【技术实现步骤摘要】
一种基于P4
‑
MSC的DRDoS攻击检测与缓解系统
[0001]本专利技术属于计算机网络安全领域,具体涉及到一种基于P4
‑
MSC的DRDoS攻击检测与缓解系统。
技术介绍
[0002]DRDoS(Distributed Reflection Denial of Service,分布式反射拒绝服务)攻击是一种特殊的网络攻击。攻击者事先锁定互联网上的一部分可用服务器作为反射器,其控制的僵尸主机向这些服务器发送特定的请求报文。因为请求报文的源IP地址被修改为受害主机的IP地址,所以当服务器收到这些经由IP欺骗的请求报文后,会将响应报文发送给受害主机。这些特定服务的特点是其传输层协议为无需建立连接的UDP,且响应报文远超请求报文。在受害主机端,各个服务器反射出来的响应报文纷涌而至,很快就能将其链路压垮,DRDoS攻击因此实现了以小博大的效果。基于这样的攻击机理,DRDoS攻击表现出来的优越性在于原本用于攻击的大量数据流经由成百上千的服务器稀释后,最终在受害者处汇聚成颇具威力的洪水,更难以被隔离...
【技术保护点】
【技术特征摘要】
1.一种基于P4
‑
MSC的DRDoS攻击检测与缓解系统,其特征在于,P4为一门可编程协议无关包处理语言,MSC表示多台交换机合作,该系统包括以下几个模块:模块一反射特征提取模块:该模块部署在可编程数据平面的反射端交换机上,将连续进入交换机的一定数量的数据包划分为一个窗口,采用“后窗协助前窗”的存储方式,即设置两套用于记录双向流包负载的寄存器并交换使用,将前一个窗口的信息保留至后一个窗口中进行处理,并使用P4近似除法工具模块完成包负载反射倍数的计算,对每一个进入交换机的数据包,反射端交换机流水线的工作步骤包括:(1)确定流索引:提取包首部的源IP地址和目的IP地址作为散列函数的关键字,得到的散列值为该包所属双向流的流索引,也是其在包负载寄存器中的存储索引;(2)记录本窗口信息:提取包IP首部的总长度字段,确定该数据包属于前向流或后向流,并根据流索引定位本窗口包负载寄存器存储该双向流信息的寄存器单元,将总长度字段的数值累加至该寄存器单元;(3)协助处理前窗信息:以该数据包在窗口内的到达次序为索引处理上一个窗口对应位置的寄存器单元,即调用P4近似除法工具计算该索引处记录的双向流的包负载的反射倍数、清空该寄存器并更新当前反射倍数的最大值;(4)上报前窗最大反射倍数:若该数据包为本窗口内最后一个包,则上报前一个窗口的包负载反射最大倍数和该最大反射倍数对应的流索引;(5)决定转发动作:默认转发,若该数据包的流索引匹配到了控制器为之安装的缓解表项,则丢弃该数据包;模块二流量特征提取模块:该模块部署在可编程数据平面的受害端交换机上,设置两个寄存器TCP_payload和UDP_payload,记录一个窗口内流经该交换机处TCP数据包的总负载和UDP数据包的总负载并上报至控制器,对每一个进入交换机的数据包,受害端交换机流水线的工作步骤包括:(1)判断协议类型:提取IPv4首部,通过协议号字段判断其是TCP报文还是UDP报文;(2)更新相应寄存器:若为TCP报文,将首部总长度字段的值累加至寄存器TCP_payload,若为UDP报文,将首部总长度字段的值累加至寄存器UDP_payload;(3)上报流量特征:若该数据包为本窗口内最后一个包,则上报本窗口的TCP总负载和UDP总负载,并将寄存器的值更新为零;(4)决定转发动作:默认转发,若该数据包的流索引匹配到了控制器为之安装的缓解表项,则丢弃该数据包;模块三攻击判定与缓解模块:该模块部署在控制器上,接收数据平面中反射端...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。