專利名稱:用于在一個(gè)或多個(gè)分組網(wǎng)絡(luò)中惡意攻擊期間遞送控制消息的方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及針對(duì)基于分組的通信網(wǎng)絡(luò)的計(jì)算機(jī)安全技術(shù),更具體 地涉及用于在這種基于分組的網(wǎng)絡(luò)中檢測并通告廢除不期望的業(yè)務(wù) 量���,例如拒絕服務(wù)攻擊或另一惡意攻擊�。
背景技術(shù):
諸如拒絕服務(wù)(DoS)攻擊之類的惡意攻擊試圖使得計(jì)算機(jī)資源 對(duì)于其預(yù)期用戶不可用����。例如,對(duì)web服務(wù)器的DoS攻擊常常導(dǎo)致所主 持的網(wǎng)頁不可用���。當(dāng)需要將有限的資源分配給攻擊者而不是合法用戶 時(shí)�,DoS攻擊可以導(dǎo)致顯著的服務(wù)中斷���。發(fā)起攻擊的機(jī)器通常通過在 互聯(lián)網(wǎng)上發(fā)送大量的互聯(lián)網(wǎng)協(xié)議(IP)分組�,來造成針對(duì)攻擊目標(biāo)受 害者的損害。例如�����,DoS攻擊可以包括試圖"泛濫"網(wǎng)絡(luò)��,從而阻 止合法網(wǎng)絡(luò)業(yè)務(wù)量��;或試圖通過發(fā)送比服務(wù)器能夠處理的更多的請(qǐng)求 來中斷服務(wù)器�,從而阻止對(duì)一個(gè)或多個(gè)服務(wù)的訪問�。
已提出或建議了多種用于防御這種惡意攻擊的技術(shù)。例如���,名稱 為"Method and Apparatus for Defending Against Denial of ServiceAttacks in IP Networks by Target Victim Self-Identification and Control" 的美國專利申請(qǐng)11/197,842以及名稱為"Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks Based on Specified Source/Destination IP Address Pairs "的美國專禾U申請(qǐng) 11/197����,841公開了用于檢測并通告廢除DoS攻擊的技術(shù)����。
防御這種惡意攻擊的系統(tǒng)通常采用與客戶網(wǎng)絡(luò)相關(guān)聯(lián)的檢測器 以及服務(wù)提供者的網(wǎng)絡(luò)中的中央過濾器�����,以保護(hù)客戶網(wǎng)絡(luò)免于惡意攻 擊。通常����,檢測器將檢測對(duì)客戶網(wǎng)絡(luò)的惡意攻擊并向中央過濾器發(fā)送 一個(gè)或多個(gè)通告廢除或通知消息。例如���,在確定了惡意攻擊正在進(jìn)犯 客戶網(wǎng)絡(luò)時(shí)��,檢測器可以向中央過濾器發(fā)送一個(gè)或多個(gè)源/目的地IP地 址對(duì)�,該中央過濾器使服務(wù)提供者限制源IP地址和目的地IP地址與任 意所發(fā)送的源/目的地IP地址對(duì)的源IP地址和目的地IP地址相匹配的那 些IP分組的發(fā)送����,從而限制(或消除)惡意攻擊����。檢測器通常位于靠 近客戶網(wǎng)絡(luò)的位置。
然而�,惡意攻擊通常導(dǎo)致大量分組丟失��,使得很可能丟失或長時(shí) 間延遲從中央過濾器到檢測器的控制消息���。此外���,在惡意攻擊期間, 檢測器很可能繁忙并處于沉重的負(fù)擔(dān)下�����。防御這種惡意攻擊的現(xiàn)有系 統(tǒng)通常采用傳輸層安全(TLS)���、安全套接字層(SSL)、安全命令解釋 程序(SSH)或其他基于傳輸控制協(xié)議(TCP)的協(xié)議����,它們要求針 對(duì)向中央過濾器發(fā)送控制消息的肯定應(yīng)答。除了在惡意攻擊期間以外, 這樣的信道通常是足夠的�。在惡意攻擊期間,檢測器可能無法收到來 自中央過濾器的肯定應(yīng)答�����,或者該肯定應(yīng)答可能在檢測器的輸入緩沖 器超載時(shí)到達(dá)檢測器�。通常��,檢測器不能繼續(xù)處理�����,直到中央過濾器 適當(dāng)?shù)乜隙☉?yīng)答了所有在前的通告廢除消息����。
因此�����,需要如下的方法和設(shè)備用于在一個(gè)或多個(gè)分組網(wǎng)絡(luò)中惡 意攻擊期間向中央過濾器可靠地遞送控制消息��,而不需要中央過濾器 對(duì)檢測器進(jìn)行響應(yīng)
發(fā)明內(nèi)容
總體上�����,提供了如下的方法和設(shè)備用于例如在惡意攻擊期間��, 在一個(gè)或多個(gè)分組網(wǎng)絡(luò)中向中央過濾器可靠地遞送控制消息�,而不需 要中央過濾器對(duì)檢測器進(jìn)行響應(yīng)或肯定應(yīng)答���。根據(jù)本發(fā)明的一個(gè)方面��, 目標(biāo)受害者使用檢測器����、通過如下方式來防御不期望業(yè)務(wù)量基于對(duì) 從一個(gè)或多個(gè)源IP地址接收到的分組的分析��,確定目標(biāo)受害者接收到 不期望業(yè)務(wù)量;以及將通告廢除消息發(fā)送到與服務(wù)提供者相關(guān)聯(lián)的中 央過濾器�����,該通告廢除消息用于識(shí)別至少一個(gè)源計(jì)算設(shè)備的源地址�����, 其中��,該至少一個(gè)源計(jì)算設(shè)備向目標(biāo)受害者的分組發(fā)送將要經(jīng)受以下 一個(gè)或多個(gè)限制、丟棄�����、或允許���,并且�,使用無需來自中央過濾器 的即時(shí)肯定應(yīng)答的通告廢除協(xié)議來發(fā)送通告廢除消息���。
根據(jù)本發(fā)明的另一方面�����,可以向中央過濾器冗余地發(fā)送通告廢除
消息�����,且優(yōu)選地,通告廢除消息是自持的(selfcontained)。中央過濾 器和檢測器共享狀態(tài)信息���,并可選地維護(hù)對(duì)狀態(tài)信息的任何改變���。
根據(jù)本發(fā)明的另一方面����,所公開的通告廢除協(xié)議包括一個(gè)或多個(gè) 特征以避免針對(duì)通告廢除協(xié)議自身的惡意攻擊����。例如���,可選地�����,通告
廢除消息包括如下序列號(hào)(i)允許調(diào)解來自多個(gè)所述目標(biāo)受害者的 沖突通告廢除消息���;(ii)允許避免針對(duì)通告廢除協(xié)議的惡意攻擊�����;以 及(iii)允許丟棄通告廢除消息的副本���。
通過參考以下詳細(xì)說明以及附圖,將會(huì)對(duì)本發(fā)明以及本發(fā)明的其 他特征和優(yōu)點(diǎn)有更完整的理解�。'
圖l示出了本發(fā)明可操作的網(wǎng)絡(luò)環(huán)境;
圖2是圖1所示的中央過濾器系統(tǒng)的示意框圖3是圖1所示的檢測器的示意框圖4和圖5是描述了并入本發(fā)明特征的拒絕服務(wù)過濾過程的示例
性實(shí)現(xiàn)方式的流程圖6示出了針對(duì)UDP分組預(yù)先考慮的���、用于UDP請(qǐng)求的HMAC密 鑰���;以及
圖7示出了DP記錄報(bào)頭和報(bào)尾在安全可靠流內(nèi)的示例性布局。
具體實(shí)施例方式
本發(fā)明提供用于在一個(gè)或多個(gè)分組網(wǎng)絡(luò)中惡意攻擊期間向中央 過濾器可靠地遞送控制消息的方法和設(shè)備����。根據(jù)本發(fā)明的一個(gè)方面���, 針對(duì)客戶網(wǎng)絡(luò)處的檢測器與服務(wù)提供者的網(wǎng)絡(luò)處的中央過濾器之間的 通信提供通告廢除協(xié)議。在一個(gè)示例性實(shí)現(xiàn)方式中����,通告廢除協(xié)議包
括一對(duì)通信信道。第一通信信道是可靠的����、安全認(rèn)證后的流,如TLS 信道����。第二通信信道可以是在例如UDP頂部的���、不可靠的、認(rèn)證后的 非流協(xié)議����,其使用安全信道來引導(dǎo)認(rèn)證。例如����,可以采用用戶數(shù)據(jù)報(bào) 協(xié)議(UDP)來避免采用基于TCP的協(xié)議的傳統(tǒng)技術(shù)所需的即時(shí)肯定 應(yīng)答�����。在這種方式下�,如果例如由于惡意攻擊而使在從中央過濾器到 檢測器的返回路徑中存在大量分組丟失,其中中央過濾器的肯定應(yīng)答 很可能丟失��,則仍可以實(shí)現(xiàn)所期望的保護(hù)�。此外,使用在從檢測器到 中央過濾器的正向路徑上對(duì)控制消息的冗余發(fā)送來克服正向路徑上的 適中的分組丟失。通常���,在攻擊期間,優(yōu)選的是從檢測器向中央過濾 器發(fā)送多個(gè)冗余分組,而不是從中央過濾器向檢測器發(fā)送任意分組�。
圖1示出了本發(fā)明可操作的網(wǎng)絡(luò)環(huán)境100。如圖1所示�����,企業(yè)網(wǎng)150 使用以下結(jié)合圖3進(jìn)一步討論的檢測器300來保護(hù)自身免于惡意攻擊����。 企業(yè)網(wǎng)150允許企業(yè)用戶通過服務(wù)提供者網(wǎng)絡(luò)120訪問互聯(lián)網(wǎng)或另一網(wǎng) 絡(luò)��。服務(wù)提供者網(wǎng)絡(luò)120向企業(yè)網(wǎng)150的用戶提供服務(wù),并通過入口端 口115接收來自各個(gè)源的分組,以及將接收到的分組發(fā)送到企業(yè)網(wǎng)150 中所指示的目的地。
在一個(gè)示例性實(shí)施例中����,檢測器300與以下結(jié)合圖2進(jìn)一步討論的 中央過濾器200協(xié)作�,以保護(hù)自身免于惡意攻擊�。通常,如以下進(jìn)一步 討論的,檢測器300將檢測對(duì)企業(yè)網(wǎng)150的惡意攻擊(如拒絕服務(wù)攻擊), 并將通知由服務(wù)提供者維護(hù)的中央過濾器200。
中央過濾器200用于通過服務(wù)提供者網(wǎng)絡(luò)120來限制到達(dá)企業(yè)網(wǎng) 150的業(yè)務(wù)量。檢測器300通常位于企業(yè)網(wǎng)150中的防火墻之后,而且檢 測器300通常向ISP的中央過濾器200發(fā)送通告廢除消息����?���;诿Q為 "Method and Apparatus for Defending Against Denial of Service Attacksin IP Networks by Target Victim Self-Identification and Control"的美國 專利申請(qǐng)11/197,842以及名稱為"Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks Based on Specified Source/Destination IP Address Pairs"的美國專利申請(qǐng)l 1/197,841 ��,可以 實(shí)現(xiàn)檢測器300和中央過濾器200�,此處對(duì)這兩個(gè)專利申請(qǐng)進(jìn)行修改以 提供本發(fā)明的特征和功能��。
在確定了拒絕服務(wù)攻擊正在進(jìn)犯企業(yè)網(wǎng)150時(shí)��,檢測器300將一個(gè) 或多個(gè)源/目的地IP地址對(duì)發(fā)送到中央過濾器200,中央過濾器200使服 務(wù)提供者網(wǎng)絡(luò)120限制(例如��,阻止或速率限制)源IP地址和目的地IP 地址與任意所發(fā)送的源/目的地IP地址的源IP地址和目的地IP地址相匹 配的那些IP分組的發(fā)送���,從而限制(或消除) 一個(gè)或多個(gè)源設(shè)備110 對(duì)企業(yè)網(wǎng)150內(nèi)的攻擊受害者的拒絕服務(wù)攻擊?���?蛇x地,檢測器300使 用不可靠的UDP連接135或主安全認(rèn)證連接130來發(fā)送源/目的地IP地 址對(duì)。根據(jù)本發(fā)明的一個(gè)方面��,針對(duì)檢測器300與中央過濾器200之間 的通信提供通告廢除協(xié)議��。
因而��,拒絕服務(wù)攻擊的受害者可以通過向服務(wù)提供者通告廢除攻 擊者來進(jìn)行"后推(push back)"����,作為響應(yīng),該服務(wù)提供者將更新 要被阻止的源/目的地IP地址對(duì)的表���。更具體地����,在認(rèn)識(shí)到發(fā)生攻擊時(shí)�, 受害者(企業(yè)網(wǎng)150)將識(shí)別被認(rèn)為是攻擊的一部分的分組中所指定的 一對(duì)或多對(duì)源/目的地IP地址,并將這些IP地址對(duì)傳達(dá)給服務(wù)提供者以 由中央過濾器200進(jìn)行阻止����。
如圖1所示,將指定了訂戶(企業(yè)網(wǎng)150)的分組分成通常與"好" 和"差"業(yè)務(wù)量相對(duì)應(yīng)的類�����。例如�,分別遞送(允許)來自類別A105-A 的好業(yè)務(wù)量并速率限制或丟棄來自類別B 105-B和類別N 105-N的差業(yè) 務(wù)量。將源計(jì)算設(shè)備110分到N個(gè)示例性分類中的一個(gè)中�����,其中�,源計(jì) 算設(shè)備110將業(yè)務(wù)量發(fā)送到與企業(yè)網(wǎng)150相關(guān)聯(lián)的目的地地址。通告廢 除對(duì)好業(yè)務(wù)量與差業(yè)務(wù)量之間的邊界進(jìn)行移位�����。
注意��,根據(jù)特定的示意性實(shí)施例��,無需將攻擊者(即�����,識(shí)別出的 一個(gè)或多個(gè)源IP地址)從網(wǎng)絡(luò)完全切斷��,而只是禁止該攻擊者向受害 者(即�,識(shí)別出的一個(gè)或多個(gè)目的地IP地址)發(fā)送分組。特別是在識(shí)
8別出的一個(gè)或多個(gè)源IP地址表示針對(duì)對(duì)受害者的給定攻擊己被接管的 合法用戶(例如����,僵尸)及相關(guān)機(jī)器的情況下,這是有利的����。因此�����, 被接管的機(jī)器的擁有者可以繼續(xù)出于合法目的使用該系統(tǒng),然而同時(shí)����, 有利地挫敗了正在向受害者(很可能不為合法用戶所知)進(jìn)犯的攻擊�����。 此外要注意�����,根據(jù)這些示意性實(shí)施例的技術(shù)還有利地提供了保護(hù)以避 免給定的受害者過分熱心地識(shí)別攻擊者��。根據(jù)本發(fā)明的原理�����,由于對(duì) 攻擊的識(shí)別由明顯受害者的判斷進(jìn)行處理�,因此,明顯有利地�,只有 去往給定受害者的業(yè)務(wù)量被切斷或被限制��。
受害者可以通過具有變化的簡單或復(fù)雜程度的一個(gè)或多個(gè)算法 來辨別惡意攻擊�,該一個(gè)或多個(gè)算法在本發(fā)明的范圍之外��,但是對(duì)于 本領(lǐng)域技術(shù)人員而言�,其中多個(gè)算法是明顯的���。例如�����,根據(jù)本發(fā)明的 一個(gè)示意性實(shí)施例����,可以檢查分組蹤跡����,并且可以僅基于來自單個(gè)識(shí) 別出的源或多個(gè)識(shí)別出的源的非常高的業(yè)務(wù)量水平(例如,高分組速 率)的存在來識(shí)別攻擊�����。要注意�,這是一種識(shí)別拒絕服務(wù)攻擊的存在 的傳統(tǒng)方法�����,并將為本領(lǐng)域普通技術(shù)人員所熟知��。
然而�����,在其他實(shí)現(xiàn)方式中��,可以執(zhí)行基于應(yīng)用的��、對(duì)分組內(nèi)容和 應(yīng)用日志的分析���,以識(shí)別具有可疑性質(zhì)的分組、分組序列或動(dòng)作���,例 如辨別己有對(duì)不存在的數(shù)據(jù)庫元素的頻繁數(shù)據(jù)庫搜索����;辨別已有明 顯由人發(fā)出的多個(gè)請(qǐng)求���,其發(fā)生的速率高于人能發(fā)起它們的速率��;識(shí) 別句法上無效的請(qǐng)求�;以及識(shí)別正常發(fā)生的活動(dòng)的操作中特別敏感時(shí) 刻的可疑業(yè)務(wù)量量。例如���,如果股票交易網(wǎng)站注意到在即將到來的股 票交易期間的敏感時(shí)刻的特別具有破壞性的業(yè)務(wù)量�����,則可能識(shí)別較后 一類可疑分組的示例。在此外的變體中����,有利地,可以在更復(fù)雜的分 析中組合可能的攻擊的多個(gè)不同標(biāo)記(例如�����,其可包括一個(gè)或多個(gè)的 上述情況)�,以識(shí)別攻擊的存在。
示例性檢測系統(tǒng)可以工作于兩種模式中的一種���。當(dāng)區(qū)域處于"缺 省丟棄"模式時(shí)�����,缺省的行為是對(duì)除了在缺省丟棄中明確列出的業(yè)務(wù) 量以外的所有指定該區(qū)域的業(yè)務(wù)量進(jìn)行過濾�。通常,在缺省丟棄模式 下����,除了被明確授權(quán)(例如,與預(yù)定義的允許過濾器相匹配)的情況 以外�����,過濾器都將自動(dòng)丟棄所有業(yè)務(wù)量��。另一方面���,當(dāng)區(qū)域處于缺省
9允許模式時(shí)���,除了與預(yù)定義的丟棄過濾器明確匹配的業(yè)務(wù)量以外,過 濾器使所有去往該訂戶的業(yè)務(wù)量通過�����。
圖2是圖1中可實(shí)現(xiàn)本發(fā)明的過程的中央過濾器系統(tǒng)200的示意框 圖����。如圖2所示���,存儲(chǔ)器230配置處理器220以實(shí)現(xiàn)此處所公開的拒絕服 務(wù)過濾方法、步驟和功能���。存儲(chǔ)器230可以是分布式的或本地的�����,并且 處理器220可以是分布式的或單一的����?��?梢詫⒋鎯?chǔ)器230實(shí)現(xiàn)為電存儲(chǔ) 器、磁存儲(chǔ)器���、光存儲(chǔ)器或者這些或其他類型的存儲(chǔ)設(shè)備的任意組合�。 應(yīng)當(dāng)注意�����,構(gòu)成處理器220的每一個(gè)分布式處理器通常包含其自身的可 尋址存儲(chǔ)空間���。還應(yīng)當(dāng)注意����,可以將計(jì)算機(jī)系統(tǒng)200的一些或全部并入 專用或通用的集成電路中。
如圖2所示��,示例性存儲(chǔ)器230包括以下結(jié)合圖4進(jìn)一步討論的拒 絕服務(wù)過濾器規(guī)則庫260和一個(gè)或多個(gè)拒絕服務(wù)過濾過程400�����。通常�, 示例性拒絕服務(wù)過濾器規(guī)則庫260是包含與應(yīng)由中央過濾器200所限制 或允許的業(yè)務(wù)量相關(guān)聯(lián)的源/目的地地址對(duì)的傳統(tǒng)過濾器庫。拒絕服務(wù) 過濾過程400是根據(jù)本發(fā)明的�、用于防御拒絕服務(wù)或其他攻擊的示例性 方法。
可以將中央過濾器200實(shí)現(xiàn)為服務(wù)提供者網(wǎng)絡(luò)120中包括的單機(jī) 盒����,或備選地,實(shí)現(xiàn)為被并入已存在于網(wǎng)絡(luò)120中的其他傳統(tǒng)網(wǎng)元中的 線卡(linecard)�。此外,根據(jù)特定的示意性實(shí)施例���,有利地�,網(wǎng)絡(luò)120 內(nèi)相對(duì)靠近攻擊原點(diǎn)的位置處的承載者布置中央過濾器200,或者可以 首先放置中央過濾器200以有利地使最優(yōu)客戶防御攻擊��。
圖3是圖1所示的��、可實(shí)現(xiàn)本發(fā)明的過程的檢測器300的示意框圖����。 如圖3所示,存儲(chǔ)器330配置處理器320以實(shí)現(xiàn)此處所公開的拒絕服務(wù)過 濾方法�、步驟和功能。存儲(chǔ)器330可以是分布式的或本地的�����,并且處理 器320可以是分布式的或單一的�。可以將存儲(chǔ)器330實(shí)現(xiàn)為電存儲(chǔ)器����、 磁存儲(chǔ)器�、光存儲(chǔ)器或者這些或其他類型的存儲(chǔ)設(shè)備的任意組合。應(yīng) 當(dāng)注意���,構(gòu)成處理器320的每一個(gè)分布式處理器通常包含其自身的可尋 址存儲(chǔ)空間�。還應(yīng)當(dāng)注意,可以將計(jì)算機(jī)系統(tǒng)300的一些或全部并入專 用或通用的集成電路中����。如圖3所示,示例性的存儲(chǔ)器330包括以下結(jié) 合圖5進(jìn)一步討論的一個(gè)或多個(gè)拒絕服務(wù)檢測過程500���。圖4是描述了并入本發(fā)明特征的拒絕服務(wù)過濾過程400的示例性 實(shí)現(xiàn)方式的流程圖����。要注意��,針對(duì)"缺省允許"模式實(shí)現(xiàn)示例性的拒 絕服務(wù)過濾過程400�。對(duì)于本領(lǐng)域普通技術(shù)人員而言,針對(duì)"缺省丟 棄"模式的實(shí)現(xiàn)方式將會(huì)是顯而易見的��。通常����,拒絕服務(wù)過濾過程400 是根據(jù)本發(fā)明的、用于防御拒絕服務(wù)或其他攻擊的示例性方法�。示意 性的拒絕服務(wù)過濾過程400在中央過濾器200處執(zhí)行并在步驟410期間 開始,從檢測器300接收拒絕服務(wù)攻擊正在進(jìn)犯企業(yè)網(wǎng)150中的給定目 標(biāo)受害者的UDP指示�。
此后,在步驟420期間��,網(wǎng)絡(luò)承載者從檢測器300接收表示為了挫 敗拒絕服務(wù)攻擊而應(yīng)被阻止的IP分組的一個(gè)或多個(gè)源/目的地IP地址 對(duì)。示意性地��,源IP地址是發(fā)起攻擊的(例如��,"僵尸")計(jì)算設(shè)備 IIO的IP地址���,而目的地IP地址是與目標(biāo)受害者自身相關(guān)聯(lián)的IP地址��。 如以下討論的���,根據(jù)DP來發(fā)送來自檢測器300的消息。
然后��,在步驟430期間��,網(wǎng)絡(luò)承載者監(jiān)控IP分組業(yè)務(wù)量���,以識(shí)別源 和目的地IP地址與接收到的源/目的地IP地址對(duì)中的一個(gè)相匹配的那 些IP分組��。在步驟440期間執(zhí)行測試,以確定是否一個(gè)或多個(gè)分組與拒 絕服務(wù)過濾器規(guī)則庫260中的地址對(duì)相匹配���。
如果在步驟440期間確定了一個(gè)或多個(gè)分組與拒絕服務(wù)過濾器規(guī) 則庫260中的地址對(duì)相匹配��,則在步驟460期間丟棄或限制分組�。如果 在步驟440期間確定了一個(gè)或多個(gè)分組與拒絕服務(wù)過濾器規(guī)則庫260中 的地址對(duì)不匹配,則在步驟470期間允許向企業(yè)網(wǎng)150發(fā)送該分組�。
圖5是描述了并入本發(fā)明特征的拒絕服務(wù)檢測過程500的示例性 實(shí)現(xiàn)方式的流程圖。通常�,拒絕服務(wù)檢測過程500是根據(jù)本發(fā)明的、用 于防御拒絕服務(wù)或其他攻擊的示例性方法�����。示意性的拒絕服務(wù)檢測過 程500在目標(biāo)受害者處由檢測器300執(zhí)行并在步驟510期間開始����,基于對(duì) 接收到的IP分組的分析來確定拒絕服務(wù)攻擊或另一惡意攻擊正在進(jìn)犯 該目標(biāo)受害者。然后��,在步驟520期間�,識(shí)別表示為了挫敗拒絕服務(wù)攻 擊而應(yīng)被阻止的IP分組的一個(gè)或多個(gè)源/目的地IP地址對(duì)。(示意性 地�,源IP地址是發(fā)起攻擊的"僵尸"機(jī)器110的IP地址,而目的地IP地 址是與目標(biāo)受害者自身相關(guān)聯(lián)的IP地址�����。)最后��,在步驟530期間,使用所公開的DP將所識(shí)別出的源/目的地IP地址對(duì)發(fā)送到受害者的承載
者網(wǎng)絡(luò)的中央過濾器200���,以使承載者網(wǎng)絡(luò)能夠阻止具有匹配的源和目 的地IP地址的IP分組的發(fā)送��。
通告廢除協(xié)議
在一個(gè)示例性實(shí)現(xiàn)方式中��,檢測器300與中央過濾器200之間的通 告廢除協(xié)議(DP)通信信道由針對(duì)通告廢除的UDP端口和針對(duì)大多數(shù) 其他通信的TLS連接組成��。DP事務(wù)有兩種類型���。第一種基于UDP,由 從檢測器300到中央過濾器200的�����、可能由來自中央過濾器200的可選響 應(yīng)進(jìn)行應(yīng)答的請(qǐng)求分組組成�。第二種通常基于TLSvl�����,由最終在對(duì)應(yīng) 的記錄中應(yīng)答的SSL "記錄"組成����。多數(shù)DP事務(wù)由檢測器300發(fā)起。根 據(jù)本發(fā)明的一個(gè)方面�����,多數(shù)DP請(qǐng)求不要求響應(yīng)或肯定應(yīng)答�。
基本的DP事務(wù)是從檢測器300到中央過濾器200的通告廢除。每一 個(gè)檢測器300代表"區(qū)域"來說出(speak)作為訂戶(企業(yè)網(wǎng)150)所 擁有的IP地址的子集的IP地址集����。檢測器300被說成"屬于"該區(qū)域。 檢測器300通告廢除指定其所屬區(qū)域的業(yè)務(wù)量�����。(檢測器300自身的IP 地址不必是其所屬區(qū)域的一部分)���。
檢測器300發(fā)起所有的通告廢除事務(wù)���。在訂戶最不可能想要接收 分組時(shí)(當(dāng)其超載時(shí)),最有可能發(fā)送來自該訂戶的通告廢除���。同樣在 那時(shí)����,雖然還可能(甚至很可能)從訂戶到中央過濾器200的路徑上的 分組丟失率比平常高,并且中央過濾器200可能比平常忙一些�,但來自 訂戶的入站(inbound)路徑不太可能像遭受攻擊的、去往訂戶的路徑 一樣嚴(yán)重超載�。從訂戶到中央過濾器200的路徑處于服務(wù)提供者的網(wǎng)絡(luò) 之內(nèi)。因此�����,所公開的DP嘗試避免在通告廢除時(shí)向訂戶發(fā)起任何業(yè)務(wù) 量���。因此����,并沒有可靠地發(fā)送通告廢除一一沒有從中央過濾器200接收 到肯定應(yīng)答��。
更確切地�,訂戶優(yōu)選地發(fā)送每一個(gè)通告廢除請(qǐng)求的多個(gè)副本,而 不會(huì)讓中央過濾器200發(fā)送甚至一個(gè)響應(yīng)���。該多個(gè)副本增大了通告廢除 請(qǐng)求安全到達(dá)中央過濾器200的可能性���。例如,如果發(fā)送5個(gè)副本,并 隨機(jī)丟棄分組�����,那么即使分組丟失率是20% (且丟棄率通?����?隙ㄔ?% 以下)�����,該請(qǐng)求的至少一個(gè)副本將會(huì)到達(dá)的幾率也極高�����。利用這些示例性的數(shù)字(20%的分組丟失率和5個(gè)副本)��,在假定展開分組發(fā)送以使
得所有的丟失都獨(dú)立的情況下�����,至少一個(gè)副本到達(dá)的幾率仍大于
99.96%����。
相同的推理還保證使每一個(gè)分組都是自持的,以便不會(huì)不必要地 依賴于按次序到達(dá)的分組��。如前所示��,DP事務(wù)一般由企業(yè)(通過檢測 器300)發(fā)起��,而從不由中央過濾器200發(fā)起�。這一點(diǎn)部分地是由上述 考慮促成的,并且也是為了維護(hù)請(qǐng)求/響應(yīng)模型以對(duì)企業(yè)周圍的防火墻 更加友好�����,并增大DP分組能夠安全到達(dá)的可能性�����。
中央過濾器200確定正式安裝了哪些過濾器規(guī)則����。檢測器300僅向 中央過濾器200發(fā)布通告廢除。并沒有堅(jiān)定地保證該通告廢除將到達(dá)中 央過濾器200�����。此外����,針對(duì)目的地的給定區(qū)域���,多于一個(gè)檢測器300可 以通告廢除不友好的源。因此��,檢測器300無法確定地知道已安裝的過 濾器的集合�。所期望的是,訂戶知道實(shí)際安裝了哪些過濾器���、哪些過 濾器從未到達(dá)中央過濾器200、以及其他檢測器300 (或由于沖突(如 下所示))已移除或創(chuàng)建哪些過濾器���。為此����,當(dāng)事情稍微平息下來時(shí)�����, 訂戶可以請(qǐng)求來自中央過濾器200的狀態(tài)報(bào)告�。該狀態(tài)報(bào)告列出哪些請(qǐng) 求己達(dá)到、安裝了哪些過濾器以及其他信息(以下詳細(xì)說明)����。
為了可靠地接收該狀態(tài)并引導(dǎo)認(rèn)證���,所公開的DP提供了每一個(gè)檢 測器300與中央過濾器200之間的(可靠)通信信道(TLS)。
中央過濾器200和每一個(gè)檢測器300必須協(xié)作以維護(hù)一些共享狀 態(tài)����。最明顯的共享狀態(tài)是己安裝的過濾器規(guī)則的集合���,但還存在與DP 自身相關(guān)的其他共享狀態(tài)�,如通告廢除的序列號(hào)和用于認(rèn)證的信息����。 該示例性實(shí)施例只要求適度同步的時(shí)鐘��。為了避免對(duì)在檢測器300或中 央過濾器200上運(yùn)行不必要的任何東西的需要,所公開的DP提供了非 常粗時(shí)鐘"同步"����,從而不需要運(yùn)行以下在名為"B認(rèn)證"的部分中 所討論的網(wǎng)絡(luò)時(shí)間協(xié)議(NTP)����。無論如何����,很多訂戶將希望在檢測器 300上運(yùn)行NTP����,以簡化企業(yè)網(wǎng)上的事件相關(guān)性(但這不是DP工作所 需要的)�����。
對(duì)于過濾器和協(xié)議狀態(tài),所公開的DP命令檢測器300和中央過濾 器200就初始共享狀態(tài)可靠地達(dá)成一致�����,然后�,兩側(cè)都留意該狀態(tài)隨時(shí)
13間的改變。在檢測器300與中央過濾器200之間不相符的情況下��,中央 過濾器200總是具有共享狀態(tài)的"真實(shí)"描繪��。保持同步的過濾器狀態(tài) 的量取決于檢測器300 (其可能根本不考慮過去的通告廢除����,并使其所 有的分析都基于當(dāng)前的業(yè)務(wù)量流)��。DP需要協(xié)議狀態(tài)��。
檢測器300可以通過周期性的狀態(tài)請(qǐng)求來與中央過濾器200重新 同步過濾器狀態(tài)�。通常�����,中央過濾器200只返回自上一個(gè)狀態(tài)請(qǐng)求起的 過濾器狀態(tài)改變(雖然也可以返回所有當(dāng)前活動(dòng)的過濾器而不管是何 時(shí)安裝的����,如果被這樣請(qǐng)求了的話)��。通常���,中央過濾器200返回該區(qū) 域中所有檢測器300的過濾器�����,但如果被請(qǐng)求,則可以只返回由該檢測 器300請(qǐng)求的通告廢除����。
檢測器300可以通過同步請(qǐng)求來重新同步序列號(hào)和認(rèn)證密鑰����。在 同步事務(wù)中��,檢測器300單方面地選擇新的序列號(hào)��,并且中央過濾器200 產(chǎn)生用于認(rèn)證的新會(huì)話密鑰����。
在檢測器300崩潰或不知何故丟失信息的情況下����,檢測器300可以 請(qǐng)求所有過濾器規(guī)則而不僅僅是最近的過濾器規(guī)則��。在任何時(shí)候,檢 測器300都可以重新協(xié)商用于通告廢除的認(rèn)證信息(如下所示)�����。
在中央過濾器200重新設(shè)置所有過濾器規(guī)則(區(qū)域改變�����、模式改 變或一些致命的數(shù)據(jù)庫崩潰)的情況下�����,中央過濾器200故意忘記其與 檢測器300的關(guān)聯(lián)����,提示下一檢測器事務(wù)返回來自中央過濾器200的重 新同步響應(yīng)。當(dāng)檢測器300與中央過濾器200進(jìn)行重新同步時(shí)��,中央過 濾器200可以告知檢測器300其先前的狀態(tài)不再有效�����;這需要請(qǐng)求完整 的狀態(tài)�����。
中央過濾器200可以接收殘缺的(malformed)或未經(jīng)認(rèn)證的分組����。 在這種情況下�����,中央過濾器200向(合法的)發(fā)送者返回錯(cuò)誤分組�,例 如�,對(duì)于每一個(gè)主機(jī)最多到每30秒一個(gè)錯(cuò)誤分組的最大速率����。例如����, 可以設(shè)置速率限制以避免攻擊者使用通告廢除協(xié)議來發(fā)動(dòng)拒絕服務(wù)攻 擊����。
沖突通告廢除
如果分組與分類相匹配�,則通告廢除可以指定多個(gè)不同的可能動(dòng) 作。因而可能會(huì)發(fā)生沖突�。例如����, 一個(gè)檢測器300可以指出���,整個(gè)子網(wǎng)
1似乎將發(fā)動(dòng)網(wǎng)絡(luò)爬蟲(web crawler)并應(yīng)被限制速率����。另一檢測器300 可以檢測發(fā)動(dòng)實(shí)際攻擊的該子集中的特定主機(jī)���,并指出應(yīng)當(dāng)丟棄來自 該主機(jī)的所有分組��。在這種有沖突的情況下�����,毋庸置疑���,與前一個(gè)規(guī) 則相比��,后一個(gè)規(guī)則更為明確其涉及單個(gè)主機(jī),并表示要丟棄而不 是僅對(duì)該源進(jìn)行速率限制��。在這種沖突中��,有理由主張更嚴(yán)格的規(guī)則 適用��。然而��,假設(shè)所請(qǐng)求的動(dòng)作是相反的 一個(gè)檢測器300請(qǐng)求對(duì)單個(gè) 源進(jìn)行速率限制����,而另一檢測器300請(qǐng)求丟棄來自該子網(wǎng)(包括該源) 的所有分組??梢灾鲝埱耙粋€(gè)規(guī)則更明確(其涉及單個(gè)主機(jī)而不是整 個(gè)子網(wǎng))或完全平等地主張后一個(gè)規(guī)則更嚴(yán)格(其表示要丟棄分組而 不是僅將其變少)。該示例性實(shí)施例采用了最明確的源地址優(yōu)先的慣 例���。
然而,為清楚起見�����,對(duì)于檢測器300而言最佳的實(shí)踐是避免發(fā)布 沖突規(guī)則�。在發(fā)布新的集合之前總是可能取消現(xiàn)有的沖突規(guī)則���。然而, 假定通告廢除不可靠�����,可以想到�����,在發(fā)現(xiàn)更早的沖突規(guī)則被取消之前��, 中央過濾器200將接收新的規(guī)則。此外,假定多個(gè)檢測器300管理相同 的區(qū)域�,兩個(gè)檢測器300可能獨(dú)立地發(fā)布沖突通告廢除而沒有放棄沖
應(yīng)當(dāng)指定中央過濾器200在遭遇沖突時(shí)的行為�����。在一個(gè)示例性的
實(shí)現(xiàn)方式中���,基本策略是在有沖突的情況下(兩個(gè)規(guī)則具有相同的
源地址指定,但具有兩個(gè)不同的動(dòng)作和原因),較晚的規(guī)則推翻較早的 規(guī)則。("較后的"指的是在規(guī)則到達(dá)中央時(shí))
DP協(xié)議算法 丄樣游發(fā)送
如上所討論的��,應(yīng)當(dāng)將分組從檢測器300發(fā)送到中央過濾器200�����, 而不是沿另一個(gè)方向從中央過濾器200發(fā)送到檢測器300���。此外�,每一 個(gè)分組可以自我支持而不需要按次序遞送��。因此�����,所公開的DP通過發(fā) 送每一個(gè)分組的多個(gè)副本來選擇在概率上改進(jìn)成功到達(dá)的幾率���,而不 是保證每一個(gè)通告廢除分組都到達(dá)�,并依次到達(dá)。例如����,響應(yīng)于同步 (SYNCH)請(qǐng)求,在UDP分組中將DP通告廢除請(qǐng)求發(fā)送到所指定的 中央過濾器200上的端口。通常�,將每一個(gè)通告廢除分組發(fā)送P次,而
15且不需要肯定應(yīng)答����。在一個(gè)示例性的實(shí)現(xiàn)方式中�,P被固定為5,并且 不提供對(duì)分組步長的正式要求。
針對(duì)次序的要求(假定規(guī)則為在沖突消解規(guī)則沒有選擇清楚贏 家的直接沖突過濾器規(guī)則的情況下�����,最新的規(guī)則推翻較早的規(guī)則),根 據(jù)應(yīng)用來傳遞DP序列號(hào)以確定發(fā)送次序��。針對(duì)來自多個(gè)檢測器300的
通告廢除�����,中央過濾器200充當(dāng)串行化器�����。通過序列號(hào)對(duì)來自單個(gè)檢測 器300的請(qǐng)求明確地進(jìn)行排序��。中央過濾器200單方面地決定交織的次 序�。中央過濾器200記住每一個(gè)檢測器300按照全局次序在何處最后接 收到狀態(tài)響應(yīng)�。
發(fā)送多個(gè)分組背后的意圖是確保每一個(gè)分組的至少一個(gè)副本到 達(dá)中央過濾器200�,而不是用分組來泛濫中央過濾器200����。此外,攻擊 者不應(yīng)具有借以對(duì)所公開的DP發(fā)動(dòng)DoS攻擊的施加點(diǎn)(point of leverage)�����。平均下來���,中央過濾器200應(yīng)對(duì)每個(gè)事務(wù)處理一個(gè)分組�����。中 央過濾器200認(rèn)證每一個(gè)分組以確定其被正確的檢測器300所發(fā)送的要 求意味著分組處理可能成本較高��。
在無需高成本的計(jì)算的情況下可以丟棄大多數(shù)冗余分組。在一個(gè) 實(shí)現(xiàn)方式中��,首先執(zhí)行成本最低的測試�����。例如��,序列號(hào)未被加密���,且 該序列號(hào)檢査通告廢除請(qǐng)求在計(jì)算上成本較低。類似地,檢査檢測器 名稱是否是已知的成本也較低。在執(zhí)行其他測試之前��,易于丟棄復(fù)制 的請(qǐng)求和超出范圍的序列號(hào)�����。
在所公開的DP中,檢測器300基于UDP發(fā)起通告廢除事務(wù)�����。針對(duì) 其他請(qǐng)求,DP維護(hù)了單獨(dú)的TLS連接(基于TCP)�����。
及
在該示例性實(shí)現(xiàn)方式中DP的基本認(rèn)證機(jī)制是由具有客戶端證書 的TLSvl提供的認(rèn)證握手�����。將受托的ISP證書權(quán)力機(jī)構(gòu)的公共密鑰預(yù)先 加載進(jìn)中央過濾器200和每一個(gè)檢測器300中�。每一個(gè)檢測器300和中央 過濾器200具有針對(duì)由該認(rèn)證權(quán)力機(jī)構(gòu)(CA)簽名的公共密鑰的證書��。 此外,向訂戶檢測器300提供中央過濾器200的完全合格的域名��,該域 名也是服務(wù)器證書主題的CN部分。密鑰與檢測器的"名稱"相關(guān)聯(lián)�,而不是與檢測器的IP地址相關(guān) 聯(lián)�,其IP地址可能由于多種原因而改變�。如下所提到的,在任何時(shí)候��,
DP強(qiáng)制具有給定名稱的一個(gè)檢測器300的最大值。遵循標(biāo)準(zhǔn)的TLS協(xié) 議���,中央過濾器200發(fā)送證書請(qǐng)求消息,該消息指定了中央過濾器200 將只接收由CA簽名的證書�。作為客戶端認(rèn)證過程的一部分����,檢測器300 使用兩個(gè)消息作出響應(yīng)。首先�����,檢測器300提供包含檢測器的名稱和檢 測器的公共密鑰的證書。其次�,檢測器300發(fā)送證書校驗(yàn)消息��,該消息 包含由檢測器的私有密鑰簽名的所有TLS握手消息的摘要?��,F(xiàn)在�����,中 央過濾器200可以將客戶端認(rèn)證為在證書中所提到的檢測器300。
一旦建立了TLSvl連接��,在可以基于UDP發(fā)布任何通告廢除之前���, 中央過濾器200就應(yīng)使用安全加密信道向檢測器300發(fā)送隨機(jī)選擇的 160比特的秘密隨機(jī)數(shù)(nonce)����。
認(rèn)證每一個(gè)DP通告廢除分組。在一個(gè)示例性實(shí)施例中�,所公開的 DP中的通告廢除是由以下(a)�����、 (b)���、 (c)和(d)的加密散列(hash) 認(rèn)證的(a) UDP分組內(nèi)容;(b)計(jì)時(shí)器(自RSTART起的"單位" 數(shù)�����,其中在同步期間建立了 "單位"的長度和RSTART的時(shí)間)��;(c) 秘密隨機(jī)數(shù);以及(d) TLS信道所使用的DP端口號(hào)���。(b)是對(duì)重放 攻擊的最小防御,(c)向中央過濾器200認(rèn)證檢測器300�����。該示例性實(shí) 施例中所使用的MAC功能是HMAC-SHA1 (詳情參見互聯(lián)網(wǎng)RFC 2104)�,上述額外字段被用作HMAC密鑰。
分組中可以包括20比特的序列號(hào)�����,并且假定在單位計(jì)數(shù)器遞增之 前����,每一個(gè)服務(wù)器發(fā)送少于22()個(gè)請(qǐng)求�。DP的端點(diǎn)只接受具有給定序列 號(hào)的第一有效分組��。到序列號(hào)繞回時(shí)����,單位計(jì)數(shù)器已遞增以防御簡單 的重放攻擊���。檢測器300包括作為序列號(hào)高位比特(第21個(gè)比特)的單 位計(jì)數(shù)器號(hào)碼的低位比特�。這就允許"日期"(自RSTART時(shí)間起的 單位數(shù))在檢測器300上以相對(duì)于中央過濾器200的任意時(shí)間改變�,并 且中央過濾器200仍可以計(jì)算出隱藏日期是什么(只要每"天"(單位) 有至少一個(gè)同步交換)����。這就允許避免了對(duì)緊同步時(shí)鐘的需要。
在檢測器300試圖在時(shí)間單位內(nèi)發(fā)送多于22()個(gè)分組的不太可能的 情況下,檢測器300應(yīng)當(dāng)請(qǐng)求來自中央過濾器200的新的安全隨機(jī)數(shù)���。檢測器300對(duì)單位的長度(表示為一天的幾分之幾)進(jìn)行選擇以使序列
號(hào)不太可能繞回���。
計(jì)算這些加密散列可能看起來成本較高��,并且發(fā)送每個(gè)分組的多 個(gè)副本可能會(huì)使費(fèi)用劇增。然而����,需要注意, 一旦成功接收到給定的 序列號(hào)�����,在無需計(jì)算散列的情況下便可以丟棄任何副本。來自攻擊者 的隨機(jī)構(gòu)建的分組不太可能被接受�,這是因?yàn)榭山邮苄蛄刑?hào)的窗口與
整個(gè)序列號(hào)空間相比非常小。中央過濾器200丟棄所期望的窗口之外的
分組�。此外的開窗可以基于檢測器的名稱例如����,可以在2字節(jié)的字段
內(nèi)以大約100個(gè)有效值稀疏地分配檢測器的名稱�。
如果考慮到攻擊者可能窺探(snoop)到通告廢除請(qǐng)求,同時(shí)復(fù)制 檢測器的名稱�、捕獲序列號(hào)、然后發(fā)送窗口中最后一個(gè)分組的多個(gè)差 的副本�,則可以提供一種抵御窺探器的快速丟棄方法。實(shí)際上�����,期望 將不必須有這種額外水平的保護(hù)一一在接收機(jī)處,執(zhí)行SHA1散列的成 本將不是證明所增加的復(fù)雜度的合理性的充分瓶頸�。然而,以下討論 該安全快速丟棄方法���。
C.安全汰遂丟,
安全快速丟棄方法是可選的�。在示例性的DP版本中的通告廢除分 組中提供了針對(duì)該可選方法的空間,但除非實(shí)際確定了需要該保護(hù)��, 不然將不會(huì)在DP中啟用該安全快速丟棄算法�����。
基本途徑如下每一個(gè)通告廢除請(qǐng)求將包括計(jì)算L比特字符串
Sr^的簡易性(臨時(shí)地��,L=5����,以使得該字符串適合于序列號(hào)字段的填 充)����。SL是序列號(hào)與由中央過濾器200在SSL信道上提供的秘密密鑰對(duì) 的簡單函數(shù)的結(jié)果�����。在計(jì)算上��,檢驗(yàn)分組是否有效的成本不高一一如 果Sl不是所期望的信����,則丟棄分組。確定分組是否有效仍然需要對(duì)加 密散列的檢驗(yàn)一一但大約每序列號(hào)發(fā)生 一 次��。
當(dāng)檢測器300與中央過濾器200對(duì)HMAC-SHA1散列的共享密鑰進(jìn) 行同步時(shí),中央過濾器200還應(yīng)提供字符串長度L、密鑰長度B、 B+L 比特的字符串S�、以及小整數(shù)K��,以使得KK^B。這些都不為攻擊者所 知,雖然L和B可能改變不頻繁且在與S和K相同的意義上不應(yīng)被視為 "秘密"���。針對(duì)具有序列號(hào)s的通告廢除請(qǐng)求,SL是在比特位置b處開始的S中的L比特子串�����。b是s����、 B和K的函數(shù)���。將Sl插入分組的 HMAC-SHAl散列的第bO個(gè)位置處(將SHA1散列的長度擴(kuò)展L個(gè)比 特)�。
如果L-5且B4019,那么直到大約22()個(gè)通告廢除分組時(shí)圖案才會(huì) 重復(fù)——此時(shí)�,在任何情況下都必須針對(duì)HMAC-SHA1散列選擇新的 隨機(jī)數(shù)。假定在窺探的攻擊者看來����,字符串Sl是隨機(jī)的��,対Sl的筒単 檢驗(yàn)應(yīng)以因子2L使得攻擊分組的流變少��。然而��,選擇更大的L增加了 攻擊者可重構(gòu)S然后重構(gòu)K的幾率�,因此L應(yīng)被選擇以使得2L2、B (意 味著L是O(logB))來避免這種問題(以便每個(gè)可能的L比特子串很可 能在S中出現(xiàn)多于一次)����。
D."尸撒息磨
所公開的DP提供了用于檢測器300和中央過濾器200的手段以彼 此可靠地發(fā)送消息��。SSL/TLS實(shí)現(xiàn)了流中的記錄�����。可以將SSL記錄用作 DP記錄�,每一個(gè)記錄以簡單描述了該記錄的類型(如狀態(tài)(STATUS)、 消息和狀態(tài)應(yīng)答)的DP記錄報(bào)頭開始�。然而����,經(jīng)驗(yàn)中,并不是所有的 TLS實(shí)現(xiàn)方式都在其向客戶端的API中保存記錄邊界(SSL寫(除非數(shù) 據(jù)太大)產(chǎn)生SSL記錄,而SSL讀可以返回部分記錄或多個(gè)記錄)。因 此�,為了提供跨平臺(tái)的最大便攜性��,DP的示例性實(shí)施例(可能冗余地) 在SSL記錄內(nèi)實(shí)現(xiàn)其自身的記錄標(biāo)記協(xié)議��。理想地��, 一個(gè)DP記錄應(yīng)在 每一個(gè)SSL記錄內(nèi)都適合一一不論如何,記錄協(xié)議都將生效。DP使用 記錄起始標(biāo)記來開始該記錄���,并使用記錄結(jié)束標(biāo)記來結(jié)束記錄����。每一 個(gè)記錄以類型和長度字段開始�。長度字段允許避免比特/字節(jié)填充一一 起始記錄標(biāo)記或結(jié)束記錄標(biāo)記出現(xiàn)在該記錄內(nèi)是正當(dāng)?shù)?����。長度字段是 消息內(nèi)不包括報(bào)頭和報(bào)尾的字節(jié)的數(shù)目。
雖然在該示例性實(shí)施例中起始標(biāo)記和結(jié)束標(biāo)記是4字節(jié)序列�,但 沒有對(duì)DP消息的對(duì)準(zhǔn)要求��。消息的主體可以是任意長度�,該長度不必 是32比特(4個(gè)字節(jié))的倍數(shù)���。在服務(wù)器或客戶端發(fā)布?xì)埲钡挠涗浀那?況下����,起始標(biāo)記和結(jié)束標(biāo)記允許恢復(fù)記錄邊界——只需要搜索序列[記 錄結(jié)束][記錄起始]�,其后緊跟有自身指向[記錄結(jié)束][記錄起始]對(duì)的長 度字段。
19分資諮式、斂本號(hào)浙盧吝絲
對(duì)所公開的DP的修改應(yīng)當(dāng)是后向兼容的���。對(duì)利用SSL信道的協(xié)議 操作的不兼容修改將會(huì)分配新的記錄類型標(biāo)識(shí)符,而不是重新使用具 有不兼容格式的舊類型。對(duì)通告廢除事務(wù)的不兼容改變將會(huì)要求選取 新的DP端口號(hào)作為所修改的DP規(guī)范的一部分�。DP將采用兩種方式之 一在DP信道的遠(yuǎn)端處檢測非DP代理����。SSL連接的遠(yuǎn)端將無法認(rèn)證或?qū)?無法遵循DP初始同步協(xié)議����。如果在SSL連接建立期間由于某些原因沒 有檢測到不兼容性,則密碼散列將不能用于UDP業(yè)務(wù)量���,這是因?yàn)樵?遠(yuǎn)端不是DP或在散列中正在使用對(duì)于DP不兼容的版本號(hào)。這就避免 了對(duì)DP有線發(fā)送的數(shù)據(jù)中的版本號(hào)或幻數(shù)的需要。
分組和操作
如前所示���,檢測器300在DP信道上與中央過濾器200進(jìn)行通信。當(dāng) 前應(yīng)當(dāng)建立DP信道以便檢測器300與中央過濾器200進(jìn)行通信�����。每一個(gè) 檢測器300都與中央過濾器200的一個(gè)具體示例綁定。中央過濾器200 將不會(huì)與不與其綁定的檢測器300進(jìn)行通信�����。與給定中央過濾器200綁 定的每一個(gè)檢測器300具有由該中央過濾器200使用的數(shù)字"名稱"���。
建立DP信道的第一步是發(fā)起從檢測器300到中央過濾器200的 SSL/TLS連接�。通過SSL/TLS認(rèn)證過程,中央過濾器200將進(jìn)行通信的 檢測器300識(shí)別為可信的。在TLS握手的客戶端認(rèn)證階段�,檢測器300 要求成為在檢測器300向中央過濾器200所提供的證書中所使用的名 稱�。該名稱應(yīng)當(dāng)具有預(yù)定義的形式����。
一旦建立了TLS信道,檢測器300就必須在TLS信道上發(fā)送同步請(qǐng) 求�����。直到從檢測器300向中央過濾器200發(fā)送了同步請(qǐng)求并且從檢測器 300向中央過濾器200返回了同步肯定應(yīng)答時(shí)���,TLS信道才被視為已被 初始化��。除其他值以外���,示例性同步請(qǐng)求還包括下一個(gè)通告廢除事務(wù) 的序列號(hào)(每一個(gè)通告廢除事務(wù)的序列號(hào)將加l,直到下一個(gè)同步請(qǐng)求 為止)���。還初始化"時(shí)間單位"的長度以及隨機(jī)開始時(shí)間 "RSTART"����。中央過濾器200響應(yīng)同步肯定應(yīng)答����,該同步肯定應(yīng)答包 括隨機(jī)產(chǎn)生的160比特會(huì)話密鑰、和檢測器300是否可以滿足增量過 濾器狀態(tài)或是否需要完全過濾器狀態(tài)的指示�。在該交換后,檢測器300必須建立路徑MTU���,并請(qǐng)求和接收第一 狀態(tài)答復(fù)�����。在這一點(diǎn)上,建立DP信道�。如上所述,DP事務(wù)有四種基 本類型同步、通告廢除��、狀態(tài)査詢�、和消息�。前三種事務(wù)類型(同 步��、通告廢除、和狀態(tài)查詢)都由檢測器300發(fā)起。然而�,響應(yīng)于檢測 器300或中央過濾器200的請(qǐng)求�,可以在SSL信道上沿兩方向中的任一 方向發(fā)送消息��。
在UDP信道上將通告廢除事務(wù)從檢測器300上的隨機(jī)端口發(fā)送到 中央過濾器200上的DP端口�。在正常情況下�����,中央過濾器200根本不發(fā) 送響應(yīng)�。在錯(cuò)誤���、失敗或潛在攻擊的情況下����,中央過濾器200可以響應(yīng) 重新同步或錯(cuò)誤分組��。當(dāng)己知仍然存在TLS信道時(shí)�����,在TLS信道上發(fā) 送這些響應(yīng)�����。當(dāng)不存在TLS信道時(shí)��,基于UDP發(fā)送響應(yīng)(在這種情況 下�����,該響應(yīng)必須是重新同步消息)以重新建立TLS信道。 一般的規(guī)則 是如果進(jìn)入的分組是形狀完備的��,并且中央過濾器200相信客戶端是 合法的�,則中央過濾器200發(fā)送重新同步消息。否則�,中央過濾器200 發(fā)送錯(cuò)誤消息。
所有其他事務(wù)利用TLS信道�����。
丄"AP享多 告廢餘#贈(zèng)應(yīng),
如前所示,基于分組的內(nèi)容以及包括隨機(jī)數(shù)����、日期計(jì)數(shù)器和全局 DP端口號(hào)的密鑰,來計(jì)算HMAC-SHA1消息認(rèn)證。圖6示出了針對(duì)UDP 分組預(yù)先考慮的��、用于UDP請(qǐng)求的HMAC密鑰��。
如上所示,自RSTART起的單位數(shù)防止DP成為DoS攻擊源��。
S. m/譜
在TLS信道上發(fā)送的所有DP通信都被分解為記錄。在一個(gè)示例性 實(shí)施例中����,單個(gè)DP記錄的最大大小是16000字節(jié)。在向SSL協(xié)議的API 允許之處����,每SSL記錄剛好有一個(gè)DP記錄是很好的慣例�。示例性的DP 記錄開始于例如預(yù)定義的4字節(jié)序列�����,結(jié)束于另一個(gè)預(yù)定義的4字節(jié)序 列���。將DP記錄的類型(以網(wǎng)絡(luò)字節(jié)的次序)編碼為直接跟在消息起始 標(biāo)記之后的32比特整數(shù)。將DP記錄的長度(以網(wǎng)絡(luò)字節(jié)的次序)編碼 為直接跟在類型之后的32比特整數(shù)��。圖7示出了DP記錄報(bào)頭和報(bào)尾在 安全可靠流內(nèi)的示例性布局。本發(fā)明可以結(jié)合一個(gè)或多個(gè)的輔助工具進(jìn)行工作����。例如,這樣的 工具可能包括用于辨別所施加的拒絕服務(wù)攻擊的互聯(lián)網(wǎng)服務(wù)器插件程
序(pkig-in)�、向各種IDS系統(tǒng)(侵入檢測系統(tǒng))的鏈接、用于網(wǎng)絡(luò)診
斷的數(shù)據(jù)庫(如上所討論的)����、以及用于針對(duì)在給定的承載者的基礎(chǔ)結(jié)
構(gòu)內(nèi)放置清除器(Zapper)功能提供向?qū)У姆椒?����。根?jù)此處的公開���, 提供這些輔助工具中各種輔助工具的本發(fā)明的示意性實(shí)施例對(duì)于本領(lǐng) 域技術(shù)人員而言是顯而易見的。 系統(tǒng)和制造品的細(xì)節(jié)
如本領(lǐng)域公知的����,此處討論的方法和設(shè)備可以被分發(fā)為本身包括 計(jì)算機(jī)可讀介質(zhì)的制造品��,在該計(jì)算機(jī)可讀介質(zhì)上實(shí)現(xiàn)有計(jì)算機(jī)可讀 代碼裝置�����。與計(jì)算機(jī)系統(tǒng)相結(jié)合����,計(jì)算機(jī)可讀程序代碼裝置可操作為 執(zhí)行全部或一些步驟���,以執(zhí)行此處討論的方法或創(chuàng)建此處討論的設(shè)備。 計(jì)算機(jī)可讀介質(zhì)可以是可記錄介質(zhì)(例如��,軟盤��、硬驅(qū)動(dòng)器�、壓縮盤����、 存儲(chǔ)卡�、半導(dǎo)體器件�����、芯片、專用集成電路(ASIC))����,或可以是傳送 介質(zhì)(例如����,網(wǎng)絡(luò)���,包括光纖�、萬維網(wǎng)、電纜���、或者使用時(shí)分多址����、 碼分多址或其他射頻信道的無線信道)��。可以使用適合與計(jì)算機(jī)系統(tǒng)一 起使用的�����、能夠存儲(chǔ)信息的已知或已開發(fā)的任何介質(zhì)��。計(jì)算機(jī)可讀代 碼裝置是允許計(jì)算機(jī)讀取指令和數(shù)據(jù)(如磁介質(zhì)上的磁變化或壓縮盤 表面上的高度變化)的任何機(jī)制�����。
此處所述的計(jì)算機(jī)系統(tǒng)和服務(wù)器均包含存儲(chǔ)器,該存儲(chǔ)器將配置 關(guān)聯(lián)的處理器以實(shí)現(xiàn)此處所公開的方法��、步驟和功能���。存儲(chǔ)器可以是 分布式的或本地的��,并且處理器可以是分布式的或單一的?�?梢詫⒋?儲(chǔ)器實(shí)現(xiàn)為電存儲(chǔ)器���、磁存儲(chǔ)器����、光存儲(chǔ)器或者這些或其他類型的存 儲(chǔ)設(shè)備的任何組合�����。此外,術(shù)語"存儲(chǔ)器"應(yīng)當(dāng)被足夠?qū)挿旱亟忉尀?包括能夠從由關(guān)聯(lián)處理器訪問的可尋址空間中的地址讀取或能夠?qū)懭?該地址的任何信息�����。使用該定義�����,網(wǎng)絡(luò)上的信息仍處于存儲(chǔ)器內(nèi)�,這 是因?yàn)殛P(guān)聯(lián)處理器可以從網(wǎng)絡(luò)取得該信息����。
應(yīng)當(dāng)理解��,此處所示和所述的實(shí)施例和變體僅僅用于說明本發(fā)明 的原理�����,在不背離本發(fā)明的范圍和精神的情況下�����,本領(lǐng)域技術(shù)人員可 以實(shí)現(xiàn)各種修改。
2權(quán)利要求
1�����、一種用于由目標(biāo)受害者防御不期望業(yè)務(wù)量的方法�����,所述目標(biāo)受害者具有一個(gè)或多個(gè)目的地地址�����,所述方法包括以下步驟基于對(duì)從一個(gè)或多個(gè)源IP地址接收到的分組的分析�,確定所述目標(biāo)受害者接收到不期望業(yè)務(wù)量��;以及將通告廢除消息發(fā)送到與服務(wù)提供者相關(guān)聯(lián)的中央過濾器,所述通告廢除消息用于識(shí)別至少一個(gè)源計(jì)算設(shè)備的源地址����,其中���,所述至少一個(gè)源計(jì)算設(shè)備向所述目標(biāo)受害者的分組發(fā)送將要經(jīng)受以下一個(gè)或多個(gè)限制、丟棄��、或允許��,并且�,使用無需來自所述中央過濾器的即時(shí)肯定應(yīng)答的通告廢除協(xié)議來發(fā)送所述通告廢除消息��。
2�����、 根據(jù)權(quán)利要求1所述的方法,其中����,所述不期望業(yè)務(wù)量包括惡意攻擊或拒絕服務(wù)攻擊��。
3�、 根據(jù)權(quán)利要求1所述的方法�����,其中����,將所述通告廢除消息冗 余地發(fā)送到所述中央過濾器。
4��、 根據(jù)權(quán)利要求1所述的方法,其中,所述通告廢除消息是自 持的����。
5、 根據(jù)權(quán)利要求1所述的方法,其中���,所述通告廢除協(xié)議提供 粗時(shí)鐘同步�����。
6�����、 根據(jù)權(quán)利要求1所述的方法,還包括以下步驟接收來自所 述中央過濾器的共享狀態(tài)以及維護(hù)對(duì)所述狀態(tài)的任何改變�。
7��、 根據(jù)權(quán)利要求1所述的方法�,其中,所述通告廢除協(xié)議包括 一個(gè)或多個(gè)特征以避免針對(duì)所述通告廢除協(xié)議的惡意攻擊���。
8、 根據(jù)權(quán)利要求1所述的方法��,其中��,所述通告廢除消息包括允許以下一個(gè)或多個(gè)操作的序列號(hào)調(diào)解來自多個(gè)所述目標(biāo)受害者的 沖突通告廢除消息���;避免針對(duì)所述通告廢除協(xié)議的惡意攻擊����;以及丟 棄所述通告廢除消息的副本���。
9�����、 一種用于由目標(biāo)受害者防御不期望業(yè)務(wù)量的設(shè)備,所述目標(biāo) 受害者具有一個(gè)或多個(gè)目的地地址�����,所述設(shè)備包括存儲(chǔ)器;以及至少一個(gè)處理器�����,耦合至存儲(chǔ)器,所述至少一個(gè)處理器用于 基于對(duì)從一個(gè)或多個(gè)源IP地址接收到的分組的分析����,確定所述目 標(biāo)受害者接收到不期望業(yè)務(wù)量;以及將通告廢除消息發(fā)送到與服務(wù)提供者相關(guān)聯(lián)的中央過濾器�,所述 通告廢除消息用于識(shí)別至少一個(gè)源計(jì)算設(shè)備的源地址��,其中,所述至 少一個(gè)源計(jì)算設(shè)備向所述目標(biāo)受害者的分組發(fā)送將要經(jīng)受以下一個(gè)或多個(gè)限制、丟棄��、或允許,并且���,使用無需來自所述中央過濾器的 即時(shí)肯定應(yīng)答的通告廢除協(xié)議來發(fā)送所述通告廢除消息。
10�、根據(jù)權(quán)利要求9所述的設(shè)備,其中�,將所述通告廢除消息冗 余地發(fā)送到所述中央過濾器��。
全文摘要
提供了如下的方法和設(shè)備用于例如在惡意攻擊期間���,在一個(gè)或多個(gè)分組網(wǎng)絡(luò)中向中央過濾器可靠地遞送控制消息,而不需要中央過濾器對(duì)檢測器進(jìn)行響應(yīng)或肯定應(yīng)答。目標(biāo)受害者使用檢測器�、通過如下方式來防御不期望業(yè)務(wù)量基于對(duì)從一個(gè)或多個(gè)源IP地址接收到的分組的分析����,確定目標(biāo)受害者接收到不期望業(yè)務(wù)量��;以及將通告廢除消息發(fā)送到與服務(wù)提供者相關(guān)聯(lián)的中央過濾器,該通告廢除消息用于識(shí)別至少一個(gè)源計(jì)算設(shè)備的源地址�,其中�,該至少一個(gè)源計(jì)算設(shè)備向目標(biāo)受害者的分組發(fā)送將要經(jīng)受以下一個(gè)或多個(gè)限制�、丟棄、或允許����,并且,使用無需來自中央過濾器的即時(shí)肯定應(yīng)答的通告廢除協(xié)議來發(fā)送通告廢除消息���。此外�,可以向中央過濾器冗余地發(fā)送通告廢除消息,且優(yōu)選地�,通告廢除消息是自持的��。
文檔編號(hào)H04L29/06GK101536455SQ200780040606
公開日2009年9月16日 申請(qǐng)日期2007年10月23日 優(yōu)先權(quán)日2006年11月3日
發(fā)明者埃里克·亨利·格羅塞, 邁克爾·巴里·格林沃德 申請(qǐng)人:朗訊科技公司