本发明涉及ddos攻击防护领域,特别是一种识别ddos反射放大攻击的方法。
背景技术:
反射攻击属于ddos攻击,攻击者(肉鸡)不直接向受害者(目标主机)发起攻击,而是通过向开放的服务器(放大器)发送伪造源ip(伪造为受害者ip)的请求报文,然后通过放大器反射给受害者。通常来说,请求的数据量远小于放大器回应的数据量,从而产生放大的效果。
现有针对反射攻击的技术主要是通过单位时间请求阈值来限制。其存在以下不足:1、识别不准确,无法区分正常请求与非法请求。2、防御成本高,在受害者端进行识别时,流量已经到达受害者,已经造成攻击影响,需要足够的带宽资源对抗。
放大器:amplifier,在公网上公开端口提供公共网络服务的主机,通常请求流量远小于回应流量,例如dns,ntp等。
反射攻击:攻击者(attacker,实际情况中更多的会利用傀儡机进行攻击)不直接把攻击包发给受害者,而是冒充受害者给放大器(amplifiers)发包,然后通过放大器再反射给受害者。
ddos:分布式拒绝服务(distributeddenialofservice)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动ddos攻击,从而成倍地提高拒绝服务攻击的威力。
技术实现要素:
本发明所要解决的技术问题是提供一种识别ddos反射放大攻击的方法,通过在放大器验证请求报文,识别并过滤异常请求,从而实现对受害者的保护。
为解决上述技术问题,本发明采用的技术方案是:
一种识别ddos反射放大攻击的方法,包括以下步骤:
步骤1:放大器收到请求报文后,提取报文的ip头部中的源ip地址和ttl值(timetolive,生存时间,指定数据包被路由器丢弃之前允许通过的网段数量);
步骤2:判断步骤1中提取的ip地址,若该ip地址在黑名单中,则直接丢弃该请求;
步骤3:若步骤1中的ip地址不在黑名单中,则以该ip地址为关键字将ttl以及请求内容以hash的方式保存到缓存中;
步骤4:以步骤1中提取的ip地址作为目的地址,向该地址的任意一个端口发送tcp连接请求报文;
步骤5:等待步骤4的回应报文,收到回应报文后执行以下步骤:
1)提取回应报文的ip头部中的ip和ttl;
2)若回应报文为syn+ack报文,则发送rst报文并关闭步骤4发起的tcp连接;若回应报文为rst报文,则直接关闭本地连接;
3)按照步骤1)提取的ip从步骤3的缓存中查找对应的ttl以及请求内容;
4)对比步骤1)与步骤3)得到的ttl值,若相等,则为正常请求,并按照步骤3)的请求内容进行正常回应;若不相等,则为非法请求,忽略该请求,并将该ip加入临时黑名单,禁止后续以该ip为源地址的请求;
5)从步骤3的缓存中删除该ip的关键字以及对应的ttl和请求内容。
与现有技术相比,本发明的有益效果是:可以在放大器提前捕获异常的请求,阻断反射放大攻击,对受害者(攻击目标主机)的影响降到最低。
具体实施方式
下面通过具体实施方式对本发明作进一步详细的说明。本发明通过在放大器(amplifier)验证请求报文的ttl,判断请求报文是否为伪造的非法报文,若是则丢弃该请求报文,不再向受害者发送回应报文。详述如下:
1、放大器收到请求报文后,提取报文的ip头部中的源ip地址和ttl值。
2、判断步骤1提取的ip地址,若该ip地址在黑名单中,则直接丢弃该请求。
3、若步骤1的ip地址不在黑名单中,则以该ip地址为key(关键字)将ttl以及请求内容以hash(哈希)的方式保存到缓存中;
4、以步骤1提取的ip地址作为目的地址,向该地址的任意一个端口发送tcp连接请求报文;
5、等待步骤4的回应报文,收到回应报文后执行以下步骤:
a、提取回应报文的ip头部中的ip和ttl;
b、若回应报文为syn+ack报文,则发送rst报文并关闭步骤4发起的tcp连接;
c、若回应报文为rst报文,则直接关闭本地连接;
d、按照步骤a提取的ip从步骤1的缓存中查找对应的ttl以及请求内容;
e、对比步骤a与步骤d得到的ttl值,若相等,则为正常请求,并按照步骤d的请求内容进行正常回应;
f、若不相等,则为非法请求,忽略该请求,并将该ip加入临时黑名单,禁止后续以该ip为源地址的请求;
g、从步骤3的缓存中删除该ip的key以及对应的ttl和请求内容。
本发明中,当识别出非法请求后,请求的源ip地址实际是受害者的ip地址,此时将其加入黑名单会有一定的影响,可以通过限制该ip访问频率的方式来代替黑名单方式。