技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)，尤其涉及一種過(guò)濾用戶數(shù)據(jù)報(bào)協(xié)議數(shù)據(jù)包的方法和裝置。?

背景技術(shù)

用戶數(shù)據(jù)報(bào)協(xié)議(User?Datagram?Protocol，以下簡(jiǎn)稱：UDP)是開(kāi)放式系統(tǒng)互聯(lián)參考模型(Open?System?Interconnect?Reference?Model，簡(jiǎn)稱：OSI)中一種無(wú)連接的傳輸層協(xié)議，提供面向事務(wù)的簡(jiǎn)單不可靠信息傳送服務(wù)。攻擊者偽造源互聯(lián)網(wǎng)協(xié)議(Internet?Protocol，以下簡(jiǎn)稱：IP)地址，然后組成UDP數(shù)據(jù)包發(fā)送給受害主機(jī)的隨機(jī)端口，受害主機(jī)接收到該UDP數(shù)據(jù)包后，確定目的端口正在等待中的應(yīng)用程序，當(dāng)其發(fā)現(xiàn)該目的端口并不存在正在等待的應(yīng)用程序，其會(huì)產(chǎn)生一個(gè)目的端口無(wú)法連接的網(wǎng)間控制報(bào)文協(xié)議(Internet?Control?Messages?Protocol，以下簡(jiǎn)稱：ICMP)數(shù)據(jù)包發(fā)送給該偽造的源IP地址。如果攻擊者向受害主機(jī)發(fā)送足夠多的UDP數(shù)據(jù)包，該受害主機(jī)發(fā)出大量的ICMP包，最后導(dǎo)致受害主機(jī)的資源耗盡而癱瘓，從而形成拒絕服務(wù)(Denial?of?Service，以下簡(jiǎn)稱：DOS)攻擊。如果攻擊者攻擊足夠多的受害主機(jī)，則形成分布式拒絕服務(wù)(Distributed?DOS，以下簡(jiǎn)稱：DDOS)攻擊。盡管受害主機(jī)可以設(shè)置防火墻，但是由于UDP數(shù)據(jù)包是完整和正常的，防火墻很難防范；并且由于UDP數(shù)據(jù)包的源IP地址為虛假的，一定時(shí)間的攻擊后，會(huì)將防火墻的會(huì)話表打滿，從而導(dǎo)致防火墻無(wú)法正常工作。?

為了過(guò)濾DDOS攻擊中的UDP數(shù)據(jù)包，可以對(duì)源IP地址的發(fā)包頻率進(jìn)行實(shí)時(shí)統(tǒng)計(jì)，若源IP地址的發(fā)包頻率超過(guò)閾值，進(jìn)行報(bào)警并丟棄該源IP地址的UDP數(shù)據(jù)包；但是由于DDOS攻擊中的UDP數(shù)據(jù)包的源IP地址多為虛假IP地址，因此無(wú)法統(tǒng)計(jì)源IP地址的發(fā)包頻率。現(xiàn)有技術(shù)中尚無(wú)有效過(guò)濾DDOS攻擊中的?UDP數(shù)據(jù)包的解決方案。?

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供了一種過(guò)濾用戶數(shù)據(jù)報(bào)協(xié)議數(shù)據(jù)包的方法和裝置，用以實(shí)現(xiàn)有效過(guò)濾DDOS攻擊中的UDP數(shù)據(jù)包。?

本發(fā)明實(shí)施例還提供了一種過(guò)濾用戶數(shù)據(jù)報(bào)協(xié)議數(shù)據(jù)包的方法，包括：?

根據(jù)應(yīng)用層協(xié)議的協(xié)議特征字，檢測(cè)用戶數(shù)據(jù)報(bào)協(xié)議數(shù)據(jù)包的包體；其中，所述協(xié)議特征字為使用所述應(yīng)用層協(xié)議的用戶數(shù)據(jù)報(bào)協(xié)議數(shù)據(jù)包的包體共有的數(shù)據(jù)；?

若所述用戶數(shù)據(jù)報(bào)協(xié)議數(shù)據(jù)包的包體中不存在與所述協(xié)議特征字相匹配的數(shù)據(jù)，將所述用戶數(shù)據(jù)報(bào)協(xié)議數(shù)據(jù)包的指紋與目的指紋相比較；其中，所述用戶數(shù)據(jù)報(bào)協(xié)議數(shù)據(jù)包的指紋包括所述用戶數(shù)據(jù)報(bào)協(xié)議數(shù)據(jù)包的源互聯(lián)網(wǎng)協(xié)議地址或目的互聯(lián)網(wǎng)協(xié)議地址；所述目的指紋包括報(bào)文長(zhǎng)度、數(shù)據(jù)偏移和數(shù)據(jù)字段；所述目的指紋包括靜態(tài)指紋和/或動(dòng)態(tài)指紋，其中，所述靜態(tài)指紋通過(guò)外部設(shè)備輸入，所述動(dòng)態(tài)指紋通過(guò)對(duì)所述用戶數(shù)據(jù)報(bào)協(xié)議數(shù)據(jù)包之前的用戶數(shù)據(jù)報(bào)協(xié)議數(shù)據(jù)包進(jìn)行檢測(cè)得到；?

若所述用戶數(shù)據(jù)報(bào)協(xié)議數(shù)據(jù)包的指紋與所述目的指紋相匹配，則丟棄所述用戶數(shù)據(jù)報(bào)協(xié)議數(shù)據(jù)包。?

本發(fā)明實(shí)施例還提供了一種過(guò)濾用戶數(shù)據(jù)報(bào)協(xié)議數(shù)據(jù)包的裝置，包括：?

檢測(cè)模塊，用于根據(jù)應(yīng)用層協(xié)議的協(xié)議特征字，檢測(cè)用戶數(shù)據(jù)報(bào)協(xié)議數(shù)據(jù)包的包體；其中，所述協(xié)議特征字為使用所述應(yīng)用層協(xié)議的用戶數(shù)據(jù)報(bào)協(xié)議數(shù)據(jù)包的包體共有的數(shù)據(jù)；?

匹配模塊，用于若所述用戶數(shù)據(jù)報(bào)協(xié)議數(shù)據(jù)包的包體中不存在與所述協(xié)議特征字相匹配的數(shù)據(jù)，將所述用戶數(shù)據(jù)報(bào)協(xié)議數(shù)據(jù)包的指紋與目的指紋相比較；其中，所述用戶數(shù)據(jù)報(bào)協(xié)議數(shù)據(jù)包的指紋包括所述用戶數(shù)據(jù)報(bào)協(xié)議數(shù)據(jù)包的源互聯(lián)網(wǎng)協(xié)議地址或目的互聯(lián)網(wǎng)協(xié)議地址；所述目的指紋包括報(bào)文長(zhǎng)度、數(shù)據(jù)偏移和數(shù)據(jù)字段；所述目的指紋包括靜態(tài)指紋和/或動(dòng)態(tài)指紋，其中，?所述靜態(tài)指紋通過(guò)外部設(shè)備輸入，所述動(dòng)態(tài)指紋通過(guò)對(duì)所述用戶數(shù)據(jù)報(bào)協(xié)議數(shù)據(jù)包之前的用戶數(shù)據(jù)報(bào)協(xié)議數(shù)據(jù)包進(jìn)行檢測(cè)得到；?

第一過(guò)濾模塊，用于若所述匹配模塊確定所述用戶數(shù)據(jù)報(bào)協(xié)議數(shù)據(jù)包的指紋與所述目的指紋相匹配，則丟棄所述用戶數(shù)據(jù)報(bào)協(xié)議數(shù)據(jù)包。?