CN107395550B - 一种网络攻击的防御方法及服务器 - Google Patents

一种网络攻击的防御方法及服务器 Download PDF

Info

Publication number
CN107395550B
CN107395550B CN201610324028.XA CN201610324028A CN107395550B CN 107395550 B CN107395550 B CN 107395550B CN 201610324028 A CN201610324028 A CN 201610324028A CN 107395550 B CN107395550 B CN 107395550B
Authority
CN
China
Prior art keywords
terminal
server
connection request
service connection
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610324028.XA
Other languages
English (en)
Other versions
CN107395550A (zh
Inventor
任杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201610324028.XA priority Critical patent/CN107395550B/zh
Publication of CN107395550A publication Critical patent/CN107395550A/zh
Application granted granted Critical
Publication of CN107395550B publication Critical patent/CN107395550B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例公开了一种网络攻击的防御方法,包括:接收终端发送的业务连接请求,所述业务连接请求用于指示服务器向所述终端发送下行数据;当根据业务连接请求确定所述终端为非法终端时,则向所述终端发送业务反馈请求,所述业务反馈请求用于指示所述终端向所述服务器发送上行数据。本发明实施例还提供一种服务器。本发明实施例用于使用逆向数据流量击溃非法终端,并且无需对非法终端进行多次的网络攻击检测,节省服务器的数据流量,保证服务器不会出现超载或者死机的情况。

Description

一种网络攻击的防御方法及服务器
技术领域
本发明涉及通信技术领域,尤其是一种网络攻击的防御方法以及服务器。
背景技术
随着互联网的发展,一些不法分子为了干扰正常的服务器运营进行恶意竞争,而发起网络攻击。其中,分布式拒绝服务(英文全称:Distributed Denial of Service,英文缩写:DDOS)攻击尤为突出。DDOS是借助于客户端和服务器(英文全称:Client/Server,英文缩写:C/S)技术,将多台计算机联合起来作为攻击平台,对一个或者多个目标发动DDOS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃账号将DDOS主控程序安装在一台计算机上,在一个设定的时间内主控程序将与大量代理程序通信,且代理程序已经被安装在网络上的多台计算机上,于是代理程序在收到指令时就发动攻击,利用C/S技术,主控程序能在几秒钟内激活成百上千的代理程序运行,从而造成服务器超载或者死机。
为了防御这类的网络攻击,现有的针对DDOS攻击的防御方法主要是,通过检测客户端的发数据包频率,甄别出该客户端是否为攻击者,如果发数据包频率过快,则将其加入黑名单进行防御。服务器在一段时间内将不再与黑名单中的客户端建立连接,当黑名单中的客户端恢复正常时,又可以继续与服务器进行通信。
然而,在上述防御DDOS攻击的过程中,服务器在一段屏蔽时间内不与黑名单中的客户端建立连接,这段屏蔽时过去后,如果该客户端再次发起攻击,则服务器还需要重新根据其发包频率再次决定是否加入黑名单,由此仍会使服务器受到攻击,并且可能造成服务器超载。
发明内容
本发明实施例提供了一种网络攻击的防御方法以及服务器,用于使用逆向数据流量击溃非法终端,并且无需对非法终端进行多次的网络攻击检测,节省服务器的数据流量,保证服务器不会出现超载或者死机的情况。
有鉴于此,本发明第一方面提供一种网络攻击的防御方法,包括:
接收终端发送的业务连接请求,所述业务连接请求用于指示服务器向所述终端发送下行数据;
当根据业务连接请求确定所述终端为非法终端时,则向所述终端发送业务反馈请求,所述业务反馈请求用于指示所述终端向所述服务器发送上行数据。
第二方面,本方面实施例还提供一种服务器,包括:
接收模块,用于接收终端发送的业务连接请求,所述业务连接请求用于指示服务器向所述终端发送下行数据;
发送模块,用于当根据所述接收模块接收的所述业务连接请求确定所述终端为非法终端时,则向所述终端发送业务反馈请求,所述业务反馈请求用于指示所述终端向所述服务器发送上行数据。
第三方面,本方面实施例还提供一种服务器,包括:存储器、收发器、处理器以及总线系统;
其中,所述存储器用于存储程序;
所述处理器用于执行所述存储器中的程序,具体如下步骤:
控制所述收发器接收终端发送的业务连接请求,所述业务连接请求用于指示服务器向所述终端发送下行数据;
当根据业务连接请求确定所述终端为非法终端时,则控制所述收发器向所述终端发送业务反馈请求,所述业务反馈请求用于指示所述终端向所述服务器发送上行数据。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明实施例中,提供了一种网络攻击的防御方法,具体为,服务器接收终端发送的业务连接请求,该业务连接请求用于指示服务器向终端发送下行数据,当服务器根据业务连接请求确定终端为非法终端时,则向终端发送业务反馈请求,业务反馈请求用于指示终端向服务器发送上行数据。采用上述方式防御网络攻击,服务器使用逆向数据流量击溃非法终端,并且无需对非法终端进行多次的网络攻击检测,节省服务器的数据流量,保证服务器不会出现超载或者死机的情况。
附图说明
图1为本发明实施例中网络攻击的防御方法一个实施例示意图;
图2为应用场景中服务器遭受网络攻击的一个示意图;
图3为应用场景中服务器防御网络攻击的一个示意图;
图4为本发明实施例中服务器一个实施例示意图;
图5为本发明实施例中服务器另一个实施例示意图;
图6为本发明实施例中服务器另一个实施例示意图;
图7为本发明实施例中服务器另一个实施例示意图;
图8为本发明实施例中服务器另一个实施例示意图;
图9为本发明实施例中服务器一个结构示意图。
具体实施方式
本发明实施例提供了一种网络攻击的防御方法以及服务器,用于使用逆向数据流量击溃非法终端,并且无需对非法终端进行多次的网络攻击检测,节省服务器的数据流量,保证服务器不会出现超载或者死机的情况。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应理解,本发明实施例主要应用于网络攻击中的DDOS攻击,而DDOS的攻击方式有很多种,其中,最基本的拒绝服务(英文全称:Denial of Service,英文缩写:DOS)攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。单一的DOS攻击一般是采用一对一方式的,当攻击目标中央处理器(英文全称:CentralProcessing Unit,英文缩写:CPU)速度低、内存小或者网络带宽小等等各项指标不高的性能,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,服务器对恶意攻击包的"消化能力"加强了不少,这使得DOS攻击的困难程度加大。这时候DDOS就应运而生了。DDoS就是利用更多的傀儡机(肉鸡)来发起进攻,以比从前更大的规模来进攻受害者。
目前,针对DDOS攻击,已经出现了一些防御机制,比如可以采用高性能的终端,当大量攻击发生的时候,在终端的接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的;或者通过升级主机服务器硬件来实现,在有网络带宽保证的前提下,尽量提升硬件配置;还可以通过尽量避免网络地址转换(英文全称:Network Address Translation,英文缩写:NAT)的使用来大大降低网络通信能力,从而减少DDOS攻击。
然而这些防御DDOS攻击的方式大部分都是采取被动防御的方式,并不能很好地打击攻击方,然而本发明实施例中将采用一种主动防御的方式来打击攻击方,使攻击方失去攻击能力。
请参阅图1,本发明实施例中网络攻击的防御方法一个实施例包括:
101、接收终端发送的业务连接请求,业务连接请求用于指示服务器向终端发送下行数据;
本实施例中,终端为了与服务器建立连接,可以先发送业务连接请求,该业务连接请求用于指示服务器向终端发送下行数据,然而,当服务器收到业务连接请求时,无需立即向终端发送下行数据,而是可以先判断发送业务连接请求的终端是否为合法的终端,如果是合法的终端,则确定向其发送业务连接请求对应的下行数据,下行数据的数据大小取决于业务连接请求指示的业务所需数据大小。
相反地,如果服务器检测出发送业务连接请求的终端是非法的终端,则继续进行步骤102。
此外,本步骤中的下行数据是指从服务器发送到用户侧的数据,而上行数据则是从用户侧发送至服务器的数据。
102、当根据业务连接请求确定终端为非法终端时,则向终端发送业务反馈请求,业务反馈请求用于指示终端向服务器发送上行数据。
本实施例中,当服务器根据业务连接请求确定终端是非法终端时,则服务器可以向终端发送业务反馈请求,终端在收到服务器发送的业务反馈请求后,向服务器发送上行数据。然而此时,服务器与终端之间并没有发送数据包,而是发送请求消息。
如果终端收到业务反馈请求,根据请求中所要求的数据量大小,向服务器反馈该数据量大小对应的数据包,如果是非法终端,一般租用的流量是不足以支持业务反馈请求要求的数据量,因此,非法终端会因为要发送过大的数据量,从而造成其超载或死机。
在实际应用中,存在一个较为普遍的互联网概念,即互联网用户申请的上行流量的费用一般远高于申请下行流量的费用,所以通常情况下,终端不会发送数据量过大的数据包。
本发明实施例中,提供了一种网络攻击的防御方法,具体为,服务器接收终端发送的业务连接请求,该业务连接请求用于指示服务器向终端发送下行数据,当服务器根据业务连接请求确定终端为非法终端时,则向终端发送业务反馈请求,业务反馈请求用于指示终端向服务器发送上行数据。采用上述方式防御网络攻击,服务器使用逆向数据流量击溃非法终端,并且无需对非法终端进行多次的网络攻击检测,节省服务器的数据流量,保证服务器不会出现超载或者死机的情况。
可选地,在上述图1对应的实施例基础上,本发明实施例提供的网络攻击的防御方法第一个可选实施例中,向终端发送业务反馈请求,可以包括:
根据业务连接请求,通过用户数据报协议UDP向终端发送业务反馈请求。
本实施例中,当服务器根据终端发送的业务连接请求,确定当前发送该请求的终端为非法终端时,可以通过用户数据报协议(英文全称:User Datagram Protocol,英文缩写:UDP)向终端发送业务反馈请求。
现有技术中,服务器与终端之间主要通过传输控制协议(英文全称:TransmissionControl Protocol,英文缩写:TCP)实现数据传输。在终端和服务器彼此交换数据前,先在双方之间建立一个TCP连接,之后才能传输数据。TCP提供超时重发,丢弃重复数据,检验数据,流量控制等功能,保证数据能从一端传到另一端。TCP是因特网中的传输层协议,使用三次握手协议建立连接。当主动方发出握手信号(英文全称:Synchronous,英文缩写:SYN)的连接请求后,等待对方回答SYN+确认字符(英文全称:Acknowledgement,英文缩写:ACK),并最终对对方的SYN执行ACK确认。这种建立连接的方法可以防止产生错误的连接,TCP使用的流量控制协议是可变大小的滑动窗口协议。但是,建立TCP的三次握手会占用服务器的较多内存。
由于,本发明方案是服务器通过UDP向终端发送业务反馈请求,而UDP是一个简单的面向数据报的运输层协议。与TCP不同的是,UDP不提供可靠性,它只是把应用程序传给IP层的数据报发送出去,但是并不能保证它们能到达目的地。由于UDP在传输数据报前不用在终端和服务器之间建立一个连接,且没有超时重发等机制,故而传输速度很快,同时也节省服务器的内存。
其次,本发明实施例中,介绍了服务器可以根据业务连接请求,确定发送业务连接请求的终端为非法终端时,则通过UDP向终端发送业务反馈请求。采用上述的方式,无需通过TCP向终端发送业务反馈请求,使得服务器与终端之间至始至终都不用建立连接,从而不会进行TCP的三次握手,不但节约了服务器在三次握手时使用的数据流量以及服务器的内存,而且还可以节省服务器与终端之间的通信时间,提升防御网络攻击的效率,从而增强方案的实用性。
可选地,在上述图1或图1对应的第一个实施例基础上,本发明实施例提供的网络攻击的防御方法第二个可选实施例中,向终端发送业务反馈请求之前,还可以包括:
根据业务连接请求判断终端是否满足预置的非法终端确认条件,若是,则确定终端为非法终端。
本实施例中,服务器向终端发送业务反馈请求之前,还可以根据业务连接请求,判断终端是否满足预置的非法终端确认条件,如果是,那么服务器确定终端为非法终端。
本发明实施例中,服务器向终端发送业务反馈请求之前,还可以根据业务连接请求,判断终端是否满足预置的非法终端确认条件,如果是,那么服务器确定终端为非法终端。服务器采用上述方式向非法终端发送业务反馈请求,一方面保证只对非法终端发起反攻击,而不会攻击到其他合法终端,提升方案的可行性,另一方面,服务器还可以节省发送业务反馈请求的数据流量,以使得服务器自身可以有更多的数据流量来反击非法终端。
可选地,在上述图1、图1对应的第一或第二个实施例基础上,本发明实施例提供的网络攻击的防御方法第三个可选实施例中,根据业务连接请求判断终端是否满足预置的非法终端确认条件,可以包括:
根据业务连接请求,确定服务器向终端发送下行数据的数据量;
判断下行数据的数据量是否大于预置数据量;
若下行数据的数据量大于预置数据量,则确定终端满足非法终端确认条件。
本实施例中,服务器根据业务连接请求判断终端是否满足预置的非法终端确认条件,可以通过如下介绍的方式来实现。
服务器接收业务连接请求,并解析该业务连接请求消息,然后得知终端需要多大数据量的数据包,通常情况下,终端可以请求小于预置数据量的的下行数据包,如果请求的数据包大于或者等于预置数据量时,服务器可以初步认为该终端就是非法终端。
本方案主要应用于对源IP对应的终端进行检测,由此抓出疑似恶意的源IP所对应的非法终端,只要将源IP对应的非法终端击溃,由其控制的其他傀儡机也将一并被击溃。当然,本方案也可以针对所有攻击平台内的终端进行检测,且分别打击每一个非法的终端,但是这样会消耗服务器的大量内存以及数据流量。
需要说明的是,预置数据量可以是10GB字节(英文全称:Gigabyte,英文缩写:GB)或者10TB字节(英文全称:Terabyte,英文缩写:TB),在实际应用中,还可以设置其他大小的预置数据量,此处不作限定。
可以理解的是,当业务连接请求指示服务器需要发送的下行数据的数据量等于预置数据量时,则可以认为发送业务连接请求的终端为非法设备,或者认为该终端是合法设备,具体的规则由人为指定,并以代码的形式输入至服务器,使服务器能够做出决策。
再次,本发明实施例中,服务器根据业务连接请求判断终端是否满足预置的非法终端确认条件,具体可以是服务器通过业务连接请求,确定服务器向终端发送下行数据的数据量,然后判断下行数据的数据量是否大于预置数据量,如果下行数据的数据量大于预置数据量,则确定终端满足非法终端确认条件。采用上述方式判断终端是否为非法设备,一方面可以保证服务器不会因为发送过大数据量的数据包而导致系统崩溃,从而出现超载或者死机,另一方面也能够帮助服务器迅速识别出非法终端,通过打击该非法终端来达到“消灭”整个攻击平台的效果。
可选地,在上述图1、图1对应的第一至第三个实施例中任意一个的基础上,本发明实施例提供的网络攻击的防御方法第四个可选实施例中,
终端向服务器发送上行数据的数据量大于或等于服务器向终端发送下行数据的数据量。
本实施例中,通常情况下,服务器为了可以彻底的打击非法终端对自身造成的攻击,可以提前将业务反馈请求要求的数据量增大到一个较大的值,即保证终端向服务器发送上行数据的数据量远大于或等于服务器向终端发送下行数据的数据量。
比如,终端向服务器发送的业务连接请求,要求服务器向该终端发送一个500G的下行数据包,这可能导致使服务器发生超载,于是服务器判断出该终端是非法终端,于是向非法终端发送业务反馈请求,要求其先反馈一个同等大小的数据包,即反馈一个500G的数据包,当然,服务器甚至可以要求非法终端发送更大数据量的数据包,例如1T或者10T大小的数据包。一旦非法终端根据业务反馈请求,发送数据量非常大的数据包时,则会因为自身有限的流量而致其卡死,或者超载导致死机等。
进一步地,本发明实施例中,限定了终端向服务器发送上行数据的数据量大于或等于服务器向终端发送下行数据的数据量。换言之,服务器通过,要求非法终端发送一个数据量非常大的上行数据包,甚至大于非法终端之前要求服务器发送的下行数据包的数据量,这样可以保证非法终端在收到业务反馈请求后,绝对无法做到发送这么大数据量的上行数据包,从而导致非法终端被击溃,更好地达到抵御网络攻击的效果,以此提升方案的实用性。
可选地,在上述图1、图1对应的第一至第四个实施例中的任一个基础上,本发明实施例提供的网络攻击的防御方法第五个可选实施例中,根据业务连接请求判断终端是否满足预置的非法终端确认条件,可以包括:
在预设时间内获取终端发送业务连接请求的次数;
判断终端发送业务连接请求的次数是否大于预置次数;
若终端发送业务连接请求的次数大于预置次数,则确定终端满足非法终端确认条件。
本实施例中,关于服务器根据业务连接请求判断终端是否满足预置的非法终端确认条件,这一步骤的具体实现方式除了上述图1对应的第三个可选实施例中介绍的方法以外,还将介绍另一种可行的方式,具体为:
服务器先从接收业务连接请求开始,需要在预设时间内计算出接收到业务连接请求的次数,通常情况下,合法的终端在一段预设时间内发送的是合理次数的业务连接请求,比如每隔10秒发送1次业务连接请求,但是如果终端在10秒内发送1000次业务连接请求,则服务器就可以初步认定该终端就是非法终端。
需要说明的是,预设时间可以是10秒或者15秒,还可以是其他的合理时间内,而预置次数则也可以根据实际情况进行设定,例如设定为100次或者1000次等,此处不作限定。
可以理解的是,当在预设时间内获取终端发送业务连接请求的次数刚好等于预置次数时,则可以认为发送业务连接请求的终端为非法设备,或者认为该终端是合法设备,具体的规则由人为指定,并以代码的形式输入至服务器,使服务器能够做出决策。
再次,本发明实施例中,服务器根据业务连接请求判断终端是否满足预置的非法终端确认条件,具体还可以是,服务器在预设时间内获取终端发送业务连接请求的次数,再判断终端发送业务连接请求的次数是否大于预置次数,如果终端发送业务连接请求的次数大于预置次数,则确定终端满足非法终端确认条件。采用上述方式判断终端是否为非法设备,一方面可以保证服务器不会因为发送过大数据量的数据包而导致系统崩溃,从而出现超载或者死机,另一方面也能够帮助服务器迅速识别出非法终端,通过打击该非法终端来达到“消灭”整个攻击平台的效果,于此同时,还为服务器判断终端是否满足预置的非法终端确认条件的方法提供了另一种可行方式,增强的方案的实用性。
为便于理解,下面以一个具体应用场景对本发明中一种网络攻击的防御方法进行详细描述,具体为:
甲公司雇佣某黑客欲攻击乙公司的服务器,希望造成乙公司的服务器在一段时间内瘫痪,从而无法正常提供业务的目的。
于是,甲公司雇佣的某黑客使用一个偷窃账号,将DDOS主控程序安装在一个主机中,在一个设定的时间内,主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多主机上,请参阅图2,图2为应用场景中服务器遭受网络攻击的一个示意图,其中,安装了DDOS主控程序的主机即为源主机I,而安装了代理程序的主机为主机A、主机B、主机C、主机D、主机E、主机F、主机G和主机H,当然图2中的主机数量仅为一个示意,在实际应用中可以有成千上万的主机被安装代理程序。源主机I与其他各个被安装代理程序的主机共同构成了攻击平台。一旦源主机I收到黑客发出的指令时,就会触发攻击,利用C/S技术,主控程序能在几秒钟内激活成百上千次的代理程序运行,并且不断地向乙公司的服务器请求数据包。
然而,乙公防御手段如图3所示,请参阅图3,图3为应用场景中服务器防御网络攻击的一个示意图,乙公司的服务器设定了源IP访问频次,根据一段时间内的访问次数,抓取疑似的恶意源IP。服务器发现源主机I在1秒内发送1000次业务连接请求,该业务连接请求要求服务器发送一个500兆的数据包,但是由于发送业务连接请求的次数远远超过了预设的1秒中发送50次的频限,于是确定源主机I就是非法主机。至此,服务器先不向源主机I发送500兆的数据包,而是向源主机I要求先返回一个500兆的数据包。
这时,源主机I就会因为租用的上行流量不够发送500兆的数据包,从而造成源主机I瘫痪,黑客的攻击计划失败。
下面对本发明中的服务器进行详细描述,请参阅图4,本发明实施例中的服务器20包括:
接收模块201,用于接收终端发送的业务连接请求,所述业务连接请求用于指示服务器向所述终端发送下行数据;
发送模块202,用于当根据所述接收模块201接收的所述业务连接请求确定所述终端为非法终端时,则向所述终端发送业务反馈请求,所述业务反馈请求用于指示所述终端向所述服务器发送上行数据。
本实施例中,接收模块201接收终端发送的业务连接请求,所述业务连接请求用于指示服务器向所述终端发送下行数据,当根据所述接收模块201接收的所述业务连接请求确定所述终端为非法终端时,则发送模块202向所述终端发送业务反馈请求,所述业务反馈请求用于指示所述终端向所述服务器发送上行数据。
本发明实施例中,提供了一种网络攻击的防御方法,具体为,服务器接收终端发送的业务连接请求,该业务连接请求用于指示服务器向终端发送下行数据,当服务器根据业务连接请求确定终端为非法终端时,则向终端发送业务反馈请求,业务反馈请求用于指示终端向服务器发送上行数据。采用上述方式防御网络攻击,服务器使用逆向数据流量击溃非法终端,并且无需对非法终端进行多次的网络攻击检测,节省服务器的数据流量,保证服务器不会出现超载或者死机的情况。
可选地,在上述图4所对应的实施例的基础上,请参阅图5,本发明实施例提供的服务器的另一实施例中,
所述发送模块202包括:
发送单元2021,用于根据所述业务连接请求,通过用户数据报协议UDP向所述终端发送业务反馈请求。
其次,本发明实施例中,介绍了服务器可以根据业务连接请求,确定发送业务连接请求的终端为非法终端时,则通过UDP向终端发送业务反馈请求。采用上述的方式,无需通过TCP向终端发送业务反馈请求,使得服务器与终端之间至始至终都不用建立连接,从而不会进行TCP的三次握手,不但节约了服务器在三次握手时使用的数据流量以及服务器的内存,而且还可以节省服务器与终端之间的通信时间,提升防御网络攻击的效率,从而增强方案的实用性。
可选地,在上述图4所对应的实施例的基础上,请参阅图6,本发明实施例提供的服务器的另一实施例中,
所述服务器20还包括:
判断模块203,用于所述发送模块向所述终端发送业务反馈请求之前,根据所述业务连接请求判断所述终端是否满足预置的非法终端确认条件,若是,则确定所述终端为所述非法终端。
其次,本发明实施例中,服务器向终端发送业务反馈请求之前,还可以根据业务连接请求,判断终端是否满足预置的非法终端确认条件,如果是,那么服务器确定终端为非法终端。服务器采用上述方式向非法终端发送业务反馈请求,一方面保证只对非法终端发起反攻击,而不会攻击到其他合法终端,提升方案的可行性,另一方面,服务器还可以节省发送业务反馈请求的数据流量,以使得服务器自身可以有更多的数据流量来反击非法终端。
可选地,在上述图6所对应的实施例的基础上,请参阅图7,本发明实施例提供的服务器的另一实施例中,
所述判断模块203包括:
第一确定单元2031,用于根据所述业务连接请求,确定所述服务器向所述终端发送下行数据的数据量;
第一判断单元2032,用于判断所述第一确定单元2031确定的所述下行数据的数据量是否大于预置数据量;
第二确定单元2033,用于若所述第一判断单元2032判断得到所述下行数据的数据量大于所述预置数据量,则确定所述终端满足所述非法终端确认条件。
再次,本发明实施例中,服务器根据业务连接请求判断终端是否满足预置的非法终端确认条件,具体可以是服务器通过业务连接请求,确定服务器向终端发送下行数据的数据量,然后判断下行数据的数据量是否大于预置数据量,如果下行数据的数据量大于预置数据量,则确定终端满足非法终端确认条件。采用上述方式判断终端是否为非法设备,一方面可以保证服务器不会因为发送过大数据量的数据包而导致系统崩溃,从而出现超载或者死机,另一方面也能够帮助服务器迅速识别出非法终端,通过打击该非法终端来达到“消灭”整个攻击平台的效果。
可选地,在上述图6所对应的实施例的基础上,本发明实施例提供的服务器的另一实施例中,
终端向服务器发送上行数据的数据量大于或等于服务器向终端发送下行数据的数据量。
进一步地,本发明实施例中,限定了终端向服务器发送上行数据的数据量大于或等于服务器向终端发送下行数据的数据量。换言之,服务器通过,要求非法终端发送一个数据量非常大的上行数据包,甚至大于非法终端之前要求服务器发送的下行数据包的数据量,这样可以保证非法终端在收到业务反馈请求后,绝对无法做到发送这么大数据量的上行数据包,从而导致非法终端被击溃,更好地达到抵御网络攻击的效果,以此提升方案的实用性。
可选地,在上述图6所对应的实施例的基础上,请参阅图8,本发明实施例提供的服务器的另一实施例中,
所述判断模块203包括:
获取单元2034,用于在预设时间内获取所述终端发送所述业务连接请求的次数;
第二判断单元2035,用于判断所述获取单元2034获取的所述终端发送所述业务连接请求的次数是否大于预置次数;
第三确定单元2036,用于若所述第二判断单元2035判断得到所述终端发送所述业务连接请求的次数大于所述预置次数,则确定所述终端满足所述非法终端确认条件。
再次,本发明实施例中,服务器根据业务连接请求判断终端是否满足预置的非法终端确认条件,具体还可以是,服务器在预设时间内获取终端发送业务连接请求的次数,再判断终端发送业务连接请求的次数是否大于预置次数,如果终端发送业务连接请求的次数大于预置次数,则确定终端满足非法终端确认条件。采用上述方式判断终端是否为非法设备,一方面可以保证服务器不会因为发送过大数据量的数据包而导致系统崩溃,从而出现超载或者死机,另一方面也能够帮助服务器迅速识别出非法终端,通过打击该非法终端来达到“消灭”整个攻击平台的效果,于此同时,还为服务器判断终端是否满足预置的非法终端确认条件的方法提供了另一种可行方式,增强的方案的实用性。
图9是本发明实施例提供的一种服务器结构示意图,该服务器300可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(英文全称:centralprocessing units,英文缩写:CPU)322(例如,一个或一个以上处理器)和存储器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储介质1730通信,在服务器300上执行存储介质330中的一系列指令操作。
服务器300还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
中央处理器322可用于,
控制所述输入输出接口358接收终端发送的业务连接请求,所述业务连接请求用于指示服务器向所述终端发送下行数据;
当根据业务连接请求确定所述终端为非法终端时,则控制所述输入输出接口358向所述终端发送业务反馈请求,所述业务反馈请求用于指示所述终端向所述服务器发送上行数据。
上述实施例中由服务器所执行的步骤可以基于该图1所示的服务器结构。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者终端等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文全称:Read-OnlyMemory,英文缩写:ROM)、随机存取存储器(英文全称:Random Access Memory,英文缩写:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种网络攻击的防御方法,其特征在于,包括:
接收终端发送的业务连接请求,所述业务连接请求用于指示服务器向所述终端发送下行数据;
根据所述业务连接请求判断所述终端是否满足预置的非法终端确认条件,若是,则确定所述终端为所述非法终端;
当根据所述业务连接请求确定所述终端为非法终端时,则向所述终端发送业务反馈请求,所述业务反馈请求用于指示所述终端向所述服务器发送上行数据,并要求所述终端向所述服务器发送上行数据的数据量大于或等于所述服务器向所述终端发送下行数据的数据量。
2.根据权利要求1所述的方法,其特征在于,所述向所述终端发送业务反馈请求,包括:
根据所述业务连接请求,通过用户数据报协议UDP向所述终端发送业务反馈请求。
3.根据权利要求1所述的方法,其特征在于,所述根据所述业务连接请求判断所述终端是否满足预置的非法终端确认条件,包括:
根据所述业务连接请求,确定所述服务器向所述终端发送下行数据的数据量;
判断所述下行数据的数据量是否大于预置数据量;
若所述下行数据的数据量大于所述预置数据量,则确定所述终端满足所述非法终端确认条件。
4.根据权利要求1所述的方法,其特征在于,所述根据所述业务连接请求判断所述终端是否满足预置的非法终端确认条件,包括:
在预设时间内获取所述终端发送所述业务连接请求的次数;
判断所述终端发送所述业务连接请求的次数是否大于预置次数;
若所述终端发送所述业务连接请求的次数大于所述预置次数,则确定所述终端满足所述非法终端确认条件。
5.一种服务器,其特征在于,包括:
接收模块,用于接收终端发送的业务连接请求,所述业务连接请求用于指示服务器向所述终端发送下行数据;
发送模块,用于当根据所述接收模块接收的所述业务连接请求确定所述终端为非法终端时,则向所述终端发送业务反馈请求,所述业务反馈请求用于指示所述终端向所述服务器发送上行数据,并要求所述终端向所述服务器发送上行数据的数据量大于或等于所述服务器向所述终端发送下行数据的数据量;
判断模块,用于所述发送模块向所述终端发送业务反馈请求之前,根据所述业务连接请求判断所述终端是否满足预置的非法终端确认条件,若是,则确定所述终端为所述非法终端。
6.根据权利要求5所述的服务器,其特征在于,所述发送模块包括:
发送单元,用于根据所述业务连接请求,通过用户数据报协议UDP向所述终端发送业务反馈请求。
7.根据权利要求5所述的服务器,其特征在于,所述判断模块包括:
第一确定单元,用于根据所述业务连接请求,确定所述服务器向所述终端发送下行数据的数据量;
第一判断单元,用于判断所述第一确定单元确定的所述下行数据的数据量是否大于预置数据量;
第二确定单元,用于若所述第一判断单元判断得到所述下行数据的数据量大于所述预置数据量,则确定所述终端满足所述非法终端确认条件。
8.根据权利要求5所述的服务器,其特征在于,所述判断模块包括:
获取单元,用于在预设时间内获取所述终端发送所述业务连接请求的次数;
第二判断单元,用于判断所述获取单元获取的所述终端发送所述业务连接请求的次数是否大于预置次数;
第三确定单元,用于若所述第二判断单元判断得到所述终端发送所述业务连接请求的次数大于所述预置次数,则确定所述终端满足所述非法终端确认条件。
9.一种服务器,其特征在于,包括:存储器、收发器、处理器以及总线系统;
其中,所述存储器用于存储程序;
所述处理器用于执行所述存储器中的程序,具体如下步骤:
控制所述收发器接收终端发送的业务连接请求,所述业务连接请求用于指示服务器向所述终端发送下行数据;
根据所述业务连接请求判断所述终端是否满足预置的非法终端确认条件,若是,则确定所述终端为所述非法终端;
当根据所述业务连接请求确定所述终端为非法终端时,则控制所述收发器向所述终端发送业务反馈请求,所述业务反馈请求用于指示所述终端向所述服务器发送上行数据,并要求所述终端向所述服务器发送上行数据的数据量大于或等于所述服务器向所述终端发送下行数据的数据量。
10.一种存储介质,其特征在于,所述存储介质中存储有指令,所述指令被执行时实现如权利要求1至4任一项所述的网络攻击的防御方法。
CN201610324028.XA 2016-05-16 2016-05-16 一种网络攻击的防御方法及服务器 Active CN107395550B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610324028.XA CN107395550B (zh) 2016-05-16 2016-05-16 一种网络攻击的防御方法及服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610324028.XA CN107395550B (zh) 2016-05-16 2016-05-16 一种网络攻击的防御方法及服务器

Publications (2)

Publication Number Publication Date
CN107395550A CN107395550A (zh) 2017-11-24
CN107395550B true CN107395550B (zh) 2020-03-03

Family

ID=60338179

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610324028.XA Active CN107395550B (zh) 2016-05-16 2016-05-16 一种网络攻击的防御方法及服务器

Country Status (1)

Country Link
CN (1) CN107395550B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110120963B (zh) * 2018-02-06 2022-08-12 斑马智行网络(香港)有限公司 一种数据处理方法、装置、设备和机器可读介质
CN109462586A (zh) * 2018-11-08 2019-03-12 北京知道创宇信息技术有限公司 流量监测方法、装置及执行服务器
CN111343176B (zh) * 2020-01-16 2022-05-27 郑州昂视信息科技有限公司 一种网络攻击的反制装置、方法、存储介质及计算机设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101340440A (zh) * 2008-08-11 2009-01-07 中兴通讯股份有限公司 一种防御网络攻击的方法及其装置
CN101557543A (zh) * 2008-04-10 2009-10-14 中兴通讯股份有限公司 一种实现设备间业务切换的系统及方法
CN105357146A (zh) * 2015-10-21 2016-02-24 北京交通大学 出口网关内缓存队列饱和攻击防御方法、装置及系统
CN105429936A (zh) * 2015-10-21 2016-03-23 北京交通大学 专网路由器内存储资源恶意占用抵御方法及装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101094472A (zh) * 2007-07-26 2007-12-26 北京立通无限科技有限公司 移动终端中软件参数的配置方法、移动终端及服务器
KR20130030086A (ko) * 2011-09-16 2013-03-26 한국전자통신연구원 비정상 세션 연결 종료 행위를 통한 분산 서비스 거부 공격 방어 방법 및 장치
KR101285769B1 (ko) * 2011-12-29 2013-07-19 주식회사 시큐아이 세션 개시 프로토콜의 invite 스푸핑 공격을 차단하기 위한 방법 및 장치
WO2015024168A1 (zh) * 2013-08-20 2015-02-26 华为技术有限公司 一种家庭网关服务功能的实现方法和服务器
CN105792265B (zh) * 2014-12-23 2019-04-26 中国电信股份有限公司 恶意流量检测方法和系统、监控平台
CN105743961A (zh) * 2014-12-30 2016-07-06 深圳中兴网信科技有限公司 一种扫描方法、终端及Web服务器
JP6604220B2 (ja) * 2016-02-02 2019-11-13 富士通株式会社 管理装置、管理システム、及びスケーリング方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101557543A (zh) * 2008-04-10 2009-10-14 中兴通讯股份有限公司 一种实现设备间业务切换的系统及方法
CN101340440A (zh) * 2008-08-11 2009-01-07 中兴通讯股份有限公司 一种防御网络攻击的方法及其装置
CN105357146A (zh) * 2015-10-21 2016-02-24 北京交通大学 出口网关内缓存队列饱和攻击防御方法、装置及系统
CN105429936A (zh) * 2015-10-21 2016-03-23 北京交通大学 专网路由器内存储资源恶意占用抵御方法及装置

Also Published As

Publication number Publication date
CN107395550A (zh) 2017-11-24

Similar Documents

Publication Publication Date Title
US10581907B2 (en) Systems and methods for network access control
CN105827646B (zh) Syn攻击防护的方法及装置
CN110198293B (zh) 服务器的攻击防护方法、装置、存储介质和电子装置
EP2739002B1 (en) Systems and methods for transparently monitoring network traffic for denial of service attacks
US8925068B2 (en) Method for preventing denial of service attacks using transmission control protocol state transition
US8856913B2 (en) Method and protection system for mitigating slow HTTP attacks using rate and time monitoring
US8661522B2 (en) Method and apparatus for probabilistic matching to authenticate hosts during distributed denial of service attack
CN110266678B (zh) 安全攻击检测方法、装置、计算机设备及存储介质
CN105516080A (zh) Tcp连接的处理方法、装置及系统
CN107395550B (zh) 一种网络攻击的防御方法及服务器
EP2922263B1 (en) Processing method for network address translation technology, nat device and bng device
US8973143B2 (en) Method and system for defeating denial of service attacks
CN103685315A (zh) 一种防御拒绝服务攻击的方法及系统
WO2019085923A1 (zh) 数据处理方法、装置及计算机
CN112039887A (zh) Cc攻击防御方法、装置、计算机设备和存储介质
CN109462586A (zh) 流量监测方法、装置及执行服务器
WO2015018200A1 (zh) 防火墙设备中检测引擎的升级方法及装置
CN114244610B (zh) 一种文件传输方法、装置,网络安全设备及存储介质
US11683327B2 (en) Demand management of sender of network traffic flow
US9537878B1 (en) Network adaptor configured for connection establishment offload
CN104348785B (zh) IPv6网中防止主机PMTU攻击的方法、装置与系统
US20060282508A1 (en) System and method of responding to a flood attack on a data processing system
CN111049754B (zh) 数据通信方法、装置、设备和计算机可读存储介质
CN114124489B (zh) 防止流量攻击的方法、清洗装置、设备和介质
Bellis et al. DNS Stateful Operations

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant