專利名稱:基于主動(dòng)網(wǎng)回溯技術(shù)防御拒絕服務(wù)攻擊的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種防御拒絕服務(wù)攻擊的方法��,特別是一種基于主動(dòng)網(wǎng)回溯技術(shù)防御拒絕服務(wù)攻擊的方法。屬于信息安全技術(shù)領(lǐng)域��。
背景技術(shù):
拒絕服務(wù)攻擊(DoS)在極短的時(shí)間內(nèi)向被攻擊主機(jī)或其它網(wǎng)絡(luò)設(shè)備發(fā)送大量的服務(wù)請(qǐng)求��,使目標(biāo)主機(jī)的連接列表溢出����,從而使目標(biāo)主機(jī)無法正常響應(yīng)其它合法的服務(wù)請(qǐng)求。目前國(guó)際上基于回溯的防御拒絕服務(wù)攻擊方法有許多種��,包括進(jìn)入除錯(cuò)�����,受控攻擊�,以及邊界采用的IP標(biāo)記等(Stefan Savage,David Wetherall����,Anna Karlinand Tom AndersonPractical Network Support for IP Traceback.SIGCOMM2000SwedenACM,2000.295~300)�����,(支持IP回溯的實(shí)現(xiàn)網(wǎng)絡(luò)模型�,SIGCOMM ACM 2000年度國(guó)際會(huì)議,295-300頁)這些方法的原理都是被攻擊主機(jī)不斷檢測(cè)其上游鏈路,直到找到攜帶攻擊包的那個(gè)鏈路�,然后進(jìn)行回溯,在攜帶攻擊包的那個(gè)鏈路重復(fù)上述過程��,最后跟蹤到攻擊源���,或者在最靠近攻擊源的節(jié)點(diǎn)處建立防護(hù)��。這些方法雖然采用的回溯算法各有不同�,但都存在一定的問題����。例如,進(jìn)入除錯(cuò)方法中��,被攻擊主機(jī)必須和網(wǎng)絡(luò)管理員聯(lián)系會(huì)耗費(fèi)很大的時(shí)間和精力�,而且該方法只在攻擊發(fā)生時(shí)起作用;受控攻擊方法本身就是一個(gè)拒絕服務(wù)攻擊���,而且需要確切知道網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)���,同時(shí)���,對(duì)防止分布式拒絕服務(wù)攻擊也收效甚微�����;而邊界采用的IP標(biāo)記方法給正在傳輸?shù)陌郊恿祟~外信息�,加大了傳輸包負(fù)荷,代價(jià)昂貴���,而且包中未必有足夠的空間留給這些信息����,信息有可能丟失����。
發(fā)明內(nèi)容
本發(fā)明的目的在于針對(duì)現(xiàn)有技術(shù)的不足,提出一種基于主動(dòng)網(wǎng)回溯技術(shù)防御拒絕服務(wù)攻擊的方法�,使得網(wǎng)絡(luò)中的節(jié)點(diǎn)能夠有效的判別、防御拒絕服務(wù)攻擊���,動(dòng)態(tài)重建攻擊鏈路�,確定攻擊源�����,同時(shí)保證數(shù)據(jù)包在網(wǎng)絡(luò)傳輸過程中的效率和完整性。
本發(fā)明是通過以下技術(shù)方案實(shí)現(xiàn)的�,本發(fā)明基于主動(dòng)網(wǎng)技術(shù)中的動(dòng)態(tài)分配機(jī)制,結(jié)合回溯方法���,在被攻擊服務(wù)器和各個(gè)網(wǎng)絡(luò)中間節(jié)點(diǎn)建立主動(dòng)回溯系統(tǒng)�����,首先進(jìn)行節(jié)點(diǎn)預(yù)判斷�,然后執(zhí)行判斷攻擊算法�����,判斷包頭內(nèi)的目的節(jié)點(diǎn)以及其他信息��,再進(jìn)行防御回溯��,有效的跟蹤攻擊源����,實(shí)現(xiàn)對(duì)攻擊源的消除,最終達(dá)到消除拒絕服務(wù)攻擊的目的�����。
以下對(duì)本發(fā)明方法作進(jìn)一步說明����,具體內(nèi)容如下1、節(jié)點(diǎn)預(yù)判斷節(jié)點(diǎn)收到SYN包后首先執(zhí)行預(yù)判斷�,如果滿足標(biāo)志,就開始執(zhí)行下一步判斷攻擊�����,這里的標(biāo)志設(shè)置如下lsync>Llsync是SYN包接受速率�����,L是其閾值��,采取動(dòng)態(tài)設(shè)置�����,等于上一次攻擊發(fā)生時(shí)攻擊包發(fā)送的平均速率���。如果不滿足該標(biāo)志�����,則直接轉(zhuǎn)發(fā)包�����。
預(yù)判斷方法的提出解決了本發(fā)明中安全和效率的統(tǒng)一問題����。
2、判斷攻擊在被攻擊服務(wù)器端�����,服務(wù)器根據(jù)預(yù)先設(shè)定的閾值N確定是否受到攻擊�,如果在一個(gè)很短的時(shí)間內(nèi),收到的SYN包超過這一閾值則判定為攻擊����。具體實(shí)現(xiàn)如下如果接收到N個(gè)包的時(shí)間小于閾值T,返回值為真���。
而在中間節(jié)點(diǎn)���,判斷攻擊算法有所不同。中間節(jié)點(diǎn)判斷攻擊主要執(zhí)行check-cap算法,已經(jīng)建立的防御系統(tǒng)提取包中目的節(jié)點(diǎn)地址���,如果該地址不屬于防御系統(tǒng)的過濾列表���,則轉(zhuǎn)發(fā)包�����;如果該地址屬于防御系統(tǒng)過濾列表��,則以該包攜帶的源地址為目的地址反向進(jìn)行查找�,如果下一跳存在,或者等于包中攜帶的前一節(jié)點(diǎn)地址��,則轉(zhuǎn)發(fā)包�,否則證明是攻擊包。
本發(fā)明中首次采用了Chech-cap算法����,結(jié)合主動(dòng)代碼分配機(jī)制,能有效的在中間節(jié)點(diǎn)進(jìn)行攻擊判斷��。
3���、防御回溯當(dāng)在某個(gè)節(jié)點(diǎn)發(fā)現(xiàn)攻擊以后�,一方面在該節(jié)點(diǎn)建立防御系統(tǒng)防御,另一方面����,根據(jù)包頭攜帶的前一節(jié)點(diǎn)地址,向路由中該節(jié)點(diǎn)的前一節(jié)點(diǎn)發(fā)送防御包���。如果前一節(jié)點(diǎn)已經(jīng)存在防御系統(tǒng)�����,則把包中攜帶的受攻擊服務(wù)器地址加入防御系統(tǒng)列表�;如果前一節(jié)點(diǎn)沒有建立防御系統(tǒng)�����,根據(jù)主動(dòng)防御包建立防御��。
防御回溯過程原創(chuàng)性的采用主動(dòng)代碼動(dòng)態(tài)分配機(jī)制��,能夠很好的保證中間節(jié)點(diǎn)判斷攻擊算法的準(zhǔn)確性和高效率�。
本發(fā)明具有以下優(yōu)點(diǎn)(1)與主動(dòng)網(wǎng)技術(shù)相結(jié)合,網(wǎng)絡(luò)節(jié)點(diǎn)可以方便的配置防御系統(tǒng)��,并且不需要網(wǎng)絡(luò)中其他節(jié)點(diǎn)的配合,提高了網(wǎng)絡(luò)性能�,減少了節(jié)點(diǎn)間的相互影響,充分利用主動(dòng)網(wǎng)的代碼分配機(jī)制����,避免了隨包發(fā)送超負(fù)荷的代碼,影響網(wǎng)絡(luò)的性能�����。(2)相對(duì)比較輕便����,并且只有在發(fā)生攻擊的時(shí)候發(fā)生作用�����,對(duì)整個(gè)網(wǎng)絡(luò)的影響比較小�。(3)雖然本發(fā)明需要在發(fā)生攻擊的時(shí)候起作用,但是每啟動(dòng)一次本發(fā)明���,就在更遠(yuǎn)離被攻擊主機(jī)的節(jié)點(diǎn)建立一個(gè)防護(hù)程序����,即使下一次再發(fā)生攻擊,這些防護(hù)程序也可以起作用�。
圖1本發(fā)明在模擬網(wǎng)絡(luò)中的配置示意2本發(fā)明模擬網(wǎng)絡(luò)中節(jié)點(diǎn)處理包的流程3本發(fā)明模擬網(wǎng)絡(luò)中節(jié)點(diǎn)check-cap算法流程圖具體實(shí)施方式
為更好地理解本發(fā)明的技術(shù)方案,以下結(jié)合附圖及實(shí)施例作進(jìn)一步描述����。
如圖1所示,試驗(yàn)網(wǎng)絡(luò)中配置一臺(tái)攻擊服務(wù)器A用于發(fā)送大量攻擊包���,中間路由器Ri都是配置ACTB系統(tǒng)的主動(dòng)節(jié)點(diǎn)����,服務(wù)器D配置ACTB系統(tǒng)�,而E是普通的服務(wù)器,F(xiàn)作為代碼服務(wù)器�����,為中間節(jié)點(diǎn)的請(qǐng)求提供代碼裝載�。
如圖2,3所示����,當(dāng)包到達(dá)節(jié)點(diǎn)以后,首先執(zhí)行節(jié)點(diǎn)預(yù)判斷算法�,如果通過則轉(zhuǎn)發(fā)包��,否則檢查節(jié)點(diǎn)是否已經(jīng)建立防御系統(tǒng)�����,如果沒有�,則轉(zhuǎn)發(fā)包�����;如果已經(jīng)有防御系統(tǒng)提取包中目的節(jié)點(diǎn)地址��,如果該地址不屬于防御系統(tǒng)的過濾列表�����,則轉(zhuǎn)發(fā)包�����;如果該地址屬于防御系統(tǒng)過濾列表����,則以該包攜帶的源地址為目的地址反向進(jìn)行查找����,如果下一跳不存在��,或者不等于包中攜帶的前一節(jié)點(diǎn)地址���,證明是攻擊包;否則轉(zhuǎn)發(fā)包��。
如果確定是攻擊包����,則建立防護(hù),向后一節(jié)點(diǎn)或者代碼服務(wù)器請(qǐng)求防御代碼���,隨后向前一點(diǎn)發(fā)送主動(dòng)防御包����。而在被攻擊服務(wù)器端��,服務(wù)器受到釋放包以后才解除防御��,之前丟棄所有接受的包���。
以下結(jié)合本發(fā)明方法的內(nèi)容提供實(shí)施例實(shí)施例采用的模型由一臺(tái)攻擊服務(wù)器���,一臺(tái)客戶服務(wù)器��,三臺(tái)配置ACTB系統(tǒng)的中間路由器以及一臺(tái)被攻擊服務(wù)器組成�����。首先客戶服務(wù)器向被攻擊服務(wù)器發(fā)送正常的包��,發(fā)送包的間隔是10ms���,客戶端隨即顯示收到的SYN ACK包,被攻擊服務(wù)器收到ACK確認(rèn)���,表明網(wǎng)絡(luò)正常����。隨即啟動(dòng)攻擊服務(wù)器��,不間歇的發(fā)送攻擊包����,大量攻擊包隨即淹沒了正常包的傳輸�,客戶服務(wù)端也無法收到正常的SYN ACK確認(rèn)��。服務(wù)器端執(zhí)行判斷算法�����,在設(shè)定的時(shí)間閾值100ms內(nèi)收到的SYN包數(shù)量超過閾值35��,證明攻擊發(fā)生�����。隨即啟動(dòng)防御系統(tǒng)�。
三個(gè)中間節(jié)點(diǎn)通過執(zhí)行判斷攻擊算法���,先后判別攻擊�����,執(zhí)行防御����。最后的執(zhí)行效果發(fā)現(xiàn)��,實(shí)驗(yàn)網(wǎng)絡(luò)中配置本發(fā)明以后��,節(jié)點(diǎn)能夠明顯的實(shí)現(xiàn)對(duì)DoS攻擊的防御。防御前���,節(jié)點(diǎn)收?qǐng)?bào)數(shù)量比較多����,而且有尖峰現(xiàn)象�,而防御后,節(jié)點(diǎn)收包數(shù)量非常平穩(wěn)����。
權(quán)利要求
1.一種基于主動(dòng)網(wǎng)回溯技術(shù)防御拒絕服務(wù)攻擊的方法,其特征在于�,基于主動(dòng)網(wǎng)技術(shù)中的動(dòng)態(tài)分配機(jī)制,結(jié)合回溯方法���,在被攻擊服務(wù)器和各個(gè)網(wǎng)絡(luò)中間節(jié)點(diǎn)建立主動(dòng)回溯系統(tǒng)��,首先進(jìn)行節(jié)點(diǎn)預(yù)判斷�����,然后執(zhí)行判斷攻擊算法,判斷包頭內(nèi)的目的節(jié)點(diǎn)以及其他信息����,再進(jìn)行防御回溯���,跟蹤并消除攻擊源,最終達(dá)到消除拒絕服務(wù)攻擊的目的�。
2.根據(jù)權(quán)利要求1所述的基于主動(dòng)網(wǎng)回溯技術(shù)防御拒絕服務(wù)攻擊的方法,其特征是����,所述的節(jié)點(diǎn)預(yù)判斷,具體如下節(jié)點(diǎn)收到SYN包后首先執(zhí)行預(yù)判斷���,如果滿足lsync>L標(biāo)志���,就開始執(zhí)行下一步判斷攻擊,否則直接轉(zhuǎn)發(fā)包�����,其中l(wèi)sync是SYN包接受速率��,L是其閾值��,采取動(dòng)態(tài)設(shè)置,等于上一次攻擊發(fā)生時(shí)攻擊包發(fā)送的平均速率���。
3.根據(jù)權(quán)利要求1所述的基于主動(dòng)網(wǎng)回溯技術(shù)防御拒絕服務(wù)攻擊的方法�,其特征是��,所述的判斷攻擊���,具體如下在被攻擊服務(wù)器端�����,服務(wù)器根據(jù)預(yù)先設(shè)定的閾值N確定是否受到攻擊��,如果在一個(gè)很短的時(shí)間內(nèi)���,收到的SYN包超過這一閾值則判定為攻擊,中間節(jié)點(diǎn)判斷攻擊執(zhí)行check-cap算法�,已經(jīng)建立的防御系統(tǒng)提取包中目的節(jié)點(diǎn)地址,如果該地址在防御系統(tǒng)的過濾列表外��,則轉(zhuǎn)發(fā)包���,如果該地址屬于防御系統(tǒng)過濾列表�,則以該包攜帶的源地址為目的地址反向進(jìn)行查找,如果下一跳存在����,或者等于包中攜帶的前一節(jié)點(diǎn)地址�,則轉(zhuǎn)發(fā)包,否則證明是攻擊包���。
4.根據(jù)權(quán)利要求1所述的基于主動(dòng)網(wǎng)回溯技術(shù)防御拒絕服務(wù)攻擊的方法��,其特征是�����,所述的防御回溯�����,具體如下當(dāng)在某個(gè)節(jié)點(diǎn)發(fā)現(xiàn)攻擊以后�,一方面在該節(jié)點(diǎn)建立防御系統(tǒng)防御����,另一方面,根據(jù)包頭攜帶的前一節(jié)點(diǎn)地址����,向路由中該節(jié)點(diǎn)的前一節(jié)點(diǎn)發(fā)送防御包��;如果前一節(jié)點(diǎn)已經(jīng)存在防御系統(tǒng)�,則把包中攜帶的受攻擊服務(wù)器地址加入防御系統(tǒng)列表����,否則根據(jù)主動(dòng)防御包建立防御。
5.根據(jù)權(quán)利要求1或4所述的基于主動(dòng)網(wǎng)回溯技術(shù)防御拒絕服務(wù)攻擊的方法���,其特征是����,防御回溯過程采用主動(dòng)代碼動(dòng)態(tài)分配機(jī)制�。
全文摘要
一種基于主動(dòng)網(wǎng)回溯技術(shù)防御拒絕服務(wù)攻擊的方法。屬于信息安全技術(shù)領(lǐng)域�。本發(fā)明基于主動(dòng)網(wǎng)技術(shù)中的動(dòng)態(tài)分配機(jī)制,結(jié)合回溯方法���,在被攻擊服務(wù)器和各個(gè)網(wǎng)絡(luò)中間節(jié)點(diǎn)建立主動(dòng)回溯系統(tǒng)����,首先進(jìn)行節(jié)點(diǎn)預(yù)判斷���,然后執(zhí)行判斷攻擊算法�����,判斷包頭內(nèi)的目的節(jié)點(diǎn)以及其他信息��,再進(jìn)行防御回溯��,跟蹤并消除攻擊源��,最終達(dá)到消除拒絕服務(wù)攻擊的目的��。本發(fā)明方法使網(wǎng)絡(luò)中的節(jié)點(diǎn)能夠有效的判別�、防御拒絕服務(wù)攻擊����,動(dòng)態(tài)重建攻擊鏈路,確定攻擊源��,同時(shí)保證數(shù)據(jù)包在網(wǎng)絡(luò)傳輸過程中的效率和完整性����。
文檔編號(hào)H04L9/00GK1553624SQ20031012274
公開日2004年12月8日 申請(qǐng)日期2003年12月19日 優(yōu)先權(quán)日2003年12月19日
發(fā)明者王明政, 田一華, 黃瑾, 張峻, 薛質(zhì) 申請(qǐng)人:上海交通大學(xué)