CN105939322B - 报文攻击防护的方法及装置 - Google Patents
报文攻击防护的方法及装置 Download PDFInfo
- Publication number
- CN105939322B CN105939322B CN201510898264.8A CN201510898264A CN105939322B CN 105939322 B CN105939322 B CN 105939322B CN 201510898264 A CN201510898264 A CN 201510898264A CN 105939322 B CN105939322 B CN 105939322B
- Authority
- CN
- China
- Prior art keywords
- protection
- message
- rule
- sub
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供报文攻击防护的方法及装置,所述方法包括:根据接收到的报文匹配套接字Socket;当接收到的报文匹配到本地任一Socket时,检查所述Socket是否设置了预设标识;当所述Socket设置了所述预设标识时,调用与所述预设标识对应的防护规则对所述报文进行安全防护。本申请解决了现有技术中因不同应用类型对应的过滤规则不同导致现有技术通用性差的问题,更好地实现了对攻击报文的防护。
Description
技术领域
本申请涉及通信技术领域,尤其涉及报文攻击防护的方法及装置。
背景技术
目前,进程之间大多通过套接字(Socket)进行通信,当网络设备接收到报文后,如果该报文是发送给该网络设备的,则该网络设备会对该报文进行Socket匹配,并将该报文送入匹配到的Socket的缓存区中,然后,再通知相应的进程从该Socket的缓冲区中来读取该报文。
随着网络的高速发展,网络安全问题也日渐增多。常见的网络攻击方式是数据报文攻击以及针对TCP(Transmission Control Protocol,传输控制协议)连接的SYN Flood(Synchronous Flood,SYN洪水)攻击。其中,数据报文攻击通过模仿客户端或者服务器向对端发送大量攻击报文,使得对端对应进程的Socket缓存区资源被攻击报文占用,消耗了对端缓存区资源;而针对TCP连接的SYN洪水攻击则是通过恶意模拟客户端异常情况攻击服务器端的Socket缓存区等。
现有技术根据报文的协议号、端口号等特征识别出报文所属的应用类型,然后根据预存的与应用类型一一对应的过滤规则对报文进行过滤,丢弃不满足过滤规则的报文,从而防止报文攻击。但是,因为不同应用类型对应的过滤规则不同,且每当新增应用类型时,均需重新更新过滤规则。因此,现有技术的通用性差。
发明内容
有鉴于此,本申请提供一种报文攻击防护的方法及装置,来解决现有技术中因不同应用类型对应的过滤规则不同导致现有技术通用性差的问题,从而更好地实现对攻击报文的防护。
具体地,本申请是通过如下技术方案实现的:
根据本申请实施例的第一方面,提供一种报文攻击防护的方法,其特征在于,所述方法应用于网络设备上,所述方法包括:
根据接收到的报文匹配套接字Socket;
当接收到的报文匹配到本地任一Socket时,检查所述Socket是否设置了预设标识;
当所述Socket设置了所述预设标识时,调用与所述预设标识对应的防护规则对所述报文进行安全防护。
根据本申请实施例的第二方面,提供一种报文攻击防护的装置,其特征在于,所述装置应用于网络设备上,所述装置包括:
匹配单元,用于根据接收到的报文匹配套接字Socket;
检查单元,用于当接收到的报文匹配到本地任一Socket时,检查所述Socket是否设置了预设标识;
防护单元,用于当所述Socket设置了所述预设标识时,调用与所述预设标识对应的防护规则对所述报文进行安全防护。
本申请提供报文攻击防护的方法及装置,网络设备将接收到的报文与本地的Socket进行匹配,并在匹配成功且Socket设置预设标识时,调用与所述预设标识对应的防护规则对所述报文进行安全防护,丢弃不满足防护规则的报文。由于本申请不需要根据报文所属的应用类型单独制定防护规则,当新增应用类型时,网络设备不需要重新更新防护规则。因此,本申请具有通用性更好的优点,能够更好地实现对攻击报文的防护。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1是应用本申请实施例实现报文攻击防护的应用场景图;
图2是本申请报文攻击防护的方法的一个实施例流程图;
图3是本申请报文攻击防护的装置所在设备的一种硬件结构图;
图4是本申请报文攻击防护的装置的一个实施例框图;
图5是本申请报文攻击防护的装置的另一个实施例框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
参见图1,为应用本申请实施例实现报文攻击防护的应用场景图。
在本实施例中,报文攻击可以包括数据报文攻击和SYN洪水攻击。
