專利名稱:一種防御拒接服務(wù)攻擊的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信領(lǐng)域����,尤其涉及的是一種防御拒接服務(wù)攻擊的方法�。
背景技術(shù):
拒絕服務(wù)攻擊(Denial of Service, DoS)是目前比較有效而又非常難于防御的一種網(wǎng)絡(luò)攻擊方式,它的目的就是使服務(wù)器不能夠?yàn)檎TL問(wèn)的用戶提供服務(wù)�。所以,DoS對(duì)
一些緊密依靠互聯(lián)網(wǎng)開(kāi)展業(yè)務(wù)的企業(yè)和組織帶來(lái)了致命的威脅����。隨著移動(dòng)互聯(lián)網(wǎng)時(shí)代的到來(lái),智能手機(jī)已成成為了人們首選的上網(wǎng)設(shè)備�����。隨著4G時(shí)代和IPV6的時(shí)代到來(lái)����,智能手機(jī)在移動(dòng)互聯(lián)的網(wǎng)絡(luò)中也會(huì)占據(jù)更加重要的地位��。而現(xiàn)在電腦用手機(jī)當(dāng)做soft ap和電腦用手機(jī)上網(wǎng)的應(yīng)用越來(lái)越多���,而在網(wǎng)絡(luò)的體系架構(gòu)中,智能設(shè)備完全暴露在網(wǎng)絡(luò)中��,極易受到外部網(wǎng)絡(luò)的攻擊���,特別是拒絕服務(wù)攻擊���,使手機(jī)受到極大的網(wǎng)絡(luò)威脅,安全性降低�����。因此����,現(xiàn)有技術(shù)還有待于改進(jìn)和發(fā)展。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問(wèn)題在于�,針對(duì)現(xiàn)有技術(shù)的上述缺陷,提供一種防御拒接服務(wù)攻擊的方法��,以解決現(xiàn)有移動(dòng)終端特別是手機(jī)極易受到拒絕服務(wù)攻擊的問(wèn)題。本發(fā)明解決技術(shù)問(wèn)題所采用的技術(shù)方案如下
一種防御拒接服務(wù)攻擊的方法����,其中,包括以下步驟
A���、預(yù)先在移動(dòng)終端中設(shè)置一防御拒絕服務(wù)攻擊的防御模塊��;
B��、當(dāng)所述連接請(qǐng)求方向所述防御模塊發(fā)送一請(qǐng)求連接的第一SYN數(shù)據(jù)包時(shí),所述防御模塊偽造第一 SYN+ACK數(shù)據(jù)包�����,并將所述第一 SYN+ACK數(shù)據(jù)包發(fā)送至所述連接請(qǐng)求方進(jìn)行應(yīng)答;
C����、當(dāng)所述防御模塊接收到所述連接請(qǐng)求方應(yīng)答的第一ACK數(shù)據(jù)包時(shí),所述防御模塊構(gòu)建一與所述第一 SYN數(shù)據(jù)包具有相同SEQ號(hào)的第二 SYN數(shù)據(jù)包�,并以連接請(qǐng)求方的身份將所述第二 SYN數(shù)據(jù)包經(jīng)TCP/IP協(xié)議棧發(fā)送至移動(dòng)終端;
D�����、所述TCP/1P協(xié)議棧接收移動(dòng)終端反饋的第二SYN+ACK數(shù)據(jù)包,并將所述第二SYN+ACK數(shù)據(jù)包的SEQ號(hào)減去所述第一 SYN+ACK數(shù)據(jù)包的SEQ號(hào)得到一 SEQ差值�����;
E���、所述TCP/IP協(xié)議棧修改所述移動(dòng)終端反饋給所述防御模塊的第二SYN+ACK數(shù)據(jù)包的SEQ號(hào)�,將所述第二 SYN+ACK數(shù)據(jù)包的SEQ號(hào)減去所述SEQ差值����;以及修改所述防御模塊向所述移動(dòng)終端應(yīng)答的第二 ACK數(shù)據(jù)包的SEQ號(hào),將所述第二 ACK數(shù)據(jù)包的SEQ號(hào)修改為所述第二 ACK數(shù)據(jù)包的ACK號(hào)加上所述SEQ差值��;
F�、修改后的所述第二ACK數(shù)據(jù)包的SEQ號(hào)等于所述第二 SYN+ACK數(shù)據(jù)包的SEQ號(hào)加1,所述防御模塊與所述移動(dòng)終端握手成功��,由此建立連接請(qǐng)求方與所述移動(dòng)終端的連接����。所述的防御拒接服務(wù)攻擊的方法,其中��,所述步驟C還包括
步驟Cl、所述防御模塊在第二 SYN數(shù)據(jù)包中設(shè)定一標(biāo)識(shí)所述第二 SYN數(shù)據(jù)包的荷載中包含有數(shù)據(jù)的標(biāo)記���,所述標(biāo)記用于TCP/IP協(xié)議棧提取所述第二 SYN數(shù)據(jù)包的SEQ號(hào)和ACK號(hào)����。所述的防御拒接服務(wù)攻擊的方法�,其中,所述步驟C還包括
步驟C2�����、所述TCP/IP協(xié)議棧查找路由表���,判斷所述第二 SYN數(shù)據(jù)包的發(fā)送目的地是移動(dòng)終端或連接所述移動(dòng)終端的網(wǎng)絡(luò)設(shè)備�����。所述的防御拒接服務(wù)攻擊的方法���,其中�����,所述步驟F之后還包括連接請(qǐng)求方與移動(dòng)終端建立連接后,所述TCP/IP協(xié)議棧修改連接請(qǐng)求方發(fā)送的TCP數(shù)據(jù)包的ACK號(hào)和移動(dòng)終端響應(yīng)的確認(rèn)數(shù)據(jù)包的SEQ號(hào)���,將所述連接發(fā)起方發(fā)送的TCP數(shù)據(jù)包的ACK號(hào)加上所述SEQ差值以及移動(dòng)終端響應(yīng)的確認(rèn)數(shù)據(jù)包的SEQ號(hào)減去所述SEQ差值��。所述的防御拒接服務(wù)攻擊的方法�,其中����,所述步驟F之后還包括在所述連接請(qǐng)求方與所述移動(dòng)終端的連接成功后,所述移動(dòng)終端統(tǒng)計(jì)所述連接請(qǐng)求方發(fā)送的SYN數(shù)據(jù)包數(shù)·量�,當(dāng)所述連接請(qǐng)求方發(fā)送的SYN數(shù)據(jù)包數(shù)量處在預(yù)定范圍時(shí),提取所述連接請(qǐng)求方發(fā)送的SYN數(shù)據(jù)包的源端口��、源地址��、目的端口��、目的地址�,并將所述連接請(qǐng)求方發(fā)送的SYN數(shù)據(jù)包的源端口,源地址�����、目的端口��、目的地址保存在預(yù)先建立的哈希表中。所述的防御拒接服務(wù)攻擊的方法�����,其中���,當(dāng)所述連接請(qǐng)求方向所述移動(dòng)發(fā)送的數(shù)據(jù)包的協(xié)議類型為ICMP或UDP協(xié)議時(shí)�,通過(guò)統(tǒng)計(jì)收到的ICMP數(shù)據(jù)包或UDP數(shù)據(jù)包的數(shù)量判斷是否受到網(wǎng)絡(luò)攻擊��,當(dāng)ICMP數(shù)據(jù)包的數(shù)量超過(guò)第一預(yù)定值或UDP數(shù)據(jù)包的數(shù)量超過(guò)第二預(yù)定值時(shí)����,丟棄超過(guò)第一預(yù)定值的ICMP數(shù)據(jù)包或超過(guò)第二預(yù)定值的UDP數(shù)據(jù)包。本發(fā)明所提供的防御拒接服務(wù)攻擊的方法�,能夠有效的解決現(xiàn)有移動(dòng)終端特別是手機(jī)極易受到拒絕服務(wù)攻擊的問(wèn)題,有效的防止DoS攻擊�����,尤其是SYN攻擊��。而當(dāng)用戶的移動(dòng)終端特別是手機(jī)作為soft ap時(shí)��,可以有效抵御從網(wǎng)絡(luò)外部達(dá)到移動(dòng)終端內(nèi)部的攻擊��。
圖I是本發(fā)明提供的防御拒絕服務(wù)攻擊的方法流程圖��。圖2是本發(fā)明提供的防御拒絕服務(wù)攻擊的方法的優(yōu)選實(shí)施例的原理示意圖�。
具體實(shí)施例方式為使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚����、明確,以下參照附圖并舉實(shí)施例對(duì)本發(fā)明進(jìn)一步詳細(xì)說(shuō)明��。應(yīng)當(dāng)理解�����,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明��,并不用于限定本發(fā)明�����。TCP數(shù)據(jù)包在數(shù)據(jù)傳輸過(guò)程中���,每個(gè)TCP數(shù)據(jù)包都包含有SEQ號(hào)和ACK號(hào)���,SEQ號(hào)和ACK號(hào)都是網(wǎng)絡(luò)字節(jié)序����,SEQ號(hào)TCP數(shù)據(jù)包的序列號(hào)��,用于表示TCP數(shù)據(jù)包的發(fā)送順序���,而ACK號(hào)表示TCP數(shù)據(jù)包的確認(rèn)號(hào)��,用于確認(rèn)數(shù)據(jù)包已經(jīng)接收��。例如����,在客戶端與服務(wù)器通過(guò)三次握手原理建立連接時(shí)�,服務(wù)器向客戶端發(fā)送一個(gè)帶有數(shù)據(jù)的TCP數(shù)據(jù)包,該TCP數(shù)據(jù)包中的序列號(hào)和確認(rèn)號(hào)與建立連接第三步的TCP數(shù)據(jù)包中的序列號(hào)和確認(rèn)號(hào)相同����。客戶端收到服務(wù)器發(fā)送的一 TCP數(shù)據(jù)包��,向服務(wù)器發(fā)送一個(gè)確認(rèn)數(shù)據(jù)包�����,該確認(rèn)數(shù)據(jù)包中,序列號(hào)是為上一個(gè)數(shù)據(jù)包中的確認(rèn)號(hào)�����,而確認(rèn)號(hào)為服務(wù)器發(fā)送的上一個(gè)數(shù)據(jù)包中的序列號(hào)加上該數(shù)據(jù)包中所帶數(shù)據(jù)的大小����。本發(fā)明的主要思想是�,針對(duì)現(xiàn)有移動(dòng)終端特別是手機(jī)極易受到拒絕服務(wù)攻擊的問(wèn)題,預(yù)先在移動(dòng)終端中設(shè)置一防御模塊���,通過(guò)該防御模塊對(duì)外部網(wǎng)絡(luò)或者內(nèi)部網(wǎng)絡(luò)發(fā)送的連接請(qǐng)求進(jìn)行驗(yàn)證�����,首先根據(jù)TCP協(xié)議的三次握手原理��,當(dāng)外部網(wǎng)絡(luò)或者內(nèi)部網(wǎng)絡(luò)發(fā)送第一個(gè)數(shù)據(jù)包SYN時(shí)�����,防御模塊偽造一個(gè)SYN+ACK的數(shù)據(jù)包發(fā)送給內(nèi)部網(wǎng)絡(luò)或者外部網(wǎng)絡(luò)�。我們定義發(fā)起攻擊的一方為連接請(qǐng)求方��。如果外部網(wǎng)絡(luò)作為連接請(qǐng)求方,則當(dāng)防御模塊收到連接請(qǐng)求方后續(xù)發(fā)送的ACK數(shù)據(jù)包時(shí)����,防御模塊構(gòu)建一 SYN數(shù)據(jù)包,并通過(guò)網(wǎng)絡(luò)協(xié)議棧判斷該SYN數(shù)據(jù)包是發(fā)送給移動(dòng)終端還是移動(dòng)終端下面鏈接的局域網(wǎng)設(shè)備�,當(dāng)防御模塊收到移動(dòng)終端發(fā)送的SYN+ACK數(shù)據(jù)包時(shí),防御模塊丟棄此數(shù)據(jù)包�����,并構(gòu)造ACK數(shù)據(jù)包發(fā)送給移動(dòng)終端或移動(dòng)終端下面鏈接的局域網(wǎng)設(shè)備����。移動(dòng)終端或者移動(dòng)終端下面鏈接的局域網(wǎng)設(shè)備通過(guò)該ACK對(duì)連接請(qǐng)求進(jìn)行驗(yàn)證,如果驗(yàn)證成功,則建立連接請(qǐng)求方與移動(dòng)終端或者移動(dòng)終端的下面的局域網(wǎng)設(shè)備的連接。通過(guò)該防御模塊來(lái)提高移動(dòng)終端防御拒絕服務(wù)攻擊的能力����,增強(qiáng)移動(dòng)終端的安全性。本實(shí)施例以外部網(wǎng)絡(luò)作為連接請(qǐng)求方進(jìn)行描述���。參見(jiàn)圖1�����,圖I是本發(fā)明提供的防御拒絕服務(wù)攻擊的方法流程圖����,包括以下步驟
步驟S100、預(yù)先在移動(dòng)終端中設(shè)置一防御拒絕服務(wù)攻擊的防御模塊�����;
步驟S200�、當(dāng)所述連接請(qǐng)求方向所述防御模塊發(fā)送一請(qǐng)求連接的第一 SYN數(shù)據(jù)包時(shí)�����,所述防御模塊偽造第一 SYN+ACK數(shù)據(jù)包���,并將所述第一 SYN+ACK數(shù)據(jù)包發(fā)送至所述連接請(qǐng)求方進(jìn)行應(yīng)答��;
步驟S300�、當(dāng)所述防御模塊接收到所述連接請(qǐng)求方應(yīng)答的第一 ACK數(shù)據(jù)包時(shí)�,所述防御模塊構(gòu)建一與所述第一 SYN數(shù)據(jù)包具有相同SEQ號(hào)的第二 SYN數(shù)據(jù)包,并以連接請(qǐng)求方的身份將所述第二 SYN數(shù)據(jù)包經(jīng)TCP/IP協(xié)議棧發(fā)送至移動(dòng)終端����;
步驟S400、所述TCP/IP協(xié)議棧接收移動(dòng)終端反饋的第二 SYN+ACK數(shù)據(jù)包���,并將所述第二 SYN+ACK數(shù)據(jù)包的SEQ號(hào)減去所述第一 SYN+ACK數(shù)據(jù)包的SEQ號(hào)得到一 SEQ差值����;
步驟S500、所述TCP/IP協(xié)議棧修改所述移動(dòng)終端反饋給所述防御模塊的第二 SYN+ACK數(shù)據(jù)包的SEQ號(hào)�,將所述第二 SYN+ACK數(shù)據(jù)包的SEQ號(hào)減去所述SEQ差值;以及修改所述防御模塊向所述移動(dòng)終端應(yīng)答的第二 ACK數(shù)據(jù)包的SEQ號(hào)�����,將所述第二 ACK數(shù)據(jù)包的SEQ號(hào)修改為所述第二 ACK數(shù)據(jù)包的ACK號(hào)加上所述SEQ差值�����;
步驟S600���、修改后的第二 ACK數(shù)據(jù)包的SEQ號(hào)等于所述第二 SYN+ACK數(shù)據(jù)包的SEQ號(hào)加1����,所述防御模塊與所述移動(dòng)終端握手成功�,由此建立連接請(qǐng)求方與所述移動(dòng)終端的連接。下面結(jié)合具體的實(shí)施例對(duì)上述步驟進(jìn)行詳細(xì)的描述��。在本實(shí)施例中,移動(dòng)終端為手機(jī)或者其他移動(dòng)上網(wǎng)終端���。該防御模塊通過(guò)軟件實(shí)現(xiàn)�����,可以為移動(dòng)終端的一個(gè)應(yīng)用�����。首先���,防御模塊進(jìn)行初始化設(shè)置�,創(chuàng)建一哈希表,用于存放TCP的SYN數(shù)據(jù)包信息�����。之后����,移動(dòng)終端會(huì)對(duì)接收到的連接請(qǐng)求的數(shù)據(jù)包進(jìn)行協(xié)議類型檢測(cè),根據(jù)不同的協(xié)議類型進(jìn)行不同的處理�����。當(dāng)所述接收到的連接請(qǐng)求的數(shù)據(jù)包的協(xié)議類型為T(mén)CP協(xié)議時(shí),執(zhí)行上述步驟 S200-S600��。如圖2所示�,連接請(qǐng)求方首先根據(jù)TCP的三次握手原理與防御模塊建立連接,然后防御模塊以連接請(qǐng)求方的身份向移動(dòng)終端發(fā)送SYN數(shù)據(jù)包�����,該數(shù)據(jù)包的SEQ號(hào)與連接請(qǐng)求方向防御模塊發(fā)送的SYN數(shù)據(jù)包的SEQ號(hào)相同���,我們定義連接請(qǐng)求方向防御模塊發(fā)送的SYN數(shù)據(jù)包為第一 SYN數(shù)據(jù)包���,防御模塊以連接請(qǐng)求方的身份向移動(dòng)終端發(fā)送的SYN數(shù)據(jù)包為第二 SYN數(shù)據(jù)包,所述第二 SYN數(shù)據(jù)包經(jīng)由移動(dòng)終端的TCP/IP協(xié)議棧處理��,為了便于TCP/IP協(xié)議棧對(duì)第二 SYN數(shù)據(jù)包的處理��,防御模塊會(huì)在第二 SYN數(shù)據(jù)包中設(shè)置一標(biāo)識(shí)其中包含有數(shù)據(jù)的標(biāo)記��,該標(biāo)記用于標(biāo)識(shí)該SYN數(shù)據(jù)包已經(jīng)經(jīng)過(guò)防御模塊的處理����,且其中包含有數(shù)據(jù)���。其中,標(biāo)記的第一個(gè)4字節(jié)標(biāo)識(shí)該SYN數(shù)據(jù)包已經(jīng)經(jīng)過(guò)處理�����,例如該4字節(jié)的內(nèi)容為0x123456���,而第二個(gè)4字節(jié)標(biāo)識(shí)數(shù)據(jù)包中的內(nèi)容�����。其中數(shù)據(jù)的內(nèi)容為防御模塊發(fā)送給連接請(qǐng)求方的SYN+ACK數(shù)據(jù)包的SEQ號(hào)���,也即是第一 SYN+ACK數(shù)據(jù)包的SEQ號(hào),我們定義為Y�����。在TCP/IP協(xié)議棧接收到該第二 SYN數(shù)據(jù)包時(shí)�,TCP/IP協(xié)議?���?梢愿鶕?jù)防御模塊設(shè)置的標(biāo)記,提取第二 SYN數(shù)據(jù)包的SEQ號(hào)和ACK號(hào),所述第二 SYN數(shù)據(jù)包的SEQ號(hào)為第一ACK數(shù)據(jù)包的SEQ號(hào)減去I�。這樣,第二 SYN數(shù)據(jù)包的SEQ號(hào)和第一 SYN數(shù)據(jù)包的SEQ號(hào)相同���,以便防御模塊以連接請(qǐng)求方的身份與移動(dòng)終端進(jìn)行連接����。TCP/IP協(xié)議棧還根據(jù)該標(biāo)記提取第二 SYN數(shù)據(jù)包中的數(shù)據(jù)�,即第一 SYN+ACK數(shù)據(jù)包的SEQ號(hào)Y。TCP/IP協(xié)議棧將第二 SYN數(shù)據(jù)包發(fā)送至移動(dòng)終端�,移動(dòng)終端反饋一 SYN+ACK數(shù)據(jù)包,我們定義為第二 SYN+ACK數(shù)據(jù)包���。其中����,定義第二 SYN+ACK數(shù)據(jù)包的SEQ號(hào)為Z���,第二SYN+ACK數(shù)據(jù)包經(jīng)TCP/IP協(xié)議棧處理����,TCP/IP協(xié)議棧提取所述第二 SYN+ACK數(shù)據(jù)包的SEQ號(hào)Z��,并用第二 SYN+ACK數(shù)據(jù)包的SEQ號(hào)Z減去第一 SYN+ACK數(shù)據(jù)包的SEQ號(hào)Y,得到一SEQ差值R (R=Z-Y)0然后TCP/IP協(xié)議棧對(duì)第二 SYN+ACK數(shù)據(jù)包的SEQ號(hào)進(jìn)行修改���,將第二 SYN+ACK數(shù)據(jù)包的SEQ號(hào)Z減去所述SEQ差值R���,并將修改后的SYN+ACK數(shù)據(jù)包發(fā)送至防御模塊,防御模塊丟棄該修改后的SYN+ACK數(shù)據(jù)包�,并構(gòu)建一 ACK數(shù)據(jù)包,我們定義為第
二ACK數(shù)據(jù)包����,其中,第二 ACK數(shù)據(jù)包的ACK號(hào)設(shè)定為上述修改后的SYN+ACK數(shù)據(jù)包的SEQ號(hào)(Z-R)加1��,之后防御模塊將該ACK數(shù)據(jù)包發(fā)送給TCP/IP協(xié)議棧處理���,TCP/IP協(xié)議棧對(duì)第二 ACK數(shù)據(jù)包進(jìn)行修改�,將第二 ACK數(shù)據(jù)包的SEQ號(hào)修改為第二 ACK數(shù)據(jù)包的ACK號(hào)加 上上述SEQ差值R��,修改后的第二 ACK數(shù)據(jù)包的SEQ號(hào)為(Z-R+l )+R=Z+l��。移動(dòng)終端接收到的修改后的第二 ACK數(shù)據(jù)包的SEQ號(hào)剛好等于第二 SYN+ACK數(shù)據(jù)包的SEQ號(hào)加I�。此時(shí)���,防御模塊就以連接請(qǐng)求方的身份與移動(dòng)終端三次握手成功�����,由此作為連接請(qǐng)求方的外部網(wǎng)絡(luò)就通過(guò)防御模塊與移動(dòng)終端建立了可信連接�����。而在連接請(qǐng)求方與移動(dòng)終端建立連接后����,所述TCP/IP協(xié)議棧修改連接請(qǐng)求方發(fā)送的TCP數(shù)據(jù)包的ACK號(hào)和移動(dòng)終端響應(yīng)的確認(rèn)數(shù)據(jù)包的SEQ號(hào),將所述連接發(fā)起方發(fā)送的TCP數(shù)據(jù)包的ACK號(hào)加上所述SEQ差值�����,以及將移動(dòng)終端響應(yīng)的確認(rèn)數(shù)據(jù)包的SEQ號(hào)減去所述SEQ差值����。由此來(lái)防御拒絕服務(wù)攻擊。在上述過(guò)程中���,移動(dòng)終端會(huì)統(tǒng)計(jì)接收到的SYN數(shù)據(jù)包的數(shù)量�����,判斷移動(dòng)終端是否受到TCP的DoS攻擊��,通過(guò)檢測(cè)一定時(shí)間內(nèi)收到的SYN數(shù)據(jù)包和只有SYN沒(méi)有ACK的數(shù)據(jù)包的數(shù)量來(lái)判斷�����。例如�����,每隔3S統(tǒng)計(jì)一次當(dāng)前SYN數(shù)據(jù)包的數(shù)量��,將只有發(fā)送了 SYN數(shù)據(jù)包但是沒(méi)有發(fā)送ACK數(shù)據(jù)包的統(tǒng)計(jì)在內(nèi)����,當(dāng)當(dāng)前SYN數(shù)據(jù)包的數(shù)量小于100時(shí),判定移動(dòng)終端當(dāng)前處于正常狀態(tài)�����;當(dāng)當(dāng)前SYN數(shù)據(jù)包的數(shù)量大于100小于300時(shí)��,判定移動(dòng)終端當(dāng)前處于中等危險(xiǎn)狀態(tài)��,當(dāng)當(dāng)前SYN數(shù)據(jù)包的數(shù)量大于300時(shí),判定移動(dòng)終端處于危險(xiǎn)狀態(tài)��。而不管在何種狀態(tài)下���,同一個(gè)IP地址,在一定時(shí)間內(nèi)發(fā)送了 5個(gè)SYN數(shù)據(jù)包�����,而沒(méi)有發(fā)送ACK數(shù)據(jù)包�����,那么就判定此地址為一個(gè)攻擊地址�,直接丟棄此數(shù)據(jù)包,以此來(lái)抵御拒接服務(wù)攻擊�。在正常狀態(tài)下,移動(dòng)終端對(duì)所有的SYN數(shù)據(jù)包都進(jìn)行處理��。而在危險(xiǎn)狀態(tài)下�,由于移動(dòng)終端正處于數(shù)據(jù)處理的忙碌狀態(tài),很有可能在丟棄數(shù)據(jù)包���,此時(shí)只處理已經(jīng)收到的SYN數(shù)據(jù)包�,并且每個(gè)地址的發(fā)送的SYN數(shù)據(jù)包的數(shù)量要小于5���,否則���,丟棄此數(shù)據(jù)包����。當(dāng)移動(dòng)終端處于中等危險(xiǎn)狀態(tài)時(shí)���,即連接請(qǐng)求方發(fā)送的SYN數(shù)據(jù)包數(shù)量處在預(yù)定范圍時(shí)��,該預(yù)定范圍如上述的當(dāng)前SYN數(shù)據(jù)包的數(shù)量大于100小于300�,只處理未在哈希表里留下記錄的SYN數(shù)據(jù)包���,提取SYN數(shù)據(jù)包包含的源端口���、源地址、目的端口和目的地址4個(gè)數(shù)據(jù)���,并進(jìn)行哈希運(yùn)算�����,把此4個(gè)值保存到哈希表中�����。而如果移動(dòng)終端當(dāng)前處于危險(xiǎn)狀態(tài)���,那么直接丟棄此數(shù)據(jù)包。在上述過(guò)程中����,所述TCP/IP協(xié)議棧會(huì)通過(guò)查找路由表,判斷所述第二 SYN數(shù)據(jù)包的發(fā)送目的地是移動(dòng)終端或連接所述移動(dòng)終端的網(wǎng)絡(luò)設(shè)備���。而當(dāng)移動(dòng)終端作為網(wǎng)絡(luò)熱點(diǎn)時(shí)��,移動(dòng)終端下面鏈接的局域網(wǎng)設(shè)備以移動(dòng)終端為數(shù)據(jù)中轉(zhuǎn)點(diǎn)�,與外部網(wǎng)絡(luò)建立可信連接����。上面實(shí)施例主要描述連接請(qǐng)求方發(fā)送的數(shù)據(jù)包類型為T(mén)CP協(xié)議的情況,而當(dāng)所述連接請(qǐng)求方向所述移動(dòng)發(fā)送的數(shù)據(jù)包的協(xié)議類型為ICMP或UDP協(xié)議時(shí)��,移動(dòng)終端會(huì)通過(guò)統(tǒng)計(jì)收到的ICMP數(shù)據(jù)包或UDP數(shù)據(jù)包的數(shù)量判斷是否受到網(wǎng)絡(luò)攻擊��,我們可以設(shè)定ICMP數(shù)據(jù)包的限定數(shù)量為第一預(yù)定值,UDP數(shù)據(jù)包的限定數(shù)量為第二預(yù)定值����,而當(dāng)ICMP數(shù)據(jù)包的 數(shù)量超過(guò)第一預(yù)定值或UDP數(shù)據(jù)包的數(shù)量超過(guò)第二預(yù)定值時(shí),控制ICMP數(shù)據(jù)包或UDP數(shù)據(jù)包的收發(fā)數(shù)量��。例如����,第一預(yù)定值為100,第二預(yù)定值為200����,則設(shè)定每秒之內(nèi)是只收取100個(gè)ICMP數(shù)據(jù)包,而每秒只收取200個(gè)UDP數(shù)據(jù)包��,如果超過(guò)設(shè)定的數(shù)量,則直接丟棄多余的ICMP數(shù)據(jù)包或UDP數(shù)據(jù)包��。本發(fā)明中的移動(dòng)終端為手機(jī)或平板電腦等通信終端�����。通過(guò)本發(fā)明提供的防御拒絕服務(wù)攻擊的方法��,通過(guò)預(yù)先在移動(dòng)終端中設(shè)置一防御拒絕服務(wù)攻擊的防御模塊���,連接請(qǐng)求方首先根據(jù)TCP的三次握手原理與防御模塊建立連接�,防御模塊以連接請(qǐng)求方的身份向移動(dòng)終端發(fā)送SYN數(shù)據(jù)包。當(dāng)防御模塊與所述移動(dòng)終端握手成功�,建立連接請(qǐng)求方與所述移動(dòng)終端的連接。能夠有效的防止DoS攻擊����,尤其是SYN攻擊。而當(dāng)用戶的移動(dòng)終端特別是手機(jī)作為網(wǎng)絡(luò)熱點(diǎn)時(shí)��,可以有效抵御從網(wǎng)絡(luò)外部達(dá)到移動(dòng)終端內(nèi)部的攻擊��。應(yīng)當(dāng)理解的是���,本發(fā)明的應(yīng)用不限于上述的舉例,對(duì)本領(lǐng)域普通技術(shù)人員來(lái)說(shuō)��,可以根據(jù)上述說(shuō)明加以改進(jìn)或變換�,所有這些改進(jìn)和變換都應(yīng)屬于本發(fā)明所附權(quán)利要求的保護(hù)范圍。
權(quán)利要求
1.一種防御拒接服務(wù)攻擊的方法���,其特征在于���,包括以下步驟 A�����、預(yù)先在移動(dòng)終端中設(shè)置一防御拒絕服務(wù)攻擊的防御模塊�; B�����、當(dāng)所述連接請(qǐng)求方向所述防御模塊發(fā)送一請(qǐng)求連接的第一SYN數(shù)據(jù)包時(shí),所述防御模塊偽造第一 SYN+ACK數(shù)據(jù)包�,并將所述第一 SYN+ACK數(shù)據(jù)包發(fā)送至所述連接請(qǐng)求方進(jìn)行應(yīng)答; C���、當(dāng)所述防御模塊接收到所述連接請(qǐng)求方應(yīng)答的第一ACK數(shù)據(jù)包時(shí)�,所述防御模塊構(gòu)建一與所述第一 SYN數(shù)據(jù)包具有相同SEQ號(hào)的第二 SYN數(shù)據(jù)包��,并以連接請(qǐng)求方的身份將所述第二 SYN數(shù)據(jù)包經(jīng)TCP/IP協(xié)議棧發(fā)送至移動(dòng)終端���; D�����、所述TCP/1P協(xié)議棧接收移動(dòng)終端反饋的第二SYN+ACK數(shù)據(jù)包����,并將所述第二SYN+ACK數(shù)據(jù)包的SEQ號(hào)減去所述第一 SYN+ACK數(shù)據(jù)包的SEQ號(hào)得到一 SEQ差值; E��、所述TCP/IP協(xié)議棧修改所述移動(dòng)終端反饋給所述防御模塊的第二SYN+ACK數(shù)據(jù)包的SEQ號(hào)��,將所述第二 SYN+ACK數(shù)據(jù)包的SEQ號(hào)減去所述SEQ差值���;以及修改所述防御模塊向所述移動(dòng)終端應(yīng)答的第二 ACK數(shù)據(jù)包的SEQ號(hào)���,將所述第二 ACK數(shù)據(jù)包的SEQ號(hào)修改為所述第二 ACK數(shù)據(jù)包的ACK號(hào)加上所述SEQ差值; F�����、修改后的所述第二ACK數(shù)據(jù)包的SEQ號(hào)等于所述第二 SYN+ACK數(shù)據(jù)包的SEQ號(hào)加1��,所述防御模塊與所述移動(dòng)終端握手成功�,由此建立連接請(qǐng)求方與所述移動(dòng)終端的連接����。
2.根據(jù)權(quán)利要求I所述的防御拒接服務(wù)攻擊的方法,其特征在于�,所述步驟C還包括 步驟Cl、所述防御模塊在第二 SYN數(shù)據(jù)包中設(shè)定一標(biāo)識(shí)所述第二 SYN數(shù)據(jù)包的荷載中包含有數(shù)據(jù)的標(biāo)記�,所述標(biāo)記用于TCP/IP協(xié)議棧提取所述第二 SYN數(shù)據(jù)包的SEQ號(hào)和ACK號(hào)�。
3.根據(jù)權(quán)利要求I所述的防御拒接服務(wù)攻擊的方法�����,其特征在于���,所述步驟C還包括 步驟C2����、所述TCP/IP協(xié)議棧查找路由表�,判斷所述第二 SYN數(shù)據(jù)包的發(fā)送目的地是移動(dòng)終端或連接所述移動(dòng)終端的網(wǎng)絡(luò)設(shè)備。
4.根據(jù)權(quán)利要求I所述的防御拒接服務(wù)攻擊的方法�����,其特征在于���,所述步驟F之后還包括連接請(qǐng)求方與移動(dòng)終端建立連接后��,所述TCP/IP協(xié)議棧修改連接請(qǐng)求方發(fā)送的TCP數(shù)據(jù)包的ACK號(hào)和移動(dòng)終端響應(yīng)的確認(rèn)數(shù)據(jù)包的SEQ號(hào)����,將所述連接發(fā)起方發(fā)送的TCP數(shù)據(jù)包的ACK號(hào)加上所述SEQ差值以及移動(dòng)終端響應(yīng)的確認(rèn)數(shù)據(jù)包的SEQ號(hào)減去所述SEQ差值�����。
5.根據(jù)權(quán)利要求I所述的防御拒接服務(wù)攻擊的方法,其特征在于�����,所述步驟F之后還包括在所述連接請(qǐng)求方與所述移動(dòng)終端的連接成功后��,所述移動(dòng)終端統(tǒng)計(jì)所述連接請(qǐng)求方發(fā)送的SYN數(shù)據(jù)包數(shù)量����,當(dāng)所述連接請(qǐng)求方發(fā)送的SYN數(shù)據(jù)包數(shù)量處在預(yù)定范圍時(shí),提取所述連接請(qǐng)求方發(fā)送的SYN數(shù)據(jù)包的源端口�����、源地址�、目的端口、目的地址���,并將所述連接請(qǐng)求方發(fā)送的SYN數(shù)據(jù)包的源端口,源地址�、目的端口、目的地址保存在預(yù)先建立的哈希表中�����。
6.根據(jù)權(quán)利要求5所述的防御拒接服務(wù)攻擊的方法,其特征在于���,當(dāng)所述連接請(qǐng)求方向所述移動(dòng)發(fā)送的數(shù)據(jù)包的協(xié)議類型為ICMP或UDP協(xié)議時(shí)��,通過(guò)統(tǒng)計(jì)收到的ICMP數(shù)據(jù)包或UDP數(shù)據(jù)包的數(shù)量判斷是否受到網(wǎng)絡(luò)攻擊���,當(dāng)ICMP數(shù)據(jù)包的數(shù)量超過(guò)第一預(yù)定值或UDP數(shù)據(jù)包的數(shù)量超過(guò)第二預(yù)定值時(shí),丟棄超過(guò)第一預(yù)定值的ICMP數(shù)據(jù)包或超過(guò)第二預(yù)定值的m)P數(shù)據(jù)包��。
全文摘要
本發(fā)明公開(kāi)了一種防御拒絕服務(wù)攻擊的方法�。預(yù)先在移動(dòng)終端中設(shè)置一防御拒絕服務(wù)攻擊的防御模塊,連接請(qǐng)求方首先根據(jù)TCP的三次握手原理與防御模塊建立連接����,防御模塊以連接請(qǐng)求方的身份向移動(dòng)終端發(fā)送SYN數(shù)據(jù)包。當(dāng)防御模塊與所述移動(dòng)終端握手成功����,建立連接請(qǐng)求方與所述移動(dòng)終端的連接。能夠有效的防止DoS攻擊����,尤其是SYN攻擊�����。而當(dāng)用戶的移動(dòng)終端特別是手機(jī)作為網(wǎng)絡(luò)熱點(diǎn)時(shí)��,可以有效抵御從網(wǎng)絡(luò)外部達(dá)到移動(dòng)終端內(nèi)部的攻擊����。
文檔編號(hào)H04L29/06GK102946387SQ20121043024
公開(kāi)日2013年2月27日 申請(qǐng)日期2012年11月1日 優(yōu)先權(quán)日2012年11月1日
發(fā)明者向金明, 周丹, 盧曉峰, 吳俊 申請(qǐng)人:惠州Tcl移動(dòng)通信有限公司