抵禦拒絕服務攻擊的方法

2023-05-24 21:22:36 1

專利名稱：抵禦拒絕服務攻擊的方法
技術領域：
本發明涉及一種在網關設備上抵禦拒絕服務攻擊的方法，特別涉及基於 netfilter和syn-cookie實現防禦syn flooding攻擊的方法。
背景技術：
拒絕服務攻擊(Denial of Service, DoS)是目前比較有效而又非常難於防禦 的一種網絡攻擊方式，它的目的就是使伺服器不能夠為正常訪問的用戶提供服 務。所以，DoS對一些緊密依靠網際網路開展業務的企業和組織帶來了致命的威脅。
Syn flooding是最為有效和流行的一種DoS攻擊形式。它利用TCP三次握手 協議的缺陷，向目標主機發送大量的偽造源地址的SYN連接請求，消耗目標主 機的資源，從而不能夠為正常用戶提供服務。
Syn flooding由於其發起攻擊簡單、難以防範，且攻擊效果明顯，是目前危 害最大的DOS/DDOS攻擊之一。Syn flooding攻擊發起時，攻擊者會以每秒數萬 至數十萬個的速度向被攻擊伺服器發送偽造的TCP syn包，這些攻擊包到達服務 器後會迅速佔滿其半開連接隊列，導致後續正常連接無法建立起來。新版本的 linux在半開連接隊列的維護上作了一些改進，新到的連接請求會擠掉隊列裡最 "老"的一個連接請求，而佔據隊列裡的一個位置，這樣當攻擊結束之後，立即 可以接收新的連接，而不必等待半開連接超時。但是這種方法並不能抵禦syn flooding攻擊，因為攻擊進行時，偽造的syn包流量非常大，正常連接請求的syn 包即使能夠搶佔半開連接隊列中的一個位置，也會在其完成TCP三次握手前被 偽造的syn包擠出隊列，正常連接同樣無法建立起來。
如果被攻擊的伺服器部署在一個網關設備所保護的網絡之內，並且該網關設 備啟用了狀態檢測包過濾或NAT功能——事實上這種情況非常常見，那麼該網 關設備也會受到攻擊的影響。狀態檢測和NAT都需要維護一個連接表，syn flooding攻擊時，系統要為每一個syn包建立一個表項，很顯然，即使該網關設 備有很高的性能，能支持百萬連接，其連接表也會在數秒內被耗盡。 一旦連接表被耗盡，後續連接將無法建立，這樣一來不單是被攻擊的伺服器無法訪問，所有 需要通過該網關設備的訪問和服務都將無法進行。所以，防火牆這類網關設備對 防禦syn flooding攻擊的需求，顯得比伺服器更為重要。
目前，linux內核裡已實現了 syn-cookie，其基本思想是，任何一個syn包到 來時，先不為其分配任何資源，而是立即回應一個syn/ack包，該包中的TCP序 列號利用原syn包的特徵欄位和一個密鑰使用一定的加密算法或散列算法算得， 這個序列號就是一個cookie。如果前面提到的這個syn包是一個正常訪問的開始， 那麼客戶端收到syn/ack後會回應一個ack包，並以cookie+l作為該ack包的ack 值，伺服器收到ack包後會驗證cookie的正確性，如果正確，則接受該連接，否 則丟棄。而如果syn包是攻擊者偽造的，那麼它將收不到回應的syn/ack，即使 它再次偽造一個ack包，到達伺服器後也無法通過cookie的驗證，只會被靜靜的 丟棄。通過這種驗證機制，syn-cookie可以從大量的syn包中挑出正常的連接並 為其服務，而阻攔住偽造的連接。但是，linux內核裡的syn-cookie其設計上只 是保護了 li皿x系統本身，對於通過它轉發的syn flooding攻擊，或者說當它作為 一個網關時對於內部網伺服器所遭受的synflooding攻擊，它卻無能為力。
Netfilter是linux下的一個包過濾工具，為大多數linux平臺防火牆設備所採 用，netfilter支持狀態檢測和NAT，使用這兩種功能時需要維護一個連接表，任 何一個TCP包(不僅僅是TCP包)只要不是巳知連接的一部分，都要在連接表 中為其創建一個表項。Netfilter的這一特點使得它在syn flooding攻擊進行時會 成為重要的受害者。
隨著網絡技術的發展，帶有狀態檢測和NAT功能的網關設備被廣泛使用， 而一旦攻擊爆發，不單單是被攻擊者失效，網關也會因為不堪重負而失效， 一旦 網關失效，整個內部網與外部的連接將被中斷。本發明正是在這樣一種情況下產 生的，旨在網關設備上實現syn flooding攻擊防禦，保護網關本身和內部網絡。

發明內容
本發明的目的是提供一種基於netfilter和syn-cookie抵禦拒絕服務攻擊如syn flooding攻擊的方法。
5實現本發明目的的主要方法是，在客戶端與伺服器之間的網關中設置一個抵 御拒絕服務攻擊的裝置，該裝置利用syn-cookie機制驗證syn連接請求的真實性， 如果通過驗證，則放行syn連接請求並維護該連接，否則，阻斷連接。
在一個具體實施例中，本發明通過在客戶端與伺服器之間的網關中設置一個
抵禦拒絕服務攻擊的裝置實現抵禦拒絕服務攻擊的方法，該裝置執行以下步驟
(1) 攔截客戶端發送的包含源IP、源埠、目的IP、目的埠、 TCP序列 號的syn連接請求；
(2) 針對所述syn連接請求，利用一個本地密鑰，生成一個與所述syn關 聯的代理TCP序列號x;
(3) 向客戶端返回包含代理TCP序列號的syn/ack數據包；
(4) 接收客戶端收到所述syn/ack數據包後回應的包含x+l序列號的ack數
據包；
(5) 利用所述代理TCP序列號x驗證ack數據包中的x+l序列號；
(6) 當通過驗證時，利用所收到的ack數據包所含有的源IP、源埠、目的 IP、目的埠和密鑰以及x+l序列號構造syn數據包，然後以客戶端身份向服務 器發送包含所構造的syn數據包的syn連接請求，由此建立客戶端與伺服器的連 接；
(7) 當驗證未通過時，不向伺服器發送連接請求。
其中，在所述步驟(6)中，抵禦拒絕服務攻擊的裝置還檢査所構造的syn 數據包是否符合netfilter規則。
其中，當檢査確認所收到的syn數據包符合netfilter規則時，將用於該syn 連接的連接表項插入連接表中，以便實現連接跟蹤，並對網絡地址轉換提供支持。
其中，所述連接表項包含源IP、源埠、目的IP、目的埠、客戶端TCP 序列號和伺服器端TCP序列號。
當通過了上述步驟(5)所述的驗證時，抵禦拒絕服務攻擊的裝置還將客戶 端地址即源IP位址添加到白名單地址列表中，在此情況下，本發明的方法還包 括以下步驟；
當抵禦拒絕服務攻擊的裝置攔截客戶端發起的syn連接請求時，首先檢查 syn數據包中的源IP位址是否在白名單地址列表中，如果在白名單地址列表中，則直接利用收到的syn數據包向伺服器發起連接 請求；
如果不在白名單地址列表中，則執行所述步驟(2)至(7)。
其中，所述抵禦拒絕服務攻擊的裝置是syn-cookie模塊。
其中，所述代理TCP序列號x是根據syn數據包的源IP、源埠、目的IP、 目的埠 、 TCP序列號和密鑰，利用md5散列算法算出的一個cookie。
其中，所述syn-cookie模塊攔截伺服器響應網關發送的syn數據包而返回的 syn/ack數據包，將該數據包中的序列號設為cookie+l後，把該syn/ack數據包轉 發給客戶端，其中該syn/ack數據包中的TCP窗口大小為伺服器端真實窗口大小。
然後，所述syn-cookie模塊向伺服器轉發客戶端響應網關所轉發的syn/ack 數據包後回應的ack數據包。
由此可見，本發明的方法維護兩個鍊表，一個白名單地址列表和一個連接表。 如果一個連接通過了 syn-cookie的驗證，其客戶端的IP位址就被加到白名單地 址列表中，該地址的後續連接則不需通過驗證而被直接放行，對於某些應用，比 如web訪問，第一個連接之後會有大量的後續連接，採用這種白名單地址列表 後，可以大大提高訪問速度和系統效率。使用syn-cookie機制時，客戶端和服務 器沒有直接進行TCP的三次握手，而是通過syn-cookie模塊這個中間者間接建 立起了連接，所以原則上客戶端和伺服器都不知道對方的TCP序列號，而只知 道syn-cookie模塊使用的中間序列號(cookie值)，在這裡，我們可以推算出客 戶端使用的序列號並告知伺服器，但伺服器端使用的序列號客戶端還是不知道， 這時就需要一個連接表，表中的每一項紀錄一個連接雙方的地址、埠和序列號 等一些信息，當這個連接後續的數據包通過網關時，則依照連接表中的信息修改 其TCP序列號和ack值。
如果數據包在經過netfilter時進行了網絡地址轉換，則其IP位址或埠信息 會被改變，本方法在netfilter的POSTROUTING和INPUT兩個鏈中以最低優先 級各註冊了一個鉤子函數，在數據包離開netfilter之前再次査看其源IP、目的IP、 源埠、目的埠，並更新連接表中對應的信息，只有這樣，當這個數據包的回 應包到來時，系統才可以通過連接表正確的識別出來。


圖l是本發明的配置示意圖2描述四個鉤子函數在netfilter中的位置；
圖3描述數據包交互過程；
圖4描述hook_pr函數的處理流程。
具體實施例方式
圖1顯示了實現本發明的抵禦拒絕服務攻擊方法的配置，從圖1中可以看 到，本發明在網關中設置了一個抵禦拒絕服務攻擊的裝置，並利用該裝置抵禦拒 絕服務攻擊。
如圖3所示，該拒絕服務攻擊的裝置通過執行以下步驟抵禦拒絕服務攻擊
(1) 攔截客戶端發送的包含源IP、源埠、目的IP、目的埠、 TCP序列 號的syn連接請求；
(2) 針對所述syn連接請求，利用一個本地密鑰，生成一個與所述syn關 聯的代理TCP序列號x;
(3) 向客戶端返回包含代理TCP序列號的syn/ack數據包；
(4) 接收客戶端收到所述syn/ack數據包後回應的包含x+l序列號的ack數 據包；；
(5) 利用所述代理TCP序列號x驗證ack數據包中的x+l序列號；
(6) 當通過驗證時，利用所收到的ack數據包所含有的源IP、源埠、目的 IP、目的埠和密鑰以及x+l序列號構造syn數據包，然後以客戶端身份向服務 器發送包含所構造的syn數據包的syn連接請求，由此建立客戶端與伺服器的連 接；
(7) 當驗證未通過時，不向伺服器發送連接請求。
其中，在所述步驟(6)中，抵禦拒絕服務攻擊的裝置還檢査所構造的syn 數據包是否符合netfilter規則。
其中，當檢査確認所收到的syn數據包符合netfilter規則時，將用於該syn 連接的連接表項插入連接表中，以便實現連接跟蹤，並對網絡地址轉換提供支持。
其中，所述連接表項包含源IP、源埠、目的IP、目的埠、客戶端TCP
8序列號和伺服器端TCP序列號。
當通過了上述步驟(5)所述的驗證時，抵禦拒絕服務攻擊的裝置還將客戶 端地址即源IP位址添加到白名單地址列表中，在此情況下，本發明的方法還包 括以下步驟
當抵禦拒絕服務攻擊的裝置攔截客戶端發起的syn連接請求時，首先檢查 syn數據包中的源IP位址是否在白名單地址列表中，
如果在白名單地址列表中，則直接利用收到的syn數據包向伺服器發起連接 請求；
如果不在白名單地址列表中，則執行所述步驟(2)至(7)。
其中，所述抵禦拒絕服務攻擊的裝置是syn-cookie模塊。
其中，所述代理TCP序列號x是根據syn數據包的源IP、源埠、目的IP、
目的埠、 TCP序列號和密鑰，利用md5散列算法算出的一個cookie。
其中，所述syn-cookie模塊攔截伺服器響應網關發送的syn數據包而返回的
syn/ack數據包，將該數據包中的序列號設為cookie+l後，把該syn/ack數據包轉
發給客戶端，其中該syn/ack數據包中的TCP窗口大小為伺服器端真實窗口大小。 然後，所述syn-cookie模塊向伺服器轉發客戶端響應網關所轉發的syn/ack
數據包後回應的ack數據包。這樣就建立了連接。 下面描述在圖1所示環境中的數據包交互過程。 圖3描述了本方法在處理正常連接和攻擊包時的交互過程。
① 客戶端發起正常連接時，首先向伺服器發送一個syn包。
② 網關攔截住syn包，根據該包的源IP、源埠、目的IP、目的埠、 TCP 序列號和一個密鑰，使用md5散列算法計算出一個cookie，以cookie作為TCP 序列號，構造一個syn/ack包，包中TCP窗口大小設為0，將該包直接發往客戶 端。
③ 客戶端收到Syn/ack後會回應一個ack包，該ack包的ack值為cookie+l ， 利用相同的信息源IP、源埠、目的IP、目的埠、 TCP序列號(ack包的序 列號減1即為源syn包的序列號)和密鑰來驗證cookie的正確性。如果客戶端發 起的是正常連接，這裡一定會通過驗證。通過驗證之後，網關為該連接建立連接 表項，這時，在客戶端看來，連接已經建立起來，但是從伺服器看來連接還沒有開始建立，不過，我們在第①步告訴了客戶端伺服器的TCP窗口大小為0，所以 客戶端現在不會向伺服器發送帶有應用數據的包。下一步網關將以客戶端的身份 向伺服器發起連接。
④ 網關以客戶端的身份向伺服器發起連接，利用上一步驟收到的ack包構造 一個與第①步相同的syn包，將syn包交給內核，內核會檢査netfilter規則，如 果規則允許該包通過則放行，並將連接表項插入到連接表中，否則將包丟棄，釋 放連接表項。
⑤ 伺服器收到syn包後會回應一個syn/ack包，網關攔截該包，記錄下其序 列號，然後將包中的序列號設為cookie+l，將包交給內核作後續處理，內核會把 包專發給客戶端。這個包中TCP窗口大小為伺服器端真實的窗口大小，網關未 作修改。
⑥ 客戶端收到這個syn/ack後會發現這是一個重複的數據包，不過窗口大小 已作了修改，這時它會回應一個與第(D步相同的ack包，網關收到該包後修改其 ack值，然後專發到伺服器。現在客戶端和伺服器之間的連接已經完全建立起來 了，可以正常交互應用數據。
⑦ 客戶端向伺服器發送數據時，網關修改數據包的ack值。
⑧ 伺服器向客戶端發送數據時，網關修改數據包的序列號。
⑨ 如果是攻擊者發起了 syn flooding攻擊，攻擊包到達網關時，會被丟棄， 雖然網關會為每一個包回應一個syn/ack，但攻擊者因為是偽造的源地址所以無 法收到回應包，也就無法偽造帶cookie的ack包，攻擊包被攔截在網關入口處， 不會對netfilter和伺服器以及內部網絡造成危害。
接著描述程序流程。
(1) 、在netfilter中註冊鉤子函數
如圖2所示，在PREROUTING鏈以最高優先級註冊函數hook_pr，在 OUTPUT鏈以最高優先級註冊函數hook—ou，在POSTROUTING鏈以最低優先 級註冊函數hook_po,在INPUT鏈以最低優先級註冊函數hook一in。
(2) 、函數hookjr
圖4描述了函數hookjr的處理流程。首先截獲所有的TCP包，根據TCP 標誌的不同作不同的處理。如果只有syn標誌，則可能是一個新連接的開始或者syn flooding攻擊洪流 裡的一個包，這裡先檢査syn包的源IP位址是否在白名單地址列表中，如果在， 說明該地址已經通過了 syn-cookie的驗證，這裡不對該包做任何處理，直接交給 內核；如果不在，則利用syn包的源IP、源埠、目的IP、目的埠、 TCP序 列號和一個密鑰，使用md5散列算法計算出一個cookie，用該cookie作為序列 號為syn包回應一個syn/ack，然後將syn包丟棄，函數返回。需要說明一下，syn/ack 包被直接添加到網卡的發送隊列，而不再經過netfilter和內核的其它處理。
如果只有ack標誌，首先驗證其ack-l是否為一個正確的cookie。第一，如 果是，說明該包是對syn/ack的回應，是一個正常的訪問者在試圖建立連接，那 麼就將該訪問者的IP位址添加到白名單地址列表中，然後為該連接構造一個連 接表項，連接表項中記錄該連接的相關信息，當該連接的後續包到來時，可以通 過該連接表項識別出來，並對包做相應的處理。之後，本模塊構造一個源為訪問 者，目的為伺服器的syn包——根據ack包的信息可以構造出這樣一個syn包， syn包的序列號為ack包的序列號減1，這樣可以使伺服器知道客戶端的序列號， 當伺服器再向客戶端發包時就會設置正確的ack值，而不用本模塊對其再進行修 改。最後，將syn包交內核處理，而將ack包丟棄，函數返回。需要說明的是， 上面提到的連接表項在這個函數裡僅僅是構建它，而並不將它立即插入到連接表 中，因為這個連接可能被netfilter的規則所拒絕，連接被拒絕了連接表項也就沒 有用處，這裡將連接表項"依附"到剛剛構造的那個syn包上，如果syn包被netfilter 丟棄，在內核釋放syn包佔用的空間時，也將連接表項釋放，如果syn包能夠順 利的通過netfilter的規則，則在它離開netfilter的最後時刻將連接表項插入到連 接表中，在後面的函數中還會提到這個問題。第二，如果驗證cookie失敗，則 按下一個段落的流程進行處理。
對於所有其它的TCP包，按下面的流程進行處理。首先査看連接表，如果
該包不是已知連接的一部分，則直接交內核處理，函數返回；如果是已知連接的 一部分，對於客戶端發往伺服器的包，修改ack值，對於伺服器發往客戶端的包， 修改序列號，然後根據TCP標誌修改連接表項中的連接狀態，如果連接已斷開， 則根據rfc的規定等待一段時間後刪除連接表項，最後將修改過的數據包交給內 核繼續處理，函數返回。
11(3) 、函數hook—ou
本機發出的數據包首先會經過這裡，這裡可以使用和函數hook一pr相同的處 理流程，對本機發出的syn包進行驗證，但我們認為本機發出的都是真實的連接 請求，而不是偽造的攻擊包，所以這裡對於帶有syn標誌的包就直接交給內核作 後續處理，其它TCP包的處理方式和函數hookjr相同。
(4) 、函數hook_po禾口 hook一in
這兩個函數的流程完全相同，是數據包離開netfilter前的最後一個環節。同 樣，首先截獲所有TCP包，檢査數據包上是否"依附"有一個連接表項，如果 沒有則把數據包交給內核處理，函數返回；如果有，則根據數據包的內容再次更 新連接表項的內容，因為數據包在通過netfilter的過程中數據包內容可能會被它 修改，比如做NAT等，更新連接表項後將該表項插入到連接表中，脫離連接表 項和數據包的依附關係，將數據包交內核處理，函數返回。
(5) 、連接表的維護
連接表中的每一項都記錄著它所對應的TCP連接的狀態，TCP每一個狀態 都有一個超時時間，超時之後會通過定時器將連接表項從連接表中刪除。連接表 的總大小有一個限制，連接表滿後如果還有新的連接需要加入，則刪除連接表中 最"老"的連接表項，而將新的連接加入。連接表利用源地址、目的地址、源端 口、目的埠的8位hash值作索引進行査找。由於使用了 "白名單地址列表"， 連接表不會增長到很大，很容易維護。
(6) 、白名單地址列表的維護
通過了 syn-cookie驗證的客戶端地址會被添加到白名單地址列表中，該客戶 端的後續連接建立時不再進行syn-cookie驗證，這樣可以提高連接建立的速度和 系統效率。列表中的地址都有一個超時時間，超時後被刪除，限制列表的總大小， 列表滿時如果還有新的地址需要加入，則刪除列表中最"老"的地址，再將新的 地址加入。
儘管上文對本發明進行了詳細說明，但是本技術領域技術人員將會明白可以 根據本發明的原理對上文的細節進行修改，因此本發明的保護範圍應當由所附權 利要求確定。
權利要求
1、一種抵禦拒絕服務攻擊的方法，其中在客戶端與伺服器之間的網關中設置一個抵禦拒絕服務攻擊的裝置，該裝置執行以下步驟利用syn-cookie機制驗證syn連接請求的真實性；如果通過驗證，則放行syn連接請求並維護該連接，否則，阻斷連接。
2、 一種抵禦拒絕服務攻擊的方法，其中在客戶端與伺服器之間的網關中設 置一個抵禦拒絕服務攻擊的裝置，該裝置執行以下步驟(1) 攔截客戶端發送的包含源IP、源埠、目的IP、目的埠、 TCP序列 號的syn連接請求；(2) 針對所述syn連接請求，利用一個本地密鑰，生成一個與所述syn關 聯的代理TCP序列號x;(3) 向客戶端返回包含代理TCP序列號的syn/ack數據包；(4) 接收客戶端收到所述syn/ack數據包後回應的包含x+l序列號的ack數據包；(5) 利用所述代理TCP序列號x驗證ack數據包中的x+l序列號；(6) 當通過驗證時，利用所收到的ack數據包所含有的源IP、源埠 、目的 IP、目的埠和密鑰以及x+l序列號構造syn數據包，然後以客戶端身份向服務 器發送包含所構造的syn數據包的syn連接請求，由此建立客戶端與伺服器的連 接；(7) 當驗證未通過時，不向伺服器發送連接請求。
3、 根據權利要求2所述的方法，其中在所述步驟(6)中，抵禦拒絕服務攻 擊的裝置還檢査所構造的syn數據包是否符合ne伍lter規則。
4、 根據權利要求3所述的方法，其中當檢查確認所收到的syn數據包符合 netfilter規則時，將用於該syn連接的連接表項插入連接表中。
5、 根據權利要求4所述的方法，其中所述連接表項包含源IP、源埠、目 的IP、目的埠、客戶端TCP序列號和伺服器端TCP序列號。
6、 根據權利要求2所述的方法，其中當通過步驟(5)所述的驗證時，抵禦 拒絕服務攻擊的裝置還將客戶端地址即源IP位址添加到白名單地址列表中。
7、 根據權利要求6所述的方法，還包括以下步驟當抵禦拒絕服務攻擊的裝置攔截客戶端發起的syn連接請求時，首先檢查 syn數據包中的源IP位址是否在白名單地址列表中，如果在白名單地址列表中，則直接利用收到的syn數據包向伺服器發起連接 請求；如果不在白名單地址列表中，則執行步驟(2)至(7)。
8、 根據權利要求2所述的方法，其中所述抵禦拒絕服務攻擊的裝置是 syn陽cookie模塊。
9、 根據權利要求8所述的方法，其中所述代理TCP序列號x是根據syn數 據包的源IP、源埠、目的IP、目的埠、 TCP序列號和密鑰，利用md5散列 算法算出的一個cookie。
10、 根據權利要求9所述的方法，其中所述syn-cookie模塊攔截伺服器響應 網關發送的syn數據包而返回的syn/ack數據包，將該數據包中的序列號設為 cookie+l後，把該syn/ack數據包轉發給客戶端。
全文摘要
本發明涉及一種基於netfilter和syn-cookie實現的，防禦syn洪流(synflooding)攻擊的方法。本發明在網關中設置一個netfilter，利用syn-cookie機制來驗證syn包的真實性，通過驗證的syn請求被放行，沒有通過驗證的請求被攔截。
文檔編號H04L12/24GK101436958SQ20071017738
公開日2009年5月20日 申請日期2007年11月16日 優先權日2007年11月16日
發明者李有永, 塗福恩, 睿 王, 申龍哲, 潔 馬 申請人:太極計算機股份有限公司