CN101170402A - 一种采用网流技术防御tcp攻击的方法和系统 - Google Patents
一种采用网流技术防御tcp攻击的方法和系统 Download PDFInfo
- Publication number
- CN101170402A CN101170402A CNA2007101244446A CN200710124444A CN101170402A CN 101170402 A CN101170402 A CN 101170402A CN A2007101244446 A CNA2007101244446 A CN A2007101244446A CN 200710124444 A CN200710124444 A CN 200710124444A CN 101170402 A CN101170402 A CN 101170402A
- Authority
- CN
- China
- Prior art keywords
- stream
- tcp
- flag bit
- attack
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/20—Network management software packages
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及通信技术领域,公开了一种采用网流技术防御TCP攻击的方法,解决了现有技术中无法准确检测TCP攻击类型的问题。该方法将源IP地址、目的IP地址、源协议端口号、目的协议端口号、入接口、出接口、协议类型、服务类型以及TCP报文的标志位字段都相同的报文作为一条流;通过所述流的标志位字段确定所述TCP攻击的类型;根据所述TCP攻击的类型,防御所述TCP攻击。主要应用于受到TCP攻击的网络设备。本发明还公开了一种采用网流技术防御TCP攻击的系统。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种采用网流技术防御TCP(Transmission Control Protocol,传输控制协议)攻击的方法和系统。
背景技术
近年来随着互联网技术的飞速发展,网络业务日益丰富,网络流量增长迅速。传统的粗放式流量统计管理已经远远不能满足当前业务发展对网络流量监控、网络安全管理、以及网络监控和分析等方面的需求。网流(Netstream)技术的出现,为流量的精细化管理提供了重要的基础数据平台。
Netstream是一种采样、提取和分析网络设备上报文信息的技术,可以提供对网络流量进行统计、监控和分析的功能。Netstream技术基于“流”的概念,一个流即一组符合下列特征的报文:相同的源和目的IP地址、相同的源和目的协议端口号、有相同的入和出接口、相同的协议类型、以及相同的服务类型(ToS)。通过Netstream流可以记录下网络中Who、What、When、Where、How等信息。在网络安全越来越受到人们重视的今天,Netstream在检测和防御网络攻击方面的应用也越来越多。
TCP攻击是网络攻击的一种方式,技术含量相对较低却更难于防范,是网络攻击者较常采用的手段。TCP攻击的基本原理是:攻击者利用一些曾经被入侵过(包括临时实现入侵)的主机(傀儡机),绕过防火墙的检查,向目的服务器提出大量的TCP连接请求,使得目的服务器忙于回应这些请求,消耗了大量存储资源甚至耗尽,导致目的服务器对于网络内部的正常服务请求拒绝执行,以达到攻击的目的。由于TCP攻击的这种特性,人们也常常把它称为TCP Flood(洪水式)攻击。
当网络受到TCP攻击、流量出现异常时,采用Netstream技术可以检测出TCP攻击流量来自何方、去向何处等关键信息,有效防御网络攻击者的攻击。
但是,在现有技术中,Netstream一条流的标志位是所有TCP报文头中标志位字段按位或(OR)的结果。如果接收到标志位是RST(连接复位)或者FIN(发送方字节流结束)的TCP报文,会立即老化这一条流。当网络攻击者发送大量的标志位是RST或者FIN的TCP报文时,会导致每个报文都要建一条流并立即老化,大量的流老化和重建将浪费转发引擎的资源。并且,由于Netstream将所有报文中的标志位字段进行了合并,将无法区分具体的TCP攻击类型,这难以满足网络精细化管理的要求。
发明内容
本发明提供一种采用网流技术防御TCP攻击的方法和系统。通过Netstream采集TCP报文的标志位信息,以解决现有技术中无法准确检测TCP攻击类型的问题。
一种采用网流技术防御TCP攻击的方法,包括以下步骤:将源IP地址、目的IP地址、源协议端口号、目的协议端口号、入接口、出接口、协议类型、服务类型以及TCP报文的标志位字段都相同的报文作为一条流;通过所述流的标志位字段确定所述TCP攻击的类型;根据所述TCP攻击的类型,防御所述TCP攻击。
一种采用网流技术防御TCP攻击的系统,包括网流采样设备和网流分析处理设备:
