CN110166408B - 防御泛洪攻击的方法、装置和系统 - Google Patents
防御泛洪攻击的方法、装置和系统 Download PDFInfo
- Publication number
- CN110166408B CN110166408B CN201810148958.3A CN201810148958A CN110166408B CN 110166408 B CN110166408 B CN 110166408B CN 201810148958 A CN201810148958 A CN 201810148958A CN 110166408 B CN110166408 B CN 110166408B
- Authority
- CN
- China
- Prior art keywords
- messages
- tcp
- message
- source address
- same source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开公开了一种防御泛洪攻击的方法、装置和系统,涉及网络安全领域。通过对具有相同源地址和目的地址的报文进行流量成分分析,在较短时间内即可判断是否为可疑流量,针对可疑流量进行泛洪攻击的验证,针对非可疑流量,则直接转发报文,缩小了验证范围,从而在防御泛洪攻击时减少对正常流量的影响。
Description
技术领域
本公开涉及网络安全领域,特别涉及一种防御泛洪攻击的方法、装置和系统。
背景技术
传输控制协议(TCP,Transmission Control Protocol)泛洪攻击是分布式拒绝服务(DDoS,Distrubuted Denial of Service)攻击的一种,是指黑客通过控制大量的傀儡机,发送大量的TCP报文到攻击目标,消耗攻击目标的计算资源,阻止攻击目标为合法用户提供服务。
发明内容
发明人发现,目前的防御系统在发现网络流量异常时,通常对到达目标设备的所有流量进行验证,这种防御方法会影响正常流量,例如验证会造成正常流量的访问延时。
本公开实施例所要解决的一个技术问题是:在防御泛洪攻击时,减少对正常流量的影响。
根据本公开的一个方面,提出一种防御泛洪攻击的方法,包括:
接收报文;
对具有相同源地址和目的地址的报文进行流量成分分析,以判断所述具有相同源地址和目的地址的报文是否为泛洪攻击的可疑流量;
在所述具有相同源地址和目的地址的报文不是可疑流量的情况下,转发所述具有相同源地址和目的地址的报文,在所述具有相同源地址和目的地址的报文是可疑流量的情况下,进一步验证所述具有相同源地址和目的地址的报文。
在一些实施例中,对具有相同源地址和目的地址的传输控制协议TCP报文进行流量成分分析,包括以下至少一种分析处理:
针对具有相同源地址和目的地址的TCP报文,判断首个报文是否为Syn报文,若首个报文不是Syn报文,则所述具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量;
针对具有相同源地址和目的地址的TCP报文,统计单位时间内各种类型的TCP报文的数量,对每种类型的TCP报文的比例成分进行分析,若某种类型的TCP报文的比例成分不符合预先设置的该种类型的TCP报文的成分阈值,则所述具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量,每种类型的TCP报文的成分阈值根据该类型的正常TCP报文的流量成分进行设置。
在一些实施例中,如果Syn报文数量超过设定的Syn阈值,且Syn报文与Ack报文的比例超过设定的第一比例阈值时,则所述具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量;
或者,如果Rst报文数量超过设定的Rst阈值,且Rst报文与Ack报文的比例超过设定的第二比例阈值时,则所述具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量;
或者,如果Fin报文数量超过设定的Fin阈值,且Fin报文与Ack报文的比例超过设定的第三比例阈值时,则所述具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量;
或者,如果带数据的Ack报文数量超过设定的数量阈值,且带数据的Ack报文和不带数据的Ack报文的比例超过设定的第四比例阈值时,则所述具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量。
在一些实施例中,当单位时间为秒时,Syn阈值、Rst阈值、Fin阈值、数量阈值的范围为32-128,第一比例阈值、第二比例阈值、第三比例阈值的范围为1/8-1/2,第四比例阈值的范围为1-2。
在一些实施例中,进一步验证所述具有相同源地址和目的地址的报文,包括:
丢弃来自所述源地址的第一个Syn报文,如果来自所述源地址的第二个Syn报文不能够在有效时间窗口内到达,则判定所述具有相同源地址和目的地址的报文是TCP泛洪攻击;
或者,响应于接收到的来自所述源地址的Syn报文,根据所述Syn报文计算验证值,并通过Syn-Ack报文返回所述源地址,响应于接收到的来自所述源地址的Ack报文,根据所述验证值检查所述Ack报文的合法性,如果所述Ack报文不合法性,则判定所述具有相同源地址和目的地址的报文是TCP泛洪攻击。
