CN100429881C - 一种在透明模式下防止syn洪水攻击、保护网络的方法 - Google Patents
一种在透明模式下防止syn洪水攻击、保护网络的方法 Download PDFInfo
- Publication number
- CN100429881C CN100429881C CNB021234221A CN02123422A CN100429881C CN 100429881 C CN100429881 C CN 100429881C CN B021234221 A CNB021234221 A CN B021234221A CN 02123422 A CN02123422 A CN 02123422A CN 100429881 C CN100429881 C CN 100429881C
- Authority
- CN
- China
- Prior art keywords
- syn
- network
- flood
- safeguard
- present
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims abstract description 20
- 230000001360 synchronised effect Effects 0.000 title abstract 11
- 235000014510 cooky Nutrition 0.000 claims abstract description 11
- 230000005540 biological transmission Effects 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 3
- 230000015654 memory Effects 0.000 description 6
- RTZKZFJDLAIYFH-UHFFFAOYSA-N Diethyl ether Chemical compound CCOCC RTZKZFJDLAIYFH-UHFFFAOYSA-N 0.000 description 2
- 239000012467 final product Substances 0.000 description 2
- 238000005242 forging Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 1
- 238000007599 discharging Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种在透明模式下防止网络状态同步洪水(SYN Flood)攻击、保护网络的方法,它包括以下步骤:①不对“SYN Flood防护设备”用作网络数据包转发的网络接口设备设置IP地址,而将其设置为混杂模式;②由“SYN Flood防护设备”对网络数据包进行SYN Cookie方式的处理,防止SYN Flood攻击、保护网络。由于本发明采用以上技术方案,故可以做到于正常工作情况下在网络上是“隐身”的;同时,SYN Flood防护设备又可对网络数据进行SYN Cookie处理,防止SYN Flood的发生。本发明安全性高;使用过程中不需要增加任何配置,不需要任何用户人为干预即可正常工作,成本低、使用简单、方便;并且能从根本上起到防止SYN Flood攻击的目的。
Description
技术领域
本发明涉及一种保护网络的方法,尤指一种在透明模式下防止SYNFlood攻击、保护网络的方法。本发明属于网络通信和网络安全领域。
背景技术
SYN Flood攻击是利用TCP协议的不合理性而产生的一种网络攻击。TCP协议规定:TCP连接必须经过双方三次握手交换信息,经确认无误后,方进行数据的交换;也就是说,后续的数据交换是基于三次握手产生的信任关系而进行的。其具体数据交换过程如图1所示:根据TCP协议,当B主机收到A主机发送的带有SYN标志位的SYN数据包后,应该向A主机回复一个带有SYN和ACK标志位的SYN/ACK数据包,然后B主机开始进入等待A主机发送的带有ACK标志位的ACK数据包状态。根据TCP协议,该状态为SYN_WAIT状态,这个状态将持续一段时间,如果在这段时间内,B主机没有收到A主机发送的ACK数据包,B主机才认为A主机放弃此次连接。一般来说,操作系统会在SYN_WAIT状态的时候就为此次连接分配一定量的内存。
如果B主机收到大量的源地址经过伪造的SYN包,则会分配大量的内存,并进入SYN_WAIT状态,而且在SYN_WAIT状态持续的时间内不会释放这些内存。由于这些SYN数据包的源地址是经过伪造的,所以B主机不可能收到相应的ACK数据包,也就是说,B主机分配大量内存并进行SYN_WAIT状态并持续一段时间之后才有可能释放这些内存,在这段时间内,B主机即使收到真实的SYN数据包即真实存在的A主机发给B主机的SYN包,也不可能响应,因为B主机的内存资源已经被耗尽,无法响应真实的连接。这就是所谓的SYN Flood攻击,又称作“SYN洪水攻击”。
目前,防止其他主机或网络免受SYN Flood攻击的方法有两种:一种是基于IP地址的SYN Cookie方法;一种是基于IP地址的带宽限制方法。由于IP地址是网络设备的身份标识,如果网络设备存在IP地址,那么该设备本身就存在受到各种网络攻击的可能性。因此,无论是基于IP地址的SYN Cookie方法,还是基于IP地址的带宽限制方法,用来保护其他主机或网络免受SYN Flood攻击的SYN Flood防护设备因其自身也设有IP地址,所以,同样存在SYN Flood防护设备自身有受到各种网络攻击的可能性,而不能从根本上起到防止SYN Flood攻击、保护网络的目的。
发明内容
鉴于上述原因,本发明的目的是提供一种在透明模式下保护单台主机或网络免受SYN Flood攻击、保护网络的方法,同时,该方法也使SYN Flood防护设备自身免受SYN Flood攻击。
为实现上述目的,本发明采用以下技术方案:一种在透明模式下防止SYN Flood攻击、保护网络的方法,它包括以下步骤:
①不对“SYN Flood防护设备”用作网络数据包转发的网络接口设备设置IP地址,而将其设置为混杂模式。
②由“SYN Flood防护设备”对经过“SYN Flood防护设备”的网络数据包进行SYN Cookie方式的处理。
③SYN Cookie处理正常结束后,通过“SYN Flood防护设备”与目标主机建立TCP连接。
由于本发明对实现SYN Flood防护的设备用作网络数据包转发的网络接口设备不设定IP地址,而是将其设置为混杂模式,可以做到于正常工作情况下在网络上是“隐身”的,因此SYN Flood防护设备自身的安全性非常好;同时,SYN Flood防护设备又可对网络数据进行SYNCookie处理,防止SYN Flood的发生,所以,本发明与世界上现有的防止SYN Flood攻击的方法相比,具有更好的安全性;使用过程中不需要增加任何配置,不需要任何用户人为干预即可正常工作,成本低、使用简单、方便;并且能从根本上起到防止SYN Flood攻击的目的。
附图说明
图1为TCP连接关系图
图2为实现本发明目的SYN Flood防护设备在网络中的连接关系实施例1图
图3为实现本发明目的SYN Flood防护设备在网络中的连接关系实施例2图
图4为实现本发明目的SYN Flood防护设备在网络中的连接关系实施例3图
图4.5为本发明工作流程图
具体实施例
如图2、图3、图4所示,实现本发明目的的SYN Flood防护设备由一台带有至少两个网络接口设备的计算机主机构成。在使用过程中,将SYN Flood防护设备的IN接口通过HUB/Switch与网络相连,将其OUT接口直接或通过HUB/Switch或防火墙与被保护对象即单机或服务器相连。本发明中“SYN Flood防护设备”用作网络数据包转发的网络接口设备就是指“IN”和“OUT”接口。出于方便管理的目的,“SYN Flood防护设备”还可以带有除用作网络数据包转发(即“IN”和“OUT”接口)之外的“管理接口”。“管理接口”可以配置IP地址,但这不是“SYN Flood防护设备”正常工作必须的,即在没有“管理接口”的情况下,“SYN Flood防护设备”也能正常工作。
本发明实现防止SYN Flood攻击、保护网络的原理是:不对“SYNFlood防护设备”用作网络数据包转发的网络接口设备设置IP地址,而是将其设置为混杂模式;对经过“SYN Flood防护设备”的网络数据包进行SYN Cookie方式的处理,以达到防止SYN Flood攻击、保护网络的目的。
图5为本发明实现防止SYN Flood攻击、保护网络的流程图。如图所示,它包括以下步骤:
①、不对“SYN Flood防护设备”用作网络数据包转发的网络接口设备设置IP地址,而将其设置为混杂模式。
本发明是通过操作系统实现对用作网络数据包转发的网络接口设备不设定IP地址,而将其设置为混杂模式的。
混杂模式是网络接口设备的一种工作模式。在混杂模式下,网络接口设备不再根据自身设定的IP地址来选择接收网络数据包,而是对“目标IP地址”为任意IP地址的网络数据包都将予以接收。将网络接口设备设置成混杂模式可以通过操作系统来实现,操作系统也可以取消对网络接口设备的混杂模式设定,使之进入只根据自身设定的IP地址来选择接收网络数据包的工作模式。例如:在FreeBSD操作系统下,使用如下的命令即可将网络接口设备设置成混杂模式:
sysctl-w net.link.ether.bridge=1
②、由“SYN Flood防护设备”对经过“SYN Flood防护设备”的网络数据包进行SYN Cookie方式的处理:
a、获取TCP数据包;
b、判断是否有SYN标志位?如果存在SYN标志位,就回应带有SYN/ACK标志位的TCP数据包,且在网络数据包中含有定制的密码;
c、如果不存在SYN标志位,则判断是否只有ACK标志位?如果也不存在ACK标志位,则通过“SYN Flood防护设备”正常转发TCP数据包;如果存在ACK标志位,则转入下一步;
d、如果存在ACK标志位,再次判断网络数据包中的密码是否合法?如果不合法,通过“SYN Flood防护设备”正常转发TCP数据包;如果合法,则通过“SYN Flood防护设备”与目标主机建立TCP连接。
③、SYN Cookie处理正常结束后,通过“SYN Flood防护设备”与目标主机建立TCP连接。
本发明对实现SYN Flood防护的设备用作网络数据包转发的网络接口设备不设定IP地址,而是将其设置为混杂模式,可以做到与正常工作情况下在网络上是“隐身”的,因此SYN Flood防护设备自身的安全性非常好;同时,SYN Flood防护设备又可对网络数据进行SYN Cookie处理,防止SYN Flood的发生。本发明安全性高;使用过程中不需要增加任何配置,不需要任何用户认为干预即可正常工作,成本低、使用简单、方便;并且能从根本上起到防止SYN Flood攻击的目的。
Claims (1)
1、一种在透明模式下防止SYN洪水攻击以保护网络的方法,它包括以下步骤:
①、通过SYN洪水防护设备来转发网络数据包,其中不对所述SYN洪水防护设备中用作网络数据包转发的网络接口设备设置IP地址,而将其设置为混杂模式;以及
②、由所述SYN洪水防护设备对经过SYN洪水防护设备的网络数据包进行SYN Cookie方式的处理;
其中所述SYN Cookie方式数据处理包括以下步骤:
第一步骤,获取网络数据包中的TCP数据包;
第二步骤,判断该TCP数据包中是否有SYN标志位?如果存在SYN标志位,就回应带有SYN/ACK标志位的TCP数据包,且在该TCP数据包中含有定制的密码;
第三步骤,如果不存在SYN标志位,则判断是否只有ACK标志位?如果也不存在ACK标志位,则通过SYN洪水防护设备正常转发TCP数据包;如果存在ACK标志位,则转入第四步骤;
第四步骤,如果存在ACK标志位,再次判断网络数据包中的密码是否合法?如果不合法,通过所述SYN洪水防护设备正常转发TCP数据包;如果合法,则通过所述SYN洪水防护设备与目标主机建立TCP连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021234221A CN100429881C (zh) | 2002-06-27 | 2002-06-27 | 一种在透明模式下防止syn洪水攻击、保护网络的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021234221A CN100429881C (zh) | 2002-06-27 | 2002-06-27 | 一种在透明模式下防止syn洪水攻击、保护网络的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1466306A CN1466306A (zh) | 2004-01-07 |
| CN100429881C true CN100429881C (zh) | 2008-10-29 |
Family
ID=34142322
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB021234221A Expired - Lifetime CN100429881C (zh) | 2002-06-27 | 2002-06-27 | 一种在透明模式下防止syn洪水攻击、保护网络的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100429881C (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100454895C (zh) * | 2005-06-30 | 2009-01-21 | 华为技术有限公司 | 一种通过报文处理提高网络安全性的方法 |
| CN101436958B (zh) * | 2007-11-16 | 2011-01-26 | 太极计算机股份有限公司 | 抵御拒绝服务攻击的方法 |
| CN103546486A (zh) * | 2013-11-04 | 2014-01-29 | 北京荣之联科技股份有限公司 | 一种防DDOS攻击的SYN Cookie源认证方法及其装置 |
-
2002
- 2002-06-27 CN CNB021234221A patent/CN100429881C/zh not_active Expired - Lifetime
Non-Patent Citations (10)
| Title |
|---|
| SYN Flooding 攻击对策研究. 陈波,于冷.计算机工程,第27卷第7期. 2001 |
| SYN Flooding 攻击对策研究. 陈波,于冷. 计算机工程,第27卷第7期. 2001 * |
| SYN-Flooding 攻击原理及预防方法. 颜学雄,王清贤,李梅林.计算机应用,第20卷第8期. 2000 |
| SYN-Flooding 攻击原理及预防方法. 颜学雄,王清贤,李梅林. 计算机应用,第20卷第8期. 2000 * |
| 一种SYN/Flooding攻击的对策. 胡伟栋,汪为农.计算机工程,第27卷第8期. 2001 |
| 一种SYN/Flooding攻击的对策. 胡伟栋,汪为农. 计算机工程,第27卷第8期. 2001 * |
| 两种典型拒绝服务攻击手法的分析与对策. 于冷,陈波,宋如顺.计算机应用研究,第6期. 2001 |
| 两种典型拒绝服务攻击手法的分析与对策. 于冷,陈波,宋如顺. 计算机应用研究,第6期. 2001 * |
| 新一代抗拒绝服务一体化硬件--Collapsar. 旺火.信息网络安全,第12期. 2001 |
| 新一代抗拒绝服务一体化硬件--Collapsar. 旺火. 信息网络安全,第12期. 2001 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1466306A (zh) | 2004-01-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105827646B (zh) | Syn攻击防护的方法及装置 | |
| CN101390342B (zh) | 基于订户感知应用代理的网络保护技术 | |
| US8320242B2 (en) | Active response communications network tap | |
| EP3352431B1 (en) | Network load balance processing system, method, and apparatus | |
| CN101636968A (zh) | 使用传输控制协议状态转换防止拒绝服务攻击的方法 | |
| US20040015721A1 (en) | Denial of service defense by proxy | |
| US20060026292A1 (en) | Data communication method and information processing apparatus for acknowledging signal reception by using low-layer protocol | |
| CA2129083A1 (en) | Management interface method | |
| CN100420197C (zh) | 一种实现网络设备防攻击的方法 | |
| CN101416174A (zh) | 无线网络上的会话持续 | |
| KR20090083959A (ko) | 무선 인터페이스를 통해 tcp 성능을 개선시키기 위한 이중 프록시 접근 방식 | |
| CN103795632A (zh) | 一种数据报文传输方法及相关设备、系统 | |
| CN101296223B (zh) | 一种实现防火墙芯片参与syn代理的方法 | |
| CN102510385A (zh) | 防ip数据报分片攻击的方法 | |
| CN101262366A (zh) | 目标单板调试方法、系统及分布式设备 | |
| CN103067216B (zh) | 跨安全区的反向通信方法、装置及系统 | |
| CN107241208A (zh) | 一种报文转发方法、第一交换机及相关系统 | |
| CA2548344A1 (en) | Preventing network reset denial of service attacks | |
| CN101141396B (zh) | 报文处理方法和网络设备 | |
| CN100429881C (zh) | 一种在透明模式下防止syn洪水攻击、保护网络的方法 | |
| CN100479419C (zh) | 防止拒绝服务型攻击的方法 | |
| JP2000236348A (ja) | インターネットプロトコルを用いた遠隔機器の管理システム | |
| CN108366002B (zh) | 一种多功能计算机网络监护系统 | |
| CN106657082A (zh) | 一种快速的http重定向方法 | |
| CN109714135A (zh) | 一种数据包传输方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: BEIJING SHENZHOU LVMENG INFORMATION SECURITY TECHN Free format text: FORMER NAME: ZHONGLIAN NSFOCUS INFORMATION TECHNOLOGY (BEIJING) CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai five storey building Patentee after: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai five storey building Patentee before: NSFOCUS INFORMATION TECHNOLOGY (BEIJING) Co.,Ltd. |
|
| ASS | Succession or assignment of patent right |
Owner name: NSFOCUS TECHNOLOGY CO., LTD. Effective date: 20130927 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20130927 Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai five storey building Patentee after: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Patentee after: NSFOCUS TECHNOLOGIES Inc. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai five storey building Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai five storey building Patentee after: NSFOCUS Technologies Group Co.,Ltd. Patentee after: NSFOCUS TECHNOLOGIES Inc. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai five storey building Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Patentee before: NSFOCUS TECHNOLOGIES Inc. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CX01 | Expiry of patent term |
Granted publication date: 20081029 |
|
| CX01 | Expiry of patent term |