CN102014110A - 认证通信流量的方法、通信系统和防护装置 - Google Patents
认证通信流量的方法、通信系统和防护装置 Download PDFInfo
- Publication number
- CN102014110A CN102014110A CN2009101900374A CN200910190037A CN102014110A CN 102014110 A CN102014110 A CN 102014110A CN 2009101900374 A CN2009101900374 A CN 2009101900374A CN 200910190037 A CN200910190037 A CN 200910190037A CN 102014110 A CN102014110 A CN 102014110A
- Authority
- CN
- China
- Prior art keywords
- tcp
- grouping
- syn
- cookie
- ack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及通信和计算机领域,尤其涉及一种认证通信流量的方法、防护装置和通信系统。本发明实施例的认证通信流量的方法、通信系统和防护装置,在TCP分组到达服务器前进行认证,确认其真实源地址,进而确认其是否攻击报文,确定是否允许其与服务器建立TCP连接,可有效防范利用TCP分组进行的DoS攻击,提高通信安全性。
Description
技术领域
本发明涉及通信和计算机领域,尤其涉及一种防止拒绝服务攻击的方法和装置。
背景技术
在拒绝服务(Denial of service,DoS)攻击中,攻击者用大量消息流量轰击受害网络或服务器。处理此流量消耗受害者的可用带宽、CPU能力或其他关键性系统资源,并且最终使受害者达到无法服务其合法客户的情况。分布式DoS(Distribution DoS,DDoS)攻击的毁坏性可能更大,因其涉及产生同时来自多个源的仿真网络流量。在传统大带宽攻击中,可在对输入分组(Packet)的源因特网协议(Intemet Protocol,IP)地址的统计分析的帮助下追踪攻击的源。然后受害者可过滤掉源自可疑IP地址的任何流量,并且可利用该证据对攻击者采取法律行动。但是,现在许多攻击使用“欺骗性(Spoofed)″IP分组——包含假IP源地址的分组——使得受害者更难以防止自己遭受攻击。
因此需要一种防止DoS攻击,提高通信安全性的方法。
发明内容
本发明实施例提供一种用于认证网络上的通信流量的方法、装置和系统,以防止DoS攻击,提高通信安全性。
本发明实施例解决上述技术问题的一个实施方式是:提供一种认证通信流量的方法,适用于包括至少一客户端和服务器的场景中,包括:
接收某一客户端发送的第一传输控制协议TCP分组;
判断该第一TCP分组的源地址是否已经验证通过,如果该第一TCP分组的源地址已经验证通过,则转发该第一TCP分组给所述服务器;如果该第一TCP分组的源地址还没有验证通过,则发送第二TCP分组给所述第一TCP分组的发送方,该第二TCP分组的部分字段封装有Cookie,所述第二TCP分组不包括TCPACK分组;
接收所述第一TCP分组的发送方发送的第三TCP分组,判断所述第三TCP分组的相应字段值是否匹配所述Cookie,如果所述第三TCP分组的相应字段值不匹配所述Cookie,则确定第一TCP分组的发送方的源地址是伪造的;如果所述第三TCP分组的相应字段值匹配所述Cookie,则确定第一TCP分组的发送方的源地址是真实的;
当所述第一TCP分组的发送方重新向服务器发起TCP连接请求时,允许所述第一TCP分组的发送方与服务器建立TCP连接。
本发明实施例还提供一种防护装置,包括:获取模块、第一判断模块、第二判断模块、发送模块及转发模块,其中:
所述获取模块,用于获取某一客户端发给服务器的第一传输控制协议TCP分组;
所述第一判断模块,用于判断所述获取模块获取的第一TCP分组的源地址是否已经验证通过,如果该第一TCP分组的发送方的源地址已经验证通过,则表明该第一TCP分组的发送方的源地址已经确认为真实的源地址,允许该第一TCP分组的发送方与服务器建立TCP连接,则由所述转发模块转发该第一TCP分组给服务器,使该客户端与服务器直接建立TCP连接;如果该第一TCP分组的源地址还没有验证通过,则由发送模块发送第二TCP分组给所述客户端,该第二TCP分组的部分字段封装有Cookie;
所述获取模块,还用于接收所述客户端发来的第三TCP分组,交给第二判断模块;
所述第二判断模块,用于确定所述第三TCP分组的相应字段值是否匹配所述Cookie,如果所述第三TCP分组的相应字段值匹配所述Cookie,则确定所述客户端的源地址是真实的;如果所述第三TCP分组的相应字段值不匹配所述Cookie,则确定所述客户端的源地址是伪造的;
如果所述客户端的源地址是真实的,当所述获取模块接收到所述客户端发送的第四TCP分组时,由转发模块转发该第四TCP分组给所述服务器。
本发明实施例还提供一种通信系统,包括服务器、至少一个客户端以及位于该服务器和所述至少一个客户端之间的防护装置,其中:
所述客户端,用于向服务器发出第一TCP分组以与服务建立行TCP连接;
所述防护装置,用于截获所述客户端向所述服务器发出的第一TCP分组,确定所述第一TCP分组的发送方的源地址是否经过确认,如果所述第一TCP分组的发送方的源地址是否经过确认为真实的,则将该第一TCP分组转发给所述服务器;如果所述第一TCP分组的发送方的源地址没有经过确认,则向所述第一TCP分组的发送方发出第二TCP分组,该第二TCP分组的部分字段封装有Cookie。如果所述第一TCP分组的发送方返回的第三分组的相应字段值匹配所述Cookie,则确定所述第一TCP分组的发送方的源地址是真实的;当接收到所述第一TCP分组的发送方发送的第四TCP分组时,将该第三TCP分组转发给所述服务器;
所述服务器,用于接收所述防护装置发来的第四TCP分组,响应所述第一TCP分组的发送方发来的第四TCP分组并与所述客户端建立TCP连接。
本发明实施例的认证通信流量的方法、通信系统和防护装置,在TCP分组到达服务器前进行认证,确认其真实源地址,进而确认其是否攻击报文,确定是否允许其与服务器建立TCP连接,可有效防范利用TCP分组进行的DoS攻击。
附图说明
图1为RFC793中定义的建立TCP连接时,通信双方同时发送SYN报的处理方法的流程示意图;
图2为TCP客户端经防护装置与TCP服务器通信的通信系统结构示意图;
图3为本发明实施例的一种认证通信流量的方法的流程示意图;
图4为本发明实施例的一种认证通信流量的方法的流程示意图;
图5为本发明实施例的另一种认证通信流量的方法的流程示意图;
图6为图5所示实施例的认证通信流量的方法的流程示意图;
图7为本发明实施例的另一种认证通信流量的方法的流程示意图;
图8和9为本发明实施例的另一种认证通信流量的方法的流程示意图;
图10为本发明实施例的一种通信系统的结构示意图;
图11为本发明实施例的一种防护装置的结构示意图;
图12为本发明实施例的另一种防护装置的结构示意图。
具体实施方式
以下结合具体实施方式来说明本发明的实现过程。
传输控制协议/因特网协议(Transmission Control Protocol/InternetProtocol,TCP/IP)套件是目前在数字分组网络中最广泛使用的传输协议。TCP是面向连接的端到端全双工协议,它提供了主机中的进程对之间的可靠的进程间通信。TCP同级设备之间的信息交换被组装成被称为片段(segment)的数据报,每个数据报包含一个TCP头部,其后是有效载荷数据。片段以IP分组的形式在网络上传输。Postel在美国国防部高级研究项目署(DARPA)的题为《Transmission Control Protocol:DARPA Intemet Program ProtocolSpecification(传输控制协议:DARPA因特网程序协议规范)》的RFC793中描述了TCP,此处通过引用将RFC793包含进来。以下给出的对TCP的某些特征的描述是基于RFC793中的信息,关于进一步的细节,请参看相关RFC。
TCP片段中发送的每个八位字节被分配序列号,该序列号被接收计算机用于从分组的损坏、损失或复制中恢复,并对按错误顺序递送的片段重新排序。在接收到片段时,接收者应该通过向发送者返回在TCP头部中设置了“ACK”控制比特的分组,来给出肯定确认(ACK)。如果发送者在超时间隔内未接收到ACK,则其重新发送数据。由于TCP是全双工协议,因此每个片段的头部包含用于序列号和确认号的字段。序列号字段保存片段中的第一个数据八位字节的序列号(或者在SYN分组的情况下的初始序列号ISN)。确认号字段包含片段发送者期望在TCP连接上接收到的下一序列号的值。从而,通过接收到的最后片段的最高序列号,确认号被确定。为了管理由发送者发送的数据量,接收者在返回每个ACK时还返回“窗口”,指示成功接收到的最后片段之外可接受的序列号的范围。
为了建立TCP连接,两个参与计算机使用公知的“三次握手(three-wayhandshake)″,来同步彼此的初始序列号。握手是基于连接建立片段的交换,以及初始序列号的,其中连接建立片段在其片段头部中包含被称为“SYN”的控制比特。每一方还必须接收另一方的初始序列号,并发送确认。为了启动连接,计算机A向计算机B发送SYN分组,指示其初始序列号(ISN)。计算机B以SYN-ACK分组响应,给出其自己的ISN,并确认由计算机A发送的ISN(通过设置ACK比特,并将值ISN+1放在其确认号字段中)。计算机A最终以ACK分组响应,确认由计算机B发送的ISN,从而连接被建立。
TCP片段头部还包含“RST”控制比特,该控制比特用于有必要重置未正确同步的TCP连接时。一般规则是,只要连接不处于“已建立”状态,无论何时当明显不想继续当前连接的片段到达时,RST分组(其中设置了RST比特)就被发送。从而,例如,如果处于建立TCP连接过程中的一台计算机接收到包含未预期的确认号的ACK分组,则接收计算机将会向发送计算机返回RST分组。
本发明的实施例中,采用TCP反向检测方案防范DoS攻击,并且本发明实施例中,客户端的TCP状态迁移符合TCP标准RFC793中的定义。RFC793中定义了建立TCP连接时,通信双方同时发送TCP SYN分组的处理方式。如图1所示,TCP A向TCP B发出第一SYN分组,该第一SYN分组中,SEQ=100;TCP B向TCP A发出第二SYN分组,该第二SYN分组中,SEQ=300;TCP B收到第一SYN分组后,向TCP A回复第一SYN-ACK分组,该第一SYN-ACK分组中,ACK号为101,TCP A至TCP B的TCP连接建立;TCP A收到第二SYN分组后,向TCP B回复第二SYN-ACK分组,该第二SYN-ACK分组中,ACK号为301,TCP B至TCP A的TCP连接建立。
如图2所示,TCP客户端经防护装置与TCP服务器通信,在TCP客户端和TCP服务器端之间使用防护装置进行TCP反向检测,只有检测通过的客户端通信数据才被允许发送给TCP服务器端。防护装置可以设置在路由器或网间设备或服务器上。所述网间设备包括但不限于防火墙等中间设备。这里的客户端、服务器端指的是TCP连接意义上的客户端、服务器端,客户端指发起TCP连接的通信端,服务器端指接收TCP连接的通信端。
如图3所示,为本发明实施例提供的一种认证通信流量的方法,适用于包括至少一客户端和服务器的场景中,该方法包括:
S100、接收某一客户端发送的第一TCP分组;
防护装置获取客户端发往服务器的第一TCP分组,该第一TCP分组可以是TCP SYN分组,也可以是TCP SYN-ACK分组。
S102、判断该第一TCP分组的源地址是否已经验证通过,如果该第一TCP分组的源地址已经验证通过,则转发该第一TCP分组给所述服务器;如果该第一TCP分组的源地址还没有验证通过,则执行S104;
防护装置判断该第一TCP分组的源地址是否已经验证通过,如果该第一TCP分组的源地址已经验证通过,则转发该第一TCP分组给所述服务器;如果该第一TCP分组的源地址还没有验证通过,则执行S104。
S104、发送第二TCP分组给所述第一TCP分组的发送方,该第二TCP分组的部分字段封装有Cookie,所述第二TCP分组不包括TCP ACK分组;执行S106;
S106、接收所述第一TCP分组的发送方发送的第三TCP分组,执行S108;
S108、判断所述第三TCP分组的相应字段值是否匹配所述Cookie,如果所述第三TCP分组的相应字段值不匹配所述Cookie,则确定第一TCP分组的发送方的源地址是伪造的;如果所述第三TCP分组的相应字段值匹配所述Cookie,则确定第一TCP分组的发送方的源地址是真实的,执行S110;
S110、发送TCP RST报文给所述第一TCP分组的发送方,执行S112;
S112、允许所述第一TCP分组的发送方与服务器建立TCP连接。
当所述第一TCP分组的发送方重新向服务器发起TCP连接请求时,允许所述第一TCP分组的发送方与服务器建立TCP连接。
其中S110为可选步骤,执行完S108后,也可以不执行S110,直接转而执行S112,具体流程图如图4所示。
优选地,如果所述第一TCP分组为第一TCP SYN分组,则所述第二TCP分组为第二TCP SYN分组,所述第二TCP SYN分组的SEQ字段封装有Cookie,所述第三TCP分组为TCP SYN-ACK分组;所述第三TCP分组的相应字段值匹配所述Cookie,为第三TCP分组的ACK字段值等于Cookie加1,即ACK=Cookie+1。
优选地,如果所述第一TCP分组为第一TCP SYN分组,则所述第二TCP分组为第二TCP SYN-ACK分组,所述第二TCP SYN-ACK的ACK字段封装有Cookie,所述第三TCP分组为TCP RST分组;所述第三TCP分组的相应字段值匹配所述Cookie,为第三TCP分组的SEQ字段值等于Cookie,即SEQ=Cookie。
优选地,如果所述第一TCP分组为第一TCP SYN-ACK分组,则所述第二TCP分组为第二TCP SYN-ACK分组,所述第二TCP SYN-ACK的ACK字段封装有Cookie,所述第三TCP分组为TCP RST分组;所述第三TCP分组的相应字段值匹配所述Cookie,为第三TCP分组的SEQ字段值等于Cookie,即SEQ=Cookie。
优选地,在收到所述第一TCP SYN-ACK分组前,还包括:服务器向所述客户端发送第四TCP SYN分组,要求与客户端建立TCP连接,所述客户端收到所述第四TCP SYN分组后,发出第一TCP SYN-ACK分组。
优选地,所述所述源地址为互联网协议IP地址,所述IP地址包括IPv4地址或IPv6地址。
如图5所示,在本发明的一个实施例中,防护装置截获客户端发送给服务器端的TCP握手第一SYN分组,并不按照TCP的三次握手流程回复第一SYN-ACK分组,而是按照RFC793中定义的TCP同时连接的情况向客户端发送第二SYN分组,并在该第二SYN分组的TCP首部中的SEQ字段值中写入Cookie,即第二SYN分组中,SEQ=Cookie。按照RFC793,拥有真实源地址的客户端会针对防护装置发送的第二SYN分组返回第二SYN-ACK分组,其中该第二SYN-ACK分组的ACK字段值应该为Cookie+1,即第二SYN-ACK分组中,ACK=Cookie+1。防护装置可以通过检测第二SYN-ACK分组中ACK字段值,实现对客户端的源地址的真实性检测。如果第二SYN-ACK分组中ACK字段值不等于Cookie+1,则确定第一SYN分组的源地址是假的,防护装置可以丢弃TCP报头中源地址为该第一SYN分组的源地址的后续TCP分组;如果第二SYN-ACK分组中ACK字段值等于Cookie+1,则确定第一SYN分组的源地址为真实的源地址,防护装置可以向发出该第一SYN分组的客户端发送TCP RST分组以重置连接,并将该客户端重新发送的第三SYN分组直接转发到服务器端,使得该客户端和服务器端直接建立TCP连接。
当防护装置位于路由器上,为服务器端提供针对DDoS攻击的防护时,防护装置可作为路由器的一个扩展功能板,在路由器转发数据分组之前对数据分组的源地址进行反向检测,丢弃掉可疑的DDoS攻击分组。这样做不仅能提供对服务器端的保护,还能有效降低通讯线路上的攻击数据分组流量。
如图6所示,在本发明的一个实施例中,在客户端和服务器之间设置防护装置,一种认证通信流量的方法包括:
S600、接收第一TCP SYN分组
当客户端希望与服务器建立TCP连接进行通信时,客户端向服务器发送第一TCP SYN分组,位于客户端和服务器之间的防护装置获取客户端发给服务器的第一TCP SYN分组。
S602、判断该第一TCP SYN分组的源地址是否已经验证通过,如果该第一TCP SYN分组的源地址已经验证通过,则转发该第一TCP SYN分组给服务器;如果该第一TCP SYN分组的源地址还没有验证通过,则执行S604;
当防护装置截获到某个客户端发来的第一TCP SYN分组时,判断该第一TCP SYN分组的源地址是否已经验证通过,如果该第一TCP SYN分组的源地址已经验证通过,则表明该第一TCP SYN分组的源地址已经确认为真实合法的源地址,可以与服务器建立TCP连接,则防护装置转发该第一TCPSYN分组给服务器,使该客户端与服务器直接建立TCP连接;如果该第一TCP SYN分组的源地址还没有验证通过,则执行S104。
S604、发送第二TCP SYN分组给所述第一TCP SYN分组的发送方,该第二TCP SYN分组的SEQ字段封装有Cookie,即该第二TCP SYN分组中,SEQ=Cookie。
如果防护装置确认该第一TCP SYN分组的源地址还没有验证通过,则发送第二TCP SYN分组给所述第一TCP SYN分组的发送方,该第二TCPSYN分组的SEQ字段封装有Cookie,,即该第二TCP SYN分组中,SEQ=Cookie,Cookie值根据第一TCP SYN分组的发送方的五元组信息通过哈希算法计算得出,第一TCP SYN分组的发送方的五元组信息包括:第一TCP SYN分组的发送方的源IP地址、目的IP地址、源端口号、目的端口号、TCP/UDP号。所述第二TCP SYN分组为符合RFC793定义要求的TCP SYN分组,表示防护装置要求与该第一TCP SYN分组的发送方,即客户端,建立TCP连接。按照RFC793定义,正常情况下,即当第一TCP SYN分组的发送方的源地址真实的情况下,当第一TCP SYN分组的发送方接收到防护装置发送的第二TCP SYN分组,要求与之建立TCP连接时,所述第一TCPSYN分组的发送方将向所述第二TCP SYN分组的发送方(即防护装置)发送SYN-ACK分组,作为对第二TCP SYN分组的响应。根据RFC793的定义,该SYN-ACK的ACK字段值应该是Cookie+1,即ACK=Cookie+1。
S606、接收所述第一TCP SYN分组的发送方发送的SYN-ACK分组,执行S608。
防护装置接收从所述第一TCP SYN分组的发送方发送的SYN-ACK分组,执行S608以确认所述第一TCP SYN分组的发送方发来的SYN-ACK分组是否符合特定要求。
S608、判断该SYN-ACK分组的ACK号是否匹配Cookie,如果该SYN-ACK分组的ACK字段值匹配Cookie,则转S610;如果该SYN-ACK分组的ACK字段值不匹配Cookie,则确定发出第一TCP SYN分组的发送方的源地址是伪造的。
防护装置接收到第一TCP SYN分组的发送方(即某个客户端)发送的SYN-ACK分组后,判断该SYN-ACK分组的ACK字段值是否匹配Cookie,即确定该SYN-ACK分组的ACK字段值是否等于Cookie+1,如果该SYN-ACK分组的ACK字段值等于Cookie+1,则表明第一TCP SYN分组的发送方的源地址是真实的,执行S610;如果该SYN-ACK分组的ACK字段值不等于Cookie+1,则表明第一TCP SYN分组的发送方的源地址是伪造的。
S610、发送TCP RST分组给所述第一TCP SYN分组的发送方
当确定第一TCP SYN分组的发送方的源地址真实时,防护装置发送TCPRST分组给所述第一TCP SYN分组的发送方,重置该第一TCP SYN分组的发送方要求建立的TCP连接。
S612、允许所述第一TCP SYN分组的发送方与服务器建立TCP连接
所述第一TCP SYN分组的发送方收到防护装置发送到TCP RST分组后,向服务器发送第三TCP SYN分组,要求与服务器建立TCP连接。防护装置获取所述第三TCP SYN分组后,确认该第三TCP SYN分组的源地址已经验证通过,是真实的源地址,则将客户端重新发送的第三TCP SYN分组直接转发到服务器,使得客户端和服务器建立TCP连接。
如图7所示,本发明的另一种实施例中,在客户端和服务器之间设置防护装置,该方法包括:
S700、接收第一TCP SYN分组
当客户端希望与服务器建立TCP连接进行通信时,客户端向服务器发送第一TCP SYN分组,位于客户端和服务器之间的防护装置获取客户端发给服务器的第一TCP SYN分组。
S702、判断该第一TCP SYN分组的源地址是否已经验证通过,如果该第一TCP SYN分组的源地址已经验证通过,则转发该第一TCP SYN分组给服务器;如果该第一TCP SYN分组的源地址还没有验证通过,则执行S704。
当防护装置截获到某个客户端发来的第一TCP SYN分组时,判断该第一TCP SYN分组的源地址是否已经验证通过,如果该第一TCP SYN分组的源地址已经验证通过,则表明该第一TCP SYN分组的源地址已经确认为真实合法的源地址,可以与服务器建立TCP连接,则防护装置转发该第一TCPSYN分组给服务器,使该客户端与服务器直接建立TCP连接;如果该第一TCP SYN分组的源地址还没有验证通过,则执行S704。
S704、发送SYN-ACK分组给所述第一TCP SYN分组的发送方,该SYN-ACK分组的ACK字段封装有Cookie,即,该SYN-ACK分组中,ACK=Cookie;执行S706。
如果防护装置确认该第一TCP SYN分组的源地址还没有验证通过,则发送SYN-ACK分组给所述第一TCP SYN分组的发送方,该SYN-ACK分组的ACK字段封装有Cookie,即,该SYN-ACK分组中,ACK=Cookie;该Cookie值不等于第一TCP SYN分组的SEQ字段值加1,Cookie值根据第一TCP SYN分组的发送方的五元组信息通过哈希算法计算得出,第一TCP SYN分组的发送方的五元组信息包括:第一TCP SYN分组的发送方的源IP地址、目的IP地址、源端口号、目的端口号、TCP/UDP号。正常情况下,即当第一TCP SYN分组的发送方的源地址真实的情况下,当第一TCP SYN分组的发送方接收到防护装置发送的SYN-ACK分组,该SYN-ACK分组的ACK字段值应该等于第一TCP SYN分组的SEQ字段值加1,然而,由于防护装置向该第一TCP SYN分组的发送方发送到所述SYN-ACK分组的ACK值不等于第一TCP SYN分组的SEQ字段值加1,而是等于Cookie,该第一TCP SYN分组的发送方将会发送TCP RST分组以重置TCP连接。当该第一TCP SYN分组的发送方的源地址真实时,该TCP RST分组的SEQ字段值应该等于Cookie。
S706、接收所述第一TCP SYN分组的发送方发送的RST分组,执行S708。
防护装置接收从所述第一TCP SYN分组的发送方发送的TCP RST分组,执行S708以确认所述第一TCP SYN分组的发送方发来的TCP RST分组是否符合特定要求。
S708、判断所述TCP RST分组的SEQ值是否匹配所述Cookie,如果所述TCP RST分组的SEQ字段值不匹配所述Cookie,则确定第一TCP SYN分组的发送方的源地址是伪造的;如果所述TCP RST分组的SEQ字段值匹配所述Cookie,则确定第一TCP SYN分组的发送方的源地址是真实的,执行S710。
防护装置接收到第一TCP SYN分组的发送方发送的TCP RST分组后,判断该TCP RST分组的SEQ值是否匹配Cookie,即确定该TCP RST分组的SEQ字段值是否等于Cookie,如果该TCP RST分组的SEQ字段值等于Cookie,则表明第一TCP SYN分组的发送方的源地址是真实的,执行S710;如果该TCP RST分组的SEQ字段值不等于Cookie,则表明第一TCP SYN分组的发送方的源地址是伪造的。
S710、当所述第一TCP SYN分组的发送方重新向服务器发起TCP连接请求时,防护装置允许所述第一TCP SYN分组的发送方与服务器建立TCP连接。
所述第一TCP SYN分组的发送方向服务器发送第二TCP SYN分组,要求与服务器建立TCP连接。防护装置截获所述第二TCP SYN分组后,确认该第二TCP SYN分组的源地址已经验证通过,是真实的源地址,则将客户端重新发送的第二TCP SYN分组直接转发到服务器,使得客户端和服务器建立TCP连接。
如图8所示,在本发明的一个实施例中,在客户端和服务器之间设置防护装置,在一种场景中,服务器向某一客户端发起TCP连接请求,即服务器向某一客户端发送第一TCP SYN分组,假设该TCP SYN分组的SEQ=S,其中,S为任意值;如果该TCP客户端不是攻击源,即,该TCP客户端的源地址是真实的,那么,根据RFC793,该TCP客户端将针对服务器发送的第一TCP SYN分组,回复第一SYN-ACK分组,该第一SYN-ACK分组中SEQ=S’,ACK=S+1,S’为任意值。
当然,该第一SYN-ACK分组也可能是攻击者发出的DoS攻击报文。
客户端向服务器发送的第一SYN-ACK分组在到达服务器前被防护装置获取。由于防护装置并不获取从服务器发往客户端的分组,而是仅仅获取从客户端发往服务器的分组,因此,当防护装置获取客户端向服务器发送的第一SYN-ACK分组时,防护装置需确认该第一SYN-ACK分组的源地址是否真实,如图9所示,为本发明实施例的另一种认证通信流量的方法的流程示意图,该方法包括:
S900、接收第一SYN-ACK分组
防护装置获取客户端发送到第一SYN-ACK分组。
S902、判断该第一SYN-ACK分组的源地址是否已经验证通过,如果该第一SYN-ACK分组的源地址已经验证通过,则转发该第一SYN-ACK分组给服务器;如果该第一SYN-ACK分组的源地址还没有验证通过,则执行S904。
当防护装置截获到某个客户端发来的第一SYN-ACK分组时,判断该第一SYN-ACK分组的源地址是否已经验证通过,如果该第一SYN-ACK分组的源地址已经验证通过,则表明该第一SYN-ACK分组的源地址已经确认为真实合法的源地址,可以与服务器建立TCP连接,则防护装置转发该第一SYN-ACK分组给服务器,使该客户端与服务器直接建立TCP连接;如果该第一SYN-ACK分组的源地址还没有验证通过,则执行S904。
S904、发送第二SYN-ACK分组给所述第一SYN-ACK分组的发送方,该第二SYN-ACK分组的ACK字段封装有Cookie,即,该第二SYN-ACK分组中,ACK=Cookie;执行S906。
如果防护装置确认该第一SYN-ACK分组的源地址还没有验证通过,则发送第二SYN-ACK分组给所述第一SYN-ACK分组的发送方,该第二SYN-ACK分组的ACK字段封装有Cookie,即该第二SYN-ACK分组中,ACK=Cookie;SEQ=S+1,当然SEQ也可以是其他任意值。,Cookie值根据第一TCP SYN分组的发送方的五元组信息通过哈希算法计算得出,第一TCPSYN分组的发送方的五元组信息包括:第一TCP SYN分组的发送方的源IP地址、目的IP地址、源端口号、目的端口号、TCP/UDP号
正常情况下,即当第一SYN-ACK分组的发送方的源地址真实的情况下,第一SYN-ACK分组的发送方会接收到对方(比如服务器)发送的第一ACK分组,该第二ACK分组的ACK字段值应该等于第一SYN-ACK分组的SEQ字段值加1,然而,由于防护装置向该第一SYN-ACK分组的发送方发送了第二SYN-ACK分组,该第二SYN-ACK分组的ACK值不等于第一SYN-ACK分组的SEQ值加1,而是等于Cookie,因此,该第一SYN-ACK分组的发送方将会发送TCP RST分组以重置TCP连接。当该第一SYN-ACK分组的发送方的源地址真实时,该TCP RST分组的SEQ字段值应该等于Cookie。
S906、接收所述第一SYN-ACK分组的发送方发送的RST分组,执行S908。
防护装置接收从所述第一SYN-ACK分组的发送方发送的TCP RST分组,执行S908以确认所述第一SYN-ACK分组的发送方发来的TCP RST分组是否符合特定要求。
S908、判断所述TCP RST分组的SEQ字段值是否匹配所述Cookie,如果所述TCP RST分组的SEQ字段值不匹配所述Cookie,则确定第一SYN-ACK分组的发送方的源地址是伪造的;如果所述TCP RST分组的SEQ字段值匹配所述Cookie,则确定第一SYN-ACK分组的发送方的源地址是真实的,执行S910。
防护装置接收到第一SYN-ACK分组的发送方发送的TCP RST分组后,判断该TCP RST分组的SEQ字段值是否匹配Cookie,即确定该TCP RST分组的SEQ字段值是否等于Cookie,如果该TCP RST分组的SEQ字段值等于Cookie,则表明第一SYN-ACK分组的发送方的源地址是真实的,执行S310;如果该TCP RST分组的SEQ字段值不等于Cookie,则表明第一SYN-ACK分组的发送方的源地址是伪造的。
S910、当所述第一SYN-ACK分组的发送方重新向服务器发出TCP分组时,防护装置允许所述第一SYN-ACK分组的发送方与服务器建立TCP连接。
所述第一SYN-ACK分组的发送方向服务器发送第三SYN-ACK分组,要求与服务器建立TCP连接。该第三SYN-ACK分组中,SEQ=S’,ACK=S+1。防护装置截获所述第三SYN-ACK分组后,确认该第三SYN-ACK分组的源地址已经验证通过,是真实的源地址,则将客户端重新发送的第三SYN-ACK分组直接转发到服务器,使得客户端和服务器建立TCP连接。
本发明实施例还提供一种通信系统,如图10所示,该通信系统包括服务器、至少一个客户端以及位于该服务器和所述至少一个客户端之间的防护装置,其中:
所述客户端,用于向服务器发出第一TCP分组以与服务器建立TCP连接;
所述防护装置,用于截获所述客户端向所述服务器发出的第一TCP分组,确定所述第一TCP分组的发送方的源地址是否经过确认,如果所述第一TCP分组的发送方的源地址是否经过确认为真实的,则将该第一TCP分组转发给所述服务器;如果所述第一TCP分组的发送方的源地址没有经过确认,则向所述第一TCP分组的发送方发出第二TCP分组,该第二TCP分组的部分字段封装有Cookie。如果所述第一TCP分组的发送方返回的第三分组的相应字段值匹配所述Cookie,则确定所述第一TCP分组的发送方的源地址是真实的;当接收到所述第一TCP分组的发送方发送的第四TCP分组时,将该第三TCP分组转发给所述服务器;
所述服务器,用于接收所述防护装置发来的第四TCP分组,响应所述第一TCP分组的发送方发来的第四TCP分组并与所述客户端建立TCP连接。
具体地,所述防护装置的结构如图11所示,包括获取模块1101、第一判断模块1102、第二判断模块1103、发送模块1104、重置模块1106及转发模块1107,其中:
所述获取模块1101,用于获取某一个客户端发给服务器的第一TCP分组;
所述第一判断模块1102,用于判断所述获取模块1101获取的第一TCP分组的源地址是否已经验证通过,如果该第一TCP分组的源地址已经验证通过,则表明该第一TCP分组的源地址已经确认为真实的源地址,则由所述转发模块1107转发该第一TCP分组给服务器,使该客户端与服务器直接建立TCP连接;如果该第一TCP分组的源地址还没有验证通过,则由发送模块1104发送第二TCP分组给所述客户端,该第二TCP分组的部分字段封装有Cookie。按照RFC793定义,如果该客户端的源地址是真实的,当该客户端接收到发送模块1104发送的第二TCP分组,所述客户端将向所述第二TCP分组的发送方(即防护装置)发送第三TCP分组,作为对第二TCP分组的响应。根据RFC793的定义,该第三TCP分组的相应字段值应该匹配所述Cookie。
所述获取模块1101,还用于接收所述客户端发来的第三TCP分组,并交给第二判断模块1103;
第二判断模块1103,确定第三TCP分组的相应字段值是否匹配所述Cookie,如果第三TCP分组的相应字段值匹配所述Cookie,则表明所述客户端的源地址是真实的;如果第三TCP分组的相应字段值不匹配所述Cookie,则表明所述客户端的源地址是伪造的。
如果所述客户端的源地址是真实的,则重置模块1106向所述客户端发送TCP RST分组以重置该客户端要求建立的TCP连接。
当获取模块1101接收到所述客户端发送的第四TCP分组时,由转发模块1107转发该第四TCP分组给服务器,使得客户端和服务器建立TCP连接。
在该实施例中,重置模块1106并非必需,防护装置中也可以省略该重置模块1106,省略重置模块1106的实施例如图12所示,在省略重置模块1106时,发出第一TCP分组的客户端的源地址如果真实,在TCP连接超时时,会再次发送第四TCP分组,当获取模块1101接收到所述客户端发送的第四TCP分组时,由转发模块1107转发该第四TCP分组给服务器,使得客户端和服务器建立TCP连接。
在上述通信系统和防护装置中,
优选地,如果所述第一TCP分组为第一TCP SYN分组,则所述第二TCP分组为第二TCP SYN分组,所述第二TCP SYN分组的SEQ字段封装有Cookie,所述第三TCP分组为TCP SYN-ACK分组;所述第三TCP分组的相应字段值匹配所述Cookie,为第三TCP分组的ACK字段值等于Cookie加1,即ACK=Cookie+1。
优选地,如果所述第一TCP分组为第一TCP SYN分组,则所述第二TCP分组为第二TCP SYN-ACK分组,所述第二TCP SYN-ACK的ACK字段封装有Cookie,所述第三TCP分组为TCP RST分组;所述第三TCP分组的相应字段值匹配所述Cookie,为第三TCP分组的SEQ字段值等于Cookie,即SEQ=Cookie。此时并不需要重置模块1106,即并不需要防护装置发送TCP RST分组来重置TCP连接,而是由第一TCP分组的发送方发送到TCP RST分组重置TCP连接。
优选地,如果所述第一TCP分组为第一TCP SYN-ACK分组,则所述第二TCP分组为第二TCP SYN-ACK分组,所述第二TCP SYN-ACK的ACK字段封装有Cookie,所述第三TCP分组为TCP RST分组;所述第三TCP分组的相应字段值匹配所述Cookie,为第三TCP分组的SEQ字段值等于Cookie,即SEQ=Cookie。此时并不需要重置模块1106,即并不需要防护装置发送TCP RST分组来重置TCP连接,而是由第一TCP分组的发送方发送到TCP RST分组重置TCP连接。
优选地,在收到所述第一TCP SYN-ACK分组前,还包括:服务器向所述客户端发送第四TCP SYN分组,要求与客户端建立TCP连接,所述客户端收到所述第四TCP SYN分组后,发出第一TCP SYN-ACK分组。
优选地,所述源地址为互联网协议IP地址,所述IP地址包括IPv4地址或IPv6地址。
本发明的以上实施例中,所述的源地址为IP地址,可以是IPv4地址或IPv6地址。
本发明实施例的认证通信流量的方法、通信系统和防护装置,在TCP分组到达服务器前进行认证,确认其真实源地址,进而确认其是否攻击报文,确定是否允许其与服务器建立TCP连接,可有效防范利用TCP分组进行的DoS攻击,提高通信安全性。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围和不脱离本发明的技术思想范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (13)
1.一种认证通信流量的方法,适用于包括至少一客户端和服务器的场景中,其特征在于,包括:
接收某一客户端发送的第一TCP分组;
判断该第一传输控制协议TCP分组的源地址是否已经验证通过,如果该第一TCP分组的源地址已经验证通过,则转发该第一TCP分组给所述服务器;如果该第一TCP分组的源地址还没有验证通过,则发送第二TCP分组给所述第一TCP分组的发送方,该第二TCP分组的部分字段封装有Cookie,所述第二TCP分组不包括TCP ACK分组;
接收所述第一TCP分组的发送方发送的第三TCP分组,判断所述第三TCP分组的相应字段值是否匹配所述Cookie,如果所述第三TCP分组的相应字段值不匹配所述Cookie,则确定第一TCP分组的发送方的源地址是伪造的;如果所述第三TCP分组的相应字段值匹配所述Cookie,则确定第一TCP分组的发送方的源地址是真实的;
当所述第一TCP分组的发送方重新向服务器发起TCP连接请求时,允许所述第一TCP分组的发送方与服务器建立TCP连接。
2.如权利要求1所述的方法,其特征在于,如果所述第一TCP分组为第一TCP SYN分组,则所述第二TCP分组为第二TCP SYN分组,所述第二TCP SYN分组的SEQ字段封装有Cookie,所述第三TCP分组为TCPSYN-ACK分组;
所述第三TCP分组的相应字段值匹配所述Cookie,为第三TCP分组的ACK字段值等于Cookie加1。
