The present invention provides a method and device for rapid detection of SYN Flood attacks, and relates to the technical field of network information security, the method includes: obtaining the TCP protocol session information, the TCP protocol session information for at least one session information between the target IP and monitoring host; the TCP protocol session information analysis, get SYN request the number of packets in the number; judgment meets the preset conditions, the SYN request to the source IP address and physical address are analyzed to determine the source IP address and physical address is in line with the average distribution; was determined with the average distribution, the target number of sessions to determine the current time monitoring whether the host is SYN Flood attacks, based on the target number of sessions for the current time in network traffic all the IP address in the application layer session flow session number zero Technical problems of high cost, ease the existing detection methods of the Flood technology in SYN.
【技术实现步骤摘要】
快速检测SYNFlood攻击的方法及装置
本专利技术涉及网络信息安全的
,尤其是涉及一种快速检测SYNFlood攻击的方法及装置。
技术介绍
SYNFlood是一种广为人知的DoS(拒绝服务攻击),SYNFlood是DDoS(分布式拒绝服务攻击)的方式之一。这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。SYNFlood攻击原理如图1所示。一个正常的TCP连接需要进行三次握手操作。首先,客户端向服务器发送一个SYN数据包。而后,服务器分配一个控制块,并响应一个SYN+ACK数据包。服务器随后将等待客户端发送一个ACK数据包给它。如果服务器没有收到ACK数据包,TCP连接将处于半开状态,直到服务器从客户端收到ACK数据包,或者因为time-to-live(TTL)计时器超时为止,超时时间可以在系统参数中自行调节,通常为几分钟到半小时。在连接超时的情况下,事先分配的控制块将被释放。当一个攻击者有意地、重复地向服务器发送SYN数据包,但不对服务器发回的SYN+ACK数据包答复时,就会发生SYNFlood攻击。不同源地址的SYN包会被分配到不同的数据区。因此攻击者都会使用大量的伪造IP地址来保证SYNFlood攻击效果。SYNFlood攻击时服务器将会失去对资源的控制,无法建立任何新的合法TCP连接。目前已有SYNFlood的方法大多数是根据TCP协议包头中的SYN和ACK标志来精确判断半连接状态数量。这种方法对数据要求更多,需要数据采集设备能够详细解析TCP报头,而此类设备价格比较高。 ...
【技术保护点】
一种快速检测SYN Flood攻击的方法,其特征在于,包括:获取TCP协议会话信息,其中,所述TCP协议会话信息为目标IP与监测主机之间的至少一个会话信息;对所述TCP协议会话信息进行分析,得到SYN请求数据包的数量;在判断出所述数量满足预设条件的情况下,对SYN请求中的源IP地址和物理地址进行分析,以确定所述源IP地址和所述物理地址是否符合平均分布;在确定出符合所述平均分布的情况下,基于目标会话数量确定当前时刻所述监测主机是否被SYN Flood攻击,其中,所述目标会话数量为当前时刻网络流量中的全部IP地址会话中应用层流量为零的会话数量。
【技术特征摘要】
1.一种快速检测SYNFlood攻击的方法,其特征在于,包括:获取TCP协议会话信息,其中,所述TCP协议会话信息为目标IP与监测主机之间的至少一个会话信息;对所述TCP协议会话信息进行分析,得到SYN请求数据包的数量;在判断出所述数量满足预设条件的情况下,对SYN请求中的源IP地址和物理地址进行分析,以确定所述源IP地址和所述物理地址是否符合平均分布;在确定出符合所述平均分布的情况下,基于目标会话数量确定当前时刻所述监测主机是否被SYNFlood攻击,其中,所述目标会话数量为当前时刻网络流量中的全部IP地址会话中应用层流量为零的会话数量。2.根据权利要求1所述的方法,其特征在于,对所述TCP协议会话信息进行分析,得到SYN请求数据包的数量包括:按照预设单位时间段对所述TCP协议会话信息进行划分,得到至少一个所属于不同预设单位时间段的目标TCP协议会话信息;基于所述目标TCP协议会话信息统计每个所述预设单位时间段内所述SYN请求数据包的会话请求数量,得到多个会话请求数量;判断每个所述会话请求数量是否满足所述预设条件,其中,在判断出满足的情况下,对每个所述预设单位时间段内SYN请求中的源IP地址和物理地址进行分析。3.根据权利要求2所述的方法,其特征在于,判断每个所述会话请求数量是否满足所述预设条件包括:判断每个所述会话请求数量是否大于最大值基线;在判断出是的情况下,则判断每个所述会话请求数量是否大于N倍的最大值基线,其中,N大于1;在判断出是的情况下,判断每个所述会话请求数量是否大于M倍的平均值基线;在判断出是的情况下,确定所述会话请求数量满足所述预设条件,其中,M大于1。4.根据权利要求3所述的方法,其特征在于,在基于所述目标TCP协议会话信息统计每个所述预设单位时间段内SYN请求数据包的会话请求数量之后,所述方法还包括:将所述多个会话请求数量中最大会话请求数量作为所述最大值基线;将所述多个会话请求数量的平均值作为所述平均值基线。5.根据权利要求3所述的方法,其特征在于,所述方法还包括:当满足以下至少一种条件时,对所述最大值基线和所述平均值基线进行更新:在判断出所述会话请求数量不大于N倍的所述最大值基线的情况下;在判断出所述会话请求数量不大于M倍的所述平均值基线的情况下;在确定出不符合所述平均分布的情况下;以及,在确定出所述当前时刻所述监测...
【专利技术属性】
技术研发人员:莫凡,范渊,刘博,龙文洁,
申请(专利权)人:杭州安恒信息技术有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。