SSDP请求数据报文,以降低单位时间内SSDP响应数据报文的发送次数。
5.根据权利要求1中所述的一种在物联网中基于多点防御的SSDP反射攻击防御方法,其特征在于,所述的部分B(iii)中,设定服务提供者所发送的SSDP响应数据报文的TTL值,当SSDP响应数据报文的传输过程中跳数超过TTL值时则会被网络设备丢弃,限制远距离传送SSDP服务响应数据报文,防范远距离基于SSDP协议的DDoS攻击。
6.根据权利要求1中所述的一种在物联网中基于多点防御的SSDP反射攻击防御方法,其特征在于,所述的部分C中,记录SSDP响应数据报文的来源IP地址和响应类型,如果短时间内多次接收来自同一IP地址的同一种SSDP响应数据报文,则丢弃重复的数据报文,减少受害者需要处理的攻击数据包,降低其网络流量与处理器负担。
7.一种在物联网中基于多点防御的SSDP反射攻击防御装置,包括以下模块:
近攻击方防御模块:设定僵尸机对外发送相同SSDP请求数据报文的时间间隔,经过设定的时间间隔后才可再次发送同一种类型的SSDP请求数据报文;
服务提供者防御模块:记录SSDP请求数据报文的请求来源IP地址和请求类型,若设定的时间间隔内有多次来自同一IP地址的同一SSDP请求数据报文,则丢弃重复的SSDP数据报文;在服务提供者发送SSDP响应数据报文时,限制其发送间隔,在设定的时间间隔内只响应一次同一来源与同一类型的SSDP请求数据报文;设定服务提供者所发送的SSDP响应数据报文的TTL值,当SSDP响应数据报文的传输过程中跳数超过TTL值时则会被网络设备丢弃;
受害者防御模块:记录SSDP响应数据报文的来源IP地址和响应类型,如果短时间内多次接收来自同一IP地址的同一种SSDP响应数据报文,则丢弃重复的数据报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810522484.4A CN108777680B (zh) | 2018-05-28 | 2018-05-28 | 一种在物联网中基于多点防御的ssdp反射攻击的防御方法与防御装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810522484.4A CN108777680B (zh) | 2018-05-28 | 2018-05-28 | 一种在物联网中基于多点防御的ssdp反射攻击的防御方法与防御装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108777680A CN108777680A (zh) | 2018-11-09 |
CN108777680B true CN108777680B (zh) | 2020-11-20 |
Family
ID=64027720
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810522484.4A Active CN108777680B (zh) | 2018-05-28 | 2018-05-28 | 一种在物联网中基于多点防御的ssdp反射攻击的防御方法与防御装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108777680B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113656448B (zh) * | 2021-08-09 | 2023-12-26 | 国家计算机网络与信息安全管理中心 | 一种报文处理方法、装置、设备及可读存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106685962A (zh) * | 2016-12-29 | 2017-05-17 | 广东睿江云计算股份有限公司 | 一种反射型ddos攻击流量的防御系统及方法 |
CN107547507A (zh) * | 2017-06-27 | 2018-01-05 | 新华三技术有限公司 | 一种防攻击方法、装置、路由器设备及机器可读存储介质 |
-
2018
- 2018-05-28 CN CN201810522484.4A patent/CN108777680B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106685962A (zh) * | 2016-12-29 | 2017-05-17 | 广东睿江云计算股份有限公司 | 一种反射型ddos攻击流量的防御系统及方法 |
CN107547507A (zh) * | 2017-06-27 | 2018-01-05 | 新华三技术有限公司 | 一种防攻击方法、装置、路由器设备及机器可读存储介质 |
Non-Patent Citations (2)
Title |
---|
Effective software-defined networking controller scheduling method to mitigate DDoS attacks;Q.Yan,Q.Gong and F.R.Yu;《ELECTRONICS LETTERS》;20170330;全文 * |
SSDP协议反射性DDOS攻击原理和防范;袁策,刘道海;《云南警官学院学报》;20150531;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN108777680A (zh) | 2018-11-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Mohammadi et al. | Slicots: An sdn-based lightweight countermeasure for tcp syn flooding attacks | |
US10097578B2 (en) | Anti-cyber hacking defense system | |
US20080301810A1 (en) | Monitoring apparatus and method therefor | |
EP3355514B1 (en) | Method and device for transmitting network attack defense policy and method and device for defending against network attack | |
TW201738796A (zh) | 網路攻擊的防控方法、裝置及系統 | |
US10931711B2 (en) | System of defending against HTTP DDoS attack based on SDN and method thereof | |
US7818795B1 (en) | Per-port protection against denial-of-service and distributed denial-of-service attacks | |
CN107438066B (zh) | 一种基于SDN控制器的DoS/DDoS攻击防御模块及方法 | |
Foroushani et al. | TDFA: traceback-based defense against DDoS flooding attacks | |
Kavisankar et al. | A mitigation model for TCP SYN flooding with IP spoofing | |
Bogdanoski et al. | Wireless network behavior under icmp ping flooddos attack and mitigation techniques | |
Sumantra et al. | DDoS attack detection and mitigation in software defined networks | |
US20040250158A1 (en) | System and method for protecting an IP transmission network against the denial of service attacks | |
CN110213204B (zh) | 攻击防护方法及装置、设备及可读存储介质 | |
Wang et al. | Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks | |
CN108777680B (zh) | 一种在物联网中基于多点防御的ssdp反射攻击的防御方法与防御装置 | |
Kumarasamy et al. | An active defense mechanism for TCP SYN flooding attacks | |
Yuste et al. | Inerte: integrated nexus-based real-time fault injection tool for embedded systems | |
Zhu et al. | Research and survey of low-rate denial of service attacks | |
Kim et al. | High-speed router filter for blocking TCP flooding under DDoS attack | |
Seo et al. | Witnessing Distributed Denial-of-Service traffic from an attacker's network | |
Kumar et al. | An analysis of tcp syn flooding attack and defense mechanism | |
Kumarasamy et al. | An Efficient Detection Mechanism for Distributed Denial of Service (DDoS) Attack | |
US20240223584A1 (en) | Method for identifying source address of packet and apparatus | |
EP4366236A1 (en) | Method and apparatus for identifying source address of message |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |