检测拒绝服务攻击的方法技术

技术编号:3523059 阅读:154 留言:0更新日期:2012-04-11 18:40
本发明专利技术通过相对于入站分组的数目,监视废弃分组的数目,检测位于某一节点的拒绝服务攻击。当检测到攻击时,收集攻击期间,相关入站分组信息,以帮助表征所述攻击,以及至少查明到被攻击节点的最后路由段的来源。

【技术实现步骤摘要】

本专利技术涉及组网领域,更具体地说,涉及防卸试图通过利用网络通信淹没服务器,使服务器失去能力的恶意用户的攻击。
技术介绍
通常称为拒绝服务攻击的淹没攻击近来越来越频繁地用于针对因特网上的服务器,使这些服务器失去能力。当用户在较短的时间内向服务器发送大量请求,企图使服务器过载,从而使服务器失去能力时,发生淹没攻击(flooding attack)。按照和来自错误配置系统的大量分组使服务器过载的相同方式,来自恶意用户的大量分组能够使服务器过载。但是最终结果相同;在试图服务请求方面,服务器变得过载。这阻止合法请求及时得到服务,通常导致服务器崩溃。近来报告了针对FBI,白宫的web目标,以及后期圣徒教会(Church ofLatterDay Saints)的谱系(genealogy)网站的许多淹没攻击。由于难以确定通信是否合法,因此传统的入侵检测系统很难检测或防止淹没攻击。仅仅根据活动率的增大不是检测淹没的良好标准;使用这种标准会导致许多错误的检测。与使用入站活动率作为检测淹没的方法相关的另一缺陷是与这种检测方法相关的高开销,因为必须在主线分组处理路径中进行检测处理。由于攻击者通常使用欺骗的源IP地址,从而地址给不出攻击源的任何正确指示,因此也难以确定攻击源。
技术实现思路
本专利技术认识到通过放弃试图区分合法通信和非法通信的传统想法,能够减轻由连接请求的突发导致的有意淹没攻击和无意过载情形的后果。协议栈废弃的分组的增加是攻击的良好指示符。攻击者的意图是耗尽系统资源。这可通过淤积队列,消耗存储空间或只是消耗CPU循环来实现。多数TCP协议栈限制队列大小,并检测和废弃溢流和残缺分组。分组废弃的数目和废弃率通常相当低。本专利技术监视分组废弃的数目和废弃率,当在某一物理接口上接收的规定百分率的通信被废弃时,产生一个事件。协议栈已包含许多分组检查,例如残缺分组,检查和故障,无接收分组的申请,队列层次充满等。所有这些检查都废弃分组。在优选实施例中,不是对每个废弃进行废弃率检查,而是在收到规定数目的废弃分组之后进行废弃率检查。这限制了主分组处理线路中专用于攻击检查的处理量。在许多情况下,优选实施例还能够把淹没源至少回溯到在先路由段(hop)。优选实施例要求在规定时间间隔内发生最小数目的分组废弃,以便触发进一步的检测。例如,策略可规定某一时间间隔,并要求在进行进一步的淹没检查之前,在该时间间隔内发生1000次分组废弃。这防止了当在较少分组中发生较高的废弃率时,触发淹没条件的情形。如果所述时间间隔中最小数目的废弃被满足,则确定该时间间隔或不同时间间隔的废弃率。如果废弃率超过规定的阈值,则启动淹没事件。在淹没事件内,进行淹没监视。淹没监视再次利用最小废弃和废弃率阈值,尝试检测何时淹没已结束。在监视过程中,每隔一定时间收集并保存淹没数据,供未来分析之用。这些数据包括与废弃的分组相关的废弃计数,废弃率,协议类型,废弃类型和在先路由段媒体接入控制(MAC)地址。附图说明图1表示了在服务器执行的,检测淹没攻击并触发淹没监视操作的操作的例证流程图;图2表示了响应图1的流程图监视的淹没的开始,由淹没监视进程执行的例证操作。具体实施例方式本专利技术要求用某些参数配置使用本专利技术的服务器。例如,优选实施例要求规定某一策略,所述策略规定在进行淹没事件的检测之前,必须检测的废弃分组的数目。此外,还规定最小数目的废弃分组和相关的废弃率,以便声明(declare)淹没事件。一旦声明某一淹没事件,则所述策略规定将多频繁地执行淹没监视进程,以及和监视相关的其它参数。图1中,步骤102表示正常的协议栈处理操作。对于应废弃的分组,所述协议栈执行的检查有许多。图解说明的是残缺分组,输入队列溢出和称为其它废弃的统称。当协议栈进行任意这样的分组废弃时,进入步骤104,在步骤104,分组废弃计数器递增。步骤106随后确定淹没事件(早先启动的监视操作)是否已在进行。如果回答为否,则步骤110检查分组废弃计数器,确定废弃数是否已超过最小阈值X(在优选实施例中,根据系统策略获得)。如果否,则不对该废弃进行淹没检测,处理返回步骤102的协议栈操作。如果废弃的最小数目X(MIN)被超过,则步骤112确定该数目的废弃是否在时间间隔T内发生。T也由优选实施例中的策略规定。如果步骤112的回答是否,则认为不存在任何淹没攻击。这种情况下,步骤122重置分组废弃计数器和入站分组计数器并退出。在步骤106,如果淹没事件已在进行中,则步骤108收集并保存一组信息供分析之用。例如,这种信息可以是在前的路由段地址(前一节点的适配器的MAC地址),用于最后废弃的分组的协议,废弃原因等。另外,步骤108启动后续分组的跟踪。在优选实施例中,保存和接下来的100个分组相关的分组信息,以便稍后分析。返回步骤112,如果在小于时间间隔T中发生了最小数目的丢弃,则可能正在发生淹没攻击。为了确定这一点,步骤116通过把废弃数X除以在所述时间间隔中接收的输入分组的数目,计算废弃率R。在步骤114,如果废弃率R未超过阈值Y(同样由优选实施例中的策略设置),则没有任何攻击正在进行,程序在步骤122重置计数器并退出。另一方面,如果在步骤114超过了阈值Y,则认为正在进行攻击。这种情况下,通过设置恰当的标记,步骤118启动淹没事件,并向系统控制台和出错日志发送报告。步骤120安排图2的淹没监视进程的执行。步骤122重置分组废弃计数器和入站分组计数器,程序退出。一旦声明淹没事件,则策略规定将多频繁地进行淹没监视进程,以及和监视相关的其它参数。优选实施例使用一分钟的监视时间间隔,不过这也可由策略规定。一旦步骤118启动了淹没事件,则稍后在预定的时间进入图2的淹没监视进程。在优选实施例中,该时间间隔被设置成1分钟。步骤202首先确定最后时间间隔(优选实施例中为1分钟)中的分组废弃计数是否小于或等于最小废弃数X(MIN2)。在优选实施例中,X(MIN)等于X(MIN2);但是,这不是必要条件,在其它实施例中,这两个规定的阈值可不同。如果在步骤202,废弃计数小于X(MIN2),则认为淹没攻击结束。步骤204通过重置淹没标记,步骤204停止淹没事件。步骤212分析并报告在步骤108中收集的一组数据。该组数据最好是最后废弃计数,废弃率和最频繁的废弃MAC地址,协议类型及废弃类型。在步骤214重置计数器,淹没监视进程结束。返回步骤202,如果X(MIN2)被超过,则步骤206确定最后监视时间间隔中的废弃率R是否小于规定的阈值Y的一半。如果回答为是,则这也被用于指示淹没攻击结束。但是,如果步骤206的回答为否,则认为攻击仍然正在进行。步骤208分析并报告和在步骤212中报告的相同数据。但是,这里是在淹没事件有效的情况下,每隔一段时间进行报告。步骤210安排下一淹没监视事件,从而当监视时间间隔期满时,将再次执行图2的淹没监视进程。同样,步骤214重置计数器并退出。最后,将在步骤202或206认为攻击结束,在步骤212分析并报告最终的一组数据。在一些情况下,本专利技术能够确定位于攻击源中的最可能的在先路由段。一旦出现接口淹没事件,就收集和在所述接口接收的每个废弃分组相关的信息。该数据包括在先路由段源MAC地址(如果接口类型提供这种信息)。在淹没事本文档来自技高网...

【技术保护点】
一种检测位于网络服务器的拒绝服务攻击的方法,包括下述步骤:计数规定时间间隔内,入站分组的数目和废弃分组的数目X,如果所述时间间隔内废弃分组的数目X超过规定的最小值X(MIN),则计算废弃分组的百分率R=X/入站分组的数目,和 如果R超过规定阈值,则设置拒绝服务事件标记。

【技术特征摘要】
...

【专利技术属性】
技术研发人员:帕特丽夏安加库比克帕特里克迈克尔列维克奇小林伍得休奥沃拜
申请(专利权)人:国际商业机器公司
类型:发明
国别省市:US[美国]

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1