專利名稱:用于超馳一個(gè)或多個(gè)分組網(wǎng)絡(luò)中不期望業(yè)務(wù)量的通告廢除的方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及針對(duì)基于分組的通信網(wǎng)絡(luò)的計(jì)算機(jī)安全技術(shù)��,更具體 地涉及用于在這種基于分組的網(wǎng)絡(luò)中檢測(cè)并通告廢除不期望的業(yè)務(wù) 量�����,例如拒絕服務(wù)攻擊和其他惡意攻擊�。
背景技術(shù):
拒絕服務(wù)(DoS)攻擊試圖使得計(jì)算機(jī)資源對(duì)于其預(yù)期用戶不可 用。例如��,對(duì)web服務(wù)器的DoS攻擊常常導(dǎo)致所主持的網(wǎng)頁(yè)不可用��。當(dāng) 需要將有限的資源分配給攻擊者而不是合法用戶時(shí),DoS攻擊可以導(dǎo) 致顯著的服務(wù)中斷�����。發(fā)起攻擊的機(jī)器通常通過在互聯(lián)網(wǎng)上發(fā)送大量的 互聯(lián)網(wǎng)協(xié)議(IP)分組�,來造成針對(duì)攻擊目標(biāo)受害者的損害���。例如��, DoS攻擊可以包括試圖"泛濫"網(wǎng)絡(luò)��,從而阻止合法網(wǎng)絡(luò)業(yè)務(wù)量��; 或試圖通過發(fā)送比服務(wù)器能夠處理的更多的請(qǐng)求來中斷服務(wù)器�,從而 阻止對(duì)一個(gè)或多個(gè)服務(wù)的訪問��。
已提出或建議了多種用于防御這種拒絕服務(wù)攻擊的技術(shù)����。例如, 名稱為"Method and Apparatus for Defending Against Denial of ServiceAttacks in IP Networks by Target Victim Self-Identification and Control" 的美國(guó)專利申請(qǐng)11/197,842以及名稱為"Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks Based on Specified Source/Destination IP Address Pairs "的美國(guó)專禾U申請(qǐng) 11/197�����,841公開了用于檢測(cè)并通告廢除DoS攻擊的技術(shù)。
防御這種拒絕服務(wù)攻擊的系統(tǒng)通常工作于兩種模式中的一種���。當(dāng) 區(qū)域處于"缺省丟棄"模式時(shí)���,缺省的行為是對(duì)除了在缺省丟棄中明 確列出的業(yè)務(wù)量以外的所有指定該區(qū)域的業(yè)務(wù)量進(jìn)行過濾。通常�����,在 缺省丟棄模式下���,除了被明確授權(quán)(例如��,與預(yù)定義的允許過濾器相 匹配)的情況以外����,過濾器都將自動(dòng)丟棄所有業(yè)務(wù)量��。另一方面����,當(dāng) 區(qū)域處于缺省允許模式時(shí),除了與預(yù)定義的丟棄過濾器明確匹配的業(yè) 務(wù)量以外,過濾器使所有去往該訂戶的業(yè)務(wù)量通過���。
基于自動(dòng)檢測(cè)算法來阻止客戶端的操作問題之一是其可能阻止 值得重視的業(yè)務(wù)量或應(yīng)免于阻止的業(yè)務(wù)量�。例如�����,企業(yè)可能不想阻止 來自特定用戶或特定第三方服務(wù)(例如����,變址機(jī)器人)的�����、值得重視 且應(yīng)免于阻止的任何業(yè)務(wù)量�。然而,已經(jīng)發(fā)現(xiàn)����,維護(hù)所有這樣的客戶 端的IP地址列表是不可行的,這是因?yàn)樵摿斜砜赡芨鶕?jù)檢測(cè)器處不可 知的事件(例如�,網(wǎng)絡(luò)提供者改變)而改變。因此����,需要用于選擇性 地超馳由于自動(dòng)檢測(cè)算法而對(duì)業(yè)務(wù)量的阻止的方法和設(shè)備��。
發(fā)明內(nèi)容
總體上���,提供了用于選擇性地超馳由于自動(dòng)檢測(cè)算法而對(duì)業(yè)務(wù)量 的阻止的方法和設(shè)備。根據(jù)本發(fā)明的一個(gè)方面�,目標(biāo)受害者可以通過
如下方式來抵御諸如惡意攻擊或拒絕服務(wù)攻擊之類的不期望業(yè)務(wù)量 維護(hù)用于識(shí)別至少一個(gè)源計(jì)算設(shè)備的源地址的中央過濾器,其中���,該 至少一個(gè)源計(jì)算設(shè)備向目標(biāo)受害者的分組發(fā)送將要經(jīng)受以下一個(gè)或多 個(gè)限制����、丟棄��、或允許��;維護(hù)列出了至少一個(gè)正則表達(dá)式的超馳過 濾器�����,該至少一個(gè)正則表達(dá)式用于識(shí)別一個(gè)或多個(gè)源計(jì)算設(shè)備��,其中����, 該一個(gè)或多個(gè)源計(jì)算設(shè)備向目標(biāo)受害者的分組發(fā)送應(yīng)當(dāng)是與中央過濾 器中的項(xiàng)無關(guān)地向目標(biāo)受害者發(fā)送的����;如果中央過濾器指示接收到的至少一個(gè)分組是從該至少一個(gè)源計(jì)算設(shè)備接收到的���,則將源地址轉(zhuǎn)換 成以域名服務(wù)格式表示的地址����;以及如果該域名服務(wù)格式滿足在超馳
過濾器中出現(xiàn)的正則表達(dá)式��,則將該至少一個(gè)分組發(fā)送到目標(biāo)受害者����。
例如�,通過執(zhí)行反向DNS查找,可以將源地址轉(zhuǎn)換成以域名服務(wù) 格式表示的地址���。例如���,正則表達(dá)式可以是包含一個(gè)或多個(gè)通配符字 段的域名服務(wù)格式掩碼。
通過參考以下詳細(xì)說明以及附圖��,將會(huì)對(duì)本發(fā)明以及本發(fā)明的其 他特征和優(yōu)點(diǎn)有更完整的理解。
圖l示出了本發(fā)明可操作的網(wǎng)絡(luò)環(huán)境����; 圖2是圖1所示的中央過濾器系統(tǒng)的示意框圖; 圖3是來自圖2所示的拒絕服務(wù)過濾器規(guī)則庫(kù)的樣本表�����; 圖4是來自圖2所示的過濾器超馳數(shù)據(jù)庫(kù)的樣本表��;以及 圖5是描述了并入本發(fā)明特征的拒絕服務(wù)過濾過程的示例性實(shí)現(xiàn) 方式的流程圖���。
具體實(shí)施例方式
本發(fā)明提供了用于超馳(override) —個(gè)或多個(gè)分組網(wǎng)絡(luò)中的惡意 攻擊(如拒絕服務(wù)攻擊)的通告廢除的方法和設(shè)備����。通常��,在檢測(cè)器 將要進(jìn)行通告廢除時(shí)����,執(zhí)行對(duì)源地址的反向DNS查找以查看該名稱是 否匹配于特定的預(yù)配置正則表達(dá)式,例如���,proxy氣isp.com或 *.searchenginebot.com����。采用這種方式,不需要對(duì)檢測(cè)器正在分析的日 志的每一個(gè)地址進(jìn)行DNS查找�����。 '
圖1示出了本發(fā)明可操作的兩絡(luò)環(huán)境100����。如圖1所示,企業(yè)網(wǎng)150 使用檢測(cè)器140來保護(hù)自身免于惡意攻擊���。企業(yè)網(wǎng)150允許企業(yè)用戶通 過服務(wù)提供者網(wǎng)絡(luò)120訪問互聯(lián)網(wǎng)或另一網(wǎng)絡(luò)�����。服務(wù)提供者網(wǎng)絡(luò)120向 企業(yè)網(wǎng)150的用戶提供服務(wù)��,并通過入口端口115接收來自各個(gè)源的分 組���,以及將接收到的分組發(fā)送到企業(yè)網(wǎng)150中所指示的目的地��。在一個(gè)示例性實(shí)施例中��,檢測(cè)器140與以下結(jié)合圖2進(jìn)一步討論的 中央過濾器200協(xié)作,以保護(hù)自身免于惡意攻擊���。通常���,如以下進(jìn)一步 討論的,檢測(cè)器140將檢測(cè)對(duì)企業(yè)網(wǎng)150的惡意攻擊(如拒絕服務(wù)攻擊)���, 并將通知由服務(wù)提供者維護(hù)的中央過濾器200 �����。
中央過濾器200用于通過服務(wù)提供者網(wǎng)絡(luò)120來限制到達(dá)企業(yè)網(wǎng) 150的業(yè)務(wù)量���。檢測(cè)器140通常位于企業(yè)網(wǎng)150中的防火墻之后,而且檢 測(cè)器140通常向ISP的中央過濾器200發(fā)送通告廢除消息�����?��;诿Q為 "Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks by Target Victim Self-Identification and Control"的美國(guó) 專利申請(qǐng)11/197����,842以及名稱為"Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks Based on Specified Source/Destination IP Address Pairs"的美國(guó)專利申請(qǐng)l 1/197,841 ,可以 實(shí)現(xiàn)檢測(cè)器140和中央過濾器200�����,此處對(duì)這兩個(gè)專利申請(qǐng)進(jìn)行修改以
提供本發(fā)明的特征和功能���。
在確定了拒絕服務(wù)攻擊正在進(jìn)犯企業(yè)網(wǎng)150時(shí)�����,檢測(cè)器140將一個(gè) 或多個(gè)源/目的地IP地址對(duì)發(fā)送到中央過濾器200��,中央過濾器200使服 務(wù)提供者網(wǎng)絡(luò)120限制(例如�����,阻止或速率限制)源IP地址和目的地IP 地址與任意所發(fā)送的源/目的地IP地址的源IP地址和目的地IP地址相匹 配的那些IP分組的發(fā)送��,從而限制(或消除) 一個(gè)或多個(gè)源設(shè)備iio 對(duì)企業(yè)網(wǎng)150內(nèi)的攻擊受害者的拒絕服務(wù)攻擊��?�?蛇x地�,檢測(cè)器140使 用冗余連接135或主連接130來發(fā)送源/目的地IP地址對(duì)�。
因而,所公開的系統(tǒng)通過向其菔務(wù)提供者通告廢除攻擊者�����,來允 許拒絕服務(wù)攻擊的受害者"后推(push back)"��,作為響應(yīng)��,該服務(wù) 提供者將更新要被阻止的源/目的地IP地址對(duì)的表���。更具體地����,在認(rèn)識(shí) 到發(fā)生攻擊時(shí)�,受害者(企業(yè)網(wǎng)150)將識(shí)別被認(rèn)為是攻擊的一部分的 分組中所指定的一對(duì)或多對(duì)源/目的地IP地址,并將這些IP地址對(duì)傳達(dá) 給服務(wù)提供者以由中央過濾器加O進(jìn)行阻止���。
如圖1所示���,將指定了訂戶(企業(yè)網(wǎng)150)的分組分成通常與"好" 和"差"業(yè)務(wù)量相對(duì)應(yīng)的類。例如���,分別遞送(允許)來自類別A105-A 的好業(yè)務(wù)量并速率限制或丟棄來自類別B 105-B和類別N 105-N的差業(yè)務(wù)量�����。將源計(jì)算設(shè)備110分到N個(gè)示例性分類中的一個(gè)中�,其中,源計(jì) 算設(shè)備110將業(yè)務(wù)量發(fā)送到與企業(yè)網(wǎng)150相關(guān)聯(lián)的目的地地址�����。通告廢 除對(duì)好業(yè)務(wù)量與差業(yè)務(wù)量之間的邊界進(jìn)行移位�。
注意,根據(jù)特定的示意性實(shí)施例�,無需將攻擊者(即,識(shí)別出的 一個(gè)或多個(gè)源IP地址)從網(wǎng)絡(luò)完全切斷�,而可以只是禁止該攻擊者向 受害者(即,識(shí)別出的一個(gè)或多個(gè)目的地IP地址)發(fā)送分組����。特別是 在識(shí)別出的一個(gè)或多個(gè)源IP地址表示針對(duì)對(duì)受害者的給定攻擊已被接 管的合法用戶(例如,僵尸)的情況下���,這是有利的��。因此�,被接管 的機(jī)器的擁有者可以繼續(xù)出于合法目的使用該系統(tǒng),然而同時(shí)����,有利 地挫敗了正在向受害者(很可能不為合法用戶所知)進(jìn)犯的攻擊��。此 外要注意�,根據(jù)這些示意性實(shí)施例的技術(shù)還有利地提供了保護(hù)以避免 給定的受害者過分熱心地識(shí)別攻擊者。根據(jù)本發(fā)明的原理��,由于對(duì)攻 擊的識(shí)別由明顯受害者的判斷進(jìn)行處理�����,因此����,明顯有利地,只有去 往給定受害者的業(yè)務(wù)量被切斷或被限制����。
受害者可以通過具有變化的簡(jiǎn)單或復(fù)雜程度的一個(gè)或多個(gè)算法 來辨別惡意攻擊,該一個(gè)或多個(gè)算法在本發(fā)明的范圍之外��,但是對(duì)于 本領(lǐng)域技術(shù)人員而言����,其中多個(gè)算法是明顯的�。例如���,根據(jù)本發(fā)明的 一個(gè)示意性實(shí)施例��,可以檢查應(yīng)用日志�����,并且可以僅基于來自單個(gè)識(shí) 別出的源或多個(gè)識(shí)別出的源的非常高的業(yè)務(wù)量水平(例如��,高分組速 率)的存在來識(shí)別攻擊����。要注意����,這是一種識(shí)別拒絕服務(wù)攻擊的存在 的傳統(tǒng)方法,并將為本領(lǐng)域普通技術(shù)人員所熟知�����。
然而����,在其他實(shí)現(xiàn)方式中���,可以執(zhí)行基于應(yīng)用的、對(duì)分組內(nèi)容的
分析�����,以識(shí)別具有可疑性質(zhì)的分組或分組序列�����,例如辨別已有對(duì)不 存在的數(shù)據(jù)庫(kù)元素的頻繁數(shù)據(jù)庫(kù)搜索�;辨別己有明顯由人發(fā)出的多個(gè) 請(qǐng)求����,其發(fā)生的速率高于人能發(fā)起它們的速率;識(shí)別句法上無效的請(qǐng) 求���;以及識(shí)別正常發(fā)生的活動(dòng)的操作中特別敏感時(shí)刻的可疑業(yè)務(wù)量��。 例如����,如果股票交易網(wǎng)站注意到在即將到來的股票交易期間的敏感時(shí) 刻的特別具有破壞性的業(yè)務(wù)量,則可能識(shí)別較后一類可疑分組的示例���。 在此外的變體中�,有利地����,可以在更復(fù)雜的分析中組合可能的攻擊的多個(gè)不同標(biāo)記(例如,其可包括一個(gè)或多個(gè)的上述情況)�,以識(shí)別攻擊 的存在。 .
圖2是圖1中可實(shí)現(xiàn)本發(fā)明的過程的中央過濾器系統(tǒng)200的示意框 圖�。如圖2所示,存儲(chǔ)器230配置處理器220以實(shí)現(xiàn)此處所公開的拒絕服 務(wù)過濾方法��、步驟和功能���。存儲(chǔ)器230可以是分布式的或本地的�����,并且 處理器220可以是分布式的或單一的�����?��?梢詫⒋鎯?chǔ)器230實(shí)現(xiàn)為電存儲(chǔ) 器����、磁存儲(chǔ)器��、光存儲(chǔ)器或者這些或其他類型的存儲(chǔ)設(shè)備的任意組合���。 應(yīng)當(dāng)注意�����,構(gòu)成處理器220的每一個(gè)分布式處理器通常包含其自身的可 尋址存儲(chǔ)空間。還應(yīng)當(dāng)注意��,可以將計(jì)算機(jī)系統(tǒng)200的一些或全部并入 專用或通用的集成電路中��。
如圖2所示�����,示例性存儲(chǔ)器230包括以下分別結(jié)合圖3到5進(jìn)一步討 論的拒絕服務(wù)過濾器規(guī)則庫(kù)300����、過濾器超馳數(shù)據(jù)庫(kù)400���、和一個(gè)或多 個(gè)拒絕服務(wù)過濾過程500。通常����,拒絕服務(wù)過濾器規(guī)則庫(kù)300是包含與 應(yīng)由中央過濾器200所限制或允許的業(yè)務(wù)量相關(guān)聯(lián)的源/目的地地址對(duì) 的傳統(tǒng)過濾器庫(kù)。過濾器超馳數(shù)據(jù)庫(kù)400包含一個(gè)或多個(gè)預(yù)配置的正則 表達(dá)式����,如proxy承,isp.com或515.searchenginebot.com���,該正貝U表達(dá)式允許 超馳拒絕服務(wù)過濾器規(guī)則庫(kù)300中的一個(gè)或多個(gè)通告廢除��。拒絕服務(wù)過 濾過程500是根據(jù)本發(fā)明通告廢除超馳特征的�、用于防御拒絕服務(wù)或其 他攻擊的示例性方法�。
可以將中央過濾器200實(shí)現(xiàn)為服務(wù)提供者網(wǎng)絡(luò)120中包括的單機(jī) 盒,或備選地����,實(shí)現(xiàn)為被并入已存在于網(wǎng)絡(luò)120中的其他傳統(tǒng)網(wǎng)元中的 線卡(linecard)。此外�����,根據(jù)特定的示意性實(shí)施例,有利地����,網(wǎng)絡(luò)120 內(nèi)相對(duì)靠近攻擊原點(diǎn)的位置處的承載者布置中央過濾器200,或者可以 首先放置中央過濾器200以有利地使高級(jí)客戶防御攻擊��。
圖3是來自圖2所示的拒絕服務(wù)過濾器規(guī)則庫(kù)300的樣本表�����。如上 所示���,通常將拒絕服務(wù)過濾器規(guī)則庫(kù)300實(shí)現(xiàn)為傳統(tǒng)過濾器庫(kù)���,該傳統(tǒng) 過濾器庫(kù)包含與應(yīng)由中央過濾器2(J0所限制或允許的業(yè)務(wù)量相關(guān)聯(lián)的 源/目的地地址對(duì)。
如上所示�����,防御拒絕服務(wù)攻擊的系統(tǒng)通常工作于兩種模式中的一 種����。在"缺省丟棄"模式下���,缺省行為過濾除了在拒絕服務(wù)過濾器規(guī)則庫(kù)300中明確列出的業(yè)務(wù)量以外的��、指定該區(qū)域的所有業(yè)務(wù)量�����。另一 方面��,在缺省允許模式下��,除了與拒絕服務(wù)過濾器規(guī)則庫(kù)300中的預(yù)定 義丟棄過濾器明確匹配的業(yè)務(wù)量以外�,過濾器200使所有去往該訂戶的 業(yè)務(wù)量通過。因此����,如圖3所示,示例性拒絕服務(wù)過濾器規(guī)則庫(kù)300包 括可選按鈕選擇310�,允許用戶指定缺省模式是丟棄還是允許業(yè)務(wù)量。 在圖3所示的示例性實(shí)現(xiàn)方式中�,拒絕服務(wù)過濾器規(guī)則庫(kù)300被配置為 示例性的"缺省允許"模式,以使得除了與拒絕服務(wù)過濾器規(guī)則庫(kù)300 中的預(yù)定義丟棄過濾器明確匹配的業(yè)務(wù)量以外����,過濾器200使去往該訂 戶的業(yè)務(wù)量通過。
在圖3所示的示例性實(shí)現(xiàn)方式中����,拒絕服務(wù)過濾器規(guī)則庫(kù)300由源 /目的地地址對(duì)和可選的所示動(dòng)作組成��,其中���,應(yīng)當(dāng)針對(duì)每個(gè)列出的源 /目的地地址對(duì)之間的所有業(yè)務(wù)量執(zhí)行該可選的所示動(dòng)作。
要注意���,中央過濾器200的過濾機(jī)制的操作與傳統(tǒng)防火墻的過濾 機(jī)制的操作類似��,只是中央過濾器200的過濾機(jī)制基于可能的大量(例 如��,上百萬個(gè))非常簡(jiǎn)單的規(guī)則進(jìn)行操作��。特別地�,可以以"如果給 定分組的源IP地址是a.b.c.d而該分組的目的地IP地址是w.x.y.z����,則阻止 (即,丟棄)該分組"的形式來表達(dá)該規(guī)則��。
不需要禁止具有給定源和目的地IP地址的分組的發(fā)送�,中央過濾 器200可以對(duì)這些分組去優(yōu)先級(jí)���。也就是說��,過濾機(jī)制可以給這些分組 分配低路由優(yōu)先級(jí)或?qū)@些分組強(qiáng)制執(zhí)行分組速率限制�����。在任一種情 況下����,具有給定源和目的地IP地址的分組將不能對(duì)業(yè)務(wù)量有顯著的影 響并因而不再產(chǎn)生對(duì)受害者的成功的拒絕服務(wù)攻擊。
圖4是來自圖2所示的過濾器超馳數(shù)據(jù)庫(kù)400的樣本表���。過濾器超 馳數(shù)據(jù)庫(kù)400包含一個(gè)或多個(gè)預(yù)配置的正則表達(dá)式���,如proxy"sp.com 或氣searchenginebot.com,該正則表達(dá)式允許超馳拒絕服務(wù)過濾器規(guī)則 庫(kù)300中的一個(gè)或多個(gè)通告廢除�����。在圖4所示的示例性實(shí)現(xiàn)方式中���,針 對(duì)示例性的"缺省允許"模式配置過濾器超馳數(shù)據(jù)庫(kù)400���,以使得過濾 器超馳數(shù)據(jù)庫(kù)400中列出的一個(gè)或多個(gè)掩碼可以超馳拒絕服務(wù)過濾器 規(guī)則庫(kù)300中列出的示例性的丟棄過濾器����。以下結(jié)合圖4對(duì)使用了圖4 所示的正則表達(dá)式的方式作進(jìn)一步討i侖�����。圖5是描述了并入本發(fā)明特征的拒絕服務(wù)過濾過程的示例性實(shí)現(xiàn) 方式的流程圖�����。要注意�,針對(duì)"缺省允許"模式實(shí)現(xiàn)示例性的拒絕服
務(wù)過濾過程500。對(duì)于本領(lǐng)域普通技術(shù)人員而言�����,針對(duì)"缺省丟棄"模 式的實(shí)現(xiàn)方式將會(huì)是顯而易見的��。通常��,拒絕服務(wù)過濾過程500是用于 防御拒絕服務(wù)或其他攻擊的示例性方法����,并實(shí)現(xiàn)了本發(fā)明的通告廢除 超馳特征��。示意性的拒絕服務(wù)過濾過程500在中央過濾器200處執(zhí)行并 在步驟510期間開始,從檢測(cè)器140接收拒絕服務(wù)攻擊正在進(jìn)犯企業(yè)網(wǎng) 150中的給定目標(biāo)受害者的指示����。
此后,在步驟520期間�����,網(wǎng)絡(luò)承載者從檢測(cè)器140接收表示為了挫 敗拒絕服務(wù)攻擊而應(yīng)被阻止的IP分組的一個(gè)或多個(gè)源/目的地IP地址 對(duì)���。示意性地���,源IP地址是發(fā)起攻擊的(例如,"僵尸")計(jì)算設(shè)備 IIO的IP地址���,而目的地IP地址是與目標(biāo)受害者自身相關(guān)聯(lián)的IP地址���。
然后,在步驟530期間����,網(wǎng)絡(luò)承載者監(jiān)控IP分組業(yè)務(wù)量,以識(shí)別源 和目的地IP地址與接收到的源/目的地IP地址對(duì)中的一個(gè)相匹配的那 些IP分組。在步驟540期間執(zhí)行測(cè)試����,以確定是否一個(gè)或多個(gè)分組與拒 絕服務(wù)過濾器規(guī)則庫(kù)300中的地址對(duì)相匹配。
如果在步驟540期間確定了一個(gè)或多個(gè)分組與拒絕服務(wù)過濾器規(guī) 則庫(kù)300中的地址對(duì)相匹配�����,則在步驟545期間執(zhí)行對(duì)源IP地址的反向 DNS查找��。反向DNS查找將返回與該源IP地址相關(guān)聯(lián)的��、通常以已知 的域名服務(wù)(DNS)格式表示的完整地址�。如此處所使用的,域名服 務(wù)格式應(yīng)包括IP地址或其他分組地址的任何域名表示�。
在步驟550期間執(zhí)行另一測(cè)試,以確定DNS項(xiàng)是否滿足超馳數(shù)據(jù) 庫(kù)400中的掩碼���。如果在步驟550期間確定了DNS項(xiàng)滿足超馳數(shù)據(jù)庫(kù)400 中的掩碼�����,則不應(yīng)丟棄或限制該分組(盡管在拒絕服務(wù)過濾器規(guī)則庫(kù) 300中出現(xiàn))����,并且程序控制進(jìn)行到以下討論的步驟570。然而����,如果在 步驟550期間確定了DNS項(xiàng)不滿足超馳數(shù)據(jù)庫(kù)400中的掩碼,則網(wǎng)絡(luò)承 載者的中央過濾器200阻止所識(shí)別出的IP分組�����,從而挫敗對(duì)目標(biāo)受害者 的拒絕服務(wù)攻擊����。如果在步驟540期間確定了一個(gè)或多個(gè)分組與拒絕服務(wù)過濾器規(guī) 則庫(kù)300中的地址對(duì)不相匹配���,或如果在步驟550期間確定了DNS項(xiàng)不 滿足超馳數(shù)據(jù)庫(kù)400中的掩碼�����,則允許將該分組發(fā)送到企業(yè)網(wǎng)150���。
在拒絕服務(wù)過濾過程500的"缺省丟棄"實(shí)現(xiàn)方式中,.中央過濾 器200可能傳遞來自在過濾器超馳數(shù)據(jù)庫(kù)400中列出的任何源設(shè)備的分 組�����,即便所列出的源設(shè)備沒有在拒絕服務(wù)過濾器規(guī)則庫(kù)300中明確出現(xiàn) 也是如此。
還要注意��,雖然在示意性實(shí)施例中被示出為由中央過濾器200執(zhí) 行����,但本發(fā)明的通告廢除超馳特征同樣可以由檢測(cè)器140執(zhí)行,這對(duì)本 領(lǐng)域普通技術(shù)人員而言是顯而易見的��。
本發(fā)明可以結(jié)合一個(gè)或多個(gè)的輔助工具進(jìn)行工作����。例如,這樣的 工具可能包括用于辨別所施加的拒絕服務(wù)攻擊的互聯(lián)網(wǎng)服務(wù)器插件程 序(plug-in)����、向各種IDS系統(tǒng)(侵入檢測(cè)系統(tǒng))的鏈接、用于網(wǎng)絡(luò)診 斷的數(shù)據(jù)庫(kù)(如上所討論的)����、以及用于針對(duì)在給定的承載者的基礎(chǔ)結(jié) 構(gòu)內(nèi)放置清除器(Zapper)功能提供向?qū)У姆椒ā8鶕?jù)此處的公開�, 提供這些輔助工具中各種輔助工具的本發(fā)明的示意性實(shí)施例對(duì)于本領(lǐng) 域技術(shù)人員而言是顯而易見的。
系統(tǒng)和制造品的細(xì)節(jié)
如本領(lǐng)域公知的���,此處討論的方法和設(shè)備可以被分發(fā)為本身包括 計(jì)算機(jī)可讀介質(zhì)的制造品��,在該計(jì)算機(jī)可讀介質(zhì)上實(shí)現(xiàn)有計(jì)算機(jī)可讀 代碼裝置���。與計(jì)算機(jī)系統(tǒng)相結(jié)合�,計(jì)算機(jī)可讀程序代碼裝置可操作為 執(zhí)行全部或一些步驟��,以執(zhí)行此處討論的方法或創(chuàng)建此處討論的設(shè)備��。 計(jì)算機(jī)可讀介質(zhì)可以是可記錄介質(zhì)(例如��,軟盤��、硬驅(qū)動(dòng)器����、壓縮盤�����、 存儲(chǔ)卡����、半導(dǎo)體器件、芯片����、專用集成電路(ASIC))�����,或可以是傳送 介質(zhì)(例如����,網(wǎng)絡(luò)����,包括光纖、萬維網(wǎng)���、電纜�、或者使用時(shí)分多址�、 碼分多址或其他射頻信道的無線信道)?��?梢允褂眠m合與計(jì)算機(jī)系統(tǒng)一 起使用的��、能夠存儲(chǔ)信息的己知或已開發(fā)的任何介質(zhì)���。計(jì)算機(jī)可讀代 碼裝置是允許計(jì)算機(jī)讀取指令和數(shù)據(jù)(如磁介質(zhì)上的磁變化或壓縮盤 表面上的高度變化)的任何機(jī)制�����。此處所述的計(jì)算機(jī)系統(tǒng)和服務(wù)器均包含存儲(chǔ)器��,該存儲(chǔ)器將配置 關(guān)聯(lián)的處理器以實(shí)現(xiàn)此處所公開的方法�����、步驟和功能��。存儲(chǔ)器可以是 分布式的或本地的���,并且處理器可以是分布式的或單一的���?��?梢詫⒋?儲(chǔ)器實(shí)現(xiàn)為電存儲(chǔ)器、磁存儲(chǔ)器���、光存儲(chǔ)器或者這些或其他類型的存 儲(chǔ)設(shè)備的任何組合��。此外���,術(shù)語"存儲(chǔ)器"應(yīng)當(dāng)被足夠?qū)挿旱亟忉尀?包括能夠從由關(guān)聯(lián)處理器訪問的可尋址空間中的地址讀取或能夠?qū)懭?該地址的任何信息���。使用該定義,網(wǎng)絡(luò)上的信息仍處于存儲(chǔ)器內(nèi)����,這 是因?yàn)殛P(guān)聯(lián)處理器可以從網(wǎng)絡(luò)取得該信息。
應(yīng)當(dāng)理解���,此處所示和所述的實(shí)施例和變體僅僅用于說明本發(fā)明 的原理���,在不背離本發(fā)明的范圍和精神的情況下,本領(lǐng)域技術(shù)人員可 以實(shí)現(xiàn)各種修改����。
權(quán)利要求
1、一種用于防御由目標(biāo)受害者接收到的不期望業(yè)務(wù)量的方法�����,所述目標(biāo)受害者具有一個(gè)或多個(gè)目的地地址����,所述方法包括以下步驟維護(hù)用于識(shí)別至少一個(gè)源計(jì)算設(shè)備的源地址的中央過濾器�,其中��,所述至少一個(gè)源計(jì)算設(shè)備向所述目標(biāo)受害者的分組發(fā)送將要經(jīng)受以下一個(gè)或多個(gè)限制����、丟棄、或允許�����;維護(hù)列出了至少一個(gè)正則表達(dá)式的超馳過濾器�����,所述至少一個(gè)正則表達(dá)式用于識(shí)別一個(gè)或多個(gè)源計(jì)算設(shè)備���,其中,所述一個(gè)或多個(gè)源計(jì)算設(shè)備向所述目標(biāo)受害者的分組發(fā)送應(yīng)當(dāng)是與所述中央過濾器中的項(xiàng)無關(guān)地向所述目標(biāo)受害者發(fā)送的����;如果所述中央過濾器指示至少一個(gè)接收到的分組是從所述至少一個(gè)源計(jì)算設(shè)備接收到的,則將所述源地址轉(zhuǎn)換成以域名服務(wù)格式表示的地址���;以及如果所述域名服務(wù)格式滿足在所述超馳過濾器中出現(xiàn)的正則表達(dá)式�����,則將所述至少一個(gè)接收到的分組發(fā)送到所述目標(biāo)受害者��。
2��、 根據(jù)權(quán)利要求1所述的方法�����,其中��,所述中央過濾器中的所 述源地址是在所述中央過濾器的配置期間從一個(gè)或多個(gè)檢測(cè)器接收 的���、或者從所述目標(biāo)受害者接收的�����,其中所述一個(gè)或多個(gè)檢測(cè)器與所 述目標(biāo)受害者相關(guān)聯(lián)��,并指示正在接收不期望業(yè)務(wù)量����。
3、 根據(jù)權(quán)利要求1所述的方法�����,其中�����,所述轉(zhuǎn)換步驟包括執(zhí) 行反向DNS査找的步驟�。
4、 根據(jù)權(quán)利要求1所述的方法����,其中,所述正則表達(dá)式是包含 一個(gè)或多個(gè)通配符字段的域名服務(wù)掩碼���。
5��、 根據(jù)權(quán)利要求1所述的方法��,其中�,所述不期望業(yè)務(wù)量包括 惡意攻擊或拒絕服務(wù)攻擊�����。
6����、 一種用于防御由目標(biāo)受害者接收到的不期望業(yè)務(wù)量的設(shè)備, 所述目標(biāo)受害者具有一個(gè)或多個(gè)目的地地址�,所述設(shè)備包括存儲(chǔ)器;以及至少一個(gè)處理器��,耦合至存儲(chǔ)器�����,所述至少一個(gè)處理器用于維護(hù)用于識(shí)別至少一個(gè)源計(jì)算設(shè)備的源地址的中央過濾器�����,其 中����,所述至少一個(gè)源計(jì)算設(shè)備向所述目標(biāo)受害者的分組發(fā)送將要經(jīng)受 以下一個(gè)或多個(gè)限制、丟棄����、或允許;維護(hù)列出了至少一個(gè)正則表達(dá)式的超馳過濾器�����,所述至少一個(gè)正 則表達(dá)式用于識(shí)別一個(gè)或多個(gè)源計(jì)算設(shè)備,其中�,所述一個(gè)或多個(gè)源 計(jì)算設(shè)備向所述目標(biāo)受害者的分組發(fā)送應(yīng)當(dāng)是與所述中央過濾器中的 項(xiàng)無關(guān)地向所述目標(biāo)受害者發(fā)送的.;如果所述中央過濾器指示至少一個(gè)接收到的分組是從所述至少 一個(gè)源計(jì)算設(shè)備接收到的����,則將所述源地址轉(zhuǎn)換成以域名服務(wù)格式表示的地址;以及如果所述域名服務(wù)格式滿足在所述超馳過濾器中出現(xiàn)的正則表 達(dá)式���,則將所述至少一個(gè)接收到的分組發(fā)送到所述目標(biāo)受害者�����。
7����、 根據(jù)權(quán)利要求6所述的設(shè)備�����,其中�����,所述中央過濾器中的所 述源地址是在所述中央過濾器的配置期間從一個(gè)或多個(gè)檢測(cè)器接收 的、或者從所述目標(biāo)受害者接收的���,其中所述一個(gè)或多個(gè)檢測(cè)器與所 述目標(biāo)受害者相關(guān)聯(lián),并指示正在接收不期望業(yè)務(wù)量�����。
8���、 根據(jù)權(quán)利要求6所述的設(shè)備���,其中,通過執(zhí)行反向DNS查找�, 將所述源地址轉(zhuǎn)換成以域名服務(wù)格式表示的地址。
9�����、 根據(jù)權(quán)利要求6所述的設(shè)備�����,其中�����,所述正則表達(dá)式是包含 一個(gè)或多個(gè)通配符字段的域名服務(wù)格式掩碼。
10���、 根據(jù)權(quán)利要求6所述的設(shè)備�,其中�����,所述不期望業(yè)務(wù)量包括 惡意攻擊或拒絕服務(wù)攻擊�����。
全文摘要
提供了用于有選擇地超馳由于自動(dòng)檢測(cè)算法而對(duì)業(yè)務(wù)量的阻止的方法和設(shè)備�。目標(biāo)受害者可以通過如下方式來抵御不期望的業(yè)務(wù)量維護(hù)用于識(shí)別至少一個(gè)源計(jì)算設(shè)備的源地址的中央過濾器,其中�,該至少一個(gè)源計(jì)算設(shè)備向目標(biāo)受害者的分組發(fā)送應(yīng)當(dāng)被限制;維護(hù)列出了至少一個(gè)正則表達(dá)式的超馳過濾器���,該至少一個(gè)正則表達(dá)式用于識(shí)別一個(gè)或多個(gè)源計(jì)算設(shè)備����,其中,該一個(gè)或多個(gè)源計(jì)算設(shè)備向目標(biāo)受害者的分組發(fā)送應(yīng)當(dāng)是向目標(biāo)受害者發(fā)送的����;如果中央過濾器指示接收到的至少一個(gè)分組是從該至少一個(gè)源計(jì)算設(shè)備接收到的,則將源地址轉(zhuǎn)換成以域名服務(wù)格式表示的地址���;以及如果該域名服務(wù)格式滿足在超馳過濾器中出現(xiàn)的正則表達(dá)式,則將該至少一個(gè)分組發(fā)送到目標(biāo)受害者�。
文檔編號(hào)H04L29/06GK101536456SQ200780040707
公開日2009年9月16日 申請(qǐng)日期2007年10月23日 優(yōu)先權(quán)日2006年11月3日
發(fā)明者克里福德·E·馬丁, 埃里克·亨利·格羅塞 申請(qǐng)人:朗訊科技公司