报文源地址识别方法及装置制造方法及图纸

本申请公开了一种报文源地址识别方法及装置。属于网络安全领域。防护设备拦截目的地址为受保护设备的IP地址的报文，该受保护设备基于QUIC协议提供服务。响应于该报文为原始报文，防护设备向该报文的源地址发送重传报文。如果防护设备未接收到该重传报文对应的响应报文，防护设备将该报文的源地址识别为攻击源地址。防护设备通过对拦截到的原始报文的源地址进行判断，识别出攻击者使用的攻击源地址，后续仅阻止来自攻击源地址的报文发往受保护设备，既能有效防御攻击，又能保证正常业务的运行。运行。运行。

【技术实现步骤摘要】
报文源地址识别方法及装置


[0001]本申请涉及网络安全领域，特别涉及一种报文源地址识别方法及装置。

技术介绍

[0002]拒绝服务(denial of service，DoS)攻击是一种网络攻击手段。DoS攻击的原理是攻击者(也被称为黑客)控制受控计算机向攻击目标发送大量报文，使得攻击目标忙于处理来自攻击者的报文，从而耗尽攻击目标的计算资源、网络资源等系统资源，导致攻击目标无法响应来自正常用户的服务请求。当攻击者使用网络中两个或两个以上受控计算机发动DoS攻击时，这种攻击方式被称为分布式拒绝服务(distributed denial of service，DDoS)攻击。
[0003]用户数据报协议(User Datagram Protocol，UDP)泛洪(UDP flood)攻击是DDoS攻击中一种危害大而防御难度高的攻击方式。攻击者通过向攻击目标发送大量的UDP报文，以发动UDP flood攻击。
[0004]传统的UDP flood攻击防御方案依赖于防火墙的限速机制。具体地，防火墙以受保护服务器的互联网协议(Inter本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种报文源地址识别方法，其特征在于，所述方法包括：防护设备拦截目的地址为受保护设备的互联网协议IP地址的第一报文，所述受保护设备基于快速用户数据报协议网络连接QUIC协议提供服务；响应于所述第一报文为原始报文，所述防护设备向所述第一报文的源地址发送第一重传报文；如果所述防护设备未接收到所述第一重传报文对应的响应报文，所述防护设备将所述第一报文的源地址识别为攻击源地址。2.根据权利要求1所述的方法，其特征在于，如果所述防护设备未接收到所述第一重传报文对应的响应报文，所述防护设备将所述第一报文的源地址识别为攻击源地址，包括：如果所述防护设备未接收到所述第一重传报文对应的响应报文，所述防护设备更新所述第一报文的源地址对应的验证未通过次数；如果更新后的所述第一报文的源地址对应的验证未通过次数达到阈值，所述防护设备将所述第一报文的源地址识别为攻击源地址。3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：如果所述防护设备接收到所述第一重传报文对应的响应报文，所述防护设备将所述第一报文的源地址识别为正常源地址。4.根据权利要求3所述的方法，其特征在于，在所述防护设备将所述第一报文的源地址识别为正常源地址之后，所述方法还包括：所述防护设备向所述第一报文的源地址发送关闭连接报文，所述关闭连接报文用于指示结束本次连接，以便于发送所述第一报文的设备需要访问所述受保护设备时，向所述受保护设备重新发送原始报文。5.根据权利要求1至4任一所述的方法，其特征在于，所述响应于所述第一报文为原始报文，所述防护设备向所述第一报文的源地址发送第一重传报文，包括：响应于所述第一报文的源地址为未知地址、且所述第一报文为原始报文，所述防护设备向所述第一报文的源地址发送所述第一重传报文。6.根据权利要求5所述的方法，其特征在于，所述方法还包括：所述防护设备拦截目的地址为所述受保护设备的IP地址的第二报文；响应于所述第二报文的源地址为未知地址、且所述第二报文不为原始报文，所述防护设备丢弃所述第二报文。7.根据权利要求1至6任一所述的方法，其特征在于，所述第一重传报文携带有第一指示，所述响应报文是源地址为所述第一报文的源地址、目的地址为所述受保护设备的IP地址、并且携带有所述第一指示的报文。8.根据权利要求7所述的方法，其特征在于，所述响应报文为原始报文。9.根据权利要求7或8所述的方法，其特征在于，所述第一指示分别在所述第一重传报文的令牌字段以及所述响应报文的令牌字段。10.根据权利要求7至9任一所述的方法，其特征在于，所述防护设备向所述第一报文的源地址发送第一重传报文之前，所述方法还包括：所述防护设备根据所述第一报文的报文头中的目标字段内容生成所述第一指示；或者，
所述防护设备根据随机数生成所述第一指示；或者，所述防护设备根据当前时间戳生成所述第一指示。11.根据权利要求10所述的方法，其特征在于，所述防护设备根据所述第一报文的报文头中的目标字段内容生成所述第一指示，包括：所述防护设备对所述目标字段内容执行目标操作，以得到所述第一指示，所述目标操作包括求和操作、异或操作或哈希操作中的一种或多种。12.根据权利要求11所述的方法，其特征在于，所述防护设备向所述第一报文的源地址发送第一重传报文之后，所述方法还包括：所述防护设备在接收到源地址为所述第一报文的源地址、目的地址为所述受保护设备的IP地址的报文之后，对所述报文的报文头中的所述目标字段内容执行所述目标操作，以得到第二指示；如果所述报文的指定字段携带有所述第二指示，所述防护设备确定接收到所述响应报文，所述指定字段为预先约定的响应报文需要携带所述第一指示的字段。13.根据权利要求10至12任一所述的方法，其特征在于，所述目标字段内容包括源IP地址、源端口号、目的IP地址、目的端口号、源连接标识或目的连接标识中的一个或多个。14.根据权利要求1至13任一所述的方法，其特征在于，所述防护设备拦截目的地址为受保护设备的互联网协议IP地址的第一报文之前，所述方法还包括：所述防护设备确定所述受保护设备受到流量攻击。15.一种防护设备，其特征在于，包括：存储器、网络接口和至少一个处理器，所述存储器用于存储程序指令，所述至少一个处理器读取所述存储器中保存的程序指令后，使得所述防护设备执行以下操作：拦截目的地址为受保护设备的互联网协议IP地址的第一报文，所述受保护设备基于快速用户数据报协议网...

【专利技术属性】
技术研发人员：吴波，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：