CN104079558A - 一种防止DoS攻击的方法及防火墙 - Google Patents
一种防止DoS攻击的方法及防火墙 Download PDFInfo
- Publication number
- CN104079558A CN104079558A CN201410219912.8A CN201410219912A CN104079558A CN 104079558 A CN104079558 A CN 104079558A CN 201410219912 A CN201410219912 A CN 201410219912A CN 104079558 A CN104079558 A CN 104079558A
- Authority
- CN
- China
- Prior art keywords
- ike
- message
- cookie value
- value
- dos
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种防止DoS攻击的方法及防火墙,该方法包括步骤:步骤S1,接收IKE报文;步骤S2,检查IKE报文中的cookie值是否完整;步骤S3,如果所述cookie值完整并且IKE SA数据库中有对应的值,则继续IKE协商过程,否则将所述IKE报文丢弃;步骤S4,如果所述cookie值中只有源cookie值,并且IKE SA数据库中有对应的值,则再次发送回应报文;步骤S5,如果所述cookie值中只有源cookie值,并且IKE SA数据库中没有对应的值,则根据是否开启了防DoS功能,对所述IKE报文进行处理,能够有效地防止响应者在IKE协商过程中受到DoS攻击。
Description
技术领域
本发明涉及防DoS攻击领域,尤其涉及一种防止DoS攻击的方法及防火墙。
背景技术
IKE(Internet Key Exchange)的协商过程包括主模式和野蛮模式,IKE协商中发起者事先不知道响应者的cookie值,在发往响应者的第一条消息中响应者的cookie值将被置为0,因此响应者就不可能知道这条消息是否是虚假交换请求,由于响应者在接收到第一条消息时即创建状态,因此恶意攻击者可以通过发大量的初始消息使响应者不停地创建状态、耗费内存资源,最终导致内存耗尽、系统崩溃,因此IKE容易受到的损耗内存资源的DoS(Denial of Service)攻击。另外,在野蛮模式中,IKE需要在第一次协商中通过Dffie-Hellman交换进行密钥协商,其中的模幂运算会占用较大的计算资源。DoS攻击者会通过IP欺骗的方法发起大量虚假交换请求,如果响应者不能分辨出这些伪造的请求,则不得不对伪造的请求进行大量模幂运算,导致消耗耗CPU资源的DoS攻击。因此主模式和野蛮模式初始交换都会受到消耗内存资源的DoS攻击,同时野蛮模式还会受到消耗CPU资源的DoS攻击。
发明内容
本发明鉴于上述情况而作出,其目的是提供一种防止DoS攻击的方法及防火墙,能够有效地防止响应者在IKE协商过程中受到DoS攻击。
根据本发明的一个方面,提供一种防止DoS攻击的方法,包括以下步骤:
步骤S1,接收IKE报文。
步骤S2,检查IKE报文中的cookie值是否完整。
步骤S3,如果所述cookie值完整并且IKE SA(Security Association)数据库中有对应的值,则继续IKE协商过程,否则将所述IKE报文丢弃。
步骤S4,如果所述cookie值中只有源cookie值,并且IKE SA数据库中有对应的值,则再次发送回应报文。
步骤S5,如果所述cookie值中只有源cookie值,并且IKE SA数据库中没有对应的值,则根据是否开启了防DoS功能,对所述IKE报文进行处理。
具体地,步骤S3中,所述cookie值完整是指所述cookie值中源cookie值和目的cookie值都存在。
进一步地,根据是否开启了防DoS功能,对所述IKE报文进行处理包括步骤:
步骤S501,如果没有开启防DoS功能,则判断整机最大半连接数是否达到上限,如果达到则将所述IKE报文丢弃,否则将半连接个数加1并创建与所述IKE报文对应的IKE SA连接结构体,并将所述IKE SA连接结构体存储至IKE SA数据库中,构造回应报文并发送。
步骤S502,如果开启了防DoS功能,则对防DoS攻击表进行检索,如果防DoS攻击表中存在与源cookie值相同的cookie值,则判断整机最大半连接数是否达到上限,如果达到则丢弃所述IKE报文,否则将半连接个数加1并创建与所述IKE报文对应的IKE SA连接结构体,并将所述IKE SA连接结构体存储至IKE SA数据库中,构造回应报文并发送,清除防DoS攻击表与源cookie值对应的表项。
步骤S503,如果开启了防DoS功能,且防DoS攻击表中不存在与源cookie值相同的cookie值,则判断整机最大半连接数是否达防攻击记录边界值,如果没有达到则将半连接个数加1并创建与所述IKE报文对应的IKE SA连接结构体,并将所述IKE SA连接结构体存储至IKE SA数据库中,构造回应报文并发送;如果整机最大半连接数达到防攻击记录边界值,则将源cookie值记录到防DoS攻击表中,并丢弃所述IKE报文。
其中,整机最大半连接数上限为4000,所述防攻击记录边界值为1000。
进一步地,步骤S1之前还包括:开启防DoS攻击功能,配置防DoS攻击的防攻击记录边界值和整机最大半连接数的上限。
根据本发明的另一方面,提供一种防止DoS攻击的防火墙,包括:
接收单元,用于接收IKE报文;
检查单元,用于检查IKE报文中的cookie值是否完整;
第一处理单元,用于在所述cookie值完整并且IKE SA数据库中有对应的值时,继续IKE协商过程,否则将所述IKE报文丢弃;
第二处理单元,用于在所述cookie值中只有源cookie值,并且IKE SA数据库中有对应的值时,再次发送回应报文;
第三处理单元,用于在所述cookie值中只有源cookie值,并且IKE SA数据库中没有对应的值时,根据是否开启了防DoS功能,对所述IKE报文进行处理。
其中,所述cookie值完整是指所述cookie值中源cookie值和目的cookie值都存在。
进一步地,所述根据是否开启了防DoS功能,对所述IKE报文进行处理包括:
如果防火墙没有开启防DoS功能,则判断整机最大半连接数是否达到上限,如果达到则将所述IKE报文丢弃,否则将半连接个数加1并创建与所述IKE报文对应的IKE SA连接结构体,并将所述IKE SA连接结构体存储至IKE SA数据库中,构造回应报文并发送。
如果防火墙开启了防DoS功能,则对防DoS攻击表进行检索,如果防DoS攻击表中存在与源cookie值相同的cookie值,则判断整机最大半连接数是否达到上限,如果达到则丢弃所述IKE报文,否则将半连接个数加1并创建与所述IKE报文对应的IKE SA连接结构体,并将所述IKE SA连接结构体存储至IKE SA数据库中,构造回应报文并发送;并且清除防DoS攻击表与源cookie值对应的表项。
如果防DoS攻击表中不存在与源cookie值相同的cookie值,则判断整机最大半连接数是否达防攻击记录边界值,如果没有达到则将半连接个数加1并创建与所述IKE报文对应的IKE SA连接结构体,并将所述IKE SA连接结构体存储至IKE SA数据库中,构造回应报文并发送;如果整机最大半连接数达到防攻击记录边界值,则将源cookie值记录到防DoS攻击表中,并丢弃所述IKE报文。
其中,所述整机最大半连接数上限为4000;所述防攻击记录边界值为1000。
进一步地,所述防火墙还包括配置单元,用于在接收单元接收所述IKE报文之前,启防DoS攻击功能,配置防DoS攻击的防攻击记录边界值和整机最大半连接数的上限。
根据本发明,提供了一种防止DoS攻击的方法及防火墙,能够有效地防止响应者在IKE协商过程中受到DoS攻击。
附图说明
图1是本发明的一种防止DoS攻击的方法的流程示意图;
图2是本发明的一种防止DoS攻击的方法的子流程示意图;
图3是本发明的一种防止DoS攻击的防火墙的组网示意图;
图4是本发明的一种防止DoS攻击的防火墙的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
本发明提供一种防止DoS攻击的方法及防火墙,能够有效地防止响应者在IKE协商过程中受到DoS攻击。
IKE(Internet Key Exchange)的协商过程包括主模式和野蛮模式,具体协商过程如下:
主模式协商:
发起者a------------------------------响应者b
------cookie abc1230-------第一次交互(配置交互)
-----cookie abc123456bca-----
------cookie abc123456bca----第二次交互(dh交互)
-----cookie abc123456bca-----
-----cookie abc123456bca---第三次交互(身分认证)
-----cookie abc123456bca-----
野蛮模式协商:
发起者a-------------------------------响应者b
----cookie abc1230-------第一次交互(配置、dh交互)
-----cookie abc123456bca-----
-----cookie abc123456bca--第二次交互(身分认证)
从上述协商过程中可知,IKE协商中发起者事先不知道响应者的cookie值,在发往响应者的第一条消息中响应者的cookie值将被置为0,因此响应者就不可能知道这条消息是否是虚假交换请求,由于响应者在接收到第一条消息时即创建状态,因此恶意攻击者可以通过发大量的初始消息使响应者不停地创建状态、耗费内存资源,最终导致内存耗尽、系统崩溃。另外,在野蛮模式中,IKE需要在第一次协商中通过Dffie-Hellman交换进行密钥协商,其中的模幂运算会占用较大的计算资源。DoS攻击者会通过IP欺骗的方法发起大量虚假交换请求,如果响应者不能分辨出这些伪造的请求,则不得不对伪造的请求进行大量模幂运算,导致消耗耗CPU资源的DoS攻击。因此主模式和野蛮模式初始交换都会受到消耗内存资源的DoS攻击,同时野蛮模式还会受到消耗CPU资源的DoS攻击。
图1是本发明的一种防止DoS攻击的方法的流程示意图。
图2是本发明的一种防止DoS攻击的方法的子流程示意图。
如图1,图2所示,一种防止DoS攻击的方法,包括以下步骤:
步骤S1,接收IKE报文。
响应者接收来自发起者的IKE报文。
步骤S2,检查IKE报文中的cookie值是否完整。
响应者对接收到的IKE报文中的cookie值进行检查,如果cookie值中源cookie值和目的cookie值都存在,则说明cookie值是完整的。
步骤S3,如果所述cookie值完整并且IKE SA数据库中有对应的值,则继续IKE协商过程,否则将所述IKE报文丢弃。
IKE SA数据库中有对应的值是指在IKE SA数据库中有与源cookie值和目的cookie值对应的IKE SA连接结构体。
步骤S4,如果所述cookie值中只有源cookie值,并且IKE SA数据库中有对应的值,则再次发送回应报文。
发起者事先不知道响应者的cookie值,在发往响应者的第一条消息中响应者的cookie值将被置为0,此时所述cookie值中只有源cookie值,即发起者的cookie值。
步骤S5,如果所述cookie值中只有源cookie值,并且IKE SA数据库中没有对应的值,则根据是否开启了防DoS功能,对所述IKE报文进行处理。
进一步地,步骤S5中,所述根据是否开启了防DoS功能,对所述IKE报文进行处理包括步骤:
步骤S501,如果没有开启防DoS功能,则判断整机最大半连接数是否达到上限,如果达到则将所述IKE报文丢弃,否则将半连接个数加1并创建与所述IKE报文对应的IKE SA连接结构体,并将所述IKE SA连接结构体存储至IKE SA数据库中,构造回应报文并发送。
如果响应者没有开启防DoS功能,则只能根据整机最大半连接数是否达到上限来判断是否丢弃报文,此时无法防范DoS攻击。
步骤S502,如果开启了防DoS功能,则对防DoS攻击表进行检索,如果防DoS攻击表中存在与源cookie值相同的cookie值,则判断整机最大半连接数是否达到上限,如果达到则丢弃所述IKE报文,否则将半连接个数加1并创建与所述IKE报文对应的IKE SA连接结构体,并将所述IKE SA连接结构体存储至IKE SA数据库中,构造回应报文并发送,清除防DoS攻击表与源cookie值对应的表项。
如果防DoS攻击表中存在与源cookie值相同的cookie值,说明所述IKE报文不是第一次被接收到,因此所述IKE报文不是恶意的DoS攻击报文。
步骤S503,如果开启了防DoS功能,且防DoS攻击表中不存在与源cookie值相同的cookie值,则判断整机最大半连接数是否达防攻击记录边界值,如果没有达到则将半连接个数加1并创建与所述IKE报文对应的IKE SA连接结构体,并将所述IKE SA连接结构体存储至IKE SA数据库中,构造回应报文并发送;
如果整机最大半连接数达到防攻击记录边界值,则将源cookie值记录到防DoS攻击表中,并丢弃所述IKE报文。
如果防DoS攻击表中不存在与源cookie值相同的cookie值,则所述IKE报文有可能是DoS攻击报文,因此用数值比整机最大半连接数小的防攻击记录边界值来对此类报文的数量进行控制,防止可能的DoS攻击。
其中,整机最大半连接数上限为4000,所述防攻击记录边界值为1000。
进一步地,步骤S1之前还包括:开启防DoS攻击功能,配置防DoS攻击的防攻击记录边界值和整机最大半连接数的上限。
图3是本发明的一种防止DoS攻击的防火墙的组网示意图。
图4是本发明的一种防止DoS攻击的防火墙的结构示意图。
如图3,图4所示,一种防止DoS攻击的防火墙301,包括:
接收单元401,用于接收来自发起者302的IKE报文;
检查单元402,用于检查IKE报文中的cookie值是否完整;
第一处理单元403,用于在所述cookie值完整并且IKE SA数据库中有对应的值时,继续IKE协商过程,否则将所述IKE报文丢弃;
第二处理单元404,用于在所述cookie值中只有源cookie值,并且IKE SA数据库中有对应的值时,再次发送回应报文;
第三处理单元405,用于在所述cookie值中只有源cookie值,并且IKE SA数据库中没有对应的值时,根据是否开启了防DoS功能,对所述IKE报文进行处理。
其中,所述cookie值完整是指所述cookie值中源cookie值和目的cookie值都存在。
进一步地,所述根据是否开启了防DoS功能,对所述IKE报文进行处理包括:
如果防火墙301没有开启防DoS功能,则判断整机最大半连接数是否达到上限,如果达到则将所述IKE报文丢弃,否则将半连接个数加1并创建与所述IKE报文对应的IKE SA连接结构体,并将所述IKE SA连接结构体存储至IKE SA数据库中,构造回应报文并发送。
如果防火墙301没有开启防DoS功能,则只能根据整机最大半连接数是否达到上限来判断是否丢弃报文,此时无法防范DoS攻击。
如果防火墙301开启了防DoS功能,则对防DoS攻击表进行检索,如果防DoS攻击表中存在与源cookie值相同的cookie值,则判断整机最大半连接数是否达到上限,如果达到则丢弃所述IKE报文,否则将半连接个数加1并创建与所述IKE报文对应的IKE SA连接结构体,并将所述IKE SA连接结构体存储至IKE SA数据库中,构造回应报文并发送;并且清除防DoS攻击表与源cookie值对应的表项。
如果防DoS攻击表中存在与源cookie值相同的cookie值,说明所述IKE报文不是第一次被接收到,因此所述IKE报文不是恶意的DoS攻击报文。
如果防DoS攻击表中不存在与源cookie值相同的cookie值,则判断整机最大半连接数是否达防攻击记录边界值,如果没有达到则将半连接个数加1并创建与所述IKE报文对应的IKE SA连接结构体,并将所述IKE SA连接结构体存储至IKE SA数据库中,构造回应报文并发送。
如果整机最大半连接数达到防攻击记录边界值,则将源cookie值记录到防DoS攻击表中,并丢弃所述IKE报文。
如果防DoS攻击表中不存在与源cookie值相同的cookie值,则所述IKE报文有可能是DoS攻击报文,因此用数值比整机最大半连接数小的防攻击记录边界值来对此类报文的数量进行控制,防止可能的DoS攻击。
其中,所述整机最大半连接数上限为4000;所述防攻击记录边界值为1000。
进一步地,所述防火墙301还包括括配置单元406,用于在接收单元401接收所述IKE报文之前,开启防DoS攻击功能,配置防DoS攻击的防攻击记录边界值和整机最大半连接数的上限。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
Claims (10)
1.一种防止DoS攻击的方法,其特征在于,包括步骤:
步骤S1,接收IKE报文;
步骤S2,检查IKE报文中的cookie值是否完整;
步骤S3,如果所述cookie值完整并且IKE SA数据库中有对应的值,则继续IKE协商过程,否则将所述IKE报文丢弃;
步骤S4,如果所述cookie值中只有源cookie值,并且IKE SA数据库中有对应的值,则再次发送回应报文;
步骤S5,如果所述cookie值中只有源cookie值,并且IKE SA数据库中没有对应的值,则根据是否开启了防DoS功能,对所述IKE报文进行处理。
2.根据权利要求1所述的方法,其特征在于,步骤S3中,所述cookie值完整是指所述cookie值中源cookie值和目的cookie值都存在。
3.根据权利要求1所述的方法,其特征在于,步骤S5中,所述根据是否开启了防DoS功能,对所述IKE报文进行处理包括步骤:
步骤S501,如果没有开启防DoS功能,则判断整机最大半连接数是否达到上限,如果达到则将所述IKE报文丢弃,否则将半连接个数加1并创建与所述IKE报文对应的IKE SA连接结构体,并将所述IKE SA连接结构体存储至IKE SA数据库中,构造回应报文并发送;
步骤S502,如果开启了防DoS功能,则对防DoS攻击表进行检索,如果防DoS攻击表中存在与源cookie值相同的cookie值,则判断整机最大半连接数是否达到上限,如果达到则丢弃所述IKE报文,否则将半连接个数加1并创建与所述IKE报文对应的IKE SA连接结构体,并将所述IKE SA连接结构体存储至IKE SA数据库中,构造回应报文并发送;并且清除防DoS攻击表与源cookie值对应的表项;
步骤S503,如果开启了防DoS功能,且防DoS攻击表中不存在与源cookie值相同的cookie值,则判断整机最大半连接数是否达防攻击记录边界值,如果没有达到则将半连接个数加1并创建与所述IKE报文对应的IKE SA连接结构体,并将所述IKE SA连接结构体存储至IKE SA数据库中,构造回应报文并发送;如果整机最大半连接数达到防攻击记录边界值,则将源cookie值记录到防DoS攻击表中,并丢弃所述IKE报文。
4.根据权利要求3所述的方法,其特征在于,所述整机最大半连接数的上限为4000;所述防攻击记录边界值为1000。
5.根据权利要求1至4任意一项所述的方法,其特征在于,步骤S1之前还包括:开启防DoS攻击功能,配置防DoS攻击的防攻击记录边界值和整机最大半连接数的上限。
6.一种防止DoS攻击的防火墙,其特征在于,包括:
接收单元(1),用于接收IKE报文;
检查单元(2),用于检查IKE报文中的cookie值是否完整;
第一处理单元(3),用于在所述cookie值完整并且IKE SA数据库中有对应的值时,继续IKE协商过程,否则将所述IKE报文丢弃;
第二处理单元(4),用于在所述cookie值中只有源cookie值,并且IKE SA数据库中有对应的值时,再次发送回应报文;
第三处理单元(5),用于在所述cookie值中只有源cookie值,并且IKE SA数据库中没有对应的值时,根据是否开启了防DoS功能,对所述IKE报文进行处理。
7.根据权利要求6所述的防火墙,其特征在于,所述cookie值完整是指所述cookie值中源cookie值和目的cookie值都存在。
8.根据权利要求6所述的防火墙,其特征在于,所述根据是否开启了防DoS功能,对所述IKE报文进行处理包括:
如果防火墙没有开启防DoS功能,则判断整机最大半连接数是否达到上限,如果达到则将所述IKE报文丢弃,否则将半连接个数加1并创建与所述IKE报文对应的IKE SA连接结构体,并将所述IKE SA连接结构体存储至IKE SA数据库中,构造回应报文并发送;
如果防火墙开启了防DoS功能,则对防DoS攻击表进行检索,如果防DoS攻击表中存在与源cookie值相同的cookie值,则判断整机最大半连接数是否达到上限,如果达到则丢弃所述IKE报文,否则将半连接个数加1并创建与所述IKE报文对应的IKE SA连接结构体,并将所述IKE SA连接结构体存储至IKE SA数据库中,构造回应报文并发送;并且清除防DoS攻击表与源cookie值对应的表项;
如果防DoS攻击表中不存在与源cookie值相同的cookie值,则判断整机最大半连接数是否达防攻击记录边界值,如果没有达到则将半连接个数加1并创建与所述IKE报文对应的IKE SA连接结构体,并将所述IKE SA连接结构体存储至IKE SA数据库中,构造回应报文并发送;如果整机最大半连接数达到防攻击记录边界值,则将源cookie值记录到防DoS攻击表中,并丢弃所述IKE报文。
9.根据权利要求8所述的防火墙,其特征在于,所述整机最大半连接数的上限为4000;所述防攻击记录边界值为1000。
10.根据权利要求6至9任意一项所述的防火墙,其特征在于,还包括配置单元(6),用于在接收单元(1)接收所述IKE报文之前,开启防DoS攻击功能,配置防DoS攻击的防攻击记录边界值和整机最大半连接数的上限。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410219912.8A CN104079558B (zh) | 2014-05-22 | 2014-05-22 | 一种防止DoS攻击的方法及防火墙 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410219912.8A CN104079558B (zh) | 2014-05-22 | 2014-05-22 | 一种防止DoS攻击的方法及防火墙 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104079558A true CN104079558A (zh) | 2014-10-01 |
CN104079558B CN104079558B (zh) | 2018-02-13 |
Family
ID=51600602
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410219912.8A Active CN104079558B (zh) | 2014-05-22 | 2014-05-22 | 一种防止DoS攻击的方法及防火墙 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104079558B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108616889A (zh) * | 2016-12-21 | 2018-10-02 | 中国移动通信集团公司 | 一种攻击伪基站的方法及装置 |
CN110391902A (zh) * | 2019-07-08 | 2019-10-29 | 新华三信息安全技术有限公司 | 一种互联网密钥交换ike协商的方法及装置 |
CN114268473A (zh) * | 2021-12-10 | 2022-04-01 | 北京天融信网络安全技术有限公司 | IKEv1协议主模式抵御DDOS攻击的方法、系统、终端及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1901486A (zh) * | 2006-01-20 | 2007-01-24 | 华为技术有限公司 | 一种无线局域网中隧道建立方法及系统 |
CN1972286A (zh) * | 2006-12-05 | 2007-05-30 | 苏州国华科技有限公司 | 一种针对DDoS攻击的防御方法 |
CN201022458Y (zh) * | 2007-04-20 | 2008-02-20 | 朱帮选 | 电子照明、指甲修整两用器 |
CN101378395A (zh) * | 2008-10-10 | 2009-03-04 | 福建星网锐捷网络有限公司 | 一种防止拒绝访问攻击的方法及装置 |
CN101599957A (zh) * | 2009-06-04 | 2009-12-09 | 东软集团股份有限公司 | 一种syn洪水攻击的防御方法和装置 |
CN103179134A (zh) * | 2013-04-19 | 2013-06-26 | 中国建设银行股份有限公司 | 基于Cookie的单点登录方法、系统及其应用服务器 |
-
2014
- 2014-05-22 CN CN201410219912.8A patent/CN104079558B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1901486A (zh) * | 2006-01-20 | 2007-01-24 | 华为技术有限公司 | 一种无线局域网中隧道建立方法及系统 |
CN1972286A (zh) * | 2006-12-05 | 2007-05-30 | 苏州国华科技有限公司 | 一种针对DDoS攻击的防御方法 |
CN201022458Y (zh) * | 2007-04-20 | 2008-02-20 | 朱帮选 | 电子照明、指甲修整两用器 |
CN101378395A (zh) * | 2008-10-10 | 2009-03-04 | 福建星网锐捷网络有限公司 | 一种防止拒绝访问攻击的方法及装置 |
CN101599957A (zh) * | 2009-06-04 | 2009-12-09 | 东软集团股份有限公司 | 一种syn洪水攻击的防御方法和装置 |
CN103179134A (zh) * | 2013-04-19 | 2013-06-26 | 中国建设银行股份有限公司 | 基于Cookie的单点登录方法、系统及其应用服务器 |
Non-Patent Citations (1)
Title |
---|
赵华峰: "《互联网密钥交换协议对DoS攻击的防范》", 《微计算机信息》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108616889A (zh) * | 2016-12-21 | 2018-10-02 | 中国移动通信集团公司 | 一种攻击伪基站的方法及装置 |
CN108616889B (zh) * | 2016-12-21 | 2021-07-09 | 中国移动通信集团公司 | 一种攻击伪基站的方法及装置 |
CN110391902A (zh) * | 2019-07-08 | 2019-10-29 | 新华三信息安全技术有限公司 | 一种互联网密钥交换ike协商的方法及装置 |
CN114268473A (zh) * | 2021-12-10 | 2022-04-01 | 北京天融信网络安全技术有限公司 | IKEv1协议主模式抵御DDOS攻击的方法、系统、终端及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN104079558B (zh) | 2018-02-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102291441B (zh) | 一种防范SYN Flood攻击的方法及安全代理装置 | |
CN105471826B (zh) | 密文数据查询方法、装置和密文查询服务器 | |
JP6432210B2 (ja) | セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム | |
CN105516080B (zh) | Tcp连接的处理方法、装置及系统 | |
US8566936B2 (en) | Multi dimensional attack decision system and method thereof | |
CN103347016A (zh) | 一种攻击的防御方法 | |
WO2008131667A1 (fr) | Procédé, dispositif d'identification des flux de services et procédé, système de protection contre une attaque par déni de service | |
JP6435695B2 (ja) | コントローラ,及びその攻撃者検知方法 | |
US9251367B2 (en) | Device, method and program for preventing information leakage | |
US8973143B2 (en) | Method and system for defeating denial of service attacks | |
Arora et al. | Denial-of-service (dos) attack and botnet: Network analysis, research tactics, and mitigation | |
CN105991617A (zh) | 使用网络评分来选择安全路径的计算机实施系统及方法 | |
CN104079558A (zh) | 一种防止DoS攻击的方法及防火墙 | |
Kang et al. | DDoS avoidance strategy for service availability | |
CN104125213A (zh) | 一种防火墙抗分布式拒绝服务ddos攻击的方法和装置 | |
Yuvaraj et al. | Some investigation on DDOS attack models in mobile networks | |
CN105429975B (zh) | 一种基于云终端的数据安全防御系统、方法及云终端安全系统 | |
Walfish et al. | Distributed Quota Enforcement for Spam Control. | |
Hristozov et al. | Protecting RESTful IoT devices from battery exhaustion DoS attacks | |
Salim et al. | Preventing ARP spoofing attacks through gratuitous decision packet | |
CN104380686B (zh) | 用于实施ng防火墙的方法和系统、ng防火墙客户端和ng防火墙服务器 | |
CN107493282B (zh) | 一种分布式攻击的处理方法及装置 | |
US10425416B2 (en) | Method of unblocking external computer systems in a computer network infrastructure, distributed computer network having such a computer network infrastructure as well as computer program product | |
KR20110027907A (ko) | 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템 및 그 방법 | |
CN113014530A (zh) | Arp欺骗攻击防范方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
PP01 | Preservation of patent right |
Effective date of registration: 20180528 Granted publication date: 20180213 |
|
PP01 | Preservation of patent right |