TWI492090B - 分散式阻斷攻擊防護系統及其方法 - Google Patents
分散式阻斷攻擊防護系統及其方法 Download PDFInfo
- Publication number
- TWI492090B TWI492090B TW099101019A TW99101019A TWI492090B TW I492090 B TWI492090 B TW I492090B TW 099101019 A TW099101019 A TW 099101019A TW 99101019 A TW99101019 A TW 99101019A TW I492090 B TWI492090 B TW I492090B
- Authority
- TW
- Taiwan
- Prior art keywords
- packet
- filtering
- traffic
- flow
- attack
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Description
本發明係關於一種分散式阻斷攻擊防護系統及其方法,更詳而言之,係一種有關於用於網路中針對分散式阻斷攻擊之偵測且將其流量封包進行導向與過濾之系統以及其方法。
隨著網際網路迅速發展,人們對網路使用程度亦逐漸增加,相對地關於網路安全問題亦隨之而來,特別是伺服器或電腦主機遭受網路攻擊事件層出不窮,因而安全的網路環境更受到重視。
分散式阻斷攻擊(Distributed Denial of Service,DDoS)即是常見透過大量網路封包攻擊電腦之例子,主要透過大量請求網路服務之封包傳遞,以破壞提供服務主機的正常運作,藉此造成消耗頻寬、消耗主機資源、甚至癱瘓作業系統等情況。目前對於這種大規模分散式阻斷攻擊的處理措施並不完善,像是:以客戶端自行建置防護設備的處理措施而言,其防護效果受限於所申請的頻寬,當攻擊數量超過其頻寬則無法有效阻擋;以考量增加頻寬或提升伺服器效能的處理措施而言,由於攻擊規模動輒數百MB甚至以GB計算,如此規模遠高於一般企業頻寬及主機效能所能承受範圍;以請求網際網路服務提供者(ISP)將被攻擊IP封鎖的處理措施而言,此法會造成該IP無法提供服務;以封鎖攻擊來源IP的處理措施而言,由於其攻擊來源IP大多過於分散,因而無法將攻擊來源IP完全封鎖;以針對來自國外攻擊可考量封鎖國外攻擊流量的處理措施而言,其並無法完全阻擋攻擊,且會把國外正常流量擋住;以更換被攻擊IP以避免被攻擊的處理措施而言,因更換IP需一併更改企業內DNS主機設定,同時其他外部DNS主機學習到新IP需要花費時間,這段期間恐導致正常使用者無法連結該網站,況且分散式阻斷攻擊者還是可以找到更換後IP繼續攻擊。
綜合上述技術問題,不論於使用者端、企業主機、服務供應伺服器或甚至是ISP業者,對於這類分散式阻斷攻擊的防護明顯不足,通常是等待被攻擊主機出問題才察覺,且處理方式僅能被動封鎖攻擊來源或者消極地封鎖或更換被攻擊IP,但恐造成與該攻擊來源同路線的正常封包遭到波及或形成提供服務中斷等情況,因此,目前針對此類分散式阻斷攻擊防禦仍有待加強。
因此,如何提供網路用戶在遭受分散式阻斷攻擊時能夠快速有效的緩解或恢復網路服務,以避免客戶端運作停擺或因遭受攻擊而無法提供網路服務等情況,遂成為目前亟待解決的課題。
鑒於上述習知技術之缺點,本發明用於網路中針對分散式阻斷攻擊之偵測及防禦而提出一種分散式阻斷攻擊防護系統及其方法,藉由對網路異常流量進行偵測及分析,以將該分散式阻斷攻擊進行導向以及異常封包過濾,藉此避免影響客戶端之正常運作。
為達到上述目的,本發明提供一種分散式阻斷攻擊防護系統,係用於網路中針對分散式阻斷攻擊之偵測及防禦,包括:偵測設備,係用於偵測該分散式阻斷攻擊,並將所偵測到的分散式阻斷攻擊之流量封包進行導向;以及防護設備,用於接收該偵測設備所導入之流量封包,並將該流量封包進行過濾。其中,該防護設備係包括:過濾模組,係依據預設之過濾規則以過濾該流量封包內之異常封包;路由裝置,係接收該過濾模組過濾後之流量封包,且將過濾後之流量封包傳送至客戶端;及調整模組,用以分析過濾後之流量封包擷取及分析,以調整該過濾模組中之該過濾規則及提供告警訊息。
於一實施例中,該過濾模組復包括:破碎封包處理單元,係針對該流量封包內之破碎封包提供過濾處理,以及避免該流量封包被分割;以及攻擊封包處理單元,係將該破碎封包處理單元所過濾後之流量封包進行攻擊封包的過濾處理。
於另一實施例中,該防護設備係包括複數個過濾模組,用以將該流量封包進行分配過濾處理;該複數個過濾模組前後端分別連接前端封包交換裝置及後端封包交換裝置,且該前端封包交換裝置與該後端封包交換裝置係透過雜湊運算以決定該流量封包所流向之過濾模組,藉此同時提供非連線型(例如UDP、ICMP)與連線型(例如TCP)封包進行過濾處理。
於又一實施例中,復包括分析模組,係將通過該過濾模組之流量封包鏡射後,以進行該流量封包之分析;且該分析模組係連接一封包資訊資料庫,用以紀錄該流量封包分析後之資訊。
此外,本發明亦提供一種分散式阻斷攻擊防護方法,用於偵測分散式阻斷攻擊以及將封包導向與過濾之防禦方法,係包括以下步驟:(1)對網路主要路由節點之流量封包進行偵測,以將流量異常之流量封包進行分析;(2)將該流量封包導入防護專區進行封包過濾;(3)依據預設過濾規則進行流量封包過濾,以將該流量封包內之異常封包過濾移除;以及(4)將過濾後之流量封包進行分析,以作為該過濾規則的調整依據。
其中,該過濾規則係以該客戶端之連線數量門檻值作為防護參數;該防護參數係包括允許連線數量、網址存取頻率及/或存取要求數量。
於一實施例中,該步驟(3)復包括以下步驟:(3-1)提供該流量封包內破碎封包的過濾,以及避免該流量封包被分割;以及(3-2)於該破碎封包過濾後,將所剩餘流量封包內之攻擊封包進行再過濾。
另外,復包括步驟(5):將過濾後之流量封包導回客戶端,以提供該客戶端之網路服務。
相較於習知技術,本發明之分散式阻斷攻擊防護系統及其方法,係於主要網路節點進行偵測,以將分散式阻斷攻擊之流量封包導向一防護專區以進行過濾,透過預設過濾規則將異常封包進行過濾,以減緩或降低客戶端網路服務受到影響;此外,過濾後之網路封包同樣被擷取分析,透過分析結果以調整該過濾規則俾使過濾成效提升。藉由該分散式阻斷攻擊防護系統不僅主動偵測分散式阻斷攻擊外,亦提供快速有效的防禦機制,以減低用戶群受網路攻擊影響程度。
以下藉由特定的具體實例說明本發明之技術內容,熟悉此技藝之人士可由本說明書所揭示之內容輕易地瞭解本發明之其他優點與功效。本發明亦可藉由其他不同的具體實例加以施行或應用,本說明書中的各項細節亦可基於不同觀點與應用,在不悖離本發明之精神下進行各種修飾與變更。
請參閱第1圖,其係本發明分散式阻斷攻擊防護系統之封包導向圖,主要用以顯示網際網路上攻擊封包的走向。一般而言,骨幹網路上具有連接眾多網路的主要路由節點,如圖所示之路由節點10、11,當攻擊端網路12發動攻擊時,係將大量攻擊封包透過主要路由節點10經路徑a傳遞至路由節點11,再傳送到客戶端網路13,因而難以在傳送過程中提供防護功能。本發明之分散式阻斷攻擊防護系統,係於路由節點10設置用於偵測之設備,當出現攻擊狀況時,則將整個流量封包導向防護專區1(即透過路徑b)以進行過濾處理,最後,再將過濾後剩餘流量封包送回客戶端網路13,藉此減緩分散式阻斷攻擊所造成傷害。
請參閱第2圖,其係為本發明之分散式阻斷攻擊防護系統之第一實施例的系統架構圖。如第2圖所示,本發明之分散式阻斷攻擊防護系統2係用於網路中針對分散式阻斷攻擊之偵測及防禦,包括:偵測設備21及防護設備22。
偵測設備21係用於偵測分散式阻斷攻擊,且將所偵測到的分散式阻斷攻擊之流量封包進行導向。具體言之,偵測設備21係設置於骨幹網路上各主要路由節點處,如第1圖所示之路由節點10、11處,主要提供路由節點網路流量封包之監控,由於分散式阻斷攻擊(DDoS)非屬病毒攻擊,而是透過大量封包傳遞以癱瘓主機伺服器,因此,偵測設備21主要針對網路異常流量進行判斷,若發現流量異常則將該異常流量之封包導入防護設備22。偵測設備21具有多項參數設定並依據需求可進行微調,如設定10M流量為流向異常或是50M為攻擊異常等。
防護設備22係用以接收偵測設備21所導入之流量封包,以將該流量封包進行過濾。其中,防護設備22係包括過濾模組221、路由裝置222及調整模組223。過濾模組221係依據預設過濾規則以過濾該流量封包內之異常封包。路由裝置222係接收過濾模組221過濾後之流量封包,且將過濾後之流量封包傳送至客戶端。調整模組223用以分析過濾後之流量封包擷取及分析,以調整過濾模組221內之過濾規則及提供告警訊息。
換言之,經由過濾模組221過濾後之流量封包,傳送至路由裝置222並且提供調整模組223進行擷取分析,以取得過濾後流量封包之異常封包數量,必要時提供告警訊息。此外,若發現過濾後的流量封包仍然使得分散式阻斷攻擊處於高危險之狀態下,此時,除提供告警訊息外並立即透過調整模組223調整該過濾規則,進而強化封包過濾之程序外,同時間,由過濾模組221過濾後之流量封包,經由路由裝置222而轉送至客戶端。
請參閱第3圖,其係本發明之分散式阻斷攻擊防護系統之第二實施例的部分系統架構圖。如第3圖所示,第二實施例與第一實施例的主要元件相同,其差異在於防護設備32中的過濾模組321復包括:破碎封包處理單元3211以及攻擊封包處理單元3212。
該破碎封包處理單元3211係針對流量封包內之破碎封包提供過濾處理,以及避免流量封包被分割。於本實施例中,由偵測設備21導入之流量封包係由前端路由裝置30接收且傳送至過濾模組321進行處理,由於所導入的流量封包中可能包含破碎封包(IP fragment packet),不僅無法直接過濾出來且破碎封包攻擊易癱瘓整個防護設備32,其原因係一般防護設備在處理大量碎片封包日寺,需進行封包重組才能進行防護判斷,使得防護設備會預留相當的系統資源來儲存這些尚未重組的碎片,因此,碎片封包的攻擊特性就在於大量傳送無法重組成功的封包來瞬間佔滿防護設備的系統資源,造成防護設備嘗試檢查或重組這樣大量碎片時容易形成系統資源耗盡而導致設備無法運作。因而本實施例進一步將過濾模組321分成兩部分進行過濾處理。首先,由破碎封包處理單元3211進行破碎封包的過濾處理,主要將通過破碎封包處理單元3211的破碎封包進行封鎖(block),同時限制通過破碎封包處理單元3211之流量封包再被分割,以避免對後續封包過濾造成影響,於一具體實施例,該破碎封包處理單元3211可為具有阻擋破碎封包功能之封包交換器(switch),亦即利用封包交換器特有功能來禁止封包進行切割,如此一來可直接丟棄相同序號第一個以後的分割封包,以有效降低防護設備32的整體負載,再由攻擊封包處理單元3212來判斷與過濾第一個不正常的分割封包。相較於現有具有阻擋破碎封包功能的大型防火牆,本發明以封包交換器實作該破碎封包處理單元3211下,不須經由繁雜步驟,且可降低維運難度以及成本。
該攻擊封包處理單元3212係將經過破碎封包處理單元3211所過濾之流量封包進行攻擊封包的過濾處理。具體而言,當透過破碎封包處理單元3211將破碎封包進行過濾後,攻擊封包處理單元3212接著透過預設過濾規則將流量封包內的攻擊封包過濾出來,俾使過濾後之流量封包剩下正常封包。最後,攻擊封包處理單元3212將過濾後之流量封包傳送到路由裝置322進行傳送,且同時調整模組323擷取及分析判斷是否需調整該預設過濾規則及提供告警訊息。
其中,該過濾規則係以客戶端之連線數量門檻值作為防護參數,且該防護參數包括允許連線數量、網址存取頻率及/或存取要求數量等。換言之,依據客戶端所能承受連線要求(TCP/UDP/ICMP)的門檻值,並適時提供告警訊息至網路管理者。詳而言之,該過濾規則係判斷該流量封包所要求連線、存取等請求數量是否在正常範圍內,其藉由可允許來源端(source)之連線數量、可允許來源端存取特定網址頻率、或是網址存取請求(request)數量等參數值來協助判斷是否屬於網路異常的封包服務請求,若經判斷後為網路異常狀態,則進行過濾處理,相同的過濾後封包會再進行擷取分析,若還是無法將分散式阻斷攻擊降低至一安全範圍內,則調整模組323會依據過濾後分析數據自動調整該過濾規則,藉此加強後續的過濾效果。
請參閱第4圖,其係本發明之分散式阻斷攻擊防護系統之第三實施例的部分系統架構圖。為簡化圖式及說明,此處之系統架構僅顯示與本實施例有關之構件,如圖所示,本實施例與第3圖所示的第二實施例之不同處在於,本實施例之防護設備42係包含複數個過濾模組421、421’、421”,以提供將流量封包分配進行過濾處理。具體而言,當異常網路流量封包被導向至防護設備42後,係經前端路由裝置40接收以及前端封包交換裝置411分配轉送,以讓複數個過濾模組421、421’、421”之其中一者進行過濾處理,而過濾後之流量封包同樣經由後端封包交換裝置412及路由裝置422傳送至客戶端。
如此,透過複數個過濾模組之設置,能使整個分散式阻斷攻擊防護系統更具延展性,以便隨著攻擊規模擴大而對防護設備進行擴充以承載攻擊量。較佳者,可將各個過濾模組依據不同封包型態進行過濾處理,藉此不僅可分散過濾模組之負載,亦讓處理設備可依據封包特性加快處理速度。至於過濾模組之數量,則可視實際需求予以調整。
請參閱第4圖,其係本發明之分散式阻斷攻擊防護系統之第四實施例的局部系統架構圖。為簡化圖式及說明,此處之系統架構僅顯示與本實施例有關之構件,如圖所示,第四實施例與第三實施例為相同系統架構圖,其差異在於為了可同時對非連線型封包,例如使用者資料包通訊協定(User Datagram Protocol;UDP)或網際網路控制訊息協定(Internet Control Message Protocol;ICMP)封包,與連線型封包,例如傳輸控制協定(Transmission Control Protocol;TCP)封包,進行過濾處理,可由前端封包交換裝置411與後端封包交換裝置412內進行雜湊運算,以決定流量封包之流向。
在未設置本實施例之前端封包交換裝置411與後端封包交換裝置412的情況下,由於前端路由裝置40接收流量封包後,會送至複數個過濾模組421、421’、421”之其中一者過濾處理,再透過路由裝置422進行轉送。然此類封包傳送架構對於連線型封包會產生問題,其主要原因在於連線型封包複雜度高且需雙向溝通才能知悉封包資訊,因而,若流量封包來回所行經路徑為不同過濾模組時,例如經過濾模組421送出,卻送回另一過濾模組421’,則會造成無法對封包內容進行判斷。
是故,本實施例係於前端封包交換裝置411與後端封包交換裝置412內進行雜湊運算(hash),以決定流量封包傳送所流經的過濾模組,藉此可同時提供非連線型與連線型封包進行過濾處理。具體來說,該前端封包交換裝置411係以來源IP進行雜湊運算,以決定該流量封包係由某一埠(port)往下流向其中之一過濾模組,而該後端封包交換裝置412係以目的IP再次以同一演算法進行雜湊運算,以決定該流量封包由哪一埠往上流回原流量封包所經之過濾模組,亦即由該前端封包交換裝置411與該後端封包交換裝置412執行相同的雜湊演算以指定該些流量封包傳送位置,以對連線型封包達到處理效果,因而本實施例之前端封包交換裝置411與後端封包交換裝置412可由封包交換器(switch)來實現,換言之,該前端封包交換裝置411可同時具有處理破碎封包功能以及將流量封包交換分配,使得其所連接的過濾模組421、421’、421”達到負載平衡。由第三、四實施系統架構知悉,透過多個過濾模組可達到負載平衡,且可對非連線型與連線型封包同時處理過濾,進而達到封包過濾、負載平衡以及兼顧系統擴充性。
如第5圖所示,係說明本發明之分散式阻斷攻擊防護系統之第五實施例的局部系統架構圖。為簡化圖式及說明,此處之系統架構僅顯示與本實施例有關之構件,如圖所示,本實施例與前述之該些實施例之不同處在於,本實施例之防護設備62復包括一分析模組624,係將通過過濾模組621之流量封包鏡射後,以進行該流量封包之分析。亦即於前端路由裝置60送至過濾模組621進行過濾前,將導入的流量封包透過鏡射方式傳送一份至分析模組624進行分析,藉以了解目前該異常流量之封包狀態,至於原導入之流量封包不受影響,繼續經由過濾模組621過濾後送至路由裝置622,同時調整模組623進行擷取分析,以作為過濾規則調整及提供告警訊息。
此外,分析模組624係連接一封包資訊資料庫625,主要用以紀錄該些流量封包分析後之資訊,以提供網路管理者查看導入防護設備62之異常封包其狀態。
總言之,透過本發明之分散式阻斷攻擊防護系統,能於網路主要節點上進行偵測,以將分散式阻斷攻擊之流量封包導入防護專區內以將異常封包過濾掉,此外,透過所能承受連線數量等作為門檻值進行判斷,藉此調整過濾規則以強化過濾成效,形成多層次防護以阻擋單一或混合種類之攻擊。
請參閱第6圖,其係本發明之分散式阻斷攻擊防護方法之流程步驟圖。如圖所示,於步驟S701中,係對網路主要路由節點之流量封包進行偵測,以將流量異常之流量封包進行分析,也就是偵測到網路流量產生異常封包狀況時,立即提供監控與分析以判斷該網路流量是否達到預設臨界值,藉此判定是否為分散式阻斷攻擊並且必要時提供後續處理。接著進至步驟S702。
於步驟S702中,係將該流量封包導入防護專區進行封包過濾,若偵測到流量封包係屬異常流量之狀況,則將該流量封包導入一防護專區進行過濾處理。於一具體實施例,該步驟S702復包括將所導入之流量封包鏡射後,以提供封包過濾前的分析,藉此取得過濾前流量封包狀態。接著進至步驟S703。
於步驟S703中,係依據預設過濾規則進行流量封包過濾,以將該流量封包內之異常封包過濾移除。具體而言,即藉由預定過濾規則進行過濾判斷,主要是以客戶端之連線數量門檻值作為防護參數,以該防護參數做為過濾規則之依據,例如可允許連線數量、或是網址存取頻率,以及網站存取要求數量等,藉此作為異常流量之判定進而將其異常封包進行過濾。
於另一實施例,該步驟S703復可包括透過雜湊運算進行該流量封包之流向分配,以同時對非連線型與連線型封包提供過濾處理,詳言之,對於非連線型封包僅需經過單向處理即可知悉是否為攻擊封包,反觀連線型封包需經過雙向溝通才能知悉封包內容,因此,針對連線型封包特性,於處理攻擊封包的設備前後設置封包交換裝置且執行相同的雜湊演算法,藉由將來源IP及目的IP進行雜湊運算,以決定該流量封包經由哪一埠傳送過去,進而達到可同時處理各類型封包之過濾。接著進至步驟S704。
於步驟S704中,係將過濾後之流量封包進行分析,以作為該過濾規則的調整依據。此步驟主要目的在於將過濾後流量封包予以擷取及分析,以判定目前防護效果,具體而言,係將過濾後之流量封包鏡射後送至擷取及分析,藉此作為過濾規則調整之依據,亦即若過濾效果不佳,則調整過濾規則以加強過濾效果。
請參閱第7圖,其係本發明之分散式阻斷攻擊防護方法之細部步驟圖。較佳者,前述之步驟S703復包括步驟S7031及步驟S7032。於步驟S7031中,係提供該流量封包內之破碎封包的過濾,以及避免該流量封包被分割。接著進至步驟S7032。
於步驟S7032中,係於該破碎封包過濾後,將所剩餘流量封包內之攻擊封包進行再過濾。
具體言之,步驟S7031中先將破碎封包進行處理,除了避免破碎封包造成防護專區癱瘓狀況,同時也限制流量封包被分割,爾後才將步驟S7031過濾後之流量封包,進行攻擊封包的過濾,藉此提供多層次防護效果。
此外,本發明之分散式阻斷攻擊防護方法,可進一步結合特定ISP業者的骨幹網路,針對特定網路攻擊進行全面阻擋,比如若是來自國外網路攻擊,則可於該國外攻擊所經過路由節點上進行阻擋,或者為保護特定用戶進而阻擋非該ISP業者流量之封包,如此,透過多種方式相互配合以提供更佳防護效果。
綜上所述,本發明提出一種分散式阻斷攻擊防護系統及其方法,係用於分散式阻斷攻擊之偵測及防禦,相較於習知缺點,本發明提供主動偵測網路異常流量,以將異常流量之封包導入防護專區,藉由過濾規則將其中的異常封包過濾掉,其中,不僅針對破碎封包、連線導向型封包等不同型態封包提供處理外,更將過濾結果行分析以作為調整過濾規則之依據,藉此強化整體過濾效果,進而達到多層次防禦效果,以降低及減緩分散式阻斷攻擊所造成網路服務中斷之情況。
上述實施例僅例示性說明本發明之原理及其功效,而非用於限制本發明。任何熟習此項技藝之人士均可在不違背本發明之精神及範疇下,對上述實施例進行修飾與改變。因此,本發明之權利保護範圍,應如後述之申請專利範圍所列。
1...防護專區
10、11...路由節點
12...攻擊端網路
13...客戶端網路
2...分散式阻斷攻擊防護系統
21...偵測設備
22、32、42、62...防護設備
221、321、421、421’、421”、621...過濾模組
222、322、422、622...路由裝置
223、323、623...調整模組
3211...破碎封包處理單元
3212...攻擊封包處理單元
30、40、60...前端路由裝置
411...前端封包交換裝置
412...後端封包交換裝置
624...分析模組
625...封包資訊資料庫
S701~S704...步驟
S7031~S7032...步驟
第1圖係本發明之分散式阻斷攻擊防護系統之封包導向圖;
第2圖係本發明分散式阻斷攻擊防護系統之第一實施例的系統架構圖;
第3圖係本發明分散式阻斷攻擊防護系統之第二實施例的部分系統架構圖;
第4圖係本發明分散式阻斷攻擊防護系統之第三、四實施例的部分系統架構圖;
第5圖係本發明分散式阻斷攻擊防護系統之第五實施例的部分系統架構圖;
第6圖係本發明分散式阻斷攻擊防護方法之流程步驟圖;以及
第7圖係本發明分散式阻斷攻擊防護方法之細部步驟圖。
2...分散式阻斷攻擊防護系統
21...偵測設備
22...防護設備
221...過濾模組
222...路由裝置
223...調整模組
Claims (17)
- 一種分散式阻斷攻擊防護系統,用於網路中針對分散式阻斷攻擊之偵測及防禦,包括:偵測設備,係用以偵測分散式阻斷攻擊,並將所偵測到的分散式阻斷攻擊之流量封包進行導向;以及防護設備,係用以接收該偵測設備所導入之流量封包,並過濾該流量封包,係包括:過濾模組,係用以依據預設之過濾規則過濾該流量封包內之異常封包;路由裝置,係用以接收該過濾模組過濾後之流量封包,並將過濾後之流量封包傳送至客戶端;及調整模組,係用以針對過濾後之流量封包予以擷取及分析,並調整該過濾模組中之該預設過濾規則及提供告警訊息,其中,該過濾模組復包括:破碎封包處理單元,係用以針對該流量封包內之破碎封包提供過濾處理,以及避免該流量封包被分割;以及攻擊封包處理單元,係用以將該破碎封包處理單元所過濾後之流量封包進行攻擊封包的過濾處理。
- 如申請專利範圍第1項之分散式阻斷攻擊防護系統,其中,該偵測設備係設置於網路之各主要路由節點上,以提供該路由節點流量封包之監控。
- 如申請專利範圍第1項之分散式阻斷攻擊防護系統,其中,該偵測設備係用以針對網路異常流量進行判斷,以將該網路異常流量之封包導入到該防護設備。
- 如申請專利範圍第1項之分散式阻斷攻擊防護系統,其中,該調整模組係用以分析通過該路由裝置之流量封包,以取得該流量封包內之異常封包數量,據以作為調整該過濾規則之依據。
- 如申請專利範圍第1項之分散式阻斷攻擊防護系統,其中,該過濾規則係為該客戶端之連線數量門檻值。
- 如申請專利範圍第5項之分散式阻斷攻擊防護系統,其中,該過濾規則係包括允許連線數量、網址存取頻率及/或存取要求數量。
- 如申請專利範圍第1項之分散式阻斷攻擊防護系統,復包括分析模組,係用以將通過該過濾模組之流量封包予以鏡射,再針對鏡射之該流量封包進行分析。
- 如申請專利範圍第7項之分散式阻斷攻擊防護系統,其中,該分析模組係連接一封包資訊資料庫,用以紀錄該流量封包分析後之資訊。
- 如申請專利範圍第1項之分散式阻斷攻擊防護系統,其中,該防護設備係包括複數個過濾模組,用以將該流量封包進行分配過濾處理。
- 如申請專利範圍第9項之分散式阻斷攻擊防護系統,其中,該複數個過濾模組前後端分別連接前端封包交換裝置及後端封包交換裝置,且該前端封包交換裝置與該後 端封包交換裝置係透過雜湊運算以決定該流量封包所流向之過濾模組,藉此同時提供非連線型與連線型封包進行過濾處理。
- 一種分散式阻斷攻擊防護方法,用於網路中針對分散式阻斷攻擊之偵測及防禦,係包括以下步驟:(1)對網路主要路由節點之流量封包進行偵測,並針對流量異常之流量封包進行分析;(2)將該流量封包導入防護專區進行封包過濾;(3)依據預設過濾規則進行流量封包過濾,以將該流量封包內之異常封包過濾移除;以及(4)將過濾後之流量封包進行分析,以作為該過濾規則的調整依據,其中,該步驟(3)復包括以下步驟:(3-1)過濾該流量封包內之破碎封包,並避免該流量封包被分割;以及(3-2)於該破碎封包過濾後,過濾剩餘流量封包內之攻擊封包。
- 如申請專利範圍第11項之分散式阻斷攻擊防護方法,其中,步驟(2)復包括將該流量封包予以鏡射,再針對鏡射之該流量封包進行分析。
- 如申請專利範圍第11項之分散式阻斷攻擊防護方法,其中,該步驟(3)復包括透過雜湊運算進行該流量封包之流向分配,以同時對非連線型與連線型封包提供過濾處理。
- 如申請專利範圍第11項之分散式阻斷攻擊防護方法,其中,該步驟(4)復包括擷取及分析該流量封包,以提供告警訊息及作為該預設過濾規則調整之依據。
- 如申請專利範圍第11項之分散式阻斷攻擊防護方法,其中,該過濾規則係為該客戶端之連線數量門檻值。
- 如申請專利範圍第15項之分散式阻斷攻擊防護方法,其中,該過濾規則係包括允許連線數量、網址存取頻率及/或存取要求數量。
- 如申請專利範圍第16項之分散式阻斷攻擊防護方法,復包括步驟(5):將過濾後之流量封包導回客戶端,以提供該客戶端之網路服務。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW099101019A TWI492090B (zh) | 2010-01-15 | 2010-01-15 | 分散式阻斷攻擊防護系統及其方法 |
| US12/815,133 US20110179479A1 (en) | 2010-01-15 | 2010-06-14 | System and method for guarding against dispersed blocking attacks |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW099101019A TWI492090B (zh) | 2010-01-15 | 2010-01-15 | 分散式阻斷攻擊防護系統及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201124876A TW201124876A (en) | 2011-07-16 |
| TWI492090B true TWI492090B (zh) | 2015-07-11 |
Family
ID=44278520
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW099101019A TWI492090B (zh) | 2010-01-15 | 2010-01-15 | 分散式阻斷攻擊防護系統及其方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20110179479A1 (zh) |
| TW (1) | TWI492090B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013154532A1 (en) * | 2012-04-10 | 2013-10-17 | Intel Corporation | Techniques to monitor connection paths on networked devices |
| US8646064B1 (en) * | 2012-08-07 | 2014-02-04 | Cloudflare, Inc. | Determining the likelihood of traffic being legitimately received at a proxy server in a cloud-based proxy service |
| US9032524B2 (en) * | 2013-09-10 | 2015-05-12 | HAProxy S.á.r.l. | Line-rate packet filtering technique for general purpose operating systems |
| US10735453B2 (en) | 2013-11-13 | 2020-08-04 | Verizon Patent And Licensing Inc. | Network traffic filtering and routing for threat analysis |
| US9654445B2 (en) * | 2013-11-13 | 2017-05-16 | ProtectWise, Inc. | Network traffic filtering and routing for threat analysis |
| US9516049B2 (en) | 2013-11-13 | 2016-12-06 | ProtectWise, Inc. | Packet capture and network traffic replay |
| US11093617B2 (en) * | 2017-10-04 | 2021-08-17 | Servicenow, Inc. | Automated vulnerability grouping |
| US11388141B1 (en) * | 2018-03-28 | 2022-07-12 | Juniper Networks, Inc | Apparatus, system, and method for efficiently filtering packets at network devices |
| US11811627B2 (en) * | 2020-05-08 | 2023-11-07 | Juniper Network, Inc. | Network traffic monitoring based on content data |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070136809A1 (en) * | 2005-12-08 | 2007-06-14 | Kim Hwan K | Apparatus and method for blocking attack against Web application |
| US20080052774A1 (en) * | 2003-05-19 | 2008-02-28 | Radware Ltd. | Dynamic network protection |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5848233A (en) * | 1996-12-09 | 1998-12-08 | Sun Microsystems, Inc. | Method and apparatus for dynamic packet filter assignment |
| US7490235B2 (en) * | 2004-10-08 | 2009-02-10 | International Business Machines Corporation | Offline analysis of packets |
| US20070130619A1 (en) * | 2005-12-06 | 2007-06-07 | Sprint Communications Company L.P. | Distributed denial of service (DDoS) network-based detection |
-
2010
- 2010-01-15 TW TW099101019A patent/TWI492090B/zh not_active IP Right Cessation
- 2010-06-14 US US12/815,133 patent/US20110179479A1/en not_active Abandoned
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080052774A1 (en) * | 2003-05-19 | 2008-02-28 | Radware Ltd. | Dynamic network protection |
| US20070136809A1 (en) * | 2005-12-08 | 2007-06-14 | Kim Hwan K | Apparatus and method for blocking attack against Web application |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201124876A (en) | 2011-07-16 |
| US20110179479A1 (en) | 2011-07-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI492090B (zh) | 分散式阻斷攻擊防護系統及其方法 | |
| US7478429B2 (en) | Network overload detection and mitigation system and method | |
| US10097578B2 (en) | Anti-cyber hacking defense system | |
| EP2194677B1 (en) | Network monitoring device, network monitoring method, and network monitoring program | |
| TWI528761B (zh) | 網路訊務處理系統 | |
| US7624447B1 (en) | Using threshold lists for worm detection | |
| US8438639B2 (en) | Apparatus for detecting and filtering application layer DDoS attack of web service | |
| KR101424490B1 (ko) | 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법 | |
| RU2480937C2 (ru) | Система и способ уменьшения ложных срабатываний при определении сетевой атаки | |
| JP5826920B2 (ja) | 遮断サーバを用いたスプーフィング攻撃に対する防御方法 | |
| US10911473B2 (en) | Distributed denial-of-service attack detection and mitigation based on autonomous system number | |
| US20050182950A1 (en) | Network security system and method | |
| US9253153B2 (en) | Anti-cyber hacking defense system | |
| KR20110089179A (ko) | 네트워크 침입 방지 | |
| JP6599819B2 (ja) | パケット中継装置 | |
| JP2006506853A (ja) | 能動的ネットワーク防衛システム及び方法 | |
| US20140380457A1 (en) | Adjusting ddos protection | |
| KR100479202B1 (ko) | 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체 | |
| CN112202646B (zh) | 一种流量分析方法和系统 | |
| KR20110049282A (ko) | 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법 | |
| US8006303B1 (en) | System, method and program product for intrusion protection of a network | |
| JP4620070B2 (ja) | トラヒック制御システムおよびトラヒック制御方法 | |
| CN111641628B (zh) | 一种子网欺骗DDoS攻击监测预警方法 | |
| TWM504990U (zh) | 網路防護系統 | |
| KR100728446B1 (ko) | 하드웨어 기반의 침입방지장치, 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |