專利名稱:借助目標(biāo)受害者的自識(shí)別和控制��,防御ip網(wǎng)絡(luò)中服務(wù)拒絕攻擊的方法
200680023743.4
說明書
第l/8頁
借助目標(biāo)受害者的自識(shí)別和控制�,防御 IP網(wǎng)絡(luò)中服務(wù)拒絕攻擊的方法
交叉參考相關(guān)申請(qǐng)
本申請(qǐng)與共同未決美國專利申請(qǐng)序列No. _"Method
And Apparatus For Defending Against Denial Of Service Attacks In IP Networks Based On Specified Source/Destination IP Address Pairs����,,有關(guān)���,該申請(qǐng)由E. Grosse與本發(fā)明一道在相同日期提交并共同 轉(zhuǎn)讓給本發(fā)明的受讓人�����。
才支術(shù)領(lǐng)域
本發(fā)明一般涉及基于通信網(wǎng)絡(luò)的����,諸如互聯(lián)網(wǎng)協(xié)議(IP)網(wǎng)絡(luò)的 分組中的計(jì)算機(jī)安全領(lǐng)域�,尤其涉及在該網(wǎng)絡(luò)中防御服務(wù)拒絕攻擊的 方法和設(shè)備,其中��,目標(biāo)受害者自身標(biāo)識(shí)這種攻擊的存在��、識(shí)別攻擊 的源���、和請(qǐng)求與之有關(guān)的電信公司網(wǎng)絡(luò)(carrier network)�,控制惡 意分組的路由���。
背景技術(shù):
每天都有好幾千新的"僵尸(zombie)�����,���,加入被劫持的PC (個(gè)人 計(jì)算機(jī))聯(lián)盟,向電子郵件用戶發(fā)送垃圾郵件,并向電子商業(yè)站址��、 政府資源���、及其他網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)�,發(fā)動(dòng)服務(wù)拒絕(Denial of Service, DoS)攻擊�����。事實(shí)上�,每日估計(jì)有多達(dá)170,000僵尸機(jī)器添加到互聯(lián) 網(wǎng)。當(dāng)有限的資源必須分配給攻擊者而不是合法的使用時(shí)���,服務(wù)拒絕 (DoS )攻擊尤其能導(dǎo)致主要服務(wù)的中斷����。這類攻擊在日歷年2004年���, 估計(jì)已經(jīng)造成超過$26�����,000��,000的損失�。進(jìn)行攻擊的機(jī)器一般牽涉受 遠(yuǎn)程主機(jī)控制的僵尸機(jī)器,且通常借助在互聯(lián)網(wǎng)上發(fā)送指向攻擊目標(biāo) 受害者的巨量IP (互聯(lián)網(wǎng)協(xié)議)分組���,進(jìn)行破壞���。唆使這種攻擊的嫌 疑犯,從意在欺騙點(diǎn)小錢的十幾歲少年����,到試圖詐騙大公司錢財(cái)?shù)膰?際犯罪組織����。 目前,有兩條通用的途徑�����,用于防御這種服務(wù)拒絕攻擊-其一是 大量人工的�,另一是自動(dòng)的。第一途徑要求終端用戶(即目標(biāo)受害者) 人工識(shí)別攻擊的存在�����,接著向該受害者的服務(wù)提供商(即電信公司) 通過人工(如電話)報(bào)告受到的攻擊,結(jié)合請(qǐng)求電信公司識(shí)別被報(bào)告 的攻擊源并慫恿建立保護(hù)壁壘��,以阻止通過網(wǎng)絡(luò)到達(dá)受害者的攻擊一 部分的分組��。最為典型的是����,這樣的途徑將導(dǎo)致電信公司識(shí)別犯法的 分組的源,隨后由它拒絕從該源接受任何分組(或至少來自該源指向 特定的攻擊受害者的任何分組����,而該受害者識(shí)別并報(bào)告存在攻擊)。
第二條防御這種服務(wù)拒絕攻擊的途徑���,是提供更為自動(dòng)的處理過 程����,該過程要求服務(wù)提供商包括復(fù)雜的"分組洗滌器"或"清潔器"的過 濾器����,每一或任何指向受保護(hù)的終端用戶的分組,必須通過該過濾器���。 就是說�����,改變互聯(lián)網(wǎng)的路由表���,使所有給定終端用戶的業(yè)務(wù)���,通過這 樣的過濾器路由,該過濾器逐個(gè)檢查每一分組����,嘗試決定該分組是否 為惡意的。如果它不像是惡意的���,則被轉(zhuǎn)發(fā)到終端用戶,但如果它看 來是惡意的�����,則被濾除并作廢����。
但是,這些途徑的每一個(gè)都有頗大的限制�����。第一途徑基本上要求 人工干預(yù),且常常不能解決受攻擊的問題����,直到已經(jīng)造成頗大的破壞 為止。而第二途徑不能啟動(dòng)分組的應(yīng)用程序分析����,因?yàn)槌3V挥心繕?biāo) 能抽取分組,從而分析分組的數(shù)據(jù)內(nèi)容�����。(例如�,如果使用加密協(xié)議, 通常只有分組的最終目的地����,才能把編碼分組的數(shù)據(jù)進(jìn)行解碼)。此 外����,在受害者應(yīng)用程序上已啟動(dòng)的攻擊,不一定只靠超大的帶寬���,而 可以靠某種功能請(qǐng)求���。因此�����,需要一種解決服務(wù)拒絕攻擊問題的方案�����, 其中的攻擊被及時(shí)標(biāo)識(shí)����、識(shí)別���、和(最好是不用人工干預(yù))制止。
發(fā)明內(nèi)容
我們已經(jīng)認(rèn)識(shí)到��,雖然標(biāo)識(shí)服務(wù)拒絕攻擊的最佳地方��,是在目標(biāo) 受害者上(它有識(shí)別并解決自身所受攻擊的最終動(dòng)機(jī))�,但防御攻擊 的最佳地方,是在網(wǎng)絡(luò)內(nèi)(即在電信公司網(wǎng)絡(luò)內(nèi))����。因此��,按照本發(fā) 明的原理�����,兩條上述現(xiàn)有技術(shù)途徑的每一條的利益����,可以有利地實(shí)施 而沒有對(duì)應(yīng)的缺點(diǎn)����。尤其是,本發(fā)明提供一種防御服務(wù)拒絕的方法和
設(shè)備����,其中攻擊的目標(biāo)受害者標(biāo)識(shí)攻擊的存在、識(shí)別攻擊的源����、和自 動(dòng)地指令它的電信公司網(wǎng)絡(luò),限制從已標(biāo)識(shí)源到目標(biāo)受害者的分組的 傳輸��。
更具體地說��,本發(fā)明借助基于電信公司網(wǎng)絡(luò)的互聯(lián)網(wǎng)協(xié)議(IP), 為被提供服務(wù)的目標(biāo)受害者�����,提供一種防御服務(wù)拒絕的方法和設(shè)備���,
該方法(或設(shè)備)包括的步驟(或裝置)有根據(jù)從一個(gè)或多個(gè)源IP 地址接收的IP分組的分析����,確定服務(wù)拒絕攻擊正在惡劣地發(fā)送�;識(shí) 別一對(duì)或多對(duì)IP地址對(duì),各包括該源IP地址之一和目的地IP地址 (該目的地IP地址是與目標(biāo)受害者關(guān)聯(lián)的IP地址之一 )�;和向電信 公司網(wǎng)絡(luò)發(fā)送已被識(shí)別的IP地址對(duì),使該電信公司網(wǎng)絡(luò)能限制(如 阻斷)源IP地址和目的地IP地址與所述已:f皮識(shí)別的IP地址對(duì)之一 匹配的源IP地址和目的地IP地址間IP分組的傳輸���。
圖l畫出一種網(wǎng)絡(luò)環(huán)境���,在該環(huán)境中,采用按照本發(fā)明示例性實(shí) 施例的防御服務(wù)拒絕攻擊的設(shè)備���。
圖2按照本發(fā)明示例性實(shí)施例,畫出防御服務(wù)拒絕攻擊的方法流程圖���。
具體實(shí)施例方式
按照本發(fā)明示例性實(shí)施例��, 一種僵尸攻擊處理器(Zombie Attack Processor,下面以"Zapper"表示)提供一種新型的裝置��,它能使服務(wù) 拒絕攻擊的受害者�����,憑借向電信公司通告攻擊者而"擊退"���,電信公司 作為回應(yīng)���,將更新源/目的地IP地址對(duì)的表,包含攻擊者的IP地址 對(duì)將被阻斷�。更準(zhǔn)確地說,在認(rèn)識(shí)攻擊正在發(fā)生時(shí)����,受害者將識(shí)別一 對(duì)或多對(duì)源和目的地IP地址對(duì),這些地址對(duì)按認(rèn)為分組中包含攻擊 的一部分而被指定�,并把這些IP地址對(duì)通知電信公司,以便阻斷����。
應(yīng)當(dāng)指出��,按照本發(fā)明的某些示例性實(shí)施例��,攻擊者(即已標(biāo)識(shí) 的源IP地址)不一定完全與網(wǎng)絡(luò)斷開���,只是禁止向受害者(即已標(biāo) 識(shí)的目的地IP地址)發(fā)送分組。這樣做是有利的���,尤其是在被識(shí)別 的源IP地址代表合法用戶的情形�,該合法用戶已經(jīng)被接管(即成為
僵尸)而向受害者發(fā)動(dòng)給定的攻擊��。因此�,已被接管機(jī)器的擁有者可 以繼續(xù)把系統(tǒng)用于合法的目的,盡管仍在惡劣地發(fā)到受害者的攻擊 (不為合法用戶所知)還是不能有效地遏制�。此外,應(yīng)當(dāng)指出�,按照 本發(fā)明這樣示例性實(shí)施例的技術(shù),還有利地提供對(duì)被給定受害者過分 積極地識(shí)別的攻擊者的保護(hù)�����。因?yàn)?��,按照本發(fā)明的原理����,攻擊者的識(shí) 別���,是留給未必真正的受害者自由處理的��,顯然����,有利的做法是���,只 有到達(dá)給定受害者的業(yè)務(wù)被斷開或被限制���。
有利的做法是,通告協(xié)議可以包括安全簽名�,這樣,不能利用
Zapper (僵尸攻擊處理器)的基礎(chǔ)結(jié)構(gòu)本身來發(fā)動(dòng)服務(wù)拒絕攻擊�����。此 外���,該協(xié)議可以有利地利用與電信公司的冗余連接�����,以及冗余UDP (用戶數(shù)據(jù)報(bào)協(xié)議����,User Datagram Protocol),以確保甚至在擁擠 網(wǎng)絡(luò)條件下的傳送����。(UDP是本領(lǐng)域熟練人員完全熟悉的IP通信協(xié) 議)。網(wǎng)絡(luò)處理器和儲(chǔ)存器的進(jìn)步��,能使這種防御按比例增大到潛在 的大量攻擊者-遠(yuǎn)超出更早的路由器的能力-有利地不要求通過受 害者或電信公司的人工干預(yù)�,從而能極其及時(shí)地作出響應(yīng)。
按照本發(fā)明示例性的各個(gè)實(shí)施例��,這種Zapper過濾引擎���,可以 作為包括在電信公司網(wǎng)絡(luò)中獨(dú)立應(yīng)用的盒實(shí)施����,或者作為線路卡實(shí) 施�����,該線路卡被納入現(xiàn)有網(wǎng)絡(luò)中別的常規(guī)網(wǎng)絡(luò)單元內(nèi)。此外����,按照本 發(fā)明某些示例性實(shí)施例�����,Zapper過濾器可以由電信公司有利地部署 在網(wǎng)絡(luò)內(nèi)相對(duì)接近攻擊的發(fā)端位置����,也可以在開始時(shí)放置,以有利地 保衛(wèi)高級(jí)客戶免受攻擊�。
按照本發(fā)明示例性的各個(gè)實(shí)施例,要被阻斷的IP地址對(duì)的條目��, 可以有時(shí)限(即在預(yù)定時(shí)間周期過去后�,自動(dòng)撤除),也可以被明確 發(fā)布的暫緩執(zhí)行所清除��。在該方式中�����,網(wǎng)絡(luò)將有利地返回歸零狀態(tài), 不需要使用垃圾收集算法����。舉例說,通告者(即���,電信公司網(wǎng)絡(luò)的客 戶��,使他們能識(shí)別攻擊并得到保護(hù)���,免受攻擊)例如可以給出有限數(shù) 量的"便條(chit),�,(要輸入并阻斷的源/目的地IP地址對(duì))-舉例 說,約十萬的量級(jí)—該數(shù)量可以根據(jù)給定客戶與給定服務(wù)提供商(即 電信公司)的營業(yè)量按比例變化�����。
此夕卜�,按照本發(fā)明某些示例性實(shí)施例,可以有利地提供網(wǎng)絡(luò)診斷�,
4吏示例性的Zapper發(fā)回ICMP (Internet Control Message Protocol, 互聯(lián)網(wǎng)控制消息協(xié)議,本領(lǐng)域一般的熟練人員完全熟悉)未送達(dá)消息�����, 該消息例如按一些預(yù)定的概率,任何時(shí)候某一分組已被識(shí)別為包括受 阻斷的源/目的地IP地址對(duì)時(shí)�,舍棄該分組。這種錯(cuò)誤回復(fù)��,按照本 發(fā)明示例性一個(gè)實(shí)施例���,可以包括能讓被阻斷的分組發(fā)送者詢問數(shù)據(jù) 庫���,是誰設(shè)置阻斷該分組的請(qǐng)求����,并在可能的情況下,說明該請(qǐng)求的 理由���。
又�,按照本發(fā)明某些示例性實(shí)施例��,還可以有利地提供補(bǔ)充的工 具�。例如,這些工具可以包括用于標(biāo)識(shí)已啟動(dòng)的服務(wù)拒絕攻擊的互 聯(lián)網(wǎng)服務(wù)器插頭���;鏈接到各種IDS系統(tǒng)(Intrusion Detection System, 侵入檢測系統(tǒng))的鏈路��;用于網(wǎng)絡(luò)診斷(見上面的討論)的數(shù)據(jù)庫��; 和為在給定電信公司的基礎(chǔ)結(jié)構(gòu)內(nèi)設(shè)置Zapper功能提供指導(dǎo)的方 法���。提供各種補(bǔ)充工具的本發(fā)明示例性實(shí)施例����,本領(lǐng)域熟練人員借助 本文公開的內(nèi)容����,是容易明白的。
應(yīng)當(dāng)指出����,按照本發(fā)明某些示例性實(shí)施例的Zapper過濾機(jī)構(gòu)的 操作,除了它根據(jù)潛在的大量(如數(shù)百萬)非常簡單的規(guī)則外����,類似 于常規(guī)的防火墻。尤其是����,Zapper規(guī)則可以用如下形式表達(dá)"如果 給定分組的源IP地址是a、 b、 c��、 d�,而該分組的目的地IP地址是w、 x�����、 y��、 z����,則阻斷(即舍棄)該分組"。
又��,按照本發(fā)明其他示例性實(shí)施例���,不是禁止有給定源和目的地 IP地址的分組的傳輸,Zapper過濾器可以取消這種分組的按優(yōu)先順 序排列�。就是說,過濾機(jī)構(gòu)或者指配該分組一個(gè)低的路由優(yōu)先權(quán)���,或 者強(qiáng)加于該分組一個(gè)分組速率極限���。無論哪一種情形����,有給定源和目 的地IP地址的分組���,將不能在業(yè)務(wù)上有顯著影響�����,從而不再向受害 者造成成功的服務(wù)拒絕攻擊��。
按照本發(fā)明各個(gè)示例性實(shí)施例�����,攻擊檢測可以有利地被受害者通 過不同程度簡單的或復(fù)雜的算法標(biāo)識(shí)��,許多這些算法�����,本領(lǐng)域熟練人 員是熟悉的���。例如,按照本發(fā)明一個(gè)示例性實(shí)施例,可以考察應(yīng)用程
序登錄����,而攻擊可以孤立地根據(jù)來自單個(gè)已標(biāo)識(shí)源,或來自多個(gè)已標(biāo) 識(shí)源的非常高的業(yè)務(wù)等級(jí)(如高的分組速率)而識(shí)別�����。(應(yīng)當(dāng)指出�, 這是一種識(shí)別存在服務(wù)拒絕攻擊的常規(guī)方法,本領(lǐng)域熟練人員是熟悉 的)��。
按照本發(fā)明另 一個(gè)示例性實(shí)施例��,基于分組內(nèi)容分析的應(yīng)用程 序�����,可以進(jìn)行分組的識(shí)別或有可疑本性的分組序列的識(shí)別�,例如�,標(biāo)
識(shí)出不存在的數(shù)據(jù)庫單元遭遇頻繁的數(shù)據(jù)庫搜索;標(biāo)識(shí)出有明顯來自 某人的許多請(qǐng)求�,此人能用比個(gè)人更高的速率發(fā)出這種請(qǐng)求;識(shí)別句 法上無效的請(qǐng)求�;和識(shí)別正常發(fā)生的活動(dòng)操作中,在特別敏感時(shí)間上
可疑的業(yè)務(wù)量。(后一類可疑分組的例子是可以識(shí)別的���,例如�,如果 股票買賣網(wǎng)站在逼近股票交易期間的敏感時(shí)刻�,特殊地通知中斷業(yè)
務(wù))。又�,按照本發(fā)明其他示例性實(shí)施例,可以包括許多關(guān)于可能攻 擊的不同標(biāo)記�����,例如�, 一種或多種上面說明的情況,可以有利地在更 為復(fù)雜的分析中組合�,用于識(shí)別攻擊的存在。
圖l畫出一種網(wǎng)絡(luò)環(huán)境�,在該環(huán)境中,采用按照本發(fā)明示例性實(shí) 施例的防御服務(wù)拒絕攻擊的設(shè)備�。圖上畫出目標(biāo)受害者11 (它例如可 以是銀行或其他金融機(jī)構(gòu))。應(yīng)當(dāng)指出�����,假定目標(biāo)受害者11有一個(gè) 或多個(gè)與之關(guān)聯(lián)的IP地址(未畫出)���。按照本發(fā)明的原理����,與目標(biāo) 受害者11結(jié)合的還有攻擊檢測器12,該檢測器按照本發(fā)明一個(gè)示例 性實(shí)施例,確定服務(wù)拒絕攻擊正在惡劣地加于目標(biāo)受害者11�。
電信公司網(wǎng)絡(luò)13,向目標(biāo)受害者11提供服務(wù)的該電信公司網(wǎng)絡(luò)����, 從各種源接收IP分組,并把它們發(fā)送到目標(biāo)受害者ll�����。如圖中所示�����, 正在向目標(biāo)受害者11發(fā)送的分組�,事實(shí)是其上有服務(wù)拒絕攻擊,并 正在被大量僵尸機(jī)器14發(fā)送�����。電信公司網(wǎng)絡(luò)13還包括Zapper 15, 該Zapper 15按照本發(fā)明一個(gè)示例性實(shí)施例�����,有利地防御服務(wù)拒絕攻 擊�����。
更準(zhǔn)確地說����,操作中并按照本發(fā)明該示例性實(shí)施例,攻擊檢測器 12在確定服務(wù)拒絕攻擊正在惡劣地加于目標(biāo)受害者11后���,向Zapper 15發(fā)送一對(duì)或多對(duì)源/目的地IP地址對(duì)���,使電信公司網(wǎng)絡(luò)13限制(如 阻斷)源IP地址和目的地IP地址與那些已發(fā)送的源/目的地IP地址對(duì)任一匹配的IP分組的傳輸,從而限制(或消除)從僵尸14到攻擊 受害者11的服務(wù)拒絕攻擊��。應(yīng)當(dāng)指出����,攻擊檢測器12有利地利用冗 余鏈接17發(fā)送該源/目的地IP地址對(duì)。還應(yīng)當(dāng)指出��,從僵尸14到不 相關(guān)服務(wù)器16的IP分組的傳輸��,有利地不受影響。圖2按照本發(fā)明示例性實(shí)施例���,畫出防御服務(wù)拒絕攻擊的方法流 程圖����。圖2的示例性方法���,是在目標(biāo)受害者上執(zhí)行�����,并開始于(如在 方框21中所示)根據(jù)接收的IP分組的分析�,確定服務(wù)拒絕攻擊正在 惡劣地加于目標(biāo)受害者ll上��。然后(如在方框22中所示)�����, 一對(duì)或 多對(duì)源/目的地IP地址對(duì)����,被識(shí)別為應(yīng)當(dāng)阻斷的IP分組的代表,以 便遏制服務(wù)拒絕攻擊�����。(舉例說���,源IP地址是那些進(jìn)行攻擊的"僵尸���,, 機(jī)器���,而目的地IP地址與那些受害者自身關(guān)聯(lián))���。最后(如在方框 23中所示),把已被識(shí)別的源/目的地IP地址對(duì)����,向受害者的電信公 司網(wǎng)絡(luò)發(fā)送,使電信公司網(wǎng)絡(luò)能阻斷有匹配的源和目的地IP地址間 的IP分組的傳輸����。
具體實(shí)施方式
補(bǔ)遺應(yīng)當(dāng)指出,所有前面的討論��,僅僅表明本發(fā)明的一般的原理���。顯 然�,本領(lǐng)域熟練人員能夠設(shè)計(jì)各種各樣其他安排,這些安排雖然沒有 在本文明顯說明或畫出�,但體現(xiàn)本發(fā)明的原理,因而包括在本發(fā)明的 精神和范圍內(nèi)�����。例如�,雖然已經(jīng)專門就互聯(lián)網(wǎng)協(xié)議(IP)網(wǎng)絡(luò)說明本 發(fā)明,但顯而易見�����,本領(lǐng)域一般的熟練人員明白����,本發(fā)明原理不涉及 使用的特定通信協(xié)議,因此�,本發(fā)明能夠按相同方式,在各個(gè)方面用 于以網(wǎng)絡(luò)為基礎(chǔ)的任何數(shù)據(jù)的分組�,在該網(wǎng)絡(luò)中,通過網(wǎng)絡(luò)發(fā)送與源 和目的地地址關(guān)聯(lián)的分組��。另外,本文列舉的所有例子和條件語句��,主要地應(yīng)當(dāng)清楚地認(rèn)為�, 只是為了教學(xué)法的目的,以幫助讀者理解本發(fā)明人為了促進(jìn)本技術(shù)而 給出的本發(fā)明的原理和概念��,從而應(yīng)當(dāng)看作不受該具體地列舉的例子 和條件的限制�。此外����,本文記載的本發(fā)明原理、方面��、和實(shí)施例的所 有敘述���,連同其特定例子���,意圖涵蓋其結(jié)構(gòu)的和功能兩方面的等價(jià)內(nèi) 容。同樣要指出的是���,這種等價(jià)的敘述��,包括當(dāng)前已知的等價(jià)內(nèi)容以 及未來發(fā)展的等價(jià)內(nèi)容-就是說�����,不論其結(jié)構(gòu)����,凡執(zhí)行相同功能的任 何發(fā)展的單元。
權(quán)利要求
1.一種全自動(dòng)的防御對(duì)目標(biāo)受害者的服務(wù)拒絕攻擊的方法�����,該方法在目標(biāo)受害者上實(shí)施�����,其中�,該目標(biāo)受害者由基于電信公司網(wǎng)絡(luò)的互聯(lián)網(wǎng)協(xié)議(IP)提供,該互聯(lián)網(wǎng)協(xié)議(IP)向該目標(biāo)受害者發(fā)送IP分組�,該目標(biāo)受害者有與其關(guān)聯(lián)的一個(gè)或多個(gè)IP地址,該方法包括的步驟有根據(jù)從一個(gè)或多個(gè)源IP地址接收的IP分組的分析��,確定服務(wù)拒絕攻擊正在惡劣地加于所述目標(biāo)受害者�����;識(shí)別一對(duì)或多對(duì)IP地址對(duì)�,每一對(duì)所述IP地址對(duì),包括源IP地址和目的地IP地址,其中的源IP地址是所述源IP地址之一��,所述IP分組之一就是從它接收的���,且其中所述目的地IP地址是與目標(biāo)受害者關(guān)聯(lián)的所述IP地址之一��;和向所述電信公司網(wǎng)絡(luò)發(fā)送所述一對(duì)或多對(duì)已被識(shí)別的IP地址對(duì)�,使電信公司網(wǎng)絡(luò)能限制源IP地址和目的地IP地址等同于所述已被識(shí)別IP地址對(duì)之一的源IP地址和目的地IP地址間IP分組的傳輸����,該分組已經(jīng)向該目的地IP地址發(fā)送��。
2. 按照權(quán)利要求1的方法�����,其中����,確定服務(wù)拒絕攻擊正在惡劣 地加于所述目標(biāo)受害者的所述步驟,包括確定從所述一個(gè)或多個(gè)源IP 地址接收的所述IP分組的分組速率�����,超過預(yù)定的閾值。
3. 按照權(quán)利要求1的方法����,其中,確定服務(wù)拒絕攻擊正在惡劣 地加于所述目標(biāo)受害者的所述步驟��,包括確定從所述一個(gè)或多個(gè)源IP 地址接收的大量所述IP分組�,包含為不存在的數(shù)據(jù)庫單元請(qǐng)求執(zhí)行 數(shù)據(jù)庫搜索,其中包含這種為不存在的數(shù)據(jù)庫單元請(qǐng)求執(zhí)行數(shù)據(jù)庫搜 索的所述大量所述IP分組的接收速率����,超過預(yù)定的閾值。
4. 按照權(quán)利要求l的方法�,其中,確定服務(wù)拒絕攻擊正在惡劣 地加于所述目標(biāo)受害者的所述步驟�,包括確定從所述一個(gè)或多個(gè)源IP 地址接收的所述大量所述IP分組,包含據(jù)稱來自某人的請(qǐng)求���,其中 包含據(jù)稱來自某人的請(qǐng)求的所述大量所述IP分組的接收速率�����,超過 預(yù)定的閾值�����。
5. 按照權(quán)利要求1的方法���,其中�,確定服務(wù)拒絕攻擊正在惡劣 地加于所述目標(biāo)受害者的所述步驟�����,包括確定從所述一個(gè)或多個(gè)源ip 地址接收的大量所述ip分組�,包含句法上無效的請(qǐng)求,其中包含句 法上無效請(qǐng)求的所述大量所述ip分組的接收速率��,超過預(yù)定的閾值����。
6. 按照權(quán)利要求1的方法�,其中,確定服務(wù)拒絕攻擊正在惡劣 地加于所述目標(biāo)受害者的所述步驟�����,包括確定從所述一個(gè)或多個(gè)源ip 地址接收的大量所述ip分組�,是在所述目標(biāo)受害者敏感操作期間, 以超過預(yù)定閾值的速率接收的���。
7. 按照權(quán)利要求1的方法�����,其中��,確定服務(wù)拒絕攻擊正在惡劣 地加于所述目標(biāo)受害者的所述步驟���,包括確定至少滿足兩組預(yù)定條件 組��,其中的條件組包括如下的兩項(xiàng)或更多確定從所述一個(gè)或多個(gè)源ip地址接收的所述ip分組速率���,超過 預(yù)定的閾值;確定從所述一個(gè)或多個(gè)源ip地址接收的大量所述ip分組���,包括為不存在的數(shù)據(jù)庫單元請(qǐng)求執(zhí)行數(shù)據(jù)庫搜索�����,其中包含這種為不存在 的數(shù)據(jù)庫單元執(zhí)行數(shù)據(jù)庫搜索請(qǐng)求的所述大量所述ip分組的接收速率��,超過預(yù)定的閾值�;確定從所述一個(gè)或多個(gè)源ip地址接收的大量所述ip分組�,包含 據(jù)稱來自某人的請(qǐng)求���,其中包含據(jù)稱來自某人的請(qǐng)求的所述大量所述 ip分組的接收速率,超過預(yù)定的閾值�����;確定從所述一個(gè)或多個(gè)源ip地址接收的大量所述ip分組��,包含 句法上無效的請(qǐng)求��,其中包含句法上無效請(qǐng)求的所述大量所述ip分 組的接收速率����,超過預(yù)定的閾值;和確定從所述一個(gè)或多個(gè)源ip地址接收的大量所述ip分組��,是在 所述目標(biāo)受害者敏感操作期間�����,以超過預(yù)定闞值的速率接收的�。
8. 按照權(quán)利要求1的方法�,其中,向所述電信公司網(wǎng)絡(luò)發(fā)送所 述一對(duì)或多對(duì)已被識(shí)別的ip地址對(duì)的所述步驟����,包括使用安全簽名���, 向所述電信公司網(wǎng)絡(luò)發(fā)送所述一對(duì)或多對(duì)已被識(shí)別的ip地址對(duì)。
9. 按照權(quán)利要求1的方法����,其中,向所述電信公司網(wǎng)絡(luò)發(fā)送所 述一對(duì)或多對(duì)已被識(shí)別的IP地址對(duì)的所述步驟����,包括使用與所述電 信公司網(wǎng)絡(luò)的冗余連接,向所述電信公司網(wǎng)絡(luò)發(fā)送所述一對(duì)或多對(duì)已 -故識(shí)別的IP地址對(duì)���。
10. 按照權(quán)利要求l的方法����,其中��,向所述電信公司網(wǎng)絡(luò)發(fā)送所 述一對(duì)或多對(duì)已被識(shí)別的IP地址對(duì)的所述步驟��,包括使用冗余通信 協(xié)議�,向所述電信公司網(wǎng)絡(luò)發(fā)送所述一對(duì)或多對(duì)已被識(shí)別的IP地址 對(duì)。
全文摘要
防御服務(wù)拒絕攻擊的方法和設(shè)備���,其中攻擊的目標(biāo)受害者標(biāo)識(shí)攻擊的存在���、識(shí)別該攻擊的源���、和自動(dòng)地指令它的電信公司網(wǎng)絡(luò),限制(例如阻斷)分組從被識(shí)別源到受害者的傳輸�。受害者可以依據(jù)受害者站址的基礎(chǔ)結(jié)構(gòu)內(nèi)確定的各種判據(jù),識(shí)別攻擊的存在�,并可以采用事件相關(guān)技術(shù)進(jìn)行該確定。然后�����,受害者把一對(duì)或多對(duì)源/目的地的IP(互聯(lián)網(wǎng)協(xié)議)地址對(duì)�����,通知電信公司��,于是��,電信公司將限制分組從指定目的地的IP地址到對(duì)應(yīng)源的IP地址的傳輸�����。為確保甚至在擁擠網(wǎng)絡(luò)條件下的傳送����,受害者可以有利地利用安全簽名和利用冗余連接,把該源/目的地IP地址對(duì)���,通知電信公司網(wǎng)絡(luò)��。
文檔編號(hào)H04L29/06GK101213813SQ200680023743
公開日2008年7月2日 申請(qǐng)日期2006年8月2日 優(yōu)先權(quán)日2005年8月5日
發(fā)明者托馬斯·Y·伍, 艾瑞克·亨利·格羅斯 申請(qǐng)人:朗迅科技公司