CN101163041B - 一种防范syn洪泛攻击的方法及系统 - Google Patents
一种防范syn洪泛攻击的方法及系统 Download PDFInfo
- Publication number
- CN101163041B CN101163041B CN 200710145202 CN200710145202A CN101163041B CN 101163041 B CN101163041 B CN 101163041B CN 200710145202 CN200710145202 CN 200710145202 CN 200710145202 A CN200710145202 A CN 200710145202A CN 101163041 B CN101163041 B CN 101163041B
- Authority
- CN
- China
- Prior art keywords
- tcp
- server
- router
- waterline
- link
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种在建立TCP连接时防范syn洪泛攻击的方法以及路由器设备,其中,所述方法包括:设置代理水线以及攻击水线;当半链接数超过代理水线时,在路由器设备上用路由器代替服务器进行TCP连接的建立,建立TCP连接后再代替客户机给服务器发起TCP连接;当半链接数增大至攻击水线时,在收到一个syn报文后,对存在时间最长的半链接进行老化,并缩短超时重传时间,直至将半链接数推出水线数目,则重新进入正常的工作模式。本发明实现代理服务器对客户机发起的TCP链接的响应,大大的节省了资源,提高了资源的利用率,达到了提高设备安全性的效果。
Description
技术领域
本发明涉及一种在路由器设备上建立TCP连接时防范syn洪泛攻击的方法,还涉及一种在路由器设备上建立TCP连接时防范syn洪泛攻击的路由器设备。
背景技术
随着宽带接入技术的不断发展,人们越来越离不开网络所带来的信息以及服务平台,但是对网络的依赖性越大,对网络的安全性的要求也越高。
在目前的情况下,拒绝服务攻击已经成为黑客攻击的主要手段,而这种攻击的对象大多是www服务器,这种服务是基于TCP协议的,对于TCP协议的服务,采取syn洪泛(syn flood)的攻击是很难防范的。目前syn洪泛成了最流行的拒绝服务的攻击方式了。
一个正常的TCP连接需要三次握手,首先客户端要发一个包含syn标志位的数据包,然后服务器返回一个syn\ack应答包,表示客户端的请求被接受,最后客户端再返回一个ack数据包表示连接完成。
如图1所示,为TCP服务器遭受syn洪泛攻击示意图。syn洪泛攻击主要是通过向服务器发送多个syn请求,但是在服务器返回一个syn\ack应答包后,又不回应服务器发起的syn-ack请求,来达到消耗服务器资源的目的,导致服务器资源耗尽,从而让服务器拒绝正常的服务请求。
这样的攻击极大的影响的服务器对正常服务的相应,对企业和门户网站的运作有严重的威胁。
发明内容
本发明要解决的技术问题是提供一种在建立TCP连接时防范syn洪 泛攻击方法以及路由器设备,实现代理服务器对客户机发起的TCP链接的响应,大大的节省了资源,提高了资源的利用率,达到了提高设备安全性的效果。
为了解决上述问题,本发明提供了一种在建立TCP连接时防范syn洪泛攻击方法,包括:设置代理水线以及攻击水线;当半链接数超过代理水线时,在路由器设备上用路由器代替服务器进行TCP连接的建立,建立TCP连接后再代替客户机给服务器发起TCP连接;当半链接数增大至攻击水线时,在收到一个syn报文后,对存在时间最长的半链接进行老化,并缩短超时重传时间,直至将半链接数推出水线数目,则重新进入正常的工作模式;
进一步的,本发明所述的方法,其中,所述代理水线,为触发路由器代替服务器建立TCP连接后产生的半链接数量的门限值,以保护服务器免受攻击;
进一步的,本发明所述的方法,其中,所述攻击水线,为启动对半链接进行老化操作的半链接数量的门限值,用以保护路由器;
进一步的,本发明所述的方法,其中,所述超时重传时间,第一次设置为1秒,之后依次增加,重传若干次后,路由器还无法得到服务器或者客户机的包,则认为该建链包为非法,将之丢弃;
进一步的,本发明所述的方法,其中,包括以下步骤:
(1)正常情况下处于监控模式,收到客户机发送的syn报文,直接查找路由将其发送,并记录该TCP连接;
(2)如果发现半链接数超过代理水线,则进入拦截模式,由路由器代理服务器进行建立TCP连接的操作;
(3)如果发现半链接数达到攻击水线,则进入攻击模式,删除冗余的半链接条目;
(4)如果发现半链接数小于代理水线,则重新进入监控模式,正常工作;
本发明所述的方法,其中,所述步骤(2),当路由器收到一个TCP 连接请求时,进一步包括以下步骤:
(i)生成TCP链接信息表,并代替服务器相应客户机发起的连接请求;
(ii)如果该请求是正常访问,客户机在收到路由器发的ack报文后会发送确认报文来完成TCP连接的建立;此时,TCP存储记录的状态为半连接状态;
(iii)利用所存储的客户机发送过来的TCP连接请求报文,替代客户机,与内网受保护的服务器建立TCP连接;
(iv)当连接成功后,路由器保留TCP连接记录,此时修改TCP存储记录的状态,将原来的半连接状态改成全连接状态;
本发明所述的方法,其中,所述步骤(ii),进一步包括:
如果该请求是非正常访问,为攻击报文,则不会将其发送服务器进行下一步连接;
进一步的,本发明所述的方法,其中,所述步骤(3),包括:当发现半链接数达到攻击水线,进入攻击模式,此时每收到一个客户机发起的TCP连接请求,则路由器将存在时间最长的半链接条目删除,并缩短重传时间,使攻击链接更快地被删除;
为了解决上述问题,本发明还提供了一种防范syn洪泛攻击的系统,包括:客户机、内网服务器以及作为内部网关的路由器,其特征在于,所述路由器中,还包括:
一个syn代理模块,用于配置代理水线以及攻击水线;当半链接数超过代理水线时,触发路由器代理服务器建立TCP连接;当半链接数增大至攻击水线时,启动对存在时间最长的半链接项进行老化,并将缩短超时重传时间;
进一步的,本发明所述的系统,其中,所述代理水线,为触发路由器代替服务器建立TCP连接后产生的半链接数量的门限值,以保护服务器免受攻击;所述攻击水线,为启动对半链接进行老化操作的半链接数量的 门限值,用以保护路由器;所述超时重传时间,第一次设置为1秒,之后依次增加,重传若干次后,路由器还无法得到服务器或者客户机的包,则认为该建链包为非法,将之丢弃;
进一步的,本发明所述的系统,其中,所述syn代理模块获取的信息,包括:TCP连接建立的源IP地址、目的IP地址、源端口号、目的端口号、TCP连接存在的时间、超时的时间、最近1分钟TCP连接的建立数、当前配置的资源是否受到了攻击、TCP连接的状态以及当前的配置;
进一步的,本发明所述的系统,其中,syn代理模块支持在使用的过程中更改超时时间、水线攻击的配置,而不改变当前的TCP连接;
进一步的,本发明所述的系统,其中,syn代理模块提供给用户当前的全链接数以及半链接数信息,为用户的配置和使用提供参考;
进一步的,本发明所述的系统,其中,syn代理模块具有报警功能,根据水线攻击的配置检测到当前的资源是否受到了攻击;并且自动给用户报警,提醒用户资源受到了攻击;
进一步的,本发明所述的系统,其中,syn代理模块根据当前受到攻击而动态地缩短超时时间参数,使攻击链接更快地被删除。
采用本发明所述方法,与现有技术相比,启动了syn代理功能后,于为启动syn代理功能相比,由于本发明实现代理服务器对客户机发起的TCP链接的响应,因此大大的节省了资源,提高了资源的利用率;即使在大量syn洪泛攻击的情况下依然能正常的处理外网的服务,达到了提高设备安全性的效果。
附图说明
图1为TCP服务器遭受syn洪泛攻击示意图;
图2为本发明实施例中监控模式下工作示意图;
图3为本发明实施例中拦截模式下与外网交互的工作示意图;
图4为本发明实施例中拦截模式下与内网服务器交互的工作示意图;
图5为本发明实施例中攻击模式下的工作示意图;
图6为本发明实施例中防范syn洪泛攻击的路由器结构图。
具体实施方式
本发明为了解决传统技术方案存在的弊端,通过以下具体实施例进一步阐述本发明所述的一种在建立TCP连接时防范syn洪泛攻击方法,以下对具体实施方式进行详细描述,但不作为对本发明的限定。
本发明所述在路由器设备用路由器模拟服务器响应客户机的链接请求,主要步骤如下:
第一步,如图2所示,为本发明实施例中监控模式下工作示意图;正常情况下处于监控模式,收到客户机发送的syn报文直接查找路由,并将其发送;
第二步,当发现半链接数超过代理水线的时候进入拦截模式;
在监控模式下,路由器为了达到最大的转发效率,在威胁较小的监控模式下不代替服务器建立三次握手,仅仅是记录报文信息;但当半链接数达到代理水线的时候,路由器就认为可能出于攻击之下了,为了保护服务器,路由器就进入拦截模式了,代理服务器进行TCP三次握手;
拦截模式的处理机制是:
A)如图3所示,为本发明实施例中拦截模式下与外网交互的工作示意图;当路由器收到一个TCP的链接请求时,并不立即发送给服务器,而是生成一个TCP链接信息表,并代替服务器相应客户机发起的链接请求,如果该请求是正常访问,客户机在收到路由器发的ack报文后会发送确认报文来完成三次握手,攻击报文则不会;
B)如图4所示,为本发明实施例中拦截模式下与内网服务器交互的工作示意图;如果客户机发起的是正常访问,在完成三次握手后路由器会 再利用存储的外网主机发送过来的TCP连接请求报文来替代外网主机和内网受保护服务器3次握手来建立TCP连接,至此,TCP存储记录的状态为半连接状态;当连接成功后路由器仍保留TCP连接记录,只不过要修改TCP存储记录的状态,将原来的半连接状态改成全连接状态;
第三步,如图5所示,为本发明实施例中攻击模式下的工作示意图;当发现半链接数达到攻击水线,则进入攻击模式,此时收到一个客户机发起的TCP链接请求,路由器会将最老的半连接条目删除;
代替服务器建立三次握手确实很好的保护了内网服务器,但是路由器把自己暴露在了攻击之下,为了保护自己,本方案采取了一种攻击水线的机制,当发现半链接数到达攻击水线,则进入攻击模式,收到TCP链接请求的同时老化之前的半链接项;
在拦截模式下,路由器会伪装成服务器或是客户端发出建链包,由于IP层提供的是非保证服务,为此,路由器提供了建链包重传的机制;
重传的规则是:第一次重传时间为1s,以后依次是2s,4s,8s,重传4次后,依然得不到客户端或是服务器的包,我们就认为这样的建链包为非法包,将TCP的链接表项丢弃,这样就可以保证正常的建链包可以正常的建立链接;
由此,在上述对半链接项进行老化操作的同时,Syn代理可以根据当前受到攻击而动态的调整超时时间参数为原来一半,使攻击的链接能够快速的删除,服务器能得到更好的保护;
第四步,当检查发现半链接数小于代理水线则重新进入监控模式
如图6所示,为本发明实施例中防范syn洪泛攻击的路由器结构图。在由外网终端61、内网服务器62以及路由器63组成的系统中,其中路由器63,包括:外网接口631、本地接口632、路由模块633以及Syn代理模块634;
Syn代理模块634,用于配置代理水线以及攻击水线;当半链接数超 过代理水线时,触发路由器63代理服务器62进行TCP的三次握手;当半链接数增大至攻击水线时,启动对存在时间最长的半链接项进行老化,并将缩短超时重传时间;
通过syn代理模块634可以获取的信息:TCP链接建立的源IP地址、目的IP地址、源端口号、目的端口号、TCP链接存在的时间、超时的时间、最近1分钟TCP链接的建立数、当前配置的资源是否受到了攻击、TCP链接的状态以及当前的配置;
其配置更改灵活,可以在使用的过程中更改超时时间、水线攻击的配置,而使当前的链接不受任何影响;可以提供给用户当前的全链接数,半链接数等信息,为用户的配置和使用提供参考;并且具有报警功能,会根据水线攻击的配置检测到当前的资源受到了攻击,其会自动给用户报警,提醒用户当前需要保护的资源可能受到了攻击,使用户可以采取进一步积极的措施;还可以根据当前受到攻击而动态的调整超时时间参数为原来一半,使攻击的链接能够快速的删除,服务器能得到更好的保护。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明做出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (8)
1.一种在建立TCP连接时防范syn洪泛攻击方法,其特征在于,设置代理水线以及攻击水线;当半链接数超过代理水线时,在路由器设备上用路由器代替服务器进行TCP连接的建立,建立TCP连接后再代替客户机给服务器发起TCP连接;当半链接数增大至攻击水线时,在收到一个syn报文后,对存在时间最长的半链接进行老化,并缩短超时重传时间,直至将半链接数推出水线数目,则重新进入正常的工作模式。
2.如权利要求1所述的方法,其特征在于,所述代理水线,为触发路由器代替服务器建立TCP连接后产生的半链接数量的门限值,以保护服务器免受攻击。
3.如权利要求1所述的方法,其特征在于,所述攻击水线,为启动对半链接进行老化操作的半链接数量的门限值,用以保护路由器。
4.如权利要求1所述的方法,其特征在于,所述超时重传时间,第一次设置为1秒,之后依次增加,重传若干次后,路由器还无法得到服务器或者客户机的包,则认为该建链包为非法,将之丢弃。
5.如权利要求1所述的方法,其特征在于,包括以下步骤:
(1)正常情况下处于监控模式,收到客户机发送的syn报文,直接查找路由将其发送,并记录该TCP连接;
(2)如果发现半链接数超过代理水线,则进入拦截模式,由路由器代理服务器进行建立TCP连接的操作;
(3)如果发现半链接数达到攻击水线,则进入攻击模式,删除冗余的半链接条目;
(4)如果发现半链接数小于代理水线,则重新进入监控模式,正常工作。
6.如权利要求5所述的方法,其特征在于,所述步骤(2),当路由器收到一个TCP连接请求时,进一步包括以下步骤:
(i)生成TCP链接信息表,并代替服务器相应客户机发起的连接请求;
(ii)如果该请求是正常访问,客户机在收到路由器发的ack报文后会发送确认报文来完成TCP连接的建立;此时,TCP存储记录的状态为半连接状态;
(iii)利用所存储的客户机发送过来的TCP连接请求报文,替代客户机,与内网受保护的服务器建立TCP连接;
(iv)当连接成功后,路由器保留TCP连接记录,此时修改TCP存储记录的状态,将原来的半连接状态改成全连接状态。
7.如权利要求6所述的方法,其特征在于,所述步骤(ii),进一步包括:
如果该请求是非正常访问,为攻击报文,则不会将其发送服务器进行下一步连接。
8.如权利要求5所述的方法,其特征在于,所述步骤(3),包括:
当发现半链接数达到攻击水线,进入攻击模式,此时每收到一个客户机发起的TCP连接请求,则路由器将存在时间最长的半链接条目删除,并缩短重传时间,使攻击链接更快地被删除。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710145202 CN101163041B (zh) | 2007-08-17 | 2007-08-17 | 一种防范syn洪泛攻击的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710145202 CN101163041B (zh) | 2007-08-17 | 2007-08-17 | 一种防范syn洪泛攻击的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101163041A CN101163041A (zh) | 2008-04-16 |
| CN101163041B true CN101163041B (zh) | 2013-10-16 |
Family
ID=39297875
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200710145202 Active CN101163041B (zh) | 2007-08-17 | 2007-08-17 | 一种防范syn洪泛攻击的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101163041B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107547507A (zh) * | 2017-06-27 | 2018-01-05 | 新华三技术有限公司 | 一种防攻击方法、装置、路由器设备及机器可读存储介质 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572700B (zh) * | 2009-02-10 | 2012-05-23 | 中科正阳信息安全技术有限公司 | 一种HTTP Flood分布式拒绝服务攻击防御方法 |
| CN101854333B (zh) * | 2009-03-30 | 2013-06-05 | 华为技术有限公司 | 对不完整会话攻击进行检测的方法和装置 |
| CN103973584B (zh) * | 2013-02-06 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 动态切换数据包的转发方式的方法和设备 |
| CN104519021B (zh) * | 2013-09-29 | 2018-07-20 | 新华三技术有限公司 | 防止恶意流量攻击的方法及装置 |
| CN106131063B (zh) * | 2016-08-23 | 2019-05-31 | 新华三技术有限公司 | 一种网络安全处理方法和装置 |
| CN106302495A (zh) * | 2016-08-25 | 2017-01-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种ACK Flood攻击的防护方法及中间防护装置 |
| CN109962918B (zh) * | 2019-03-28 | 2021-11-30 | 烽火通信科技股份有限公司 | 一种防御攻击报文的方法、系统及设备 |
| CN110071939B (zh) * | 2019-05-05 | 2021-06-29 | 江苏亨通工控安全研究院有限公司 | 针对传统ddos防火墙syn flood防护在工业网络中的改进方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1492328A (zh) * | 2002-05-31 | 2004-04-28 | �������ؼ��ô�˾ | 用于检测tcp syn洪水式攻击的统计方法 |
| CN1630248A (zh) * | 2003-12-19 | 2005-06-22 | 北京航空航天大学 | 基于连接请求验证的SYN flooding攻击防御方法 |
| CN1972286A (zh) * | 2006-12-05 | 2007-05-30 | 苏州国华科技有限公司 | 一种针对DDoS攻击的防御方法 |
-
2007
- 2007-08-17 CN CN 200710145202 patent/CN101163041B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1492328A (zh) * | 2002-05-31 | 2004-04-28 | �������ؼ��ô�˾ | 用于检测tcp syn洪水式攻击的统计方法 |
| CN1630248A (zh) * | 2003-12-19 | 2005-06-22 | 北京航空航天大学 | 基于连接请求验证的SYN flooding攻击防御方法 |
| CN1972286A (zh) * | 2006-12-05 | 2007-05-30 | 苏州国华科技有限公司 | 一种针对DDoS攻击的防御方法 |
Non-Patent Citations (2)
| Title |
|---|
| JP特开2003-289337A 2003.10.10 |
| JP特开2004-166029A 2004.06.10 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107547507A (zh) * | 2017-06-27 | 2018-01-05 | 新华三技术有限公司 | 一种防攻击方法、装置、路由器设备及机器可读存储介质 |
| CN107547507B (zh) * | 2017-06-27 | 2021-07-09 | 新华三技术有限公司 | 一种防攻击方法、装置、路由器设备及机器可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101163041A (zh) | 2008-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101163041B (zh) | 一种防范syn洪泛攻击的方法及系统 | |
| CN100531213C (zh) | 一种抵御拒绝服务攻击事件的网络安全保护方法 | |
| CN101175013B (zh) | 一种拒绝服务攻击防护方法、网络系统和代理服务器 | |
| Schuba et al. | Analysis of a denial of service attack on TCP | |
| Whyte et al. | DNS-based Detection of Scanning Worms in an Enterprise Network. | |
| CN102739683B (zh) | 一种网络攻击过滤方法及装置 | |
| US6816910B1 (en) | Method and apparatus for limiting network connection resources | |
| CN101378395B (zh) | 一种防止拒绝访问攻击的方法及装置 | |
| CN109450841B (zh) | 一种基于云+端设备按需联动模式的抗大规模DDoS攻击的防御方法 | |
| CN1630248A (zh) | 基于连接请求验证的SYN flooding攻击防御方法 | |
| CN101789931A (zh) | 一种基于数据挖掘的网络入侵检测系统及方法 | |
| KR20080028381A (ko) | 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법 | |
| CN100420197C (zh) | 一种实现网络设备防攻击的方法 | |
| JP2009504099A (ja) | IPネットワークにおいてターゲット被害者自己識別及び制御によってDoS攻撃を防御する方法 | |
| CN101383818B (zh) | 一种接入网络的处理方法及装置 | |
| CN108667829A (zh) | 一种网络攻击的防护方法、装置及存储介质 | |
| CN101136917B (zh) | 一种传输控制协议拦截模块及其软切换方法 | |
| JP2007325293A (ja) | 攻撃検知システムおよび攻撃検知方法 | |
| Sachdeva et al. | Performance analysis of web service under DDoS attacks | |
| JP2006067605A (ja) | 攻撃検知装置および攻撃検知方法 | |
| CN1741473A (zh) | 一种网络数据包有效性判定方法及系统 | |
| Vellalacheruvu et al. | Effectiveness of built-in security protection of microsoft’s windows server 2003 against TCP SYN based DDoS attacks | |
| CN100479419C (zh) | 防止拒绝服务型攻击的方法 | |
| Zhong et al. | Research on DDoS Attacks in IPv6 | |
| CN114024731A (zh) | 报文处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20151130 Address after: 230088 No. 334 Fuyang North Road, Hefei, Anhui Patentee after: Anhui Province postal communication electricity limited company Address before: 518057 Nanshan District high tech Industrial Park, Guangdong, South Road, science and technology, ZTE building, legal department Patentee before: ZTE Corporation |