專利名稱:用于防止消息泛洪攻擊的方法和網(wǎng)絡(luò)單元的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域�����,具體地涉及防止來自對等網(wǎng)絡(luò)中的攻擊者的消息泛洪攻
擊O
背景技術(shù):
隨著例如無線網(wǎng)絡(luò)和移動IP的新技術(shù)和應(yīng)用的出現(xiàn)�����,對認(rèn)證和授權(quán)的需求大大 增加�,并且接入控制機(jī)制變得比以往更加復(fù)雜?��,F(xiàn)有的RADIUS (遠(yuǎn)程認(rèn)證撥號用戶服務(wù)) 協(xié)議可能不足以滿足這些新需求���;需要一種能夠滿足新的接入控制特征同時保持將來擴(kuò)展 的靈活性的新協(xié)議。這就是產(chǎn)生Diameter協(xié)議的原因���。Diameter被設(shè)計(jì)成對等結(jié)構(gòu)�����,并且實(shí)現(xiàn)Diameter協(xié)議的每個主機(jī)都能根據(jù)網(wǎng)絡(luò) 部署而用作客戶端或服務(wù)器���。因此,術(shù)語“Diameter節(jié)點(diǎn)”是指Diameter客戶端、Diameter 服務(wù)器或Diameter代理��。RFC 3588 中定義的設(shè)備監(jiān)控請求 / 應(yīng)答(Device Watchdog Request/Answer)消 息是用來更快地檢測傳輸和應(yīng)用層故障的Diameter監(jiān)控消息�����,這是RFC 3539所要求的�。 當(dāng)Diameter節(jié)點(diǎn)收到設(shè)備監(jiān)控請求(DWR)消息時,它應(yīng)當(dāng)返回設(shè)備監(jiān)控應(yīng)答(DWA)消息 以指示其活動性��。然而����,RFC 3539中的監(jiān)控算法并未定義如何在非常短的時期內(nèi)處理多個 DffR消息。因此���,它變成一個安全空洞���,攻擊者可以發(fā)出盡可能多的DWR至Diameter節(jié)點(diǎn) 以導(dǎo)致服務(wù)拒絕攻擊。這種攻擊會用盡被攻擊機(jī)器的資源并且使得它停止/減慢對其他對 等體的Diameter請求的響應(yīng)��。更糟糕的情況是���,為了浪費(fèi)網(wǎng)絡(luò)帶寬并且毀壞被攻擊機(jī)器的 Diameter棧����,攻擊者可以濫用Diameter的可擴(kuò)展性以包含盡可能多的無用的AVP (屬性值 對)從而達(dá)到Diameter消息的最大大小(16777216字節(jié))。圖1示出了 Diameter服務(wù)器被DWR泛洪攻擊的情形��。攻擊者發(fā)出盡可能多的DWR 消息��,這是基于攻擊者與受攻擊服務(wù)器之間的網(wǎng)絡(luò)帶寬的�。當(dāng)服務(wù)器接收DWR消息時�����,它解 碼該DWR消息然后在將應(yīng)答消息發(fā)回攻擊者之前構(gòu)造DWA消息�。當(dāng)DWR的量到達(dá)特定級別 時,服務(wù)器中用于處理該DWR泛洪的資源將減慢服務(wù)器對其他正常Diameter客戶端的響 應(yīng)��。在最差的情況下��,服務(wù)器可能用盡其容量并且由于協(xié)議差錯DIAMETER_T00_BUSY而必 須拒絕其他正常的Diameter請求�。然而,至今為止還不存在對這種攻擊的定義和對這種攻擊的解決方案�����。
發(fā)明內(nèi)容
為了解決上述現(xiàn)有技術(shù)問題����,根據(jù)本發(fā)明的一個方面���,提出了一種用于防止消息 泛洪攻擊的方法,該方法包括���,當(dāng)關(guān)于檢測傳輸故障的若干消息從第一網(wǎng)絡(luò)單元被發(fā)送至 第二網(wǎng)絡(luò)單元時所述第二網(wǎng)絡(luò)單元只要從所述第一網(wǎng)絡(luò)單元接收關(guān)于檢測傳輸故障的第 一消息就記錄該第一消息的到達(dá)時間���;所述第二網(wǎng)絡(luò)單元在隨后從所述第一網(wǎng)絡(luò)單元接收 關(guān)于檢測傳輸故障的第二消息之后確定所述第一消息和所述第二消息各自的到達(dá)時間之 間的差值;如果所述差值低于預(yù)定閾值�,則所述第二網(wǎng)絡(luò)單元發(fā)送關(guān)于關(guān)閉至所述第一網(wǎng)絡(luò)單元的傳輸連接的消息;以及所述第二網(wǎng)絡(luò)單元關(guān)閉所述傳輸連接�����。根據(jù)本發(fā)明的另一方面�,提出了一種向/從另一網(wǎng)絡(luò)單元發(fā)送/接收信令消息的 網(wǎng)絡(luò)單元,所述網(wǎng)絡(luò)單元包括用于只要從所述另一網(wǎng)絡(luò)單元接收關(guān)于檢測傳輸故障的第 一消息就記錄該第一消息的到達(dá)時間的記錄裝置��;用于當(dāng)隨后從所述另一網(wǎng)絡(luò)單元接收關(guān) 于檢測傳輸故障的第二消息時確定所述第一消息和所述第二消息各自的到達(dá)時間之間的 差值的確定裝置�����;和用于如果所述差值低于預(yù)定閾值則發(fā)送關(guān)于關(guān)閉至所述另一網(wǎng)絡(luò)單元 的傳輸連接的消息的發(fā)送裝置����。
參考附圖���,通過閱讀下面對本發(fā)明實(shí)施例的描述,本發(fā)明的所述和許多其他特征 和優(yōu)點(diǎn)將變得明顯��,其中-圖1說明了現(xiàn)有技術(shù)中可能發(fā)生的問題����,即Diameter服務(wù)器受到DWR泛洪攻擊;-圖2說明了本發(fā)明的基本思想�����;-圖3是根據(jù)本發(fā)明一個實(shí)施例的用于防止DWR泛洪攻擊的方法的流程圖����;和-圖4是根據(jù)本發(fā)明一個實(shí)施例的網(wǎng)絡(luò)單元的框圖�����。
具體實(shí)施例方式本發(fā)明提出了一種用于防止消息泛洪攻擊的方法����。這個方法可以例如應(yīng)用于 Diameter節(jié)點(diǎn)�����。參考圖2說明本發(fā)明的基本思想����。如圖2所示�����,新的規(guī)則被引入針對RFC 3539中定義的AAA協(xié)議的現(xiàn)有監(jiān)控 (Watchdog)算法以在最初階段發(fā)現(xiàn)上述DWR泛洪攻擊�,并且說明了如何在發(fā)現(xiàn)這種攻擊之 后處理它。關(guān)于RFC 3539中定義的監(jiān)控算法�����,發(fā)送監(jiān)控的最小時間間隔是4秒����。因此,本發(fā) 明定義了一種用于通過檢查接收DWR的時間間隔來發(fā)現(xiàn)DWR泛洪的算法���。在這里����,假設(shè) Diameter服務(wù)器(例如AAA (認(rèn)證、授權(quán)和計(jì)費(fèi))服務(wù)器)是DWR接收方����,而Diameter客戶 端是DWR發(fā)送方,即攻擊者����。DWR接收方應(yīng)當(dāng)記錄每個接收的DWR消息的到達(dá)時間并且將它 與前一個收到的DWR消息的到達(dá)時間相比較。如果兩個到達(dá)時間之差小于1秒����,則這意味 著發(fā)現(xiàn)DWR攻擊并且接收方立即發(fā)送具有如“不想與你談話”的斷開連接原因的對等連接 中止請求(DPR)消息至DWR發(fā)送方,然后關(guān)閉連接�。作為可選的操作,接收方可以將攻擊者 的地址置于其用戶黑名單列表中(永久地或者在網(wǎng)絡(luò)運(yùn)營商規(guī)定的時期內(nèi))��。任何來自該 黑名單列表中的用戶的Diameter連接請求將被立即拒絕�。參考圖3�����,下面將結(jié)合圖2所示的過程描述用于防止消息泛洪攻擊的方法�����。如圖3所示,首先��,當(dāng)關(guān)于檢測傳輸故障的若干消息從第一網(wǎng)絡(luò)單元被發(fā)送到第 二網(wǎng)絡(luò)單元時�,在步驟301中,所述第二網(wǎng)絡(luò)單元只要從所述第一網(wǎng)絡(luò)單元接收關(guān)于檢測 傳輸故障的第一消息就記錄該第一消息的到達(dá)時間���。在這里�,如圖2所示��,所述第一網(wǎng)絡(luò) 單元例如是“Diameter客戶端”����,即攻擊者,所述第二網(wǎng)絡(luò)單元例如是“Diameter服務(wù)器”����, 所述第一消息例如是按照Diameter協(xié)議“DWR”消息并且響應(yīng)消息例如是“DWA”消息。在 實(shí)踐中����,在Diameter服務(wù)器已收到所述第一 DWR消息之后,例如DWA消息的響應(yīng)消息從 Diameter服務(wù)器被發(fā)送到Diameter客戶端��。
4
接著��,在步驟302中,所述第二網(wǎng)絡(luò)單元在隨后從所述第一網(wǎng)絡(luò)單元接收關(guān)于檢 測傳輸故障的第二消息之后確定所述第一消息和所述第二消息各自的到達(dá)時間之間的差 值����。在這里,關(guān)于檢測傳輸故障的所述第二消息例如也是DWR消息�����。在這個實(shí)施例中�, Diameter服務(wù)器比較所接收的第二 DWR消息的到達(dá)時間與所接收的第一 DWR消息的到達(dá)時 間。然后�,在步驟303中,如果所述差值低于預(yù)定閾值���,則所述第二網(wǎng)絡(luò)單元發(fā)送關(guān)于 關(guān)閉至所述第一網(wǎng)絡(luò)單元的傳輸連接的消息���。在這個情況中,Diameter服務(wù)器判定存在 DffR泛洪攻擊��。在這里�,關(guān)于關(guān)閉傳輸連接的所述消息例如是具有如“不想與你談話”的斷 開連接原因的按照Diameter協(xié)議的DI3R消息�����。如上文所述,預(yù)定閾值可以例如是1秒��,而 兩個連續(xù)的DWR消息各自的到達(dá)之間之差例如是0. 000001秒�。最后,在步驟304中���,所述第二網(wǎng)絡(luò)單元關(guān)閉所述傳輸連接�����。在這個實(shí)施例中�����, Diameter服務(wù)器關(guān)閉至Diameter客戶端的Diameter連接���。作為一個選項(xiàng),Diameter服務(wù)器可以將Diameter客戶端的地址永久地或在一段 時期內(nèi)置于其黑名單列表中��。應(yīng)當(dāng)指出���,在本發(fā)明中����,Diameter服務(wù)器和Diameter客戶端在其各自的功能性方 面是有區(qū)別的。然而�,上述消息既可以從客戶到發(fā)送到服務(wù)器,也可以從服務(wù)器發(fā)送到客戶端����。由此,利用這個方法�,通過比較兩個連續(xù)接收的DWR消息的到達(dá)時間并且在檢 測到攻擊后立即斷開連接,可以以經(jīng)濟(jì)且有效的方式檢測并防止DWR泛洪攻擊��,并且 Diameter實(shí)現(xiàn)因而可以免于對等網(wǎng)絡(luò)中的DWR泛洪攻擊���?;谕粋€發(fā)明構(gòu)思�����,根據(jù)本發(fā)明的另一個方面���,提出一種向/從另一網(wǎng)絡(luò)單元 發(fā)送/接收信令消息的網(wǎng)絡(luò)單元用以防止消息泛洪攻擊����。下面將參考圖4描述所述網(wǎng)絡(luò)單兀�����。圖4是根據(jù)本發(fā)明一個實(shí)施例的網(wǎng)絡(luò)單元的框圖����,其例如是Diameter節(jié)點(diǎn),具體 地是Diameter客戶端或Diameter服務(wù)器���。網(wǎng)絡(luò)單元400包括記錄裝置401�、確定裝置402 和發(fā)送裝置403�����。在這個實(shí)施例中�����,當(dāng)若干DWR消息從所述另一網(wǎng)絡(luò)單元被發(fā)送至所述網(wǎng)絡(luò) 單元400時����,只要從所述另一網(wǎng)絡(luò)單元收到第一 DWR消息,記錄裝置401就記錄該第一 DWR 消息的到達(dá)時間����。然后����,當(dāng)隨后從該另一網(wǎng)絡(luò)單元收到第二 DWR消息時����,確定裝置402確定 所述第一 DWR消息與第二 DWR消息各自的到達(dá)時間之間的差值。如果所述差值小于預(yù)定閾 值���,也就是說存在DWR泛洪攻擊�����,則發(fā)送裝置403將發(fā)送具有例如“不想與你談話”的斷開 連接原因的Dra消息至所述另一網(wǎng)絡(luò)單元�。如上文所述�,所述預(yù)定閾值例如是1秒??蛇x地,網(wǎng)絡(luò)單元400還可以包括黑名單列表以在所述差值小于所述預(yù)定閾值的 情況下將所述另一網(wǎng)絡(luò)單元的地址納入其中��。也就是說�����,如果所述差值小于1秒,則網(wǎng)絡(luò)單 元400判定所述另一網(wǎng)絡(luò)單元是攻擊者并且將其地址置于該黑名單列表中�����。在實(shí)現(xiàn)中��,本實(shí)施例的網(wǎng)絡(luò)單元400以及其包含的記錄裝置401�、確定裝置402 和發(fā)送裝置403可以以軟件��、硬件或其組合來實(shí)現(xiàn)�����。例如�����,本領(lǐng)域技術(shù)人員熟悉多種可用 來實(shí)現(xiàn)這些部件的設(shè)備����,諸如微處理器、微控制器�、專用集成電路(ASIC)、可編程邏輯設(shè)備 (PLD)和/或現(xiàn)場可編程門陣列(FPGA)等�。本實(shí)施例的記錄裝置401�����、確定裝置402和發(fā) 送裝置403可以被實(shí)現(xiàn)為集成到網(wǎng)絡(luò)單元400中��,也可以分別實(shí)現(xiàn)���,并且它們也可以物理地分開實(shí)現(xiàn)而操作上地相互連接。在操作中����,結(jié)合圖4說明的本實(shí)施例的網(wǎng)絡(luò)單元400可以通過比較兩個連續(xù)接收 的DWR消息各自的到達(dá)時間來檢測和防止DWR消息泛洪攻擊并且在檢測到攻擊后立即斷開 連接。它是經(jīng)濟(jì)且有效的���,并且Diameter實(shí)現(xiàn)因而免于對等網(wǎng)絡(luò)中的DWR泛洪攻擊���。盡管上面詳細(xì)描述了本發(fā)明的用于防止消息泛洪攻擊的方法和向/從另一網(wǎng)絡(luò) 單元發(fā)送/接收信令消息的網(wǎng)絡(luò)單元的示例性實(shí)施例,然而以上實(shí)施例并不是窮舉的�,并 且本領(lǐng)域技術(shù)人員可以在本發(fā)明的精神和范圍內(nèi)實(shí)現(xiàn)各種變化和修改。因此����,本發(fā)明并不 限于這些實(shí)施例,本發(fā)明的范圍僅由所附權(quán)利要求來限定�。
權(quán)利要求
一種用于防止消息泛洪攻擊的方法����,該方法包括�,當(dāng)關(guān)于檢測傳輸故障的若干消息從第一網(wǎng)絡(luò)單元被發(fā)送至第二網(wǎng)絡(luò)單元時 所述第二網(wǎng)絡(luò)單元只要從所述第一網(wǎng)絡(luò)單元接收關(guān)于檢測傳輸故障的第一消息就記錄該第一消息的到達(dá)時間; 所述第二網(wǎng)絡(luò)單元在隨后從所述第一網(wǎng)絡(luò)單元接收關(guān)于檢測傳輸故障的第二消息之后確定所述第一消息和所述第二消息各自的到達(dá)時間之間的差值��; 如果所述差值小于預(yù)定閾值����,則所述第二網(wǎng)絡(luò)單元發(fā)送關(guān)于關(guān)閉至所述第一網(wǎng)絡(luò)單元的傳輸連接的消息��;和 所述第二網(wǎng)絡(luò)單元關(guān)閉所述傳輸連接���。
2.根據(jù)權(quán)利要求1所述的方法���,還包括所述第二網(wǎng)絡(luò)單元在完成上述步驟之后將所述 第一網(wǎng)絡(luò)單元的地址置于其黑名單列表中。
3.根據(jù)權(quán)利要求1或2所述的方法����,其中,所述預(yù)定閾值是1秒����。
4.根據(jù)權(quán)利要求1至3中任一項(xiàng)所述的方法�,還包括所述第二網(wǎng)絡(luò)單元響應(yīng)于所述第 一消息而向所述第一網(wǎng)絡(luò)單元發(fā)送響應(yīng)消息��。
5.根據(jù)權(quán)利要求4所述的方法����,其中,所述響應(yīng)消息是按照Diameter協(xié)議的設(shè)備監(jiān)控 應(yīng)答消息���。
6.根據(jù)權(quán)利要求1至5中任一項(xiàng)所述的方法����,其中���,所述第一消息和所述第二消息是按 照Diameter協(xié)議的設(shè)備監(jiān)控請求消息���。
7.根據(jù)權(quán)利要求1至6中任一項(xiàng)所述的方法,其中���,關(guān)于關(guān)閉傳輸連接的所述消息是按 照Diameter協(xié)議的對等連接中止請求消息�����。
8.一種向/從另一網(wǎng)絡(luò)單元發(fā)送/接收信令消息的網(wǎng)絡(luò)單元�����,包括-記錄裝置����,用于只要從所述另一網(wǎng)絡(luò)單元接收關(guān)于檢測傳輸故障的第一消息就記錄 該第一消息的到達(dá)時間;_確定裝置�����,用于在隨后從所述另一網(wǎng)絡(luò)單元接收關(guān)于檢測傳輸故障的第二消息之后 確定所述第一消息和所述第二消息各自的到達(dá)時間之間的差值��;和-發(fā)送裝置�,用于如果所述差值小于預(yù)定閾值則發(fā)送關(guān)于關(guān)閉至所述另一網(wǎng)絡(luò)單元的 傳輸連接的消息����。
9.根據(jù)權(quán)利要求8所述的網(wǎng)絡(luò)單元,還包括用于在所述差值小于所述預(yù)定閾值的情況 下將所述另一網(wǎng)絡(luò)單元的地址納入其中的黑名單列表���。
10.根據(jù)權(quán)利要求8或9所述的網(wǎng)絡(luò)單元��,其中����,所述預(yù)定閾值是1秒。
11.根據(jù)權(quán)利要求8至10中任一項(xiàng)所述的網(wǎng)絡(luò)單元�,其中,所述第一消息和所述第二消 息是按照Diameter協(xié)議的設(shè)備監(jiān)控請求消息����。
12.根據(jù)權(quán)利要求8至11中任一項(xiàng)所述的網(wǎng)絡(luò)單元,其中�,關(guān)于關(guān)閉傳輸連接的所述消 息是按照Diameter協(xié)議的對等連接中止請求消息。
全文摘要
本發(fā)明提出了一種用于防止消息泛洪攻擊的方法和向/從另一網(wǎng)絡(luò)單元發(fā)送/接收信令消息的網(wǎng)絡(luò)單元�。所述方法包括,當(dāng)關(guān)于檢測傳輸故障的若干消息從第一網(wǎng)絡(luò)單元被發(fā)送至第二網(wǎng)絡(luò)單元時所述第二網(wǎng)絡(luò)單元只要從所述第一網(wǎng)絡(luò)單元接收關(guān)于檢測傳輸故障的第一消息就記錄該第一消息的到達(dá)時間���;所述第二網(wǎng)絡(luò)單元在隨后從所述第一網(wǎng)絡(luò)單元接收關(guān)于檢測傳輸故障的第二消息之后確定所述第一消息和所述第二消息各自的到達(dá)時間之間的差值�����;如果所述差值小于預(yù)定閾值�,則所述第二網(wǎng)絡(luò)單元發(fā)送關(guān)于關(guān)閉至所述第一網(wǎng)絡(luò)單元的傳輸連接的消息���;和所述第二網(wǎng)絡(luò)單元關(guān)閉所述傳輸連接����。
文檔編號H04L29/06GK101960812SQ200880127551
公開日2011年1月26日 申請日期2008年2月26日 優(yōu)先權(quán)日2008年2月26日
發(fā)明者楊志剛 申請人:朗訊科技公司