CN107770114A - 一种优化的分布式监测的洪水攻击检测方法 - Google Patents

一种优化的分布式监测的洪水攻击检测方法 Download PDF

Info

Publication number
CN107770114A
CN107770114A CN201610668178.2A CN201610668178A CN107770114A CN 107770114 A CN107770114 A CN 107770114A CN 201610668178 A CN201610668178 A CN 201610668178A CN 107770114 A CN107770114 A CN 107770114A
Authority
CN
China
Prior art keywords
hash
monitoring
monitoring modular
cryptographic hash
array
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610668178.2A
Other languages
English (en)
Inventor
袁兴飚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Taishan Gold Network Technology Co Ltd
Original Assignee
Taishan Gold Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Taishan Gold Network Technology Co Ltd filed Critical Taishan Gold Network Technology Co Ltd
Priority to CN201610668178.2A priority Critical patent/CN107770114A/zh
Publication of CN107770114A publication Critical patent/CN107770114A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种优化的分布式监测的洪水攻击检测方法,包括,S1:在服务器网卡驱动底层设置一监测模块;S2:监测模块监测数据报文,并根据监测结果转发或阻断IP数据包。S2还包括了S21:监测模块创建第一哈希数组及第二哈希数组;S22:监测模块采集SYN数据包信息作为第一哈希值,并储存到以第一哈希值为下标的第一哈希数组中;S23:监测模块采集ACK数据包信息作为第二哈希值,并储存到以第二哈希值为下标的第二哈希数组中;S24:监测模块检索比较第二哈希数值及第一哈希值,确定攻击源。本发明通过比较第一哈希值和第二哈希值得到洪水攻击的源地址,并阻断从第一哈希数组中提取出来的攻击源地址,有效保障网络安全及服务器的稳定性。

Description

一种优化的分布式监测的洪水攻击检测方法
技术领域
本发明涉及洪水攻击检测领域,尤其涉及一种优化的分布式监测的洪水攻击检测方法。
背景技术
SYN洪水攻击(SYN_FLOOD)是一种广为人知的拒绝服务攻击(DOS)与分布式拒绝服务攻击(DDos)的方式之一,其利用了TCP/IP v4协议的缺陷,发送大量伪造的TCP连接请求,迫使服务器端短时间内发出大量的SYN+ACK应答数据包,从而使服务器资源耗尽(CPU满负荷或内存不足)。TCP连接的建立都是从三次握手开始的,1)客户端会发送一个包含同步(Synchronize,SYN)标志的TCP报文,该同步报文会包含了源地址、源端口、目的地址、目的端口、初始系列号等信息;2)服务器在收到客户端的同步报文后,会返回给客户端一个同步+确认报文(Acknowledgment,ACK),该同步+确认报文也包含了源地址、源端口、目的地址、目的端口、初始系列号等信息;3)当客户端接收到同步+确认报文后,会再返回给服务器一个确认报文,此时一个TCP连接完成。如果服务器发出同步+确认报文后,没有收到相应的客户端的确认报文时,会在30s-2min内不断重试发送同步+确认报文,如果在这个期间一直没收到客户端的确认报文则丢弃这个未完成的连接并释放相应的***资源。洪水攻击使服务器打开了大量的半开连接请求,使正常的客户请求无法请求。在互联网相当普及的今天,要让联网的服务器稳定地运行,及时做好应对洪水攻击的检测工作成为企业网络安全的基本诉求。目前,洪水攻击的检测方法一般为简单地统计报文中同步报文数量,当单位时间内同步报文数量大于预先设定的阈值时,就确定服务器遭受洪水攻击。这种仅仅是统计SYN数量的监测方式误判率很大,往往会统计到正常的业务数据包,给正常业务造成一定的影响。
发明内容
本发明的目的在于克服现有技术中的缺点与不足,提供一种优化的分布式监测的洪水攻击检测方法。
本发明是通过以下技术方案实现的:一种优化的分布式监测的洪水攻击检测方法,包括如下步骤:
S1:在每一台服务器的网卡驱动底层设置一监测模块,该监测模块包括IP数据包的转发模块、阻断模块及统计模块;
S2:监测模块单向监测流进服务器网卡的数据报文,并根据监测结果转发或阻断IP数据包,该步骤S2包括如下步骤:
S21:监测模块创建第一哈希数组及第二哈希数组;
S22:监测模块采集来自互联网的SYN数据包并提取SYN数据包信息,并对数据包信息中的IP五元组进行系列化及哈希加密转换得到第一哈希值,提取SYN数据包中的源地址存储至以所述第一哈希值作为下标的第一哈希数组中;
S23:监测模块采集来自互联网的ACK数据包并提取ACK数据包信息,并对数据包中的IP五元组进行系列化及哈希加密转换得到第二哈希值,提取ACK数据包中的源地址存储至以所述第二哈希值作为下标的第二哈希数组中;
S24:监测模块检索作为第二哈希数组下标的第二哈希值,如果存在第二哈希值与第一哈希值相同,则为正常数据包、否则为洪水攻击数据包,监测模块从以第一哈希值作为下标的第一哈希数组中提取对应的攻击源地址,并阻断该攻击源地址对服务器的访问。
进一步,所述步骤S22中的哈希加密转换采用MD5加密算法。
进一步,所述步骤S22中,所述IP五元组为SYN数据包的源地址、源端口、目的地址、目的端口、协议标识。
进一步,所述步骤S23中,所述IP五元组为ACK数据包的源地址、源端口、目的地址、目的端口、协议标识。
相比于现有技术,本发明的有益效果是:
本发明在每一台服务器的网卡驱动底层设置监测模块,分布式部署监测模块有效减轻了网关对进出数据流的处理能力;监测模块采集来自互联网的SYN数据包及ACK数据包,将SYN数据包中的IP五元组构造成唯一的第一哈希值、将ACK数据包中的IP五元组构造成唯一的第二哈希值,并以第一哈希值作为第一哈希数组的下标、以第二哈希值作为第二哈希数组的下标,将数据包源地址存储在对应下标的第一哈希数组及第二哈希数组中,通过比较第一哈希值和第二哈希值得出洪水攻击的特征后,可直接从数组中提取洪水攻击源地址,减少逆向运算时间,提高监测模块性能,且能快速阻断攻击源访问服务器,有效保障网络安全及服务器的稳定性。
为了能更清晰的理解本发明,以下将结合附图说明阐述本发明的较佳的实施方式。
附图说明
图1是本发明中的监测模块部署的网络拓扑示意图。
图2是本发明的流程图。
图3是图2中步骤S2的流程图。
具体实施方式
请同时参阅图1至图3,图1是本发明中的监测模块部署的网络拓扑示意图,图2是本发明的流程图,图3是图2中步骤S2的流程图。
见图1和图2,一种优化的分布式监测的洪水攻击检测方法,包括如下步骤:
S1:在每一台服务器的网卡驱动底层设置一监测模块,该监测模块包括IP数据包的转发模块、阻断模块及统计模块,转发模块将进入监测模块的数据包转发到服务器、阻断模块将来自洪水攻击客户端的数据包阻断、统计模块监测并统计进入该监测模块的各种数据包;
S2:监测模块单向监测流进服务器网卡的数据报文,并根据监测结果转发或阻断IP数据包,该步骤S2包括如下步骤:(见图3)
S21:监测模块创建第一哈希数组及第二哈希数组;
S22:监测模块采集来自互联网的SYN数据包并提取SYN数据包信息,并对数据包信息中的IP五元组进行系列化及哈希加密转换得到第一哈希值,提取SYN数据包中的源地址存储至以所述第一哈希值作为下标的第一哈希数组中;
S23:监测模块采集来自互联网的ACK数据包并提取ACK数据包信息,并对数据包中的IP五元组进行系列化及哈希加密转换得到第二哈希值,提取ACK数据包中的源地址存储至以所述第二哈希值作为下标的第二哈希数组中;
S24:监测模块检索作为第二哈希数组下标的第二哈希值,如果存在第二哈希值与第一哈希值相同,则为正常数据包、否则为洪水攻击数据包,监测模块从以第一哈希值作为下标的第一哈希数组中提取对应的攻击源地址,并阻断该攻击源地址对服务器的访问。
本发明的优化的分布式监测的洪水攻击检测方法根据洪水攻击的特征,即发起攻击的客户端不会发出ACK数据包来对服务器进行应答,从而判断出洪水攻击来源并阻断该来源的数据包,达到防护的目的。
本发明并不局限于上述实施方式,如果对本发明的各种改动或变形不脱离本发明的精神和范围,倘若这些改动和变形属于本发明的权利要求和等同技术范围之内,则本发明也意图包含这些改动和变形。

Claims (4)

1.一种优化的分布式监测的洪水攻击检测方法,其特征在于,包括如下步骤:
S1:在每一台服务器的网卡驱动底层设置一监测模块,该监测模块包括IP数据包的转发模块、阻断模块及统计模块;
S2:监测模块单向监测流进服务器网卡的数据报文,并根据监测结果转发或阻断IP数据包,该步骤S2包括如下步骤:
S21:监测模块创建第一哈希数组及第二哈希数组;
S22:监测模块采集来自互联网的SYN数据包并提取SYN数据包信息,并对数据包信息中的IP五元组进行系列化及哈希加密转换得到第一哈希值,提取SYN数据包中的源地址存储至以所述第一哈希值作为下标的第一哈希数组中;
S23:监测模块采集来自互联网的ACK数据包并提取ACK数据包信息,并对数据包中的IP五元组进行系列化及哈希加密转换得到第二哈希值,提取ACK数据包中的源地址存储至以所述第二哈希值作为下标的第二哈希数组中;
S24:监测模块检索作为第二哈希数组下标的第二哈希值,如果存在第二哈希值与第一哈希值相同,则为正常数据包、否则为洪水攻击数据包,监测模块从以第一哈希值作为下标的第一哈希数组中提取对应的攻击源地址,并阻断该攻击源地址对服务器的访问。
2.根据权利要求1所述的一种优化的分布式监测的洪水攻击检测方法,其特征在于,所述步骤S22中的哈希加密转换采用MD5加密算法。
3.根据权利要求2所述的一种优化的分布式监测的洪水攻击检测方法,其特征在于,所述步骤S22中,所述IP五元组为SYN数据包的源地址、源端口、目的地址、目的端口、协议标识。
4.根据权利要求3所述的一种优化的分布式监测的洪水攻击检测方法,其特征在于,所述步骤S23中,所述IP五元组为ACK数据包的源地址、源端口、目的地址、目的端口、协议标识。
CN201610668178.2A 2016-08-15 2016-08-15 一种优化的分布式监测的洪水攻击检测方法 Pending CN107770114A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610668178.2A CN107770114A (zh) 2016-08-15 2016-08-15 一种优化的分布式监测的洪水攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610668178.2A CN107770114A (zh) 2016-08-15 2016-08-15 一种优化的分布式监测的洪水攻击检测方法

Publications (1)

Publication Number Publication Date
CN107770114A true CN107770114A (zh) 2018-03-06

Family

ID=61259787

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610668178.2A Pending CN107770114A (zh) 2016-08-15 2016-08-15 一种优化的分布式监测的洪水攻击检测方法

Country Status (1)

Country Link
CN (1) CN107770114A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101707598A (zh) * 2009-11-10 2010-05-12 成都市华为赛门铁克科技有限公司 识别洪水攻击的方法、装置及***
CN101895543A (zh) * 2010-07-12 2010-11-24 江苏华丽网络工程有限公司 一种基于网络交换设备的有效防御洪水攻击的方法
CN104363230A (zh) * 2014-11-14 2015-02-18 山东乾云启创信息科技有限公司 一种在桌面虚拟化中防护洪水攻击的方法
CN105119942A (zh) * 2015-09-16 2015-12-02 广东睿江科技有限公司 一种洪水攻击检测方法
CN105227348A (zh) * 2015-08-25 2016-01-06 广东睿江科技有限公司 一种基于ip五元组的哈希存储方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101707598A (zh) * 2009-11-10 2010-05-12 成都市华为赛门铁克科技有限公司 识别洪水攻击的方法、装置及***
CN101895543A (zh) * 2010-07-12 2010-11-24 江苏华丽网络工程有限公司 一种基于网络交换设备的有效防御洪水攻击的方法
CN104363230A (zh) * 2014-11-14 2015-02-18 山东乾云启创信息科技有限公司 一种在桌面虚拟化中防护洪水攻击的方法
CN105227348A (zh) * 2015-08-25 2016-01-06 广东睿江科技有限公司 一种基于ip五元组的哈希存储方法
CN105119942A (zh) * 2015-09-16 2015-12-02 广东睿江科技有限公司 一种洪水攻击检测方法

Similar Documents

Publication Publication Date Title
US6816910B1 (en) Method and apparatus for limiting network connection resources
US8499146B2 (en) Method and device for preventing network attacks
CN1316369C (zh) 检测异常不成功的连接尝试次数的方法
US7711790B1 (en) Securing an accessible computer system
US7636305B1 (en) Method and apparatus for monitoring network traffic
CN101800707B (zh) 建立流转发表项的方法及数据通信设备
WO2019178966A1 (zh) 抵抗网络攻击方法、装置、计算机设备及存储介质
CN107770113A (zh) 一种精确确定攻击特征的洪水攻击检测方法
CN110266678B (zh) 安全攻击检测方法、装置、计算机设备及存储介质
Kavisankar et al. A mitigation model for TCP SYN flooding with IP spoofing
CN106487807A (zh) 一种域名解析的防护方法和装置
CN113347155A (zh) 一种arp欺骗的防御方法、***及装置
US7552206B2 (en) Throttling service connections based on network paths
Patil et al. A rate limiting mechanism for defending against flooding based distributed denial of service attack
CN112235329A (zh) 一种识别syn报文真实性的方法、装置及网络设备
Bala et al. Quality based Bottom-up-Detection and Prevention Techniques for DDOS in MANET
Farhat Protecting TCP services from denial of service attacks
CN107770120A (zh) 一种分布式监测的洪水攻击检测方法
CN107770123A (zh) 一种中央监测的洪水攻击检测方法
CN109729098A (zh) Dns服务器中自动阻断恶意端口扫描的方法
CN107770114A (zh) 一种优化的分布式监测的洪水攻击检测方法
Al-Duwairi et al. Distributed packet pairing for reflector based DDoS attack mitigation
CN107770122A (zh) 一种优化的中央监测的洪水攻击检测方法
Kavisankar et al. CNoA: Challenging Number Approach for uncovering TCP SYN flooding using SYN spoofing attack
CN114024731A (zh) 报文处理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20180306

RJ01 Rejection of invention patent application after publication