3.如权利要求1所述的方法,其特征在于,如果所述第一TCP分组为第一TCP SYN分组,则所述第二TCP分组为第二TCP SYN-ACK分组,所述第二TCP SYN-ACK分组的ACK字段封装有Cookie,所述第三TCP分组为TCP RST分组;
所述第三TCP分组的相应字段值匹配所述Cookie,为第三TCP分组的SEQ字段值等于Cookie。
4.如权利要求1所述的方法,其特征在于,如果所述第一TCP分组为第一TCP SYN-ACK分组,则所述第二TCP分组为第二TCP SYN-ACK分组,所述第二TCP SYN-ACK的ACK字段封装有Cookie,所述第三TCP分组为TCP RST分组;
所述第三TCP分组的相应字段值匹配所述Cookie,为第三TCP分组的SEQ字段值等于Cookie。
5.如权利要求4所述的方法,其特征在于,在收到所述第一TCPSYN-ACK分组前,还包括:
服务器向所述客户端发送第四TCP SYN分组,要求与客户端建立TCP连接,所述客户端收到所述第四TCP SYN分组后,发出第一TCP SYN-ACK分组。
6.如权利要求1-5中任一所述的方法,其特征在于,所述源地址为互联网协议IP地址。
7.一种防护装置,其特征在于,包括:获取模块、第一判断模块、第二判断模块、发送模块转发模块,其中:
所述获取模块,用于获取某一客户端发给服务器的第一TCP分组;
所述第一判断模块,用于判断所述获取模块获取的第一TCP分组的源地址是否已经验证通过,如果该第一TCP分组的发送方的源地址已经验证通过,则表明该第一TCP分组的发送方的源地址已经确认为真实的源地址,允许该第一TCP分组的发送方与服务器建立TCP连接,则由所述转发模块转发该第一TCP分组给服务器,使该客户端与服务器直接建立TCP连接;如果该第一TCP分组的源地址还没有验证通过,则由发送模块发送第二TCP分组给所述客户端,该第二TCP分组的部分字段封装有Cookie;
所述获取模块,还用于接收所述客户端发来的第三TCP分组,交给第二判断模块;
所述第二判断模块,用于确定所述第三TCP分组的相应字段值是否匹配所述Cookie,如果所述第三TCP分组的相应字段值匹配所述Cookie,则确定所述客户端的源地址是真实的;如果所述第三TCP分组的相应字段值不匹配所述Cookie,则确定所述客户端的源地址是伪造的;
如果所述客户端的源地址是真实的,当所述获取模块接收到所述客户端发送的第四TCP分组时,由转发模块转发该第四TCP分组给所述服务器。
8.如权利要求7所述的方法,其特征在于,如果所述第一TCP分组为第一TCP SYN分组,则所述第二TCP分组为第二TCP SYN分组,所述第二TCP SYN分组的SEQ字段封装有Cookie,所述第三TCP分组为TCPSYN-ACK分组;
所述第三TCP分组的相应字段值匹配所述Cookie,为第三TCP分组的ACK字段值等于Cookie加1。
9.如权利要求7所述的方法,其特征在于,如果所述第一TCP分组为第一TCP SYN分组,则所述第二TCP分组为第二TCP SYN-ACK分组,所述第二TCP SYN-ACK的ACK字段封装有Cookie,所述第三TCP分组为TCPRST分组;
所述第三TCP分组的相应字段值匹配所述Cookie,为第三TCP分组的SEQ字段值等于Cookie。
10.如权利要求7所述的方法,其特征在于,如果所述第一TCP分组为第一TCP SYN-ACK分组,则所述第二TCP分组为第二TCP SYN-ACK分组,所述第二TCP SYN-ACK的ACK字段封装有Cookie,所述第三TCP分组为TCP RST分组;
所述第三TCP分组的相应字段值匹配所述Cookie,为第三TCP分组的SEQ字段值等于Cookie。
11.如权利要求7所述的防护装置,其特征在于,所述防护装置设置在路由设备或防火墙或服务器中。
12.一种通信系统,其特征在于,包括服务器、至少一个客户端以及位于该服务器和所述至少一个客户端之间的防护装置,其中,所述防护装置为权利要求7-11中任一所述的防护装置。
13.一种通信系统,其特征在于,包括服务器、至少一个客户端以及位于该服务器和所述至少一个客户端之间的防护装置,其中:
所述客户端,用于向服务器发出第一传输控制协议TCP分组以与服务器建立TCP连接;
所述防护装置,用于截获所述客户端向所述服务器发出的第一TCP分组,确定所述第一TCP分组的发送方的源地址是否经过确认,如果所述第一TCP分组的发送方的源地址是否经过确认为真实的,则将该第一TCP分组转发给所述服务器;如果所述第一TCP分组的发送方的源地址没有经过确认,则向所述第一TCP分组的发送方发出第二TCP分组,该第二TCP分组的部分字段封装有Cookie。如果所述第一TCP分组的发送方返回的第三分组的相应字段值匹配所述Cookie,则确定所述第一TCP分组的发送方的源地址是真实的;当接收到所述第一TCP分组的发送方发送的第四TCP分组时,将该第三TCP分组转发给所述服务器;
所述服务器,用于接收所述防护装置发来的第四TCP分组,响应所述第一TCP分组的发送方发来的第四TCP分组并与所述客户端建立TCP连接。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101900374A CN102014110A (zh) | 2009-09-08 | 2009-09-08 | 认证通信流量的方法、通信系统和防护装置 |
EP10814959A EP2464079A4 (en) | 2009-09-08 | 2010-08-06 | METHOD OF AUTHENTICATING COMMUNICATION TRAFFIC, COMMUNICATION SYSTEM, AND PROTECTION APPARATUS |
PCT/CN2010/075751 WO2011029357A1 (zh) | 2009-09-08 | 2010-08-06 | 认证通信流量的方法、通信系统和防护装置 |
US13/411,178 US20120227088A1 (en) | 2009-09-08 | 2012-03-02 | Method for authenticating communication traffic, communication system and protective apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101900374A CN102014110A (zh) | 2009-09-08 | 2009-09-08 | 认证通信流量的方法、通信系统和防护装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102014110A true CN102014110A (zh) | 2011-04-13 |
Family
ID=43731991
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009101900374A Pending CN102014110A (zh) | 2009-09-08 | 2009-09-08 | 认证通信流量的方法、通信系统和防护装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20120227088A1 (zh) |
EP (1) | EP2464079A4 (zh) |
CN (1) | CN102014110A (zh) |
WO (1) | WO2011029357A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102231748A (zh) * | 2011-08-02 | 2011-11-02 | 杭州迪普科技有限公司 | 一种客户端验证方法及装置 |
CN102857515A (zh) * | 2012-09-21 | 2013-01-02 | 北京神州绿盟信息安全科技股份有限公司 | 一种访问网络的控制方法及装置 |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8595477B1 (en) * | 2011-03-24 | 2013-11-26 | Google Inc. | Systems and methods for reducing handshake delay in streaming protocol web requests |
US9027129B1 (en) * | 2012-04-30 | 2015-05-05 | Brocade Communications Systems, Inc. | Techniques for protecting against denial of service attacks |
US10009445B2 (en) * | 2012-06-14 | 2018-06-26 | Qualcomm Incorporated | Avoiding unwanted TCP retransmissions using optimistic window adjustments |
CN102946387B (zh) * | 2012-11-01 | 2016-12-21 | 惠州Tcl移动通信有限公司 | 一种防御拒接服务攻击的方法 |
US9288227B2 (en) | 2012-11-28 | 2016-03-15 | Verisign, Inc. | Systems and methods for transparently monitoring network traffic for denial of service attacks |
US10027761B2 (en) * | 2013-05-03 | 2018-07-17 | A10 Networks, Inc. | Facilitating a secure 3 party network session by a network device |
KR20170074328A (ko) * | 2015-12-22 | 2017-06-30 | 주식회사 마크애니 | 티씨피 동기 패킷을 이용한 인증 시스템 및 방법 및 클라이언트 및 기록매체 |
US10432650B2 (en) | 2016-03-31 | 2019-10-01 | Stuart Staniford | System and method to protect a webserver against application exploits and attacks |
US10158666B2 (en) * | 2016-07-26 | 2018-12-18 | A10 Networks, Inc. | Mitigating TCP SYN DDoS attacks using TCP reset |
CN110120854B (zh) * | 2018-02-07 | 2021-08-31 | 华为技术有限公司 | 传输数据的方法和装置 |
WO2020111456A1 (ko) * | 2018-11-26 | 2020-06-04 | 숭실대학교산학협력단 | Sdn 네트워크의 tcp 세션 생성 방법 및 그 방법이 적용된 sdn 네트워크 |
CN109688136B (zh) * | 2018-12-27 | 2021-08-13 | 深信服科技股份有限公司 | 一种伪造ip攻击行为的检测方法、系统及相关组件 |
US20210119930A1 (en) * | 2019-10-31 | 2021-04-22 | Intel Corporation | Reliable transport architecture |
US20230016035A1 (en) * | 2021-07-15 | 2023-01-19 | Mellanox Technologies, Ltd. | Efficient connection processing |
KR102495369B1 (ko) * | 2022-04-25 | 2023-02-06 | 프라이빗테크놀로지 주식회사 | 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1954545A (zh) * | 2003-03-03 | 2007-04-25 | 思科技术公司 | 利用tcp认证ip源地址 |
CN101170402A (zh) * | 2007-11-08 | 2008-04-30 | 华为技术有限公司 | 一种采用网流技术防御tcp攻击的方法和系统 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7584352B2 (en) * | 2002-12-04 | 2009-09-01 | International Business Machines Corporation | Protection against denial of service attacks |
US20050240989A1 (en) * | 2004-04-23 | 2005-10-27 | Seoul National University Industry Foundation | Method of sharing state between stateful inspection firewalls on mep network |
CN100362802C (zh) * | 2004-06-29 | 2008-01-16 | 华为技术有限公司 | 一种抵御拒绝服务攻击的方法 |
US7568224B1 (en) * | 2004-12-06 | 2009-07-28 | Cisco Technology, Inc. | Authentication of SIP and RTP traffic |
JP3705297B1 (ja) * | 2005-01-20 | 2005-10-12 | 三菱電機株式会社 | ネットワーク伝送装置およびネットワーク伝送方法 |
CN101147376A (zh) * | 2005-02-04 | 2008-03-19 | 诺基亚公司 | 降低tcp洪泛攻击同时节省无线网络带宽的装置、方法和计算机程序产品 |
US7675854B2 (en) * | 2006-02-21 | 2010-03-09 | A10 Networks, Inc. | System and method for an adaptive TCP SYN cookie with time validation |
CN100589489C (zh) * | 2006-03-29 | 2010-02-10 | 华为技术有限公司 | 针对web服务器进行DDOS攻击的防御方法和设备 |
US7921282B1 (en) * | 2007-08-20 | 2011-04-05 | F5 Networks, Inc. | Using SYN-ACK cookies within a TCP/IP protocol |
-
2009
- 2009-09-08 CN CN2009101900374A patent/CN102014110A/zh active Pending
-
2010
- 2010-08-06 WO PCT/CN2010/075751 patent/WO2011029357A1/zh active Application Filing
- 2010-08-06 EP EP10814959A patent/EP2464079A4/en not_active Withdrawn
-
2012
- 2012-03-02 US US13/411,178 patent/US20120227088A1/en not_active Abandoned
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1954545A (zh) * | 2003-03-03 | 2007-04-25 | 思科技术公司 | 利用tcp认证ip源地址 |
CN101170402A (zh) * | 2007-11-08 | 2008-04-30 | 华为技术有限公司 | 一种采用网流技术防御tcp攻击的方法和系统 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102231748A (zh) * | 2011-08-02 | 2011-11-02 | 杭州迪普科技有限公司 | 一种客户端验证方法及装置 |
CN102231748B (zh) * | 2011-08-02 | 2014-12-24 | 杭州迪普科技有限公司 | 一种客户端验证方法及装置 |
CN102857515A (zh) * | 2012-09-21 | 2013-01-02 | 北京神州绿盟信息安全科技股份有限公司 | 一种访问网络的控制方法及装置 |
CN102857515B (zh) * | 2012-09-21 | 2015-06-17 | 北京神州绿盟信息安全科技股份有限公司 | 一种访问网络的控制方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
EP2464079A1 (en) | 2012-06-13 |
EP2464079A4 (en) | 2012-06-13 |
US20120227088A1 (en) | 2012-09-06 |
WO2011029357A1 (zh) | 2011-03-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102014110A (zh) | 认证通信流量的方法、通信系统和防护装置 | |
US8499146B2 (en) | Method and device for preventing network attacks | |
CN1954545B (zh) | 用于认证通信流量的方法和装置 | |
US20110099623A1 (en) | System and method for providing unified transport and security protocols | |
Mukaddam et al. | IP spoofing detection using modified hop count | |
US20110161664A1 (en) | Means of mitigating denial of service attacks on ip fragmentation in high performance ipsec gateways | |
Bagnulo et al. | Analysis of residual threats and possible fixes for multipath TCP (MPTCP) | |
Kavisankar et al. | A mitigation model for TCP SYN flooding with IP spoofing | |
US9641485B1 (en) | System and method for out-of-band network firewall | |
Rashid et al. | Proposed methods of IP spoofing detection & prevention | |
US8973143B2 (en) | Method and system for defeating denial of service attacks | |
Sen | A robust mechanism for defending distributed denial of service attacks on web servers | |
Rana et al. | A Study and Detection of TCP SYN Flood Attacks with IP spoofing and its Mitigations | |
Dulik | Network attack using TCP protocol for performing DoS and DDoS attacks | |
CN102291378B (zh) | 一种防御DDoS攻击的方法和设备 | |
Deng et al. | Advanced flooding attack on a SIP server | |
Zheng et al. | Application-based TCP hijacking | |
Smyslov | Internet Key Exchange Protocol Version 2 (IKEv2) Message Fragmentation | |
JP2006345268A (ja) | パケットフィルタ回路及びパケットフィルタ方法 | |
Kavisankar et al. | CNoA: Challenging Number Approach for uncovering TCP SYN flooding using SYN spoofing attack | |
US7860977B2 (en) | Data communication system and method | |
Noureldien et al. | Block Spoofed Packets at Source (BSPS): a method for detecting and preventing all types of spoofed source IP packets and SYN Flooding packets at source: a theoretical framework | |
CN112242934B (zh) | 一种tcp连接的rtt计算方法 | |
CN106131060A (zh) | 利用syn包伪装通信轨迹的tcp/ip通信控制方法 | |
Kiesel | On the use of cryptographic cookies for transport layer connection establishment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110413 |