报文源地址识别方法及装置制造方法及图纸

本申请公开了一种报文源地址识别方法及装置。属于网络安全领域。防护设备拦截目的地址为受保护设备的IP地址的报文，该受保护设备基于QUIC协议提供服务。响应于该报文为原始报文，防护设备向该报文的源地址发送重传报文。如果防护设备未接收到该重传报文对应的响应报文，防护设备将该报文的源地址识别为攻击源地址。防护设备通过对拦截到的原始报文的源地址进行判断，识别出攻击者使用的攻击源地址，后续仅阻止来自攻击源地址的报文发往受保护设备，既能有效防御攻击，又能保证正常业务的运行。运行。运行。

【技术实现步骤摘要】
报文源地址识别方法及装置


[0001]本申请涉及网络安全领域，特别涉及一种报文源地址识别方法及装置。

技术介绍

[0002]拒绝服务(denial of service，DoS)攻击是一种网络攻击手段。DoS攻击的原理是攻击者(也被称为黑客)控制受控计算机向攻击目标发送大量报文，使得攻击目标忙于处理来自攻击者的报文，从而耗尽攻击目标的计算资源、网络资源等系统资源，导致攻击目标无法响应来自正常用户的服务请求。当攻击者使用网络中两个或两个以上受控计算机发动DoS攻击时，这种攻击方式被称为分布式拒绝服务(distributed denial of service，DDoS)攻击。
[0003]用户数据报协议(User Datagram Protocol，UDP)泛洪(UDP flood)攻击是DDoS攻击中一种危害大而防御难度高的攻击方式。攻击者通过向攻击目标发送大量的UDP报文，以发动UDP flood攻击。
[0004]传统的UDP flood攻击防御方案依赖于防火墙的限速机制。具体地，防火墙以受保护服务器的互联网协议(Internet Protocol，IP)地址为统计对象，统计目的地址为该IP地址的报文的传输速率。如果传输速率超过阈值，则防火墙丢弃后续访问该受保护服务器的报文。
[0005]然而采用上述方式时，防火墙无法区分报文是来自正常客户端的正常报文还是来自攻击者的攻击报文，导致正常报文也可能被防火墙丢弃，造成正常业务受损。

技术实现思路

[0006]本申请提供了一种报文源地址识别方法及装置，可以解决目前由于无法区分报文来自正常客户端还是攻击者而导致的正常业务可能受损的问题。
[0007]第一方面，提供了一种报文源地址识别方法。该方法包括：防护设备拦截目的地址为受保护设备的IP地址的第一报文，该受保护设备基于快速UDP网络连接(quick UDP internet connections，QUIC)协议提供服务。响应于第一报文为原始(initial)报文，防护设备向第一报文的源地址发送第一重传(retry)报文。如果防护设备未接收到第一重传报文对应的响应报文，防护设备将第一报文的源地址识别为攻击源地址。
[0008]由于QUIC协议下，客户端想要访问受保护设备时，首先需要与受保护设备建立通信连接。在建立通信连接的过程中，客户端会向受保护设备发送原始报文。本申请中，防护设备通过拦截发往受保护设备的报文，并向拦截到的原始报文的源地址发送重传报文。对于正常客户端而言，如果正常客户端接收到重传报文，那么正常客户端会响应该重传报文，即发送该重传报文对应的响应报文。而对于攻击者而言，由于攻击者使用虚假的源IP地址向受保护设备发送报文，因此不会响应该重传报文。基于此，本申请中防护设备能够通过是否接收到重传报文对应的响应报文，来判断拦截到的原始报文的源地址为攻击源地址还是正常源地址，实现对报文源地址的有效识别。进一步地，防护设备将来自攻击源地址的报文
判定为攻击报文，阻止攻击报文发往受保护设备，并将来自正常源地址的报文判定为正常报文后发送至受保护设备，既能有效防御攻击，又能保证正常业务的运行，提高了正常业务的运行可靠性。
[0009]可选地，如果防护设备未接收到第一重传报文对应的响应报文，防护设备将第一报文的源地址识别为攻击源地址的实现方式，包括：如果防护设备未接收到第一重传报文对应的响应报文，防护设备更新第一报文的源地址对应的验证未通过次数。如果更新后的第一报文的源地址对应的验证未通过次数达到阈值，防护设备将第一报文的源地址识别为攻击源地址。
[0010]进一步地，如果更新后的第一报文的源地址对应的验证未通过次数未达到阈值，防护设备后续接收到来自第一报文的源地址、目的地址为受保护设备的IP地址的另一原始报文后，向第一报文的源地址发送第二重传报文，以对第一报文的源地址进行再次验证。可选地，该阈值大于或等于1。如果该阈值等于1，则防护设备对源地址一次验证未通过，就将该源地址识别为攻击源地址。如果该阈值大于1，则防护设备对同一源地址多次验证未通过，才将该源地址识别为攻击源地址。
[0011]可选地，如果防护设备接收到第一重传报文对应的响应报文，防护设备将第一报文的源地址识别为正常源地址。
[0012]可选地，在防护设备将第一报文的源地址识别为正常源地址之后，防护设备向第一报文的源地址发送关闭连接(connection close)报文，该关闭连接报文用于指示结束本次连接，以便于发送第一报文的设备需要访问受保护设备时，向受保护设备重新发送原始报文。
[0013]在防护设备将第一报文的源地址识别为正常源地址之后，当防护设备再接收到来自第一报文的源地址的报文(无论是原始报文还是业务报文等)，防护设备会将该报文发送至受保护设备，以使第一报文的源端设备与受保护设备之间能够建立通信连接并进行正常通信。
[0014]可选地，响应于第一报文为原始报文，防护设备向第一报文的源地址发送第一重传报文的实现方式，包括：响应于第一报文的源地址为未知地址、且第一报文为原始报文，防护设备向第一报文的源地址发送第一重传报文。可选地，如果第一报文的源地址为已知地址，或者第一报文不为原始报文，则防护设备不会向第一报文的源地址发送第一重传报文。
[0015]可选地，防护设备还拦截目的地址为受保护设备的IP地址的第二报文。响应于第二报文的源地址为未知地址、且第二报文不为原始报文，防护设备丢弃第二报文。
[0016]由于正常客户端需要与受保护设备建立通信连接之后才能访问受保护设备，因此正常客户端在向受保护设备发送业务报文之前，会向受保护设备发送原始报文以与受保护设备建立通信连接。第一报文的源地址为未知地址，说明发送第一报文的设备没有向受保护设备发送过原始报文，或者向受保护设备发送原始报文后没有响应过防护设备发送的重传报文，因此防护设备未将该源地址识别为正常源地址。这种情况下，第一报文的源地址多数为攻击源地址，因此防护设备将该第一报文直接丢弃。
[0017]可选地，防护设备还拦截目的地址为受保护设备的IP地址的第三报文。响应于第三报文的源地址为攻击源地址，防护设备丢弃第三报文。
[0018]本申请中，防护设备丢弃拦截到的来自攻击源地址的报文，实现对攻击报文的有效防御。
[0019]可选地，防护设备还拦截目的地址为受保护设备的IP地址的第四报文。响应于第四报文的源地址为正常源地址，防护设备向受保护设备发送第四报文。
[0020]本申请中，防护设备向受保护设备发送来自正常源地址的报文，实现正常客户端与受保护设备之间的正常通信。
[0021]可选地，第一重传报文携带有第一指示，响应报文是源地址为第一报文的源地址、目的地址为受保护设备的IP地址、并且携带有第一指示的报文。
[0022]可选地，响应报文为原始报文。
[0023]可选地，第一指示分别在第一重传报文的令牌字段以及响应报文的令牌字段。
[0024]可选地，防护设备向本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种报文源地址识别方法，其特征在于，所述方法包括：防护设备拦截目的地址为受保护设备的互联网协议IP地址的第一报文，所述受保护设备基于快速用户数据报协议网络连接QUIC协议提供服务；响应于所述第一报文为原始报文，所述防护设备向所述第一报文的源地址发送第一重传报文；如果所述防护设备未接收到所述第一重传报文对应的响应报文，所述防护设备将所述第一报文的源地址识别为攻击源地址。2.根据权利要求1所述的方法，其特征在于，如果所述防护设备未接收到所述第一重传报文对应的响应报文，所述防护设备将所述第一报文的源地址识别为攻击源地址，包括：如果所述防护设备未接收到所述第一重传报文对应的响应报文，所述防护设备更新所述第一报文的源地址对应的验证未通过次数；如果更新后的所述第一报文的源地址对应的验证未通过次数达到阈值，所述防护设备将所述第一报文的源地址识别为攻击源地址。3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：如果所述防护设备接收到所述第一重传报文对应的响应报文，所述防护设备将所述第一报文的源地址识别为正常源地址。4.根据权利要求3所述的方法，其特征在于，在所述防护设备将所述第一报文的源地址识别为正常源地址之后，所述方法还包括：所述防护设备向所述第一报文的源地址发送关闭连接报文，所述关闭连接报文用于指示结束本次连接，以便于发送所述第一报文的设备需要访问所述受保护设备时，向所述受保护设备重新发送原始报文。5.根据权利要求1至4任一所述的方法，其特征在于，所述响应于所述第一报文为原始报文，所述防护设备向所述第一报文的源地址发送第一重传报文，包括：响应于所述第一报文的源地址为未知地址、且所述第一报文为原始报文，所述防护设备向所述第一报文的源地址发送所述第一重传报文。6.根据权利要求5所述的方法，其特征在于，所述方法还包括：所述防护设备拦截目的地址为所述受保护设备的IP地址的第二报文；响应于所述第二报文的源地址为未知地址、且所述第二报文不为原始报文，所述防护设备丢弃所述第二报文。7.根据权利要求1至6任一所述的方法，其特征在于，所述第一重传报文携带有第一指示，所述响应报文是源地址为所述第一报文的源地址、目的地址为所述受保护设备的IP地址、并且携带有所述第一指示的报文。8.根据权利要求7所述的方法，其特征在于，所述响应报文为原始报文。9.根据权利要求7或8所述的方法，其特征在于，所述第一指示分别在所述第一重传报文的令牌字段以及所述响应报文的令牌字段。10.根据权利要求7至9任一所述的方法，其特征在于，所述防护设备向所述第一报文的源地址发送第一重传报文之前，所述方法还包括：所述防护设备根据所述第一报文的报文头中的目标字段内容生成所述第一指示；或者，
所述防护设备根据随机数生成所述第一指示；或者，所述防护设备根据当前时间戳生成所述第一指示。11.根据权利要求10所述的方法，其特征在于，所述防护设备根据所述第一报文的报文头中的目标字段内容生成所述第一指示，包括：所述防护设备对所述目标字段内容执行目标操作，以得到所述第一指示，所述目标操作包括求和操作、异或操作或哈希操作中的一种或多种。12.根据权利要求11所述的方法，其特征在于，所述防护设备向所述第一报文的源地址发送第一重传报文之后，所述方法还包括：所述防护设备在接收到源地址为所述第一报文的源地址、目的地址为所述受保护设备的IP地址的报文之后，对所述报文的报文头中的所述目标字段内容执行所述目标操作，以得到第二指示；如果所述报文的指定字段携带有所述第二指示，所述防护设备确定接收到所述响应报文，所述指定字段为预先约定的响应报文需要携带所述第一指示的字段。13.根据权利要求10至12任一所述的方法，其特征在于，所述目标字段内容包括源IP地址、源端口号、目的IP地址、目的端口号、源连接标识或目的连接标识中的一个或多个。14.根据权利要求1至13任一所述的方法，其特征在于，所述防护设备拦截目的地址为受保护设备的互联网协议IP地址的第一报文之前，所述方法还包括：所述防护设备确定所述受保护设备受到流量攻击。15.一种防护设备，其特征在于，包括：存储器、网络接口和至少一个处理器，所述存储器用于存储程序指令，所述至少一个处理器读取所述存储器中保存的程序指令后，使得所述防护设备执行以下操作：拦截目的地址为受保护设备的互联网协议IP地址的第一报文，所述受保护设备基于快速用户数据报协议网...

【专利技术属性】
技术研发人员：吴波，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：