專利名稱:一種泛洪攻擊的防范方法及裝置的制作方法
技術領域:
本發(fā)明涉及計算機及通信領域�,尤其涉及一種泛洪攻擊的防范方法及裝置�����。
背景技術:
泛洪攻擊���,又稱洪泛攻擊�、洪水攻擊�,是指使用泛洪/洪泛(flood/flooding) 的方式攻擊聯(lián)網的通信節(jié)點設備,一般是通過增加額外的網絡流量負載來實現(xiàn)拒絕服務 (Denial ofService, DoS)攻擊��,導致計算機或通信設備癱瘓��。常見的泛洪攻擊手段包括 ARP (Address Resolution Protocol,地址解析協(xié)議)報文泛洪攻擊����、ICMP (Internet Control Messages Protocol,互聯(lián)網控制信息協(xié)議)報文泛洪攻擊�����、TCP SYN (Transfer Control Protocol Synchronization,傳輸控制協(xié)議同步)報文泛洪攻擊等。 現(xiàn)有技術對泛洪攻擊報文的處理普遍存在一個問題�����,即難以識別區(qū)分出正常 流量報文和攻擊流量報文�����,并過濾該攻擊流量報文���,保護網關設備及相關業(yè)務不受影 響���。以ARP報文泛洪攻擊為例,如圖1所示的典型組網應用場景�����,終端PCI��、PC2組 成VLAN(Virtual Local Area Network����,虛擬局域網)1�,終端PC3����、PC4組成虛擬局域網 VLAN2,終端PC5����、PC6組成虛擬局域網VLAN3。各終端通過二層交換機匯聚到網關��。如圖2所示��,黑色箭頭表示攻擊流量報文���,白色箭頭表示正常流量報文,當攻 擊者向網關設備大量上送攻擊流量報文202時���,會導致ARP報文上送速率劇增����,導致網 關的上送通道203處的帶寬被所述攻擊報文擠占����,擠掉正常流量報文201���。此外,網關將 因此大量學習錯誤的ARP表項�����,導致ARP緩存表被錯誤的ARP表項占滿�����。如圖3所示�,現(xiàn)有技術的處理方法是由網關設備的網絡處理器對上送到CPU 的ARP報文整體速率進行CAR (Committed Access Rate,約定訪問速率)限制,對上送 的ARP報文整體設置CAR通道�����。在上送通道203處����,如果ARP報文上送速率超過所述 CAR通道限制的閾值,網絡處理器就會丟棄超出CAR通道限制的閾值的報文��。由于攻 擊流量報文202與正常流量報文201混合在一起�����,在對攻擊流量報文202進行丟棄的同時 也會丟棄正常流量報文201,仍然對業(yè)務造成了沖擊����。為了解決該問題,如圖4所示����,現(xiàn)有技術通過軟件對各VLAN各自收到的ARP 上送報文401、402��、403進行統(tǒng)計����,如果某個VLAN的ARP上送報文超過CAR通道限 制的閾值,軟件就會通知網絡處理器再對該VLAN的ARP報文做CAR限制�。如圖4所 示的方案通過各VLAN的CAR通道�,將ARP報文泛洪攻擊的范圍隔離在各VLAN內, 但對于每個VLAN而言��,其內部的正常流量報文和攻擊流量報文仍會由于對各VLAN的 CAR限制而被丟棄���。此外�,每個VLAN的ARP報文最終仍須通過上送通道203 —起匯 總給CPU,如果VLAN的數(shù)量很大��,雖然每個受攻擊的VLAN的ARP報文的上送速率都 沒有超過對VLAN的CAR通道限制的閾值���,但是在匯總至CPU的上送通道203處�����,ARP 報文的上送總量仍然很大����,仍可能超過對整個上送通道203的CAR通道限制的閾值��。此 時�,部分正常流量報文仍會和攻擊流量報文一起被丟棄,從而影響業(yè)務的正常運作���。
發(fā)明內容
本發(fā)明實施例的目的在于提供一種泛洪攻擊的防范方法及裝置�,以區(qū)分正常流 量報文和攻擊流量報文�,避免正常流量報文被過濾,以增強受攻擊的網絡側設備和通信 網絡業(yè)務的穩(wěn)定性�。為解決上述技術問題,本發(fā)明實施例提供一種泛洪攻擊的防范方法��,包括對由不同的互聯(lián)網協(xié)議IP地址上送的報文分別進行約定訪問速率CAR限制;對所述上送的報文進行Hash哈希散列處理����,使得相同的IP地址上送的報文進入 相同的CAR通道,不同的IP地址上送的報文進入不同的CAR通道�;所述CAR通道由所 述CAR限制設置。本發(fā)明實施例提供一種泛洪攻擊防范裝置�,包括 基于IP地址的CAR限制單元,用于對由不同的IP地址上送的報文分別進行 CAR限制��;散列處理單元�����,用于基于IP地址�����,對各IP地址上送的報文進行散列處理�,使得 相同的IP地址上送的報文進入相同的CAR通道,不同的IP地址上送的報文進入不同的 CAR通道�;所述CAR通道由所述基于IP地址的CAR限制單元設置����。本發(fā)明實施例還提供一種泛洪攻擊防范裝置���,包括報文整體速率CAR限制單元,用于對所述上送的報文整體速率進行CAR限 制�����;報文丟棄檢測單元��,用于對所述上送的報文進行丟棄檢測���,判斷所述報文是否 有報文丟棄計數(shù)���;基于IP地址的CAR限制單元,用于根據(jù)所述報文丟棄檢測單元獲得的報文丟棄 計數(shù)以及正常流量報文的速率范圍�����,對存在報文丟棄計數(shù)的網關接口收到的不同IP地址 上送的報文分別進行CAR限制�,分別設置CAR通道,以過濾超過所述速率范圍的攻擊流 量報文���;散列處理單元�,用于基于IP地址�����,對所述各IP地址上送的報文進行散列處理, 使得相同的IP地址上送的報文進入相同的CAR通道��,不同的IP地址上送的報文進入不 同的CAR通道���。本發(fā)明實施例利用協(xié)議報文的正常流量報文模型的特點���,即相同IP地址發(fā)出的 瞬時正常流量通常在某一速率范圍內這一特點,通過對不同IP地址上送的報文設置CAR 通道和動態(tài)HASH散列處理����,識別區(qū)分出正常流量報文和攻擊流量報文,并過濾該攻擊 流量報文���,以保護相關業(yè)務不受影響�。
圖1是典型的組網應用場景示意圖����;圖2是網關設備內部受到ARP報文泛洪攻擊的示意圖;圖3是對上送的報文整體速率進行CAR限制的原理示意圖�����;圖4是對VLAN進行CAR限制的原理示意圖�����;圖5是本發(fā)明實施例一提供的泛洪攻擊的防范方法的流程示意圖��;圖6是本發(fā)明實施例一提供的泛洪攻擊的防范方法的原理示意圖7是本發(fā)明實施例一提供的泛洪攻擊防范裝置的結構示意圖�;圖8是本發(fā)明實施例二提供的泛洪攻擊的防范方法的流程示意圖;圖9是本發(fā)明實施例二提供的泛洪攻擊的防范裝置的結構示意圖�����;圖10是本發(fā)明實施例三提供的泛洪攻 擊的防范方法的流程示意圖�����;圖11是本發(fā)明實施例三對上送的報文整體速率進行CAR限制的原理示意圖����;圖12是本發(fā)明實施例三提供的泛洪攻擊的防范方法的原理示意圖;圖13是本發(fā)明實施例三提供的泛洪攻擊的防范裝置的結構示意圖�。
具體實施例方式下面將結合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚��、 完整地描述,顯然�,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施 例��?��;诒景l(fā)明中的實施例�,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得 的所有其他實施例�,都屬于本發(fā)明保護的范圍。實施例一如圖5所示����,本實施例提供一種泛洪攻擊的防范方法,包括步驟501 對不同的IP地址上送的報文分別進行CAR限制��,分別設置CAR通道���。在步驟501中��,可以根據(jù)同一個IP地址上送的正常流量報文的速率范圍���,對各 IP地址上送的報文分別進行CAR限制,設置CAR通道���。所述CAR通道限制的閾值根據(jù) 同一個IP地址上送的正常流量報文的速率范圍來設定����,以過濾超過正常流量報文速率范 圍的攻擊流量報文。同一個IP地址上送的正常流量報文的速率范圍則可以根據(jù)具體應用 情形來計算�。以ARP應用為例�,對于一個子網掩碼為255.255.255.0的IP地址而言,最多 可以由254臺主機共享一個IP地址��,由于單個ARP報文的長度一般小于64字節(jié)(byte)�, 據(jù)此可計算出同一個IP地址的峰值ARP報文上送速率為254X64X8al28kbps(千比特 每秒)。而一般應用場景下��,同一個IP地址下同時上送ARP報文的主機的數(shù)量不會達到 峰值數(shù)254���,若以16臺主機數(shù)作為正常應用的情形���,則同一個IP地址上送的正常流量報 文的速率為16X64X8 = 8kbps。據(jù)此����,留出適當裕量后,可對不同IP地址上送的報文 分別進行CAR限制�����,將CAR通道限制的閾值設定為10-12kbps。步驟502:接收到所述上送的報文后�,基于IP地址,對各IP地址上送的報文進 行散列處理�����。步驟502的應用實例如圖6所示�����,501��、502��、503���、504分別是來自不同的IP地 址上送的報文����;黑色箭頭表示攻擊流量報文�����,白色箭頭表示正常流量報文。各IP地址上 送的報文經過基于IP的散列處理后���,相同IP地址上送的報文進入同一CAR通道�����,不同IP 地址上送的報文進入不同的CAR通道����。由于同一個IP地址上送的正常流量報文速率較 小�����,可以通過步驟501所設定的CAR通道����,進而上送CPU處理�;而同一個IP地址上送 的攻擊流量報文的速率較大,超過了所述CAR通道限制的閾值�,將在CAR通道被過濾。步驟501�、502所述的報文可以是ARP報文、ICMP報文����、TCP SYN報文等類似 的泛洪攻擊流量報文����。相應地��,本實施例還提供一種泛洪攻擊防范裝置����,包括
基于IP地址的CAR限制單元701,用于根據(jù)正常流量報文的速率范圍�����,對不同 IP地址上送的報文分別進行CAR限制����,分別設置CAR通道,以過濾超過所述速率范圍的 攻擊流量報文��;散列處理單元702�,用于基于IP地址,對各IP地址上送的報文進行散列處理����, 使得相同的IP地址上送的報文進入相同的CAR通道���,不同的IP地址上送的報文進入不 同的CAR通道。本實施例提供的一種泛洪攻擊的防范方法及防范裝置利用同一個IP地址上送的 正常流量報文速率較小的特點�,對不同IP地址上送的報文分別進行CAR限制,并基于IP 地址對各IP地址上送的報文進行散列處理����,使得相同IP地址上送的報文進入同一 CAR通 道,不同IP地址上送的報文進入不同的CAR通道��,從而將正常流量報文和攻擊流量報文 分隔����,使得攻擊流量報文由于速率較大而被CAR通道過濾���,而正常流量報文通過CAR通 道上送處理�����,保障了受攻擊設備業(yè)務的正常運行�����。實施例二 本實施例提供一種泛洪攻擊的防范方法�,其應用場景為ARP報文泛洪攻擊的情 形。如圖1所示����,終端PC1、PC2組成虛擬局域網VLANl���,終端PC3�、PC4組成虛擬局 域網VLAN2�����,終端PC5�����、PC6組成虛擬局域網VLAN3��。各終端通過二層交換機匯聚到 網關設備��,網關設備內部的情形如圖2所示���,包括中央處理器CPU��、網絡處理器Network Processor, ARP緩存表�。如圖8所示,本實施例提供的泛洪攻擊的防范方法��,包括步驟801 對上送的ARP報文進行合法性校驗�����。在步驟801中��,網絡處理器首先對ARP報文進行合法性校驗���,初步過濾一些非 法的ARP報文�����。所述合法性校驗��,包括預先設定非法ARP報文的類別,判斷所述ARP 報文是否屬于所述非法ARP報文�;若是,則無法通過合法性校驗����,否則,所述ARP報文 通過合法性校驗����。優(yōu)選地��,無法通過合法性校驗的所述非法ARP報文的類別包括以下報 文中的一種或多種廣播MAC (Media AccessControl)地址的ARP應答報文��,單播MAC 地址的ARP請求報文���,源IP地址和目的IP地址不在同一網段的ARP請求/應答報文, 源MAC地址為空的ARP請求報文����。步驟802 對上送的ARP報文整體速率進行CAR限制。如圖3所示�,在步驟802中,為了過濾攻擊流量報文202���,對上送的ARP報文整 體速率進行CAR限制��,設置CAR通道��。此時��,攻擊流量報文202和正常流量報文201 同時進入上送通道203內��,當ARP報文整體速率超過CAR通道限制的閾值時���,超過所述 CAR通道限制的閾值的ARP報文將被丟棄����。步驟803 對上送的ARP報文進行丟棄檢測�,判斷是否有ARP報文丟棄計數(shù)。在步驟803中��,對上送的ARP報文基于ARP協(xié)議檢測獲得報文計數(shù)信息�。根據(jù) 所述報文計數(shù)信息,判斷該報文是否有報文丟棄計數(shù)以及發(fā)生報文丟棄的VLAN信息�。 如果存在報文丟棄計數(shù),則執(zhí)行步驟804;如果沒有報文丟棄計數(shù)�����,則執(zhí)行步驟806;優(yōu) 選地����,進行丟棄檢測時可以采用定時檢測方法。步驟804 對發(fā)生ARP報文丟棄的VLAN內的不同IP地址上送的報文分別進行 CAR限制�,分別設置CAR通道���。所述步驟801-803并非必需��,可以在步驟804直接對不同IP地址的上送報文分別進行CAR限制�,分別設置CAR通道。在步驟804中�����,可以根據(jù)同一個IP地址上送的正常流量報文的速率范圍��,對發(fā) 生報文丟棄的VLAN內不同IP地址上送的報文分別進行CAR限制�,分別設置CAR通 道。所述CAR通道限制的閾值根據(jù)同一個IP地址上送的正常流量報文的速率范圍來設 定��,以過濾超過正常流量報文速率范圍的攻擊流量報文�。同一個IP地址上送的正常流 量報文的速率范圍可以根據(jù)具體應用情形來計算。對于一個子網掩碼為255.255.255.0 的IP地址而言�����,最多可以由254臺主機共享一個IP地址��,由于單個ARP報文的長度 一般小于64字節(jié)(byte)��,據(jù)此可計算出同一個IP地址的峰值ARP報文上送速率為 254X 64X如128kbps (千比特每秒)����。而一般應用場景下���,同一個IP地址上送ARP報文 的主機數(shù)不會達到峰值數(shù)254,若以16臺主機數(shù)作為正常應用的情形���,則同一個IP地址 上送的正常流量報文的速率為16X64X8 = 8kbps�。據(jù)此�,留出適當裕量后,可對發(fā)生報 文丟棄的VLAN內不同IP地址上送的報文分別進行CAR限制�,將CAR通道限制的閾值 設定為 10-12kbps。步驟805:接收到報文后�����,基于IP地址����,對各IP地址上送的報文進行散列處理。
步驟805的應用實例如圖6所示�����,501�、502���、503��、504分別是來自不同的IP地 址上送的報文��;黑色箭頭表示攻擊流量報文��,白色箭頭表示正常流量報文���。各IP地址上 送的報文經過基于IP的散列處理后��,相同IP地址上送的報文進入同一CAR通道����,不同IP 地址上送的報文進入不同的CAR通道����。由于同一個IP地址上送的正常流量報文速率較 小,可以通過步驟804所設定的CAR通道��,進而上送CPU處理���;而同一個IP地址上送 的攻擊流量報文的速率較大��,超過了所述CAR通道限制的閾值����,將在CAR通道被過濾。如圖9所示���,相應地��,本實施例還提供一種泛洪攻擊防范裝置��,包括ARP報文合法性校驗單元901�,用于對上送的ARP報文進行合法性校驗�,過濾 所述上送的ARP報文中的非法報文,所述非法報文包括以下報文中的一種或多種廣播 MAC (Media Access Control)地址的ARP應答報文����,單播MAC地址的ARP請求報文,源 IP地址和目的IP地址不在同一網段的ARP請求/應答報文��,源MAC地址為空的ARP請 求報文�����;ARP報文整體速率CAR限制單元902��,用于對所述上送的ARP報文整體進行 CAR限制;ARP報文丟棄檢測單元903���,用于對所述上送的ARP報文進行丟棄檢測����,判斷 所述報文是否有報文丟棄計數(shù)以及發(fā)生報文丟棄的VLAN信息����;基于IP地址的ARP報文CAR限制單元904���,用于根據(jù)所述ARP報文丟棄檢測單 元獲得的報文丟棄計數(shù)和發(fā)生報文丟棄的VLAN信息����,以及正常流量報文的速率范圍����, 對所述發(fā)生報文丟棄的VLAN內不同IP地址上送的報文分別進行CAR限制,分別設置 CAR通道����,以過濾超過所述速率范圍的攻擊流量報文;ARP報文散列處理單元905���,用于基于IP地址�,對各IP地址上送的ARP報文進 行散列處理,使得相同的IP地址上送的報文進入相同的CAR通道�����,不同的IP地址上送 的報文進入不同的CAR通道���。需要說明的是����,本發(fā)明實施例所述的功能單元901-903并非必需����,可以僅包括功能單元904、905���。本實施例提供的防范方法及防范裝置通過對上送的ARP報文的合法性校驗�、整 體速率CAR限制����,并通過報文丟棄檢測,利用同一個IP地址上送的正常流量報文速率通 常在某一速率范圍內的特點��,對存在報文丟棄的VLAN內各IP地址上送的報文分別進行 CAR限制,并基于IP地址對各IP地址上送的報文進行散列處理�,使得相同IP地址上送 的報文進入同一 CAR通道,不同IP地址上送的報文進入不同的CAR通道�,從而將正常 流量報文和攻擊流量報文分隔,使得攻擊流量報文由于速率較大而被CAR通道過濾�����,而 正常流量報文通過CAR通道上送處理�,保障了受攻擊設備業(yè)務的正常運行�����。實施例三本實施例提供一種泛洪攻擊的防范方法�,其應用場景為ICMP報文泛洪攻擊的情 形。如圖1所示��,終端PCI���、PC2組成虛擬局域網VLAN1�,終端PC3��、PC4組成虛擬局 域網VLAN2��,終端PC5、PC6組成虛擬局域網VLAN3�。各終端通過二層交換機匯聚到 網關,網關設備包括中央處理器CPU�����、網絡處理器NetworkProcessor�����。如圖10所示��,本 實施例提供的泛洪攻擊的防范方法�����,包括步驟1001 對上送的ICMP報文進行合法性校驗�。 在步驟1001中,網絡處理器首先對ICMP報文進行合法性校驗�,初步過濾一些 非法的ICMP報文。所述合法性校驗�,包括預先設定非法ICMP報文的類別,判斷所述 ICMP報文是否屬于所述非法ICMP報文��;若是,則無法通過合法性校驗�,否則,所述 ICMP報文通過合法性校驗��。優(yōu)選地����,可以根據(jù)收到ICMP報文的網關物理接口以及所述 ICMP報文的VLAN標志信息,將沒有訪問權限的VLAN內的IP地址發(fā)送的ICMP報文 過濾��;或者將所述ICMP報文中IP地址���、VLAN標志信息與網關的IP地址���、VLAN標志 信息不匹配的報文過濾����。步驟1002 對上送的ICMP報文整體速率進行CAR限制。如圖11所示��,在步驟1002中����,網絡處理器收到目的IP地址是本機的ICMP報 文后,需要將所述ICMP報文上送到本機的CPU處理。為了過濾攻擊流量報文1102�����,對 上送的ICMP報文整體速率進行CAR限制�����,分別設置CAR通道���。此時�����,攻擊流量報文 1102和正常流量報文1101同時進入上送通道1103內�,當ICMP報文整體速率超過CAR 通道限制的閾值時�,超過所述CAR通道限制的閾值的報文將被丟棄。步驟1003 對上送的ICMP報文進行丟棄檢測����,判斷是否有ICMP報文丟棄計 數(shù)。在步驟1003中�����,對上送的ICMP報文基于ICMP協(xié)議檢測獲得報文計數(shù)信息。 根據(jù)所述報文計數(shù)信息�,判斷該報文是否有報文丟棄計數(shù)。如果存在報文丟棄計數(shù)�����,則 執(zhí)行步驟1004 ����;如果沒有報文丟棄計數(shù),則執(zhí)行步驟1006 �;優(yōu)選地,進行丟棄檢測時可 以采用定時檢測方法�。步驟1004 對發(fā)生報文丟棄的網關接口收到的不同IP地址上送的報文分別進行 CAR限制,設置CAR通道����。在步驟1004中,可以根據(jù)同一個IP地址上送的正常流量報文的速率范圍�,對發(fā) 生報文丟棄的網關接口收到的不同IP地址上送的報文分別進行CAR限制�����,分別設置CAR 通道��,即所述CAR通道限制的閾值根據(jù)同一個IP地址上送的正常流量報文的速率范圍來設定,以過濾超過正常流量報文速率范圍的攻擊流量報文�。同一個IP地址上送的正常 流量報文的速率范圍可以根據(jù)具體應用情形來計算。對于一個子網掩碼為255.255.255.0 的IP地址而言�,最多可以由254臺主機共享一個IP地址,由于單個ICMP報文的長度 一般小于64字節(jié)(byte)���,據(jù)此可計算出同一個IP地址的峰值ICMP報文上送速率為 254\64\如128 ^3(千比特每秒)��。而一般應用場景下�����,同一個IP地址下同時上送 ICMP報文的主機的數(shù)量不會達到峰值數(shù)254���,若以8臺主機數(shù)作為正常應用的情形,則 同一個IP地址上送的正常流量報文的速率為8X64X8 = 4kbps��。據(jù)此����,留出適當裕量 后,可對發(fā)生報文丟棄的VLAN內不同IP地址上送的報文分別進行CAR限制�,將CAR 通道限制的閾值設定為6-8kbps。步驟1005 接收到報文后���,基于IP地址�,對各IP地址上送的報文進行散列處理。步驟1005的應用實例如圖12所示��,1201���、1202�、1203�����、1204分別是來自不同 的 IP地址上送的ICMP報文��;黑色箭頭表示攻擊流量報文�,白色箭頭表示正常流量報文。 各IP地址上送的報文經過基于IP的散列處理后�����,相同IP地址上送的ICMP報文進入同一 CAR通道���,不同IP地址上送的報文進入不同的CAR通道����。由于同一個IP地址上送的正 常流量報文速率通常在某一速率范圍內�,可以通過步驟1004所設定的CAR通道,進而上 送CPU處理��;而同一個IP地址上送的攻擊流量報文的速率較大���,超過了所述CAR通道 限制的閾值�����,將在CAR通道被過濾���。所述步驟1001-1003并非必需,可以在步驟1004直接對不同IP地址的上送報文 分別進行CAR限制�,分別設置CAR通道。如圖13所示��,相應地����,本實施例還提供一種泛洪攻擊防范裝置,包括ICMP報文合法性校驗單元1301���,用于對上送的ICMP報文進行合法性校驗�,過 濾所述上送的ICMP報文中的非法報文,所述非法報文包括沒有訪問權限的VLAN內 的IP地址發(fā)送的ICMP報文過濾����;或者將所述ICMP報文中IP地址、VLAN標志信息與 網關的IP地址����、VLAN標志信息不匹配的報文;ICMP報文整體速率CAR限制單元1302��,用于對所述上送的ICMP報文整體速 率進行CAR限制�。ICMP報文丟棄檢測單元1303,用于對所述上送的ICMP報文進行丟棄檢測�����,判 斷所述報文是否有報文丟棄計數(shù)�;基于IP地址的ICMP報文CAR限制單元1304,用于根據(jù)所述ICMP報文丟