网流采样设备:用于采集网络流量,将源IP地址、目的IP地址、源协议端口号、目的协议端口号、入接口、出接口、协议类型、服务类型以及TCP报文的标志位字段都相同的报文作为一条流;
网流分析处理设备:用于处理所述网流采样设备采集的流信息,分析得到所述TCP攻击的类型,根据TCP攻击的类型防御所述TCP攻击。
采用本发明实施例的技术方案,可以准确定位网络中TCP攻击的位置和攻击类型,有针对性的防御TCP攻击,避免了此类攻击对网络设备性能的影响和资源的消耗。同时,通过与网流分析处理设备联动,实现了对攻击源的动态防御。
附图说明
图1为本发明方法较佳实施例流程图;
图2为本发明较佳实施例系统结构图;
具体实施方式
为使本发明的目的、技术方案以及优点更加清楚明白,以下参照附图并举实施例,对本发明做进一步的详细说明。
本发明的基本思想是将TCP报文的标志位字段作为Netstream一条流的KEY值,即将源IP地址、目的IP地址、源端口号、目的端口号、入/出接口、协议类型、服务类型、TCP报文的标志位字段都相同的报文作为一条流,可以准确地检测出TCP攻击类型,进行流量统计,从而有针对性地进行防御。
图1为本发明方法较佳实施例流程图。如图1所示,包括以下步骤:
步骤101:对网络设备的流量进行采样。将如下信息相同的TCP报文将作为一条Netstream流:
源/目的IP地址;
源/目的端口号;
入/出接口;
协议类型;
服务类型;
TCP报文的标志位字段。
步骤102:存储Netstream流信息。
步骤103:分析Netstream流信息,提取该流的标志位字段信息。
TCP报文的标志位字段有以下几种:
URG:表示紧急指针字段有效;
PSH:表示本报文段请求推(push)操作;
ACK:表示确认字段有效;
SYN:表示序号同步;
RST:表示连接复位;
FIN:表示发送方字节流结束。
若标志位字段为URG或者PSH,执行步骤104;若标志位字段为ACK或者SYN,执行步骤105;若标志位字段为RST或者FIN,执行步骤106。
步骤104:网络设备停止处理所述TCP报文,实现对攻击源的阻断。
步骤105:网络设备对TCP连接数和半连接数进行统计,对TCP连接数和半连接数进行限制,或者停止处理所述TCP报文。
步骤106:判断Netstream流的活跃程度,若非活跃时间小于设定值,执行步骤107;若非活跃时间大于设定值,执行步骤108;
步骤107:延迟时间t1,将该流老化;
步骤108:延迟时间t2,将该流老化。
对于标志位是RST或者FIN的TCP报文,本发明实施例并不是立即将其老化,而是延迟一段时间,再将该流老化。具体是通过非活跃时间来控制流老化,非活跃时间是指自会话最后一次发现到现在的时间间隔;非活跃时间小,说明流比较活跃。活跃的流的延迟时间要比不活跃的流的延迟时间要长,即延迟时间t1大于延迟时间t2。
图2为本发明较佳实施例系统结构图。如图2所示,该系统包括网流采样设备、网流流采集设备和网流分析处理设备。
当网络设备受到TCP报文的攻击时,网流采样设备对网络设备中的异常流量进行采样,并把采集到的Netstream流信息发送到网流流采集设备。所述Netstream流信息包括:源/目的IP地址、源/目的端口号、入/出接口、协议类型、服务类型和TCP报文的标志位字段。
网流流采集设备接收所述网流采样设备发送的Netstream流信息,并进行存储。
网流分析处理设备从所述网流流采集设备中获取收集到的Netstream流信息,经过对所述Netstream流信息的分析,可以得到TCP攻击源的位置和类型,向网络设备下发防御所述TCP攻击的规则/策略。
若所述Netstream流的标志位字段为URG或者PSH,则所述网流分析处理设备向所述网络设备下发阻断攻击源的规则/策略,即:所述网络设备停止处理所述TCP报文。
若所述Netstream流的标志位字段为ACK或者SYN,则所述网流分析处理设备向所述网络设备下发统计连接数的规则/策略,即:所述网络设备对TCP连接数和半连接数进行统计,对TCP连接数和半连接数进行限制;所述网络设备也可以下发阻断攻击源的规则/策略,即:所述网络设备停止处理所述TCP报文。
若所述Netstream流的标志位字段为RST或者FIN,则所述网流分析处理设备向所述网络设备下发延迟老化的规则/策略,即:不是立即将所述Netstream流老化,而是延迟一段时间之后,再将所述Netstream流老化。
可见,采用了本发明实施例的技术方案,不仅可以准确定位出网络中TCP攻击的位置和攻击类型,阻断攻击源,还能避免当攻击者利用TCP-RST或者TCP-FIN报文进行攻击时Netstream流的大量快速老化和重建,降低了此类攻击对网络设备性能的影响和资源的消耗。同时,通过与网流分析处理设备联动,实现了对攻击源的动态防御。
以上仅为本发明的较佳实施例,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种采用网流技术防御TCP攻击的方法,其特征在于:将源IP地址、目的IP地址、源协议端口号、目的协议端口号、入接口、出接口、协议类型、服务类型以及TCP报文的标志位字段都相同的报文作为一条流;通过所述流的标志位字段确定所述TCP攻击的类型;根据所述TCP攻击的类型,防御所述TCP攻击。
2.根据权利要求1所述的方法,其特征在于:
所述TCP报文的标志位包括:紧急指针字段有效URG、本报文段请求推操作PSH、确认字段有效ACK、序号同步SYN、连接复位RST以及发送方字节流结束FIN。
3.根据权利要求2所述的方法,其特征在于:
若所述流的标志位字段为URG、PSH、ACK或者SYN,停止处理所述TCP报文。
4.根据权利要求2所述的方法,其特征在于:
若所述流的标志位字段为ACK或者SYN,限制TCP连接数和半连接数。
5.根据权利要求2所述的方法,其特征在于:
若所述流的标志位字段为RST或者FIN,延迟一段时间后,将所述流老化。
6.根据权利要求5所述的方法,其特征在于:
对于活跃的流,所述延迟的时间比不活跃的流延迟的时间长。
7.根据权利要求6所述的方法,其特征在于:
活跃的流是非活跃时间小于设定值的流,不活跃的流是指非活跃时间大于设定值的流。
8.一种采用网流技术防御TCP攻击的系统,其特征在于:包括网流采样设备和网流分析处理设备:
网流采样设备:用于采集网络流量,将源IP地址、目的IP地址、源协议端口号、目的协议端口号、入接口、出接口、协议类型、服务类型以及TCP报文的标志位字段都相同的报文作为一条流;
网流分析处理设备:用于处理所述网流采样设备采集的流信息,分析得到所述TCP攻击的类型,根据TCP攻击的类型防御所述TCP攻击。
9.根据权利要求8所述的系统,其特征在于:包括网流流采集设备,用于存储所述网流采样设备采集的流信息,并将其转发给所述网流分析处理设备。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710124444A CN100579003C (zh) | 2007-11-08 | 2007-11-08 | 一种采用网流技术防御tcp攻击的方法和系统 |
| PCT/CN2008/071259 WO2009059504A1 (fr) | 2007-11-08 | 2008-06-11 | Procédé et système de défense contre des attaques tcp |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710124444A CN100579003C (zh) | 2007-11-08 | 2007-11-08 | 一种采用网流技术防御tcp攻击的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101170402A true CN101170402A (zh) | 2008-04-30 |
| CN100579003C CN100579003C (zh) | 2010-01-06 |
Family
ID=39390884
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200710124444A Active CN100579003C (zh) | 2007-11-08 | 2007-11-08 | 一种采用网流技术防御tcp攻击的方法和系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN100579003C (zh) |
| WO (1) | WO2009059504A1 (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009059504A1 (fr) * | 2007-11-08 | 2009-05-14 | Huawei Technologies Co., Ltd. | Procédé et système de défense contre des attaques tcp |
| WO2011029357A1 (zh) * | 2009-09-08 | 2011-03-17 | 华为技术有限公司 | 认证通信流量的方法、通信系统和防护装置 |
| CN103001958A (zh) * | 2012-11-27 | 2013-03-27 | 北京百度网讯科技有限公司 | 异常tcp报文处理方法及装置 |
| CN103023887A (zh) * | 2012-11-26 | 2013-04-03 | 大唐移动通信设备有限公司 | 一种基于ftp协议传输文件的方法和装置 |
| WO2017143897A1 (zh) * | 2016-02-26 | 2017-08-31 | 华为技术有限公司 | 一种攻击处理方法、设备及系统 |
| CN108200088A (zh) * | 2018-02-02 | 2018-06-22 | 杭州迪普科技股份有限公司 | 一种网络流量的攻击防护处理方法及装置 |
| CN109286630A (zh) * | 2018-10-15 | 2019-01-29 | 深信服科技股份有限公司 | 等保处理方法、装置、设备及存储介质 |
| CN110535861A (zh) * | 2019-08-30 | 2019-12-03 | 杭州迪普信息技术有限公司 | 一种识别syn攻击行为中统计syn包数量的方法及装置 |
| CN110740144A (zh) * | 2019-11-27 | 2020-01-31 | 腾讯科技(深圳)有限公司 | 确定攻击目标的方法、装置、设备及存储介质 |
| CN111131180A (zh) * | 2019-12-05 | 2020-05-08 | 成都西维数码科技有限公司 | 一种大规模云环境中分布式部署的http协议post拦截方法 |
| CN115103000A (zh) * | 2022-06-20 | 2022-09-23 | 北京鼎兴达信息科技股份有限公司 | 基于NetStream对铁路数据网进行业务会话还原和分析方法 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI784938B (zh) * | 2017-01-24 | 2022-12-01 | 香港商阿里巴巴集團服務有限公司 | 電文清理方法及裝置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7251692B1 (en) * | 2000-09-28 | 2007-07-31 | Lucent Technologies Inc. | Process to thwart denial of service attacks on the internet |
| CN100531213C (zh) * | 2006-03-20 | 2009-08-19 | 赵洪宇 | 一种抵御拒绝服务攻击事件的网络安全保护方法 |
| CN100579003C (zh) * | 2007-11-08 | 2010-01-06 | 华为技术有限公司 | 一种采用网流技术防御tcp攻击的方法和系统 |
-
2007
- 2007-11-08 CN CN200710124444A patent/CN100579003C/zh active Active
-
2008
- 2008-06-11 WO PCT/CN2008/071259 patent/WO2009059504A1/zh active Application Filing
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009059504A1 (fr) * | 2007-11-08 | 2009-05-14 | Huawei Technologies Co., Ltd. | Procédé et système de défense contre des attaques tcp |
| WO2011029357A1 (zh) * | 2009-09-08 | 2011-03-17 | 华为技术有限公司 | 认证通信流量的方法、通信系统和防护装置 |
| CN102014110A (zh) * | 2009-09-08 | 2011-04-13 | 华为技术有限公司 | 认证通信流量的方法、通信系统和防护装置 |
| CN103023887A (zh) * | 2012-11-26 | 2013-04-03 | 大唐移动通信设备有限公司 | 一种基于ftp协议传输文件的方法和装置 |
| CN103001958A (zh) * | 2012-11-27 | 2013-03-27 | 北京百度网讯科技有限公司 | 异常tcp报文处理方法及装置 |
| CN103001958B (zh) * | 2012-11-27 | 2016-03-16 | 北京百度网讯科技有限公司 | 异常tcp报文处理方法及装置 |
| WO2017143897A1 (zh) * | 2016-02-26 | 2017-08-31 | 华为技术有限公司 | 一种攻击处理方法、设备及系统 |
| CN107135185A (zh) * | 2016-02-26 | 2017-09-05 | 华为技术有限公司 | 一种攻击处理方法、设备及系统 |
| CN108200088A (zh) * | 2018-02-02 | 2018-06-22 | 杭州迪普科技股份有限公司 | 一种网络流量的攻击防护处理方法及装置 |
| CN109286630A (zh) * | 2018-10-15 | 2019-01-29 | 深信服科技股份有限公司 | 等保处理方法、装置、设备及存储介质 |
| CN110535861A (zh) * | 2019-08-30 | 2019-12-03 | 杭州迪普信息技术有限公司 | 一种识别syn攻击行为中统计syn包数量的方法及装置 |
| CN110535861B (zh) * | 2019-08-30 | 2022-01-25 | 杭州迪普信息技术有限公司 | 一种识别syn攻击行为中统计syn包数量的方法及装置 |
| US11677769B2 (en) | 2019-08-30 | 2023-06-13 | Hangzhou Dptech Technologies Co., Ltd. | Counting SYN packets |
| CN110740144A (zh) * | 2019-11-27 | 2020-01-31 | 腾讯科技(深圳)有限公司 | 确定攻击目标的方法、装置、设备及存储介质 |
| CN111131180A (zh) * | 2019-12-05 | 2020-05-08 | 成都西维数码科技有限公司 | 一种大规模云环境中分布式部署的http协议post拦截方法 |
| CN111131180B (zh) * | 2019-12-05 | 2022-04-22 | 成都西维数码科技有限公司 | 一种大规模云环境中分布式部署的http协议post拦截方法 |
| CN115103000A (zh) * | 2022-06-20 | 2022-09-23 | 北京鼎兴达信息科技股份有限公司 | 基于NetStream对铁路数据网进行业务会话还原和分析方法 |
| CN115103000B (zh) * | 2022-06-20 | 2023-09-26 | 北京鼎兴达信息科技股份有限公司 | 基于NetStream对铁路数据网进行业务会话还原和分析方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009059504A1 (fr) | 2009-05-14 |
| CN100579003C (zh) | 2010-01-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100579003C (zh) | 一种采用网流技术防御tcp攻击的方法和系统 | |
| CN101505219B (zh) | 一种防御拒绝服务攻击的方法和防护装置 | |
| Liu et al. | Efficient DDoS attacks mitigation for stateful forwarding in Internet of Things | |
| Gavaskar et al. | Three counter defense mechanism for TCP SYN flooding attacks | |
| CN107645398A (zh) | 一种诊断网络性能和故障的方法和装置 | |
| CN103999414B (zh) | 一种归因针对相应用户寄存器的共享资源的拥塞贡献的方法和装置 | |
| CN107623685B (zh) | 快速检测SYN Flood攻击的方法及装置 | |
| CN102263788A (zh) | 一种用于防御指向多业务系统的DDoS攻击的方法与设备 | |
| CN102882894A (zh) | 一种识别攻击的方法及装置 | |
| CN101150586A (zh) | Cc攻击防范方法及装置 | |
| CN101635720B (zh) | 一种未知流量过滤方法和一种带宽管理设备 | |
| CN103117946A (zh) | 基于隔离装置与隔离网关结合应用的流量分担方法 | |
| CN107770113A (zh) | 一种精确确定攻击特征的洪水攻击检测方法 | |
| CN101426014A (zh) | 防止组播源攻击的方法及系统 | |
| CN105429974B (zh) | 一种面向sdn的入侵防御系统和方法 | |
| CN101355585B (zh) | 一种分布式架构数据通信设备的消息保护系统及方法 | |
| CN105991632A (zh) | 网络安全防护方法及装置 | |
| CN110300085B (zh) | 网络攻击的取证方法、装置、系统、统计集群和计算集群 | |
| CN103269337B (zh) | 数据处理方法及装置 | |
| Campbell et al. | Intrusion detection at 100G | |
| CN101795277A (zh) | 一种单向流检测模式下的流量检测方法和设备 | |
| Ying et al. | Fast invalid TCP flow removal scheme for improving SDN scalability | |
| CN103124239B (zh) | 基于正向隔离装置与隔离网关结合应用的负载均衡方法 | |
| CN106817268B (zh) | 一种ddos攻击的检测方法及系统 | |
| CA2704857C (en) | Packet consolidation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |