[发明专利]过滤用户数据报协议数据包的方法和装置

说明书

技术领域

本发明涉及通信技术，尤其涉及一种过滤用户数据报协议数据包的方法和装置。 

背景技术

用户数据报协议(User Datagram Protocol，以下简称：UDP)是开放式系统互联参考模型(Open System Interconnect Reference Model，简称：OSI)中一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。攻击者伪造源互联网协议(Internet Protocol，以下简称：IP)地址，然后组成UDP数据包发送给受害主机的随机端口，受害主机接收到该UDP数据包后，确定目的端口正在等待中的应用程序，当其发现该目的端口并不存在正在等待的应用程序，其会产生一个目的端口无法连接的网间控制报文协议(Internet Control Messages Protocol，以下简称：ICMP)数据包发送给该伪造的源IP地址。如果攻击者向受害主机发送足够多的UDP数据包，该受害主机发出大量的ICMP包，最后导致受害主机的资源耗尽而瘫痪，从而形成拒绝服务(Denial of Service，以下简称：DOS)攻击。如果攻击者攻击足够多的受害主机，则形成分布式拒绝服务(Distributed DOS，以下简称：DDOS)攻击。尽管受害主机可以设置防火墙，但是由于UDP数据包是完整和正常的，防火墙很难防范；并且由于UDP数据包的源IP地址为虚假的，一定时间的攻击后，会将防火墙的会话表打满，从而导致防火墙无法正常工作。 

为了过滤DDOS攻击中的UDP数据包，可以对源IP地址的发包频率进行实时统计，若源IP地址的发包频率超过阈值，进行报警并丢弃该源IP地址的UDP数据包；但是由于DDOS攻击中的UDP数据包的源IP地址多为虚假IP地址，因此无法统计源IP地址的发包频率。现有技术中尚无有效过滤DDOS攻击中的 UDP数据包的解决方案。 

发明内容

本发明实施例提供了一种过滤用户数据报协议数据包的方法和装置，用以实现有效过滤DDOS攻击中的UDP数据包。 

本发明实施例还提供了一种过滤用户数据报协议数据包的方法，包括： 

根据应用层协议的协议特征字，检测用户数据报协议数据包的包体；其中，所述协议特征字为使用所述应用层协议的用户数据报协议数据包的包体共有的数据； 

若所述用户数据报协议数据包的包体中不存在与所述协议特征字相匹配的数据，将所述用户数据报协议数据包的指纹与目的指纹相比较；其中，所述用户数据报协议数据包的指纹包括所述用户数据报协议数据包的源互联网协议地址或目的互联网协议地址；所述目的指纹包括报文长度、数据偏移和数据字段；所述目的指纹包括静态指纹和/或动态指纹，其中，所述静态指纹通过外部设备输入，所述动态指纹通过对所述用户数据报协议数据包之前的用户数据报协议数据包进行检测得到； 

若所述用户数据报协议数据包的指纹与所述目的指纹相匹配，则丢弃所述用户数据报协议数据包。 

本发明实施例还提供了一种过滤用户数据报协议数据包的装置，包括： 

检测模块，用于根据应用层协议的协议特征字，检测用户数据报协议数据包的包体；其中，所述协议特征字为使用所述应用层协议的用户数据报协议数据包的包体共有的数据； 

匹配模块，用于若所述用户数据报协议数据包的包体中不存在与所述协议特征字相匹配的数据，将所述用户数据报协议数据包的指纹与目的指纹相比较；其中，所述用户数据报协议数据包的指纹包括所述用户数据报协议数据包的源互联网协议地址或目的互联网协议地址；所述目的指纹包括报文长度、数据偏移和数据字段；所述目的指纹包括静态指纹和/或动态指纹，其中， 所述静态指纹通过外部设备输入，所述动态指纹通过对所述用户数据报协议数据包之前的用户数据报协议数据包进行检测得到； 

第一过滤模块，用于若所述匹配模块确定所述用户数据报协议数据包的指纹与所述目的指纹相匹配，则丢弃所述用户数据报协议数据包。