CN102946387A - 一种防御拒接服务攻击的方法 - Google Patents
一种防御拒接服务攻击的方法 Download PDFInfo
- Publication number
- CN102946387A CN102946387A CN2012104302444A CN201210430244A CN102946387A CN 102946387 A CN102946387 A CN 102946387A CN 2012104302444 A CN2012104302444 A CN 2012104302444A CN 201210430244 A CN201210430244 A CN 201210430244A CN 102946387 A CN102946387 A CN 102946387A
- Authority
- CN
- China
- Prior art keywords
- packet
- syn
- portable terminal
- ack
- seq
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L5/00—Arrangements affording multiple use of the transmission path
- H04L5/003—Arrangements for allocating sub-channels of the transmission path
- H04L5/0053—Allocation of signaling, i.e. of overhead other than pilot signals
- H04L5/0055—Physical resource allocation for ACK/NACK
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种防御拒绝服务攻击的方法。预先在移动终端中设置一防御拒绝服务攻击的防御模块,连接请求方首先根据TCP的三次握手原理与防御模块建立连接,防御模块以连接请求方的身份向移动终端发送SYN数据包。当防御模块与所述移动终端握手成功,建立连接请求方与所述移动终端的连接。能够有效的防止DoS攻击,尤其是SYN攻击。而当用户的移动终端特别是手机作为网络热点时,可以有效抵御从网络外部达到移动终端内部的攻击。
Description
技术领域
本发明涉及网络通信领域,尤其涉及的是一种防御拒接服务攻击的方法。
背景技术
拒绝服务攻击(Denial of Service,DoS)是目前比较有效而又非常难于防御的一种网络攻击方式,它的目的就是使服务器不能够为正常访问的用户提供服务。所以,DoS对一些紧密依靠互联网开展业务的企业和组织带来了致命的威胁。
随着移动互联网时代的到来,智能手机已成成为了人们首选的上网设备。随着4G时代和IPV6的时代到来,智能手机在移动互联的网络中也会占据更加重要的地位。而现在电脑用手机当做soft ap和电脑用手机上网的应用越来越多,而在网络的体系架构中,智能设备完全暴露在网络中,极易受到外部网络的攻击,特别是拒绝服务攻击,使手机受到极大的网络威胁,安全性降低。
因此,现有技术还有待于改进和发展。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种防御拒接服务攻击的方法,以解决现有移动终端特别是手机极易受到拒绝服务攻击的问题。
本发明解决技术问题所采用的技术方案如下:
一种防御拒接服务攻击的方法,其中,包括以下步骤:
A、预先在移动终端中设置一防御拒绝服务攻击的防御模块;
B、当所述连接请求方向所述防御模块发送一请求连接的第一SYN数据包时,所述防御模块伪造第一SYN+ACK数据包,并将所述第一SYN+ACK数据包发送至所述连接请求方进行应答;
C、当所述防御模块接收到所述连接请求方应答的第一ACK数据包时,所述防御模块构建一与所述第一SYN数据包具有相同SEQ号的第二SYN数据包,并以连接请求方的身份将所述第二SYN数据包经TCP/IP协议栈发送至移动终端;
D、所述TCP/IP协议栈接收移动终端反馈的第二SYN+ACK数据包,并将所述第二SYN+ACK数据包的SEQ号减去所述第一SYN+ACK数据包的SEQ号得到一SEQ差值;
E、所述TCP/IP协议栈修改所述移动终端反馈给所述防御模块的第二SYN+ACK数据包的SEQ号,将所述第二SYN+ACK数据包的SEQ号减去所述SEQ差值;以及修改所述防御模块向所述移动终端应答的第二ACK数据包的SEQ号,将所述第二ACK数据包的SEQ号修改为所述第二ACK数据包的ACK号加上所述SEQ差值;
F、修改后的所述第二ACK数据包的SEQ号等于所述第二SYN+ACK数据包的SEQ号加1,所述防御模块与所述移动终端握手成功,由此建立连接请求方与所述移动终端的连接。
所述的防御拒接服务攻击的方法,其中,所述步骤C还包括:
步骤C1、所述防御模块在第二SYN数据包中设定一标识所述第二SYN数据包的荷载中包含有数据的标记,所述标记用于TCP/IP协议栈提取所述第二SYN数据包的SEQ号和ACK号。
所述的防御拒接服务攻击的方法,其中,所述步骤C还包括:
步骤C2、所述TCP/IP协议栈查找路由表,判断所述第二SYN数据包的发送目的地是移动终端或连接所述移动终端的网络设备。
所述的防御拒接服务攻击的方法,其中,所述步骤F之后还包括:连接请求方与移动终端建立连接后,所述TCP/IP协议栈修改连接请求方发送的TCP数据包的ACK号和移动终端响应的确认数据包的SEQ号,将所述连接发起方发送的TCP数据包的ACK号加上所述SEQ差值以及移动终端响应的确认数据包的SEQ号减去所述SEQ差值。
所述的防御拒接服务攻击的方法,其中,所述步骤F之后还包括:在所述连接请求方与所述移动终端的连接成功后,所述移动终端统计所述连接请求方发送的SYN数据包数量,当所述连接请求方发送的SYN数据包数量处在预定范围时,提取所述连接请求方发送的SYN数据包的源端口、源地址、目的端口、目的地址,并将所述连接请求方发送的SYN数据包的源端口,源地址、目的端口、目的地址保存在预先建立的哈希表中。
所述的防御拒接服务攻击的方法,其中,当所述连接请求方向所述移动发送的数据包的协议类型为ICMP或UDP协议时,通过统计收到的ICMP数据包或UDP数据包的数量判断是否受到网络攻击,当ICMP数据包的数量超过第一预定值或UDP数据包的数量超过第二预定值时,丢弃超过第一预定值的ICMP数据包或超过第二预定值的UDP数据包。
本发明所提供的防御拒接服务攻击的方法,能够有效的解决现有移动终端特别是手机极易受到拒绝服务攻击的问题,有效的防止DoS攻击,尤其是SYN攻击。而当用户的移动终端特别是手机作为soft ap时,可以有效抵御从网络外部达到移动终端内部的攻击。
附图说明
图1是本发明提供的防御拒绝服务攻击的方法流程图。
图2是本发明提供的防御拒绝服务攻击的方法的优选实施例的原理示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚、明确,以下参照附图并举实施例对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
TCP数据包在数据传输过程中,每个TCP数据包都包含有SEQ号和ACK号,SEQ号和ACK号都是网络字节序,SEQ号TCP数据包的序列号,用于表示TCP数据包的发送顺序,而ACK号表示TCP数据包的确认号,用于确认数据包已经接收。例如,在客户端与服务器通过三次握手原理建立连接时,服务器向客户端发送一个带有数据的TCP数据包,该TCP数据包中的序列号和确认号与建立连接第三步的TCP数据包中的序列号和确认号相同。客户端收到服务器发送的一TCP数据包,向服务器发送一个确认数据包,该确认数据包中,序列号是为上一个数据包中的确认号,而确认号为服务器发送的上一个数据包中的序列号加上该数据包中所带数据的大小。
本发明的主要思想是,针对现有移动终端特别是手机极易受到拒绝服务攻击的问题,预先在移动终端中设置一防御模块,通过该防御模块对外部网络或者内部网络发送的连接请求进行验证,首先根据TCP协议的三次握手原理,当外部网络或者内部网络发送第一个数据包SYN时,防御模块伪造一个SYN+ACK的数据包发送给内部网络或者外部网络。我们定义发起攻击的一方为连接请求方。如果外部网络作为连接请求方,则当防御模块收到连接请求方后续发送的ACK数据包时,防御模块构建一SYN数据包,并通过网络协议栈判断该SYN数据包是发送给移动终端还是移动终端下面链接的局域网设备,当防御模块收到移动终端发送的SYN+ACK数据包时,防御模块丢弃此数据包,并构造ACK数据包发送给移动终端或移动终端下面链接的局域网设备。移动终端或者移动终端下面链接的局域网设备通过该ACK对连接请求进行验证,如果验证成功,则建立连接请求方与移动终端或者移动终端的下面的局域网设备的连接。通过该防御模块来提高移动终端防御拒绝服务攻击的能力,增强移动终端的安全性。
本实施例以外部网络作为连接请求方进行描述。参见图1,图1是本发明提供的防御拒绝服务攻击的方法流程图,包括以下步骤:
步骤S100、预先在移动终端中设置一防御拒绝服务攻击的防御模块;
步骤S200、当所述连接请求方向所述防御模块发送一请求连接的第一SYN数据包时,所述防御模块伪造第一SYN+ACK数据包,并将所述第一SYN+ACK数据包发送至所述连接请求方进行应答;
步骤S300、当所述防御模块接收到所述连接请求方应答的第一ACK数据包时,所述防御模块构建一与所述第一SYN数据包具有相同SEQ号的第二SYN数据包,并以连接请求方的身份将所述第二SYN数据包经TCP/IP协议栈发送至移动终端;
步骤S400、所述TCP/IP协议栈接收移动终端反馈的第二SYN+ACK数据包,并将所述第二SYN+ACK数据包的SEQ号减去所述第一SYN+ACK数据包的SEQ号得到一SEQ差值;
步骤S500、所述TCP/IP协议栈修改所述移动终端反馈给所述防御模块的第二SYN+ACK数据包的SEQ号,将所述第二SYN+ACK数据包的SEQ号减去所述SEQ差值;以及修改所述防御模块向所述移动终端应答的第二ACK数据包的SEQ号,将所述第二ACK数据包的SEQ号修改为所述第二ACK数据包的ACK号加上所述SEQ差值;
步骤S600、修改后的第二ACK数据包的SEQ号等于所述第二SYN+ACK数据包的SEQ号加1,所述防御模块与所述移动终端握手成功,由此建立连接请求方与所述移动终端的连接。
下面结合具体的实施例对上述步骤进行详细的描述。
在本实施例中,移动终端为手机或者其他移动上网终端。该防御模块通过软件实现,可以为移动终端的一个应用。
首先,防御模块进行初始化设置,创建一哈希表,用于存放TCP的SYN数据包信息。之后,移动终端会对接收到的连接请求的数据包进行协议类型检测,根据不同的协议类型进行不同的处理。当所述接收到的连接请求的数据包的协议类型为TCP协议时,执行上述步骤S200-S600。
