專利名稱:過濾用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的方法和裝置的制作方法
技術領域:
本發(fā)明涉及通信技術�,尤其涉及一種過濾用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的方法 和裝置。
背景技術:
用戶數(shù)據(jù)報協(xié)議(User Datagram Protocol,以下簡稱UDP )是開放式 系統(tǒng)互聯(lián)參考模型(Open System Interconnect Reference Model,筒稱OSI) 中一種無連接的傳輸層協(xié)議�,提供面向事務的簡單不可靠信息傳送服務�����。攻 擊者偽造源互聯(lián)網(wǎng)協(xié)議(Internet Protocol,以下筒稱IP)地址����,然后組成 UDP數(shù)據(jù)包發(fā)送給受害主機的隨機端口 ,受害主機接收到該UDP數(shù)據(jù)包后�, 確定目的端口正在等待中的應用程序,當其發(fā)現(xiàn)該目的端口并不存在正在等 待的應用程序,其會產(chǎn)生一個目的端口無法連接的網(wǎng)間控制報文協(xié)議(Internet Control Messages Protocol,以下簡稱ICMP)數(shù)據(jù)包發(fā)送給該偽造的源IP地 址�。如果攻擊者向受害主機發(fā)送足夠多的UDP數(shù)據(jù)包,該受害主機發(fā)出大量 的ICMP包�,最后導致受害主機的資源耗盡而癱瘓,從而形成拒絕服務(Denial of Service,以下簡稱DOS)攻擊��。如果攻擊者攻擊足夠多的受害主機����,則 形成分布式拒絕服務(DistributedDOS,以下簡稱DDOS)攻擊。盡管受害 主機可以設置防火墻�����,但是由于UDP數(shù)據(jù)包是完整和正常的��,防火墻很難防 范�;并且由于UDP數(shù)據(jù)包的源IP地址為虛假的, 一定時間的攻擊后�����,會將防火墻的會話表打滿����,從而導致防火墻無法正常工作�。
為了過濾DDOS攻擊中的UDP數(shù)據(jù)包����,可以對源IP地址的發(fā)包頻率進行實 時統(tǒng)計,若源IP地址的發(fā)包頻率超過閾值��,進行報警并丟棄該源IP地址的UDP 數(shù)據(jù)包���;但是由于DDOS攻擊中的UDP數(shù)據(jù)包的源IP地址多為虛假IP地址�����,因 此無法統(tǒng)計源IP地址的發(fā)包頻率?���,F(xiàn)有4支術中尚無有效過濾DDOS攻擊中的 UDP數(shù)據(jù)包的解決方案�。
發(fā)明內容
本發(fā)明實施例提供了一種過濾用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的方法和裝置,用
以實現(xiàn)有效過濾DDOS攻擊中的UDP數(shù)據(jù)包�����。
本發(fā)明實施例還提供了 一種過濾用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的方法�����,包括 根據(jù)應用層協(xié)議的協(xié)議特征字�,檢測用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的包體;其
中�,所述協(xié)必
共有的數(shù)據(jù);
的數(shù)據(jù)����,則丟棄所述用戶數(shù)據(jù)凈艮協(xié)議數(shù)據(jù)包。
本發(fā)明實施例還提供了 一種過濾用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的裝置���,包括
檢測模塊���,用于根據(jù)應用層協(xié)議的協(xié)議特征字,檢測用戶數(shù)據(jù)報協(xié)議數(shù) 據(jù)包的包體��;其中����,所述協(xié)議特征字為使用所述應用層協(xié)議的用戶數(shù)據(jù)報協(xié) 議數(shù)據(jù)包的包體共有的數(shù)據(jù);
第一過濾模塊���,用于若所述用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的包體中不存在與所 述協(xié)議特征字相匹配的數(shù)據(jù)����,則丟棄所述用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包。
本發(fā)明實施例還提供了 一種網(wǎng)關設備��,包括過濾用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的裝置�,用于根據(jù)應用層協(xié)議的協(xié)議特征字,檢測用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的 包體���,若所述用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的包體中不存在與所述協(xié)議特征字相匹
配的數(shù)據(jù)����,則丟棄所述用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包�����;其中��,所述協(xié)議特征字為使
本發(fā)明實施例通過檢測UDP數(shù)據(jù)包的包體�,當UDP數(shù)據(jù)包的包體中不 存在與應用層協(xié)議的協(xié)議特征字匹配的數(shù)據(jù)時,認為該UDP數(shù)據(jù)包為DDOS 攻擊的UDP數(shù)據(jù)包�����,因此丟棄該數(shù)據(jù)包���,從而可以克服現(xiàn)有技術中無法有效 過濾DDOS攻擊的UDP數(shù)據(jù)包的缺陷��,實現(xiàn)有效過濾DDOS攻擊的UDP 數(shù)據(jù)包�。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案����,下面將對實 施例或現(xiàn)有技術描述中所需要使用的附圖作筒單地介紹,顯而易見地�,下面 描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領域普通技術人員來講��, 在不付出創(chuàng)造性勞動性的前提下�,還可以根據(jù)這些附圖獲得其他的附圖。 圖1為本發(fā)明實施例一提供的過濾UDP數(shù)據(jù)包的方法的流程示意圖�; 圖2為本發(fā)明實施例二提供的過濾UDP數(shù)據(jù)包的方法的流程示意圖; 圖3為本發(fā)明實施例二提供的過濾UDP數(shù)據(jù)包的方法中對未知協(xié)議的 UDP數(shù)據(jù)包進行指紋過濾的流程示意圖4為本發(fā)明實施例三提供的過濾UDP數(shù)據(jù)包的裝置的結構示意圖����; 圖5為本發(fā)明實施例四提供的過濾UDP數(shù)據(jù)包的裝置的結構示意圖。
具體實施方式
下面將結合本發(fā)明實施例中的附圖�����,對本發(fā)明實施例中的技術方案進行 清楚���、完整地描述���,顯然��,所描述的實施例僅僅是本發(fā)明一部分實施例�����,而
不是全部的實施例��?����;诒景l(fā)明中的實施例���,本領域普通技術人員在沒有偶: 出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍��。 下面通過附圖和實施例����,對本發(fā)明的技術方案做進一步的詳細描述。
可以通過識別UDP數(shù)據(jù)包的應用將DDOS攻擊與UDP協(xié)議的正常應用 區(qū)分開來�。"普通報文檢測"分析UDP數(shù)據(jù)包的包頭中層4以下的內容來識 別UDP數(shù)據(jù)包的應用,包括五元組源IP地址、目的IP地址�、源端口號、 目的端口號以及協(xié)議號�。當通過檢測UDP數(shù)據(jù)包的目的端口號來識別該UDP 數(shù)據(jù)包的應用時����,例如檢測到UDP數(shù)據(jù)包的目的端口號為80時,則認為 該UDP數(shù)據(jù)包的應用為普通上網(wǎng)應用�。而DDOS攻擊的UDP數(shù)據(jù)包會采用 仿冒目的端口號的方式躲避檢測。因此用L2 L4層的普通報文檢測無法將 DDOS攻擊與UDP協(xié)議的正常應用區(qū)分開來����。
深度包檢測(Deep Packet Inspection,以下簡稱DPI)與普通報文檢測 的分析相比較,除了對IP數(shù)據(jù)包L2 L4層的分析外���,還增加了對IP數(shù)據(jù)包 的包體中的應用層的分析�����。由于非法應用可以隱藏目的端口號�����,但較難以隱 藏應用層的協(xié)議特征��,因此���,通過分析應用層���,從而識別UDP^t據(jù)包的真正 應用,從而可以將DDOS攻擊與UDP協(xié)議的正常應用區(qū)分開來���。
進一步地��,不同的應用通常依賴于不同的應用層協(xié)議����,因此���,可以通過 識別應用層協(xié)議來識別應用�����。而應用層協(xié)議都有其特殊的協(xié)議特征字�,這些 協(xié)議特征字可以是特定的字符串或者特定的位(Bit)序列�。例如Bittorrent 協(xié)議的識別,通過反向工程的方法對其對等協(xié)議進行分析����,所謂對等協(xié)議指 的是peer與peer之間交換信息的協(xié)議�,其由一個握手開始���,后面是循環(huán)的消
8息流��,消息流中的每個消息前面,都有一個數(shù)字來表示該消息的長度���。在其
握手過程中��,首先是先發(fā)送"19",然后是字符串"BitTorrentprotocol"��。那么 "19BitTorrent Protocol"就是Bittorrent協(xié)議的"協(xié)議特征字"�。
如圖l所示�,為本發(fā)明實施例一提供的過濾UDP數(shù)據(jù)包的方法的流程示意 圖,可以包括如下步驟
步驟ll�、根據(jù)應用層協(xié)議的協(xié)議特征字,檢測UDP數(shù)據(jù)包的包體�;其中, 協(xié)議特征字為使用應用層協(xié)議的UDP數(shù)據(jù)包的包體共有的數(shù)據(jù)��;
步驟12��、若UDP數(shù)據(jù)包的包體中不存在與協(xié)議特征字相匹配的數(shù)據(jù),丟 棄UDP數(shù)據(jù)包��。
本實施例通過檢測UDP數(shù)據(jù)包的包體��,當UDP^:據(jù)包的包體中不存在與 應用層協(xié)議的協(xié)議特征字匹配的數(shù)據(jù)時��,認為該UDP數(shù)據(jù)包為DDOS攻擊的 UDP數(shù)據(jù)包���,因此丟棄該數(shù)據(jù)包�����,從而可以克服現(xiàn)有技術中無法有效過濾 DDOS攻擊的UDP數(shù)據(jù)包的缺陷���,實現(xiàn)有效過濾DDOS攻擊的UDP數(shù)據(jù)包。
如圖2所示��,為本發(fā)明實施例二提供的過濾UDP數(shù)據(jù)包的方法的流程示意 圖���,可以包括如下步驟
步驟21����、根據(jù)應用層協(xié)議的協(xié)議特征字��,檢測UDP數(shù)據(jù)包的包體;其中�����, 協(xié)議特征字為使用應用層協(xié)議的UDP數(shù)據(jù)包的包體共有的數(shù)據(jù)��;
若UDP數(shù)據(jù)包的包體中不存在與協(xié)議特征字相匹配的數(shù)據(jù)����,執(zhí)行步驟23,否 則執(zhí)行步驟24;
步驟23�����、將UDP數(shù)據(jù)包的指紋與目的指紋相比較���,判斷UDP數(shù)據(jù)包的指 紋與目的指紋是否匹配,若UDP數(shù)據(jù)包的指紋與目的指紋匹配�,執(zhí)行步驟25, 否則執(zhí)行步驟24;其中���,UDP數(shù)據(jù)包的指紋可以包括UDP數(shù)據(jù)包的源IP地址或目的IP地址�。 目的指紋由報文長度�、數(shù)據(jù)偏移和數(shù)據(jù)字段三部分組成�����。 步驟24��、放行該UDP數(shù)據(jù)包�; 步驟25�、丟棄UDP數(shù)據(jù)包;
具體地���,步驟23-25對未知協(xié)議的UDP數(shù)據(jù)包進行指紋過濾���,對于與目的 指紋匹配的UDP數(shù)據(jù)包進行丟棄處理。
在本實施例中�,目的指紋可以包括靜態(tài)指紋和/或動態(tài)指紋,其中�,靜態(tài) 指紋通過外部設備輸入,動態(tài)指紋通過對UDP數(shù)據(jù)包之前的UDP數(shù)據(jù)包進行 檢測得到���。靜態(tài)指紋可以保存在靜態(tài)指紋表中���,動態(tài)指紋可以保存在動態(tài)指 紋表中。將UDP數(shù)據(jù)包的指紋與靜態(tài)指紋和/或動態(tài)指紋相比較���,若UDP數(shù)據(jù) 包的指紋與靜態(tài)指紋和/或動態(tài)指紋相匹配���,丟棄UDP凄t據(jù)包�。
如圖3所示�,為本發(fā)明實施例二提供的過濾UDP數(shù)據(jù)包的方法中對未知協(xié) 議的UDP數(shù)據(jù)包進行指紋過濾的流程示意圖,可以包括如下步驟
步驟31��、判斷靜態(tài)指紋是否有效����,若靜態(tài)指紋有效,執(zhí)行步驟32,否則 執(zhí)行步驟33;
優(yōu)選地�����,可以為靜態(tài)指紋提供一標志位��,當該標志位有效時�����,表示該靜 態(tài)指紋有效���。
步驟32����、判斷UDP數(shù)據(jù)包的指紋與靜態(tài)指紋是否匹配��,若UDP數(shù)據(jù)包的 指紋與靜態(tài)指紋匹配����,執(zhí)行步驟38,否則執(zhí)行步驟33;
步驟33、判斷動態(tài)指紋是否有效�����,若動態(tài)指紋有效�����,執(zhí)行步驟34,否則 執(zhí)行39;
優(yōu)選地����,可以為動態(tài)指紋設置一標志位,當該標志位有效時���,表示該動 態(tài)指紋有效���;步驟34����、判斷UDP數(shù)據(jù)包的指紋與動態(tài)指紋是否匹配��,若UDP數(shù)據(jù)包的 指紋與動態(tài)指紋匹配����,執(zhí)行步驟38,否則執(zhí)行步驟35;
步驟35、判斷是否需要學習動態(tài)指紋����,若需要學習動態(tài)指紋,執(zhí)行步驟 36�,否則執(zhí)行步驟39;
優(yōu)選地,可以設置一標志位��,當該標志位有效時�,表示需要學習動態(tài)指
紋;
步驟36�����,學習動態(tài)指紋��,判斷動態(tài)指紋學習是否成功�,若動態(tài)指紋學習 成功,執(zhí)行步驟37�����,否則執(zhí)行步驟39;
具體地���,學習動態(tài)指紋指的是檢測UDP數(shù)據(jù)包���,提取其中的源IP地址或 目的IP地址;
步驟37���、更新指紋���,執(zhí)行步驟39;
具體地,將學習的動態(tài)指故存儲到動態(tài)指紋表中�;
步驟38、丟棄UDP數(shù)據(jù)包����,執(zhí)行步驟39;
步驟39、結束����。
再參見圖2��,步驟25之后還可以包括如下步驟
步驟26�、對目標IP地址的UDP數(shù)據(jù)包的流量進行統(tǒng)計�����,若流量大于設定 閾值�,丟棄目標IP地址的UDP數(shù)據(jù)包。
優(yōu)選地���,經(jīng)過步驟21-25的處理后����,但防范的效果不佳或者并不存在 DDOS攻擊后����,對某一目標IP地址的UDP數(shù)據(jù)包的流量進行實時統(tǒng)計,該目 標IP地址的UDP數(shù)據(jù)包的流量仍超過設定閾值�,將對該目標IP地址的UDP數(shù) 據(jù)包進行隨機丟包處理,以保證目標IP地址盡可能少地受到DDOS攻擊�。
本實施例通過檢測UDP數(shù)據(jù)包的包體,當UDP數(shù)據(jù)包的包體中不存在與
應用層協(xié)議的協(xié)議特征字匹配的數(shù)據(jù)時���,將UDP數(shù)據(jù)包的指紋與目的指紋進
ii行匹配��,當該UDP數(shù)據(jù)包的指紋與目的指紋匹配時���,認為該UDP數(shù)據(jù)包為 DDOS攻擊的UDP數(shù)據(jù)包,將其過濾掉����,最后,對目標IP地址的UDP流量進 行限流處理��,將應用協(xié)議分析���、指纟丈檢測�、限流幾種方式結合���,克服現(xiàn)有技 術中無法有效過濾DDOS攻擊的UDP數(shù)據(jù)包的缺陷��,實現(xiàn)有效過濾DDOS攻擊 的UDP數(shù)據(jù)包���。
本實施例可以用于網(wǎng)關類設備,例如防火墻����、抗DDOS設備��、統(tǒng)一威 脅管理(Unified Threat Management,筒稱UTM)設備���、入侵防護系統(tǒng) (Intrusion Prevention System, 筒稱IPS )設備等。
如圖4所示�,為本發(fā)明實施例三提供的過濾UDP數(shù)據(jù)包的裝置的結構示意 圖,可以包括檢測模塊41和第一過濾模塊42���。
其中��,檢測模塊41用于根據(jù)應用層協(xié)議的協(xié)議特征字��,檢測UDP數(shù)據(jù)包 的包體����;其中����,協(xié)議特征字為使用應用層協(xié)議的UDP數(shù)據(jù)包的包體共有的數(shù) 據(jù)。
第一過濾模塊42用于若UDP數(shù)據(jù)包的包體中不存在與協(xié)議特征字相匹配 的數(shù)據(jù)���,.丟棄UDP數(shù)據(jù)包�����。
本實施例通過檢測模塊41檢測UDP數(shù)據(jù)包的包體���,當UDP數(shù)據(jù)包的包體 中不存在與應用層協(xié)議的協(xié)議特征字匹配的數(shù)據(jù)時,認為該UDP數(shù)據(jù)包為 DDOS攻擊的UDP數(shù)據(jù)包��,因此第一過濾模塊42丟棄該數(shù)據(jù)包���,從而可以克 服現(xiàn)有技術中無法有效過濾DDOS攻擊的UDP數(shù)據(jù)包的缺陷�����,實現(xiàn)有效過濾 DDOS攻擊的UDP數(shù)據(jù)包�。
如圖5所示�,為本發(fā)明實施例四提供的過濾UDP數(shù)據(jù)包的裝置的結構示意 圖,可以包括檢測模塊41�、匹配才莫塊51、第一過濾才莫塊42��。
檢測模塊41用于根據(jù)應用層協(xié)議的協(xié)議特征字����,檢測UDP數(shù)據(jù)包的包體��。其中��,協(xié)議特征字為使用應用層協(xié)議的UDP數(shù)據(jù)包的包體共有的數(shù)據(jù)���。
匹配模塊5l用于若UDP數(shù)據(jù)包的包體中不存在與協(xié)議特征字相匹配的數(shù) 據(jù),將UDP數(shù)據(jù)包的指紋與目的指紋相比較��;其中�,UDP數(shù)據(jù)包的指紋包括 UDP數(shù)據(jù)包的源IP地址或目的IP地址。
第一過濾模塊42用于若匹配模塊51確定UDP數(shù)據(jù)包的指紋與目的指紋相 匹配���,丟棄UDP數(shù)據(jù)包��。
在本實施例中�,目的指紋可以包括靜態(tài)指紋和/或動態(tài)指紋��,其中��,靜態(tài) 指紋通過外部設備輸入���,動態(tài)指紋通過對UDP數(shù)據(jù)包之前的UDP數(shù)據(jù)包進行 檢測得到����。匹配模塊51還可以用于若UDP數(shù)據(jù)包的包體中不存在與協(xié)議特征 字相匹配的數(shù)據(jù),將UDP數(shù)據(jù)包的指紋與靜態(tài)指紋和/或動態(tài)指故相比較��。第 一過濾模塊42還用于若匹配模塊51確定UDP數(shù)據(jù)包的指紋與靜態(tài)指紋和/或 動態(tài)指紋相匹配��,丟棄UDP數(shù)據(jù)包���。
本實施例還可以包括第二過濾模塊52����,與第一過濾模塊42連接����,用于對 目標IP地址的UDP數(shù)據(jù)包的流量進行統(tǒng)計���,若流量大于設定閾值����,丟棄目標 IP地址的UDP數(shù)據(jù)包��。
本實施例通過檢測模塊41檢測UDP數(shù)據(jù)包的包體���,當確定UDP數(shù)據(jù)包的 包體中不存在與應用層協(xié)議的協(xié)議特征字匹配的數(shù)據(jù)時����,匹配模塊51將UDP 數(shù)據(jù)包的指紋與目的指紋進行匹配,當該UDP數(shù)據(jù)包的指紋與目的指紋匹配 時�����,認為該UDP數(shù)據(jù)包為DDOS攻擊的UDP數(shù)據(jù)包�,第一過濾才莫塊42將其過 濾掉,最后���,第二過濾模塊52對目標IP地址的UDP流量進行限流處理��。本實 施例將應用協(xié)議分析���、指纟丈^r測、限流幾種方式結合����,克服現(xiàn)有技術中無法 有效過濾DDOS攻擊的UDP數(shù)據(jù)包的缺陷,實現(xiàn)有效過濾DDOS攻擊的UDP 數(shù)據(jù)包�。
13本發(fā)明實施例還提供了一種網(wǎng)關設備,包括過濾UDP數(shù)據(jù)包的裝置��,用 于根據(jù)應用層協(xié)議的協(xié)議特征字,檢測UDP數(shù)據(jù)包的包體����,若UDP數(shù)據(jù)包的 包體中不存在與協(xié)議特征字相匹配的數(shù)據(jù),丟棄UDP數(shù)據(jù)包��;其中����,協(xié)議特 征字為使用應用層協(xié)議的UDP數(shù)據(jù)包的包體共有的數(shù)據(jù)。
需要說明的是���,該過濾UDP數(shù)據(jù)包的裝置可以包括前述過濾UDP數(shù)據(jù)包 的裝置實施例中任一模塊�,在此不再贅述�。
本實施例通過過濾UDP數(shù)據(jù)包的裝置檢測UDP數(shù)據(jù)包的包體���,當UDP數(shù) 據(jù)包的包體中不存在與應用層協(xié)議的協(xié)議特征字匹配的數(shù)據(jù)時���,認為該UDP 數(shù)據(jù)包為DDOS攻擊的UDP數(shù)據(jù)包,因此丟棄該數(shù)據(jù)包�,從而可以克服現(xiàn)有 技術中無法有效過濾DDOS攻擊的UDP數(shù)據(jù)包的缺陷,實現(xiàn)有效過濾DDOS 攻擊的UDP數(shù)據(jù)包��。
分步驟是可以通過程序來指令相關的硬件來完成,該程序可以存儲于一計 算機可讀存儲介質中�����,存儲介質可以包括ROM����、 RAM、》茲盤或光盤等����。 最后應說明的是以上實施例僅用以說明本發(fā)明的技術方案而非限制,盡管 參照較佳實施例對本發(fā)明進行了詳細說明�����,本領域的普通技術人員應當理解���, 可以對本發(fā)明的技術方案進行修改或者等同替換����,而不脫離本發(fā)明技術方案 的精神和范圍�。
權利要求
1、一種過濾用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的方法���,其特征在于�����,包括根據(jù)應用層協(xié)議的協(xié)議特征字��,檢測用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的包體����;其中,所述協(xié)議特征字為使用所述應用層協(xié)議的用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的包體共有的數(shù)據(jù)���;若所述用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的包體中不存在與所述協(xié)議特征字相匹配的數(shù)據(jù)�����,則丟棄所述用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包��。
2、 根據(jù)權利要求l所述的方法��,其特征在于�,所述丟棄所述用戶數(shù)據(jù)4艮 協(xié)議數(shù)據(jù)包之前還包括將所述用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的指紋與目的指紋相比較;其中����,所述用 戶數(shù)據(jù)l艮協(xié)議數(shù)據(jù)包的指紋包括所述用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的源互耳關網(wǎng)協(xié)議 地址或目的互聯(lián)網(wǎng)協(xié)議地址����;所述丟棄所述用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包包括若所述用戶數(shù)據(jù)報協(xié)議數(shù)據(jù) 包的指紋與所述目的指紋相匹配���,則丟棄所述用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包�����。
3�、 根據(jù)權利要求2所述的方法���,其特征在于��,所述目的指紋包括靜態(tài)指 紋和/或動態(tài)指紋�����,其中�,所述靜態(tài)指紋通過外部設備輸入��,所述動態(tài)指紋通 過對所述用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包之前的用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包進行檢測得 到��。
4、 根據(jù)權利要求1或2所述的方法�����,其特征在于����,還包括對目標互聯(lián)網(wǎng)協(xié)議地址的用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的流量進行統(tǒng)計,若所 述流量大于設定閾值���,則丟棄所述目標互聯(lián)網(wǎng)協(xié)議地址的用戶數(shù)據(jù)報協(xié)議數(shù) 據(jù)包��。
5�����、 一種過濾用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的裝置�,其特征在于���,包括 檢測模塊���,用于根據(jù)應用層協(xié)議的協(xié)議特征字�����,檢測用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的包體;其中����,所述協(xié)議特征字為^f吏用所述應用層協(xié)議的用戶數(shù)據(jù)才艮協(xié) 議數(shù)據(jù)包的包體共有的數(shù)據(jù);第一過濾模塊����,用于若所述用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的包體中不存在與所 述協(xié)議特征字相匹配的數(shù)據(jù),則丟棄所述用戶數(shù)據(jù)4艮協(xié)i義^:據(jù)包�。
6、 根據(jù)權利要求5所述的裝置����,其特征在于,還包括匹配模塊�����,用于若所述用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的包體中不存在與所述協(xié) 議特征字相匹配的數(shù)據(jù)����,將所述用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的指紋與目的指紋相 比較;其中�����,所述用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的指紋包括所述用戶數(shù)據(jù)報協(xié)議數(shù) 據(jù)包的源互聯(lián)網(wǎng)協(xié)議地址或目的互聯(lián)網(wǎng)協(xié)議地址;所述第 一過濾模塊還用于若所述匹配模塊確定所述用戶數(shù)據(jù)報協(xié)議數(shù)據(jù) 包的指紋與所述目的指故相匹配���,則丟棄所述用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包��。
7���、 根據(jù)權利要求6所述的裝置,其特征在于���,所述目的指紋包括靜態(tài)指 紋和/或動態(tài)指紋�����,其中�����,所述靜態(tài)指紋通過外部i殳備輸入���,所述動態(tài)指紋通 過對所述用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包之前的用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包進行檢測得到。
8���、 根據(jù)權利要求5或6所述的裝置�,其特征在于�,還包括第二過濾模塊,用于對目標互聯(lián)網(wǎng)協(xié)議地址的用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的 流量進行統(tǒng)計�,若所述流量大于設定閾值,則丟棄所述目標互聯(lián)網(wǎng)協(xié)議地址 的用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包�����。
9����、 一種網(wǎng)關設備,其特征在于���,包括過濾用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的裝置���, 用于根據(jù)應用層協(xié)議的協(xié)議特征字,檢測用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的包體����,若據(jù),則丟棄所述用戶數(shù)據(jù)才艮協(xié)議數(shù)據(jù)包���;其中�,所述協(xié)議特征字為使用所述 應用層協(xié)議的用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的包體共有的數(shù)據(jù)。
10�、根據(jù)權利要求9所述的網(wǎng)關設備,其特征在于����,所述過濾用戶數(shù)據(jù)才艮 協(xié)議數(shù)據(jù)包的裝置包括檢測模塊,用于根據(jù)所述應用層協(xié)議的協(xié)議特征字�,檢測用戶數(shù)據(jù)報協(xié) 議數(shù)據(jù)包的包體;第一過濾模塊�,用于若所述用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的包體中不存在與所 述協(xié)議特征字相匹配的數(shù)據(jù),則丟棄所述用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包����。
全文摘要
本發(fā)明實施例涉及一種過濾用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的方法和裝置。其中�,所述方法包括根據(jù)應用層協(xié)議的協(xié)議特征字,檢測用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的包體���;其中�����,所述協(xié)議特征字為使用所述應用層協(xié)議的用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的包體共有的數(shù)據(jù)�����;若所述用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包的包體中不存在與所述協(xié)議特征字相匹配的數(shù)據(jù)�����,則丟棄所述用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包���。本發(fā)明實施例通過檢測UDP數(shù)據(jù)包的包體,當UDP數(shù)據(jù)包的包體中不存在與應用層協(xié)議的協(xié)議特征字匹配的數(shù)據(jù)時�����,認為該UDP數(shù)據(jù)包為DDOS攻擊的UDP數(shù)據(jù)包�,因此丟棄該數(shù)據(jù)包,從而可以克服現(xiàn)有技術中無法有效過濾DDOS攻擊的UDP數(shù)據(jù)包的缺陷�,實現(xiàn)有效過濾DDOS攻擊的UDP數(shù)據(jù)包。
文檔編號H04L12/56GK101599976SQ20091015220
公開日2009年12月9日 申請日期2009年7月10日 優(yōu)先權日2009年7月10日
發(fā)明者莉 楊, 武 蔣 申請人:成都市華為賽門鐵克科技有限公司