CN105610852A - 处理ack洪泛攻击的方法和装置 - Google Patents
处理ack洪泛攻击的方法和装置 Download PDFInfo
- Publication number
- CN105610852A CN105610852A CN201610025488.2A CN201610025488A CN105610852A CN 105610852 A CN105610852 A CN 105610852A CN 201610025488 A CN201610025488 A CN 201610025488A CN 105610852 A CN105610852 A CN 105610852A
- Authority
- CN
- China
- Prior art keywords
- ack message
- ack
- information
- message
- validated user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种处理ACK洪泛攻击的方法和装置。该方法包括:防御设备从终端接收到第一ACK报文后,存储所述第一ACK报文的信息;所述防御设备向所述终端发送用于指示重传的ACK报文;所述防御设备根据所述第一ACK报文的信息,确定接收到的第二ACK报文是否与所述第一ACK报文匹配;当接收到的所述第二ACK报文与所述第一ACK报文匹配,所述防御设备确定所述终端为合法用户;并将所述第二ACK报文发送给所述防御设备对应的网络设备;当接收到来自所述合法用户的第三ACK报文时,将所述第三ACK报文发送给所述防御设备对应的网络设备。根据本发明实施例,能够在处理ACK洪泛攻击时,及时地分辨出合法用户,提高合法用户的网络体验。
Description
技术领域
本发明涉及计算机通信技术领域,尤其涉及一种处理ACK洪泛攻击的方法和装置。
背景技术
目前,网络设备经常会受到分布式拒绝服务(DistributedDenialofService,DDoS)攻击。在DDoS攻击中,多个攻击源同时利用合理的服务请求来占用同一台网络设备过多的服务资源,从而使该网络设备无法处理合法用户的指令。其中,传输控制协议/因特网互联协议(TransmissionControlProtocol/InternetProtocol,TCP/IP)被网络设备广泛使用。根据TCP/IP协议,在连接建立和数据传输的过程中,网络设备都会收到用于不同服务请求的ACK报文。因此,ACK洪泛攻击是DDoS攻击的常用形式。在ACK洪泛攻击中,多个攻击源可以同时向网络设备发送大量的ACK报文,从而使该网络设备无法响应正常的ACK报文。
为了保护网络设备,通常在检测到ACK洪泛攻击后,将该网络设备接收的所有ACK报文转发给预先设置的防御设备,由防御设备对ACK报文进行处理。防御设备在处理ACK洪泛攻击时,主要采用丢弃方式和触发重传方式。
在丢弃方式中,防御设备不对合法用户进行识别,直接将所有ACK报文直接丢弃。在丢弃用于攻击的ACK报文的同时,也将合法用户的ACK报文全部丢弃,造成合法用户与网络设备的连接断开。合法用户需要通过手动方式重新与网络设备建立连接,影响合法用户的网络体验。
在触发重传方式中,防御设备从某个终端第一次收到ACK报文后,记录接收该ACK报文的时间并将该ACK报文丢弃,后续又从该终端接收到ACK报文时,判断两次接收ACK报文的时间间隔是否合理,当时间间隔合理时,确定该发送方为合法用户。由于不同的操作系统的需求不同,该时间间隔的设置也比较复杂。为了防止ACK洪泛攻击,该时间间隔通常设置为2-5秒,造成很多合法用户在这个时间段内发送的ACK报文被丢弃,合法用户的服务请求被中断,影响正常用户的网络体验。另外,根据TCP/IP协议,终端在发出ACK报文后,即使没有收到反馈,也会继续在预设的TCP窗口范围内传输尽可能多的数据报文。在触发重传方式中,这些数据报文都将被丢弃,直到该终端再次发送ACK报文并被确定为合法用户,从而浪费更多的网络资源。
发明内容
本发明实施例提供了一种处理ACK洪泛攻击的方法和装置,能够在处理ACK洪泛攻击时,及时地分辨出合法用户,提高合法用户的网络体验,避免大量合法用户的报文被丢弃,节约网络资源。
本发明实施例的技术方案是这样实现的:
一种处理ACK洪泛攻击的方法,包括:
防御设备从终端接收到第一ACK报文后,存储所述第一ACK报文的信息;
所述防御设备向所述终端发送用于指示重传的ACK报文;
所述防御设备根据所述第一ACK报文的信息,确定接收到的第二ACK报文是否与所述第一ACK报文匹配;
当接收到的所述第二ACK报文与所述第一ACK报文匹配,所述防御设备确定所述终端为合法用户;并将所述第二ACK报文发送给所述防御设备对应的网络设备;
当接收到来自所述合法用户的第三ACK报文时,将所述第三ACK报文发送给所述防御设备对应的网络设备。
一种处理ACK洪泛攻击的装置,包括:
确定模块,用于从终端接收到第一ACK报文后,发送存储指令给存储模块,发送重传指令给发送模块;根据所述第一ACK报文的信息,确定接收的第二ACK报文是否与所述第一ACK报文匹配;当接收到的所述第二ACK报文与所述第一ACK报文匹配,确定所述终端为合法用户,并将所述第二ACK报文发送给所述发送模块;当接收到来自所述合法用户的第三ACK报文时,将所述第三ACK报文发送给所述发送模块;
所述发送模块用于根据所述确定模块的重传指令,向所述终端发送用于指示重传的ACK报文;将来自所述确定模块的所述第二ACK报文和所述第三ACK报文发送给所述装置对应的网络设备;
所述存储模块用于根据所述确定模块的存储指令,存储所述第一ACK报文的信息。
根据本发明实施例提供的处理ACK洪泛攻击的方法和装置,防御设备在收到终端的ACK报文后,主动发送ACK报文给终端,并根据该终端的反馈,迅速地识别出合法用户,免合法用户的网络服务中断,提高了合法用户的网络体验。另外,由于防御设备识别合法用户的时间很短,无需丢弃大量合法用户发送的ACK报文,从而节约了网络资源,减少了ACK洪泛对正常用户的影响。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的处理ACK洪泛攻击的方法的流程图。
图2为本发明实施例提供的处理ACK洪泛攻击的方法的流程图。
图3为本发明实施例提供的处理ACK洪泛攻击的方法的流程图。
图4为本发明实施例提供的处理ACK洪泛攻击的装置的结构的示意图。
图5为本发明实施例提供的处理ACK洪泛攻击的装置的结构的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的处理ACK洪泛攻击的方法的流程图。在本发明实施例中,预先为网络设备,如服务器等配置用于处理ACK洪泛攻击的防御设备。如图1所示,该方法包括如下步骤。
步骤11,防御设备从终端接收到第一ACK报文后,存储第一ACK报文的信息。
在本发明实施例中,防御设备首次从某个终端接收到ACK报文,即第一ACK报文后,存储该第一ACK报文的信息。
在本发明实施例中,第一ACK报文的信息可以是第一ACK报文的标识信息。根据该标识信息,可以唯一确定第一ACK报文。在本发明实施例中,第一ACK报文的信息可以包括第一ACK报文的标识信息和接收第一ACK报文的时间。其中,标识信息可以是五元组信息;或者是五元组信息和序列号(SEQ)。
步骤12,防御设备向该终端发送用于指示重传的ACK报文。
在本发明实施例中,用于指示重传的ACK报文可以为携带有该第一ACK报文的SEQ的ACK报文。
根据TCP/IP协议,接收到来自发送方的ACK报文X后,接收方反馈的ACK报文Y中应携带ACK报文X的SEQ+载荷。如果接收方反馈的ACK报文Y中只携带了ACK报文X的SEQ,则表示接收方已经丢弃了该ACK报文X,发送方在接收到来自接收方的ACK报文Y后,会重新发送该ACK报文X。因此,在本发明实施例中,防御设备将携带有第一ACK报文SEQ的ACK报文作为指示终端重新发送第一ACK报文。
在本发明实施例中,该用于指示重传的ACK报文可以为使能了SACK选项的ACK报文。
根据TCP/IP协议,接收方可以通过使能SACK选项,告知发送方哪些报文段丢失,从而使发送方重新发送丢失的报文段。在本发明实施例中,防御设备可以通过使能SACK选项,告知终端第一ACK报文为需要重传的报文,从而使终端重新发送第一ACK报文。
在实际应用中,防御设备还可以采用其他能够指示发送方重新传输ACK报文的方式,例如,防御设备可以预先与终端确定的重传标识符,当终端收到的ACK报文中包括该重传标识符时,终端再次发送第一ACK报文。
步骤13,防御设备根据第一ACK报文的信息,确定接收到的第二ACK报文是否与第一ACK报文匹配。
终端在接收到防御设备在步骤12中发送的用于指示重传的ACK报文后,如果终端是正常用户,则终端会再次发送第一ACK报文给防御设备。如果终端是攻击源,则终端不会回应用于指示重传的ACK报文。攻击源会持续发送大量包括随机的五元组信息的ACK报文。
在本发明实施例中,防御设备在确定接收到的第二ACK报文是否与第一ACK报文匹配时,可以确定第二ACK报文与第一ACK报文是否来自相同的终端。如果第二ACK报文与第一ACK报文来自相同的终端,则说明该终端发送的ACK报文不是随机的,从而确定该终端为合法用户。在这种情况下,步骤11中存储的第一ACK报文的标识信息是第一ACK报文的五元组信息。在本步骤中,防御设备确定接收到的第二ACK报文的五元组信息是否与第一ACK报文的五元组信息相同。如果第二ACK报文的五元组信息与第一ACK报文的五元组信息相同,则确定接收到的第二ACK报文与第一ACK报文匹配。
在本发明实施例中,防御设备在确定接收到的第二ACK报文是否与第一ACK报文匹配时,可以确定第二ACK报文是否与第一ACK报文相同。如果第二ACK报文与第一ACK报文相同,则说明第二ACK报文为该终端再次发送的第一ACK报文,从而确定该终端为合法用户,使合法用户的识别具有更高的准确性。在这种情况下,步骤11中存储的第一ACK报文的标识信息可以包括第一ACK报文的五元组信息和SEQ。在本步骤中,防御设备确定接收到的第二ACK报文的五元组信息和SEQ是否与第一ACK报文的五元组信息和SEQ分别相同。如果第二ACK报文的五元组信息和SEQ与第一ACK报文的五元组信息和SEQ分别相同,则确定接收到的第二ACK报文与第一ACK报文匹配。
在本发明实施例中,防御设备在确定接收到的第二ACK报文是否与第一ACK报文匹配时,可以确定在预定时间间隔内收到的第二ACK报文是否与第一ACK匹配。在这种情况下,步骤11中存储的第一ACK报文的信息包括第一ACK报文的标识信息和接收第一ACK报文的时间。其中标识信息可以为五元组信息,或者标识信息可以为五元组信息和SEQ。
当步骤11中存储的第一ACK报文的信息包括第一ACK报文的五元组信息和接收第一ACK报文的时间时,防御设备确定接收到的第二ACK报文的五元组信息是否与第一ACK报文的五元组信息相同以及确定接收第二ACK报文的时间与接收第一ACK报文的时间之差是否小于预定时间间隔。如果第二ACK报文的五元组信息与第一ACK报文的五元组信息相同以及接收第二ACK报文的时间与接收第一ACK报文的时间之差小于预定时间间隔,则确定接收到的第二ACK报文与第一ACK报文匹配。
当步骤11中存储的第一ACK报文的信息包括第一ACK报文的五元组信息,SEQ和接收第一ACK报文的时间时,防御设备确定接收到的第二ACK报文的五元组信息和SEQ是否与第一ACK报文的五元组信息和SEQ分别相同,以及确定接收第二ACK报文的时间与接收第一ACK报文的时间之差是否小于预定时间间隔。如果第二ACK报文的五元组信息和SEQ与第一ACK报文的五元组信息和SEQ分别相同以及接收第二ACK报文的时间与接收第一ACK报文的时间之差小于预定时间间隔,则确定接收到的第二ACK报文与第一ACK报文匹配。
由于防御设备在发送用于指示重传的ACK报文后,通常会在一个往返传输时间内收到正常用户的反馈,因此在本发明实施例中,可以根据实际需要,预先设置较短的时间间隔,该预定时间间隔的值可以在0.01毫秒至1秒之间。如果防御设备在预设时间间隔内收到了来自终端的与第一ACK报文匹配的第二ACK报文,则确定该终端为合法用户,从而提高合法用户识别的效率,并且降低了攻击源发送的随机ACK报文与第一ACK报文匹配的几率,进一步提高了合法用户识别的准确性。
步骤14,当接收到的第二ACK报文与第一ACK报文匹配,防御设备确定该终端为合法用户,将第二ACK报文发送给该防御设备对应的网络设备。
在本发明实施例中,防御设备可以根据第一ACK报文的信息,确定该合法用户的标识,并将合法用户的标识添加到合法用户列表,以便在后续处理中,及时确定来自合法用户的ACK报文。
其中,合法用户的标识可以是第一ACK报文的五元组信息,从而精确定位可以转发给网络设备的ACK报文,将具有与第一ACK报文相同的源IP地址,源端口,目的IP地址和目的端口的ACK报文转发给网络设备进行处理。或者,合法用户的标识可以是第一ACK报文的五元组信息中的源IP地址。由于已经确定了发送第一ACK报文终端为合法用户,则可以将来自合法用户不同端口,具有不同目的IP地址和目的端口的ACK报文转发给网络设备进行处理。
步骤15,当接收到来自该合法用户的第三ACK报文时,将第三ACK报文发送给防御设备对应的网络设备。
在本发明实施例中,将后续来自该合法用户的ACK报文称为第三ACK报文,该第三ACK报文可以是一个或多个。在本步骤中,可以直接将第三ACK报文发送给防御设备对应的网络设备,从而使合法用户的业务请求被直接处理,提高用户的网络体验。
另外,在本发明实施例中,当第一ACK报文的信息被存储的时间超过预定阈值时,删除第一ACK报文的信息。该预定阈值可以根据防御设备的存储空间大小和实际需要确定,例如,该预定阈值可以为5秒或者10秒。通过定时删除存储时间超过预定阈值的第一ACK报文的信息,可以使防御设备的存储空间得到充分使用,节约系统资源,减少合法用户识别所需的数据量,提高合法用户识别的效率。
可见,根据本发明实施例,防御设备在收到终端的ACK报文后,主动发送ACK报文给终端,并根据该终端的反馈,迅速地识别出合法用户,避免合法用户的网络服务中断,提高了合法用户的网络体验。另外,由于防御设备识别合法用户的时间很短,无需丢弃大量合法用户发送的报文,从而节约了网络资源,减少了ACK洪泛对正常用户的影响。
图2为本发明实施例提供的处理ACK洪泛攻击的方法的流程图。在本发明实施例中,防御设备用于为网络设备处理ACK洪泛攻击,终端为合法用户。在图2中仅示出了一个终端,并以该终端为例对本发明实施进行说明。在实际应用中,作为合法用户的终端的数量可以为多个。如图2所示,该方法包括如下步骤。
步骤201,防御设备接收来自终端的第一ACK报文。
在本步骤中,终端作为合法用户,向网络设备发送正常的ACK报文,即第一ACK报文。由于网络设备受到了ACK洪泛攻击,该第一ACK报文由防御设备接收。
步骤202,防御设备存储第一ACK报文的信息。
在本步骤中,防御设备可以根据实际需要,存储第一ACK报文的标识信息和接收第一ACK报文的时间。
步骤203,防御设备向终端发送用于指示重传的ACK报文。
在本步骤中,防御设备可以向终端发送携带有该第一ACK报文的SEQ的ACK报文,或者使能了SACK选项的ACK报文。
步骤204,防御设备接收来自终端的第二ACK报文。
在本步骤中,终端作为合法用户,在接收到步骤23中的ACK报文后,可以向网络设备反馈第一ACK报文,防御设备接收终端重新发送的第一ACK报文,即第二ACK报文。
步骤205,防御设备确定接收到的第二ACK报文与第一ACK报文匹配。
在本步骤中,防御设备根据步骤202中保存的第一ACK报文的标识信息和接收第一ACK报文的时间,确定第二ACK报文与第一ACK报文匹配。具体的确定方式可以参考步骤13中的相关描述,再次不再赘述。
步骤206,防御设备将第二ACK报文发送给网络设备。
在本步骤中,防御设备确定第二ACK报文来自合法用户,将第二ACK报文发送给网络设备进行处理。
步骤207,防御设备接收来自终端的第三ACK报文。
在本步骤中,终端继续向网络设备发送正常的ACK报文,即第三ACK报文。如果针对网络设备的洪泛攻击还未结束,仍由防御设备接收来自终端的第三ACK报文。在实际应用中,该第三ACK报文可以是一个或多个。
步骤208,防御设备直接将第三ACK报文发送给网络设备。
由于该第三ACK报文来自合法用户,在本步骤中,防御设备直接将第三ACK报文发送给网络设备进行处理。
根据本发明实施例可以看出,防御设备能够迅速地识别出合法用户,并及时将合法用户的ACK报文发送给网络设备,避免合法用户与网络设备直接的连接中断,提高了合法用户的网络体验。另外,由于防御设备识别合法用户的时间很短,无需丢弃大量合法用户发送的报文,从而节约了网络资源,减少了ACK洪泛对正常用户的影响。
图3为本发明实施例提供的处理ACK洪泛攻击的方法的流程图。在本发明实施例中,预先为网络服务器配置了用于处理ACK洪泛攻击的防御设备。其中该防御设备可以位于在互联网数据中心(InternetDataCenter,IDC)的网络出口路由器的左臂或右臂,通过边界网关协议(BorderGatewayProtocol,BGP)等协议和路由器建立逻辑连接,从该路由器获取发送给网络服务器的ACK报文。如图3所示,该方法包括如下步骤。
步骤31,防御设备接收到ACK报文。
在本实施例中,网络服务器受到ACK洪泛攻击,启动防御设备。在本步骤中,防御设备接收发送给网络服务器的全部ACK报文。
步骤32,防御设备根据自身保存的合法用户列表,确定该ACK报文是否来自合法用户。
在本实施例中,防御设备保存的合法用户列表中包括合法用户的IP地址信息。在本步骤中,防御设备确定合法用户列表中是否包括该ACK报文的源IP地址。当合法用户列表中包括该ACK报文中的源IP地址,则防御设备确定该ACK报文来自合法用户,执行步骤23。当合法用户列表中不包括该ACK报文中的源IP地址,执行步骤24。
步骤33,防御设备将该ACK报文发送给网络服务器进行处理。
步骤34,防御设备判断在自身保存的报文信息列表中是否包括与该ACK报文匹配的报文信息。
在本实施例中,防御设备保存的报文信息列表中包括防御设备之前收到的ACK报文的信息。该信息可以是五元组信息和接收时间。在本步骤中,防御设备判断报文信息列表中是否包括与该ACK报文匹配的报文信息,即该报文信息中的五元组信息与该ACK报文的五元组信息相同,并且该报文信息中的接收时间与接收该ACK报文的时间之差小于0.1毫秒。
如果报文信息列表中包括与该ACK报文匹配的报文信息,执行步骤33和步骤35。如果报文信息列表中不包括与该ACK报文匹配的报文信息,执行步骤36。
步骤35,防御设备将发送该ACK报文的终端确定为合法用户,将该ACK报文的五元组信息中的源IP地址作为该合法用户的标识,添加到合法用户列表中。
步骤36,防御设备将该ACK报文的五元组信息和该ACK报文的接收时间存储到报文信息列表中。向发送该ACK报文的终端发送携带该ACK报文的SEQ的ACK报文。
在本实施例中,防御设备进一步通过定时轮询的方式,确定报文信息列表中是否有超时报文信息,并将超时报文信息从报文信息列表中删除。例如,防御设备可以每隔5秒,确定报文信息列表中是否包括超时报文信息,即该报文信息中的接收时间与当前时间之差是否大于5秒。
可见,根据本发明实施例,防御设备在收到终端的ACK报文后,主动发送ACK报文给终端,并根据该终端的反馈,迅速地识别出合法用户,避免合法用户的网络服务中断,提高了合法用户的网络体验。另外,由于防御设备识别合法用户的时间很短,无需丢弃大量合法用户发送的报文,从而节约了网络资源,减少了ACK洪泛对正常用户的影响。
图4示出了本发明实施例提供了一种处理ACK洪泛攻击的装置。如图4所示,该装置400包括确定模块401,发送模块402和存储模块403。
确定模块401用于从终端接收到第一ACK报文后,发送存储指令给存储模块403,发送重传指令给发送模块402;根据第一ACK报文的信息,确定接收的第二ACK报文是否与第一ACK报文匹配;当接收到的第二ACK报文与第一ACK报文匹配,确定该终端为合法用户,将第二ACK报文发送给发送模块402;当接收到来自该合法用户的第三ACK报文时,将该第三ACK报文发送给发送模块402。
在本发明实施例中,确定模块401可以通过装置400的报文接收端口(未示出)接收第一ACK报文,第二ACK报文和第三ACK报文。
发送模块402用于根据确定模块401的重传指令,向该终端发送用于指示重传的ACK报文;将来自确定模块401的第二ACK报文和第三ACK报文发送给装置对应的网络设备。
存储模块403用于根据确定模块401的存储指令,存储该第一ACK报文的信息。
在本发明实施例中,第一ACK报文的信息包括第一ACK报文的标识信息。该确定模块401用于确定接收到的第二ACK报文的标识信息是否与第一ACK报文的标识信息相同。
在本发明实施例中,第一ACK报文的信息包括第一ACK报文的标识信息和接收第一ACK报文的时间。该确定模块401用于确定接收到的第二ACK报文的标识信息是否与第一ACK报文的标识信息相同,以及确定接收第二ACK报文的时间与接收第一ACK报文的时间之差是否小于预定时间间隔。
在本发明实施例中,该标识信息可以为五元组信息;或者五元组信息和SEQ。
在本发明实施例中,用于指示重传的ACK报文为携带有该第一ACK报文的SEQ的ACK报文,或者为使能了SACK选项的ACK报文。
在本发明实施例中,在确定终端为合法用户时,确定模块302具体用于根据该第一ACK报文的信息,确定该合法用户的标识;将该合法用户的标识发送给存储模块403。存储模块403进一步用于将该合法用户的标识添加到合法用户列表。
在本发明实施例中,该合法用户的标识可以为该第一ACK报文的五元组信息,或者该第一ACK报文的五元组信息中的源IP地址。
在本发明实施例中,存储模块403进一步用于当所述第一ACK报文的信息被存储的时间超过预定阈值时,删除所述第一ACK报文的信息.
可见,根据本发明实施例,防御设备在收到终端的ACK报文后,主动发送ACK报文给终端,并根据该终端的反馈,迅速地识别出合法用户,避免合法用户的网络服务中断,提高了合法用户的网络体验。另外,由于防御设备识别合法用户的时间很短,无需丢弃大量合法用户发送的报文,从而节约了网络资源,减少了ACK洪泛对正常用户的影响。
在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
图5是本发明实施例提供了一种处理ACK洪泛攻击的装置。如图5所示,该装置500包括处理器510、非易失性计算机可读存储器520、报文收发接口530。这些组件通过总线540进行通信。在本发明实施例中,存储器520中存储有程序模块:确定模块301和发送模块302和存储模块303。其中,确定模块301和发送模块302和存储模块303的具体功能和工作原理如前文所述。处理器510可以读取存储器520中的程序模块来实现本发明实施例提供的方案。
在本发明实施例中,通过报文收发接口530,报文可以进入装置500,以及从装置500发出。
处理器510可以通过执行存储器520中的程序模块,在通过报文收发接口530从终端接收到第一ACK报文后,存储第一ACK报文的信息,通过报文收发接口530向终端发送用于指示重传的ACK报文;根据第一ACK报文的信息,确定接收到的第二ACK报文是否与第一ACK报文匹配;当接收到的第二ACK报文与第一ACK报文匹配,确定终端为合法用户,并将第二ACK报文发送给装置500对应的网络设备。当通过报文收发接口530接收到来自合法用户的第三ACK报文时,将第三ACK报文发送给装置500对应的网络设备。
另外,本发明的每一个实施例可以通过由数据处理设备如计算机执行的数据处理程序来实现。显然,数据处理程序构成了本发明。此外,通常存储在一个存储介质中的数据处理程序通过直接将程序读取出存储介质或者通过将程序安装或复制到数据处理设备的存储设备(如硬盘和/或内存)中执行。因此,这样的存储介质也构成了本发明。存储介质可以使用任何类型的记录方式,例如纸张存储介质(如纸带等)、磁存储介质(如软盘、硬盘、闪存等)、光存储介质(如CD-ROM等)、磁光存储介质(如MO等)等。
因此本发明还提供了一种存储介质,其中存储有数据处理程序,该数据处理程序用于执行本发明上述方法的任何一种实施例。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (16)
1.一种处理ACK洪泛攻击的方法,其特征在于,包括:
防御设备从终端接收到第一ACK报文后,存储所述第一ACK报文的信息;
所述防御设备向所述终端发送用于指示重传的ACK报文;
所述防御设备根据所述第一ACK报文的信息,确定接收到的第二ACK报文是否与所述第一ACK报文匹配;
当接收到的所述第二ACK报文与所述第一ACK报文匹配,所述防御设备确定所述终端为合法用户;并将所述第二ACK报文发送给所述防御设备对应的网络设备;和
当接收到来自所述合法用户的第三ACK报文时,将所述第三ACK报文发送给所述防御设备对应的网络设备。
2.根据权利要求1所述的方法,其特征在于,所述第一ACK报文的信息包括所述第一ACK报文的标识信息;
所述防御设备根据所述第一ACK报文的信息,确定接收到第二ACK报文是否与所述第一ACK报文匹配,包括:
所述防御设备确定接收到的所述第二ACK报文的标识信息是否与所述第一ACK报文的标识信息相同。
3.根据权利要求1所述的方法,其特征在于,所述第一ACK报文的信息包括所述第一ACK报文的标识信息和接收所述第一ACK报文的时间;
所述防御设备根据所述第一ACK报文的信息,确定接收到第二ACK报文是否与所述第一ACK报文匹配,包括:
所述防御设备确定接收到的所述第二ACK报文的标识信息是否与所述第一ACK报文的标识信息相同,以及确定接收所述第二ACK报文的时间与接收所述第一ACK报文的时间之差是否小于所述预定时间间隔。
4.根据权利要求2或3所述的方法,其特征在于,所述标识信息为五元组信息;或者所述标识信息为五元组信息和序列号,SEQ。
5.根据权利要求1所述的方法,其特征在于,所述用于指示重传的ACK报文为携带有所述第一ACK报文的SEQ的ACK报文,或者为使能了SACK选项的ACK报文。
6.根据权利要求1所述的方法,其特征在于,所述防御设备确定所述终端为合法用户包括:
所述防御设备根据所述第一ACK报文的信息,确定所述合法用户的标识;将所述合法用户的标识添加到合法用户列表。
7.根据权利要求6所述的方法,其特征在于,所述合法用户的标识为所述第一ACK报文的五元组信息,或者所述第一ACK报文的五元组信息中的源IP地址。
8.根据权利要求1所述的方法,其特征在于,进一步包括:
当所述第一ACK报文的信息被存储的时间超过预定阈值时,删除所述第一ACK报文的信息。
9.一种处理ACK洪泛攻击的装置,其特征在于,包括:
确定模块,用于从终端接收到第一ACK报文后,发送存储指令给存储模块,发送重传指令给发送模块;根据所述第一ACK报文的信息,确定接收的第二ACK报文是否与所述第一ACK报文匹配;当接收到的所述第二ACK报文与所述第一ACK报文匹配,确定所述终端为合法用户,并将所述第二ACK报文发送给所述发送模块;当接收到来自所述合法用户的第三ACK报文时,将所述第三ACK报文发送给所述发送模块;
所述发送模块用于根据所述确定模块的重传指令,向所述终端发送用于指示重传的ACK报文;将来自所述确定模块的所述第二ACK报文和所述第三ACK报文发送给所述装置对应的网络设备;
所述存储模块用于根据所述确定模块的存储指令,存储所述第一ACK报文的信息。
10.根据权利要求9所述的装置,其特征在于,所述第一ACK报文的信息包括所述第一ACK报文的标识信息;
所述确定模块用于确定接收到的所述第二ACK报文的标识信息是否与所述第一ACK报文的标识信息相同。
11.根据权利要求9所述的装置,其特征在于,所述第一ACK报文的信息包括所述第一ACK报文的标识信息和接收所述第一ACK报文的时间;
所述确定模块用于确定接收到的所述第二ACK报文的标识信息是否与所述第一ACK报文的标识信息相同,以及确定接收所述第二ACK报文的时间与接收所述第一ACK报文的时间之差是否小于预定时间间隔。
12.根据权利要求10或11所述的装置,其特征在于,所述标识信息为五元组信息;或者所述标识信息为五元组信息和序列号,SEQ。
13.根据权利要求9所述的装置,其特征在于,所述用于指示重传的ACK报文为携带有所述第一ACK报文的SEQ的ACK报文,或者为使能了SACK选项的ACK报文。
14.根据权利要求9所述的装置,其特征在于,所述确定模块确定所述终端为合法用户时用于:
根据所述第一ACK报文的信息,确定所述合法用户的标识;将所述合法用户的标识发送给所述存储模块;
所述存储模块进一步用于,将所述合法用户的标识添加到合法用户列表。
15.根据权利要求14所述的装置,其特征在于,所述合法用户的标识为所述第一ACK报文的五元组信息,或者所述第一ACK报文的五元组信息中的源IP地址。
16.根据权利要求9所述的装置,其特征在于,所述存储模块进一步用于当所述第一ACK报文的信息被存储的时间超过预定阈值时,删除所述第一ACK报文的信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610025488.2A CN105610852A (zh) | 2016-01-15 | 2016-01-15 | 处理ack洪泛攻击的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610025488.2A CN105610852A (zh) | 2016-01-15 | 2016-01-15 | 处理ack洪泛攻击的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105610852A true CN105610852A (zh) | 2016-05-25 |
Family
ID=55990390
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610025488.2A Pending CN105610852A (zh) | 2016-01-15 | 2016-01-15 | 处理ack洪泛攻击的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105610852A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106302495A (zh) * | 2016-08-25 | 2017-01-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种ACK Flood攻击的防护方法及中间防护装置 |
| CN108418844A (zh) * | 2018-06-19 | 2018-08-17 | 北京云枢网络科技有限公司 | 一种应用层攻击的防护方法及攻击防护端 |
| CN108667829A (zh) * | 2018-04-26 | 2018-10-16 | 腾讯科技(深圳)有限公司 | 一种网络攻击的防护方法、装置及存储介质 |
| CN109657463A (zh) * | 2018-12-18 | 2019-04-19 | 北京东土军悦科技有限公司 | 一种报文洪泛攻击的防御方法及装置 |
| CN110213204A (zh) * | 2018-03-13 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 攻击防护方法及装置、设备及可读存储介质 |
| CN111741127A (zh) * | 2020-07-23 | 2020-10-02 | 杭州海康威视数字技术股份有限公司 | 通信连接阻断方法、装置、电子设备及存储介质 |
| CN112187793A (zh) * | 2020-09-28 | 2021-01-05 | 绿盟科技集团股份有限公司 | 一种ACK Flood攻击的防护方法及装置 |
| CN112771833A (zh) * | 2018-09-28 | 2021-05-07 | 奥兰治 | 向客户端节点分配标识符的方法、记录标识符的方法、对应设备、客户端节点、服务器和计算机程序 |
| CN112887213A (zh) * | 2019-11-29 | 2021-06-01 | 北京百度网讯科技有限公司 | 报文清洗方法和装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030135625A1 (en) * | 2002-01-15 | 2003-07-17 | International Business Machines Corporation | Blended SYN cookies |
| WO2006082507A1 (en) * | 2005-02-04 | 2006-08-10 | Nokia Corporation | Apparatus, method and computer program product to reduce tcp flooding attacks while conserving wireless network bandwidth |
| CN1954545A (zh) * | 2003-03-03 | 2007-04-25 | 思科技术公司 | 利用tcp认证ip源地址 |
| CN101478537A (zh) * | 2008-12-31 | 2009-07-08 | 成都市华为赛门铁克科技有限公司 | 一种单向环境中的网络安全防护方法和装置 |
| US7921282B1 (en) * | 2007-08-20 | 2011-04-05 | F5 Networks, Inc. | Using SYN-ACK cookies within a TCP/IP protocol |
| CN102404334A (zh) * | 2011-12-07 | 2012-04-04 | 山石网科通信技术(北京)有限公司 | 拒绝服务攻击防护方法及装置 |
| CN103701818A (zh) * | 2013-12-30 | 2014-04-02 | 福建三元达通讯股份有限公司 | 无线控制器系统arp攻击集中检测及防御方法 |
-
2016
- 2016-01-15 CN CN201610025488.2A patent/CN105610852A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030135625A1 (en) * | 2002-01-15 | 2003-07-17 | International Business Machines Corporation | Blended SYN cookies |
| CN1954545A (zh) * | 2003-03-03 | 2007-04-25 | 思科技术公司 | 利用tcp认证ip源地址 |
| WO2006082507A1 (en) * | 2005-02-04 | 2006-08-10 | Nokia Corporation | Apparatus, method and computer program product to reduce tcp flooding attacks while conserving wireless network bandwidth |
| US7921282B1 (en) * | 2007-08-20 | 2011-04-05 | F5 Networks, Inc. | Using SYN-ACK cookies within a TCP/IP protocol |
| CN101478537A (zh) * | 2008-12-31 | 2009-07-08 | 成都市华为赛门铁克科技有限公司 | 一种单向环境中的网络安全防护方法和装置 |
| CN102404334A (zh) * | 2011-12-07 | 2012-04-04 | 山石网科通信技术(北京)有限公司 | 拒绝服务攻击防护方法及装置 |
| CN103701818A (zh) * | 2013-12-30 | 2014-04-02 | 福建三元达通讯股份有限公司 | 无线控制器系统arp攻击集中检测及防御方法 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106302495A (zh) * | 2016-08-25 | 2017-01-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种ACK Flood攻击的防护方法及中间防护装置 |
| CN110213204A (zh) * | 2018-03-13 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 攻击防护方法及装置、设备及可读存储介质 |
| CN110213204B (zh) * | 2018-03-13 | 2022-09-23 | 腾讯科技(深圳)有限公司 | 攻击防护方法及装置、设备及可读存储介质 |
| CN108667829A (zh) * | 2018-04-26 | 2018-10-16 | 腾讯科技(深圳)有限公司 | 一种网络攻击的防护方法、装置及存储介质 |
| CN108667829B (zh) * | 2018-04-26 | 2022-05-20 | 腾讯科技(深圳)有限公司 | 一种网络攻击的防护方法、装置及存储介质 |
| CN108418844A (zh) * | 2018-06-19 | 2018-08-17 | 北京云枢网络科技有限公司 | 一种应用层攻击的防护方法及攻击防护端 |
| CN108418844B (zh) * | 2018-06-19 | 2020-09-01 | 北京云枢网络科技有限公司 | 一种应用层攻击的防护方法及攻击防护端 |
| CN112771833A (zh) * | 2018-09-28 | 2021-05-07 | 奥兰治 | 向客户端节点分配标识符的方法、记录标识符的方法、对应设备、客户端节点、服务器和计算机程序 |
| CN109657463A (zh) * | 2018-12-18 | 2019-04-19 | 北京东土军悦科技有限公司 | 一种报文洪泛攻击的防御方法及装置 |
| CN112887213A (zh) * | 2019-11-29 | 2021-06-01 | 北京百度网讯科技有限公司 | 报文清洗方法和装置 |
| CN112887213B (zh) * | 2019-11-29 | 2023-04-18 | 北京百度网讯科技有限公司 | 报文清洗方法和装置 |
| CN111741127B (zh) * | 2020-07-23 | 2020-11-13 | 杭州海康威视数字技术股份有限公司 | 通信连接阻断方法、装置、电子设备及存储介质 |
| CN111741127A (zh) * | 2020-07-23 | 2020-10-02 | 杭州海康威视数字技术股份有限公司 | 通信连接阻断方法、装置、电子设备及存储介质 |
| CN112187793A (zh) * | 2020-09-28 | 2021-01-05 | 绿盟科技集团股份有限公司 | 一种ACK Flood攻击的防护方法及装置 |
| CN112187793B (zh) * | 2020-09-28 | 2022-09-16 | 绿盟科技集团股份有限公司 | 一种ACK Flood攻击的防护方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105610852A (zh) | 处理ack洪泛攻击的方法和装置 | |
| US10284594B2 (en) | Detecting and preventing flooding attacks in a network environment | |
| Ford et al. | TCP extensions for multipath operation with multiple addresses | |
| US7962957B2 (en) | Method and apparatus for detecting port scans with fake source address | |
| CN110198293B (zh) | 服务器的攻击防护方法、装置、存储介质和电子装置 | |
| CN107395632B (zh) | SYN Flood防护方法、装置、清洗设备及介质 | |
| CN110266678B (zh) | 安全攻击检测方法、装置、计算机设备及存储介质 | |
| US10419378B2 (en) | Net-based email filtering | |
| Ford et al. | TCP Extensions for Multipath Operation with Multiple Addresses, draft-ietf-mptcp-multiaddressed-09 | |
| US10382481B2 (en) | System and method to spoof a TCP reset for an out-of-band security device | |
| CN112187793B (zh) | 一种ACK Flood攻击的防护方法及装置 | |
| US20230275924A1 (en) | Network security protection method and protection device | |
| Masumi et al. | Towards efficient labeling of network incident datasets using tcpreplay and snort | |
| De Schepper et al. | The explicit congestion notification (ECN) protocol for low latency, low loss, and scalable throughput (L4S) | |
| CN108512833B (zh) | 一种防范攻击方法及装置 | |
| CN106302361A (zh) | 一种防止网络攻击的方法及设备 | |
| US20060075482A1 (en) | Method and apparatus for preventing network reset attacks | |
| CN108322402B (zh) | 报文处理方法、设备及系统 | |
| US11683327B2 (en) | Demand management of sender of network traffic flow | |
| CN110198298B (zh) | 一种信息处理方法、装置及存储介质 | |
| JP2005210455A (ja) | 電子メール中継装置 | |
| US10454826B2 (en) | Technique for signalling congestion in a packet communication network | |
| CN114553446B (zh) | 网络安全防护方法以及防护设备 | |
| CN114124489B (zh) | 防止流量攻击的方法、清洗装置、设备和介质 | |
| JP7363503B2 (ja) | 情報処理装置、情報処理方法、および情報処理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160525 |