专利名称:借助目标受害者的自识别和控制,防御ip网络中服务拒绝攻击的方法
技术领域:
本发明一般涉及基于通信网络,诸如互联网协议(IP)网络的分 组中计算机安全领域,尤其涉及在该网络中防御服务拒绝攻击的方法 和设备,其中,目标受害者的电信公司网络(carrier network)服务 提供商,根据已经自动地从目标受害者自身接收的用于识别恶意分组 的源/目的地IP地址对的指定,控制恶意分组的路由。
背景技术:
每天都有好几千新的"僵尸(zombie),,加入被劫持的PC (个人 计算机)联盟,向电子邮件用户发送垃圾邮件,并向电子商业站址、 政府资源、及其他网络基础结构,发动服务拒绝(Denial of Service, DoS)攻击。事实上,每日估计有多达170,000僵尸的机器添加到互联 网。当有限的资源必须分配给攻击者而不是合法的使用时,服务拒绝 (DoS )攻击尤其能导致主要服务的中断。这类攻击在日历年2004年, 估计已经产生超过$ 26,000,000的损失。攻击的机器一般牵涉受远程 主机控制的僵尸的机器,且通常借助在互联网上发送指向攻击目标受 害者的巨量IP (互联网协议)分组,进行破坏。唆使这种攻击的嫌疑 犯,从欺骗点小钱的十几岁儿童,到试图诈骗大公司钱财的国际犯罪 组织。 目前,有两条普通的途径,用于防御这种服务拒绝攻击-其一是 大量人工的,另一是自动的。第一途径要求终端用户(即目标受害者) 人工识别攻击的存在,接着向该受害者的服务提供商(即电信公司) 通过人工(如电话)报告受到的攻击,结合请求电信公司识别报告的 攻击源并怂恿建立保护壁垒,以阻止通过网络到达受害者的攻击一部 分的分组。最为常用的是,这样的途径将导致电信公司识别犯法的分 组的源,随后由它拒绝从该源接受任何分组(或至少来自该源的任何 分组,这些分组指向特定的攻击受害者,而该受害者识别并报告受到 攻击)。第二条防御这种服务拒绝攻击的途径,是提供更为自动的处理过 程,该过程要求服务提供商包括复杂的"分组洗涤器"或"清洁器"的过 滤器,每一或任何指向受保护的终端用户的分组,必须通过该过滤器。 就是说,改变互联网的路由表,使所有给定终端用户的业务,通过这 样的过滤器路由,该过滤器逐个检查每一分组,尝试决定该分组是否 为恶意的。如果它不像是恶意的,则被转发到终端用户,但如果它看 来是恶意的,则被滤除并作废。但是,这些途径的每一个都有颇大的限制。第一途径基本上要求 人工干预,且常常不能解决受攻击的问题,直到已经造成颇大的破坏 为止。而第二途径不能启动分组的应用程序分析,因为常常只有目标 能抽取分组,从而分析分組的数据内容。(例如,如果使用加密协议, 通常只有分组的最终目的地,才能把编码分组的数据进行解码)。此 外,在受害者应用程序上已启动的攻击,不一定只靠超大的带宽,而 可以靠某种功能请求。因此,需要一种解决服务拒绝攻击问题的方案, 其中的攻击被及时标识、识别、和(最好是不用人工干预)制止。发明内容我已经认识到,虽然标识服务拒绝攻击的最佳地方,是在目标受 害者上(它有识别并解决自身所受攻击的最终动机),但防御攻击的 最佳地方,是在网络内(即在电信公司网络内)。因此,按照本发明 的原理,两条上述现有技术途径的每一条的利益,可以有利地实施而
没有对应的缺点。尤其是,本发明提供一种防御服务拒绝的方法和设 备,其中,为给定目标受害者服务的电信公司,根据来自目标受害者 的自动指令指示的做法,限制从源到目标受害者的恶意分组的传输。更具体地说,本发明向目标受害者提供一种防御服务拒绝攻击的 方法和设备,该方法和设备在基于电信^〉司网络的互联网协议(IP) 中实施,该电信公司网络向该目标受害者提供基于通信服务的分组。该创造性方法(或设备)包括的步骤(或装置)有从断定服务拒绝 攻击正在恶劣地进行的受害者,接收自动的指示;从受害者接收一对 或多对包括源IP地址和目的地IP地址的IP地址对(这里的目的地 IP地址是与受害者关联的IP地址之一 );监控通过网络的IP分组业 务,以识别这样的IP分组,这些IP分组的源IP地址和目的地IP地 址,与从受害者接收的IP地址对之一的源IP地址和目的地IP地址匹 配;和限制(如阻断)已,皮识别的IP分组(即,源IP地址和目的地 IP地址,与从受害者接收的IP地址对之一的源IP地址和目的地IP 地址匹配的那些IP分组)的传输。
图l画出一种网络环境,在该环境中,釆用按照本发明示例性实 施例的防御服务拒绝攻击的设备。图2按照本发明示例性实施例,画出防御服务拒绝攻击的方法流程图。
具体实施方式
按照本发明示例性实施例, 一种僵尸攻击处理器(Zombie Attack Processor,下面以"Zapper"表示)提供一种新型的装置,它能使服务 拒绝攻击的受害者,凭借向电信公司通告攻击者而"击退",电信公司 作为回应,将更新源/目的地IP地址对的表,包含攻击者的IP地址对 将被阻断。更准确地说,在认识攻击正在发生时,受害者将识别一对 或多对源和目的地IP地址对,这些地址对按+人为分组中包含攻击的一 部分而被指定,并把这些IP地址对通知电信公司,以便阻断。应当指出,按照本发明的某些示例性实施例,攻击者(即已标识
的源IP地址)不一定完全与网络断开,只是禁止向受害者(即已标识 的目的地IP地址)发送分组。这样做是有利的,尤其是在被识别的源 IP地址代表合法用户的情形,该合法用户已经被接管(即成为僵尸) 而向受害者发动给定的攻击。因此,已被接管机器的拥有者可以继续 把系统用于合法的目的,尽管仍在恶劣地发到受害者的攻击(不为合 法用户所知)还是不能有效地遏制。此外,应当指出,按照本发明这 样示例性实施例的技术,还有利地提供对被给定受害者过分积极地识 别的攻击者的保护。因为,按照本发明的原理,攻击者的识别,是留 给未必真正的受害者自由处理的,显然,有利的做法是,只有到达给 定受害者的业务被断开或被限制。有利的做法是,通告协议可以包括安全签名,这样,不能利用Zapper (僵尸攻击处理器)的基础结构本身来发动服务拒绝攻击。此 夕卜,该协议可以有利地利用与电信公司的冗余连接,以及冗余UDP(用 户数据报协议,User Datagram Protocol),以确保甚至在拥挤网络条 件下的传送。(UDP是本领域熟练人员完全熟悉的IP通信协议)。 网络处理器和储存器的进步,能使这种防御按比例增大到潜在的大量 攻击者-远超出更早的路由器的能力-有利地不要求通过受害者或电 信/>司的人工干预,从而能极其及时地作出响应。按照本发明示例性的各个实施例,这种Zapper过滤引擎,可以 作为包括在电信公司网络中独立应用的盒实施,或者作为线路卡实施, 该线路卡被纳入现有网络中别的常规网络单元内。此外,按照本发明 某些示例性实施例,Zapper过滤器可以由电信公司有利地部署在网络 内相对接近攻击的发端位置,也可以在开始时放置,以有利地保卫高 级客户免受攻击。按照本发明示例性的各个实施例,要被阻断的IP地址对的条目, 可以有时限(即在预定时间周期过去后,自动撤除),也可以被明确 发布的暂緩执行所清除。在该方式中,网络将有利地返回归零状态, 不需要使用垃圾收集算法。举例说,通告者(即,电信公司网络的客 户,使他们能识别攻击并得到保护,免受攻击)例如可以给出有限数
量的"便条(Chit ),,(要输入并阻断的源/目的地IP地址对)-举例说, 约十万的量级-该数量可以根据给定客户与给定服务提供商(即电信 公司)的营业量按比例变化。此外,按照本发明某些示例性实施例,可以有利地提供网络诊断,使示例性的Zapper发回ICMP (Internet Control Message Protocol, 互联网控制消息协议,本领域一般的熟练人员完全熟悉)未送达消息, 该消息例如按一些预定的概率,任何时候某一分组已被识别为包括受 阻断的源/目的地IP地址对时,舍弃该分组。这种错误回复,按照本 发明示例性一个实施例,可以包括能让被阻断的分组发送者询问数据 库,是谁设置阻断该分组的请求,并在可能的情况下,说明该请求的 理由。又,按照本发明某些示例性实施例,还可以有利地提供补充的工 具。例如,这些工具可以包括用于标识已启动的服务拒绝攻击的互 联网月良务器插头;链接到各种IDS系统(Intrusion Detection System, 侵入检测系统)的链路;用于网络诊断(见上面的讨论)的数据库; 和为在给定电信公司的基础结构内设置Zapper功能提供指导的方法。 提供各种补充工具的本发明示例性实施例,本领域熟练人员借助本文 公开的内容,是容易明白的。应当指出,按照本发明某些示例性实施例的Zapper过滤机构的 操作,除了它根据潜在的大量(如数百万)非常简单的规则外,类似 于常规的防火墙。尤其是,Zapper规则可以用如下形式表达"如果 给定分组的源IP地址是a、 b、 c、 d,而该分组的目的地IP地址是w、 x、 y、 z,则阻断(即舍弃)该分组"。又,按照本发明其他示例性实施例,不是禁止有给定源和目的地 IP地址的分组的传输,Zapper过滤器可以取消这种分組的按优先顺 序排列。就是说,过滤机构或者指配该分组一个低的路由优先权,或 者强加于该分组一个分组速率极限。无论哪一种情形,有给定源和目 的地IP地址的分组,将不能在业务上有显著影响,从而不再向受害者 造成成功的服务拒绝攻击。 按照本发明各个示例性实施例,攻击检测可以有利地被受害者通 过不同程度简单的或复杂的算法标识,许多这些算法,本领域熟练人 员是熟悉的。例如,按照本发明一个示例性实施例,可以考察应用程 序登录,而攻击可以孤立地根据来自单个已标识源,或来自多个已标 识源的非常高的业务等级(如高的分组速率)而识别。(应当指出, 这是一种识别存在服务拒绝攻击的常规方法,本领域熟练人员是熟悉 的)。按照本发明另一个示例性实施例,基于分组内容分析的应用程 序,可以进行分组的识别或有可疑本性的分组序列的识别,例如,标识出不存在的数据库单元遭遇频繁的数据库搜索;标识出有明显来自 某人的许多请求,此人能用比个人更高的速率发出这种请求;识别句 法上无效的请求;和识别正常发生的活动操作中,在特别敏感时间上 可疑的业务量。(后一类可疑分组的例子是可以识别的,例如,如果 股票买卖网站在逼近股票交易期间的敏感时刻,特殊地通知中断业 务)。又,按照本发明其他示例性实施例,可以包括许多关于可能攻 击的不同标记,例如, 一种或多种上面说明的情况,可以有利地在更 为复杂的分析中组合,用于识别攻击的存在。图l画出一种网络环境,在该环境中,釆用按照本发明示例性实 施例的防御服务拒绝攻击的设备。图上画出目标受害者11 (它例如可 以是银行或其他金融机构)。应当指出,假定目标受害者ll有一个或 多个与之关联的IP地址(未画出)。按照本发明的原理,与目标受害 者11结合的还有攻击检测器12,该检测器按照本发明一个示例性实 施例,确定服务拒绝攻击正在恶劣地加于目标受害者11。电信公司网络13,向目标受害者11提供服务的该电信公司网络, 从各种源接收IP分组,并把它们发送到目标受害者ll。如图中所示, 正在向目标受害者ll发送的分组,事实是其上有服务拒绝攻击,并正 在被大量僵尸机器14发送。电信^A司网络13还包括Zapper 15,该 Zapper 15按照本发明一个示例性实施例,有利地防御服务拒绝攻击。更准确地说,操作中并按照本发明该示例性实施例,在确定服务
拒绝攻击正在恶劣地加于目标受害者11后,Zapper 15从攻击检测器 12接收一对或多对源/目的地IP地址对。结果是,电信公司网络13 有利地限制(如阻断)源IP地址和目的地IP地址与那些已发送的源/ 目的地IP地址对任一匹配的IP分组的传输,从而限制(或消除)从 僵尸14到攻击受害者11的服务拒绝攻击。应当指出,Zapper 15通 过冗余连接17,有利地从攻击检测器12接收源/目的地IP地址对。 还应当指出,从僵尸14到不相关服务器16的IP分組的传输,有利地 不受影响。图2按照本发明示例性实施例,画出防御服务拒绝攻击的方法流 程图。图2的示例性方法,是在为给定目标受害者服务的网络电信公 司上执行,并开始于(如在方框21中所示)收到服务拒绝攻击正在恶 劣地加于给定目标受害者的指示。然后(如在方框22中所示),网络 电信公司接收一对或多对源/目的地IP地址对,这些地址对代表应当 阻断的IP分组,以便遏制服务拒绝攻击。(举例说,源IP地址是那 些进行攻击的"僵尸"机器,而目的地IP地址与那些受害者自身关 联)。下一步(如在方框23中所示),网络电信公司监控IP分组业 务,以识别源和目的地IP地址与接收的源/目的地IP地址对之一匹配 的IP分組。最后(如在方框24中所示),网络电信公司阻断已净皮识 别的IP分组,从而遏制加于目标受害者的服务拒绝攻击。
具体实施方式
补遗应当指出,所有前面的讨论,仅仅表明本发明的一般的原理。显 然,本领域熟练人员能够设计各种各样其他安排,这些安排虽然没有 在本文明显说明或画出,但体现本发明的原理,因而包括在本发明的 精神和范围内。例如,虽然已经专门就互联网协议(IP)网络说明本 发明,但显而易见,本领域一般的熟练人员明白,本发明原理不涉及 使用的特定通信协议,因此,本发明能够按相同方式,在各个方面用 于以网络为基础的任何数据的分组,在该网络中,通过网络发送与源 和目的地地址关联的分组。另外,本文列举的所有例子和条件语句,主要地应当清楚地认为, 只是为了教学法的目的,以帮助读者理解本发明人为了促进本技术而 给出的本发明的原理和概念,从而应当看作不受该具体地列举的例子 和条件的限制。此外,本文记载的本发明原理、方面、和实施例的所 有叙述,连同其特定例子,意图涵盖其结构的和功能两方面的等价内 容。同样要指出的是,这种等价的叙述,包括当前已知的等价内容以 及未来发展的等价内容-就是说,不论其结构,凡执行相同功能的任 何发展的单元。
权利要求
1.一种全自动的防御对目标受害者的服务拒绝攻击的方法,该方法在基于电信公司网络的分组中实施,该电信公司网络借助向所述目标受害者发送IP分组,为所述目标受害者提供基于通信服务的分组,该目标受害者有与其关联的一个或多个IP地址,该方法包括的步骤有从断定服务拒绝攻击正在恶劣地加于其上的所述目标受害者,接收自动指示;从所述目标受害者接收代表IP分组的一对或多对IP地址对,这些分组的传输要被限制,所述IP地址对的每一对,包括源IP地址和目的地IP地址,其中的目的地IP地址是与目标受害者关联的所述IP地址之一;监控通过电信公司网络至少一部分的IP分组业务,以识别这样的IP分组,这些IP分组的源IP地址和目的地IP地址,等同于从所述目标受害者接收的所述IP地址对之一中包含的源IP地址和目的地IP地址;和限制所述已识别的IP分组的传输,这些已识别的IP分组的源IP地址和目的地IP地址,包括在从所述目标受害者接收的所述IP地址对的所述之一中,并代表传输要被限制的IP分组。
2. 按照权利要求1的方法,其中,限制所述已识别的IP分组 的传输,这些已识别的IP分组的源IP地址和目的地IP地址,包括在 从所述目标受害者接收的所述IP地址对的所述之一中,所述限制步骤 包括,阻止所述已识别的IP分组的传输。
3. 按照权利要求1的方法,其中,限制所述已识别的IP分组 的传输,这些已识别的IP分组的源IP地址和目的地IP地址,包括在 从所述目标受害者接收的所述IP地址对的所述之一中,所述限制步骤 包括,降低所述已识别的IP分组的路由优先权。
4. 按照权利要求1的方法,其中,限制所述已识别的IP分组的传输,这些已识别的IP分组的源IP地址和目的地IP地址,包括在 从所述目标受害者接收的所述IP地址对的所述之一 中,所述限制步骤 包括,把所述已识别的IP分组的传输,限制在不高于预定分组的速率。
5. 按照权利要求l的方法,其中,从所述目标受害者接收一对 或多对IP地址对的所述步骤,包括从所述目标受害者接收使用安全签 名的一对或多对IP地址对。
6. 按照权利要求l的方法,其中,从所述目标受害者接收一对 或多对IP地址对的所述步骤,包括从所述目标受害者接收使用冗余连 接的一对或多对IP地址对。
7. 按照权利要求l的方法,其中,从所述目标受害者接收一对 或多对IP地址对的所述步骤,包括从所述目标受害者接收使用冗余通 信协iJC的一对或多对IP地址对。
8. 按照权利要求l的方法,还包括,从所述目标受害者接收的 所述IP地址对所述之一以来,已经过去了预定的时间周期之后,终止 限制一个或多个所述已识别的IP分组的传输的步骤,所述已识别的 IP分组的源IP地址和目的地IP地址,等同于从所述目标受害者接收 的所述IP地址对所述之一中包含的源IP地址和目的地IP地址。
9. 按照权利要求l的方法,还包括如下步骤 从所述目标受害者接收代表传输不再被限制的IP分组的一对或多对IP地址对;和不再继续限制所述IP分组的传输,所迷IP分组的源IP地址和 目的地IP地址,等同于从所述目标受害者接收的所述IP地址对所述 之一中包含的源IP地址和目的地IP地址,并代表传输不再被限制的 IP分组。
10. 按照权利要求l的方法,还包括把未送达消息,发送回一个 或多个所述已识别IP分组的所述源IP地址的步骤,所述已识别IP 分组的源IP地址和目的地IP地址,等同于从所述目标受害者接收的 所述IP地址对之一中包含的源IP地址和目的地IP地址,并代表传输 要被限制的IP分组。
全文摘要
防御服务拒绝攻击的方法和设备,其中攻击的目标受害者已经认识攻击的存在并识别它的源。向该受害者提供服务的电信公司网络,自动地从受害者接收一对或多对IP(互联网协议)源/目的地IP地址对,然后限制(例如阻断)从已标识的源地址到以标识的目的地地址的分组的传输。电信公司的这种过滤能力,可以作为包括在网络中的独立应用的盒实施,也可以作为线路卡实施,该线路卡被纳入现有网络中别的常规网络单元内。要被阻断的源/目的地地址对,可以由受害者使用安全签名和使用冗余连接,有利地从受害者到电信公司网络进行通信,确保甚至在拥挤网络条件下的接收。
文档编号H04L29/06GK101213812SQ200680023739
公开日2008年7月2日 申请日期2006年8月2日 优先权日2005年8月5日
发明者艾瑞克·H·格鲁斯 申请人:朗迅科技公司