一種防範syn洪泛攻擊的方法及路由器設備的製作方法
2023-05-21 11:04:16 1
專利名稱:一種防範syn洪泛攻擊的方法及路由器設備的製作方法
技術領域:
本發明涉及一種在路由器設備上建立TCP連接時防範syn洪泛攻擊 的方法,還涉及一種在路由器設備上建立TCP連接時防範syn洪泛攻擊 的路由器設備。
背景技術:
隨著寬帶接入技術的不斷發展,人們越來越離不開網絡所帶來的信息 以及服務平臺,但是對網絡的依賴性越大,對網絡的安全性的要求也越高。在目前的情況下,拒絕服務攻擊已經成為黑客攻擊的主要手段,而這 種攻擊的對象大多是www伺服器,這種服務是基於TCP協議的,對於 TCP協議的服務,採取syn洪泛(syn flood)的攻擊是很難防範的。目前 syn洪泛成了最流行的拒絕服務的攻擊方式了 。一個正常的TCP連接需要三次握手,首先客戶端要發一個包含syn 標誌位的數據包,然後伺服器返回一個syiAack應答包,表示客戶端的請 求被接受,最後客戶端再返回一個ack數據包表示連接完成。如圖1所示,為TCP伺服器遭受syn洪泛攻擊示意圖。syn洪泛攻擊 主要是通過向伺服器發送多個syn請求,但是在伺服器返回一個syn\ack 應答包後,又不回應伺服器發起的syn-ack請求,來達到消耗伺服器資源 的目的,導致伺服器資源耗盡,從而讓伺服器拒絕正常的服務請求。這樣的攻擊極大的影響的伺服器對正常服務的相應,對企業和門戶網 站的運作有嚴重的威脅。
發明內容
本發明要解決的技術問題是提供一種在建立TCP連接時防範syn洪 泛攻擊方法以及路由器設備,實現代理伺服器對客戶機發起的TCP連結 的響應,大大的節省了資源,提高了資源的利用率,達到了提高設備安全 性的效果。為了解決上述問題,本發明提供了一種在建立TCP連接時防範syn 洪泛攻擊方法,包括設置代理水線以及攻擊水線;當半連結數超過代理 水線時,在路由器設備上用路由器代替伺服器進行TCP連接的建立,建 立TCP連接後再代替客戶機給伺服器發起TCP連接;當半連結數增大至 攻擊水線時,在收到一個syn報文後,對存在時間最長的半連結進行老化, 並縮短超時重傳時間,直至將半連結數推出水線數目,則重新進入正常的 工作模式;進一步的,本發明所述的方法,其中,所述代理水線,為觸發路由器 代替伺服器建立TCP連接後產生的半連結數量的門限值,以保護伺服器 免受攻擊;進一步的,本發明所述的方法,其中,所述攻擊水線,為啟動對半鏈 接進行老化操作的半連結數量的門限值,用以保護路由器;進一步的,本發明所述的方法,其中,所述超時重傳時間,第一次設 置為l秒,之後依次增加,重傳若干次後,路由器還無法得到伺服器或者 客戶端的包,則認為該建鏈包為非法,將之丟棄;進一步的,本發明所述的方法,其中,包括以下步驟(1) 正常情況下處於監控模式,收到客戶機發送的syn報文,直接 查找路由將其發送,並記錄該TCP連接;(2) 如果發現半連結數超過代理水線,則進入攔截模式,由路由器 代理伺服器進行建立TCP連接的操作;(3) 如果發現半連結數達到攻擊水線,則進入攻擊模式,刪除冗餘 的半連結條目;(4) 如果發現半連結數小於代理水線,則重新進入監控模式,正常
工作;本發明所述的方法,其中,所述步驟(2),當路由器收到一個TCP 連接請求時,進一步包括以下步驟(i) 生成TCP連結信息表,並代替伺服器相應客戶機發起的連接請求;(ii) 如果該請求是正常訪問,客戶機在收到路由器發的ack報文後 會發送確認報文來完成TCP連接的建立;此時,TCP存儲記錄的狀態為 半連接狀態;(iii) 利用所存儲的外網主機發送過來的TCP連接請求報文,替代外 網主機,與內網受保護的伺服器建立TCP連接;(iv) 當連接成功後,路由器保留TCP連接記錄,此時修改TCP存 儲記錄的狀態,將原來的半連接狀態改成全連接狀態;本發明所述的方法,其中,所述步驟(ii),進一步包括 如果該請求是非正常訪問,為攻擊報文,則不會將其發送伺服器進行 下一步連接;進一步的,本發明所述的方法,其中,所述步驟(3),包括當發 現半連結數達到攻擊水線,進入攻擊模式,此時每收到一個客戶機發起的 TCP連接請求,則路由器將存在時間最長的半連結條目刪除,並縮短重傳 時間,使攻擊連結更快地被刪除;為了解決上述問題,本發明還提供了 一種防範syn洪泛攻擊的路由器 設備,包括外網終端、內網伺服器以及作為內部網關的路由器,其特徵 在於,所述路由器中,還包括一個syn代理模塊,用於配置代理水線以及攻擊水線;當半連結數超 過代理水線時,觸發路由器代理伺服器建立TCP連接;當半連結數增大 至攻擊水線時,啟動對存在時間最長的半連結項進行老化,並將縮短超時 重傳時間;進一步的,本發明所述的方法,其中,所述代理水線,為觸發路由器 代替伺服器建立TCP連接後產生的半連結數量的門限值,以保護伺服器
免受攻擊;所述攻擊水線,為啟動對半連結進行老化操作的半連結數量的 門P艮值,用以保護路由器;所述超時重傳時間,第一次設置為l秒,之後 依次增加,重傳若干次後,路由器還無法得到伺服器或者客戶端的包,則 認為該建鏈包為非法,將之丟棄;進一步的,本發明所述的方法,其中,所述syn代理模塊獲取的信息, 包括TCP連接建立的源IP位址、目的IP位址、源埠號、目的埠號、 TCP連接存在的時間、超時的時間、最近1分鐘TCP連接的建立數、當 前配置的資源是否受到了攻擊、TCP連接的狀態以及當前的配置;進一步的,本發明所述的方法,其中,syn代理模塊支持在使用的過 程中更改超時時間、水線攻擊的配置,而不改變當前的TCP連接;進一步的,本發明所述的方法,其中,syn代理模塊提供給用戶當前 的全連結數以及半連結數信息,為用戶的配置和使用提供參考;進一步的,本發明所述的方法,其中,syn代理模塊具有報警功能, 根據水線攻擊的配置檢測到當前的資源是否受到了攻擊;並且自動給用戶 報警,提醒用戶資源受到了攻擊;進一步的,本發明所述的方法,其中,syn代理模塊根據當前受到攻 擊而動態地縮短超時時間參數,使攻擊連結更快地被刪除。採用本發明所述方法,與現有技術相比,啟動了syn代理功能後,於 為啟動syn代理功能相比,由於本發明實現代理伺服器對客戶機發起的 TCP連結的響應,因此大大的節省了資源,提高了資源的利用率;即使在 大量syn洪泛攻擊的情況下依然能正常的處理外網的服務,達到了提高設 備安全性的效果。
圖1為TCP伺服器遭受syn洪泛攻擊示意圖; 圖2為本發明實施例中監控模式下工作示意圖3為本發明實施例中攔截模式下與外網交互的工作示意圖;圖4為本發明實施例中攔截模式下與內網伺服器交互的工作示意圖;圖5為本發明實施例中攻擊模式下的工作示意圖;圖6為本發明實施例中防範syn洪泛攻擊的路由器結構圖。
具體實施方式
本發明為了解決傳統技術方案存在的弊端,通過以下具體實施例進一 步闡述本發明所述的一種在建立TCP連接時防範syn洪泛攻擊方法,以 下對具體實施方式
進行詳細描述,但不作為對本發明的限定。本發明所述在路由器設備用路由器模擬伺服器響應客戶機的連結請 求,主要步驟如下第一步,如圖2所示,為本發明實施例中監控模式下工作示意圖;正 常情況下處於監控模式,收到客戶機發送的syn報文直接查找路由,並將 其發送;第二步,當發現半連結數超過代理水線的時候進入攔截模式;在監控模式下,路由器為了達到最大的轉發效率,在威脅較小的監控 模式下不代替伺服器建立三次握手,僅僅是記錄報文信息;但當半連結數 達到代理水線的時候,路由器就認為可能出於攻擊之下了,為了保護服務 器,路由器就進入攔截模式了,代理伺服器進行TCP三次握手;攔截模式的處理機制是A) 如圖3所示,為本發明實施例中攔截模式下與外網交互的工作示 意圖;當路由器收到一個TCP的連結請求時,並不立即發送給伺服器, 而是生成一個TCP連結信息表,並代替伺服器相應客戶機發起的連結請 求,如果該請求是正常訪問,客戶機在收到路由器發的ack報文後會發送 確認報文來完成三次握手,攻擊報文則不會;B) 如圖4所示,為本發明實施例中攔截模式下與內網伺服器交互的 工作示意圖;如果客戶機發起的是正常訪問,在完成三次握手後路由器會
再利用存儲的外網主機發送過來的TCP連接請求報文來替代外網主機和內網受保護伺服器3次握手來建立TCP連接,至此,TCP存儲記錄的狀 態為半連接狀態;當連接成功後路由器仍保留TCP連接記錄,只不過要 修改TCP存儲記錄的狀態,將原來的半連接狀態改成全連接狀態;第三步,如圖5所示,為本發明實施例中攻擊模式下的工作示意圖; 當發現半連結數達到攻擊水線,則進入攻擊模式,此時收到一個客戶機發 起的TCP連結請求,路由器會將最老的半連接條目刪除;代替伺服器建立三次握手確實^艮好的保護了內網伺服器,但是路由器 把自己暴露在了攻擊之下,為了保護自己,本方案採取了一種攻擊水線的 機制,當發現半連結數到達攻擊水線,則進入攻擊模式,收到TCP連結 請求的同時老化之前的半連結項;在攔截模式下,路由器會偽裝成伺服器或是客戶端發出建鏈包,由於 IP層提供的是非保證服務,為此,路由器提供了建鏈包重傳的機制;重傳的規則是第一次重傳時間為ls,以後依次是2s, 4s, 8s,重傳 4次後,依然得不到客戶端或是伺服器的包,我們就認為這樣的建鏈包為 非法包,將TCP的連結表項丟棄,這樣就可以保證正常的建鏈包可以正 常的建立連結;由此,在上述對半連結項進行老化操作的同時,Syn代理可以根據當 前受到攻擊而動態的調整超時時間參數為原來一半,使攻擊的連結能夠快 速的刪除,伺服器能得到更好的保護;第四步,當^r查發現半連結數小於代理水線則重新進入監控模式如圖6所示,為本發明實施例中防範syn洪泛攻擊的路由器結構圖。 在由外網終端61、內網伺服器62以及路由器63組成的系統中,其中路 由器63,包括夕卜網接口 631、本地接口 632、路由模塊633以及Syn代 理模塊634;Syn代理模塊634,用於配置代理水線以及攻擊水線;當半連結數超過代理水線時,觸發路由器63代理伺服器62進行TCP的三次握手;當 半連結數增大至攻擊水線時,啟動對存在時間最長的半連結項進行老化, 並將縮短超時重傳時間;通過syn代理模塊634可以獲取的信息TCP連結建立的源IP位址、 目的IP位址、源埠號、目的埠號、TCP連結存在的時間、超時的時 間、最近1分鐘TCP連結的建立數、當前配置的資源是否受到了攻擊、 TCP連結的狀態以及當前的配置;其配置更改靈活,可以在使用的過程中更改超時時間、水線攻擊的配 置,而使當前的連結不受任何影響;可以提供給用戶當前的全連結數,半 連結數等信息,為用戶的配置和使用提供參考;並且具有報警功能,會根 據水線攻擊的配置檢測到當前的資源受到了攻擊,其會自動給用戶報警, 提醒用戶當前需要保護的資源可能受到了攻擊,使用戶可以採取進一步積 極的措施;還可以根據當前受到攻擊而動態的調整超時時間參數為原來一 半,使攻擊的連結能夠快速的刪除,伺服器能得到更好的保護。當然,本發明還可有其他多種實施例,在不背離本發明精神及其實質 的情況下,熟悉本領域的技術人員可根據本發明做出各種相應的改變和變 形,但這些相應的改變和變形都應屬於本發明所附的權利要求的保護範
權利要求
1、一種在建立TCP連接時防範syn洪泛攻擊方法,其特徵在於,設置代理水線以及攻擊水線;當半連結數超過代理水線時,在路由器設備上用路由器代替伺服器進行TCP連接的建立,建立TCP連接後再代替客戶機給伺服器發起TCP連接;當半連結數增大至攻擊水線時,在收到一個syn報文後,對存在時間最長的半連結進行老化,並縮短超時重傳時間,直至將半連結數推出水線數目,則重新進入正常的工作模式。
2、 如權利要求1所述的方法,其特徵在於,所述代理水線,為觸發 路由器代替伺服器建立TCP連接後產生的半連結數量的門限值,以保護 伺服器免受攻擊。
3、 如權利要求1所述的方法,其特徵在於,所述攻擊水線,為啟動 對半連結進行老化操作的半連結數量的門限值,用以保護路由器。
4、 如權利要求1所述的方法,其特徵在於,所述超時重傳時間,第 一次設置為l秒,之後依次增加,重傳若干次後,路由器還無法得到服務 器或者客戶端的包,則認為該建鏈包為非法,將之丟棄。
5、 如權利要求l所述的方法,其特徵在於,包括以下步驟(1) 正常情況下處於監控模式,收到客戶機發送的syn報文,直接 查找路由將其發送,並記錄該TCP連接;(2) 如果發現半連結數超過代理水線,則進入攔截模式,由路由器 代理伺服器進行建立TCP連接的操作;(3) 如果發現半連結數達到攻擊水線,則進入攻擊模式,刪除冗餘 的半連結條目;(4) 如果發現半連結數小於代理水線,則重新進入監控模式,正常工作。
6、 如權利要求5所述的方法,其特徵在於,所述步驟(2),當路由 器收到一個TCP連接請求時,進一步包括以下步驟.(i)生成TCP連結信息表,並代替伺服器相應客戶機發起的連接請 求;(ii) 如果該請求是正常訪問,客戶機在收到路由器發的ack報文後 會發送確認報文來完成TCP連接的建立;此時,TCP存儲記錄的狀態為 半連接狀態;(iii) 利用所存儲的外網主機發送過來的TCP連接請求報文,替代外 網主機,與內網受保護的伺服器建立TCP連接;(iv) 當連接成功後,路由器保留TCP連接記錄,此時修改TCP存 儲記錄的狀態,將原來的半連接狀態改成全連接狀態。
7、 如權利要求6所述的方法,其特徵在於,所述步驟(ii),進一步 包括如果該請求是非正常訪問,為攻擊報文,則不會將其發送伺服器進行 下一步連接。
8、 如權利要求5所述的方法,其特徵在於,所述步驟(3),包括當發現半連結數達到攻擊水線,進入攻擊模式,此時每收到一個客戶 機發起的TCP連接請求,則路由器將存在時間最長的半連結條目刪除, 並縮短重傳時間,使攻擊連結更快地被刪除。
9、 一種防範syn洪泛攻擊的路由器設備,包括外網終端、內網服 務器以及作為內部網關的路由器,其特徵在於,所述路由器中,還包括一個syn代理模塊,用於配置代理水線以及攻擊水線;當半連結數超 過代理水線時,觸發路由器代理伺服器建立TCP連接;當半連結數增大 至攻擊水線時,啟動對存在時間最長的半連結項進行老化,並將縮短超時 重傳時間。
10、 如權利要求9所述的設備,其特徵在於,所述代理水線,為觸發 路由器代替伺服器建立TCP連接後產生的半連結數量的門限值,以保護 伺服器免受攻擊;所述攻擊水線,為啟動對半連結進行老化操作的半連結數量的門限 值,用以保護路由器; 所述超時重傳時間,第一次設置為l秒,之後依次增加,重傳若干次 後,路由器還無法得到伺服器或者客戶端的包,則認為該建鏈包為非法, 將之丟棄。
11、 如權利要求9所述的設備,其特徵在於,所述syn代理模塊獲取 的4言息,包4舌TCP連接建立的源IP位址、目的IP位址、源埠號、目的埠號、 TCP連接存在的時間、超時的時間、最近1分鐘TCP連接的建立數、當 前配置的資源是否受到了攻擊、TCP連接的狀態以及當前的配置。
12、 如權利要求10所述的設備,其特徵在於,syn代理模塊支持在使 用的過程中更改超時時間、水線攻擊的配置,而不改變當前的TCP連接。
13、 如權利要求11所述的設備,其特徵在於,syn代理模塊提供給用 戶當前的全連結數以及半連結數信息,為用戶的配置和使用提供參考。
14、 如權利要求11所述的設備,其特徵在於,syn代理模塊具有報警 功能,根據水線攻擊的配置檢測到當前的資源是否受到了攻擊;並且自動 給用戶報警,提醒用戶資源受到了攻擊。
15、 如權利要求11所述的設備,其特徵在於,syn代理模塊根據當前 受到攻擊而動態地縮短超時時間參數,使攻擊連結更快地被刪除。
全文摘要
本發明公開了一種在建立TCP連接時防範syn洪泛攻擊的方法以及路由器設備,其中,所述方法包括設置代理水線以及攻擊水線;當半連結數超過代理水線時,在路由器設備上用路由器代替伺服器進行TCP連接的建立,建立TCP連接後再代替客戶機給伺服器發起TCP連接;當半連結數增大至攻擊水線時,在收到一個syn報文後,對存在時間最長的半連結進行老化,並縮短超時重傳時間,直至將半連結數推出水線數目,則重新進入正常的工作模式。本發明實現代理伺服器對客戶機發起的TCP連結的響應,大大的節省了資源,提高了資源的利用率,達到了提高設備安全性的效果。
文檔編號H04L12/24GK101163041SQ20071014520
公開日2008年4月16日 申請日期2007年8月17日 優先權日2007年8月17日
發明者熙 郎, 顧穎傑 申請人:中興通訊股份有限公司