專利名稱:用于在一個或多個分組網(wǎng)絡(luò)中惡意攻擊期間遞送控制消息的方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及針對基于分組的通信網(wǎng)絡(luò)的計算機安全技術(shù),更具體 地涉及用于在這種基于分組的網(wǎng)絡(luò)中檢測并通告廢除不期望的業(yè)務(wù) 量���,例如拒絕服務(wù)攻擊或另一惡意攻擊����。
背景技術(shù):
諸如拒絕服務(wù)(DoS)攻擊之類的惡意攻擊試圖使得計算機資源 對于其預(yù)期用戶不可用�。例如,對web服務(wù)器的DoS攻擊常常導(dǎo)致所主 持的網(wǎng)頁不可用��。當(dāng)需要將有限的資源分配給攻擊者而不是合法用戶 時��,DoS攻擊可以導(dǎo)致顯著的服務(wù)中斷�����。發(fā)起攻擊的機器通常通過在 互聯(lián)網(wǎng)上發(fā)送大量的互聯(lián)網(wǎng)協(xié)議(IP)分組����,來造成針對攻擊目標(biāo)受 害者的損害。例如�,DoS攻擊可以包括試圖"泛濫"網(wǎng)絡(luò),從而阻 止合法網(wǎng)絡(luò)業(yè)務(wù)量�����;或試圖通過發(fā)送比服務(wù)器能夠處理的更多的請求 來中斷服務(wù)器,從而阻止對一個或多個服務(wù)的訪問����。
已提出或建議了多種用于防御這種惡意攻擊的技術(shù)。例如����,名稱 為"Method and Apparatus for Defending Against Denial of ServiceAttacks in IP Networks by Target Victim Self-Identification and Control" 的美國專利申請11/197,842以及名稱為"Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks Based on Specified Source/Destination IP Address Pairs "的美國專禾U申請 11/197,841公開了用于檢測并通告廢除DoS攻擊的技術(shù)����。
防御這種惡意攻擊的系統(tǒng)通常采用與客戶網(wǎng)絡(luò)相關(guān)聯(lián)的檢測器 以及服務(wù)提供者的網(wǎng)絡(luò)中的中央過濾器,以保護客戶網(wǎng)絡(luò)免于惡意攻 擊�。通常,檢測器將檢測對客戶網(wǎng)絡(luò)的惡意攻擊并向中央過濾器發(fā)送 一個或多個通告廢除或通知消息�。例如,在確定了惡意攻擊正在進犯 客戶網(wǎng)絡(luò)時���,檢測器可以向中央過濾器發(fā)送一個或多個源/目的地IP地 址對�����,該中央過濾器使服務(wù)提供者限制源IP地址和目的地IP地址與任 意所發(fā)送的源/目的地IP地址對的源IP地址和目的地IP地址相匹配的那 些IP分組的發(fā)送,從而限制(或消除)惡意攻擊����。檢測器通常位于靠 近客戶網(wǎng)絡(luò)的位置��。
然而���,惡意攻擊通常導(dǎo)致大量分組丟失,使得很可能丟失或長時 間延遲從中央過濾器到檢測器的控制消息�。此外,在惡意攻擊期間���, 檢測器很可能繁忙并處于沉重的負擔(dān)下��。防御這種惡意攻擊的現(xiàn)有系 統(tǒng)通常采用傳輸層安全(TLS)��、安全套接字層(SSL)��、安全命令解釋 程序(SSH)或其他基于傳輸控制協(xié)議(TCP)的協(xié)議��,它們要求針 對向中央過濾器發(fā)送控制消息的肯定應(yīng)答�。除了在惡意攻擊期間以外�����, 這樣的信道通常是足夠的。在惡意攻擊期間����,檢測器可能無法收到來 自中央過濾器的肯定應(yīng)答,或者該肯定應(yīng)答可能在檢測器的輸入緩沖 器超載時到達檢測器���。通常��,檢測器不能繼續(xù)處理����,直到中央過濾器 適當(dāng)?shù)乜隙☉?yīng)答了所有在前的通告廢除消息�����。
因此��,需要如下的方法和設(shè)備用于在一個或多個分組網(wǎng)絡(luò)中惡 意攻擊期間向中央過濾器可靠地遞送控制消息�,而不需要中央過濾器 對檢測器進行響應(yīng)
發(fā)明內(nèi)容
總體上,提供了如下的方法和設(shè)備用于例如在惡意攻擊期間���, 在一個或多個分組網(wǎng)絡(luò)中向中央過濾器可靠地遞送控制消息����,而不需 要中央過濾器對檢測器進行響應(yīng)或肯定應(yīng)答。根據(jù)本發(fā)明的一個方面���, 目標(biāo)受害者使用檢測器、通過如下方式來防御不期望業(yè)務(wù)量基于對 從一個或多個源IP地址接收到的分組的分析�,確定目標(biāo)受害者接收到 不期望業(yè)務(wù)量;以及將通告廢除消息發(fā)送到與服務(wù)提供者相關(guān)聯(lián)的中 央過濾器���,該通告廢除消息用于識別至少一個源計算設(shè)備的源地址�, 其中�����,該至少一個源計算設(shè)備向目標(biāo)受害者的分組發(fā)送將要經(jīng)受以下 一個或多個限制�����、丟棄����、或允許,并且�����,使用無需來自中央過濾器 的即時肯定應(yīng)答的通告廢除協(xié)議來發(fā)送通告廢除消息。
根據(jù)本發(fā)明的另一方面�,可以向中央過濾器冗余地發(fā)送通告廢除
消息,且優(yōu)選地�,通告廢除消息是自持的(selfcontained)。中央過濾 器和檢測器共享狀態(tài)信息���,并可選地維護對狀態(tài)信息的任何改變�����。
根據(jù)本發(fā)明的另一方面��,所公開的通告廢除協(xié)議包括一個或多個 特征以避免針對通告廢除協(xié)議自身的惡意攻擊��。例如��,可選地����,通告
廢除消息包括如下序列號(i)允許調(diào)解來自多個所述目標(biāo)受害者的 沖突通告廢除消息�����;(ii)允許避免針對通告廢除協(xié)議的惡意攻擊�����;以 及(iii)允許丟棄通告廢除消息的副本。
通過參考以下詳細說明以及附圖���,將會對本發(fā)明以及本發(fā)明的其 他特征和優(yōu)點有更完整的理解��。'
圖l示出了本發(fā)明可操作的網(wǎng)絡(luò)環(huán)境;
圖2是圖1所示的中央過濾器系統(tǒng)的示意框圖3是圖1所示的檢測器的示意框圖4和圖5是描述了并入本發(fā)明特征的拒絕服務(wù)過濾過程的示例
性實現(xiàn)方式的流程圖6示出了針對UDP分組預(yù)先考慮的��、用于UDP請求的HMAC密 鑰��;以及
圖7示出了DP記錄報頭和報尾在安全可靠流內(nèi)的示例性布局�。
具體實施例方式
本發(fā)明提供用于在一個或多個分組網(wǎng)絡(luò)中惡意攻擊期間向中央 過濾器可靠地遞送控制消息的方法和設(shè)備。根據(jù)本發(fā)明的一個方面���, 針對客戶網(wǎng)絡(luò)處的檢測器與服務(wù)提供者的網(wǎng)絡(luò)處的中央過濾器之間的 通信提供通告廢除協(xié)議�����。在一個示例性實現(xiàn)方式中�,通告廢除協(xié)議包
括一對通信信道�。第一通信信道是可靠的、安全認證后的流����,如TLS 信道�。第二通信信道可以是在例如UDP頂部的���、不可靠的���、認證后的 非流協(xié)議,其使用安全信道來引導(dǎo)認證�����。例如����,可以采用用戶數(shù)據(jù)報 協(xié)議(UDP)來避免采用基于TCP的協(xié)議的傳統(tǒng)技術(shù)所需的即時肯定 應(yīng)答。在這種方式下����,如果例如由于惡意攻擊而使在從中央過濾器到 檢測器的返回路徑中存在大量分組丟失,其中中央過濾器的肯定應(yīng)答 很可能丟失����,則仍可以實現(xiàn)所期望的保護。此外�����,使用在從檢測器到 中央過濾器的正向路徑上對控制消息的冗余發(fā)送來克服正向路徑上的 適中的分組丟失。通常�,在攻擊期間,優(yōu)選的是從檢測器向中央過濾 器發(fā)送多個冗余分組�����,而不是從中央過濾器向檢測器發(fā)送任意分組���。
圖1示出了本發(fā)明可操作的網(wǎng)絡(luò)環(huán)境100。如圖1所示�,企業(yè)網(wǎng)150 使用以下結(jié)合圖3進一步討論的檢測器300來保護自身免于惡意攻擊。 企業(yè)網(wǎng)150允許企業(yè)用戶通過服務(wù)提供者網(wǎng)絡(luò)120訪問互聯(lián)網(wǎng)或另一網(wǎng) 絡(luò)��。服務(wù)提供者網(wǎng)絡(luò)120向企業(yè)網(wǎng)150的用戶提供服務(wù)�,并通過入口端 口115接收來自各個源的分組,以及將接收到的分組發(fā)送到企業(yè)網(wǎng)150 中所指示的目的地��。
在一個示例性實施例中��,檢測器300與以下結(jié)合圖2進一步討論的 中央過濾器200協(xié)作�����,以保護自身免于惡意攻擊。通常����,如以下進一步 討論的,檢測器300將檢測對企業(yè)網(wǎng)150的惡意攻擊(如拒絕服務(wù)攻擊)��, 并將通知由服務(wù)提供者維護的中央過濾器200�����。
中央過濾器200用于通過服務(wù)提供者網(wǎng)絡(luò)120來限制到達企業(yè)網(wǎng) 150的業(yè)務(wù)量�。檢測器300通常位于企業(yè)網(wǎng)150中的防火墻之后,而且檢 測器300通常向ISP的中央過濾器200發(fā)送通告廢除消息���?;诿Q為 "Method and Apparatus for Defending Against Denial of Service Attacksin IP Networks by Target Victim Self-Identification and Control"的美國 專利申請11/197,842以及名稱為"Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks Based on Specified Source/Destination IP Address Pairs"的美國專利申請l 1/197,841 ��,可以 實現(xiàn)檢測器300和中央過濾器200�����,此處對這兩個專利申請進行修改以 提供本發(fā)明的特征和功能��。
在確定了拒絕服務(wù)攻擊正在進犯企業(yè)網(wǎng)150時��,檢測器300將一個 或多個源/目的地IP地址對發(fā)送到中央過濾器200���,中央過濾器200使服 務(wù)提供者網(wǎng)絡(luò)120限制(例如����,阻止或速率限制)源IP地址和目的地IP 地址與任意所發(fā)送的源/目的地IP地址的源IP地址和目的地IP地址相匹 配的那些IP分組的發(fā)送,從而限制(或消除) 一個或多個源設(shè)備110 對企業(yè)網(wǎng)150內(nèi)的攻擊受害者的拒絕服務(wù)攻擊�。可選地���,檢測器300使 用不可靠的UDP連接135或主安全認證連接130來發(fā)送源/目的地IP地 址對��。根據(jù)本發(fā)明的一個方面�,針對檢測器300與中央過濾器200之間 的通信提供通告廢除協(xié)議���。
因而,拒絕服務(wù)攻擊的受害者可以通過向服務(wù)提供者通告廢除攻 擊者來進行"后推(push back)"���,作為響應(yīng)�,該服務(wù)提供者將更新 要被阻止的源/目的地IP地址對的表��。更具體地����,在認識到發(fā)生攻擊時�����, 受害者(企業(yè)網(wǎng)150)將識別被認為是攻擊的一部分的分組中所指定的 一對或多對源/目的地IP地址����,并將這些IP地址對傳達給服務(wù)提供者以 由中央過濾器200進行阻止����。
如圖1所示,將指定了訂戶(企業(yè)網(wǎng)150)的分組分成通常與"好" 和"差"業(yè)務(wù)量相對應(yīng)的類����。例如,分別遞送(允許)來自類別A105-A 的好業(yè)務(wù)量并速率限制或丟棄來自類別B 105-B和類別N 105-N的差業(yè) 務(wù)量���。將源計算設(shè)備110分到N個示例性分類中的一個中�,其中��,源計 算設(shè)備110將業(yè)務(wù)量發(fā)送到與企業(yè)網(wǎng)150相關(guān)聯(lián)的目的地地址�����。通告廢 除對好業(yè)務(wù)量與差業(yè)務(wù)量之間的邊界進行移位。
注意���,根據(jù)特定的示意性實施例�����,無需將攻擊者(即�,識別出的 一個或多個源IP地址)從網(wǎng)絡(luò)完全切斷����,而只是禁止該攻擊者向受害 者(即,識別出的一個或多個目的地IP地址)發(fā)送分組���。特別是在識
8別出的一個或多個源IP地址表示針對對受害者的給定攻擊己被接管的 合法用戶(例如��,僵尸)及相關(guān)機器的情況下��,這是有利的。因此�����, 被接管的機器的擁有者可以繼續(xù)出于合法目的使用該系統(tǒng),然而同時, 有利地挫敗了正在向受害者(很可能不為合法用戶所知)進犯的攻擊����。 此外要注意,根據(jù)這些示意性實施例的技術(shù)還有利地提供了保護以避 免給定的受害者過分熱心地識別攻擊者��。根據(jù)本發(fā)明的原理���,由于對 攻擊的識別由明顯受害者的判斷進行處理����,因此�����,明顯有利地�����,只有 去往給定受害者的業(yè)務(wù)量被切斷或被限制����。
受害者可以通過具有變化的簡單或復(fù)雜程度的一個或多個算法 來辨別惡意攻擊,該一個或多個算法在本發(fā)明的范圍之外��,但是對于 本領(lǐng)域技術(shù)人員而言,其中多個算法是明顯的�����。例如����,根據(jù)本發(fā)明的 一個示意性實施例,可以檢查分組蹤跡�,并且可以僅基于來自單個識 別出的源或多個識別出的源的非常高的業(yè)務(wù)量水平(例如,高分組速 率)的存在來識別攻擊����。要注意,這是一種識別拒絕服務(wù)攻擊的存在 的傳統(tǒng)方法���,并將為本領(lǐng)域普通技術(shù)人員所熟知���。
然而,在其他實現(xiàn)方式中�����,可以執(zhí)行基于應(yīng)用的����、對分組內(nèi)容和 應(yīng)用日志的分析,以識別具有可疑性質(zhì)的分組����、分組序列或動作,例 如辨別己有對不存在的數(shù)據(jù)庫元素的頻繁數(shù)據(jù)庫搜索�;辨別已有明 顯由人發(fā)出的多個請求,其發(fā)生的速率高于人能發(fā)起它們的速率����;識 別句法上無效的請求;以及識別正常發(fā)生的活動的操作中特別敏感時 刻的可疑業(yè)務(wù)量量���。例如����,如果股票交易網(wǎng)站注意到在即將到來的股 票交易期間的敏感時刻的特別具有破壞性的業(yè)務(wù)量�,則可能識別較后 一類可疑分組的示例。在此外的變體中�,有利地,可以在更復(fù)雜的分 析中組合可能的攻擊的多個不同標(biāo)記(例如���,其可包括一個或多個的 上述情況)�����,以識別攻擊的存在�����。
示例性檢測系統(tǒng)可以工作于兩種模式中的一種�。當(dāng)區(qū)域處于"缺 省丟棄"模式時,缺省的行為是對除了在缺省丟棄中明確列出的業(yè)務(wù) 量以外的所有指定該區(qū)域的業(yè)務(wù)量進行過濾�。通常,在缺省丟棄模式 下���,除了被明確授權(quán)(例如�,與預(yù)定義的允許過濾器相匹配)的情況 以外���,過濾器都將自動丟棄所有業(yè)務(wù)量����。另一方面���,當(dāng)區(qū)域處于缺省
9允許模式時���,除了與預(yù)定義的丟棄過濾器明確匹配的業(yè)務(wù)量以外��,過 濾器使所有去往該訂戶的業(yè)務(wù)量通過�。
圖2是圖1中可實現(xiàn)本發(fā)明的過程的中央過濾器系統(tǒng)200的示意框 圖���。如圖2所示,存儲器230配置處理器220以實現(xiàn)此處所公開的拒絕服 務(wù)過濾方法���、步驟和功能�����。存儲器230可以是分布式的或本地的�,并且 處理器220可以是分布式的或單一的�。可以將存儲器230實現(xiàn)為電存儲 器�����、磁存儲器����、光存儲器或者這些或其他類型的存儲設(shè)備的任意組合。 應(yīng)當(dāng)注意�,構(gòu)成處理器220的每一個分布式處理器通常包含其自身的可 尋址存儲空間����。還應(yīng)當(dāng)注意����,可以將計算機系統(tǒng)200的一些或全部并入 專用或通用的集成電路中。
如圖2所示�,示例性存儲器230包括以下結(jié)合圖4進一步討論的拒 絕服務(wù)過濾器規(guī)則庫260和一個或多個拒絕服務(wù)過濾過程400。通常���, 示例性拒絕服務(wù)過濾器規(guī)則庫260是包含與應(yīng)由中央過濾器200所限制 或允許的業(yè)務(wù)量相關(guān)聯(lián)的源/目的地地址對的傳統(tǒng)過濾器庫�����。拒絕服務(wù) 過濾過程400是根據(jù)本發(fā)明的��、用于防御拒絕服務(wù)或其他攻擊的示例性 方法���。
可以將中央過濾器200實現(xiàn)為服務(wù)提供者網(wǎng)絡(luò)120中包括的單機 盒,或備選地��,實現(xiàn)為被并入已存在于網(wǎng)絡(luò)120中的其他傳統(tǒng)網(wǎng)元中的 線卡(linecard)��。此外,根據(jù)特定的示意性實施例���,有利地����,網(wǎng)絡(luò)120 內(nèi)相對靠近攻擊原點的位置處的承載者布置中央過濾器200��,或者可以 首先放置中央過濾器200以有利地使最優(yōu)客戶防御攻擊�����。
圖3是圖1所示的�、可實現(xiàn)本發(fā)明的過程的檢測器300的示意框圖�。 如圖3所示,存儲器330配置處理器320以實現(xiàn)此處所公開的拒絕服務(wù)過 濾方法��、步驟和功能����。存儲器330可以是分布式的或本地的,并且處理 器320可以是分布式的或單一的��?��?梢詫⒋鎯ζ?30實現(xiàn)為電存儲器����、 磁存儲器、光存儲器或者這些或其他類型的存儲設(shè)備的任意組合���。應(yīng) 當(dāng)注意����,構(gòu)成處理器320的每一個分布式處理器通常包含其自身的可尋 址存儲空間�。還應(yīng)當(dāng)注意,可以將計算機系統(tǒng)300的一些或全部并入專 用或通用的集成電路中�。如圖3所示,示例性的存儲器330包括以下結(jié) 合圖5進一步討論的一個或多個拒絕服務(wù)檢測過程500�����。圖4是描述了并入本發(fā)明特征的拒絕服務(wù)過濾過程400的示例性 實現(xiàn)方式的流程圖�。要注意,針對"缺省允許"模式實現(xiàn)示例性的拒 絕服務(wù)過濾過程400�����。對于本領(lǐng)域普通技術(shù)人員而言�����,針對"缺省丟 棄"模式的實現(xiàn)方式將會是顯而易見的。通常����,拒絕服務(wù)過濾過程400 是根據(jù)本發(fā)明的、用于防御拒絕服務(wù)或其他攻擊的示例性方法���。示意 性的拒絕服務(wù)過濾過程400在中央過濾器200處執(zhí)行并在步驟410期間 開始�,從檢測器300接收拒絕服務(wù)攻擊正在進犯企業(yè)網(wǎng)150中的給定目 標(biāo)受害者的UDP指示����。
此后�,在步驟420期間,網(wǎng)絡(luò)承載者從檢測器300接收表示為了挫 敗拒絕服務(wù)攻擊而應(yīng)被阻止的IP分組的一個或多個源/目的地IP地址 對�。示意性地,源IP地址是發(fā)起攻擊的(例如����,"僵尸")計算設(shè)備 IIO的IP地址,而目的地IP地址是與目標(biāo)受害者自身相關(guān)聯(lián)的IP地址���。 如以下討論的���,根據(jù)DP來發(fā)送來自檢測器300的消息�。
然后�����,在步驟430期間�,網(wǎng)絡(luò)承載者監(jiān)控IP分組業(yè)務(wù)量,以識別源 和目的地IP地址與接收到的源/目的地IP地址對中的一個相匹配的那 些IP分組��。在步驟440期間執(zhí)行測試��,以確定是否一個或多個分組與拒 絕服務(wù)過濾器規(guī)則庫260中的地址對相匹配����。
如果在步驟440期間確定了一個或多個分組與拒絕服務(wù)過濾器規(guī) 則庫260中的地址對相匹配,則在步驟460期間丟棄或限制分組���。如果 在步驟440期間確定了一個或多個分組與拒絕服務(wù)過濾器規(guī)則庫260中 的地址對不匹配���,則在步驟470期間允許向企業(yè)網(wǎng)150發(fā)送該分組。
圖5是描述了并入本發(fā)明特征的拒絕服務(wù)檢測過程500的示例性 實現(xiàn)方式的流程圖�。通常,拒絕服務(wù)檢測過程500是根據(jù)本發(fā)明的��、用 于防御拒絕服務(wù)或其他攻擊的示例性方法。示意性的拒絕服務(wù)檢測過 程500在目標(biāo)受害者處由檢測器300執(zhí)行并在步驟510期間開始�,基于對 接收到的IP分組的分析來確定拒絕服務(wù)攻擊或另一惡意攻擊正在進犯 該目標(biāo)受害者。然后�����,在步驟520期間�,識別表示為了挫敗拒絕服務(wù)攻 擊而應(yīng)被阻止的IP分組的一個或多個源/目的地IP地址對。(示意性 地��,源IP地址是發(fā)起攻擊的"僵尸"機器110的IP地址�,而目的地IP地 址是與目標(biāo)受害者自身相關(guān)聯(lián)的IP地址。)最后���,在步驟530期間��,使用所公開的DP將所識別出的源/目的地IP地址對發(fā)送到受害者的承載
者網(wǎng)絡(luò)的中央過濾器200,以使承載者網(wǎng)絡(luò)能夠阻止具有匹配的源和目 的地IP地址的IP分組的發(fā)送�����。
通告廢除協(xié)議
在一個示例性實現(xiàn)方式中����,檢測器300與中央過濾器200之間的通 告廢除協(xié)議(DP)通信信道由針對通告廢除的UDP端口和針對大多數(shù) 其他通信的TLS連接組成���。DP事務(wù)有兩種類型。第一種基于UDP����,由 從檢測器300到中央過濾器200的、可能由來自中央過濾器200的可選響 應(yīng)進行應(yīng)答的請求分組組成�。第二種通常基于TLSvl����,由最終在對應(yīng) 的記錄中應(yīng)答的SSL "記錄"組成。多數(shù)DP事務(wù)由檢測器300發(fā)起��。根 據(jù)本發(fā)明的一個方面����,多數(shù)DP請求不要求響應(yīng)或肯定應(yīng)答。
基本的DP事務(wù)是從檢測器300到中央過濾器200的通告廢除����。每一 個檢測器300代表"區(qū)域"來說出(speak)作為訂戶(企業(yè)網(wǎng)150)所 擁有的IP地址的子集的IP地址集。檢測器300被說成"屬于"該區(qū)域���。 檢測器300通告廢除指定其所屬區(qū)域的業(yè)務(wù)量�。(檢測器300自身的IP 地址不必是其所屬區(qū)域的一部分)。
檢測器300發(fā)起所有的通告廢除事務(wù)�����。在訂戶最不可能想要接收 分組時(當(dāng)其超載時)�,最有可能發(fā)送來自該訂戶的通告廢除。同樣在 那時��,雖然還可能(甚至很可能)從訂戶到中央過濾器200的路徑上的 分組丟失率比平常高����,并且中央過濾器200可能比平常忙一些,但來自 訂戶的入站(inbound)路徑不太可能像遭受攻擊的�����、去往訂戶的路徑 一樣嚴(yán)重超載��。從訂戶到中央過濾器200的路徑處于服務(wù)提供者的網(wǎng)絡(luò) 之內(nèi)����。因此���,所公開的DP嘗試避免在通告廢除時向訂戶發(fā)起任何業(yè)務(wù) 量���。因此��,并沒有可靠地發(fā)送通告廢除一一沒有從中央過濾器200接收 到肯定應(yīng)答��。
更確切地��,訂戶優(yōu)選地發(fā)送每一個通告廢除請求的多個副本����,而 不會讓中央過濾器200發(fā)送甚至一個響應(yīng)����。該多個副本增大了通告廢除 請求安全到達中央過濾器200的可能性。例如�����,如果發(fā)送5個副本�����,并 隨機丟棄分組����,那么即使分組丟失率是20% (且丟棄率通?����?隙ㄔ?% 以下)�,該請求的至少一個副本將會到達的幾率也極高����。利用這些示例性的數(shù)字(20%的分組丟失率和5個副本),在假定展開分組發(fā)送以使
得所有的丟失都獨立的情況下���,至少一個副本到達的幾率仍大于
99.96%�。
相同的推理還保證使每一個分組都是自持的��,以便不會不必要地 依賴于按次序到達的分組���。如前所示����,DP事務(wù)一般由企業(yè)(通過檢測 器300)發(fā)起�����,而從不由中央過濾器200發(fā)起。這一點部分地是由上述 考慮促成的���,并且也是為了維護請求/響應(yīng)模型以對企業(yè)周圍的防火墻 更加友好,并增大DP分組能夠安全到達的可能性��。
中央過濾器200確定正式安裝了哪些過濾器規(guī)則��。檢測器300僅向 中央過濾器200發(fā)布通告廢除�。并沒有堅定地保證該通告廢除將到達中 央過濾器200。此外�,針對目的地的給定區(qū)域,多于一個檢測器300可 以通告廢除不友好的源�����。因此�����,檢測器300無法確定地知道已安裝的過 濾器的集合�。所期望的是,訂戶知道實際安裝了哪些過濾器��、哪些過 濾器從未到達中央過濾器200�、以及其他檢測器300 (或由于沖突(如 下所示))已移除或創(chuàng)建哪些過濾器。為此,當(dāng)事情稍微平息下來時����, 訂戶可以請求來自中央過濾器200的狀態(tài)報告。該狀態(tài)報告列出哪些請 求己達到�、安裝了哪些過濾器以及其他信息(以下詳細說明)。
為了可靠地接收該狀態(tài)并引導(dǎo)認證���,所公開的DP提供了每一個檢 測器300與中央過濾器200之間的(可靠)通信信道(TLS)����。
中央過濾器200和每一個檢測器300必須協(xié)作以維護一些共享狀 態(tài)��。最明顯的共享狀態(tài)是己安裝的過濾器規(guī)則的集合��,但還存在與DP 自身相關(guān)的其他共享狀態(tài)�����,如通告廢除的序列號和用于認證的信息�����。 該示例性實施例只要求適度同步的時鐘���。為了避免對在檢測器300或中 央過濾器200上運行不必要的任何東西的需要�����,所公開的DP提供了非 常粗時鐘"同步"�����,從而不需要運行以下在名為"B認證"的部分中 所討論的網(wǎng)絡(luò)時間協(xié)議(NTP)����。無論如何�,很多訂戶將希望在檢測器 300上運行NTP,以簡化企業(yè)網(wǎng)上的事件相關(guān)性(但這不是DP工作所 需要的)���。
對于過濾器和協(xié)議狀態(tài)�,所公開的DP命令檢測器300和中央過濾 器200就初始共享狀態(tài)可靠地達成一致�����,然后�����,兩側(cè)都留意該狀態(tài)隨時
13間的改變。在檢測器300與中央過濾器200之間不相符的情況下���,中央 過濾器200總是具有共享狀態(tài)的"真實"描繪�����。保持同步的過濾器狀態(tài) 的量取決于檢測器300 (其可能根本不考慮過去的通告廢除��,并使其所 有的分析都基于當(dāng)前的業(yè)務(wù)量流)����。DP需要協(xié)議狀態(tài)�。
檢測器300可以通過周期性的狀態(tài)請求來與中央過濾器200重新 同步過濾器狀態(tài)。通常�����,中央過濾器200只返回自上一個狀態(tài)請求起的 過濾器狀態(tài)改變(雖然也可以返回所有當(dāng)前活動的過濾器而不管是何 時安裝的����,如果被這樣請求了的話)。通常��,中央過濾器200返回該區(qū) 域中所有檢測器300的過濾器�,但如果被請求��,則可以只返回由該檢測 器300請求的通告廢除���。
檢測器300可以通過同步請求來重新同步序列號和認證密鑰。在 同步事務(wù)中��,檢測器300單方面地選擇新的序列號�����,并且中央過濾器200 產(chǎn)生用于認證的新會話密鑰�����。
在檢測器300崩潰或不知何故丟失信息的情況下�,檢測器300可以 請求所有過濾器規(guī)則而不僅僅是最近的過濾器規(guī)則�。在任何時候,檢 測器300都可以重新協(xié)商用于通告廢除的認證信息(如下所示)��。
在中央過濾器200重新設(shè)置所有過濾器規(guī)則(區(qū)域改變�、模式改 變或一些致命的數(shù)據(jù)庫崩潰)的情況下,中央過濾器200故意忘記其與 檢測器300的關(guān)聯(lián)���,提示下一檢測器事務(wù)返回來自中央過濾器200的重 新同步響應(yīng)�����。當(dāng)檢測器300與中央過濾器200進行重新同步時�����,中央過 濾器200可以告知檢測器300其先前的狀態(tài)不再有效�����;這需要請求完整 的狀態(tài)�。
中央過濾器200可以接收殘缺的(malformed)或未經(jīng)認證的分組。 在這種情況下���,中央過濾器200向(合法的)發(fā)送者返回錯誤分組���,例 如,對于每一個主機最多到每30秒一個錯誤分組的最大速率��。例如���, 可以設(shè)置速率限制以避免攻擊者使用通告廢除協(xié)議來發(fā)動拒絕服務(wù)攻 擊����。
沖突通告廢除
如果分組與分類相匹配,則通告廢除可以指定多個不同的可能動 作��。因而可能會發(fā)生沖突��。例如��, 一個檢測器300可以指出��,整個子網(wǎng)
1似乎將發(fā)動網(wǎng)絡(luò)爬蟲(web crawler)并應(yīng)被限制速率����。另一檢測器300 可以檢測發(fā)動實際攻擊的該子集中的特定主機,并指出應(yīng)當(dāng)丟棄來自 該主機的所有分組��。在這種有沖突的情況下��,毋庸置疑�,與前一個規(guī) 則相比�,后一個規(guī)則更為明確其涉及單個主機,并表示要丟棄而不 是僅對該源進行速率限制�。在這種沖突中,有理由主張更嚴(yán)格的規(guī)則 適用���。然而����,假設(shè)所請求的動作是相反的 一個檢測器300請求對單個 源進行速率限制,而另一檢測器300請求丟棄來自該子網(wǎng)(包括該源) 的所有分組���?����?梢灾鲝埱耙粋€規(guī)則更明確(其涉及單個主機而不是整 個子網(wǎng))或完全平等地主張后一個規(guī)則更嚴(yán)格(其表示要丟棄分組而 不是僅將其變少)���。該示例性實施例采用了最明確的源地址優(yōu)先的慣 例。
然而���,為清楚起見�����,對于檢測器300而言最佳的實踐是避免發(fā)布 沖突規(guī)則���。在發(fā)布新的集合之前總是可能取消現(xiàn)有的沖突規(guī)則。然而�����, 假定通告廢除不可靠,可以想到����,在發(fā)現(xiàn)更早的沖突規(guī)則被取消之前, 中央過濾器200將接收新的規(guī)則���。此外���,假定多個檢測器300管理相同 的區(qū)域,兩個檢測器300可能獨立地發(fā)布沖突通告廢除而沒有放棄沖
應(yīng)當(dāng)指定中央過濾器200在遭遇沖突時的行為��。在一個示例性的
實現(xiàn)方式中���,基本策略是在有沖突的情況下(兩個規(guī)則具有相同的
源地址指定�����,但具有兩個不同的動作和原因),較晚的規(guī)則推翻較早的 規(guī)則����。("較后的"指的是在規(guī)則到達中央時)
DP協(xié)議算法 丄樣游發(fā)送
如上所討論的,應(yīng)當(dāng)將分組從檢測器300發(fā)送到中央過濾器200����, 而不是沿另一個方向從中央過濾器200發(fā)送到檢測器300����。此外����,每一 個分組可以自我支持而不需要按次序遞送。因此���,所公開的DP通過發(fā) 送每一個分組的多個副本來選擇在概率上改進成功到達的幾率�,而不 是保證每一個通告廢除分組都到達�����,并依次到達���。例如��,響應(yīng)于同步 (SYNCH)請求���,在UDP分組中將DP通告廢除請求發(fā)送到所指定的 中央過濾器200上的端口。通常,將每一個通告廢除分組發(fā)送P次��,而
15且不需要肯定應(yīng)答���。在一個示例性的實現(xiàn)方式中�,P被固定為5�����,并且 不提供對分組步長的正式要求�����。
針對次序的要求(假定規(guī)則為在沖突消解規(guī)則沒有選擇清楚贏 家的直接沖突過濾器規(guī)則的情況下�����,最新的規(guī)則推翻較早的規(guī)則)��,根 據(jù)應(yīng)用來傳遞DP序列號以確定發(fā)送次序���。針對來自多個檢測器300的
通告廢除����,中央過濾器200充當(dāng)串行化器�����。通過序列號對來自單個檢測 器300的請求明確地進行排序�。中央過濾器200單方面地決定交織的次 序。中央過濾器200記住每一個檢測器300按照全局次序在何處最后接 收到狀態(tài)響應(yīng)���。
發(fā)送多個分組背后的意圖是確保每一個分組的至少一個副本到 達中央過濾器200���,而不是用分組來泛濫中央過濾器200。此外���,攻擊 者不應(yīng)具有借以對所公開的DP發(fā)動DoS攻擊的施加點(point of leverage)��。平均下來�,中央過濾器200應(yīng)對每個事務(wù)處理一個分組�����。中 央過濾器200認證每一個分組以確定其被正確的檢測器300所發(fā)送的要 求意味著分組處理可能成本較高����。
在無需高成本的計算的情況下可以丟棄大多數(shù)冗余分組。在一個 實現(xiàn)方式中,首先執(zhí)行成本最低的測試�����。例如����,序列號未被加密,且 該序列號檢査通告廢除請求在計算上成本較低�。類似地,檢査檢測器 名稱是否是已知的成本也較低���。在執(zhí)行其他測試之前�,易于丟棄復(fù)制 的請求和超出范圍的序列號�。
在所公開的DP中,檢測器300基于UDP發(fā)起通告廢除事務(wù)�����。針對 其他請求����,DP維護了單獨的TLS連接(基于TCP)。
及
在該示例性實現(xiàn)方式中DP的基本認證機制是由具有客戶端證書 的TLSvl提供的認證握手�����。將受托的ISP證書權(quán)力機構(gòu)的公共密鑰預(yù)先 加載進中央過濾器200和每一個檢測器300中��。每一個檢測器300和中央 過濾器200具有針對由該認證權(quán)力機構(gòu)(CA)簽名的公共密鑰的證書�����。 此外��,向訂戶檢測器300提供中央過濾器200的完全合格的域名��,該域 名也是服務(wù)器證書主題的CN部分�����。密鑰與檢測器的"名稱"相關(guān)聯(lián)����,而不是與檢測器的IP地址相關(guān) 聯(lián),其IP地址可能由于多種原因而改變�����。如下所提到的���,在任何時候��,
DP強制具有給定名稱的一個檢測器300的最大值�。遵循標(biāo)準(zhǔn)的TLS協(xié) 議,中央過濾器200發(fā)送證書請求消息�����,該消息指定了中央過濾器200 將只接收由CA簽名的證書�����。作為客戶端認證過程的一部分�����,檢測器300 使用兩個消息作出響應(yīng)����。首先,檢測器300提供包含檢測器的名稱和檢 測器的公共密鑰的證書�����。其次��,檢測器300發(fā)送證書校驗消息,該消息 包含由檢測器的私有密鑰簽名的所有TLS握手消息的摘要?��,F(xiàn)在�,中 央過濾器200可以將客戶端認證為在證書中所提到的檢測器300����。
一旦建立了TLSvl連接�,在可以基于UDP發(fā)布任何通告廢除之前, 中央過濾器200就應(yīng)使用安全加密信道向檢測器300發(fā)送隨機選擇的 160比特的秘密隨機數(shù)(nonce)����。
認證每一個DP通告廢除分組。在一個示例性實施例中���,所公開的 DP中的通告廢除是由以下(a)�、 (b)����、 (c)和(d)的加密散列(hash) 認證的(a) UDP分組內(nèi)容;(b)計時器(自RSTART起的"單位" 數(shù)�����,其中在同步期間建立了 "單位"的長度和RSTART的時間);(c) 秘密隨機數(shù)�����;以及(d) TLS信道所使用的DP端口號��。(b)是對重放 攻擊的最小防御�,(c)向中央過濾器200認證檢測器300。該示例性實 施例中所使用的MAC功能是HMAC-SHA1 (詳情參見互聯(lián)網(wǎng)RFC 2104)�����,上述額外字段被用作HMAC密鑰����。
分組中可以包括20比特的序列號,并且假定在單位計數(shù)器遞增之 前�����,每一個服務(wù)器發(fā)送少于22()個請求�。DP的端點只接受具有給定序列 號的第一有效分組。到序列號繞回時�����,單位計數(shù)器已遞增以防御簡單 的重放攻擊。檢測器300包括作為序列號高位比特(第21個比特)的單 位計數(shù)器號碼的低位比特�。這就允許"日期"(自RSTART時間起的 單位數(shù))在檢測器300上以相對于中央過濾器200的任意時間改變,并 且中央過濾器200仍可以計算出隱藏日期是什么(只要每"天"(單位) 有至少一個同步交換)�����。這就允許避免了對緊同步時鐘的需要����。
在檢測器300試圖在時間單位內(nèi)發(fā)送多于22()個分組的不太可能的 情況下���,檢測器300應(yīng)當(dāng)請求來自中央過濾器200的新的安全隨機數(shù)�。檢測器300對單位的長度(表示為一天的幾分之幾)進行選擇以使序列
號不太可能繞回��。
計算這些加密散列可能看起來成本較高�����,并且發(fā)送每個分組的多 個副本可能會使費用劇增�。然而,需要注意�����, 一旦成功接收到給定的 序列號,在無需計算散列的情況下便可以丟棄任何副本�。來自攻擊者 的隨機構(gòu)建的分組不太可能被接受,這是因為可接受序列號的窗口與
整個序列號空間相比非常小�����。中央過濾器200丟棄所期望的窗口之外的
分組��。此外的開窗可以基于檢測器的名稱例如����,可以在2字節(jié)的字段
內(nèi)以大約100個有效值稀疏地分配檢測器的名稱。
如果考慮到攻擊者可能窺探(snoop)到通告廢除請求��,同時復(fù)制 檢測器的名稱��、捕獲序列號�����、然后發(fā)送窗口中最后一個分組的多個差 的副本���,則可以提供一種抵御窺探器的快速丟棄方法���。實際上��,期望 將不必須有這種額外水平的保護一一在接收機處��,執(zhí)行SHA1散列的成 本將不是證明所增加的復(fù)雜度的合理性的充分瓶頸�����。然而����,以下討論 該安全快速丟棄方法�����。
C.安全汰遂丟,
安全快速丟棄方法是可選的����。在示例性的DP版本中的通告廢除分 組中提供了針對該可選方法的空間�,但除非實際確定了需要該保護, 不然將不會在DP中啟用該安全快速丟棄算法�。
基本途徑如下每一個通告廢除請求將包括計算L比特字符串
Sr^的簡易性(臨時地,L=5���,以使得該字符串適合于序列號字段的填 充)�。SL是序列號與由中央過濾器200在SSL信道上提供的秘密密鑰對 的簡單函數(shù)的結(jié)果。在計算上���,檢驗分組是否有效的成本不高一一如 果Sl不是所期望的信�,則丟棄分組���。確定分組是否有效仍然需要對加 密散列的檢驗一一但大約每序列號發(fā)生 一 次����。
當(dāng)檢測器300與中央過濾器200對HMAC-SHA1散列的共享密鑰進 行同步時�����,中央過濾器200還應(yīng)提供字符串長度L��、密鑰長度B�、 B+L 比特的字符串S、以及小整數(shù)K���,以使得KK^B�。這些都不為攻擊者所 知�,雖然L和B可能改變不頻繁且在與S和K相同的意義上不應(yīng)被視為 "秘密"��。針對具有序列號s的通告廢除請求��,SL是在比特位置b處開始的S中的L比特子串���。b是s、 B和K的函數(shù)����。將Sl插入分組的 HMAC-SHAl散列的第bO個位置處(將SHA1散列的長度擴展L個比 特)。
如果L-5且B4019���,那么直到大約22()個通告廢除分組時圖案才會 重復(fù)——此時����,在任何情況下都必須針對HMAC-SHA1散列選擇新的 隨機數(shù)���。假定在窺探的攻擊者看來��,字符串Sl是隨機的,対Sl的筒単 檢驗應(yīng)以因子2L使得攻擊分組的流變少��。然而��,選擇更大的L增加了 攻擊者可重構(gòu)S然后重構(gòu)K的幾率,因此L應(yīng)被選擇以使得2L2�、B (意 味著L是O(logB))來避免這種問題(以便每個可能的L比特子串很可 能在S中出現(xiàn)多于一次)。
D."尸撒息磨
所公開的DP提供了用于檢測器300和中央過濾器200的手段以彼 此可靠地發(fā)送消息�。SSL/TLS實現(xiàn)了流中的記錄?����?梢詫SL記錄用作 DP記錄�����,每一個記錄以簡單描述了該記錄的類型(如狀態(tài)(STATUS)�����、 消息和狀態(tài)應(yīng)答)的DP記錄報頭開始����。然而,經(jīng)驗中�����,并不是所有的 TLS實現(xiàn)方式都在其向客戶端的API中保存記錄邊界(SSL寫(除非數(shù) 據(jù)太大)產(chǎn)生SSL記錄�����,而SSL讀可以返回部分記錄或多個記錄)。因 此��,為了提供跨平臺的最大便攜性���,DP的示例性實施例(可能冗余地) 在SSL記錄內(nèi)實現(xiàn)其自身的記錄標(biāo)記協(xié)議���。理想地, 一個DP記錄應(yīng)在 每一個SSL記錄內(nèi)都適合一一不論如何���,記錄協(xié)議都將生效���。DP使用 記錄起始標(biāo)記來開始該記錄,并使用記錄結(jié)束標(biāo)記來結(jié)束記錄����。每一 個記錄以類型和長度字段開始。長度字段允許避免比特/字節(jié)填充一一 起始記錄標(biāo)記或結(jié)束記錄標(biāo)記出現(xiàn)在該記錄內(nèi)是正當(dāng)?shù)?���。長度字段是 消息內(nèi)不包括報頭和報尾的字節(jié)的數(shù)目。
雖然在該示例性實施例中起始標(biāo)記和結(jié)束標(biāo)記是4字節(jié)序列�,但 沒有對DP消息的對準(zhǔn)要求。消息的主體可以是任意長度���,該長度不必 是32比特(4個字節(jié))的倍數(shù)�����。在服務(wù)器或客戶端發(fā)布殘缺的記錄的情 況下���,起始標(biāo)記和結(jié)束標(biāo)記允許恢復(fù)記錄邊界——只需要搜索序列[記 錄結(jié)束][記錄起始],其后緊跟有自身指向[記錄結(jié)束][記錄起始]對的長 度字段���。
19分資諮式�、斂本號浙盧吝絲
對所公開的DP的修改應(yīng)當(dāng)是后向兼容的�。對利用SSL信道的協(xié)議 操作的不兼容修改將會分配新的記錄類型標(biāo)識符,而不是重新使用具 有不兼容格式的舊類型���。對通告廢除事務(wù)的不兼容改變將會要求選取 新的DP端口號作為所修改的DP規(guī)范的一部分�。DP將采用兩種方式之 一在DP信道的遠端處檢測非DP代理���。SSL連接的遠端將無法認證或?qū)?無法遵循DP初始同步協(xié)議�����。如果在SSL連接建立期間由于某些原因沒 有檢測到不兼容性��,則密碼散列將不能用于UDP業(yè)務(wù)量�,這是因為該 遠端不是DP或在散列中正在使用對于DP不兼容的版本號。這就避免 了對DP有線發(fā)送的數(shù)據(jù)中的版本號或幻數(shù)的需要���。
分組和操作
如前所示��,檢測器300在DP信道上與中央過濾器200進行通信�����。當(dāng) 前應(yīng)當(dāng)建立DP信道以便檢測器300與中央過濾器200進行通信����。每一個 檢測器300都與中央過濾器200的一個具體示例綁定���。中央過濾器200 將不會與不與其綁定的檢測器300進行通信��。與給定中央過濾器200綁 定的每一個檢測器300具有由該中央過濾器200使用的數(shù)字"名稱"����。
建立DP信道的第一步是發(fā)起從檢測器300到中央過濾器200的 SSL/TLS連接。通過SSL/TLS認證過程���,中央過濾器200將進行通信的 檢測器300識別為可信的���。在TLS握手的客戶端認證階段�����,檢測器300 要求成為在檢測器300向中央過濾器200所提供的證書中所使用的名 稱���。該名稱應(yīng)當(dāng)具有預(yù)定義的形式�。
一旦建立了TLS信道���,檢測器300就必須在TLS信道上發(fā)送同步請 求�����。直到從檢測器300向中央過濾器200發(fā)送了同步請求并且從檢測器 300向中央過濾器200返回了同步肯定應(yīng)答時����,TLS信道才被視為已被 初始化�。除其他值以外,示例性同步請求還包括下一個通告廢除事務(wù) 的序列號(每一個通告廢除事務(wù)的序列號將加l��,直到下一個同步請求 為止)。還初始化"時間單位"的長度以及隨機開始時間 "RSTART"����。中央過濾器200響應(yīng)同步肯定應(yīng)答,該同步肯定應(yīng)答包 括隨機產(chǎn)生的160比特會話密鑰����、和檢測器300是否可以滿足增量過 濾器狀態(tài)或是否需要完全過濾器狀態(tài)的指示。在該交換后�����,檢測器300必須建立路徑MTU����,并請求和接收第一 狀態(tài)答復(fù)。在這一點上����,建立DP信道。如上所述�,DP事務(wù)有四種基 本類型同步、通告廢除��、狀態(tài)査詢、和消息�����。前三種事務(wù)類型(同 步���、通告廢除��、和狀態(tài)查詢)都由檢測器300發(fā)起。然而�,響應(yīng)于檢測 器300或中央過濾器200的請求,可以在SSL信道上沿兩方向中的任一 方向發(fā)送消息�����。
在UDP信道上將通告廢除事務(wù)從檢測器300上的隨機端口發(fā)送到 中央過濾器200上的DP端口��。在正常情況下�,中央過濾器200根本不發(fā) 送響應(yīng)。在錯誤�、失敗或潛在攻擊的情況下,中央過濾器200可以響應(yīng) 重新同步或錯誤分組�����。當(dāng)己知仍然存在TLS信道時,在TLS信道上發(fā) 送這些響應(yīng)����。當(dāng)不存在TLS信道時,基于UDP發(fā)送響應(yīng)(在這種情況 下����,該響應(yīng)必須是重新同步消息)以重新建立TLS信道。 一般的規(guī)則 是如果進入的分組是形狀完備的��,并且中央過濾器200相信客戶端是 合法的�,則中央過濾器200發(fā)送重新同步消息。否則�����,中央過濾器200 發(fā)送錯誤消息�����。
所有其他事務(wù)利用TLS信道����。
丄"AP享多 告廢餘#贈應(yīng),
如前所示,基于分組的內(nèi)容以及包括隨機數(shù)�、日期計數(shù)器和全局 DP端口號的密鑰���,來計算HMAC-SHA1消息認證。圖6示出了針對UDP 分組預(yù)先考慮的���、用于UDP請求的HMAC密鑰�����。
如上所示����,自RSTART起的單位數(shù)防止DP成為DoS攻擊源�。
S. m/譜
在TLS信道上發(fā)送的所有DP通信都被分解為記錄����。在一個示例性 實施例中,單個DP記錄的最大大小是16000字節(jié)�����。在向SSL協(xié)議的API 允許之處���,每SSL記錄剛好有一個DP記錄是很好的慣例���。示例性的DP 記錄開始于例如預(yù)定義的4字節(jié)序列��,結(jié)束于另一個預(yù)定義的4字節(jié)序 列����。將DP記錄的類型(以網(wǎng)絡(luò)字節(jié)的次序)編碼為直接跟在消息起始 標(biāo)記之后的32比特整數(shù)��。將DP記錄的長度(以網(wǎng)絡(luò)字節(jié)的次序)編碼 為直接跟在類型之后的32比特整數(shù)��。圖7示出了DP記錄報頭和報尾在 安全可靠流內(nèi)的示例性布局���。本發(fā)明可以結(jié)合一個或多個的輔助工具進行工作���。例如,這樣的 工具可能包括用于辨別所施加的拒絕服務(wù)攻擊的互聯(lián)網(wǎng)服務(wù)器插件程
序(pkig-in)�、向各種IDS系統(tǒng)(侵入檢測系統(tǒng))的鏈接、用于網(wǎng)絡(luò)診
斷的數(shù)據(jù)庫(如上所討論的)��、以及用于針對在給定的承載者的基礎(chǔ)結(jié)
構(gòu)內(nèi)放置清除器(Zapper)功能提供向?qū)У姆椒?�。根?jù)此處的公開�����, 提供這些輔助工具中各種輔助工具的本發(fā)明的示意性實施例對于本領(lǐng) 域技術(shù)人員而言是顯而易見的。 系統(tǒng)和制造品的細節(jié)
如本領(lǐng)域公知的��,此處討論的方法和設(shè)備可以被分發(fā)為本身包括 計算機可讀介質(zhì)的制造品����,在該計算機可讀介質(zhì)上實現(xiàn)有計算機可讀 代碼裝置。與計算機系統(tǒng)相結(jié)合���,計算機可讀程序代碼裝置可操作為 執(zhí)行全部或一些步驟��,以執(zhí)行此處討論的方法或創(chuàng)建此處討論的設(shè)備�����。 計算機可讀介質(zhì)可以是可記錄介質(zhì)(例如���,軟盤��、硬驅(qū)動器�、壓縮盤、 存儲卡�、半導(dǎo)體器件、芯片���、專用集成電路(ASIC))����,或可以是傳送 介質(zhì)(例如,網(wǎng)絡(luò)��,包括光纖���、萬維網(wǎng)�、電纜�����、或者使用時分多址�����、 碼分多址或其他射頻信道的無線信道)����。可以使用適合與計算機系統(tǒng)一 起使用的��、能夠存儲信息的已知或已開發(fā)的任何介質(zhì)����。計算機可讀代 碼裝置是允許計算機讀取指令和數(shù)據(jù)(如磁介質(zhì)上的磁變化或壓縮盤 表面上的高度變化)的任何機制���。
此處所述的計算機系統(tǒng)和服務(wù)器均包含存儲器,該存儲器將配置 關(guān)聯(lián)的處理器以實現(xiàn)此處所公開的方法�����、步驟和功能����。存儲器可以是 分布式的或本地的,并且處理器可以是分布式的或單一的��?��?梢詫⒋?儲器實現(xiàn)為電存儲器����、磁存儲器���、光存儲器或者這些或其他類型的存 儲設(shè)備的任何組合。此外����,術(shù)語"存儲器"應(yīng)當(dāng)被足夠?qū)挿旱亟忉尀?包括能夠從由關(guān)聯(lián)處理器訪問的可尋址空間中的地址讀取或能夠?qū)懭?該地址的任何信息��。使用該定義�,網(wǎng)絡(luò)上的信息仍處于存儲器內(nèi)�,這 是因為關(guān)聯(lián)處理器可以從網(wǎng)絡(luò)取得該信息。
應(yīng)當(dāng)理解��,此處所示和所述的實施例和變體僅僅用于說明本發(fā)明 的原理����,在不背離本發(fā)明的范圍和精神的情況下,本領(lǐng)域技術(shù)人員可 以實現(xiàn)各種修改���。
2權(quán)利要求
1����、一種用于由目標(biāo)受害者防御不期望業(yè)務(wù)量的方法�����,所述目標(biāo)受害者具有一個或多個目的地地址�,所述方法包括以下步驟基于對從一個或多個源IP地址接收到的分組的分析,確定所述目標(biāo)受害者接收到不期望業(yè)務(wù)量;以及將通告廢除消息發(fā)送到與服務(wù)提供者相關(guān)聯(lián)的中央過濾器�,所述通告廢除消息用于識別至少一個源計算設(shè)備的源地址,其中���,所述至少一個源計算設(shè)備向所述目標(biāo)受害者的分組發(fā)送將要經(jīng)受以下一個或多個限制��、丟棄�、或允許�,并且,使用無需來自所述中央過濾器的即時肯定應(yīng)答的通告廢除協(xié)議來發(fā)送所述通告廢除消息����。
2、 根據(jù)權(quán)利要求1所述的方法�,其中,所述不期望業(yè)務(wù)量包括惡意攻擊或拒絕服務(wù)攻擊����。
3、 根據(jù)權(quán)利要求1所述的方法�����,其中�����,將所述通告廢除消息冗 余地發(fā)送到所述中央過濾器����。
4、 根據(jù)權(quán)利要求1所述的方法�,其中,所述通告廢除消息是自 持的�。
5、 根據(jù)權(quán)利要求1所述的方法��,其中���,所述通告廢除協(xié)議提供 粗時鐘同步�����。
6��、 根據(jù)權(quán)利要求1所述的方法�,還包括以下步驟接收來自所 述中央過濾器的共享狀態(tài)以及維護對所述狀態(tài)的任何改變��。
7��、 根據(jù)權(quán)利要求1所述的方法,其中�,所述通告廢除協(xié)議包括 一個或多個特征以避免針對所述通告廢除協(xié)議的惡意攻擊。
8���、 根據(jù)權(quán)利要求1所述的方法�,其中���,所述通告廢除消息包括允許以下一個或多個操作的序列號調(diào)解來自多個所述目標(biāo)受害者的 沖突通告廢除消息��;避免針對所述通告廢除協(xié)議的惡意攻擊�����;以及丟 棄所述通告廢除消息的副本���。
9、 一種用于由目標(biāo)受害者防御不期望業(yè)務(wù)量的設(shè)備���,所述目標(biāo) 受害者具有一個或多個目的地地址����,所述設(shè)備包括存儲器����;以及至少一個處理器���,耦合至存儲器,所述至少一個處理器用于 基于對從一個或多個源IP地址接收到的分組的分析�����,確定所述目 標(biāo)受害者接收到不期望業(yè)務(wù)量�����;以及將通告廢除消息發(fā)送到與服務(wù)提供者相關(guān)聯(lián)的中央過濾器����,所述 通告廢除消息用于識別至少一個源計算設(shè)備的源地址�,其中,所述至 少一個源計算設(shè)備向所述目標(biāo)受害者的分組發(fā)送將要經(jīng)受以下一個或多個限制�、丟棄、或允許�,并且,使用無需來自所述中央過濾器的 即時肯定應(yīng)答的通告廢除協(xié)議來發(fā)送所述通告廢除消息����。
10����、根據(jù)權(quán)利要求9所述的設(shè)備���,其中���,將所述通告廢除消息冗 余地發(fā)送到所述中央過濾器。
全文摘要
提供了如下的方法和設(shè)備用于例如在惡意攻擊期間���,在一個或多個分組網(wǎng)絡(luò)中向中央過濾器可靠地遞送控制消息�����,而不需要中央過濾器對檢測器進行響應(yīng)或肯定應(yīng)答�。目標(biāo)受害者使用檢測器��、通過如下方式來防御不期望業(yè)務(wù)量基于對從一個或多個源IP地址接收到的分組的分析���,確定目標(biāo)受害者接收到不期望業(yè)務(wù)量���;以及將通告廢除消息發(fā)送到與服務(wù)提供者相關(guān)聯(lián)的中央過濾器,該通告廢除消息用于識別至少一個源計算設(shè)備的源地址���,其中��,該至少一個源計算設(shè)備向目標(biāo)受害者的分組發(fā)送將要經(jīng)受以下一個或多個限制����、丟棄、或允許����,并且���,使用無需來自中央過濾器的即時肯定應(yīng)答的通告廢除協(xié)議來發(fā)送通告廢除消息���。此外,可以向中央過濾器冗余地發(fā)送通告廢除消息����,且優(yōu)選地,通告廢除消息是自持的���。
文檔編號H04L29/06GK101536455SQ200780040606
公開日2009年9月16日 申請日期2007年10月23日 優(yōu)先權(quán)日2006年11月3日
發(fā)明者埃里克·亨利·格羅塞, 邁克爾·巴里·格林沃德 申請人:朗訊科技公司