CN109218283A - 阻止分布式拒绝服务攻击的方法及对应的设备 - Google Patents
阻止分布式拒绝服务攻击的方法及对应的设备 Download PDFInfo
- Publication number
- CN109218283A CN109218283A CN201810722490.4A CN201810722490A CN109218283A CN 109218283 A CN109218283 A CN 109218283A CN 201810722490 A CN201810722490 A CN 201810722490A CN 109218283 A CN109218283 A CN 109218283A
- Authority
- CN
- China
- Prior art keywords
- value
- equipment
- area network
- internet protocol
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种阻止分布式拒绝服务攻击的方法及对应的设备。网关监视其LAN设备和WAN之间的通信,并按照每个LAN设备对到目标IP地址的请求的数量进行计数。如果LAN设备到目标IP地址的请求的数量超过第一值X,则在目的地处向所有其他网关发送警报消息,该消息包括目标IP地址。网关根据按照每个目标IP地址收到的警报消息来监视请求计数器值之和。如果该和超过第二值VALUE_DDOS,则检测到DDoS攻击。检测到DDoS攻击的网关验证该网关是否具有向被攻击的IP地址发送数量超过值X的请求的LAN设备,并且在适当的情况下通过阻止从设备到WAN的数据通信将这样的LAN设备放入隔离区。
Description
技术领域
本公开总体上涉及防止和阻止分布式拒绝服务(DDoS)攻击的领域。DDoS攻击是一种大量连接到互联网的设备被用于恶意执行协作DoS攻击的网络攻击。
背景技术
本文描述的任何背景信息旨在向读者介绍本领域中可能与以下描述的本实施例相关的各个方面。这样的讨论有助于向读者提供背景信息以便帮助更好地理解本公开的各方面。因此,应当理解,这些陈述应以这种方式被解读。
典型地,诸如机顶盒(STB)、高清晰度电视(HDTV)和互联网协议电话机的用户终端将通过由接入点(AP)控制的局域网(LAN)或由服务提供商提供的网关(GW)连接到服务提供商(SP)或互联网服务提供商(ISP)。网关提供用于连接LAN设备的无线通信和有线通信。网关还具有网络接口,网络接口使网关能够连接到广域网(WAN),以用于连接到互联网,特别是用于连接到服务提供商的服务器。在部署IPTV和/或三重播放业务(IPTV+IP电话+互联网)的情况下,服务提供商可能在数百万客户端处安装了类似数量个网关和机顶盒。由于大量机顶盒设备具有类似操作***和类似应用软件,恶意软件可能在试图发起互联网的DDoS攻击时将这些设备作为目标,破坏为服务提供商的客户或任何其他互联网企业提供的服务,以达到破坏、敲诈和勒索的目的。由于声名狼藉的Mirai僵尸网络(botnet)的缘故,很明显,由于弱密码(缺省)和安全保护差,目前已部署的物联网设备中很大一部分是感染恶意软件的最佳目标。然后,这些设备可能会加入这种僵尸网络,被犯罪分子用来组织DDoS攻击。这些物联网设备通常不是服务提供商提供的,却使用服务提供商的网关来访问互联网网络。对于服务提供商来说,希望防止这些设备,特别是服务提供商提供的设备的不当使用,以避免服务破坏或者服务提供商的设备所提供的LAN中不当使用的设备的DDos攻击所涉及的其他实体的抱怨。
因此,需要一种解决方案来改善对服务提供商的设备的不当使用的早期检测,以防止或阻止服务提供商提供的LAN中的设备引起的DDoS攻击。
发明内容
根据本公开的一个方面,提供了一种阻止来自局域网中的设备的分布式拒绝服务攻击的方法。该方法由连接到广域网并且向设备提供局域网的接入点来实现。该方法包括:按照每个设备并且按照广域网中的每个目的地互联网协议地址对第一总数的请求进行计数;针对局域网中的设备,如果第一总数超过第一值,则发送以广域网中的接入点为目的地的警报消息,该消息包括目的地互联网协议地址;接收警报消息并且基于所接收到的警报消息按照每个目的地互联网协议地址对第二总数的请求进行计数;如果到目的地互联网协议地址的第二总数的请求超过第二数值,并且针对局域网中的设备,到目的地互联网协议地址的第一总数的请求的第一值被超过,则阻止从该设备到广域网的数据通信。
根据阻止来自局域网中的设备的分布式拒绝服务攻击的方法的另一方面,阻止数据通信包括:阻止来自第一值被超过的设备且去往第二值被超过的目的地互联网协议地址的传出数据通信。
根据阻止来自局域网中的设备的分布式拒绝服务攻击的方法的另一方面,阻塞数据通信包括:阻止来自第一值被超过的设备的传出数据通信,并且阻止去往第一值被超过的设备的传入数据通信。
根据阻止来自局域网中的设备的分布式拒绝服务攻击的方法的另一方面,第一值和第二值是出厂预设的。
根据阻止来自局域网中的设备的分布式拒绝服务攻击的方法的另一方面,第一值和第二值是远程可配置参数。
根据阻止来自局域网中的设备的分布式拒绝服务攻击的方法的另一方面,第一值和第二值是能够按照每个目的地互联网协议地址进行配置的远程可配置参数。
根据阻止来自局域网中的设备的分布式拒绝服务攻击的方法的另一方面,该方法还包括接收用于设置第一值和第二值的远程配置命令。
根据阻止来自局域网中的设备的分布式拒绝服务攻击的方法的另一方面,配置命令是根据客户驻地设备管理广域网管理协议的。
根据阻止来自局域网中的设备的分布式拒绝服务攻击的方法的另一方面,配置命令是根据简单网络管理协议的。
本发明原理还涉及一种用于连接到广域网且向局域网设备提供局域网的接入点设备。接入点设备包括处理器(800)、存储器(801)、第一网络接口(803)和第二网络接口(802),被配置为:按照每个设备并且按照广域网中的每个目的地互联网协议地址对第一总数的请求进行计数;针对局域网中的设备,如果第一总数超过第一值,则发送以广域网中的接入点为目的地的警报消息,该消息包括目的地互联网协议地址;接收警报消息并且基于所接收到的警报消息按照每个目的地互联网协议地址对第二总数的请求进行计数;如果到目的地互联网协议地址的第二总数的请求超过第二数值,并且针对局域网中的设备,到目的地互联网协议地址的第一总数的请求的第一值被超过,则阻止从该设备到广域网的数据通信。
根据用于连接到广域网且向局域网设备提供局域网的设备的另一方面,处理器、存储器、第一网络接口和第二网络接口还被配置为:阻止来自第一值被超过的设备且去往第二值被超过的目的地互联网协议地址的传出数据通信。
根据用于连接到广域网且用于为局域网设备提供局域网的设备的另一方面,处理器、存储器、第一网络接口和第二网络接口还被配置为:阻止来自第一值被超过的设备的传出数据通信,并阻止去往第一值被超过的设备的传入数据通信。
根据用于连接到广域网且用于为局域网设备提供局域网的设备的另一方面,处理器、存储器、第一网络接口和第二网络接口还被配置为:接收包括用于设置第一值和第二值的参数值的远程配置命令。
根据用于连接到广域网且用于为局域网设备提供局域网的设备的另一方面,处理器、存储器、第一网络接口和第二网络接口还被配置为:接收包括用于设置第一值和第二值的每个目的地互联网协议地址的参数值的远程配置命令。
附图说明
通过对特定的、非限制性的实施例的描述,将清楚本公开的更多优点。为了描述可获得本公开的优点的方式,通过参考附图中所示出的特定实施例来呈现对本发明原理的具体描述。附图描绘了本公开的示例性实施例,因此不应被认为限制其范围。所描述的实施例可进行组合,以形成具有特定优点的实施例。以下附图中,与在先的附图中已经描述的项目具有相同附图标记的项目将不会被再次描述,以避免不必要地使本公开变得不清楚。将参照附图描述实施例,在附图中:
图1是连接到服务提供商的典型订户家庭。
图2是包括服务提供商的多个订户的网络基础设施。
图3是示出了以服务提供商服务器为目标的来自IoT设备的DDoS攻击的网络架构。
图4是根据本发明原理的作为阻止DDoS攻击的方法的一部分的用于管理本地请求计数器的过程的流程图。
图5是根据本发明原理的作为阻止DDoS攻击的方法的一部分的用于管理输入警报消息的过程的流程图。
图6是根据本发明原理的作为阻止分布式拒绝服务攻击的方法的一部分的用于监视参与DDoS攻击的本地LAN设备的过程的流程图。
图7是根据本发明原理的将图4、图5和图6的流程图统一的方法的实施例的流程图。
图8是适用于实现阻止来自LAN设备的DDoS攻击的方法的实施例的设备的实施例。
应该理解,附图用于说明本公开的概念的目的,并不一定是用于说明本公开的唯一可能的配置。
具体实施方式
本说明书示意了本公开的原理。因此,可以理解的是,本领域的技术人员将能够设计出虽然没有明确地在此描述或示出但体现了本公开的原理并包括在其精神和范围之内的各种布置。
这里记载的所有示例和条件语言预期用于教导目的,以帮助读者理解本公开的原理和发明人为改进现有技术而贡献的构思,并且应解释为不限于这些具体记载的示例和条件。
此外,这里对本公开的原理、方面、实施例及其特定示例做出引述的所有声明意在包括本发明的结构和功能上的等同物。此外,这种等同物旨在包括当前已知的等同物以及将来研发的等同物,即,执行相同功能的所研发的任何元件,而无论其结构。
在下文中,术语“网关”(GW)、“接入点”(AP)被无差别地使用以表示相同的意思。在计算机联网中,接入点是一种联网硬件设备,它允许网络兼容设备连接到接入点提供的网络并经由接入点连接到该网络中的设备。因此,本发明原理可以应用于除网关之外的其他类型的接入点,例如充当接入点的移动设备或网络路由器。
图1是连接到服务提供商的典型订户家庭。***1包括经由链路100连接到广域网WAN 11的服务提供商SP 10以及订户家庭1001。订户家庭1001包括网关GW 12。网关12为家庭网络LAN设备机顶盒STB 13、数字电视DTV14、IP电话15以及灯具或灯16物联网设备提供有线和无线接入点(AP)。在服务提供商10针对组合的因特网、电话和IPTV服务的三重播放提供的上下文中,网关12被提供给订户。网关12包括若干个网络接口:实现与WAN11的连接101的第一网络接口、实现与LAN设备13和14的连接103的第二网络接口、以及实现与IP电话15和WiFi可控的灯具或灯16的无线连接102的第三网络接口。***1还包括大量其他互联网服务器17,用于提供公共或私人服务(电子商务、政府服务等)。
图2是包括服务提供商的多个订户的网络架构。架构2包括第一订户的第一家庭1001和第二订户的第二家庭2001。第二家庭2001包括第二网关22。第二家庭2001中的第二网关22经由链路201连接到WAN 13。第二家庭2001中的第二网关22还包括第二无线网络202。第二网关22为设备23(STB)、24(IPTV)、25(IP电话)和26(WiFi可控灯)提供接入点。实际上,服务提供商具有客户群,其可以包括与网关12和22类似的数百万个网关以及与机顶盒13和23类似的数百万个机顶盒。这些网关和机顶盒被提供给来源于服务提供商的三重播放服务提供的订户,因此由服务提供商来管理和控制。使用由服务提供商的家庭网关提供的LAN的其它设备(诸如所描绘的IP电话25和WiFi灯26)不是服务提供商提供的,因此不被服务提供商控制。存在着大量的市场产品,并且可能存在严重的安全缺陷(如默认密码,例如“0000”或“1234”),并且在配置设置期间可能不需要更改默认密码。在等待下载更新版本时,操作***/固件中可能存在其他安全缺陷。因此,这些设备成为了感染恶意软件的易感目标,并且一旦被感染,仅通过它们的数量,这些设备就可以形成在DDoS攻击中以特定服务器或多个服务器为目标的僵尸网络。由于DDoS攻击的特点之一是很多设备参与攻击,并且每个设备向攻击目标的IP地址发出相对有限数量的请求,所以难以防御这种攻击。在向目标IP地址发送请求的设备之中,很可能存在许多没有参与攻击的良性设备。因此,阻止访问目标IP地址的所有设备将会适得其反,因为它会达到攻击所期望的效果,即,使目标IP地址无法访问。因此,希望在DDoS攻击获得动力之前停止DDoS攻击,而非阻止良性设备访问被攻击的IP地址。对抗DDoS攻击的问题是如何有效地组织防御。可以在服务器上实现执行监视功能,其对特定IP地址或地址集合的请求进行监控以检测和防止DDoS攻击,但具有明显的缺陷。值得注意的是,监视服务器自身可能被攻击,并且可能无法运行。因此,希望使监视功能不那么容易被攻击。因此,本发明原理实现了分布式监控,并且选择性阻止参与DDoS攻击的设备。
图3是示出了以服务提供商服务器为目标的来自IoT设备的DDoS攻击的网络架构。网络架构3包括连接在WAN 31中的服务提供商服务器30、网关33和路由器32。网关34和35经由路由器32连接到WAN 31。每个网关33-35提供用于LAN设备的LAN网络。网关33提供用于设备331和332的LAN。网关34提供用于设备340和341的LAN。网关35提供用于设备351-353的LAN。LAN设备332、341、351和353是参与DDoS攻击的IoT设备,如虚线箭头所示。设备332经由网关33参与DDoS攻击。设备341经由网关34和路由器32参与DDoS攻击。设备351和353经由网关35和路由器32参与DDoS攻击。
图4是根据本发明原理的作为阻止DDoS攻击的方法的一部分的用于管理本地请求计数器的过程的流程图400。该过程例如由网关33或35实现。该流程图从判定框401开始,其中验证LAN设备是否向WAN设备发出请求。例如,借助于IP侦听器功能,由网关对LAN设备和WAN之间的IP数据通信进行侦听(非侵入式监听)来验证。如果IP侦听器未检测到这种数据通信,则该过程循环回到步骤401(401-否)。相反,如果IP侦听器检测到这种数据通信(401-是),则在步骤402中,针对目标IP WAN地址和请求来源的LAN设备的MAC地址来增加本地请求计数器。如果针对目标IP WAN/MAC地址的本地请求计数器尚不存在,则创建本地请求计数器并将其设置为1。然后,在判定步骤403中,针对任意的本地设备MAC地址/目标IP地址对以及读出本地设备MAC地址/目标IP地址对的本地请求计数器,来验证到目标IP地址的请求的数量是否超过值X。如果数量不超过值X,则该过程循环回到步骤401(403-否)。然而,如果该数量超过值X(403-是),则认为到目标IP地址的请求的数量是可疑的,在某种意义上,可能是LAN设备正在参与对目标IP地址的DDoS攻击。因此,通过在专用于此目的的IP多播地址上发送警报消息向其他设备(网关)通知这种怀疑。警报消息(目标IP WAN地址)可选地包括到特定目标IP WAN地址的请求的数量超过值X的本地LAN设备的LAN MAC地址,并且可选地包括本地请求计数器的当前值。此后,过程循环返回到步骤401。根据特定实施例,使用滑动窗口技术,以便定期删除或重新初始化本地请求计数器,例如,当滑动窗口的新时隙开始时,或者仅考虑比给定时间段更晚的请求时。值X是例如出厂预设的参数,和/或由远程管理服务器(例如,自动配置服务器或ACS)例如使用客户驻地设备Wan管理协议(CWMP-TR069)或简单网络管理协议(SNMP)通过从远程管理服务器接收到的远程管理命令来设置的参数。因此,网关可以发送针对同一MAC地址/目标IP地址对在一个时隙期间的多个警报消息,例如,如果X=100(时隙持续时间例如是10ms),则网关发送第一警报消息<目标IP WAN地址>,[<MAC地址>],[<101>]、第二警报消息<目标IP WAN地址>,[<MAC地址>],[<102>]、第三警报消息<目标IP WAN地址>,[<MAC地址>],[<103>]。符号[]指示消息参数是可选的。
根据特定实施例,警报消息中的MAC地址被导出的标识符(如MAC地址的散列或MAC地址的椒盐散列)替换。这避免了可能被恶意软件利用的信息泄漏。
根据特定实施例,网关在数据结构中存储本地请求计数器。下面的表1是用于存储本地请求计数器的示例数据结构。
| MAC地址 | 目标IP WAN地址 | 本地请求计数器 |
表1:用于存储本地请求计数器的数据结构
图5是根据本发明原理的作为阻止DDoS攻击的方法的一部分的用于管理输入警报消息的过程500的流程图。过程500例如由网关33或35实现。在步骤501中,验证是否接收到警报消息。如果没有收到这样的消息(501-否),则该过程返回到步骤501。如果接收到这样的消息(501-是),则在步骤502中验证是否存在针对警报消息中包括的目标IP WAN地址的请求计数器。如果不存在请求计数器,则创建并且使用警报消息中包括的请求计数器的值来初始化请求计数器。如果已经存在针对目标IP WAN地址的请求计数器,则请求计数器的值随着包括在警报消息中的请求计数器的值而增加,或者用包括在警报消息中的请求计数器的值与在同一MAC地址/目标IP WAN地址对的第一警报消息中接收到的请求计数器的初始值之间的差来更新请求计数器的值。
根据特定实施例,网关可以在数据结构中存储请求计数器。这样的数据结构可以通过下面的表2来可视化。
| 目标IP WAN地址 | 请求计数器 |
表2:用于存储请求计数器的数据结构
因此,使用表1和表2的数据结构,可以跟踪本地LAN设备向目标IP WAN地址发出的请求的数量(表1中的列“本地请求计数器”)、以及网络中所有LAN中的所有设备向目标IP地址发出的请求的总数(表2中的列“请求计数器”)。
图6是用于监视本地LAN设备是否参与DDoS攻击的过程的流程图600。根据本发明原理,该过程是阻止分布式拒绝服务攻击的方法的一部分。该过程监视针对所存储的所有目标IP WAN地址的请求的总数。该过程使用例如根据表2存储的数据。在步骤601中,针对任何目标IP WAN地址,如果未超过值VALUE_DDOS(601-否),则过程返回到步骤601。然而,如果针对任何目标IP WAN地址,超过了值VALUE_DDOS,则检测到DDoS攻击(601-是)。如果是这种情况,则执行步骤602。在步骤602中,验证任何本地LAN设备是否具有超过上文提到的值X的到同一目标IP WAN地址的请求的总数。例如,使用由表1可视化的数据结构来验证。如果没有找到这样的本地设备(602-否),则该过程返回到步骤601。如果找到这样的本地设备,则在步骤603中将本地设备放入隔离区(quarantine),并且该过程返回到步骤601。
根据特定实施例,对于第一数据结构和/或第二数据结构使用节省空间的类似于count-min sketch(CM sketch)的算法。
如上文针对X的描述,VALUE_DDOS例如是出厂预设的参数和/或由远程管理服务器(例如,ACS)通过从远程管理服务器接收到的远程管理命令(例如使用CWMP或SNMP)设置的参数。
X和VALUE_DDOS可以具有任何值,只要VALUE_DDOS超过X。实际上,这些参数的值取决于时隙持续时间。X的值是对每个参与设备向被攻击的IP地址发出相对较少请求的DDoS攻击进行检测的需求与在X被超过时发送警报消息所需的网络带宽之间的折衷。X的值是该机制的主动性使用,并因此提高了产生假警报,从而将设备不合理地放入隔离区的可能性,与该机制的宽松使用,因此提高了真实攻击未被注意到并且没有就此作出反应可能性之间的折中。
根据特定实施例,VALUE_DDOS和/或X与目标(目的地)IP地址相关,并且因此可按照每个目的地IP地址进行配置。这样,可以按照每个目标IP地址来指定这些参数,这允许进行微调。例如,可以将VALUE_DDOS调整为值等于或高于具有给定IP地址的特定服务器或特定服务器组预期在每个时隙(时间实体)接收到的请求的最大数量,并且因此,可以将更高数量的请求或显著更高数量的请求视为表示DDoS攻击。使用统计数据可以表明,在正常情况下,每个时间实体中到服务器或服务器组的请求的数量在白天较高,而在夜间较低,并且在办公时间、节假日等情况下变化。根据特定实施例,基于特定服务器或服务器组在每个时间实体中接收到的请求的数量的使用统计数据,经常性地(例如一天几次或一周几次)调整这些参数,使得在时间实体期间接收到的更高或者显著更高数量的请求将导致检测到DDoS攻击。
根据特定实施例,向被检测为参与DDoS攻击的设备、或者向被检测为参与DDoS攻击的设备的用户或管理员、或者被检测为参与DDoS攻击的设备所连接的局域网的管理员发送警告消息,以便采取措施,例如,在重新接入局域网之前进行防病毒扫描和从设备中移除恶意软件。
根据特定实施例,将被检测为参与DDoS攻击的设备放入隔离区意味着阻止来自/去往该LAN设备的任何传出和传入数据通信流量。
根据特定实施例,将被检测为参与DDoS攻击的设备放入隔离区意味着阻止从该LAN设备到特定IP WAN地址或检测到DDoS攻击的地址的任何传出请求。
为了清楚起见,图4、图5和图6描述了单独的过程。然而,可以将这些过程结合在表示根据本发明原理的方法的实施例的单个图中。
通过上述发送警报消息的机制,请求计数器在网络中的网关之间被复制。
根据阻止分布式拒绝服务攻击的方法的特定实施例,经由IP多播来执行警报消息的发送。希望接收警报消息的网关可以订阅特定的IP多播警报消息地址,以经由互联网组多播协议(IGMP;IGMP加入)来接收警报消息。在优选实施例中,允许/实现网关在网络中的IP多播,因为服务提供商的核心网络中的网络设备已经是针对从服务提供商到网络中的服务提供商的客户端的广播(例如IPTV流)所实现的IP多播。
然而,服务提供商可以出于保护其分配网络的原因而禁止网关设备和LAN设备使用IP多播。因此,根据特定实施例,使用诸如轻量级概率广播(LPB)之类的应用层技术来发送警报消息。LPB模拟流行式传播(epidemic propagation):使用这些网关的网关IP地址和特定应用端口号,经由IP单播向随机选择的数量(少量)的其他网关发送警报消息。相应地,接收到警报消息的网关也是这么做:它们随机选择一组网关,并向随机选择的这组网关转发接收到的警报消息。
根据阻止分布式拒绝服务攻击的方法的特定实施例,服务提供商维持网关之间的覆盖层(overlay)通信基础设施。网关询问服务提供商,以接收网关应该向其转发警报消息(如果有的话)的覆盖层中的相邻网关的网关IP地址的列表。警报消息的转发过程因此是确定性的,并且如果覆盖层被构建为以可靠方式覆盖所有网关,则警报消息也将可靠地被分发。覆盖层的示例是冗余树、spanner或网格。覆盖层可以以中心方式(服务提供商服务器负责向每个网关通知该网关在覆盖层中的相邻网关)或仅以分布方式在网关之间(例如使用诸如Chord的协议)维持。
图7是根据本发明原理的将图4、图5和图6的流程图统一的方法的实施例的流程图。阻止来自局域网中的设备(例如13-16、23-26、331-332、340-341和351-353)的分布式拒绝服务攻击的方法700由连接到广域网(例如11和31)并且向LAN设备提供局域网的网关/接入点/路由器设备(例如12、22和32-35)来实现。该方法包括按照每个设备并且按照广域网中的每个目的地互联网协议地址对第一总数的请求进行计数的步骤701;针对局域网中的设备,如果第一总数超过第一值,则发送以广域网中的接入点为目的地的警报消息的步骤702,该消息包括目的地互联网协议地址,并且可选地包括请求的第一总数,还可选地包括MAC地址;接收警报消息并且基于接收到的警报消息按照每个目的地互联网协议地址对第二总数的请求进行计数的步骤703;以及如果到目的地互联网协议地址的第二总数的请求超过第二数值,并且针对局域网中的设备,到目的地互联网协议地址的第一总数的请求的第一值被超过,则阻止从该设备到广域网的数据通信(=将该设备放入隔离区)的步骤704。
图8是根据本发明原理的适用于实现阻止来自LAN设备的DDoS攻击的方法的实施例的设备的实施例。例如,设备8对应于网关/接入点/路由器设备12、22和32-35中的任何一个。设备8包括处理器800或中央处理单元(CPU)、存储器801、用于连接到WAN的网络接口802、以及包括无线LAN接口803a和有线LAN接口803b的LAN接口803,它们全部连接到内部通信总线810。存储器801用于存储如表1和/或表2所示的数据结构,但是在不脱离本发明原理的情况下,这些数据结构也可以以分布式方式实现在一组设备上。存储器801还用于存储第一值和第二值,但是在不偏离本发明原理的情况下,这些也可以存储在网络中(例如,在云存储器中)。存储器801还可以用于存储处理器800的指令,该指令在被执行时实现根据本发明原理的方法的实施例。中央处理器800对第一总数和第二总数的请求进行计数,并且如果需要,指示网络接口802发送警报消息。还经由网络接口802接收来自其他设备的警报消息。如果通过图7的步骤704描述的条件适用,则中央处理器800还可以做出将设备放入隔离区的决定。
应该理解的是,在所有实施例中,附图中的一些元件可能不被使用或不是必需的。一些操作可以并行执行。与所示出和/或描述的实施例不同的实施例也是可能的。例如,实现本发明原理的设备可以包括硬件和软件的组合。
应该理解,本公开原理的方面可以体现为***、方法或计算机可读介质。因此,本公开原理的方面可以采用完全硬件实施例的形式、完全软件实施例(包括固件、常驻软件、微代码等)的形式或组合了软硬件方面的实施例的形式,它们可以一般地在此定义为“电路”、“模块”或“***”。此外,本公开原理的方面可以采用计算机可读存储介质的形式。可以利用一个或多个计算机可读存储介质的任意组合。
因此,例如,将理解的是,本文中所呈现的示图表示实现本公开原理的说明性***组件和/或电路的概念图。类似地,将认识到的是,任意流图、流程图、状态转变图、伪码等表示可以在计算机可读存储介质中充分表示并由计算机或处理器如此执行的各种处理,而不管是否明确地示出了这种计算机或处理器。
计算机可读存储介质可以采用计算机可读程序产品的形式,所述计算机可读程序产品体现在一个或多个计算机可读介质中,并且其中体现有可由计算机执行的计算机可读程序代码。如本文中使用的计算机可读存储介质被认为是非暂时性存储介质,其具有用来在其中存储信息的内在能力以及提供从中获取信息的内在能力。计算机可读存储介质可以是例如但不限于:电、磁、光、电磁、红外或半导体***、装置或设备或前述***、装置或设备的任意合适组合。存储介质的一些或全部方面可以位于远程(例如在“云”中)。应当认识到,尽管提供了可应用本发明原理的计算机可读存储介质的更具体示例,但如本领域普通技术人员更容易理解的,以下项仅是说明性的而非穷尽地列出:硬盘、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、便携式压缩盘只读存储器(CD-ROM)、光存储设备、磁存储设备或前述项的任意合适组合。
Claims (14)
1.一种阻止来自局域网中的设备(13-16、23-26、331-332、340-341、351-353)的分布式拒绝服务攻击的方法(700),其中所述方法由连接到广域网(11、31)并且向所述设备提供所述局域网的接入点(12、22、32-35)来实现,所述方法包括:
按照每个设备并且按照所述广域网中的每个目的地互联网协议地址对第一总数的请求进行计数(701);
针对所述局域网中的设备,如果所述第一总数超过第一值,则发送(702)以所述广域网中的接入点为目的地的警报消息,所述消息包括所述目的地互联网协议地址;
接收(703)警报消息并且基于所接收到的警报消息按照每个目的地互联网协议地址对第二总数的请求进行计数;
如果到目的地互联网协议地址的所述第二总数的请求超过第二数值,并且针对局域网中的设备,到所述目的地互联网协议地址的所述第一总数的请求的所述第一值被超过,则阻止(704)从所述设备到所述广域网的数据通信。
2.根据权利要求1所述的方法,其中,所述阻止数据通信包括:阻止来自所述第一值被超过的所述设备且去往所述第二值被超过的所述目的地互联网协议地址的传出数据通信。
3.根据权利要求1所述的方法,其中,所述阻止数据通信包括:阻止来自所述第一值被超过的所述设备的传出数据通信,并且阻止去往所述第一值被超过的所述设备的传入数据通信。
4.根据权利要求1至3中任一项所述的方法,其中,所述第一值和所述第二值是出厂预设的。
5.根据权利要求1至3中任一项所述的方法,其中,所述第一值和所述第二值是远程可配置参数。
6.根据权利要求5所述的方法,其中,所述第一值和所述第二值是能够按照每个目的地互联网协议地址进行配置的远程可配置参数。
7.根据权利要求6所述的方法,还包括接收用于设置所述第一值和所述第二值的远程配置命令。
8.根据权利要求7所述的方法,其中,所述配置命令是根据客户驻地设备管理广域网管理协议的。
9.根据权利要求7所述的方法,其中,所述配置命令是根据简单网络管理协议的。
10.一种用于连接到广域网且用于向局域网设备提供局域网的接入点设备(8),所述接入点设备包括处理器(800)、存储器(801)、第一网络接口(803)和第二网络接口(802),且被配置为:
按照每个设备并且按照所述广域网中的每个目的地互联网协议地址对第一总数的请求进行计数;
针对所述局域网中的设备,如果所述第一总数超过第一值,则发送以所述广域网中的接入点为目的地的警报消息,所述消息包括所述目的地互联网协议地址;
接收警报消息并且基于所接收到的警报消息按照每个目的地互联网协议地址对第二总数的请求进行计数;
如果到目的地互联网协议地址的所述第二总数的请求超过第二数值,并且针对局域网中的设备,到所述目的地互联网协议地址的所述第一总数的请求的所述第一值被超过,则阻止从所述设备到所述广域网的数据通信。
11.根据权利要求10所述的接入点设备,其中,所述处理器、所述存储器、所述第一网络接口和所述第二网络接口还被配置为:阻止来自所述第一值被超过的所述设备且去往所述第二值被超过的所述目的地互联网协议地址的传出数据通信。
12.根据权利要求10所述的接入点设备,其中,所述处理器、所述存储器、所述第一网络接口和所述第二网络接口还被配置为:阻止来自所述第一值被超过的所述设备的传出数据通信,并且阻止去往所述第一值被超过的所述设备的传入数据通信。
13.根据权利要求10至12中任一项所述的接入点设备,其中,所述处理器、所述存储器、所述第一网络接口和所述第二网络接口还被配置为:接收包括用于设置所述第一值和所述第二值的参数值的远程配置命令。
14.根据权利要求13所述的接入点设备,其中,所述处理器、所述存储器、所述第一网络接口和所述第二网络接口还被配置为:接收包括用于设置所述第一值和所述第二值的每个目的地互联网协议地址的参数值在内的远程配置命令。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP17305827.2A EP3422659A1 (en) | 2017-06-30 | 2017-06-30 | Method of blocking distributed denial of service attacks and corresponding apparatus |
| EP17305827.2 | 2017-06-30 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109218283A true CN109218283A (zh) | 2019-01-15 |
Family
ID=59579556
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810722490.4A Pending CN109218283A (zh) | 2017-06-30 | 2018-06-29 | 阻止分布式拒绝服务攻击的方法及对应的设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20190007449A1 (zh) |
| EP (2) | EP3422659A1 (zh) |
| CN (1) | CN109218283A (zh) |
| BR (1) | BR102018013527A2 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114531944A (zh) * | 2019-10-23 | 2022-05-24 | 思科技术公司 | 数据流的路径签名 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11089036B2 (en) * | 2018-12-27 | 2021-08-10 | Sap Se | Identifying security risks and fraud attacks using authentication from a network of websites |
| CN111010409B (zh) * | 2020-01-07 | 2021-08-17 | 南京林业大学 | 加密攻击网络流量检测方法 |
| CN112272164B (zh) * | 2020-09-30 | 2022-07-12 | 新华三信息安全技术有限公司 | 报文处理方法及装置 |
| CN114978720B (zh) * | 2022-05-26 | 2023-06-20 | 沈阳理工大学 | 一种分布式拒绝服务攻击可视化表征的智能检测方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050259645A1 (en) * | 2004-05-18 | 2005-11-24 | Chen John A | Thwarting denial of service attacks originating in a DOCSIS-compliant cable network |
| WO2008153840A2 (en) * | 2007-06-08 | 2008-12-18 | Lucent Technologies Inc. | Efficient constraint monitoring using adaptive thresholds |
| CN102447707A (zh) * | 2011-12-30 | 2012-05-09 | 北京交通大学 | 一种基于映射请求的DDoS检测与响应方法 |
| US20130167219A1 (en) * | 2011-12-22 | 2013-06-27 | Electronics And Telecommunications Research Institute | Apparatus and method for cyber-attack prevention |
| US20130340079A1 (en) * | 2012-06-14 | 2013-12-19 | Kddi Corporation | System and method for real-time reporting of anomalous internet protocol attacks |
| CN104967588A (zh) * | 2014-05-26 | 2015-10-07 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务DDoS攻击的防护方法及其装置和*** |
| CN105430011A (zh) * | 2015-12-25 | 2016-03-23 | 杭州朗和科技有限公司 | 一种检测分布式拒绝服务攻击的方法和装置 |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7317967B2 (en) * | 2001-12-31 | 2008-01-08 | B. Braun Medical Inc. | Apparatus and method for transferring data to a pharmaceutical compounding system |
| US9247901B2 (en) * | 2003-08-22 | 2016-02-02 | Dexcom, Inc. | Systems and methods for replacing signal artifacts in a glucose sensor data stream |
| US7266754B2 (en) * | 2003-08-14 | 2007-09-04 | Cisco Technology, Inc. | Detecting network denial of service attacks |
| EP1711791B1 (en) * | 2003-12-09 | 2014-10-15 | DexCom, Inc. | Signal processing for continuous analyte sensor |
| US8397284B2 (en) * | 2006-01-17 | 2013-03-12 | University Of Maryland | Detection of distributed denial of service attacks in autonomous system domains |
| US7730078B2 (en) * | 2006-09-28 | 2010-06-01 | Honeywell Hommed Llc | Role based internet access and individualized role based systems to view biometric information |
| JP4764810B2 (ja) * | 2006-12-14 | 2011-09-07 | 富士通株式会社 | 異常トラヒック監視装置、エントリ管理装置およびネットワークシステム |
| US8159948B2 (en) * | 2007-07-11 | 2012-04-17 | Hewlett-Packard Development Company, L.P. | Methods and apparatus for many-to-one connection-rate monitoring |
| JP4667437B2 (ja) * | 2007-10-02 | 2011-04-13 | 日本電信電話株式会社 | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム |
| KR101077135B1 (ko) * | 2009-10-22 | 2011-10-26 | 한국인터넷진흥원 | 웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치 |
| KR101574193B1 (ko) * | 2010-12-13 | 2015-12-11 | 한국전자통신연구원 | 분산 서비스 거부 공격 탐지 및 방어 장치 및 방법 |
| US8966622B2 (en) * | 2010-12-29 | 2015-02-24 | Amazon Technologies, Inc. | Techniques for protecting against denial of service attacks near the source |
| WO2013105991A2 (en) * | 2011-02-17 | 2013-07-18 | Sable Networks, Inc. | Methods and systems for detecting and mitigating a high-rate distributed denial of service (ddos) attack |
| US8881259B2 (en) * | 2012-12-18 | 2014-11-04 | Verizon Patent And Licensing Inc. | Network security system with customizable rule-based analytics engine for identifying application layer violations |
| US9276955B1 (en) * | 2014-09-17 | 2016-03-01 | Fortinet, Inc. | Hardware-logic based flow collector for distributed denial of service (DDoS) attack mitigation |
| US10230767B2 (en) * | 2015-07-29 | 2019-03-12 | At&T Intellectual Property I, L.P. | Intra-carrier and inter-carrier network security system |
| WO2017218031A1 (en) * | 2016-06-16 | 2017-12-21 | Level 3 Communications, Llc | Systems and methods for preventing denial of service attacks utilizing a proxy server |
| US10182017B2 (en) * | 2016-06-30 | 2019-01-15 | Mellanox Technologies Tlv Ltd. | Estimating multiple distinct-flow counts in parallel |
| US20180091547A1 (en) * | 2016-09-26 | 2018-03-29 | Arbor Networks, Inc. | Ddos mitigation black/white listing based on target feedback |
| CN107743109B (zh) * | 2016-10-31 | 2020-09-04 | 腾讯科技(深圳)有限公司 | 流量攻击的防护方法、控制装置、处理装置及*** |
| RU2649290C1 (ru) * | 2017-04-28 | 2018-03-30 | Акционерное общество "Лаборатория Касперского" | Система и способ фильтрации трафика при обнаружении DDoS-атаки |
| US11323884B2 (en) * | 2017-06-27 | 2022-05-03 | Allot Ltd. | System, device, and method of detecting, mitigating and isolating a signaling storm |
| US10862911B2 (en) * | 2017-06-27 | 2020-12-08 | Allot Ltd. | System, device, and method of adaptive network protection for managed internet-of-things services |
-
2017
- 2017-06-30 EP EP17305827.2A patent/EP3422659A1/en not_active Withdrawn
-
2018
- 2018-06-19 EP EP18178548.6A patent/EP3422664B1/en active Active
- 2018-06-25 US US16/016,812 patent/US20190007449A1/en not_active Abandoned
- 2018-06-29 BR BR102018013527-9A patent/BR102018013527A2/pt not_active Application Discontinuation
- 2018-06-29 CN CN201810722490.4A patent/CN109218283A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050259645A1 (en) * | 2004-05-18 | 2005-11-24 | Chen John A | Thwarting denial of service attacks originating in a DOCSIS-compliant cable network |
| WO2008153840A2 (en) * | 2007-06-08 | 2008-12-18 | Lucent Technologies Inc. | Efficient constraint monitoring using adaptive thresholds |
| US20130167219A1 (en) * | 2011-12-22 | 2013-06-27 | Electronics And Telecommunications Research Institute | Apparatus and method for cyber-attack prevention |
| CN102447707A (zh) * | 2011-12-30 | 2012-05-09 | 北京交通大学 | 一种基于映射请求的DDoS检测与响应方法 |
| US20130340079A1 (en) * | 2012-06-14 | 2013-12-19 | Kddi Corporation | System and method for real-time reporting of anomalous internet protocol attacks |
| CN104967588A (zh) * | 2014-05-26 | 2015-10-07 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务DDoS攻击的防护方法及其装置和*** |
| CN105430011A (zh) * | 2015-12-25 | 2016-03-23 | 杭州朗和科技有限公司 | 一种检测分布式拒绝服务攻击的方法和装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114531944A (zh) * | 2019-10-23 | 2022-05-24 | 思科技术公司 | 数据流的路径签名 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3422659A1 (en) | 2019-01-02 |
| BR102018013527A2 (pt) | 2019-01-15 |
| EP3422664A1 (en) | 2019-01-02 |
| EP3422664B1 (en) | 2020-04-01 |
| US20190007449A1 (en) | 2019-01-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109218283A (zh) | 阻止分布式拒绝服务攻击的方法及对应的设备 | |
| US11303727B2 (en) | Method and system for routing user data traffic from an edge device to a network entity | |
| Hussain et al. | SYN flood attack detection based on bayes estimator (SFADBE) for MANET | |
| US9060019B2 (en) | Out-of band IP traceback using IP packets | |
| CN101589595B (zh) | 用于潜在被污染端***的牵制机制 | |
| WO2022088405A1 (zh) | 一种网络安全防护方法、装置及*** | |
| US11283831B2 (en) | Dynamic device isolation in a network | |
| US8312275B2 (en) | Network device authentication | |
| US20140109196A1 (en) | Preserving an authentication state by maintaining a virtual local area network (vlan) association | |
| CN108234677B (zh) | 一种面向多区块链平台的区块链网络节点服务装置 | |
| US9270638B2 (en) | Managing address validation states in switches snooping IPv6 | |
| CN112134891A (zh) | 一种基于linux***的单主机产生多个蜜罐节点的配置方法、***、监测方法 | |
| ES2938762T3 (es) | Sistema, dispositivo y procedimiento de detección, mitigación y aislamiento de una tormenta de señalización | |
| US11641341B2 (en) | System and method for remotely filtering network traffic of a customer premise device | |
| KR20180038033A (ko) | 자동 구성 서버 및 방법 | |
| WO2021212851A1 (zh) | 面向分组全生存周期的去中心化安全保障方法及装置 | |
| US8495371B2 (en) | Network device authentication | |
| CN110868392A (zh) | 基于sdn的区块链安全控制方法、装置及区块链网络 | |
| ES2895052T3 (es) | Control dinámico e interactivo de una pasarela residencial conectada a una red de comunicaciones | |
| AU2011288210B2 (en) | Limiting resources consumed by rejected subscriber end stations | |
| WO2022018581A1 (en) | Rogue network function re-authorization in a communication network | |
| US20160352686A1 (en) | Transmitting network traffic in accordance with network traffic rules | |
| Verma et al. | Effective VTP Model for Enterprise VLAN Security | |
| KR20110074028A (ko) | 분산 서비스 거부 공격 생성 방지 장치 | |
| Yang et al. | Fast deployment of botnet detection with traffic monitoring |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20190517 Address after: Paris France Applicant after: Interactive digital CE patent holding Co. Address before: I Si Eli Murli Nor, France Applicant before: THOMSON LICENSING |
|
| TA01 | Transfer of patent application right | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190115 |
|
| WD01 | Invention patent application deemed withdrawn after publication |