[发明专利]利用嵌入的认证信息防止网络重置拒绝服务攻击

说明书

技术领域

本发明一般地涉及计算机网络。更具体而言，本发明涉及防止网络中的TCP重置攻击。

背景技术

这一部分中描述的方法可以实现，但是并不一定是先前已察觉或已实现的方法。因此，除非这里另有指明，否则这一部分中描述的方法并不是本申请中权利要求的现有技术，也不应当因为被包括在这一部分中而被当作现有技术。

网络已经变为企业和消费者等的重要工具，许多企业和消费者当前依赖于诸如邮件服务器、网站和内容服务器之类的网络资源的恒定可用性。随着网络使用的增加，保护网络免受恶意实体通过拒绝服务(“DoS”)攻击进行的破坏变得更加重要。DoS攻击剥夺了合法用户对网络服务的访问权限，并且已被成功地用来破坏合法用户对诸如Yahoo！和CNN之类的因特网站点的访问。

一种类型的DoS攻击利用了传输控制协议(“TCP”)的基本设计，TCP是因特网的基础协议之一，如因特网工程任务组(IETF)请求注解(RFC)793中所定义的。这类DoS攻击被称为TCP重置或RST攻击，其利用了这样的事实：即，在遵从RFC 793的TCP的实现方式中，TCP连接可以响应于从远程节点接收到设置了头部中的重置位(“RST位”)的TCP分组而被适当地终止。

TCP重置攻击试图通过将欺骗性片段插入到活动TCP连接中来关断合法TCP会话，该欺骗性片段设置了重置(RST)标志并且包含落在接收节点允许的有效序列值范围内的分组序列值。一般来说，攻击者首先确定或猜测两个端点的IP地址和端点用于进行TCP连接或更高级协议的端口号。成功的攻击者还猜测落在允许的范围或窗口内的序列号。发送设置了RST标志、具有正确IP地址和端口号并且序列号落在TCP连接窗口内的任何TCP片段都可以使得根据RFC 793适当地实现TCP的接收节点关断TCP连接。

TCP SYN攻击以类似的方式进行。根据RFC 793，如果攻击者发送在头部中设置了SYN位的TCP分组，并且序列值落在允许的序列值的窗口内，则接收节点关闭TCP连接并发送TCP RST分组。RFC 793规定该过程，是为了使非同步主机能够关闭连接并重新同步，但是在当前实践中，该过程使得安全性脆弱。

边界网关协议(BGP)、超文本传送协议(HTTP)、某些语音协议、多协议标签交换(MPLS)和其他协议使用TCP连接，并且是这些攻击的目标。后果可能是严重的。例如，当路由器的BGP会话被通过关闭相关联的TCP连接而破坏时，路由器将会丢弃其已创建的所有BGP路由，从而实质上导致BGP过程发生故障。结果，BGP过程必须使其自身和网络中的对等路由器之间重新同步，并且在重新同步时段期间，故障路由器不能转发任何流量。因此，本领域中的研究者的兴趣在于：创建某些方式来阻止TCP重置攻击，而不会从根本上改变RFC 793中指定的TCP的操作。

在一种方法中，研究者认为通过分配32位伪随机值作为新的TCP连接的初始序列号(ISN)，则攻击者无法以任何实际可行的方式猜测正确的序列号，这是因为可能正确的值的数目是2³²或近似40亿，从而使得这种攻击实质上是不可能的。该原理在攻击者尝试将数据段插入现有TCP连接中的情况下可能是正确的。

然而，如果片段的序列号落在可接受值的窗口或范围内，则即使该序列号与下一期望序列号不是精确匹配，遵从RFC 793的传统TCP实现方式也会接受RST片段或SYN分组。该方法用来补偿分组可能丢失的可能性。在TCP的某些实现方式中，允许的序列值的范围可能大到16,000到多于50,000个值。不幸的是，其后果是攻击者不需要正确地生成所有32位的序列号以提供接收节点将会接受的号，即使在使用了真随机或伪随机ISN时也是如此。如果允许的序列值的范围足够大，则攻击者可以在实际可行的时间量中通过随机或强力选择猜测出正确序列值的机会大大增加。接收节点建立的窗口越大，黑客执行该攻击就越容易。

从而，仅仅检查已建立连接的新到达RST分组或SYN分组以确定序列号是否在给定窗口内并且如果在的话则拆掉连接的TCP实现方式并不适合于防止试图过早终止连接的黑客的攻击。