棄檢測單元獲得的報文丟棄計數(shù)以及正常流量報文的速率范圍�,對所述發(fā)生報文丟棄的 VLAN內不同IP地址上送的報文分別進行CAR限制,分別設置CAR通道���,以過濾超過 所述速率范圍的攻擊流量報文�;ICMP報文散列處理單元1305,用于基于IP地址����,對各IP地址上送的ICMP報 文進行散列處理�����,使得相同的IP地址上送的報文進入相同的CAR通道��,不同的IP地址 上送的報文進入不同的CAR通道�����。需要說明的是���,本實施例所述的功能單元1301-1303并非必需��,可以僅包括功 能單元1304��、1305�。此外��,本實施例提供的泛洪攻擊的防范方法及防范裝置同樣適用于 TCP SYN泛洪攻擊的情形�����。
本實施例提供的一種泛洪攻擊的防范方法及防范裝置通過對上送的ICMP報文的 合法性校驗、整體速率CAR限制��,并通過報文丟棄檢測�����,利用同一個IP地址上送的正 常流量報文速率通常在某一速率范圍內的特點����,對存在報文丟棄的網關接口收到的各IP 地址上送的報文分別進行CAR限制,并基于IP地址對各IP地址上送的報文進行散列處 理��,使得相同IP地址上送的報文進入同一 CAR通道�����,不同IP地址上送的報文進入不同 的CAR通道�,從而將正常流量報文和攻擊流量報文分隔,使得攻擊流量報文由于速率較 大而被CAR通道過濾��,而正常流量報文通過CAR通道上送處理�,保障了受攻擊設備業(yè)務 的正常運行。本領域普通技術人員可以理解實現(xiàn)上述方法實施例的全部或部分步驟可以 通過程序指令相關的硬件來完成����,前述的程序可以存儲于一計算機可讀取存儲介質中�����, 該程序在執(zhí)行時�����,執(zhí)行包括上述方法實施例的步驟;而前述的存儲介質包括ROM���、 RAM�、磁碟或者光盤等各種可以存儲程序代碼的介質�。
以上所述,僅為本發(fā)明的具體實施方式
����,但本發(fā)明的保護范圍并不局限于此, 任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內�,可輕易想到的變化或替 換,都應涵蓋在本發(fā)明的保護范圍之內���。因此���,本發(fā)明的保護范圍應該以權利要求的保 護范圍為準�。
權利要求
1.一種泛洪攻擊的防范方法��,其特征在于��,包括對由不同的互聯(lián)網協(xié)議IP地址上送的報文分別進行約定訪問速率CAR限制�; 對所述上送的報文進行Ha sh哈希散列處理,使得相同的IP地址上送的報文進入相 同的CAR通道����,不同的IP地址上送的報文進入不同的CAR通道;所述CAR通道由所述 CAR限制設置�����。
2.根據(jù)權利要求1所述的方法�,其特征在于,所述對由不同的互聯(lián)網協(xié)議IP地址上 送的報文分別進行約定訪問速率CAR限制之前�����,還包括對所述上送的報文整體速率進 行CAR限制�;所述對由不同的互聯(lián)網協(xié)議IP地址上送的報文分別進行約定訪問速率CAR限制,具 體包括當所述上送的報文存在報文丟棄計數(shù)時�����,則對由不同的IP地址上送的報文分別 進行CAR限制。
3.根據(jù)權利要求2所述的方法�,其特征在于,在所述對所述上送的報文整體速率進行 CAR限制之前還包括對所述上送的報文進行合法性校驗�,過濾所述上送的報文中的非 法報文;所述非法報文包括以下報文中的一種或多種廣播介質訪問控制地址的地址解析協(xié)議應答報文���, 單播介質訪問控制地址的地址解析協(xié)議請求報文����, 源IP地址和目的IP地址不在同一網段的地址解析協(xié)議請求/應答報文�����, 源介質訪問控制地址為空的地址解析協(xié)議請求報文�, 沒有訪問權限的虛擬局域網內的IP地址發(fā)送的互聯(lián)網控制信息協(xié)議報文���, 上送的報文的IP地址����、虛擬局域網標志信息與網關的IP地址���、虛擬局域網標志信息 不匹配的報文�。
4.根據(jù)權利要求1所述的方法,其特征在于�����,所述上送的報文包括地址解析協(xié)議報 文��,或互聯(lián)網控制信息協(xié)議報文�����,或傳輸控制協(xié)議同步報文�����。
5.根據(jù)權利要求1所述的方法��,其特征在于�,所述CAR限制的閾值根據(jù)正常流量報 文的速率范圍設定。
6.—種泛洪攻擊防范裝置�����,其特征在于�����,包括基于IP地址的CAR限制單元,用于對由不同的IP地址上送的報文分別進行CAR限制�����;散列處理單元�����,用于基于IP地址�,對各IP地址上送的報文進行散列處理,使得相同 的IP地址上送的報文進入相同的CAR通道�����,不同的IP地址上送的報文進入不同的CAR 通道��;所述CAR通道由所述基于IP地址的CAR限制單元設置���。
7.—種泛洪攻擊防范裝置,其特征在于����,包括報文整體速率CAR限制單元����,用于對所述上送的報文整體速率進行CAR限制���; 報文丟棄檢測單元��,用于對所述上送的報文進行丟棄檢測����,判斷所述報文是否有報 文丟棄計數(shù)����;基于IP地址的CAR限制單元,用于根據(jù)所述報文丟棄檢測單元獲得的報文丟棄計數(shù) 以及正常流量報文的速率范圍�����,對存在報文丟棄計數(shù)的網關接口收到的不同IP地址上送 的報文分別進行CAR限制���,分別設置CAR通道����,以過濾超過所述速率范圍的攻擊流量報 文�����;散列處理單元,用于基于IP地址���,對所述各IP地址上送的報文進行散列處理���,使得 相同的IP地址上送的報文進入相同的CAR通道,不同的IP地址上送的報文進入不同的 CAR通道�。
8.根據(jù)權利要求7所述的裝置,其特征在于�,還包括報文合法性校驗單元,用于對所述各IP地址上送的報文進行合法性校驗���,過濾所述 上送的報文中的非法報文����;所述非法報文包括以下報文中的一種或多種 廣播介質訪問控制地址的地址解析協(xié)議應答報文�, 單播介質訪問控制地址的地址解析協(xié)議請求報文, 源IP地址和目的IP地址不在同一網段的地址解析協(xié)議請求/應答報文�����, 源介質訪問控制地址為空的地址解析協(xié)議請求報文����, 沒有訪問權限的虛擬局域網內的IP地址發(fā)送的互聯(lián)網控制信息協(xié)議報文, 上送的報文的IP地址��、虛擬局域網標志信息與網關的IP地址����、虛擬局域網標志信息 不匹配的報文。
全文摘要
本發(fā)明實施例提供一種泛洪攻擊的防范方法�,包括對不同IP地址上送的報文分別進行CAR限制,分別設置CAR通道��;基于IP地址��,對各IP地址上送的報文進行散列處理���。本發(fā)明實施例還提供一種泛洪攻擊防范裝置���,包括基于IP地址的CAR限制單元和散列處理單元。通過本發(fā)明實施例�����,可以將正常流量報文和攻擊流量報文分隔,使得攻擊流量報文由于速率較大而被CAR通道過濾���,而正常流量報文通過CAR通道上送CPU處理����,保障了受攻擊設備業(yè)務的正常運行��。
文檔編號H04L29/06GK102014109SQ20091019003
公開日2011年4月13日 申請日期2009年9月8日 優(yōu)先權日2009年9月8日
發(fā)明者杜晟 申請人:華為技術有限公司