专利名称:借助目标受害者的自识别和控制,防御ip网络中服务拒绝攻击的方法
200680023743.4
说明书
第l/8页
借助目标受害者的自识别和控制,防御 IP网络中服务拒绝攻击的方法
交叉参考相关申请
本申请与共同未决美国专利申请序列No. _"Method
And Apparatus For Defending Against Denial Of Service Attacks In IP Networks Based On Specified Source/Destination IP Address Pairs,,有关,该申请由E. Grosse与本发明一道在相同日期提交并共同 转让给本发明的受让人。
才支术领域
本发明一般涉及基于通信网络的,诸如互联网协议(IP)网络的 分组中的计算机安全领域,尤其涉及在该网络中防御服务拒绝攻击的 方法和设备,其中,目标受害者自身标识这种攻击的存在、识别攻击 的源、和请求与之有关的电信公司网络(carrier network),控制恶 意分组的路由。
背景技术:
每天都有好几千新的"僵尸(zombie),,加入被劫持的PC (个人 计算机)联盟,向电子邮件用户发送垃圾邮件,并向电子商业站址、 政府资源、及其他网络基础结构,发动服务拒绝(Denial of Service, DoS)攻击。事实上,每日估计有多达170,000僵尸机器添加到互联 网。当有限的资源必须分配给攻击者而不是合法的使用时,服务拒绝 (DoS )攻击尤其能导致主要服务的中断。这类攻击在日历年2004年, 估计已经造成超过$26,000,000的损失。进行攻击的机器一般牵涉受 远程主机控制的僵尸机器,且通常借助在互联网上发送指向攻击目标 受害者的巨量IP (互联网协议)分组,进行破坏。唆使这种攻击的嫌 疑犯,从意在欺骗点小钱的十几岁少年,到试图诈骗大公司钱财的国 际犯罪组织。 目前,有两条通用的途径,用于防御这种服务拒绝攻击-其一是 大量人工的,另一是自动的。第一途径要求终端用户(即目标受害者) 人工识别攻击的存在,接着向该受害者的服务提供商(即电信公司) 通过人工(如电话)报告受到的攻击,结合请求电信公司识别被报告 的攻击源并怂恿建立保护壁垒,以阻止通过网络到达受害者的攻击一 部分的分组。最为典型的是,这样的途径将导致电信公司识别犯法的 分组的源,随后由它拒绝从该源接受任何分组(或至少来自该源指向 特定的攻击受害者的任何分组,而该受害者识别并报告存在攻击)。
第二条防御这种服务拒绝攻击的途径,是提供更为自动的处理过 程,该过程要求服务提供商包括复杂的"分组洗涤器"或"清洁器"的过 滤器,每一或任何指向受保护的终端用户的分组,必须通过该过滤器。 就是说,改变互联网的路由表,使所有给定终端用户的业务,通过这 样的过滤器路由,该过滤器逐个检查每一分组,尝试决定该分组是否 为恶意的。如果它不像是恶意的,则被转发到终端用户,但如果它看 来是恶意的,则被滤除并作废。
但是,这些途径的每一个都有颇大的限制。第一途径基本上要求 人工干预,且常常不能解决受攻击的问题,直到已经造成颇大的破坏 为止。而第二途径不能启动分组的应用程序分析,因为常常只有目标 能抽取分组,从而分析分组的数据内容。(例如,如果使用加密协议, 通常只有分组的最终目的地,才能把编码分组的数据进行解码)。此 外,在受害者应用程序上已启动的攻击,不一定只靠超大的带宽,而 可以靠某种功能请求。因此,需要一种解决服务拒绝攻击问题的方案, 其中的攻击被及时标识、识别、和(最好是不用人工干预)制止。
发明内容
我们已经认识到,虽然标识服务拒绝攻击的最佳地方,是在目标 受害者上(它有识别并解决自身所受攻击的最终动机),但防御攻击 的最佳地方,是在网络内(即在电信公司网络内)。因此,按照本发 明的原理,两条上述现有技术途径的每一条的利益,可以有利地实施 而没有对应的缺点。尤其是,本发明提供一种防御服务拒绝的方法和
设备,其中攻击的目标受害者标识攻击的存在、识别攻击的源、和自 动地指令它的电信公司网络,限制从已标识源到目标受害者的分组的 传输。
更具体地说,本发明借助基于电信公司网络的互联网协议(IP), 为被提供服务的目标受害者,提供一种防御服务拒绝的方法和设备,
该方法(或设备)包括的步骤(或装置)有根据从一个或多个源IP 地址接收的IP分组的分析,确定服务拒绝攻击正在恶劣地发送;识 别一对或多对IP地址对,各包括该源IP地址之一和目的地IP地址 (该目的地IP地址是与目标受害者关联的IP地址之一 );和向电信 公司网络发送已被识别的IP地址对,使该电信公司网络能限制(如 阻断)源IP地址和目的地IP地址与所述已:f皮识别的IP地址对之一 匹配的源IP地址和目的地IP地址间IP分组的传输。
图l画出一种网络环境,在该环境中,采用按照本发明示例性实 施例的防御服务拒绝攻击的设备。
图2按照本发明示例性实施例,画出防御服务拒绝攻击的方法流程图。
具体实施例方式
按照本发明示例性实施例, 一种僵尸攻击处理器(Zombie Attack Processor,下面以"Zapper"表示)提供一种新型的装置,它能使服务 拒绝攻击的受害者,凭借向电信公司通告攻击者而"击退",电信公司 作为回应,将更新源/目的地IP地址对的表,包含攻击者的IP地址 对将被阻断。更准确地说,在认识攻击正在发生时,受害者将识别一 对或多对源和目的地IP地址对,这些地址对按认为分组中包含攻击 的一部分而被指定,并把这些IP地址对通知电信公司,以便阻断。
应当指出,按照本发明的某些示例性实施例,攻击者(即已标识 的源IP地址)不一定完全与网络断开,只是禁止向受害者(即已标 识的目的地IP地址)发送分组。这样做是有利的,尤其是在被识别 的源IP地址代表合法用户的情形,该合法用户已经被接管(即成为
僵尸)而向受害者发动给定的攻击。因此,已被接管机器的拥有者可 以继续把系统用于合法的目的,尽管仍在恶劣地发到受害者的攻击 (不为合法用户所知)还是不能有效地遏制。此外,应当指出,按照 本发明这样示例性实施例的技术,还有利地提供对被给定受害者过分 积极地识别的攻击者的保护。因为,按照本发明的原理,攻击者的识 别,是留给未必真正的受害者自由处理的,显然,有利的做法是,只 有到达给定受害者的业务被断开或被限制。
有利的做法是,通告协议可以包括安全签名,这样,不能利用
Zapper (僵尸攻击处理器)的基础结构本身来发动服务拒绝攻击。此 外,该协议可以有利地利用与电信公司的冗余连接,以及冗余UDP (用户数据报协议,User Datagram Protocol),以确保甚至在拥挤 网络条件下的传送。(UDP是本领域熟练人员完全熟悉的IP通信协 议)。网络处理器和储存器的进步,能使这种防御按比例增大到潜在 的大量攻击者-远超出更早的路由器的能力-有利地不要求通过受 害者或电信公司的人工干预,从而能极其及时地作出响应。
按照本发明示例性的各个实施例,这种Zapper过滤引擎,可以 作为包括在电信公司网络中独立应用的盒实施,或者作为线路卡实 施,该线路卡被纳入现有网络中别的常规网络单元内。此外,按照本 发明某些示例性实施例,Zapper过滤器可以由电信公司有利地部署 在网络内相对接近攻击的发端位置,也可以在开始时放置,以有利地 保卫高级客户免受攻击。
按照本发明示例性的各个实施例,要被阻断的IP地址对的条目, 可以有时限(即在预定时间周期过去后,自动撤除),也可以被明确 发布的暂緩执行所清除。在该方式中,网络将有利地返回归零状态, 不需要使用垃圾收集算法。举例说,通告者(即,电信公司网络的客 户,使他们能识别攻击并得到保护,免受攻击)例如可以给出有限数 量的"便条(chit),,(要输入并阻断的源/目的地IP地址对)-举例 说,约十万的量级—该数量可以根据给定客户与给定服务提供商(即 电信公司)的营业量按比例变化。
此夕卜,按照本发明某些示例性实施例,可以有利地提供网络诊断,
4吏示例性的Zapper发回ICMP (Internet Control Message Protocol, 互联网控制消息协议,本领域一般的熟练人员完全熟悉)未送达消息, 该消息例如按一些预定的概率,任何时候某一分组已被识别为包括受 阻断的源/目的地IP地址对时,舍弃该分组。这种错误回复,按照本 发明示例性一个实施例,可以包括能让被阻断的分组发送者询问数据 库,是谁设置阻断该分组的请求,并在可能的情况下,说明该请求的 理由。
又,按照本发明某些示例性实施例,还可以有利地提供补充的工 具。例如,这些工具可以包括用于标识已启动的服务拒绝攻击的互 联网服务器插头;链接到各种IDS系统(Intrusion Detection System, 侵入检测系统)的链路;用于网络诊断(见上面的讨论)的数据库; 和为在给定电信公司的基础结构内设置Zapper功能提供指导的方 法。提供各种补充工具的本发明示例性实施例,本领域熟练人员借助 本文公开的内容,是容易明白的。
应当指出,按照本发明某些示例性实施例的Zapper过滤机构的 操作,除了它根据潜在的大量(如数百万)非常简单的规则外,类似 于常规的防火墙。尤其是,Zapper规则可以用如下形式表达"如果 给定分组的源IP地址是a、 b、 c、 d,而该分组的目的地IP地址是w、 x、 y、 z,则阻断(即舍弃)该分组"。
又,按照本发明其他示例性实施例,不是禁止有给定源和目的地 IP地址的分组的传输,Zapper过滤器可以取消这种分组的按优先顺 序排列。就是说,过滤机构或者指配该分組一个低的路由优先权,或 者强加于该分组一个分组速率极限。无论哪一种情形,有给定源和目 的地IP地址的分组,将不能在业务上有显著影响,从而不再向受害 者造成成功的服务拒绝攻击。
按照本发明各个示例性实施例,攻击检测可以有利地被受害者通 过不同程度简单的或复杂的算法标识,许多这些算法,本领域熟练人 员是熟悉的。例如,按照本发明一个示例性实施例,可以考察应用程
序登录,而攻击可以孤立地根据来自单个已标识源,或来自多个已标 识源的非常高的业务等级(如高的分组速率)而识别。(应当指出, 这是一种识别存在服务拒绝攻击的常规方法,本领域熟练人员是熟悉 的)。
按照本发明另 一个示例性实施例,基于分组内容分析的应用程 序,可以进行分组的识别或有可疑本性的分组序列的识别,例如,标
识出不存在的数据库单元遭遇频繁的数据库搜索;标识出有明显来自 某人的许多请求,此人能用比个人更高的速率发出这种请求;识别句 法上无效的请求;和识别正常发生的活动操作中,在特别敏感时间上
可疑的业务量。(后一类可疑分组的例子是可以识别的,例如,如果 股票买卖网站在逼近股票交易期间的敏感时刻,特殊地通知中断业
务)。又,按照本发明其他示例性实施例,可以包括许多关于可能攻 击的不同标记,例如, 一种或多种上面说明的情况,可以有利地在更 为复杂的分析中组合,用于识别攻击的存在。
图l画出一种网络环境,在该环境中,采用按照本发明示例性实 施例的防御服务拒绝攻击的设备。图上画出目标受害者11 (它例如可 以是银行或其他金融机构)。应当指出,假定目标受害者11有一个 或多个与之关联的IP地址(未画出)。按照本发明的原理,与目标 受害者11结合的还有攻击检测器12,该检测器按照本发明一个示例 性实施例,确定服务拒绝攻击正在恶劣地加于目标受害者11。
电信公司网络13,向目标受害者11提供服务的该电信公司网络, 从各种源接收IP分组,并把它们发送到目标受害者ll。如图中所示, 正在向目标受害者11发送的分组,事实是其上有服务拒绝攻击,并 正在被大量僵尸机器14发送。电信公司网络13还包括Zapper 15, 该Zapper 15按照本发明一个示例性实施例,有利地防御服务拒绝攻 击。
更准确地说,操作中并按照本发明该示例性实施例,攻击检测器 12在确定服务拒绝攻击正在恶劣地加于目标受害者11后,向Zapper 15发送一对或多对源/目的地IP地址对,使电信公司网络13限制(如 阻断)源IP地址和目的地IP地址与那些已发送的源/目的地IP地址对任一匹配的IP分组的传输,从而限制(或消除)从僵尸14到攻击 受害者11的服务拒绝攻击。应当指出,攻击检测器12有利地利用冗 余链接17发送该源/目的地IP地址对。还应当指出,从僵尸14到不 相关服务器16的IP分组的传输,有利地不受影响。图2按照本发明示例性实施例,画出防御服务拒绝攻击的方法流 程图。图2的示例性方法,是在目标受害者上执行,并开始于(如在 方框21中所示)根据接收的IP分组的分析,确定服务拒绝攻击正在 恶劣地加于目标受害者ll上。然后(如在方框22中所示), 一对或 多对源/目的地IP地址对,被识别为应当阻断的IP分组的代表,以 便遏制服务拒绝攻击。(举例说,源IP地址是那些进行攻击的"僵尸,, 机器,而目的地IP地址与那些受害者自身关联)。最后(如在方框 23中所示),把已被识别的源/目的地IP地址对,向受害者的电信公 司网络发送,使电信公司网络能阻断有匹配的源和目的地IP地址间 的IP分组的传输。
具体实施方式
补遗应当指出,所有前面的讨论,仅仅表明本发明的一般的原理。显 然,本领域熟练人员能够设计各种各样其他安排,这些安排虽然没有 在本文明显说明或画出,但体现本发明的原理,因而包括在本发明的 精神和范围内。例如,虽然已经专门就互联网协议(IP)网络说明本 发明,但显而易见,本领域一般的熟练人员明白,本发明原理不涉及 使用的特定通信协议,因此,本发明能够按相同方式,在各个方面用 于以网络为基础的任何数据的分组,在该网络中,通过网络发送与源 和目的地地址关联的分组。另外,本文列举的所有例子和条件语句,主要地应当清楚地认为, 只是为了教学法的目的,以帮助读者理解本发明人为了促进本技术而 给出的本发明的原理和概念,从而应当看作不受该具体地列举的例子 和条件的限制。此外,本文记载的本发明原理、方面、和实施例的所 有叙述,连同其特定例子,意图涵盖其结构的和功能两方面的等价内 容。同样要指出的是,这种等价的叙述,包括当前已知的等价内容以 及未来发展的等价内容-就是说,不论其结构,凡执行相同功能的任 何发展的单元。
权利要求
1.一种全自动的防御对目标受害者的服务拒绝攻击的方法,该方法在目标受害者上实施,其中,该目标受害者由基于电信公司网络的互联网协议(IP)提供,该互联网协议(IP)向该目标受害者发送IP分组,该目标受害者有与其关联的一个或多个IP地址,该方法包括的步骤有根据从一个或多个源IP地址接收的IP分组的分析,确定服务拒绝攻击正在恶劣地加于所述目标受害者;识别一对或多对IP地址对,每一对所述IP地址对,包括源IP地址和目的地IP地址,其中的源IP地址是所述源IP地址之一,所述IP分组之一就是从它接收的,且其中所述目的地IP地址是与目标受害者关联的所述IP地址之一;和向所述电信公司网络发送所述一对或多对已被识别的IP地址对,使电信公司网络能限制源IP地址和目的地IP地址等同于所述已被识别IP地址对之一的源IP地址和目的地IP地址间IP分组的传输,该分组已经向该目的地IP地址发送。
2. 按照权利要求1的方法,其中,确定服务拒绝攻击正在恶劣 地加于所述目标受害者的所述步骤,包括确定从所述一个或多个源IP 地址接收的所述IP分组的分组速率,超过预定的阈值。
3. 按照权利要求1的方法,其中,确定服务拒绝攻击正在恶劣 地加于所述目标受害者的所述步骤,包括确定从所述一个或多个源IP 地址接收的大量所述IP分组,包含为不存在的数据库单元请求执行 数据库搜索,其中包含这种为不存在的数据库单元请求执行数据库搜 索的所述大量所述IP分组的接收速率,超过预定的阈值。
4. 按照权利要求l的方法,其中,确定服务拒绝攻击正在恶劣 地加于所述目标受害者的所述步骤,包括确定从所述一个或多个源IP 地址接收的所述大量所述IP分组,包含据称来自某人的请求,其中 包含据称来自某人的请求的所述大量所述IP分组的接收速率,超过 预定的阈值。
5. 按照权利要求1的方法,其中,确定服务拒绝攻击正在恶劣 地加于所述目标受害者的所述步骤,包括确定从所述一个或多个源ip 地址接收的大量所述ip分组,包含句法上无效的请求,其中包含句 法上无效请求的所述大量所述ip分组的接收速率,超过预定的阈值。
6. 按照权利要求1的方法,其中,确定服务拒绝攻击正在恶劣 地加于所述目标受害者的所述步骤,包括确定从所述一个或多个源ip 地址接收的大量所述ip分组,是在所述目标受害者敏感操作期间, 以超过预定阈值的速率接收的。
7. 按照权利要求1的方法,其中,确定服务拒绝攻击正在恶劣 地加于所述目标受害者的所述步骤,包括确定至少满足两组预定条件 组,其中的条件组包括如下的两项或更多确定从所述一个或多个源ip地址接收的所述ip分组速率,超过 预定的阈值;确定从所述一个或多个源ip地址接收的大量所述ip分组,包括为不存在的数据库单元请求执行数据库搜索,其中包含这种为不存在 的数据库单元执行数据库搜索请求的所述大量所述ip分组的接收速率,超过预定的阈值;确定从所述一个或多个源ip地址接收的大量所述ip分组,包含 据称来自某人的请求,其中包含据称来自某人的请求的所述大量所述 ip分组的接收速率,超过预定的阈值;确定从所述一个或多个源ip地址接收的大量所述ip分组,包含 句法上无效的请求,其中包含句法上无效请求的所述大量所述ip分 组的接收速率,超过预定的阈值;和确定从所述一个或多个源ip地址接收的大量所述ip分组,是在 所述目标受害者敏感操作期间,以超过预定阚值的速率接收的。
8. 按照权利要求1的方法,其中,向所述电信公司网络发送所 述一对或多对已被识别的ip地址对的所述步骤,包括使用安全签名, 向所述电信公司网络发送所述一对或多对已被识别的ip地址对。
9. 按照权利要求1的方法,其中,向所述电信公司网络发送所 述一对或多对已被识别的IP地址对的所述步骤,包括使用与所述电 信公司网络的冗余连接,向所述电信公司网络发送所述一对或多对已 -故识别的IP地址对。
10. 按照权利要求l的方法,其中,向所述电信公司网络发送所 述一对或多对已被识别的IP地址对的所述步骤,包括使用冗余通信 协议,向所述电信公司网络发送所述一对或多对已被识别的IP地址 对。
全文摘要
防御服务拒绝攻击的方法和设备,其中攻击的目标受害者标识攻击的存在、识别该攻击的源、和自动地指令它的电信公司网络,限制(例如阻断)分组从被识别源到受害者的传输。受害者可以依据受害者站址的基础结构内确定的各种判据,识别攻击的存在,并可以采用事件相关技术进行该确定。然后,受害者把一对或多对源/目的地的IP(互联网协议)地址对,通知电信公司,于是,电信公司将限制分组从指定目的地的IP地址到对应源的IP地址的传输。为确保甚至在拥挤网络条件下的传送,受害者可以有利地利用安全签名和利用冗余连接,把该源/目的地IP地址对,通知电信公司网络。
文档编号H04L29/06GK101213813SQ200680023743
公开日2008年7月2日 申请日期2006年8月2日 优先权日2005年8月5日
发明者托马斯·Y·伍, 艾瑞克·亨利·格罗斯 申请人:朗迅科技公司