请参见图1,图1中所示的客户端A和服务器B之间可以进行正常通信,客户端C和服务器D为恶意攻击者。
一方面,服务器D通过模仿服务器B向客户端A发送大量数据报文,使得客户端A的Socket缓存区资源被耗尽的现象被称为数据报文攻击。同样地,服务器B也会受到来自客户端C的数据报文攻击。
另一方面,假设客户端C在向服务器B发送第一次TCP握手报文后死机或者掉线,则服务器B在向客户端C返回第二次TCP握手报文后无法接收到来自客户端C的第三次TCP握手报文,此时服务器B会重新向客户端C发送第二次TCP握手报文,并等待一段时间(如半分钟)。如果等待了一段时间后,还是未能接收到客户端C发送的第三次TCP握手报文,则服务器B会放弃这个连接。然而,在这种场景下,如果客户端C大量模仿以上的异常情况时,不断向服务器B发送伪造的第一次TCP握手报文,那么服务器B会因为不断的重试和等待耗尽其Socket缓存区资源,此时,服务器B将忙于处理客户端C伪造的第一次TCP握手报文而无暇理睬客户的正常请求,此时从正常客户的角度看来,服务器B失去了响应,这种情况我们称作SYN Flood攻击(SYN洪水攻击)。
现有技术中,当客户端A或服务器B收到报文时,会根据报文的协议号、端口号等特征识别出报文所属的应用类型,然后根据预存的与应用类型一一对应的过滤规则对报文进行过滤,丢弃不满足过滤规则的报文,从而防止报文攻击。但是,因为不同应用类型对应的过滤规则不同,且每当新增应用类型时,均需重新更新过滤规则。因此,现有技术的通用性差。
本申请中,客户端A或服务器B将接收到的报文与本地的Socket进行匹配,并在匹配成功且Socket设置预设标识时,调用与所述预设标识对应的防护规则对所述报文进行安全防护,丢弃不满足防护规则的报文即攻击报文。由于本申请不需要根据报文所属的应用类型单独制定防护规则,当新增应用类型时,网络设备不需要重新更新防护规则。因此,本申请具有通用性更好的优点,能够更好地实现对攻击报文的防护。
参见图2,图2是本申请示出的一种报文攻击防护的方法的流程图,应用于网络设备,其中,所述网络设备可以是用于安全防护的交换机或者路由器,所述方法包括了以下步骤:
步骤201:根据接收到的报文匹配Socket。
在本实施例中,当网络设备接收到报文后,可以通过对所述报文的解析获得报文属性信息,所述报文属性信息可以包括所述报文五元组信息中的一个或多个的组合。所述网络设备可以通过将所述报文的属性信息,与本地的Socket的属性信息进行匹配,来为所述报文分配Socket。
在一个示例中,假设所述报文属性信息如下表1所示(表1仅展示出部分报文属性信息的内容):
| 源IP信息 | 源端口 | 目的端口 |
| 1.1.1.1 | 80 | 200 |
表1
假设本地的Socket的属性信息如下表2所示:
| Socket名称 | 源IP信息 | 源端口 | 目的端口 |
| Socket1 | 2.2.2.2 | 80 | 196 |
| Socket2 | 1.1.1.1 | 80 | 200 |
| Socket3 | 2.2.2.3 | 90 | 200 |
表2
由表1和表2可知,所述报文的属性信息与本地的Socket2的属性信息相匹配,所述网络设备可以将Socket2分配给所述报文。
其中,根据接收到的报文匹配Socket的详细过程,本实施例不再进行详述,本领域技术人员在实现时可以参考现有技术。
步骤202:当接收到的报文匹配到本地任一Socket时,检查所述Socket是否设置了预设标识。
当接收到的报文匹配到本地的任一Socket时,网络设备可以检查所述Socket是否设置了预设标识,并通过检查所述预设标识的取值是否为预设值,来确定网络设备是否预先设置了与所述预设标识对应的防护规则。
其中,所述预设标识可以为新增的Socket选项所设置,并可以通过所述Socket选项所维护。在实现时,所述预设标识可以设置为SOCK_FILTER_RULE、SOCK_FILTER_IP以及SOCK_FILTER_MAC等。
当然,如果接收到的报文与本地的Socket均不匹配时,网络设备可以丢弃所述报文。
步骤203:当所述Socket设置了所述预设标识时,调用与所述预设标识对应的防护规则对所述报文进行安全防护。
本实施例中,网络设备还可以为所述预设标识设置对应的防护规则。
以所述预设标识为新增的Socket选项所设置为例,网络设备可以通过新增的Socket选项为Socket设置对应的防护规则,当设置了对应的防护规则后,可以将所述新增的Socket选项对应的标志位设置为预设值。当删除了对应的防护规则后,删除所述设置的预设值。当所述新增的Socket选项对应的标志位取值为预设值时,则表示已经为Socket设置了对应的防护规则。
因此,当接收到的报文匹配到了对应的Socket,网络设备在对所述匹配到的Socket进行预设标识检查时,如果发现所述新增的Socket选项对应的标识位的取值为预设值时,则表明所述新增的Socket选项已经预先设置了对应的防护规则,此时网络设备可以调用Socket对应的防护规则对接收到的所述报文进行安全防护。
例如,在实现时,所述新增的Socket选项的取值可以采用位图结构来进行表示,假设在位图结构中与所述新增的Socket选项对应的标识位取值为1时,表示所述新增的Socket选项设置了对应的防护规则;与所述新增的Socket选项对应的标识位取值为0时,表示所述新增的Socket选项并未设置对应的防护规则。那么,如果为所述新增的Socket选项设置了对应的防护规则,则可以将位图结构中与所述新增的Socket选项对应的标识位的取值设置为1。当设置完成后,网络设备在对匹配到的Socket进行标识位检查时,如果发现所述标识位的取值为1,则表明所述新增的Socket选项已经预先设置了对应的防护规则,网络设备则可以调用Socket设置完成的防护规则对接收到的所述报文进行安全防护。
在本实施例中,上述防护规则可以由若干防护子规则构成,所述防护子规则包括防护特征,以及与所述防护特征对应的处理动作。其中,每一个防护子规则可以分别设置一种或多种对应的防护特征,不同的防护子规则可以设置不同的防护特征。所述防护特征可以包括源IP地址、目的IP地址、源端口、目的端口、源MAC地址、TTL(Time To Live,生存时间值)中的一个或者多个。
当然,在实现时,上述防护特征除了以上描述的源IP地址、目的IP地址、源端口、目的端口、源MAC地址、TTL等报文特征以外,还可以采用其它类型的报文特征,比如目的MAC,协议号等等,在本实施例中不再一一详述。此外,所述防护特征也可以包括自定义的防护特征。
在本实施例中,上述防护规则中防护子规则的数量,可以根据实际的安全防护需求进行设定。
在一些安全防护级别较低的应用场景中,上述防护规则可以设置单一的防护子规则。例如,如果仅需要对接收到的报文进行源IP地址过滤时,上述防护规则可以设置一组防护子规则,并设置一个源IP地址池作为所述防护子规则的防护特征,并为所述源IP地址池中每一个源IP地址分别指定一个对应的处理动作。所述源IP地址池可以为源IP地址段。
而在一些安全防护级别较高的应用场景中,上述防护规则也可以设置多个防护子规则的组合,并为每一个防护子规则设置一种对应的防护特征。例如,如果需要基于源IP地址、目的IP地址、源端口、目的端口、源MAC地址、生存时间值TTL等防护特征对接收到的报文进行多重防护,可以基于源IP地址、目的IP地址、源端口、目的端口、源MAC地址、生存时间值TTL等防护特征分别设置一组对应的防护子规则;比如,对于源IP地址和目的IP地址所对应的防护子规则,可以分别设置一个源IP地址池和目的IP地址池,并为地址池中的每一个IP地址指定一个对应的处理动作,其中,所述源IP地址池和目的IP地址池可以分别为一个源IP地址段和目的IP地址段;对于源端口和目的端口所对应的防护子规则,可以分别设置一个源端口列表和目的端口列表,并为端口列表中的每一个端口指定一个对应的处理动作;同样的道理,对于源MAC地址所对应的防护子规则,可以设置一个源MAC地址池,并为源MAC地址池中的每一个源MAC地址指定一个对应的处理动作;对于TTL对应的防护子规则,可以设置一个TTL取值范围,并为所述TTL取值范围中的每一个TTL取值设置为一个对应的处理动作;对于所述自定义防护特征所对应的防护子规则,可以设置一个或一组所述自定义防护特征的值,并为所述自定义防护特征设置一个对应的处理动作。
在本实施例中,网络设备在调用与上述新增的Socket选项对应的防护规则对接收到的报文进行安全防护时,可以提取所述报文的报文特征,然后将所述报文的报文特征与上述防护规则中的防护子规则的防护特征进行匹配,当所述报文的防护特征与上述防护规则中的任一防护子规则的防护特征匹配时,则可以根据与所述防护特征对应的处理动作处理所述报文。
其中,上述防护规则中的每一组防护子规则,还可以预先设置一个对应的默认处理动作,当所述报文的报文特征与上述防护规则中任一防护子规则的防护特征均不匹配时,还可以根据与所述防护子规则对应的默认处理动作处理所述报文。
值得说明的是,与上述防护子规则中的防护特征对应的处理动作,以及与上述防护子规则对应的默认处理动作,可以包括丢弃所述报文、正常处理所述报文、将所述报文的报文特征与下一组防护子规则的防护特征进行匹配等处理动作中的任意一种。
例如,假设上述防护规则中仅设置了一组将源IP地址作为防护特征的防护子规则,如果此组防护子规则中,源IP地址是作为黑名单使用的话,此时对于报文特征匹配所述防护子规则的防护特征的报文,可能为攻击报文,因此在设置与防护特征对应的处理动作时,可以将与防护特征对应的处理动作设置为丢弃所述报文,将所述防护子规则的默认处理动作设置为正常处理所述报文。当然,如果上述防护规则中还设置了多组防护子规则,也可以将所述防护子规则的默认处理动作设置为与下一组防护子规则的防护特征进行匹配。
同样的道理,如果此组防护子规则中,源IP地址是作为白名单使用的话,此时对于报文特征匹配所述防护子规则的防护特征的报文,则为正常报文,因此在设置与防护特征对应的处理动作时,可以将与所述防护特征对应的处理动作设置为正常处理所述报文,将所述防护子规则的默认处理动作设置为丢弃所述报文。当然,如果上述防护规则中还设置了多组防护子规则,也可以将与所述防护特征对应的处理动作设置为与下一组防护子规则的防护特征进行匹配。另外,当接收到的报文的报文特征与上述防护规则中的防护子规则的防护特征均不匹配时,此时可以丢弃所述报文或者按照正常处理流程进行处理所述报文。
例如,如果上述防护规则中的防护子规则作为白名单使用,此时所述报文的报文特征与上述防护子规则的防护特征均不匹配时,表明所述报文可能为攻击报文,则可以对所述报文进行丢弃。
等同的,如果上述防护规则中的防护子规则作为黑名单使用,此时所述报文的报文特征与上述防护子规则的防护特征均不匹配时,表明所述报文可能为正常处理的报文,此时可以按照所述报文的正常处理流程进行处理所述报文即可。例如,当所述报文为TCP三次握手的SYN报文,如果所述SYN报文满足建立TCP连接的条件,可以向其回应ACK报文,通过三次握手继续建立连接。如果所述SYN报文不满足建立TCP连接的条件,可以向其回应拒绝报文,终止TCP连接的建立过程。当所述报文为基于TCP或者UDP的数据报文,如果所述报文的目的IP地址为本设备,则可以直接处理所述报文,如果所述报文的目的IP地址为其它设备,可以将所述报文转发出去。
值得说明的是,在实际应用中,用户可以通过特定的指令,对每组防护子规则中的防护特征进行添加和删除操作。例如,可以通过编辑SO_FILTER_RULE_ADD指令来增加防护特征,通过编辑SO_FILTER_RULE_DELETE来删除防护特征以及通过编辑SO_FILTER_RULE_UPDATE来更新防护特征。
当然,除了可以对每组防护子规则中的防护特征进行添加以外,用户也可以通过特定的指令,对与上述防护特征对应的处理动作,以及上述防护子规则的默认处理动作进行更改。即,在实际应用中,用户可以根据具体的安全防护需求,对与上述防护特征对应的处理动作,以及上述防护子规则的默认处理动作进行更改,以适应实际的防护需求。
以下通过具体的应用实例对以上方案进行详述。
在示出的一种实施方式中,上述防护规则可以设置单一的防护子规则。
假设所述防护规则仅设置了一组将源IP地址作为防护特征的防护子规则,此组源IP地址可以看作为一个源IP地址池。所述源IP地址池可以如下表3所示(表3仅示出所述源IP地址池的部分信息):
表3
当所述源IP地址作为白名单使用时,可以将与所述防护特征对应的处理动作设置为正常处理报文,将与所述防护子规则对应的默认处理动作设置为丢弃报文。例如,假设接收到的报文的源IP地址为1.1.1.1,则结合表3可知,所述报文的报文特征可以从所述源IP地址池中找到,即所述报文的报文特征与所述防护规则中的防护子规则的防护特征匹配,则所述报文可以判断为正常报文,此时,所述报文可以被正常处理。当所述报文为TCP三次握手SYN报文时,网络设备可以回应ACK报文与对端建立TCP连接,或者回应拒绝报文拒绝建立TCP连接;当所述报文为基于TCP或者UDP的数据报文时,如果所述报文的目的IP地址是此网络设备的IP地址,则可以处理所述报文,如果所述报文的目的IP地址不是此网络设备的IP地址,则可以将所述报文转发出去。
在一个示例中,假设所述报文的源IP地址为1.1.1.6,则结合表3可知,所述报文的报文特征与所述防护规则中的防护子规则的防护特征不匹配,表示所述报文可能为攻击报文,此时,所述报文可以被丢弃,从而有效防止SYN Flood攻击或数据报文攻击。
在一个示例中,假设如表3所示的源IP地址作为黑名单使用时,可以将与所述防护特征对应的处理动作设置为丢弃报文,将与所述防护子规则对应的默认处理动作设置为正常处理报文。假设接收到的报文的源IP地址为1.1.1.1,则所述报文可能为攻击报文,所述报文可以被丢弃,从而有效防止SYN Flood攻击或数据报文攻击;假设接收到的报文的源IP地址为1.1.1.6,则所述报文可能为正常报文,则当所述报文为TCP三次握手SYN报文时,网络设备可以回应ACK报文与对端建立TCP连接或者回应拒绝报文拒绝建立TCP连接;当所述报文为基于TCP或者UDP的数据报文时,如果所述报文的目的IP地址是此网络设备的IP地址,则可以处理所述报文,如果所述报文的目的IP地址不是此网络设备的IP地址,则可以将所述报文转发出去。
在示出的一种实施方式中,上述防护规则可以设置多个防护子规则的组合。
假设所述防护规则设置了多组防护子规则,例如分别设置了源IP地址池、目的IP地址池、目的端口列表、源端口列表、源MAC地址池、TTL取值范围作为防护特征。所述源IP地址池、目的IP地址池、目的端口列表、源端口列表、源MAC地址池、TTL取值范围可以如下表4所示:
表4
表4中所示的防护特征可以均为白名单,或均为黑名单,或根据需求设置其中一些防护特征为白名单,其余的防护特征为黑名单。
假设表4中所示的防护特征均为白名单,则可以将与防护特征对应的处理动作设置为与下一个防护特征进行匹配,可以将与所述防护子规则对应的默认处理动作设置为丢弃报文。假设从接收到的报文中提取出的报文特征如下表5所示:
| 源IP地址 | 目的IP地址 | 目的端口 | 源端口 | 源MAC地址 | TTL |
| 1.1.1.1 | 2.1.1.1 | 80 | 200 | 0024AC050731 | 200 |
表5
当如表5所示的报文特征与所述防护特征进行匹配时,可以先进行源IP地址匹配,结合表4和表5可知,可以匹配成功,此时,与源IP地址这一防护特征对应的处理动作为与下一个防护特征进行匹配;当如表5所示的报文特征与所述防护特征均匹配时,则可以判断所述报文为正常报文,此时,所述报文可以被正常处理。当所述报文为TCP三次握手SYN报文时,网络设备可以回应ACK报文与对端建立TCP连接,或者回应拒绝报文拒绝建立TCP连接;当所述报文为基于TCP或者UDP的数据报文时,如果所述报文的目的IP地址是此网络设备的IP地址,则可以处理所述报文,如果所述报文的目的IP地址不是此网络设备的IP地址,则可以将所述报文转发出去。
在一个示例中,假设从接收到的报文中提取出的报文特征如下表6所示:
| 源IP地址 | 目的IP地址 | 目的端口 | 源端口 | 源MAC地址 | TTL |
| 1.1.1.4 | 2.1.1.4 | 80 | 200 | 0024AC050731 | 200 |
表6
结合表4和表6可知,所述报文的报文特征与所述防护特征并非完全匹配,因此,可以判断所述报文为攻击报文。此时,所述报文可以被丢弃,从而有效防止SYN Flood攻击或数据报文攻击。
在一个示例中,假设表4中所示的防护特征均为黑名单,则可以将与防护特征对应的处理动作设置为丢弃报文,可以将与所述防护子规则对应的默认处理动作设置为与下一个防护特征进行匹配。假设从接收到的报文中提取出的报文特征如表7所示:
| 源IP地址 | 目的IP地址 | 目的端口 | 源端口 | 源MAC地址 | TTL |
| 1.1.1.4 | 2.1.1.4 | 90 | 300 | 0024AC050735 | 130 |
表7
当如表7所示的报文特征与所述防护特征进行匹配时,可以先进行源IP地址匹配,结合表4和表7可知,匹配不成功,此时按照与所述防护特征对应的默认动作处理所述报文。由所述默认动作为与下一个防护特征进行匹配可以得知,所述报文可以将下一个报文特征与下一个防护特征进行匹配。结合表4和表7可知,所述报文为正常报文,可以被正常处理。
在一个示例中,假设从接收到的报文中提取出的报文特征如表5所示时,则可以判断所述报文为攻击报文。此时,所述报文可以被丢弃,从而有效防止SYN Flood攻击或数据报文攻击。
在一个示例中,假设表4所示的防护特征中的一些为白名单,其余的为黑名单,则可以将与作为白名单的防护特征对应的处理动作设置为与下一个防护特征进行匹配,将与作为白名单的防护特征的防护子规则对应的默认处理动作设置为丢弃报文,将与作为黑名单的防护特征对应的处理动作设置为丢弃报文,将与作为黑名单的防护特征的防护子规则对应的默认处理动作设置为与下一个防护特征进行匹配。具体实施过程与上述实施过程类似,在此不再赘述。
需要说明的是,所述自定义防护特征可以具体如下表8所示:
| 防护特征的值 | 1 |
| 防护特征的值的字节大小 | 1 |
| 防护特征的参照物 | UDP头 |
| 防护特征的相对位置 | 8 |
表8
当所述自定义防护特征作为白名单使用时,可以将与所述自定义防护特征对应的处理动作设置为正常处理报文,将与所述防护子规则对应的默认处理动作设置为丢弃报文。例如,根据从所述报文中提取的报文特征满足表8所示的去离UDP头的8个字节处1字节的字段取值为1时,即所述报文的报文特征与所述防护规则中的防护子规则的自定义防护特征匹配,则所述报文可以判断为正常报文;反之,可以判断所述报文为攻击报文。
当如表8所示的所述自定义防护特征作为黑名单使用时,可以将与所述自定义防护特征对应的处理动作设置为丢弃报文,将与所述防护子规则对应的默认处理动作设置为正常处理报文。例如,根据从所述报文中提取的报文特征满足表8所示的去离UDP头的8个字节处1字节的字段取值为1时,即所述报文的报文特征与所述防护规则中的防护子规则的自定义防护特征匹配,则所述报文可以判断为攻击报文;反之,可以判断所述报文为正常报文。
值得说明的是,上述例子仅为示例性的,实际应用中与每一个防护子规则的防护特征对应的处理动作,以及每一组防护子规则的默认处理动作,可以根据实际的安全防护需求,由用户进行设置。
本申请提供报文攻击防护的方法及装置,网络设备将接收到的报文与本地的Socket进行匹配,并在匹配成功且Socket设置预设标识时,调用与所述预设标识对应的防护规则对所述报文进行安全防护,丢弃不满足防护规则的报文。由于本申请不需要根据报文所属的应用类型单独制定防护规则,当新增应用类型时,网络设备不需要重新更新防护规则。因此,本申请具有通用性更好的优点,能够更好地实现对攻击报文的防护。
与前述报文攻击防护的方法的实施例相对应,本申请还提供了报文攻击防护的装置的实施例。
本申请报文攻击防护的装置的实施例可以应用在网络设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图3所示,为本申请报文攻击防护的装置所在设备的一种硬件结构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。
