CN101355419B - 一种网络攻击防范方法和装置 - Google Patents
一种网络攻击防范方法和装置 Download PDFInfo
- Publication number
- CN101355419B CN101355419B CN2008102102979A CN200810210297A CN101355419B CN 101355419 B CN101355419 B CN 101355419B CN 2008102102979 A CN2008102102979 A CN 2008102102979A CN 200810210297 A CN200810210297 A CN 200810210297A CN 101355419 B CN101355419 B CN 101355419B
- Authority
- CN
- China
- Prior art keywords
- message
- ike message
- ike
- conversational list
- transmit leg
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 27
- 230000005540 biological transmission Effects 0.000 claims abstract description 19
- 230000007246 mechanism Effects 0.000 claims description 14
- 206010033799 Paralysis Diseases 0.000 description 8
- 230000016571 aggressive behavior Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000013461 design Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000002265 prevention Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- WURBVZBTWMNKQT-UHFFFAOYSA-N 1-(4-chlorophenoxy)-3,3-dimethyl-1-(1,2,4-triazol-1-yl)butan-2-one Chemical compound C1=NC=NN1C(C(=O)C(C)(C)C)OC1=CC=C(Cl)C=C1 WURBVZBTWMNKQT-UHFFFAOYSA-N 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种防范网络攻击的方法,包括:统计接收到的IKE因特网密钥交换报文的数量;如果所述IKE报文的数据超过预设值,则抛弃所述IKE报文。还提供了一种防范网络攻击的装置,利用本发明实施例,既能保护正常用户发起的IKE报文正常传输,又能有效的防止大规模的IKE报文涌向设备导致设备瘫痪。
Description
技术领域
本发明涉及网络技术领域,特别是一种网络攻击防范方法和装置。
背景技术
防范网络攻击是一项网络攻击对保密资料、个人的财产及隐私等构成了严重的威胁,如何防范网络攻击成为了一项重大的技术问题。
互联网上的DOS(Deny of service,拒绝服务式攻击)攻击便是一种非常常见的攻击行为。攻击者利用IP(Internet Protocol,网际连接)无连接的特点,通过发生各种垃圾报文导致网络拥塞、设备瘫痪。这种攻击的方式非常简单,普通到一台PC机,一个发包工具就可以制造攻击。因此DOS攻击非常流行,对企业网、甚至骨干网都造成了非常严重的影响,所以防范DOS攻击是非常必要的。
IKE(Internet key exchange,因特网密钥交换)报文是IPSec(IP Security,IP安全)协议使用的协商及维护隧道的数据报文。IPSec是三层隧道协议,它为通信双方的IP数据提供了加密保护,来保证数据包在网络上传输时的私有性、完整性和真实性等。IPSec隧道从建立开始到正常使用的过程中,IKE报文的流量都是很小的,因此现有的安全设备处理IKE报文的能力也是非常有限的。如果有攻击者发起了IKE报文攻击,大量的攻击报文会严重干扰正常隧道的建立,甚至使设备瘫痪。目前,对于如何防范IKE报文攻击,一直没有好的办法。
由于IKE报文是由UDP(User Data Protocol,用户数据报协议)承载的,因此IKE攻击的防范普遍是通过限流来实现,以保证设备不会瘫痪。但是,UDP报文本身没有连接,很难区分那些是正常的业务报文,那些是伪造的报文。所以,基于UDP的攻击一直是非常难防范的,比如DNS攻击就是非常难防范的。
IKE报文的流量本身就是很小的,正常流量远远不会造成设备正常处理的负担。当IKE报文的流量过大时就显现成了UDP flood(用户数据包洪流)攻击,若没有专门的加密设备工作异常的提示,很难发现是IKE攻击造成的。因此,现有技术中的防范方法是检测通向特定目的地址的UDP报文速率,当速度超过设定的上限值时,设定攻击标志并做限制流量处理。当UDP的流量逐步下降至某值时,便取消攻击标志并允许所有流量通向特定的目的地址。
现有技术中至少存在如下问题:
从以上说明可以看出,由于现有技术中是通过检测通向特定目的地址的UDP报文速率,在速度超过设定值时,进行限流处理。这种防范方法将正常业务报文攻击报文都进行了限制,无法区别正常业务报文和攻击报文。
发明内容
有鉴于此,本发明一个或多个实施例的目的在于提供一种防范网络攻击的方法和装置,以实现区别正常业务报文和攻击报文,进行有针对性的防范。
为解决上述问题,本发明实施例提供了一种防范网络攻击的方法,包括:
统计接收到的发送方所发送的IKE因特网密钥交换报文的数量;所述统计具体为:接收到第一个IKE报文后,为所述IKE报文建立单流会话表;在所述单流会话表中设置计数字段,所述计数字段用于统计接收到的所述IKE报文的数量;抛弃所述第一个IKE报文;统计所述发送方后续发送的IKE报文是否命中所述单流会话表;
如果所述发送方后续发送的IKE报文均未命中所述单流会话表,则抛弃所述发送方发送的IKE报文;
如果所述发送方后续发送的IKE报文命中所述单流会话表,则判断接收到的所述IKE报文的数量是否超过预设值,是则丢弃报文,否则允许所述IKE报文通过并将单流会话表中计数字段加1;所述预设值为按照重传机制所设定的时间间隔,在单位时间内在正常情况下接收到的IKE报文的数量。还提供了一种防范网络攻击的装置,包括:
统计单元,用于:统计接收到的发送方所发送的IKE报文的数量;所述统计单元具体为:会话表建立模块,用于:接收到第一个IKE报文后,为所述IKE报文建立单流会话表;设置模块,用于:在所述单流会话表中设置计数字段,所述计数字段用于统计接收到的所述IKE报文的数量;抛弃模块,用于:抛弃所述第一个IKE报文;
会话表命中统计单元,当所述单流会话表建立后,统计后续接收到的来自同一发送方的IKE报文是否命中所述单流会话表,如果没有命中则抛弃所述发送方发送的IKE报文;
第二通过单元,用于:根据所述单流会话表,如果后续接收到的来自同一发送方的命中所述单流会话表的IKE报文的数量未超过预设值,则允许所述IKE报文通过;所述预设值为按照重传机制所设定的时间间隔,在单位时间内在正常情况下接收到的IKE报文的数量;
抛弃单元,用于:如果后续接收到的来自同一发送方的命中所述单流会话表的IKE报文的数量超过预设值,则抛弃所述发送方发送的IKE报文。
与现有技术相比,本发明实施例具有以下优点:
首先,本发明实施例通过统计发送方所发送的IKE报文的数量,比较其与预设值的大小,就可以准确地判断出当前的发送方所发送的IKE报文是正常业务报文还是攻击报文,解决了现有技术中无法区别正常业务报文和攻击报文的技术问题。
其次,由于能够区分正常业务报文和攻击报文,使得可以进行有针对性的处理,即:抛弃攻击报文,让正常业务报文顺利通过。从而保护了加密设备免受巨量攻击报文的攻击,维持正常工作。
最后,本发明各个实施例中的方案,通过基于传统的DOS攻击防范的设计思路,利用IKE报文协商过程的特点及其特有的机制设计而来,提供了一套全方位的防范IKE报文攻击的方法。既能保护正常用户发起的IKE报文正常传输,又能有效的防止大规模的IKE报文涌向设备导致设备瘫痪。
附图说明
图1所示,是本发明的方法的实施例一的流程图;
图2所示,是本发明的方法的实施例二的流程图;
图3所示,是本发明的防范网络攻击的装置的实施例一的框图;
图4所示,是本发明的防范网络攻击的装置的优选实施例的框图;
图5所示,是本发明的防范网络攻击的装置的另一实施例的框图。
具体实施方式
下面结合附图对本发明具体实施方式做进一步的详细阐述。
现有的协议标准中,对于IKE报文的传输,设定了重传机制。也就是说:发起方发送了第一个IKE报文后,在一定期限内如果没有收到应答的IKE报文,则会重传一个同样的IKE报文,并等待应答报文。如果重传几次后(一般是6次,具体次数可以根据相关协议标准和实际需要而制定)仍未收到应答,表明无法建立起通信双方所需要的IPSec SA(中文),于是就不再进行IKE报文的发送。
但是,攻击报文则与正常的业务报文不同,攻击报文会高速度地向指定地址发送大量的攻击报文。利用IKE报文的上述重传机制可以有效的识别合法的IKE报文,并保证其得到处理。具体实现方式见下面的叙述。
参考图1所示,是本发明的方法的实施例一,包括步骤:
步骤101、统计接收到的发送方所发送的IKE报文的数量;
在实际运用中,所述统计具体为:
统计在单位时间内接收的所述IKE报文的数量。
利用在单位时间内所接收的所述IKE报文的数量,可以有效地利用IKE报文自身的重传机制,根据重传机制所设定的重传时间间隔,就可以设定好在单位时间内,如果是正常情况下应该接收到的所述IKE报文的数量。同理,也可以知道单位时间内所述IKE报文数量超过重传机制本身所需要时,就是攻击报文。
在实际运用中,考虑到正常的IKE报文会自动重传,所以还可以进行以下的统计方式:所述统计具体为:
接收到第一个IKE报文后,为所述IKE报文建立单流会话表;
在所述单流会话表中设置计数字段,所述计数字段用于统计接收到的所述IKE报文的数量;
抛弃所述第一个IKE报文。
基于IKE报文所具有的重传机制,本方案中通过将第一个IKE报文抛弃,如果是正常的IKE报文,就会在间隔合理时间后,收到第二个以及其他建立当前单流会话所需要的IKE报文,这些后续的IKE报文都会命中所述单流会话表,这就表明当前的IKE单流会话报文是正常报文。否则,攻击报文就不会出现此类情况。这是因为,一般情况下攻击报文不会命中单流会话表,此种实现是为了防范大量变化源地址的攻击,通常情况下攻击者会伪造大量源IP不重复但目的IP相同的报文来攻击设备。这样进行丢弃第一个报文后,会极大幅度提高连接的合法性。另外,识别攻击报文是使用整体限流的方案,根据报文速率实现。
在实际运用中,抛弃所述第一个IKE报文之后,还可以包括步骤:
根据所述单流会话表,如果接收到的所述IKE报文的数量未超过预设值,则允许所述IKE报文通过。
步骤102、判断所述发送方所发送的IKE报文的数量是否大于预设值,如果所述发送方所发送的IKE报文的数量超过预设值,则进入步骤103,否则,进入步骤104;所述预设值是根据网络的实际状态和应用需要而设置的用来判断接收到的IKE报文的数量是否处于正常流量所需要的数值的范围之内。
其中,在实际运用中,可以参考有关协议规定的正常IKE报文的数量,所述预设值可为:
6、8、10、或15。
其中,在实际运用中,对于单个发送方所发送的IKE报文会话,所述单位时间为1秒,则所述预设值为3、5或8。也可以根据实际情况的需要,将预设值设置为其他值,这没有超出本发明的保护范围。
步骤103、抛弃所述发送方所发送的IKE报文;
步骤104、允许所述发送方所发送的IKE报文通过,以便能够将所述IKE报文转发给加密设备进行协商。
在实际运用中,所述方法还包括:
接收到所述发送方发送的第一个IKE报文后,为所述IKE报文建立单流会话表;
抛弃所述第一个IKE报文;
统计所属发送方后续发送的IKE报文是否命中所述单流会话表;
如果所述发送方后续发送的IKE报文均未命中所述单流会话表,则抛弃所述发送方发送的IKE报文。
利用本发明的实施例一,通过统计接收到的发送方所发送的IKE报文的数量,如果所述发送方所发送的IKE报文的数量超过预设值,抛弃所述发送方所发送的IKE报文,否则,就允许所述发送方所发送的IKE报文通过,并转发给加密设备进行协商。这是利用了发送方所发送的IKE报文的以下特点:IKE报文是由UDP协议承载,其本身就是UDP报文,由于UDP具有无连接性,因此IKE限流与UDP限流采用类似的实现方法,区别之处在于协议本身流速不同而设置不同,比如说正常情况设备每秒接受的IKE报文的数量和DNS报文的数量是不同的。
由此可见,本发明的方法实施例具有以下优点:
首先,本发明实施例通过统计发送方所发送的IKE报文的数量,比较其与预设值的大小,就可以准确地判断出当前的发送方所发送的IKE报文是正常业务报文还是攻击报文,解决了现有技术中无法区别正常业务报文和攻击报文的技术问题。
其次,由于能够区分正常业务报文和攻击报文,使得可以进行有针对性的处理,即:抛弃攻击报文,让正常业务报文顺利通过。从而保护了加密设备免受巨量攻击报文的攻击,维持正常工作。
最后,本发明各个实施例中的方案,通过基于传统的DOS攻击防范的设计思路,利用IKE报文协商过程的特点及其特有的机制设计而来,提供了一套全方位的防范IKE报文攻击的方法。既能保护正常用户发起的IKE报文正常传输,又能有效的防止大规模的IKE报文涌向设备导致设备瘫痪。
参考图2所示,是本发明的方法的实施例二,本实施例详细说明了通过会话表是如何防范攻击的,包括步骤:
步骤201、接收到首个发送方所发送IKE报文,允许所述报文建立会话表;
步骤202、在为所述发送方所发送IKE报文建立的会话表中设置计数字段;
步骤203、然后,丢弃所述发送方所发送IKE报文;
步骤204、继续接收后发的发送方所发送IKE报文,如果其命中所述会话表,则执行步骤204A,否则执行步骤205;
具体地,经过一段时间后(实际运用中大概是6秒左右,也可以根据报文传输的速度,而选择其他合适的值)正常的发起协商设备会重传一个IKE报文。收到这个报文后,这个报文会命中前一个IKE报文建立的会话表,对于这个IKE报文我们可以初步确认它是正常的IKE协商请求包,允许其通过并转送给加密设备进行协商,并在会话表中的计数字段加一,进行单流IKE报文计数。
步骤204A、判断所述计数字段是否小于预定值,如果是,则执行步骤204b,否则,抛弃所述后发的IKE报文;
具体地,如果所述会话表中的计数值超过10个时,则对后续命中会话的IKE报文进行丢弃处理。在本实施例,10个IKE报文已经达到建立隧道的数目,对于超过10个以上的报文则可能是某个固定地址发起的攻击,因此我们需要对它超出的流量进行丢弃。既可以保证正常的数据不被丢弃,也可以有效的防范固定IP地址发起的攻击。当然,在实际运用中,也可以选择其他的计数值。数值10的设定是为根据现有的IPSec协议标准的规定,一个IKE报文会话的建立通常需要两个阶段共约10个IKE报文才能正常建立而设定的。
步骤204B、允许所接收的后发的IKE报文通过并转送给加密设备进行协商,并将会话表中的计数字段加一,然后执行步骤204;
步骤205、如果所述IKE报文没有命中所述会话表,则可以直接作为攻击报文予以抛弃,或者将所述IKE报文送IKE协议栈处理,IKE协议栈会将非正常IKE报文抛弃。
在实际运用中,对于以较高速率命中会话表的IKE报文,还可以采取基于源IP做限流的策略。限制同一条会话上每秒最多通过3个IKE报文,每秒内超过3个以上的报文均丢弃。因为正常协商时的速度不会达到每秒3个报文同时命中会话的速度,对于超过3个以上的情况可认为是基于源IP的攻击行为。
在实际运用中,由于正常情况下,发送方发送的IKE报文的流量非常小,加密设备本身处理IKE报文的性能也不会很高,加密设备本身更多是处理数据报文的加密和解密操作。因此我们可以根据加密设备处理IKE报文的能力而设定一个上限值,对于发送到加密设备的报文做全局的限流操作,这样可以保证加密设备不会因为处理大量的IKE报文而瘫痪。基于前面的单流攻击防范的策略考虑,这样既能保证正常用户的IKE报文得到处理,也能实现很好的平均机制,不会对某一个地址发起的IKE报文进行不停的处理,从而导致加密设备瘫痪。
参考图3所示,与前述各个方法的实施例相应,本发明还提供了一种防范网络攻击的装置的实施例一,包括:
统计单元301,用于:统计接收到的发送方所发送的IKE报文的数量;
抛弃单元302,用于:如果所述发送方所发送的IKE报文的数据超过预设值,则抛弃所述发送方所发送的IKE报文。
参考图4所示,是本发明的装置的优选实施例,在图3的基础上,还可以包括:
第一通过单元401,用于:如果所述发送方所发送的IKE报文的数据未超过所述预设值,允许所述发送方所发送的IKE报文通过。
其中,上述实施例中,所述统计单元具体为:
时间统计单元,用于:统计在单位时间内接收的所述IKE报文的数量。
其中,上述实施例中,所述统计单元具体为:
会话表建立模块402,用于:接收到第一个IKE报文后,为所述IKE报文建立单流会话表;
设置模块403,用于:在所述单流会话表中设置计数字段,所述计数字段用于统计接收到的所述IKE报文的数量;
抛弃模块404,用于:抛弃IKE报文,其中,当所述单流会话表建立后,所述抛弃模块404会抛弃所述第一个IKE报文。
其中,上述实施例中,还包括:
第二通过单元405,用于:根据所述单流会话表,如果接收到的所述IKE报文的数量未超过预设值,则允许所述IKE报文通过。
其中,上述实施例中,所述预设值具体为:
6、8、10、或15。
其中,上述实施例中,对于单个IKE报文会话,所述单位时间为1秒,则所述预设值为3、5或8。
如图5所示,图5所示为本发明所提供的防范网络攻击的装置在图3所示的装置的基础上的又一实施例,所述装置还包括:
会话表建立单元501,用于接收到第一个IKE报文后,为所述IKE报文建立单流会话表;
会话表命中统计单元502,当所述单流会话表建立后,统计后续接收到的来自同一发送方的IKE报文是否命中所述单流会话表,如果没有命中,则抛弃所述发送方发送的IKE报文。
由此可见,本发明的装置实施例具有以下优点:
首先,本发明实施例通过统计单元统计接收到的IKE报文的数量,比较其与预设值的大小,就可以准确地判断出当前的IKE报文是正常业务报文还是攻击报文,解决了现有技术中无法区别正常业务报文和攻击报文的技术问题。
其次,由于能够区分正常业务报文和攻击报文,使得可以进行有针对性的处理,即:由抛弃单元抛弃攻击报文,让正常业务报文顺利通过。从而保护了加密设备免受巨量攻击报文的攻击,维持正常工作。
最后,本发明各个实施例中的方案,通过基于传统的DOS攻击防范的设计思路,利用IKE报文协商过程的特点及其特有的机制设计而来,提供了一套全方位的防范IKE报文攻击的方法。既能保护正常用户发起的IKE报文正常传输,又能有效的防止大规模的IKE报文涌向设备导致设备瘫痪。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种防范网络攻击的方法,其特征在于,包括:
统计接收到的发送方所发送的IKE因特网密钥交换报文的数量;所述统计具体为:接收到第一个IKE报文后,为所述IKE报文建立单流会话表;在所述单流会话表中设置计数字段,所述计数字段用于统计接收到的所述IKE报文的数量;抛弃所述第一个IKE报文;统计所述发送方后续发送的IKE报文是否命中所述单流会话表;
如果所述发送方后续发送的IKE报文均未命中所述单流会话表,则抛弃所述发送方发送的IKE报文;
如果所述发送方后续发送的IKE报文命中所述单流会话表,则判断接收到的所述IKE报文的数量是否超过预设值,是则丢弃报文,否则允许所述IKE报文通过并将单流会话表中计数字段加1;所述预设值为按照重传机制所设定的时间间隔,在单位时间内在正常情况下接收到的IKE报文的数量。
2.如权利要求1所述的方法,其特征在于,所述统计具体为:
统计在单位时间内接收的所述IKE报文的数量。
3.一种防范网络攻击的装置,其特征在于,包括:
统计单元,用于:统计接收到的发送方所发送的IKE报文的数量;所述统计单元具体为:会话表建立模块,用于:接收到第一个IKE报文后,为所述IKE报文建立单流会话表;设置模块,用于:在所述单流会话表中设置计数字段,所述计数字段用于统计接收到的所述IKE报文的数量;抛弃模块,用于:抛弃所述第一个IKE报文;
会话表命中统计单元,当所述单流会话表建立后,统计后续接收到的来自同一发送方的IKE报文是否命中所述单流会话表,如果没有命中则抛弃所述发送方发送的IKE报文;
第二通过单元,用于:根据所述单流会话表,如果后续接收到的来自同一发送方的命中所述单流会话表的IKE报文的数量未超过预设值,则允许所述IKE报文通过;所述预设值为按照重传机制所设定的时间间隔,在单位时间内在正常情况下接收到的IKE报文的数量;
抛弃单元,用于:如果后续接收到的来自同一发送方的命中所述单流会话表的IKE报文的数量超过预设值,则抛弃所述发送方发送的IKE报文。
4.如权利要求3所述的装置,其特征在于,所述统计单元具体为:
时间统计单元,用于:统计在单位时间内接收的所述IKE报文的数量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102102979A CN101355419B (zh) | 2008-08-22 | 2008-08-22 | 一种网络攻击防范方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102102979A CN101355419B (zh) | 2008-08-22 | 2008-08-22 | 一种网络攻击防范方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101355419A CN101355419A (zh) | 2009-01-28 |
| CN101355419B true CN101355419B (zh) | 2011-01-05 |
Family
ID=40308032
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008102102979A Expired - Fee Related CN101355419B (zh) | 2008-08-22 | 2008-08-22 | 一种网络攻击防范方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101355419B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106357652B (zh) * | 2016-09-26 | 2019-12-06 | 杭州迪普科技股份有限公司 | 一种vxlan报文防攻击的方法和装置 |
| CN106789425B (zh) * | 2016-12-22 | 2019-08-02 | 北京东土科技股份有限公司 | 一种确定重复报文的方法及装置 |
| CN110213204B (zh) * | 2018-03-13 | 2022-09-23 | 腾讯科技(深圳)有限公司 | 攻击防护方法及装置、设备及可读存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1697397A (zh) * | 2004-05-13 | 2005-11-16 | 华为技术有限公司 | 一种实现网络设备防攻击的方法 |
| CN1859717A (zh) * | 2005-09-08 | 2006-11-08 | 华为技术有限公司 | 一种在通信设备中实现消息流控的方法 |
| CN1901486A (zh) * | 2006-01-20 | 2007-01-24 | 华为技术有限公司 | 一种无线局域网中隧道建立方法及系统 |
| CN101018233A (zh) * | 2007-03-20 | 2007-08-15 | 杭州华为三康技术有限公司 | 会话的控制方法及控制装置 |
-
2008
- 2008-08-22 CN CN2008102102979A patent/CN101355419B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1697397A (zh) * | 2004-05-13 | 2005-11-16 | 华为技术有限公司 | 一种实现网络设备防攻击的方法 |
| CN1859717A (zh) * | 2005-09-08 | 2006-11-08 | 华为技术有限公司 | 一种在通信设备中实现消息流控的方法 |
| CN1901486A (zh) * | 2006-01-20 | 2007-01-24 | 华为技术有限公司 | 一种无线局域网中隧道建立方法及系统 |
| CN101018233A (zh) * | 2007-03-20 | 2007-08-15 | 杭州华为三康技术有限公司 | 会话的控制方法及控制装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101355419A (zh) | 2009-01-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Yang et al. | A DoS-limiting network architecture | |
| Yaar et al. | SIFF: A stateless Internet flow filter to mitigate DDoS flooding attacks | |
| Eddy | TCP SYN flooding attacks and common mitigations | |
| US9633202B2 (en) | Managing a DDoS attack | |
| KR101442020B1 (ko) | 송신 제어 프로토콜 플러딩 공격 방어 방법 및 장치 | |
| US7818795B1 (en) | Per-port protection against denial-of-service and distributed denial-of-service attacks | |
| CN1893375A (zh) | 用于检测和减轻分布式拒绝服务攻击的系统和方法 | |
| JP4373306B2 (ja) | Tcpステートレス・ホグによるtcpサーバに対する分散サービス妨害攻撃を防御する方法および装置 | |
| Gavaskar et al. | Three counter defense mechanism for TCP SYN flooding attacks | |
| WO2010000171A1 (zh) | 一种通信的建立方法、系统和装置 | |
| Bellovin | Probable plaintext cryptanalysis of the IP security protocols | |
| Hussain et al. | Impact of DDoS attack (UDP Flooding) on queuing models | |
| CN101355419B (zh) | 一种网络攻击防范方法和装置 | |
| Liu et al. | Performance study of 802.11 w for preventing DoS attacks on wireless local area networks | |
| KR101209214B1 (ko) | 세션 상태 추적을 통한 서비스 거부 공격 방어 장치 및 방법 | |
| CN107454065B (zh) | 一种UDP Flood攻击的防护方法及装置 | |
| CN101136917B (zh) | 一种传输控制协议拦截模块及其软切换方法 | |
| CA2548344A1 (en) | Preventing network reset denial of service attacks | |
| Kumarasamy et al. | An active defense mechanism for TCP SYN flooding attacks | |
| RU2422892C1 (ru) | Способ защиты вычислительной сети | |
| Eddy | RFC 4987: TCP SYN flooding attacks and common mitigations | |
| Fowler et al. | Impact of denial of service solutions on network quality of service | |
| CN107770120A (zh) | 一种分布式监测的洪水攻击检测方法 | |
| Kim et al. | Annulling SYN flooding attacks with whitelist | |
| Razmov | Denial of service attacks and how to defend against them |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220905 Address after: No. 1899 Xiyuan Avenue, high tech Zone (West District), Chengdu, Sichuan 610041 Patentee after: Chengdu Huawei Technologies Co.,Ltd. Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110105 |