專利名稱:前置可重構(gòu)DDoS攻擊防御裝置及方法
技術領域:
本發(fā)明涉及一種計算機網(wǎng)絡安全技術��,特別涉及一種針對DDoS攻擊的前置可重構(gòu)DDoS攻擊防御裝置及方法�����。
背景技術:
拒絕服務攻擊(DoQ是指攻擊者通過某種手段�,有意地造成計算機或網(wǎng)絡不能正常運轉(zhuǎn)從而不能向合法用戶提供所需要的服務或者使得服務質(zhì)量降低。DoS的攻擊方式有很多種��,最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源�����,從而使服務器無法處理合法用戶的指令。單一的DoS攻擊一般是采用一對一方式的����,當被攻擊目標CPU 速度低、內(nèi)存小或者網(wǎng)絡帶寬小等各項性能指標不高���,它的效果是明顯的���。隨著計算機與網(wǎng)絡技術的發(fā)展,計算機的處理能力迅速增長�����,內(nèi)存大大增加����,同時也出現(xiàn)了千兆級別的網(wǎng)絡,這使得DoS攻擊變得更加困難���。在此基礎上���,出現(xiàn)了一種新的攻擊方式——DDoS (Distributed Denial of Service),即分布式拒絕服務攻擊。DDoS指處于不同位置的多個攻擊者同時向一個或者數(shù)個目標發(fā)起攻擊,或者一個或多個攻擊者控制了位于不同位置的多臺計算機并利用這些計算機對受害者同時實施攻擊�����,由于攻擊的發(fā)出點是分布在不同地方的�����,這類攻擊稱為分布式拒絕服務攻擊����。高速廣泛連接的網(wǎng)絡給大家?guī)砹朔奖?���,也為DDoS攻擊創(chuàng)造了極為有利的條件。如圖1所示��,一個比較完善的DDoS攻擊體系分成4部分����,分別是攻擊者及其計算機、控制機���、攻擊機和被攻擊的對象(通常為服務器)���。攻擊者通過一些技術手段獲取一些計算機的控制權(quán)或部分控制權(quán)�,使其成為傀儡機���,其中少量的作為控制機����,另外一些作為攻擊機�����,它們分別用做控制和實際發(fā)起攻擊�。對于受害者來說,DDoS的實際攻擊包是從攻擊傀儡機上發(fā)出的�����,控制機只發(fā)布命令而不參與實際的攻擊���。這樣一來����,就很難追查到DDoS的實際攻擊者��。針對不同的服務,有不同DDoS攻擊方式�����,SYN Flood攻擊是最早出現(xiàn)�����,也是最有效��、最常見的攻擊方式�,它利用了 TCP協(xié)議實現(xiàn)上的一個缺陷�����,通過向網(wǎng)絡服務所在端口發(fā)送大量的偽造源地址的攻擊報文����,造成目標服務器中的半開連接隊列被占滿,從而阻止其他合法用戶進行訪問��;ACK Flood攻擊中�����,主機操作系統(tǒng)將耗費大量的精力接收報文、判斷狀態(tài)�,同時要主動回應RST報文,正常的數(shù)據(jù)包就可能無法得到及時的處理���;Connection Flood也稱為連接耗盡攻擊�����,它的基本思想就是將服務器上可用的連接數(shù)占滿直至無法正常響應�,是典型的并且非常的有效的利用小流量沖擊大帶寬網(wǎng)絡服務的攻擊方式�。解決DDoS的困難在于其分布式特性,以及攻擊者采用偽造��、隨機變化報文源IP 地址�、隨機變化攻擊報文內(nèi)容等方法,使得DDoS的攻擊特征難以提取���,攻擊源的位置難以確定��。目前常用的防護策略有防火墻��、包檢測��、流量監(jiān)測與控制等�����,它們能有效預防特定的 DDoS攻擊�,但在實際網(wǎng)絡環(huán)境中,攻擊模式復雜多變�,因此總體效果不盡理想。一種現(xiàn)有的技術(申請?zhí)枮?00810067376. 9的發(fā)明)中�,在服務器端對服務器的運行狀態(tài)或進入服務器的網(wǎng)絡數(shù)據(jù)流進行檢測,判斷是否有針對本服務器的DDoS攻擊發(fā)生����,如果有則通知數(shù)據(jù)清洗設備對本服務器的網(wǎng)絡數(shù)據(jù)流進行清洗���。該方法的缺陷主要有 ⑴通過服務器的運行狀態(tài)檢測到DDoS攻擊時�����,服務器的性能已經(jīng)受到很大影響��;(2)由于 DDoS攻擊通常模仿用戶的正常訪問行為����,因此對網(wǎng)絡數(shù)據(jù)流進行檢測并不能確保及時發(fā)現(xiàn)攻擊行為��,另外,當數(shù)據(jù)流量非常大時�����,檢測設備會不堪重負��。一種針對web服務器的DDoS攻擊防御技術(200610034795. 3)中��,將防火墻設置在web服務器之前�,用戶向web服務器發(fā)起的tcp連接請求,防火墻將所述請求轉(zhuǎn)發(fā)給web 服務器���,接收并檢查web服務器的回應報文�,當回應報文中包括差錯碼時�����,斷開與所述tcp 連接請求對應的tcp連接��。在理論上��,該方法很好的解決偽造源IP的SYN Flood攻擊���,但在實際的網(wǎng)絡環(huán)境非常復雜��,會產(chǎn)生一些不利因素�����。當攻擊流量非常大時���,如果完全進行IP 地址檢測��,工作量會非常大���,防火墻可能不堪重負最終無法響應,其次防火墻前端的網(wǎng)絡設備將充斥著大量無用的垃圾流量��,會占用大量帶寬���,前端的網(wǎng)絡設備將開始出現(xiàn)隨機丟包, 攻擊者的目的也就達到了�。在某些情況下,由于防火墻前端的網(wǎng)絡設備要轉(zhuǎn)發(fā)大量的數(shù)據(jù)包����,如果配置不當甚至可能由于負載很高而無法正常工作。
發(fā)明內(nèi)容
針對現(xiàn)有機制難以有效防御多種DDoS攻擊的問題��,本發(fā)明提供一種前置可重構(gòu) DDoS攻擊防御裝置及方法,它根據(jù)DDoS攻擊類型配置相應的檢測和防御策略�����,實現(xiàn)準確高效的防護�����。本發(fā)明技術方案是這樣實現(xiàn)的
一種前置可重構(gòu)DDoS攻擊防御裝置��,包括與外部網(wǎng)絡相連接的接收來自網(wǎng)絡數(shù)據(jù)流的接入模塊�����,其特征在于
DDoS攻擊防御裝置作為一個硬化的功能模塊�,稱之為Anti-DDoS Engin,簡稱ADE,部署在Web服務器IP協(xié)議棧執(zhí)行部件之前�����;
接入模塊的輸出端口分別與檢測模塊和處理模塊相連接����,檢測模塊提取數(shù)據(jù)流的特征值,并根據(jù)特征值檢測DDoS攻擊的類型�,檢測模塊通過輸入輸出端口與控制模塊相連�,控制模塊根據(jù)反饋信息對系統(tǒng)行為進行控制���,控制模塊與TCP狀態(tài)監(jiān)測模塊輸出端口相連接����,TCP狀態(tài)監(jiān)測模塊的輸入端口接收IP協(xié)議棧處理部件的狀態(tài)信息�,TCP狀態(tài)監(jiān)測模塊對 IP協(xié)議棧的狀態(tài)進行監(jiān)測,依此判斷是否發(fā)生DDoS攻擊及攻擊的程度���,處理模塊的兩個輸入端口分別與控制模塊和接入模塊相連����,處理模塊的輸出端口向IP協(xié)議棧發(fā)送經(jīng)過處理后的數(shù)據(jù)包�,并根據(jù)控制模塊的指令完成不同級別的DDoS防護功能
檢測模塊和處理模塊采用可編程邏輯器件實現(xiàn),用戶通過控制模塊對它們進行重配置�,以檢測和處理不同類型����、不同程度的DDoS攻擊,保證硬件實現(xiàn)的高效性和滿足靈活性需求���。一種前置可重構(gòu)DDoS攻擊防御方法����,其特征在于按如下步驟進行 步驟1 接入模塊接收經(jīng)過分類的IP數(shù)據(jù)流;
步驟2 :TCP狀態(tài)監(jiān)測模塊對IP協(xié)議棧的執(zhí)行狀態(tài)進行監(jiān)測��,以便控制模塊判斷是否發(fā)生DDoS攻擊以及服務器收到攻擊的程度����,并向控制模塊反饋監(jiān)測結(jié)果,避免檢測模塊的漏檢問題����;步驟3 檢測模塊提取輸入IP數(shù)據(jù)流的特征值,根據(jù)設定的檢測規(guī)則或算法進行檢
測����;
步驟4 根據(jù)檢測結(jié)果判斷是否存在DDoS攻擊數(shù)據(jù)包,并確定攻擊的類型����,如果存在, 則對數(shù)據(jù)流進行處理���,將檢測結(jié)果反饋給控制模塊���,否則直接轉(zhuǎn)發(fā)通過�����;
步驟5 控制模塊根據(jù)檢測模塊和TCP狀態(tài)監(jiān)測模塊的反饋信息���,向檢測模塊和處理模塊發(fā)出控制命令,更新檢測規(guī)則和處理策略�����,對輸入的網(wǎng)絡數(shù)據(jù)流進行處理����,實現(xiàn)對不同類型DDoS攻擊的精確防護,阻止?jié)撛诘腄DoS攻擊�����; 步驟6:得到安全的數(shù)據(jù)流���。本發(fā)明中檢測模塊和處理模塊采用可編程邏輯器件實現(xiàn)����,用戶可以通過控制模塊對它們進行重配置���,以檢測和處理不同類型��、不同程度的DDoS攻擊����。這樣既保證了硬件實現(xiàn)的高效性���,同時滿足了靈活性需求����。
圖1為DDoS攻擊示意圖���。圖2為本發(fā)明的DDoS攻擊防御裝置原理框圖�。圖3為本發(fā)明的結(jié)構(gòu)示意圖�。圖4為本發(fā)明實施例的防止DDoS攻擊的方法流程圖。
具體實施例方式如圖2�、3所示,一種前置可重構(gòu)DDoS攻擊防御裝置�����,它包括如下幾個部分接入模塊,檢測模塊�����,TCP狀態(tài)監(jiān)測模塊���,控制模塊�����,處理模塊���。接入模塊接收來自網(wǎng)絡的數(shù)據(jù)流; 檢測模塊提取數(shù)據(jù)流的特征值,如IP地址����,端口號,包信息等�����,并根據(jù)特征值檢測DDoS攻擊的類型�;TCP狀態(tài)監(jiān)測模塊對IP協(xié)議棧的狀態(tài)進行監(jiān)測,依此判斷是否發(fā)生DDoS攻擊及攻擊的程度�;控制模塊根據(jù)反饋信息對系統(tǒng)行為進行控制���;處理模塊根據(jù)控制模塊的指令完成不同級別的DDoS防護功能����。圖2給出了本發(fā)明提供的DDoS攻擊防御裝置原理框圖,接入模塊101接收網(wǎng)絡數(shù)據(jù)流���;檢測模塊102提取網(wǎng)絡數(shù)據(jù)流的特征值����,調(diào)用檢測規(guī)則�����,判斷是否存在DdoS攻擊數(shù)據(jù)包以及攻擊的類型����,如果存在,則將檢測結(jié)果反饋給控制模塊103 ����;TCP狀態(tài)監(jiān)測模塊104 對IP協(xié)議棧的執(zhí)行狀態(tài)進行監(jiān)測,根據(jù)狀態(tài)信息判斷是否發(fā)生DDoS攻擊���,以及受到攻擊的程度�,并向控制模塊103反饋監(jiān)測結(jié)果,這樣可以避免檢測模塊102的漏檢問題�;控制模塊 103根據(jù)檢測模塊102和TCP狀態(tài)監(jiān)測模塊104的反饋信息,向檢測模塊102和處理模塊 105發(fā)出控制命令���,更新檢測規(guī)則和處理策略�,對輸入的網(wǎng)絡數(shù)據(jù)流進行處理�,實現(xiàn)對不同類型DDoS攻擊的精確防護。下面介紹模塊之間的連接關系接入模塊輸入端與外部網(wǎng)絡相連�����,其輸出端分別與檢測模塊和處理模塊相連����,檢測模塊通過輸入輸出端口與控制模塊相連,TCP狀態(tài)監(jiān)測模塊輸入端接收IP協(xié)議棧處理部件的狀態(tài)信息����,輸出端與控制模塊相連,處理模塊的兩個輸入端口分別與控制模塊和接入模塊相連�,輸出端向IP協(xié)議棧發(fā)送經(jīng)過處理后的數(shù)據(jù)包。如圖3所示����,本實施例中�����,DDoS攻擊防御裝置作為一個硬化的功能模塊,稱之為 Anti-DDoS Engin (ADE)��,部署在Web服務器IP協(xié)議棧執(zhí)行部件之前��。
5
圖4給出了本實施例提供的技術方案的流程圖����,具體按如下步驟進行 步驟1 接入模塊接收經(jīng)過分類的IP數(shù)據(jù)流;
步驟2 :TCP狀態(tài)監(jiān)測模塊對IP協(xié)議棧的執(zhí)行狀態(tài)進行監(jiān)測�����,以便控制模塊判斷是否發(fā)生DDoS攻擊以及服務器收到攻擊的程度����,并向控制模塊反饋監(jiān)測結(jié)果,避免檢測模塊的漏檢問題�����;
步驟3 檢測模塊提取輸入IP數(shù)據(jù)流的特征值,根據(jù)設定的檢測規(guī)則或算法進行檢
測�;
步驟4 根據(jù)檢測結(jié)果判斷是否存在DDoS攻擊數(shù)據(jù)包,并確定攻擊的類型�����,如果存在��, 則對數(shù)據(jù)流進行處理�����,將檢測結(jié)果反饋給控制模塊�����,否則直接轉(zhuǎn)發(fā)通過�;
步驟5 控制模塊根據(jù)檢測模塊和TCP狀態(tài)監(jiān)測模塊的反饋信息,向檢測模塊和處理模塊發(fā)出控制命令��,更新檢測規(guī)則和處理策略����,對輸入的網(wǎng)絡數(shù)據(jù)流進行處理,實現(xiàn)對不同類型DDoS攻擊的精確防護�,阻止?jié)撛诘腄DoS攻擊�; 步驟6:得到安全的數(shù)據(jù)流����。
權(quán)利要求
1.一種前置可重構(gòu)DDoS攻擊防御裝置,包括與外部網(wǎng)絡相連接的接收來自網(wǎng)絡數(shù)據(jù)流的接入模塊��,其特征在于DDoS攻擊防御裝置作為一個硬化的功能模塊�����,稱之為Anti-DDoS Engin,簡稱ADE�����,部署在Web服務器IP協(xié)議棧執(zhí)行部件之前����;接入模塊的輸出端口分別與檢測模塊和處理模塊相連接���,檢測模塊提取數(shù)據(jù)流的特征值����,并根據(jù)特征值檢測DDoS攻擊的類型�,檢測模塊通過輸入輸出端口與控制模塊相連��,控制模塊根據(jù)反饋信息對系統(tǒng)行為進行控制�����,控制模塊與TCP狀態(tài)監(jiān)測模塊輸出端口相連接�,TCP狀態(tài)監(jiān)測模塊的輸入端口接收IP協(xié)議棧處理部件的狀態(tài)信息�����,TCP狀態(tài)監(jiān)測模塊對 IP協(xié)議棧的狀態(tài)進行監(jiān)測�,依此判斷是否發(fā)生DDoS攻擊及攻擊的程度,處理模塊的兩個輸入端口分別與控制模塊和接入模塊相連�����,處理模塊的輸出端口向IP協(xié)議棧發(fā)送經(jīng)過處理后的數(shù)據(jù)包�����,并根據(jù)控制模塊的指令完成不同級別的DDoS防護功能�。
2.根據(jù)權(quán)利要求1所述的前置可重構(gòu)DDoS攻擊防御裝置,其特征在于檢測模塊和處理模塊采用可編程邏輯器件實現(xiàn)���,用戶通過控制模塊對它們進行重配置��,以檢測和處理不同類型�����、不同程度的DDoS攻擊�,保證硬件實現(xiàn)的高效性和滿足靈活性需求。
3.一種前置可重構(gòu)DDoS攻擊防御方法�����,其特征在于按如下步驟進行步驟1 接入模塊接收經(jīng)過分類的IP數(shù)據(jù)流�����;步驟2 :TCP狀態(tài)監(jiān)測模塊對IP協(xié)議棧的執(zhí)行狀態(tài)進行監(jiān)測����,以便控制模塊判斷是否發(fā)生DDoS攻擊以及服務器收到攻擊的程度���,并向控制模塊反饋監(jiān)測結(jié)果���,避免檢測模塊的漏檢問題;步驟3 檢測模塊提取輸入IP數(shù)據(jù)流的特征值,根據(jù)設定的檢測規(guī)則或算法進行檢測��;步驟4 根據(jù)檢測結(jié)果判斷是否存在DDoS攻擊數(shù)據(jù)包�,并確定攻擊的類型,如果存在��, 則對數(shù)據(jù)流進行處理�,將檢測結(jié)果反饋給控制模塊,否則直接轉(zhuǎn)發(fā)通過���;步驟5 控制模塊根據(jù)檢測模塊和TCP狀態(tài)監(jiān)測模塊的反饋信息����,向檢測模塊和處理模塊發(fā)出控制命令��,更新檢測規(guī)則和處理策略���,對輸入的網(wǎng)絡數(shù)據(jù)流進行處理���,實現(xiàn)對不同類型DDoS攻擊的精確防護,阻止?jié)撛诘腄DoS攻擊���;步驟6:得到安全的數(shù)據(jù)流����。
全文摘要
本發(fā)明涉及一種前置可重構(gòu)DDoS攻擊防御裝置及方法,包括與外部網(wǎng)絡相連接的接收來自網(wǎng)絡數(shù)據(jù)流的接入模塊��,接入模塊分別與檢測模塊和處理模塊相連接�,檢測模塊與控制模塊相連,控制模塊與TCP狀態(tài)監(jiān)測模塊輸出端口相連��,TCP狀態(tài)監(jiān)測模塊的輸入端口接收IP協(xié)議棧處理部件的狀態(tài)信息�,TCP狀態(tài)監(jiān)測模塊對IP協(xié)議棧的狀態(tài)進行監(jiān)測,依此判斷是否發(fā)生DDoS攻擊及攻擊的程度,處理模塊分別與控制模塊和接入模塊相連�,處理模塊的輸出端口向IP協(xié)議棧發(fā)送經(jīng)過處理后的數(shù)據(jù)包,并根據(jù)控制模塊的指令完成不同級別的DDoS防護功能,根據(jù)DDoS攻擊類型配置相應的檢測和防御策略�����,實現(xiàn)準確高效的防護�。
文檔編號H04L29/08GK102164135SQ20111009357
公開日2011年8月24日 申請日期2011年4月14日 優(yōu)先權(quán)日2011年4月14日
發(fā)明者龐建民, 張興明, 張帆, 張錚, 李弋, 祝衛(wèi)華, 祝永新, 羅興國, 謝同飛, 鄔江興, 陳韜 申請人:上海紅神信息技術有限公司, 中國人民解放軍信息工程大學