CN101202742A - 一种防止拒绝服务攻击的方法和系统 - Google Patents
一种防止拒绝服务攻击的方法和系统 Download PDFInfo
- Publication number
- CN101202742A CN101202742A CNA2006101651433A CN200610165143A CN101202742A CN 101202742 A CN101202742 A CN 101202742A CN A2006101651433 A CNA2006101651433 A CN A2006101651433A CN 200610165143 A CN200610165143 A CN 200610165143A CN 101202742 A CN101202742 A CN 101202742A
- Authority
- CN
- China
- Prior art keywords
- message
- denial
- service attack
- attack
- syn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 230000004044 response Effects 0.000 claims description 49
- 238000012545 processing Methods 0.000 claims description 23
- 238000012544 monitoring process Methods 0.000 claims description 12
- 230000008569 process Effects 0.000 claims description 10
- 230000005540 biological transmission Effects 0.000 claims description 7
- 239000012634 fragment Substances 0.000 claims description 5
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 claims description 4
- 238000000465 moulding Methods 0.000 claims description 2
- 239000003999 initiator Substances 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 206010033799 Paralysis Diseases 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 241001484259 Lacuna Species 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种防止拒绝服务攻击的方法和系统。该方法包括下列步骤:步骤A,在正常处理连接请求前,截获请求端向目的端发送报文,解析所述报文得到报文内容;步骤B,根据所述报文内容,对所述报文进行拒绝服务攻击判断,并进行防止拒绝服务攻击处理。其可以在正常工作状态下,有效地防止拒绝服务攻击。
Description
技术领域
本发明涉及网络信息安全领域,特别是涉及一种防止拒绝服务攻击的方法和系统。
背景技术
拒绝服务攻击(Denial of Service,DOS)是现有互联网上对服务器,交换设备的一种攻击手段,它们攻击现有服务器的缺陷或薄弱点,让设备崩溃,停止工作,以达到影响服务器的正常业务的目的。Flood(也叫洪水攻击,属于拒绝服务攻击的一种)攻击就是一种典型的DOS攻击,他们采用短时间内发送大量报文的形式,去耗竭设备内存资源,耗竭设备CPU资源,达到攻击的目的。这种攻击具有很强的破坏力,并且包含多种新式,如SYN Flood,UDPFlood,ICMP Flood等。
SYN Flood攻击(洪水攻击),其原理主要是向被攻击主机发送大量伪造源IP和源端口的TCP连接请求数据包,导致主机缓存资源因处理这些欺骗请求包被耗尽或因忙于发送回应包,直至系统资源耗尽,从而形成拒绝服务。其基本过程是,一台计算机在网络中通讯时首先需要建立TCP(TransmissionControl Protocol,传输控制协议)握手,标准的TCP握手需要三次包交换来建立。一台服务器一旦接收到客户机的连接请求数据包SYN(Synchronizesequence numbers)后必须回应一个请求响应数据包SYN+ACK,然后等待该客户机回应给它一个响应数据包ACK(Acknowledgment field significant)来确认,才真正建立连接。然而,如果只发送初始化的连接请求数据包SYN,而不发送确认服务器的响应数据包ACK会导致服务器一直等待响应数据包ACK。由于服务器在有限的时间内只能响应有限数量的连接,这就会导致服务器一直等待回应而无法响应其它计算机进行的连接请求。
UDP Flood攻击也是导致基于拒绝服务攻击的一种。UDP(User DatagramProtocol,用户数据报文协议)是一种无连接的协议,而且它不需要用任何程序建立连接来传输数据。当攻击者随机地向受害主机的端口发送UDP数据包的时候,就可能发生了UDP淹没攻击。当受害系统接收到一个UDP数据包的时候,它会确定目的端口正在等待中的应用程序。当它发现该端口中并不存在正在等待的应用程序,它就会产生一个目的地址无法连接的ICMP(InternetControl Message Protocol,网际控制消息协议)数据包发送给该伪造的源地址。如果向受害主机端口发送了足够多的UDP数据包的时候,整个系统就会瘫痪。
ICMP Flood攻击也叫做ping Flood攻击,其也是服务拒绝攻击的一种,一般地,ICMP被IP层用于向一台主机发送单向的告知性消息,在ICMP中,没有验证机制,这就导致了使用ICMP可以造成服务拒绝的攻击,或者可以支持攻击者截取数据包。其攻击过程一般是,攻击者通过向受害主机发送大数量(或刚刚超过规定数量)的ICMP数据包,引起受害主机中TCP/IP栈瘫痪,并停止响应TCP/IP请求。
预防拒绝服务攻击是现有网络交换设备的一项重要功能,目前在交换设备的标准以及规范上都有明确要求,但是由于目前协议栈的缺项,业界对防止拒绝服务攻击只能做到受到攻击时,停止工作,进入关闭状态,等攻击停止时,恢复正常工作状态,而无法在交换设备受到攻击时,在正常工作状态下,防止拒绝服务攻击,正常报文的转发不受影响。
发明内容
本发明所要解决的问题是提供一种防止拒绝服务攻击的方法和系统,其可以在正常工作状态下,有效地防止拒绝服务攻击。
为实现本发明目的而提供的一种防止拒绝服务攻击的方法,包括下列步骤:
步骤A,在正常处理连接请求前,截获请求端向目的端发送的报文,解析所述报文得到报文内容;
步骤B,根据所述报文内容,对所述报文进行拒绝服务攻击判断,并进行防止拒绝服务攻击处理。
所述步骤B中根据所述报文内容,对所述报文进行拒绝服务攻击判断,并进行防止拒绝服务攻击处理,具体包括下列步骤:
步骤B1,根据所述报文内容,对所述报文内容的特征进行分析,与拒绝访问攻击的特征库中的攻击特征信息进行比较,判断所述报文的特征信息是否符合拒绝服务攻击特征,如果是,则将所述报文丢弃。
所述步骤B1之后还包括下列步骤:
步骤B11,保存具有拒绝服务攻击的报文的请求信息;
步骤B12,在接收后续的报文时,首先在数据链路层检查该后续报文是否与该已经判断为拒绝服务攻击的连接请求具有相同的请求信息,如果是,则不再转发这些报文,直接抛弃;否则,转到步骤A。
所述步骤B1中,判断所述报文的特征信息不符合拒绝服务攻击特征时,进行下列步骤:
步骤B21,根据所述报文中的内容,构造请求响应报文进行响应;
步骤B22,截获接收到响应报文,解析响应报文,得到响应报文的内容;
步骤B23,根据响应报文的内容,构造向目的端发送的报文,在得到目的端的响应后,建立真正的连接。
所述步骤B之后进一步包括下列步骤:
判断拒绝服务攻击是否结束,如果是,则停止报文的防止拒绝服务攻击的工作;否则,返回步骤A,检查后续的报文。
所述报文为连接请求数据包SYN报文;所述请求响应报文为请求响应SYN+ACK报文;所述响应报文为响应ACK报文。
为实现本发明目的还提供一种防止拒绝服务攻击的系统,包括截获解析模块,DOS处理模块,其中:
所述截获解析模块,用于截获请求端向目的端发送连接请求的报文,解析所述报文得到报文内容;
DOS处理模块,用于根据所述报文内容,对所述报文的进行拒绝服务攻击判断,并进行防止拒绝服务攻击处理。
所述DOS处理模块包括攻击特征库,监控模块,其中:
攻击特征库,用于保存各种拒绝服务攻击的攻击特征信息;
监控模块,用于分析所述报文的内容,和攻击特征库进行比较,检查所述报文是否是拒绝服务攻击,并进行处理。
所述系统在数据链路层包括控制模块,用于保存监控制模块检查出的具有拒绝服务攻击的报文的攻击特征信息,直接禁止后续该种报文的访问。
所述的DOS处理模块还进一步包括虚拟连接模块,用于根据请求端报文的内容,构造请求响应报文进行响应,并在判断该请求为真正连接请求后,根据响应报文内容,与目的端建立连接,最终建立真正的连接。
所述的防止拒绝服务攻击的系统还包括判断模块,用于判断拒绝服务攻击是否结束。
所述报文为连接请求数据包SYN报文;所述请求响应报文为请求响应SYN+ACK报文;所述响应报文为响应ACK报文。
所述的拒绝服务攻击为SYN Flood、ACK Flood、UDP Flood、ICMP Flood、Land Flood、IP Fragment attack、Stream Flood、Fraggle、Teardrop、Bonk、Smurf、Ping Of Death、Unreachable Host Flushot、Jolt2、Winnuke、3HD、Rage3HD攻击中的一种或者一种以上的组合。
所述的系统是以软件的方式安装在网络系统中,或者是网关、防火墙、路由器的一个功能单元,或者是一个单独的边缘服务器设备。
本发明的有益效果是:通过本发明的防止拒绝服务攻击的方法和系统,不仅可以实现防止拒绝服务攻击的功能,而且在受到拒绝服务攻击时,正常报文转发不受影响,设备基本正常地工作,特别是其可以有效地防止SYN Flood、UDP Flood、ICMP Flood等拒绝服务攻击。其使设备受到拒绝服务攻击时,不仅不会因资源耗竭而停止工作,而且可以自动辨别攻击报文和正常报文,禁止异常报文的干扰,只处理正常报文,整个设备在攻击过程中不受影响。
附图说明
图1是本发明防止拒绝服务攻击的方法流程图;
图2是本发明实施例中对SYN报文内容分析处理过程流程图;
图3是本地网关构造请求响应与请求端进行虚拟连接示意图;
图4是本地网关构造新的请求与目的端进行虚拟连接示意图;
图5是本发明防止拒绝服务攻击的系统示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明的一种防止拒绝服务攻击的方法和系统进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本文描述了一种防止拒绝服务攻击的方法和系统,通过建立攻击报文特征库,通过比较报文和特征库,从协议栈的最底层控制攻击报文,解决攻击报文耗竭设备CPU资源的问题;进一步地,通过在协议栈建立虚拟连接,检查报文是正常报文还是攻击报文,从而解决攻击报文耗竭设备内存资源的问题。
本发明实施例,本发明实施例特别描述了防止SYN Flood攻击的方法过程,但本发明同样适用除了以上提到的拒绝服务攻击,如ACK Flood、UDPFlood、ICMP Flood、Land Flood、IP Fragment attack、Stream Flood、Fraggle、Teardrop、Bonk、Smurf、Ping Of Death、Unreachable Host Flushot、Jolt2、Winnuke、3HD、Rage3HD等各类DOS攻击的情况。
如图1所示,本发明实施例的一种防止拒绝服务攻击的方法,具体步骤如下:
步骤S100,在正常处理连接请求前,截获请求端51向目的端52发送连接请求的SYN报文,解析该SYN报文得到报文内容。
用户请求端51从国际互联网等设备(如个人计算机)上向目的端52(如网站服务器)请求进行TCP/IP连接时,会发送连接请求的SYN报文,为判断是否为SYN Flood攻击,在该SYN报文被正常处理前,该SYN报文被网关设备截获;
网络系统在网关模式下,从外部传入的所有转发向目的端52的数据,均会通过网络层,在网络层上就可以截获所有的连接请求数据包SYN。
解析SYN数据包,得到SYN报文中的源地址、目的地址和端口信息等内容。
步骤S200,根据该SYN报文内容,对该SYN请求的进行拒绝服务攻击判断,并进行防止拒绝服务攻击处理。
步骤S300,判断拒绝服务攻击是否结束,如果是,即当攻击方停止攻击,如某终端中的攻击病毒被清除,不再主动攻击网关设备时,在单位时间内,某种特征的攻击报文已经不再发送到网关设备上,或者某类报文已经不具有攻击攻击特征信息,则停止请求SYN报文的防止拒绝服务攻击的工作,避免由于检查而消耗设备CPU资源,以及由于攻击报文的影响其它正常报文的工作;否则,返回步骤S100,检查后续的请求SYN报文。
如图2所示,所述步骤S200,根据该SYN报文内容,对该SYN请求的进行拒绝服务攻击判断,并进行防止拒绝服务攻击处理。具体包括下列步骤:
步骤S210,根据该SYN报文内容,对该SYN报文内容的特征进行分析,与SYN Flood攻击的特征库中的攻击特征信息进行比较,判断该SYN报文的特征是否符合SYN Flood攻击特征。
这些攻击特征信息是指某种拒绝服务攻击具有的特征信息,例如在单位时间内,是否具有为同一源IP地址发送的超过设定数量的请求SYN报文,或是在单位时间内,同一输入接口上发送的超过设定数量的请求SYN报文等。
如果是,则将该请求SYN报文丢弃,并转到步骤S220;否则为无法判断其合法性的请求SYN报文,因而转到步骤S240处理;
步骤S220,保存具有SYN Flood攻击的SYN报文的请求信息;
请求信息是指具有SYN Flood攻击的SYN请求信息,如具有所限定的源IP地址或者输入接口等。
步骤S230,然后,在接收后续的SYN报文时,首先在数据链路层检查该后续SYN报文是否与该已经判断为SYN Flood攻击的连接请求具有相同的请求信息,如果是,则不再转发这些报文,直接抛弃,从而将攻击报文对设备CPU资源的消耗降到最低点;否则,转到步骤S100。
步骤S240,根据SYN报文中的内容,构造SYN+ACK报文进行响应。
本地网关利用该SYN报文的内容,构造SYN+ACK报文向请求端51响应,该SYN+ACK报文的源地址和源MAC地址(网关中的一个硬件地址)均用SYN报文的目的IP和MAC构造,将该构造的SYN+ACK报文发送给SYN报文的发送地址(源地址)。
如图3所示,当本地网关收到SYN报文时,先构造请求响应SYN+ACK报文,并发送回去,由于对方是攻击报文(SYN Flood),故对方永远都不会回复ACK报文,故该攻击报文就无法像正常连接那样,在协议栈中分配正常连接所需要的资源,从而解决攻击报文耗竭设备内存资源的问题。
步骤S250,截获接收到响应ACK报文,解析该ACK报文,得到ACK报文的内容。
当请求端51不是拒绝服务攻击的地址,而是真正的连接请求时,则根据协议,响应ACK报文,本地网关在截获接收到响应ACK报文后,解析该ACK报文,就可以得到响应ACK报文的源地址,目的地址,端口号等数据。
步骤S260,根据ACK报文的内容,构造向目的端52发送的请求SYN报文,在得到目的端52的响应后,建立真正的连接。
利用源地址为本地网关地址,目的地址不变,构造SYN报文,向真正的目的端52发送请求连接的SYN报文。
目的端52在收到SYN报文后,如图4所示,根据TCP协议,其向发送端,即本地网关地址回应请求响应的SYN+ACK报文,该报文被本地网关接收后,回复响应的ACK报文后,本地网关与目的端52建立连接。然后根据本地网关与请求端51的TCP/IP连接,建立真正的连接。
本发明实施例中,以SYN Flood攻击为例,如果是UDP Flood攻击,或者ICMP Flood攻击,或者其他拒绝服务攻击,本发明的防止拒绝服务攻击以相类似的方法进行防护工作。
下面结合本发明的防止拒绝服务攻击的方法,详细说明本发明的防止拒绝服务攻击的系统。
本发明的防止拒绝服务攻击的系统,在网关,路由器等交换设备上实现,可以有效的防止拒绝服务攻击(DOS攻击),如SYN Flood、ACK Flood、UDPFlood、ICMP Flood、Land Flood、IP Fragment attack、Stream Flood、Fraggle、Teardrop、Bonk、Smurf、Ping Of Death、Unreachable Host Flushot、Jolt2、Winnuke、3HD、Rage3HD等各类DOS攻击。
本发明所涉及的防止拒绝服务攻击系统,如图5所示,主要用于控制交换设备,保护交换设备的正常不受攻击影响以及内网环境不会受到攻击。
本发明的防止拒绝服务攻击的系统,位于网络层中,包括截获解析模块53,DOS处理模块54,判断模块55。其中:
截获解析模块53,用于截获请求端51向目的端52发送连接请求的SYN报文,解析该SYN报文得到报文内容。
DOS处理模块54,用于根据该SYN报文内容,对该SYN请求的进行拒绝服务攻击判断,并进行防止拒绝服务攻击处理。
判断模块55,用于判断拒绝服务攻击是否结束。
其中,在DOS处理模块54中,可以包括攻击特征库541,监控模块542,以及虚拟连接模块543。其中:
攻击特征库541,用于保存各种拒绝服务攻击的攻击特征信息,如在单位时间内,同一源IP发送超过设定数量的SYN报文,就认定为SYN Flood攻击;或者在单位时间内,同一源IP发送超过设定数量的UDP报文,就认定为UDPFlood攻击等等。
监控模块542,用于分析请求连接SYN报文的内容,和攻击特征库541进行比较,检查该请求连接SYN报文是否是拒绝服务攻击,并进行处理;
虚拟连接模块543,用于根据请求端51SYN报文的内容,构造SYN+ACK报文进行响应,并在判断该请求为真正连接请求后,根据响应的ACK报文内容,与目的端52建立连接,最终建立真正的连接。
进一步地,在数据链路层中包括控制模块56,用于保存监控模块542检查出的具有SYN Flood攻击的SYN报文的请求信息,根据请求信息,直接禁止后续该种报文的访问。
在本发明实施例的防止拒绝服务攻击的系统中,当本地网关设备在正常处理连接请求时前,并不直接转发,而是截获解析模块53截获连接请求的SYN报文,解析得到SYN报文的内容,对该SYN请求的进行拒绝服务攻击判断,并进行防止拒绝服务攻击处理。
一方面,监控模块542分析请求连接SYN报文的内容,和攻击特征库541进行比较,检查该请求连接SYN报文是否是拒绝服务攻击;对检查出具有SYNFlood攻击特征的SYN报文,控制模块56保存这些SYN报文的请求信息,根据这些请求信息直接禁止后续该种报文的访问。
另一方面,虚拟连接模块543根据SYN报文的内容,构造请求回复SYN+ACK报文,并发送回去,如果对方是正常连接请求的SYN报文,则对方会回复ACK报文,这时虚拟连接模块543再根据ACK报文构造新的请求与目的端52连接的SYN报文,和目的建立真正连接,最后让目的和请求端51开始正常的数据交换。
最后,判断模块55判断拒绝服务攻击是否结束。如果是,则停止请求SYN报文的防止拒绝服务攻击的工作,避免由于检查而消耗设备CPU资源,以及拒绝服务攻击而影响其它正常报文的工作;否则返回并检查后续的请求SYN报文。
作为本发明的另一个实施例,以一种其他攻击(UDP Flood,Smurf)为例,描述防御过程:
首先,监控模块542获得报文,该报文的状态行为和攻击特征库541进行快速比较,检查是否存在攻击特征,如单位时间内同一网端的源地址发出了大量的报文,单位时间内同一目标地址,收到大量的异常报文,或者是报文的源和目的地址相同等,当匹配上,则判定这一类报文是攻击报文;
其次,监控模块把这类报文的特征(如报文源IP,源端口,目的IP,端口等)通知控制模块,控制模块直接通过简单匹配,就控制这类报文进入协议栈,从而避免这类报文对系统的危害和消耗系统资源。
最后,控制模块56在阻止该类型报文时,并增加该类型攻击的计数器,以及更新攻击时间,如果长时间该计数器没有变化,则认为该攻击已经消失,取消对该攻击的阻止。避免防攻击模块消耗系统资源。
本发明的防止拒绝服务攻击的系统,可以是以软件的方式安装在网络系统中,也可以是硬件设备,如网关、防火墙、路由器的一个功能单元,也可以是一个单独的边缘服务器设备。
通过结合附图对本发明具体实施例的描述,本发明的其它方面及特征对本领域的技术人员而言是显而易见的,因而不再一一详细描述。
通过本发明的防止拒绝服务攻击的方法和系统,不仅可以实现防止拒绝服务攻击的功能,而且在受到拒绝服务攻击时,正常报文转发不受影响,设备基本正常地工作,特别是其可以有效地防止SYN Flood、UDP Flood、ICMP Flood等拒绝服务攻击。其使设备受到拒绝服务攻击时,不仅不会因资源耗竭而停止工作,而且可以自动辨别攻击报文和正常报文,禁止异常报文的干扰,只处理正常报文,整个设备在攻击过程中不受影响。
以上对本发明的具体实施例进行了描述和说明,这些实施例应被认为其只是示例性的,并不用于对本发明进行限制,本发明应根据所附的权利要求进行解释。
Claims (15)
1.一种防止拒绝服务攻击的方法,其特征在于,包括下列步骤:
步骤A,在正常处理连接请求前,截获请求端向目的端发送的报文,解析所述报文得到报文内容;
步骤B,根据所述报文内容,对所述报文进行拒绝服务攻击判断,并进行防止拒绝服务攻击处理。
2.根据权利要求1所述的防止拒绝服务攻击的方法,其特征在于,所述步骤B中根据所述报文内容,对所述报文进行拒绝服务攻击判断,并进行防止拒绝服务攻击处理,具体包括下列步骤:
步骤B1,根据所述报文内容,对所述报文内容的特征进行分析,与拒绝访问攻击的特征库中的攻击特征信息进行比较,判断所述报文的特征信息是否符合拒绝服务攻击特征,如果是,则将所述报文丢弃。
3.根据权利要求2所述的防止拒绝服务攻击的方法,其特征在于,所述步骤B1之后还包括下列步骤:
步骤B11,保存具有拒绝服务攻击的报文的请求信息;
步骤B12,在接收后续的报文时,首先在数据链路层检查该后续报文是否与该已经判断为拒绝服务攻击的连接请求具有相同的请求信息,如果是,则不再转发这些报文,直接抛弃;否则,转到步骤A。
4.根据权利要求1至3任一项所述的防止拒绝服务攻击的方法,其特征在于,所述步骤B1中,判断所述报文的特征信息不符合拒绝服务攻击特征时,进行下列步骤:
步骤B21,根据所述报文中的内容,构造请求响应报文进行响应;
步骤B22,截获接收到响应报文,解析响应报文,得到响应报文的内容;
步骤B23,根据响应报文的内容,构造向目的端发送的报文,在得到目的端的响应后,建立真正的连接。
5.根据权利要求4所述的防止拒绝服务攻击的方法,其特征在于,所述步骤B之后进一步包括下列步骤:
判断拒绝服务攻击是否结束,如果是,则停止报文的防止拒绝服务攻击的工作;否则,返回步骤A,检查后续的报文。
6.根据权利要求4所述的防止拒绝服务攻击的方法,其特征在于,所述报文为连接请求数据包SYN报文;所述请求响应报文为请求响应SYN+ACK报文;所述响应报文为响应ACK报文。
7.根据权利要求1至3任一项所述的防止拒绝服务攻击的方法,其特征在于,所述拒绝服务攻击为SYN Flood、ACK Flood、UDP Flood、ICMP Flood、Land Flood、IP Fragment attack、Stream Flood、Fraggle、Teardrop、Bonk、Smurf、Ping Of Death、Unreachable Host Flushot、Jolt2、Winnuke、3HD、Rage3HD攻击中的一种或者一种以上的组合。
8.一种防止拒绝服务攻击的系统,其特征在于,包括截获解析模块,DOS处理模块,其中:
所述截获解析模块,用于截获请求端向目的端发送连接请求的报文,解析所述报文得到报文内容;
DOS处理模块,用于根据所述报文内容,对所述报文的进行拒绝服务攻击判断,并进行防止拒绝服务攻击处理。
9.根据权利要求8所述的防止拒绝服务攻击的系统,其特征在于,所述DOS处理模块包括攻击特征库,监控模块,其中:
攻击特征库,用于保存各种拒绝服务攻击的攻击特征信息;
监控模块,用于分析所述报文的内容,和攻击特征库进行比较,检查所述报文是否是拒绝服务攻击,并进行处理。
10.根据权利要求9所述的防止拒绝服务攻击的系统,其特征在于,在数据链路层包括控制模块,用于保存监控制模块检查出的具有拒绝服务攻击的报文的攻击特征信息,直接禁止后续该种报文的访问。
11.根据权利要求8至10任一项所述的防止拒绝服务攻击的系统,其特征在于,所述的DOS处理模块还进一步包括虚拟连接模块,用于根据请求端报文的内容,构造请求响应报文进行响应,并在判断该请求为真正连接请求后,根据响应报文内容,与目的端建立连接,最终建立真正的连接。
12.根据权利要求11所述的防止拒绝服务攻击的系统,其特征在于,还包括判断模块,用于判断拒绝服务攻击是否结束。
13.根据权利要求12所述的防止拒绝服务攻击的系统,其特征在于,所述报文为连接请求数据包SYN报文;所述请求响应报文为请求响应SYN+ACK报文;所述响应报文为响应ACK报文。
14.根据权利要求8至10任一项所述的防止拒绝服务攻击的系统,其特征在于,所述的拒绝服务攻击为SYN Flood、ACK Flood、UDP Flood、ICMPFlood、Land Flood、IP Fragment attack、Stream Flood、Fraggle、Teardrop、Bonk、Smurf、Ping Of Death、Unreachable Host Flushot、Jolt2、Winnuke、3HD、Rage3HD攻击中的一种或者一种以上的组合。
15.根据权利要求8至10任一项所述的防止拒绝服务攻击的系统,其特征在于,所述的系统是以软件的方式安装在网络系统中,或者是网关、防火墙、路由器的一个功能单元,或者是一个单独的边缘服务器设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101651433A CN101202742B (zh) | 2006-12-13 | 2006-12-13 | 一种防止拒绝服务攻击的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101651433A CN101202742B (zh) | 2006-12-13 | 2006-12-13 | 一种防止拒绝服务攻击的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101202742A true CN101202742A (zh) | 2008-06-18 |
| CN101202742B CN101202742B (zh) | 2011-10-26 |
Family
ID=39517706
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101651433A Expired - Fee Related CN101202742B (zh) | 2006-12-13 | 2006-12-13 | 一种防止拒绝服务攻击的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101202742B (zh) |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011041960A1 (zh) * | 2009-10-10 | 2011-04-14 | 中兴通讯股份有限公司 | 一种防止拒绝服务攻击的方法及装置 |
| CN101594269B (zh) * | 2009-06-29 | 2012-05-02 | 成都市华为赛门铁克科技有限公司 | 一种异常连接的检测方法、装置及网关设备 |
| CN102025483B (zh) * | 2009-09-17 | 2012-07-04 | 国基电子(上海)有限公司 | 无线路由器及利用该无线路由器预防恶意扫描的方法 |
| CN102932474A (zh) * | 2012-11-14 | 2013-02-13 | 北京星网锐捷网络技术有限公司 | 报文解析方法、设备及系统 |
| CN103095675A (zh) * | 2011-10-28 | 2013-05-08 | 三星Sds株式会社 | Arp欺骗攻击检测系统及方法 |
| WO2014140693A1 (en) * | 2013-03-15 | 2014-09-18 | Pismo Labs Technology Limited | Methods and systems for receiving and transmitting internet protocol (ip) data packets |
| CN104486340A (zh) * | 2014-12-16 | 2015-04-01 | 上海斐讯数据通信技术有限公司 | 防御数据流攻击的方法及系统 |
| CN104506531A (zh) * | 2014-12-19 | 2015-04-08 | 上海斐讯数据通信技术有限公司 | 针对流量攻击的安全防御系统及方法 |
| CN104506559A (zh) * | 2015-01-09 | 2015-04-08 | 重庆蓝岸通讯技术有限公司 | 一种基于Android系统的DDoS防御系统和方法 |
| CN104579841A (zh) * | 2015-01-09 | 2015-04-29 | 北京京东尚科信息技术有限公司 | 根据接收的udp报文产生对特定统计数据项的统计结果的系统 |
| CN105119908A (zh) * | 2015-07-22 | 2015-12-02 | 上海迈外迪网络科技有限公司 | 无线网络安全控制方法、装置和无线路由器 |
| CN106357666A (zh) * | 2016-10-09 | 2017-01-25 | 广东睿江云计算股份有限公司 | 一种syn flood攻击的清洗方法及系统 |
| CN106656922A (zh) * | 2015-10-30 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 一种基于流量分析的网络攻击防护方法和装置 |
| CN106685899A (zh) * | 2015-11-09 | 2017-05-17 | 阿里巴巴集团控股有限公司 | 用于识别恶意访问的方法和设备 |
| CN106790310A (zh) * | 2017-03-31 | 2017-05-31 | 网宿科技股份有限公司 | 分布式拒绝服务攻击防护与负载均衡一体化的方法和系统 |
| CN107026828A (zh) * | 2016-02-02 | 2017-08-08 | 中国移动通信集团辽宁有限公司 | 一种基于互联网缓存的防盗链方法及互联网缓存 |
| CN107113280A (zh) * | 2014-12-31 | 2017-08-29 | 华为技术有限公司 | 一种网络控制方法与虚拟交换机 |
| CN107395482A (zh) * | 2017-06-26 | 2017-11-24 | 深圳市中创鑫和科技有限公司 | 一种cofdm单向网桥及其ip数据传送方法 |
| WO2018103364A1 (zh) * | 2016-12-09 | 2018-06-14 | 腾讯科技(深圳)有限公司 | 攻击的防御方法、防御设备及计算机可读存储介质 |
| CN108418844A (zh) * | 2018-06-19 | 2018-08-17 | 北京云枢网络科技有限公司 | 一种应用层攻击的防护方法及攻击防护端 |
| CN108881425A (zh) * | 2018-06-07 | 2018-11-23 | 中国科学技术大学 | 一种数据包处理方法及系统 |
| CN110120963A (zh) * | 2018-02-06 | 2019-08-13 | 阿里巴巴集团控股有限公司 | 一种数据处理方法、装置、设备和机器可读介质 |
| CN111786962A (zh) * | 2020-06-12 | 2020-10-16 | 广州市和昊信息技术有限公司 | 一种网络安全监控系统 |
| CN113542246A (zh) * | 2021-07-02 | 2021-10-22 | 南京中新赛克科技有限责任公司 | 一种基于网络处理器主动式流量响应实现方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100479419C (zh) * | 2003-06-08 | 2009-04-15 | 华为技术有限公司 | 防止拒绝服务型攻击的方法 |
| CN1241133C (zh) * | 2003-08-29 | 2006-02-08 | 迈普(四川)通信技术有限公司 | 防范计算机网络攻击的方法 |
| CN100420197C (zh) * | 2004-05-13 | 2008-09-17 | 华为技术有限公司 | 一种实现网络设备防攻击的方法 |
| CN100369416C (zh) * | 2005-05-09 | 2008-02-13 | 杭州华三通信技术有限公司 | 流量攻击网络设备的报文特征的检测方法 |
| CN100531213C (zh) * | 2006-03-20 | 2009-08-19 | 赵洪宇 | 一种抵御拒绝服务攻击事件的网络安全保护方法 |
-
2006
- 2006-12-13 CN CN2006101651433A patent/CN101202742B/zh not_active Expired - Fee Related
Cited By (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101594269B (zh) * | 2009-06-29 | 2012-05-02 | 成都市华为赛门铁克科技有限公司 | 一种异常连接的检测方法、装置及网关设备 |
| CN102025483B (zh) * | 2009-09-17 | 2012-07-04 | 国基电子(上海)有限公司 | 无线路由器及利用该无线路由器预防恶意扫描的方法 |
| WO2011041960A1 (zh) * | 2009-10-10 | 2011-04-14 | 中兴通讯股份有限公司 | 一种防止拒绝服务攻击的方法及装置 |
| CN103095675A (zh) * | 2011-10-28 | 2013-05-08 | 三星Sds株式会社 | Arp欺骗攻击检测系统及方法 |
| CN103095675B (zh) * | 2011-10-28 | 2016-05-25 | 三星Sds株式会社 | Arp欺骗攻击检测系统及方法 |
| CN102932474A (zh) * | 2012-11-14 | 2013-02-13 | 北京星网锐捷网络技术有限公司 | 报文解析方法、设备及系统 |
| GB2515674A (en) * | 2013-03-15 | 2014-12-31 | Pismo Labs Technology Ltd | Methods and systems for receiving and transmitting internet protocol (IP) data packets |
| CN105052106B (zh) * | 2013-03-15 | 2018-01-02 | 柏思科技有限公司 | 用于接收和传输互联网协议(ip)数据包的方法和系统 |
| GB2515674B (en) * | 2013-03-15 | 2021-02-24 | Pismo Labs Technology Ltd | Methods and systems for receiving and transmitting internet protocol (IP) data packets |
| US9473402B2 (en) | 2013-03-15 | 2016-10-18 | Pismo Labs Technology Limited | Methods and systems for receiving and transmitting internet protocol (IP) data packets |
| CN105052106A (zh) * | 2013-03-15 | 2015-11-11 | 柏思科技有限公司 | 用于接收和传输互联网协议(ip)数据包的方法和系统 |
| WO2014140693A1 (en) * | 2013-03-15 | 2014-09-18 | Pismo Labs Technology Limited | Methods and systems for receiving and transmitting internet protocol (ip) data packets |
| CN104486340A (zh) * | 2014-12-16 | 2015-04-01 | 上海斐讯数据通信技术有限公司 | 防御数据流攻击的方法及系统 |
| CN104486340B (zh) * | 2014-12-16 | 2018-02-06 | 上海斐讯数据通信技术有限公司 | 防御数据流攻击的方法及系统 |
| CN104506531A (zh) * | 2014-12-19 | 2015-04-08 | 上海斐讯数据通信技术有限公司 | 针对流量攻击的安全防御系统及方法 |
| CN104506531B (zh) * | 2014-12-19 | 2018-05-01 | 上海斐讯数据通信技术有限公司 | 针对流量攻击的安全防御系统及方法 |
| CN107113280A (zh) * | 2014-12-31 | 2017-08-29 | 华为技术有限公司 | 一种网络控制方法与虚拟交换机 |
| CN104579841A (zh) * | 2015-01-09 | 2015-04-29 | 北京京东尚科信息技术有限公司 | 根据接收的udp报文产生对特定统计数据项的统计结果的系统 |
| CN104506559B (zh) * | 2015-01-09 | 2018-01-23 | 重庆蓝岸通讯技术有限公司 | 一种基于Android系统的DDoS防御系统和方法 |
| CN104506559A (zh) * | 2015-01-09 | 2015-04-08 | 重庆蓝岸通讯技术有限公司 | 一种基于Android系统的DDoS防御系统和方法 |
| CN105119908A (zh) * | 2015-07-22 | 2015-12-02 | 上海迈外迪网络科技有限公司 | 无线网络安全控制方法、装置和无线路由器 |
| CN105119908B (zh) * | 2015-07-22 | 2018-07-27 | 上海迈外迪网络科技有限公司 | 无线网络安全控制方法、装置和无线路由器 |
| CN106656922A (zh) * | 2015-10-30 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 一种基于流量分析的网络攻击防护方法和装置 |
| CN106685899A (zh) * | 2015-11-09 | 2017-05-17 | 阿里巴巴集团控股有限公司 | 用于识别恶意访问的方法和设备 |
| CN106685899B (zh) * | 2015-11-09 | 2020-10-30 | 创新先进技术有限公司 | 用于识别恶意访问的方法和设备 |
| CN107026828B (zh) * | 2016-02-02 | 2020-02-21 | 中国移动通信集团辽宁有限公司 | 一种基于互联网缓存的防盗链方法及互联网缓存 |
| CN107026828A (zh) * | 2016-02-02 | 2017-08-08 | 中国移动通信集团辽宁有限公司 | 一种基于互联网缓存的防盗链方法及互联网缓存 |
| CN106357666A (zh) * | 2016-10-09 | 2017-01-25 | 广东睿江云计算股份有限公司 | 一种syn flood攻击的清洗方法及系统 |
| WO2018103364A1 (zh) * | 2016-12-09 | 2018-06-14 | 腾讯科技(深圳)有限公司 | 攻击的防御方法、防御设备及计算机可读存储介质 |
| CN108616488A (zh) * | 2016-12-09 | 2018-10-02 | 腾讯科技(深圳)有限公司 | 一种攻击的防御方法及防御设备 |
| CN108616488B (zh) * | 2016-12-09 | 2021-06-29 | 腾讯科技(深圳)有限公司 | 一种攻击的防御方法及防御设备 |
| US10834125B2 (en) | 2016-12-09 | 2020-11-10 | Tencent Technology (Shenzhen) Company Limited | Method for defending against attack, defense device, and computer readable storage medium |
| CN106790310A (zh) * | 2017-03-31 | 2017-05-31 | 网宿科技股份有限公司 | 分布式拒绝服务攻击防护与负载均衡一体化的方法和系统 |
| CN106790310B (zh) * | 2017-03-31 | 2021-02-02 | 网宿科技股份有限公司 | 分布式拒绝服务攻击防护与负载均衡一体化的方法和系统 |
| CN107395482A (zh) * | 2017-06-26 | 2017-11-24 | 深圳市中创鑫和科技有限公司 | 一种cofdm单向网桥及其ip数据传送方法 |
| CN110120963A (zh) * | 2018-02-06 | 2019-08-13 | 阿里巴巴集团控股有限公司 | 一种数据处理方法、装置、设备和机器可读介质 |
| CN108881425A (zh) * | 2018-06-07 | 2018-11-23 | 中国科学技术大学 | 一种数据包处理方法及系统 |
| CN108418844A (zh) * | 2018-06-19 | 2018-08-17 | 北京云枢网络科技有限公司 | 一种应用层攻击的防护方法及攻击防护端 |
| CN108418844B (zh) * | 2018-06-19 | 2020-09-01 | 北京云枢网络科技有限公司 | 一种应用层攻击的防护方法及攻击防护端 |
| CN111786962A (zh) * | 2020-06-12 | 2020-10-16 | 广州市和昊信息技术有限公司 | 一种网络安全监控系统 |
| CN113542246A (zh) * | 2021-07-02 | 2021-10-22 | 南京中新赛克科技有限责任公司 | 一种基于网络处理器主动式流量响应实现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101202742B (zh) | 2011-10-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101202742B (zh) | 一种防止拒绝服务攻击的方法和系统 | |
| CN105827646B (zh) | Syn攻击防护的方法及装置 | |
| CN101175013B (zh) | 一种拒绝服务攻击防护方法、网络系统和代理服务器 | |
| US8370937B2 (en) | Handling of DDoS attacks from NAT or proxy devices | |
| US7301899B2 (en) | Prevention of bandwidth congestion in a denial of service or other internet-based attack | |
| US7457965B2 (en) | Unauthorized access blocking apparatus, method, program and system | |
| US8356349B2 (en) | Method and system for intrusion prevention and deflection | |
| US7818795B1 (en) | Per-port protection against denial-of-service and distributed denial-of-service attacks | |
| CN101064597B (zh) | 网络安全设备以及使用该网络安全设备处理包数据的方法 | |
| Moustis et al. | Evaluating security controls against HTTP-based DDoS attacks | |
| AU2005322364A1 (en) | Network intrusion prevention | |
| WO2003032571A1 (en) | Method and apparatus for providing node security in a router of a packet network | |
| KR20110089179A (ko) | 네트워크 침입 방지 | |
| KR20120060655A (ko) | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 | |
| KR20080028381A (ko) | 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법 | |
| Kavisankar et al. | A mitigation model for TCP SYN flooding with IP spoofing | |
| WO2019096104A1 (zh) | 攻击防范 | |
| CN101136917B (zh) | 一种传输控制协议拦截模块及其软切换方法 | |
| JP2008306610A (ja) | 不正侵入・不正ソフトウェア調査システム、および通信振分装置 | |
| Kumarasamy et al. | An active defense mechanism for TCP SYN flooding attacks | |
| Safa et al. | A collaborative defense mechanism against SYN flooding attacks in IP networks | |
| US7873991B1 (en) | Technique of defending against network flooding attacks using a connectionless protocol | |
| JP2006345268A (ja) | パケットフィルタ回路及びパケットフィルタ方法 | |
| CN111865954A (zh) | 一种数据对冲式的计算机网络安全系统及其工作方法 | |
| Liu et al. | Research of the ARP spoofing principle and a defensive algorithm |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111026 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |