專利名稱:一種因特網(wǎng)服務(wù)提供者安全防護(hù)的實(shí)現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種ISP的安全防護(hù)技術(shù)����,尤指一種在出口路由器上對流入目的網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行實(shí)時(shí)監(jiān)控和處理,能有效抵御ISP遭受流量攻擊的ISP安全防護(hù)方法�����。
隨著因特網(wǎng)(Internet)的飛速發(fā)展與普及���,網(wǎng)絡(luò)用戶越來越多����,于是��,Intenet服務(wù)提供者(ISP)應(yīng)運(yùn)而生。ISP典型的組網(wǎng)結(jié)構(gòu)如
圖1所示����,在ISP局域網(wǎng)中,一般由交換機(jī)����、接入服務(wù)器和Web服務(wù)器組成��,交換機(jī)上行連至ISP出口路由器�;ISP出口路由器匯聚了接入服務(wù)器及各專線用戶的業(yè)務(wù)流,通過ATM�、POS或GE接口連至骨干IP網(wǎng)。
在ISP網(wǎng)絡(luò)中�����,主要包含的業(yè)務(wù)流為撥號用戶訪問本地Web服務(wù)器�����;拔號用戶訪問外部網(wǎng)絡(luò)�;專線用戶訪問本地Web服務(wù)器;外部用戶訪問本地Web服務(wù)器���。于是��,在對Web服務(wù)器訪問的過程中�,就夾雜著網(wǎng)絡(luò)黑客對ISP站點(diǎn)的攻擊,他們采用各種手段攻擊ISP的站點(diǎn)�,導(dǎo)致ISP的系統(tǒng)被破壞,甚至崩潰�����,使其無法為用戶提供服務(wù)����。
從目前全球ISP的運(yùn)營情況來看,ISP最常受到黑客攻擊的攻擊形式是流量攻擊��。流量攻擊的方法非常簡單�,就是世界各地的多臺設(shè)備有組織地同時(shí)向目標(biāo)機(jī)(某撥號用戶IP地址)發(fā)送干擾報(bào)文,產(chǎn)生巨大的數(shù)據(jù)流量�,導(dǎo)致ISP局域網(wǎng)繁忙、接入服務(wù)器無法正常工作�,采用的方式是分布式攻擊方法。目前國內(nèi)部分ISP被攻擊的主要手段就是采用流量攻擊��,黑客通過多臺設(shè)備向某撥號IP地址PING大報(bào)文��,導(dǎo)致ISP局域網(wǎng)繁忙,影響接入服務(wù)器的正常工作�����,使正常撥號用戶上網(wǎng)極慢���。
當(dāng)然���,ISP除了受到上述流量攻擊以外���,還會受到一些其他形式的攻擊���,如DOS、竊聽報(bào)文與端口掃描�����、IP地址欺騙�、源路由攻擊、應(yīng)用層攻擊等等�����。
針對上述黑客攻擊方式,目前最常用的安全防護(hù)措施是在ISP的出口路由器上運(yùn)用防火墻���、地址轉(zhuǎn)換和流量控制(CAR)等技術(shù)��。雖然���,對于諸如竊聽報(bào)文與端口掃描、IP地址欺騙�����、源路由攻擊�、應(yīng)用層攻擊等攻擊方式可通過現(xiàn)有的防火墻、地址轉(zhuǎn)換�����、身份認(rèn)證���、數(shù)據(jù)加密等技術(shù)實(shí)施有效的控制����。但是�����,對于流量攻擊這種主要的攻擊方式而言,由于ISP的業(yè)務(wù)模式以及攻擊的分布式�����、隨意性等特點(diǎn)��,這些安全防護(hù)技術(shù)在實(shí)際應(yīng)用中都存在著不同程度的問題1)防火墻���,是在接口上應(yīng)用存儲控制列表(ACL)來過濾報(bào)文�����,可以解決訪問控制的問題,但不具備流量控制能力�����。
2)地址轉(zhuǎn)換�,所謂地址轉(zhuǎn)換是指在報(bào)文發(fā)送到外部網(wǎng)前,該用戶的私網(wǎng)地址先被出口路由器做轉(zhuǎn)換�����,即將報(bào)文的(源地址-私網(wǎng)、源端口)轉(zhuǎn)換為(源地址-公網(wǎng)�����、源端口new)�����,該路由器保留這個(gè)映射����;當(dāng)報(bào)文返回時(shí),再轉(zhuǎn)換回來�。由于路由器保留的動態(tài)映射表可能很大,一般采用HASH來查找���。
該方法主要解決內(nèi)部網(wǎng)信息隱匿和IP地址短缺的問題�����,但是���,在FTP、SNMP���、SMTP等一些應(yīng)用中��,其報(bào)文的內(nèi)容中還包含地址信息�,所以僅僅轉(zhuǎn)換報(bào)文的源地址是沒有用的,還需要轉(zhuǎn)換報(bào)文應(yīng)用層中的地址信息���,這對一些標(biāo)準(zhǔn)協(xié)議還容易做�����,而對于一些私有協(xié)議就無法實(shí)現(xiàn)了�,因此使其支持的業(yè)務(wù)類型受到限制�。而且該方法也無法實(shí)施流控。
3)流量控制��,CAR可以對特定的業(yè)務(wù)流實(shí)施流控�����,但其配置復(fù)雜���、效率低、擴(kuò)展性差���,考慮到撥號用戶IP地址的動態(tài)分配��,其在實(shí)際中應(yīng)用非常困難����。
有鑒于此,本發(fā)明的主要目的在于提供一種ISP安全防護(hù)的實(shí)現(xiàn)方法�����,使其能更有效的抵御ISP所遭受到的流量攻擊�,且實(shí)現(xiàn)起來簡單方便、靈活可靠����。
為達(dá)到上述目的,本發(fā)明的技術(shù)方案具體是這樣實(shí)現(xiàn)的
一種因特網(wǎng)服務(wù)提供者(ISP)安全防護(hù)的實(shí)現(xiàn)方法��,該方法至少包括以下的步驟a.當(dāng)ISP出口路由器中的ISP管理器(ISPKeeper)要向目的網(wǎng)絡(luò)轉(zhuǎn)發(fā)當(dāng)前接收到的報(bào)文時(shí)����,首先通過HASH算法判斷該報(bào)文所屬的數(shù)據(jù)流是否為ISPKeeper中的已有記錄,如果是�,則進(jìn)入步驟c;否則�����,進(jìn)入步驟b;b.如果所要轉(zhuǎn)發(fā)的報(bào)文屬于一個(gè)新的數(shù)據(jù)流�,則匹配該報(bào)文所屬數(shù)據(jù)流的配置信息并判斷是否匹配成功,如果匹配成功�����,則將匹配所得到的該數(shù)據(jù)流的配置信息存儲記錄�;如果沒有匹配成功,則查找配置信息中是否定義了缺省值����,如果有,則將缺省的配置信息存儲記錄�,然后進(jìn)入步驟c;如果沒有定義缺省值����,則由ISPKeeper將當(dāng)前接收到的報(bào)文直接轉(zhuǎn)發(fā)給相應(yīng)的目的網(wǎng)絡(luò)設(shè)備;c.檢測當(dāng)前數(shù)據(jù)流流量是否滿足用戶配置的參數(shù)���,如果不滿足,則將當(dāng)前收到的報(bào)文丟棄�,如果流量滿足要求����,則繼續(xù)檢測總數(shù)據(jù)流量并判斷總配置參數(shù)是否正常����?如果不正常,則丟棄該報(bào)文�����,否則���,如果正常�����,則由ISPKeeper將當(dāng)前的報(bào)文轉(zhuǎn)發(fā)給相應(yīng)的目的網(wǎng)絡(luò)設(shè)備���。
步驟a中所述的目的網(wǎng)絡(luò)為ISP局域網(wǎng)、或城域網(wǎng)����、或廣域網(wǎng)。步驟c中所述的用戶配置參數(shù)至少包括單個(gè)數(shù)據(jù)流的傳輸帶寬或平均速率、突發(fā)長度���。步驟c中所述的總配置參數(shù)至少包括數(shù)據(jù)流的總平均速率和總突發(fā)長度��。所述的數(shù)據(jù)流為外部網(wǎng)絡(luò)訪問目的網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)流��,或?yàn)閾芴栍脩羯暇W(wǎng)返回的數(shù)據(jù)流���。
步驟a中的匹配數(shù)據(jù)流的配置信息進(jìn)一步包括以下步驟首先根據(jù)該報(bào)文所屬數(shù)據(jù)流的目的IP地址在配置信息中找到相應(yīng)的IP地址段定義,再按照地址段的定義找到該地址段的配置信息�,并將該配置信息存儲記錄于數(shù)據(jù)流配置信息數(shù)組的相應(yīng)位置。
該方法還進(jìn)一步包括以下步驟在初始化出口路由器時(shí)����,預(yù)先設(shè)置一個(gè)存儲數(shù)據(jù)流配置信息的數(shù)組。其中���,該數(shù)組大小為可容納所要識別的IP地址范圍內(nèi)所有數(shù)據(jù)流的數(shù)組�,且數(shù)組的每個(gè)元素與一個(gè)目的IP地址一一對應(yīng)�����。
該方法還進(jìn)一步包括以下的步驟在初始化出口路由器時(shí)���,預(yù)先設(shè)定數(shù)據(jù)流的配置信息�。其中的配置信息至少包括數(shù)據(jù)流的起始IP地址、結(jié)束IP地址���、接口配置模式;每個(gè)數(shù)據(jù)流的傳輸帶寬或平均速率�、突發(fā)長度;以及總數(shù)據(jù)流的總平均流量�����、總突發(fā)長度��。
步驟a中所述的HASH算法是指依據(jù)數(shù)據(jù)流中每個(gè)報(bào)文目的IP地址中的后16位將該報(bào)文定位到數(shù)據(jù)流配置信息數(shù)組的相應(yīng)元素位置�����。當(dāng)按HASH算法將所收到的數(shù)據(jù)流報(bào)文定位到數(shù)據(jù)相應(yīng)元素位置�����,而此時(shí)該位置已有數(shù)據(jù)流配置信息時(shí)�����,則在此位置建立一數(shù)據(jù)鏈表,按目的IP地址的前16位依序存儲對應(yīng)的數(shù)據(jù)流配置信息�����。
從上述實(shí)現(xiàn)方案可以看出��,本發(fā)明借助了防火墻�、地址轉(zhuǎn)換以及流量控制三種技術(shù)的實(shí)現(xiàn)思想,如地址轉(zhuǎn)換中的HASH查找思想���、CAR中的控制流量的思想��、防火墻中的報(bào)文匹配思想��,有效的結(jié)合在一起����,并加以改進(jìn)���,稱之為ISP管理器(ISPKeeper)��。其關(guān)鍵在于將ISPKeeper放置于出口路由器上����,對進(jìn)入目的網(wǎng)絡(luò)的數(shù)據(jù)流的流量進(jìn)行實(shí)時(shí)分析和監(jiān)控,ISPKeeper用HASH算法自動識別記錄每個(gè)數(shù)據(jù)流��,并根據(jù)預(yù)先設(shè)定的配置信息檢測每個(gè)數(shù)據(jù)流和總數(shù)據(jù)流的流量是否正常����,如果不正常就丟棄報(bào)文,正常時(shí)才發(fā)送給相應(yīng)的Web服務(wù)器或其它網(wǎng)絡(luò)設(shè)備����。當(dāng)收到的數(shù)據(jù)流報(bào)文屬于一新數(shù)據(jù)流時(shí)�����,要先匹配該報(bào)文�����,并記錄該數(shù)據(jù)流的配置信息����,然后再做處理,而該數(shù)據(jù)流的其它報(bào)文不需再匹配�����。
由此可見,本發(fā)明所提供的ISP安全防護(hù)的實(shí)現(xiàn)方法���,將防火墻���、地址轉(zhuǎn)換和流量控制三種技術(shù)相結(jié)合,使其能夠更有效的防止黑客的攻擊�,實(shí)現(xiàn)ISP的安全防護(hù)。請參見表一所示�����,表一對本發(fā)明的方法與目前通用的三種安全防護(hù)方法做出了一個(gè)全面的比較��,可以看出���,本發(fā)明具有更強(qiáng)的防護(hù)能力����、更簡單靈活的識別方法��。
表一 幾種安全防護(hù)的比較下面配合附圖對本發(fā)明的詳細(xì)技術(shù)內(nèi)容作進(jìn)一步的說明如下圖1為ISP典型的組網(wǎng)結(jié)構(gòu)示意圖�����;圖2為ISP受到的典型攻擊形式示意圖;圖3為流入ISP局域網(wǎng)的業(yè)務(wù)流分析圖�����;圖4為本發(fā)明方法實(shí)現(xiàn)的流程圖��;圖5為本發(fā)明一實(shí)施例組網(wǎng)結(jié)構(gòu)示意圖�;圖6為本發(fā)明另一實(shí)施例組網(wǎng)結(jié)構(gòu)示意圖。
防止黑客對ISP攻擊的關(guān)鍵是要對進(jìn)入ISP的數(shù)據(jù)流的來源和流量進(jìn)行實(shí)時(shí)監(jiān)控和及時(shí)處理���,通過有效的手段濾去非正常的數(shù)據(jù),以保證正常用戶的上網(wǎng)需求����。參見圖2所示,流入ISP局域網(wǎng)的業(yè)務(wù)流大體分為兩類1)用戶上網(wǎng)返回的數(shù)據(jù)流���。該數(shù)據(jù)流以目的IP地址來區(qū)分����,每個(gè)數(shù)據(jù)流占用一定的帶寬��,如上網(wǎng)用戶平均速率最多128K�����,數(shù)據(jù)流個(gè)數(shù)可控、可配置����;2)訪問Web服務(wù)器的數(shù)據(jù)流。該數(shù)據(jù)流的目的IP地址屬于特定地址段�,如10.110.1.0/0.0.0.255,用IP五元組(源地址���、目的地址����、協(xié)議類型�����、源端口�、目的端口)來區(qū)分,這些數(shù)據(jù)流占用的總帶寬可控�、可配置,數(shù)據(jù)流個(gè)數(shù)可控�、可配置。
上面所述的可控���、可配置是指可以通過配置參數(shù)來預(yù)先設(shè)置其合理的范圍����,即設(shè)置一閾值,超出該值則認(rèn)為不合理���,應(yīng)該禁掉���。舉個(gè)例子來說對于PSTN或ISDN上網(wǎng)返回的數(shù)據(jù)流,其平均流量應(yīng)為128kbps����,那么,如果流量超過128kbps就認(rèn)為是不合理的����、應(yīng)該禁掉��?��?捎梢韵抡Z句具體實(shí)現(xiàn)
ispkeeper-group 10 single 128000 16000該命令確保每一個(gè)數(shù)據(jù)流的平均流量和突發(fā)長度為固定值��,即設(shè)定每個(gè)單獨(dú)的數(shù)據(jù)流的平均流量最高為128Kbps�,而突發(fā)長度最多為16Kbyte。至于本發(fā)明方法在實(shí)際應(yīng)用時(shí)的具體配置���,主要取決于ISP所選用的流量模型�����,各個(gè)參數(shù)的取值本身沒有什么限制�。
為了實(shí)現(xiàn)本發(fā)明對所收到的數(shù)據(jù)流進(jìn)行判斷處理�����,首先要在出口路由器上預(yù)先對每個(gè)數(shù)據(jù)流的帶寬或平均速率��、突發(fā)長度����,以及總數(shù)據(jù)流的平均流量和突發(fā)長度等參數(shù)的合理范圍進(jìn)行配置。
比如設(shè)置從外部流入ISP局域網(wǎng)內(nèi)的�、目的IP地址為10.110.1.*的數(shù)據(jù)流,即外部訪問Web服務(wù)器�����、FTP服務(wù)器等的數(shù)據(jù)流,其占用ISP局域網(wǎng)的帶寬或平均速率最多為5M����、突發(fā)數(shù)據(jù)量為800K字節(jié),數(shù)據(jù)流總數(shù)為1000個(gè)����。同時(shí)設(shè)置其它從外部流入ISP局域網(wǎng)內(nèi)的數(shù)據(jù)流,即用戶上網(wǎng)返回的數(shù)據(jù)流����,每個(gè)最多只能占用局域網(wǎng)128K的帶寬(平均速率)、突發(fā)數(shù)據(jù)量為8K字節(jié)����,數(shù)據(jù)流總數(shù)為20000個(gè)?���?捎梢韵抡Z句具體實(shí)現(xiàn)上述配置interface eth 1/0/0ispkeeper 10.110.1.0 0.0.0.255 5000000 800000 1000ispkeeper default 131012 8000 20000其次,還要在出口路由器上預(yù)先生成一個(gè)足以容納下所有要識別的IP地址范圍內(nèi)數(shù)據(jù)流信息的數(shù)據(jù)流配置信息數(shù)組�����,該數(shù)組的每個(gè)元素與一個(gè)IP地址一一對應(yīng)�,用于存儲不同目的IP地址數(shù)據(jù)流的配置信息。比如要識別����、記錄目的地址在10.110.0.0~10.110.255.255范圍中的每一個(gè)數(shù)據(jù)流,則先生成一個(gè)有65536個(gè)元素的數(shù)組���,每個(gè)數(shù)組元素對應(yīng)一個(gè)IP地址�。收到一個(gè)報(bào)文后��,直接根據(jù)該報(bào)文目的地址的后16位定位到數(shù)據(jù)流配置信息數(shù)組的相應(yīng)元素��,記錄該數(shù)據(jù)流的相關(guān)信息����。在實(shí)際操作過程中,對于每個(gè)收到的數(shù)據(jù)流����,用HASH算法查找數(shù)組中是否已有該記錄,如果有直接定位讀取其信息�����,如果沒有���,則用第一個(gè)報(bào)文目的IP地址定位�,然后匹配并記錄配置信息。如果該報(bào)文定位到對應(yīng)位置時(shí)發(fā)現(xiàn)該位置已經(jīng)有一個(gè)數(shù)據(jù)流的記錄����,則在該位置建立一個(gè)數(shù)據(jù)鏈表,按目的IP地址的前16位依序記錄每個(gè)數(shù)據(jù)流的配置信息����,該數(shù)據(jù)流后面的報(bào)文無需再匹配,不象防火墻方式那樣對每一個(gè)報(bào)文都需要匹配�����。非常簡便��,效率非常高���。
本發(fā)明方法的根本思想是對于由給定的起始地址和結(jié)束地址所構(gòu)成的一個(gè)地址段����,通過對到達(dá)地址段中所有地址的總數(shù)據(jù)流平均速率和總突發(fā)長度的配置以及對到地址段中單個(gè)IP地址即單個(gè)數(shù)據(jù)流的平均速率及突發(fā)長度的配置�,利用令牌桶(Token Bucket)算法進(jìn)行流量的控制。所謂Token Bucket算法是指設(shè)定一個(gè)漏桶����,給定該漏桶流出的速率(即配置給定的數(shù)據(jù)流平均速率),及漏桶桶長(即突發(fā)長度)��,某一時(shí)刻來了一個(gè)數(shù)據(jù)流��,如果該數(shù)據(jù)流長度比漏桶桶長大���,表明漏桶將會溢出��,則此數(shù)據(jù)流要丟棄����,否則�,根據(jù)上一次數(shù)據(jù)到達(dá)的時(shí)間和本次的時(shí)間間隔,計(jì)算漏桶流出的長度���,得到漏桶實(shí)際空出的長度���,如果數(shù)據(jù)流的長度比漏桶實(shí)際空出的長度大,則也表明漏桶將會溢出����,則此數(shù)據(jù)流要丟棄�����,如果數(shù)據(jù)流的長度比漏桶實(shí)際空出的長度小�����,則數(shù)據(jù)流放入漏桶��,等待處理��。
針對上面對ISP業(yè)務(wù)流結(jié)構(gòu)的分析�����,同時(shí)配合圖4所示��,本發(fā)明方法的具體實(shí)現(xiàn)至少包括以下的步驟1)當(dāng)ISPKeeper要向ISP局域網(wǎng)轉(zhuǎn)發(fā)一個(gè)接收到的報(bào)文時(shí)����,首先通過HASH算法判斷該報(bào)文所屬的數(shù)據(jù)流是否屬于ISPKeeper的已有記錄��,也就是按照目的IP地址的后16位到存儲數(shù)據(jù)流配置信息數(shù)組的相應(yīng)位置查找是否已有該IP地址數(shù)據(jù)流的配置參數(shù)和統(tǒng)計(jì)信息�����?如果有,則進(jìn)入步驟3)��;否則����,進(jìn)入步驟2)����。
2)如果所要轉(zhuǎn)發(fā)的報(bào)文屬于一個(gè)新的數(shù)據(jù)流,即當(dāng)前報(bào)文所屬的數(shù)據(jù)流在存儲數(shù)據(jù)流配置信息數(shù)組的相應(yīng)位置沒有存儲任何信息�,則按照其IP地址段信息先找到相應(yīng)的IP地址段定義,再按照地址段的定義找到該地址段的配置信息進(jìn)行匹配����,并判斷是否匹配成功?如果匹配成功���,則將匹配后得到的該IP地址段數(shù)據(jù)流的配置參數(shù)和統(tǒng)計(jì)信息存儲到數(shù)據(jù)流配置信息數(shù)組的相應(yīng)位置��。如果此時(shí)該位置已有一數(shù)據(jù)流數(shù)據(jù)�����,而該數(shù)據(jù)流的IP地址與當(dāng)前數(shù)據(jù)流地址只在后16位相同��,則用目的IP地址的前16位依序在該位置建立一鏈表存儲數(shù)據(jù)流信息�����。如果沒有匹配成功���,即在配置信息中沒有找到該IP地址段的定義�����,則查找配置信息中是否定義了缺省值���,如果有,則將缺省的配置信息放置到數(shù)據(jù)流配置信息數(shù)組的相應(yīng)位置�����,而后進(jìn)入步驟3)���;如果沒有���,則由ISPKeeper將當(dāng)前的報(bào)文轉(zhuǎn)發(fā)給相應(yīng)的目的網(wǎng)絡(luò)設(shè)備。
3)利用Token Bucket算法檢測當(dāng)前數(shù)據(jù)流流量是否滿足用戶配置的參數(shù)(單個(gè)平均速率��、單個(gè)突發(fā)長度),如果不滿足要求�,將該報(bào)文丟棄,如果流量滿足要求��,繼續(xù)檢測總數(shù)據(jù)流����,即根據(jù)該數(shù)據(jù)流所屬的地址段�,對該地址段中所有地址的數(shù)據(jù)流求總和,根據(jù)接口配置模式下配置到指定地址段的數(shù)據(jù)流的配置參數(shù)一總平均速率和總突發(fā)長度由Token Bucket算法檢測總流量是否正常�?如果不滿足要求,則丟棄該報(bào)文���,否則���,如果滿足則由ISPKeeper將當(dāng)前的報(bào)文轉(zhuǎn)發(fā)給相應(yīng)的目的網(wǎng)絡(luò)設(shè)備。
采用上述方法對單個(gè)ISP實(shí)施安全防護(hù)時(shí)�����,如圖5所示�,其中,訪問該ISP局域網(wǎng)的數(shù)據(jù)流的IP地址段為10.111.*.*�,訪問該ISP撥號用戶的數(shù)據(jù)流的IP地址段為10.110.*.*���。為了對圖中ISP實(shí)施保護(hù),首先在ISP出口路由器上創(chuàng)建一個(gè)有65535個(gè)元素的數(shù)組�,同時(shí),在ISP出口路由器上做如下配置Ispkeeper-list 1 10.111.0.0 10.111.255.255/*該命令確定了訪問ISP局域網(wǎng)的數(shù)據(jù)流*/interface eth I/0/0/*進(jìn)入與ISP局域網(wǎng)相連的以太網(wǎng)接口配置模式*/Ispkeeper-group 1 total 5000000 80000/*該命令將訪問ISP局域網(wǎng)的數(shù)據(jù)流的總的平均流量設(shè)置為5Mbps����、突發(fā)長度設(shè)置為80Kbyte*/ispkeeper-default single 128000 8000/*該命令將其余的訪問拔號用戶的數(shù)據(jù)流的每一個(gè)數(shù)據(jù)流的平均流量設(shè)置為128Kbps、突發(fā)長度設(shè)置為8Kbyte*/上述配置給出了單個(gè)數(shù)據(jù)流平均流量的上限���,以及總數(shù)據(jù)流的平均流量����。如此����,當(dāng)ISP收到一數(shù)據(jù)流報(bào)文后,先按HASH算法在數(shù)據(jù)流配置信息數(shù)組中查找是否已有該數(shù)據(jù)流的記錄�,如果有,就檢測該數(shù)據(jù)流的平均流量是否小于等于128K�,且檢測其總數(shù)據(jù)流的流量是否在5Mbps之內(nèi),如果是才傳送該報(bào)文給目的網(wǎng)絡(luò)設(shè)備��,否則丟棄該報(bào)文。如果數(shù)組中沒有此記錄����,則根據(jù)上述配置匹配該報(bào)文,并將相應(yīng)的配置信息記錄在數(shù)組中�����,然后再根據(jù)流量決定傳送或丟棄報(bào)文�����。
本發(fā)明的方法不僅可針對一個(gè)ISP局域網(wǎng)���,還可對一個(gè)城域網(wǎng)或廣域網(wǎng)中的多個(gè)ISP實(shí)施安全防護(hù)。以某省網(wǎng)的組網(wǎng)結(jié)構(gòu)為例�,該省網(wǎng)由多個(gè)ISP構(gòu)成,其組網(wǎng)結(jié)構(gòu)如圖6所示�。其實(shí)施安全防護(hù)的工作原理與實(shí)現(xiàn)過程與單個(gè)ISP完全相同,只是預(yù)先的配置設(shè)定不太相同�����,要分別對多個(gè)ISP中的每個(gè)ISP涉及的數(shù)據(jù)流IP地址段和參數(shù)進(jìn)行設(shè)定���,并在流量判斷時(shí)根據(jù)不同的IP地址段數(shù)據(jù)流對應(yīng)的配置信息進(jìn)行檢測��。圖6中多個(gè)ISP具體的配置設(shè)定可由如下語句實(shí)現(xiàn)Ispkeeper-list 10 10.110.0.0 10.110.255.255/*該命令確定了訪問ISP1��,即IP地址段為10.110.*.*的撥號用戶數(shù)據(jù)流*/Ispkeeper-list 11 10.111.0.0 10.111.255.255/*該命令確定了訪問ISP1����,即IP地址段為10.111.*.*的局域網(wǎng)數(shù)據(jù)流*/Ispkeeper-list 20 20.110.0.0 20.110.255.255/*該命令確定了訪問ISP2,即IP地址段為20.110.*.*的撥號用戶數(shù)據(jù)流*/
lspkeeper-list 21 20.111.0.0 20.111.255.255/*該命令確定了訪問ISP2����,即IP地址段為20.111.*.*的局域網(wǎng)數(shù)據(jù)流*/interface atm 1/0/0/*進(jìn)入與省內(nèi)部網(wǎng)相連的ATM接口配置模式*/Ispkeeper-group 11 total 5000000 80000/*該命令將訪問ISP1局域網(wǎng)的數(shù)據(jù)流的總的平均流量設(shè)置為5Mbps、突發(fā)長度設(shè)置為80Kbyte*/Ispkeeper-group 10 single 128000 8000/*該命令將訪問ISP1撥號用戶的數(shù)據(jù)流的每一個(gè)數(shù)據(jù)流的平均流量設(shè)置為128Kbps�、突發(fā)長度設(shè)置為8Kbyte*/Ispkeeper-group 21 total 5000000 80000/*該命令將訪問ISP2局域網(wǎng)的數(shù)據(jù)流的總的平均流量設(shè)置為5Mbps、突發(fā)長度設(shè)置為80Kbyte*/Ispkeeper-group 20 single 128000 8000/*該命令將訪問ISP2撥號用戶的數(shù)據(jù)流的每一個(gè)數(shù)據(jù)流的平均流量設(shè)置為128Kbps�����、突發(fā)長度設(shè)置為8Kbyte*/本發(fā)明在數(shù)據(jù)維護(hù)���,也就是對數(shù)據(jù)流配置信息數(shù)組進(jìn)行老化處理方面�,是由系統(tǒng)定期檢測各個(gè)用戶數(shù)據(jù)流�����,主要有兩種方式(1)定時(shí)處理。在給定時(shí)間間隔內(nèi)���,檢測各個(gè)用戶數(shù)據(jù)流���,如果平均流量超過配置時(shí)給定的平均流量上限時(shí),即出現(xiàn)了異常(有大的數(shù)據(jù)流)時(shí)�,需要通過Syslog輸出告警信息。
(2)包驅(qū)動�,不可配置的自動檢測。其又分為兩種情況一種為每隔15分鐘檢測用戶數(shù)據(jù)流�����,如果某一用戶長時(shí)間無數(shù)據(jù)到達(dá)�����,表明該數(shù)據(jù)流處于空閑狀態(tài)���,則清除該用戶數(shù)據(jù)流信息,另一種為對某一數(shù)據(jù)流���,如果在配置項(xiàng)中找不到匹配的流量參數(shù)�����,則直接清除該數(shù)據(jù)流的信息���。
本發(fā)明的方法ISPKeeper主要采用了Token Bucket及Hash等技術(shù)���,沿用了地址轉(zhuǎn)換簡易的配置風(fēng)格,配置簡單���、靈活����,運(yùn)行高效���,并提供豐富的統(tǒng)計(jì)信息及日志信息�。通過在ISP出口路由器與ISP局域網(wǎng)相連的接口上����,或ISP出口路由器與骨干IP網(wǎng)相連的接口上配置ISPKeeper,可很好地抵御黑客對ISP進(jìn)行的流量攻擊�。
本發(fā)明在充分考慮到ISP的組網(wǎng)結(jié)構(gòu)、業(yè)務(wù)模式及黑客攻擊特點(diǎn)的基礎(chǔ)上���,將現(xiàn)有的防火墻��、地址轉(zhuǎn)換及CAR等技術(shù)有效地結(jié)合在一起�����,互補(bǔ)其不足之處����,從而更有效地抵御ISP所遭受的流量攻擊。
權(quán)利要求
1.一種因特網(wǎng)服務(wù)提供者(ISP)安全防護(hù)的實(shí)現(xiàn)方法����,其特征在于該方法至少包括以下的步驟a.當(dāng)ISP出口路由器中的ISP管理器(ISPKeeper)要向目的網(wǎng)絡(luò)轉(zhuǎn)發(fā)當(dāng)前接收到的報(bào)文時(shí),首先通過HASH算法判斷該報(bào)文所屬的數(shù)據(jù)流是否為ISPKeeper中的已有記錄��,如果是��,則進(jìn)入步驟c�����;否則�����,進(jìn)入步驟b����;b.如果所要轉(zhuǎn)發(fā)的報(bào)文屬于一個(gè)新的數(shù)據(jù)流,則匹配該報(bào)文所屬數(shù)據(jù)流的配置信息并判斷是否匹配成功����,如果匹配成功,則將匹配所得到的該數(shù)據(jù)流的配置信息存儲記錄��;如果沒有匹配成功���,則查找配置信息中是否定義了缺省值����,如果有�,則將缺省的配置信息存儲記錄,然后進(jìn)入步驟c����;如果沒有定義缺省值,則由ISPKeeper將當(dāng)前接收到的報(bào)文直接轉(zhuǎn)發(fā)給相應(yīng)的目的網(wǎng)絡(luò)設(shè)備�����;c.檢測當(dāng)前數(shù)據(jù)流流量是否滿足用戶配置的參數(shù),如果不滿足�,則將當(dāng)前收到的報(bào)文丟棄,如果流量滿足要求�����,則繼續(xù)檢測總數(shù)據(jù)流量并判斷總配置參數(shù)是否正常��?如果不正常�,則丟棄該報(bào)文,否則��,如果正常����,則由ISPKeeper將當(dāng)前的報(bào)文轉(zhuǎn)發(fā)給相應(yīng)的目的網(wǎng)絡(luò)設(shè)備。
2.根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)方法����,其特征在于步驟a中所述的目的網(wǎng)絡(luò)為ISP局域網(wǎng)、或城域網(wǎng)�、或廣域網(wǎng)。
3.根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)方法��,其特征在于所述的數(shù)據(jù)流為外部網(wǎng)絡(luò)訪問目的網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)流,或?yàn)閾芴栍脩羯暇W(wǎng)返回的數(shù)據(jù)流�����。
4.根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)方法�,其特征在于步驟a中的匹配數(shù)據(jù)流的配置信息進(jìn)一步包括以下步驟首先根據(jù)該報(bào)文所屬數(shù)據(jù)流的目的IP地址在配置信息中找到相應(yīng)的IP地址段定義����,再按照地址段的定義找到該地址段的配置信息,并將該配置信息存儲記錄于數(shù)據(jù)流配置信息數(shù)組的相應(yīng)位置���。
5.根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)方法��,其特征在于該方法還進(jìn)一步包括以下步驟在初始化出口路由器時(shí)��,預(yù)先設(shè)置一個(gè)存儲數(shù)據(jù)流配置信息的數(shù)組���。
6.根據(jù)權(quán)利要求5所述的實(shí)現(xiàn)方法,其特征在于所述的數(shù)組大小為可容納所要識別的IP地址范圍內(nèi)所有數(shù)據(jù)流的數(shù)組�����,且數(shù)組的每個(gè)元素與一個(gè)目的IP地址一一對應(yīng)�。
7.根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)方法,其特征在于該方法還進(jìn)一步包括以下的步驟在初始化出口路由器時(shí)�,預(yù)先設(shè)定數(shù)據(jù)流的配置信息�����。
8.根據(jù)權(quán)利要求1或4或7所述的實(shí)現(xiàn)方法�,其特征在于所述的配置信息至少包括數(shù)據(jù)流的起始IP地址�、結(jié)束IP地址、接口配置模式�;每個(gè)數(shù)據(jù)流的傳輸帶寬或平均速率、突發(fā)長度�����;以及總數(shù)據(jù)流的總平均流量�����、總突發(fā)長度���。
9.根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)方法���,其特征在于步驟a中所述的HASH算法是指依據(jù)數(shù)據(jù)流中每個(gè)報(bào)文目的IP地址中的后16位將該報(bào)文定位到數(shù)據(jù)流配置信息數(shù)組的相應(yīng)元素位置。
10.根據(jù)權(quán)利要求9所述的實(shí)現(xiàn)方法��,其特征在于該方法還可進(jìn)一步包括以下步驟當(dāng)按HASH算法將所收到的數(shù)據(jù)流報(bào)文定位到數(shù)據(jù)相應(yīng)元素位置,而此時(shí)該位置已有數(shù)據(jù)流配置信息時(shí)����,則在此位置建立一數(shù)據(jù)鏈表,按目的IP地址的前16位依序存儲對應(yīng)的數(shù)據(jù)流配置信息��。
11.根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)方法��,其特征在于步驟c中所述的用戶配置參數(shù)至少包括單個(gè)數(shù)據(jù)流的傳輸帶寬或平均速率�����、突發(fā)長度���。
12.根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)方法,其特征在于步驟c中所述的總配置參數(shù)至少包括數(shù)據(jù)流的總平均速率和總突發(fā)長度��。
全文摘要
本發(fā)明公開了一種因特網(wǎng)服務(wù)提供者(ISP)安全防護(hù)的實(shí)現(xiàn)方法����,該方法是由ISP出口路由器上的ISP管理器(ISPKeeper)對外部流入ISP局域網(wǎng)的數(shù)據(jù)流進(jìn)行實(shí)時(shí)監(jiān)控與處理,自動識別記錄每個(gè)數(shù)據(jù)流�����,并根據(jù)配置信息判斷當(dāng)前數(shù)據(jù)流的流量以及數(shù)據(jù)流的總流量是否正常,如果正常�,則將所收到的報(bào)文轉(zhuǎn)發(fā)給相應(yīng)的網(wǎng)絡(luò)設(shè)備,否則丟棄當(dāng)前報(bào)文�����。使用該方法可有效地抵御黑客對ISP進(jìn)行的流量攻擊��,并可提高ISP服務(wù)的可靠性����。
文檔編號H04L12/26GK1394041SQ01118868
公開日2003年1月29日 申請日期2001年6月26日 優(yōu)先權(quán)日2001年6月26日
發(fā)明者薛國鋒 申請人:華為技術(shù)有限公司