本發明實施例提供一種防御分布式反射拒絕服務攻擊的方法，該方法包括接收服務器發送的網絡時間協議NTP報文；獲取NTP報文的數據類型以及NTP報文中包含的客戶端的互聯網協議IP地址、媒體訪問控制MAC地址；根據NTP報文的數據類型、預存的綁定表以及客戶端的IP地址、MAC地址對NTP報文進行處理；本發明實施例同時還提供一種防御分布式反射拒絕服務攻擊的裝置及交換機。

技術領域

本發明涉及網絡安全領域，尤其涉及一種防御分布式反射拒絕服務(DistributedReflection Denial of Service，簡稱：DRDOS)攻擊的方法、裝置及交換機。

背景技術

網絡時間協議(Network Time Protocol，簡稱：NTP)是一種在分布式時間服務器和客戶端之間進行時間同步的協議，使用該協議的目的是對網絡內所有具有時鐘的設備進行時鐘同步，使網絡內所有設備的時鐘保持一致，從而使設備能夠提供基于統一時間的多種應用。對于運行NTP的本地系統，既可以接收來自其他時鐘源的同步，又可以作為時鐘源同步其他的時鐘，并且可以和其他設備互相同步。

NTP以客戶機和服務器方式進行通信，客戶機發送一個請求數據包，服務器接收后回送一個應答數據包，兩個數據包都帶有時間戳。NTP根據這兩個數據包帶的時間戳確定時間誤差，并通過一系列算法來消除網絡傳輸的不確定性的影響。在數據包的傳送方式上，有客戶機和服務器一對一的點對點方式，還有多個客戶機對一個服務器的廣播/多播方式，兩者工作方法基本相同。處于兩種方式下的客戶機在初始時和服務器進行簡短的信息交換，據此對往返延時進行量化判斷。

NTP基于用戶數據報協議(User Data Protocol，簡稱：UDP)進行報文傳輸，使用的UDP端口號為123。由于UDP協議是面向無連接的，所以客戶端發送請求包的源網絡協議(Internet Protocol，簡稱IP)地址很容易進行偽造，當攻擊者發送大量帶有客戶端IP地址的數據包給服務器，服務器根據客戶端IP地址做出大量回應，從而形成了一次反射攻擊。DRDOS攻擊正是基于UDP的這種特點。

NTP包含一個monlist命令，該指令可以獲取與目標NTP服務器進行過同步的最新600個客戶機IP，響應包按照每6個IP進行分割，每個客戶機IP最多會收到返回的100個響應包。因此一個很小的請求包，就能獲取到大量的由IP地址組成的連續UDP包,利用這個特性，再結合NTP協議為面向無連接的UDP協議的特點，攻擊者如果偽造被攻擊目標IP向多個NTP服務器發起monlist查詢指令，多個NTP服務器則將大量含有最新同步過的客戶端IP數據包發送至被攻擊目標IP，占用目標IP帶寬資源，從而造成反射式分布式拒絕服務攻擊。這是一種典型的DRDoS攻擊方式。歐洲知名內容傳送網絡及分散式域名服務供應商就曾經遭受大規模的NTP DRDOS攻擊，攻擊尖峰流量為350Gbps且持續兩小時,甚至影響整個歐洲網絡，給網絡的穩定帶來極大的風險。

除了NTP DRDOS攻擊風險之外，波士頓大學的研究發現NTP的Kiss-o'-Death機制還存在一個漏洞，Kiss-o'-Death機制用于限制請求頻率，在實際應用當中，該機制會使NTP服務器在客戶端請求同步頻率過高時發送Kiss-o'-Death報文，并且停止時間同步。然而研究人員指出，因為這種機制的存在，黑客組織可以偽裝一份來自于NTP服務器的Kiss-o'-Death報文，且將它傳送到與服務器連接的客戶端上，之后客戶端將不再向服務器請求同步，從而無法更新時間，形成阻斷服務攻擊，最終增加因系統的時間錯誤帶來諸多的安全隱患和風險。

發明內容

有鑒于此，本發明實施例期望提供一種防御DRDOS攻擊的方法、裝置及交換機，避免了由于DRDOS攻擊造成的系統網絡擁塞崩潰，同時有效地防止Kiss-o'-Death攻擊導致的時間同步失敗的發生。

本發明實施例的技術方案是這樣實現的：

一種防御分布式反射拒絕服務攻擊的方法，包括：