CN105827646A - Syn攻击防护的方法及装置 - Google Patents
Syn攻击防护的方法及装置 Download PDFInfo
- Publication number
- CN105827646A CN105827646A CN201610329244.3A CN201610329244A CN105827646A CN 105827646 A CN105827646 A CN 105827646A CN 201610329244 A CN201610329244 A CN 201610329244A CN 105827646 A CN105827646 A CN 105827646A
- Authority
- CN
- China
- Prior art keywords
- message
- syn
- server
- client
- syn request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明是关于SYN攻击防护的方法及装置,所述方法包括:根据SYN请求连接报文的报文特征对白名单和黑名单进行检索;若在白名单中检索到,则转发SYN请求连接报文;若在黑名单中检索到,则丢弃SYN请求连接报文;若在白名单与黑名单中均未检索到,且接收到ACK确认连接报文,允许客户端与服务器之间建立TCP连接,并将SYN请求连接报文的报文特征添加到白名单;若未接收到ACK确认连接报文,则将SYN请求连接报文的报文特征添加到黑名单。本发明可以有效地避免服务器遭受到SYN攻击,并有效地降低了安全设备在抵御SYN攻击时所承担的压力,同时提高了安全设备抵御SYN攻击的效率。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及SYN(Synchronous,同步)攻击防护的方法及装置。
背景技术
SYN攻击属于DDoS(DistributedDenialofService,分布式拒绝服务)攻击的一种,其利用TCP(TransmissionControlProtocol,传输控制协议)协议缺陷,通过发送大量的半连接请求,耗费网络设备的CPU性能和内存资源。例如,攻击者控制客户端发起SYN攻击,客户端在短时间内伪造大量不存在的IP地址,向服务器不断地发送SYN请求连接报文,服务器回复确认报文并等待客户端的确认,由于源IP地址是不存在的,服务器接收不到客户端的确认,则服务器需要不断地重发确认报文直至超时。该种情况下,服务器的CPU性能降低;而且这些SYN请求连接报文将长时间占用服务器的未连接队列,耗费服务器的内存资源,很有可能导致正常的SYN请求连接报文被丢弃,造成网络异常。
现有技术中,为了防护SYN攻击,可以采取两种方式。方式一,可以限制单位时间内(例如每秒内)服务器接收到SYN请求连接报文的个数;方式二,可以通过防火墙先与客户端之间建立起完整的TCP连接后,再使得防火墙与服务器之间建立起TCP连接,使得客户端与服务器之间可以进行通信。然而,当采用方式一时,很有可能会限制正常的SYN请求连接报文,导致正常的TCP连接无法建立,造成网络异常;采用方式二时,并没有从本质上做到防护SYN攻击,而是将SYN攻击从服务器转移到了防火墙,即客户端发起SYN攻击时,仍会降低防火墙的CPU性能,并耗费防火墙的内存资源。
发明内容
为克服相关技术中存在的问题,本发明提供了SYN攻击防护的方法及装置,以有效地避免服务器遭受到SYN攻击,并有效地降低了安全设备(例如防火墙)在为服务器抵御SYN攻击时所承担的压力,同时提高了安全设备抵御SYN攻击的效率。
根据本发明的第一方面,提供一种SYN攻击防护的方法,所述方法应用于安全设备,所述安全设备分别连接客户端和服务器,用于控制所述客户端和服务器之间建立传输控制协议TCP连接;所述方法包括:
接收到客户端发送的SYN请求连接报文时,根据所述SYN请求连接报文的报文特征对保存的白名单和黑名单进行检索;
若在所述白名单中检索到所述报文特征,允许所述客户端和服务器之间根据所述SYN请求连接报文建立TCP连接;若在所述黑名单中检索到所述报文特征,拒绝所述客户端和服务器之间根据所述SYN请求连接报文建立TCP连接;
若在所述白名单与所述黑名单中均未检索到所述报文特征,则根据所述SYN请求连接报文向所述客户端发送SYN+ACK确认连接报文,若在设定时限内接收到所述客户端发送的ACK确认连接报文,则认为不存在SYN攻击,控制所述客户端与服务器之间建立TCP连接,并将所述SYN请求连接报文的报文特征添加到所述白名单;
若在设定时限内未接收到所述ACK确认连接报文,则认为存在SYN攻击,将所述SYN请求连接报文的报文特征添加到所述黑名单。
作为改进,所述控制所述客户端与所述服务器之间根建立TCP连接,包括:
根据所述SYN请求连接报文与所述SYN+ACK确认连接报文记录TCP连接信息,所述TCP连接信息包括所述SYN请求连接报文中的源IP地址、目的IP地址、源端口号、目的端口号、请求序列号及所述SYN+ACK确认连接报文中的回应序列号,并保存所述接收到的ACK确认连接报文;
根据所述TCP连接信息构造新的SYN请求连接报文,并将所述新的SYN请求连接报文与所述TCP连接信息中的回应序列号发送至所述服务器;
在接收到所述服务器根据所述新的SYN请求连接报文发送的SYN+ACK确认报文之后,将所述保存的ACK确认连接报文发送至服务器,所述服务器发送的SYN+ACK确认报文携带所述回应序列号。
作为改进,所述控制所述客户端与服务器之间建立TCP连接,包括:
向所述客户端发送RST报文,所述RST报文用于通知所述客户端重新向所述服务器发送SYN请求连接报文;
接收到所述客户端发送的所述SYN请求连接报文,根据所述SYN请求连接报文的报文特征在所述白名单中,将所述SYN请求连接报文转发至所述服务器。
作为改进,所述方法还包括:
在认为存在SYN攻击时,释放所述SYN请求连接报文所对应的连接。
作为改进,所述方法还包括:
控制所述客户端与服务器之间建立TCP连接之后,若接收到基于所述TCP连接传输的数据报文,根据所述数据报文的报文特征对保存的白名单和黑名单进行检索;
若在所述白名单中检索到所述报文特征,则根据所述数据报文的报文特征转发所述数据报文,若在所述黑名单中检索到所述报文特征,则丢弃所述数据报文。
根据本发明的第二方面,提供一种SYN攻击防护的装置,所述装置应用于安全设备,所述安全设备分别连接客户端和服务器,用于控制所述客户端和服务器之间建立TCP连接;所述装置包括:
第一检索模块,用于在接收到客户端发送的SYN请求连接报文时,根据所述SYN请求连接报文的报文特征对保存的白名单和黑名单进行检索;
第一处理模块,用于在所述白名单中检索到所述报文特征时,允许所述客户端和服务器之间根据所述SYN请求连接报文建立TCP连接;若在所述黑名单中检索到所述报文特征,拒绝所述客户端和服务器之间根据所述SYN请求连接报文建立TCP连接;
第二处理模块,用于在所述白名单与所述黑名单中均未检索到所述报文特征,则根据所述SYN请求连接报文向所述客户端发送SYN+ACK确认连接报文,若在设定时限内接收到所述客户端发送的ACK确认连接报文,则认为不存在SYN攻击,控制所述客户端与服务器之间建立TCP连接,并将所述SYN请求连接报文的报文特征添加到所述白名单;
若在设定时限内未接收到所述ACK确认连接报文,则认为存在SYN攻击,将所述SYN请求连接报文的报文特征添加到所述黑名单。
作为改进,所述第二处理模块包括:
记录子模块,用于根据所述SYN请求连接报文与所述SYN+ACK确认连接报文记录TCP连接信息,所述TCP连接信息包括所述SYN请求连接报文中的源IP地址、目的IP地址、源端口号、目的端口号、请求序列号及所述SYN+ACK确认连接报文中的回应序列号,并保存所述接收到的ACK确认连接报文;
构造子模块,用于根据所述TCP连接信息构造新的SYN请求连接报文,并将所述新的SYN请求连接报文与所述TCP连接信息中的回应序列号发送至所述服务器;
第一发送子模块,用于在接收到所述服务器根据所述新的SYN请求连接报文发送的SYN+ACK确认报文之后,将所述保存的ACK确认连接报文发送至服务器,所述服务器发送的SYN+ACK确认报文携带所述回应序列号。
作为改进,所述第二处理模块,包括:
第二发送子模块,用于向所述客户端发送RST报文,所述RST报文用于通知所述客户端重新向所述服务器发送SYN请求连接报文;
处理子模块,用于接收到所述客户端发送的所述SYN请求连接报文,根据所述SYN请求连接报文的报文特征在所述白名单中,将所述SYN请求连接报文转发至所述服务器。
作为改进,所述装置还包括:
释放连接模块,用于在认为存在SYN攻击时,释放所述SYN请求连接报文所对应的连接。
作为改进,所述装置还包括:
第二检索模块,用于在控制所述客户端与服务器之间建立TCP连接之后,若接收到基于所述TCP连接传输的数据报文,根据所述数据报文的报文特征对保存的白名单和黑名单进行检索;
第三处理模块,用于若在所述白名单中检索到所述报文特征,则根据所述数据报文的报文特征转发所述数据报文,若在所述黑名单中检索到所述报文特征,则丢弃所述数据报文。
本发明实施例中,通过在接收到SYN请求连接报文时,首先根据保存的白名单和黑名单,可以快速地识别出不存在SYN攻击和存在SYN攻击的SYN请求连接报文,从而有效地避免了服务器遭受到SYN攻击,并降低了安全设备为服务器抵御SYN攻击时所承担的压力,且提高了安全设备抵御SYN攻击的效率;在根据保存的白名单和黑名单,并未确定SYN请求连接报文是否存在SYN攻击时,安全设备可以代替服务器尝试与客户端建立TCP连接,以检测是否存在SYN攻击,并根据检测结果允许或拒绝客户端与服务器之间建立TCP连接,以及更新所述白名单和黑名单,从而有效地避免了服务器遭受到SYN攻击。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
图1示例了本发明实施例实现SYN攻击防护的方法的应用场景示意图。
图2示例了本发明SYN攻击防护的方法的一个实施例流程图。
图3A示例了本发明SYN攻击防护的方法的另一个实施例流程图。
图3B为安全设备12所接收到的SYN请求连接报文的示意图。
图3C为安全设备12所发送的SYN+ACK确认连接报文的示意图。
图4示例了本发明SYN攻击防护的方法的又一个实施例流程图。
图5是本发明实施例中SYN攻击防护的装置所在的安全设备的硬件结构框图。
图6示例了本发明SYN攻击防护的装置的一个实施例框图。
图7示例了本发明SYN攻击防护的装置的另一个实施例框图。
图8示例了本发明SYN攻击防护的装置的又一个实施例框图。
图9示例了本发明SYN攻击防护的装置的又一个实施例框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
由于现有技术中,在防护SYN攻击时,很有可能会限制正常的SYN请求连接报文,导致正常的TCP连接无法建立,造成网络异常;或者无法从本质上实现防护SYN攻击。为了有效地实现防护SYN攻击,并有效地避免上述问题发生,本发明提出一种SYN攻击防护的方法。如下的图1,示例了本发明实施例实现SYN攻击防护的方法的应用场景示意图。
图1中包括:客户端11、安全设备12、服务器13。其中,客户端11有可能为攻击者所控制的攻击客户端,若其为攻击客户端,那么其可以通过技术手段,在短时间内伪造大量不存在的IP地址,向服务器13不断发送SYN请求连接报文,从而可以使得服务器13遭受到SYN攻击;安全设备12可以为防火墙等设备。在图1中,客户端11在向服务器13发送SYN请求连接报文时,该SYN请求连接报文可以首先传输至安全设备12,则安全设备12可以执行本发明SYN攻击防护的方法,确保客户端11所请求建立的TCP连接不存在SYN攻击时,才控制客户端11与服务器13之间建立起TCP连接,从而有效地避免了服务器13遭受到SYN攻击,并可以有效地降低安全设备12在为服务器13抵御SYN攻击时所承担的压力,同时还可以提高安全设备12抵御SYN攻击的效率。可以理解的是,图1所示的应用场景中,仅以存在一个客户端11,一个服务器13为例,实际应用中,还可以存在多个客户端以及多个服务器,本发明对此不作限制。
如下的图2,示例了本发明SYN攻击防护的方法的一个实施例流程图,该图2所示的流程基于上述图1所示的应用场景,以安全设备12执行该方法为例,说明了本发明是如何实现SYN攻击防护的,可以包括以下步骤:
步骤S201:接收到客户端发送的SYN请求连接报文时,根据所述SYN请求连接报文的报文特征对保存的白名单和黑名单进行检索;若在所述白名单或黑名单中检索到所述报文特征,则执行步骤S202;若在所述白名单或黑名单中均未检索到所述报文特征,则执行步骤S203。
在本发明中,安全设备12上可以保存有白名单和黑名单,该白名单和黑名单中可以包括报文特征,例如,报文的五元组信息(源IP地址、目的IP地址、源端口号、目的端口号、协议类型)。安全设备12可以根据该白名单和黑名单判别出所接收到的报文是否安全,具体地,若所接收到的报文的报文特征存在于白名单中,可以认为该报文安全,若所接收到的报文的报文特征存在于黑名单中,可以认为该报文并不安全。且该白名单和黑名单是可以维护更新的,具体是如何更新该白名单和黑名单的,可以参见下述描述,在此先不作详述。
根据图1所示的应用场景,客户端11请求与服务器13建立TCP连接时,客户端11向服务器13发送SYN请求连接报文,该SYN请求连接报文首先传输至安全设备12。安全设备12接收到该SYN请求连接报文时,可以根据该SYN请求连接报文的报文特征,检索上述白名单和黑名单,若在该白名单或黑名单中检索到该报文特征,则执行步骤S202,否则,执行步骤S203。
步骤S202:若在所述白名单中检索到所述报文特征,允许所述客户端和服务器之间根据所述SYN请求连接报文建立TCP连接;若在所述黑名单中检索到所述报文特征,拒绝所述客户端和服务器之间根据所述SYN请求连接报文建立TCP连接;结束流程。
由步骤S201中所述的白名单和黑名单,本步骤中,若在白名单中检索到所述SYN请求连接报文中的报文特征,可以认为其不存在SYN攻击,那么,安全设备12允许所述客户端和服务器之间根据所述SYN请求连接报文建立TCP连接,即可以将该SYN请求连接报文直接转发至服务器13,从而可以使得客户端11与服务器13建立TCP连接。
若在黑名单中检索到所述SYN请求连接报文中的报文特征,可以认为其存在SYN攻击,那么,安全设备12拒绝所述客户端和服务器之间根据所述SYN请求连接报文建立TCP连接,即可以直接丢弃该SYN请求连接报文。由此可见,安全设备12在确定接收到的SYN请求连接报文存在SYN攻击时,直接将其丢弃,从而避免了服务器13接收到该SYN请求连接报文,导致服务器13遭受到SYN攻击;同时,由于安全设备12直接将其做丢弃处理,并不耗费自身的性能与内存资源,从而降低了安全设备12抵御SYN攻击时所承担的压力,并提高了安全设备12抵御SYN攻击的效率。
步骤S203:根据所述SYN请求连接报文向所述客户端发送SYN+ACK确认连接报文,确定在设定时限内是否接收到所述客户端发送的ACK确认连接报文,若是,则执行步骤S204;否则,执行步骤S205。
本步骤中,安全设备12可以代替服务器13向客户端11发送SYN+ACK确认连接报文,后续,若安全设备12在预设的时限内,例如2秒内,接收到客户端11根据该SYN+ACK报文所发送的ACK确认连接报文,可以认为所述SYN请求连接报文不存在SYN攻击,可以继续执行步骤S204;若安全设备12在预设的时限内未接收到客户端11根据该SYN+ACK报文所发送的ACK确认连接报文,可以认为所述SYN请求连接报文存在SYN攻击,可以继续执行步骤S205。
步骤S204:认为不存在SYN攻击,控制所述客户端与服务器之间建立TCP连接,并将所述SYN请求连接报文的报文特征添加到所述白名单;结束流程。
由于安全设备12可以认为接收到的SYN请求连接报文不存在SYN攻击,即客户端11所请求建立的TCP连接为正常的TCP连接,则安全设备12可以控制客户端11与服务器13之间建立TCP连接,具体是如何建立的,可以参见下述实施例中的相关描述,在此先不作详述。
并且,由于已确定该SYN请求连接报文并不存在SYN攻击,则可以将其报文特征添加到上述白名单中,以维护该白名单,使得安全设备12后续可以根据该白名单,快速识别出不存在安全隐患的报文,提高了安全设备12抵御SYN攻击的效率。
步骤S205:认为存在SYN攻击,将所述SYN请求连接报文的报文特征添加到所述黑名单。
由于安全设备12可以认为接收到的SYN请求连接报文存在SYN攻击,则可以将其报文特征添加到上述黑名单中,以维护该黑名单,使得安全设备12后续可以根据该黑名单,快速识别出存在安全隐患的报文,提高了安全设备12抵御SYN攻击的效率。另外,相较于现有技术,本发明中,当安全设备12在预设的时限内未接收到ACK报文时,即认为存在SYN攻击,并不再重复且多次地向客户端11发送SYN+ACK确认连接报文,从而节省了安全设备12的性能,降低了安全设备12抵御SYN攻击时所承担的压力。
此外,由于安全设备12已认为接收到的SYN请求连接报文存在SYN攻击,即客户端11所请求建立的TCP连接为不正常的TCP连接,则安全设备12可以释放所述SYN请求连接报文所对应的连接,例如,安全设备12可以将该SYN请求连接报文所对应的连接从未连接队列中删除,以节省内存资源,避免未连接队列过满,导致正常的SYN请求连接报文被丢弃,正常的TCP连接无法建立,造成网络异常。
此外,当客户端11与服务器13之间建立起完整的TCP连接之后,客户端11与服务器13之间可以进行通信。以客户端11向服务器13发送数据报文为例,由于该数据报文基于客户端11与服务器13之间所建立的TCP连接进行传输,该数据报文的报文特征与客户端11最初所发送的SYN请求连接报文的报文特征一致;且由上所述,上述步骤S204中,安全设备12已将确定不存在SYN攻击的SYN请求连接报文的报文特征保存在白名单中,那么,安全设备12在接收到客户端11发送的数据报文时,可以根据该数据报文的报文特征检索保存的白名单,若在白名单中检索到该报文特征,则安全设备12可以直接将该数据报文转发至服务器13,同理,若在黑名单中检索到该报文特征,则安全设备12可以直接将该数据报文丢弃。相较于现有技术中,安全设备12对接收到的数据报文进行序列号校验等流程,本发明中有效地提高了安全设备12转发数据报文的效率。
此外,在本发明中,还可以对白名单和黑名单分别设置一个老化时间,两者的老化时间可以相同,也可以不同,本发明对此不作限制。当白名单(或黑名单)保存的某一报文特征的生存时间达到其对应的老化时间后,安全设备12可以自动将白名单(或黑名单)中的这一报文特征设置为已失效状态,或者将白名单(或黑名单)中的这一报文特征清除。从而可以通过白名单和黑名单灵活地控制对接收到的报文的转发处理。
本发明实施例中,通过在接收到SYN请求连接报文时,首先根据保存的白名单和黑名单,可以快速地识别出不存在SYN攻击和存在SYN攻击的SYN请求连接报文,从而有效地避免了服务器遭受到SYN攻击,并降低了安全设备为服务器抵御SYN攻击时所承担的压力,且提高了安全设备抵御SYN攻击的效率;在根据保存的白名单和黑名单,并未确定SYN请求连接报文是否存在SYN攻击时,安全设备可以代替服务器尝试与客户端建立TCP连接,以检测是否存在SYN攻击,并根据检测结果允许或拒绝客户端与服务器之间建立TCP连接,以及更新所述白名单和黑名单,从而有效地避免了服务器遭受到SYN攻击。
如下的图3A,示例了本发明SYN攻击防护的方法的另一个实施例流程图,该图3A所示的流程基于上述图1所示的应用场景以及上述图2所示的流程,仍以安全设备12执行该方法为例,详细说明了本发明在认为不存在SYN攻击时,如何使得客户端与服务器建立TCP连接,可以包括以下步骤:
步骤S301:接收到客户端发送的SYN请求连接报文时,根据所述SYN请求连接报文的报文特征对保存的白名单和黑名单进行检索,并根据所述SYN请求连接报文记录TCP连接信息,所述TCP连接信息包括所述SYN请求连接报文中的源IP地址、目的IP地址、源端口号、目的端口号、请求序列号。
本步骤中,根据接收到的SYN请求连接报文的报文特征对保存的白名单和黑名单进行检索的详细描述可以参见上述实施例中步骤S201中的相关描述,在此不再作详细赘述。
如下的图3B,为安全设备12所接收到的SYN请求连接报文的示意图。
本发明中,安全设备12可以根据该SYN请求连接报文建立TCP连接信息,如下的表1,示例了安全设备12所建立的TCP连接信息:
表1
| 源IP地址 | 目的IP地址 | 源端口号 | 目的端口号 | 请求序列号 |
| 202.100.10.168 | 202.100.10.1 | 52718 | 23 | 566749450 |
由上述表1和图3B所示,TCP连接信息中所包括的内容都是可以从SYN请求连接报文中提取的,具体是如何提取的,可以参见现有技术中的相关描述,本发明对此不作详细赘述。
步骤S302:若在所述白名单与所述黑名单中均未检索到所述报文特征,根据所述SYN请求连接报文向所述客户端发送SYN+ACK确认连接报文,并将所述SYN+ACK确认连接报文中的回应序列号记录在所述TCP连接信息中。
如下的图3C,为安全设备12所发送的SYN+ACK确认连接报文的示意图。
本发明中,安全设备12可以将其向客户端11发送的SYN+ACK确认连接报文中的回应序列号记录在上述表1所示的TCP连接信息中,如下的表1,示例了包含回应序列号的TCP连接信息:
表2
步骤S303:若在设定时限内接收到所述客户端发送的ACK确认连接报文,则认为不存在SYN攻击,并保存所述ACK确认连接报文。
步骤S304:根据所述TCP连接信息构造新的SYN请求连接报文,并将所述新的SYN请求连接报文与所述TCP连接信息中的回应序列号发送至所述服务器。
为了使得客户端11与服务器13建立TCP连接,本步骤中,安全设备12可以根据上述表2所示的TCP连接信息,构造新的SYN请求连接报文,该新的SYN请求连接报文中携带表2所示的TCP连接信息中的源IP地址、目的IP地址、源端口号、目的端口号以及请求序列号,将该新的SYN请求连接报文发送至服务器13。并且,安全设备12可以将表2所示的TCP连接信息中的回应序列号也发送至服务器13,以使得服务器13所回复的SYN+ACK连接确认报文中所携带的回应序列号与所记录的回应序列号保持一致。
步骤S305:在接收到所述服务器根据所述新的SYN请求连接报文发送的SYN+ACK确认报文之后,将所述保存的ACK确认连接报文发送至服务器,所述服务器发送的SYN+ACK确认报文携带所述回应序列号。
当接收到服务器13发送的SYN+ACK确认报文后,将在步骤S303中所保存的ACK确认连接报文发送至服务器13,至此,客户端11与服务器13之间已完成了3次握手,从而建立了TCP连接。
此外,当客户端11与服务器13之间建立起完整的TCP连接之后,安全设备12可以将上述表2所示例的TCP连接信息删除,以节省安全设备12的内存资源。
本发明实施例中,通过在白名单和黑名单中均未检索到所接收到的SYN请求连接报文的报文特征,以及接收到客户端发送的ACK确认连接报文认为不存在SYN攻击时,根据记录的TCP连接信息重新构造新的SYN请求连接报文并发送给服务器,在接收到服务器返回的SYN+ACK确认连接报文后,再将保存的ACK确认连接报文发送至服务器,以使得客户端与服务器完成3次握手,建立完整的TCP连接,有效地避免了服务器遭受到SYN攻击。
如下的图4,示例了本发明SYN攻击防护的方法的又一个实施例流程图,该图4所示的流程基于上述图1所示的应用场景以及上述图2所示的流程,仍以安全设备12执行该方法为例,详细说明了本发明在认为不存在SYN攻击时,如何使得客户端与服务器建立TCP连接,且该图4所示的流程不同于上述图3A所示的流程,可以包括以下步骤:
步骤S401:接收到客户端发送的SYN请求连接报文时,根据所述SYN请求连接报文的报文特征对保存的白名单和黑名单进行检索。
本步骤的详细描述可以参见上述实施例中步骤S201中的相关描述,在此不再作详细赘述。
步骤S402:若在所述白名单与所述黑名单中均未检索到所述报文特征,则根据所述SYN请求连接报文向所述客户端发送SYN+ACK确认连接报文,若在设定的时限内接收到所述客户端发送的ACK确认连接报文,则认为不存在SYN攻击,并将所述SYN请求连接报文的报文特征添加到白名单。
本步骤的详细描述可以参见上述实施例中步骤S203至步骤S204中的相关描述,在此不再作详细赘述。
步骤S403:向所述客户端发送RST报文,所述RST报文用于通知所述客户端重新向所述服务器发送SYN请求连接报文。
本发明中,当认为不存在SYN攻击时,安全设备12可以向客户端11发送RST报文,以使得客户端11在接收到该RST报文后,重新向服务器13发送SYN请求连接报文。
步骤S404:接收到所述客户端发送的所述SYN请求连接报文,根据所述SYN请求连接报文的报文特征在所述白名单中,将所述SYN请求连接报文转发至所述服务器。
该重新发送的SYN请求连接报文与步骤S401中的SYN请求连接报文具有相同的报文特征,那么,当安全设备12接收到该重新发送的SYN请求连接报文时,按照步骤S401中所述,可以在白名单中检索到该重新发送的SYN请求连接报文的报文特征,那么,安全设备12可以直接将其转发至服务器13,以使得客户端11与服务器13之间建立TCP连接。从而,降低了安全设备12抵御SYN攻击时所承受的压力,同时提高了安全设备12抵御SYN攻击的效率。
本发明实施例中,通过在白名单和黑名单中均未检索到所接收到的SYN请求连接报文的报文特征,以及接收到客户端发送的ACK确认连接报文认为不存在SYN攻击时,将所述报文特征添加到白名单中;并向客户端发送RST报文,以通知客户端重新发送新的SYN请求连接报文,后续,接收到该新的SYN请求连接报文时,可以根据该新的SYN请求连接报文的报文特征在所述白名单中,直接将该新的SYN请求连接报文转发至服务器,提高了安全设备抵御SYN攻击的效率,同时也降低了安全设备抵御SYN攻击时所承担的压力,有效地避免了服务器遭受到SYN攻击。
基于与上述方法同一的发明构思,本发明实施例还提供了SYN攻击防护的装置的实施例,该装置可以用于安全设备上。其中,该装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在安全设备的处理器,将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图5所示,是本发明实施例中SYN攻击防护的装置所在的安全设备的硬件结构框图,除了图5所示的处理器51、内存52、网络接口53以及非易失性存储器54外,还可以包括其他硬件,如摄像装置、负责处理报文的转发芯片等。
如下的图6,示例了本发明SYN攻击防护的装置的一个实施例框图,该装置可以包括:第一检索模块61、第一处理模块62、第二处理模块63。
其中,该第一检索模块61,可以用于在接收到客户端发送的SYN请求连接报文时,根据所述SYN请求连接报文的报文特征对保存的白名单和黑名单进行检索;
该第一处理模块62,可以用于在所述白名单中检索到所述报文特征时,允许所述客户端与服务器之间根据所述SYN请求连接报文建立TCP连接;若在所述黑名单中检索到所述报文特征,拒绝所述客户端和服务器之间根据所述SYN请求连接报文建立TCP连接;
该第二处理模块63,可以用于在所述白名单与所述黑名单中均未检索到所述报文特征,则根据所述SYN请求连接报文向所述客户端发送SYN+ACK确认连接报文,若在设定时限内接收到所述客户端发送的ACK确认连接报文,则认为不存在SYN攻击,控制所述客户端与服务器之间建立TCP连接,并将所述SYN请求连接报文的报文特征添加到所述白名单;
若在设定时限内未接收到所述ACK确认连接报文,则认为存在SYN攻击,将所述SYN请求连接报文的报文特征添加到所述黑名单。
如下的图7,示例了本发明SYN攻击防护的装置的另一个实施例框图,该图7所示的装置在上述图6所示装置的基础上,该图7所示的装置还可以包括:释放连接模块64。
该释放连接模块64,可以用于在认为存在SYN攻击时,释放所述SYN请求连接报文所对应的连接。
在一个实施例中,所述装置还可以包括:第二检索模块65、第三处理模块66。
该第二检索模块65,可以用于在控制所述客户端与服务器之间建立TCP连接之后,若接收到基于所述TCP连接传输的数据报文,根据所述数据报文的报文特征对保存的白名单和黑名单进行检索;
该第三处理模块66,可以用于若在所述白名单中检索到所述报文特征,则根据所述数据报文的报文特征转发所述数据报文,若在所述黑名单中检索到所述报文特征,则丢弃所述数据报文。
如下的图8,示例了本发明SYN攻击防护的装置的另一个实施例框图,该图8所示的装置在上述图7所示装置的基础上,所述第二处理模块63可以包括:记录模块631、构造子模块632、第一发送子模块633。
该记录子模块631,可以用于根据所述SYN请求连接报文与所述SYN+ACK确认连接报文记录TCP连接信息,所述TCP连接信息包括所述SYN请求连接报文中的源IP地址、目的IP地址、源端口号、目的端口号、请求序列号,以及所述SYN+ACK确认连接报文中的回应序列号,并保存所述接收到的ACK确认连接报文;
其中,该构造子模块632,可以用于根据所述TCP连接信息构造新的SYN请求连接报文,并将所述新的SYN请求连接报文与所述TCP连接信息中的回应序列号发送至所述服务器;
该第一发送子模块633,可以用于在接收到所述服务器根据所述新的SYN请求连接报文发送的SYN+ACK确认报文之后,将所述保存的ACK确认连接报文发送至服务器,所述服务器发送的SYN+ACK确认报文携带所述回应序列号。
如下的图9,示例了本发明SYN攻击防护的装置的又一个实施例框图,该图8所示的装置在上述图7所示装置的基础上,该第二处理模块63可以包括:第二发送子模块634、处理子模块635。
其中,该第二发送子模块634,可以用于向所述客户端发送RST报文,所述RST报文用于通知所述客户端重新向所述服务器发送SYN请求连接报文;
该处理子模块635,可以用于接收到所述客户端发送的所述SYN请求连接报文,根据所述SYN请求连接报文的报文特征在所述白名单中,将所述SYN请求连接报文转发至所述服务器。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种同步SYN攻击防护的方法,其特征在于,所述方法应用于安全设备,所述安全设备分别连接客户端和服务器,用于控制所述客户端和服务器之间建立传输控制协议TCP连接;所述方法包括:
接收到客户端发送的SYN请求连接报文时,根据所述SYN请求连接报文的报文特征对保存的白名单和黑名单进行检索;
若在所述白名单中检索到所述报文特征,允许所述客户端和服务器之间根据所述SYN请求连接报文建立TCP连接;若在所述黑名单中检索到所述报文特征,拒绝所述客户端和服务器之间根据所述SYN请求连接报文建立TCP连接;
若在所述白名单与所述黑名单中均未检索到所述报文特征,则根据所述SYN请求连接报文向所述客户端发送SYN+ACK确认连接报文,若在设定时限内接收到所述客户端发送的ACK确认连接报文,则认为不存在SYN攻击,控制所述客户端与服务器之间建立TCP连接,并将所述SYN请求连接报文的报文特征添加到所述白名单;
若在设定时限内未接收到所述ACK确认连接报文,则认为存在SYN攻击,将所述SYN请求连接报文的报文特征添加到所述黑名单。
2.根据权利要求1所述的方法,其特征在于,所述控制所述客户端与服务器之间建立TCP连接,包括:
根据所述SYN请求连接报文与所述SYN+ACK确认连接报文记录TCP连接信息,所述TCP连接信息包括所述SYN请求连接报文中的源IP地址、目的IP地址、源端口号、目的端口号、请求序列号及所述SYN+ACK确认连接报文中的回应序列号,并保存所述接收到的ACK确认连接报文;根据所述TCP连接信息构造新的SYN请求连接报文,并将所述新的SYN请求连接报文与所述TCP连接信息中的回应序列号发送至所述服务器;
在接收到所述服务器根据所述新的SYN请求连接报文发送的SYN+ACK确认报文之后,将所述保存的ACK确认连接报文发送至服务器,所述服务器发送的SYN+ACK确认报文携带所述回应序列号。
3.根据权利要求1所述的方法,其特征在于,所述控制所述客户端与服务器之间建立TCP连接,包括:
向所述客户端发送RST报文,所述RST报文用于通知所述客户端重新向所述服务器发送SYN请求连接报文;
接收到所述客户端发送的所述SYN请求连接报文,根据所述SYN请求连接报文的报文特征在所述白名单中,将所述SYN请求连接报文转发至所述服务器。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在认为存在SYN攻击时,释放所述SYN请求连接报文所对应的连接。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
控制所述客户端与服务器之间建立TCP连接之后,若接收到基于所述TCP连接传输的数据报文,根据所述数据报文的报文特征对保存的白名单和黑名单进行检索;
若在所述白名单中检索到所述报文特征,则根据所述数据报文的报文特征转发所述数据报文,若在所述黑名单中检索到所述报文特征,则丢弃所述数据报文。
6.一种SYN攻击防护的装置,其特征在于,所述装置应用于安全设备,所述安全设备分别连接客户端和服务器,用于控制所述客户端和服务器之间建立TCP连接;所述装置包括:
第一检索模块,用于在接收到客户端发送的SYN请求连接报文时,根据所述SYN请求连接报文的报文特征对保存的白名单和黑名单进行检索;
第一处理模块,用于在所述白名单中检索到所述报文特征时,允许所述客户端和服务器之间根据所述SYN请求连接报文建立TCP连接;若在所述黑名单中检索到所述报文特征,拒绝所述客户端和服务器之间根据所述SYN请求连接报文建立TCP连接;
第二处理模块,用于在所述白名单与所述黑名单中均未检索到所述报文特征,则根据所述SYN请求连接报文向所述客户端发送SYN+ACK确认连接报文,若在设定时限内接收到所述客户端发送的ACK确认连接报文,则认为不存在SYN攻击,控制所述客户端与服务器之间建立TCP连接,并将所述SYN请求连接报文的报文特征添加到所述白名单;
若在设定时限内未接收到所述ACK确认连接报文,则认为存在SYN攻击,将所述SYN请求连接报文的报文特征添加到所述黑名单。
7.根据权利要求6所述的装置,其特征在于,所述第二处理模块包括:
记录子模块,用于根据所述SYN请求连接报文与所述SYN+ACK确认连接报文记录TCP连接信息,所述TCP连接信息包括所述SYN请求连接报文中的源IP地址、目的IP地址、源端口号、目的端口号、请求序列号及所述SYN+ACK确认连接报文中的回应序列号,并保存所述接收到的ACK确认连接报文;
构造子模块,用于根据所述TCP连接信息构造新的SYN请求连接报文,并将所述新的SYN请求连接报文与所述TCP连接信息中的回应序列号发送至所述服务器;
第一发送子模块,用于在接收到所述服务器根据所述新的SYN请求连接报文发送的SYN+ACK确认报文之后将所述保存的ACK确认连接报文发送至服务器,所述服务器发送的SYN+ACK确认报文携带所述回应序列号。
8.根据权利要求6所述的装置,其特征在于,所述第二处理模块,包括:
第二发送子模块,用于向所述客户端发送RST报文,所述RST报文用于通知所述客户端重新向所述服务器发送SYN请求连接报文;
处理子模块,用于接收到所述客户端发送的所述SYN请求连接报文,根据所述SYN请求连接报文的报文特征在所述白名单中,将所述SYN请求连接报文转发至所述服务器。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:
释放连接模块,用于在认为存在SYN攻击时,释放所述SYN请求连接报文所对应的连接。
10.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第二检索模块,用于在控制所述客户端与服务器之间建立TCP连接之后,若接收到基于所述TCP连接传输的数据报文,根据所述数据报文的报文特征对保存的白名单和黑名单进行检索;
第三处理模块,用于若在所述白名单中检索到所述报文特征,则根据所述数据报文的报文特征转发所述数据报文,若在所述黑名单中检索到所述报文特征,则丢弃所述数据报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610329244.3A CN105827646B (zh) | 2016-05-17 | 2016-05-17 | Syn攻击防护的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610329244.3A CN105827646B (zh) | 2016-05-17 | 2016-05-17 | Syn攻击防护的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105827646A true CN105827646A (zh) | 2016-08-03 |
| CN105827646B CN105827646B (zh) | 2019-06-11 |
Family
ID=56530694
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610329244.3A Active CN105827646B (zh) | 2016-05-17 | 2016-05-17 | Syn攻击防护的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105827646B (zh) |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106302495A (zh) * | 2016-08-25 | 2017-01-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种ACK Flood攻击的防护方法及中间防护装置 |
| CN106453373A (zh) * | 2016-11-03 | 2017-02-22 | 北京知道未来信息技术有限公司 | 一种高效的SYN Flood攻击识别及处置方法 |
| CN106790313A (zh) * | 2017-03-31 | 2017-05-31 | 杭州迪普科技股份有限公司 | 入侵防御方法及装置 |
| CN107395632A (zh) * | 2017-08-25 | 2017-11-24 | 北京神州绿盟信息安全科技股份有限公司 | SYN Flood防护方法、装置、清洗设备及介质 |
| CN107438074A (zh) * | 2017-08-08 | 2017-12-05 | 北京神州绿盟信息安全科技股份有限公司 | 一种DDoS攻击的防护方法及装置 |
| CN107454065A (zh) * | 2017-07-12 | 2017-12-08 | 北京神州绿盟信息安全科技股份有限公司 | 一种UDP Flood攻击的防护方法及装置 |
| CN107864156A (zh) * | 2017-12-18 | 2018-03-30 | 东软集团股份有限公司 | Syn攻击防御方法和装置、存储介质 |
| CN108023866A (zh) * | 2016-10-28 | 2018-05-11 | 新华三技术有限公司 | 一种防攻击处理方法及网络设备 |
| CN108234473A (zh) * | 2017-12-28 | 2018-06-29 | 新华三技术有限公司 | 一种报文防攻击方法及装置 |
| CN108471427A (zh) * | 2018-06-27 | 2018-08-31 | 新华三信息安全技术有限公司 | 一种防御攻击的方法及装置 |
| CN108551446A (zh) * | 2018-04-08 | 2018-09-18 | 东软集团股份有限公司 | 防攻击的syn报文处理方法、装置、防火墙及存储介质 |
| CN108769284A (zh) * | 2018-05-04 | 2018-11-06 | 网宿科技股份有限公司 | 一种域名解析方法、服务器及系统 |
| CN109150919A (zh) * | 2018-10-31 | 2019-01-04 | 北京天融信网络安全技术有限公司 | 一种网络防攻击的方法及网络设备 |
| CN109246057A (zh) * | 2017-07-10 | 2019-01-18 | 东软集团股份有限公司 | 报文转发方法、装置、转发系统、存储介质及电子设备 |
| CN109639712A (zh) * | 2018-12-29 | 2019-04-16 | 北京神州绿盟信息安全科技股份有限公司 | 一种防护ddos攻击的方法及系统 |
| CN110572438A (zh) * | 2019-08-14 | 2019-12-13 | 北京天融信网络安全技术有限公司 | 一种网络连接建立方法、装置、网络设备和存储介质 |
| CN110912907A (zh) * | 2019-11-28 | 2020-03-24 | 杭州迪普科技股份有限公司 | Ssl握手阶段的攻击防护方法和装置 |
| CN112311731A (zh) * | 2019-07-29 | 2021-02-02 | 联合汽车电子有限公司 | 车载处理器、车载控制器及通信方法 |
| CN112532702A (zh) * | 2020-11-19 | 2021-03-19 | 深圳市利谱信息技术有限公司 | 云服务平台和用户端的安全通信方法和云隔离安全系统 |
| CN112702358A (zh) * | 2021-01-04 | 2021-04-23 | 北京金山云网络技术有限公司 | SYN Flood攻击的防护方法、装置、电子设备及存储介质 |
| WO2021077979A1 (zh) * | 2019-10-22 | 2021-04-29 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于alg协议实现tcp协议栈信息泄露的安防设备检测方法 |
| CN112751801A (zh) * | 2019-10-30 | 2021-05-04 | 中国科学院声学研究所 | 一种基于ip白名单的拒绝服务攻击过滤方法、装置及设备 |
| CN113709105A (zh) * | 2021-07-20 | 2021-11-26 | 深圳市风云实业有限公司 | 基于计数型布隆过滤器的SYN Flood攻击检测方法 |
| CN114697088A (zh) * | 2022-03-17 | 2022-07-01 | 神州绿盟成都科技有限公司 | 一种确定网络攻击的方法、装置及电子设备 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111064755B (zh) * | 2020-01-14 | 2021-08-17 | 腾讯科技(深圳)有限公司 | 一种数据保护方法、装置、计算机设备和存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050259644A1 (en) * | 2004-05-18 | 2005-11-24 | Microsoft Corporation | System and method for defeating SYN attacks |
| US20080240140A1 (en) * | 2007-03-29 | 2008-10-02 | Microsoft Corporation | Network interface with receive classification |
| US8613089B1 (en) * | 2012-08-07 | 2013-12-17 | Cloudflare, Inc. | Identifying a denial-of-service attack in a cloud-based proxy service |
| CN103475657A (zh) * | 2013-09-10 | 2013-12-25 | 网神信息技术(北京)股份有限公司 | 防syn泛洪攻击的处理方法和装置 |
| CN104683293A (zh) * | 2013-11-27 | 2015-06-03 | 杭州迪普科技有限公司 | 一种基于逻辑器件的syn攻击防护方法 |
-
2016
- 2016-05-17 CN CN201610329244.3A patent/CN105827646B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050259644A1 (en) * | 2004-05-18 | 2005-11-24 | Microsoft Corporation | System and method for defeating SYN attacks |
| US20080240140A1 (en) * | 2007-03-29 | 2008-10-02 | Microsoft Corporation | Network interface with receive classification |
| US8613089B1 (en) * | 2012-08-07 | 2013-12-17 | Cloudflare, Inc. | Identifying a denial-of-service attack in a cloud-based proxy service |
| CN103475657A (zh) * | 2013-09-10 | 2013-12-25 | 网神信息技术(北京)股份有限公司 | 防syn泛洪攻击的处理方法和装置 |
| CN104683293A (zh) * | 2013-11-27 | 2015-06-03 | 杭州迪普科技有限公司 | 一种基于逻辑器件的syn攻击防护方法 |
Cited By (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106302495A (zh) * | 2016-08-25 | 2017-01-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种ACK Flood攻击的防护方法及中间防护装置 |
| CN108023866A (zh) * | 2016-10-28 | 2018-05-11 | 新华三技术有限公司 | 一种防攻击处理方法及网络设备 |
| CN106453373A (zh) * | 2016-11-03 | 2017-02-22 | 北京知道未来信息技术有限公司 | 一种高效的SYN Flood攻击识别及处置方法 |
| CN106790313A (zh) * | 2017-03-31 | 2017-05-31 | 杭州迪普科技股份有限公司 | 入侵防御方法及装置 |
| CN109246057A (zh) * | 2017-07-10 | 2019-01-18 | 东软集团股份有限公司 | 报文转发方法、装置、转发系统、存储介质及电子设备 |
| CN109246057B (zh) * | 2017-07-10 | 2021-01-08 | 东软集团股份有限公司 | 报文转发方法、装置、转发系统、存储介质及电子设备 |
| CN107454065A (zh) * | 2017-07-12 | 2017-12-08 | 北京神州绿盟信息安全科技股份有限公司 | 一种UDP Flood攻击的防护方法及装置 |
| CN107454065B (zh) * | 2017-07-12 | 2020-07-10 | 北京神州绿盟信息安全科技股份有限公司 | 一种UDP Flood攻击的防护方法及装置 |
| CN107438074A (zh) * | 2017-08-08 | 2017-12-05 | 北京神州绿盟信息安全科技股份有限公司 | 一种DDoS攻击的防护方法及装置 |
| CN107395632A (zh) * | 2017-08-25 | 2017-11-24 | 北京神州绿盟信息安全科技股份有限公司 | SYN Flood防护方法、装置、清洗设备及介质 |
| CN107395632B (zh) * | 2017-08-25 | 2020-09-22 | 北京神州绿盟信息安全科技股份有限公司 | SYN Flood防护方法、装置、清洗设备及介质 |
| CN107864156B (zh) * | 2017-12-18 | 2020-06-23 | 东软集团股份有限公司 | Syn攻击防御方法和装置、存储介质 |
| CN107864156A (zh) * | 2017-12-18 | 2018-03-30 | 东软集团股份有限公司 | Syn攻击防御方法和装置、存储介质 |
| CN108234473A (zh) * | 2017-12-28 | 2018-06-29 | 新华三技术有限公司 | 一种报文防攻击方法及装置 |
| CN108234473B (zh) * | 2017-12-28 | 2021-02-09 | 新华三技术有限公司 | 一种报文防攻击方法及装置 |
| CN108551446B (zh) * | 2018-04-08 | 2020-11-27 | 东软集团股份有限公司 | 防攻击的syn报文处理方法、装置、防火墙及存储介质 |
| CN108551446A (zh) * | 2018-04-08 | 2018-09-18 | 东软集团股份有限公司 | 防攻击的syn报文处理方法、装置、防火墙及存储介质 |
| CN108769284A (zh) * | 2018-05-04 | 2018-11-06 | 网宿科技股份有限公司 | 一种域名解析方法、服务器及系统 |
| CN108471427A (zh) * | 2018-06-27 | 2018-08-31 | 新华三信息安全技术有限公司 | 一种防御攻击的方法及装置 |
| CN109150919A (zh) * | 2018-10-31 | 2019-01-04 | 北京天融信网络安全技术有限公司 | 一种网络防攻击的方法及网络设备 |
| CN109639712A (zh) * | 2018-12-29 | 2019-04-16 | 北京神州绿盟信息安全科技股份有限公司 | 一种防护ddos攻击的方法及系统 |
| CN109639712B (zh) * | 2018-12-29 | 2021-09-10 | 绿盟科技集团股份有限公司 | 一种防护ddos攻击的方法及系统 |
| CN112311731A (zh) * | 2019-07-29 | 2021-02-02 | 联合汽车电子有限公司 | 车载处理器、车载控制器及通信方法 |
| CN110572438A (zh) * | 2019-08-14 | 2019-12-13 | 北京天融信网络安全技术有限公司 | 一种网络连接建立方法、装置、网络设备和存储介质 |
| WO2021077979A1 (zh) * | 2019-10-22 | 2021-04-29 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于alg协议实现tcp协议栈信息泄露的安防设备检测方法 |
| CN112751801A (zh) * | 2019-10-30 | 2021-05-04 | 中国科学院声学研究所 | 一种基于ip白名单的拒绝服务攻击过滤方法、装置及设备 |
| CN112751801B (zh) * | 2019-10-30 | 2022-03-04 | 中国科学院声学研究所 | 一种基于ip白名单的拒绝服务攻击过滤方法、装置及设备 |
| CN110912907A (zh) * | 2019-11-28 | 2020-03-24 | 杭州迪普科技股份有限公司 | Ssl握手阶段的攻击防护方法和装置 |
| CN110912907B (zh) * | 2019-11-28 | 2022-08-26 | 杭州迪普科技股份有限公司 | Ssl握手阶段的攻击防护方法和装置 |
| CN112532702A (zh) * | 2020-11-19 | 2021-03-19 | 深圳市利谱信息技术有限公司 | 云服务平台和用户端的安全通信方法和云隔离安全系统 |
| CN112532702B (zh) * | 2020-11-19 | 2023-07-28 | 深圳市利谱信息技术有限公司 | 云服务平台和用户端的安全通信方法和云隔离安全系统 |
| CN112702358A (zh) * | 2021-01-04 | 2021-04-23 | 北京金山云网络技术有限公司 | SYN Flood攻击的防护方法、装置、电子设备及存储介质 |
| CN113709105A (zh) * | 2021-07-20 | 2021-11-26 | 深圳市风云实业有限公司 | 基于计数型布隆过滤器的SYN Flood攻击检测方法 |
| CN113709105B (zh) * | 2021-07-20 | 2023-08-29 | 深圳市风云实业有限公司 | 基于计数型布隆过滤器的SYN Flood攻击检测方法 |
| CN114697088A (zh) * | 2022-03-17 | 2022-07-01 | 神州绿盟成都科技有限公司 | 一种确定网络攻击的方法、装置及电子设备 |
| CN114697088B (zh) * | 2022-03-17 | 2024-03-15 | 神州绿盟成都科技有限公司 | 一种确定网络攻击的方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105827646B (zh) | 2019-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105827646A (zh) | Syn攻击防护的方法及装置 | |
| US20110131646A1 (en) | Apparatus and method for preventing network attacks, and packet transmission and reception processing apparatus and method using the same | |
| CA2516975C (en) | Using tcp to authenticate ip source addresses | |
| CN109639712B (zh) | 一种防护ddos攻击的方法及系统 | |
| US7818786B2 (en) | Apparatus and method for managing session state | |
| US7444408B2 (en) | Network data analysis and characterization model for implementation of secure enclaves within large corporate networks | |
| CN110198293B (zh) | 服务器的攻击防护方法、装置、存储介质和电子装置 | |
| US10218717B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| CN111756712B (zh) | 一种基于虚拟网络设备伪造ip地址防攻击的方法 | |
| CN111786971A (zh) | 主机爆破攻击的防御方法、装置和计算机设备 | |
| US10348750B2 (en) | TCP bypass interdiction method and device | |
| CN100420197C (zh) | 一种实现网络设备防攻击的方法 | |
| CN113179280B (zh) | 基于恶意代码外联行为的欺骗防御方法及装置、电子设备 | |
| CN111835682B (zh) | 连接控制方法、系统、设备及计算机可读存储介质 | |
| CN102231748A (zh) | 一种客户端验证方法及装置 | |
| CN105634660A (zh) | 数据包检测方法及系统 | |
| CN108512833B (zh) | 一种防范攻击方法及装置 | |
| US11252184B2 (en) | Anti-attack data transmission method and device | |
| US7634655B2 (en) | Efficient hash table protection for data transport protocols | |
| WO2019096104A1 (zh) | 攻击防范 | |
| JP2008306610A (ja) | 不正侵入・不正ソフトウェア調査システム、および通信振分装置 | |
| CN112235329A (zh) | 一种识别syn报文真实性的方法、装置及网络设备 | |
| KR101687811B1 (ko) | ARP_Probe 패킷을 이용한 Agent 방식의 ARP 스푸핑 탐지 방법 | |
| KR102027438B1 (ko) | Ddos 공격 차단 장치 및 방법 | |
| US11588845B2 (en) | Method for managing a memory |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |