上述信息匹配,则将报文转入破坏报文检测模块;若报文中的上述信息不匹配,则转入所述 IDS决策服务器,对报文进行丢弃,并同时对欺骗行为进行计数,当该计数值超过第一阀值 时,屏蔽发送该报文的程序和/或主机。
[0164] 具体的,所述欺骗报文检测模块用于对报文进行第一次判断,即判断报文是否是 IP欺骗攻击报文、端口欺骗攻击报文或MAC欺骗攻击报文。
[0165] 具体步骤包括;首先在W太网峽中解析出源、目的MAC地址和交换机入口,然后根 据不同的报文类型解析出不同的报文。当报文类型为IP、ARP、RARP时,则解析出相应的源、 目的IP地址然后将该些信息对网络设备信息绑定表中的信息进行查表匹配,如果匹配到 相应的信息,则交给破坏报文检测模块处理。若不匹配,则将该报文转入IDS决策服务器处 理;并同时对欺骗行为进行累加计数,当该计数值超过第一阀值时,屏蔽发送该报文的程序 和/或主机。
[0166] Floodli曲t中有一个设备管理器模块DeviceManagerlmpl,当一个设备在网络中 移动设备的时候跟踪设备,并且根据新流定义设备。
[0167] 设备管理器从化cketin请求中得知设备,并从化cketin报文中获取设备网络参 数信息(源、目的IP、MC、VLAN等信息),通过实体分类器将设备进行区分为交换机或主 机。默认情况下实体分类器使用MAC地址和/或VLAN表示一个设备,该两个属性可W唯一 的标识一个设备。另外一个重要的信息是设备的安装点(交换机的DPID号和端口号)(, 在一个openflow区域中,一个设备只能有一个安装点,在该里openflow区域指的是和同一 个Floodli曲t实例相连的多个交换机的集合。设备管理器也为IP地址、安装点、设备设 置了过期时间,最后一次时间戳作为判断它们是否过期的依据。)
[0168] 故网络设备信息绑定表模块里面只需调用DeviceManagerlmpl模块提供的 IDeviceService即可,同时向该服务添加IDeviceListener的监听接口即可。
[0169] 其中IDeviceListener提供的监听接口有:
[0170]
[0171] 服务提供者;IFloodli曲 1:P;roviderSe;rvice,IDeviceService
[0172] 依赖接口;IFloodli曲tModule,IDeviceListener
[0173]
[0174] 表内的记录根据交换机的高低电平触发机制(网线拔出触发化dDown的低电 平,网线拔入触发化d化的高电平)可W实时刷新绑定表中的记录。
[01巧]传统的孤oS攻击无法触及、修改SwitchDPID和Switch化的的信息,利用此优 势,可W更加灵活的检测欺骗攻击。
[0176] 在所述IDS决策服务器中构建单位时间内的适于对报文的标志位设置异常行为 进行计数的第二哈希表,w及设定该第二哈希表中的第二阀值;所述破坏报文检测模块对 报文的各标志位进行检测,W判断各标志位是否符合TCP/IP协议规范;若报文的各标志位 符合,则将报文转入异常报文检测模块;若报文的各标志位不符合,则转入所述IDS决策服 务器,对报文进行丢弃,并同时对标志位设置异常行为进行计数,当该计数值超过第二阀值 时,屏蔽发送该报文的程序和/或主机。
[0177] 具体的,所述破坏报文检测模块,用于对报文进行第二次判断,即判断报文是否为 具有恶意标志位特征的攻击报文。其中,具有恶意标志位特征的攻击报文包括但不限于IP 攻击报文、TCP攻击报文。实施步骤包括:对IP攻击报文及其中的TCP/UDP攻击报文实现 各个报文的标志位的检测,即识别各标志位是否符合TCP/IP协议规范。如果符合的话,就 直接交由异常数报文检测模块处理。若不符合,则判断为攻击报文,转入IDS决策服务器处 理。
[0178] WTear化op等典型攻击为列,在IP包头中有一个偏移字段和一个分片标志 (MF),若攻击者把偏移字段设置成不正确的值,IP分片报文就会出现重合或断开的情况,目 标机系统就会崩溃。
[0179] 在IP报文头中,有一协议字段,该字段指明了该IP报文承载了何种协议。该字段 的值是小于100的,如果攻击者向目标机发送大量的带大于100的协议字段的IP报文,目 标机系统中的协议找就会受到破坏,形成攻击。
[0180] 故在破坏报文检测模块中,首先提取出报文的各标志位,然后检查是否正常。
[018。如果正常,则交给后续模块处理。
[0182] 如果不正常,则丢弃该数据包,并对相应哈希表计数器计数。如果单位时间内计数 器超过设定的所述第二阀值时,则调用IDS决策服务器对相应的程序进行屏蔽和/或直接 屏蔽相应的主机。
[0183] 通过欺骗报文检测模块的数据包滤除之后,后续的破坏报文检测模块所处理的数 据包中的地址都是真实的。该样,有效的避免了目标机收到了破坏报文,可能直接导致目标 机的协议找崩溃,甚至目标机直接崩溃。
[0184] 破坏报文检测模块的处理功能与欺骗报文检测处理流程大致相似,区别在于破坏 报文检测模块解析出的是各个报文的标志位,然后检测各个标志位是否正常。
[0185] 如果正常的话,就直接给后续的异常报文检测模块处理。
[0186] 如果不正常,则丢弃该数据包,并且对主机应用征信机制相应的哈希表内计数器 计数。如果超过设定的阀值,则屏蔽相应的攻击程序或者直接屏蔽攻击主机。
[0187] 在所述异常报文检测模块构建用于识别泛洪式攻击报文的哈希表,在所述IDS决 策服务器中构建单位时间内的适于对泛洪式攻击行为进行计数的第H哈希表,W及设定该 第H哈希表中的第H阀值;所述异常报文检测模块,适于根据所述哈希表中设定的阀值判 断所述报文是否具有攻击行为;若无攻击行为,则将数据下发;若具有攻击行为,则转入所 述IDS决策服务器,对报文进行丢弃,并同时对攻击行为进行计数,当计数值超过第H阀值 时,屏蔽发送该报文的程序和/或主机。
[018引具体的,所述异常报文检测模块,用于对报文进行第H次判断,即判断报文是否是 泛洪式攻击报文。
[0189] 具体步骤包括:利用对构建的识别泛洪式攻击报文的对哈希表内的相应记录进行 累加,并检测是否超过阔值,w判断是否是泛洪式攻击报文。
[0190] 经过上述欺骗报文检测模块、破坏报文检测模块两个模块的滤除,后续模块处理 的数据包基本属于正常情况下的数据包。然而,正常情况下,也会有DDoS攻击产生,在现有 技术中,一般仅进行欺骗报文检测模块、破坏报文检测模块,而在本技术方案中,为了尽可 能的避免DDoS攻击。
[0191] W下实施例对在进行欺骗报文检测模块、破坏报文检测模块过滤后,再通过异 常报文检测模块屏蔽DDoS攻击的【具体实施方式】。该实施方式WUDPFlooding和ICMP Flooding为例。
[0192] 关于UDPFloodling,利用UDP协议无需建立连接的机制,向目标机发送大量UDP 报文。目标机会花费大量的时间处理UDP报文,该些UDP攻击报文不但会使存放UDP报文的 缓存溢出,而且也会占用大量的网络带宽,目标机无法(或很少)接收到合法的UDP报文。
[0193] 由于不同的主机向单一主机发送大量UDP数据包,所W肯定会有UDP端口占用的 情况,所W本技术方案可W接收到一个ICMP的端口不可达包。
[0194] 所W本技术方案可W对所有主机建立一个哈希表,专口用来存放单位时间内收到 ICMP端口不可达包的次数。如果超过设定的阀值,则直接屏蔽相应的攻击程序。
[0195] 关于ICMPFloodling,对于ICMPFlooding直接进行单位时间内计数。如果超过 相应的阀值,则直接对相应主机进行相应屏蔽,该方法虽然简单,但是直接有效。
[0196] 因此,异常报文检测模块,如果检测到的报文类型是异常报文检测类型,则进行相 应的计数器检测是否超过阔值,如果没有超过阔值,也可对该数据包通过最优的路由策略 下发。如果超过了阔值,则屏蔽相应的攻击程序,或直接对相应主机进行相应屏蔽。
[0197] 所述欺骗报文检测模块、破坏报文检测模块和异常报文检测模块中任一模块判断 所述报文为上述攻击报文时,则将该攻击报文转入IDS决策服务器,即,丢弃所述报文,并 屏蔽发送该报文的程序和/或主机。
[019引当"欺骗报文检测模块"、"破坏报文检测模块"和"异常报文检测模块"需要丢弃数 据包或者需要屏蔽威胁主机的时候。直接调用IDS决策服务器进行相应的威胁处理操作。
[0199] 所述IDS决策服务器的具体的实施步骤包括:
[0200] 丢弃所述报文,即丢弃数据包的步骤包括如下:
[0201] 化enFlow交换机在未匹配到相应的流表情况下,会将该数据包封装在化cketIn 消息中,同时交换机会将此数据包存在本地的缓存中,数据