CN104113559A - 一种防御tcp全链接攻击的方法 - Google Patents
一种防御tcp全链接攻击的方法 Download PDFInfo
- Publication number
- CN104113559A CN104113559A CN201410396483.1A CN201410396483A CN104113559A CN 104113559 A CN104113559 A CN 104113559A CN 201410396483 A CN201410396483 A CN 201410396483A CN 104113559 A CN104113559 A CN 104113559A
- Authority
- CN
- China
- Prior art keywords
- detection module
- link
- source
- blacklist
- newly
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种防御tcp全链接攻击的方法,系统包括:(1)并发链接数检测模块;(2)新建链接速率检测模块;(3)黑名单;(4)源IP信任检测模块;(5)白名单,具体防御步骤如下,并发链接检测模块(1)接收数据包输入并将检测结果添加到黑名单(3)中;新建链接速率检测模块(2)接收数据包输入并将检测结果添加到黑名单(3)中;源IP信任检测模块(4)接收数据包输入并将检测结果添加到白名单(5)中;黑名单(3)接收数据包并根据匹配结果做相应动作;白名单(5)接收数据包并根据匹配结果做相应动作。
Description
技术领域
本发明涉及一种计算机应用, 具体地说是一种防御tcp全链接攻击的方法。
背景技术
很多网络服务程序(如:IIS、Apache等Web服务器)能接受的TCP链接数是有限的,一旦有大量的TCP链接,即便是正常的,也会导致网站访问非常缓慢甚至无法访问,TCP全链接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP链接,直到服务器的内存等资源被耗尽而被拖跨,从而造成拒绝服务。
一种典型的TCP全链接攻击为CC攻击,这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序,并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的,特征是和服务器建立正常的TCP链接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,典型的以小博大的攻击方法。一般来说,提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的,而服务器为处理此请求却可能要从上万条记录中去查出某个记录,这种处理过程对资源的耗费是很大的,常见的数据库服务器很少能支持数百个查询指令同时执行,而这对于客户端来说却是轻而易举的,因此攻击者只需通过Proxy代理向主机服务器大量递交查询指令,只需数分钟就会把服务器资源消耗掉而导致拒绝服务,常见的现象就是网站慢如蜗牛、ASP程序失效、PHP链接数据库失败、数据库主程序占用CPU偏高。
TCP全链接攻击往往需要攻击源在短时间内发送大量的请求到服务器,才能达到DDOS的效果,鉴于此,本发明提供了一种可以检测单个IP的最大并发链接数、新建链接速率的机制,目的在于解决单个IP发送大量请求给服务器的问题。
发明内容
本发明的目的是提供一种防御tcp全链接攻击的方法。
本发明的目的是按以下方式实现的,配合使用netfilter提供的防DDOS攻击系统,实现对真实IP发起的全链接攻击进行丢弃并将攻击源加入黑名单以阻断攻击源已建立的链接,或将确定发起正常链接的源IP加入白名单以加速正常链接的访问速度,防DDOS攻击系统,包含动态黑白名单控制模块(1)、最大并发链接数检测模块(2)、新建链接速率检测模块(3)和源IP信任检测模块(4),其中:
(1)动态黑白名单控制模块,通过检测最大并发链接数检测模块(2)和新建链接速率检测模块(3)的发包速率来判断一个IP是否需要加入黑名单;通过源IP信任检测模块(4)判断一个IP是否需要加入白名单,具体步骤如下;
黑名单的检查在协议栈的处理中应该尽量早的提前,这样在检查到源IP为非法IP后就直接丢弃,避免数据包继续往后处理以浪费资源;
白名单的检查应在最大并发链接数检测模块和新建链接速率检测模块这两个模块之前进行,检查到源IP在白名单将跳过最大并发链接数检测模块和新建链接速率检测模块这两个模块的检查,以避免这两个模块对合法的IP做错误的控制;
(2)最大并发链接数检测模块,对单个IP的最大并发链接数进行检测,需要设置一个阀值,当检测的结果大于这个阀值,则认为这个源IP是一个攻击源,此时需要将此报文阻断并将此IP加入黑名单,同时根据配置决定是否需要进行日志报警;
(3)新建链接速率检测模块,对单个IP的新建链接速率进行检测,需要设置一个阀值,当检测的结果大于这个阀值,则认为这个源IP是一个攻击源,此时需要将此报文阻断并将此IP加入黑名单,同时根据配置决定是否需要进行日志报警;
(4)源IP信任检测模块,对单个IP的网络行为进行分析,如果在一段时间内该IP都是发送的正常流量则允许将该IP加入白名单一段时间,在加入白名单的这段时间内该IP的流量是直接放过的;
防御DDOS攻击的步骤包括:
(1)最大并发链接数检测模块:对netfilter中的connlimit模块进行修改,在检测到单个IP的并发链接数超过设置的阀值时将数据包丢弃并将源IP添加黑名单;
(2)新建链接速率检测模块:对netfilter中的hashlimit模块进行修改,在检测到单个IP的新建链接速率超过设置的阀值时将数据包丢弃并将源IP添加黑名单;
(3)源IP信任检测模块:基于netfilter实现一个单独的hook处理模块,对单个IP的网络行为进行分析,如果没有发现异常流量,则将该IP加入白名单;
(4)黑名单检查:基于netfilter实现一个单独的hook处理模块,其优先级靠前,获取报文的源IP与黑名单中的IP地址进行匹配,如果匹配成功则将报文直接丢弃;
(5)白名单检查:基于netfilter实现一个单独的hook处理模块,其优先级在最大并发链接数检测模块和新建链接速率检测模块前面,获取报文的源IP与白名单中的IP地址进行匹配,如果匹配成功则将报文直接放过不需要再经过最大并发链接数检测模块和新建链接速率检测模块。
本发明的目的有益效果是:配合使用netfilter提供的防DDOS攻击系统,实现对真实IP发起的全链接攻击进行丢弃并将攻击源加入黑名单以阻断攻击源已建立的链接,或将确定发起正常链接的源IP加入白名单以加速正常链接的访问速度。
附图说明
图1是防DDOS攻击动态黑白名单结构图;
图2是数据流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明做进一步地详细描述。
系统组成如图1所示,(1)并发链接数检测模块;(2)新建链接速率检测模块;(3)黑名单;(4)源IP信任检测模块;(5)白名单,其中:
(1)黑名单:对源IP匹配黑名单的报文将进行丢弃操作;
(2)白名单:对源IP匹配白名单的报文将进行允许通过操作;
(3)并发连接数检测模块:对每个IP能够建立的连接数进行检测,超过设置的阀值报文将被丢弃并将IP添加黑名单;
(4)新建连接速率检测模块:对每个IP的新建连接速率进行检测,超过设置的阀值报文将被丢弃并将IP添加黑名单;
(5)源IP信任检测模块:对每个IP的网络行为进行分析,如果属于正常流量则将源IP加入白名单一段时间;
具体步骤如下
并发链接检测模块(1)接收数据包输入并将检测结果添加到黑名单(3)中;新建链接速率检测模块(2)接收数据包输入并将检测结果添加到黑名单(3)中;源IP信任检测模块(4)接收数据包输入并将检测结果添加到白名单(5)中;黑名单(3)接收数据包并根据匹配结果做相应动作;白名单(5)接收数据包并根据匹配结果做相应动作。
除说明书所述的技术特征外,均为本专业技术人员的已知技术。
Claims (1)
1.一种防御tcp全链接攻击的方法, 其特征在于配合使用netfilter提供的防DDOS攻击系统,实现对真实IP发起的全链接攻击进行丢弃并将攻击源加入黑名单以阻断攻击源已建立的链接,或将确定发起正常链接的源IP加入白名单以加速正常链接的访问速度,防DDOS攻击系统,包含动态黑白名单控制模块(1)、最大并发链接数检测模块(2)、新建链接速率检测模块(3)和源IP信任检测模块(4),其中:
(1)动态黑白名单控制模块,通过检测最大并发链接数检测模块(2)和新建链接速率检测模块(3)的发包速率来判断一个IP是否需要加入黑名单;通过源IP信任检测模块(4)判断一个IP是否需要加入白名单,具体步骤如下;
黑名单的检查在协议栈的处理中应该尽量早的提前,这样在检查到源IP为非法IP后就直接丢弃,避免数据包继续往后处理以浪费资源;
白名单的检查应在最大并发链接数检测模块和新建链接速率检测模块这两个模块之前进行,检查到源IP在白名单将跳过最大并发链接数检测模块和新建链接速率检测模块这两个模块的检查,以避免这两个模块对合法的IP做错误的控制;
(2)最大并发链接数检测模块,对单个IP的最大并发链接数进行检测,需要设置一个阀值,当检测的结果大于这个阀值,则认为这个源IP是一个攻击源,此时需要将此报文阻断并将此IP加入黑名单,同时根据配置决定是否需要进行日志报警;
(3)新建链接速率检测模块,对单个IP的新建链接速率进行检测,需要设置一个阀值,当检测的结果大于这个阀值,则认为这个源IP是一个攻击源,此时需要将此报文阻断并将此IP加入黑名单,同时根据配置决定是否需要进行日志报警;
(4)源IP信任检测模块,对单个IP的网络行为进行分析,如果在一段时间内该IP都是发送的正常流量则允许将该IP加入白名单一段时间,在加入白名单的这段时间内该IP的流量是直接放过的;
防御DDOS攻击的步骤包括:
(1)最大并发链接数检测模块:对netfilter中的connlimit模块进行修改,在检测到单个IP的并发链接数超过设置的阀值时将数据包丢弃并将源IP添加黑名单;
(2)新建链接速率检测模块:对netfilter中的hashlimit模块进行修改,在检测到单个IP的新建链接速率超过设置的阀值时将数据包丢弃并将源IP添加黑名单;
(3)源IP信任检测模块:基于netfilter实现一个单独的hook处理模块,对单个IP的网络行为进行分析,如果没有发现异常流量,则将该IP加入白名单;
(4)黑名单检查:基于netfilter实现一个单独的hook处理模块,其优先级靠前,获取报文的源IP与黑名单中的IP地址进行匹配,如果匹配成功则将报文直接丢弃;
(5)白名单检查:基于netfilter实现一个单独的hook处理模块,其优先级在最大并发链接数检测模块和新建链接速率检测模块前面,获取报文的源IP与白名单中的IP地址进行匹配,如果匹配成功则将报文直接放过不需要再经过最大并发链接数检测模块和新建链接速率检测模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410396483.1A CN104113559A (zh) | 2014-08-13 | 2014-08-13 | 一种防御tcp全链接攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410396483.1A CN104113559A (zh) | 2014-08-13 | 2014-08-13 | 一种防御tcp全链接攻击的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104113559A true CN104113559A (zh) | 2014-10-22 |
Family
ID=51710192
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410396483.1A Pending CN104113559A (zh) | 2014-08-13 | 2014-08-13 | 一种防御tcp全链接攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104113559A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105187424A (zh) * | 2015-08-31 | 2015-12-23 | 广州市优普计算机有限公司 | 一种网络安全检测方法及装置 |
| CN105207997A (zh) * | 2015-08-19 | 2015-12-30 | 北京星网锐捷网络技术有限公司 | 一种防攻击的报文转发方法和系统 |
| CN106060053A (zh) * | 2016-06-12 | 2016-10-26 | 上海携程商务有限公司 | 基于防火墙的异常连接自动识别清理方法及系统 |
| CN108400955A (zh) * | 2017-02-06 | 2018-08-14 | 腾讯科技(深圳)有限公司 | 一种网络攻击的防护方法及系统 |
| CN108810008A (zh) * | 2018-06-28 | 2018-11-13 | 腾讯科技(深圳)有限公司 | 传输控制协议流量过滤方法、装置、服务器及存储介质 |
| CN112104611A (zh) * | 2020-08-20 | 2020-12-18 | 广东网堤信息安全技术有限公司 | 一种cc攻击防护管理的方法 |
| WO2021242596A1 (en) * | 2020-05-28 | 2021-12-02 | Citrix Systems, Inc. | Constraining resource allocation rate for stateful multi-tenant http proxies and denial-of-service attack prevention |
| CN114021040A (zh) * | 2021-11-15 | 2022-02-08 | 北京华清信安科技有限公司 | 基于业务访问的恶意事件的告警及防护方法和系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101436958A (zh) * | 2007-11-16 | 2009-05-20 | 太极计算机股份有限公司 | 抵御拒绝服务攻击的方法 |
| CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
| CN103916389A (zh) * | 2014-03-19 | 2014-07-09 | 汉柏科技有限公司 | 防御HttpFlood攻击的方法及防火墙 |
-
2014
- 2014-08-13 CN CN201410396483.1A patent/CN104113559A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101436958A (zh) * | 2007-11-16 | 2009-05-20 | 太极计算机股份有限公司 | 抵御拒绝服务攻击的方法 |
| CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
| CN103916389A (zh) * | 2014-03-19 | 2014-07-09 | 汉柏科技有限公司 | 防御HttpFlood攻击的方法及防火墙 |
Non-Patent Citations (1)
| Title |
|---|
| 岳妍妍 等: "DDOS防火墙性能测试的研究", 《微计算机信息》 * |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105207997A (zh) * | 2015-08-19 | 2015-12-30 | 北京星网锐捷网络技术有限公司 | 一种防攻击的报文转发方法和系统 |
| CN105207997B (zh) * | 2015-08-19 | 2018-11-09 | 北京星网锐捷网络技术有限公司 | 一种防攻击的报文转发方法和系统 |
| CN105187424A (zh) * | 2015-08-31 | 2015-12-23 | 广州市优普计算机有限公司 | 一种网络安全检测方法及装置 |
| CN106060053A (zh) * | 2016-06-12 | 2016-10-26 | 上海携程商务有限公司 | 基于防火墙的异常连接自动识别清理方法及系统 |
| CN108400955A (zh) * | 2017-02-06 | 2018-08-14 | 腾讯科技(深圳)有限公司 | 一种网络攻击的防护方法及系统 |
| CN108400955B (zh) * | 2017-02-06 | 2020-12-22 | 腾讯科技(深圳)有限公司 | 一种网络攻击的防护方法及系统 |
| CN108810008A (zh) * | 2018-06-28 | 2018-11-13 | 腾讯科技(深圳)有限公司 | 传输控制协议流量过滤方法、装置、服务器及存储介质 |
| CN108810008B (zh) * | 2018-06-28 | 2020-06-30 | 腾讯科技(深圳)有限公司 | 传输控制协议流量过滤方法、装置、服务器及存储介质 |
| WO2021242596A1 (en) * | 2020-05-28 | 2021-12-02 | Citrix Systems, Inc. | Constraining resource allocation rate for stateful multi-tenant http proxies and denial-of-service attack prevention |
| CN112104611A (zh) * | 2020-08-20 | 2020-12-18 | 广东网堤信息安全技术有限公司 | 一种cc攻击防护管理的方法 |
| CN114021040A (zh) * | 2021-11-15 | 2022-02-08 | 北京华清信安科技有限公司 | 基于业务访问的恶意事件的告警及防护方法和系统 |
| CN114021040B (zh) * | 2021-11-15 | 2022-05-24 | 北京华清信安科技有限公司 | 基于业务访问的恶意事件的告警及防护方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11050786B2 (en) | Coordinated detection and differentiation of denial of service attacks | |
| CN104113559A (zh) | 一种防御tcp全链接攻击的方法 | |
| US10200384B1 (en) | Distributed systems and methods for automatically detecting unknown bots and botnets | |
| US11082436B1 (en) | System and method for offloading packet processing and static analysis operations | |
| US9742799B2 (en) | Client-side active validation for mitigating DDOS attacks | |
| US10432650B2 (en) | System and method to protect a webserver against application exploits and attacks | |
| US9432389B1 (en) | System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object | |
| JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
| US11863571B2 (en) | Context profiling for malware detection | |
| CN105959313A (zh) | 一种防范http代理攻击的方法及装置 | |
| CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
| US11949694B2 (en) | Context for malware forensics and detection | |
| US11930036B2 (en) | Detecting attacks and quarantining malware infected devices | |
| JP2018026747A (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
| JP2011154727A (ja) | 解析システム、解析方法および解析プログラム | |
| US10721148B2 (en) | System and method for botnet identification | |
| JP6497782B2 (ja) | 試験装置、試験方法および試験プログラム | |
| US11218427B1 (en) | Detecting lagging nodes in a time-synchronized distributed environment | |
| CN114328216A (zh) | 一种漏洞挖掘的方法和装置 | |
| CN111490989A (zh) | 一种网络系统、攻击检测方法、装置及电子设备 | |
| WO2020057156A1 (zh) | 一种安全管理方法和安全管理装置 | |
| US11636198B1 (en) | System and method for cybersecurity analyzer update and concurrent management system | |
| KR102571147B1 (ko) | 스마트워크 환경을 위한 보안 장치 및 그를 수행하도록 컴퓨터 판독 가능한 기록 매체에 저장된 프로그램 | |
| US20240089272A1 (en) | Detection of cybersecurity threats utilizing established baselines | |
| CN102867148B (zh) | 一种电子设备的安全防护方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20141022 |
|
| WD01 | Invention patent application deemed withdrawn after publication |