CN107547567A - 一种防攻击方法和装置 - Google Patents
一种防攻击方法和装置 Download PDFInfo
- Publication number
- CN107547567A CN107547567A CN201710908061.1A CN201710908061A CN107547567A CN 107547567 A CN107547567 A CN 107547567A CN 201710908061 A CN201710908061 A CN 201710908061A CN 107547567 A CN107547567 A CN 107547567A
- Authority
- CN
- China
- Prior art keywords
- message
- list item
- attack protection
- attack
- forwarding plane
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开公开了一种防攻击方法和装置。所述方法应用于网络转发设备,包括:接收由转发层面上传的命中流级防攻击表项的报文,获取所述报文中携带的丢包数;统计预设时间内所述报文的总数;若判断预设时间内所述报文的总数超过设定阈值,则将下发到转发层面的所述流级防攻击表项的动作设置为丢弃接收由转发层面上传的命中流级防攻击表项的报文,获取报文中携带的丢包数,从而统计预设时间内该流的报文的准确总数;根据该准确的报文总数,若判断预设时间内报文总数超过设定阈值,可确认该报文为攻击报文,将转发层面的流级防攻击表项的动作设置为丢弃,可准确确定攻击流进行丢弃处理,达到防攻击的目的。
Description
技术领域
本公开涉及通信技术领域,特别涉及一种防攻击方法和装置。
背景技术
随着互联网在当前的环境下应用越来越广,网络攻击也日益频繁,海量的攻击访问会导致转发设备的瘫痪,影响网络的正常运行。其中,硬转发设备包括底层的转发芯片(可称为转发层面)和控制面CPU(可称为控制层面),。转发层面处理能力强大,但其控制层面的处理能力有限。控制层面提供了转发层面转发所必须的各种网络信息和转发查询表项等。通常转发层面与控制层面间的通道转发能力不会大于控制层面处理能力,如通过GE或10GE传输速率的端口进行转发。攻击者通过向硬件转发设备发起海量的消息请求,导致转发层面与控制层面间的通道阻塞,从而导致正常业务报文不能上送到控制层面处理,既而引发正常的业务交互流程阻塞,达到拒绝服务的目的。
发明内容
本公开提供了一种防攻击方法和装置,以解决现有技术中转发设备受到攻击导致转发层面与控制层面通道阻塞的问题,从而避免硬件转发设备被攻击瘫痪。
依据本公开的一个方面,提供了一种防攻击方法,所述方法应用于网络转发设备,包括:
接收由转发层面上传的命中流级防攻击表项的报文,获取所述报文中携带的丢包数;
统计预设时间内所述报文的总数;
若判断预设时间内所述报文的总数超过设定阈值,则将下发到转发层面的所述流级防攻击表项的动作设置为丢弃。
依据本公开的另一个方面,提供了一种防攻击方法,所述方法应用于网络转发设备,包括:
记录命中流级防攻击表项的报文丢包数;
在上传给控制层面的命中所述流级防攻击表项的报文中,携带所述丢包数。
依据本公开的又一个方面,提供了一种防攻击装置,所述装置应用于网络转发设备,包括:
获取单元,用于接收由转发层面上传的命中流级防攻击表项的报文,获取所述报文中携带的丢包数;
统计单元,用于统计预设时间内所述报文的总数;
处理单元,用于在判断预设时间内所述报文的总数超过设定阈值时,将下发到转发层面的所述流级防攻击表项的动作设置为丢弃。
依据本公开的再一个方面,提供了一种防攻击装置,所述装置应用于网络转发设备,包括:
记录单元,用于记录命中流级防攻击表项的报文丢包数;
上传单元,用于在上传给控制层面的命中所述流级防攻击表项的报文中,携带所述丢包数。
本公开的有益效果是:应用在网络转发设备上,接收由转发层面上传的命中流级防攻击表项的报文,获取所述报文中携带的丢包数,进而统计预设时间内所述报文的总数;若判断预设时间内所述报文的总数超过设定阈值,可确认所述报文为攻击报文,将下发到转发层面的所述流级防攻击表项的动作设置为丢弃,由于统计的报文总数包括有报文携带的报文的丢包数,因而统计更加精确,可准确确定攻击流进行丢弃处理,达到防攻击的目的。
附图说明
图1为本公开一个实施例的防攻击方法的流程示意图;
图2为依据本公开网络转发设备在遇到网络攻击时防攻击处理过程的状态机示意图;
图3为本公开一个实施例的一种防攻击装置的硬件结构示意图;
图4为本公开一个实施例的防攻击装置的结构示意图。
实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响用于确定”。
为了防止不同协议间相互影响,各协议从转发层面上送给上层控制层面时,会通过各自的协议硬件队列上送并做限速,从而达到某种协议攻击不会将上送通道带宽占光的目的,从而各协议之间不会相互影响,但仍会影响到同一种协议的其它正常业务上送,因为该协议硬件队列自身有可能被攻击流攻击阻塞。
现有技术的防攻击方法,通过控制层面的软件定时检测每个周期内收到某流的报文数,如果报文数超过设定的阀值,则认为该流为攻击流,既而下发对应的流级防攻击表项到转发层面,转发层面通过流级防攻击表项将该攻击流丢弃。然而,由于各协议硬件队列是存在限速的,所以攻击流在上送控制层面前已被限速丢弃大部分,从而导致控制层面的软件每周期检测到的攻击流报文个数低于实际值,因此可能小于设定的阈值,导致软件检测不到攻击流,无法达到防攻击的目的。
本申请技术构思是,在网络转发设备上,接收由转发层面上传的命中流级防攻击表项的报文,获取报文中携带的丢包数,从而统计预设时间内该流的报文的准确总数;根据该准确的报文总数,若判断预设时间内报文总数超过设定阈值,可确认该报文为攻击报文,将转发层面的流级防攻击表项的动作设置为丢弃,可准确确定攻击流进行丢弃处理,达到防攻击的目的。
本公开所称的攻击流,通常是通过攻击报文的源IP或源MAC,及其访问业务的协议号、目的端口号来定义,上述这些字段均一致的报文,则属于同一条攻击流,否则为不同的攻击流。本文所说的流级防攻击表项,是指精确到流级别的防攻击表项,即采用上述字段匹配攻击流,每个流级防攻击表项对应一条攻击流。
图1为本公开一个实施例的防攻击方法的流程示意图;如图1所示,所述方法应用于网络转发设备,包括:
步骤S110,接收由转发层面上传的命中流级防攻击表项的报文,获取所述报文中携带的丢包数。
步骤S120,统计预设时间内所述报文的总数。
步骤S130,若判断预设时间内所述报文的总数超过设定阈值,则将下发到转发层面的所述流级防攻击表项的动作设置为丢弃。
由于获取了上传报文中携带的、命中该流级防攻击表项的报文流的丢包数,控制层面就可以准确统计属于该流的报文总数,进而判断该流在检测周期内的报文总数是否超过阈值,以确定该流是否为海量发送的攻击流,相比于现有技术仅仅依靠从转发层面接收到的报文总数来确定攻击流,本方案报文总数统计为准确值,可避免由于转发层面各协议硬件队列限速造成的漏检,从而能够更加精确地确定攻击流,以通过转发层面的流级防攻击表项,将该攻击流丢弃,达到防止攻击的目的。其中,所说的流级防攻击表项,可以是访问控制列表(Access Control List,简写ACL),当然,其他可下发到转发层面,用于控制报文转发的流级防攻击表项也可以应用于本方案中,在此不视为对本方案的不当限定。
在本公开的一些实施例中,该方法还包括:若判断预设时间内所述报文的总数未超过设定阈值,则可认为所述报文并非攻击报文,从而删除下发到转发层面的流级防攻击表项。
在本公开的一些实施例中,所述流级防攻击表项通过如下方式下发到转发层面:
获取转发层面上传的报文中携带的各协议硬件队列的丢包信息。
根据所述各协议硬件队列的丢包信息,确定存在丢包的协议硬件队列,检测存在丢包的协议硬件队列在限定时间内上传的报文。
针对所述存在丢包的协议硬件队列在限定时间内上传的报文,创建所述流级防攻击表项,并下发到转发层面。
其中,报文中携带的各协议硬件队列的丢包信息,可以是各协议硬件队列是否存在丢包的状态信息,也可以是各协议硬件队列的具体丢包数,控制层面接收到该具体丢包数后,自行判断各协议硬件队列是否存在丢包。
对于存在丢包的协议硬件队列,可知其上传通道发生了阻塞,因而才会出于限速的目的丢弃部分报文,因此这些存在丢包的协议硬件队列上传的报文中就很可能存在攻击流报文。上述过程首先检测各协议硬件队列是否存在丢包,以判断出存在疑似攻击流的协议硬件队列,进而检测获取这些协议硬件队列的报文,基于这些报文创建流级防攻击表项,可缩小排查范围,较精确地进行攻击流判断。
当然,该流级防攻击表项的下发,还可以根据目前已有的防攻击表项的创建策略或经验来实现,例如,在获取到常见攻击来源黑名单时,根据该黑名单建立流级防攻击表项,下发到转发层面,以进行报文总数统计,这里仅是提供了一种实施方式,并非构成对本方案的不当限定。
在本公开的一些实施例中,在将下发到转发层面的所述流级防攻击表项的动作设置为丢弃时,该方法还包括:
设定定时器,当定时器定时到时时,修改下发到转发层面的流级防攻击表项的动作为限速,以检测是否仍然存在从转发层面上传的所述报文。
若仍然存在从转发层面上传的所述报文,则修改下发到转发层面的流级防攻击表项的动作为丢弃,重置所述定时器,并延长所述定时器的定时时间。
通过设置定时器,在设定时间后限速恢复获取该报文,以检测该攻击流是否存在,若仍然存在,则可认为该攻击流为顽固的持续攻击流,延长对其的丢弃处理时间再行检测,可以减少检测次数,降低资源浪费。
当然,有些攻击流并非一直存在,在其消失时可取消该防攻击表项,因此,在本公开的一些实施例中,若不再存在从转发层面上传的所述报文,则删除下发到转发层面的流级防攻击表项。
本公开还公开了另一种防攻击方法,所述方法应用于网络转发设备,包括:
记录命中流级防攻击表项的报文丢包数;
在上传给控制层面的命中所述流级防攻击表项的报文中,携带所述丢包数。
该方法与上述所述的实施例相对,应用于网络转发设备的转发层面,即令转发层面根据流级防攻击表项统计丢弃的报文数,并在上传报文时携带在报文中,以令控制层面可以获取到准确的报文数量。
在本公开的一些实施例中,所述方法还包括:在上传给控制层面的报文中,携带各协议硬件队列的丢包信息,以使控制层面根据所述丢包信息确定存在丢包的协议硬件队列,创建对应的流级防攻击表项。
图2为依据本公开公开网络转发设备在遇到网络攻击时防攻击处理过程的状态机示意图,下面结合图2描述本公开防攻击方法的一种实施过程。
该状态机的各状态说明如下:
PROBE状态:为疑似攻击流创建的状态。在该状态下,控制层面会给转发层面下发流级防攻击表项(这里以ACL防攻击表项为例),该流级ACL防攻击表项的动作为限速CAR,CAR值能满足一个正常用户每秒业务交互报文个数即可,如允许每秒通过1个报文,从而,该流级防攻击表项下发到转发层面,就可以实现对疑似攻击流限速,预先防止攻击。
ATTACK状态:为确认攻击流创建的状态。在该状态下,控制层面会将PROBE状态创建的ACL防攻击表项的动作刷为丢弃DROP;同时该状态设置有定时器,当该定时器定时到时时,状态机会切到STALE状态。
STALE状态:为待老化攻击流的状态。在该状态下,控制层面会将转发层面上对应的流级ACL防攻击表项的动作重新刷回为CAR,并清除协议硬件队列的丢包统计,以重新统计报文丢包数。
状态机各状态的切换处理流程如下:
a.基于协议队列检测到丢包。协议硬件队列上送报文时携带本队列的丢包信息,若控制层面检测到某协议硬件队列上送的报文存在丢包,则认为该协议硬件队列疑似存在攻击,此时开启针对该协议硬件队列的限定时间的检测,检测时间可根据实际情况确定,比如100ms;在该限定时间内,将收到的所有该协议硬件队列上送的报文均视为疑似攻击报文,针对这些报文均创建状态为动作为限速CAR的流级ACL防攻击表项,待这些流级ACL防攻击表项下发转发层面完成后,清除对应协议硬件队列的丢包统计。
b.基于流级ACL检测,超过设定阈值。获取转发层面上传的、命中流级ACL防攻击表项的报文携带的该流级ACL防攻击表项的报文丢包数,如果控制层面检测到预设时间内收到的属于该流的报文总数(包含丢包数)超过设定的阈值,则认为该流为攻击流,将状态切换ATTACK状态。
c.基于流级ACL检测,未超过设定阈值。在PROBE状态下,如果控制层面检测到预设时间内收到的属于该流的报文总数(包含丢包数)未超过设定的阀值,则删除该防攻击表项,包括控制层面的和下发到转发层面的。
d.定时器定时到时。在ATTACK状态下,流级ACL防攻击表项的动作为丢弃DROP,从而可以实现防止网络攻击的目的。在ATTACK状态下,还设置有定时器,定时器超时后会切到STALE状态,同时将流级ACL防攻击表项的动作重新刷回为限速CAR,目的是探测该流是否仍存在攻击。
e.基于流级ACL检测,是否仍然超过设定阈值。在STALE状态下,控制层面再次检测到预设时间内收到属于该流的报文总数(包含丢包数)超过设定的阈值,则认为该流仍在攻击,将状态重新切回ATTACK状态,同时ATTACK状态下的定时器可以增加个惩罚值,延长定时器的定时时间。
f.基于流级ACL检测,未超过设定阈值。在STALE状态下,控制层面检测到预设时间内收到属于该流的报文总数未超过设定的阀值时,则删除该防攻击表项,包括控制层面的和下发到转发层面的。
通过上述状态机的状态切换实现防攻击处理,首先基于协议硬件队列探测出疑似攻击流,然后下发流级ACL防攻击表项实现基于流级的精确攻击确认。并且,该状态机还具有老化攻击流状态,能够对攻击流进行重复检测,及时恢复停止攻击的报文流,提高对正常业务的响应能力。
基于相同的技术构思,本公开还提供了一种防攻击装置。本公开提供的防攻击装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,可通过处理器将非易失性存储器中与防攻击装置对应的机器可执行指令读取到易失性存储器中运行。
从硬件层面而言,参考图3和图4,如图3所示,为本公开一个实施例的一种防攻击装置的硬件结构示意图,除了图3所示的处理器310、内部总线320、网络接口330、易失性存储器340、以及非易失性存储器350之外,根据该防攻击装置的实际功能,还可以包括其他硬件,对此不再赘述。
在不同的实施例中,所述非易失性存储器350可以是:存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。所述易失性存储器340可以是:RAM(Radom Access Memory,随机存取存储器)。
进一步,非易失性存储器350和易失性存储器340作为机器可读存储介质,其上可存储由处理器310执行的网络防攻击装置400对应的机器可执行指令。
图4为本公开一个实施例的防攻击装置的结构示意图。如图4所示,一种防攻击装置400,所述装置应用于网络转发设备,包括:
获取单元410,用于接收由转发层面上传的命中流级防攻击表项的报文,获取所述报文中携带的丢包数。
统计单元420,用于统计预设时间内所述报文的总数。
处理单元430,用于在判断预设时间内所述报文的总数超过设定阈值时,将下发到转发层面的所述流级防攻击表项的动作设置为丢弃。
在本公开的一些实施例中,所述获取单元410,还用于获取转发层面上传的报文中携带的各协议硬件队列的丢包信息。
所述防攻击装置400还包括:
检测单元440,用于根据所述各协议硬件队列的丢包信息,确定存在丢包的协议硬件队列,检测存在丢包的协议硬件队列在限定时间内上传的报文;
创建下发单元450,用于针对所述存在丢包的协议硬件队列在限定时间内上传的报文,创建所述流级防攻击表项,并下发到转发层面。
在本公开的一些实施例中,所述处理单元430还用于:
在将下发到转发层面的所述流级防攻击表项的动作设置为丢弃时,设定定时器,当定时器定时到时时,修改下发到转发层面的流级防攻击表项的动作为限速,以检测是否仍然存在从转发层面上传的所述报文。
若仍然存在从转发层面上传的所述报文,则修改下发到转发层面的流级防攻击表项的动作为丢弃,重置所述定时器,并且延长所述定时器的定时时间。
本公开还提供了另一种防攻击装置(未图示),所述装置应用于网络转发设备,包括:
记录单元,用于记录命中流级防攻击表项的报文丢包数。
上传单元,用于在上传给控制层面的命中所述流级防攻击表项的报文中,携带所述丢包数。
在本公开的一些实施例中,所述上传单元还用于:
在上传给控制层面的报文中,携带各协议硬件队列的丢包信息,以使控制层面根据所述丢包信息确定存在丢包的协议硬件队列,创建对应的流级防攻击表项。
本公开提供的防攻击装置的有益效果与上述防攻击方法的有益效果相同,在此不再赘述。
此外本公开还提供了一种防攻击装置,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述任一所述的防攻击方法步骤。
本公开还公开了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现上述任一所述的防攻击方法步骤。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本公开的较佳实施例而已,并非用于限定本公开的保护范围。凡在本公开的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本公开的保护范围内。
Claims (12)
1.一种防攻击方法,其特征在于,所述方法应用于网络转发设备,包括:
接收由转发层面上传的命中流级防攻击表项的报文,获取所述报文中携带的丢包数;
统计预设时间内所述报文的总数;
若判断预设时间内所述报文的总数超过设定阈值,则将下发到转发层面的所述流级防攻击表项的动作设置为丢弃。
2.根据权利要求1所述的防攻击方法,其特征在于,所述流级防攻击表项通过如下方式下发到转发层面:
获取转发层面上传的报文中携带的各协议硬件队列的丢包信息;
根据所述各协议硬件队列的丢包信息,确定存在丢包的协议硬件队列,检测存在丢包的协议硬件队列在限定时间内上传的报文;
针对所述存在丢包的协议硬件队列在限定时间内上传的报文,创建所述流级防攻击表项,并下发到转发层面。
3.根据权利要求1所述的防攻击方法,其特征在于,在将下发到转发层面的所述流级防攻击表项的动作设置为丢弃时,该方法还包括:
设定定时器,当定时器定时到时时,修改下发到转发层面的流级防攻击表项的动作为限速,以检测是否仍然存在从转发层面上传的所述报文;
若仍然存在从转发层面上传的所述报文,则修改下发到转发层面的流级防攻击表项的动作为丢弃,重置所述定时器,并延长所述定时器的定时时间。
4.一种防攻击方法,其特征在于,所述方法应用于网络转发设备,包括:
记录命中流级防攻击表项的报文丢包数;
在上传给控制层面的命中所述流级防攻击表项的报文中,携带所述丢包数。
5.根据权利要求4所述的防攻击方法,其特征在于,所述方法还包括:在上传给控制层面的报文中,携带各协议硬件队列的丢包信息,以使控制层面根据所述丢包信息确定存在丢包的协议硬件队列,创建对应的流级防攻击表项。
6.一种防攻击装置,其特征在于,所述装置应用于网络转发设备,包括:
获取单元,用于接收由转发层面上传的命中流级防攻击表项的报文,获取所述报文中携带的丢包数;
统计单元,用于统计预设时间内所述报文的总数;
处理单元,用于在判断预设时间内所述报文的总数超过设定阈值时,将下发到转发层面的所述流级防攻击表项的动作设置为丢弃。
7.根据权利要求6所述的防攻击装置,其特征在于,所述获取单元还用于:
获取转发层面上传的报文中携带的各协议硬件队列的丢包信息;
所述装置还包括:
检测单元,用于根据所述各协议硬件队列的丢包信息,确定存在丢包的协议硬件队列,检测存在丢包的协议硬件队列在限定时间内上传的报文;
创建下发单元,用于针对所述存在丢包的协议硬件队列在限定时间内上传的报文,创建所述流级防攻击表项,并下发到转发层面。
8.根据权利要求6所述的防攻击装置,其特征在于,所述处理单元还用于:
在将下发到转发层面的所述流级防攻击表项的动作设置为丢弃时,设定定时器,当定时器定时到时时,修改下发到转发层面的流级防攻击表项的动作为限速,以检测是否仍然存在从转发层面上传的所述报文;
若仍然存在从转发层面上传的所述报文,则修改下发到转发层面的流级防攻击表项的动作为丢弃,重置所述定时器,并延长所述定时器的定时时间。
9.一种防攻击装置,其特征在于,所述装置应用于网络转发设备,包括:
记录单元,用于记录命中流级防攻击表项的报文丢包数;
上传单元,用于在上传给控制层面的命中所述流级防攻击表项的报文中,携带所述丢包数。
10.根据权利要求9所述的防攻击装置,其特征在于,所述上传单元还用于:
在上传给控制层面的报文中,携带各协议硬件队列的丢包信息,以使控制层面根据所述丢包信息确定存在丢包的协议硬件队列,创建对应的流级防攻击表项。
11.一种防攻击装置,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-5任一所述的方法步骤。
12.一种机器可读存储介质,其特征在于,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现权利要求1-5任一所述的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710908061.1A CN107547567B (zh) | 2017-09-29 | 2017-09-29 | 一种防攻击方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710908061.1A CN107547567B (zh) | 2017-09-29 | 2017-09-29 | 一种防攻击方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107547567A true CN107547567A (zh) | 2018-01-05 |
CN107547567B CN107547567B (zh) | 2020-04-28 |
Family
ID=60964948
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710908061.1A Active CN107547567B (zh) | 2017-09-29 | 2017-09-29 | 一种防攻击方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107547567B (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108429731A (zh) * | 2018-01-22 | 2018-08-21 | 新华三技术有限公司 | 防攻击方法、装置及电子设备 |
CN109379356A (zh) * | 2018-10-16 | 2019-02-22 | 盛科网络(苏州)有限公司 | 自动捕获cpu攻击报文的方法及装置 |
CN112134838A (zh) * | 2020-08-12 | 2020-12-25 | 新华三技术有限公司合肥分公司 | 防止网络攻击的方法及装置 |
CN112637083A (zh) * | 2020-12-14 | 2021-04-09 | 杭州迪普科技股份有限公司 | 丢包处理方法、装置、设备及计算机可读存储介质 |
CN113783857A (zh) * | 2021-08-31 | 2021-12-10 | 新华三信息安全技术有限公司 | 一种防攻击方法、装置、设备及机器可读存储介质 |
WO2022017249A1 (zh) * | 2020-07-21 | 2022-01-27 | 阿里巴巴集团控股有限公司 | 可编程交换机、流量统计方法、防御方法和报文处理方法 |
CN114338554A (zh) * | 2021-12-31 | 2022-04-12 | 锐捷网络股份有限公司 | 基于流的随机丢包方法及装置 |
CN116155827A (zh) * | 2023-01-17 | 2023-05-23 | 中国联合网络通信集团有限公司 | 数据传输方法、装置、路由器、电子设备和存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103825812A (zh) * | 2014-02-17 | 2014-05-28 | 杭州华三通信技术有限公司 | 一种网络限速装置及方法 |
CN104519021A (zh) * | 2013-09-29 | 2015-04-15 | 杭州华三通信技术有限公司 | 防止恶意流量攻击的方法及装置 |
CN104601488A (zh) * | 2015-01-22 | 2015-05-06 | 杭州华三通信技术有限公司 | 一种软件定义网络中流量控制方法和装置 |
WO2016150253A1 (zh) * | 2015-03-24 | 2016-09-29 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及系统 |
-
2017
- 2017-09-29 CN CN201710908061.1A patent/CN107547567B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104519021A (zh) * | 2013-09-29 | 2015-04-15 | 杭州华三通信技术有限公司 | 防止恶意流量攻击的方法及装置 |
CN103825812A (zh) * | 2014-02-17 | 2014-05-28 | 杭州华三通信技术有限公司 | 一种网络限速装置及方法 |
CN104601488A (zh) * | 2015-01-22 | 2015-05-06 | 杭州华三通信技术有限公司 | 一种软件定义网络中流量控制方法和装置 |
WO2016150253A1 (zh) * | 2015-03-24 | 2016-09-29 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及系统 |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108429731A (zh) * | 2018-01-22 | 2018-08-21 | 新华三技术有限公司 | 防攻击方法、装置及电子设备 |
CN108429731B (zh) * | 2018-01-22 | 2021-10-12 | 新华三技术有限公司 | 防攻击方法、装置及电子设备 |
CN109379356A (zh) * | 2018-10-16 | 2019-02-22 | 盛科网络(苏州)有限公司 | 自动捕获cpu攻击报文的方法及装置 |
WO2022017249A1 (zh) * | 2020-07-21 | 2022-01-27 | 阿里巴巴集团控股有限公司 | 可编程交换机、流量统计方法、防御方法和报文处理方法 |
CN112134838A (zh) * | 2020-08-12 | 2020-12-25 | 新华三技术有限公司合肥分公司 | 防止网络攻击的方法及装置 |
CN112134838B (zh) * | 2020-08-12 | 2022-05-27 | 新华三技术有限公司合肥分公司 | 防止网络攻击的方法及装置 |
CN112637083A (zh) * | 2020-12-14 | 2021-04-09 | 杭州迪普科技股份有限公司 | 丢包处理方法、装置、设备及计算机可读存储介质 |
CN112637083B (zh) * | 2020-12-14 | 2022-07-01 | 杭州迪普科技股份有限公司 | 丢包处理方法、装置、设备及计算机可读存储介质 |
CN113783857A (zh) * | 2021-08-31 | 2021-12-10 | 新华三信息安全技术有限公司 | 一种防攻击方法、装置、设备及机器可读存储介质 |
CN113783857B (zh) * | 2021-08-31 | 2023-11-07 | 新华三信息安全技术有限公司 | 一种防攻击方法、装置、设备及机器可读存储介质 |
CN114338554A (zh) * | 2021-12-31 | 2022-04-12 | 锐捷网络股份有限公司 | 基于流的随机丢包方法及装置 |
CN116155827A (zh) * | 2023-01-17 | 2023-05-23 | 中国联合网络通信集团有限公司 | 数据传输方法、装置、路由器、电子设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN107547567B (zh) | 2020-04-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107547567A (zh) | 一种防攻击方法和装置 | |
Feng et al. | The BLUE active queue management algorithms | |
CN101119321B (zh) | 网络流量分类处理方法及网络流量分类处理装置 | |
CN105991637B (zh) | 网络攻击的防护方法和装置 | |
US7426634B2 (en) | Method and apparatus for rate based denial of service attack detection and prevention | |
CN101083563A (zh) | 一种防分布式拒绝服务攻击的方法及设备 | |
US9154422B2 (en) | Policing in data networks | |
CN108667853A (zh) | 恶意攻击的检测方法和装置 | |
CN105282152B (zh) | 一种异常流量检测的方法 | |
CN102577240B (zh) | 用于采用速率限制进行病毒扼制的方法和装置 | |
CN108234473A (zh) | 一种报文防攻击方法及装置 | |
CN107547442B (zh) | 数据传输缓存队列分配方法及装置 | |
Ahmed et al. | Filtration model for the detection of malicious traffic in large-scale networks | |
CN105812318A (zh) | 用于在网络中防止攻击的方法、控制器和系统 | |
CN101001249A (zh) | 一种防igmp报文攻击的方法和装置 | |
CN106657161A (zh) | 数据包过滤的实现方法和装置 | |
CN106878326A (zh) | 基于反向检测的IPv6邻居缓存保护方法及其装置 | |
CN101883054B (zh) | 组播报文处理方法、装置和设备 | |
WO2019096104A1 (zh) | 攻击防范 | |
CN111031077B (zh) | 一种流量清洗方法、流量清洗系统和设备 | |
US8005106B2 (en) | Apparatus and methods for hybrid fair bandwidth allocation and drop precedence | |
CN110224932B (zh) | 一种数据快速转发的方法及系统 | |
Stoica et al. | Self-verifying CSFQ | |
CN110177060A (zh) | 一种面向sdn网络的时序侧信道攻击的主动防御方法 | |
KR101077136B1 (ko) | 히스토리 기반 DDoS 대응 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |