一種針對DDoS攻擊的防禦方法
2023-06-25 19:15:31 2
專利名稱:一種針對DDoS攻擊的防禦方法
技術領域:
本發明涉及一種計算機網絡安全技術,特別涉及一種針對DDoS攻擊的網絡設備安全防禦的方法。
背景技術:
TCP(Transmission Control Protocol)協議是目前廣泛應用的一種網絡傳輸控制協議,它是一個面向連接的協議。在網絡中,無論哪一方向另一方發送數據之前,都必須先在雙方之間建立一條連接,為了建立這一連接,一般的步驟是第一步,請求端(通常稱為客戶端)發送一個SYN報文段(報文段1),指明客戶打算連接的伺服器的埠,以及初始序號ISN;第二步,伺服器發回包含伺服器的初始序號的SYN報文段(報文段2)作為應答,同時,將確認序號設置為客戶的ISN加1以對客戶的SYN報文段進行確認,一個SYN將佔用一個序號;第三步,客戶必須將確認序號設置為伺服器的ISN加1以對伺服器的SYN報文段進行確認(報文段3)。這三個報文段完成TCP連接的建立,這個過程也稱為三次握手(three-way handshake)。
目前,網絡上存在一種針對TCP連接三次握手過程的網絡攻擊模式,其攻擊方式是在第二步伺服器端發送連接應答報文後,客戶端惡意地不發送第三次確認報文,由此導致伺服器端一直等待第三次握手信息,並且會反覆發送第二次應答報文給客戶端,從而佔用大量的伺服器資源,最終導致伺服器無法對其他客戶進行服務,被稱為拒絕服務攻擊(Denial of Service,DoS)。而操縱網絡上大量的PC機對伺服器發起的集體攻擊被稱為分布式拒絕服務攻擊(Distributed Denial of Service,DDoS)。由於分布式拒絕服務攻擊是利用TCP連接需要進行「三次握手」的特性,通過正常的TCP連接途徑進行攻擊以消耗伺服器資源為目的的,因此,對網絡防禦常見的方法是增加伺服器的數量,以增加服務方的服務能力來應付處理大量的攻擊信息。但是這種方法需要大量的資金來採購硬體和維護伺服器,對於很多資金並不富餘和沒有必要採用大量伺服器的公司來說是很不切實際的做法。
在本發明作出之前,公開號為CN1697397A的中國發明專利「一種實現網絡設備防攻擊的方法」中,公開了一種針對名為TCP SYN Flood的DDoS類型網絡攻擊的防禦方法,它採用在網絡設備中記錄每個用戶IP建立的TCP連接數量,通過判斷該用戶IP的連接數是否超過預定值,如果超過,則丟棄從該用戶IP發過來的超過連接數量的TCP SYN報文的方法,通過限制單個用戶IP的連接數量來限制該IP對網絡設備發動的TCP SYN Flood攻擊。該方法在防止單個用戶對網絡設備進行的DDoS攻擊的時候是比較有效的,但是,隨著網絡設備處理能力的發展,單個用戶通過單臺系統單個IP發動TCP SYN Flood攻擊,對目前的網絡設備造成的影響已經不是特別地嚴重,而目前出現的新型網絡攻擊更多的是從多個不同的IP位址(包含偽造的)發動TCP SYN Flood攻擊,在這種情況下,上述技術方案中所描述的記錄並限制用戶IP連接數量的防禦方法就無法有效地防禦多個IP同時發動的攻擊,並且,還會因為要記錄太多的IP信息而消耗設備資源。
發明內容
本發明的目的在於克服現有技術存在的不足,提供一種效果好、易實現的針對DDoS攻擊的網絡設備安全防禦方法。
本發明所採用的技術方案是當網絡設備在接收到TCP連接報文時進行如下步驟的操作①依據檢測規則判斷網絡設備當前是否處於被攻擊狀態,如果出現檢測規則中的狀態之一,認為網絡設備被攻擊,執行步驟②,否則進行步驟③;所述的檢測規則是a.系統中第一次握手的半連接隊列中的SYN報文數量超過正常值;b.系統中第一次握手的半連接隊列中的SYN報文超過了最大容量的95%;c.系統中第一次握手的半連接隊列中的SYN報文增長速度超過其極限值;②將系統中停留時間超過1秒的SYN報文進行拋棄;③執行系統正常的TCP連接過程。
所述的SYN報文數量的正常值為網絡設備日常處理中的平均值。
所述的SYN報文增長速度的極限值為網絡設備處理正常突發流量時每秒新增TCP連接數的最大值。
在目前的作業系統中,對TCP協議的實現通常是要維護一個半連接隊列來接收新的第一次握手信息,當該隊列中的第一次握手信息超過隊列所能容納的範圍時,該隊列便無法再接收新的TCP第一次握手信息,從而無法與客戶端建立TCP連接來提供服務,一般情況下,當檢測到下列情況之一時,便可視為系統已受到DDoS攻擊1、半連接隊列中的SYN報文數量超過全部所能容納量的95%;2、半連接隊列中的SYN報文數量在單位時間內增長速度過快;3、半連接隊列中的SYN報文量超過正常值。若網絡設備依據上述檢測規則判斷自身正在遭受DDoS攻擊,那麼將對網絡設備中存在的第一次握手信息的集合進行處理,依據拋棄規則來判斷所有第一次握手信息中的屬於攻擊的部分,然後拋棄被認定為DDoS攻擊的第一次握手信息,從而保證系統有足夠資源處理新進來的第一次握手信息,然後接受新進入的第一次握手信息,並向客戶端發送第二次握手信息,等待客戶端第三次握手信息的到來。
由於TCP協議會保存第一次握手的半連接隊列(SYN隊列),它是為了保證連接不丟失報文而建立的,而以當前的網絡鋪設情況來看,出現由於網絡線路問題而丟失消息的情況已經越來越少了,也就是說絕大部分的正常客戶端在進行三次握手的時候不會停留在第一次握手階段很長時間,因此,按照正常情況,半連接隊列中的SYN報文數量是有正常值的,而且,其中的SYN報文停留時間是非常短的,因此,可將半連接隊列中等待時間過長的SYN報文視為惡意攻擊執行拋棄,按照平均的統計時間在1秒左右,就可有效防禦網絡設備遭到DDoS的攻擊。
與現有技術相比,本發明的優點是由於依據檢測規則啟用了網絡設備是否受到攻擊的判斷程序,並將佔用系統資源的攻擊性的第一次握手請求拋棄,因此,有效地幫助系統提高對抗DDoS攻擊的能力,並且在承受DDoS攻擊的時候依然能夠接收新的客戶訪問,從而,針對DDoS對網絡設備攻擊實現了方便、有效的安全防禦,有利於推廣應用。
圖1是本發明實施例所提供的技術方案的流程圖。
具體實施例方式
下面結合附圖及實施例對本發明作進一步描述。
實施例一本實施例提供的技術方案是當客戶端發送第一次握手信息到伺服器端的時候,調用檢測規則,判斷伺服器是否處於被攻擊狀態,若沒有受到任何攻擊,系統則接受客戶端發來的第一次握手信息,並向客戶端發送第二次握手信息,等待客戶端第三次握手信息的到來;若伺服器依據檢測規則判斷自身正在遭受DDoS攻擊,那麼將對伺服器中存在的第一次握手信息的集合進行處理,依據拋棄規則來判斷所有第一次握手信息中的屬於攻擊的部分,然後拋棄被認定為DDoS攻擊的第一次握手信息,從而保證系統有足夠資源處理新進來的第一次握手信息,並接受新進入的第一次握手信息,向客戶端發送第二次握手信息,等待客戶端第三次握手信息的到來。
參見附圖1,在本實施例中,當網絡設備在接收到TCP連接報文時進行如下步驟的操作步驟10TCP連接第一次握手信息到來;步驟20啟動DDoS攻擊檢測模塊,即調用檢測規則;步驟30伺服器依據檢測規則判斷是否當前處於被攻擊狀態,所述的檢測規則是a.系統中的第一次握手的半連接隊列(SYN隊列)中的SYN報文數量是否超過正常值,一般情況下,該正常值可以按網絡設備日常處理中的一個平均值來設定;b.系統中的第一次握手的半連接隊列(SYN隊列)中的SYN報文是否超過了最大容量的95%;d.系統中的第一次握手的半連接隊列(SYN隊列)中的SYN報文增長速度是否超過其極限值,所述的增長速度的極限值為網絡設備處理正常突發流量時每秒新增TCP連接數的最大值,可以根據不同網絡設備來設定該值;步驟40如果沒有檢測到步驟30所述規則中出現的情況,則轉到步驟70繼續執行系統正常的TCP連接,如果出現步驟30所述規則中的任何一種情況,則判斷系統正遭受DDoS攻擊,轉入步驟50;步驟50啟動防禦方案,調用步驟60中的拋棄規則拋棄DDoS攻擊報文;
步驟60啟動拋棄規則將系統中停留時間超過1秒的SYN報文進行拋棄,執行完畢後轉到步驟70繼續執行系統正常的TCP連接;步驟70執行系統正常的TCP連接過程接受新的第一次握手信息、向客戶端發送第二次握手信息,等待客戶端發送第三次握手信息,建TCP連接。
針對DDoS攻擊,採用本實施例所述的防禦技術方案對網絡設備進行測試,硬體測試平臺伺服器1臺,普通PC機5臺;伺服器軟體平臺Redhat Linux2.4;測試方法利用5臺加載了DDoS攻擊軟體的PC機對伺服器進行DDoS攻擊,不斷增加攻擊的信息數量,測試CPU和RAM的佔用率的情況,並且嘗試正常的伺服器訪問請求。表1為不使用任何防禦措施的情況下的測試數據結果;表2為使用本實施例所提供的伺服器安全防禦技術方案後的測試數據結果。
表1
表2
參見表1,當DDoS攻擊的速度達到11500個/秒的時候,伺服器的CPU已經滿載,此時,對伺服器的正常訪問已經無法打開網頁。
參見表2,當DDoS攻擊的速度達到15000個/秒的時候,雖然伺服器的內存消耗較大,但此時仍然可以對伺服器進行正常訪問。
從表1、表2的測試數據中可以看出,在採用了本發明所提供的DDoS防禦方法的情況下,CPU的資源佔用極大的降低了,在承受15000個/秒的數據包攻擊的時候仍然能夠保持在60%左右的佔用率,性能提高了50%以上;而由於拋棄規則的原因,雖然佔用了一定的內存,但比在不使用DDoS防禦方法的情況下提高了40%的性能,並且在承受15000/秒的數據包攻擊的情況下,依然能夠為用戶提供正常的訪問服務。
由此可見,本發明所提供的技術方案能有效地幫助系統提高對抗DDoS攻擊的能力,並且在承受DDoS攻擊的時候依然能夠接收新的客戶訪問,這是因為在新的第一次握手請求到來的時候,將會拋棄佔用系統資源的攻擊性的第一次握手請求,以保證新請求能夠被接受,從而,針對DDoS對網絡設備攻擊實現了方便、有效的安全防禦,有利於推廣應用。
權利要求
1.一種針對DDoS攻擊的防禦方法,其特徵在於當網絡設備在接收到TCP連接報文時進行如下步驟的操作①依據檢測規則判斷網絡設備當前是否處於被攻擊狀態,如果出現檢測規則中的狀態之一,認為網絡設備被攻擊,執行步驟②,否則進行步驟③;所述的檢測規則是a.系統中第一次握手的半連接隊列中的SYN報文數量超過正常值;b.系統中第一次握手的半連接隊列中的SYN報文超過了最大容量的95%;c.系統中第一次握手的半連接隊列中的SYN報文增長速度超過其極限值;②將系統中停留時間超過1秒的SYN報文進行拋棄;③執行系統正常的TCP連接過程。
2.根據權利要求1所述的一種針對DDoS攻擊的防禦方法,其特徵在於所述的SYN報文數量的正常值為網絡設備日常處理量的平均值。
3.根據權利要求1所述的一種針對DDoS攻擊的防禦方法,其特徵在於所述的SYN報文增長速度的極限值為網絡設備處理正常突發流量時每秒新增TCP連接數的最大值。
全文摘要
本發明涉及一種計算機網絡安全技術,特別涉及一種針對DDoS攻擊的網絡設備安全防禦的方法。它採用的技術方案是啟用網絡設備是否受到攻擊的判斷程序,依據的檢測規則是1.半連接隊列中的SYN報文數量超過全部所能容納量的95%;2.半連接隊列中的SYN報文數量在單位時間內增長速度過快;3.半連接隊列中的SYN報文量超過正常值;如出現上述狀況之一便視為網絡設備受到攻擊,執行拋棄程序,將佔用系統資源的攻擊性的停留時間超過1秒的SYN報文進行拋棄,它能有效地幫助系統提高對抗DDoS攻擊的能力,並且在承受DDoS攻擊的時候依然能夠接收新的客戶訪問,從而,針對DDoS對網絡設備攻擊實現了方便、有效的安全防禦,有利於推廣應用。
文檔編號H04L9/00GK1972286SQ20061009822
公開日2007年5月30日 申請日期2006年12月5日 優先權日2006年12月5日
發明者周嘉偉, 金士堯, 許宏琪, 陳強 申請人:蘇州國華科技有限公司