一种在物联网中基于多点防御的SSDP反射攻击的防御方法与防御装置制造方法及图纸

技术编号:19390977 阅读:29 留言:0更新日期:2018-11-10 02:48
本发明专利技术实施例提供了一种物联网中基于多点防御的SSDP反射攻击防御方法。本发明专利技术的一种物联网中基于多点防御的SSDP反射攻击防御方法,在僵尸机、服务提供者、受害者等多个网络位置部署防御机制,如图1所示。设定僵尸机发送相同SSDP请求报文的时间间隔,以降低单位时间内报文发送次数;设定服务提供者相同响应报文的时间间隔,以降低单位时间内响应次数;设置SSDP服务响应报文的合理TTL值,限制远距离传送SSDP服务响应报文;设定受害者接收相同报文的时间间隔,丢弃相同的服务响应报文。本发明专利技术可在不影响网络服务效率的前提下降低网络流量,因此不需要事先检测出SSDP反射攻击的发生。本发明专利技术实施例还提供一种物联网中基于多点防御的SSDP反射攻击装置。

A defense method and defense device for SSDP reflection attack based on multi-point defense in Internet of things

The embodiment of the invention provides a SSDP reflection attack defense method based on multi-point defense in the Internet of things. An SSDP reflection attack defense method based on multi-point defense in the Internet of Things of the present invention deploys a defense mechanism in multiple network locations such as botnets, service providers, victims, etc., as shown in Figure 1. Set the time interval for botnets to send the same SSDP request message in order to reduce the number of messages sent per unit time; set the time interval for service providers to respond to the same message in order to reduce the number of responses per unit time; set the reasonable TTL value for SSDP service response message to limit the long-distance transmission of SSDP service response message; The time interval of receiving the same message is discarded and the same service response message is discarded. The invention can reduce network traffic without affecting network service efficiency, so SSDP reflection attack does not need to be detected beforehand. The embodiment of the invention also provides a SSDP reflection attack device based on multi-point defense in the Internet of things.

【技术实现步骤摘要】
一种在物联网中基于多点防御的SSDP反射攻击的防御方法与防御装置
本专利技术涉及一种基于SSDP协议的反射攻击防御方法与防御装置,特别涉及一种存在于物联网环境中基于多点防御的SSDP反射攻击的防御方法与防御装置。
技术介绍
DDoS攻击是网络空间中一种常用的有效的攻击手段,该攻击方式可以在短时间内通过控制大量的僵尸机不断发送各种请求给受害者,从而导致受害者的网络流量激增直至无法为外界提供正常服务。SSDP,即简单服务发现协议(SSDP,SimpleServiceDiscoveryProtocol),是一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一。当基于SSDP协议的智能设备接收到SSDP请求数据报文时,若该设备可以提供请求中的服务,则该设备会向发送请求的IP地址发送SSDP响应数据报文,并提供相应的服务。随着物联网的广泛应用,越来越多的基于SSDP协议的智能设备(也称为服务提供者或反射器)接入到了网络中,这使得攻击者可以利用SSDP协议的漏洞进行DDoS攻击。基于SSDP协议的DDoS反射攻击,在服务提供者接收到SSDP请求数据报文之后,返回比请求报文大多倍的SSDP响应数据报文,这些报文的源IP地址被伪造成受害者的IP地址,从而响应报文发送至受害者而非请求报文的发送者,从而达到利用服务提供者来向受害者发送大量的SSDP响应数据报文,阻塞受害者网络流量并使其停止服务的目的,如图2所示。近年来,基于SSDP协议的DDoS反射攻击在所有DDoS攻击中持续占据首位,该攻击手段易于实现,难以追踪,破坏性大,持续威胁着全球的网络安全体系。针对DDoS反射攻击的防御主要有5种方式:1)在路由器上进行防御该方法大多在路由器上进行流量监控,当监测到网络流量达到异常值时,丢弃异常来源的数据包以减少网络流量。该方法对于传统DDoS攻击具有较好的防御效果,但由于基于SSDP协议的DDoS反射攻击的请求数据包伪造了源IP地址,因此该方法无法正确识别并丢弃DDoS攻击数据包。2)添加专用设备3)该方法在网络中添加一些专用设备用于监测网络流量异常,并且监测攻击来源,从而切断攻击来源的网络流量,阻止DDoS攻击继续进行。在服务提供者上进行防御该方法在服务提供者上进行流量监控,当监测出DDoS攻击时则阻止该智能设备发送响应数据包。4)使用软件定义的网络结构进行防御该方法在软件定义的网络结构上进行流量监测,当监测到受害者遭到DDoS攻击时,便减少提供给该受害者的网络资源,将网络资源更多地提供给其它主机。5)在受害者上进行防御该方法通过对受害者进行流量监控,当监测到受害者遭到DDoS攻击时,对接收到的攻击数据包进行丢包,从而缓解受害者的网络压力。以上方法首先识别DDoS攻击,然后进行防御,识别过程需要大量时间和空间开销,更重要的是识别准确率不高,致使防御效果不好。另外限制网络流量和网络资源,会影响服务提供者和受害者节点正常的网络服务。
技术实现思路
为了解决现有的技术问题,本专利技术提供了一种在物联网中基于多点防御的SSDP反射攻击防御方法,在近攻击方(由攻击者控制的僵尸机)、服务提供者、受害者等多个网络位置部署防御机制,通过简单代码监控网络中各角色的发送、处理数据报文事件,并对其加以限制,如图1所示。该防御装置在启动时就在不影响网络服务效率的前提下降低网络流量,因此在对SSDP反射攻击防御时,不需要事先检测出SSDP反射攻击的发生,便可以在不影响网络服务效率的前提下降低网络中的数据流量,避免了因SSDP反射攻击而引起的网络流量激增,从而大大提高了防御SSDP反射攻击的效率,提高了整个网络的安全性。本专利技术所采用的技术方案如下:一种在物联网中基于多点防御的SSDP反射攻击防御方法,包括以下组成部分:A.在近攻击方(由攻击者控制的僵尸机)进行防御部署。设定僵尸机发送相同SSDP请求报文的时间间隔。B.在服务提供者上进行防御部署。i.设定服务提供者接收相同SSDP请求数据报文的时间间隔。ii.设定服务提供者响应相同SSDP请求数据报文的时间间隔。iii.设定服务提供者响应SSDP请求数据报文的TTL值。C.在受害者上进行防御部署。设定受害者接收相同响应数据报文的时间间隔。组成部分A中所述的防御方法,在部署该防御机制的主机上设定对外发送相同SSDP请求数据报文的时间间隔,在设定的时间范围内,只发送一次同一种类型的SSDP请求数据报文,以降低单位时间内SSDP请求报文发送次数。组成部分B(i)中所述的防御方法,记录SSDP请求数据报文的请求来源IP地址和请求类型,若设定的时间间隔内有多条来自同一IP地址的同一SSDP请求数据报文,则丢弃重复的SSDP数据报文,以降低单位时间内服务提供者接收到的SSDP请求数据报文,过滤大量攻击数据流量。组成部分B(ii)中所述的防御方法,在服务提供者发送SSDP响应数据报文时,限制其发送间隔,在设定的时间间隔内只响应一次同一来源与同一类型的SSDP请求数据报文,以降低单位时间内SSDP响应数据报文的发送次数。组成部分B(iii)中所述的防御方法,设定服务提供者所发送的SSDP响应数据报文的TTL值,当SSDP响应数据报文的传输过程中跳数超过TTL值时则会被网络设备丢弃,限制远距离传送SSDP服务响应数据报文,防范远距离基于SSDP协议的DDoS攻击。组成部分C中所述的防御方法,记录SSDP响应数据报文的来源IP地址和响应类型,如果短时间内多次接收来自同一IP地址的同一种SSDP响应数据报文,则丢弃重复的数据报文。减少受害者需要处理的攻击数据包,降低其网络流量与处理器负担。另一方面,本专利技术提供了一种在物联网中基于多点防御的SSDP反射攻击防御装置,包括以下模块:近攻击方(由攻击者控制的僵尸机)防御模块:设定主机对外发送相同SSDP请求数据报文的时间间隔,经过设定的时间间隔后才可再次发送同一种类型的SSDP请求数据报文。服务提供者防御模块:记录SSDP请求数据报文的请求来源IP地址和请求类型,若设定的时间间隔内有多次来自同一IP地址的同一SSDP请求数据报文,则丢弃重复的SSDP数据报文;在服务提供者发送SSDP响应数据报文时,限制其发送间隔,在设定的时间间隔内只响应一次同一来源与同一类型的SSDP请求数据报文;设定服务提供者所发送的SSDP响应数据报文的TTL值,当SSDP响应数据报文的传输过程中跳数超过TTL值时则会被网络设备丢弃。受害者防御模块:记录SSDP响应数据报文的来源IP地址和响应类型,如果短时间内多次接收来自同一IP地址的同一种SSDP响应数据报文,则丢弃重复的数据报文。本专利技术提供的技术方案以及防御装置带来的有益效果是:在上述的组成部分中,由于该防御装置在启动时就在不影响网络服务效率的前提下通过限制网络角色发送、处理SSDP数据报文的时间间隔以及SSDP数据报文发送的TTL值来降低网络流量,因此在对SSDP反射攻击防御时,不需要事先识别出SSDP反射攻击的发生,便可以在不影响网络服务效率的前提下降低网络中的数据流量,避免了因SSDP反射攻击而引起的网络流量激增,从而大大提高了防御SSDP反射攻击的效率,提高了整个网络的安全性。附图说明为了更清楚的说明本专利技术实施例中的技术方案,下面本文档来自技高网
...

【技术保护点】
1.一种在物联网中基于多点防御的SSDP反射攻击防御方法,包括以下几个部分:A.在近攻击方(由攻击者控制的僵尸机)进行防御部署。设定僵尸机发送相同SSDP请求报文的时间间隔;B.在服务提供者上进行防御部署:i.设定服务提供者接收相同SSDP请求数据报文的时间间隔;ii.设定服务提供者响应相同SSDP请求数据报文的时间间隔;iii.设定服务提供者响应SSDP请求数据报文的TTL值;C.在受害者上进行防御部署。设定受害者接收相同响应数据报文的时间间隔。

【技术特征摘要】
1.一种在物联网中基于多点防御的SSDP反射攻击防御方法,包括以下几个部分:A.在近攻击方(由攻击者控制的僵尸机)进行防御部署。设定僵尸机发送相同SSDP请求报文的时间间隔;B.在服务提供者上进行防御部署:i.设定服务提供者接收相同SSDP请求数据报文的时间间隔;ii.设定服务提供者响应相同SSDP请求数据报文的时间间隔;iii.设定服务提供者响应SSDP请求数据报文的TTL值;C.在受害者上进行防御部署。设定受害者接收相同响应数据报文的时间间隔。2.根据权利要求1中所述的一种在物联网中基于多点防御的SSDP反射攻击防御方法,其特征在于,所述的部分A中,设定主机对外发送相同SSDP请求数据报文的时间间隔,经过设定的时间间隔后才可再次发送同一种类型的SSDP请求数据报文,以降低单位时间内SSDP请求报文发送次数。3.根据权利要求1中所述的一种在物联网中基于多点防御的SSDP反射攻击防御方法,其特征在于,所述的部分B(i)中,记录SSDP请求数据报文的请求来源IP地址和请求类型,若设定的时间间隔内有多次来自同一IP地址的同一SSDP请求数据报文,则丢弃重复的SSDP数据报文,以降低单位时间内服务提供者接收到的SSDP请求数据报文,过滤大量攻击数据流量。4.根据权利要求1中所述的一种在物联网中基于多点防御的SSDP反射攻击防御方法,其特征在于,所述的部分B(ii)中,在服务提供者发送SSDP响应数据报文时,限制其发送间隔,在设定的时间间隔内只响应一次同一来源与同一类型的SSDP请求数据报文,以降低单位时间内SSDP响应数据报文的发送次数。5.根据权利要求1中所述的一种在物联网中基于...

【专利技术属性】
技术研发人员:刘昕曹帅张孝苗周杰韩张卫山
申请(专利权)人:中国石油大学华东
类型:发明
国别省市:山东,37

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1