CN101478537B - 一种单向环境中的网络安全防护方法和装置 - Google Patents
一种单向环境中的网络安全防护方法和装置 Download PDFInfo
- Publication number
- CN101478537B CN101478537B CN2008102421828A CN200810242182A CN101478537B CN 101478537 B CN101478537 B CN 101478537B CN 2008102421828 A CN2008102421828 A CN 2008102421828A CN 200810242182 A CN200810242182 A CN 200810242182A CN 101478537 B CN101478537 B CN 101478537B
- Authority
- CN
- China
- Prior art keywords
- syn
- section point
- ack
- data bag
- reply data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种单向环境中的网络安全防护方法,包括接收第二节点发送给第一节点的SYN_ACK应答数据包;根据预置的记录表对所述第二节点的IP地址和端口号进行验证,如果通过验证,则将所述SYN_ACK应答数据包转发给第一节点;如果没通过验证,根据所述SYN_ACK应答数据包中的ACK值判断所述第二节点的IP地址和端口号是否合法,如果合法则将所述第二节点的IP地址和端口号存储于所述记录表中,否则,向所述第二节点发送构造的包含特征值的SYN请求数据包对所述第二节点进行验证。所述方法有效的阻止了在单向环境中外部网络设备对内部网络设备的SYN_ACK攻击,提高了单向环境中的网络安全防御能力。
Description
技术领域
本发明涉及通信领域,尤其涉及一种单向环境中的网络安全防护方法和装置。
背景技术
单向环境是指在网络中,客户端和服务器端的通信,请求和回复是在不同的线路上,即客户端发送给服务器端的数据在链路A,服务器端发送给客户端的数据在链路B,链路A和链路B不为同一条链路。
通常情况下,一个正常的TCP连接中,当客户端通过发送在TCP报头中SYN标志置位的数据包向服务器端请求建立连接时,服务端会按照IP报头中的源地址返回SYN_ACK置位的数据包给客户端作为回应,客户端再返回ACK到服务器端来完成一个完整的连接。正常的SYN_ACK数据包属于TCP三次握手阶段中的第二步,即被保护服务器主动发出SYN数据包后客户端会返回SYN_ACK数据包作为回应,而当发生SYN_ACK攻击时,被保护服务器会在短时间内收到大量的SYN_ACK数据包,导致服务器负载增大。
发明人在实现本发明的过程中,发现出于负载和稳定性考虑,实际应用中,往往采用单向环境部署网络,然而在单向环境中,DDOS(Distributed Denial ofService,分布式拒绝服务)设备只能得到一个方向的数据流量,因此,在单向环境中采用这种代理技术来抵御攻击的效果比较差。并且虽然内部网络主动连接外部网络的情况不多,但如果采用限速或者完全禁止SYN_ACK数据包来使SYN_ACK攻击达不到流量要求而失效的方法在一定程度上仍然影响了客户的正常业务。
发明内容
本发明实施例提供了一种在单向环境中有效阻击SYN_ACK攻击的网络安全防护方法和装置。
本发明实施例提供一种单向环境中的网络安全防护方法,包括:接收第二节点发送给第一节点的SYN_ACK应答数据包;根据预置的记录表判断所述第二节点的IP地址和端口号是否通过验证,如果通过验证,则将所述SYN_ACK应答数据包转发给第一节点;如果没通过验证,根据所述SYN_ACK应答数据包中的ACK值判断所述第二节点的IP地址和端口号是否合法,如果合法则将所述第二节点的IP地址和端口号存储于所述记录表中,否则,向所述第二节点发送构造的包含特征值的SYN请求数据包对所述第二节点进行验证。
本发明实施例还提供了一种单向环境中的网络安全防护装置,包括接收单元、匹配发送单元和验证单元,所述接收单元用于接收第二节点发送给第一节点的SYN_ACK应答数据包;所述匹配发送单元用于根据预置的记录表判断所述接收单元接收的SYN_ACK应答数据包中的第二节点的IP地址和端口号是否通过验证,如果通过验证,则将所述SYN_ACK应答数据包转发给第一节点;所述验证单元用于根据所述SYN_ACK应答数据包中的ACK值判断所述第二节点的IP地址和端口号是否合法,如果合法则将所述第二节点的IP地址和端口号存储于所述记录表中,否则,向所述第二节点发送构造的包含特征值的SYN请求数据包对所述第二节点进行验证。
本发明实施例还提供了一种网络安全防护设备,所述网络安全防护设备包括单向环境中的网络安全防护装置,所述单向环境中的网络安全防护装置包括接收单元、匹配发送单元和验证单元,所述接收单元用于接收第二节点发送给第一节点的SYN_ACK应答数据包;所述匹配发送单元用于根据预置的记录表判断所述接收单元接收的SYN_ACK应答数据包中的第二节点的IP地址和端口号是否通过验证,如果通过验证,则将所述SYN_ACK应答数据包转发给第一节点;所述验证单元用于根据所述SYN_ACK应答数据包中的ACK值判断所述第二节点的IP地址和端口号是否合法,如果合法则将所述第二节点的IP地址和端口号存储于所述记录表中,否则,向所述第二节点发送构造的包含特征值的SYN请求数据包对所述第二节点进行验证。
从上述技术方案可以看出,通过本发明实施例所述单向环境中网络安全防护方法能够在不影响用户正常通过内部网络设备连接外部网络设备情况下,当接收到未通过验证的外部网络设备发送给内部网络设备的SYN_ACK应答数据包后,通过向外部网络设备发送构造的包含特征值的SYN请求数据包,并将未经过验证的外部网络设备第一次发送的SYN_ACK应答数据包丢弃,根据外部网络设备再次响应的SYN_ACK应答数据包对该外部网络设备进行验证,将合法响应所述构造的SYN请求数据包的外部网络设备的IP地址和端口号存储于记录表中,所述记录表用于对外部网络设备后续发送SYN_ACK数据包的外部网络设备安全过虑,从而有效的阻止了外部网络设备对内部网络设备的SYN_ACK攻击,提高了单向环境中的网络安全防御能力。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的单向环境中的网络安全防护方法的方法示意图;
图2为本发明实施例二提供的单向环境中的网络安全防护方法的流程图;
图3为本发明实施例三提供的使用所述单向环境中的网络安全防护方法的网络系统信令时序示意图;
图4为本发明实施例四提供的单向环境中的网络安全防护装置的结构示意图;
图5为本发明实施例五提供的单向环境中的网络安全防护装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例一提供的单向环境中的网络安全防护方法的示意图,如图1所示,所述单向环境中网络安全防护方法包括:
步骤101:接收第二节点发送给第一节点的SYN_ACK应答数据包,所述SYN_ACK应答数据包中携带有第二节点的IP地址和端口号;
步骤102:根据预置的记录表对所述第二节点的IP地址和端口号进行验证,如果通过验证,则将所述SYN_ACK应答数据包转发给第一节点,否则进入步骤103;
所述预置的记录表存储有通过验证为合法的第二节点的IP地址和端口号,当接收到第二节点发送的SYN_ACK应答数据包时,根据所述数据包中携带的第二节点的IP地址和端口号在所述记录表中进行查找,如果能够查找到所述IP地址和端口号,则认为所述第二节点经过了验证,是安全的,将所述第二节点发送的SYN_ACK应答数据包转发给第一节点,否则认为第二节点未通过验证进入步骤103。
步骤103:根据所述SYN_ACK应答数据包中的ACK值判断所述第二节点的IP地址和端口号是否合法,如果合法则将所述第二节点的IP地址和端口号存储于所述记录表中,否则,向所述第二节点发送构造的包含特征值的SYN请求数据包对所述第二节点进行验证。
当判断所述SYN_ACK应答数据包的合法性时,如果所述SYN_ACK应答数据包中的ACK值等于根据所述SYN_ACK应答数据包中的源IP、目的IP、源端口号以及目的端口号获得的特征值加1,则认为所述SYN_ACK应答数据包合法,否则认为该数据包为可疑数据包。所述构造的SYN请求数据包中的特征值用于验证所述第二节点的合法性,所述特征值根据所述SYN_ACK数据包中携带的所述外部网络的源IP、目的IP、源端口号以及目的端口号获得。
从上述技术方案可知,在本发明实施例所示的方法中,当接收到第二节点发送的SYN_ACK应答数据包后,通过向发送可疑SYN_ACK应答数据包的第二节点发送构造的SYN请求数据包进行验证,所述构造的SYN请求数据包中包含有用于验证所述第二节点合法性的特征值,将合法的第二节点的IP地址和端口号存储于预置的记录表中,从而将通过验证的第二节点后续发送的SYN_ACK应答数据包发送给第一节点,有效的阻止了可疑的第二节点对第一节点的SYN_ACK攻击。
图2为本发明实施例二提供的单向环境中的网络安全防护方法的流程图,图2描述了本发明实施例二所示的方法在所述单向环境中接收到一个外部网络设备发送给内部网络设备的SYN_ACK数据包时,根据所述数据包的不同情形对所述数据包进行相应处理的具体过程,如图2所示,包括:
步骤201:接收外部网络设备发送的SYN_ACK应答数据包;
步骤202:判断发送所述SYN_ACK应答数据包的外部网络设备是否通过验证;
所述判断是根据发送所述SYN_ACK数据包中的外部网络设备的IP地址和端口号在所述防护设备内部预置的记录表中进行查找而获得的,所述预置的记录表中记录有通过验证为合法的外部网络设备的IP地址和端口号,当接收到外部网络设备发送的SYN_ACK应答数据包时,根据所述数据包中携带的外部网络设备的IP地址和端口号在所述记录表中进行查找,如果能够查找到与所述外部网络设备匹配的IP地址和端口号,则认为所述外部网络设备通过了验证,是安全的,从而进入步骤203,否则进入步骤204;
步骤203:将所述SYN_ACK数据包发送给内部网络设备;
步骤204:判断所述SYN_ACK数据包中的ACK值是否合法,合法则进入步骤206,否则进入步骤205;
所述ACK值的合法性是根据所述SYN_ACK数据包中的IP地址和端口号来判断的,如果所述SYN_ACK应答数据包中的ACK值等于根据所述SYN_ACK应答数据包中的源IP、目的IP、源端口号以及目的端口号获得的特征值加1,则认为所述SYN_ACK应答数据包合法,即认为发送所述SYN_ACK应答数据包的外部网络设备可信,可以与其建立连接,则进入步骤206,否则进入步骤205对发送所述SYN_ACK应答数据包的外部网络设备进行验证。
步骤205:向外部网络设备返回构造的SYN数据包,并丢弃所述SYN_ACK数据包;
所述构造的SYN数据包中携带有用以验证所述外部网络设备是否合法的特征值即SYN数据包中的Sequence值,所述Sequence值根据所述SYN_ACK数据包中携带的所述外部网络的源IP、目的IP、源端口号以及目的端口号获得。
步骤206:将发送所述SYN_ACK数据包的外部网络设备的IP地址和端口号存储在预置的记录表中,并向所述外部网络设备回送RST数据包。
所述RST数据包用于拒绝所述外部网络响应的所述构造的SYN连接请求包的SYN_ACK数据包。
需要说明的是,在步骤204中,当收到外部网络设备第一次发送的SYN_ACK数据包时,由于并不知道所述外部网络设备是否安全,因此无法得知其ACK值是否合法,均将所述SYN_ACK数据包作为可疑数据包进入步骤205,先向外部网络设备发送构造的带特征值的SYN请求包,所述构造的SYN请求包用于验证发送所述SYN_ACK数据包的外部网络设备的合法性(即安全性),所述特征值根据所述SYN_ACK数据包中的源IP、目的IP、源端口号以及目的端口号获得,然后根据外部网络设备再次响应的SYN_ACK数据包中的ACK值是否为前述构造的SYN请求包中的Sequence值加1,如果ACK值等于前述构造的SYN请求包中的Sequence值加1,则认为发送所述SYN_ACK应答数据包的外部网络设备合法,并进入步骤206,,否则进入步骤205。
本发明实施例所述方法中还可以包括为所述SYN_ACK应答数据包设置一定的老化时间,对超过老化时间的SYN_ACK应答数据包需要再次进行验证,这样能够更加有效的防止SYN_ACK攻击。
由本发明实施例二所述方案可知,当接收到外部网络设备发送给内部网络设备的SYN_ACK应答数据包时,由于不知道是否为可信的外部网络设备发送的SYN_ACK应答数据包,从而对所述SYN_ACK应答数据包分情况进行处理,并向可疑的外部网络设备发送构造的包含特征值的SYN请求数据包,用于验证所述外部网络设备的安全性,并将验证通过的外部网络设备的IP地址和端口号存储于预置的记录表中,从而能够将所述可信的外部网络设备后续发送的SYN_ACK应答数据包发送给内部网络设备,有效的防止了外部网络设备对内部网络设备可能造成的SYN_ACK攻击。
为更清楚的阐述本发明实施例的技术方案,图3提供了使用本发明实施例三所述单向环境中的网络安全防护方法的网络系统信令时序示意图,图3中详细描述了使用所述单向环境中网络安全防护方法在单向环境中内部网络设备与外部网络设备建立TCP连接的过程中,通过对外部网络设备发送给内部网络设备的可疑数据包进行验证,并将合法的数据包转发给内部网络设备,从而使内部网络设备和外部网络设备建立TCP连接的全过程,如图3所示,所述过程包括:
步骤301:内部网络设备向外部网络设备发送SYN请求数据包1;
步骤302:防护设备接收外部网络设备响应前述内部网络设备SYN请求数据包1的SYN_ACK应答数据包1;
步骤303:防护设备向外部网络设备发送构造的SYN请求数据包2,并将接收的SYN_ACK应答数据包1丢弃;
所述构造的SYN请求数据包2中包含用于验证所述外部网络设备是否合法的特征值即Sequence值,所述Sequence值根据所述SYN_ACK应答数据包1中携带的所述外部网络设备的源IP、目的IP、源端口号以及目的端口号获得;
步骤304:外部网络设备响应防护设备发送的构造的SYN请求数据包2,向防护设备发送SYN_ACK应答数据包2;
步骤305:防护设备对所述接收的SYN_ACK应答数据包2进行验证;
如果所述SYN_ACK应答数据包2中的ACK值等于步骤203中所述构造的SYN请求数据包2中的Sequence值加1,则认为发送所述SYN_ACK应答数据包2的外部网络设备合法,将该外部网络设备的IP地址和端口号存储于预设的存储表中,并向外部网络设备回送RST数据包,所述RST数据包用于拒绝外部网络设备响应的SYN_ACK应答数据包2。
步骤306:内部网络设备在发出第一个SYN请求数据包1而没有收到回应后,在3秒后自动重新向外部网络设备发送SYN请求数据包1;
步骤307:防护设备再次接收外部网络设备响应内部网络设备发送的SYN请求数据包1的SYN_ACK应答数据包1;
步骤308:根据所述步骤307中接收的SYN_ACK应答数据包1中携带的外部网络设备的IP和端口号在预置的记录表中经过验证合法后,将所述SYN_ACK应答数据包1转发给内部网络设备;
步骤309:内部网络设备响应步骤308中由防护设备转发的合法的SYN_ACK应答数据包1,向该外部网络设备发送ACK数据包1,建立TCP连接。
根据上述技术方案可知,步骤303至步骤305为所述防护设备在接收到一个未知的外部网络设备发送的SYN_ACK应答数据包时对所述数据包的验证过程,通过向该未知的外部网络设备发送一个构造的内含可用于验证所述外部网络设备合法性的特征值的SYN请求数据包,根据该外部网络设备对该构造的SYN请求数据包响应SYN_ACK数据包中的ACK值判断所述外部网络设备是否合法,从而将合法的外部网络设备的IP地址和端口号存储于预置的记录表中,用于对该外部网络设备后续发送的SYN_ACK数据包进行验证,并将该外部网络设备后续发送的SYN_ACK数据包转发给内部网络设备,从而使内部网络设备和外部网络设备之间建立起安全的TCP连接,有效的防止非法的外部网络设备对内部网络设备的SYN_ACK攻击。
图4为本发明实施四提供的单向环境中的网络安全防护装置的结构示意图,如图所示,所述单向环境中的网络安全防护装置包括:
接收单元401:用于接收第二节点发送给第一节点的SYN_ACK应答数据包,所述SYN_ACK应答数据包中携带有第二节点的IP地址和端口号;
匹配发送单元402:用于根据预置的记录表判断所述接收单元401接收的SYN_ACK应答数据包中的第二节点的IP地址和端口号是否通过验证,如果通过验证,则将所述SYN_ACK应答数据包转发给第一节点,否则触发验证单元403;
所述预置的记录表存储有通过验证为合法的第二节点的IP地址和端口号,当接收到第二节点发送的SYN_ACK应答数据包时,根据所述数据包中携带的第二节点的IP地址和端口号在所述记录表中进行查找,如果能够查找到所述IP地址和端口号,则认为所述第二节点经过了验证,是安全的,将所述第二节点发送的SYN_ACK应答数据包转发给第一节点,否则认为第二节点未通过验证从而触发验证单元403。
验证单元403:用于根据所述SYN_ACK应答数据包中的ACK值判断所述第二节点的IP地址和端口号是否合法,如果合法则将所述第二节点的IP地址和端口号存储于所述记录表中,否则,向所述第二节点发送构造的包含特征值的SYN请求数据包对所述第二节点进行验证。
当判断所述SYN_ACK应答数据包的合法性时,如果所述SYN_ACK应答数据包中的ACK值等于根据所述SYN_ACK应答数据包中的源IP、目的IP、源端口号以及目的端口号获得的特征值加1,则认为所述SYN_ACK应答数据包合法,否则认为该数据包为可疑数据包。所述构造的SYN请求数据包中的特征值用于验证所述第二节点的合法性,所述特征值根据所述SYN_ACK数据包中携带的所述外部网络的源IP、目的IP、源端口号以及目的端口号获得。
本发明实施四提供的单向环境中网络安全防护装置在接收到第二节点发送给第一节点的SYN_ACK应答数据包时,通过所述SYN_ACK应答数据包中携带的第二节点的IP地址和端口号在匹配发送单元402进行匹配验证,如果通过验证则将所述数据包发送给第一结点,否则通过验证单元403向第二节点发送构造的SYN请求数据包对所述第二节点进行验证,有效的防止了第二节点可能对第一节点造成的SYN_ACK攻击。
图5为本发明实施五提供的单向环境中的网络安全防护装置的结构示意图,如图所示,所述单向环境中的网络安全防护装置包括:
接收单元501:用于接收外部网络设备发送的SYN_ACK应答数据包,并触发匹配发送单元502中的第一判断子单元5021;
所述匹配发送单元502中还包括发送子单元5022。
第一判断子单元5021:用于判断发送所述接收单元501所接收的SYN_ACK应答数据包的外部网络设备是否通过验证,如果所述外部网络设备通过验证则触发发送子单元5022,否则触发验证单元503中的第二判断子单元5031;
所述判断是根据发送所述SYN_ACK数据包中的外部网络设备的IP地址和端口号在所述防护设备内部预置的记录表中进行查找而获得的,所述预置的记录表中记录有通过验证为合法的外部网络设备的IP地址和端口号,当接收到外部网络设备发送的SYN_ACK应答数据包时,根据所述数据包中携带的外部网络设备的IP地址和端口号在所述记录表中进行查找,如果能够查找到与所述外部网络设备匹配的IP地址和端口号,则认为所述外部网络设备通过了验证,是安全的,从而触发发送子单元5022,否则触发验证单元503中的第二判断子单元5031,所述验证单元503中还包括验证子单元5032和存储子单元5033。
发送子单元5022:用于将第一判断子单元5021判断为通过验证的外部网络设备发送的所述SYN_ACK数据包发送给内部网络设备;
第二判断子单元5031:用于判断所述SYN_ACK数据包中的ACK值是否合法,如果ACK值合法则触发存储子单元5033,否则触发验证子单元5032;
所述ACK值的合法性是根据所述SYN_ACK数据包中携带的IP地址和端口号来判断的,如果所述SYN_ACK应答数据包中的ACK值等于根据所述SYN_ACK应答数据包中的源IP、目的IP、源端口号以及目的端口号获得的特征值加1,则认为所述SYN_ACK应答数据包合法,即认为发送所述SYN_ACK应答数据包的外部网络设备可信,可以与其建立连接,并触发存储子单元5033,否则触发验证子单元5032对发送所述SYN_ACK应答数据包的外部网络设备进行验证。
验证子单元5032:用于向外部网络设备发送构造的SYN数据包,并丢弃所述SYN_ACK数据包;
所述构造的SYN数据包中携带有用以验证所述外部网络设备是否合法的特征值,所述特征值为所述SYN数据包中的Sequence值,所述Sequence值根据所述SYN_ACK数据包中携带的源IP、目的IP、源端口号以及目的端口号获得。
存储子单元5033:用于将经过第二判断子单元5031判断为合法的外部网络设备的IP地址和端口号存储于所述预置的记录表中,并向所述外部网络设备回送RST数据包。
所述RST数据包用于拒绝外部网络设备响应的SYN_ACK应答数据包。
本发明实施例五所述单向环境中的网络安全防护装置通过向可疑外部网络设备发送携带验证特征值的SYN数据包来验证该外部网络设备的安全性,有效阻止了外部网络设备对内部网络设备的SYN_ACK攻击,提高了单向环境中网络安全防护设备对SYN_ACK攻击的防御能力。
本发明实施例所述单向环境中的网络安全防护装置可以应用于包括防火墙、DDOS类网关设备及其他根据应用情况需要进行安全防护的网络安全防护设备中。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,均可以通过计算机程序来指令相关的硬件来完成,所述程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述仅为本发明的几个实施例,可以理解的是,对本领域普通技术人员来说,可以根据本发明实施例的技术方案及其发明构思加以等同替换或改变,而所有这些改变或替换都应属于本发明所附的权利要求的保护范围。
Claims (11)
1.一种单向环境中的网络安全防护方法,其特征在于,包括:
接收第二节点发送给第一节点的SYN_ACK应答数据包;
根据预置的记录表对所述第二节点的IP地址和端口号进行验证,如果通过验证,则将所述SYN_ACK应答数据包转发给第一节点;
如果没通过验证,根据所述SYN_ACK应答数据包中的ACK值判断所述第二节点的IP地址和端口号是否合法,如果合法则将所述第二节点的IP地址和端口号存储于所述记录表中,否则,向所述第二节点发送构造的包含特征值的SYN请求数据包对所述第二节点进行验证。
2.根据权利要求1所述网络安全防护方法,其特征在于:所述构造的SYN请求数据包中的特征值根据所述SYN_ACK应答数据包中的源IP、目的IP、源端口号和目的端口号获得。
3.根据权利要求1所述网络安全防护方法,其特征在于:判断所述第二节点的IP地址和端口号是否合法的方法包括所述ACK值等于根据所述SYN_ACK应答数据包中的IP地址和端口号获得的特征值加1。
4.根据权利要求1所述网络安全防护方法,其特征在于:所述记录表中包括通过验证的第二节点的IP地址和端口号。
5.根据权利要求1所述网络安全防护方法,其特征在于,还包括:向所述第二节点发送构造的包含特征值的SYN请求数据包后丢弃所述SYN_ACK应答数据包。
6.根据权利要求1所述网络安全防护方法,其特征在于,还包括:将所述合法的第二节点的IP地址和端口号存储于所述记录表中后向所述第二节点发送RST数据包,所述RST数据包用于拒绝所述第二节点的SYN_ACK应答数据包。
7.一种单向环境中的网络安全防护装置,其特征在于,包括:
接收单元,用于接收第二节点发送给第一节点的SYN_ACK应答数据包;
匹配发送单元,用于根据预置的记录表判断所述接收单元接收的SYN_ACK应答数据包中的第二节点的IP地址和端口号是否通过验证,如果通过验证,则将所述SYN_ACK应答数据包转发给第一节点;
验证单元,用于根据所述SYN_ACK应答数据包中的ACK值判断所述第二节点的IP地址和端口号是否合法,如果合法则将所述第二节点的IP地址和端口号存储于所述记录表中,否则,向所述第二节点发送构造的包含特征值的SYN请求数据包对所述第二节点进行验证。
8.根据权利要求7所述网络安全防护装置,其特征在于,所述匹配发送单元包括:
第一判断子单元,用于判断发送所述SYN_ACK应答数据包的第二节点是否通过验证,通过验证则触发发送子单元,否则触发验证单元;
发送子单元,用于将所述SYN_ACK数据包发送给第一节点。
9.根据权利要求7所述网络安全防护装置,其特征在于,所述验证单元包括:
第二判断子单元,用于根据所述SYN_ACK应答数据包中的ACK值判断所述第二节点的IP地址和端口号是否合法,如果合法则触发存储子单元,否则触发验证子单元;
验证子单元,用于向所述第二节点发送构造的包含特征值的SYN请求数据包对所述第二节点进行验证;
存储子单元,用于将所述合法的第二节点的IP地址和端口号存储于所述记录表中。
10.根据权利要求7所述网络安全防护装置,其特征在于:所述验证单元构造的特征值根据所述SYN_ACK应答数据包中的源IP、目的IP、源端口号和目的端口号获得。
11.一种网络安全防护设备,其特征在于,包括单向环境中的网络安全防护装置,所述单向环境中的网络安全防护装置包括:
接收单元,用于接收第二节点发送给第一节点的SYN_ACK应答数据包;
匹配发送单元,用于根据预置的记录表判断所述接收单元接收的SYN_ACK应答数据包中的第二节点的IP地址和端口号是否通过验证,如果通过验证,则将所述SYN_ACK应答数据包转发给第一节点;
验证单元,用于根据所述SYN_ACK应答数据包中的ACK值判断所述第二节点的IP地址和端口号是否合法,如果合法则将所述第二节点的IP地址和端口号存储于所述记录表中,否则,向所述第二节点发送构造的包含特征值的SYN请求数据包对所述第二节点进行验证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102421828A CN101478537B (zh) | 2008-12-31 | 2008-12-31 | 一种单向环境中的网络安全防护方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102421828A CN101478537B (zh) | 2008-12-31 | 2008-12-31 | 一种单向环境中的网络安全防护方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101478537A CN101478537A (zh) | 2009-07-08 |
| CN101478537B true CN101478537B (zh) | 2012-01-04 |
Family
ID=40839169
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008102421828A Active CN101478537B (zh) | 2008-12-31 | 2008-12-31 | 一种单向环境中的网络安全防护方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101478537B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112511522A (zh) * | 2020-11-24 | 2021-03-16 | 和中通信科技有限公司 | 探测扫描中减少内存占用的方法、装置和设备 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102291441B (zh) * | 2011-08-02 | 2015-01-28 | 杭州迪普科技有限公司 | 一种防范SYN Flood攻击的方法及安全代理装置 |
| CN102404740B (zh) * | 2011-11-28 | 2015-07-08 | 中国电力科学研究院 | 针对无线传感器网络确认帧攻击的检测和防护方法 |
| CN104683293A (zh) * | 2013-11-27 | 2015-06-03 | 杭州迪普科技有限公司 | 一种基于逻辑器件的syn攻击防护方法 |
| CN105516080B (zh) * | 2015-11-24 | 2019-03-15 | 网宿科技股份有限公司 | Tcp连接的处理方法、装置及系统 |
| CN105610852A (zh) * | 2016-01-15 | 2016-05-25 | 腾讯科技(深圳)有限公司 | 处理ack洪泛攻击的方法和装置 |
| CN108512833B (zh) * | 2018-03-09 | 2021-06-29 | 新华三技术有限公司 | 一种防范攻击方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1630248A (zh) * | 2003-12-19 | 2005-06-22 | 北京航空航天大学 | 基于连接请求验证的SYN flooding攻击防御方法 |
| CN1735045A (zh) * | 2004-08-12 | 2006-02-15 | 海信集团有限公司 | 网络防syn洪流攻击检测方法 |
-
2008
- 2008-12-31 CN CN2008102421828A patent/CN101478537B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1630248A (zh) * | 2003-12-19 | 2005-06-22 | 北京航空航天大学 | 基于连接请求验证的SYN flooding攻击防御方法 |
| CN1735045A (zh) * | 2004-08-12 | 2006-02-15 | 海信集团有限公司 | 网络防syn洪流攻击检测方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112511522A (zh) * | 2020-11-24 | 2021-03-16 | 和中通信科技有限公司 | 探测扫描中减少内存占用的方法、装置和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101478537A (zh) | 2009-07-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101478537B (zh) | 一种单向环境中的网络安全防护方法和装置 | |
| KR101369727B1 (ko) | 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법 | |
| KR101442020B1 (ko) | 송신 제어 프로토콜 플러딩 공격 방어 방법 및 장치 | |
| CN101378395B (zh) | 一种防止拒绝访问攻击的方法及装置 | |
| TWI677222B (zh) | 應用於伺服器負載均衡中的連接建立方法及裝置 | |
| CN101729513B (zh) | 网络认证方法和装置 | |
| JP4174392B2 (ja) | ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置 | |
| US8181237B2 (en) | Method for improving security of computer networks | |
| CN100420197C (zh) | 一种实现网络设备防攻击的方法 | |
| US7404210B2 (en) | Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs | |
| CN101771695A (zh) | Tcp连接的处理方法、系统及syn代理设备 | |
| Daniels et al. | Identification of host audit data to detect attacks on low-level IP vulnerabilities | |
| CN102404334A (zh) | 拒绝服务攻击防护方法及装置 | |
| Dakhane et al. | Active warden for TCP sequence number base covert channel | |
| CN105100048A (zh) | WiFi网络安全鉴定方法、服务器、客户端装置和系统 | |
| Singh et al. | Analysis of Botnet behavior using Queuing theory | |
| CN112751801B (zh) | 一种基于ip白名单的拒绝服务攻击过滤方法、装置及设备 | |
| US7698452B2 (en) | Access-controlling method, repeater, and server | |
| CN114024752B (zh) | 一种基于全网联动的网络安全防御方法、设备及系统 | |
| KR102027438B1 (ko) | Ddos 공격 차단 장치 및 방법 | |
| Brodzki et al. | Yet another network steganography technique basedon TCP retransmissions | |
| CN115499216B (zh) | 防御攻击方法及装置、存储介质及电子设备 | |
| Han et al. | Byzantine-tolerant, information propagation in untrustworthy and unreliable networks | |
| CN108777680A (zh) | 一种在物联网中基于多点防御的ssdp反射攻击的防御方法与防御装置 | |
| Odhaviya et al. | Feasibility of idle port scanning using RST rate-limit |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220922 Address after: No. 1899 Xiyuan Avenue, high tech Zone (West District), Chengdu, Sichuan 610041 Patentee after: Chengdu Huawei Technologies Co.,Ltd. Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. |