CN110691076A - 一种针对分布式拒绝服务攻击的防护方法 - Google Patents
一种针对分布式拒绝服务攻击的防护方法 Download PDFInfo
- Publication number
- CN110691076A CN110691076A CN201910905023.XA CN201910905023A CN110691076A CN 110691076 A CN110691076 A CN 110691076A CN 201910905023 A CN201910905023 A CN 201910905023A CN 110691076 A CN110691076 A CN 110691076A
- Authority
- CN
- China
- Prior art keywords
- syn
- bitmap
- messages
- message
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种针对分布式拒绝服务攻击的防护方法,用一个位图来表示所有的IP地址,在位图中使用首个报文丢弃原则,清洗syn flood攻击。本发明提供的防护方法,不需要先检测是否存在攻击行为。仅需要512M字节的位图即可实现攻击的清洗。本发明可以应用于各种DDoS清洗***中,具有广泛的应用前景。
Description
技术领域
本发明涉及一种针对分布式拒绝服务攻击的防护方法,具体是一种高效的针对分布式syn flood的防护方法,利用客户端的重发机制,有效的阻止分布式syn flood攻击。
背景技术
随着宽带提速等云时代的网络发展,DDoS攻击升级到百G时代,更加容易塞满入口带宽、冲击转发丢包、耗尽应用连接等。
SYN Flood是一种广为人知的DoS(拒绝服务攻击),是DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式,最终导致***或服务器宕机。
攻击报文中的源IP地址均为黑客伪造,为了防止被检测到,或者被防火墙拦截,源IP地址一般采用随机生成的方式。也就是说每个syn报文中的源IP地址和源端口均是随机生成,很难和正常的syn报文区分。所以,SYN Flood是当前最流行的、最难防护的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)方式之一。
传统的syn flood防护方法中,比如:缩短服务器SYN Timeout时间或者设置SYNCookie。缩短SYN的超时时间,无法防护syn flood,仅仅可以缓解服务器的压力。同时还会对正常的请求造成一定的影响。而设置SYN Cookie,仅针对攻击源IP地址是真实的场景下,然而实际攻击中,黑客不会使用真实的源IP做为攻击源IP。所以以上两种方式,在实际的syn flood中,毫无用武之地。
因此需要有一种更加完善和高效的syn flood防护方法,能够在实际的攻击场景下,针对syn flood做出快速的清洗,且不会阻断正常请求中的syn报文。
发明内容
发明目的:针对现有技术存在的问题与不足,本发明提供一种在伪造随机源IP地址和源端口的syn flood攻击场景下,可以进行高效和准确防护的方法。
技术方案:一种针对分布式拒绝服务攻击的防护方法,用一个位图(bitmap)来表示所有的IP地址,在位图中使用首个报文丢弃原则,清洗syn flood攻击。
首先将位图的每一位都置为0,当收到一个syn报文时,根据源IP地址对应的数字,在位图中找到相应的位,判断该位等于0还是1;如果等于0,丢弃该syn报文,且将该位置为1;相反,如果该位等于1,则该syn报文直接放行。
由于每一个IP地址是1bit,本发明方法需要512M字节大小的位图。IPV4中的IP地址是4字节。比如192.168.100.1对应的一个正整数3232261121,并且IP地址在网络传输的时候,就是以整数传输的,而且每个整数都是唯一不重复的,那么每个唯一整数对应到位图中的位置,也是唯一的。如果要表示所有4字节的整数,4字节=4*8=32bit,所以需要的空间是:2的32次方=4G;对于位图bitmap来说,需要4G/8=512M就可以表示出所有的4字节整数。所以每个整数是一一对应到bitmap中的每一个bit。
源IP地址和位图的对应关系就是,用整数做为bitmap的下标直接去寻址bitmap对应的位。
所述用户正常的请求采取重发机制,当正常请求的首个syn报文被丢弃后,会重发同样的syn报文到服务器;而重发的syn报文中的源IP地址由于在位图中对应的位已经被置为1,所以重发的syn报文会放行至服务器上,成功建立TCP会话。
在实际的syn flood攻击中,为了使攻击效果更好,syn报文均为伪造,且源IP地址随机生成。所以在位图中使用首个报文丢弃原则,可以最大限度的清洗syn flood攻击。而用户正常的请求,比如通过浏览器访问网页,使用通讯工具进行通讯等正常的网络行为,均有重发机制。所以当正常请求的首个syn报文被丢弃后,会重发同样的syn报文到服务器。而重发的syn报文中的源IP地址由于对应的位已经被置为1,所以会放行至服务器上,成功建立TCP会话。
这种防护方法,可以运行在网络安全设备上,也可以运行在服务器上。针对分布式syn flood的清洗是非常高效的,所以在整个DDoS防护体系中,本发明公开的方法可以做为第一道防线,把最难防护的分布式syn flood拒之门外。很大程度上减轻了服务器或者网络安全设备的防护压力。
根据攻击的流量大小,定时将位图所有位重置为0;重置的时间间隔和流量大小成反比。
当syn报文数量每秒小于100兆,syn报文占TCP报文比例的比例大于5%时,位图所有位重置0的时间为5秒;当syn报文数量每秒大于100兆且小于1000兆,syn报文占TCP报文比例的比例大于5%时,位图所有位重置0的时间为3秒;当syn报文数量每秒大于1000兆,syn报文占TCP报文比例的比例大于5%时,位图所有位重置0的时间为1秒。具体效果见表1:
表1
Syn报文占TCP报文的比例是一个重要的衡量参数。如果只判断Syn报文每秒的数量,是容易产生误报的,因为有些服务器的性能确实很高。
在判断Syn报文数量的同时计算Syn报文的比例,可以更加精准的判断是否发生了syn flood。
从上图中可以看到,缩短bitmap重置时间可以极大的提高攻击拦截率,但是会影响正常用户的访问。所以建议在攻击流量不大的情况下,延长bitmap重置的时间,可以提升正常用户访问的体验。
有益效果:分布式syn flood攻击是最难防护的一种DDoS攻击行为。由于其源IP地址是随机生成,和正常的syn报文没有特征上的区别,无法通过防火墙规则防护。如果采用synCookie的方式防护,会对服务器自己增加很大的压力,并且随着攻击流量的增加,呈正比增加,最终还是会造成网络拥塞,服务器拒绝服务。本发明提供的防护方法,不需要先检测是否存在攻击行为。仅需要512M字节的位图即可实现攻击的清洗。本发明可以应用于各种DDoS清洗***中,具有广泛的应用前景。
附图说明
图1为本发明所述的针对分布式syn flood攻击清洗的时序图;
图2为本发明所述的在攻击过程中,位图的变化图;2-1、位图初始化全部置为0,2-2、当发生攻击时,位图的变化情况,2-3、按照攻击流量的大小,设置位图重置的时间。
具体实施方式
下面结合具体实施例,进一步阐明本发明,应理解这些实施例仅用于说明本发明而不用于限制本发明的范围,在阅读了本发明之后,本领域技术人员对本发明的各种等价形式的修改均落于本申请所附权利要求所限定的范围。
本发明提供了针对分布式拒绝服务攻击的防护方法,在所述方法中,用512M字节大小的位图来表示syn报文中的源IP地址,采用首个包丢弃的原则,把第一次收到的syn报文丢弃,并且将源IP地址对应的位置为1。利用正常请求的重发机制,以及攻击脚本不会重发,且源IP地址随机生成的区别,直接清洗syn flood攻击报文。而正常请求则会在报文重发后,放行至服务器,保证TCP会话的建立。
图1所示的是本发明所述的,针对分布式syn flood攻击清洗的时序图。假设,防护方法工作在服务器上,流程描述如下:
步骤101,发送伪造源IP地址的syn报文到服务器;
步骤102,正常请求中的syn报文发送到服务器;
步骤103,根据源IP地址查找到位图中对应的位,如果位图中该位等于0,丢弃syn报文,并将该位置为1;
步骤104,继续发送伪造源IP地址的syn报文到服务器;
步骤105,根据源IP地址查找对应的位,该位等于0,丢弃syn报文,并将该位置为1;
步骤106,正常请求启动重发机制,再次发送syn报文至服务器;
步骤107,根据源IP地址查找对应的位,该位等于1,放行syn报文;
步骤108,根据攻击的流量大小,定时将位图全部重置为0后,继续重复101~107步骤。
图2所示的是本发明所述的,当发生分布式syn flood攻击时,位图的变化情况,流程描述如下:
图2-1,位图初始化全部置为0,表示未收到任何源IP地址的报文;
图2-2,当接受到正常请求的syn报文,以及发生分布式syn flood攻击时,根据源IP地址查找到对应的位置为1,并将首个syn报文丢弃,以达到syn flood攻击清洗的作用;
图2-3、在一定时间后,将位图所有位重置为0。重置的时间间隔和流量大小成反比,即流量越大,重置时间间隔越小,对攻击的防护效果越好。
综上所述,本发明提供了针对分布式syn flood攻击的防护方法,此项技术可以应用于金融,政府,高校,电商网站等诸多行业,例如,电商行业,可将本发明应用于DDoS清洗***中,保证电商网站的正常服务。不仅保护了广大电商网站的利益,更保证了广大用户的合法权益,因此,本技术具有很高的推广价值。
Claims (7)
1. 一种针对分布式拒绝服务攻击的防护方法,其特征在于:用一个位图来表示所有的IP地址,在位图中使用首个报文丢弃原则,清洗syn flood攻击。
2.如权利要求1所述的针对分布式拒绝服务攻击的防护方法,其特征在于:首先将位图的每一位都置为0,当收到一个syn报文时,根据源IP地址对应的数字,在位图中找到相应的位,判断该位等于0还是1;如果等于0,丢弃该syn报文,且将该位置为1;相反,如果该位等于1,则该syn报文直接放行。
3.如权利要求1所述的针对分布式拒绝服务攻击的防护方法,其特征在于:由于每一个IP地址是1bit,所有的IP地址需要512M字节大小的位图。
4.如权利要求1所述的针对分布式拒绝服务攻击的防护方法,其特征在于:所述用户正常的请求采取重发机制,当正常请求的首个syn报文被丢弃后,会重发同样的syn报文到服务器;而重发的syn报文中的源IP地址由于对应的位已经被置为1,所以重发的syn报文会放行至服务器上,成功建立TCP会话。
5.如权利要求1所述的针对分布式拒绝服务攻击的防护方法,其特征在于:所述防护方法,可以运行在网络安全设备上,也可以运行在服务器上。
6.如权利要求1所述的针对分布式拒绝服务攻击的防护方法,其特征在于:根据攻击的流量大小,定时将位图所有位重置为0;重置的时间间隔和流量大小成反比。
7.如权利要求6所述的针对分布式拒绝服务攻击的防护方法,其特征在于:当syn报文数量每秒小于100兆,syn报文占TCP报文比例的比例大于5%时,位图所有位重置0的时间为5秒;当syn报文数量每秒大于100兆且小于1000兆,syn报文占TCP报文比例的比例大于5%时,位图所有位重置0的时间为3秒;当syn报文数量每秒大于1000兆,syn报文占TCP报文比例的比例大于5%时,位图所有位重置0的时间为1秒。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910905023.XA CN110691076A (zh) | 2019-09-24 | 2019-09-24 | 一种针对分布式拒绝服务攻击的防护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910905023.XA CN110691076A (zh) | 2019-09-24 | 2019-09-24 | 一种针对分布式拒绝服务攻击的防护方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110691076A true CN110691076A (zh) | 2020-01-14 |
Family
ID=69110248
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910905023.XA Pending CN110691076A (zh) | 2019-09-24 | 2019-09-24 | 一种针对分布式拒绝服务攻击的防护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110691076A (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102281295A (zh) * | 2011-08-06 | 2011-12-14 | 黑龙江大学 | 一种缓解分布式拒绝服务攻击的方法 |
CN102891829A (zh) * | 2011-07-18 | 2013-01-23 | 航天信息股份有限公司 | 检测与防御分布式拒绝服务攻击的方法及*** |
CN109743280A (zh) * | 2018-11-16 | 2019-05-10 | 江苏骏安信息测评认证有限公司 | 一种针对分布式synflood攻击可以快速防护的方法 |
-
2019
- 2019-09-24 CN CN201910905023.XA patent/CN110691076A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102891829A (zh) * | 2011-07-18 | 2013-01-23 | 航天信息股份有限公司 | 检测与防御分布式拒绝服务攻击的方法及*** |
CN102281295A (zh) * | 2011-08-06 | 2011-12-14 | 黑龙江大学 | 一种缓解分布式拒绝服务攻击的方法 |
CN109743280A (zh) * | 2018-11-16 | 2019-05-10 | 江苏骏安信息测评认证有限公司 | 一种针对分布式synflood攻击可以快速防护的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7584352B2 (en) | Protection against denial of service attacks | |
US7162740B2 (en) | Denial of service defense by proxy | |
US20120227088A1 (en) | Method for authenticating communication traffic, communication system and protective apparatus | |
Sanmorino et al. | DDoS attack detection method and mitigation using pattern of the flow | |
US7404210B2 (en) | Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs | |
WO2013016456A1 (en) | Method and apparatus for probabilistic matching to authenticate hosts during distributed denial of service attack | |
Mittal et al. | A review of DDOS attack and its countermeasures in TCP based networks | |
Kavisankar et al. | A mitigation model for TCP SYN flooding with IP spoofing | |
Gao et al. | A machine learning based approach for detecting DRDoS attacks and its performance evaluation | |
Singh et al. | Analysis of Botnet behavior using Queuing theory | |
Deore et al. | Survey denial of service classification and attack with protect mechanism for TCP SYN flooding attacks | |
Salunkhe et al. | Analysis and review of TCP SYN flood attack on network with its detection and performance metrics | |
Xiaorong et al. | Security analysis for IPv6 neighbor discovery protocol | |
CN110691076A (zh) | 一种针对分布式拒绝服务攻击的防护方法 | |
CN109743280A (zh) | 一种针对分布式synflood攻击可以快速防护的方法 | |
Sathwara et al. | Distributed Denial of Service Attacks--TCP Syn Flooding Attack Mitigation. | |
Kumarasamy et al. | An Efficient Detection Mechanism for Distributed Denial of Service (DDoS) Attack | |
Rivas et al. | Evaluation of CentOS performance under IoT based DDoS Security Attacks | |
Poorrnima et al. | Adaptive discriminating detection for DDoS attacks from flash crowds using flow correlation coefficient with collective feedback | |
Atoum et al. | Distributed Black Box and Graveyards Defense Strategies against Distributed Denial of Services | |
US20230396648A1 (en) | Detecting ddos attacks by correlating inbound and outbound network traffic information | |
Farraposo et al. | Network security and DoS attacks | |
Hawedi et al. | Using Access Control List against Denial of service attacks | |
Chouman et al. | Novel defense mechanism against SYN flooding attacks in IP networks | |
Sharma et al. | A new approach to prevent ARP spoofing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20210329 Address after: Room 408, building g, yunmi City, No.19, ningshuang Road, Yuhuatai District, Nanjing City, Jiangsu Province, 210000 Applicant after: Jiangsu MiaoAn Information Technology Co.,Ltd. Address before: Room 903, 9 / F, No. 228, Tianyuan Road East, Jiangning Science Park, Nanjing, Jiangsu, 211100 Applicant before: Shanghai Shimao Information Technology Co.,Ltd. |
|
TA01 | Transfer of patent application right | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200114 |
|
RJ01 | Rejection of invention patent application after publication |