专利名称:应用层入口过滤的制作方法
技术领域:
本申请涉及通信网络,并且特别涉及应用层入口过滤。
背景技术:
在以计算机网络作为实体内部和实体之间通信与业务的关键单元的世界中,IP网络的可靠性和安全性是必不可少的。最初的互联网协议是在系统用户为了严格合法的目的连接到网络的基础上设计的,结果,那时没有对安全问题给予特别的考虑。然而近年来,通信网络上恶意攻击的发生频率已经增长到令人担忧的比例。
在目前已知的各种恶意攻击中,拒绝服务(DoS)攻击经常导致目标服务的完全中断。DoS攻击会通过拒绝电子商务提供商对其客户服务的能力特别危害到电子商务提供商,这导致销售量以及广告收入的损失;顾客可能还会寻求有竞争力的可选提供商(Amazon、E*Trade和eBay就在最近的受害者之中)。DoS攻击可以采取多种形式。有些涉及使用被设计为利用软件中漏洞的特别构造的数据包。其它类型的DoS攻击则以占用设备内的资源为目的而设计。因此,攻击者可以用大量的流量来对受害网络或服务器进行洪水式攻击,从而消耗如带宽、CPU容量等的重要系统资源。例如,广泛传播的传输控制协议(TCP)层软件使用缓存器来处理用于建立通信会话的消息的握手交换。每个连接请求都消耗分配给这些缓存器的有限存储空间的一部分。在短时间内收到的大量连接请求将消耗掉所分配的存储空间,从而使得系统不能对合法的请求做出响应,并且可能导致系统由于缓存器过载而崩溃。
分布式DoS(DdoS)攻击甚至可能更具破坏性,由于其涉及制造同时来自多个源的虚假网络流量。所述恶意流量可以从来自被攻击者“挟持”或暗中破坏了的终端的网络上的多个点同时产生。DDoS的一种显著形式是接入链路洪水式攻击,其当恶意方在将企业的边缘网络连接公共互联网的接入链路上引导虚假分组流量时发生。当对准受害边缘网络时,该洪水式流量会淹没接入链路,并从运行在该接入链路上的VPN隧道侵占接入链路带宽。同样地,所述攻击会导致VPN服务的部分或全部拒绝,并中断依赖于该服务的任意关键任务应用的运行。
运行在OSI传输层(L4)上的传输控制协议(TCP)处理基础级的可靠性和数据传输,包括流控制、差错处理,以及与分组的传输和接收相关的问题。传输分组包括来自用户的数据和网络为将该数据从源传输到目的地需要的所有信息;同样地,分组包括发起者(IP源地址)以及预期的接收者的地址(IP目标地址)。为了隐藏攻击的来源,或者为了使得攻击显著有效,攻击者一般通过伪造具有虚假源身份的恶意分组来隐藏(欺骗)该恶意分组的真实来源。这常常会使得攻击缓解技术失效。
所述IP源地址并不是攻击者的唯一源信息。发送者的真实身份和给定数据流的源(这里称为“源身份”)都在应用层上IP分组的有效载荷中传输。典型地,这些第5/7层协议使用网络身份(IP地址或域名)加上一些本地唯一前缀作为实体标识符,例如aaln/2@rgw2.whatever.net或sipjohndoe@192.168.0.1。该信息被合法地用于选路目的、NAT穿越、用户或请求发起者的身份鉴定等。然而,攻击者还可以同时欺骗应用层分组的IP地址和域名,这里用术语称为“身份欺骗”,或者“应用层攻击”。
现有的第2/3层上过滤恶意分组和帧的安全机制对第5/7层上仅影响协议感知应用的身份欺骗是无效的。为防止或检测身份欺骗的传统方法包括应用级端点认证(IETF RFC 3015中Megaco协议中的AH,或IETFRFC 3261中会话发起协议中的摘要认证);在靠近源的地方使用IP反欺骗机制,例如具有入口/出口过滤的DHCP监听(IETF RFC 2827);以及对第3层与第5/7层身份认证信息之间的对应关系的鉴定。
然而,当前可用的解决方案是不完善,原因是它们使用专用的解决方案,并且这些解决方案通常是具有特定威胁的。上面确定的解决方案的每一个在适用性、性能或其可以缓解或检测到攻击类型方面都各有其局限性。此外,可能产生虚假的肯定作为对第3层与第5/7层身份间的身份对应关系鉴定的结果;仅仅L3与L5/7数据之间具有差异性的事实,并不总能够作为恶意欺骗的标记。这是因为,由于中间网络实体干扰或用户的移动性支持,L3身份间的映射可以合理地不同于L5/7身份。
一种更一般的方法是验证预期的协议行为,该方法通常被称为“协议异常检测”。通过该方法,对于协议规范的依从和使用该协议的方法都受到控制。一旦检测到与预期行为的背离,则发出警报。这些能力被集成到了Check Point FW-1 NG、Juniper NetScreen-IDP和一些其它侵入检测系统中。然而,对非预期行为的检测意味着对独立流的协议消息交换的监控和/或收集统计信息。在第一种情况下,每个流的第一个伪造分组不管怎样都必须到达接收方,并且由此攻击者达到他/她的目标。在第二种情况下,基于统计的判决并不识别独立的恶意流,而是简单地检测给定的时间段内的异常行为,其中所述异常行为并不总是指示恶意攻击。
同样已知可以使用应用级认证。例如,Wi-Fi保护接入(WPA)标准是为改进有线等价协议(WEP)的安全特性而设计的,其中所述有线等价协议(WEP)的安全机制由802.11标准规范。因此,WPA包括两个基于WEP的改进,即使用临时密钥完整性协议(TKIP)的数据加密,以及使用可扩展认证协议(EAP)的用户认证。然而,由于性能的影响和认证密钥管理的负担,运营商一般不愿意使用该类认证,或者不愿意将其用于每个协议消息类型。此外,所述认证机制不是诸如MGCP的某些协议的固有部分。
需要提供这样一种应用级安全机制,该机制实现了对一类DoS攻击的缓解,所述DoS攻击通过使用在应用层将其伪造成来自各个网络中的合法主机的分组把给定服务提供商的网络基础设施作为目标。
还需要提供一种用于缓解DoS攻击的应用层安全机制,该机制不依赖于由其他服务提供商提供的反欺骗解决方案的部署。
发明内容
本发明的目的是提供一种应用层安全机制,该机制全部或部分地缓解当前使用的这些机制的缺陷。
相应地,本发明提供一种用于缓解拒绝服务(DoS)攻击的方法,所述拒绝服务(DoS)攻击针对通信网络的服务提供商(SP)域内的实体,该方法包括维护具有所述SP域中每个合法实体的身份数据的列表,其中,所述身份数据包括各个实体的L5/7身份;识别由入口协议数据单元(PDU)使用的协议,所述入口协议数据单元(PDU)是在所述SP域边界单元处从所述SP域外部的源的接收的;检查所述PDU的应用层有效载荷,以提取出所述源的源身份数据,其中,所述源身份数据包括所述源的L5/7身份;以及,对照所述列表中的所有身份数据验证所述源身份数据。
本发明还提供一种用于缓解拒绝服务(DoS)攻击的系统,所述拒绝服务(DoS)攻击针对通信网络的服务提供商(SP)域内的实体,该系统包括连接在所述SP域边缘的边界单元,用于识别由入口协议数据单元(PDU)使用的协议,所述入口协议数据单元(PDU)是在所述SP域边界单元处从所述SP域外部的源的接收的,并且验证所述源的源身份数据;以及协议/代理控制功能单元(PPCF),如果所述源身份数据识别所述源为不合法的,则该单元基于所述源身份数据,对所述PDU应用安全策略,其中,所述身份数据在应用层有效载荷中被传输,所述应用层有效载荷是根据由所述入口PDU使用的协议形成的。
检测和缓解对网络基础设施的DoS攻击的能力对运营商和网络服务提供商具有重大价值。有利地,本发明的解决方案实现了对这样一类DoS攻击的缓解,所述DoS攻击通过使用在应用层将其伪造成是来自服务提供商网络中的网络节点的分组把给定服务提供商的网络基础设施作为目标。由于服务提供商网络节点的节点身份是已知的,并且其数量有限,因此所述验证是快速的,并且不会影响网络性能。
本发明的另一优点在于,其不依赖于由其他服务提供商提供的IP反欺骗机制的部署。
此外,由本发明提出的解决方案不考虑第2/3层数据(例如VLAN标签或源IP地址),并且因此其要在具有网络地址解析(NAT)或者各个网络提供商域外的代理服务器的情况下工作。
从下面对如附图中所示的优选实施例的更详细描述中,本发明的前述和其它目的、特征和优点将变得显而易见,其中-图1示出了L5/7DoS攻击场景中的主要实体;-图2示出了根据本发明的应用层入口过滤解决方案;具体实施方式
本发明涉及到对进入指定域的流的应用层入口过滤,其扩展了如IETFRFC 2827的“Network Ingress FilteringDefeating Denial of ServiceAttacks which employ IP Source Address Spoofing”所定义的仅基于IP报头的普通入口过滤。
图1描述了针对可能的攻击场景的主要实体和通信链路,其中,攻击者在服务提供商(SP)网络/域外部。本例中,服务提供商域B中一个或更多节点11、13被位于域A中的攻击者22设为目标,域B一般代表用于从各自的SP获得特定通信服务的域B中的任意网络/实体。域A一般代表域B外部的数据分组的任何其它合法和/或不合法的源。更宽泛地说,域A是指可能向SP发起服务请求的除域B之外的通信环境。还应当指出,本发明可以用于任何类型的协议数据单元(PDU)或数据报,在一般意义上使用本说明书中的术语“分组”。
如上面所讨论的,攻击者的目标可以不同。例如,攻击者可以试图通过用不相关的流量对网络基础设施或者终端用户进行洪水式攻击来完成DoS。其还可以试图通过成功伪装成合法的终端用户来从SP处非法获得服务(盗取服务)。其它类型的攻击可能以获悉注册的终端用户(SP网络的合法用户)的身份为目标来进行。应用级攻击的目标可能是递送目标服务的协议/代理控制功能单元(PPCF)自身,或者任意其它网络节点11、13。
根据本发明,协议感知边界单元5连接在SP域B的边缘。域A中的例如合法用户21和恶意攻击者22的任何实体,都必须通过协议感知边界单元5接入到B域中,以请求使用或获得由SP提供的服务。边界单元5装备有协议检测单元10和身份检测与验证单元15。协议检测单元10维护具有被SP认可的所有L5/7协议的列表的数据库20,其被用于确定到来的分组的协议类型。所述协议列表通过添加各个SP感兴趣的任何L5/7协议和各个协议更新而被更新。协议检测单元10能同时考虑多个协议,因此协议检测非常快。
ID检测与验证单元15根据由单元10检测到的各个协议,从到来的分组中提取出包含在分组应用有效载荷(也就是所述IP分组的有效载荷)中的身份。ID检测与验证单元15维护具有可以向域B中的实体传输分组的所有合法实体的数据库30,其使用该数据库来验证到来分组的源身份是否合法。如果各个分组包含不遵从PPCF策略的源身份(例如,没有注册为漫游节点的B域节点的节点身份),则单元15将到来的分组识别为恶意的。
从服务提供商的角度来看,攻击者可能使用不仅来自域B而还来自其它任何域的欺骗身份。在后一种情况下,服务提供商不得不与其它提供商以及域所有者建立信任关系,并依靠他们的努力来收集并维护数据库30中的身份是最新的,以实现对发送者的真实性的验证。因此,如果数据库30支持该功能,则单元15可以还识别源标识符属于域A的合法实体的、来自域A的合法分组。此外,单元15可以还被实现为识别被允许漫游的B域的实体,因此它将把来自所述移动实体的分组认为是合法的。
数据库30存储合法的源地址以及由SP服务的所有节点的IP地址。它还可以包含通常与域B中实体通信的域B外合法端点的源身份,和/或关于哪些节点被允许在域B外漫游的信息。假设包含在数据库30中的列表被保持为最新,并且可以被信赖。
此外,PPCF 25保护网络免受由单元15检测到的未授权的(非法的)使用。PPCF 25可以例如是专用服务器、信令网关、媒体网关等等。还应当指出,边界单元5、PPCF 25以及所述网络节点的一些可以位于同一平台上。然而,它们代表不同的功能实体。
图2示出了属于作为所提出的解决方案的核心的验证过程和数据。在本例中,到来的分组是从图1中的实体21接收到的P21,以及从实体22接收到的P22。当到来的分组被识别为与感兴趣的应用协议相关之后,边界单元5确定哪个域专用信息被各个应用使用以形成源身份。接下来,与特定应用相关的身份被从所述分组应用有效载荷中提取出来,并对照存储在数据库30中的合法身份对其进行验证。假设来自分组P21的源身份为k.l.m.n,并且IP源地址和IP目的地址分别为a.b.c.d源端口和x.y.x.0目的端口,而从分组P22提取出的源身份为x.y.z.2,并且IP源地址和IP目的地址分别为e.f.g.h源端口和x.y.x.0目的端口。
边界单元5然后验证域B中的实体的任一个是否具有源身份k.l.m.n或x.y.z.2,并确定节点13使用所述身份x.y.z.2。这意味着来自实体22的分组是恶意分组,并且将由PPCF 25对其进行指定安全策略的处理(可能的动作拒绝、速率限制、延迟等)。另一方面,分组P21被认为是合法的,因为源标识符k.l.m.n不在数据库30中。如果一些域B实体被允许漫游,则从应用有效载荷中提取出的源身份将与被允许漫游的服务B域中的所有注册网络节点作比较。
这里所提出的方法并不是通用的,并且其仅对特定范围的DoS攻击有效。当分组的有效载荷并不声称是来自某服务域的时候,其不能阻止对该服务的攻击。
权利要求
1.一种用于缓解拒绝服务攻击的方法,所述拒绝服务攻击针对通信网络中服务提供商域内的实体,该方法包括维护具有所述服务提供商域中每个合法实体的身份数据的列表,其中,所述身份数据包括各个实体的L5/7身份;识别由入口协议数据单元使用的协议,所述入口协议数据单元是在所述服务提供商域的边界单元处从所述服务提供商域外部的源接收到的;检查所述协议数据单元的应用层有效载荷,以提取所述源的源身份数据,其中所述源身份数据包括所述源的L5/7身份;以及对照所述列表中的所有身份数据验证所述源身份数据。
2.根据权利要求1的方法,其中,所述识别步骤包括确定哪个域特定信息被相应协议使用以形成所述源身份数据。
3.根据权利要求1的方法,还包括,如果所述源身份数据在所述列表中被找到,则对所述协议数据单元应用安全策略。
4.根据权利要求1的方法,其中,所述列表还包括在所述服务提供商域外部并且通常与所述服务提供商域中的实体通信的任意合法源的身份数据。
5.根据权利要求1的方法,其中,所述列表识别被允许在所述域外漫游的所述服务提供商域中的实体。
6.根据权利要求5的方法,进一步包括,如果所述源身份在所述列表中被找到,并且如果所述源身份不对应于被允许在所述域外漫游的所述服务提供商域内的实体,则对所述协议数据单元使用安全策略。
7.根据权利要求1的方法,其中,所述身份数据在所述应用层有效载荷中被传输,所述应用层有效载荷是根据由所述入口协议数据单元使用的协议形成的。
8.根据权利要求1的方法,其中,所述边界单元还维护具有所述服务提供商中可用的所有L5/7协议的协议数据库,所述协议数据库用于确定所述协议数据单元的协议类型。
9.根据权利要求8的方法,还包括通过将感兴趣的任意新L5/7协议添加到所述服务提供商域的合法实体中来更新所述协议数据库。
10.根据权利要求1的方法,其中,所述边界单元通过同时考虑同时来自所述协议数据库中的多个协议来识别由所述协议数据单元使用的协议。
11.一种用于缓解拒绝服务攻击的系统,所述拒绝服务攻击针对通信网络中服务提供商域内的实体,该系统包括连接在所述服务提供商域的边缘的边界单元,用于识别由入口协议数据单元使用的协议,所述入口协议数据单元是从所述服务提供商域外部的源接收到的,并且用于验证所述源的源身份数据;以及协议/代理控制功能单元(PPCF),如果所述源身份数据识别所述源为不合法的,则该功能单元基于所述源身份数据,对所述协议数据单元应用安全策略,其中,所述身份数据在应用层有效载荷中被传输,所述应用层有效载荷是根据由所述入口协议数据单元使用的协议形成的。
12.根据权利要求11的系统,其中,所述边界单元包括用于维护列表的第一数据库,所述列表具有所述服务提供商域中的所有合法实体的身份数据,其中,所述身份数据包括各个实体的L5/7身份;具有所述服务提供商域中可用的所有L5/7协议的第二数据库;协议检测单元,用于通过使用所述第二数据库来识别由所述入口协议数据单元使用的协议;以及身份识别与验证单元,用于检查所述协议数据单元的应用层有效载荷,以确定产生所述协议数据单元的所述源的源身份数据,并对照所述列表验证所述源身份数据,其中,所述源身份数据包括所述源的L5/7身份。
13.根据权利要求12的系统,其中,如果所述源身份数据出现在所述列表中,则所述身份识别与验证单元断言所述源是非法的。
14.根据权利要求11中的系统,其中,所述列表还包括在所述服务提供商域外的并且通常与所述服务提供商域中实体通信的任意合法源的身份数据。
15.根据权利要求1的方法,其中,所述列表识别被允许在所述域外漫游的所述服务提供商域中的实体。
全文摘要
本发明提供了一种方法和系统,用于过滤在服务提供商(SP)域边缘接收到的恶意分组。协议感知边界单元识别由任何入口分组使用的协议,并且然后确定哪个域专用信息被用在所述分组的应用有效载荷中来形成源身份。如果该分组假装来自所述SP域,并且不允许任何域实体漫游,则所述分组被识别为非法的,并且由指定的安全策略处理。所述边界单元还将被允许漫游的所述SP域实体以及通常与所述SP域中实体通信的所述SP域之外的合法源识别为合法的。
文档编号H04L29/10GK1968272SQ20061013632
公开日2007年5月23日 申请日期2006年10月16日 优先权日2005年10月17日
发明者J-M·罗伯特, D·维诺库罗夫 申请人:阿尔卡特公司