CN101795277A - 一种单向流检测模式下的流量检测方法和设备 - Google Patents
一种单向流检测模式下的流量检测方法和设备 Download PDFInfo
- Publication number
- CN101795277A CN101795277A CN201010107732A CN201010107732A CN101795277A CN 101795277 A CN101795277 A CN 101795277A CN 201010107732 A CN201010107732 A CN 201010107732A CN 201010107732 A CN201010107732 A CN 201010107732A CN 101795277 A CN101795277 A CN 101795277A
- Authority
- CN
- China
- Prior art keywords
- equipment
- detected
- message
- opposite equip
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种单向流检测模式下的流量检测方法和设备,可以在单向流环境下能够根据单向流中的报文序列号和确认号对双向流进行检测,从而为单向流环境有效识别攻击发生提供分析依据,这样的技术方案实现方式简单,成本低,并且不用改变网络拓扑,较好的提高单向流环境防范DDoS攻击的效果。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种单向流检测模式下的流量检测方法和设备。
背景技术
分布式拒绝服务攻击(Distribution Denial of Service,DDoS)一般具备攻击流量大、攻击源多、难以过滤、攻击源IP真假难辨、攻击者间接攻击身份隐蔽等特点。
目前常见的攻击检测模式有单向流检测和双向流检测两种。
单向流检测只对目的IP地址为被保护IP的流量进行检测,由被保护IP发出的流量不做检测。但由于该模式只能看到一个方向的流,因此有些情况比较难判断是否有攻击发生。
双向流检测对发往被保护IP的流量和被保护IP发出的流量同时做检测。由于该模式能看到两个方向的流,因此检测效果要好于单向流检测模式。
由于单向流环境下看不到双向流信息,所以通常只能采用单向流检测模式进行攻击检测。而如果在单向流环境下要看到另一方向的流信息,则需要改变网络拓扑,使得另一方向的流量也经过检测设备。
如图1所示的应用场景中,进入被保护服务器的流量经过检测设备,而保护服务器流出的流量走交换机2,不经过检测设备。
在此情况下,如果要实现双向流检测则需要改变网络拓扑,增加图中所示的交换机2和检测设备之间的链路。
由于单向流环境只能看到一个方向上的流信息,所以,目前通常采用以上单向流检测模式,只对目的IP地址为被保护IP的流量进行检测,而对由被保护IP发出的流量,则不做检测。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:
单向流检测模式由于只能看到一个方向的流信息,因此,有些情况比较难判断是否有攻击发生。
对于常见的传输控制协议同步洪泛(Transmission Control Protocolsynchronize Flood,TCP SYN Flood)攻击,可以利用TCP协议交互特征采用SYN Cookie等机制对虚假源IP进行有效识别。但在攻击源IP合法的情况下,这种检测机制则很难起效。
攻击者可以通过合法源IP向被保护的超文本传输协议(HyperText TransferProtocol,HTTP)服务器发起连接请求,并以较低的速率以递归的方式获取HTTP服务器上的所有图片或页面资源,具体的,可以通过编写页面脚本较容易实现,这样可能会导致服务器处理性能下降,无法正常处理合法用户的连接请求,造成DDoS攻击。
以上这种攻击方式在单向流环境下很难进行有效识别,此时如果只是简单的通过限流限速等方式进行门限丢包,则一方面很容易对正常应用造成影响,另一方面可能也达不到预期的防范效果。而如果能够同时对保护服务器流出的流量进行分析,则可以有效的识别出攻击是否发生。
发明内容
本发明提供一种单向流检测模式下的流量检测方法和设备,在单向流环境下实现对双向流进行检测,从而提高单向流环境防范DDoS攻击的效果。
为达到上述目的,本发明一方面提供了一种单向流检测模式下的流量检测方法,应用于包括检测设备、待检测设备和至少一个对端设备的系统中,所述待检测设备与所述对端设备之间进行报文交互,所述检测设备检测所述对端设备向所述待检测设备发送的流量信息,所述方法具体包括以下步骤:
所述检测设备获取所述待检测设备所接收到的各条报文的序列号信息和确认号信息;
所述检测设备根据所述待检测设备所接收到的各条报文的序列号信息和确认号信息,确定所述待检测设备向所述对端设备发送的流量信息;
所述检测设备根据确定的所述待检测设备向所述对端设备发送的流量信息,对所述待检测设备进行流量检测。
优选的,所述检测设备根据所述待检测设备所接收到的各条报文的序列号信息和确认号信息,确定所述待检测设备向所述对端设备发送的流量信息,具体为:
所述检测设备根据所述各条报文的序列号信息和所检测到的所述各条报文的大小,确定所述各条报文的相邻关系;
所述检测设备根据各条相邻报文的确认号信息,确定所述待检测设备在各条相邻报文之间向所述对端设备发送的流量信息。
优选的,所述检测设备根据所述各条报文的序列号信息和所检测到的所述各条报文的大小,确定所述各条报文的相邻关系,具体为:
所述检测设备按照报文的接收顺序,计算连续接收的两条报文的序列号信息之差;
当所述检测设备判断两条报文的序列号之差等于所检测到的所述两条报文中先被接收到的一条报文的大小时,所述检测设备确定所述两条报文为相邻报文。
优选的,所述检测设备根据各条相邻报文的确认号信息,确定所述待检测设备在各条相邻报文之间向所述对端设备发送的流量信息,具体为:
所述检测设备计算两条相邻报文的确认号之差;
所述检测设备确定所述确认号之差为所述待检测设备在所述两条相邻报文之间向所述对端设备发送的报文大小;
所述检测设备根据所述待检测设备向所述对端设备发送的各条报文的大小,确定所述待检测设备在各条相邻报文之间向所述对端设备发送的流量信息。
优选的,所述检测设备根据确定的所述待检测设备向所述对端设备发送的流量信息,对所述待检测设备进行流量检测,具体为:
当所述检测设备检测到所述待检测设备向至少一个所述对端设备所发送的流量信息超过预设的流量阈值时,所述检测设备确定所述待检测设备被所述至少一个对端设备攻击;或,
当所述检测设备检测到所述待检测设备和各所述对端设备之间的流量信息之和超过预设的流量阈值时,所述检测设备确定所述待检测设备与各所述对端设备之间存在攻击。
优选的,当所述检测设备检测到所述待检测设备向至少一个所述对端设备所发送的流量信息超过预设的流量阈值时,所述检测设备确定所述待检测设备被所述至少一个对端设备攻击,具体为:
当所述检测设备检测到所述待检测设备向至少一个所述对端设备所发送的流量信息超过预设的流量阈值时,所述检测设备判断预设的其他攻击判定元素是否达到预设的判定阈值;
如果所述检测设备判断达到预设的判定阈值的其他攻击判定元素的数量超过预设的数量阈值,所述检测设备确定所述待检测设备被所述至少一个对端设备攻击。
优选的,所述检测设备确定所述待检测设备被所述至少一个对端设备攻击,或所述检测设备确定所述待检测设备与各所述对端设备之间存在攻击之后,还包括:
所述检测设备对所述待检测设备与发动攻击的所述至少一个对端设备之间的报文进行拦截;和/或,
所述检测设备发出所述待检测设备被攻击的告警。
另一方面,本发明还提供了一种检测设备,应用于包括检测设备、待检测设备和至少一个对端设备的系统中,所述待检测设备与所述对端设备之间进行报文交互,具体包括:
检测模块,用于检测所述对端设备向所述待检测设备发送的流量信息;
获取模块,与所述检测模块相连接,用于根据所述检测模块所检测到的流量信息,获取所述待检测设备所接收到的各条报文的序列号信息和确认号信息;
确定模块,与所述获取模块相连接,用于根据所述获取模块所获取到的所述待检测设备所接收到的各条报文的序列号信息和确认号信息,确定所述待检测设备向所述对端设备发送的流量信息;
判断模块,与所述检测模块和所述确定模块相连接,用于根据所述确定模块所确定的所述待检测设备向所述对端设备发送的流量信息,对所述待检测设备进行流量检测。
优选的,所述确定模块,具体包括:
相邻确定子模块,用于根据所述各条报文的序列号信息和所检测到的所述各条报文的大小,确定所述各条报文的相邻关系;
流量确定子模块,用于根据所述相邻确定子模块所确定的各条相邻报文的确认号信息,确定所述待检测设备在各条相邻报文之间向所述对端设备发送的流量信息。
优选的,所述判断模块,具体用于:
当所述判断模块检测到所述待检测设备向至少一个所述对端设备所发送的流量信息超过预设的流量阈值时,确定所述待检测设备被所述至少一个对端设备攻击;或,
当所述判断模块检测到所述待检测设备和各所述对端设备之间的流量信息之和超过预设的流量阈值时,确定所述待检测设备与各所述对端设备之间存在攻击;或,
当所述判断模块检测到所述待检测设备向至少一个所述对端设备所发送的流量信息超过预设的流量阈值时,进一步判断预设的其他攻击判定元素是否达到预设的判定阈值,如果达到预设的判定阈值的其他攻击判定元素的数量超过预设的数量阈值,确定所述待检测设备被所述至少一个对端设备攻击。
优选的,所述检测设备还包括处理模块,与所述判断模块相连接,用于在所述判断模块确定所述待检测设备被所述至少一个对端设备攻击,或所述判断模块确定所述待检测设备与各所述对端设备之间存在攻击之后,对所述待检测设备与发动攻击的所述至少一个对端设备之间的报文进行拦截;和/或,发出所述待检测设备被攻击的告警。
与现有技术相比,本发明具有以下优点:
通过应用本发明的技术方案,可以在单向流环境下能够对双向流进行检测,从而为单向流环境有效识别攻击发生提供分析依据,这样的技术方案实现方式简单,成本低,不用改变网络拓扑,较好的提高单向流环境防范DDoS攻击的效果。
附图说明
图1为现有技术中一种单向流检测模式下的网络结构示意图;
图2为本发明所提出的一种单向流检测模式下的流量检测方法的流程示意图;
图3为本发明所提出的一种具体应用场景中的客户端与服务器端进行TCP报文交互的示意图;
图4为本发明所提出的一种具体应用场景下单向流检测模式下的流量检测方法的流程示意图;
图5为本发明所提出的一种检测设备的结构示意图。
具体实施方式
在实际的应用场景中,TCP协议工作在OSI的传输层,是一种可靠的面向连接的数据流协议,TCP之所以可靠,是因为其保证了传送数据包的顺序,而该顺序是用一个序列号和确认号来保证的。
序列号和确认号都是32位的无符号整数,可以表示0-4G(232)字节的范围。其中,序列号表示数据部分第一个字节的序列号,而确认号表示该数据报的接收者希望对方发送的下一个字节的序号,在这样设定的基础上,可以确认序列号小于确认号的数据都已正确地被接收。
本发明正是基于这样的序列号和确认号机制提出了一种单向流检测模式下的流量检测方法,该方法应用于包括检测设备、待检测设备和至少一个对端设备的系统中,其中,待检测设备与对端设备之间进行报文交互,检测设备检测对端设备向待检测设备发送的流量信息。
如图2所示,为本发明所提出的一种单向流检测模式下的流量检测方法的流程示意图,具体包括以下步骤:
步骤S201、检测设备获取待检测设备所接收到的各条报文的序列号信息和确认号信息。
步骤S202、检测设备根据待检测设备所接收到的各条报文的序列号信息和确认号信息,确定待检测设备向对端设备发送的流量信息。
相对于实际应用场景中的报文交互流程,本步骤的具体实现流程包括以下两个环节:
环节一、检测设备根据各条报文的序列号信息和所检测到的各条报文的大小,确定各条报文的相邻关系。
此环节的具体实现流程如下:
首先,检测设备按照报文的接收顺序,计算连续接收的两条报文的序列号信息之差;
然后,当检测设备判断两条报文的序列号之差等于所检测到的两条报文中先被接收到的一条报文的大小时,检测设备确定两条报文为相邻报文。
环节二、检测设备根据各条相邻报文的确认号信息,确定待检测设备在各条相邻报文之间向对端设备发送的流量信息。
此环节的具体实现流程如下:
检测设备计算两条相邻报文的确认号之差;
检测设备确定确认号之差为待检测设备在两条相邻报文之间向对端设备发送的报文大小;
检测设备根据待检测设备向对端设备发送的各条报文的大小,确定待检测设备在各条相邻报文之间向对端设备发送的流量信息。
步骤S203、检测设备根据确定的待检测设备向对端设备发送的流量信息,对待检测设备进行流量检测。
在具体应用场景中,本步骤具体的实现方式如下:
当检测设备检测到待检测设备向至少一个对端设备所发送的流量信息超过预设的流量阈值时,检测设备确定待检测设备被至少一个对端设备攻击;或,
当检测设备检测到待检测设备和各对端设备之间的流量信息之和超过预设的流量阈值时,检测设备确定待检测设备与各对端设备之间存在攻击。
需要指出的是,这种攻击不一定是直接的,可能是被控制的肉鸡,这样的变化并不会影响本发明的保护范围。
在实际的应用场景中,还可以进一步引入多种攻击判定因素,在此情况下,当检测设备检测到待检测设备向至少一个对端设备所发送的流量信息超过预设的流量阈值时,检测设备判断预设的其他攻击判定元素是否达到预设的判定阈值;
如果检测设备判断达到预设的判定阈值的其他攻击判定元素的数量超过预设的数量阈值,检测设备确定待检测设备被至少一个对端设备攻击。
其中,需要说明的是,上述的其他攻击判定元素如包转发速率、网络时延、丢包率、保护服务器的CPU利用率变化等元素,根据具体的需要可以选择其中的一个或多个作为攻击判定的依据,凡是能够实现攻击判定的元素均属于本发明的保护范围,所选择作为其他攻击判定元素的元素种类和数量的变化并不会影响本发明的保护范围。
为了实现网络保护,本发明技术方案在完成上述的流量检测后,还可以进一步包括保护处理流程,即在检测设备确定待检测设备被至少一个对端设备攻击,或检测设备确定待检测设备与各对端设备之间存在攻击之后:
检测设备对待检测设备与发动攻击的至少一个对端设备之间的报文进行拦截;和/或,
检测设备发出待检测设备被攻击的告警。
与现有技术相比,本发明具有以下优点:
通过应用本发明的技术方案,可以在单向流环境下能够对双向流进行检测,从而为单向流环境有效识别攻击发生提供分析依据,这样的技术方案实现方式简单,成本低。不用改变网络拓扑,较好的提高单向流环境防范DDoS攻击的效果。
为了进一步阐述本发明的技术思想,现结合具体的应用场景,对本发明的技术方案进行说明。
对于仿冒源IP发起的攻击,TCP SYN Cookie机制可以很好的对此类TCP流量攻击进行识别,所以本发明是在SYN Cookie机制防止源IP仿冒的前提下,对合法或通过SYN Cookie检查的源IP发起的TCP流量进行分析,实现单向流环境下的双向流检测。
TCP报文的交互特征可以参照图3所示,其中包括多条交互报文,作为服务器端,接收的报文和发送的报文都会携带相应的报文序列号和确认号,对于TCP同一会话连接上的数据报文,报文交互的序列号和确认号满足以下关系:
同一个客户端向服务器端发送的前一个报文的序列号与其发送的相邻的下一个报文的序列号之间的差值为该客户端向服务器端发送的前一个报文的长度;
服务器端从一个客户端接到的前一个报文的确认号与从该客户端接到的相邻的下一个报文的确认号之间的差值,为服务器端在上述两条报文之间向该客户端发送的报文的长度;
具体的公式表示如下:
对于客户端,向服务器端发送的两条相邻的请求报文的序列号之差为客户端向服务器端发送的前一个报文的长度:
C:SEQ.pre-C:SEQ.next=C:DATA.len
对于服务器端,从同一个客户端接收到的两条相邻的响应报文的确认序列号之差为服务器端向该客户端发送的数据报文的长度:
C:ACK.next-C:ACK.pre=S:DATA.len
由此公式可以看出,通过客户端TCP报文的ACK(确认)号可以计算出服务器端回应的报文流量。
其中,由于本身存在单向流的检测,所以,序列号的差值所计算出的报文大小可以与检测到的实际报文大小进行比较,如果两者的结果相一致,则确认此两条报文相邻,反之,则此两条报文不相邻。
而且,序列号的存在还可以进一步保证两条报文属于同一个会话。
这样,在只能看到客户端报文流量的情况下也可以计算出服务器端流出的报文流量,从而实现单向流环境下的双向流检测。
在攻击发生的情况下,一般来说服务器端流出的报文流量会比通常情况下大很多,可以通过检测服务器端流出报文流量的变化来判断网络中是否有攻击发生,可以根据通常情况下服务器端流量的大小生成告警门限,如果流量超过此门限则认为攻击发生,从而启动相应的防范手段进行攻击拦截。
需要进一步说明的是,服务器端流出流量的数据模型可以通过分析服务器网卡流量信息或与服务器相连的交换机端口流量信息进行获取。
有些异常流量发生时并不体现为大流量的产生,这种情况下,也可以综合异常流量发生时的其它现象判断是否有攻击发生,如包转发速率、网络时延、丢包率、保护服务器的CPU利用率变化等因素。
基于上述的技术思路,对于如图3所示的应用场景,本发明所提出的技术方案如图4所示,包括以下步骤:
步骤S401、检测设备检测客户端向服务器端发送的TCP报文,获取各条报文的序列号信息和确认号信息。
由于每个TCP报文中都会包含序列号和确认号信息,所以,检测设备可以在服务器端所接收的各条报文的固定位置获取相应的序列号信息和确认号信息,按照现有的TCP报文格式,序列号和确认号都是4个字节,检测设备可以通过预设的获取规则,在报文中相应的字段位置进行获取。
在对应图3所示的应用场景中,客户端向服务器端发送的TCP报文具体为ACK1和ACK2两条消息,从ACK1中获取的序列号信息为C:SEQ.pre,从ACK1中获取的确认号信息为C:ACK.pre,而从ACK2中获取的序列号信息为C:SEQ.next,从ACK2中获取的确认好信息为C:ACK.next。
步骤S402、检测设备根据客户端向服务器端发送的各报文之间的序列号之差和报文大小,确定报文的相邻关系。
检测设备计算ACK1和ACK2之间的序列号之差,具体为:
C:SEQ.pre-C:SEQ.next。
检测设备确定ACK1报文的大小,这里的报文大小根据检测设备对客户端向服务器端发送的各报文的检测结果得到。
进一步的,判断上述的序列号之差与ACK1的报文大小是否相同,如果相同,则确认ACK1和ACK2相邻,并且属于同一会话,反之,则不能确认ACK1和ACK2相邻。
步骤S403、检测设备根据相邻报文的确认号信息,确定服务器端在这两条相邻报文之间向客户端发送的报文大小。
检测设备计算ACK1和ACK2之间的确认号之差,具体为;
C:ACK.next-C:ACK.pre。
检测设备依次确定为服务器端在ACK1和ACK2之间向客户端发送的报文的大小,即为S:DATA.len。
步骤S404、检测设备根据服务器端向客户端发送的报文大小,判断服务器端流量是否正常。
如果不正常,执行步骤S405;
如果正常,返回执行步骤S401,继续进行检测。
步骤S405、检测设备确认服务器端受到攻击。
当检测设备检测到S:DATA.len超过预设的流量阈值时,检测设备确定服务器端被该客户端攻击;或,
当检测设备检测到S:DATA.len和服务器端与其他客户端之间的流量信息之和超过预设的流量阈值时,检测设备确定服务器端与各客户端之间存在攻击。
在实际的应用场景中,还可以进一步引入多种攻击判定因素,如包转发速率、网络时延、丢包率、保护服务器的CPU利用率变化等,具体判定因素种类的变化并不影响本发明的保护范围。
步骤S406、检测设备对服务器端进行保护处理。
具体的保护处理方式包括:
检测设备对待检测设备与发动攻击的至少一个对端设备之间的报文进行拦截;和/或,
检测设备发出待检测设备被攻击的告警。
在故障排除完毕后,重复执行步骤S401,进行新的检测。
与现有技术相比,本发明具有以下优点:
通过应用本发明的技术方案,可以在单向流环境下能够对双向流进行检测,从而为单向流环境有效识别攻击发生提供分析依据,这样的技术方案实现方式简单,成本低。不用改变网络拓扑,较好的提高单向流环境防范DDoS攻击的效果。
为了实现本发明的技术方案,本发明还提出了一种检测设备,应用于包括检测设备、待检测设备和至少一个对端设备的系统中,待检测设备与对端设备之间进行报文交互。
该检测设备的结构示意图如图5所示,具体包括:
检测模块51,用于检测对端设备向待检测设备发送的流量信息;
获取模块52,与检测模块51相连接,用于根据检测模块51所检测到的流量信息,获取待检测设备所接收到的各条报文的序列号信息和确认号信息;
确定模块53,与获取模块52相连接,用于根据获取模块52所获取到的待检测设备所接收到的各条报文的序列号信息和确认号信息,确定待检测设备向对端设备发送的流量信息,具体包括:
相邻确定子模块531,用于根据各条报文的序列号信息和所检测到的各条报文的大小,确定各条报文的相邻关系;
流量确定子模块532,用于根据相邻确定子模块531所确定的各条相邻报文的确认号信息,确定待检测设备在各条相邻报文之间向对端设备发送的流量信息。
判断模块54,与确定模块53相连接,用于根据确定模块53所确定的待检测设备向对端设备发送的流量信息,对待检测设备进行流量检测。
当判断模块54检测到待检测设备向至少一个对端设备所发送的流量信息超过预设的流量阈值时,确定待检测设备被至少一个对端设备攻击;或,
当判断模块54检测到待检测设备和各对端设备之间的流量信息之和超过预设的流量阈值时,确定待检测设备与各对端设备之间存在攻击;或,
当判断模块54检测到待检测设备向至少一个对端设备所发送的流量信息超过预设的流量阈值时,进一步判断预设的其他攻击判定元素是否达到预设的判定阈值,如果达到预设的判定阈值的其他攻击判定元素的数量超过预设的数量阈值,确定待检测设备被至少一个对端设备攻击。
在具体的应用场景中,该检测设备还包括处理模块55,与判断模块54相连接,用于在判断模块54确定待检测设备被至少一个对端设备攻击,或判断模块确定待检测设备与各对端设备之间存在攻击之后,对待检测设备与发动攻击的至少一个对端设备之间的报文进行拦截;和/或,发出待检测设备被攻击的告警。
与现有技术相比,本发明具有以下优点:
通过应用本发明的技术方案,可以在单向流环境下能够对双向流进行检测,从而为单向流环境有效识别攻击发生提供分析依据,这样的技术方案实现方式简单,成本低。不用改变网络拓扑,较好的提高单向流环境防范DDoS攻击的效果。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施场景所述的方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施场景的优劣。
以上公开的仅为本发明的几个具体实施场景,但是,本发明并非局限于此,任何本领域的技术人员能使之的变化都应落入本发明的保护范围。
Claims (11)
1.一种单向流检测模式下的流量检测方法,应用于包括检测设备、待检测设备和至少一个对端设备的系统中,所述待检测设备与所述对端设备之间进行报文交互,所述检测设备检测所述对端设备向所述待检测设备发送的流量信息,其特征在于,所述方法具体包括以下步骤:
所述检测设备获取所述待检测设备所接收到的各条报文的序列号信息和确认号信息;
所述检测设备根据所述待检测设备所接收到的各条报文的序列号信息和确认号信息,确定所述待检测设备向所述对端设备发送的流量信息;
所述检测设备根据确定的所述待检测设备向所述对端设备发送的流量信息,对所述待检测设备进行流量检测。
2.如权利要求1所述的方法,其特征在于,所述检测设备根据所述待检测设备所接收到的各条报文的序列号信息和确认号信息,确定所述待检测设备向所述对端设备发送的流量信息,具体为:
所述检测设备根据所述各条报文的序列号信息和所检测到的所述各条报文的大小,确定所述各条报文的相邻关系;
所述检测设备根据各条相邻报文的确认号信息,确定所述待检测设备在各条相邻报文之间向所述对端设备发送的流量信息。
3.如权利要求2所述的方法,其特征在于,所述检测设备根据所述各条报文的序列号信息和所检测到的所述各条报文的大小,确定所述各条报文的相邻关系,具体为:
所述检测设备按照报文的接收顺序,计算连续接收的两条报文的序列号信息之差;
当所述检测设备判断两条报文的序列号之差等于所检测到的所述两条报文中先被接收到的一条报文的大小时,所述检测设备确定所述两条报文为相邻报文。
4.如权利要求2所述的方法,其特征在于,所述检测设备根据各条相邻报文的确认号信息,确定所述待检测设备在各条相邻报文之间向所述对端设备发送的流量信息,具体为:
所述检测设备计算两条相邻报文的确认号之差;
所述检测设备确定所述确认号之差为所述待检测设备在所述两条相邻报文之间向所述对端设备发送的报文大小;
所述检测设备根据所述待检测设备向所述对端设备发送的各条报文的大小,确定所述待检测设备在各条相邻报文之间向所述对端设备发送的流量信息。
5.如权利要求1所述的方法,其特征在于,所述检测设备根据确定的所述待检测设备向所述对端设备发送的流量信息,对所述待检测设备进行流量检测,具体为:
当所述检测设备检测到所述待检测设备向至少一个所述对端设备所发送的流量信息超过预设的流量阈值时,所述检测设备确定所述待检测设备被所述至少一个对端设备攻击;或,
当所述检测设备检测到所述待检测设备和各所述对端设备之间的流量信息之和超过预设的流量阈值时,所述检测设备确定所述待检测设备与各所述对端设备之间存在攻击。
6.如权利要求5所述的方法,其特征在于,当所述检测设备检测到所述待检测设备向至少一个所述对端设备所发送的流量信息超过预设的流量阈值时,所述检测设备确定所述待检测设备被所述至少一个对端设备攻击,具体为:
当所述检测设备检测到所述待检测设备向至少一个所述对端设备所发送的流量信息超过预设的流量阈值时,所述检测设备判断预设的其他攻击判定元素是否达到预设的判定阈值;
如果所述检测设备判断达到预设的判定阈值的其他攻击判定元素的数量超过预设的数量阈值,所述检测设备确定所述待检测设备被所述至少一个对端设备攻击。
7.如权利要求5或6所述的方法,其特征在于,所述检测设备确定所述待检测设备被所述至少一个对端设备攻击,或所述检测设备确定所述待检测设备与各所述对端设备之间存在攻击之后,还包括:
所述检测设备对所述待检测设备与发动攻击的所述至少一个对端设备之间的报文进行拦截;和/或,
所述检测设备发出所述待检测设备被攻击的告警。
8.一种检测设备,应用于包括检测设备、待检测设备和至少一个对端设备的系统中,所述待检测设备与所述对端设备之间进行报文交互,其特征在于,具体包括:
检测模块,用于检测所述对端设备向所述待检测设备发送的流量信息;
获取模块,与所述检测模块相连接,用于根据所述检测模块所检测到的流量信息,获取所述待检测设备所接收到的各条报文的序列号信息和确认号信息;
确定模块,与所述获取模块相连接,用于根据所述获取模块所获取到的所述待检测设备所接收到的各条报文的序列号信息和确认号信息,确定所述待检测设备向所述对端设备发送的流量信息;
判断模块,与所述检测模块和所述确定模块相连接,用于根据所述确定模块所确定的所述待检测设备向所述对端设备发送的流量信息,对所述待检测设备进行流量检测。
9.如权利要求8所述的检测设备,其特征在于,所述确定模块,具体包括:
相邻确定子模块,用于根据所述各条报文的序列号信息和所检测到的所述各条报文的大小,确定所述各条报文的相邻关系;
流量确定子模块,用于根据所述相邻确定子模块所确定的各条相邻报文的确认号信息,确定所述待检测设备在各条相邻报文之间向所述对端设备发送的流量信息。
10.如权利要求8所述的检测设备,其特征在于,所述判断模块,具体用于:
当所述判断模块检测到所述待检测设备向至少一个所述对端设备所发送的流量信息超过预设的流量阈值时,确定所述待检测设备被所述至少一个对端设备攻击;或,
当所述判断模块检测到所述待检测设备和各所述对端设备之间的流量信息之和超过预设的流量阈值时,确定所述待检测设备与各所述对端设备之间存在攻击;或,
当所述判断模块检测到所述待检测设备向至少一个所述对端设备所发送的流量信息超过预设的流量阈值时,进一步判断预设的其他攻击判定元素是否达到预设的判定阈值,如果达到预设的判定阈值的其他攻击判定元素的数量超过预设的数量阈值,确定所述待检测设备被所述至少一个对端设备攻击。
11.如权利要求10所述的检测设备,其特征在于,还包括处理模块,与所述判断模块相连接,用于在所述判断模块确定所述待检测设备被所述至少一个对端设备攻击,或所述判断模块确定所述待检测设备与各所述对端设备之间存在攻击之后,对所述待检测设备与发动攻击的所述至少一个对端设备之间的报文进行拦截;和/或,发出所述待检测设备被攻击的告警。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201010107732 CN101795277B (zh) | 2010-02-10 | 2010-02-10 | 一种单向流检测模式下的流量检测方法和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201010107732 CN101795277B (zh) | 2010-02-10 | 2010-02-10 | 一种单向流检测模式下的流量检测方法和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101795277A true CN101795277A (zh) | 2010-08-04 |
CN101795277B CN101795277B (zh) | 2013-06-05 |
Family
ID=42587702
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 201010107732 Active CN101795277B (zh) | 2010-02-10 | 2010-02-10 | 一种单向流检测模式下的流量检测方法和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101795277B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102655509A (zh) * | 2012-05-07 | 2012-09-05 | 福建星网锐捷网络有限公司 | 一种网络攻击识别方法及装置 |
CN102868576A (zh) * | 2012-09-26 | 2013-01-09 | 电子科技大学 | 宽带网用户接入链路下行丢包率测量方法 |
CN103036984A (zh) * | 2012-12-17 | 2013-04-10 | 华为技术有限公司 | 一种单向流量的检测方法及网络设备 |
CN106330607A (zh) * | 2016-08-25 | 2017-01-11 | 北京润通丰华科技有限公司 | 基于单向监听日志估算tcp连接应用质量的方法和系统 |
CN107046518A (zh) * | 2016-02-05 | 2017-08-15 | 阿里巴巴集团控股有限公司 | 网络攻击的检测方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1630248A (zh) * | 2003-12-19 | 2005-06-22 | 北京航空航天大学 | 基于连接请求验证的SYN flooding攻击防御方法 |
WO2006082507A1 (en) * | 2005-02-04 | 2006-08-10 | Nokia Corporation | Apparatus, method and computer program product to reduce tcp flooding attacks while conserving wireless network bandwidth |
CN101217547A (zh) * | 2008-01-18 | 2008-07-09 | 南京邮电大学 | 基于开源内核的无状态的泛洪请求攻击过滤方法 |
-
2010
- 2010-02-10 CN CN 201010107732 patent/CN101795277B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1630248A (zh) * | 2003-12-19 | 2005-06-22 | 北京航空航天大学 | 基于连接请求验证的SYN flooding攻击防御方法 |
WO2006082507A1 (en) * | 2005-02-04 | 2006-08-10 | Nokia Corporation | Apparatus, method and computer program product to reduce tcp flooding attacks while conserving wireless network bandwidth |
CN101217547A (zh) * | 2008-01-18 | 2008-07-09 | 南京邮电大学 | 基于开源内核的无状态的泛洪请求攻击过滤方法 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102655509A (zh) * | 2012-05-07 | 2012-09-05 | 福建星网锐捷网络有限公司 | 一种网络攻击识别方法及装置 |
CN102655509B (zh) * | 2012-05-07 | 2014-12-24 | 福建星网锐捷网络有限公司 | 一种网络攻击识别方法及装置 |
CN102868576A (zh) * | 2012-09-26 | 2013-01-09 | 电子科技大学 | 宽带网用户接入链路下行丢包率测量方法 |
CN102868576B (zh) * | 2012-09-26 | 2015-05-13 | 电子科技大学 | 宽带网用户接入链路下行丢包率测量方法 |
CN103036984A (zh) * | 2012-12-17 | 2013-04-10 | 华为技术有限公司 | 一种单向流量的检测方法及网络设备 |
CN103036984B (zh) * | 2012-12-17 | 2015-07-08 | 华为技术有限公司 | 一种单向流量的检测方法及网络设备 |
CN107046518A (zh) * | 2016-02-05 | 2017-08-15 | 阿里巴巴集团控股有限公司 | 网络攻击的检测方法及装置 |
CN106330607A (zh) * | 2016-08-25 | 2017-01-11 | 北京润通丰华科技有限公司 | 基于单向监听日志估算tcp连接应用质量的方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN101795277B (zh) | 2013-06-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Durcekova et al. | Sophisticated denial of service attacks aimed at application layer | |
CN108521408B (zh) | 抵抗网络攻击方法、装置、计算机设备及存储介质 | |
CN100588201C (zh) | 一种针对DDoS攻击的防御方法 | |
US7836498B2 (en) | Device to protect victim sites during denial of service attacks | |
US6816910B1 (en) | Method and apparatus for limiting network connection resources | |
US7743134B2 (en) | Thwarting source address spoofing-based denial of service attacks | |
US20020035683A1 (en) | Architecture to thwart denial of service attacks | |
CN109922072B (zh) | 一种分布式拒绝服务攻击检测方法及装置 | |
US20020035628A1 (en) | Statistics collection for network traffic | |
US20020095492A1 (en) | Coordinated thwarting of denial of service attacks | |
US20020032880A1 (en) | Monitoring network traffic denial of service attacks | |
CN102281298A (zh) | 检测和防御cc攻击的方法及装置 | |
Sanmorino et al. | DDoS attack detection method and mitigation using pattern of the flow | |
US20160344765A1 (en) | Unobtrusive and Dynamic DDoS Mitigation | |
CN110166408B (zh) | 防御泛洪攻击的方法、装置和系统 | |
CN109040140B (zh) | 一种慢速攻击检测方法及装置 | |
US20110016523A1 (en) | Apparatus and method for detecting distributed denial of service attack | |
Park et al. | Analysis of slow read DoS attack | |
CN101150586A (zh) | Cc攻击防范方法及装置 | |
Kavisankar et al. | A mitigation model for TCP SYN flooding with IP spoofing | |
CN101795277B (zh) | 一种单向流检测模式下的流量检测方法和设备 | |
CN107454065B (zh) | 一种UDP Flood攻击的防护方法及装置 | |
CN106487790A (zh) | 一种ack flood攻击的清洗方法及系统 | |
CN113242260B (zh) | 攻击检测方法、装置、电子设备及存储介质 | |
CN108667829A (zh) | 一种网络攻击的防护方法、装置及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |