CN1553624A - 基于主动网回溯技术防御拒绝服务攻击的方法 - Google Patents
基于主动网回溯技术防御拒绝服务攻击的方法 Download PDFInfo
- Publication number
- CN1553624A CN1553624A CNA2003101227423A CN200310122742A CN1553624A CN 1553624 A CN1553624 A CN 1553624A CN A2003101227423 A CNA2003101227423 A CN A2003101227423A CN 200310122742 A CN200310122742 A CN 200310122742A CN 1553624 A CN1553624 A CN 1553624A
- Authority
- CN
- China
- Prior art keywords
- attack
- node
- bag
- address
- defense
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种基于主动网回溯技术防御拒绝服务攻击的方法。属于信息安全技术领域。本发明基于主动网技术中的动态分配机制,结合回溯方法,在被攻击服务器和各个网络中间节点建立主动回溯系统,首先进行节点预判断,然后执行判断攻击算法,判断包头内的目的节点以及其他信息,再进行防御回溯,跟踪并消除攻击源,最终达到消除拒绝服务攻击的目的。本发明方法使网络中的节点能够有效的判别、防御拒绝服务攻击,动态重建攻击链路,确定攻击源,同时保证数据包在网络传输过程中的效率和完整性。
Description
技术领域
本发明涉及一种防御拒绝服务攻击的方法,特别是一种基于主动网回溯技术防御拒绝服务攻击的方法。属于信息安全技术领域。
背景技术
拒绝服务攻击(DoS)在极短的时间内向被攻击主机或其它网络设备发送大量的服务请求,使目标主机的连接列表溢出,从而使目标主机无法正常响应其它合法的服务请求。目前国际上基于回溯的防御拒绝服务攻击方法有许多种,包括进入除错,受控攻击,以及边界采用的IP标记等(Stefan Savage,David Wetherall,Anna Karlinand Tom Anderson:Practical Network Support for IP Traceback.SIGCOMM2000Sweden:ACM,2000.295~300),(支持IP回溯的实现网络模型,SIGCOMM ACM 2000年度国际会议,295-300页)这些方法的原理都是被攻击主机不断检测其上游链路,直到找到携带攻击包的那个链路,然后进行回溯,在携带攻击包的那个链路重复上述过程,最后跟踪到攻击源,或者在最靠近攻击源的节点处建立防护。这些方法虽然采用的回溯算法各有不同,但都存在一定的问题。例如,进入除错方法中,被攻击主机必须和网络管理员联系会耗费很大的时间和精力,而且该方法只在攻击发生时起作用;受控攻击方法本身就是一个拒绝服务攻击,而且需要确切知道网络的拓扑结构,同时,对防止分布式拒绝服务攻击也收效甚微;而边界采用的IP标记方法给正在传输的包附加了额外信息,加大了传输包负荷,代价昂贵,而且包中未必有足够的空间留给这些信息,信息有可能丢失。
发明内容
本发明的目的在于针对现有技术的不足,提出一种基于主动网回溯技术防御拒绝服务攻击的方法,使得网络中的节点能够有效的判别、防御拒绝服务攻击,动态重建攻击链路,确定攻击源,同时保证数据包在网络传输过程中的效率和完整性。
本发明是通过以下技术方案实现的,本发明基于主动网技术中的动态分配机制,结合回溯方法,在被攻击服务器和各个网络中间节点建立主动回溯系统,首先进行节点预判断,然后执行判断攻击算法,判断包头内的目的节点以及其他信息,再进行防御回溯,有效的跟踪攻击源,实现对攻击源的消除,最终达到消除拒绝服务攻击的目的。
以下对本发明方法作进一步说明,具体内容如下:
1、节点预判断:
节点收到SYN包后首先执行预判断,如果满足标志,就开始执行下一步判断攻击,这里的标志设置如下:
lsync>L
lsync是SYN包接受速率,L是其阈值,采取动态设置,等于上一次攻击发生时攻击包发送的平均速率。如果不满足该标志,则直接转发包。
预判断方法的提出解决了本发明中安全和效率的统一问题。
2、判断攻击
在被攻击服务器端,服务器根据预先设定的阈值N确定是否受到攻击,如果在一个很短的时间内,收到的SYN包超过这一阈值则判定为攻击。具体实现如下:如果接收到N个包的时间小于阈值T,返回值为真。
而在中间节点,判断攻击算法有所不同。中间节点判断攻击主要执行check-cap算法,已经建立的防御系统提取包中目的节点地址,如果该地址不属于防御系统的过滤列表,则转发包;如果该地址属于防御系统过滤列表,则以该包携带的源地址为目的地址反向进行查找,如果下一跳存在,或者等于包中携带的前一节点地址,则转发包,否则证明是攻击包。
本发明中首次采用了Chech-cap算法,结合主动代码分配机制,能有效的在中间节点进行攻击判断。
3、防御回溯
当在某个节点发现攻击以后,一方面在该节点建立防御系统防御,另一方面,根据包头携带的前一节点地址,向路由中该节点的前一节点发送防御包。如果前一节点已经存在防御系统,则把包中携带的受攻击服务器地址加入防御系统列表;如果前一节点没有建立防御系统,根据主动防御包建立防御。
防御回溯过程原创性的采用主动代码动态分配机制,能够很好的保证中间节点判断攻击算法的准确性和高效率。
本发明具有以下优点:(1)与主动网技术相结合,网络节点可以方便的配置防御系统,并且不需要网络中其他节点的配合,提高了网络性能,减少了节点间的相互影响,充分利用主动网的代码分配机制,避免了随包发送超负荷的代码,影响网络的性能。(2)相对比较轻便,并且只有在发生攻击的时候发生作用,对整个网络的影响比较小。(3)虽然本发明需要在发生攻击的时候起作用,但是每启动一次本发明,就在更远离被攻击主机的节点建立一个防护程序,即使下一次再发生攻击,这些防护程序也可以起作用。
附图说明
图1本发明在模拟网络中的配置示意图
图2本发明模拟网络中节点处理包的流程图
图3本发明模拟网络中节点check-cap算法流程图
具体实施方式
为更好地理解本发明的技术方案,以下结合附图及实施例作进一步描述。
如图1所示,试验网络中配置一台攻击服务器A用于发送大量攻击包,中间路由器Ri都是配置ACTB系统的主动节点,服务器D配置ACTB系统,而E是普通的服务器,F作为代码服务器,为中间节点的请求提供代码装载。
如图2,3所示,当包到达节点以后,首先执行节点预判断算法,如果通过则转发包,否则检查节点是否已经建立防御系统,如果没有,则转发包;如果已经有防御系统提取包中目的节点地址,如果该地址不属于防御系统的过滤列表,则转发包;如果该地址属于防御系统过滤列表,则以该包携带的源地址为目的地址反向进行查找,如果下一跳不存在,或者不等于包中携带的前一节点地址,证明是攻击包;否则转发包。
如果确定是攻击包,则建立防护,向后一节点或者代码服务器请求防御代码,随后向前一点发送主动防御包。而在被攻击服务器端,服务器受到释放包以后才解除防御,之前丢弃所有接受的包。
以下结合本发明方法的内容提供实施例:
实施例采用的模型由一台攻击服务器,一台客户服务器,三台配置ACTB系统的中间路由器以及一台被攻击服务器组成。首先客户服务器向被攻击服务器发送正常的包,发送包的间隔是10ms,客户端随即显示收到的SYN ACK包,被攻击服务器收到ACK确认,表明网络正常。随即启动攻击服务器,不间歇的发送攻击包,大量攻击包随即淹没了正常包的传输,客户服务端也无法收到正常的SYN ACK确认。服务器端执行判断算法,在设定的时间阈值100ms内收到的SYN包数量超过阈值35,证明攻击发生。随即启动防御系统。
三个中间节点通过执行判断攻击算法,先后判别攻击,执行防御。最后的执行效果发现,实验网络中配置本发明以后,节点能够明显的实现对DoS攻击的防御。防御前,节点收报数量比较多,而且有尖峰现象,而防御后,节点收包数量非常平稳。
Claims (5)
1、一种基于主动网回溯技术防御拒绝服务攻击的方法,其特征在于,基于主动网技术中的动态分配机制,结合回溯方法,在被攻击服务器和各个网络中间节点建立主动回溯系统,首先进行节点预判断,然后执行判断攻击算法,判断包头内的目的节点以及其他信息,再进行防御回溯,跟踪并消除攻击源,最终达到消除拒绝服务攻击的目的。
2、根据权利要求1所述的基于主动网回溯技术防御拒绝服务攻击的方法,其特征是,所述的节点预判断,具体如下:
节点收到SYN包后首先执行预判断,如果满足lsync>L标志,就开始执行下一步判断攻击,否则直接转发包,其中lsync是SYN包接受速率,L是其阈值,采取动态设置,等于上一次攻击发生时攻击包发送的平均速率。
3、根据权利要求1所述的基于主动网回溯技术防御拒绝服务攻击的方法,其特征是,所述的判断攻击,具体如下:
在被攻击服务器端,服务器根据预先设定的阈值N确定是否受到攻击,如果在一个很短的时间内,收到的SYN包超过这一阈值则判定为攻击,中间节点判断攻击执行check-cap算法,已经建立的防御系统提取包中目的节点地址,如果该地址在防御系统的过滤列表外,则转发包,如果该地址属于防御系统过滤列表,则以该包携带的源地址为目的地址反向进行查找,如果下一跳存在,或者等于包中携带的前一节点地址,则转发包,否则证明是攻击包。
4、根据权利要求1所述的基于主动网回溯技术防御拒绝服务攻击的方法,其特征是,所述的防御回溯,具体如下:
当在某个节点发现攻击以后,一方面在该节点建立防御系统防御,另一方面,根据包头携带的前一节点地址,向路由中该节点的前一节点发送防御包;如果前一节点已经存在防御系统,则把包中携带的受攻击服务器地址加入防御系统列表,否则根据主动防御包建立防御。
5、根据权利要求1或4所述的基于主动网回溯技术防御拒绝服务攻击的方法,其特征是,防御回溯过程采用主动代码动态分配机制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2003101227423A CN1553624A (zh) | 2003-12-19 | 2003-12-19 | 基于主动网回溯技术防御拒绝服务攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2003101227423A CN1553624A (zh) | 2003-12-19 | 2003-12-19 | 基于主动网回溯技术防御拒绝服务攻击的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1553624A true CN1553624A (zh) | 2004-12-08 |
Family
ID=34338732
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2003101227423A Pending CN1553624A (zh) | 2003-12-19 | 2003-12-19 | 基于主动网回溯技术防御拒绝服务攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1553624A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100417090C (zh) * | 2005-10-19 | 2008-09-03 | 华为技术有限公司 | 一种定位拒绝服务攻击源的方法及系统 |
| CN100563249C (zh) * | 2006-01-18 | 2009-11-25 | 中国科学院计算技术研究所 | 一种分域溯源式全局网络安全体系的构建方法 |
| CN1842087B (zh) * | 2005-03-30 | 2011-05-18 | 朗迅科技公司 | 无线网络中耗用功率拒绝服务攻击的探测方法和系统 |
| CN102497362A (zh) * | 2011-12-07 | 2012-06-13 | 北京润通丰华科技有限公司 | 异常网络流量的攻击源追踪方法及装置 |
| CN101605061B (zh) * | 2008-06-10 | 2012-11-07 | 上海贝尔股份有限公司 | 一种接入网络中防止拒绝服务攻击的方法及其装置 |
| CN112822147A (zh) * | 2019-11-18 | 2021-05-18 | 上海云盾信息技术有限公司 | 一种用于分析攻击链的方法、系统及设备 |
-
2003
- 2003-12-19 CN CNA2003101227423A patent/CN1553624A/zh active Pending
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1842087B (zh) * | 2005-03-30 | 2011-05-18 | 朗迅科技公司 | 无线网络中耗用功率拒绝服务攻击的探测方法和系统 |
| CN100417090C (zh) * | 2005-10-19 | 2008-09-03 | 华为技术有限公司 | 一种定位拒绝服务攻击源的方法及系统 |
| CN100563249C (zh) * | 2006-01-18 | 2009-11-25 | 中国科学院计算技术研究所 | 一种分域溯源式全局网络安全体系的构建方法 |
| CN101605061B (zh) * | 2008-06-10 | 2012-11-07 | 上海贝尔股份有限公司 | 一种接入网络中防止拒绝服务攻击的方法及其装置 |
| CN102497362A (zh) * | 2011-12-07 | 2012-06-13 | 北京润通丰华科技有限公司 | 异常网络流量的攻击源追踪方法及装置 |
| WO2013082997A1 (zh) * | 2011-12-07 | 2013-06-13 | 北京润通丰华科技有限公司 | 异常网络流量的攻击源追踪方法及装置 |
| CN102497362B (zh) * | 2011-12-07 | 2018-01-05 | 北京润通丰华科技有限公司 | 异常网络流量的攻击源追踪方法及装置 |
| CN112822147A (zh) * | 2019-11-18 | 2021-05-18 | 上海云盾信息技术有限公司 | 一种用于分析攻击链的方法、系统及设备 |
| CN112822147B (zh) * | 2019-11-18 | 2022-12-06 | 上海云盾信息技术有限公司 | 一种用于分析攻击链的方法、系统及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Mankin et al. | On design and evaluation of" intention-driven" ICMP traceback | |
| Abdelsayed et al. | An efficient filter for denial-of-service bandwidth attacks | |
| Cai et al. | Collaborative internet worm containment | |
| US6973040B1 (en) | Method of maintaining lists of network characteristics | |
| US20060191003A1 (en) | Method of improving security performance in stateful inspection of TCP connections | |
| WO2002021278A1 (en) | Coordinated thwarting of denial of service attacks | |
| CN1929404A (zh) | 识别恶意网络消息源的系统与方法 | |
| CN1885765A (zh) | 包中继装置及包中继系统 | |
| CN1145318C (zh) | 一种因特网服务提供者安全防护的实现方法 | |
| CN1741473A (zh) | 一种网络数据包有效性判定方法及系统 | |
| CN1553624A (zh) | 基于主动网回溯技术防御拒绝服务攻击的方法 | |
| KR101352553B1 (ko) | 플로우별 통계정보를 이용한 분산 서비스 거부 공격(ddos) 탐지 및 트래픽 경감 방법 및 그 시스템 | |
| Al-Duwairi et al. | ISDSDN: mitigating SYN flood attacks in software defined networks | |
| CN1152517C (zh) | 防范网络攻击的方法 | |
| Perrig et al. | StackPi: a new defense mechanism against IP spoofing and DDoS attacks | |
| Paruchuri et al. | TTL based packet marking for IP traceback | |
| CN101795277B (zh) | 一种单向流检测模式下的流量检测方法和设备 | |
| CN1510872A (zh) | 一种dns和应用代理相结合对抗拒绝服务攻击的方法 | |
| CN112714102A (zh) | 一种多核异构平台下SYN Flood攻击防御方法 | |
| CN115664833B (zh) | 基于局域网安全设备的网络劫持检测方法 | |
| CN101771575B (zh) | 一种处理ip分片报文的方法、装置及系统 | |
| Xiang et al. | A defense system against DDOS attacks by large-scale IP traceback | |
| Durresi et al. | Fast autonomous system traceback | |
| Sardana et al. | Detection and honeypot based redirection to counter DDoS attacks in ISP domain | |
| CN115208622A (zh) | 一种DDoS攻击的检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |