CN104137513A - 攻击防范方法和设备 - Google Patents

攻击防范方法和设备 Download PDF

Info

Publication number
CN104137513A
CN104137513A CN201280023362.1A CN201280023362A CN104137513A CN 104137513 A CN104137513 A CN 104137513A CN 201280023362 A CN201280023362 A CN 201280023362A CN 104137513 A CN104137513 A CN 104137513A
Authority
CN
China
Prior art keywords
client
negotiation
tcp connections
tcp
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201280023362.1A
Other languages
English (en)
Other versions
CN104137513B (zh
Inventor
刘高强
潘永波
杨莉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN104137513A publication Critical patent/CN104137513A/zh
Application granted granted Critical
Publication of CN104137513B publication Critical patent/CN104137513B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/24Negotiation of communication capabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种攻击防范方法和设备,方法包括:统计传输控制协议TCP连接中的重协商次数,所述重协商次数为所述TCP连接中的客户端与服务器之间进行重复协商的次数;当所述TCP连接中的重协商次数大于预设的重协商次数阈值时,确定所述TCP连接为异常连接;断开所述TCP连接。本发明实施例还提供了一种攻击防范设备,实现了对SSL DOS攻击行为进行有效地防范。

Description

攻击防范方法和设备
技术领域
本发明涉及通信技术, 尤其涉及一种攻击防范方法和设备。 背景技术
安全套接层 ( Secure Socket Layer; 以下简称: SSL )协议是一种网络安 全通信协议, 用于在两台机器之间提供安全通道, 其具有保护传输数据以及 识别通信机器的功能。 SSL拒绝服务( Denial of Service; 以下简称: DOS ) 攻击行为是通过一台普通电脑与数字用户线路( Digital Subscriber Line; 以下 简称: DSL )连接, 通过对加密密钥进行重新请求来攻击 SSL服务器的攻击 方式。
在这种攻击方式下, 由于在协商加密算法时, SSL服务器的中央处理器 (central processing unit; 以下简称: CPU)开销是客户端访问的 15倍左右, 因 此这种攻击行为严重消耗了服务器的 CPU资源。 但是, 目前还没有有效的方 法, 可以对 SSL DOS攻击行为进行防范。 发明内容
本发明实施例提供一种攻击防范方法和设备, 能够有效地对安全套接 层( Secure Socket Layer; 以下简称: SSL )拒绝服务( Denial of Service; 以 下简称: DOS )攻击行为进行防范。
第一方面, 本发明实施例提供一种攻击防范方法, 包括:
统计传输控制协议 TCP 连接中的重协商次数, 所述重协商次数为所述 TCP连接中的客户端与服务器之间进行重复协商的次数;
当所述 TCP连接中的重协商次数大于预设的重协商次数阈值时, 确定所 述 TCP连接为异常连接;
断开所述 TCP连接。
在第一方面的第一种可能的实现方式中, 所述统计所述 TCP连接中的 重协商次数包括: 通过所述 TCP连接中的客户端与服务器之间交互的报文的类型来识别所 述报文是否为协商报文;
根据所述 TCP连接中的协商报文的个数来统计所述 TCP连接中的重协商 次数。
结合第一方面的第一种可能的实现方式, 在第一方面的第二种可能的 实现方式中, 所述协商报文包括 Change Cipher Spec类型的报文。
在第一方面的第三种可能的实现方式中, 所述统计 TCP连接中的重协 商次数包括:
通过统计所述 TCP连接中客户端与 SSL服务器之间交互的 Change Cipher Spec类型的协商报文数量来获得所述 TCP连接中的重协商次数。
结合第一方面、 第一方面的第一种可能的实现方式、 第一方面的第二 种可能的实现方式或第一方面的第三种可能的实现方式中, 在第四种可能 的实现方式中, 本发明提供的攻击防范方法还包括:
判断传输控制协议 TCP连接中的客户端的 IP地址是否在黑名单中, 其 中, 所述黑名单中包含了发起异常连接的客户端的 IP地址;
当所述客户端的 IP地址不在黑名单中时, 进入所述统计 TCP连接中的 重协商次数的步骤;
当所述客户端的 IP地址在所述黑名单中时, 断开所述 TCP连接。
结合第一方面的第四种可能的实现方式, 在第一方面的第五种可能的实 现方式中, 本发明提供的攻击防范方法还包括:
统计所述 TCP连接中客户端发起的异常连接的数量;
当所述客户端发起的异常连接的数量大于预设的连接数量阈值时, 将所 述客户端的 IP地址加入所述黑名单。
第二方面, 本发明实施例提供一种攻击防范设备, 包括:
第一统计模块, 用于统计传输控制协议 TCP连接中的重协商次数, 所述 重协商次数为所述 TCP连接中的客户端与服务器之间进行重复协商的次数; 异常连接确定模块, 用于当所述 TCP连接中的重协商次数大于预设的重 协商次数阈值时, 确定所述 TCP连接为异常连接;
处理模块, 用于断开所述 TCP连接。
在第二方面的第一种可能的实现方式中, 所述第一统计模块包括: 识别单元, 用于通过所述 TCP连接中的客户端与服务器之间交互的报文 的类型来识别所述报文是否为协商报文;
统计单元, 用于根据所述识别单元识别的所述 TCP连接中的协商报文的 个数来统计所述 TCP连接中的重协商次数。
结合第二方面的第一种可能的实现方式, 在第二方面的第二种可能的实 现方式中, 所述协商报文包括 Change Cipher Spec类型的报文。
在第二方面的第三种可能的实现方式中, 所述第一统计模块具体用于 通过统计所述 TCP 连接中客户端与 SSL服务器之间交互的 Change Cipher Spec类型的协商报文数量来获得所述 TCP连接中的重协商次数。
结合第二方面、 第二方面的第一种可能的实现方式、 第二方面的第二 种可能的实现方式或在第二方面的第三种可能的实现方式, 在第二方面的 第四种可能的实现方式中, 本发明提供的攻击防范设备还包括:
判断模块, 用于判断 TCP连接中的客户端的 IP地址是否在黑名单中, 其中, 所述黑名单中包含了发起异常连接的客户端的 IP地址, 当所述客户端 的 IP地址不在黑名单中时, 触发第一统计模块; 当所述客户端的 IP地址在 所述黑名单中时, 触发所述处理模块。
结合第二方面的第四种可能的实现方式, 在第二方面的第五种可能的 实现方式中, 本发明提供的攻击防范设备还包括:
第二统计模块,用于统计所述 TCP连接中客户端发起的异常连接的数量; 管理模块, 用于当所述第二统计模块统计的所述 TCP连接中客户端发起 的异常连接的数量大于预设的连接数量阈值时, 将所述客户端的 IP地址加入 所述黑名单。
第三方面, 本发明实施例提供一种攻击防范设备, 包括:
所述攻击防范设备包括处理器、 通信接口和通信总线;
其中, 所述处理器和所述通信接口通过所述通信总线进行通信; 所述通信接口用于与客户端和服务器通信, 建立客户端和服务器之间的 传输控制协议 TCP连接;
所述处理器, 用于统计所述 TCP连接中的重协商次数, 所述重协商次数 为所述 TCP连接中的客户端与服务器之间进行重复协商的次数; 当所述 TCP 连接中的重协商次数大于预设的重协商次数阈值时, 确定所述 TCP连接为异 常连接; 断开所述 TCP连接。 在第三方面的第一种可能的实现方式中, 所述处理器用于统计所述
TCP连接中的重协商次数包括:
所述处理器用于通过所述 TCP连接中的客户端与服务器之间交互的报文 的类型来识别所述报文是否为协商报文, 根据所述 TCP连接中的协商报文的 个数来统计所述 TCP连接中的重协商次数。
结合第三方面的第一种可能的实现方式, 在第三方面的第二种可能的实 现方式中, 所述协商报文包括更改密码规格 Change Cipher Spec类型的报文。
结合第三方面, 在第三方面的第三种可能的实现方式中, 所述处理器用 于统计所述 TCP连接中的重协商次数包括:
所述处理器通过统计所述 TCP连接中客户端与 SSL服务器之间交互的
Change Cipher Spec类型的协商报文数量来获得所述 TCP连接中的重协商次 数。
结合第三方面、 第三方面的第一种可能的实现方式、 第三方面的第二种 可能实现方式或第三方面的第三种可能实现方式中, 在第三方面的第四种可 能的实现方式中, 所述处理器还用于:
判断所述 TCP连接中的客户端的 IP地址是否在设置的黑名单中, 其中, 所述黑名单中包含了发起异常连接的客户端的 IP地址;
当所述客户端的 IP地址不在所述黑名单中时, 进入所述统计 TCP连接 中的重协商次数的步骤;
当所述客户端的 IP地址在所述黑名单中时, 断开所述 TCP连接。
结合第三方面的第四种可能实现方式中, 在第三方面的第五种可能的实 现方式中, 所述处理器还用于:
统计所述客户端发起的异常连接的数量;
当所述客户端发起的异常连接的数量大于预设的连接数量阈值时, 将所 述客户端的 IP地址加入所述黑名单。
本实施例根据 SSL DOS攻击通过不断的重新协商以消耗服务器 CPU的 特点,通过统计 TCP连接中的重协商次数, 当统计到该 TCP连接中的重协商 次数大于重协商次数阈值时, 确定该 TCP 连接为异常连接, 并断开该 TCP 连接。从而有效地实现了对 SSL DOS攻击行为进行防范,避免服务器受到 SSL DOS攻击。 附图说明 为了更清楚地说明本发明实施例或现有技术中的技术方案, 下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍, 显而易见地, 下面 描述中的附图是本发明的一些实施例, 对于本领域普通技术人员来讲, 在不 付出创造性劳动性的前提下, 还可以根据这些附图获得其他的附图。
图 1为本发明实施例提供的一种攻击防范方法的应用网络架构示意图; 图 2为本发明实施例提供的一种攻击防范方法的流程图;
图 3为本发明实施例提供的又一种攻击防范方法的流程图;
图 4为本发明实施例提供的再一种攻击防范方法的流程图;
图 5为本发明实施例提供的一种攻击防范设备的结构示意图;
图 6为本发明实施例提供的又一种攻击防范设备的结构示意图; 图 7为本发明实施例提供的又一种攻击防范设备的结构示意图。 具体实施方式 为使本发明实施例的目的、 技术方案和优点更加清楚, 下面将结合本发 明实施例中的附图, 对本发明实施例中的技术方案进行清楚、 完整地描述, 显然, 所描述的实施例是本发明一部分实施例, 而不是全部的实施例。 基于 本发明中的实施例, 本领域普通技术人员在没有作出创造性劳动前提下所获 得的所有其他实施例, 都属于本发明保护的范围。
本实施例提供的攻击防范方法可以在网关产品上实现, 将网关产品部署 在安全套接层( Secure Socket Layer; 以下简称: SSL )服务器的前面, 从而 实现对 SSL服务器的保护; 也可以以软件的形式部署在 SSL服务器上, 对 SSL请求进行检测, 从而防止 SSL拒绝服务( Denial of Service; 以下简称: DOS )攻击行为。 图 1为本发明实施例提供的一种攻击防范方法的应用网络 架构示意图,如图 1所示,攻击者可以与正常用户一样使用普通电脑来与 SSL 服务器进行交互, 攻击者通过与 SSL服务器建立传输控制协议 ( Transmission Control Protocol; 以下简称: TCP )连接后, 并在建立的 TCP连接中不停的 快速重复协商密钥,以对 SSL服务器进行攻击。其中,攻击者可以通过与 SSL 服务器建立的一个 TCP连接对 SSL服务器发起攻击, 也可以通过与 SSL月良 务器建立的多个 TCP连接对 SSL服务器发起攻击, 当然, TCP连接的连接数 越多, 对 SSL服务器造成的危害越大。 并且, 攻击者也可能有多个。 本实施 例的攻击防范方法可以在路由器或防火墙等网关产品上实现, 也可以通过路 由器和防火墙实现, 还可以应用到分布式拒绝服务( Distributed Denial of service; 以下简称: DDOS )清洗设备中, 其中路由器、 防火墙等网关产品或 DDOS清洗设备部署在 SSL服务器的前端,从而能够阻挡攻击者对 SSL服务 器发起的攻击。
图 2为本发明实施例提供的一种攻击防范方法的流程图, 如图 2所示, 本实施例提供了一种攻击防范方法, 该攻击防范方法可以用于防范安全套接 层 ( Secure Socket Layer; 以下简称: SSL )拒绝服务( Denial of service; 以 下简称: DOS )攻击。 可以理解的是, 实际应用中, 同一个客户端也可以和 服务器建立多条连接。 为了描述清楚, 本发明实施例以客户端与服务器之间 建立的一条 TCP连接为例进行说明, 该方法可以包括如下步骤:
步骤 201 , 统计传输控制协议 TCP连接中的重协商次数。
实际应用中, 在客户端与服务器进行正常交互时, 客户端与服务器之间 可能只存在一个 TCP连接,也可能同时存在多条 TCP连接,攻击者可以通过 与服务器间建立的一个 TCP连接对服务器造成攻击, 也可以通过与服务器间 建立的多个 TCP连接对服务器造成攻击, 当与服务器建立多个 TCP连接时, 可以分别对每个 TCP连接进行监控,分别统计各个 TCP连接中客户端与服务 器之间的重协商次数。 本发明实施例以客户端与 SSL服务器建立的一个 TCP 连接为例进行说明。 具体的, 可以对一个 TCP 连接进行监控并统计该 TCP 连接中的重协商次数, 其中, 重协商次数为该 TCP连接中的客户端与服务器 之间进行重复协商的次数。
由于在一个 TCP连接中,客户端与 SSL服务器之间的每一次协商密钥的 过程均会伴随一个更改密码规格 Change Cipher Spec类型的协商报文, 其中 第一次协商为正常协商, 其他非第一次协商则为重复协商。 因此, 统计传输 控制协议 TCP连接中的重协商次数时可以通过所述 TCP连接中的客户端与服 务器之间交互的报文的类型来识别所述报文是否为协商报文, 并根据所述 TCP连接中的协商报文的个数来统计所述 TCP连接中的重协商次数。具体的, TCP连接中的重协商次数可以通过统计该 TCP连接中客户端与 SSL服务器之 间交互的 Change Cipher Spec类型的协商报文数量来获得。
由于 SSL DOS 攻击是攻击者通过在与服务器建立连接后短时间内快速 的发起重复协商来对服务器进行攻击, 因此可以根据预设时间内该 TCP连接 中的协商报文的数量与 1 的差来获得预设时间内该 TCP连接中的重协商次 数。
步骤 202, 如果所述 TCP连接中的重协商次数大于预设的重协商次数阈 值, 确定所述 TCP连接为异常连接。
具体的, 重协商次数阈值为预先设置的一个 TCP连接中在一定时间内允 许的重协商的最大次数。 正常情况下在预设的时间内一个 TCP连接中的重协 商次数不会超过该重协商次数阈值, 当其超过该重协商阈值时, 表明该 TCP 连接中的重协商过程可能由外部的恶意攻击者发起攻击, 则确定该 TCP连接 为异常连接。 可以理解的是, 在实际应用中, 如果存在多个 TCP连接, 可以 分别判断各个 TCP连接中的重协商次数是否大于预设的重协商次数阈值, 以 分别确定各 TCP连接是否为异常连接。
步骤 203 , 断开该 TCP连接。
当确定 TCP连接为异常连接时, 为确保服务器不会受到黑客攻击, 则断 开该 TCP连接。
可以理解的是, 本发明实施例还可以通过直接统计 TCP连接中的协商报 文的个数获得所述 TCP连接中的协商次数, 并根据设置的协商次数阈值来判 断所述 TCP连接是否为异常连接, 具体的, 在步骤 201中, 可以直接根据预 设时间段内 TCP连接中客户端与 SSL服务器之间交互的 Change Cipher Spec 类型的协商报文的数量来获得协商次数, 在步骤 202中, 可以判断所述 TCP 连接中的协商次数是否大于预设的协商次数阈值, 其中, 所述协商次数阈值 为预先设置的一个 TCP连接中在设定时间段内允许的协商次数。
本实施例根据 SSL DOS攻击通过在建立的 TCP连接中不断的重新协商 密钥以消耗 Λ良务器 CPU资源的特点, 通过统计 TCP连接中的重协商次数, 当统计到该 TCP 连接中的重协商次数大于重协商次数阈值时, 确定该 TCP 连接为异常连接, 并断开该 TCP连接。 从而有效地实现了对 SSL DOS攻击 行为进行防范, 避免服务器受到 SSL DOS攻击。
图 3为本发明实施例提供的又一种攻击防范方法的流程图, 本发明实施 例仍然以客户端与 SSL服务器建立的一个 TCP连接为例进行说明。可以理解 的是, 实际应用中, 当客户端与 SSL服务器之间存在多个 TCP连接时, 可以 参照本实施例描述的方法对各个 TCP连接进行处理。 如图 3所示, 该方法包 括:
步骤 300, 判断 TCP连接中的客户端的 IP地址是否在黑名单中, 如果客 户端的 IP地址在黑名单中, 则进入步骤 303 , 否则进入步骤 301 ;
具体的, 可以在路由器、 防火墙等网关产品或 DDOS清洗设备中预先设 置攻击者的黑名单, 该黑名单中包含有检测出的攻击者的 IP地址。 当接收到 客户端发送的报文时, 可以根据该报文中携带的源 IP地址判断该 TCP连接 中的客户端的 IP地址是否在预设的黑名单中, 如果不在黑名单中, 则进入步 骤 301 , 否则进入步骤 303 , 直接断开该 TCP连接。
需要说明的是, 在 TCP连接中的客户端的 IP地址在黑名单的情况下, 进入步骤 303断开所述 TCP连接之后, 不需要继续进入步骤 304来统计所述 TCP连接中的客户端发起的异常连接的数量, 因为在这种情况下, 已经根据 黑名单确认客户端是攻击者了, 所以不需要再进一步判断是否将所述客户端 的 IP地址加入黑名单。
步骤 301 , 统计所述 TCP连接中的重协商次数, 进入步骤 302;
具体的, 由于在一个 TCP连接中,客户端与 SSL服务器之间的每一次重 协商密钥的过程均会伴随一个更改密码规格 Change Cipher Spec类型的协商 报文, 其中第一次协商为正常协商, 其他非第一次协商则为重复协商。 因此, TCP连接中的重协商次数可以通过统计该 TCP连接中客户端与 SSL服务器之 间交互的 Change Cipher Spec类型的协商报文数量来获得。 由于 SSL DOS攻 击是攻击者通过在与服务器建立连接后短时间内快速的发起重复协商来对服 务器进行攻击, 因此可以根据预设时间内该 TCP连接中的协商报文的数量与 1的差来获得预设时间内该 TCP连接中的重协商次数。例如, 若在 1小时内, 某个 TCP连接中出现的 Change Cipher Spec类型的协商报文数量为 10个,则 可以得到该 TCP连接在 1个小时内的重协商次数为 9次。
具体的, 实际应用中, 在统计预设时间内该 TCP连接中重协商次数时, 可以预先设定统计的时间, 实际应用中, 可以将统计周期设定为 30秒或 1分 钟, 具体时间设定可以根据实际业务的需要来设定, 也可以根据网络流量来 确定。 统计时, 可以在接收到协商报文时, 将协商报文数量记录一次, 并记 录一个时间戳, 从而在后续接收到协商报文时, 可以根据前面记录的时间戳 来确定统计周期,并根据确定的统计周期来统计该统计周期内的重协商次数。 例如, 在接收到第一个协商报文时, 将协商报文次数记录为一次, 并记录一 个时间戳, 当接收到第二个协商报文时, 将协商报文次数增加 1次, 记录第 二个时间戳, 从而可以根据记录的两个时间戳来确定这段时间内接收到得协 商报文数量。
步骤 302, 如果所述 TCP连接中的重协商次数大于预设的重协商次数阈 值, 确定所述 TCP连接为异常连接, 进入步骤 303;
其中, 重协商次数阈值为预先设置的一个 TCP连接中在一定时间内允许 的重协商的最大次数。 正常情况下在预设的时间内一个 TCP连接中的重协商 次数不会超过该重协商次数阈值, 当其超过该重协商阈值时, 表明该 TCP连 接中的重协商过程可能由外部的恶意攻击者发起攻击, 则确定该 TCP连接为 异常连接。 例如, 预设的一个 TCP连接在 1个小时内允许的最大重协商次数 为 10次,则将该 TCP连接的重协商次数阈值设置为 10, 当 1小时内,该 TCP 连接中的重协商次数超过 10时, 则认为该 TCP连接为异常连接。 当然, 可 以理解的是, 重协商次数阈值是根据实际应用中一个正常的 TCP连接可能存 在的正常的协商次数的经验值来确定的, 具体确定时, 可以根据业务需要或 网络流量来设定, 实际应用中,可以将重协商次数阈值设置为每 30秒 3次(3 次 /30秒) 。
步骤 303 , 断开所述 TCP连接, 进入步骤 304;
当在步骤 302中, 确定所述 TCP连接为异常连接时, 可以断开所述 TCP 连接, 以防止攻击者通过该 TCP连接对 SSL服务器进行 SSL DOS攻击。 具 体的, 可以通过发送双向复位(Reset; 以下简称: RST )报文来断开该 TCP 连接,即向该 TCP连接中源 IP地址指向的客户端发送 RST报文,并向该 TCP 连接中目的 IP地址指向的服务器发送 RST报文, 从而断开客户端与 SSL服 务器之间的 TCP连接。
步骤 304, 统计所述 TCP连接中的客户端发起的异常连接的数量, 进入 步骤 305;
当确定 TCP连接为异常连接并断开所述 TCP连接之后, 可以对该 TCP 连接的客户端的 IP地址进行监控以进一步确定所述 TCP连接中的客户端是 否为攻击者, 具体的, 可以建立一个异常连接监控表, 该异常连接监控表中 记录有客户端的 IP地址以及该 IP地址指向的客户端发起的异常连接的数量。 具体的, 当在步骤 302中识别某个 TCP连接为异常连接后, 则可以在该异常 连接监控表中查找与该 TCP连接中的客户端的 IP地址相同的 IP地址, 如果 查找到与所述客户端的 IP地址相同的 IP地址, 则将该 IP地址对应的异常连 接的数量加 1 ; 如果没有查找到相同的 IP地址, 则在所述异常连接监控表中 新增一条记录, 记录下该 IP地址, 并将该 IP地址对应的异常连接的数量记 录为 1次。 可以理解的是, 统计所述 TCP连接中的客户端发起的异常连接的 数量时也是统计设定的统计周期内的异常连接数量, 具体的, 可以在确定一 次异常连接时, 记录一个时间戳, 根据记录的时间戳来确定统计周期, 并统 计设定的统计周期内的异常连接数量。 具体统计方法可以参考步骤 301部分 对统计重协商次数部分的描述, 此处不再赘述。
步骤 305, 如果所述 TCP连接中的客户端发起的异常连接的数量大于预 设的连接数量阈值, 将所述客户端的 IP地址加入黑名单;
具体的, 连接数量阈值可以是预设的时间内允许该 IP地址指向的客户端 发起的异常连接的最大数量。 当步骤 304中统计的该 TCP连接中的客户端发 起的异常连接的数量大于预设的连接数量阈值时, 确定该客户端为攻击者, 将该客户端的 IP地址加入黑名单, 从而能够动态的更新所述黑名单, 以便下 一次接收到从该 IP地址发送的报文时, 可以直接丟弃该报文, 或断开该 IP 地址发起的 TCP连接, 提高检测效率, 其中, 设置的所述黑名单中记录有检 测出的攻击者的 IP地址。
可以理解的是, 本发明实施例还可以直接通过统计 TCP连接中的协商报 文的个数获得所述 TCP连接中的协商次数, 并根据设置的协商次数阈值来判 断所述 TCP连接是否为异常连接, 具体的, 在步骤 301中, 可以直接根据预 设时间段内 TCP连接中客户端与 SSL服务器之间交互的 Change Cipher Spec 类型的协商报文的数量来获得协商次数, 在步骤 302中, 可以判断所述 TCP 连接中的协商次数是否大于预设的协商次数阈值, 其中, 所述协商次数阈值 为预先设置的一个 TCP连接中在设定时间段内允许的协商次数。
本发明实施例中的攻击防范方法,在统计 TCP连接中的重协商次数之前, 先判断所述 TCP连接中的客户端的 IP地址是否在预设的黑名单中, 如果在 黑名单中,则直接断开该 TCP连接,当不在黑名单中时,则通过统计所述 TCP 连接中的重协商次数来判断所述 TCP 连接是否为异常连接, 如果所述 TCP 连接为异常连接, 则断开所述 TCP连接, 并在设置的异常连接监控表中记录 所述 TCP连接中客户端发起的异常连接的数量,当该 TCP连接中的客户端发 起的异常连接的数量超过预设的连接数量阈值时, 将该客户端的 IP地址加入 黑名单,以便对设置的黑名单进行及时更新,从而不仅能够防止客户端对 SSL 服务器发起的 SSL DOS攻击, 还能够提高防范效率。
图 4为本发明实施例提供的另一种攻击防范方法的流程图,如图 4所示, 本实施例提供了一种攻击防范方法, 可以具体包括如下步骤:
步骤 400, 接收客户端发送的报文, 进入步骤 401。
步骤 401 , 判断接收的报文是否命中会话, 如果是, 则执行步骤 402, 否 则执行步骤 410。
在接收到客户端发送的报文后, 判断该报文是否命中会话, 具体的, 可 以根据该报文的五元组信息来判断是否命中已建立的会话, 其中, 五元组信 息为: 源 IP地址、 目的 IP地址、 源端口、 目的端口以及协议类型。 如果命 中会话, 则表明该^艮文的源 IP地址为真实 IP地址, 然后执行步骤 402; 如果 未命中会话, 则表明该^艮文的源 IP地址为虚拟 IP地址, 可以执行步骤 410, 丟弃该 4艮文。
步骤 402, 根据接收的报文判断客户端的 IP地址是否在黑名单中, 如果 是, 则执行步骤 410, 否则执行步骤 403。
当接收到的报文命中会话后, 进一步判断发送该报文的客户端的 IP地址 是否在黑名单中, 以防止攻击者利用真实 IP地址对服务器发起攻击, 其中, 黑名单中记录有已检测出的攻击者的 IP地址。 如果是, 则执行步骤 410, 将 该报文进行丟弃处理; 否则执行步骤 403。
步骤 403 , 统计该报文对应的 TCP连接中的重协商次数, 进入步骤 404。 本步骤为当发送所述报文的客户端的 IP地址不在黑名单中时,通过对客 户端的 IP地址指向的客户端与 SSL服务器之间建立的 TCP连接进行监控, 以统计接收到的报文对应的 TCP连接中的重协商次数。在识别 TCP连接中的 重协商行为时,可以具体通过 TCP连接中客户端与 SSL服务器之间交互的报 文来识别。 由于在一个 TCP连接中,客户端与 SSL服务器之间的每一次重协 商过程均会伴随一个 Change Cipher Spec类型的协商报文, 其中第一次协商 为正常协商, 其他非第一次协商则为重复协商。 因此, 本实施例可以通过判 断接收到的报文的类型是否为 Change Cipher Spec类型的报文来判断该报文 是否为协商报文。又由于 SSL DOS攻击是攻击者通过在与服务器建立连接后 短时间内快速的发起重复协商来对服务器进行攻击, 因此可以根据预设时间 内该 TCP连接中的协商报文的数量与 1的差来获得该 TCP连接中的重协商次 数。 例如, 若在 1小时内, 某个 TCP连接中出现的 Change Cipher Spec类型 的协商报文数量为 10个, 则可以得到该 TCP连接在 1个小时内的重协商次 数为 9次。
具体的, 实际应用中, 在统计预设时间内该 TCP连接中重协商次数时, 可以预先设定统计的时间, 实际应用中, 可以将统计周期设定为 30秒或 1分 钟, 具体时间设定可以根据实际业务的需要来设定, 也可以根据网络流量来 确定。 统计时, 可以在接收到协商报文时, 将协商报文数量记录一次, 并记 录一个时间戳, 从而再后续接收到协商报文时, 可以根据前面记录的时间戳 来确定统计周期,并根据确定的统计周期来统计该统计周期内的重协商次数。 例如, 在接收到第一个协商报文时, 将协商报文次数记录为一次, 并记录一 个时间戳, 当接收到第二个协商报文时, 将协商报文次数增加 1次, 记录第 二个时间戳, 从而可以根据记录的两个时间戳来确定这段时间段内接收到得 协商报文数量。
步骤 404, 判断 TCP连接中的重协商次数是否大于预设的重协商次数阈 值, 如果是, 则执行步骤 405 , 否则返回执行步骤 400。
经过上述步骤 403的统计过程, 判断统计的 TCP连接中的重协商次数是 否大于预设的重协商次数阈值, 具体的可以在每次对 TCP连接中的重协商次 数进行更新后, 判断该 TCP连接中的重协商次数是否大于预设的重协商次数 阈值。 例如, 当判断接收到的报文为 Change Cipher Spec类型的协商报文时, 将该报文所属的 TCP连接中的协商报文数量加 1 , 即, 该 TCP连接中的重协 商次数相应增加 1次,如果更新后的重协商次数大于预设的重协商次数阈值, 则可以执行步骤 405 , 确定该 TCP连接为异常连接; 否则返回执行步骤 400, 继续接收客户端发送的其他报文。
在本实施例中, 在执行上述步骤 403之前, 还可以包括: 预先配置所述 重协商次数阈值和连接数量阈值。具体可以根据实际情况来设定这两个阈值。 此处的重协商次数阈值为用户配置的设定时间段内重协商最大允许的次数, 此处的连接数量阈值为用户配置的设定时间段内异常连接最大允许的数 量。 具体确定时, 可以根据业务需要或网络流量来设定, 实际应用中, 可以 将重协商次数阈值设置为每 30秒 3次( 3次 /30秒) , 将连接数量阈值设置 为每 15秒 3次( 3次 /15秒 ) 。
步骤 405, 确定所述 TCP连接为异常连接, 进入步骤 406。
当 TCP 连接中的重协商次数大于预设的重协商次数阈值时, 则表明该 TCP连接中的重协商过程可能由外部恶意攻击的黑客发起, 可以确定该 TCP 连接为异常连接。 例如, 预设的一个 TCP连接在 1个小时内允许的最大重协 商次数为 10次, 则将该 TCP连接的重协商次数阈值设置为 10, 当 1小时内, 该 TCP连接中的重协商次数超过 10时, 则认为该 TCP连接为异常连接。 当 然, 可以理解的是, 重协商次数阈值是根据实际应用中一个正常的 TCP连接 可能存在的正常的协商次数的经验值来确定的。
步骤 406 , 向所述 TCP连接中的源 IP地址指向的客户端发送复位报文, 向所述 TCP连接中目的 IP地址指向的服务器发送复位报文, 通过复位报文 来断开客户端与服务器之间的 TCP连接, 进入步骤 407。
在本实施例中, 当确定一个 TCP连接为异常连接时, 则可以断开该 TCP 连接, 以防止攻击者通过该 TCP连接对 SSL服务器进行 SSL DOS攻击。 可 以通过发送 RST报文来断开该 TCP连接。 本步骤为在确定一个 TCP连接为 异常连接后, 向该 TCP连接中源 IP地址指向的客户端发送 RST报文, 并向 该 TCP连接中目的 IP地址指向的服务器发送 RST报文。客户端在接收到 RST 报文后,便自动断开对应的 TCP连接, 服务器在接收到 RST报文后,便自动 断开对应的 TCP连接,从而通过 RST报文将客户端与 SSL服务器之间的 TCP 连接断开。
步骤 407, 统计 TCP连接中的客户端发起的异常连接的数量, 进入步骤
408。
当确定 TCP连接为异常连接并断开所述 TCP连接之后, 可以对该 TCP 连接的客户端的 IP地址进行监控以进一步确定所述 TCP连接中的客户端是 否为攻击者, 具体可以建立一个异常连接监控表, 在该异常连接监控表中记 录该客户端发起的异常连接的数量。 在本实施例中, 当确定 TCP连接为异常 连接后,若该 TCP连接为该 TCP连接中的客户端发起的第一个异常连接,则 需要建立一个异常连接监控表, 以对该 TCP连接的客户端的 IP地址进行监 控, 统计该客户端发起的异常连接的数量。 当然, 如果该 TCP连接不是客户 端发起的第一异常连接, 则可以在异常连接监控表中更新所述客户端发起的 异常连接的数量。 可以理解的是, 统计所述 TCP连接中的客户端发起的异常 连接的数量时也是统计设定的统计周期内的异常连接数量, 具体的, 可以在 确定一次异常连接时, 记录一个时间戳, 根据记录的时间戳来确定统计周期, 并统计设定的统计周期内的异常连接数量。 此外, 在本实施例中, 当检测出 某个 TCP连接为异常连接时, 还可以将该检测结果作为日志信息记录到曰志 中, 以便后续查询使用。
步骤 408, 判断该 TCP连接中的客户端发起的异常连接的数量是否大于 预设的连接数量阈值, 如果是, 则执行步骤 409, 否则返回执行步骤 400。
判断统计的该 TCP连接中的客户端发起的异常连接的数量是否大于预设 的连接数量阈值, 如果是, 则执行步骤 409, 将该客户端的 IP地址加入黑名 单, 否则返回执行步骤 400, 继续接收客户端发送的报文。
步骤 409, 将所述客户端的 IP地址加入黑名单。
当异常连接监控表中统计的客户端发起的异常连接的数量于预设的连接 数量阈值时, 则表明该客户端可能为攻击者, 将该客户端的 IP地址加入黑名 单, 以便能够动态的更新所述黑名单。 下一次接收到从该 IP地址发送的报文 时, 可以直接丟弃该报文, 或断开该 IP地址发起的 TCP连接, 以提高检测 效率。 在本实施例中, 当检测出某个 IP地址被加入黑名单后, 还可以将该检 测结果作为日志信息记录到日志中, 以便后续查询使用。
步骤 410, 丟弃该 ·艮文。
当从客户端接收到一个报文后, 如果该报文未命中会话, 或该报文的源 IP地址在黑名单中, 则将该报文进行丟弃处理。
本实施例提供了一种攻击防范方法, 在接收到客户端发送的报文后, 先 判断该报文是否命中会话; 如果命中会话, 则继续根据接收到的报文判断客 户端的 IP地址是否在黑名单中; 如果 IP地址不在黑名单中, 且统计到 TCP 连接中的重协商次数大于重协商次数阈值时, 确定该 TCP连接为异常连接, 并断开该 TCP连接,并在设置的异常连接监控表中记录所述 TCP连接中客户 端发起的异常连接的数量, 当该 TCP连接中的客户端发起的异常连接的数量 超过预设的连接数量阈值时, 将该客户端的 IP地址加入黑名单, 以便对设置 的黑名单进行及时更新, 从而不仅能够防止客户端对 SSL服务器发起的 SSL DOS攻击, 还能够提高防范效率。
本领域普通技术人员可以理解: 实现上述方法实施例的全部或部分步骤 可以通过程序指令相关的硬件来完成, 前述的程序可以存储于一计算机可读 取存储介质中, 该程序在执行时, 执行包括上述方法实施例的步骤; 而前述 的存储介质包括: ROM, RAM, 磁碟或者光盘等各种可以存储程序代码的介 质。
图 5为本发明实施例提供的一种攻击防范设备的结构示意图, 如图 5所 示, 本实施例提供了一种攻击防范设备 50, 该攻击防范设备 50 可以用于防 范安全套接层(Secure Socket Layer; 以下简称: SSL )拒绝服务(Denial of service; 以下简称: DOS )攻击行为, 攻击防范设备 50可以包括第一统计 模块 501、 异常连接确定模块 502和处理模块 503。 其中:
第一统计模块 501 , 用于统计传输控制协议 ( Transmission Control
Protocol; 以下简称: TCP )连接中的重协商次数,所述重协商次数为所述 TCP 连接中的客户端与服务器之间进行重复协商的次数。
由于在一个 TCP连接中,客户端与 SSL服务器之间的每一次协商密钥的 过程均会伴随一个更改密码规格 Change Cipher Spec类型的协商报文, 其中 第一次协商为正常协商, 其他非第一次协商则为重复协商。 因此, 第一统计 模块 501所统计的 TCP连接中的重协商次数可以通过统计该 TCP连接中客户 端与 SSL服务器之间交互的 Change Cipher Spec类型的协商报文数量来识别。 具体的, 可以通过将预设时间内该 TCP连接中的协商报文的数量减一, 则可 以获得该 TCP连接中的重协商次数。
具体的, 实际应用中, 第一统计模块 501在统计预设时间内该 TCP连接 中重协商次数时, 可以预先设定统计周期, 即, 统计所述预设的统计周期内 的重协商次数。 实际应用中, 可以将统计周期设定为 30秒或 1分钟, 具体时 间设定可以根据实际业务的需要来设定, 也可以根据网络流量来确定。 统计 时, 可以在接收到协商报文时, 将协商报文数量记录一次, 并记录一个时间 戳, 从而再后续接收到协商报文时, 可以根据前面记录的时间戳来确定统计 周期, 并根据确定的统计周期来统计该统计周期内的重协商次数。 例如, 在 接收到第一个协商报文时, 将协商报文次数记录为一次, 并记录一个时间戳, 当接收到第二个协商报文时, 将协商报文次数增加 1次, 记录第二个时间戳, 从而可以根据记录的两个时间戳来确定这段时间内接收到得协商报文数量。
异常连接确定模块 502, 用于当第一统计模块 501统计的所述 TCP连接 中的重协商次数大于预设的重协商次数阈值时, 确定所述 TCP连接为异常连 接。
具体的, 重协商次数阈值为预先设置的一个 TCP连接中在一定时间内允 许的重协商的最大次数。 正常情况下在预设的时间内一个 TCP连接中的重协 商次数不会超过该重协商次数阈值, 当其超过该重协商阈值时, 表明该 TCP 连接中的重协商过程可能由外部的恶意攻击者发起攻击, 则异常连接确定模 块 502确定该 TCP连接为异常连接。 实际应用中, 可以根据业务需要或网络 流量来设定重协商次数阈值,例如可以将重协商次数阈值设置为每 30秒 3次 ( 3次 /30秒 ) 。
处理模块 503 , 用于在异常连接确认模块 502确定所述 TCP连接为异常 连接时, 断开所述 TCP连接。
具体的, 当异常连接确认模块 502确定 TCP连接为异常连接时, 为确保 服务器不会受到黑客攻击, 则断开该 TCP连接。
本实施例提供的攻击防范设备 50, 可以具体执行上述图 2至图 4所示的 方法实施例中的相关步骤。
本发明实施例所述攻击防范设备,根据 SSL DOS攻击是通过攻击者在与 服务器建立的 TCP连接中不断的重复协商密钥以消耗服务器 CPU资源的特 点 ,通过统计 TCP连接中的重协商次数 , 当统计到该 TCP连接中的重协商次 数大于重协商次数阈值时,确定该 TCP连接为异常连接,并断开该 TCP连接。 从而有效地实现了对 SSL DOS攻击行为进行防范, 避免服务器受到 SSL DOS攻击。
图 6为本发明实施例提供的又一攻击防范设备的结构示意图, 如图 6所 示, 本实施例提供了一种攻击防范设备 60, 可以具体执行上述图 2至图 4所 示的方法实施例中的相关步骤, 此处不再赘述。 本实施例提供的攻击防范设 备 60在上述图 5所示实施例的基础之上, 还可以包括判断模块 601 , 其中: 判断模块 601 ,用于判断 TCP连接中的客户端的 IP地址是否在黑名单中, 其中, 所述黑名单中包含了发起异常连接的客户端的 IP地址, 当所述客户端 的 IP地址不在黑名单中时, 触发第一统计模块 501 ; 当所述客户端的 IP地址 在所述黑名单中时, 触发所述处理模块 503。
具体的, 可以在攻击防范设备中预先设置攻击者的黑名单, 该黑名单中 包含有检测出的攻击者的 IP地址, 其中, 本实施例中的攻击防范设备可以是 路由器、 防火墙等网关产品或 DDOS清洗设备等网络设备。 当接收到客户端 发送的报文时,判断模块 601可以根据该报文中携带的源 IP地址判断该 TCP 连接中的客户端的 IP地址是否在预设的黑名单中, 如果不在黑名单中, 则触 发第一统计模块 501 , 否则触发所述处理模块 503 , 直接断开该 TCP连接, 从而可以提高攻击防范效率。
更进一步地,本实施例提供的攻击防范设备还可以包括第二统计模块 602 和管理模块 603。 其中:
第二统计模块 602, 用于统计所述 TCP连接中客户端发起的异常连接的 数量。
具体的, 可以在攻击防范设备中建立一个异常连接监控表, 用于统计客 户端发起的异常连接的数量。该异常连接监控表中记录有客户端的 IP地址以 及该 IP地址指向的客户端发起的异常连接的数量。 具体的, 当异常连接确定 模块 502确定某个 TCP连接为异常连接后, 则第二统计模块 602可以在该异 常连接监控表中查找与该 TCP连接中的客户端的 IP地址相同的 IP地址, 并 对该 IP地址下的异常连接数量进行统计。 具体的, 如果查找到与所述客户端 的 IP地址相同的 IP地址, 则第二统计模块 602将该 IP地址对应的异常连接 的数量加 1 ; 如果没有查找到相同的 IP地址, 则第二统计模块 602在所述异 常连接监控表中新增一条记录, 记录下该 IP地址, 并将该 IP地址对应的异 常连接的数量记录为 1次。
可以理解的是, 统计所述 TCP连接中的客户端发起的异常连接的数量时 也是统计设定的统计周期内的异常连接数量, 具体的, 可以在确定一次异常 连接时, 记录一个时间戳, 根据记录的时间戳来确定统计周期, 并统计设定 的统计周期内的异常连接数量。 具体统计方法可以参考前面方法实施例部分 的描述, 此处不再赘述。 管理模块 603 , 用于当第二统计模块 602统计的所述 TCP连接中客户端 发起的异常连接的数量大于预设的连接数量阈值时, 将所述客户端的 IP地址 加入所述黑名单。
其中, 连接数量阈值可以是预设的时间内允许该 IP地址指向的客户端发 起的异常连接的最大数量。 实际应用中, 可以根据业务需要或网络流量来设 定连接数量阈值,例如可以将连接数量阈值设置为每 30秒 3次( 3次 /30秒 )。 当第二统计模块 602统计的该 TCP连接中的客户端发起的异常连接的数量大 于预设的连接数量阈值时, 管理模块 603确定该客户端为攻击者, 将该客户 端的 IP地址加入黑名单, 从而能够动态的更新所述黑名单, 以便下一次接收 到从该 IP地址发送的报文时, 可以直接丟弃该报文, 或断开该 IP地址发起 的 TCP连接, 提高检测效率。
进一步的, 在另一种实施方式中, 第一统计模块 501 可以具体包括识别 单元 511和统计单元 521。 其中:
识别单元 511 , 用于通过所述 TCP连接中的客户端与服务器之间交互的 报文的类型来识别所述报文是否为协商报文;
本实施例的识别单元 511中识别的所述协商报文包括 Change Cipher Spec 类型的报文。 具体的, 由于在一个 TCP连接中, 客户端与 SSL服务器之间的 每一次重协商过程均会伴随一个 Change Cipher Spec类型的协商报文, 其中 第一次协商为正常协商, 其他非第一次协商则为重复协商。 因此, 识别单元 511 可以通过判断客户端与服务器之间交互的报文的类型是否为 Change Cipher Spec类型, 来识别该报文是否为协商报文。
统计单元 521 , 用于根据识别单元 511识别的所述 TCP连接中的协商报 文的个数来统计所述 TCP连接中的重协商次数。
实际应用中, TCP连接中的重协商次数可以通过统计该 TCP连接中客户 端与 SSL服务器之间交互的 Change Cipher Spec类型的协商报文数量来获得。 具体的, 统计单元 521可以通过将预设时间内该 TCP连接中的协商报文的数 量减一, 则可以获得该 TCP连接中的重协商次数。 例如, 若在 1小时内, 某 个 TCP连接中出现的 Change Cipher Spec类型的协商报文数量为 10个,则可 以得到该 TCP连接在 1个小时内的重协商次数为 9次。
进一步的, 在另一种情况下, 该攻击防范设备 60还可以包括: 接收模块 600, 用于接收客户端发送的报文。
所述判断模块 601, 还用于判断接收模块 600接收的报文是否命中会话, 如果命中会话, 则继续判断所述接收的报文的客户端的 IP地址是否在黑名单 中, 如果在黑名单中则触发处理模块 503 , 否则, 触发第一统计模块 501。
本实施例提供的一种攻击防范设备, 在接收到客户端发送的报文后, 先 通过判断模块判断该报文是否命中会话; 如果命中会话, 则继续根据接收到 的报文判断客户端的 IP地址是否在黑名单中; 如果不在黑名单中, 且统计到 TCP连接中的重协商次数大于重协商次数阈值时,确定该 TCP连接为异常连 接,并断开该 TCP连接,并在设置的异常连接监控表中记录所述 TCP连接中 客户端发起的异常连接的数量, 当该 TCP连接中的客户端发起的异常连接的 数量超过预设的连接数量阈值时, 将该客户端的 IP地址加入黑名单, 以便对 设置的黑名单进行及时更新,从而不仅能够防止具有真实 IP地址的客户端对 SSL服务器发起的 SSL DOS攻击, 还能够防止攻击者通过虚拟 IP地址对服 务器发起的攻击, 并进一步的通过设置的黑名单对接收到的报文进行过滤, 从而提高了防范的效率。
图 7为本发明实施例提供的又一种攻击防范设备的结构示意图, 该攻击 防范设备可以为路由器、 防火墙或 DDOS清洗设备, 还可以是包含攻击防范 定。 如图 7所示, 该攻击防范设备可以包括:
处理器 (processor)710, 通信接口(Communications Interface)720 , 存储器
(memory)730, 通信总线 740。
处理器 710, 通信接口 720, 存储器 730通过通信总线 740完成相互间的 通信。
通信接口 720, 用于与网元通信, 比如客户端或 SSL服务器等。
处理器 710, 用于执行程序 732, 具体可以执行上述图 2至图 4所示的方 法实施例中的相关步骤。 。
具体地, 程序 732可以包括程序代码, 所述程序代码包括计算机操作指 令。
处理器 710可能是一个中央处理器 CPU, 或者是特定集成电路 ASIC ( Application Specific Integrated Circuit ) , 或者是被配置成实施本发明实施例 的一个或多个集成电路。
存储器 730,用于存放程序 732。存储器 730可能包含高速 RAM存储器, 也可能还包括非易失性存储器( non-volatile memory ) , 例如至少一个磁盘存 储器。 程序 732具体可以包括:
第一统计模块, 用于统计所述 TCP连接中的重协商次数, 所述重协商次 数为所述 TCP连接中的客户端与服务器之间进行重复协商的次数;
异常连接确定模块, 用于当第一统计模块统计的所述 TCP连接中的重协 商次数大于预设的重协商次数阈值时, 确定所述 TCP连接为异常连接;
处理模块, 用于在异常连接确认模块确定所述 TCP连接为异常连接时, 断开所述 TCP连接。
程序 732中各模块的具体实现可以参见图 5-图 6所示实施例中的相应模 块, 在此不赘述。
所属领域的技术人员可以清楚地了解到, 为描述的方便和简洁, 上述描 述的设备和模块的具体工作过程, 可以参考前述方法实施例中的对应过程描 述, 在此不再赘述。
在本申请所提供的几个实施例中, 应该理解到, 所揭露的设备和方法, 可以通过其它的方式实现。 例如, 以上所描述的装置实施例仅仅是示意性的, 例如, 所述模块的划分, 仅仅为一种逻辑功能划分, 实际实现时可以有另外 的划分方式, 例如多个模块或组件可以结合或者可以集成到另一个设备中, 或一些特征可以忽略, 或不执行。 另一点, 所显示或讨论的相互之间的耦合 或直接耦合或通信连接可以是通过一些通信接口, 装置或模块的间接耦合或 通信连接, 可以是电性, 机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的, 作 为模块显示的部件可以是或者也可以不是物理单元, 即可以位于一个地方, 或者也可以分布到多个网络单元上。 可以根据实际的需要选择其中的部分或 者全部, 模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理模块中, 也可以是各个模块单独物理存在, 也可以两个或两个以上模块集成在一个模 块中。
最后应说明的是: 以上各实施例仅用以说明本发明的技术方案, 而非对 其限制; 尽管参照前述各实施例对本发明进行了详细的说明, 本领域的普通 技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改, 或者对其中部分或者全部技术特征进行等同替换; 而这些修改或者替换, 并 不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (21)

  1. 权 利 要 求 书
    1、 一种攻击防范方法, 其特征在于, 包括:
    统计传输控制协议 TCP 连接中的重协商次数, 所述重协商次数为所述 TCP连接中的客户端与服务器之间进行重复协商的次数;
    当所述 TCP连接中的重协商次数大于预设的重协商次数阈值时, 确定所 述 TCP连接为异常连接;
    断开所述 TCP连接。
  2. 2、 根据权利要求 1所述的方法, 其特征在于, 所述统计所述 TCP连接 中的重协商次数包括:
    通过所述 TCP连接中的客户端与服务器之间交互的报文的类型来识别所 述报文是否为协商报文;
    根据所述 TCP连接中的协商报文的个数来统计所述 TCP连接中的重协商 次数。
  3. 3、 根据权利要求 2所述的方法, 其特征在于, 所述协商报文包括更改密 码规格 Change Cipher Spec类型的报文。
  4. 4、 根据权利要求 1所述的方法, 其特征在于, 所述统计 TCP连接中的 重协商次数包括:
    通过统计所述 TCP连接中客户端与 SSL服务器之间交互的 Change Cipher Spec类型的协商报文数量来获得所述 TCP连接中的重协商次数。
  5. 5、 根据权利要求 1-4任意一项所述的方法, 其特征在于, 还包括: 判断所述 TCP连接中的客户端的 IP地址是否在设置的黑名单中, 其中, 所述黑名单中包含了发起异常连接的客户端的 IP地址;
    当所述客户端的 IP地址不在所述黑名单中时, 进入所述统计 TCP连接 中的重协商次数的步骤;
    当所述客户端的 IP地址在所述黑名单中时, 断开所述 TCP连接。
  6. 6、 根据权利要求 5所述的方法, 其特征在于, 还包括:
    统计所述客户端发起的异常连接的数量;
    当所述客户端发起的异常连接的数量大于预设的连接数量阈值时, 将所 述客户端的 IP地址加入所述黑名单。
  7. 7、 根据权利要求 1-6任意一项所述的方法, 其特征在于, 所述攻击防范 方法用于防范安全套接层 SSL拒绝服务 DOS攻击行为,所述服务器包括 SSL 服务器。
  8. 8、 一种攻击防范设备, 其特征在于, 包括:
    第一统计模块, 用于统计传输控制协议 TCP连接中的重协商次数, 所述 重协商次数为所述 TCP连接中的客户端与服务器之间进行重复协商的次数; 异常连接确定模块, 用于当所述 TCP连接中的重协商次数大于预设的重 协商次数阈值时, 确定所述 TCP连接为异常连接;
    处理模块, 用于断开所述 TCP连接。
  9. 9、 根据权利要求 8所述的攻击防范设备, 其特征在于, 所述第一统计模 块包括:
    识别单元, 用于通过所述 TCP连接中的客户端与服务器之间交互的报文 的类型来识别所述报文是否为协商报文;
    统计单元, 用于根据所述识别单元识别的所述 TCP连接中的协商报文的 个数来统计所述 TCP连接中的重协商次数。
  10. 10、 根据权利要求 9所述的攻击防范设备, 其特征在于, 所述协商报文 包括更改密码规格 Change Cipher Spec类型的 4艮文。
  11. 11、 根据权利要求 8所述的攻击防范设备, 其特征在于, 所述第一统计 模块具体用于通过统计所述 TCP 连接中客户端与 SSL服务器之间交互的 Change Cipher Spec类型的协商报文数量来获得所述 TCP连接中的重协商次 数。
  12. 12、 根据权利要求 8-11任意一项所述的攻击防范设备, 其特征在于, 还 包括:
    判断模块, 用于判断 TCP连接中的客户端的 IP地址是否在黑名单中, 其中, 所述黑名单中包含了发起异常连接的客户端的 IP地址, 当所述客户端 的 IP地址不在所述黑名单中时, 触发所述第一统计模块; 当所述客户端的 IP 地址在所述黑名单中时, 触发所述处理模块。
  13. 13、 根据权利要求 12所述的攻击防范设备, 其特征在于, 还包括: 第二统计模块,用于统计所述 TCP连接中客户端发起的异常连接的数量; 管理模块, 用于当所述第二统计模块统计的所述 TCP连接中客户端发起 的异常连接的数量大于预设的连接数量阈值时, 将所述客户端的 IP地址加入 所述黑名单。
  14. 14、 根据权利要求 8-13任意一项所述的攻击防范设备, 其特征在于, 所 述攻击防范设备用于防范安全套接层 SSL拒绝服务 DOS攻击行为, 所述服 务器包括 SSL服务器。
  15. 15、 一种攻击防范设备, 其特征在于:
    所述攻击防范设备包括处理器、 通信接口和通信总线;
    其中, 所述处理器和所述通信接口通过所述通信总线进行通信; 所述通信接口用于与客户端和服务器通信, 建立客户端和服务器之间的 传输控制协议 TCP连接;
    所述处理器, 用于统计所述 TCP连接中的重协商次数, 所述重协商次数 为所述 TCP连接中的客户端与服务器之间进行重复协商的次数; 当所述 TCP 连接中的重协商次数大于预设的重协商次数阈值时, 确定所述 TCP连接为异 常连接; 断开所述 TCP连接。
  16. 16、 根据权利要求 15所述的攻击防范设备, 其特征在于, 所述处理器用 于统计所述 TCP连接中的重协商次数包括:
    所述处理器用于通过所述 TCP连接中的客户端与服务器之间交互的报文 的类型来识别所述报文是否为协商报文, 根据所述 TCP连接中的协商报文的 个数来统计所述 TCP连接中的重协商次数。
  17. 17、 根据权利要求 16所述的攻击防范设备, 其特征在于, 所述协商报文 包括更改密码规格 Change Cipher Spec类型的 4艮文。
  18. 18、 根据权利要求 15所述的攻击防范设备, 其特征在于, 所述处理器用 于统计所述 TCP连接中的重协商次数包括:
    所述处理器通过统计所述 TCP连接中客户端与 SSL服务器之间交互的 Change Cipher Spec类型的协商报文数量来获得所述 TCP连接中的重协商次 数。
  19. 19、 根据权利要求 15-18任意一项所述的攻击防范设备, 其特征在于, 所述处理器还用于:
    判断所述 TCP连接中的客户端的 IP地址是否在设置的黑名单中, 其中, 所述黑名单中包含了发起异常连接的客户端的 IP地址;
    当所述客户端的 IP地址不在所述黑名单中时, 进入所述统计 TCP连接 中的重协商次数的步骤;
    当所述客户端的 IP地址在所述黑名单中时, 断开所述 TCP连接。
  20. 20、 根据权利要求 19所述的攻击防范设备, 其特征在于, 所述处理器还 用于:
    统计所述客户端发起的异常连接的数量;
    当所述客户端发起的异常连接的数量大于预设的连接数量阈值时, 将所 述客户端的 IP地址加入所述黑名单。
  21. 21、 根据权利要求 15-20任意一项所述的攻击防范设备, 其特征在于, 所述攻击防范设备用于防范安全套接层 SSL拒绝服务 DOS攻击行为, 所述 服务器包括 SSL服务器。
CN201280023362.1A 2012-09-17 2012-09-17 攻击防范方法和设备 Active CN104137513B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2012/081473 WO2014040292A1 (zh) 2012-09-17 2012-09-17 攻击防范方法和设备

Publications (2)

Publication Number Publication Date
CN104137513A true CN104137513A (zh) 2014-11-05
CN104137513B CN104137513B (zh) 2018-01-09

Family

ID=50277524

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201280023362.1A Active CN104137513B (zh) 2012-09-17 2012-09-17 攻击防范方法和设备

Country Status (5)

Country Link
US (1) US20140325648A1 (zh)
EP (1) EP2790382B1 (zh)
CN (1) CN104137513B (zh)
ES (1) ES2628613T3 (zh)
WO (1) WO2014040292A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107454039A (zh) * 2016-05-31 2017-12-08 北京京东尚科信息技术有限公司 网络攻击检测系统和检测网络攻击的方法
CN109873972A (zh) * 2019-02-13 2019-06-11 苏州科达科技股份有限公司 防止重协商DoS攻击的注册方法、呼叫方法、介质、设备

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9294503B2 (en) 2013-08-26 2016-03-22 A10 Networks, Inc. Health monitor based distributed denial of service attack mitigation
US9774566B2 (en) * 2013-11-29 2017-09-26 Acer Incorporated Communication method and mobile electronic device using the same
US9756071B1 (en) 2014-09-16 2017-09-05 A10 Networks, Inc. DNS denial of service attack protection
US9537886B1 (en) 2014-10-23 2017-01-03 A10 Networks, Inc. Flagging security threats in web service requests
US9584318B1 (en) 2014-12-30 2017-02-28 A10 Networks, Inc. Perfect forward secrecy distributed denial of service attack defense
US9900343B1 (en) 2015-01-05 2018-02-20 A10 Networks, Inc. Distributed denial of service cellular signaling
US9848013B1 (en) * 2015-02-05 2017-12-19 A10 Networks, Inc. Perfect forward secrecy distributed denial of service attack detection
US10063591B1 (en) 2015-02-14 2018-08-28 A10 Networks, Inc. Implementing and optimizing secure socket layer intercept
US10728281B2 (en) * 2015-04-28 2020-07-28 Nippon Telegraph And Telephone Corporation Connection control apparatus, connection control method, and connection control program
CN106302347B (zh) * 2015-05-28 2019-11-05 阿里巴巴集团控股有限公司 一种网络攻击处理方法和装置
KR102045468B1 (ko) * 2015-07-27 2019-11-15 한국전자통신연구원 네트워크 데이터 분석에 기반한 비정상 연결 행위 탐지 장치 및 방법
CN105939320A (zh) * 2015-12-02 2016-09-14 杭州迪普科技有限公司 处理报文的方法及装置
US10469594B2 (en) 2015-12-08 2019-11-05 A10 Networks, Inc. Implementation of secure socket layer intercept
US10505984B2 (en) 2015-12-08 2019-12-10 A10 Networks, Inc. Exchange of control information between secure socket layer gateways
US10116634B2 (en) 2016-06-28 2018-10-30 A10 Networks, Inc. Intercepting secure session upon receipt of untrusted certificate
US10158666B2 (en) 2016-07-26 2018-12-18 A10 Networks, Inc. Mitigating TCP SYN DDoS attacks using TCP reset
CN106375152A (zh) * 2016-08-31 2017-02-01 北京信而泰科技股份有限公司 一种c/s架构的通信异常处理方法
CN106534078B (zh) * 2016-10-19 2019-07-02 北京神州绿盟信息安全科技股份有限公司 一种建立黑名单的方法及装置
US11050784B1 (en) * 2017-03-17 2021-06-29 Amazon Technologies, Inc. Mitigating a denial-of-service attack
CN107360574A (zh) * 2017-06-16 2017-11-17 上海斐讯数据通信技术有限公司 一种终端设备管理方法、一种云控制器及一种无线接入点
CN108234516B (zh) * 2018-01-26 2021-01-26 北京安博通科技股份有限公司 一种网络泛洪攻击的检测方法及装置
CN111669359A (zh) * 2019-03-09 2020-09-15 深圳市锐速云计算有限公司 一种新型网络攻击处理方法及装置
ES2945643T3 (es) 2019-07-18 2023-07-05 Signify Holding Bv Dispositivo de iluminación
CN111031054A (zh) * 2019-12-19 2020-04-17 紫光云(南京)数字技术有限公司 一种cc防护方法
CN111181967B (zh) * 2019-12-30 2023-07-04 奇安信科技集团股份有限公司 数据流识别方法、装置、电子设备及介质
CN111224997B (zh) * 2020-01-17 2022-11-01 杭州迪普科技股份有限公司 一种抑制病毒在局域网中传播的方法及装置
CN112601227A (zh) * 2020-12-29 2021-04-02 湖北快付宝信息科技有限公司 一种移动终端的应用安全防护方法
CN114095258B (zh) * 2021-11-23 2024-02-06 北京天融信网络安全技术有限公司 攻击防御方法、装置、电子设备及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040133798A1 (en) * 2003-01-07 2004-07-08 Microsoft Corporation Method and apparatus for preventing a denial of service attack during key negotiation
CN101047697A (zh) * 2006-03-29 2007-10-03 华为技术有限公司 针对web服务器进行DDOS攻击的防御方法和设备
CN101141443A (zh) * 2006-09-05 2008-03-12 中兴通讯股份有限公司 检测tcp插入式攻击的方法和系统
CN101594269A (zh) * 2009-06-29 2009-12-02 成都市华为赛门铁克科技有限公司 一种异常连接的检测方法、装置及网关设备
CN101789947A (zh) * 2010-02-21 2010-07-28 成都市华为赛门铁克科技有限公司 防范http post泛洪攻击的方法及防火墙
CN102123165A (zh) * 2010-12-24 2011-07-13 重庆大学 一种提高基于无线mesh网络的分布式网络控制系统间的数据品质控制方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7155740B2 (en) * 2000-07-13 2006-12-26 Lucent Technologies Inc. Method and apparatus for robust NAT interoperation with IPSEC'S IKE and ESP tunnel mode
US6851062B2 (en) * 2001-09-27 2005-02-01 International Business Machines Corporation System and method for managing denial of service attacks
CN100571130C (zh) * 2004-11-08 2009-12-16 中兴通讯股份有限公司 一种通用的安全等级协商方法
US20080082658A1 (en) * 2006-09-29 2008-04-03 Wan-Yen Hsu Spam control systems and methods
CN101674293B (zh) * 2008-09-11 2013-04-03 阿里巴巴集团控股有限公司 一种分布式应用中处理非正常请求的方法及系统
US8700892B2 (en) * 2010-03-19 2014-04-15 F5 Networks, Inc. Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion
JP2012213036A (ja) * 2011-03-31 2012-11-01 Panasonic Corp 通信装置及び通信システム

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040133798A1 (en) * 2003-01-07 2004-07-08 Microsoft Corporation Method and apparatus for preventing a denial of service attack during key negotiation
CN101047697A (zh) * 2006-03-29 2007-10-03 华为技术有限公司 针对web服务器进行DDOS攻击的防御方法和设备
CN101141443A (zh) * 2006-09-05 2008-03-12 中兴通讯股份有限公司 检测tcp插入式攻击的方法和系统
CN101594269A (zh) * 2009-06-29 2009-12-02 成都市华为赛门铁克科技有限公司 一种异常连接的检测方法、装置及网关设备
CN101789947A (zh) * 2010-02-21 2010-07-28 成都市华为赛门铁克科技有限公司 防范http post泛洪攻击的方法及防火墙
CN102123165A (zh) * 2010-12-24 2011-07-13 重庆大学 一种提高基于无线mesh网络的分布式网络控制系统间的数据品质控制方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107454039A (zh) * 2016-05-31 2017-12-08 北京京东尚科信息技术有限公司 网络攻击检测系统和检测网络攻击的方法
CN107454039B (zh) * 2016-05-31 2020-05-01 北京京东尚科信息技术有限公司 网络攻击检测系统、方法和计算机可读存储介质
CN109873972A (zh) * 2019-02-13 2019-06-11 苏州科达科技股份有限公司 防止重协商DoS攻击的注册方法、呼叫方法、介质、设备
CN109873972B (zh) * 2019-02-13 2022-02-18 苏州科达科技股份有限公司 防止重协商DoS攻击的注册方法、呼叫方法、介质、设备

Also Published As

Publication number Publication date
EP2790382A1 (en) 2014-10-15
CN104137513B (zh) 2018-01-09
WO2014040292A1 (zh) 2014-03-20
EP2790382A4 (en) 2015-02-18
US20140325648A1 (en) 2014-10-30
EP2790382B1 (en) 2017-05-03
ES2628613T3 (es) 2017-08-03

Similar Documents

Publication Publication Date Title
CN104137513A (zh) 攻击防范方法和设备
CN110445770B (zh) 网络攻击源定位及防护方法、电子设备及计算机存储介质
US11924170B2 (en) Methods and systems for API deception environment and API traffic control and security
US11671402B2 (en) Service resource scheduling method and apparatus
US9628441B2 (en) Attack defense method and device
CN101589595B (zh) 用于潜在被污染端系统的牵制机制
US8347383B2 (en) Network monitoring apparatus, network monitoring method, and network monitoring program
CN109194680B (zh) 一种网络攻击识别方法、装置及设备
CN111010409B (zh) 加密攻击网络流量检测方法
CN102438028B (zh) 一种防止dhcp服务器欺骗的方法、装置及系统
CN108270722B (zh) 一种攻击行为检测方法和装置
CN105450619A (zh) 恶意攻击的防护方法、装置和系统
CN110417717B (zh) 登录行为的识别方法及装置
CN107733867B (zh) 一种发现僵尸网络及防护的方法、系统和存储介质
JP2013011949A (ja) 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム
JP7102780B2 (ja) 不正通信対処システム及び方法
CN111901284A (zh) 流量控制方法及系统
Patil et al. Port scanning based model to detect Malicious TCP traffic and mitigate its impact in SDN
Khirwadkar Defense against network attacks using game theory
CN114448653A (zh) 策略执行方法、相关装置以及存储介质
WO2007125402A2 (en) A method for protecting local servers from denial-of-service attacks
FI126032B (en) Detection of threats in communication networks
CN114697136B (zh) 一种基于交换网络的网络攻击检测方法与系统
US20240223584A1 (en) Method for identifying source address of packet and apparatus
US12041081B2 (en) Method and system for discovering, reporting, and preventing duplicate address detection attacks

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant