-
Technisches Gebiet
-
Die
Erfindung bezieht sich generell auf computerisierte Systeme und
Verfahren zur Handhabung von Denial of Service-Angriffen und insbesondere
auf das Detektieren eines Angriffs und des Nachverfolgens eines
Angriffs zurück
zu einer Quelle.
-
Urheberrechtsnotiz/-erlaubnis
-
Ein
Teil der Offenbarung dieses Patentdokuments beinhaltet Material,
das Urheberrechtsschutz unterliegt. Der Urheberrechtsbesitzer hat
keine Einwände
gegen das originalgetreue Reproduzieren des Patentdokuments oder
der Patentoffenbarung durch irgend jemanden, wie sie in den Patentakten
oder Unterlagen des Patent- und Markenamtes erscheinen, aber behält sich
ansonsten jegliche Urheberrechte vor. Die folgende Notiz bezieht
sich auf die Software und Daten, wie sie unten und in den dazugehörigen Zeichnungen
beschrieben werden: Copyright© 2002, Intel Corporation.
Alle Rechte vorbehalten.
-
Hintergrund
-
Die
Nutzung von Computernetzwerken und insbesondere des Internets aus
sowohl geschäftlichen
als auch privaten Gründen
wachst in einem rasanten Tempo weiter. Zum Beispiel vertrauen Nutzer zunehmend
auf das Internet für
Geschäfts-
und Privatkommunikation, kommerzielle Transaktionen und zum Verteilen
und Sammeln von Informationen aller Art. Mit diesem zunehmenden
Vertrauen entsteht jedoch auch eine zunehmende Verwundbarkeit durch Schaden
verursacht durch Netzwerkausfälle.
-
Ein
Weg, auf dem böswillige
Nutzer versuchen, diese Verwundbarkeit auszunutzen, ist durch einen
Denial of Service(DoS)-Angriff. Denial of Service-Angriffe sind
Versuche, Systeme, die an ein Netzwerk, wie zum Beispiel das Internet,
angeschlossen sind, durch wiederholtes Beschießen des Systems mit soviel
Daten zu überlasten
oder zum Absturz zu bringen, daß es
berechtigte Anfragen nicht mehr rechtzeitig bearbeiten kann. Ein
DoS-Angriff kann ein System tatsächlich
bis zu dem Punkt, daß es
abstürzt, überhäufen. Solche
Angriffe verursachen ökonomischen
Schaden, da das Opfer des Angriffs Zeit aufwenden muß, um zu
versuchen, die Quelle des Angriffs zu bestimmen, und kann bei dem Opfer
ebenso zu verlorenem Umsatz führen,
der, hätte
es die Attacke nicht gegeben, eingetreten wäre.
-
Mit
der Zeit sind DoS-Angriffe ausgefeilter geworden. Ein Beispiel dafür ist der
verteilte Denial of Service-Angriff (DDoS). Die ersten DoS-Angriffe
wurden typischerweise von einem einzelnen System gestartet. In einem
DDoS-Angriff werden mehrere Systeme benutzt, um das Opfersystem
mit Anfragen zu überfluten.
Häufig
sind sich die an einem DDoS-Angriff teilnehmenden Systeme gar nicht
bewußt,
daß sie
Teilnehmer sind, wie es für
Systeme der Fall ist, die mit einem Virus, der den Angriff startet,
infiziert sind.
-
Um
den Schaden, der durch DoS- und DDos-Angriffe verursacht wird, zu
lindern, ist es wünschenswert,
sowohl solche Angriffe früh
zu detektieren als auch Angriffe auf ihre Quelle zurückzuverfolgen.
Wenn jedoch die Angriffe von mehreren Quellen kommen, ist es für gegenwärtige Detektionssysteme schwierig,
den Angriff auf die verschiedenen Quellen zurückzuverfolgen.
-
Aus
der
WO 02/21297 A1 ist
eine Architektur zur Abwehr von Denial of Service-Angriffen bekannt. Das
System umfasst eine erste Mehrzahl an Überwachungsvorrichtungen
28,
welche das Verkehrsaufkommen über
das Netzwerk
14 überwachen.
Diese erste Mehrzahl an Überwachungsvorrichtungen
28 ist
an einer Mehrzahl von Punkten in dem Netzwerk
14 angeordnet.
-
Angesichts
der obigen Probleme besteht ein Bedarf in der Technik für die vorliegende
Erfindung.
-
Kurze Beschreibung der Zeichnungen
-
1 ist
ein Blockdiagramm, welches eine Systemebenenübersicht einer beispielhaften
Umgebung darstellt, in der eine Ausführung der Erfindung betrieben
werden kann;
-
2 ist
ein Diagramm, welches das Initialisieren einer Netzwerksitzung darstellt;
-
3A ist
ein Flußdiagramm,
welches ein Verfahren entsprechend einer Ausführungsformsform der Erfindung
zum Detektieren und Nachverfolgen eines Denial of Service-Angriffs
darstellt;
-
3B ist
ein Flußdiagramm,
welches weitere Details eines Verfahrens entsprechend einer Ausführungsform
der Erfindung zum Nachverfolgen eines Denial of Service-Angriffes
liefert; und
-
4 ist
ein Flußdiagramm,
welches ein Verfahren entsprechend einer Ausführungsform der Erfindung zum
Detektieren eines Denial of Service-Angriffes darstellt.
-
Detaillierte Beschreibung
-
In
der folgenden detaillierten Beschreibung beispielhafter Ausführungsformen
der Erfindung wird Bezug auf die begleitenden Zeichnungen genommen,
die einen Teil hiervon bilden, und in denen zur Illustration spezifische
beispielhafte Ausführungsformen,
in denen die Erfindung betrieben werden kann, gezeigt werden. Diese
Ausführungsformen
werden in ausreichendem Detail beschrieben, um dem Fachmann das
Ausführen
der Erfindung zu ermöglichen, und
es ist zu verstehen, daß andere
Ausführungsformen
verwendet werden können
und daß logische, mechanische,
elektrische und andere Änderungen gemacht
werden können,
ohne vom Umfang der vorliegenden Erfindung abzuweichen. Die folgende
detaillierte Beschreibung ist daher nicht in einem limitierenden
Sinn zu verstehen.
-
In
den Abbildungen wird durchgehend die gleiche Bezugsziffer genutzt,
um auf eine identische Komponente, die in mehreren Abbildungen auftaucht,
Bezug zu nehmen. Auf Signale und Verbindungen kann mit Hilfe der
gleichen Bezugsziffer oder Kennzeichnung Bezug genommen werden,
und die tatsächliche
Bedeutung wird durch deren Verwendung im Kontext der Beschreibung
klar werden. Des weiteren wird in der Beschreibung und den Abbildungen
die gleiche Basisbezugsziffer (z. B. 150) genutzt, wenn
generisch auf die Aktionen oder Charakteristiken einer Gruppe von
identischen Komponenten Bezug genommen wird. Ein numerischer Index,
der durch einen Dezimalpunkt eingeführt wird (z. B. 150.1),
wird benutzt, wenn eine spezifische Komponente aus der Gruppe identischer
Komponenten eine Aktion bewirkt oder ein Charakteristikum aufweist.
-
Die
detaillierte Beschreibung ist in mehrere Abschnitte unterteilt.
Im ersten Abschnitt wird ein System und eine Softwarebetriebsumgebung
der verschiedenen Ausführungsformen
der Erfindung beschrieben. Im zweiten Abschnitt werden Verfahren entsprechend
bestehender Ausführungsformen
der Erfindung beschrieben. Im letzten Abschnitt wird eine Schlußfolgerung
geliefert.
-
System und Softwarebetriebsumgebung
-
1 zeigt
ein Blockdiagramm einer System- und Softwareumgebung 100,
welche verschiedene Ausführungsformen
der Erfindung beinhaltet. Die Systeme und Verfahren der vorliegenden
Erfindung können
auf jedem Hardware- oder Softwaresystem, das einen Netzwerkbetrieb
unterstützt,
zur Verfügung
gestellt werden. Typischerweise umfaßt solche Hardware Switches,
Routers, Gateways, Hubs, Bridges, Personal Computer, Server Computer,
Mainframe Computer, Laptop Computer, tragbare Handheld Computer,
PDAs, netzwerkfähige
Mobiltelefone und Hybride der genannten Geräte. In einigen Ausführungsformen
der Erfindung umfaßt
die Betriebsumgebung 100 ein Opfersystem 102,
Angriffsdetektionsmodule 104, Brokermodule 106 und
Angreifersysteme 150. Die Systeme in der Betriebsumgebung
können
mit Hilfe eines oder mehrerer Netzwerke 130 kommunizierfähig gekoppelt
sein. Die Softwarekomponenten, die in der Betriebsumgebung laufen,
werden typischerweise aus einem maschinenlesbaren Medium gelesen
und unter der Kontrolle eines Betriebssystems ausgeführt und
weisen eine Schnittstelle zu dem Betriebssystem auf. Beispiele solcher
maschinenlesbarer Medien umfassen Festplatten, Disketten, CD-ROMS,
DVD-ROMs. Des weiteren umfassen maschinenlesbare Medien drahtgebundene
und drahtlose Signale, die über
ein Netzwerk übertragen
werden. Beispiele von Betriebssystemen umfassen Windows 95®,
Windows 98®,
Windows Me®,
Windows CE®,
Windows NT®,
Windows 2000® und
Windows XP® der
Microsoft Corporation. Jedoch ist die vorliegende Erfindung nicht
auf ein spezielles Betriebssystem beschränkt und in alternativen Ausführungsformen
können
die Softwarekomponenten unter dem Palm OS® von
Palm Inc., Varianten des UNIX- und Linux-Betriebssystems und Mobiltelephonbetriebssystemen
laufen.
-
Das
Angreifersystem 150 umfaßt Computersysteme, die dazu
in der Lage sind, einen Denial of Service-Angriff durchzuführen. Der
Denial of Service-Angriff kann eine SYN Flood, Ping Flood, „Ping of
Death” Flood
oder ein Port Scan sein, die alle im Stand der Technik bekannt sind.
Die Erfindung ist nicht beschränkt
auf das Handhaben irgendeines speziellen Typs an Denial of Service-Angriffen.
-
Das
Opfersystem 102 umfaßt
ein System, welches das Ziel eines oder mehrerer Angreifersysteme 150 ist.
Das Opfersystem 102 kann irgendeine Art von Computersystem
sein, einschließlich
eines Servers, Personal Computers, Mainframe Computers, Routers,
Bridge, Switch oder eines anderen an das Netzwerk angeschlossenen
System.
-
Das
Opfersystem 102 und das Angreifersystem 150 können durch
ein oder mehrere Netzwerke kommunizierfähig gekoppelt sein. Das Netzwerk 130 kann
irgendeine Art eines drahtgebundenen oder drahtlosen Netzwerks sein,
die Erfindung ist nicht auf eine spezielle Art des Netzwerks beschränkt. In
einigen Ausführungsformen
der Erfindung ist das Netzwerkprotokoll IP (Internet Protocol).
In weiteren Ausführungsformen
der Erfindung ist das Netzwerkprotokoll TCP/IP (Transmission Control
Protocol/Internet Protocol). In noch weiteren Ausführungsformen
ist das Netzwerkprotokoll UDP/IP (User Datagram Protocol/Internet
Protocol). Jedoch ist die Erfindung nicht auf eine spezielle Art
des Netzwerkprotokolls beschränkt.
Des weiteren umfaßt
in einigen Ausführungsformen
der Erfindung eines oder mehrere der Netzwerke 130 das
Internet. In noch weiteren Ausführungsformen
der Erfindung umfaßt
eines oder mehrere der Netzwerke 130 ein Corporate Intranet.
-
Das
Angriffsdetektionsmodul 104 umfaßt eine kommunizierfähig an ein
Netzwerk 130 gekoppelte Vorrichtung, die den Netzwerkverkehr
an den Eingangs- und Ausgangspunkten des Netzwerks 130 überwachen
und/oder manipulieren kann. Das Angriffsdetektionsmodul 104 arbeitet,
um Informationen über
den durch es hindurchlaufende Netzwerkverkehr zwischenzuspeichern
und kann des weiteren betrieben werden, Statistiken bezüglich des
Netzwerkverkehrs zu führen.
Angriffsdetektionsmodul 104 analysiert in einigen Ausführungsformen
die zwischengespeicherten Informationen, um nach Signaturen, die
verschiedenen Typen von Denial of Service-Angriffe entsprechen,
zu suchen. In einigen Ausführungsformen
der Erfindung besteht das Angriffsdekektionsmodul 104 aus
einem SmartLink-Gerät, welches
von Intel Corp. erhältlich
ist. Das Angriffsdetektionsmodul 104 kann Konfigurationsdaten
von einem Brokermodul 106 erhalten. Solche Konfigurationsdaten
können
policy-based sein, wie es im Stand der Technik bekannt ist.
-
Das
Brokermodul 106 arbeitet, um Hinweise auf Denial of Service-Angriffe
von einem oder mehreren der Angriffsdetektionsmodule 104 zu
empfangen. Bei Erhalt solch eines Hinweises, kann Brokermodul 106 betrieben
werden, Angriffsfalldaten von dem Angriffsdetektionsmodul zu erhalten
und kann die Angriffsfalldaten an gleichrangige Brokermodule 106 kommunizieren.
-
Der
Betrieb des oben beschriebenen Systems wird nun mit Bezug auf ein
Beispiel eines TCP/IP SYN-Angriffs beschrieben. Der nachfolgend beschriebene
Systembetrieb ist jedoch auch auf andere Arten eines Denial of Service-Angriffes
anwendbar. Weitere Details bezüglich
des Betriebs verschiedener Ausführungsformen
der Erfindung sind in dem Verfahrensabschnitt unten enthalten.
-
2 ist
ein Diagramm, welches den Netzwerkverbindunginitialisierungsverkehr
in einer TCP/IP-Umgebung darstellt. Der Verbindungsprozeß in der
TCP/IP-Umgebung wird generell als ein Dreiwege-Handshake bezeichnet.
Eine Verbindung wird initiiert, wenn ein System, typischerweise
ein Clientsystem 202, das eine Verbindung mit einem anderen System
herstellen möchte,
ein SYN-Paket 210 an ein zweites System, typischerweise
ein Serversystem 204, ausgibt. Serversystem 204 antwortet
dann mit einem SYN/ACK-Paket 212. Schließlich antwortet das
Clientsystem 202 mit einem ACK-Paket 214. Der Fachmann
wird anerkennen, daß der
oben beschriebene Verbindungsprozeß in Peer to Peer-Systemen und
in Multi-Tier-Systemen
entsprechend arbeitet.
-
In
einem typischen SYN Flood Denial of Service-Angriff gibt ein angreifendes
System 202 ein SYN-Paket 210 aus, aber läßt kein
ACK-Paket 214 folgen. Dies beläßt das Serversystem 202 durch Warten
auf das ACK-Paket 214 in einem „halboffenen” Zustand.
Das Serversystem 204 muß, während es sich in diesem halboffenen
Zustand befindet, Prozessor und/oder Speicherressourcen vorhalten,
die ansonsten für
berechtigte Verbindungen verfügbar wären. Wenn
genügend
halboffen Verbindungen erzeugt werden, können dem Server 204 die
Ressourcen ausgehen, und er kann nicht mehr dazu in der Lage sein,
weitere Verbindungsversuche zu bearbeiten, was verursacht, daß berechtigten
Clients der Dienst versagt wird.
-
Zurückkehrend
zu 1 nehme man an, daß die Angreifersysteme 150.1 und 150.2 einen
Denial of Service-Angriff gegen das Opfersystem 102 initiieren.
Um ein Verschleiern der Erfindung zu vermeiden, sind in 1 nur
zwei Quellen für
eine DDoS gezeigt. Der Fachmann auf dem Gebiet wird anerkennen,
daß die
tatsächliche
Anzahl an Angreifersystemen in einer typischen DDoS variieren kann
und wahrscheinlich größer sein
wird als zwei.
-
Die
Angriffe vom Angreifersystem 150.1 werden einem Pfad folgen,
der Netzwerke 130.4, 130.5 und 130.1 umfaßt. Die
Angriffe vom Angreifersystem 150.2 werden einem Pfad folgen,
der Netzwerke 130.3, 130.6 und 130.1 umfaßt. Das
Angriffsdetektionsmodul 104.1 detektiert den anomalen Verkehr, der
einen potentiellen Denial of Service-Angriff anzeigt. Angriffsdetektionsmodul 104.1 kann
einen Alarm an das Brokermodul 106.1 senden. Man beachte,
daß die
Angriffsdetektionsmodule 104 die Cache-Informationen, die
sie gesammelt haben, ebenso an die gleichrangigen Brokermodule 106 senden können. Aufgrund
des durch das Angriffsdetektionsmodul 104.1 erzeugten Alarms,
kann Brokermodul 106.1 die Informationen im Cache zum Herausfiltern möglicher
Quellen des Angriffs analysieren. Jeder Angriff wird typischerweise
eine eigene Signatur aufweisen, und Brokermodul 106.1 kann
mit Hilfe der Angriffssignatur die relevanten Einträge filtern.
-
Zum
Beispiel wird in dem Fall des TCP SYN Flood-Angriffs, der oben beschrieben
wurde, das Brokermodul 106.1 den Cache benutzen, um Cache-Daten,
die für
TCP-Verkehr stehen, zu bestimmen, und eine engere Auswahlliste der
Quelladressen, die eine unvollständige
Verbindungseinrichtung aufweisen, erstellen, d. h. Cache-Einträge, für die das
Protokoll TCP anzeigt und für
die das SYN-Bit gesetzt, aber nicht das ACK-Bit gesetzt ist. In
einigen Ausführungsformen
prüft das
Brokermodul zusätzlich den
Cache auf einen entsprechenden umgekehrten Eintrag im Cache, der
das SYN-ACK-Bit gesetzt hat. Dieser zeigt die Verbindungsversuche
an, für
die der Server mit einem SYN-ACK geantwortet hat, aber der Client
den Handshake nicht vervollständigt
hat.
-
Für den Fall
eines Port Scanning-Angriffs sucht das Brokermodul 106.1 nach
jenen Cache-Einträgen, die
die gleiche Quelladresse und Zieladresse, aber verschiedene Portzahlen
aufweisen und für
die die Zahl der Pakete oder die Paketgrößen relativ klein sind.
-
Sobald
das Brokermodul 106.1 wahrscheinliche Quellen für den Angriff
identifiziert hat, kann es Angriffsfalldaten, die die potentielle
Quelle und Art des Angriffs identifizieren, erzeugen. Das Brokermodul 106.1 kann
dann von seinen Grenzangriffsdetektionsmodulen 104.2, 104.5 und 104.6 Cache-Informationen
erhalten. Der Broker 106.1 kann daraufhin seine Cache-Daten
analysieren, um zu bestimmen, ob eine der wahrscheinlichen Angriffsquell-IP-Adresssen von einem
der Grenzangriffsdetektionsmodule 104.2, 104.5 und 104.6 gesehen
wurde. In diesem Beispiel passen einige der Quelladressen, die von
Angriffsdetektionsmodul 104.6 gesehen wurden, zu der engeren
Auswahlliste der Adressen. Das Brokermodul 106.1 kann nun
mit dem Brokermodul 106.3 (und irgendeinem weiteren gleichrangigen Broker
in Domänen,
die zu von Angriffsdetektionsmodul 104.6 wahrgenommenen
Verkehr beitragen) kommunizieren und die Liste der Cache-Einträge, die von
Angriffsdetektionsmodulen 104.1 und 104.6 gesehen
werden, übertragen.
In ähnlicher
Weise können
Angriffsfalldaten an Broker 106.4 anhand einer Liste der
Einträge,
die den Angriffsdetektionsmodulen 104.1 und 104.5 gemeinsam
sind, gesandt werden. Man beachte, daß das Angriffsdetektionsmodul 104.2 höchstwahrscheinlich
keine Informationen beitragen wird, da sein Netzwerk 130.2 nicht
in dem Pfad eines der Denial of Service-Angriffe liegt.
-
Die
Broker 106.3 und 106.4 können nun innerhalb ihrer Domänen ähnliche
Analysen durchführen,
um die Quelle des Angriffs genau festzustellen. Sobald die Quelle
bestimmt ist, können
durch die Broker 106 Maßnahmen zur Unterdrückung der
Angriffe innerhalb ihrer Domäne
ergriffen werden. Diese Maßnahmen
umfassen und sind nicht beschränkt
auf das Abschalten der störenden
Maschinen, das Unterbrechen des von der Maschine ausgehenden, auf das
Opfer gerichteten Verkehrs und das Analysieren des Verkehrsmusters
zu und von den störenden
Maschinen (Angriffsquellen), um einen Master Controller zu untersuchen
und zu identifizieren.
-
In
einigen Ausführungsformen
der Erfindung halten die Brokermodule 106 die Cache-Informationen, die
sie von den Grenzangriffsdetektionsmodulen 104 erhalten
haben, vor. Die vorgehaltenen Daten können von der Zeit, zu der sie
empfangen wurden, oder einem oberen Grenzwert der vorzuhaltenden Datenmenge
abhängen.
Die vorgehaltenen Daten können
zu forensischen Anlässen
zur Nachangriffsanalyse nützlich
sein.
-
Dieser
Abschnitt hat die verschiedenen logischen Module in einem System,
das Denial of Service-Angriffe detektiert und solche Angriffe zu
ihrer Quelle rückverfolgt,
beschrieben. Wie der Fachmann anerkennen wird, kann die Software
zur Implementierung der Module in irgendeiner von einer Anzahl von
Programmiersprachen, die in der Technik bekannt sind, geschrieben
werden, einschließlich
aber nicht beschränkt
auf C/C++, Java, Visual Basic, Smalltalk, Pascal, Ada und ähnliche
Programmiersprachen. Die Erfindung ist zur Umsetzung nicht auf eine
spezielle Programmiersprache beschränkt.
-
Verfahren einer beispielhaften
Ausführungsform
der Erfindung
-
In
dem vorausgegangenen Abschnitt wurde ein Überblick des Arbeitsablaufs
einer beispielhaften Hardware- und Softwareumgebung, die verschiedene
Ausführungsformen
der Erfindung umfaßt,
auf Systemebene beschrieben. In diesem Abschnitt werden die speziellen
Verfahren der Erfindung, die von einer Betriebsumgebung, welche
eine beispielhafte Ausführungsform
umsetzt, durchgeführt
werden, mit Bezug auf eine Reihe von Flußdiagrammen beschrieben, die
in 3A, 3B und 4 gezeigt sind.
Die von der Betriebsumgebung durchzuführenden Verfahren bilden Computerprogramme,
die aus computerausführbaren
Anweisungen zusammengesetzt sind. Das Beschreiben des Verfahrens
durch Bezug auf ein Flußdiagramm
ermöglicht
es einem Fachmann, solche Programme zu entwickeln, einschließlich Anweisungen,
um das Verfahren auf geeigneten Computer auszuführen (der Prozessor führt Anweisungen
von einem computerlesbaren Medium aus). Die Verfahren, die in 3A, 3B und 4 gezeigt
sind, schließen
Handlungen ein, die von einer Betriebsumgebung, welche eine beispielhafte
Ausführungsform
der Erfindung ausführt, durchgeführt werden.
-
3A zeigt
ein Flußdiagramm,
welches ein Verfahren, entsprechend einer Ausführungsform der Erfindung, zum
Detektieren und Nachverfolgen eines Denial of Service-Angriffes
darstellt. Das Verfahren beginnt, wenn ein System, wie zum Beispiel
ein Brokermodul 106, einen Status-Update von einem Angriffsdetektionsmodul 104 empfängt (Block 302).
Das Status-Update kann durch einen Denial of Service-Angriff initiiert
werden, oder es kann ein periodisches Update sein.
-
Als
nächstes
bestimmt das System, ob ein potentieller Angriff im Gange ist (Block 304).
Wenn kein Angriff detektiert wird, kehrt das Verfahren zu Block 302 zurück, um das
nächste Status-Update
abzuwarten. Wenn jedoch ein potentieller Angriff angezeigt wird,
fragt das System die Cache-Informationen von einem oder mehreren
der kommunizierfähig
gekoppelten Angriffdetektionsmodule 104 ab (Block 306).
In einigen Ausführungsformen,
in denen das TCP/IP-Protokoll das Netzwerkprotokoll ist, können die
zwischengespeicherten Informationen die Quell-IP-Adresse, die Ziel-IP-Adresse,
den Quellport, den Zielport und das Protokoll für einen Verbindungsfluß umfassen.
In alternativen Ausführungsformen der
Erfindung beinhalten die zwischengespeicherten Daten des weiteren
Statistiken bezüglich
eines Verbindungsflusses, wie zum Beispiel der Bytezahl, der Paketzahl,
der ersten Paketzeit und der letzten Paketzeit. In noch weiteren
alternativen Ausführungsformen
beinhalten die zwischengespeicherten Daten TCP-Flags, die den Verbindungsstatus
melden (hergestellt, geschlossen, halboffen, etc.).
-
Das
System analysiert dann die zwischengespeicherten Daten, die von
einem oder mehreren der Angriffsdetektionsmodule 104 gesammelt
wurden, und bestimmt, ob eine der Angriffssignaturen vorliegt (Block 308).
Verschiedene Arten von Angriffssignaturen sind je nach Art des Angriffs
möglich.
Zum Beispiel kann in einem SYN Flood-Angriff die Signatur zahlreiche
halboffen Verbindungen in den zwischengespeicherten Daten umfassen.
Im Falle eines Port Scans kann die Angriffssignatur zahlreiche Versuche umfassen,
Ports auf serielle Art von der gleichen Quelladresse zu öffnen.
-
Nachdem
eine Angriffssignatur identifiziert wurde, werden Angriffsfalldaten
erzeugt und an die gleichrangigen Brokermodule 106 gesandt
(Block 310). Die Angriffsfalldaten können zum Identifizieren der
Art und der Quelle oder Quellen eines bestimmten Angriffs genutzt
werden.
-
Als
nächstes
wartet das System in einigen Ausführungsformen auf Nachrichtenverkehr
von den gleichrangigen Brokermodulen 106 (Block 312).
Der Nachrichtenverkehr kann eine Bestätigung des Angriffs, oder sie
kann Information, die anzeigt, daß ein gleichrangiges Brokermodul 106 den
Angriff nicht sieht, sein. Diese Information kann genutzt werden, um
die potentielle Quelle des Angriffs einzugrenzen.
-
3B ist
ein Flußdiagramm,
welches weitere Details für
ein Verfahren entsprechend einer Ausführungsform der Erfindung zum
Nachverfolgen eines Denial of Service-Angriffes bietet.
-
Die
Aktionen, die in 3B aufgeführt werden, können von
einem gleichrangigen Brokermodul 106 durchgeführt werden,
nachdem es von einem weiteren gleichrangigen Broker 106 über einen
potentiellen Angriff informiert worden ist. Das Verfahren beginnt,
wenn das Brokermodul 106 Angriffsfalldaten von einem gleichrangigen
Brokermodul 106 erhält (Block 320).
-
Als
nächstes
fragt das System zwischengespeicherte Daten von den Grenzangriffsdetektionsmodulen
in der gleichen Netzwerkdomäne
wie das Brokermodul 106 ab (Block 322). Die gesammelten Cache-Daten
können
analysiert werden, um wie oben beschrieben potentielle Angriffssignaturen
zu bestimmen. Die potentiellen Angriffssignaturen können dann
analysiert und mit den Angriffsfalldaten verglichen werden (Block 324).
-
Wenn
eine Übereinstimmung
vorliegt (Block 326), können
in einigen Ausführungsformen
der Erfindung Angriffsgegenmaßnahmen
eingeleitet werden (Block 328). Diese Angriffsgegenmaßnahmen können das
Filtern von Paketen von der Quelle, die in den Angriffsfalldaten
identifiziert wurde, das Abschalten der der Angriffe verdächtigten
Quelle oder das Melden des Angriffs an eine Netzwerkkonsole umfassen.
-
4 ist
ein Flußdiagramm,
welches ein Verfahren entsprechend einer Ausführungsform der Erfindung zum
Detektieren eines Denial of Service-Angriffes darstellt. Das Verfahren
beginnt, wenn ein System, welches Denial of Service-Angriffe detektieren
möchte,
auf das Eintreffen von Netzwerkpaketen wartet (Block 402).
Nachdem ein Paket empfangen worden ist (Block 404), wird
der Pakettyp geprüft.
In einigen Ausführungsformen
der Erfindung wird eine Überprüfung durchgeführt, um
festzustellen, ob das Paket ein Initialisierungspaket ist (Block 406).
In einigen Ausführungsformen
ist das Initialisierungspaket ein SYN-Paket.
-
Wenn
das Packet ein Initialisierungspaket ist, dann werden Daten bezüglich dieses
Pakets in einem Speicher(zwischen-)gespeichert (Block 408).
In einigen Ausführungsformen
umfassen diese Daten eine Quelladresse, einen Quellport, eine Zieladresse, einen
Zielport, einen Pakettyp und einen Zeitstempel. Die Steuerung kehrt
zu Block 402 zurück,
um das Eintreffen weiterer Pakete zu erwarten.
-
Andernfalls
wird eine Prüfung
vollzogen, um festzustellen, ob das Paket ein Initialisierungsbestätigungspaket
ist (Block 410). In einigen Ausführungsformen ist das Initialisierungsbestätigungspaket
ein SYN/ACK-Paket. Falls das Paket ein Initialisierungsbestätigungspaket
ist, nehmen einige Ausführungsformen
der Erfindung eine Quelladresse, einen Quellport, eine Zieladresse,
einen Zielport, einen Pakettyp und einen Zeitstempel für das Paket
auf. Die Steuerung kehrt dann zu Block 402 zurück, um auf die
Ankunft des nächsten
Paketes zu warten.
-
Andernfalls,
wenn das Paket kein Initialisierungsbestätigungspaket ist, prüfen einige
Ausführungsformen
der Erfindung das Paket, um zu bestimmen, ob es ein Bestätigungspaket
ist (Block 412). Wenn das Paket kein Bestätigungspaket
ist, kehrt die Steuerung zurück
zu Block 402, um auf das nächste Paket zu warten.
-
In
einigen Ausführungsformen
wird dann, wenn das Paket ein Bestätigungspaket ist, eine Prüfung vollzogen,
um festzustellen, ob das Bestätigungspaket
nach einem entsprechenden Initialisierungspaket angekommen ist (Block 414).
In einigen Ausführungsformen
der Erfindung ist das Bestätigungspaket
ein ACK-Paket. Wenn das Bestätigungspaket
nicht dem vorher ausgegebenen Initialisierungspaket entspricht,
kehrt die Steuerung zu Block 402 zurück, um auf das nächste Paket
zu warten.
-
In
einigen Ausführungsformen
der Erfindung jedoch, wird, wenn das Bestätigungspaket dem vorher ausgegebenen
Initialisierungspaket entspricht, eine Prüfung vollzogen, um zu bestimmen,
ob das Bestätigungspaket
nach dem entsprechenden Initialisierungsbestätigungspaket angekommen ist
(Block 416). Wenn es nach dem entsprechenden Initialisierungsbestätigungspaket
angekommen ist, dann kehrt die Steuerung zu Block 402 zurück, um die
Ankunft des nächsten
Pakets zu erwarten. In diesem Fall ist eine Verbindung voll geöffnet, und
sie ist höchstwahrscheinlich
eine berechtigte Verbindung.
-
Wenn
jedoch das Bestätigungspaket
vor einem entsprechenden Initialisierungsbestätigungspaket ankommt, zeigt
das System einen potentiellen Denial of Service-Angriff an (Block 418).
Im Falle von TCP, wird ein möglicher
SYN Flood-Angriff angezeigt. Dieser Fall entspricht einer Situation,
in der ein Angreifer versucht, Systeme, die nur die Anzahl der Initiali sierungsanfragen
und der Bestätigungsantworten
abzählen,
ohne zu versuchen, die zeitliche Beziehung der Pakete zu bestimmen,
zu überlisten.
-
Zusätzlich kann
an jeder Stelle während
des Verfahrens das System die Daten, die in den Blöcken 408 und 410 gesammelt
wurden, untersuchen, um einen Zählwert
zu bestimmen, wie viele Initialisierungspakete ohne ein entsprechendes
Bestätigungspaket erzeugt
wurden (Block 420). Wenn der Zählwert einen einstellbaren
oder voreingestellten Grenzwert überschreitet,
kann eine Meldung erzeugt werden, daß das System einem Denial of
Service-Angriff
unterliegt.
-
Schlußfolgerung
-
Systeme
und Verfahren zum Detektieren eines Denial of Service-Angriffes
und zum Nachverfolgen eines solchen Angriffs zurück zu einer Quelle wurden offenbart.
Die Ausführungsformen
der Erfindung liefern Vorteile gegenüber vorherigen Systemen. Zum
Beispiel sehen die offenbarten Systeme und Verfahren das frühe und genaue
Detektieren eines Denial of Service-Angriffs vor. Des weiteren unterstützen die
Systeme und Verfahren das automatische Nachverfolgen eines Denial
of Service-Angriffs zurück
auf die Quelle, wodurch menschliche Eingriffe reduziert oder vermieden
werden. Dies kann zu einem früheren
Erkennen der Quelle des Angriffs führen.
-
Obwohl
spezifische Ausführungsformen hierin
dargestellt und beschrieben wurden, wird es von Leuten mit üblichen
Fachkenntnissen anerkannt, daß jegliche
Gestaltung, die darauf abzielt, den gleichen Nutzen zu erzielen,
die gezeigten spezifischen Ausführungsformen
ersetzen kann. Diese Anmeldung zielt darauf ab, jegliche Anpassung
oder Variation der vorliegenden Erfindung abzudecken.
-
Die
Terminologie, die in dieser Anmeldung benutzt wird, soll all diese
Umgebungen umfassen. Selbstverständlich
beabsichtigt die obige Beschreibung veranschaulichend, aber nicht
beschränkend zu
sein. Viele weitere Ausführungsformen
werden dem die obige Beschreibung sichtenden Fachmann ersichtlich
sein. Es ist daher offenkundig beabsichtigt, daß diese Erfindung nur durch
die folgenden Ansprüche
und deren Äquivalente
beschränkt
sei.