在一些实施例中,所述具有相同源地址和目的地址的报文被分配到一台防御设备进行流量成分分析。
根据本公开的另一个方面,提出一种防御泛洪攻击的系统,包括:
接收模块,用于接收报文;
分析模块,用于对具有相同源地址和目的地址的报文进行流量成分分析,以判断所述具有相同源地址和目的地址的报文是否为泛洪攻击的可疑流量;
处理模块,用于在所述具有相同源地址和目的地址的报文不是可疑流量的情况下,转发所述具有相同源地址和目的地址的报文,在所述具有相同源地址和目的地址的报文是可疑流量的情况下,进一步验证所述具有相同源地址和目的地址的报文。
在一些实施例中,所述分析模块,用于采用对具有相同源地址和目的地址的传输控制协议TCP报文进行流量成分分析,包括以下至少一种分析处理:
针对具有相同源地址和目的地址的TCP报文,判断首个报文是否为Syn报文,若首个报文不是Syn报文,则所述具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量;
针对具有相同源地址和目的地址的TCP报文,统计单位时间内各种类型的TCP报文的数量,对每种类型的TCP报文的比例成分进行分析,若某种类型的TCP报文的比例成分不符合预先设置的该种类型的TCP报文的成分阈值,则所述具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量,每种类型的TCP报文的成分阈值根据该类型的正常TCP报文的流量成分进行设置。
在一些实施例中,如果Syn报文数量超过设定的Syn阈值,且Syn报文与Ack报文的比例超过设定的第一比例阈值时,则所述具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量;
或者,如果Rst报文数量超过设定的Rst阈值,且Rst报文与Ack报文的比例超过设定的第二比例阈值时,则所述具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量;
或者,如果Fin报文数量超过设定的Fin阈值,且Fin报文与Ack报文的比例超过设定的第三比例阈值时,则所述具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量;
或者,如果带数据的Ack报文数量超过设定的数量阈值,且带数据的Ack报文和不带数据的Ack报文的比例超过设定的第四比例阈值时,则所述具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量。
在一些实施例中,当单位时间为秒时,Syn阈值、Rst阈值、Fin阈值、数量阈值的范围为32-128,第一比例阈值、第二比例阈值、第三比例阈值的范围为1/8-1/2,第四比例阈值的范围为1-2。
在一些实施例中,所述处理模块包括用于转发所述具有相同源地址和目的地址的报文的转发单元,和用于进一步验证所述具有相同源地址和目的地址的报文的验证单元;所述验证单元,用于:
丢弃来自所述源地址的第一个Syn报文,如果来自所述源地址的第二个Syn报文不能够在有效时间窗口内到达,则判定所述具有相同源地址和目的地址的报文是TCP泛洪攻击;
或者,响应于接收到的来自所述源地址的Syn报文,根据所述Syn报文计算验证值,并通过Syn-Ack报文返回所述源地址,响应于接收到的来自所述源地址的Ack报文,根据所述验证值检查所述Ack报文的合法性,如果所述Ack报文不合法性,则判定所述具有相同源地址和目的地址的报文是TCP泛洪攻击。
在一些实施例中,该系统还包括:均衡模块,用于将具有相同源地址和目的地址的报文分配到一台防御设备进行流量成分分析。
在一些实施例中,所述系统串联接入网络。
根据本公开的另一个方面,提出一种防御泛洪攻击的装置,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行前述的防御泛洪攻击的方法。
根据本公开的另一个方面,提出一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述的防御泛洪攻击的方法。
通过对具有相同源地址和目的地址的报文进行流量成分分析,在较短时间内即可判断是否为可疑流量,针对可疑流量进行泛洪攻击的验证,针对非可疑流量,则直接转发报文,缩小了验证范围,从而在防御泛洪攻击时减少对正常流量的影响。
附图说明
下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍。根据下面参照附图的详细描述,可以更加清楚地理解本公开,
显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开防御泛洪攻击一些实施例的网络部署示意图。
图2为本公开防御泛洪攻击的方法一些实施例的流程示意图。
图3为本公开防御TCP泛洪攻击的方法一些实施例的流程示意图。
图4为本公开防御泛洪攻击的系统一些实施例的结构示意图。
图5为本公开防御泛洪攻击的系统一些实施例的部署示意图。
图6为本公开防御泛洪攻击的装置的一个实施例的结构图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述。
图1为本公开防御泛洪攻击一些实施例的网络部署示意图。如图1所示,防御集群串联接入网络中,在服务器和攻击者之间构筑安全屏障。相对于旁路部署方案,本公开的串联部署方案不容易漏过攻击流量。防御集群前端的负载均衡设备,例如以(源IP地址,目的IP地址)二元组哈希方式,将具有相同源IP(Internet Protocol,网络之间互连的协议)地址和目的IP地址的报文分配到一台防御设备进行流量成分分析,每台防御设备在较短时间内可以单独检测出可疑流量,不需要汇聚目的IP地址的所有流量进行分析。每台防御设备仅针对可疑流量进行泛洪攻击的进一步验证,而针对非可疑流量,则可以直接转发报文,缩小了验证范围,从而在防御泛洪攻击时减少对正常流量的影响。
图1是一种可疑流量甄别效率比较高的示例性的网络部署方式,还可以采用其他网络部署方式,例如,不设置负载均衡设备,或者,仅设置一台防御设备对具有相同源IP地址和目的IP地址的报文进行流量成分分析。
图2为本公开防御泛洪攻击的方法一些实施例的流程示意图。该实施例的方法可以由构筑在服务器与网络(网络中可能存在攻击者)之间的防御系统执行。该防御系统可以是如图1所示的防御集群,也可以是防御设备。
如图2所示,该实施例的方法包括步骤210~240。
在步骤210,接收报文。
在步骤220,对具有相同源地址和目的地址的报文进行流量成分分析,以判断具有相同源地址和目的地址的报文是否为泛洪攻击的可疑流量。
例如,将待检测报文的流量成分与正常报文的流量成分进行比对,如果二者的差异在可接受的范围内,则认为待检测报文不是泛洪攻击的可疑流量,否则,如果二者的差异超出可接受的范围,则认为待检测报文可能是泛洪攻击的可疑流量。
在一些实施例中,可以对单位时间内接收的具有相同源地址和目的地址的报文进行流量成分分析,该单位时间例如可以是1秒,甚至是更短的时间,因此能够在更短的时间内识别出可疑流量。
在步骤230,在具有相同源地址和目的地址的报文不是可疑流量的情况下,认为是正常流量,转发具有相同源地址和目的地址的报文。
在步骤240,在具有相同源地址和目的地址的报文是可疑流量的情况下,进一步验证具有相同源地址和目的地址的报文。
在一些实施例中,进一步验证报文是否为泛洪攻击例如可以参考现有的泛洪攻击防御方法。
通过对具有相同源地址和目的地址的报文进行流量成分分析,在较短时间内即可判断是否为可疑流量,针对可疑流量进行泛洪攻击的验证,针对非可疑流量,则直接转发报文,缩小了验证范围,从而在防御泛洪攻击时减少对正常流量的影响。
上述方法例如可以防御TCP泛洪攻击、ICMP(Internet Control MessageProtocol,因特网控制报文协议)泛洪攻击等泛洪攻击方式。下面以TCP泛洪攻击为例来说明上述防御方法。
图3为本公开防御TCP泛洪攻击的方法一些实施例的流程示意图。该实施例的方法可以由构筑在服务器与网络(网络中可能存在攻击者)之间的防御系统执行。该防御系统可以是如图1所示的防御集群,也可以是防御设备。
如图3所示,该实施例的方法包括:
在步骤310,报文统计:以(源地址,目的地址)二元组为单位,统计单位时间内源地址到目的地址的各种类型的TCP报文的数量,即,针对具有相同源地址和目的地址的TCP报文,分别统计单位时间内各种类型的TCP报文的数量。例如,TCP报文类型包括Syn(同步报文,携带同步序号,用来发起连接),Syn-Ack,Ack(确认报文,确认同步序号),Psh-Ack(接收方应将整个报文尽快交给应用层),Rst(重建连接报文),Rst-Ack,Fin(结束连接报文),Fin-Ack。
在一些实施例中,该单位时间例如可以是1秒,甚至是更短的时间,因此能够在更短的时间内识别出可疑流量。
在步骤320,可疑性分析:基于TCP连接的特点,每个TCP连接中各种TCP报文类型按一定的比例出现。根据前述统计对TCP报文进行流量成分分析,以发现可疑报文。
在一些实施例中,可疑性分析可以包括以下至少一种分析处理:
A:针对具有相同源地址和目的地址的TCP报文,判断首个报文是否为Syn报文,若首个报文不是Syn报文,则具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量。
B:针对具有相同源地址和目的地址的TCP报文,对统计的每种类型的TCP报文的比例成分进行分析,若某种类型的TCP报文的比例成分不符合预先设置的该种类型的TCP报文的成分阈值,则具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量。每种类型的TCP报文的成分阈值可以根据该类型的正常TCP报文的流量成分进行设置。
B1:Syn报文的比例成分分析,Syn报文包括Syn类型的报文。正常情况下,一个TCP连接只有一个Syn报文,大部分是Ack报文,同一个源IP到目的IP的TCP报文中,Syn报文的比例很低。如果Syn报文数量超过设定的Syn阈值,且Syn报文与Ack报文的比例超过设定的第一比例阈值时,则该源IP可疑,很可能是Syn泛洪攻击。
Syn阈值的合理范围为32-128,Syn阈值设置过低时,容易导致对报文比例判断产生较大偏差,Syn阈值设置较高时,当攻击流量较少时,容易导致攻击报文漏过。第一比例阈值的合理范围为1/8到1/2之间的值。
B2:Rst报文的比例成分分析,Rst报文包括Rst类型和Rst-Ack类型的报文。正常情况下,Rst报文比例远低于Ack报文。如果Rst报文数量超过设定的Rst阈值,且Rst报文与Ack报文的比例超过设定的第二比例阈值时,则该源IP可疑,很可能是受到Rst泛洪攻击。
Rst阈值的合理范围为32-128,Rst阈值设置过低时,容易导致对报文比例判断产生较大偏差,Rst阈值设置较高时,当攻击流量较少时,容易导致攻击报文漏过。第二比例阈值的合理范围为1/8到1/2之间的值。
B3:Fin报文的比例成分分析,Fin报文包括Fin类型和Fin-Ack类型的报文。TCP关闭连接时Fin报文和Ack是成对出现的。如果Fin报文数量超过设定的Fin阈值,且Fin报文与Ack报文的比例超过设定的第三比例阈值时,则该源IP可疑。
Fin阈值的合理范围为32-128,Fin阈值设置过低时,容易导致对报文比例判断产生较大偏差,Fin阈值设置较高时,当攻击流量较少时,容易导致攻击报文漏过。第三比例阈值的合理范围为1/8到1/2之间的值。
B4:Ack报文的比例成分分析,Ack报文包括Ack类型和Psh-Ack类型的报文。正常的TCP数据交互过程中,带数据的Ack和不带数据的Ack报文是成比例出现的。如果带数据的Ack报文数量超过设定的数量阈值,且带数据的Ack报文和不带数据的Ack报文的比例超过设定的第四比例阈值时,则具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量。
数量阈值的合理范围为32-128,数量阈值设置过低时,容易导致对报文比例判断产生较大偏差,数量阈值设置较高时,当攻击流量较少时,容易导致攻击报文漏过。第四比例阈值的合理范围为1到2之间的值。
在步骤330,在具有相同源地址和目的地址的TCP报文不是可疑流量的情况下,认为是正常流量,转发具有相同源地址和目的地址的TCP报文。
在步骤340,在具有相同源地址和目的地址的TCP报文是可疑流量的情况下,进一步验证具有相同源地址和目的地址的TCP报文。
进一步验证具有相同源地址和目的地址的TCP报文例如可以采用以下方法:
Syn重传验证方法:丢弃来自源地址的第一个Syn报文,如果来自源地址的第二个Syn报文不能够在有效时间窗口内到达,则判定具有相同源地址和目的地址的报文是TCP泛洪攻击。该验证方法具有更短的时延。
反向探测方法:响应于接收到的来自源地址的Syn报文,根据Syn报文计算验证值,并通过Syn-Ack报文返回源地址,响应于接收到的来自源地址的Ack报文,根据验证值检查Ack报文的合法性,如果Ack报文不合法性,则判定具有相同源地址和目的地址的报文是TCP泛洪攻击。
基于验证值的一种示例性的检查方法例如为:通过对报文源端的IP地址和端囗、防御端的IP地址和端囗等安全要素进行哈希运算和加密得到验证值(也称cookie),验证值通过Syn-Ack报文返回报文源端,防御端接收到报文源端的Ack报文,将Ack报文的Ack序列号减去1的结果与前述验证值进行比较,如果不同,则可能是TCP泛洪攻击。
通过对具有相同源地址和目的地址的TCP报文进行流量成分分析,在较短时间内即可判断是否为可疑流量,针对可疑流量进行泛洪攻击的验证,针对非可疑流量,则直接转发TCP报文,缩小了验证范围,从而在防御泛洪攻击时减少对正常TCP流量的影响。
图4为本公开防御泛洪攻击的系统一些实施例的结构示意图。
如图4所示,该实施例的系统包括:
接收模块410,用于接收报文;
分析模块420,用于对具有相同源地址和目的地址的报文进行流量成分分析,以判断具有相同源地址和目的地址的报文是否为泛洪攻击的可疑流量;
处理模块430,用于在具有相同源地址和目的地址的报文不是可疑流量的情况下,转发具有相同源地址和目的地址的报文,在具有相同源地址和目的地址的报文是可疑流量的情况下,进一步验证具有相同源地址和目的地址的报文。
在一些实施例中,分析模块420,用于采用对具有相同源地址和目的地址的传输控制协议TCP报文进行流量成分分析,包括以下至少一种分析处理:
针对具有相同源地址和目的地址的TCP报文,判断首个报文是否为Syn报文,若首个报文不是Syn报文,则具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量;
针对具有相同源地址和目的地址的TCP报文,统计单位时间内各种类型的TCP报文的数量,对每种类型的TCP报文的比例成分进行分析,若某种类型的TCP报文的比例成分不符合预先设置的该种类型的TCP报文的成分阈值,则具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量,每种类型的TCP报文的成分阈值根据该类型的正常TCP报文的流量成分进行设置。
在一些实施例中,如果Syn报文数量超过设定的Syn阈值,且Syn报文与Ack报文的比例超过设定的第一比例阈值时,则具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量。
在一些实施例中,如果Rst报文数量超过设定的Rst阈值,且Rst报文与Ack报文的比例超过设定的第二比例阈值时,则具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量。
在一些实施例中,如果Fin报文数量超过设定的Fin阈值,且Fin报文与Ack报文的比例超过设定的第三比例阈值时,则具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量。
在一些实施例中,如果带数据的Ack报文数量超过设定的数量阈值,且带数据的Ack报文和不带数据的Ack报文的比例超过设定的第四比例阈值时,则具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量。
在一些实施例中,当单位时间为秒时,Syn阈值、Rst阈值、Fin阈值、数量阈值的范围为32-128,第一比例阈值、第二比例阈值、第三比例阈值的范围为1/8-1/2,第四比例阈值的范围为1-2。
在一些实施例中,处理模块430包括用于转发具有相同源地址和目的地址的报文的转发单元431,和用于进一步验证具有相同源地址和目的地址的报文的验证单元432。
在一些实施例中,验证单元432,用于:
丢弃来自源地址的第一个Syn报文,如果来自源地址的第二个Syn报文不能够在有效时间窗口内到达,则判定具有相同源地址和目的地址的报文是TCP泛洪攻击;
或者,响应于接收到的来自源地址的Syn报文,根据Syn报文计算验证值,并通过Syn-Ack报文返回源地址,响应于接收到的来自源地址的Ack报文,根据验证值检查Ack报文的合法性,如果Ack报文不合法性,则判定具有相同源地址和目的地址的报文是TCP泛洪攻击。
在一些实施例中,该系统还包括:均衡模块440,用于将具有相同源地址和目的地址的报文分配到一台防御设备进行流量成分分析。
在一些实施例中,该系统串联接入网络。
图5为本公开防御泛洪攻击的系统一些实施例的部署示意图。
如图5所示,该系统的接收模块410、均衡模块440例如可以部署在负载均衡设备,分析模块420、处理模块430例如可以部署在防御设备。
图6为本公开防御泛洪攻击的装置的一个实施例的结构图。如图6所示,该实施例的装置600包括:存储器610以及耦接至该存储器610的处理器620,处理器620被配置为基于存储在存储器610中的指令,执行前述任意一个实施例中的防御泛洪攻击的方法。
其中,存储器610例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)以及其他程序等。
装置600还可以包括输入输出接口630、网络接口640、存储接口650等。这些接口630,640,650以及存储器610和处理器620之间例如可以通过总线660连接。其中,输入输出接口630为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口640为各种联网设备提供连接接口。存储接口650为SD卡、U盘等外置存储设备提供连接接口。
本公开还提出一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述任意一个实施例中的防御泛洪攻击的方法。
本领域内的技术人员应当明白,本公开的实施例可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解为可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本公开的较佳实施例,并不用以限制本公开,凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (15)
1.一种防御泛洪攻击的方法,包括:
接收报文;
对具有相同源地址和目的地址的报文进行流量成分分析,以判断所述具有相同源地址和目的地址的报文是否为泛洪攻击的可疑流量,包括:将具有相同源地址和目的地址的报文作为待检测报文,将待检测报文的流量成分与正常报文的流量成分进行比对,如果待检测报文与正常报文的流量成分差异在预设范围内,则认为待检测报文不是泛洪攻击的可疑流量,否则,如果待检测报文与正常报文的流量成分差异超出预设范围,则认为待检测报文是泛洪攻击的可疑流量;
在所述具有相同源地址和目的地址的报文不是可疑流量的情况下,转发所述具有相同源地址和目的地址的报文,在所述具有相同源地址和目的地址的报文是可疑流量的情况下,进一步验证所述具有相同源地址和目的地址的报文。
2.如权利要求1所述的方法,其中,对具有相同源地址和目的地址的传输控制协议TCP报文进行流量成分分析,包括以下至少一种分析处理:
针对具有相同源地址和目的地址的TCP报文,判断首个报文是否为Syn报文,若首个报文不是Syn报文,则所述具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量;
针对具有相同源地址和目的地址的TCP报文,统计单位时间内各种类型的TCP报文的数量,对每种类型的TCP报文的比例成分进行分析,若某种类型的TCP报文的比例成分不符合预先设置的该种类型的TCP报文的成分阈值,则所述具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量,每种类型的TCP报文的成分阈值根据该类型的正常TCP报文的流量成分进行设置。
3.如权利要求2所述的方法,其中,
如果Syn报文数量超过设定的Syn阈值,且Syn报文与Ack报文的比例超过设定的第一比例阈值时,则所述具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量;
或者,如果Rst报文数量超过设定的Rst阈值,且Rst报文与Ack报文的比例超过设定的第二比例阈值时,则所述具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量;
或者,如果Fin报文数量超过设定的Fin阈值,且Fin报文与Ack报文的比例超过设定的第三比例阈值时,则所述具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量;
或者,如果带数据的Ack报文数量超过设定的数量阈值,且带数据的Ack报文和不带数据的Ack报文的比例超过设定的第四比例阈值时,则所述具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量。
4.如权利要求3所述的方法,其中,当单位时间为秒时,
Syn阈值、Rst阈值、Fin阈值、数量阈值的范围为32-128,
第一比例阈值、第二比例阈值、第三比例阈值的范围为1/8-1/2,第四比例阈值的范围为1-2。
5.如权利要求1所述的方法,其中,进一步验证所述具有相同源地址和目的地址的报文,包括:
丢弃来自所述源地址的第一个Syn报文,如果来自所述源地址的第二个Syn报文不能够在有效时间窗口内到达,则判定所述具有相同源地址和目的地址的报文是TCP泛洪攻击;
或者,响应于接收到的来自所述源地址的Syn报文,根据所述Syn报文计算验证值,并通过Syn-Ack报文返回所述源地址,响应于接收到的来自所述源地址的Ack报文,根据所述验证值检查所述Ack报文的合法性,如果所述Ack报文不合法性,则判定所述具有相同源地址和目的地址的报文是TCP泛洪攻击。
6.如权利要求1所述的方法,其中,所述具有相同源地址和目的地址的报文被分配到一台防御设备进行流量成分分析。
7.一种防御泛洪攻击的系统,包括:
接收模块,用于接收报文;
分析模块,用于对具有相同源地址和目的地址的报文进行流量成分分析,以判断所述具有相同源地址和目的地址的报文是否为泛洪攻击的可疑流量,包括:将具有相同源地址和目的地址的报文作为待检测报文,将待检测报文的流量成分与正常报文的流量成分进行比对,如果待检测报文与正常报文的流量成分差异在预设范围内,则认为待检测报文不是泛洪攻击的可疑流量,否则,如果待检测报文与正常报文的流量成分差异超出预设范围,则认为待检测报文是泛洪攻击的可疑流量;
处理模块,用于在所述具有相同源地址和目的地址的报文不是可疑流量的情况下,转发所述具有相同源地址和目的地址的报文,在所述具有相同源地址和目的地址的报文是可疑流量的情况下,进一步验证所述具有相同源地址和目的地址的报文。
8.如权利要求7所述的系统,其中,
所述分析模块,用于采用对具有相同源地址和目的地址的传输控制协议TCP报文进行流量成分分析,包括以下至少一种分析处理:
针对具有相同源地址和目的地址的TCP报文,判断首个报文是否为Syn报文,若首个报文不是Syn报文,则所述具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量;
针对具有相同源地址和目的地址的TCP报文,统计单位时间内各种类型的TCP报文的数量,对每种类型的TCP报文的比例成分进行分析,若某种类型的TCP报文的比例成分不符合预先设置的该种类型的TCP报文的成分阈值,则所述具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量,每种类型的TCP报文的成分阈值根据该类型的正常TCP报文的流量成分进行设置。
9.如权利要求8所述的系统,其中,
如果Syn报文数量超过设定的Syn阈值,且Syn报文与Ack报文的比例超过设定的第一比例阈值时,则所述具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量;
或者,如果Rst报文数量超过设定的Rst阈值,且Rst报文与Ack报文的比例超过设定的第二比例阈值时,则所述具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量;
或者,如果Fin报文数量超过设定的Fin阈值,且Fin报文与Ack报文的比例超过设定的第三比例阈值时,则所述具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量;
或者,如果带数据的Ack报文数量超过设定的数量阈值,且带数据的Ack报文和不带数据的Ack报文的比例超过设定的第四比例阈值时,则所述具有相同源地址和目的地址的TCP报文是TCP泛洪攻击的可疑流量。
10.如权利要求9所述的系统,其中,当单位时间为秒时,
Syn阈值、Rst阈值、Fin阈值、数量阈值的范围为32-128,
第一比例阈值、第二比例阈值、第三比例阈值的范围为1/8-1/2,第四比例阈值的范围为1-2。
11.如权利要求7所述的系统,其中,
所述处理模块包括用于转发所述具有相同源地址和目的地址的报文的转发单元,和用于进一步验证所述具有相同源地址和目的地址的报文的验证单元;
所述验证单元,用于:
丢弃来自所述源地址的第一个Syn报文,如果来自所述源地址的第二个Syn报文不能够在有效时间窗口内到达,则判定所述具有相同源地址和目的地址的报文是TCP泛洪攻击;
或者,响应于接收到的来自所述源地址的Syn报文,根据所述Syn报文计算验证值,并通过Syn-Ack报文返回所述源地址,响应于接收到的来自所述源地址的Ack报文,根据所述验证值检查所述Ack报文的合法性,如果所述Ack报文不合法性,则判定所述具有相同源地址和目的地址的报文是TCP泛洪攻击。
12.如权利要求7所述的系统,还包括:
均衡模块,用于将具有相同源地址和目的地址的报文分配到一台防御设备进行流量成分分析。
13.如权利要求7所述的系统,其中,所述系统串联接入网络。
14.一种防御泛洪攻击的装置,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行权利要求1-6中任一项所述的防御泛洪攻击的方法。
15.一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现权利要求1-6中任一项所述的防御泛洪攻击的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810148958.3A CN110166408B (zh) | 2018-02-13 | 2018-02-13 | 防御泛洪攻击的方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810148958.3A CN110166408B (zh) | 2018-02-13 | 2018-02-13 | 防御泛洪攻击的方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110166408A CN110166408A (zh) | 2019-08-23 |
| CN110166408B true CN110166408B (zh) | 2022-09-06 |
Family
ID=67635265
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810148958.3A Active CN110166408B (zh) | 2018-02-13 | 2018-02-13 | 防御泛洪攻击的方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110166408B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111212096B (zh) * | 2020-01-02 | 2020-07-28 | 杭州圆石网络安全技术有限公司 | 一种降低idc防御成本的方法、装置、存储介质和计算机 |
| CN113452647B (zh) * | 2020-03-24 | 2022-11-29 | 百度在线网络技术(北京)有限公司 | 特征鉴定方法、装置、电子设备及计算机可读存储介质 |
| CN112671736B (zh) * | 2020-12-16 | 2023-05-12 | 深信服科技股份有限公司 | 一种攻击流量确定方法、装置、设备及存储介质 |
| CN113783857B (zh) * | 2021-08-31 | 2023-11-07 | 新华三信息安全技术有限公司 | 一种防攻击方法、装置、设备及机器可读存储介质 |
| CN113810398B (zh) * | 2021-09-09 | 2023-09-26 | 新华三信息安全技术有限公司 | 一种攻击防护方法、装置、设备及存储介质 |
| CN115378764B (zh) * | 2022-08-19 | 2024-04-05 | 山石网科通信技术股份有限公司 | 通信方法、装置、存储介质及电子装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101267313A (zh) * | 2008-04-23 | 2008-09-17 | 华为技术有限公司 | 泛洪攻击检测方法及检测装置 |
| CN102891829A (zh) * | 2011-07-18 | 2013-01-23 | 航天信息股份有限公司 | 检测与防御分布式拒绝服务攻击的方法及系统 |
| CN104378369A (zh) * | 2014-11-11 | 2015-02-25 | 上海斐讯数据通信技术有限公司 | 一种无线防止泛洪攻击的方法 |
| CN105119942A (zh) * | 2015-09-16 | 2015-12-02 | 广东睿江科技有限公司 | 一种洪水攻击检测方法 |
| CN106357628A (zh) * | 2016-08-31 | 2017-01-25 | 东软集团股份有限公司 | 攻击的防御方法及装置 |
| CN106357666A (zh) * | 2016-10-09 | 2017-01-25 | 广东睿江云计算股份有限公司 | 一种syn flood攻击的清洗方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7251692B1 (en) * | 2000-09-28 | 2007-07-31 | Lucent Technologies Inc. | Process to thwart denial of service attacks on the internet |
-
2018
- 2018-02-13 CN CN201810148958.3A patent/CN110166408B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101267313A (zh) * | 2008-04-23 | 2008-09-17 | 华为技术有限公司 | 泛洪攻击检测方法及检测装置 |
| CN102891829A (zh) * | 2011-07-18 | 2013-01-23 | 航天信息股份有限公司 | 检测与防御分布式拒绝服务攻击的方法及系统 |
| CN104378369A (zh) * | 2014-11-11 | 2015-02-25 | 上海斐讯数据通信技术有限公司 | 一种无线防止泛洪攻击的方法 |
| CN105119942A (zh) * | 2015-09-16 | 2015-12-02 | 广东睿江科技有限公司 | 一种洪水攻击检测方法 |
| CN106357628A (zh) * | 2016-08-31 | 2017-01-25 | 东软集团股份有限公司 | 攻击的防御方法及装置 |
| CN106357666A (zh) * | 2016-10-09 | 2017-01-25 | 广东睿江云计算股份有限公司 | 一种syn flood攻击的清洗方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110166408A (zh) | 2019-08-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110166408B (zh) | 防御泛洪攻击的方法、装置和系统 | |
| US7743415B2 (en) | Denial of service attacks characterization | |
| US7743134B2 (en) | Thwarting source address spoofing-based denial of service attacks | |
| US7043759B2 (en) | Architecture to thwart denial of service attacks | |
| US7398317B2 (en) | Thwarting connection-based denial of service attacks | |
| US20020031134A1 (en) | Device to protect victim sites during denial of service attacks | |
| Sanmorino et al. | DDoS attack detection method and mitigation using pattern of the flow | |
| US20020035628A1 (en) | Statistics collection for network traffic | |
| US20020095492A1 (en) | Coordinated thwarting of denial of service attacks | |
| US20020032880A1 (en) | Monitoring network traffic denial of service attacks | |
| CN110784464B (zh) | 泛洪攻击的客户端验证方法、装置、系统及电子设备 | |
| US20130263245A1 (en) | Distributed tcp syn flood protection | |
| US20160344765A1 (en) | Unobtrusive and Dynamic DDoS Mitigation | |
| US9032524B2 (en) | Line-rate packet filtering technique for general purpose operating systems | |
| KR101042291B1 (ko) | 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법 | |
| Scholz et al. | SYN flood defense in programmable data planes | |
| Chouhan et al. | Packet monitoring approach to prevent DDoS attack in cloud computing | |
| Maheshwari et al. | Defending network system against IP spoofing based distributed DoS attacks using DPHCF-RTT packet filtering technique | |
| CN105812318A (zh) | 用于在网络中防止攻击的方法、控制器和系统 | |
| Shah et al. | Mitigating TCP SYN flooding based EDOS attack in cloud computing environment using binomial distribution in SDN | |
| Yuvaraj et al. | Some investigation on DDOS attack models in mobile networks | |
| CN113765849A (zh) | 一种异常网络流量检测方法和装置 | |
| CN101795277A (zh) | 一种单向流检测模式下的流量检测方法和设备 | |
| KR20130009130A (ko) | 좀비 피씨 및 디도스 대응 장치 및 방법 | |
| CN112532617B (zh) | 一种针对HTTP Flood攻击的检测方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |