CN106453373A - 一种高效的SYN Flood攻击识别及处置方法 - Google Patents
一种高效的SYN Flood攻击识别及处置方法 Download PDFInfo
- Publication number
- CN106453373A CN106453373A CN201610959361.8A CN201610959361A CN106453373A CN 106453373 A CN106453373 A CN 106453373A CN 201610959361 A CN201610959361 A CN 201610959361A CN 106453373 A CN106453373 A CN 106453373A
- Authority
- CN
- China
- Prior art keywords
- source address
- syn
- syn packet
- connection request
- white
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种高效的SYN Flood攻击识别及处置方法。本方法为:1)在服务器端设置一用于保存待分类IP名单的New表、一用于保存IP白名单的White表和一用于保存IP黑名单的Black表;2)服务端丢弃每个连接请求上的第一个SYN数据包,并将该SYN数据包的源地址记录到该New表中;3)服务器端对收到的每一连接请求的SYN数据包,获取该SYN数据包的源地址;如果该源地址位于该New表中,则将该源地址转入到该White表中,如果该源地址位于该Black表中,则直接丢弃该SYN数据包。本发明的识别率高达98%,可以将攻击影响降到最低。
Description
技术领域
本发明涉及一种高效的SYN Flood攻击识别及处置方法,属于网络技术领域。
背景技术
SYN Flood是目前非常流行的DDoS攻击方式,这是一种利用TCP协议缺陷,伪造大量的TCP连接请求,从而使得被攻击方资源耗尽(CPU耗尽、内存不足、带宽被打满等)的攻击方式。
TCP是Transmission Control Protocol的简写,中文译作传输控制协议。TCP是面向连接的通信协议,提供的是一种稳定、可靠的数据流服务。
TCP要通过“三次握手”建立连接:
第一次握手:客户端发送SYN包(syn=j)到服务端,并进入SYN_SEND状态
第二次握手:服务端收到客户端发送的SYN包后,返回SYN+ACK包(syn=k,ack=j+1)给客户端,并进入SYN_RECV状态
第三次握手:客户端收到服务端的SYN+ACK包后,向服务端发送ACK(ack=k+1)包;客户端和服务端进入ESTABLISHED状态,完成三次握手
问题就是出在这“三次握手”过程中:假如一个用户向服务端发送了SYN报文后突然死机或掉线,那么服务端发出的SYN+ACK报文无法收到客户端的ACK报文,这时服务端一般会进行重试发送SYN+ACK报文并等待一段时间后丢弃这个未完成的连接,这段时间为SYNTimeout,但这期间服务端会维护一个半连接表。SYN Foold攻击时会有海量的伪造IP向服务端发送SYN包,这时服务端会维护一个庞大的半连接表,造成服务端端资源耗尽,无法响应正常的请求。
发明内容
针对现有技术中存在的技术问题,本发明的目的在于提供一种高效的SYN Flood攻击识别及处置方法。
正常的TCP连接建立时,客户端发送SYN数据包给服务端后,如果一定时间内没有收到服务端返回的SYN+ACK包时会认为数据包丢失,客户端就会重新发送。这个特性非常适合识别目前通过伪造源IP进行SYN Flood的攻击,因为伪造的源地址根本不会进行超时重传。
本发明的技术方案为:
一种高效的SYN Flood攻击识别及处置方法,其步骤为:
1)在服务器端设置一用于保存待分类IP名单的New表、一用于保存IP白名单的White表和一用于保存IP黑名单的Black表;
2)服务器端丢弃每个连接请求上的第一个SYN数据包,并将该SYN数据包的源地址记录到该New表中;
3)服务器端对收到的每一连接请求的SYN数据包,获取该SYN数据包的源地址;如果该源地址位于该New表中,则将该源地址转入到该White表中,如果该源地址位于该Black表中,则直接丢弃该SYN数据包。
进一步的,该New中的每个源地址设置一存活时间;当该New表中一源地址超过该存活时间后,服务器端自动删除该源地址并将其记录到该Black表中。
进一步的,步骤2)中,服务器端根据New表、White表和Black表判断每个连接请求的SYN数据包是否为该连接请求的第一个SYN数据包;即,如果该连接请求的SYN数据包的源地址均不存在于New表、White表和Black表中,则判断该连接请求的SYN数据包是该连接请求的第一个SYN数据包;然后服务器端丢弃该SYN数据包并将该SYN数据包的源地址记录到该New表中。
进一步的,步骤3)中,如果该源地址位于该New表中,则将该源地址转入到该White表中并建立服务器端与该源地址之间的连接。
进一步的,所述存活时间小于或等于20秒。
进一步的,所述连接请求为TCP连接请求。与现有技术相比,本发明的积极效果为:
本发明通过TCP的超时重传机制识别SYN Flood攻击,服务端针对伪造源IP的SYNFlood攻击准确识别率高达98%,可以将攻击影响降到最低。
附图说明
图1为本发明方法的流程图。
具体实施方式
下面结合附图,对优选实施例作详细说明。应该强调的是下述说明仅仅是示例性的,而不是为了限制本发明的范围及其应用。
此发明的原理图如下:
服务端故意丢弃每个连接请求上的第一个SYN数据包,后续的SYN只有遵守TCP超时重传机制才能通过。
对所有请求的源地址进行分类并记录,源地址共分为3类
●New:待分类IP名单。如果源地址已在此表则代表是TCP重传数据包,请求通过并将源地址移动到Whiter表。
●White:IP白名单。如果源地址在此表则请求直接通过。
●Black:IP黑名单。如果源地址在此表则请求直接丢弃。
如果Client的IP不在上面的3个表中则将数据包直接丢弃,同时将Client IP记录到New表;New中的每个IP存活时间20秒(记录到此表的IP 20秒后将会被自动删除同时将IP记录到Black表)。
另外从实际获取到的DDoS攻击数据来看,暂时没发生过伪造固定IP攻击的情况(很容易通过构造一个计数器等方式进行识别)
实施例1
1、客户端向服务器发起TCP连接建立请求。
2、服务器端丢弃该连接请求的第一个SYN数据包并将该SYN数据包中的客户端IP记录到New表。
3、达到超时重传时间后,客户端没有收到服务器端的响应,会再次发送连接请求。
4、服务器端发现该连接请求的客户端IP在New表,请求通过,同时将客户端IP从New表移到White表。
实施例2
1、恶意客户端通过伪造的随机源IP向服务器发起TCP连接建立请求。
2、服务器端丢弃该连接请求的第一个SYN数据包并将该SYN数据包的客户端IP记录到New表。
3、20秒后,服务器端发现没有同一IP的再次连接请求,服务器端会将伪造的源IP从New表移到Black表。
4、恶意客户端伪造随机源IP如果超时20秒后重复,请求会被服务器端直接丢弃。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (6)
1.一种高效的SYN Flood攻击识别及处置方法,其步骤为:
1)在服务器端设置一用于保存待分类IP名单的New表、一用于保存IP白名单的White表和一用于保存IP黑名单的Black表;
2)服务器端丢弃每个连接请求上的第一个SYN数据包,并将该SYN数据包的源地址记录到该New表中;
3)服务器端对收到的每一连接请求的SYN数据包,获取该SYN数据包的源地址;如果该源地址位于该New表中,则将该源地址转入到该White表中,如果该源地址位于该Black表中,则直接丢弃该SYN数据包。
2.如权利要求1所述的方法,其特征在于,该New中的每个源地址设置一存活时间;当该New表中一源地址超过该存活时间后,服务器端自动删除该源地址并将其记录到该Black表中。
3.如权利要求1或2所述的方法,其特征在于,步骤2)中,服务器端根据New表、White表和Black表判断每个连接请求的SYN数据包是否为该连接请求的第一个SYN数据包;即,如果该连接请求的SYN数据包的源地址均不存在于New表、White表和Black表中,则判断该连接请求的SYN数据包是该连接请求的第一个SYN数据包;然后服务器端丢弃该SYN数据包并将该SYN数据包的源地址记录到该New表中。
4.如权利要求1或2所述的方法,其特征在于,步骤3)中,如果该源地址位于该New表中,则将该源地址转入到该White表中并建立服务器端与该源地址之间的连接。
5.如权利要求2所述的方法,其特征在于,所述存活时间小于或等于20秒。
6.如权利要求1所述的方法,其特征在于,所述连接请求为TCP连接请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610959361.8A CN106453373A (zh) | 2016-11-03 | 2016-11-03 | 一种高效的SYN Flood攻击识别及处置方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610959361.8A CN106453373A (zh) | 2016-11-03 | 2016-11-03 | 一种高效的SYN Flood攻击识别及处置方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106453373A true CN106453373A (zh) | 2017-02-22 |
Family
ID=58179524
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610959361.8A Pending CN106453373A (zh) | 2016-11-03 | 2016-11-03 | 一种高效的SYN Flood攻击识别及处置方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106453373A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107395632A (zh) * | 2017-08-25 | 2017-11-24 | 北京神州绿盟信息安全科技股份有限公司 | SYN Flood防护方法、装置、清洗设备及介质 |
| CN107864156A (zh) * | 2017-12-18 | 2018-03-30 | 东软集团股份有限公司 | Syn攻击防御方法和装置、存储介质 |
| CN109246057A (zh) * | 2017-07-10 | 2019-01-18 | 东软集团股份有限公司 | 报文转发方法、装置、转发系统、存储介质及电子设备 |
| CN109743280A (zh) * | 2018-11-16 | 2019-05-10 | 江苏骏安信息测评认证有限公司 | 一种针对分布式synflood攻击可以快速防护的方法 |
| CN109922144A (zh) * | 2019-02-28 | 2019-06-21 | 北京百度网讯科技有限公司 | 用于处理数据的方法和装置 |
| CN114844720A (zh) * | 2022-06-06 | 2022-08-02 | 湖南五凌电力科技有限公司 | 一种物联数据加密传输方法、系统、服务端及客户端 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599957A (zh) * | 2009-06-04 | 2009-12-09 | 东软集团股份有限公司 | 一种syn洪水攻击的防御方法和装置 |
| CN105827646A (zh) * | 2016-05-17 | 2016-08-03 | 浙江宇视科技有限公司 | Syn攻击防护的方法及装置 |
-
2016
- 2016-11-03 CN CN201610959361.8A patent/CN106453373A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599957A (zh) * | 2009-06-04 | 2009-12-09 | 东软集团股份有限公司 | 一种syn洪水攻击的防御方法和装置 |
| CN105827646A (zh) * | 2016-05-17 | 2016-08-03 | 浙江宇视科技有限公司 | Syn攻击防护的方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 佚名: "深入浅出DDoS攻击防御应对篇:DDoS防御方案", 《HTTP://NETSECURITY.51CTO.COM/ART/201211/368930.HTM》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109246057A (zh) * | 2017-07-10 | 2019-01-18 | 东软集团股份有限公司 | 报文转发方法、装置、转发系统、存储介质及电子设备 |
| CN109246057B (zh) * | 2017-07-10 | 2021-01-08 | 东软集团股份有限公司 | 报文转发方法、装置、转发系统、存储介质及电子设备 |
| CN107395632A (zh) * | 2017-08-25 | 2017-11-24 | 北京神州绿盟信息安全科技股份有限公司 | SYN Flood防护方法、装置、清洗设备及介质 |
| CN107864156A (zh) * | 2017-12-18 | 2018-03-30 | 东软集团股份有限公司 | Syn攻击防御方法和装置、存储介质 |
| CN107864156B (zh) * | 2017-12-18 | 2020-06-23 | 东软集团股份有限公司 | Syn攻击防御方法和装置、存储介质 |
| CN109743280A (zh) * | 2018-11-16 | 2019-05-10 | 江苏骏安信息测评认证有限公司 | 一种针对分布式synflood攻击可以快速防护的方法 |
| CN109922144A (zh) * | 2019-02-28 | 2019-06-21 | 北京百度网讯科技有限公司 | 用于处理数据的方法和装置 |
| CN109922144B (zh) * | 2019-02-28 | 2022-09-16 | 北京百度网讯科技有限公司 | 用于处理数据的方法和装置 |
| CN114844720A (zh) * | 2022-06-06 | 2022-08-02 | 湖南五凌电力科技有限公司 | 一种物联数据加密传输方法、系统、服务端及客户端 |
| CN114844720B (zh) * | 2022-06-06 | 2023-06-02 | 湖南五凌电力科技有限公司 | 一种物联数据加密传输方法、系统、服务端及客户端 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106453373A (zh) | 一种高效的SYN Flood攻击识别及处置方法 | |
| CN105827646B (zh) | Syn攻击防护的方法及装置 | |
| US7391725B2 (en) | System and method for defeating SYN attacks | |
| AU2004217318B2 (en) | Using TCP to authenticate IP source addresses | |
| EP1622334B1 (en) | Server device, method for controlling a server device, and method for establishing a connection using the server device | |
| CN106330414B (zh) | 一种报文传输方法及装置 | |
| US20060221946A1 (en) | Connection establishment on a tcp offload engine | |
| CN110266678B (zh) | 安全攻击检测方法、装置、计算机设备及存储介质 | |
| CN105516080A (zh) | Tcp连接的处理方法、装置及系统 | |
| JP2004507978A (ja) | ネットワークノードに対するサービス拒絶アタックに対抗するシステム及び方法 | |
| CN107547321B (zh) | 报文处理方法、装置、相关电子设备及可读存储介质 | |
| CN102014110A (zh) | 认证通信流量的方法、通信系统和防护装置 | |
| CN106685930A (zh) | 一种传输控制协议选项的处理方法及装置 | |
| KR20100084118A (ko) | 물리적 전송 매체의 인터럽션 경우에 있어서 tcp 데이터 전송 프로세스를 향상시키는 방법 | |
| CN101159683A (zh) | 对数据流量进行控制的方法及装置 | |
| CN110071939B (zh) | 针对传统ddos防火墙syn flood防护在工业网络中的改进方法 | |
| WO2016197498A1 (zh) | 一种防止网络攻击的方法及设备、存储介质 | |
| Rana et al. | A Study and Detection of TCP SYN Flood Attacks with IP spoofing and its Mitigations | |
| JP4384676B2 (ja) | データ通信装置の制御方法 | |
| US11252184B2 (en) | Anti-attack data transmission method and device | |
| CN105791239B (zh) | 一种tcp中间人处理方法 | |
| JP2006101339A (ja) | データ通信装置 | |
| CN106131036B (zh) | Cc攻击的处理方法、装置及终端 | |
| KR20130022089A (ko) | 서비스 거부 공격에 대한 tcp연결 해제 방법 및 장치 | |
| EP1545089B1 (en) | Connection management system and method for transport offload engine |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170222 |
|
| RJ01 | Rejection of invention patent application after publication |