The invention discloses a flood attack detection method, a distributed monitoring includes: S1, the underlying set of a monitoring module in the server network card driver, the monitoring module comprises a transmitting module, blocking module and statistics module of IP data packet; S2: monitoring module of flood attack packets, and according to the monitoring results forwarded or blocked IP data package. S2 S21 also includes: first and two hash hash array creates an array of monitoring module; S22: SYN monitor module collects data packet information, which is stored in the first hash array; S23: ACK monitor module collects data packet information, which is stored in the second hash array; S24: monitoring module to retrieve the second hash array and the first hash, and judge the source of the attack. The invention obtains the decision characteristics of flood attack by serialization and hash encryption transformation of SYN and ACK data packets, and then effectively determines the source of flood attacks, and ensures network security and server stability.
【技术实现步骤摘要】
一种分布式监测的洪水攻击检测方法
本专利技术涉及洪水攻击检测领域,尤其涉及一种分布式监测的洪水攻击检测方法。
技术介绍
SYN洪水攻击(SYN_FLOOD)是一种广为人知的拒绝服务攻击(DOS)与分布式拒绝服务攻击(DDos)的方式之一,其利用了TCP/IPv4协议的缺陷,发送大量伪造的TCP连接请求,迫使服务器端短时间内发出大量的SYN+ACK应答数据包,从而使服务器资源耗尽(CPU满负荷或内存不足)。TCP连接的建立都是从三次握手开始的,1)客户端会发送一个包含同步(Synchronize,SYN)标志的TCP报文,该同步报文会包含了源地址、源端口、目的地址、目的端口、初始系列号等信息;2)服务器在收到客户端的同步报文后,会返回给客户端一个同步+确认报文(Acknowledgment,ACK),该同步+确认报文也包含了源地址、源端口、目的地址、目的端口、初始系列号等信息;3)当客户端接收到同步+确认报文后,会再返回给服务器一个确认报文,此时一个TCP连接完成。如果服务器发出同步+确认报文后,没有收到相应的客户端的确认报文时,会在30s-2min内不断重试发送同步+确认报文,如果在这个期间一直没收到客户端的确认报文则丢弃这个未完成的连接并释放相应的系统资源。洪水攻击使服务器打开了大量的半开连接请求,使正常的客户请求无法请求。在互联网相当普及的今天,要让联网的服务器稳定地运行,及时做好应对洪水攻击的检测工作成为企业网络安全的基本诉求。目前,洪水攻击的检测方法一般为简单地统计报文中同步报文数量,当单位时间内同步报文数量大于预先设定的阈值时,就确定服务器遭受洪 ...
【技术保护点】
一种分布式监测的洪水攻击检测方法,其特征在于,包括如下步骤:S1:在每一台服务器的网卡驱动底层设置一监测模块,该监测模块包括IP数据包的转发模块、阻断模块及统计模块;S2:监测模块单向监测流进服务器网卡的数据报文,并根据监测结果转发或阻断IP数据包,该步骤S2包括如下步骤:S21:监测模块创建第一哈希数组及第二哈希数组;S22:监测模块采集来自互联网的SYN数据包并提取SYN数据包信息,并对数据包中的IP五元组进行系列化及哈希加密转换得到第一哈希值,该第一哈希值储存到第一哈希数组中;S23:监测模块采集来自互联网的ACK数据包并提取ACK数据包信息,并对数据包中的IP五元组进行系列化及哈希加密转换得到第二哈希值,该第二哈希值储存到第二哈希数组中;S24:监测模块检索第二哈希数组,如果存在第二哈希值与第一哈希值相同,则为正常数据包、否则为洪水攻击数据包,监测模块将所述第一哈希值反系列化及反哈希加密转换后得到SYN数据包中的攻击源地址,监测模块阻断该攻击源地址对服务器的访问。
【技术特征摘要】
1.一种分布式监测的洪水攻击检测方法,其特征在于,包括如下步骤:S1:在每一台服务器的网卡驱动底层设置一监测模块,该监测模块包括IP数据包的转发模块、阻断模块及统计模块;S2:监测模块单向监测流进服务器网卡的数据报文,并根据监测结果转发或阻断IP数据包,该步骤S2包括如下步骤:S21:监测模块创建第一哈希数组及第二哈希数组;S22:监测模块采集来自互联网的SYN数据包并提取SYN数据包信息,并对数据包中的IP五元组进行系列化及哈希加密转换得到第一哈希值,该第一哈希值储存到第一哈希数组中;S23:监测模块采集来自互联网的ACK数据包并提取ACK数据包信息,并对数据包中的IP五元组进行系列化及哈希加密转换得到第二哈希值,该第二哈希值储存到第二哈希数组中;S24:监...
【专利技术属性】
技术研发人员:袁兴飚,
申请(专利权)人:台山市金讯互联网络科技有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。