【技术实现步骤摘要】
一种识别DDoS反射放大攻击的方法
本专利技术涉及DDoS攻击防护领域,特别是一种识别DDoS反射放大攻击的方法。
技术介绍
反射攻击属于DDoS攻击,攻击者(肉鸡)不直接向受害者(目标主机)发起攻击,而是通过向开放的服务器(放大器)发送伪造源IP(伪造为受害者IP)的请求报文,然后通过放大器反射给受害者。通常来说,请求的数据量远小于放大器回应的数据量,从而产生放大的效果。现有针对反射攻击的技术主要是通过单位时间请求阈值来限制。其存在以下不足:1、识别不准确,无法区分正常请求与非法请求。2、防御成本高,在受害者端进行识别时,流量已经到达受害者,已经造成攻击影响,需要足够的带宽资源对抗。放大器:Amplifier,在公网上公开端口提供公共网络服务的主机,通常请求流量远小于回应流量,例如DNS,NTP等。反射攻击:攻击者(Attacker,实际情况中更多的会利用傀儡机进行攻击)不直接把攻击包发给受害者,而是冒充受害者给放大器(Amplifiers)发包,然后通过放大器再反射给受害者。DDoS:分布式拒绝服务(DistributedDenialofService)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
技术实现思路
本专利技术所要解决的技术问题是提供一种识别DDoS反射放大攻击的方法,通过在放大器验证请求报文,识别并过滤异常请求,从而实现对受害者的保护。为解决上述技术问题,本专利技术采用的技术方案是:一种识别DDoS反射放大攻击的方法,包括以下步骤:步骤1:放大器收到请求报 ...
【技术保护点】
一种识别DDoS反射放大攻击的方法,其特征在于,包括以下步骤:步骤1:放大器收到请求报文后,提取报文的IP头部中的源IP地址和TTL值;步骤2:判断步骤1中提取的IP地址,若该IP地址在黑名单中,则直接丢弃该请求;步骤3:若步骤1中的IP地址不在黑名单中,则以该IP地址为关键字将TTL以及请求内容以HASH的方式保存到缓存中;步骤4:以步骤1中提取的IP地址作为目的地址,向该地址的任意一个端口发送TCP连接请求报文;步骤5:等待步骤4的回应报文,收到回应报文后执行以下步骤:1)提取回应报文的IP头部中的IP和TTL;2)若回应报文为SYN+ACK报文,则发送RST报文并关闭步骤4发起的TCP连接;若回应报文为RST报文,则直接关闭本地连接;3)按照步骤1)提取的IP从步骤3的缓存中查找对应的TTL以及请求内容;4)对比步骤1)与步骤3)得到的TTL值,若相等,则为正常请求,并按照步骤3)的请求内容进行正常回应;若不相等,则为非法请求,忽略该请求,并将该IP加入临时黑名单,禁止后续以该IP为源地址的请求;5)从步骤3的缓存中删除该IP的关键字以及对应的TTL和请求内容。
【技术特征摘要】
2017.11.24 CN 20171119052411.一种识别DDoS反射放大攻击的方法,其特征在于,包括以下步骤:步骤1:放大器收到请求报文后,提取报文的IP头部中的源IP地址和TTL值;步骤2:判断步骤1中提取的IP地址,若该IP地址在黑名单中,则直接丢弃该请求;步骤3:若步骤1中的IP地址不在黑名单中,则以该IP地址为关键字将TTL以及请求内容以HASH的方式保存到缓存中;步骤4:以步骤1中提取的IP地址作为目的地址,向该地址的任意一个端口发送TCP连接请求报文;步骤5:等待步...
【专利技术属性】
技术研发人员:陈海洋,叶兴,张文宇,郑斌,王猛,刘东凯,
申请(专利权)人:成都知道创宇信息技术有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。