CN111212096A - 一种降低idc防御成本的方法、装置、存储介质和计算机 - Google Patents
一种降低idc防御成本的方法、装置、存储介质和计算机 Download PDFInfo
- Publication number
- CN111212096A CN111212096A CN202010314440.XA CN202010314440A CN111212096A CN 111212096 A CN111212096 A CN 111212096A CN 202010314440 A CN202010314440 A CN 202010314440A CN 111212096 A CN111212096 A CN 111212096A
- Authority
- CN
- China
- Prior art keywords
- syn
- hop count
- threshold
- flow
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
- H04L43/0894—Packet rate
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种降低IDC防御成本的方法、装置、存储介质和计算机,其中,该方法包括:检测IDC上行带宽;根据上行带宽阈值,进行或停止UDP扫描,UDP扫描用于获取并存储全网IP信息及IP对应的到IDC的跳数信息;基于上行带宽阈值,调整SYN报文处理校验规则的流量阈值;SYN报文处理校验规则包括:当接收到的SYN报文流量小于流量阈值时,对接收的SYN报文均进行SYN源认证处理;当接收到的SYN报文流量大于流量阈值时,查询SYN报文的源IP信息,并根据查询结果,对SYN报文进行SYN源认证处理或跳数信息校验,以及根据流量和跳数信息校验结果进行SYN源认证或丢弃SYN报文。采用本发明,在DDoS防火墙设备进行大流量SYN攻击防御时,可大大降低IDC上行带宽,从而降低防御成本。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种降低IDC防御成本的方法、装置、存储介质和计算机。
背景技术
缩略语及关键术语定义
TCP(Transmission Control Protocol,传输控制协议),是为了在不可靠的互联网络上提供可靠的端到端字节流而专门设计的一个传输协议。TCP通信时需要先进行三次握手(SYN,SYN-ACK,ACK三个报文),建立TCP连接以后才可以发送数据包。实际应用场景又分为短连接和长连接两种方式,短连接是三次握手建立连接以后发送数据包,完成之后断开连接,释放TCP连接资源,主要用于web网站的http服务等并发量大的场景;长连接是双方三次握手建立连接以后保持连接状态,持续进行数据交互,只在业务终止时才断开连接,用于并发量不大但连接双方需要频繁数据交互的场景,比如大多数在线游戏等。
DDoS(Distributed Denial of Service,分布式拒绝服务攻击),是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。它的攻击原理是利用网络协议和操作系统的一些缺陷,借助数百、甚至数千台被入侵后安装了攻击进程的主机采用欺骗和伪装的策略来进行网络攻击,使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。
防火墙,是指一套对网络攻击进行检测、告警、防护的网络安全设备。通常部署在IDC机房入口,对进入的流量进行实时检测,及时发现包括DDoS攻击在内的异常流量,在不影响正常业务的前提下清洗掉异常的攻击流量,保障机房内的服务器不受攻击,业务正常稳定运行。
TTL(Time To Live,生存时间值),是指该IP报文被路由器丢弃之前允许转发的最大跳数。其初始值通常为64、128或255,不同操作系统初始值可能不一样,其由报文发送者设置,报文每经过一个路由器其TTL值都会被减1后再转发。如果IP报文在到达目的IP之前其TTL减少到0时,则报文会被丢弃。通过报文中的TTL值可以计算出该报文从源发出后经过转发的跳数,如接收到报文中的TTL为230,则该报文从源设备发送后经过25跳后到达接收设备。
TTL(Time To Live,生存时间值),是指该IP报文被路由器丢弃之前允许转发的最大跳数。其初始值通常为64、128或255,不同操作系统初始值可能不一样,其由报文发送者设置,报文每经过一个路由器其TTL值都会被减1后再转发。如果IP报文在到达目的IP之前其TTL减少到0时,则报文会被丢弃。通过报文中的TTL值可以计算出该报文从源发出后经过转发的跳数,其转换方式为:
1)TTL值小于64,跳数为64-TTL;
2)TTL值大于等于64且小于128,跳数为128-TTL;
3)TTL值大于等于128且小于等于255,跳数为255-TTL。
如接收到报文中的TTL为230,则该报文从源设备发送后经过25跳后到达接收设备。
随着互联网产业以及技术的不断发展,黑客也朝着规模化、组织化、产业化发展,网络攻击造成的影响和损失越来越大。DDoS作为网络攻击中的最粗暴的方式之一,攻击规模逐年提升。
攻击
SYN Flood为最常见的DDoS攻击方式之一,攻击者利用了TCP连接建立时三次握手的机制,通过伪造源IP向受害服务器发送大量的SYN报文,而受害服务器接收到SYN报文时,会向报文源IP发送SYN+ACK报文,受害服务器会建立大量半连接状态的TCP连接,由于攻击报文源IP是伪造的且数量巨大,最终消耗完受害服务器的系统资源而造成业务不可用。
防御架构
对于DDoS攻击的防护,通常是采用在IDC(Internet Data Center,互联网数据中心)入口搭建防火墙设备,实时检测攻击行为,及时发现并拦截掉攻击流量,只允许正常的业务报文通过,防御架构如图1所示:
1)来自互联网的正常业务流量1和攻击流量1(加黑)进入防火墙设备;
2)防火墙设备将攻击流量1(加黑)进行拦截后,将正常业务流量2转发到客户的业务服务器;
3)业务服务器将正常响应业务流量3转发到防火墙设备;
4)防火墙设备将服务器返回的正常业务流量4通过互联网返回给合法用户。
计费
当前国内运营商通常采用95计费的方式对IDC的流量计费。95计费只计算IDC上行带宽(即出方向带宽),不计算下行带宽(即入方向带宽)。
95计费的算法为:每5分钟取一个点的上行带宽数据,每个月结束时将数据进行排名,剔除掉最高的5%的点的值,剩下的最高带宽就为95计费的计费值。一个月以30天为例,每个月有8640个点,剔除掉最高的432个点,剩下8208个点的最高值的带宽就为计费的带宽。这种方案导致如果IDC每个月有超过1.5天的较大突发上行流量时,会显著增加带宽成本。
对于SYN Flood攻击,现有防火墙通常采用SYN Cookie源认证的方式。防火墙在接收到一个SYN报文时,会根据连接信息计算出一个cookie值,作为SYN+ACK报文的初始序列号(seq),再对接收到的客户端返回的ACK报文中的序列号进行有效性检测,检测通过的连接则认为是合法请求,防火墙再作为代理向服务器发送SYN建立TCP连接,具体如图2所示。
客户端与防火墙建立TCP连接时会先向防火墙发送一个SYN报文,其中初始序列号seq设置为x,防火墙接收到该SYN报文时,会通过特定算法生成一个cookie1作为初始序号,然后向客户端回复SYN+ACK报文,其中的序列号seq字段为cookie1,ack字段为SYN报文中的序列号x+1,客户端接收到防火墙的SYN+ACK报文后会回音ACK报文,其中序列号seq字段为x+1,ack字段为cookie1+1,防火墙在接收到客户端的ACK报文后会检查ack字段中的数据,如果为cookie1+1则认为客户端通过SYN Cookie源认证,客户端的源IP真实,防火墙再与业务服务器通过三次握手(SYN,SYN-ACK,ACK三个报文)建立TCP连接。
由于攻击者通常是使用伪造的源IP发送SYN Flood攻击,其无法发送包含有效cookie的SYN+ACK报文,因此无法通过防火墙的cookie有效性检测,攻击流量被防火墙拦截,具体如图3所示:攻击者伪造源IP地址,向防火墙发送一个SYN报文,其中初始序列号seq设置为x1,防火墙接收到该SYN报文时,会通过特定算法生成一个cookie1作为初始序号,然后向伪造的源IP回复SYN+ACK报文,其中的序列号seq字段为cookie1,ack字段为SYN报文中的序列号x+1,由于攻击者发送SYN报文时的源IP为伪造,所以攻击者接收不到该SYN+ACK报文,也无法回复防火墙ack字段为cookie1+1的ACK报文,所以无法通过防火墙SYN Cookie认证,防火墙不会与业务服务器建立TCP连接。同理,攻击者发送伪造源IP的初始序列号seq为x2的SYN报文时,也一样无法通过防火墙SYN Cookie认证。
但上述现有技术存在如下缺陷:
由于防火墙在接收到SYN报文时,需要发送带有cookie的SYN-ACK报文进行有效性认证,当攻击者发动大流量的SYN Flood攻击时,防火墙也会突发反射大量的SYN+ACK报文,这会极大的增加防火墙的出口带宽(该带宽也称为反射带宽),且由于国内运营商的计费规则通常为按出方向带宽95计费,这会显著增加防御成本。
发明内容
本发明目的在于基于IDC上行带宽,实时调整SYN报文处理校验规则,兼顾防御成本和防御准确率。并可根据IDC上行带宽,进行或者停止可靠性较高的UDP扫描,控制IDC上行带宽,降低防御成本。
本发明采用的技术方案如下:
本发明第一目的,提供一种降低IDC防御成本的方法,包括如下方面:
检测IDC上行带宽;当上行带宽小于第一上行阈值时,对全网IP进行UDP扫描,获取并存储全网IP信息及IP对应的到IDC的跳数信息,并于上行带宽大于第二上行阈值时,停止扫描;以及,基于上行带宽第三上行阈值,实时调整SYN报文处理校验规则的第一流量阈值和第二流量阈值;其中,SYN报文处理校验规则包括:当接收到的SYN报文流量小于第一流量阈值时,对接收的SYN报文均进行SYN源认证处理;当接收到的SYN报文流量大于第一流量阈值时,在存储的全网IP信息中查询SYN报文的源IP信息,并根据查询结果,对SYN报文进行SYN源认证处理或跳数信息校验,以及根据第二流量阈值和跳数信息校验结果进行SYN源认证或丢弃SYN报文。
进一步的,上行带宽的第一上行阈值、第二上行阈值和/或第三上行阈值基于网络运营商的流量计费规则确定的基准带宽配置。
进一步的,UDP扫描的方法包括:向全网IP地址周期性地发送UDP报文,接收未打开UDP端口的主机返回的ICMP差错报文,并从该ICMP差错报文IP头中提取出TTL字段的值;以及,根据提取的TTL字段的值计算与IP对应的到IDC的跳数信息。
进一步的,IP对应的到IDC的跳数信息包括:跳数的最新值、最近历史跳数的最大值和最小值,所述最近历史跳数为预先设定的时间段内所有跳数的集合。
进一步的,在存储的全网IP信息中查询SYN报文的源IP信息,并根据查询结果,对SYN报文进行SYN源认证处理或跳数信息校验具体包括:当无法查询到源IP信息时,对SYN报文进行SYN源认证处理;当查询到源IP信息时,对SYN报文进行跳数信息校验。
进一步的,根据第二流量阈值和跳数信息校验结果进行SYN源认证或丢弃SYN报文具体包括:当接收的SYN报文流量小于所述第二流量阈值时,若发送SYN报文的IP对应的跳数在最近历史跳数的最大值和最小值之间,则进行SYN源认证处理,否则丢弃该SYN报文;当接收的SYN报文流量大于所述第二流量阈值时,若发送SYN报文的IP对应的跳数与所述跳数的最新值匹配,则进行SYN源认证处理,否则丢弃该SYN报文。
本发明第二目的在于提供一种降低防御成本的装置,包括流量检测模块、阈值设定模块、IDC扫描模块和SYN校验模块,其中:流量检测模块,用于检测IDC上行带宽;阈值设定模块,用于根据IDC上行宽带,调整第一上行阈值、第二上行阈值和第三上行阈值;IDC扫描模块,用于当上行带宽小于第一上行阈值时,对全网IP进行UDP扫描,并于上行带宽大于第二上行阈值时,停止扫描,并存储UDP扫描得到的全网IP信息及IP对应的到IDC的跳数信息;SYN校验模块,用于基于上行带宽第三上行阈值,调整第一流量阈值和第二流量阈值,并执行所述SYN报文处理校验规则,其中,所述SYN报文处理校验规则包括,当接收到的SYN报文流量小于第一流量阈值时,对接收的SYN报文均进行SYN源认证处理;当接收到的SYN报文流量大于第一流量阈值时,在IP信息存储模块中查询SYN报文的源IP信息和跳数信息,并根据查询结果,对SYN报文进行SYN源认证处理或跳数信息校验,以及根据第二流量阈值和跳数信息校验结果进行SYN源认证或丢弃SYN报文。
进一步的,上行带宽的第一上行阈值、第二上行阈值和/或第三上行阈值基于网络运营商的流量计费规则确定的基准带宽配置
进一步的,IDC扫描模块进行UDP扫描包括,向全网IP地址周期性地发送UDP报文,接收未打开UDP端口的主机返回的ICMP差错报文,并从该ICMP差错报文IP头中提取出TTL字段的值;以及,根据提取的TTL字段的值计算与IP对应的到IDC的跳数信息。
进一步的,IDC扫描模块存储的跳数信息包括:跳数的最新值、最近历史跳数的最大值和最小值,所述最近历史跳数为预先设定的时间段内的所有跳数的集合。
进一步的,SYN校验模块在IDC扫描模块中查询SYN报文的源IP信息,并根据查询结果,对SYN报文进行SYN源认证处理或跳数信息校验具体包括:当无法查询到源IP信息,对SYN报文进行SYN源认证处理;当查询到源IP信息时,对SYN报文进行跳数信息校验。
进一步的,SYN校验模块在IP信息存储模块中查询SYN报文的源IP信息,并根据查询结果,对SYN报文进行SYN源认证处理或跳数信息校验具体包括:当无法查询到源IP信息时,对SYN报文进行SYN源认证处理;当查询到源IP信息时,对SYN报文进行跳数信息校验。
进一步的,SYN校验模块根据第二流量阈值和跳数信息校验结果进行SYN源认证或丢弃SYN报文具体包括:当接收的SYN报文流量小于所述第二流量阈值时,若发送SYN报文的IP对应的跳数在所述最近历史跳数的最大值和最小值之间,则进行SYN源认证处理,否则丢弃该SYN报文;当接收的SYN报文流量大于所述第二流量阈值时,若发送SYN报文的IP对应的跳数与所述跳数的最新值匹配,则进行SYN源认证处理,否则丢弃该SYN报文。
本发明第三个目的在于提供一种计算机可读存储介质,计算机可读存储介质存储有计算机指令,计算机指令用于使计算机运行时执行降低IDC防御成本的方法。
本发明第四个目的在于提供一种计算机,包括存储器和处理器,存储器和处理器之间互相通信连接,存储器中存储有计算机指令,处理器通过执行计算机指令,从而执行降低IDC防御成本的方法。
本发明的有益效果为:
1.防火墙周期性检测IDC上行带宽,根据检测的上行带宽开启或关闭UDP扫描,控制IDC上行带宽流量使其不超过历史月平均95计费带宽。
2.通过周期性小流量的UDP扫描方式获取预先采集全网IP信息及IP对应到防火墙的跳数信息并存储,相对ping扫描和SYN扫描具有更高的可靠性。
3. 根据IDC上行带宽实时调整SYN报文处理校验规则的流量阈值,当防火墙在遭受大流量SYN Flood攻击时,根据预设流量阈值,快速丢弃跳数不匹配的SYN报文,从而减少突发反射带宽,降低防御成本。
4.在上行网络流量空闲时可将预设流量阈值调高,在不影响95计费的情况下充分利用带宽资源达到更高的防御准确率,在上行带宽流量繁忙时可将阈值调低,降低IDC上行带宽,从而降低防御成本。
附图说明
结合附图,本发明的其他特点和优点可从下面通过举例来对本发明的原理进行解释的优选实施方式的说明中变得更清楚。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。
在附图中:
图1为防火墙拦截攻击流量防御架构图;
图2为防火墙在接收到SYN报文时进行SYN Cookie源认证的示意图;
图3为SYN Flood攻击流量被防火墙拦截示意图;
图4为本发明一种降低IDC防御成本的方法实施例流程图;
图5为本发明一种降低IDC防御成本的方法SYN报文处理校验规则流程图;
图6为本发明一种降低IDC防御成本的装置实施例原理框图。
具体实施方式
如图4所示,降低IDC上防御成本的方法实施例流程图。降低IDC防御成本的方法包括:
检测IDC上行带宽;当上行带宽小于第一上行阈值时,对全网IP进行UDP扫描,获取并存储全网IP信息及IP对应的到IDC的跳数信息,并于上行带宽大于第二上行阈值时,停止扫描;以及,基于上行带宽第三上行阈值,实时调整SYN报文处理校验规则的第一流量阈值和第二流量阈值。
其中,上行带宽的第一上行阈值、第二上行阈值和/或第三上行阈值基于网络运营商的流量计费规则确定的基准带宽配置。
在本发明的一个具体实施例中,系统实时检测出口方向总带宽。以历史月平均95计费带宽为基准带宽,当上行带宽小于基准带宽的50%时,对全网开启全网UDP扫描,获取并存储全网IP信息及IP对应的到IDC的跳数信息。当上行带宽大于基准带宽的70%时停止UDP扫描。根据当前上行带宽调整UDP扫描频率和扫描带宽,确保每天完成至少一遍全网IP扫描。根据测算,全网42亿IP地址,每个IP扫描报文最大60个字节,如果分为10小时扫描,扫描宽度不超过50Mbps。其中基准带宽以及开启或者关闭UDP的带宽均可以根据实际业务情况手动配置。
系统为了及时更新IP跳数的最新信息,周期性(如每天一个循环)地对全网IP进行数据采集,其中IP信息扫描模块采用UDP扫描。
UDP扫描的方法包括:向全网IP地址周期性地发送UDP报文,接收未打开UDP端口的主机返回的ICMP差错报文,并从该ICMP差错报文IP头中提取出TTL字段的值。以及,根据提取的TTL字段的值计算与IP对应的到IDC的跳数信息。
获取并保存IP信息及IP对应的到IDC的跳数信息还可以从正常业务中接收到的SYN报文中得到。
由于网络中部分设备禁止PING扫描。SYN扫描则会导致在目的设备建立TCP半连接且频繁发送SYN报文,容易被网络中安全设备拦截,所以UDP扫描比PING扫描以及SYN扫描具有更高的可靠性。
在本发明的一个具体实施例中,向全网IP地址周期性地发送UDP报文,目的端口优先选择不常用端口号,如大于30000的端口,当目的主机未打开该UDP端口时,会返回ICMP差错报文,从该ICMP差错报文IP头中提取出TTL字段的值,将该ICMP差错报文源IP地址和从该ICMP差错报文IP头中提取出的TTL字段的值计算出与IP对应的到IDC的跳数信息。
SYN报文处理规则校验规则流程图如图5所示,其中,所述SYN报文处理校验规则包括:当接收到的SYN报文流量低于所述第一流量阈值时,对接收的SYN报文均进行SYN源认证处理;当接收到的SYN报文流量大于所述第一流量阈值时,在存储的全网IP信息中查询SYN报文的源IP信息,并根据查询结果,对SYN报文进行SYN源认证处理或跳数信息校验,以及根据第二流量阈值和跳数信息校验结果进行SYN源认证或丢弃SYN报文。
根据第二流量阈值和跳数信息校验结果进行SYN源认证或丢弃SYN报文具体方法包括:当接收的SYN报文流量小于所述第二流量阈值时,若发送SYN报文的IP对应的跳数在所述最近历史跳数的最大值和最小值之间,则进行SYN源认证处理,否则丢弃该SYN报文;当接收的SYN报文流量大于所述第二流量阈值时,若发送SYN报文的IP对应的跳数与所述跳数的最新值匹配,则进行SYN源认证处理,否则丢弃该SYN报文。
在本发明的一个具体实施例中,考虑到当时的业务流量和源有效性认证占用的上行带宽宽度,当未受到SYN Flood攻击或者SYN Flood流量较小,此时,上行带宽在不超过95计费的带宽时,充分利用上行带宽宽度,对接收的SYN报文均进行SYN源认证处理。当遭受大流量SYN Flood攻击时,对存储的全网IP信息中查询攻击SYN报文的源IP信息,若未能查询到源IP信息,则需要对该SYN报文进行SYN源认证。若能查询到源IP信息和有效的跳数信息,则根据第二流量阈值和跳数信息校验结果进行SYN源认证或丢弃SYN报文。
具体的,在攻击流量小时,如上行带宽小于基准带宽的150%时,可对跳数信息的检查的处理较为宽松,在历史跳数区间内则认为跳数匹配,然后通过SYN源认证来进一步识别出剩下的伪造源IP。跳数不在历史跳数区间的报文大概率为伪造报文,直接丢弃该SYN报文。如果攻击流量较大,如上行带宽大于基准带宽的150%时,则对跳数信息进行严格判断,SYN报文中获得的IP对应的跳数信息和储存的最新的跳数值匹配,则进行SYN源认证处理,否则丢弃该SYN报文。
其中,IP对应的到IDC的跳数信息包括:跳数的最新值、最近历史跳数的最大值和最小值,所述最近历史跳数为预先设定的时间段内所有跳数的集合。
在本发明的一个具体实施例中,最近历史跳数的最大值和最小值为最近5天的最大值和最小值。
另外,SYN源认证方式可以采用SYN Cookie源认证、TCP Reset 认证或其他认证方式。
如图6所示为降低IDC防御成本的装置实施例原理框图。降低IDC防御成本的装置包括流量检测模块、阈值设定模块、IDC扫描模块和SYN校验模块。
流量检测模块,用于检测IDC上行带宽,周期性的检测IDC上行带宽。
阈值设定模块,用于根据IDC上行宽带,调整第一上行阈值、第二上行阈值和第三上行阈值。
IDC扫描模块,用于当上行带宽小于第一上行阈值时,对全网IP进行UDP扫描,并于上行带宽大于第二上行阈值时,停止扫描,并存储UDP扫描得到的全网IP信息及IP对应的到IDC的跳数信息。
该模块还可以通过分析正常业务流量,从SYN报文IP头中提取TTL字段的值,将报文源IP信息与从该报文IP头中提取的TTL字段的值转换为跳数信息并进行存储。
其中,上行带宽的第一上行阈值、第二上行阈值和/或第三上行阈值基于网络运营商的流量计费规则确定的基准带宽配置。
在本发明的的一个具体实施例中,IDC扫描模块在上行带宽小于50%基准带宽时,周期性的扫描全网IP,预先搜集全网IP地址的TTL字段的值,并将报文源IP地址与从该报文IP头中提取的TTL字段的值并计算得到IP对应的到IDC的跳数信息。在上行带宽大于70%基准带宽时,关闭全网IP扫描。
IDC扫描模块存储每个IP地址到防火墙实际跳数的最新值、最近历史跳数的最大值和最小值。最近历史跳数可以是预先设定的时间段内所有跳数的集合。
在本发明的的一个具体实施例中,最近历史跳数是预先设定的最近5天的所有跳数。
SYN校验模块,用于基于上行带宽第三上行阈值,调整第一流量阈值和第二流量阈值,并执行SYN报文处理校验规则,其中,SYN报文处理校验规则包括,当接收到的SYN报文流量小于第一流量阈值时,对接收的SYN报文均进行SYN源认证处理;当接收到的SYN报文流量大于第一流量阈值时,在IP信息存储模块中查询SYN报文的源IP信息和跳数信息,并根据查询结果,对SYN报文进行SYN源认证处理或跳数信息校验,以及根据第二流量阈值和跳数信息校验结果进行SYN源认证或丢弃SYN报文。
SYN校验模块主要负责SYN报文源IP TTL合法性认证。当SYN校验模块接收到SYN报文时,并根据SYN报文处理校验规则,选择对SYN报文丢弃或者是执行SYN报文源认证。如接收到的SYN报文流量小于第一流量阈值时,对接收到的SYN报文均进行SYN源认证处理。提高对SYN报文处理准确性。如接收到的SYN报文流量大于第一流量阈值时,在IP信息存储模块中查询SYN报文的源IP信息和跳数信息,若无法查询到源IP信息时,对SYN报文进行SYN源认证处理,若查询到源IP信息,则对SYN报文进行跳数信息校验, 降低防御成本,对跳数信息校验包括:
(1)当接收的SYN报文流量小于所述第二流量阈值时,若发送SYN报文的IP对应的跳数在所述最近历史跳数的最大值和最小值之间,则进行SYN源认证处理,否则丢弃该SYN报文;
(2)当接收的SYN报文流量大于所述第二流量阈值时,若发送SYN报文的IP对应的跳数与所述跳数的最新值匹配,则进行SYN源认证处理,否则丢弃该SYN报文。
本发明的实施例还提供了一种计算机可读存储介质,该存储介质包括存储的程序,其中,计算机可读存储介质存储有计算机指令,计算机指令用于使计算机运行时执行降低IDC防御成本的方法。
本发明的实施例还提供一种计算机,包括存储器和处理器,存储器和处理器之间互相通信连接,存储器中存储有计算机指令,处理器通过执行计算机指令,从而执行降低IDC防御成本的方法。
显然,本领域的技术人员应该明白,本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅描述了本发明的基本原理和优选实施方式,本领域人员可以根据上述描述做出许多变化和改进,这些变化和改进应该属于本发明的保护范围。
Claims (14)
1.一种降低IDC防御成本的方法,其特征在于包括:
检测IDC上行带宽;
当上行带宽小于第一上行阈值时,对全网IP进行UDP扫描;
获取并存储全网IP信息及IP对应的到IDC的跳数信息,并于上行带宽大于第二上行阈值时,停止扫描;
以及,基于上行带宽第三上行阈值,实时调整SYN报文处理校验规则的第一流量阈值和第二流量阈值;
其中,所述SYN报文处理校验规则包括,
当接收到的SYN报文流量小于所述第一流量阈值时,对接收的SYN报文均进行SYN源认证处理;
当接收到的SYN报文流量大于所述第一流量阈值时,在存储的全网IP信息中查询SYN报文的源IP信息,并根据查询结果,对SYN报文进行SYN源认证处理或跳数信息校验,以及根据第二流量阈值和跳数信息校验结果进行SYN源认证或丢弃SYN报文。
2.根据权利要求1所述的方法,其特征在于,所述上行带宽的第一上行阈值、第二上行阈值和/或第三上行阈值基于网络运营商的流量计费规则确定的基准带宽配置。
3.根据权利要求1所述的方法,其特征在于,所述UDP扫描的方法包括:
向全网IP地址周期性地发送UDP报文,接收未打开UDP端口的主机返回的ICMP差错报文,并从该ICMP差错报文IP头中提取出TTL字段的值;
以及,根据提取的TTL字段的值计算与IP对应的到IDC的跳数信息。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述IP对应的到IDC的跳数信息包括:跳数的最新值、最近历史跳数的最大值和最小值,所述最近历史跳数为预先设定的时间段内所有跳数的集合。
5.根据权利要求4所述的方法,其特征在于,在存储的全网IP信息中查询SYN报文的源IP信息,并根据查询结果,对SYN报文进行SYN源认证处理或跳数信息校验具体包括:
当无法查询到源IP信息时,对SYN报文进行SYN源认证处理;
当查询到源IP信息时,对SYN报文进行跳数信息校验。
6.根据权利要求5所述的方法,其特征在于,根据第二流量阈值和跳数信息校验结果进行SYN源认证或丢弃SYN报文具体包括:
当接收的SYN报文流量小于所述第二流量阈值时,若发送SYN报文的IP对应的跳数在所述最近历史跳数的最大值和最小值之间,则进行SYN源认证处理,否则丢弃该SYN报文;
当接收的SYN报文流量大于所述第二流量阈值时,若发送SYN报文的IP对应的跳数与所述跳数的最新值匹配,则进行SYN源认证处理,否则丢弃该SYN报文。
7.一种降低IDC防御成本的装置,其特征在于,包括流量检测模块、阈值设定模块、IDC扫描模块和SYN校验模块,其中:
所述流量检测模块,用于检测IDC上行带宽;
所述阈值设定模块,用于根据IDC上行宽带,调整第一上行阈值、第二上行阈值和第三上行阈值;
所述IDC扫描模块,用于当上行带宽小于第一上行阈值时,对全网IP进行UDP扫描,并于上行带宽大于第二上行阈值时,停止扫描,并存储UDP扫描得到的全网IP信息及IP对应的到IDC的跳数信息;
所述SYN校验模块,用于基于上行带宽第三上行阈值,调整第一流量阈值和第二流量阈值,并执行所述SYN报文处理校验规则,其中,所述SYN报文处理校验规则包括,
当接收到的SYN报文流量小于所述第一流量阈值时,对接收的SYN报文均进行SYN源认证处理;
当接收到的SYN报文流量大于所述第一流量阈值时,在IP信息存储模块中查询SYN报文的源IP信息和跳数信息,并根据查询结果,对SYN报文进行SYN源认证处理或跳数信息校验,以及根据第二流量阈值和跳数信息校验结果进行SYN源认证或丢弃SYN报文。
8.根据权利要求7所述的装置,其特征在于,所述上行带宽的第一上行阈值、第二上行阈值和/或第三上行阈值基于网络运营商的流量计费规则确定的基准带宽配置。
9.根据权利要求7所述的装置,其特征在于,所述IDC扫描模块进行UDP扫描包括,向全网IP地址周期性地发送UDP报文,接收未打开UDP端口的主机返回的ICMP差错报文,并从该ICMP差错报文IP头中提取出TTL字段的值;
以及,根据提取的TTL字段的值计算与IP对应的到IDC的跳数信息。
10.如权利要求7-9任一所述的装置,其特征在于,所述IDC扫描模块存储的跳数信息包括:跳数的最新值、最近历史跳数的最大值和最小值,所述最近历史跳数为预先设定的时间段内的所有跳数的集合。
11.根据权利要求7所述的装置,其特征在于,SYN校验模块在IDC扫描模块中查询SYN报文的源IP信息,并根据查询结果,对SYN报文进行SYN源认证处理或跳数信息校验具体包括:
当无法查询到源IP信息,对SYN报文进行SYN源认证处理;
当查询到源IP信息时,对SYN报文进行跳数信息校验。
12.根据权利要求11所述的装置,其特征在于,SYN校验模块根据第二流量阈值和跳数信息校验结果进行SYN源认证或丢弃SYN报文具体包括:
当接收的SYN报文流量小于所述第二流量阈值时,若发送SYN报文的IP对应的跳数在所述最近历史跳数的最大值和最小值之间,则进行SYN源认证处理,否则丢弃该SYN报文;
当接收的SYN报文流量大于所述第二流量阈值时,若发送SYN报文的IP对应的跳数与所述跳数的最新值匹配,则进行SYN源认证处理,否则丢弃该SYN报文。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机运行时执行权利要求1至6中任一项所述的方法。
14.一种计算机,包括存储器和处理器,所述存储器和处理器之间互相通信连接,其特征在于,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行权利要求1至6中任一项所述的方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010001244 | 2020-01-02 | ||
CN2020100012447 | 2020-01-02 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111212096A true CN111212096A (zh) | 2020-05-29 |
CN111212096B CN111212096B (zh) | 2020-07-28 |
Family
ID=70789966
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010314440.XA Active CN111212096B (zh) | 2020-01-02 | 2020-04-21 | 一种降低idc防御成本的方法、装置、存储介质和计算机 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111212096B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111757041A (zh) * | 2020-06-17 | 2020-10-09 | 许继集团有限公司 | 一种网络视频会议流量识别方法及装置 |
CN112702358A (zh) * | 2021-01-04 | 2021-04-23 | 北京金山云网络技术有限公司 | SYN Flood攻击的防护方法、装置、电子设备及存储介质 |
CN113179247A (zh) * | 2021-03-23 | 2021-07-27 | 杭州安恒信息技术股份有限公司 | 拒绝服务攻击防护方法、电子装置和存储介质 |
CN113709156A (zh) * | 2021-08-27 | 2021-11-26 | 哈尔滨工业大学 | 一种nids网络渗透检测方法、计算机及存储介质 |
CN114785876A (zh) * | 2022-04-07 | 2022-07-22 | 湖北天融信网络安全技术有限公司 | 报文检测方法及装置 |
CN115801475A (zh) * | 2023-02-14 | 2023-03-14 | 江西师范大学 | 一种基于双重扫描算法的ddos攻击检测方法及系统 |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050021999A1 (en) * | 2003-03-03 | 2005-01-27 | Riverhead Networks Inc. | Using TCP to authenticate IP source addresses |
CN101958883A (zh) * | 2010-03-26 | 2011-01-26 | 湘潭大学 | 一种基于Bloom Filter和开源内核防御SYN Flood攻击的方法 |
CN102291441A (zh) * | 2011-08-02 | 2011-12-21 | 杭州迪普科技有限公司 | 一种防范SYN Flood攻击的方法及安全代理装置 |
US20110317566A1 (en) * | 2006-01-16 | 2011-12-29 | Glenn Mansfield Keeni | Device for analyzing and diagnosing network traffic, a system for analyzing and diagnosing network traffic, and a system for tracing network traffic |
CN103546486A (zh) * | 2013-11-04 | 2014-01-29 | 北京荣之联科技股份有限公司 | 一种防DDOS攻击的SYN Cookie源认证方法及其装置 |
CN105991632A (zh) * | 2015-04-20 | 2016-10-05 | 杭州迪普科技有限公司 | 网络安全防护方法及装置 |
CN106357660A (zh) * | 2016-09-29 | 2017-01-25 | 广州华多网络科技有限公司 | 一种ddos防御系统中检测伪造源ip的方法和装置 |
CN106817268A (zh) * | 2015-11-30 | 2017-06-09 | 上海安畅网络科技股份有限公司 | 一种ddos攻击的检测方法及系统 |
US20180367567A1 (en) * | 2013-04-25 | 2018-12-20 | A10 Networks, Inc. | Systems and methods for network access control |
CN110166408A (zh) * | 2018-02-13 | 2019-08-23 | 北京京东尚科信息技术有限公司 | 防御泛洪攻击的方法、装置和系统 |
CN110213254A (zh) * | 2019-05-27 | 2019-09-06 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别伪造互联网协议ip报文的方法和设备 |
CN110493017A (zh) * | 2019-08-22 | 2019-11-22 | 北京世纪互联宽带数据中心有限公司 | 一种流量计费方法及系统 |
-
2020
- 2020-04-21 CN CN202010314440.XA patent/CN111212096B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050021999A1 (en) * | 2003-03-03 | 2005-01-27 | Riverhead Networks Inc. | Using TCP to authenticate IP source addresses |
US20110317566A1 (en) * | 2006-01-16 | 2011-12-29 | Glenn Mansfield Keeni | Device for analyzing and diagnosing network traffic, a system for analyzing and diagnosing network traffic, and a system for tracing network traffic |
CN101958883A (zh) * | 2010-03-26 | 2011-01-26 | 湘潭大学 | 一种基于Bloom Filter和开源内核防御SYN Flood攻击的方法 |
CN102291441A (zh) * | 2011-08-02 | 2011-12-21 | 杭州迪普科技有限公司 | 一种防范SYN Flood攻击的方法及安全代理装置 |
US20180367567A1 (en) * | 2013-04-25 | 2018-12-20 | A10 Networks, Inc. | Systems and methods for network access control |
CN103546486A (zh) * | 2013-11-04 | 2014-01-29 | 北京荣之联科技股份有限公司 | 一种防DDOS攻击的SYN Cookie源认证方法及其装置 |
CN105991632A (zh) * | 2015-04-20 | 2016-10-05 | 杭州迪普科技有限公司 | 网络安全防护方法及装置 |
CN106817268A (zh) * | 2015-11-30 | 2017-06-09 | 上海安畅网络科技股份有限公司 | 一种ddos攻击的检测方法及系统 |
CN106357660A (zh) * | 2016-09-29 | 2017-01-25 | 广州华多网络科技有限公司 | 一种ddos防御系统中检测伪造源ip的方法和装置 |
CN110166408A (zh) * | 2018-02-13 | 2019-08-23 | 北京京东尚科信息技术有限公司 | 防御泛洪攻击的方法、装置和系统 |
CN110213254A (zh) * | 2019-05-27 | 2019-09-06 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别伪造互联网协议ip报文的方法和设备 |
CN110493017A (zh) * | 2019-08-22 | 2019-11-22 | 北京世纪互联宽带数据中心有限公司 | 一种流量计费方法及系统 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111757041A (zh) * | 2020-06-17 | 2020-10-09 | 许继集团有限公司 | 一种网络视频会议流量识别方法及装置 |
CN112702358A (zh) * | 2021-01-04 | 2021-04-23 | 北京金山云网络技术有限公司 | SYN Flood攻击的防护方法、装置、电子设备及存储介质 |
CN113179247A (zh) * | 2021-03-23 | 2021-07-27 | 杭州安恒信息技术股份有限公司 | 拒绝服务攻击防护方法、电子装置和存储介质 |
CN113179247B (zh) * | 2021-03-23 | 2023-05-23 | 杭州安恒信息技术股份有限公司 | 拒绝服务攻击防护方法、电子装置和存储介质 |
CN113709156A (zh) * | 2021-08-27 | 2021-11-26 | 哈尔滨工业大学 | 一种nids网络渗透检测方法、计算机及存储介质 |
CN113709156B (zh) * | 2021-08-27 | 2022-09-27 | 哈尔滨工业大学 | 一种nids网络渗透检测方法、计算机及存储介质 |
CN114785876A (zh) * | 2022-04-07 | 2022-07-22 | 湖北天融信网络安全技术有限公司 | 报文检测方法及装置 |
CN115801475A (zh) * | 2023-02-14 | 2023-03-14 | 江西师范大学 | 一种基于双重扫描算法的ddos攻击检测方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN111212096B (zh) | 2020-07-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111212096B (zh) | 一种降低idc防御成本的方法、装置、存储介质和计算机 | |
US7171683B2 (en) | Protecting against distributed denial of service attacks | |
US7162740B2 (en) | Denial of service defense by proxy | |
CN101589595B (zh) | 用于潜在被污染端系统的牵制机制 | |
US8397284B2 (en) | Detection of distributed denial of service attacks in autonomous system domains | |
US20060191003A1 (en) | Method of improving security performance in stateful inspection of TCP connections | |
US10931711B2 (en) | System of defending against HTTP DDoS attack based on SDN and method thereof | |
US20060280121A1 (en) | Frame-transfer control device, DoS-attack preventing device, and DoS-attack preventing system | |
EP1919162A2 (en) | Identification of potential network threats using a distributed threshold random walk | |
CN109327426A (zh) | 一种防火墙攻击防御方法 | |
US20090144806A1 (en) | Handling of DDoS attacks from NAT or proxy devices | |
US9860181B2 (en) | System and method for inferring traffic legitimacy through selective impairment | |
US7854000B2 (en) | Method and system for addressing attacks on a computer connected to a network | |
CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
KR20060128734A (ko) | 다양한 네크워크 공격들에 대한 적응적 방어 | |
CN110365658B (zh) | 一种反射攻击防护与流量清洗方法、装置、设备及介质 | |
CN104883360A (zh) | 一种arp欺骗的细粒度检测方法及系统 | |
CN108810008B (zh) | 传输控制协议流量过滤方法、装置、服务器及存储介质 | |
Zhang et al. | Original SYN: Finding machines hidden behind firewalls | |
CN104901953A (zh) | 一种arp欺骗的分布式检测方法及系统 | |
Zhang et al. | Onis: Inferring tcp/ip-based trust relationships completely off-path | |
Mopari et al. | Detection and defense against DDoS attack with IP spoofing | |
CN108667829A (zh) | 一种网络攻击的防护方法、装置及存储介质 | |
CN114338120B (zh) | 一种扫段攻击检测方法、装置、介质和电子设备 | |
US20060225141A1 (en) | Unauthorized access searching method and device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |