專利名稱:一種因特網(wǎng)服務提供者安全防護的實現(xiàn)方法
技術領域:
本發(fā)明涉及一種ISP的安全防護技術,尤指一種在出口路由器上對流入目的網(wǎng)絡的數(shù)據(jù)流進行實時監(jiān)控和處理���,能有效抵御ISP遭受流量攻擊的ISP安全防護方法����。
隨著因特網(wǎng)(Internet)的飛速發(fā)展與普及,網(wǎng)絡用戶越來越多��,于是��,Intenet服務提供者(ISP)應運而生�。ISP典型的組網(wǎng)結構如
圖1所示,在ISP局域網(wǎng)中�����,一般由交換機��、接入服務器和Web服務器組成���,交換機上行連至ISP出口路由器��;ISP出口路由器匯聚了接入服務器及各專線用戶的業(yè)務流���,通過ATM、POS或GE接口連至骨干IP網(wǎng)���。
在ISP網(wǎng)絡中����,主要包含的業(yè)務流為撥號用戶訪問本地Web服務器;拔號用戶訪問外部網(wǎng)絡��;專線用戶訪問本地Web服務器��;外部用戶訪問本地Web服務器����。于是,在對Web服務器訪問的過程中���,就夾雜著網(wǎng)絡黑客對ISP站點的攻擊����,他們采用各種手段攻擊ISP的站點��,導致ISP的系統(tǒng)被破壞�,甚至崩潰,使其無法為用戶提供服務��。
從目前全球ISP的運營情況來看�,ISP最常受到黑客攻擊的攻擊形式是流量攻擊。流量攻擊的方法非常簡單���,就是世界各地的多臺設備有組織地同時向目標機(某撥號用戶IP地址)發(fā)送干擾報文�����,產(chǎn)生巨大的數(shù)據(jù)流量��,導致ISP局域網(wǎng)繁忙���、接入服務器無法正常工作,采用的方式是分布式攻擊方法�。目前國內(nèi)部分ISP被攻擊的主要手段就是采用流量攻擊,黑客通過多臺設備向某撥號IP地址PING大報文����,導致ISP局域網(wǎng)繁忙,影響接入服務器的正常工作���,使正常撥號用戶上網(wǎng)極慢�����。
當然�,ISP除了受到上述流量攻擊以外,還會受到一些其他形式的攻擊���,如DOS����、竊聽報文與端口掃描��、IP地址欺騙��、源路由攻擊�、應用層攻擊等等。
針對上述黑客攻擊方式����,目前最常用的安全防護措施是在ISP的出口路由器上運用防火墻、地址轉(zhuǎn)換和流量控制(CAR)等技術�。雖然,對于諸如竊聽報文與端口掃描���、IP地址欺騙�����、源路由攻擊���、應用層攻擊等攻擊方式可通過現(xiàn)有的防火墻、地址轉(zhuǎn)換����、身份認證、數(shù)據(jù)加密等技術實施有效的控制��。但是��,對于流量攻擊這種主要的攻擊方式而言���,由于ISP的業(yè)務模式以及攻擊的分布式���、隨意性等特點,這些安全防護技術在實際應用中都存在著不同程度的問題1)防火墻�����,是在接口上應用存儲控制列表(ACL)來過濾報文��,可以解決訪問控制的問題��,但不具備流量控制能力。
2)地址轉(zhuǎn)換��,所謂地址轉(zhuǎn)換是指在報文發(fā)送到外部網(wǎng)前��,該用戶的私網(wǎng)地址先被出口路由器做轉(zhuǎn)換���,即將報文的(源地址-私網(wǎng)�、源端口)轉(zhuǎn)換為(源地址-公網(wǎng)��、源端口new)�,該路由器保留這個映射;當報文返回時�,再轉(zhuǎn)換回來。由于路由器保留的動態(tài)映射表可能很大��,一般采用HASH來查找�。
該方法主要解決內(nèi)部網(wǎng)信息隱匿和IP地址短缺的問題,但是���,在FTP�、SNMP����、SMTP等一些應用中�����,其報文的內(nèi)容中還包含地址信息�,所以僅僅轉(zhuǎn)換報文的源地址是沒有用的���,還需要轉(zhuǎn)換報文應用層中的地址信息,這對一些標準協(xié)議還容易做��,而對于一些私有協(xié)議就無法實現(xiàn)了�,因此使其支持的業(yè)務類型受到限制。而且該方法也無法實施流控�����。
3)流量控制�,CAR可以對特定的業(yè)務流實施流控,但其配置復雜����、效率低、擴展性差���,考慮到撥號用戶IP地址的動態(tài)分配����,其在實際中應用非常困難。
有鑒于此���,本發(fā)明的主要目的在于提供一種ISP安全防護的實現(xiàn)方法�,使其能更有效的抵御ISP所遭受到的流量攻擊�����,且實現(xiàn)起來簡單方便����、靈活可靠。
為達到上述目的���,本發(fā)明的技術方案具體是這樣實現(xiàn)的
一種因特網(wǎng)服務提供者(ISP)安全防護的實現(xiàn)方法��,該方法至少包括以下的步驟a.當ISP出口路由器中的ISP管理器(ISPKeeper)要向目的網(wǎng)絡轉(zhuǎn)發(fā)當前接收到的報文時���,首先通過HASH算法判斷該報文所屬的數(shù)據(jù)流是否為ISPKeeper中的已有記錄,如果是�����,則進入步驟c;否則���,進入步驟b���;b.如果所要轉(zhuǎn)發(fā)的報文屬于一個新的數(shù)據(jù)流,則匹配該報文所屬數(shù)據(jù)流的配置信息并判斷是否匹配成功�����,如果匹配成功�����,則將匹配所得到的該數(shù)據(jù)流的配置信息存儲記錄���;如果沒有匹配成功,則查找配置信息中是否定義了缺省值�����,如果有����,則將缺省的配置信息存儲記錄����,然后進入步驟c�����;如果沒有定義缺省值�,則由ISPKeeper將當前接收到的報文直接轉(zhuǎn)發(fā)給相應的目的網(wǎng)絡設備;c.檢測當前數(shù)據(jù)流流量是否滿足用戶配置的參數(shù)����,如果不滿足,則將當前收到的報文丟棄���,如果流量滿足要求�����,則繼續(xù)檢測總數(shù)據(jù)流量并判斷總配置參數(shù)是否正常��?如果不正常�����,則丟棄該報文���,否則����,如果正常�����,則由ISPKeeper將當前的報文轉(zhuǎn)發(fā)給相應的目的網(wǎng)絡設備���。
步驟a中所述的目的網(wǎng)絡為ISP局域網(wǎng)�、或城域網(wǎng)����、或廣域網(wǎng)���。步驟c中所述的用戶配置參數(shù)至少包括單個數(shù)據(jù)流的傳輸帶寬或平均速率����、突發(fā)長度�����。步驟c中所述的總配置參數(shù)至少包括數(shù)據(jù)流的總平均速率和總突發(fā)長度。所述的數(shù)據(jù)流為外部網(wǎng)絡訪問目的網(wǎng)絡中網(wǎng)絡設備的數(shù)據(jù)流�,或為撥號用戶上網(wǎng)返回的數(shù)據(jù)流。
步驟a中的匹配數(shù)據(jù)流的配置信息進一步包括以下步驟首先根據(jù)該報文所屬數(shù)據(jù)流的目的IP地址在配置信息中找到相應的IP地址段定義�,再按照地址段的定義找到該地址段的配置信息,并將該配置信息存儲記錄于數(shù)據(jù)流配置信息數(shù)組的相應位置���。
該方法還進一步包括以下步驟在初始化出口路由器時�,預先設置一個存儲數(shù)據(jù)流配置信息的數(shù)組�����。其中��,該數(shù)組大小為可容納所要識別的IP地址范圍內(nèi)所有數(shù)據(jù)流的數(shù)組�����,且數(shù)組的每個元素與一個目的IP地址一一對應����。
該方法還進一步包括以下的步驟在初始化出口路由器時,預先設定數(shù)據(jù)流的配置信息����。其中的配置信息至少包括數(shù)據(jù)流的起始IP地址�����、結束IP地址���、接口配置模式;每個數(shù)據(jù)流的傳輸帶寬或平均速率����、突發(fā)長度;以及總數(shù)據(jù)流的總平均流量�����、總突發(fā)長度�。
步驟a中所述的HASH算法是指依據(jù)數(shù)據(jù)流中每個報文目的IP地址中的后16位將該報文定位到數(shù)據(jù)流配置信息數(shù)組的相應元素位置。當按HASH算法將所收到的數(shù)據(jù)流報文定位到數(shù)據(jù)相應元素位置����,而此時該位置已有數(shù)據(jù)流配置信息時����,則在此位置建立一數(shù)據(jù)鏈表,按目的IP地址的前16位依序存儲對應的數(shù)據(jù)流配置信息�。
從上述實現(xiàn)方案可以看出��,本發(fā)明借助了防火墻�、地址轉(zhuǎn)換以及流量控制三種技術的實現(xiàn)思想�,如地址轉(zhuǎn)換中的HASH查找思想、CAR中的控制流量的思想��、防火墻中的報文匹配思想�,有效的結合在一起,并加以改進�,稱之為ISP管理器(ISPKeeper)。其關鍵在于將ISPKeeper放置于出口路由器上�����,對進入目的網(wǎng)絡的數(shù)據(jù)流的流量進行實時分析和監(jiān)控����,ISPKeeper用HASH算法自動識別記錄每個數(shù)據(jù)流,并根據(jù)預先設定的配置信息檢測每個數(shù)據(jù)流和總數(shù)據(jù)流的流量是否正常����,如果不正常就丟棄報文,正常時才發(fā)送給相應的Web服務器或其它網(wǎng)絡設備�。當收到的數(shù)據(jù)流報文屬于一新數(shù)據(jù)流時,要先匹配該報文,并記錄該數(shù)據(jù)流的配置信息���,然后再做處理�,而該數(shù)據(jù)流的其它報文不需再匹配�。
由此可見,本發(fā)明所提供的ISP安全防護的實現(xiàn)方法���,將防火墻�����、地址轉(zhuǎn)換和流量控制三種技術相結合�,使其能夠更有效的防止黑客的攻擊�,實現(xiàn)ISP的安全防護。請參見表一所示�����,表一對本發(fā)明的方法與目前通用的三種安全防護方法做出了一個全面的比較�����,可以看出�,本發(fā)明具有更強的防護能力、更簡單靈活的識別方法�����。
表一 幾種安全防護的比較下面配合附圖對本發(fā)明的詳細技術內(nèi)容作進一步的說明如下圖1為ISP典型的組網(wǎng)結構示意圖��;圖2為ISP受到的典型攻擊形式示意圖�;圖3為流入ISP局域網(wǎng)的業(yè)務流分析圖;圖4為本發(fā)明方法實現(xiàn)的流程圖����;圖5為本發(fā)明一實施例組網(wǎng)結構示意圖;圖6為本發(fā)明另一實施例組網(wǎng)結構示意圖����。
防止黑客對ISP攻擊的關鍵是要對進入ISP的數(shù)據(jù)流的來源和流量進行實時監(jiān)控和及時處理,通過有效的手段濾去非正常的數(shù)據(jù)��,以保證正常用戶的上網(wǎng)需求�����。參見圖2所示���,流入ISP局域網(wǎng)的業(yè)務流大體分為兩類1)用戶上網(wǎng)返回的數(shù)據(jù)流��。該數(shù)據(jù)流以目的IP地址來區(qū)分�,每個數(shù)據(jù)流占用一定的帶寬,如上網(wǎng)用戶平均速率最多128K�,數(shù)據(jù)流個數(shù)可控、可配置����;2)訪問Web服務器的數(shù)據(jù)流。該數(shù)據(jù)流的目的IP地址屬于特定地址段�����,如10.110.1.0/0.0.0.255�����,用IP五元組(源地址���、目的地址��、協(xié)議類型�、源端口��、目的端口)來區(qū)分��,這些數(shù)據(jù)流占用的總帶寬可控、可配置�����,數(shù)據(jù)流個數(shù)可控����、可配置��。
上面所述的可控����、可配置是指可以通過配置參數(shù)來預先設置其合理的范圍,即設置一閾值��,超出該值則認為不合理����,應該禁掉。舉個例子來說對于PSTN或ISDN上網(wǎng)返回的數(shù)據(jù)流���,其平均流量應為128kbps����,那么,如果流量超過128kbps就認為是不合理的�、應該禁掉?��?捎梢韵抡Z句具體實現(xiàn)
ispkeeper-group 10 single 128000 16000該命令確保每一個數(shù)據(jù)流的平均流量和突發(fā)長度為固定值����,即設定每個單獨的數(shù)據(jù)流的平均流量最高為128Kbps���,而突發(fā)長度最多為16Kbyte��。至于本發(fā)明方法在實際應用時的具體配置���,主要取決于ISP所選用的流量模型,各個參數(shù)的取值本身沒有什么限制���。
為了實現(xiàn)本發(fā)明對所收到的數(shù)據(jù)流進行判斷處理�,首先要在出口路由器上預先對每個數(shù)據(jù)流的帶寬或平均速率�����、突發(fā)長度�����,以及總數(shù)據(jù)流的平均流量和突發(fā)長度等參數(shù)的合理范圍進行配置。
比如設置從外部流入ISP局域網(wǎng)內(nèi)的��、目的IP地址為10.110.1.*的數(shù)據(jù)流���,即外部訪問Web服務器、FTP服務器等的數(shù)據(jù)流�,其占用ISP局域網(wǎng)的帶寬或平均速率最多為5M、突發(fā)數(shù)據(jù)量為800K字節(jié)�����,數(shù)據(jù)流總數(shù)為1000個�����。同時設置其它從外部流入ISP局域網(wǎng)內(nèi)的數(shù)據(jù)流����,即用戶上網(wǎng)返回的數(shù)據(jù)流,每個最多只能占用局域網(wǎng)128K的帶寬(平均速率)���、突發(fā)數(shù)據(jù)量為8K字節(jié)���,數(shù)據(jù)流總數(shù)為20000個��?����?捎梢韵抡Z句具體實現(xiàn)上述配置interface eth 1/0/0ispkeeper 10.110.1.0 0.0.0.255 5000000 800000 1000ispkeeper default 131012 8000 20000其次�����,還要在出口路由器上預先生成一個足以容納下所有要識別的IP地址范圍內(nèi)數(shù)據(jù)流信息的數(shù)據(jù)流配置信息數(shù)組����,該數(shù)組的每個元素與一個IP地址一一對應����,用于存儲不同目的IP地址數(shù)據(jù)流的配置信息。比如要識別����、記錄目的地址在10.110.0.0~10.110.255.255范圍中的每一個數(shù)據(jù)流,則先生成一個有65536個元素的數(shù)組���,每個數(shù)組元素對應一個IP地址�����。收到一個報文后����,直接根據(jù)該報文目的地址的后16位定位到數(shù)據(jù)流配置信息數(shù)組的相應元素,記錄該數(shù)據(jù)流的相關信息���。在實際操作過程中�,對于每個收到的數(shù)據(jù)流���,用HASH算法查找數(shù)組中是否已有該記錄,如果有直接定位讀取其信息���,如果沒有�,則用第一個報文目的IP地址定位�����,然后匹配并記錄配置信息���。如果該報文定位到對應位置時發(fā)現(xiàn)該位置已經(jīng)有一個數(shù)據(jù)流的記錄�����,則在該位置建立一個數(shù)據(jù)鏈表��,按目的IP地址的前16位依序記錄每個數(shù)據(jù)流的配置信息�����,該數(shù)據(jù)流后面的報文無需再匹配����,不象防火墻方式那樣對每一個報文都需要匹配。非常簡便����,效率非常高。
本發(fā)明方法的根本思想是對于由給定的起始地址和結束地址所構成的一個地址段�,通過對到達地址段中所有地址的總數(shù)據(jù)流平均速率和總突發(fā)長度的配置以及對到地址段中單個IP地址即單個數(shù)據(jù)流的平均速率及突發(fā)長度的配置,利用令牌桶(Token Bucket)算法進行流量的控制�����。所謂Token Bucket算法是指設定一個漏桶���,給定該漏桶流出的速率(即配置給定的數(shù)據(jù)流平均速率)���,及漏桶桶長(即突發(fā)長度)���,某一時刻來了一個數(shù)據(jù)流,如果該數(shù)據(jù)流長度比漏桶桶長大����,表明漏桶將會溢出,則此數(shù)據(jù)流要丟棄����,否則,根據(jù)上一次數(shù)據(jù)到達的時間和本次的時間間隔���,計算漏桶流出的長度��,得到漏桶實際空出的長度,如果數(shù)據(jù)流的長度比漏桶實際空出的長度大�����,則也表明漏桶將會溢出�����,則此數(shù)據(jù)流要丟棄,如果數(shù)據(jù)流的長度比漏桶實際空出的長度小����,則數(shù)據(jù)流放入漏桶,等待處理�����。
針對上面對ISP業(yè)務流結構的分析���,同時配合圖4所示���,本發(fā)明方法的具體實現(xiàn)至少包括以下的步驟1)當ISPKeeper要向ISP局域網(wǎng)轉(zhuǎn)發(fā)一個接收到的報文時,首先通過HASH算法判斷該報文所屬的數(shù)據(jù)流是否屬于ISPKeeper的已有記錄��,也就是按照目的IP地址的后16位到存儲數(shù)據(jù)流配置信息數(shù)組的相應位置查找是否已有該IP地址數(shù)據(jù)流的配置參數(shù)和統(tǒng)計信息���?如果有����,則進入步驟3)���;否則��,進入步驟2)����。
2)如果所要轉(zhuǎn)發(fā)的報文屬于一個新的數(shù)據(jù)流,即當前報文所屬的數(shù)據(jù)流在存儲數(shù)據(jù)流配置信息數(shù)組的相應位置沒有存儲任何信息�,則按照其IP地址段信息先找到相應的IP地址段定義,再按照地址段的定義找到該地址段的配置信息進行匹配�,并判斷是否匹配成功?如果匹配成功���,則將匹配后得到的該IP地址段數(shù)據(jù)流的配置參數(shù)和統(tǒng)計信息存儲到數(shù)據(jù)流配置信息數(shù)組的相應位置��。如果此時該位置已有一數(shù)據(jù)流數(shù)據(jù)�,而該數(shù)據(jù)流的IP地址與當前數(shù)據(jù)流地址只在后16位相同����,則用目的IP地址的前16位依序在該位置建立一鏈表存儲數(shù)據(jù)流信息。如果沒有匹配成功���,即在配置信息中沒有找到該IP地址段的定義,則查找配置信息中是否定義了缺省值�,如果有��,則將缺省的配置信息放置到數(shù)據(jù)流配置信息數(shù)組的相應位置��,而后進入步驟3)�;如果沒有�����,則由ISPKeeper將當前的報文轉(zhuǎn)發(fā)給相應的目的網(wǎng)絡設備����。
3)利用Token Bucket算法檢測當前數(shù)據(jù)流流量是否滿足用戶配置的參數(shù)(單個平均速率、單個突發(fā)長度)�,如果不滿足要求,將該報文丟棄�,如果流量滿足要求,繼續(xù)檢測總數(shù)據(jù)流�����,即根據(jù)該數(shù)據(jù)流所屬的地址段���,對該地址段中所有地址的數(shù)據(jù)流求總和���,根據(jù)接口配置模式下配置到指定地址段的數(shù)據(jù)流的配置參數(shù)一總平均速率和總突發(fā)長度由Token Bucket算法檢測總流量是否正常���?如果不滿足要求,則丟棄該報文�,否則,如果滿足則由ISPKeeper將當前的報文轉(zhuǎn)發(fā)給相應的目的網(wǎng)絡設備�。
采用上述方法對單個ISP實施安全防護時,如圖5所示����,其中,訪問該ISP局域網(wǎng)的數(shù)據(jù)流的IP地址段為10.111.*.*��,訪問該ISP撥號用戶的數(shù)據(jù)流的IP地址段為10.110.*.*����。為了對圖中ISP實施保護,首先在ISP出口路由器上創(chuàng)建一個有65535個元素的數(shù)組����,同時,在ISP出口路由器上做如下配置Ispkeeper-list 1 10.111.0.0 10.111.255.255/*該命令確定了訪問ISP局域網(wǎng)的數(shù)據(jù)流*/interface eth I/0/0/*進入與ISP局域網(wǎng)相連的以太網(wǎng)接口配置模式*/Ispkeeper-group 1 total 5000000 80000/*該命令將訪問ISP局域網(wǎng)的數(shù)據(jù)流的總的平均流量設置為5Mbps�、突發(fā)長度設置為80Kbyte*/ispkeeper-default single 128000 8000/*該命令將其余的訪問拔號用戶的數(shù)據(jù)流的每一個數(shù)據(jù)流的平均流量設置為128Kbps、突發(fā)長度設置為8Kbyte*/上述配置給出了單個數(shù)據(jù)流平均流量的上限��,以及總數(shù)據(jù)流的平均流量��。如此�,當ISP收到一數(shù)據(jù)流報文后,先按HASH算法在數(shù)據(jù)流配置信息數(shù)組中查找是否已有該數(shù)據(jù)流的記錄���,如果有���,就檢測該數(shù)據(jù)流的平均流量是否小于等于128K,且檢測其總數(shù)據(jù)流的流量是否在5Mbps之內(nèi)��,如果是才傳送該報文給目的網(wǎng)絡設備�����,否則丟棄該報文����。如果數(shù)組中沒有此記錄,則根據(jù)上述配置匹配該報文����,并將相應的配置信息記錄在數(shù)組中,然后再根據(jù)流量決定傳送或丟棄報文����。
本發(fā)明的方法不僅可針對一個ISP局域網(wǎng)����,還可對一個城域網(wǎng)或廣域網(wǎng)中的多個ISP實施安全防護��。以某省網(wǎng)的組網(wǎng)結構為例���,該省網(wǎng)由多個ISP構成���,其組網(wǎng)結構如圖6所示。其實施安全防護的工作原理與實現(xiàn)過程與單個ISP完全相同����,只是預先的配置設定不太相同,要分別對多個ISP中的每個ISP涉及的數(shù)據(jù)流IP地址段和參數(shù)進行設定����,并在流量判斷時根據(jù)不同的IP地址段數(shù)據(jù)流對應的配置信息進行檢測。圖6中多個ISP具體的配置設定可由如下語句實現(xiàn)Ispkeeper-list 10 10.110.0.0 10.110.255.255/*該命令確定了訪問ISP1����,即IP地址段為10.110.*.*的撥號用戶數(shù)據(jù)流*/Ispkeeper-list 11 10.111.0.0 10.111.255.255/*該命令確定了訪問ISP1,即IP地址段為10.111.*.*的局域網(wǎng)數(shù)據(jù)流*/Ispkeeper-list 20 20.110.0.0 20.110.255.255/*該命令確定了訪問ISP2�,即IP地址段為20.110.*.*的撥號用戶數(shù)據(jù)流*/
lspkeeper-list 21 20.111.0.0 20.111.255.255/*該命令確定了訪問ISP2,即IP地址段為20.111.*.*的局域網(wǎng)數(shù)據(jù)流*/interface atm 1/0/0/*進入與省內(nèi)部網(wǎng)相連的ATM接口配置模式*/Ispkeeper-group 11 total 5000000 80000/*該命令將訪問ISP1局域網(wǎng)的數(shù)據(jù)流的總的平均流量設置為5Mbps、突發(fā)長度設置為80Kbyte*/Ispkeeper-group 10 single 128000 8000/*該命令將訪問ISP1撥號用戶的數(shù)據(jù)流的每一個數(shù)據(jù)流的平均流量設置為128Kbps��、突發(fā)長度設置為8Kbyte*/Ispkeeper-group 21 total 5000000 80000/*該命令將訪問ISP2局域網(wǎng)的數(shù)據(jù)流的總的平均流量設置為5Mbps���、突發(fā)長度設置為80Kbyte*/Ispkeeper-group 20 single 128000 8000/*該命令將訪問ISP2撥號用戶的數(shù)據(jù)流的每一個數(shù)據(jù)流的平均流量設置為128Kbps��、突發(fā)長度設置為8Kbyte*/本發(fā)明在數(shù)據(jù)維護,也就是對數(shù)據(jù)流配置信息數(shù)組進行老化處理方面���,是由系統(tǒng)定期檢測各個用戶數(shù)據(jù)流�����,主要有兩種方式(1)定時處理����。在給定時間間隔內(nèi)���,檢測各個用戶數(shù)據(jù)流���,如果平均流量超過配置時給定的平均流量上限時,即出現(xiàn)了異常(有大的數(shù)據(jù)流)時��,需要通過Syslog輸出告警信息。
(2)包驅(qū)動��,不可配置的自動檢測�����。其又分為兩種情況一種為每隔15分鐘檢測用戶數(shù)據(jù)流����,如果某一用戶長時間無數(shù)據(jù)到達,表明該數(shù)據(jù)流處于空閑狀態(tài)�,則清除該用戶數(shù)據(jù)流信息,另一種為對某一數(shù)據(jù)流����,如果在配置項中找不到匹配的流量參數(shù),則直接清除該數(shù)據(jù)流的信息��。
本發(fā)明的方法ISPKeeper主要采用了Token Bucket及Hash等技術�,沿用了地址轉(zhuǎn)換簡易的配置風格,配置簡單��、靈活����,運行高效���,并提供豐富的統(tǒng)計信息及日志信息。通過在ISP出口路由器與ISP局域網(wǎng)相連的接口上��,或ISP出口路由器與骨干IP網(wǎng)相連的接口上配置ISPKeeper���,可很好地抵御黑客對ISP進行的流量攻擊�����。
本發(fā)明在充分考慮到ISP的組網(wǎng)結構、業(yè)務模式及黑客攻擊特點的基礎上�,將現(xiàn)有的防火墻、地址轉(zhuǎn)換及CAR等技術有效地結合在一起�����,互補其不足之處���,從而更有效地抵御ISP所遭受的流量攻擊�。
權利要求
1.一種因特網(wǎng)服務提供者(ISP)安全防護的實現(xiàn)方法�����,其特征在于該方法至少包括以下的步驟a.當ISP出口路由器中的ISP管理器(ISPKeeper)要向目的網(wǎng)絡轉(zhuǎn)發(fā)當前接收到的報文時,首先通過HASH算法判斷該報文所屬的數(shù)據(jù)流是否為ISPKeeper中的已有記錄�����,如果是��,則進入步驟c����;否則,進入步驟b�����;b.如果所要轉(zhuǎn)發(fā)的報文屬于一個新的數(shù)據(jù)流�����,則匹配該報文所屬數(shù)據(jù)流的配置信息并判斷是否匹配成功�,如果匹配成功,則將匹配所得到的該數(shù)據(jù)流的配置信息存儲記錄�����;如果沒有匹配成功�����,則查找配置信息中是否定義了缺省值,如果有���,則將缺省的配置信息存儲記錄�,然后進入步驟c����;如果沒有定義缺省值,則由ISPKeeper將當前接收到的報文直接轉(zhuǎn)發(fā)給相應的目的網(wǎng)絡設備�����;c.檢測當前數(shù)據(jù)流流量是否滿足用戶配置的參數(shù)���,如果不滿足,則將當前收到的報文丟棄��,如果流量滿足要求�����,則繼續(xù)檢測總數(shù)據(jù)流量并判斷總配置參數(shù)是否正常��?如果不正常,則丟棄該報文����,否則,如果正常���,則由ISPKeeper將當前的報文轉(zhuǎn)發(fā)給相應的目的網(wǎng)絡設備����。
2.根據(jù)權利要求1所述的實現(xiàn)方法�����,其特征在于步驟a中所述的目的網(wǎng)絡為ISP局域網(wǎng)�����、或城域網(wǎng)����、或廣域網(wǎng)。
3.根據(jù)權利要求1所述的實現(xiàn)方法����,其特征在于所述的數(shù)據(jù)流為外部網(wǎng)絡訪問目的網(wǎng)絡中網(wǎng)絡設備的數(shù)據(jù)流�����,或為撥號用戶上網(wǎng)返回的數(shù)據(jù)流���。
4.根據(jù)權利要求1所述的實現(xiàn)方法,其特征在于步驟a中的匹配數(shù)據(jù)流的配置信息進一步包括以下步驟首先根據(jù)該報文所屬數(shù)據(jù)流的目的IP地址在配置信息中找到相應的IP地址段定義�����,再按照地址段的定義找到該地址段的配置信息�,并將該配置信息存儲記錄于數(shù)據(jù)流配置信息數(shù)組的相應位置。
5.根據(jù)權利要求1所述的實現(xiàn)方法���,其特征在于該方法還進一步包括以下步驟在初始化出口路由器時���,預先設置一個存儲數(shù)據(jù)流配置信息的數(shù)組。
6.根據(jù)權利要求5所述的實現(xiàn)方法�����,其特征在于所述的數(shù)組大小為可容納所要識別的IP地址范圍內(nèi)所有數(shù)據(jù)流的數(shù)組�,且數(shù)組的每個元素與一個目的IP地址一一對應��。
7.根據(jù)權利要求1所述的實現(xiàn)方法,其特征在于該方法還進一步包括以下的步驟在初始化出口路由器時�,預先設定數(shù)據(jù)流的配置信息。
8.根據(jù)權利要求1或4或7所述的實現(xiàn)方法�����,其特征在于所述的配置信息至少包括數(shù)據(jù)流的起始IP地址�����、結束IP地址���、接口配置模式�����;每個數(shù)據(jù)流的傳輸帶寬或平均速率�����、突發(fā)長度���;以及總數(shù)據(jù)流的總平均流量、總突發(fā)長度�。
9.根據(jù)權利要求1所述的實現(xiàn)方法����,其特征在于步驟a中所述的HASH算法是指依據(jù)數(shù)據(jù)流中每個報文目的IP地址中的后16位將該報文定位到數(shù)據(jù)流配置信息數(shù)組的相應元素位置��。
10.根據(jù)權利要求9所述的實現(xiàn)方法�,其特征在于該方法還可進一步包括以下步驟當按HASH算法將所收到的數(shù)據(jù)流報文定位到數(shù)據(jù)相應元素位置,而此時該位置已有數(shù)據(jù)流配置信息時����,則在此位置建立一數(shù)據(jù)鏈表,按目的IP地址的前16位依序存儲對應的數(shù)據(jù)流配置信息����。
11.根據(jù)權利要求1所述的實現(xiàn)方法,其特征在于步驟c中所述的用戶配置參數(shù)至少包括單個數(shù)據(jù)流的傳輸帶寬或平均速率��、突發(fā)長度�。
12.根據(jù)權利要求1所述的實現(xiàn)方法,其特征在于步驟c中所述的總配置參數(shù)至少包括數(shù)據(jù)流的總平均速率和總突發(fā)長度���。
全文摘要
本發(fā)明公開了一種因特網(wǎng)服務提供者(ISP)安全防護的實現(xiàn)方法�����,該方法是由ISP出口路由器上的ISP管理器(ISPKeeper)對外部流入ISP局域網(wǎng)的數(shù)據(jù)流進行實時監(jiān)控與處理�����,自動識別記錄每個數(shù)據(jù)流�����,并根據(jù)配置信息判斷當前數(shù)據(jù)流的流量以及數(shù)據(jù)流的總流量是否正常�,如果正常�����,則將所收到的報文轉(zhuǎn)發(fā)給相應的網(wǎng)絡設備��,否則丟棄當前報文�����。使用該方法可有效地抵御黑客對ISP進行的流量攻擊��,并可提高ISP服務的可靠性���。
文檔編號H04L12/26GK1394041SQ01118868
公開日2003年1月29日 申請日期2001年6月26日 優(yōu)先權日2001年6月26日
發(fā)明者薛國鋒 申請人:華為技術有限公司