一种接入网络中防止拒绝服务攻击的方法及其装置

摘要

本发明提供了一种通信网络接入设备中防止拒绝服务攻击的方法及其装置，所述方法包括：a)检测来自用户端口的数据通信协议报文；b)识别该用户端口下的产生拒绝服务攻击的非法用户主机，并更新用户端口配置以隔离非法用户主机；c)根据所述用户端口配置对合法用户主机提供通信服务。本发明可以做到有效区分网络接入设备用户端口下的真正DOS攻击用户主机并进行隔离，同时不会对其他正常用户主机的通信业务造成影响。

说明书

技术领域

本发明涉及通信技术安全领域，尤其涉及一种接入网络设备中防止DOS(拒绝服务攻击)的方法及相应的装置。

背景技术

DoS攻击是指故意的攻击网络协议实现缺陷耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃，这些服务资源包括网络带宽，文件系统空间容量，开放的进程或者允许的连接。这种攻击会导致资源的匮乏，无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。

DoS具有代表性的攻击手段包括Ping of Death、TearDrop、SYNFlood、Land Attack、IP Spoofing DoS等虽然具体的实现方式千变万化，但都有前述共同点，就是其根本目的是使受害主机或网络无法及时接收并处理外界请求，或无法及时回应外界请求。其具体表现方式有以下几种：1).制造大流量无用数据，造成通往被攻击主机的网络拥塞，使被攻击主机无法正常和外界通信。2).利用被攻击主机提供服务或传输协议上处理重复连接的缺陷，反复高频的发出攻击性的重复服务请求，使被攻击主机无法及时处理其它正常的请求。3).利用被攻击主机所提供服务程序或传输协议的本身实现缺陷，反复发送畸形的攻击数据引发系统错误的分配大量系统资源，使主机处于挂起状态甚至死机。

面对DoS攻击，接入设备作为提供网络接入服务的接入点，它将最终用户接入因特网和核心网络网络接入设备该如何对付来自用户端的DOS攻击以有效地保护网络资源和网络安全？

图1示意了一种典型的接入网络系统结构示意图，对于以家庭、企业、特定场所等用户网络而言，数字用户线(DSL)、无源光网络(PON)、局域网(LAN)等接入手段已经成为最常用的接入方式，图例中用户网络20范围内的驻地用户主机22、23、24通常通过特定类型的用户驻地网关21(例如DSL调制解调器、光网络单元(ONU)、路由器)进而与数字用户线路接入复用器(DSLAM)、光网络终端(OLT)、网络交换机(SIWTCH)等网络接入设备11相连接入互联网10。

当前网络接入设备11应对DOS攻击通常采用一些简单处理办法，例如：基于用户端口设置门限，当一个用户端口接收到太多的协议数据包，它禁止该用户端口通信一段时间，并在该时间段结束后恢复该端口的通信。这种隔离用户端口的措施对该端口下仅存在单独用户的情况下是可行的(例如图例1中的用户端口1)，如果该用户端口下连接的是一些商业用户，由多个用户主机通过共享的方式共用该用户端口，若仅仅一个用户主机PC感染了病毒作为DOS攻击主机，采取前述隔离用户端口的措施将会影响到其它正常用户正常通信(例如图例1中的用户端口N)。另外，在用户端口隔离恢复后该非法DOS攻击主机可以继续发起DOS攻击而影响该用户端口下的通信，因此该方式并没有真正消除非法DOS攻击主机的潜在安全影响。

发明内容

本发明旨在提供一种在接入网络设备中隔离真正DOS攻击用户的技术方案。

根据本发明的一个方面，这里提供一种通信网络接入设备中防止DOS攻击的方法，包括如下步骤：a)、检测来自用户端口的数据通信协议报文；b)、识别该用户端口下的产生拒绝服务攻击的非法用户主机，并更新用户端口配置以隔离非法用户主机；c)、根据所述用户端口配置对合法用户主机提供通信服务。

根据本发明的另外一个方面，这里提供一种通信网络接入设备，通过其用户端口与若干用户主机相连接以提供通信接入服务，其包括：检测装置：用于检测来自用户端口的数据通信协议报文；判断装置：用于识别该用户端口下的产生拒绝服务攻击的非法用户主机并更新用户端口配置以隔离非法用户主机；控制装置：根据所述用户端口配置对合法用户主机提供通信服务。

本发明技术方案可以做到有效区分网络接入设备用户端口下的真正DOS攻击非法用户主机并进行隔离，同时不会对其他当前活动的正常用户主机的通信业务造成影响。

附图说明

通过下面提出的结合附图的详细描述，本发明的特征、性质和优点将变得更加明显，附图中相同的元件具有相同的标识，其中：

图1是一种典型的接入网络系统结构示意；

图2是根据本发明的一种网络接入设备中防止DOS攻击的方法实施例；

图3是根据本发明的一种网络接入设备结构实施例。

具体实施方式

下面结合附图，对本发明的优选实施方式进行详细的说明。

图2是根据本发明的一种网络接入设备中防止DOS攻击的方法实施例子，它包括如下步骤：

首先，步骤S20中，网络接入设备(例如DSLAM)监视其某用户端口下的用户主机所产生的通信协议数据报文，针对不同的攻击类型可以采用不同的检测手段。

为了有效检测利用IP/MAC地址欺骗的用户主机，我们可以对接收到的数据协议报文中的用户IP地址和/或MAC地址进行提取。

为了有效检测用户主机利用各种协议报文缺陷进行DOS攻击，例如ARP报文泛洪攻击方式中，恶意用户主机发出大量的ARP报文，造成接入设备设备的ARP表项溢出，影响正常用户的转发；在DHCP报文泛洪攻击中，恶意用户主机利用工具伪造大量DHCP报文发送到接入网络，一方面恶意耗尽了IP资源，使得合法用户无法获得IP资源，另一方面，如果交换机上开启了DHCP Snooping功能，会将接收到的DHCP报文上送到CPU，大量的DHCP报文攻击设备会使CPU高负荷运行，甚至会导致设备瘫痪；本发明中我们可以对接入网络设备用户端口下用户主机的协议报文速率进行统计，具体地说，我们可以对每秒内该端口下的每个用户主机接收的DHCP/ARP等协议报文数量进行统计。

当然，这里步骤S20的检测手段还可以采用其它技术实现方式进行检测，以及进一步检测其它不同类型的协议报文，这里不再累述。

接下来，步骤S21中，网络接入设备判断该用户端口下的用户主机是否存在非法DOS攻击，并更新该用户端口配置以隔离非法用户主机；

通常，接入网络设备可以在用户主机接入网络时候通过DHCPSnooping(DHCP侦听)或由网管以静态配置方式建立一个包括用户端口、用户IP/MAC地址等信息在内的用户端口配置表。

以IP/MAC地址欺骗为例，我们可以通过上述获得的协议报文IP/MAC地址是否符合用户端口配置表中的用户主机表项记录来判定非法DOS攻击用户主机。

我们可以在前述用户端口配置表中进一步设置该用户端口下用户主机所容许的协议数据包速率门限，以ARP/DHCP报文泛洪攻击为例，如果每秒收到来自某用户主机的协议报文数量超过了所设定门限值，则认为该端口下的特定用户主机处于超速发送协议报文状态，可以认定发送该协议报文的用户主机为非法DOS攻击用户主机，并记录其对应的IP/MAC地址。

这里我们可以通过对用户端口配置表的表项内容进行设置(可参考下面的表1)以隔离非法DOS攻击用户主机：

一种实施方式，我们通过可以在用户端口配置表中设立一个“动态端口地址学习”的选项，将识别出来的非法用户主机从该端口的MAC/IP地址表中删除，并在设定的时间范围内禁止该用户端口下的所有新用户主机的地址学习；该方式可能在设定时间范围内影响到该用户端口下其他新的合法用户主机加入，但不会影响当前活动的合法用户主机的通信，也防止了DOS攻击用户主机通过IP/MAC地址欺骗或获得其它IP地址接入继续进行攻击。

另外一种实施方式，我们通过可以在用户端口配置表中将非法用户主机设置到“黑名单”中，在设定的时间范围内禁止对黑名单所对应的用户主机提供数据报文转发和协议报文处理；该方式可以在一定时间范围内禁止该非法DOS攻击用户主机以当前的IP/MAC地址进行攻击，但不能隔离通过其它MAC/IP地址欺骗继续进行攻击。另外一种实施方式，我们通过可以在用户端口配置表中设立“最大MAC/IP地址数”表项，将该非法DOS攻击用户主机地址进行从当前地址表中删除后，在设定的时间范围内限制该端口下用户主机的MAC或/和IP地址个数仅仅为当前合法通信用户主机数目，并在设定时间结束后恢复该端口的原先配置的MAC/IP地址个数；该方式在保证现有合法用户主机正常通信的基础上，可以防止非法DOS攻击用户主机通过修改MAC地址继续进行攻击。

本发明不限于通过判断用户主机协议数据包速率超过门限来判断是否非法DOS攻击用户主机。

最后，步骤S22中，根据所述更新的用户端口配置仅对合法用户主机提供通信服务(进行地址学习和报文转发和处理)。

对不符合用户端口配置下的用户主机的协议报文和数据报文，可以采取丢弃的方式进行处理；

网络接入设备根据前述更新的该用户端口配置进行“动态端口地址学习”、“黑名单”、“最大MAC/IP地址数”等表项决定用户主机接入网络及进行协议报文处理和数据报文转发等，其对应的操作处理方式在前面表项设置中已经进行说明，这里不再累述。

图3是根据本发明的一种通信网络接入设备结构实施例，它包括检测装置30、判断装置31、控制装置32。

来自一用户端口N的不同用户主机22、23、24的协议报文P1、P2、P3首先通过检测装置30进行协议报文检测、协议数据报文速率检测，检测装置可以针对不同的攻击类型采用不同的监视手段或其进一步组合。这里示例的IP/MAC地址检测单元301可以提取协议报文中的IP/MAC地址，例如来自用户主机22的协议报文P1中记载的IP-MAC地址为192.168.1.100-＞04:0F:B8:88:11:2D；来自用户主机23的协议报文P2中记载的IP-MAC地址为192.168.1.120-＞06:0F:B8:88:21:2D，来自用户主机23的协议报文P2中记载的I P-MAC地址为192.168.1.130-＞07:0F:B8:88:23:2D；来自用户主机24的协议报文P2中记载的I P-MAC地址为192.168.1.140-＞07:0F:B4:88:33:2D；之后，每个用户主机对应的协议报文被转发至相应的协议报文速率检测装置302，它可以采用计数器方式对每秒钟进入该用户端口的特定用户主机的指定类型协议报文数量进行统计，哪些类型的协议报文缺陷容易被利用发起DOS攻击，即可被指定作为统计对象。例如用户主机22当前所对应的指定协议报文速率为1个/s；用户主机23当前所对应的指定协议报文速率为7个/s。

判断装置31可包括端口配置表311和判断处理单元312，其中，端口配置表311配置有该端口下的用户主机信息以及相关能力信息，通常网络接入设备都具有DHCP Snooping功能，它在用户主机接入网络的时候分别采取监听DHCP-REQUEST广播报文和DHCP-ACK单播报文的方法来记录用户主机信息，例如：分配给用户主机的I P地址、MAC地址、端口信息；当然，上述用户主机信息可以通过静态配置方式预先配置。端口配置表中的相关能力信息可通过网络管理系统事先予以设定，例如：动态地址学习、该端口下的最大IP/MAC地址数限制，端口下每个用户主机协议数据包速率门限等。典型的端口配置表可参考如下表项：

表1：

判断处理单元312根据前述检测装置的结果并结合端口配置表311对非法DOS攻击用户主机进行鉴定并通过对端口配置表311的相关表项内容进行设置以隔离非法DOS攻击用户主机。

由于用户端口N下用户主机24的IP/MAC地址“192.168.1.140-＞07:0F:B4:88:33:2D”并不属于该端口下的用户主机。。。。。可以结合协议类型进一步判断认定产生该协议报文的用户主机24为非法DOS攻击用户主机？

由于用户端口N下的用户主机协议数据包速率门限为5个/s；而用户主机23被检测到的协议报文速率为7个/s、超过设定门限值，则认为协议报文发送处于超速状态，可以认定用户主机23为非法DOS攻击用户主机。

一种实施方式，判断处理单元312对端口配置表311中端口N对应的用户主机23记录(该其对应的IP/MAC地址为192.168.1.120-＞06:0F:B8:88:21:2D)予以删除、对该用户端口“动态端口地址学习”的选项设置为“否”，并启动相应定时器313在一定时间段后恢复该选项为“是”，那么控制装置33将在所设定的时间范围内禁止该用户端口下的所有用户主机的地址学习；该方式可能在设定时间范围内影响到该用户端口下新的合法用户主机加入，但不会影响正在通信的合法用户主机，也防止了DOS攻击用户主机23通过I P/MAC地址欺骗或获得其它IP地址接入继续进行攻击。

另外一种实施方式，判断处理单元312对端口配置表311中相应用户主机23的“黑名单”选项设置为“是”，并启动相应定时器314在一定时间段后恢复该选项为“否”，那么控制装置33将在设定的时间范围内禁止对黑名单所对应的用户主机23进行数据报文转发及协议报文的处理；该方式可以在一定时间范围内禁止该非法DOS攻击用户主机23以当前的IP/MAC地址进行攻击，但不能隔离通过MAC地址欺骗继续进行攻击。

另外一种实施方式，判断处理单元312对端口配置表311中端口N对应的用户主机23记录(该其对应的IP/MAC地址为192.168.1.120-＞06:0F:B8:88:21:2D)予以删除，并且将端口N“最大MAC/IP地址数”表项中的“3”修改为“1”(即仅仅允许当前合法用户主机22进行通信)，并启动相应定时器315在设定时间结束后恢复该端口所配置的最大MAC/IP地址数为“3“；那么控制装置33将在定时器315设定时间范围内仅对当前合法用户主机22的数据报文或协议报文进行转发或处理，而在设定时间结束后使该用户端口下的用户主机获得重新接入的机会(包括新用户主机的地址学习和数据、协议报文转发处理)。该方式在保证现有合法用户主机正常通信的基础上，可以防止非法DOS攻击用户主机23通过修改MAC地址继续进行攻击。

控制装置33根据所述用户端口配置仅对合法用户主机进行地址学习及报文转发和处理，对于来自用户端口配置表之外的用户主机24的协议或数据包P3可以先行采取丢弃的方式进行处理，对协议报文速率超过设定门限值的用户主机23，在一定时间范围内，控制装置33根据前述更新的该用户端口配置进行“动态端口地址学习”、拒绝“黑名单”用户主机、用户主机接入数量限制等措施防止非法DOS攻击主机接入网络，控制装置33其对应的操作处理方式在前面表项设置中已经进行说明，这里不再累述。

尽管上述说明为本发明提供了一些实施例，并非用来限定本发明的保护范围，本技术领域的专业人员可以在不脱离本发明的范围和精神的前提下，对实施例进行各种修改，这种修改均属于本发明的范围内。