专利名称:一种检测分布式拒绝服务攻击的方法及设备的制作方法
技术领域:
本发明属于计算机安全领域,具体的说是一种检测DD0S攻击(分布式拒绝服务攻击) 的方法及设备。
背景技术:
拒绝服务攻击,英文Denial of Service (D0S),作为互联网上的一种攻击手段,已 经有很长的历史了,主要是利用TCP/IP协议的缺陷,将提供服务的网络的资源耗尽,导 致不能提供正常服务,是一种对网络危害巨大的恶意攻击,有些拒绝服务攻击是消耗带宽, 有些是消耗网络设备的cpu和内存,也有一些是导致系统崩溃,其中具有代表性的攻击手 段包括SYN flood, ICMP flood、 UDP flood等。
最初,攻击一般以单台电脑向目标发起攻击为主,即我们常说的DOS攻击(如图1), 随着技术的发展,现在的攻击技术已经由DOS模式发展到了 DDOS模式,即由统一控制的 多台电脑,使用分布式技术,同时向攻击目标发起拒绝服务攻击,称为分布式拒绝服务攻 击(如图2)。
到目前为止,还没有一种很好的技术能彻底检测并防御拒绝服务攻击。现在的主要检 测手段是在被保护的服务器前端布置DDOS检测设备来达到保护服务器的目的(如图3),
而检测并防御的设备主要采用以下几种技术
1、通过流量限制技术进行DOS攻击的防范,即限制单位时间内上送设备的数据流,以达 到保护设备的目的。
虽然这种技术可以有效的缓解DOS攻击对网络设备带来的影响,但这个上限阀值是维 护人员根据经验手工设置的,因此存在很多局限性
(1) 、 一旦遭受攻击,上限流量达到阀值,网路设备丢失攻击流量的同时,也会将正常 的数据流量丢失。
(2) 、设备无法识别是DDOS攻击,还是因为某些原因突增的正常访问,造成的网络流量 剧增,而无论是那种情况,只要上限流量达到阀值,突增的部分流量都会被当作DDOS攻 击数据流而丢掉。
(3) 、攻击时,仅仅通过丢失数据包的方式保护网络设备,不能找到发起攻击的源头, 即不能攻击溯源。(4)、攻击成为事实后才会发现,不能做到提前预防。 2、通过部署NETSTREAM (网络流量采样)相关设备进行设备流量采样,并对采样数据进行 分析以实现DOS溯源,达到防范DOS攻击的目的。虽然这种方法的防御效果有所提高,但 依然有不足之处。
(1) 、网络设备开始NETSTREAM采样后,对设备性能会造成较大的影响。另外,需要占用 设备的物理端口连接服务器,浪费网络资源。
(2) 、发起攻击后,才能发现,并采取措施,
(3) 、数据分析的及时性和准确性都不高。
(4) 、虽然理论上可以实现溯源,但在实践中,由于攻击数据包的源地址都是伪造的,并 且DD0S模式攻击中发送攻击数据包的计算机并非是发起攻击的源头控制者,所以很难通 过分析攻击数据包来实现真正的溯源。
发明内容
本发明提供了一种能检测到真正的DD0S发起攻击者、并进行主动防御DD0S攻击的方 法及设备。
本发明的技术方案概述如下
1、 一种检测分布式拒绝服务攻击的方法,其步骤包括
1) 、检测省际网络主干线上的数据包,并对数据包进行解析;
2) 、解析后的数据,与己知分布式拒绝服务攻击网络控制协议数据包的特征进行对 比,获取现有分布式拒绝服务攻击网络的控制协议数据包;
3) 、解析控制协议数据包,找到控制分布式拒绝服务攻击网络的通讯数据包;
4) 、从步骤3)获取的数据包中提取分布式拒绝服务攻击网络的信息。
所述步骤1)旁路检测省际网络主干线上的数据包,并对数据包按照TCP/IP的协议层 进行解析,提取出应用层的数据。
所述步骤3)解析的内容包括"发出控制指令"的计算机的位置,"接收控制指令" 的计算机的位置,"控制指令的内容"了解控制指令的内容。
所述步骤3)对有加密的数据包进行解密。
所述步骤4)根据获取得信息,发出报警信息,并写入曰志。
5) 、在检测出分布式拒绝服务攻击后,可以采取主动防御的措施,包括
根据"'发出控制指令'的计算机的位置信息",定位发起攻击计算机的物理位置;根据"'接收控制指令'的计算机的位置信息",定位被控制计算机的物理位置; 根据获得控制数据包的信息,主动构造控制数据包,对分布式拒绝服务攻击网络进行 控制。
进一步,所述对分布式拒绝服务攻击网络的控制包括
获得所有被控计算机的信息,以了解目标分布式拒绝服务攻击网络的规模;
发送指令终止正在进行的分布式拒绝服务攻击;
清除所有被控计算机上控制程序的服务端。
2、 一种检测分布式拒绝服务攻击的设备,包括一数据接入模块、 一协议解析模块、
一网络通信协议数据分析模块、 一主动防御模块,其中-
所述数据接入模块,实现将省际主干光纤上的数据旁路接入到设备上的功能; 所述协议解析模块,对接入的数据流进行协议解析,找到分布式拒绝服务网络通信协
议的数据;
所述网络通信协议数据分析模块,对截获的分布式拒绝服务攻击网络通讯协议数据进 行进一步分析,获得分布式拒绝服务网络的详细信息。
所述的设备还包括主动防御模块,根据获得的分布式拒绝服务网络的信息,主动向分 布式拒绝服务网络发送伪造的控制数据包,实现主动防御;安全预警模块,对可能造成的 安全威胁进行提前预警;生成安全日志模块,将其他各模块运行过程中的状态,及获取的 信息写入日志文件。
所述的设备旁路部署于省际网络主干线的接口处,根据主干线流量的不同,部署一台 或多台设备。
与传统的网络通讯模式相比,本发明有其自身的特点和优势
1) 、防范DD0S攻击的范围更广,传统DD0S检测设备一般安装在被防御的服务器的前端, 检测的对象只局限于该服务器(如图3)。而应用本发明的设备,只要DDOS网路中的控制 端计算机与被控的傀儡计算机分布在不同的省际网中(这种情况是非常普遍的),无论最 终发起DD0S攻击的目标是哪里,都可以进行有效的检测并防护。
2) 、可以在发起DD0S攻击之前,还没有造成损失的时候,做出有效的防护。传统的DD0S 检测设备,是在检测到的DDOS攻击数据包后采取措施的,所以只有在攻击成为事实之后, 才能采取相应的措施进行防御,而应用本发明的设备,则可以在被发动DD0S攻击之前, 通过分析DD0S网络中的控制协议数据发现潜在的攻击,并做出有效的防御。
3) 、拥有主动防御的特色,可以直接停止傀儡机正在发动的DD0S攻击,还可以进一步的,卸载安装在傀儡机上的发动DD0S攻击的程序,彻底解除DDOS攻击的隐患。
4) 、能有效的追踪到真正的DDOS发起攻击者。
5) 、由于设备是旁路在网络上的,所以不会对网络的性能造成影响。
图1为DOS攻击示意图2为DD0S攻击示意图3为传统DDOS检测设备拓扑图4为本发明的DDOS检测设备的拓扑图5为本发明检测设备结构图6为本发明检测设备运行流程图。
具体实施例方式
下面结合附图和具体实施方式
对本发明作进一步详细描述-
传统的DDOS检测设备检测的对象是直接用于发起DOS攻击的海量数据包,通过对攻 击数据包的分析来识别和阻止DOS攻击(如图3)。本发明改变传统的对DDOS检测的思路, 不对攻击数据包进行检测,而对控制各傀儡计算机的控制数据包进行识别和处理来完成, 对DDOS攻击的早期检测,早期防御(如图4)。 1、设备布置位置。
以往的DD0S检测设备一般会部署在被保护服务器前端(如图3),用来直接检测出入 被保护服务器的数据流。
而本发明的设备会部署在互联网的省际主干线的入口处,对所有通过省际主干线的数 据流进行旁路检测(如图4)。优势在于保护的范围更大,更能对DDOS攻击做出全面的反 应。
将设备旁路部署到省际网络主干线的接口处,可以根据主干线流量的不同,部署一台或多 台设备。对于流出和流入的两个方向的数据流,可以在一个设备上处理,也可以分别接入 多个设备分别处理,主要的依据是网络上的数据流量。 如(图5所示)设备由以下模块组成 (1)、数据接入模块 实现将省际主干光纤上的数据旁路接入到设备上的功能,
权利要求
1、一种检测分布式拒绝服务攻击的方法,其步骤包括1)检测省际网络主干线上的数据包,并对数据包进行解析;2)解析后的数据,与已知分布式拒绝服务攻击网络控制协议数据包的特征进行对比,获取现有分布式拒绝服务攻击网络的控制协议数据包;3)解析控制协议数据包,找到控制分布式拒绝服务攻击网络的通讯数据包;4)从步骤3)获取的数据包中提取分布式拒绝服务攻击网络的信息。
2、 如权利要求l所述的方法,其特征在于,所述步骤l)旁路检测省际网络主干线上 的数据包,并对数据包按照TCP/IP的协议层进行解析,提取出应用层的数据。
3、 如权利要求l所述的方法,其特征在于,所述步骤3)解析的内容包括"发出控 制指令"的计算机的位置,"接收控制指令"的计算机的位置,"控制指令的内容"了 解控制指令的内容。
4、 如权利要求1所述的方法,其特征在于,所述步骤3)对有加密的数据包进行解密。
5、 如权利要求l所述的方法,其特征在于,所述步骤4)根据获取得信息,发出报警 信息,并写入日志。
6、 如权利要求1所述的方法,其特征在于,检测出分布式拒绝服务攻击后,采取主 动防御措施,包括根据"'发出控制指令'的计算机的位置信息",定位发起攻击计算机的物理位置; 根据"'接收控制指令'的计算机的位置信息",定位被控制计算机的物理位置; 根据获得控制数据包的信息,主动构造控制数据包,对分布式拒绝服务攻击网络进行 控制。
7、 如权利要求6所述的方法,其特征在于,所述对分布式拒绝服务攻击网络的控制 包括获得所有被控计算机的信息,以了解目标分布式拒绝服务攻击网络的规模;发送指令终止正在进行的分布式拒绝服务攻击;清除所有被控计算机上控制程序的服务端。
8、 一种检测分布式拒绝服务攻击的设备,其特征在于,包括一数据接入模块、 一协 议解析模块、 一网络通信协议数据分析模块,其中所述数据接入模块,实现将省际主干光纤上的数据旁路接入到设备上的功能; 所述协议解析模块,对接入的数据流进行协议解析,找到分布式拒绝服务网络通信协 议的数据;所述网络通信协议数据分析模块,对截获的分布式拒绝服务攻击网络通讯协议数据进 行进一步分析,获得分布式拒绝服务网络的详细信息。
9、 如权利要求8所述的设备,其特征在于,还包括主动防御模块,根据获得的分布 式拒绝服务网络的信息,主动向分布式拒绝服务网络发送伪造的控制数据包,实现主动防 御;安全预警模块,对可能造成的安全威胁进行提前预警;生成安全日志模块,将其他各 模块运行过程中的状态,及获取的信息写入日志文件。
10、 如权利要求8所述的设备,其特征在于,旁路部署于省际网络主干线的接口处, 根据主干线流量的不同,部署一台或多台设备。
全文摘要
本发明公开了一种检测分布式拒绝服务攻击的方法和设备,设备部署在互联网的省际主干线的入口处,旁路检测省际网络主干线上的数据包,并对数据包进行解析;解析后的数据,与已知分布式拒绝服务攻击网络控制协议数据包的特征进行对比,获取现有分布式拒绝服务攻击网络的控制协议数据包;解析控制协议数据包,找到控制分布式拒绝服务攻击网络的通讯数据包;从通讯数据包中提取分布式拒绝服务攻击网络的信息;根据以上获得的信息,对分布式拒绝服务攻击进行主动防御;本发明能有效的追踪到真正的DDOS发起攻击者,可以直接停止正在发动的DDOS攻击,还可以卸载安装在傀儡机上的发动DDOS攻击的程序,彻底解除DDOS攻击的隐患。
文档编号H04L29/06GK101321171SQ20081011619
公开日2008年12月10日 申请日期2008年7月4日 优先权日2008年7月4日
发明者安丙春 申请人:北京锐安科技有限公司