[发明专利]一种中央监测的洪水攻击检测方法

说明书

技术领域

本发明涉及洪水攻击检测领域，尤其涉及一种中央监测的洪水攻击检测方法。

背景技术

SYN洪水攻击(SYN_FLOOD)是一种广为人知的拒绝服务攻击(DOS)与分布式拒绝服务攻击(DDos)的方式之一，其利用了TCP/IP v4协议的缺陷，发送大量伪造的TCP连接请求，迫使服务器端短时间内发出大量的SYN+ACK应答数据包，从而使服务器资源耗尽(CPU满负荷或内存不足)。TCP连接的建立都是从三次握手开始的，1)客户端会发送一个包含同步(Synchronize，SYN)标志的TCP报文，该同步报文会包含了源地址、源端口、目的地址、目的端口、初始系列号等信息；2)服务器在收到客户端的同步报文后，会返回给客户端一个同步+确认报文(Acknowledgment，ACK)，该同步+确认报文也包含了源地址、源端口、目的地址、目的端口、初始系列号等信息；3)当客户端接收到同步+确认报文后，会再返回给服务器一个确认报文，此时一个TCP连接完成。如果服务器发出同步+确认报文后，没有收到相应的客户端的确认报文时，会在30s-2min内不断重试发送同步+确认报文，如果在这个期间一直没收到客户端的确认报文则丢弃这个未完成的连接并释放相应的系统资源。洪水攻击使服务器打开了大量的半开连接请求，使正常的客户请求无法请求。在互联网相当普及的今天，要让联网的服务器稳定地运行，及时做好应对洪水攻击的检测工作成为企业网络安全的基本诉求。目前，洪水攻击的检测方法一般为简单地统计报文中同步报文数量，当单位时间内同步报文数量大于预先设定的阈值时，就确定服务器遭受洪水攻击。这种仅仅是统计SYN数量的监测方式误判率很大，往往会统计到正常的业务数据包，给正常业务造成一定的影响。

发明内容

本发明的目的在于克服现有技术中的缺点与不足，提供一种中央监测的洪水攻击检测方法。

本发明是通过以下技术方案实现的：一种中央监测的洪水攻击检测方法，包括如下步骤：

S1：在网络入口处设置一监测装置，该监测装置包括IP数据包的转发模块、阻断模块及统计模块；

S2：监测装置监测单向流进监测装置的数据报文，并根据监测结果转发或阻断IP数据包，该步骤S2包括如下步骤：

S21：监测装置创建第一哈希数组及第二哈希数组；

S22：监测装置采集来自互联网的SYN数据包(同步请求数据包)并提取SYN数据包信息，并对数据包中的IP五元组进行系列化及哈希加密转换得到第一哈希值，该第一哈希值储存到第一哈希数组中；

S23：监测装置采集来自互联网的ACK数据包(所述同步请求数据包对应的确认数据包)并提取ACK数据包信息，并对数据包中的IP五元组进行系列化及哈希加密转换得到第二哈希值，该第二哈希值储存到第二哈希数组中；

S24：监测装置检索第二哈希数组，如果存在第二哈希值与第一哈希值相同，则为正常数据包、否则为洪水攻击数据包，监测装置将所述第一哈希值反系列化及反哈希加密转换后得到SYN数据包中的攻击源地址，监测装置阻断该攻击源地址对服务器的访问。

进一步，所述步骤S22中的哈希加密转换采用MD5加密算法。

进一步，所述步骤S22中，所述IP五元组为SYN数据包的源地址、源端口、目的地址、目的端口、协议标识。

进一步，所述步骤S23中，所述IP五元组为ACK数据包的源地址、源端口、目的地址、目的端口、协议标识。

相比于现有技术，本发明的有益效果是：

本发明在互联网入口处集中部署监测装置，有利于数据的集中采集和计算；监测装置采集来自互联网的SYN数据包及ACK数据包，并利用第一哈希数组储存SYN数据包信息、利用第二哈希数组储存ACK数据包信息，通过对SYN数据包及ACK数据包的五元组的系列化并哈希加密转换得到洪水攻击的判定特征，进而有效判定洪水攻击发起端的来源，并通过监测装置的阻断模块阻断攻击源，有效保障网络安全及服务器的稳定性。

为了能更清晰的理解本发明，以下将结合附图说明阐述本发明的较佳的实施方式。

附图说明

图1是本发明中的监测装置部署的网络拓扑示意图。

图2是本发明的流程图。

图3是图2中步骤S2的流程图。

具体实施方式

请同时参阅图1至图3，图1是本发明中的监测装置部署的网络拓扑示意图，图2是本发明的流程图，图3是图2中步骤S2的流程图。

见图1和图2，一种中央监测的洪水攻击检测方法，包括如下步骤：