本發明專利技術公開了一種識別虛假源攻擊的方法及裝置,可在服務器有攻擊觸發時,針對每一到達該服務器的報文,提取該報文的源IP地址以及當前TTL,并根據該源IP地址、源IP地址與地理區域之間的對應關系以及地理區域與到達該服務器的報文的TTL閾值范圍之間的對應關系,確定該報文所屬的地理區域內的報文到達該服務器的TTL閾值范圍,以判斷該報文的當前TTL是否位于確定的TTL閾值范圍內,若否,則確定該報文對應的客戶端為虛假源。無需對到達服務器的各報文進行首包丟棄或跳轉處理,便可對所有報文進行識別,不僅避免了對服務器的正常業務運行所帶來的影響,而且節省了網絡資源,提高了虛假源識別的效率。
【技術實現步驟摘要】
本專利技術涉及網絡安全
,尤其涉及一種識別虛假源攻擊的方法及裝置。
技術介紹
DDOS(Distributed Denial of Service,分布式拒絕服務攻擊),是指借助于客戶/服務器技術,將多個計算機聯合起來作為攻擊平臺,對一個或多個目標發動攻擊,從而成倍地提高拒絕服務攻擊的威力的攻擊方式。該攻擊方式可利用目標服務器的功能缺陷或者直接消耗目標服務器的系統資源,使得目標服務器無法為用戶提供正常的業務服務。目前,針對虛假源的DDOS攻擊,一般采用協議桟(ProtocolStack)行為驗證的手段,來辨別正常客戶端和攻擊端。例如,針對TCP(Transmiss1n Control Protocol,傳輸控制協議)的攻擊,目標服務器通常采用首包丟棄的方式來識別虛假源,如果是正常源,按照協議棧的行為,客戶端會對被丟棄的包進行重傳,如果是虛假源,則無法進行重傳,從而達到區分正常客戶端和攻擊端的目的。再例如,針對HTTP(Hyper Text Transfer Protocol,超文本傳輸協議)的攻擊,目標服務器通常對HTTP GET報文回應302跳轉(302redirect),按照協議棧行為,正常客戶端會再次發起HTTP GET報文,而采用虛假源的攻擊端則無法做到,同樣達到了區分正常客戶端和攻擊端的目的。也就是說,采用協議棧行為驗證的方式可以在一定程度上有效識別出攻擊端,但是,由于其可能需要將接收到的首包進行丟棄,因而,可能會導致正常的網絡連接斷開,致使正常業務中斷;另外,由于其可能需要向客戶端回應302跳轉報文以由客戶端再次發起HTTP GET報文,從而可能會額外增加流量,浪費網絡資源,影響交互效率。因此,亟需一種新的識別虛假源攻擊的方法,來解決現有的識別虛假源攻擊的方式所存在的影響正常業務的運行,或者使得網絡資源占用大、交互效率低等問題。
技術實現思路
本專利技術實施例提供了一種識別虛假源攻擊的方法及裝置,用以解決現有的識別虛假源攻擊的方式所存在的影響正常業務的運行,或者使得網絡資源占用大、交互效率低等問題。本專利技術實施例提供了一種識別虛假源攻擊的方法,所述方法包括:若確定被保護服務器有攻擊觸發,則針對每一到達所述被保護服務器的報文,提取所述報文的源IP(Internet Protocol,網絡互連協議)地址以及當前TTL(Time To Live,生存時間);根據所述報文的源IP地址以及設定的源IP地址與地理區域之間的對應關系,確定所述報文所屬的地理區域;根據確定的地理區域,以及設定的地理區域與到達所述被保護服務器的報文的TTL閾值范圍之間的對應關系,確定所述確定的地理區域內的報文到達所述被保護服務器的TTL閾值范圍;判斷所述報文的當前TTL是否位于確定的所述TTL閾值范圍內,若否,則確定所述報文對應的客戶端為虛假源。可選地,地理區域與到達所述被保護服務器的報文的TTL閾值范圍之間的對應關系是通過以下方式得到的:針對任一地理區域,在所述被保護服務器無攻擊觸發的任一設定學習時間段內,獲取源IP地址歸屬于所述任一地理區域的正常到達所述被保護服務器的各報文樣本,以及各報文樣本的當前TTL;根據獲取到的源IP地址歸屬于所述任一地理區域的正常到達所述被保護服務器的各報文樣本的當前TTL,確定所述任一地理區域內的報文到達所述被保護服務器的TTL最大值以及最小值,并根據確定的TTL最大值以及最小值,確定所述任一地理區域內的報文到達所述被保護服務器的TTL閾值范圍;根據確定的各地理區域內的報文到達所述被保護服務器的TTL閾值范圍,建立地理區域與到達所述被保護服務器的報文的TTL閾值范圍之間的對應關系。可選地,根據獲取到的源IP地址歸屬于所述任一地理區域的正常到達所述被保護服務器的各報文樣本的當前TTL,確定所述任一地理區域內的報文到達所述被保護服務器的TTL最大值以及最小值,包括:將獲取到的源IP地址歸屬于所述任一地理區域的各報文樣本中的、第一個正常到達所述被保護服務器的報文樣本的當前TTL,作為所述任一地理區域內的報文到達所述被保護服務器的TTL基準值;根據獲取到的源IP地址歸屬于所述任一地理區域的各報文樣本的當前TTL,確定取值不大于所述TTL基準值的各TTL、以及取值不小于所述TTL基準值的各TTL,并將取值不大于所述TTL基準值的各TTL中的最小TTL作為所述任一地理區域內的報文到達所述被保護服務器的最小TTL,將取值不小于所述TTL基準值的各TTL中的最大TTL作為所述任一地理區域內的報文到達所述被保護服務器的最大TTL。進一步可選地,源IP地址與地理區域之間的對應關系是通過以下方式得到的:針對任一源IP地址,根據IP地址信息庫提供的數據,確定所述任一源IP地址所歸屬的地理區域;根據確定的各源IP地址所歸屬的地理區域,建立源IP地址與地理區域之間的對應關系。可選地,獲取到的源IP地址歸屬于所述任一地理區域的正常到達所述被保護服務器的各報文樣本,包括:由所述任一地理區域內的各客戶端,向所述被保護服務器上報的報文樣本;和/或,由設置在所述任一地理區域內的軟件探測器,向所述被保護服務器上報的報文樣本。可選地,所述方法還包括:將確定的各地理區域內的報文到達所述被保護服務器的TTL閾值范圍共享給其它被保護服務器,以使得其它被保護服務器能夠通過共享的方式獲取各地理區域內的報文到達所述其它被保護服務器的TTL閾值數據。進一步可選地,在確定所述報文對應的客戶端為虛假源的同時或之后,所述方法還包括:對所述報文進行丟棄處理。基于同樣的專利技術構思,本專利技術實施例提供了一種識別虛假源攻擊的裝置,所述裝置包括:信息獲取單元,用于若確定被保護服務器有攻擊觸發,則針對每一到達所述被保護服務器的報文,提取所述報文的源IP地址以及當前TTL;地域定位單元,用于根據所述報文的源IP地址以及設定的源IP地址與地理區域之間的對應關系,確定所述報文所屬的地理區域;虛假源判斷單元,用于根據確定的地理區域,以及設定的地理區域與到達所述被保護服務器的報文的TTL閾值范圍之間的對應關系,確定所述確定的地理區域內的報文到達所述被保護服務器的TTL閾值范圍;并判斷所述報文的當前TTL是否位于確定的所述TTL閾值范圍內,若否,則確定所述報文對應的客戶端為虛假源。可選地,所述裝置還包括第一學習單元,用于建立地理區域與到達所述被保護服務器的報文的TTL閾值范圍之間的對應關系,所述第一學習單元包括:樣本獲取模塊,用于針對任一地理區域,在所述被保護服務器無攻擊觸發的任一設定學習時間段內,獲取源IP地址歸屬于所述任一地理區域的正常到達所述被保護服務器的各報文樣本,以及各報文樣本的當前TTL;閾值確定模塊,用于根據獲取到的源IP地址歸屬于所述任一地理區域的正常到達所述被保護服務器的各報文樣本的當前TTL,確定所述任一地理區域內的報文到達所述被保護服務器的TTL最大值以及最小值,并根據確定的TTL最大值以及最小值,確定所述任一地理區域內的報文到達所述被保護服務器的TTL閾值范圍;關系建立模塊,用于根據確定的各地理區域內的報文到達所述被保護服務器的TTL閾值范圍,建立地理區域與到達所述被保護服務器的報文的TTL閾值范圍之間的對應關系O可選地,所述閾值確定模塊本文檔來自技高網...
【技術保護點】
一種識別虛假源攻擊的方法,其特征在于,所述方法包括:若確定被保護服務器有攻擊觸發,則針對每一到達所述被保護服務器的報文,提取所述報文的源IP地址以及當前TTL;根據所述報文的源IP地址以及設定的源IP地址與地理區域之間的對應關系,確定所述報文所屬的地理區域;根據確定的地理區域,以及設定的地理區域與到達所述被保護服務器的報文的TTL閾值范圍之間的對應關系,確定所述確定的地理區域內的報文到達所述被保護服務器的TTL閾值范圍;判斷所述報文的當前TTL是否位于確定的所述TTL閾值范圍內,若否,則確定所述報文對應的客戶端為虛假源。
【技術特征摘要】
【專利技術屬性】
技術研發人員:彭武杰,魏勇,
申請(專利權)人:北京神州綠盟信息安全科技股份有限公司,北京神州綠盟科技有限公司,
類型:發明
國別省市:北京;11
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。