请参考图4,为本申请报文攻击防护的装置一个实施例框图:
该装置可以包括:匹配单元410、检查单元420以及防护单元430。
匹配单元410,用于根据接收到的报文匹配套接字Socket;
检查单元420,用于当接收到的报文匹配到本地任一Socket时,检查所述Socket是否设置了预设标识;
防护单元430,用于当所述Socket设置了所述预设标识时,调用与所述预设标识对应的防护规则对所述报文进行安全防护。
在一个可选的实现方式中,所述防护单元430可以具体用于:
当所述Socket设置了所述预设标识时,判断所述预设标识的取值是否为预设值,其中所述预设标识的取值为预设值时表示所述网络设备预先设置了与所述预设标识对应的防护规则;当所述预设标识的取值为预设值时,则调用预先设置的与所述预设标识对应的防护规则对所述报文进行安全防护。
在另一个可选的实现方式中,所述防护规则包括若干防护子规则,所述防护子规则包括防护特征,以及与所述防护特征对应的处理动作;
请参见图5,所述防护单元430可以包括:
提取子单元430A,用于提取所述报文的报文特征;
匹配子单元430B,用于将所述报文的报文特征与所述若干防护子规则的防护特征进行匹配;
第一处理子单元430C,用于当所述报文的报文特征与任一防护子规则的防护特征匹配时,根据与所述防护特征对应的处理动作处理所述报文。
在另一个可选的实现方式中,所述防护子规则预设了对应的默认处理动作;
请继续参见图5,所述防护单元430还可以包括:
第二处理子单元430D,用于当所述报文的报文特征与任一防护子规则的防护特征均不匹配时,根据与所述防护子规则对应的默认处理动作处理所述报文。
在一个可选的实现方式中,所述防护特征包括源IP地址、目的IP地址、源端口、目的端口、源MAC地址、生存时间值TTL中的一个或者多个;
与所述防护特征对应的处理动作以及与所述防护子规则对应的默认处理动作可以包括:
丢弃所述报文、正常处理所述报文、将所述报文的报文特征与下一个防护子规则的防护特征进行匹配。
在一个可选的实现方式中,所述预设标识为新增的Socket选项所设置。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本申请实施例中,网络设备将接收到的报文与本地Socket进行匹配,并在匹配成功且Socket设置预设标识时,调用与所述预设标识对应的防护规则对所述报文进行安全防护,丢弃不满足防护规则的报文即攻击报文。因为本申请不需要根据报文所属的应用类型单独制定防护规则,因此,当新增应用类型时,网络设备不需要重新更新防护规则。因此,本申请能够解决现有技术通用性差的问题,更好地实现对攻击报文的防护。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (12)
1.一种报文攻击防护的方法,其特征在于,所述方法应用于网络设备上,所述方法包括:
根据接收到的报文匹配套接字Socket;
当接收到的报文匹配到本地任一Socket时,检查所述Socket是否设置了预设标识;
当所述Socket设置了所述预设标识时,调用与所述预设标识对应的防护规则对所述报文进行安全防护;所述防护规则包括若干防护子规则;其中,同一防护子规则包括多个同种防护特征,以及与所述防护子规则中的任一防护特征对应的处理动作;所述防护子规则中的任一防护特征对应的处理动作包括丢弃所述报文、正常处理所述报文、将所述报文的报文特征与下一个防护子规则的防护特征进行匹配。
2.根据权利要求1所述的方法,其特征在于,所述当所述Socket设置了所述预设标识时,调用与所述预设标识对应的防护规则对所述报文进行安全防护,包括:
当所述Socket设置了所述预设标识时,判断所述预设标识的取值是否为预设值,其中所述预设标识的取值为预设值时表示所述网络设备预先设置了与所述预设标识对应的防护规则;
当所述预设标识的取值为预设值时,则调用预先设置的与所述预设标识对应的防护规则对所述报文进行安全防护。
3.根据权利要求1所述的方法,其特征在于,
所述调用所述防护规则对所述报文进行安全防护包括:
提取所述报文的报文特征;
将所述报文的报文特征与所述若干防护子规则的防护特征进行匹配;
当所述报文的报文特征与任一防护子规则的防护特征匹配时,根据与所述防护特征对应的处理动作处理所述报文。
4.根据权利要求3所述的方法,其特征在于,所述防护子规则预设了对应的默认处理动作;
所述方法还包括:
当所述报文的报文特征与任一防护子规则的防护特征均不匹配时,根据与所述防护子规则对应的默认处理动作处理所述报文。
5.根据权利要求4所述的方法,其特征在于,所述防护特征包括源IP地址、目的IP地址、源端口、目的端口、源MAC地址、生存时间值TTL中的一个或者多个;
与所述防护子规则对应的默认处理动作包括:
丢弃所述报文、正常处理所述报文、将所述报文的报文特征与下一个防护子规则的防护特征进行匹配。
6.根据权利要求1所述的方法,其特征在于,所述预设标识为新增的Socket选项所设置。
7.一种报文攻击防护的装置,其特征在于,所述装置应用于网络设备上,所述装置包括:
匹配单元,用于根据接收到的报文匹配套接字Socket;
检查单元,用于当接收到的报文匹配到本地任一Socket时,检查所述Socket是否设置了预设标识;
防护单元,用于当所述Socket设置了所述预设标识时,调用与所述预设标识对应的防护规则对所述报文进行安全防护;所述防护规则包括若干防护子规则;其中,同一防护子规则包括多个同种防护特征,以及与所述防护子规则中的任一防护特征对应的处理动作;所述防护子规则中的任一防护特征对应的处理动作包括丢弃所述报文、正常处理所述报文、将所述报文的报文特征与下一个防护子规则的防护特征进行匹配。
8.根据权利要求7所述的装置,其特征在于,所述防护单元具体用于:
当所述Socket设置了所述预设标识时,判断所述预设标识的取值是否为预设值,其中所述预设标识的取值为预设值时表示所述网络设备预先设置了与所述预设标识对应的防护规则;当所述预设标识的取值为预设值时,则调用预先设置的与所述预设标识对应的防护规则对所述报文进行安全防护。
9.根据权利要求7所述的装置,其特征在于,
所述防护单元包括:
提取子单元,用于提取所述报文的报文特征;
匹配子单元,用于将所述报文的报文特征与所述若干防护子规则的防护特征进行匹配;
第一处理子单元,用于当所述报文的报文特征与任一防护子规则的防护特征匹配时,根据与所述防护特征对应的处理动作处理所述报文。
10.根据权利要求9所述的装置,其特征在于,所述防护子规则预设了对应的默认处理动作;
所述防护单元还包括:
第二处理子单元,用于当所述报文的报文特征与任一防护子规则的防护特征均不匹配时,根据与所述防护子规则对应的默认处理动作处理所述报文。
11.根据权利要求10所 述的装置,其特征在于,所述防护特征包括源IP地址、目的IP地址、源端口、目的端口、源MAC地址、生存时间值TTL中的一个或者多个;
与所述防护子规则对应的默认处理动作包括:
丢弃所述报文、正常处理所述报文、将所述报文的报文特征与下一个防护子规则的防护特征进行匹配。
12.根据权利要求7所述的装置,其特征在于,所述预设标识为新增的Socket选项所设置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510898264.8A CN105939322B (zh) | 2015-12-08 | 2015-12-08 | 报文攻击防护的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510898264.8A CN105939322B (zh) | 2015-12-08 | 2015-12-08 | 报文攻击防护的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105939322A CN105939322A (zh) | 2016-09-14 |
| CN105939322B true CN105939322B (zh) | 2019-12-06 |
Family
ID=57152819
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510898264.8A Active CN105939322B (zh) | 2015-12-08 | 2015-12-08 | 报文攻击防护的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105939322B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108023860B (zh) * | 2016-11-03 | 2021-01-26 | 中国电信股份有限公司 | Web应用的防护方法、系统以及Web应用防火墙 |
| CN106534100A (zh) * | 2016-11-07 | 2017-03-22 | 深圳市楠菲微电子有限公司 | 交换机芯片中基于自定义字段分布式攻击检测方法及装置 |
| CN106790241A (zh) * | 2017-01-18 | 2017-05-31 | 杭州迪普科技股份有限公司 | 一种报文的处理方法及装置 |
| CN110336834A (zh) * | 2019-07-31 | 2019-10-15 | 中国工商银行股份有限公司 | 用于防火墙策略的处理方法和装置 |
| CN112448912B (zh) * | 2019-08-27 | 2023-08-01 | 中兴通讯股份有限公司 | 一种防报文攻击方法、装置及存储介质 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6816455B2 (en) * | 2001-05-09 | 2004-11-09 | Telecom Italia S.P.A. | Dynamic packet filter utilizing session tracking |
| CN1282332C (zh) * | 2003-11-13 | 2006-10-25 | 中兴通讯股份有限公司 | 一种快速数据包过滤方法 |
| US20080101222A1 (en) * | 2006-10-30 | 2008-05-01 | David Alan Christenson | Lightweight, Time/Space Efficient Packet Filtering |
| CN101771672A (zh) * | 2008-12-31 | 2010-07-07 | 深圳易拓科技有限公司 | 网络过滤方法及其网络过滤系统 |
| CN101702723A (zh) * | 2009-10-30 | 2010-05-05 | 曙光信息产业(北京)有限公司 | Ip报文的过滤方法和装置 |
| CN104717101B (zh) * | 2013-12-13 | 2018-09-14 | 中国电信股份有限公司 | 深度包检测方法和系统 |
-
2015
- 2015-12-08 CN CN201510898264.8A patent/CN105939322B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN105939322A (zh) | 2016-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105939322B (zh) | 报文攻击防护的方法及装置 | |
| US11057404B2 (en) | Method and apparatus for defending against DNS attack, and storage medium | |
| CN108551446B (zh) | 防攻击的syn报文处理方法、装置、防火墙及存储介质 | |
| US10616200B2 (en) | Methods, systems, and computer readable media for mobility management entity (MME) authentication for outbound roaming subscribers using diameter edge agent (DEA) | |
| EP3076612A1 (en) | Packet processing method, node and system | |
| CN109587167B (zh) | 一种报文处理的方法和装置 | |
| EP2136526A1 (en) | Method, device for identifying service flows and method, system for protecting against a denial of service attack | |
| US8645537B2 (en) | Deep packet scan hacker identification | |
| US10419378B2 (en) | Net-based email filtering | |
| CN110198293B (zh) | 服务器的攻击防护方法、装置、存储介质和电子装置 | |
| CN110519265B (zh) | 一种防御攻击的方法及装置 | |
| KR20120112710A (ko) | Smpp 프로토콜을 사용한 sms 스푸핑을 관리하는 방법 | |
| US8285269B2 (en) | Statistical spam message detection | |
| WO2016177131A1 (zh) | 防止dos攻击方法、装置和系统 | |
| CN110278152B (zh) | 一种建立快速转发表的方法及装置 | |
| CN106657126A (zh) | 检测及防御DDoS攻击的装置及方法 | |
| CN107690004B (zh) | 地址解析协议报文的处理方法及装置 | |
| KR20040109985A (ko) | Dhcp 패킷을 이용한 동적 ip 주소할당 환경에서의arp/ip 스푸핑 자동 방지 방법 | |
| WO2019096104A1 (zh) | 攻击防范 | |
| CN110198290B (zh) | 一种信息处理方法、设备、装置及存储介质 | |
| CN110995586B (zh) | 一种bgp报文的处理方法、装置、电子设备及存储介质 | |
| CN112751801B (zh) | 一种基于ip白名单的拒绝服务攻击过滤方法、装置及设备 | |
| CN113595957B (zh) | 一种网络防御方法及安全检测设备 | |
| CN110120956B (zh) | 基于虚拟防火墙的报文处理方法和装置 | |
| CN106209784A (zh) | 一种数据过滤方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |