CN1156762C - 旁路式拒绝服务攻击的侦测与缓解的方法 - Google Patents
旁路式拒绝服务攻击的侦测与缓解的方法 Download PDFInfo
- Publication number
- CN1156762C CN1156762C CNB011390360A CN01139036A CN1156762C CN 1156762 C CN1156762 C CN 1156762C CN B011390360 A CNB011390360 A CN B011390360A CN 01139036 A CN01139036 A CN 01139036A CN 1156762 C CN1156762 C CN 1156762C
- Authority
- CN
- China
- Prior art keywords
- network
- record
- destination
- data
- service attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
一种旁路式拒绝服务攻击的侦测与缓解的方法,属于网络技术领域。具体为:将用于侦测与缓解拒绝服务攻击的计算机以旁路方式接入网络,将其网卡设置成侦听模式;建立记录表;根据读取到的网络数据包,更新记录表,并累计计数;查找记录表内计数超过允许最大数的记录,在这些记录中找出没有在规定时间内对目的主机的SYN报文段作出确认应答的记录;根据查出的记录表,伪装成目的地址的主机往源地址主机发送数据通讯结束的数据包;伪装成源地址主机往目的主机发送数据通讯结束的数据包,使目的主机释放相应资源;从该记录表集合中清除该记录。本发明在不影响计算机网络服务的正常运作的情况下,从根本上解决了拒绝服务攻击防范中的最难以防御的难题。
Description
技术领域:本发明涉及的是一种网络安全保护的方法,特别是一种旁路式拒绝服务攻击的侦测与缓解的方法,属于网络技术领域。
背景技术:随着Internet的飞速发展,网络经济水涨船高,越来越多电子商务网站在兴起。Internet的高速发展加速了全世界的技术交流,加快了人类历史前进的步伐,同时黑客技术也随着加速了其发展与扩散传播。越来越多的黑客技术和傻瓜型的黑客攻击工具被任意的发布在各个网站。目前黑客攻击的所使用的手段多种多样,而最有效、最难于防御的是拒绝服务攻击,近年来,世界各大包括雅虎、亚马逊在内的著名网站都遭受过拒绝服务攻击,并因此停止业务长达几十个小时,不但造成了巨大的经济损失,而且对于人们对电子商务的信心形成了相当严重的阴影,严重的阻碍了网络经济的发展。更悲凉的是许多专业安全网站在拒绝服务攻击也往往只能尴尬的束手无策,忍受长达十几个小时甚至几百个小时的网站瘫痪。经文献检索发现:美国华盛顿大学的计算机工程系的Valentin Razmov在他的《Denialof Service Attacks and How to Defend Against Them》该文中详细介绍了拒绝服务攻击的类型以及防范的方法,其主要偏向于被动的防御,例如:加强主机的安全防范、构建防火墙及使用恰当的防火墙策略、建立网络主机的认证机制、采用串入式的防御设备等等;也有一些受到攻击时可以采用的主动防御方法,比如:主机地址的反查等等。通过消耗有限的计算机系统资源来实现对计算机网络服务的攻击,造成主机服务的停止响应,也是目前常见攻击手段之一。
发明内容:本发明的目的在于针对现有技术不足和常见的攻击手段,有效地提供一种旁路式拒绝服务攻击的侦测与缓解的方法,该系统防范方法更具备主动性,并且在主机遭受攻击时具备很强的实战意义,能够为网络管理人员争取到宝贵的时间,进行目前各方面条件所作不到的人工干预,从而能够更好的保障我们网络的安全运行,不因外界的攻击而瘫痪,保证了依托于网络的各种业务正常运作,将损失降到最低。通过消耗有限的计算机系统资源来实现对计算机网络服务的攻击,造成主机服务的停止响应,其检测以及防御的难度主要在于,攻击的方式在攻击时的瞬间是基本上不能够确定其行为是一个攻击行为。原因在于,攻击方是假冒合法访问用户,对提供网络服务的主机发送大量服务请求(I need service.)。由于在请求服务的起始阶段是不需要认证的,因此,计算机主机就必须从有限的计算机系统资源的分出一部分,专门为该请求服务,而大量的垃圾的服务请求就会占用计算机系统的资源的绝大部分直至全部,于是该计算机系统在资源的限制下只能对正常、合法的用户不予响应,最终导致拒绝服务。
具体方法为:
a、将用于侦测与缓解拒绝服务攻击的计算机以旁路方式接入网络,将其网卡由一般模式设置成侦听模式,从网卡设备号中读取网络中广播的数据通讯信息;
b、对读取到的数据信息进行协议分析,根据源地址、目的地址、源端口、目的端口建立记录表;
c、根据读取到的网络数据包,更新记录表,并累计计数;
d、查找一定时间段内,记录表内计数超过允许最大数的记录,在这些记录中找出没有在规定时间内对目的主机的SYN报文段作出确认应答的记录;
e、根据查出的记录表,伪装成目的地址的主机往源地址主机发送数据通讯结束的数据包;
f、同时,伪装成源地址主机往目的主机发送数据通讯结束的数据包,使目的主机释放相应资源;
g、从该记录表集合中清除该记录。
本发明具有实质性特点和显著进步,在不影响计算机网络服务的正常运作的情况下,从根本上解决了拒绝服务攻击防范中的最难以防御的难题;该思路还可以应用于其他原理相似的领域,实现技术在领域上的移植。
附图说明:图1本发明流程示意图
图2本发明攻击的侦测与缓解示意图
具体实施方法:如图1、图2所示,以典型同步洪流攻击为例,叙述对其的侦测与缓解过程。同步洪流攻击是针对基于TCP/IP协议的网络服务的一种典型攻击手段,其基本原理是,在基于TCP/IP协议的网络服务中的基本过程是:
1、客户端向服务器端发送同步请求数据包;
2、服务器端返回对该同步请求的回应数据包,并初始化该次服务请求以及保持连接的数据包要求;
3、客户端接收该数据包,并向服务器端返回对该数据包的确认应答,然后开始发送带实际请求内容的真正的服务请求数据包;
4、服务器端对于具体的服务请求提供服务。
以上简要的叙述了一个基于TCP/IP协议的网络服务器模型,同步洪流攻击的发生正是在第一阶段,攻击者伪造大量的同步请求数据包,使得服务器在接收到该数据包后,从系统资源中分配出必要的部分来对这些服务请求进行应答。当这类垃圾请求达到一定限度后,计算机系统相关的资源将被耗尽,比如:端口、线程、内存等等。通过侦听以及网络数据还原,在一定时限内,访问者并未发出真正有效的服务请求,将被确定为攻击者;在识别攻击者后,分别发送D到B以及D到C的带RST标志的回应数据包,分别中止两方的后续响应,停止该项服务过程。采用数据旁路式侦听技术,侦听网络上传输的数据流;根据攻击的特征,对网络数据流进行还原与特征匹配,以识别攻击;记录攻击方与被攻击方,并对被攻击方进行攻击的缓解,对攻击方实施攻击的成功的欺骗。
Claims (1)
1、一种旁路式拒绝服务攻击的侦测与缓解的方法,其特征在于具体方法为:
a、将用于侦测与缓解拒绝服务攻击的计算机以旁路方式接入网络,将其网卡由一般模式设置成侦听模式,从网卡设备号中读取网络中广播的数据通讯信息;
b、对读取到的数据信息进行协议分析,根据源地址、目的地址、源端口、目的端口建立记录表;
c、根据读取到的网络数据包,更新记录表,并累计计数;
d、查找一定时间段内,记录表内计数超过允许最大数的记录,在这些记录中找出没有在规定时间内对目的主机的SYN报文段作出确认应答的记录;
e、根据查出的记录表,伪装成目的地址的主机往源地址主机发送数据通讯结束的数据包;
f、同时,伪装成源地址主机往目的主机发送数据通讯结束的数据包,使目的主机释放相应资源;
g、从该记录表集合中清除该记录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB011390360A CN1156762C (zh) | 2001-12-04 | 2001-12-04 | 旁路式拒绝服务攻击的侦测与缓解的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB011390360A CN1156762C (zh) | 2001-12-04 | 2001-12-04 | 旁路式拒绝服务攻击的侦测与缓解的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1350231A CN1350231A (zh) | 2002-05-22 |
| CN1156762C true CN1156762C (zh) | 2004-07-07 |
Family
ID=4674967
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB011390360A Expired - Fee Related CN1156762C (zh) | 2001-12-04 | 2001-12-04 | 旁路式拒绝服务攻击的侦测与缓解的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1156762C (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100466510C (zh) * | 2003-04-30 | 2009-03-04 | 华为技术有限公司 | 一种防止网络用户对网络地址转换(nat)设备攻击的方法 |
| US7996544B2 (en) * | 2003-07-08 | 2011-08-09 | International Business Machines Corporation | Technique of detecting denial of service attacks |
| CN100411344C (zh) * | 2004-01-19 | 2008-08-13 | 南京大学 | 一种抗拒绝服务攻击的Web服务器负载控制方法 |
| US7363513B2 (en) * | 2004-04-15 | 2008-04-22 | International Business Machines Corporation | Server denial of service shield |
| JP4547210B2 (ja) * | 2004-08-27 | 2010-09-22 | 株式会社エヌ・ティ・ティ・ドコモ | クライアント端末、サービス提供装置及びサービス発見方法 |
| US20060294588A1 (en) * | 2005-06-24 | 2006-12-28 | International Business Machines Corporation | System, method and program for identifying and preventing malicious intrusions |
| CN101184094B (zh) * | 2007-12-06 | 2011-07-27 | 北京启明星辰信息技术股份有限公司 | 一种适于局域网环境的网络节点扫描检测方法和系统 |
| CN101369897B (zh) * | 2008-07-31 | 2011-04-20 | 成都市华为赛门铁克科技有限公司 | 一种检测网络攻击的方法和设备 |
| CN101667947B (zh) * | 2008-09-04 | 2011-11-30 | 鸿富锦精密工业(深圳)有限公司 | 移动站、基地台及其侦测攻击的方法 |
| CN101741847B (zh) * | 2009-12-22 | 2012-11-07 | 北京锐安科技有限公司 | 一种ddos攻击检测方法 |
| CN102710663B (zh) * | 2012-06-21 | 2015-01-07 | 北京奇虎科技有限公司 | 获取云服务的方法及装置 |
| CN103150240B (zh) * | 2013-03-19 | 2015-04-08 | 天脉聚源(北京)传媒科技有限公司 | 一种应用进程的监控方法和系统 |
-
2001
- 2001-12-04 CN CNB011390360A patent/CN1156762C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1350231A (zh) | 2002-05-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Prasad et al. | An efficient detection of flooding attacks to Internet Threat Monitors (ITM) using entropy variations under low traffic | |
| CN1156762C (zh) | 旁路式拒绝服务攻击的侦测与缓解的方法 | |
| Gavaskar et al. | Three counter defense mechanism for TCP SYN flooding attacks | |
| CN101018121B (zh) | 日志的聚合处理方法及聚合处理装置 | |
| KR101217647B1 (ko) | 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치 | |
| EP1911241B9 (en) | Method for defending against denial of service attacks in ip networks by target victim self-identification and control | |
| KR101219796B1 (ko) | 분산 서비스 거부 방어 장치 및 그 방법 | |
| CN101631026A (zh) | 一种防御拒绝服务攻击的方法及装置 | |
| EP2009864A1 (en) | Method and apparatus for attack prevention | |
| CN105610851A (zh) | 防御分布式拒绝服务攻击的方法及系统 | |
| Yuvaraj et al. | Some investigation on DDOS attack models in mobile networks | |
| Razumov et al. | Developing of algorithm of HTTP FLOOD DDoS protection | |
| Xiao et al. | A novel approach to detecting DDoS attacks at an early stage | |
| Haggerty et al. | DiDDeM: a system for early detection of TCP SYN flood attacks | |
| Haris et al. | Anomaly detection of IP header threats | |
| KR101022508B1 (ko) | 서비스 거부 공격 및 분산 서비스 공격 차단 시스템 | |
| Haris et al. | TCP SYN flood detection based on payload analysis | |
| Salim et al. | Preventing ARP spoofing attacks through gratuitous decision packet | |
| KR20190007697A (ko) | 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템 | |
| Patil et al. | Mitigating app-DDoS attacks on web servers | |
| Zhang et al. | Analysis of payload based application level network anomaly detection | |
| Kochar et al. | INTRUSION DETECTION SYSTEM USING CLOUD COMPUTING | |
| Karimovich et al. | FEATURES OF THE IMPLEMENTATION OF VIRUS ATTACKS IN AUTOMATED SPECIAL PURPOSE SYSTEMS | |
| Ahmed et al. | A Proposed Model for Controlling Distributed Denial of Service Attack on Cloud Computing | |
| Mohamed et al. | Securing Cloud Computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C06 | Publication | ||
| PB01 | Publication | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20040707 Termination date: 20131204 |