如图2所示,连接请求方首先根据TCP的三次握手原理与防御模块建立连接,然后防御模块以连接请求方的身份向移动终端发送SYN数据包,该数据包的SEQ号与连接请求方向防御模块发送的SYN数据包的SEQ号相同,我们定义连接请求方向防御模块发送的SYN数据包为第一SYN数据包,防御模块以连接请求方的身份向移动终端发送的SYN数据包为第二SYN数据包,所述第二SYN数据包经由移动终端的TCP/IP协议栈处理,为了便于TCP/IP协议栈对第二SYN数据包的处理,防御模块会在第二SYN数据包中设置一标识其中包含有数据的标记,该标记用于标识该SYN数据包已经经过防御模块的处理,且其中包含有数据。其中,标记的第一个4字节标识该SYN数据包已经经过处理,例如该4字节的内容为0x123456,而第二个4字节标识数据包中的内容。其中数据的内容为防御模块发送给连接请求方的SYN+ACK数据包的SEQ号,也即是第一SYN+ACK数据包的SEQ号,我们定义为Y。
在TCP/IP协议栈接收到该第二SYN数据包时,TCP/IP协议栈可以根据防御模块设置的标记,提取第二SYN数据包的SEQ号和ACK号,所述第二SYN数据包的SEQ号为第一ACK数据包的SEQ号减去1。这样,第二SYN数据包的SEQ号和第一SYN数据包的SEQ号相同,以便防御模块以连接请求方的身份与移动终端进行连接。TCP/IP协议栈还根据该标记提取第二SYN数据包中的数据,即第一SYN+ACK数据包的SEQ号Y。
TCP/IP协议栈将第二SYN数据包发送至移动终端,移动终端反馈一SYN+ACK数据包,我们定义为第二SYN+ACK数据包。其中,定义第二SYN+ACK数据包的SEQ号为Z,第二SYN+ACK数据包经TCP/IP协议栈处理,TCP/IP协议栈提取所述第二SYN+ACK数据包的SEQ号Z,并用第二SYN+ACK数据包的SEQ号Z减去第一SYN+ACK数据包的SEQ号Y,得到一SEQ差值R(R=Z-Y)。然后TCP/IP协议栈对第二SYN+ACK数据包的SEQ号进行修改,将第二SYN+ACK数据包的SEQ号Z减去所述SEQ差值R,并将修改后的SYN+ACK数据包发送至防御模块,防御模块丢弃该修改后的SYN+ACK数据包,并构建一ACK数据包,我们定义为第二ACK数据包,其中,第二ACK数据包的ACK号设定为上述修改后的SYN+ACK数据包的SEQ号(Z-R)加1,之后防御模块将该ACK数据包发送给TCP/IP协议栈处理,TCP/IP协议栈对第二ACK数据包进行修改,将第二ACK数据包的SEQ号修改为第二ACK数据包的ACK号加上上述SEQ差值R,修改后的第二ACK数据包的SEQ号为(Z-R+1)+R=Z+1。移动终端接收到的修改后的第二ACK数据包的SEQ号刚好等于第二SYN+ACK数据包的SEQ号加1。此时,防御模块就以连接请求方的身份与移动终端三次握手成功,由此作为连接请求方的外部网络就通过防御模块与移动终端建立了可信连接。
而在连接请求方与移动终端建立连接后,所述TCP/IP协议栈修改连接请求方发送的TCP数据包的ACK号和移动终端响应的确认数据包的SEQ号,将所述连接发起方发送的TCP数据包的ACK号加上所述SEQ差值,以及将移动终端响应的确认数据包的SEQ号减去所述SEQ差值。由此来防御拒绝服务攻击。
在上述过程中,移动终端会统计接收到的SYN数据包的数量,判断移动终端是否受到TCP的DoS攻击,通过检测一定时间内收到的SYN数据包和只有SYN没有ACK的数据包的数量来判断。例如,每隔3S统计一次当前SYN数据包的数量,将只有发送了SYN数据包但是没有发送ACK数据包的统计在内,当当前SYN数据包的数量小于100时,判定移动终端当前处于正常状态;当当前SYN数据包的数量大于100小于300时,判定移动终端当前处于中等危险状态,当当前SYN数据包的数量大于300时,判定移动终端处于危险状态。而不管在何种状态下,同一个IP地址,在一定时间内发送了5个SYN数据包,而没有发送ACK数据包,那么就判定此地址为一个攻击地址,直接丢弃此数据包,以此来抵御拒接服务攻击。
在正常状态下,移动终端对所有的SYN数据包都进行处理。而在危险状态下,由于移动终端正处于数据处理的忙碌状态,很有可能在丢弃数据包,此时只处理已经收到的SYN数据包,并且每个地址的发送的SYN数据包的数量要小于5,否则,丢弃此数据包。当移动终端处于中等危险状态时,即连接请求方发送的SYN数据包数量处在预定范围时,该预定范围如上述的当前SYN数据包的数量大于100小于300,只处理未在哈希表里留下记录的SYN数据包,提取SYN数据包包含的源端口、源地址、目的端口和目的地址 4个数据,并进行哈希运算,把此4个值保存到哈希表中。而如果移动终端当前处于危险状态,那么直接丢弃此数据包。
在上述过程中,所述TCP/IP协议栈会通过查找路由表,判断所述第二SYN数据包的发送目的地是移动终端或连接所述移动终端的网络设备。而当移动终端作为网络热点时,移动终端下面链接的局域网设备以移动终端为数据中转点,与外部网络建立可信连接。
上面实施例主要描述连接请求方发送的数据包类型为TCP协议的情况,而当所述连接请求方向所述移动发送的数据包的协议类型为ICMP或UDP协议时,移动终端会通过统计收到的ICMP数据包或UDP数据包的数量判断是否受到网络攻击,我们可以设定ICMP数据包的限定数量为第一预定值,UDP数据包的限定数量为第二预定值,而当ICMP数据包的数量超过第一预定值或UDP数据包的数量超过第二预定值时,控制ICMP数据包或UDP数据包的收发数量。例如,第一预定值为100,第二预定值为200,则设定每秒之内是只收取100个ICMP数据包,而每秒只收取200个UDP数据包,如果超过设定的数量,则直接丢弃多余的ICMP数据包或UDP数据包。
本发明中的移动终端为手机或平板电脑等通信终端。
通过本发明提供的防御拒绝服务攻击的方法,通过预先在移动终端中设置一防御拒绝服务攻击的防御模块,连接请求方首先根据TCP的三次握手原理与防御模块建立连接,防御模块以连接请求方的身份向移动终端发送SYN数据包。当防御模块与所述移动终端握手成功,建立连接请求方与所述移动终端的连接。能够有效的防止DoS攻击,尤其是SYN攻击。而当用户的移动终端特别是手机作为网络热点时,可以有效抵御从网络外部达到移动终端内部的攻击。
应当理解的是,本发明的应用不限于上述的举例,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,所有这些改进和变换都应属于本发明所附权利要求的保护范围。
Claims (6)
1.一种防御拒接服务攻击的方法,其特征在于,包括以下步骤:
A、预先在移动终端中设置一防御拒绝服务攻击的防御模块;
B、当所述连接请求方向所述防御模块发送一请求连接的第一SYN数据包时,所述防御模块伪造第一SYN+ACK数据包,并将所述第一SYN+ACK数据包发送至所述连接请求方进行应答;
C、当所述防御模块接收到所述连接请求方应答的第一ACK数据包时,所述防御模块构建一与所述第一SYN数据包具有相同SEQ号的第二SYN数据包,并以连接请求方的身份将所述第二SYN数据包经TCP/IP协议栈发送至移动终端;
D、所述TCP/IP协议栈接收移动终端反馈的第二SYN+ACK数据包,并将所述第二SYN+ACK数据包的SEQ号减去所述第一SYN+ACK数据包的SEQ号得到一SEQ差值;
E、所述TCP/IP协议栈修改所述移动终端反馈给所述防御模块的第二SYN+ACK数据包的SEQ号,将所述第二SYN+ACK数据包的SEQ号减去所述SEQ差值;以及修改所述防御模块向所述移动终端应答的第二ACK数据包的SEQ号,将所述第二ACK数据包的SEQ号修改为所述第二ACK数据包的ACK号加上所述SEQ差值;
F、修改后的所述第二ACK数据包的SEQ号等于所述第二SYN+ACK数据包的SEQ号加1,所述防御模块与所述移动终端握手成功,由此建立连接请求方与所述移动终端的连接。
2.根据权利要求1所述的防御拒接服务攻击的方法,其特征在于,所述步骤C还包括:
步骤C1、所述防御模块在第二SYN数据包中设定一标识所述第二SYN数据包的荷载中包含有数据的标记,所述标记用于TCP/IP协议栈提取所述第二SYN数据包的SEQ号和ACK号。
3.根据权利要求1所述的防御拒接服务攻击的方法,其特征在于,所述步骤C还包括:
步骤C2、所述TCP/IP协议栈查找路由表,判断所述第二SYN数据包的发送目的地是移动终端或连接所述移动终端的网络设备。
4.根据权利要求1所述的防御拒接服务攻击的方法,其特征在于,所述步骤F之后还包括:连接请求方与移动终端建立连接后,所述TCP/IP协议栈修改连接请求方发送的TCP数据包的ACK号和移动终端响应的确认数据包的SEQ号,将所述连接发起方发送的TCP数据包的ACK号加上所述SEQ差值以及移动终端响应的确认数据包的SEQ号减去所述SEQ差值。
5.根据权利要求1所述的防御拒接服务攻击的方法,其特征在于,所述步骤F之后还包括:在所述连接请求方与所述移动终端的连接成功后,所述移动终端统计所述连接请求方发送的SYN数据包数量,当所述连接请求方发送的SYN数据包数量处在预定范围时,提取所述连接请求方发送的SYN数据包的源端口、源地址、目的端口、目的地址,并将所述连接请求方发送的SYN数据包的源端口,源地址、目的端口、目的地址保存在预先建立的哈希表中。
6.根据权利要求5所述的防御拒接服务攻击的方法,其特征在于,当所述连接请求方向所述移动发送的数据包的协议类型为ICMP或UDP协议时,通过统计收到的ICMP数据包或UDP数据包的数量判断是否受到网络攻击,当ICMP数据包的数量超过第一预定值或UDP数据包的数量超过第二预定值时,丢弃超过第一预定值的ICMP数据包或超过第二预定值的UDP数据包。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210430244.4A CN102946387B (zh) | 2012-11-01 | 2012-11-01 | 一种防御拒接服务攻击的方法 |
| ES13851231T ES2703762T3 (es) | 2012-11-01 | 2013-08-07 | Método para procesado de paquetes, dispositivo electrónico y medio de almacenamiento |
| EP13851231.4A EP2916508B1 (en) | 2012-11-01 | 2013-08-07 | Data packet processing method, electronic device, and storage medium |
| PCT/CN2013/080991 WO2014067310A1 (zh) | 2012-11-01 | 2013-08-07 | 数据包处理方法、电子设备及存储介质 |
| US14/388,989 US9313225B2 (en) | 2012-11-01 | 2013-08-07 | Method for packet processing, electronic device and storage medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210430244.4A CN102946387B (zh) | 2012-11-01 | 2012-11-01 | 一种防御拒接服务攻击的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102946387A true CN102946387A (zh) | 2013-02-27 |
| CN102946387B CN102946387B (zh) | 2016-12-21 |
Family
ID=47729294
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210430244.4A Active CN102946387B (zh) | 2012-11-01 | 2012-11-01 | 一种防御拒接服务攻击的方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9313225B2 (zh) |
| EP (1) | EP2916508B1 (zh) |
| CN (1) | CN102946387B (zh) |
| ES (1) | ES2703762T3 (zh) |
| WO (1) | WO2014067310A1 (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014067310A1 (zh) * | 2012-11-01 | 2014-05-08 | 惠州Tcl移动通信有限公司 | 数据包处理方法、电子设备及存储介质 |
| CN104506559A (zh) * | 2015-01-09 | 2015-04-08 | 重庆蓝岸通讯技术有限公司 | 一种基于Android系统的DDoS防御系统和方法 |
| CN104601541A (zh) * | 2014-12-05 | 2015-05-06 | 华为技术有限公司 | 数据传输的方法、服务器和用户设备 |
| CN105100072A (zh) * | 2015-06-30 | 2015-11-25 | 东软集团股份有限公司 | 一种网络节点监测方法及装置 |
| CN106534048A (zh) * | 2015-09-11 | 2017-03-22 | 中国电信股份有限公司 | 一种防范sdn拒绝服务攻击的方法、交换机和系统 |
| CN107534642A (zh) * | 2015-04-16 | 2018-01-02 | 瑞典爱立信有限公司 | 用于对用在客户端和服务器之间的通信中的计算难题进行建立的方法和设备 |
| CN107800674A (zh) * | 2016-09-07 | 2018-03-13 | 百度在线网络技术(北京)有限公司 | 一种用于检测分布式拒绝服务的攻击流量的方法和装置 |
| CN109587163A (zh) * | 2018-12-27 | 2019-04-05 | 网宿科技股份有限公司 | 一种dr模式下的防护方法和装置 |
| CN110177115A (zh) * | 2019-06-10 | 2019-08-27 | 中国民航大学 | 基于多特征融合的LDoS攻击检测方法 |
| CN114221812A (zh) * | 2021-12-15 | 2022-03-22 | 合肥赛猊腾龙信息技术有限公司 | 利用网络环境信任程度技术选择数据防泄露策略的方法 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106302495A (zh) * | 2016-08-25 | 2017-01-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种ACK Flood攻击的防护方法及中间防护装置 |
| WO2018224720A1 (en) * | 2017-06-07 | 2018-12-13 | Airo Finland Oy | Defend against denial of service attack |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040008681A1 (en) * | 2002-07-15 | 2004-01-15 | Priya Govindarajan | Prevention of denial of service attacks |
| US6823387B1 (en) * | 2000-06-23 | 2004-11-23 | Microsoft Corporation | System and method for enhancing a server's ability to withstand a “SYN flood” denial of service attack |
| CN101594359A (zh) * | 2009-07-01 | 2009-12-02 | 杭州华三通信技术有限公司 | 防御传输控制协议同步洪泛攻击方法及传输控制协议代理 |
| CN101729513A (zh) * | 2008-10-27 | 2010-06-09 | 成都市华为赛门铁克科技有限公司 | 网络认证方法和装置 |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6701370B1 (en) * | 1994-06-08 | 2004-03-02 | Hughes Electronics Corporation | Network system with TCP/IP protocol spoofing |
| US6772334B1 (en) * | 2000-08-31 | 2004-08-03 | Networks Associates, Inc. | System and method for preventing a spoofed denial of service attack in a networked computing environment |
| US7584352B2 (en) * | 2002-12-04 | 2009-09-01 | International Business Machines Corporation | Protection against denial of service attacks |
| US20040123142A1 (en) | 2002-12-18 | 2004-06-24 | Dubal Scott P. | Detecting a network attack |
| US7979694B2 (en) * | 2003-03-03 | 2011-07-12 | Cisco Technology, Inc. | Using TCP to authenticate IP source addresses |
| US8238241B2 (en) * | 2003-07-29 | 2012-08-07 | Citrix Systems, Inc. | Automatic detection and window virtualization for flow control |
| US7366170B2 (en) * | 2003-09-25 | 2008-04-29 | Kabushiki Kaisha Toshiba | Communication connection method, authentication method, server computer, client computer and program |
| US7899913B2 (en) * | 2003-12-19 | 2011-03-01 | Nvidia Corporation | Connection management system and method for a transport offload engine |
| JP2008505512A (ja) * | 2004-04-12 | 2008-02-21 | エックスディエス・インコーポレイテッド | ファイアウォールを有するサーバとファイアウォールを有するクライアントとの間の安全なインターネット接続を自動的に起動し動的に確立するためのシステムおよび方法 |
| US7936682B2 (en) * | 2004-11-09 | 2011-05-03 | Cisco Technology, Inc. | Detecting malicious attacks using network behavior and header analysis |
| US7392323B2 (en) * | 2004-11-16 | 2008-06-24 | Seiko Epson Corporation | Method and apparatus for tunneling data using a single simulated stateful TCP connection |
| US7971256B2 (en) * | 2005-10-20 | 2011-06-28 | Cisco Technology, Inc. | Mechanism to correlate the presence of worms in a network |
| JP4634320B2 (ja) * | 2006-02-28 | 2011-02-16 | 株式会社日立製作所 | 対異常通信防御を行うための装置とネットワークシステム |
| US9154512B2 (en) * | 2006-03-30 | 2015-10-06 | Cisco Technology, Inc. | Transparently proxying transport protocol connections using an external server |
| US20070291782A1 (en) * | 2006-06-14 | 2007-12-20 | Claude Basso | Acknowledgement filtering |
| US8059546B2 (en) * | 2008-09-05 | 2011-11-15 | Cisco Technology, Inc. | Traffic flow scheduling techniques implemented on bonded channels of a shared access cable network |
| EP2202935B1 (en) * | 2008-12-23 | 2012-06-20 | Nokia Siemens Networks OY | Method and device for processing data in a network |
| CN101834833B (zh) * | 2009-03-13 | 2014-12-24 | 瞻博网络公司 | 对分布式拒绝服务攻击的服务器防护 |
| CN102014110A (zh) * | 2009-09-08 | 2011-04-13 | 华为技术有限公司 | 认证通信流量的方法、通信系统和防护装置 |
| KR101263329B1 (ko) * | 2009-12-02 | 2013-05-16 | 한국전자통신연구원 | 네트워크 공격 방어 장치 및 방법, 이를 포함한 패킷 송수신 처리 장치 및 방법 |
| US8572260B2 (en) * | 2010-11-22 | 2013-10-29 | Ixia | Predetermined ports for multi-core architectures |
| CN102130910B (zh) * | 2011-02-28 | 2015-04-29 | 华为技术有限公司 | Tcp代理插入和卸载方法及业务网关设备 |
| CN102655509B (zh) | 2012-05-07 | 2014-12-24 | 福建星网锐捷网络有限公司 | 一种网络攻击识别方法及装置 |
| CN102946387B (zh) | 2012-11-01 | 2016-12-21 | 惠州Tcl移动通信有限公司 | 一种防御拒接服务攻击的方法 |
-
2012
- 2012-11-01 CN CN201210430244.4A patent/CN102946387B/zh active Active
-
2013
- 2013-08-07 EP EP13851231.4A patent/EP2916508B1/en active Active
- 2013-08-07 WO PCT/CN2013/080991 patent/WO2014067310A1/zh active Application Filing
- 2013-08-07 ES ES13851231T patent/ES2703762T3/es active Active
- 2013-08-07 US US14/388,989 patent/US9313225B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6823387B1 (en) * | 2000-06-23 | 2004-11-23 | Microsoft Corporation | System and method for enhancing a server's ability to withstand a “SYN flood” denial of service attack |
| US20040008681A1 (en) * | 2002-07-15 | 2004-01-15 | Priya Govindarajan | Prevention of denial of service attacks |
| CN101729513A (zh) * | 2008-10-27 | 2010-06-09 | 成都市华为赛门铁克科技有限公司 | 网络认证方法和装置 |
| CN101594359A (zh) * | 2009-07-01 | 2009-12-02 | 杭州华三通信技术有限公司 | 防御传输控制协议同步洪泛攻击方法及传输控制协议代理 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014067310A1 (zh) * | 2012-11-01 | 2014-05-08 | 惠州Tcl移动通信有限公司 | 数据包处理方法、电子设备及存储介质 |
| US9313225B2 (en) | 2012-11-01 | 2016-04-12 | Huizhou Tcl Mobile Communication Co., Ltd. | Method for packet processing, electronic device and storage medium |
| CN104601541A (zh) * | 2014-12-05 | 2015-05-06 | 华为技术有限公司 | 数据传输的方法、服务器和用户设备 |
| CN104506559A (zh) * | 2015-01-09 | 2015-04-08 | 重庆蓝岸通讯技术有限公司 | 一种基于Android系统的DDoS防御系统和方法 |
| CN104506559B (zh) * | 2015-01-09 | 2018-01-23 | 重庆蓝岸通讯技术有限公司 | 一种基于Android系统的DDoS防御系统和方法 |
| US10735392B2 (en) | 2015-04-16 | 2020-08-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and device for establishing a computational puzzle for use in communication between a client and a server |
| CN107534642B (zh) * | 2015-04-16 | 2020-11-10 | 瑞典爱立信有限公司 | 用于对用在客户端和服务器之间的通信中的计算难题进行建立的方法和设备 |
| CN107534642A (zh) * | 2015-04-16 | 2018-01-02 | 瑞典爱立信有限公司 | 用于对用在客户端和服务器之间的通信中的计算难题进行建立的方法和设备 |
| CN105100072A (zh) * | 2015-06-30 | 2015-11-25 | 东软集团股份有限公司 | 一种网络节点监测方法及装置 |
| CN106534048A (zh) * | 2015-09-11 | 2017-03-22 | 中国电信股份有限公司 | 一种防范sdn拒绝服务攻击的方法、交换机和系统 |
| CN107800674A (zh) * | 2016-09-07 | 2018-03-13 | 百度在线网络技术(北京)有限公司 | 一种用于检测分布式拒绝服务的攻击流量的方法和装置 |
| CN109587163A (zh) * | 2018-12-27 | 2019-04-05 | 网宿科技股份有限公司 | 一种dr模式下的防护方法和装置 |
| CN110177115A (zh) * | 2019-06-10 | 2019-08-27 | 中国民航大学 | 基于多特征融合的LDoS攻击检测方法 |
| CN114221812A (zh) * | 2021-12-15 | 2022-03-22 | 合肥赛猊腾龙信息技术有限公司 | 利用网络环境信任程度技术选择数据防泄露策略的方法 |
| CN114221812B (zh) * | 2021-12-15 | 2024-02-09 | 合肥赛猊腾龙信息技术有限公司 | 利用网络环境信任程度技术选择数据防泄露策略的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9313225B2 (en) | 2016-04-12 |
| EP2916508A4 (en) | 2016-07-06 |
| EP2916508A1 (en) | 2015-09-09 |
| EP2916508B1 (en) | 2018-10-10 |
| WO2014067310A1 (zh) | 2014-05-08 |
| ES2703762T3 (es) | 2019-03-12 |
| CN102946387B (zh) | 2016-12-21 |
| US20150067840A1 (en) | 2015-03-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102946387A (zh) | 一种防御拒接服务攻击的方法 | |
| CN101175013B (zh) | 一种拒绝服务攻击防护方法、网络系统和代理服务器 | |
| US6202081B1 (en) | Method and protocol for synchronized transfer-window based firewall traversal | |
| CN101834833B (zh) | 对分布式拒绝服务攻击的服务器防护 | |
| US8332532B2 (en) | Connectivity over stateful firewalls | |
| CN101378395B (zh) | 一种防止拒绝访问攻击的方法及装置 | |
| EP2464079A1 (en) | Method for authenticating communication traffic, communication system and protection apparatus | |
| CN106470136B (zh) | 平台测试方法以及平台测试系统 | |
| CN108809923A (zh) | 在检测DDoS攻击时的流量过滤的系统和方法 | |
| US20070091902A1 (en) | Securely managing network element state information in transport-layer associations | |
| WO2006082507A1 (en) | Apparatus, method and computer program product to reduce tcp flooding attacks while conserving wireless network bandwidth | |
| US11689564B2 (en) | Method and apparatus for processing data in cleaning device | |
| CN101771695A (zh) | Tcp连接的处理方法、系统及syn代理设备 | |
| CN103475706B (zh) | 基于syn-ack双服务器反弹模式的伪tcp隐蔽通信方法 | |
| CN105578463B (zh) | 一种双连接安全通讯的方法及装置 | |
| CN103795632A (zh) | 一种数据报文传输方法及相关设备、系统 | |
| CN111064755B (zh) | 一种数据保护方法、装置、计算机设备和存储介质 | |
| CN106230861A (zh) | 一种路由器防火墙下网络访问方法及路由器 | |
| US20210044570A1 (en) | Packet transmission method and system thereof | |
| CN101247261A (zh) | 一种防止DDos攻击的方法及设备 | |
| CN107094183B (zh) | 一种基于端口跳变的ftp文件可靠传输方法 | |
| CN106685930A (zh) | 一种传输控制协议选项的处理方法及装置 | |
| US8973143B2 (en) | Method and system for defeating denial of service attacks | |
| RU2304302C2 (ru) | Способ обработки сетевых пакетов для обнаружения компьютерных атак | |
| KR100998284B1 (ko) | 네트워크와 보안이 통합된 보안스위치 장치 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |