一種洪水攻擊檢測方法
【技術領域】
[0001]本發(fā)明涉及洪水攻擊檢測領域�����,尤其涉及一種洪水攻擊檢測方法����。
【背景技術】
[0002]SYN洪水攻擊(SYN_FL00D)是一種廣為人知的拒絕服務攻擊(DOS)與分布式拒絕服務攻擊(DDos)的方式之一,這是一種利用TCP協(xié)議缺陷�����,發(fā)送大量偽造的TCP連接請求����,從而使得被攻擊方資源耗盡(CHJ滿負荷或內存不足)的攻擊方式。TCP連接建立時��,客戶端會發(fā)送一個包含同步(Synchronize,SYN)標志的TCP報文�,同步報文會指明客戶端使用的端口以及TCP連接的初始序號;服務器在收到客戶端的同步報文后�����,接收客戶端的請求后����,會返回給客戶端一個同步+確認報文,其中確認(Acknowledgment��,ACK)��,此時TCP序號被加I ;當客戶端接收到同步+確認報文后�,會返回給服務器一個確認報文,此時TCP序列號被加1��,一個TCP連接完成��。如果服務器發(fā)出同步+確認報文后����,沒有收到相應的客戶端的確認報文時�,會重試發(fā)送同步+確認報文,并等待一段時間(大約30s-2min)后丟棄這個未完成的連接。洪水攻擊就是服務器收到了大量的未完成的連接請求����,使正常的客戶請求無法請求。要讓服務器穩(wěn)定地運行�����,及時地檢測出洪水攻擊成為重中之重����。
[0003]目前,洪水攻擊的檢測方法一般為簡單地統(tǒng)計報文中同步報文數(shù)量���,當同步報文數(shù)量大于預先設定的閾值時�����,就確定服務器遭受洪水攻擊���。這樣的統(tǒng)計方式誤判率很大,而誤判率大就很可能使管理員忽視其檢則出的攻擊告警信息�����,這樣就容易使真正的攻擊有機可成。
【發(fā)明內容】
[0004]有鑒于此����,本發(fā)明實施例提供一種洪水攻擊檢測方法,以解決現(xiàn)有技術中洪水攻擊檢測誤判率很大的技術問題�。
[0005]本發(fā)明實施例提供了一種洪水攻擊檢測方法,包括:
[0006]當接收到同步報文時�����,提取所述同步報文的報文特征��;
[0007]將報文特征相同的同步報文進行累加計數(shù)���,作為計數(shù)值����;
[0008]當接收到所述同步報文的確認報文時���,將所述計數(shù)值減I ;
[0009]當所述第一計數(shù)值大于預設閾值時�,判斷遭到洪水攻擊�����。
[0010]本發(fā)明實施例提供的一種洪水攻擊檢測方法����,通過提取接收的同步報文的報文特征,并對報文特征相同的同步報文進行累加計數(shù)���,當收到與同步報文相對應的確認報文時���,表明連接建立,此時將計數(shù)值減I�。當計數(shù)值大于預設閾值時,判斷遭到洪水攻擊�。通過采用上述洪水攻擊檢測方法,可以提高洪水攻擊檢測的準確率�,從而減輕管理員的工作負擔并且能極大地提高被保護服務器的穩(wěn)定性。
【附圖說明】
[0011]通過閱讀參照以下附圖所作的對非限制性實施例所作的詳細描述����,本發(fā)明的其它特征、目的和優(yōu)點將會變得更明顯:
[0012]圖1為本發(fā)明實施例一提供的一種洪水攻擊檢測方法的流程圖����;
[0013]圖2為本發(fā)明實施例二提供的一種洪水攻擊檢測方法的流程圖。
【具體實施方式】
[0014]下面結合附圖和實施例對本發(fā)明作進一步的詳細說明�����。可以理解的是��,此處所描述的具體實施例僅僅用于解釋本發(fā)明���,而非對本發(fā)明的限定�。另外還需要說明的是�����,為了便于描述��,附圖中僅示出了與本發(fā)明相關的部分而非全部內容��。
[0015]實施例一
[0016]圖1為本發(fā)明實施例一提供的一種洪水攻擊檢測方法的流程圖�。本實施例的方法具體用于服務器對于洪水攻擊的檢測。本實施例的方法可以由服務器洪水攻擊檢測裝置執(zhí)行��,該裝置可由軟件和/或硬件來實現(xiàn)���,集成在可檢測洪水攻擊的服務器中����。如圖1所示,該方法包括:
[0017]S101���、當接收到同步報文時,提取所述同步報文的報文特征����。
[0018]在本實施例中,同步報文為用戶向服務器發(fā)送的報文���,表示用戶向服務器發(fā)起數(shù)據(jù)連接����。報文特征可以為報文的源端口����、目標端口、源地址����、目標地址和協(xié)議類型。
[0019]示例性的�,當服務器接收到用戶發(fā)送的同步報文時,提取所述同步報文的報文特征��。提取報文特征可以為提取一種報文特征、或提取多種報文特征結合的方式��。優(yōu)選為提取同步報文的目標地址�����。
[0020]S102����、將報文特征相同的同步報文進行累加計數(shù),作為計數(shù)值��。
[0021]示例性的����,服務器將具有相同特征的同步報文進行累加計數(shù),作為計數(shù)值��。優(yōu)選為���,將具有相同目標地址的同步報文進行累加計數(shù)����,作為計數(shù)值。計數(shù)方法可以為設置哈希數(shù)組進行計數(shù)�,也可以為設置計數(shù)模塊進行計數(shù)。優(yōu)選為采用哈希數(shù)組進行計數(shù)�。將報文特征相同的同步報文進行累加計數(shù),還可以包括先判斷同步報文的報文特征是否已經(jīng)存在服務器中�����,若存在��,則可以對相同報文特征的同步報文進行累加計數(shù)����;若不存在�,則可以先獲取同步報文的報文特征,并將報文特征存儲至服務器中��。優(yōu)選為�,先判斷同步報文的報文特征是否已經(jīng)存在第一哈希數(shù)組中,若存在�����,則可以對相同報文特征的同步報文進行累加計數(shù)�����;若不存在,則可以先獲取同步報文的報文特征��,并將報文特征存儲至第一哈希數(shù)組中����。
[0022]S103、當接收到所述同步報文的確認報文時�,將所述計數(shù)值減I。
[0023]示例性的����,確認報文為用戶向服務器發(fā)送連接請求的同步報文并收到服務器反饋后,向服務器發(fā)送一個表示確認連接的報文���。服務器在接收到確認報文后�����,與該用戶建立服務連接��。
[0024]示例性的�����,當服務器接收到與同步報文相對應的確認報文后����,表明服務器與用戶之間建立正常連接,就可以將記錄相同同步報文特征的計數(shù)值減I���。服務器判斷同步報文相應的確認報文的方式可以為通過同步報文和確認報文的一種報文特征或多種特征結合的方式進行判斷�����。優(yōu)選為,分別提取同步報文和確認報文的源端口��、目標端口����、源地址、目標地址和協(xié)議類型(IP五元組)結合的方式進行判斷�。具體結合方法可以為:將同步報文和確認報文的源端口、目標端口����、源地址、目標地址和協(xié)議類型進行哈希計算�����,根據(jù)哈希計算值進行判斷;將同步報文的源端口���、目標端口�����、源地址���、目標地址和協(xié)議類型分別與確認報文的目標端口、源端口���、目標地址�����、源地址和協(xié)議類型按照特定方式進行比較����。優(yōu)選為����,將同步報文和確認報文的源端口���、目標端口、源地址�、目標地址和協(xié)議類型進行哈希計算取得哈希值,當同步報文的哈希值與確認報文的哈希值相同時��,表明接收的是與該同步報文相對應的確認報文�,即用戶和服務器建立正常連接,此時統(tǒng)計相同同步報文特征的計數(shù)值減I���。
[0025]示例性的���,將服務器接收的同步報文的哈希值與確認報文的哈希值進行比較的方法優(yōu)選為:創(chuàng)建第二哈希數(shù)組,并將第二哈希數(shù)組的標識值設為第一預設值���,第一預設值可以根據(jù)實際情況設定。得出同步報文哈希值后�����,在第二哈希數(shù)組中查找相應的同步報文哈希值�����,并將對應的哈希數(shù)組標識值變?yōu)榈诙A設值,第二預設值也可以根據(jù)實際情況設定�。當?shù)贸龃_認報文的哈希值后,在第二哈希數(shù)組中查找相應的哈希值����,并判斷查找到的哈希值對應的標識值是否為第二預設值,若是第二預設值�����,表明有同步報文等待確認報文確認連接���,則建立相應用戶與服務器之間的連接����,并將統(tǒng)計同步報文的計數(shù)值減1,相對應的將第二哈希數(shù)組的標識值變更為第一預設值。若當?shù)贸龃_認報文的哈希值