CN107241297B - 通信拦截方法及装置、服务器 - Google Patents
通信拦截方法及装置、服务器 Download PDFInfo
- Publication number
- CN107241297B CN107241297B CN201610184602.6A CN201610184602A CN107241297B CN 107241297 B CN107241297 B CN 107241297B CN 201610184602 A CN201610184602 A CN 201610184602A CN 107241297 B CN107241297 B CN 107241297B
- Authority
- CN
- China
- Prior art keywords
- server
- message
- data message
- address
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种通信拦截方法及装置、服务器,该方法包括:确定网络流量的数据报文是否为发送至预设主控服务器的数据报文;当所述网络流量的数据报文为发送至预设主控服务器的数据报文时,确定所述数据报文的源IP地址,构造与所述数据报文相应的响应报文;将所述响应报文发送至所述云机房中的IP地址为所述源IP地址的云服务器。在本申请的技术方案可以快速地阻断傀儡机到预设主控服务器的通信,实现从源头避免傀儡机对服务器的攻击。
Description
技术领域
本申请涉及网络技术领域,尤其涉及一种通信拦截方法及装置、服务器。
背景技术
当云内服务器被入侵成为傀儡机后,攻击者通过主控服务器(Command &ControlServer,简称为C&C服务器)发送指令到傀儡机上,由傀儡机对被攻击服务器发起大量请求,以进行分布式拒绝服务(Distributed Denial of Service,简称为DDoS)攻击。当攻击者使用具有一定规模的僵尸网络进行DDoS攻击时,可导致被攻击服务器瘫痪。
发明内容
有鉴于此,本申请提供一种新的技术方案,可以有效地拦截傀儡机到主控服务器的通信。
为实现上述目的,本申请提供技术方案如下:
根据本申请的第一方面,提出了一种通信拦截方法,包括:
确定网络流量的数据报文是否为发送至预设主控服务器的数据报文;
当所述网络流量的数据报文为发送至预设主控服务器的数据报文时,确定所述网络流量的数据报文的源IP地址,构造与所述网络流量的数据报文相应的响应报文;
将所述响应报文发送IP地址为所述源IP地址的云服务器。
根据本申请的第二方面,提出了一种通信拦截装置,应用于服务器上,包括:
第一确定模块,用于确定网络流量的数据报文是否为发送至预设主控服务器的数据报文;
报文构造模块,用于当所述第一确定模块确定所述网络流量的数据报文为发送至预设主控服务器的数据报文时,确定所述网络流量的数据报文的源IP地址,构造与所述数据报文相应的响应报文;
第一发送模块,用于将所述报文构造模块构造的所述响应报文发送至IP地址为所述源IP地址的云服务器。
根据本申请的第三方面,提出了一种服务器,所述服务器包括:
处理器;用于存储所述处理器可执行指令的存储器;网络接口;
其中,所述处理器,用于确定网络流量的数据报文是否为发送至预设主控服务器的数据报文;当所述网络流量的数据报文为发送至预设主控服务器的数据报文时,确定所述网络流量的数据报文的源IP地址,构造与所述网络流量的数据报文相应的响应报文;
所述网络接口,用于将所述响应报文发送至IP地址为所述源IP地址的服务器。
由以上技术方案可见,本申请当检测到傀儡机向预设主控服务器发送数据报文时,通过构造与网络流量的数据报文相应的响应报文,将响应报文发送至IP地址为源IP地址的服务器,从而可以快速地阻断傀儡机到预设主控服务器的通信,实现了从源头避免傀儡机对服务器的攻击。
附图说明
图1示出了根据本发明的示例性实施例适用的网络架构图;
图2示出了根据本发明示例性实施例一的通信拦截方法的流程示意图;
图3示出了根据本发明示例性实施例二的通信拦截方法的流程示意图;
图4示出了根据本发明示例性实施例三的通信拦截方法的流程示意图;
图5示出了根据本发明示例性实施例四的通信拦截方法的流程示意图;
图6示出了根据本发明的一示例性实施例的服务器的结构图;
图7示出了根据本发明的示例性实施例一的通信拦截装置的结构图;
图8示出了根据本发明的示例性实施例二的通信拦截装置的结构图;
图9示出了根据本发明的示例性实施例三的通信拦截装置的结构图;
图10示出了根据本发明的示例性实施例四的通信拦截装置的结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
图1示出了根据本发明的示例性实施例适用的网络架构图;如图1所示,云服务提供商的云机房10中包括:服务器11、服务器12、…、服务器1N,其中,N表示该云机房10中包含的服务器的数量。服务器21可以通过分光器、分流器等方式获取到云机房10流出的流量的镜像流量,服务器21通过下述图2-图4任意所示实施例检测到流经主控服务器22的镜像流量的数据报文进行分析并做出响应,从而拦截云机房10中属于傀儡机的服务器(例如,服务器11)到主控服务器22的通信,避免服务器11被用于大规模攻击,实现了从源头避免傀儡机(例如服务器11)对云机房10内的其它服务器的攻击,确保了云机房10内网络环境的纯净度。
为对本申请进行进一步说明,提供下列实施例:
图2示出了根据本发明示例性实施例一的通信拦截方法的流程示意图;本实施例可以在图1所示的服务器21上实现,本实施例结合图1进行示例性说明,如图2所示,包括如下步骤:
步骤201,确定网络流量的数据报文是否为发送至预设主控服务器的数据报文,当网络流量的数据报文为发送至预设主控服务器的数据报文时,执行步骤202,当网络流量的数据报文不为发送至预设主控服务器的数据报文时,继续监测网络流量。
步骤202,当网络流量的数据报文为发送至预设主控服务器的数据报文时,确定网络流量的数据报文的源IP地址,构造与网络流量的数据报文相应的响应报文。
步骤203,将响应报文发送至IP地址为源IP地址的服务器。
上述步骤201中,在一实施例中,可以通过木马协议特征等方式找到预设主控服务器,并记录预设主控服务器的域名或者IP地址等信息,当确定网络流量的数据报文的目的IP地址为预设主控服务器的IP地址时,或者,当确定网络流量的数据报文所请求的域名为预设主控服务器的域名时,可以确定网络流量的数据报文为发送至预设主控服务器的数据报文。
上述步骤202和步骤203中,在一实施例中,与网络流量的数据报文相应的响应报文可以由数据报文的类型来确定。在一实施例中,当网络流量的数据报文为TCP SYN报文时,则响应报文为TCP RST响应报文,将TCP RST响应报文发送至IP地址为源IP地址的服务器,例如,源IP地址对应服务器11的IP地址,则将TCP RST响应报文发送至服务器11;在另一实施例中,当数据报文为DNS请求报文时,则响应报文为DNS响应报文,将DNS响应报文发送至IP地址为源IP地址的服务器,例如,源IP地址对应服务器11的IP地址,则将DNS响应报文发送至服务器11。
由上述描述可知,当服务器被入侵成为傀儡机后,通过构造与网络流量的数据报文相应的响应报文,将响应报文发送至IP地址为源IP地址的服务器,从而可以快速地阻断傀儡机到预设主控服务器的通信,实现了从源头避免傀儡机对服务器的攻击。
图3示出了根据本发明示例性实施例二的通信拦截方法的流程示意图;本实施例可以在图1所示的服务器21上实现,本实施例结合图1进行示例性说明,如图3所示,包括如下步骤:
步骤301,确定从云机房流出的网络流量的镜像流量的数据报文的目的IP地址是否在第一黑名单中,当镜像流量的数据报文的目的IP地址在第一黑名单中时,执行步骤302,当镜像流量的数据报文的目的IP地址不在第一黑名单中时,可以通过下述图4所示实施例的方法流程对数据报文携带的域名进行判断,本实施例先不详述,其中,第一黑名单用于记录指挥控制僵尸网络的主控服务器的IP地址。
步骤302,当镜像流量的数据报文的目的IP地址在第一黑名单中时,确定镜像流量的数据报文为发送至预设主控服务器的数据报文。
步骤303,当镜像流量的数据报文为发送至预设主控服务器的数据报文时,确定数据报文的源IP地址。
步骤304,确定镜像流量中的数据报文是否为TCP SYN报文,如果确定数据报文为TCP SYN报文,执行步骤305。
步骤305,如果确定数据报文为TCP SYN报文,构造与TCP SYN报文相应的TCP RST响应报文。
步骤306,将TCP RST响应报文发送至云机房中的IP地址为源IP地址的服务器。
在上述步骤301和步骤302中,可以通过木马协议特征等方式找到多台(例如,100台)预设主控服务器,并将该100台预设主控服务器的IP地址记录在第一黑名单中,例如,当云服务器11的数据报文的目的IP地址在第一黑名单中时,可以确定服务器11的数据报文为发送至预设主控服务器22的数据报文。
上述步骤303中,可以通过对数据报文进行解析得到数据报文的源IP地址,从而可以使服务器21能够获知发送数据报文的服务器为云机房10中的服务器11。
在上述步骤304中,可以通过数据报文的报文格式来确定镜像流量中的数据报文是否为TCP SYN报文。
在上述步骤305-步骤306中,例如,服务器11被入侵成为傀儡机,当服务器11向主控服务器22发送TCP SYN报文时,服务器21将TCP SYN报文拦截,并解析出TCP SYN(seq:x,ack:0)报文中的序号(seq)和确认号(ack),构造与TCP SYN报文相应的TCP RST报文:TCPRST(seq:y,ack:x+1),将TCP RST(seq:y,ack:x+1)发送至服务器11,服务器11在接收到TCPRST(seq:y,ack:x+1)时,会认为已与主控服务器22终止TCP通信连接,从而阻断云服务器11到主控服务器22的TCP通信。
本实施例中,当确定数据报文为TCP SYN报文,构造与TCP SYN报文相应的TCP RST报文时,将TCP RST报文发送至云机房中的IP地址为源IP地址的云服务器,因此可以阻断傀儡机到主控服务器的TCP通信,有效的拦截傀儡机到主控服务器的通信。
图4示出了根据本发明示例性实施例三的通信拦截方法的流程示意图;本实施例可以在图1所示的服务器21上实现,本实施例结合图1进行示例性说明,如图4所示,包括如下步骤:
步骤401,确定从云机房流出的网络流量的镜像流量的数据报文携带的域名是否在第二黑名单中,当镜像流量的数据报文携带的域名在第二黑名单中时,执行步骤402,当镜像流量的数据报文的目的IP地址不在第二黑名单中时,可以通过上述图3所示实施例的方法流程对数据报文的目的IP地址进行判断,本实施例不再详述,其中,第二黑名单用于记录指挥控制僵尸网络的主控服务器的域名。
步骤402,当镜像流量的数据报文携带的域名在第二黑名单中时,确定镜像流量的数据报文为发送至预设主控服务器的数据报文。
步骤403,当镜像流量的数据报文为发送至预设主控服务器的数据报文时,确定数据报文的源IP地址。
步骤404,确定镜像流量中的数据报文是否为DNS请求报文,如果确定数据报文为DNS请求报文,执行步骤405。
步骤405,如果确定数据报文为DNS请求报文,构造与DNS请求报文相应的DNS响应报文。
步骤406,将DNS响应报文发送至云机房中的IP地址为源IP地址的服务器。
在上述步骤401和步骤402中,可以通过木马协议特征等方式找到多台(例如,100台)预设主控服务器,并将该100台预设主控服务器的域名记录在第二黑名单中,例如,当服务器11的数据报文所请求的域名在第二黑名单中时,可以确定服务器11的数据报文为发送至预设主控服务器22的数据报文。
上述步骤403的描述可以参见上述步骤303的描述,在此不再详述。
在上述步骤404中,可以通过数据报文的报文格式来确定镜像流量中的数据报文是否为DNS请求报文。
在上述步骤405-步骤406中,例如,服务器11被入侵成为傀儡机,当服务器11向主控服务器22发送DNS请求报文时,服务器21将该DNS请求报文拦截,并解析出该DNS请求报文中的域名(例如,xxx.yyy.zzz),构造与DNS请求报文相应的DNS响应报文(其中,Name:xxx..yyy.zzz,Address:127.0.0.1)发送至服务器11,服务器11在接收到DNS响应报文时,按照本地环回地址127.0.0.1进行请求,从而阻断服务器11到主控服务器22的通信。
本实施例中,当确定数据报文为DNS请求报文,构造与DNS请求报文相应的DNS响应报文时,将DNS响应报文发送至云机房中的IP地址为源IP地址的云服务器,因此可以阻断傀儡机到主控服务器的TCP通信,有效的拦截傀儡机到主控服务器的通信。
图5示出了根据本发明示例性实施例四的通信拦截方法的流程示意图;本实施例可以在图1所示的服务器21上实现,本实施例结合图1进行示例性说明,如图5所示,包括如下步骤:
步骤501,确定云机房中全部云服务器中属于傀儡机的服务器。
步骤502,确定属于傀儡机的服务器对应的用户。
步骤503,向属于傀儡机的服务器的用户发送通知消息。
在一示例性场景中,如图1所示,以N=10000为例进行示例性说明,即,云机房10中有10000台服务器,服务器21可以统计发送镜像流量的数据报文的服务器的源IP地址,从而确定出10000台服务器中被攻击的服务器,例如,服务器11、服务器12、、…服务器110均向主控服务器22发送了数据报文,则可以确定服务器11、服务器12、…、服务器110已经受到主控服务器22的攻击,从而可以确定服务器11、服务器12、、…、服务器110已经为云机房10中的傀儡机。确定服务器11、服务器12、、…、服务器110各自对应的用户信息,将服务器11、服务器12、、…、服务器110受到攻击的情况通知给用户。
本实施例中,通过将属于傀儡机的服务器的IP地址通知给相应的服务器用户,可以提醒用户对服务器进行木马查杀、漏洞修复,实现从源头避免服务器成为攻击源。
对应于上述的通信拦截方法,本申请还提出了图6所示的根据本申请的一示例性实施例的服务器的结构图。请参考图6,在硬件层面,该服务器包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成通信拦截装置。当然,除了软件实现方式之外,本申请并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
其中,处理器,用于确定网络流量的数据报文是否为发送至预设主控服务器的数据报文;当网络流量的数据报文为发送至预设主控服务器的数据报文时,确定数据报文的源IP地址,构造与网络流量的数据报文相应的响应报文;
网络接口,用于将响应报文发送至IP地址为源IP地址的云服务器。
图7示出了根据本发明的示例性实施例一的通信拦截装置的结构图;如图7所示,该通信拦截装置可以包括:第一确定模块71、报文构造模块72、第一发送模块73。其中:
第一确定模块71,用于确定网络流量的数据报文是否为发送至预设主控服务器的数据报文;
报文构造模块72,用于当第一确定模块71确定网络流量的数据报文为发送至预设主控服务器的数据报文时,确定网络流量的数据报文的源IP地址,构造与网络流量的数据报文相应的响应报文;
第一发送模块73,用于将报文构造模块72构造的响应报文发送至IP地址为源IP地址的服务器。
图8示出了根据本发明的示例性实施例二的通信拦截装置的结构图;如图8所示,在上述图7所示实施例的基础上,第一确定模块71可包括:
第一确定单元711,用于确定网络流量的数据报文的目的IP地址是否在第一黑名单中,第一黑名单用于记录指挥控制僵尸网络的主控服务器的IP地址;
第二确定单元712,用于当第一确定单元711确定网络流量的数据报文的目的IP地址在第一黑名单中时,确定网络流量的数据报文为发送至预设主控服务器的数据报文。
在一实施例中,报文构造模块72可包括:
第五确定单元721,用于确定网络流量的数据报文是否为TCP SYN报文;
第一构造单元722,用于如果第五确定单元721确定网络流量的数据报文为TCPSYN报文,构造与TCP SYN报文相应的TCP RST响应报文。
图9示出了根据本发明的示例性实施例三的通信拦截装置的结构图;如图9所示,在上述图7或图8所示实施例的基础上,第一确定模块71可包括:
第三确定单元713,用于确定网络流量的镜像流量的数据报文携带的域名是否在第二黑名单中,第二黑名单用于记录指挥控制僵尸网络的主控服务器的域名;
第四确定单元714,用于当第三确定单元713确定网络流量的数据报文携带的域名在第二黑名单中时,确定网络流量的数据报文为发送至预设主控服务器的数据报文。
在一实施例中,报文构造模块72可包括:
第六确定单元723,用于确定网络流量的数据报文是否为DNS请求报文;
第二构造单元724,用于如果第六确定单元723确定网络流量的数据报文为DNS请求报文,构造与DNS请求报文相应的DNS响应报文。
图10示出了根据本发明的示例性实施例四的通信拦截装置的结构图;如图10所示,在上述图7-图9任意所示实施例的基础上,装置还可包括:
第二确定模块74,用于确定云机房中的全部服务器中属于傀儡机的服务器;
第三确定模块75,用于确定第二确定模块74确定的属于傀儡机的服务器对应的用户;
第二发送模块76,用于向第三确定模块75确定的属于傀儡机的服务器的用户发送通知消息。
上述实施例可见,本申请可以实时拦截傀儡机到主控服务器的通信,避免云服务器被用于大规模攻击,确保云机房内网络环境的纯净度。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (15)
1.一种通信拦截方法,其特征在于,所述方法包括:
确定网络流量的数据报文是否为发送至预设主控服务器的数据报文;所述预设主控服务器用于指挥控制僵尸网络;
当所述网络流量的数据报文为发送至预设主控服务器的数据报文时,确定所述网络流量的数据报文的源IP地址,构造与所述网络流量的数据报文相应的响应报文;
将所述响应报文发送至IP地址为所述源IP地址的服务器。
2.根据权利要求1所述的方法,其特征在于,所述确定网络流量的数据报文是否为发送至预设主控服务器的数据报文,包括:
确定网络流量的数据报文的目的IP地址是否在第一黑名单中,所述第一黑名单用于记录指挥控制僵尸网络的主控服务器的IP地址;
当所述网络流量的数据报文的目的IP地址在所述第一黑名单中时,确定所述网络流量的数据报文为发送至预设主控服务器的数据报文。
3.根据权利要求1所述的方法,其特征在于,所述确定网络流量的数据报文是否为发送至预设主控服务器的数据报文,包括:
确定网络流量的数据报文携带的域名是否在所述第二黑名单中,所述第二黑名单用于记录指挥控制僵尸网络的主控服务器的域名;
当所述网络流量的数据报文携带的域名在所述第二黑名单中时,确定所述网络流量的数据报文为发送至预设主控服务器的数据报文。
4.根据权利要求1所述的方法,其特征在于,所述构造与所述网络流量的数据报文相应的响应报文,包括:
确定所述网络流量的数据报文是否为TCP SYN报文;
如果确定所述网络流量的数据报文为TCP SYN报文,构造与所述TCP SYN报文相应的TCP RST响应报文。
5.根据权利要求1所述的方法,其特征在于,所述构造与所述网络流量的数据报文相应的响应报文,包括:
确定所述网络流量的数据报文是否为DNS请求报文;
如果确定所述网络流量的数据报文为DNS请求报文,构造与所述DNS请求报文相应的DNS响应报文。
6.根据权利要求1所述的方法,其特征在于,所述网络流量为从云机房流出的流量的镜像流量。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
确定所述云机房中的全部服务器中属于傀儡机的服务器;
确定所述属于傀儡机的服务器对应的用户;
向所述属于傀儡机的服务器的用户发送通知消息。
8.一种通信拦截装置,其特征在于,所述装置包括:
第一确定模块,用于确定网络流量的数据报文是否为发送至预设主控服务器的数据报文;所述预设主控服务器用于指挥控制僵尸网络;
报文构造模块,用于当所述第一确定模块确定所述网络流量的数据报文为发送至预设主控服务器的数据报文时,确定所述网络流量的数据报文的源IP地址,构造与所述网络流量的数据报文相应的响应报文;
第一发送模块,用于将所述报文构造模块构造的所述响应报文发送至IP地址为所述源IP地址的服务器。
9.根据权利要求8所述的装置,其特征在于,所述第一确定模块包括:
第一确定单元,用于确定网络流量的数据报文的目的IP地址是否在第一黑名单中,所述第一黑名单用于记录指挥控制僵尸网络的主控服务器的IP地址;
第二确定单元,用于当所述第一确定单元确定所述网络流量的数据报文的目的IP地址在所述第一黑名单中时,确定所述网络流量的数据报文为发送至预设主控服务器的数据报文。
10.根据权利要求8所述的装置,其特征在于,所述第一确定模块包括:
第三确定单元,用于确定网络流量的数据报文携带的域名是否在所述第二黑名单中,所述第二黑名单用于记录指挥控制僵尸网络的主控服务器的域名;
第四确定单元,用于当所述第三确定单元确定所述网络流量的数据报文携带的域名在所述第二黑名单中时,确定所述网络流量的数据报文为发送至预设主控服务器的数据报文。
11.根据权利要求8所述的装置,其特征在于,所述报文构造模块包括:
第五确定单元,用于确定所述网络流量的数据报文是否为TCP SYN报文;
第一构造单元,用于如果所述第五确定单元确定所述网络流量的数据报文为TCP SYN报文,构造与所述TCP SYN报文相应的TCP RST响应报文。
12.根据权利要求8所述的装置,其特征在于,所述报文构造模块包括:
第六确定单元,用于确定所述网络流量的数据报文是否为DNS请求报文;
第二构造单元,用于如果所述第六确定单元确定所述网络流量的数据报文为DNS请求报文,构造与所述DNS请求报文相应的DNS响应报文。
13.根据权利要求8所述的装置,其特征在于,所述网络流量为从云机房流出的流量的镜像流量。
14.根据权利要求13所述的装置,其特征在于,所述装置还包括:
第二确定模块,用于确定所述云机房中的全部服务器中属于傀儡机的服务器;
第三确定模块,用于确定所述第二确定模块确定的所述属于傀儡机的服务器对应的用户;
第二发送模块,用于向所述第三确定模块确定的所述属于傀儡机的服务器的用户发送通知消息。
15.一种服务器,其特征在于,所述服务器包括:
处理器;用于存储所述处理器可执行指令的存储器;网络接口;
其中,所述处理器,用于确定网络流量的数据报文是否为发送至预设主控服务器的数据报文;所述预设主控服务器用于指挥控制僵尸网络;当所述网络流量的数据报文为发送至预设主控服务器的数据报文时,确定所述网络流量的数据报文的源IP地址,构造与所述网络流量的数据报文相应的响应报文;
所述网络接口,用于将所述响应报文发送至IP地址为所述源IP地址的服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610184602.6A CN107241297B (zh) | 2016-03-28 | 2016-03-28 | 通信拦截方法及装置、服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610184602.6A CN107241297B (zh) | 2016-03-28 | 2016-03-28 | 通信拦截方法及装置、服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107241297A CN107241297A (zh) | 2017-10-10 |
| CN107241297B true CN107241297B (zh) | 2021-04-27 |
Family
ID=59983572
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610184602.6A Active CN107241297B (zh) | 2016-03-28 | 2016-03-28 | 通信拦截方法及装置、服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107241297B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110581836B (zh) * | 2018-06-11 | 2021-11-30 | 阿里巴巴集团控股有限公司 | 一种数据处理方法、装置及设备 |
| CN111654493B (zh) * | 2020-06-02 | 2022-04-12 | 浪潮云信息技术股份公司 | Openstack中拦截指定流量的方法、系统、存储介质及电子设备 |
| CN114978561B (zh) * | 2021-02-26 | 2023-11-07 | 中国科学院计算机网络信息中心 | 一种实时高速网络tcp协议旁路批量主机阻断方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102843391A (zh) * | 2011-06-21 | 2012-12-26 | 中兴通讯股份有限公司 | 一种信息发送方法及网关 |
| CN105187367A (zh) * | 2015-06-04 | 2015-12-23 | 何飚 | 基于大数据发现的僵尸木马病毒检测及管控方法 |
| CN105227515A (zh) * | 2014-05-28 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 网络入侵阻断方法、装置及系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4077351B2 (ja) * | 2003-03-28 | 2008-04-16 | 富士通株式会社 | 名前/アドレス変換装置 |
| US8553853B2 (en) * | 2006-12-08 | 2013-10-08 | Verizon Services Corp. | Systems and methods for using the advanced intelligent network to redirect data network traffic |
| CN103312689B (zh) * | 2013-04-08 | 2017-05-24 | 西安电子科技大学 | 一种计算机的网络隐身方法及基于该方法的网络隐身系统 |
| CN105357180B (zh) * | 2015-09-30 | 2019-06-07 | 华为技术有限公司 | 网络系统、攻击报文的拦截方法、装置和设备 |
-
2016
- 2016-03-28 CN CN201610184602.6A patent/CN107241297B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102843391A (zh) * | 2011-06-21 | 2012-12-26 | 中兴通讯股份有限公司 | 一种信息发送方法及网关 |
| WO2012174885A1 (zh) * | 2011-06-21 | 2012-12-27 | 中兴通讯股份有限公司 | 一种信息发送方法及网关 |
| CN105227515A (zh) * | 2014-05-28 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 网络入侵阻断方法、装置及系统 |
| CN105187367A (zh) * | 2015-06-04 | 2015-12-23 | 何飚 | 基于大数据发现的僵尸木马病毒检测及管控方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107241297A (zh) | 2017-10-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9491189B2 (en) | Revival and redirection of blocked connections for intention inspection in computer networks | |
| US10375110B2 (en) | Luring attackers towards deception servers | |
| EP3485613B1 (en) | Processing network traffic to defend against attacks | |
| US9621568B2 (en) | Systems and methods for distributed threat detection in a computer network | |
| US11038658B2 (en) | Deceiving attackers in endpoint systems | |
| RU2018132840A (ru) | Система и способы для дешифрования сетевого трафика в виртуализированной среде | |
| US10225105B2 (en) | Network address translation | |
| US10601777B2 (en) | Data inspection system and method | |
| CN106470136B (zh) | 平台测试方法以及平台测试系统 | |
| US10348687B2 (en) | Method and apparatus for using software defined networking and network function virtualization to secure residential networks | |
| EP2388954A1 (en) | DNS based error reporting | |
| CN107241297B (zh) | 通信拦截方法及装置、服务器 | |
| CN107690004B (zh) | 地址解析协议报文的处理方法及装置 | |
| US20200236189A1 (en) | System and method for providing redirections | |
| CN107306255A (zh) | 防御流量攻击方法、预设列表生成方法、装置及清洗设备 | |
| US8234503B2 (en) | Method and systems for computer security | |
| WO2013144713A1 (en) | Articles of manufacture, service provider computing methods, and computing service systems | |
| CN104811507A (zh) | 一种ip地址获取方法及装置 | |
| KR101522139B1 (ko) | DNS 서버 선별 차단 및 Proxy를 이용한 DNS 주소 변경 방법 | |
| US20180115563A1 (en) | Mitigation of Malicious Software in a Mobile Communications Network | |
| JP2019152912A (ja) | 不正通信対処システム及び方法 | |
| JP5876788B2 (ja) | 通信遮断装置、通信遮断方法、及びプログラム | |
| CN105939220A (zh) | 远程端口镜像的实现方法及装置 | |
| KR20160102348A (ko) | Tcp 핸드셰이크를 수행하기 위한 장치 및 방법 | |
| EP3989509A1 (en) | Method for realizing network dynamics, system, terminal device and storage medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |