专利名称:一种采用网流技术防御tcp攻击的方法和系统的制作方法
技术领域:
本发明涉及通信技术领域,特别涉及 一 种采用网流技术防御 TCP ( Transmission Control Protocol,传输控制协议)攻击的方法和 系统。
背景技术:
近年来随着互联网技术的飞速发展,网络业务日益丰富,网络流 量增长迅速。传统的粗放式流量统计管理已经远远不能满足当前业务 发展对网络流量监控、网络安全管理、以及网络监控和分析等方面的 需求。网流(Netstream)技术的出现,为流量的精细化管理提供了 重要的基础数据平台。
Netstream是一种釆样、提取和分析网络设备上报文信息的技术, 可以提供对网络流量进行统计、监控和分析的功能。Netstream技术 基于"流"的概念, 一个流即一组符合下列特征的报文相同的源和 目的IP地址、相同的源和目的协议端口号、有相同的入和出接口、 相同的协议类型、以及相同的服务类型(ToS)。通过Netstream流可 以记录下网络中Who、 What、 When、 Where、 How等信息。在网络安全 越来越受到人们重视的今天,Netstream在检测和防御网络攻击方 面的应用也越来越多。
TCP攻击是网络攻击的一种方式,技术含量相对较低却更难于防
范,是网络攻击者较常釆用的手段。TCP攻击的基本原理是攻击者
利用一些曾经被入侵过(包括临时实现入侵)的主机(傀儡机),绕
过防火墙的检查,向目的服务器提出大量的TCP连接请求,使得目的 服务器忙于回应这些请求,消耗了大量存储资源甚至耗尽,导致目的 服务器对于网络内部的正常服务请求拒绝执行,以达到攻击的目的。 由于TCP攻击的这种特性,人们也常常把它称为TCP Flood (洪水式)攻击。
当网络受到TCP攻击、流量出现异常时,釆用Netstream技术可 以检测出TCP攻击流量来自何方、去向何处等关键信息,有效防御网 络攻击者的攻击。
但是,在现有技术中,Netstream—条流的标志位是所有TCP报 文头中标志位字段按位或(OR)的结果。如果接收到标志位是RST (连 接复位)或者FIN (发送方字节流结束)的TCP报文,会立即老化这 一条流。当网络攻击者发送大量的标志位是RST或者FIN的TCP报文 时,会导致每个报文都要建一条流并立即老化,大量的流老化和重建 将浪费转发引擎的资源。并且,由于Netstream将所有报文中的标志 位字段进行了合并,将无法区分具体的TCP攻击类型,这难以满足网 络精细化管理的要求。
发明内容
本发明提供一种采用网流技术防御TCP攻击的方法和系统。通过
Netstream采集TCP报文的标志位信息,以解决现有技术中无法准确 检测TCP攻击类型的问题。
一种采用网流技术防御TCP攻击的方法,包括以下步骤将源IP 地址、目的IP地址、源协议端口号、目的协议端口号、入接口、出 接口、协议类型、服务类型以及TCP报文的标志位字段都相同的报文 作为一条流;通过所述流的标志位字段确定所述TCP攻击的类型;根 据所述TCP攻击的类型,防御所述TCP攻击。
一种采用网流技术防御TCP攻击的系统,包括网流釆样设备和网 流分析处理设备
网流采样设备用于采集网络流量,将源IP地址、目的IP地址、 源协议端口号、目的协议端口号、入接口、出接口、协议类型、服务 类型以及TCP报文的标志位字段都相同的报文作为 一条流;
网流分析处理设备用于处理所述网流采样设备采集的流信息, 分析得到所述TCP攻击的类型,根据TCP攻击的类型防御所述TCP攻 击。
釆用本发明实施例的技术方案,可以准确定位网络中TCP攻击的 位置和攻击类型,有针对性的防御TCP攻击,避免了此类攻击对网络 设备性能的影响和资源的消耗。同时,通过与网流分析处理设备联动, 实现了对攻击源的动态防御。
图1为本发明方法较佳实施例流程图2为本发明较佳实施例系统结构图;
具体实施例方式
为使本发明的目的、技术方案以及优点更加清楚明白,以下参照 附图并举实施例,对本发明做进一步的详细说明。
本发明的基本思想是将TCP报文的标志位字段作为Netstream — 条流的KEY值,即将源IP地址、目的IP地址、源端口号、目的端口 号、入/出接口、协议类型、服务类型、TCP报文的标志位字段都相 同的报文作为一条流,可以准确地检测出TCP攻击类型,进行流量统 计,从而有针对性地进行防御。
图1为本发明方法较佳实施例流程图。如图1所示,包括以下步
骤
步骤101:对网络设备的流量进行釆样。将如下信息相同的TCP 报文将作为一条Netstream流
源/目的IP地址;
源/目的端口号;
入/出接口;
协议类型;
服务类型;
TCP报文的标志位字段。 步骤102:存储Netstream流信息。
步骤103:分析Netstream流信息,提取该流的标志位字段信息。TCP报文的标志位字段有以下几种
URG:表示紧急指针字段有效;
PSH:表示本报文段请求推(push)操作;
ACK:表示确认字段有效;
SYN:表示序号同步;
RST:表示连接复位;
FIN:表示发送方字节流结束。 若标志位字段为URG或者PSH,执行步骤104;若标志位字段为ACK 或者SYN,执行步骤105;若标志位字段为RST或者FIN,执行步骤 106。
步骤104:网络设备停止处理所述TCP报文,实现对攻击源的阻断。
步骤105:网络设备对TCP连接数和半连接数进行统计,对TCP 连接数和半连接数进行限制,或者停止处理所述TCP报文。
步骤106:判断Netstream流的活跃程度,若非活跃时间小于设 定值,执行步骤107;若非活跃时间大于设定值,执行步骤108;
步骤107:延迟时间tl,将该流老化;
步骤108:延迟时间t2,将该流老化。
对于标志位是RST或者FIN的TCP报文,本发明实施例并不是立 即将其老化,而是延迟一段时间,再将该流老化。具体是通过非活跃 时间来控制流老化,非活跃时间是指自会话最后一次发现到现在的时 间间隔;非活跃时间小,说明流比较活跃。活跃的流的延迟时间要比
不活跃的流的延迟时间要长,即延迟时间tl大于延迟时间t2。
图2为本发明较佳实施例系统结构图。如图2所示,该系统包括 网流釆样设备、网流流釆集设备和网流分析处理设备。
当网络设备受到TCP报文的攻击时,网流采样设备对网络设备中 的异常流量进行采样,并把釆集到的Netstream流信息发送到网流流 釆集设备。所述Netstream流信息包括源/目的IP地址、源/目的 端口号、入/出接口、协议类型、服务类型和TCP报文的标志位字段。
网流流釆集设备接收所述网流釆样设备发送的Netstream流信 息,并进行存储。
网流分析处理设备从所述网流流釆集设备中获取收集到的 Netstream流信息,经过对所述Netstream流信息的分析,可以得到 TCP攻击源的位置和类型,向网络设备下发防御所述TCP攻击的规则 /策略。
若所述Netstream流的标志位字段为URG或者PSH,则所述网流 分析处理设备向所述网络设备下发阻断攻击源的规则/策略,即所 述网络设备停止处理所述TCP报文。
若所述Netstream流的标志位字段为ACK或者SYN,则所述网流 分析处理设备向所述网络设备下发统计连接数的规则/策略,即所 述网络设备对TCP连接数和半连接数进行统计,对TCP连接数和半连 接数进行限制;所述网络设备也可以下发阻断攻击源的规则/策略, 即所述网络设备停止处理所述TCP报文。
若所述Netstream流的标志位字段为RST或者FIN,则所述网流
分析处理设备向所述网络设备下发延迟老化的规则/策略,即不是
立即将所述Netstream流老化,而是延迟一段时间之后,再将所述 Nets tream流老化。
可见,釆用了本发明实施例的技术方案,不仅可以准确定位出网 络中TCP攻击的位置和攻击类型,阻断攻击源,还能避免当攻击者利 用TCP-RST或者TCP-FIN报文进行攻击时Netstream流的大量快速 老化和重建,降低了此类攻击对网络设备性能的影响和资源的消耗。 同时,通过与网流分析处理设备联动,实现了对攻击源的动态防御。
以上仅为本发明的较佳实施例,并非用于限定本发明的保护范围。 凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等, 均应包含在本发明的保护范围之内。
权利要求
1、一种采用网流技术防御TCP攻击的方法,其特征在于将源IP地址、目的IP地址、源协议端口号、目的协议端口号、入接口、出接口、协议类型、服务类型以及TCP报文的标志位字段都相同的报文作为一条流;通过所述流的标志位字段确定所述TCP攻击的类型;根据所述TCP攻击的类型,防御所述TCP攻击。
2、 根据权利要求l所述的方法,其特征在于所述TCP报文的标志位包括紧急指针字段有效URG、本报文 段请求推操作PSH、确认字段有效ACK、序号同步SYN、连接复位 RST以及发送方字节流结束FIN。
3、 根据权利要求2所述的方法,其特征在于 若所述流的标志位字段为URG、 PSH、 ACK或者SYN,停止处理所述TCP报文。
4、 根据权利要求2所述的方法,其特征在于 若所述流的标志位字段为ACK或者SYN,限制TCP连接数和半连接数。
5、 根据权利要求2所述的方法,其特征在于 若所述流的标志位字段为RST或者FIN,延迟一段时间后,将所述流老化。
6、 根据权利要求5所述的方法,其特征在于对于活跃的流,所述延迟的时间比不活跃的流延迟的时间长。
7、 根据权利要求6所述的方法,其特征在于活跃的流是非活跃时间小于设定值的流,不活跃的流是指非活 跃时间大于设定值的流。
8、 一种釆用网流技术防御TCP攻击的系统,其特征在于包括网流釆样设备和网流分析处理设备网流釆样设备用于釆集网络流量,将源IP地址、目的IP地址、 源协议端口号、目的协议端口号、入接口、出接口、协议类型、服务 类型以及TCP报文的标志位字段都相同的报文作为 一条流;网流分析处理设备用于处理所述网流采样设备釆集的流信 息,分析得到所述TCP攻击的类型,根据TCP攻击的类型防御所 述TCP攻击。
9、根据权利要求8所述的系统,其特征在于包括网流流釆 集设备,用于存储所述网流釆样设备釆集的流信息,并将其转发 给所述网流分析处理设备。
全文摘要
本发明涉及通信技术领域,公开了一种采用网流技术防御TCP攻击的方法,解决了现有技术中无法准确检测TCP攻击类型的问题。该方法将源IP地址、目的IP地址、源协议端口号、目的协议端口号、入接口、出接口、协议类型、服务类型以及TCP报文的标志位字段都相同的报文作为一条流;通过所述流的标志位字段确定所述TCP攻击的类型;根据所述TCP攻击的类型,防御所述TCP攻击。主要应用于受到TCP攻击的网络设备。本发明还公开了一种采用网流技术防御TCP攻击的系统。
文档编号H04L9/00GK101170402SQ20071012444
公开日2008年4月30日 申请日期2007年11月8日 优先权日2007年11月8日
发明者梅继红 申请人:华为技术有限公司