專利名稱:一種抵御拒絕服務攻擊事件的網(wǎng)絡安全保護方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡安全領(lǐng)域�����,尤其涉及一種防止網(wǎng)絡安全因遭受拒絕服務攻擊事件而出現(xiàn)網(wǎng)絡崩潰現(xiàn)象的方法。
背景技術(shù):
互聯(lián)網(wǎng)上出現(xiàn)的DDoS(Distributed Denial of Service)分布式拒絕服務攻擊事件�����,甚至會使得一些大型網(wǎng)站都因遭受入侵而全面癱瘓�。很多政府網(wǎng)站、ISP信息服務提供商��、IDC托管機房����、商業(yè)站點、游戲服務器��、聊天網(wǎng)絡等網(wǎng)絡服務商長期以來一直被DDOS攻擊所困擾���,其主要影響是數(shù)據(jù)庫無法正常使用��,服務器被入侵機密資料丟失�、以及一些連帶問題����。但是目前全球?qū)DoS攻擊進行防范���、預測和反擊的研究工作還沒有突破性的進展。
SYN/ACK Flood攻擊作為其中最典型的拒絕服務攻擊方式���,其原理主要是通過向受害主機發(fā)送大量偽造源IP和源端口的TCP請求包����,導致主機緩存資源因處理這些欺騙請求包被耗盡或因忙于發(fā)送回應包而拒絕服務�,普通防火墻大多無法抵御此種攻擊。常用的攻擊方式有1��、半連接攻擊���,通過許多僵尸主機不斷地與受害服務器建立大量的TCP連接��,直到服務器的內(nèi)存等資源被耗盡而被拖跨���,從而造成拒絕服務���;2�、反射式分布式拒絕服務�����,也稱洪水方式的拒絕服務,以阻塞帶寬為目的�。黑客利用特殊的發(fā)包工具,首先把偽造了源地址的TCP連接請求包發(fā)送到那些被欺騙的計算機上��,根據(jù)TCP三次握手的規(guī)則��,這些計算機會向源IP發(fā)出SYN+ACK或RST包來響應這些請求�����。
抵御拒絕服務攻擊較常用的方法�����,主要分為網(wǎng)關(guān)防火墻法�、中繼防火墻法和SYNcookies。如圖1所示��,為現(xiàn)有技術(shù)中的網(wǎng)關(guān)防火墻結(jié)構(gòu)圖�。圖中,按網(wǎng)絡在防火墻內(nèi)側(cè)還是外側(cè)將其分為內(nèi)網(wǎng)��、外網(wǎng)�����,其中內(nèi)網(wǎng)是受防火墻保護的。
1�����、網(wǎng)關(guān)防火墻法網(wǎng)關(guān)防火墻抵御攻擊的基本思想是對于內(nèi)網(wǎng)服務器所發(fā)的SYN+ACK包�,防火墻立即發(fā)送ACK包響應。當內(nèi)網(wǎng)服務器接到ACK包后��,從backlog隊列中移出此半連接����,連接轉(zhuǎn)為開連接,TCP連接建成�����。該方法的缺點是當受到TCP攻擊時�,將使連接隊列數(shù)目增加,但一般服務器所能承受的連接數(shù)量比半連接數(shù)量大得多�。然而,由于服務器對連接數(shù)量也有限制�,隨著攻擊時間和攻擊強度的加大�����,就會超過全連接限制,最終導致拒絕服務�����。
2��、中繼防火墻法防火墻在向內(nèi)網(wǎng)服務器發(fā)TCP包之前���,首先完成與外網(wǎng)的三次握手連接�����,從而消除拒絕服務攻擊的成立條件���。該方法的缺點是此處,中繼防火墻的作用就相當于一個TCP代理����,代替了服務器去處理TCP攻擊,TCP代理程序工作在用戶層�����,處理半連接數(shù)量也是有限的,很容易被攻破�����。另外��,由于增加了一次代理進行TCP的三層握手��,不可避免的引起TCP連接的延遲����。
3、SYN cookiesLinux/BSD都支持SYN cookies�����,它通過修改TCP協(xié)議的序列號生成方法來加強抵御拒絕服務攻擊能力����。該方法的缺點是某些TCP選項必須禁用,如大窗口等�����,另外,計算cookies有花銷�����,當受攻擊時嚴重消耗CPU資源���,甚至導致死機。
發(fā)明內(nèi)容
本發(fā)明正是為了解決上述現(xiàn)有技術(shù)所存在的缺陷��,而提出一種抵御拒絕服務攻擊事件的網(wǎng)絡安全保護方法���,在基于數(shù)據(jù)鏈路層的設計的防護模塊���,過濾具有拒絕服務攻擊性的TCP包,通過構(gòu)成一個模塊級混合型防火墻�,實現(xiàn)對服務攻擊的主動防護。
本發(fā)明所提出的一種抵御拒絕服務攻擊事件的網(wǎng)絡安全保護方法���,在數(shù)據(jù)鏈路層設計了防護模塊��,通過對接收的來自各種IP地址的網(wǎng)絡TCP請求包進行判斷��,以實現(xiàn)對拒絕服務攻擊包的過濾����,該方法包括以下步驟第一步,防火墻截獲外網(wǎng)客戶端發(fā)向內(nèi)網(wǎng)服務器TCP數(shù)據(jù)包�����,實現(xiàn)第一層防護處理�,通過第一層防護的TCP數(shù)據(jù)包,進入第二層防護處理����;第二步,將通過第一層防護進入第二層防護的TCP數(shù)據(jù)包�����,與合法連接記錄鏈表中的相關(guān)內(nèi)容進行匹配�����,有匹配項的�,則視為正常的TCP數(shù)據(jù)包,可直接交給內(nèi)核處理���;第三步���,對于在合法的IP地址連接記錄鏈表中沒有匹配項的TCP數(shù)據(jù)包��,則根據(jù)最近一段時間內(nèi)進行TCP包的流量統(tǒng)計如果流量統(tǒng)計結(jié)果為正常����,則該TCP數(shù)據(jù)被視為正常的數(shù)據(jù)包�,交給內(nèi)核處理��;如果流量統(tǒng)計結(jié)果為不正常�����,則根據(jù)TCP數(shù)據(jù)包的源IP地址���,查找自定義的TCP數(shù)據(jù)包鏈表��,如有匹配項�����,將其加入合法鏈表中���,并將該TCP包交給內(nèi)核去處理�����;如果沒有匹配項�,那么將該TCP包記錄到自定義鏈表結(jié)構(gòu)中�����,并將該TCP包丟棄���。
與已有技術(shù)相比��,本發(fā)明能夠?qū)o論哪種攻擊工具進行的拒絕服務攻擊��,進行主動防御�,真正的達到了內(nèi)核主動防御的防護效果��,達到了預期的目的�。該方法不但大大的增加了防火墻的處理性能而且充分的利用了TCP/IP協(xié)議的特點用全新的設計思想,幾乎該算法模塊可以通用于所有的防火墻中���。
圖1為現(xiàn)有技術(shù)中網(wǎng)絡防火墻結(jié)構(gòu)示意圖���。
圖2為本發(fā)明的帶有防護模塊的網(wǎng)絡數(shù)據(jù)包處理流程圖���。
圖3為本發(fā)明的網(wǎng)橋模式的工作流程圖。
具體實施例方式
本發(fā)明所提出的防護模塊在受到拒絕服務攻擊時啟動并進行主動防護�����,其具體做法是根據(jù)拒絕服務攻擊的特點����,攻擊發(fā)生時TCP請求包的數(shù)量瞬時會變得很大,所以本發(fā)明中通過采用對TCP請求包流量進行統(tǒng)計的方式�,來判定網(wǎng)絡是否受到攻擊���。系統(tǒng)首先根據(jù)TCP包頭信息判斷是何種類型的數(shù)據(jù)包��,從而統(tǒng)計每秒鐘到達TCP請求包的個數(shù)��,防火墻一旦檢測出TCP流量超過服務器正常處理的限制時�����,啟動防護模塊處理TCP請求包�����,而當TCP流量恢復到網(wǎng)絡正常情況下時�,防火墻就不再啟動防護模塊,仍然允許客戶機與服務器直接進行TCP連接�。
防護模塊設計基于數(shù)據(jù)鏈路層,具體做法是在數(shù)據(jù)鏈路層實現(xiàn)對自定義數(shù)據(jù)結(jié)構(gòu)進行查詢����,并結(jié)合拒絕服務攻擊的防護算法。
這樣一來無論遇到哪種形式的拒絕服務攻擊�����,只要系統(tǒng)檢測到TCP流量不正常就會啟動防護模塊�,無需借助其他入侵檢測工具和掃描工具,也無需人為干預系統(tǒng)會自動識別合法與非法的數(shù)據(jù)包��,實現(xiàn)了主動防護拒絕服務攻擊的效果��,圖2是本發(fā)明的網(wǎng)絡數(shù)據(jù)包處理流程圖����。與現(xiàn)有技術(shù)區(qū)別之處在于,本發(fā)明在網(wǎng)絡驅(qū)動與IP地址的網(wǎng)絡過濾之間的數(shù)據(jù)鏈路層上��,增加了一個用于抵御服務攻擊的防護模塊。并且�����,在Linux系統(tǒng)將網(wǎng)卡設置成網(wǎng)橋的工作模式�,網(wǎng)卡接收到數(shù)據(jù)包后,經(jīng)過的網(wǎng)絡協(xié)議層次如圖3所示�����。
本發(fā)明所提出的抵御拒絕服務攻擊事件的網(wǎng)絡安全保護方法����,包括以下步驟第一步,防火墻截獲外網(wǎng)客戶端發(fā)向內(nèi)網(wǎng)服務器TCP數(shù)據(jù)包�,調(diào)用第一層防護代碼首先進行防護處理,將包長是40或其他非法TCP請求包丟掉���;第二步,將通過第一層防護進入第二層防護的TCP數(shù)據(jù)包�,與合法連接記錄鏈表中的相關(guān)內(nèi)容進行匹配,有匹配項的���,則視為正常的TCP數(shù)據(jù)包��,可直接交給內(nèi)核處理�。
第三步,對于合法連接記錄鏈表中沒有匹配項的TCP數(shù)據(jù)包�,則根據(jù)最近一段時間內(nèi)進行TCP包的流量統(tǒng)計如果流量統(tǒng)計結(jié)果為正常,則該TCP數(shù)據(jù)被視為正常的TCP數(shù)據(jù)包�,交給內(nèi)核處理;如果流量統(tǒng)計結(jié)果為不正常��,則根據(jù)TCP數(shù)據(jù)包的源IP地址����,查找自定義的TCP數(shù)據(jù)包鏈表,如有匹配項��,將其加入合法鏈表中�,并將該TCP包交給內(nèi)核去處理;如果沒有匹配項�,那么將該TCP包記錄到自定義鏈表結(jié)構(gòu)中,并將該TCP包丟棄�。
下面通過一具體實例,進一步說明本發(fā)明的技術(shù)方案和實現(xiàn)原理����。
本發(fā)明是基于Linux 2.6內(nèi)核而開發(fā)的,通用于其他操作系統(tǒng)內(nèi)核����。Linux 2.6內(nèi)核采用的一種提高網(wǎng)絡處理效率的技術(shù)(NAPI技術(shù))��,它的核心概念就是不采用中斷的方式讀取數(shù)據(jù)���,而代之以首先采用中斷喚醒數(shù)據(jù)接收的服務程序,然后用POLL的方法來輪詢數(shù)據(jù)���,Linux 2.6內(nèi)核的netif_rx函數(shù)中提供了專門的POLL方法--process_backlog來處理輪詢的方法�;process_backlog調(diào)用netif_receive_skb向上層提交數(shù)據(jù)�����。而netif_receive_skb中嵌入了handle_bridge用于把數(shù)據(jù)包skb送入網(wǎng)橋模塊處理���。
為實現(xiàn)在驅(qū)動程序之后且在調(diào)用網(wǎng)橋模塊之前進行數(shù)據(jù)包過濾���,以提高內(nèi)核處理效率,最合適的位置就是在調(diào)用netif_receive_skb函數(shù)前調(diào)用本發(fā)明的包過濾函數(shù)�,因此��,把我們的算法主要函數(shù)lyg_firewall放到process_backlog函數(shù)調(diào)用netif_receive_skb之前�。
通過改進Linux內(nèi)核源代碼,將算法實現(xiàn)在Linux2.6的內(nèi)核源代碼網(wǎng)絡部分,具體位置是/net/core/dev.c文件���,修改dev.c文件的process_backlog函數(shù)�,在函數(shù)中調(diào)用lyg_firewall()根據(jù)函數(shù)返回結(jié)果處理數(shù)據(jù)包�,如果函數(shù)返回值是LYG_DROP,將數(shù)據(jù)包釋放��,釋放方法是調(diào)用kfree_skb(skb)����;否則,netif_receive_skb(skb)會將該數(shù)據(jù)包給內(nèi)核進一步處理�����。
本發(fā)明的防護模塊共分兩層結(jié)構(gòu)防護第一層防護����,利用數(shù)據(jù)包長度判定法進行非法TCP請求包的判定及過濾。對于包長是40字節(jié)的非正常TCP請求包丟棄��,并且對包長不是40字節(jié)的TCP請求包進行流量統(tǒng)計����,如果流量超過每秒50個TCP請求包����,而且包長是某一個固定值�����,又不是合法操作系統(tǒng)下發(fā)送TCP請求的合法包長如64�����、60�、48字節(jié),那么將這些包丟棄���。
第二層防護�����,利用TCP連接請求超時重傳機制辨別真假連接的辦法���,當防火墻收到任何地址任何端口發(fā)來的第一次TCP請求都將端口、地址和接收時間紀錄并將這個TCP數(shù)據(jù)包丟棄����,特定時間內(nèi)防火墻再次收到這個地址發(fā)來的端口一致并且未超時的數(shù)據(jù)包那么就將其轉(zhuǎn)發(fā)給服務器,并認為這次連接是真實的����。
從TCP協(xié)議三次握手的特點出發(fā),分析正常TCP連接時發(fā)包的特點��,發(fā)起TCP連接的主機會向目的主機發(fā)送TCP請求包�,然后等待目的主機返回SYN+ACK包,如果在一定時間內(nèi)源主機未能收到SYN+ACK數(shù)據(jù)包����,那么就會認為TCP包已經(jīng)丟失,并且重新發(fā)送TCP數(shù)據(jù)包�����,當連續(xù)3次發(fā)送TCP包都沒有能夠收到SYN+ACK應答����,就認為該目的主機不可達并放棄數(shù)據(jù)傳輸。
當前各種偽地址拒絕服務攻擊都是在最短時間內(nèi)利用多線程來向服務器發(fā)送大量TCP包���,造成服務器系統(tǒng)資源耗盡��,無法響應合法TCP請求���。但是這種攻擊往往不會等待SYN+ACK應答�,也就是說����,攻擊者使用IP地址只發(fā)送一個TCP請求便改變到其他IP地址進行攻擊,因此��,可以認為����,如果在一段時間內(nèi),目標機收到了兩個相同IP地址的TCP請求����,就認為這個IP地址合法。TCP/IP協(xié)議里規(guī)定的第一次超時時間是5.8秒�,第二次超時重傳時間是24秒,而經(jīng)過抓包試驗測得結(jié)果是一般的http連接和ftp連接都在0.8秒內(nèi)有第二個TCP請求重發(fā)�����。所以我們可以在延遲0.8秒后斷定IP地址合法����,而防護代碼只在受到拒絕服務攻擊時才啟用����,所以在受到攻擊時����,在延遲0.8秒后將請求發(fā)送給服務器�����,防止服務器拒絕服務攻擊��。
為了得到合法的IP地址��,每收到一個IP地址發(fā)來的TCP請求��,就要記錄下該IP地址���,并將該TCP包丟棄�����,我們設定在6秒內(nèi)���,再次收到該IP地址發(fā)來的TCP請求���,就將這個IP地址加入到一個合法IP鏈表中去。對每一個收到的TCP包��,如果在合法IP鏈表中能夠匹配到相同項����,就認為該數(shù)據(jù)包合法,并讓其通過�����,否則記錄其IP地址����,然后丟掉。在合法鏈表的IP地址節(jié)點���,在記錄后的存活時間是6秒����,時間到將被從鏈表中刪除�����。
要記錄合法IP,首先要記錄每一個到達的TCP包的IP地址�,如果使用一個普通的鏈表記錄這些IP地址,當受到偽地址的SYN flood攻擊時�,隨著攻擊的進行鏈表會越來越長,而IP地址有255×255×255×255這么多���,可見當受到偽地址攻擊時,CPU每收到一個TCP請求包都需要對這個巨大的鏈表進行查找�,而受到攻擊時,偽地址TCP請求包一般都在每秒鐘一萬個以上���,合法TCP請求包只有幾個或幾十個�,所占比例極小����,而為了匹配到比例極小的合法TCP請求,需要對每個TCP請求包對這個巨大的鏈表進行匹配操作��,這將嚴重消耗系統(tǒng)資源��,造成防火墻響應慢甚至防火墻系統(tǒng)癱瘓�����,阻塞所有數(shù)據(jù)包。那么黑客實際上以另外一種形式對服務器進行了拒絕服務攻擊���。
因此��,本發(fā)明設計了一個新的鏈表結(jié)構(gòu)���,該鏈表分四層,將IP地址的分為4段��,每段代表32位IP地址中的8位����,鏈表的四層對應IP地址的四段,將IP地址其分別記錄到4個不同鏈表的節(jié)點中去����,每個節(jié)點分別指向下一層鏈表的表頭,形成一個四層鏈表每層表指向上層節(jié)點的鏈表套鏈表的數(shù)據(jù)結(jié)構(gòu)�。
假設,當一個新的TCP包到達時���,設其IP地址為192.168.0.1��,首先去第一層鏈表中進行查找�����,即查找192��,如果找到192��,那么就順著該節(jié)點去查找以該節(jié)點作為表頭的子鏈表即第二層鏈表找到168的節(jié)點�,然后順著這個節(jié)點找一個它為表頭的第三層鏈表中找到0,一直找到第4層鏈表�����,如果在第4個鏈表中也找到了與1匹配的選項���,那么就認為該IP在鏈表中匹配成功。否則����,將該IP作為新的節(jié)點插入到鏈表,插入鏈表時按層次建立分段IP的節(jié)點并作為下層鏈表的表頭�����。
使用這樣一個鏈表,只需要搜索4組鏈表就可以得到結(jié)果����,也就是說,最多也只需要255×4次鏈表操作�。該方法與普通鏈表所采用的算法相比,已經(jīng)大大簡化��。
基于Linux2.6內(nèi)核開發(fā)的用于防護拒絕服務攻擊模塊����,工作在Linux系統(tǒng)內(nèi)核網(wǎng)絡協(xié)議棧的底層,隨內(nèi)核工作而工作�,從原理上解決拒絕服務攻擊,無論哪種攻擊工具進行拒絕服務攻擊����,主動防御拒絕服務系統(tǒng)都能抵御。真正的做到了內(nèi)核主動防御的防護效果�����,達到了預期的目的��。
盡管受到拒絕服務攻擊時�����,主動防御系統(tǒng)資源有所消耗,但是對網(wǎng)絡正常使用沒有任何影響���,沒有一個TCP拒絕服務攻擊包通過防御系統(tǒng)��,達到了預期防護拒絕服務攻擊的目的����,按理論值計算在100MB網(wǎng)絡中TCP包包長為64字節(jié)情況下����,攻擊包每秒最多達到(100×1024×1024/64)164萬個,結(jié)果表明�,主動防御系統(tǒng)可以保證其正常網(wǎng)絡傳輸同時可以防御小于等于160萬/秒的拒絕服務攻擊。唯一美中不足之處就是防御系統(tǒng)的資源消耗根據(jù)攻擊強度的加大略微有所提高�,實際防護效果是根據(jù)防御系統(tǒng)的CPU處理速度����、主板的總線速度、內(nèi)存的速度來決定��。其測試結(jié)果已經(jīng)遠遠優(yōu)于部分國內(nèi)/國際的專業(yè)防火墻抗拒絕服務攻擊產(chǎn)品���。
權(quán)利要求
1.一種抵御拒絕服務攻擊事件的網(wǎng)絡安全保護方法����,在數(shù)據(jù)鏈路層設置防護模塊,通過對接收的來自各種IP地址的TCP類型的數(shù)據(jù)包進行判斷��,以實現(xiàn)對拒絕服務攻擊包的過濾����,該方法包括以下步驟第一步,防火墻截獲外網(wǎng)客戶端發(fā)向內(nèi)網(wǎng)服務器TCP類型數(shù)據(jù)包��,進行第一層防護處理�����,通過第一層防護的TCP類型數(shù)據(jù)包�����,進入第二層防護處理����;第二步,將通過第一層防護進入第二層防護的TCP數(shù)據(jù)包���,與合法連接記錄鏈表中的相關(guān)內(nèi)容進行匹配����,有匹配項的,則視為正常的數(shù)據(jù)包�,可直接交給內(nèi)核處理;第三步�����,對于在合法的IP地址連接記錄鏈表中沒有匹配項的TCP數(shù)據(jù)包���,則根據(jù)最近一段時間內(nèi)進行TCP包的流量統(tǒng)計如果流量統(tǒng)計結(jié)果為正常�,則該數(shù)據(jù)被視為正常的TCP數(shù)據(jù)包��,交給內(nèi)核處理��;如果流量統(tǒng)計結(jié)果為不正常����,則根據(jù)TCP數(shù)據(jù)包的包頭信息����,源IP地址����,查找自定義的TCP數(shù)據(jù)包鏈表�,如有匹配項,將其加入合法鏈表中�,并將該TCP數(shù)據(jù)包交給內(nèi)核去處理;如果沒有匹配項�,那么將該TCP包記錄到自定義鏈表結(jié)構(gòu)中,并將該TCP數(shù)據(jù)包丟棄���。
2.如權(quán)利要求1所述的抵御拒絕服務攻擊事件的網(wǎng)絡安全保護方法���,其特征在于,所述防火墻截獲外網(wǎng)客戶端發(fā)向內(nèi)網(wǎng)服務器TCP數(shù)據(jù)包���,實現(xiàn)第一層防護處理�����,更進一步包含利用數(shù)據(jù)包長度判定法進行非法TCP請求包的判定及過濾�。對于包長是40字節(jié)的非正常TCP請求包丟棄����,對包長不是40字節(jié)的TCP請求包進行流量統(tǒng)計�,如果包長是某一個固定值的TCP包流量超過每秒50個�,又不是合法操作系統(tǒng)下發(fā)送TCP請求的包長,那么將這些TCP數(shù)據(jù)包丟棄��。
3.如權(quán)利要求1所述的抵御拒絕服務攻擊事件的網(wǎng)絡安全保護方法�,其特征在于,所述第二層防護處理���,更進一步包含當防火墻收到任何地址任何端口發(fā)來的第一次TCP請求都將端口�、地址和接收時間紀錄并將這個TCP數(shù)據(jù)包丟棄�,特定時間內(nèi)防火墻再次收到這個地址發(fā)來的端口一致并且未超時的數(shù)據(jù)包那么就將其轉(zhuǎn)發(fā)給服務器,并認為這次連接是真實的�。
4.如權(quán)利要求1所述的抵御拒絕服務攻擊事件的網(wǎng)絡安全保護方法,其特征在于���,所述IP地址被定義為四層的鏈表結(jié)構(gòu)�����,該鏈表分四層��,將IP地址的分為4段�,每段代表32位IP地址中的8位,鏈表的四層對應IP地址的四段����,將IP地址分別記錄到4個不同鏈表的節(jié)點中去�,每個節(jié)點分別指向下一層鏈表的表頭,形成一個四層鏈表每層表指向上層節(jié)點的鏈表套鏈表的數(shù)據(jù)結(jié)構(gòu)����。
5.如權(quán)利要求1所述的抵御拒絕服務攻擊事件的網(wǎng)絡安全保護方法,其特征在于�����,所述檢查所接收的TCP數(shù)據(jù)是否與合法的IP地址連接記錄鏈表相匹配的步驟��,更進一步包含當一個新的TCP請求包到達時���,首先在第1層鏈表中進行查找�;如果找到第1個相同節(jié)點�,根據(jù)該節(jié)點查找以該節(jié)點作為表頭的第2層鏈表,如果找到第二個相同的節(jié)點����,則根據(jù)這第2個相同節(jié)點查找一個以該節(jié)點為表頭的第3層鏈表,找到第3個相同的節(jié)點,一直找到第4層鏈表���,如果在第4個鏈表中也找到了與它匹配的選項�,則該IP在鏈表中匹配成功���;否則�����,將該IP作為新的節(jié)點插入到鏈表����,插入鏈表時按層次建立分段IP的節(jié)點并作為下層鏈表的表頭��。
6.如權(quán)利要求1所述的抵御拒絕服務攻擊事件的網(wǎng)絡安全保護方法�,其特征在于,該方法基于Linux內(nèi)核��,并通用于各種系統(tǒng)內(nèi)核��,位于網(wǎng)絡協(xié)議棧的底層�。
7.如權(quán)利要求1所述的抵御拒絕服務攻擊事件的網(wǎng)絡安全保護方法,其特征在于�,所述合法操作系統(tǒng)下發(fā)送TCP請求的合法包長為64字節(jié)��、60字節(jié)或48字節(jié)����。
全文摘要
一種抵御拒絕服務攻擊事件的網(wǎng)絡安全保護方法�����,在數(shù)據(jù)鏈路層設計了防護模塊�����,通過對接收的來自各種IP地址的TCP請求包進行判斷��,以實現(xiàn)對拒絕服務攻擊的過濾���,該方法包括以下步驟防火墻截獲外網(wǎng)客戶端發(fā)向內(nèi)網(wǎng)服務器TCP數(shù)據(jù)包,實現(xiàn)第一層防護處理�����,通過第一層防護的TCP數(shù)據(jù)包��,進入第二層防護處理��,檢查所接收的TCP類型數(shù)據(jù)是否在合法的IP地址連接記錄鏈表中有匹配項。有匹配項的�����,則視為正常的數(shù)據(jù)包���,可直接交給內(nèi)核處理��;沒有匹配項的TCP數(shù)據(jù)包�����,則先對其在一定時間段內(nèi)進行包的流量統(tǒng)計�。本發(fā)明能夠主動防御無論哪種攻擊工具進行的拒絕服務攻擊����,真正做到了內(nèi)核主動防御的防護效果。
文檔編號H04L12/56GK1822593SQ20061001333
公開日2006年8月23日 申請日期2006年3月20日 優(yōu)先權(quán)日2006年3月20日
發(fā)明者趙洪宇, 劉亞光, 朱睿 申請人:趙洪宇