一种分布式监测的洪水攻击检测方法技术

本发明专利技术公开了一种分布式监测的洪水攻击检测方法，包括，S1：在服务器的网卡驱动底层设置一监测模块，该监测模块包括IP数据包的转发模块、阻断模块及统计模块；S2：监测模块监测洪水攻击报文，并根据监测结果转发或阻断IP数据包。S2还包括了S21：监测模块创建第一哈希数组及第二哈希数组；S22：监测模块采集SYN数据包信息，并储存到第一哈希数组中；S23：监测模块采集ACK数据包信息，并储存到第二哈希数组中；S24：监测模块检索第二哈希数组及第一哈希，并判断出攻击源。本发明专利技术通过对SYN及ACK数据包的系列化并哈希加密转换得到洪水攻击的判定特征，进而有效判定洪水攻击来源，保障网络安全及服务器的稳定性。

A distributed monitoring method for flood attack detection

The invention discloses a flood attack detection method, a distributed monitoring includes: S1, the underlying set of a monitoring module in the server network card driver, the monitoring module comprises a transmitting module, blocking module and statistics module of IP data packet; S2: monitoring module of flood attack packets, and according to the monitoring results forwarded or blocked IP data package. S2 S21 also includes: first and two hash hash array creates an array of monitoring module; S22: SYN monitor module collects data packet information, which is stored in the first hash array; S23: ACK monitor module collects data packet information, which is stored in the second hash array; S24: monitoring module to retrieve the second hash array and the first hash, and judge the source of the attack. The invention obtains the decision characteristics of flood attack by serialization and hash encryption transformation of SYN and ACK data packets, and then effectively determines the source of flood attacks, and ensures network security and server stability.

【技术实现步骤摘要】
一种分布式监测的洪水攻击检测方法
本专利技术涉及洪水攻击检测领域，尤其涉及一种分布式监测的洪水攻击检测方法。
技术介绍
SYN洪水攻击(SYN_FLOOD)是一种广为人知的拒绝服务攻击(DOS)与分布式拒绝服务攻击(DDos)的方式之一，其利用了TCP/IPv4协议的缺陷，发送大量伪造的TCP连接请求，迫使服务器端短时间内发出大量的SYN+ACK应答数据包，从而使服务器资源耗尽(CPU满负荷或内存不足)。TCP连接的建立都是从三次握手开始的，1)客户端会发送一个包含同步(Synchronize，SYN)标志的TCP报文，该同步报文会包含了源地址、源端口、目的地址、目的端口、初始系列号等信息；2)服务器在收到客户端的同步报文后，会返回给客户端一个同步+确认报文(Acknowledgment，ACK)，该同步+确认报文也包含了源地址、源端口、目的地址、目的端口、初始系列号等信息；3)当客户端接收到同步+确认报文后，会再返回给服务器一个确认报文，此时一个TCP连接完成。如果服务器发出同步+确认报文后，没有收到相应的客户端的确认报文时，会在30s-2min内不断重试发送同步+确认报文，如果在这个期间一直没收到客户端的确认报文则丢弃这个未完成的连接并释放相应的系统资源。洪水攻击使服务器打开了大量的半开连接请求，使正常的客户请求无法请求。在互联网相当普及的今天，要让联网的服务器稳定地运行，及时做好应对洪水攻击的检测工作成为企业网络安全的基本诉求。目前，洪水攻击的检测方法一般为简单地统计报文中同步报文数量，当单位时间内同步报文数量大于预先设定的阈值时，就确定服务器遭受洪水攻击。这种仅仅是统计SYN数量的监测方式误判率很大，往往会统计到正常的业务数据包，给正常业务造成一定的影响。
技术实现思路
本专利技术的目的在于克服现有技术中的缺点与不足，提供一种分布式监测的洪水攻击检测方法。本专利技术是通过以下技术方案实现的：一种分布式监测的洪水攻击检测方法，包括如下步骤：S1：在每一台服务器的网卡驱动底层设置一监测模块，该监测模块包括IP数据包的转发模块、阻断模块及统计模块；S2：监测模块单向监测流进服务器网卡的数据报文，并根据监测结果转发或阻断IP数据包，该步骤S2包括如下步骤：S21：监测模块创建第一哈希数组及第二哈希数组；S22：监测模块采集来自互联网的SYN数据包(同步请求数据包)并提取SYN数据包信息，并对数据包中的IP五元组进行系列化及哈希加密转换得到第一哈希值，该第一哈希值储存到第一哈希数组中；S23：监测模块采集来自互联网的ACK数据包(所述同步请求数据包对应的确认数据包)并提取ACK数据包信息，并对数据包中的IP五元组进行系列化及哈希加密转换得到第二哈希值，该第二哈希值储存到第二哈希数组中；S24：监测模块检索第二哈希数组，如果存在第二哈希值与第一哈希值相同，则为正常数据包、否则为洪水攻击数据包，监测模块将所述第一哈希值反系列化及反哈希加密转换后得到SYN数据包中的攻击源地址，监测模块阻断该攻击源地址对服务器的访问。进一步，所述步骤S22中的哈希加密转换采用MD5加密算法。进一步，所述步骤S22中，所述IP五元组为SYN数据包的源地址、源端口、目的地址、目的端口、协议标识。进一步，所述步骤S23中，所述IP五元组为ACK数据包的源地址、源端口、目的地址、目的端口、协议标识。相比于现有技术，本专利技术的有益效果是：本专利技术在每一台服务器的网卡驱动底层设置监测模块，分布式部署监测模块有效减轻了网关对进出数据流的处理能力，监测模块采集来自互联网的SYN数据包及ACK数据包，并利用第一哈希数组储存SYN数据包信息、利用第二哈希数组储存ACK数据包信息，通过对SYN数据包及ACK数据包的五元组的系列化并哈希加密转换得到洪水攻击的判定特征，进而有效判定洪水攻击发起端的来源，并通过监测模块的阻断模块阻断攻击源，有效保障网络安全及服务器的稳定性。为了能更清晰的理解本专利技术，以下将结合附图说明阐述本专利技术的较佳的实施方式。附图说明图1是本专利技术中的监测模块部署的网络拓扑示意图。图2是本专利技术的流程图。图3是图2中步骤S2的流程图。具体实施方式请同时参阅图1至图3，图1是本专利技术中的监测模块部署的网络拓扑示意图，图2是本专利技术的流程图，图3是图2中步骤S2的流程图。见图1和图2，一种分布式监测的洪水攻击检测方法，包括如下步骤：S1：在每一台服务器的网卡驱动底层设置一监测模块，该监测模块包括IP数据包的转发模块、阻断模块及统计模块，转发模块将进入监测模块的数据包转发到服务器、阻断模块将来自洪水攻击客户端的数据包阻断、统计模块监测并统计进入该监测模块的各种数据包；S2：监测模块单向监测流进服务器网卡的数据报文，并根据监测结果转发或阻断IP数据包，该步骤S2包括如下步骤：(见图3)S21：监测模块创建第一哈希数组及第二哈希数组；S22：监测模块采集来自互联网的SYN数据包(同步请求数据包)并提取SYN数据包信息，并对数据包中的IP五元组进行系列化及哈希加密转换得到第一哈希值，该第一哈希值储存到第一哈希数组中，所述SYN数据包为TCP/IP客户端和服务器的第一次握手数据包，所述IP五元组为SYN数据包的源地址、源端口、目的地址、目的端口、协议标识；S23：监测模块采集来自互联网的ACK数据包(所述同步请求数据包对应的确认数据包)并提取ACK数据包信息，并对数据包中的IP五元组进行系列化及哈希加密转换得到第二哈希值，该第二哈希值储存到第二哈希数组中，所述ACK数据包为客户端发出的TCP/IP客户端与服务器第三次握手时的确认数据包；S24：监测模块检索第二哈希数组，如果存在第二哈希值与第一哈希值相同，则为正常数据包，否则为洪水攻击数据包，监测模块将所述第一哈希值反系列化及反哈希加密转换后得到SYN数据包中的攻击源地址，监测模块阻断该攻击源地址对服务器的访问。本专利技术的分布式监测的洪水攻击检测方法根据洪水攻击的特征，即发起攻击的客户端不会发出ACK数据包来对服务器进行应答，从而判断出洪水攻击来源并阻断该来源的数据包，达到防护的目的。本专利技术并不局限于上述实施方式，如果对本专利技术的各种改动或变形不脱离本专利技术的精神和范围，倘若这些改动和变形属于本专利技术的权利要求和等同技术范围之内，则本专利技术也意图包含这些改动和变形。本文档来自技高网...

【技术保护点】
一种分布式监测的洪水攻击检测方法，其特征在于，包括如下步骤：S1：在每一台服务器的网卡驱动底层设置一监测模块，该监测模块包括IP数据包的转发模块、阻断模块及统计模块；S2：监测模块单向监测流进服务器网卡的数据报文，并根据监测结果转发或阻断IP数据包，该步骤S2包括如下步骤：S21：监测模块创建第一哈希数组及第二哈希数组；S22：监测模块采集来自互联网的SYN数据包并提取SYN数据包信息，并对数据包中的IP五元组进行系列化及哈希加密转换得到第一哈希值，该第一哈希值储存到第一哈希数组中；S23：监测模块采集来自互联网的ACK数据包并提取ACK数据包信息，并对数据包中的IP五元组进行系列化及哈希加密转换得到第二哈希值，该第二哈希值储存到第二哈希数组中；S24：监测模块检索第二哈希数组，如果存在第二哈希值与第一哈希值相同，则为正常数据包、否则为洪水攻击数据包，监测模块将所述第一哈希值反系列化及反哈希加密转换后得到SYN数据包中的攻击源地址，监测模块阻断该攻击源地址对服务器的访问。

【技术特征摘要】
1.一种分布式监测的洪水攻击检测方法，其特征在于，包括如下步骤：S1：在每一台服务器的网卡驱动底层设置一监测模块，该监测模块包括IP数据包的转发模块、阻断模块及统计模块；S2：监测模块单向监测流进服务器网卡的数据报文，并根据监测结果转发或阻断IP数据包，该步骤S2包括如下步骤：S21：监测模块创建第一哈希数组及第二哈希数组；S22：监测模块采集来自互联网的SYN数据包并提取SYN数据包信息，并对数据包中的IP五元组进行系列化及哈希加密转换得到第一哈希值，该第一哈希值储存到第一哈希数组中；S23：监测模块采集来自互联网的ACK数据包并提取ACK数据包信息，并对数据包中的IP五元组进行系列化及哈希加密转换得到第二哈希值，该第二哈希值储存到第二哈希数组中；S24：监...

【专利技术属性】
技术研发人员：袁兴飚，
申请(专利权)人：台山市金讯互联网络科技有限公司，
类型：发明
国别省市：广东,44