CN101136917B - 一种传输控制协议拦截模块及其软切换方法 - Google Patents
一种传输控制协议拦截模块及其软切换方法 Download PDFInfo
- Publication number
- CN101136917B CN101136917B CN2007100758777A CN200710075877A CN101136917B CN 101136917 B CN101136917 B CN 101136917B CN 2007100758777 A CN2007100758777 A CN 2007100758777A CN 200710075877 A CN200710075877 A CN 200710075877A CN 101136917 B CN101136917 B CN 101136917B
- Authority
- CN
- China
- Prior art keywords
- module
- router
- message
- tcp
- mode
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种传输控制协议拦截模块及其软交换方法,所述TCP拦截模块包括监控模块、拦截模块、软切换模块;所述监控模块用于监控外部主机向内部服务器发起的传输控制协议TCP连接请求,判断路由器是否遭受到外部网络的攻击;所述拦截模块用于拦截外部主机向内部服务器发起的TCP连接请求,并代替受保护的服务器响应外网发起的TCP连接请求;所述软切换模块用于将路由器的工作模式在监控模式和拦截模式间自由切换。本发明简化了原有监控模式的处理流程,但并没有增加拦截模块处理的复杂度;工作模式更加灵活,可根据情况在两种模式间自由切换;降低系统开销,提高了CPU的利用率。
Description
技术领域
本发明涉及网络通信中的安全防攻击领域,尤其涉及安全防攻击技术TCP(Transfer Control Protocol传输控制协议)拦截方法。
背景技术
随着Internet的迅猛发展,其应用也越来越广泛,网络的安全问题也越来越多的受到人们的关注,因为针对网络的攻击行为日益猖獗,网络的安全问题是制约因特网发展的重要瓶颈。不管是应用层软件、操作系统、还是硬件本身都存在着安全漏洞。网络协议本身也存在着安全隐患,这些都为网络黑客攻击网络系统提供了可乘之机。DDOS(DistributedDenial of Service分布式拒绝服务攻击)是近几年比较流行的网络攻击手段,一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,导致合法用户无法正常访问服务器的网络资源。SYN flooding(在TCP报文中将SYN标志位置位的一种攻击方式)攻击就是其中的手段之一,主要表现为发送大量无法建立三次握手的TCP连接,由于主机对每次的TCP连接都设定一个定时器进行监控,一旦遭受SYN flooding攻击,在很短的时间内会有大量的半连接需要主机分配资源进行监控,从而导致主机的某种资源被耗尽而无法进行正常的工作。
目前针对这种SYN flooding攻击,路由器上所采用的方法是TCP拦截。现有的设备生产厂家,在路由器系统上大都引入了该项功能,它是一种网络安全保护机制。它工作在两种模式下:拦截和监控。
在拦截模式下,当路由器收到外网向内部受保护的服务器发起的TCP连接请求时,路由器会拦截此报文并代替受保护的服务器响应外网发起的TCP连接请求。如果发起请求的外网主机是正常的访问,就会在收到SYN-ACK报文后回应一个ACK报文来完成三次握手;如果是攻击报文,则外网主机不可达,因此不会发送确认报文给路由器。这时路由器会四次重传SYN-ACK报文给外网发起TCP请求的主机,如果还是没有收到ACK报文则删除该TCP记录。这样内网服务器不会有大量处于半连接状态的TCP连接。当路由器处于攻击状态时,新请求的连接会导致最老的(或者随即选择)一个半连接删除,而且初始超时重传的时间会减小到0.5秒,这样系统为其保存的整体超时时间将会减半。
在监控模式下,路由器会监控外网向内部服务器发起的TCP连接请求,但是并不拦截该请求,所以该请求能够直接到达受保护的服务器,如若外部主机是合法的用户,他们能够建立正常的TCP连接。如果外部主机不可达则路由器会监控该半连接,如果超时了还没有建立正常的TCP连接,则路由器会发送一份reset报文给受保护的服务器,然后删除该半连接。
在TCP拦截这项技术中,路由器只能工作在一种模式下拦截或者监控,在拦截模式下虽然能够比较好的保护内部的服务器,因为SYNflooding的攻击报文无法达到内部服务器,路由器将该攻击屏蔽掉了,但是由于要代替内部受保护的服务器与外网建立TCP连接,当外网合法用户数量比较大的时候,系统的内存和CPU的开销将非常大,而且初始会话的时延也会加大。如果路由器工作在监控模式下,它只需要监控半连接是否超时,不管内部的服务器是否遭受到SYN flooding攻击,这时路由器系统的CPU和内存开销都比较小。但是该模式下工作的路由器并没有能够起到真正保护内部服务器的作用,因为SYN flooding攻击报文能够到达内部的服务器。
因此,现有的TCP拦截技术存在如下的不足:工作模式单一,只能够工作在这两种模式中的一个。大部分情况下,路由器是工作在无攻击环境中的,这时如果路由器的TCP拦截功能处于拦截模式,大量的合法客户访问内部服务器就会急剧增加内存和CPU开销同时加大初始会话的时延。然而网络黑客却总是伺机而动,网络环境并非安全,当网络遭受攻击时,如果路由器处于监控模式下,它并不能够真正意义上保护内部的服务器,因为大量的洪泛报文瞬间到达服务器,会导致服务期资源很快耗尽从而拒绝服务。
发明内容
本发明所要解决的技术问题是提供一种TCP拦截模块及其软切换方法,使路由器能根据情况在拦截模式和监控模式间自由转换,降低系统开销,更有效的保护服务器。
为解决上述技术问题,本发明是通过以下技术方案实现的:
一种传输控制协议拦截模块,包括监控模块、拦截模块、软切换模块和判断模块;
所述监控模块用于监控外部主机向内部服务器发起的传输控制协议TCP连接请求,判断路由器是否遭受到外部网络的TCP SYN洪泛攻击;
所述拦截模块用于拦截外部主机向内部服务器发起的TCP连接请求,并代替受保护的服务器响应外网发起的TCP连接请求;
所述软切换模块用于将路由器的工作模式在监控模式和拦截模式间自由切换。
其中,路由器遭受攻击时,软切换模块将路由器的工作模式切换为拦截模式;否则,切换为监控模式。
一种传输控制协议拦截模块的软切换方法,包括以下步骤:
a、路由器接收到数据报文,判断该报文是否是TCP SYN报文,若不是,则跳出该流程并将报文交由相关模块处理;若是,则进入下一步;
b、判断路由器的工作模式,
若是拦截模式,则判断接收到的SYN报文的数量或速度是否小于阈值下限,如果是,则将路由器切换到监控模式,然后跳出该流程并将该报文交由相关模块处理;否则将报文交由拦截模块处理;
若是监控模式,则判断接收到的SYN报文的数量或速度是否大于阈值上限,如果是,则将路由器切换到拦截模式并将报文送入拦截模块处理;否则跳出该流程并将报文交由相关模块处理。
其中,步骤a之前还包括:将路由器的TCP拦截模块的默认启动方式设置为监控模式。
本发明具有如下有益效果:
(1)简化了原有监控模式的处理流程,但并没有增加拦截模块处理的复杂度。原来的监控流程是一旦监控到网络遭受到攻击,就会按照攻击状态来处理这些报文和TCP半连接。而本发明中的监控模式是只监控路由器是否遭受到攻击,一旦监控到遭受到攻击就立刻切换到拦截模式。所以监控模式只需监控网络是否遭受到攻击即可,而不需要对报文进行处理。
(2)工作模式更加灵活。原有路由器的TCP拦截模块只能同时处于拦截模式或者监控模式,而本发明使用了TCP拦截软切换方法后路由器能够根据其自身是否遭受到攻击的状况来自由的切换TCP拦截模块所处的工作模式,所以能更有效的保护内部的服务器,而且充分利用了两种模式的优势,摒弃了单个模式工作的缺陷。
(3)降低系统开销,节省了内存,提高了CPU的利用率。当路由器没有遭受到攻击而有大量的正常客户访问内部服务器时,如果将路由器设置为拦截模式,它会拦截每一个客户发出的正常的TCP SYN报文,会给系统带来很大的开销。而本发明使用了软切换功能后,路由器会工作在监控模式下,能够极大的降低路由器系统的开销,节省内存,提高CPU的利用率。
附图说明
图1为本发明中TCP拦截模块的框图;
图2为本发明中TCP拦截模块的软交换方法流程图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步详细的描述:
在本发明中,路由器可根据其自身遭受到攻击的状况来自由切换TCP拦截模块的工作模式:
监控模式:说明路由器处于非攻击状态,监控模块监控外部主机向内部服务器发起的TCP连接请求,根据监控到的TCP半连接的数量或者速度是否超过系统配置的门限阀值的上限来判断路由器是否遭受到外部网络的攻击。
拦截模式:说明路由器已经遭受到攻击,拦截模块会拦截外部主机向内部服务器发起的TCP连接请求,并且从系统中将时间最长的(或者随机的)半连接,然后代替内部服务器发送响应报文,将初始超时重传时间减小到0.5s,这样系统为其保存的整体的超时时间将减半。
如图1所示,该TCP拦截模块包括:监控模块、拦截模块、软切换模块;监控模块用于监控外部主机向内部服务器发起的TCP连接请求,判断路由器是否遭受到外部网络的攻击;拦截模块用于拦截外部主机向内部服务器发起的TCP连接请求,并代替受保护的服务器响应外网发起的TCP连接请求;软切换模块用于将路由器的工作模式在监控模式和拦截模式间自由切换,路由遭受攻击时切换到拦截模式,否则切换至监控模式。
如图2所示,TCP拦截模块的软交换方法包括以下步骤:
201、路由器正常的接收报文。
202、判断该报文的类型是否是TCP SYN报文,如果是则继续,否则结束,即跳出TCP拦截模块的处理流程,转入该报文的相应模块处理流程进行处理。
203、判断路由器是否处于拦截模式,如果是转入步骤206,否则继续。
204、判断TCP SYN报文的数量是否大于阀值上限,如果是则继续,否则结束,即跳出TCP拦截模块的处理流程,转入该报文的相应模块处理流程进行处理。
205、将路由器工作方式切换到拦截模式,然后转入步骤207。
206、判断TCP SYN报文数量是否小于阀值下限,如果是则转入步骤208,否则继续。
207、表明路由器已经遭受到了攻击,这时TCP拦截模块会按照路由器处于攻击状态的流程对该报文进行处理,结束。
208、将路由器工作方式切换到监控模式,然后跳出TCP拦截模块的处理流程,转入该报文的相应模块处理流程进行处理,结束。
附图中的结束符指的是TCP拦截模块的处理流程结束,将报文转入相应的模块进行处理,并不是该报文的处理流程结束。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (3)
1.一种传输控制协议拦截模块,其特征在于,包括监控模块、拦截模块、软切换模块和判断模块;
所述监控模块用于监控外部主机向内部服务器发起的传输控制协议TCP连接请求,判断路由器是否遭受到外部网络的TCP SYN洪泛攻击;
所述拦截模块用于拦截外部主机向内部服务器发起的TCP连接请求,并代替受保护的服务器响应外网发起的TCP连接请求;
所述软切换模块用于将路由器的工作模式在监控模式和拦截模式间自由切换,当路由器遭受攻击时,软切换模块将路由器的工作模式切换为拦截模式,否则切换为监控模式;
所述判断模块用于在路由器工作在拦截模式时,判断接收到的SYN报文的数量或速度是否小于阈值下限,如果是,则控制软切换模块将路由器切换到监控模式,然后跳出该流程并将该报文交由相关模块处理;否则将报文交由拦截模块处理;所述判断模块在路由器工作在监控模式时,则判断接收到的SYN报文的数量或速度是否大于阈值上限,如果是,则控制软切换模块将路由器切换到拦截模式并将报文送入拦截模块处理;否则跳出该流程并将报文交由相关模块处理。
2.一种传输控制协议拦截模块的软切换方法,其特征在于,包括以下步骤:
a、路由器接收到数据报文,判断该报文是否是TCP SYN报文,若不是,则跳出该流程并将报文交由相关模块处理;若是,则进入下一步;
b、判断路由器的工作模式,
若是拦截模式,则判断接收到的SYN报文的数量或速度是否小于阈值下限,如果是,则将路由器切换到监控模式,然后跳出该流程并将该报文交由相关模块处理;否则将报文交由拦截模块处理;
若是监控模式,则判断接收到的SYN报文的数量或速度是否大于阈值上限,如果是,则将路由器切换到拦截模式并将报文送入拦截模块处理;否则跳出该流程并将报文交由相关模块处理。
3.如权利要求2所述的传输控制协议拦截模块的软切换方法,其特征在于,步骤a之前还包括:将路由器的TCP拦截模块的默认启动方式设置为监控模式。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007100758777A CN101136917B (zh) | 2007-07-12 | 2007-07-12 | 一种传输控制协议拦截模块及其软切换方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007100758777A CN101136917B (zh) | 2007-07-12 | 2007-07-12 | 一种传输控制协议拦截模块及其软切换方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101136917A CN101136917A (zh) | 2008-03-05 |
CN101136917B true CN101136917B (zh) | 2010-09-08 |
Family
ID=39160746
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007100758777A Expired - Fee Related CN101136917B (zh) | 2007-07-12 | 2007-07-12 | 一种传输控制协议拦截模块及其软切换方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101136917B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103973584B (zh) * | 2013-02-06 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 动态切换数据包的转发方式的方法和设备 |
CN105592055A (zh) * | 2015-09-18 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种用于tcp syn flood的防攻击方法和装置 |
CN105323259B (zh) * | 2015-12-07 | 2018-07-31 | 上海斐讯数据通信技术有限公司 | 一种防止同步包攻击的方法和装置 |
CN106131063B (zh) * | 2016-08-23 | 2019-05-31 | 新华三技术有限公司 | 一种网络安全处理方法和装置 |
CN107948175A (zh) * | 2017-11-24 | 2018-04-20 | 成都知道创宇信息技术有限公司 | 一种识别DDoS反射放大攻击的方法 |
CN108810008B (zh) * | 2018-06-28 | 2020-06-30 | 腾讯科技(深圳)有限公司 | 传输控制协议流量过滤方法、装置、服务器及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1708165A (zh) * | 2004-06-07 | 2005-12-14 | 华为技术有限公司 | 一种码分多址系统的软切换方法 |
CN1848808A (zh) * | 2006-01-11 | 2006-10-18 | 郑凯 | 一种基于虚拟网关技术对局域网主机公网报文进行控制的方法 |
-
2007
- 2007-07-12 CN CN2007100758777A patent/CN101136917B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1708165A (zh) * | 2004-06-07 | 2005-12-14 | 华为技术有限公司 | 一种码分多址系统的软切换方法 |
CN1848808A (zh) * | 2006-01-11 | 2006-10-18 | 郑凯 | 一种基于虚拟网关技术对局域网主机公网报文进行控制的方法 |
Non-Patent Citations (2)
Title |
---|
张保通等.SYN淹没分析与对策.华北航天工业学院学报13 1.2003,13(1),全文. * |
李秀芹等.TCP拦截技术在中小型网络安全管理中的应用.华北水利水电学院学报24 2.2003,24(2),第56页第1.3节-第57页第1.4节、第57页"2 应用实例". * |
Also Published As
Publication number | Publication date |
---|---|
CN101136917A (zh) | 2008-03-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Kargl et al. | Protecting web servers from distributed denial of service attacks | |
Ambrosin et al. | Lineswitch: Tackling control plane saturation attacks in software-defined networking | |
US7711790B1 (en) | Securing an accessible computer system | |
CN101202742B (zh) | 一种防止拒绝服务攻击的方法和系统 | |
Kandula et al. | Botz-4-sale: Surviving organized DDoS attacks that mimic flash crowds | |
KR101010465B1 (ko) | 엔드포인트 리소스를 사용하는 네트워크 보안 요소 | |
US7627677B2 (en) | Process to thwart denial of service attacks on the internet | |
CN100531213C (zh) | 一种抵御拒绝服务攻击事件的网络安全保护方法 | |
CN101136917B (zh) | 一种传输控制协议拦截模块及其软切换方法 | |
US7404210B2 (en) | Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs | |
JP2004507978A (ja) | ネットワークノードに対するサービス拒絶アタックに対抗するシステム及び方法 | |
CN101163041B (zh) | 一种防范syn洪泛攻击的方法及系统 | |
WO2016177131A1 (zh) | 防止dos攻击方法、装置和系统 | |
Arafat et al. | A practical approach and mitigation techniques on application layer DDoS attack in web server | |
KR101209214B1 (ko) | 세션 상태 추적을 통한 서비스 거부 공격 방어 장치 및 방법 | |
CN108667829A (zh) | 一种网络攻击的防护方法、装置及存储介质 | |
Kumar et al. | Denial of Service due to direct and indirect ARP storm attacks in LAN environment | |
Safa et al. | A collaborative defense mechanism against SYN flooding attacks in IP networks | |
CN105429975B (zh) | 一种基于云终端的数据安全防御系统、方法及云终端安全系统 | |
Kumarasamy et al. | An active defense mechanism for TCP SYN flooding attacks | |
RU2576488C1 (ru) | СПОСОБ ПОСТРОЕНИЯ СЕТЕЙ ПЕРЕДАЧИ ДАННЫХ С ПОВЫШЕННЫМ УРОВНЕМ ЗАЩИТЫ ОТ DDоS-АТАК | |
Deore et al. | Survey denial of service classification and attack with protect mechanism for TCP SYN flooding attacks | |
Vellalacheruvu et al. | Effectiveness of built-in security protection of microsoft’s windows server 2003 against TCP SYN based DDoS attacks | |
CN100479419C (zh) | 防止拒绝服务型攻击的方法 | |
JP3560552B2 (ja) | サーバへのフラッド攻撃を防止する方法及び装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100908 Termination date: 20160712 |