CN107623661B - 阻断访问请求的系统、方法及装置,服务器 - Google Patents
阻断访问请求的系统、方法及装置,服务器 Download PDFInfo
- Publication number
- CN107623661B CN107623661B CN201610559404.3A CN201610559404A CN107623661B CN 107623661 B CN107623661 B CN 107623661B CN 201610559404 A CN201610559404 A CN 201610559404A CN 107623661 B CN107623661 B CN 107623661B
- Authority
- CN
- China
- Prior art keywords
- receiving end
- request
- access request
- access
- sending
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种阻断访问请求的系统、方法及装置,服务器。其中,该方法包括:获取镜像请求,其中,镜像请求是对从发送端发送至接收端的访问请求的镜像结果;确定镜像请求匹配预设阻断规则;向接收端发送伪造复位请求,以阻断访问请求,其中,伪造复位请求用于触发接收端关闭在发送端与接收端之间的网络连接;监控接收端是否向发送端返回与访问请求对应的访问响应。本发明解决了相关技术中无法实现对旁路阻断的拦截效果进行监控的技术问题。
Description
技术领域
本发明涉及互联网领域,具体而言,涉及一种阻断访问请求的系统、方法及装置,服务器。
背景技术
超文本传输协议(HyperText Transfer Protocol,简称为HTTP)是服务器端与客户端之间进行请求和应答的标准传送协议。RFC 1945定义了HTTP/1.0版本,后来,RFC 2616又进一步定义了当今普遍使用的一个版本—HTTP 1.1。WEB服务作为互联网的主要业务为人类的生活提供极大便利。
旁路阻断技术是指采用旁路侦听的方式来获取通过防火墙的所有数据包,并进一步通过协议内容还原、分析识别还原内容中所包含的非法信息,并执行相应的阻断操作。这种技术的优势在于以下几点:
(1)不影响网络设备的正常吞吐流量;
(2)不影响所有业务服务的访问速度;
(3)不会影响原有网络的稳定性;
通过上述优势最终实现对正常客户的访问透明无感知。
目前主流的旁路阻断防火墙都是部署在互联网数据中心(IDC)机房内部尽量靠近服务器的接入层位置中。从机房入口开始执行流量镜像和分析,并将阻断使用的伪造reset报文直接注入到距离服务器最近的交换设备中,通过减少旁路阻断触发的reset报文和正常业务报文的传输路径延时进而提高阻断的成功率。
然而,上述解决方案却也存在如下缺陷:由于该方案缺乏对阻断操作进行监控,因此,无法及时掌握旁路阻断的拦截效果,不能根据旁路阻断的拦截效果动态调整旁路阻断策略。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种阻断访问请求的系统、方法及装置,服务器,以至少解决相关技术中无法实现对旁路阻断的拦截效果进行监控的技术问题。
根据本申请实施例的一个方面,提供了一种阻断访问请求的系统,包括:
路由设备,用于接收来自于发送端的访问请求,并将访问请求转发至接收端;旁路设备,用于对访问请求进行镜像,得到镜像请求;在镜像请求匹配预设阻断规则的情况下,向接收端发送伪造复位请求,以及监控接收端是否向发送端返回与访问请求对应的访问响应,其中,伪造复位请求用于触发接收端关闭在发送端与接收端之间的网络连接。
根据本申请实施例的另一方面,提供了另一种阻断访问请求的系统,包括:
路由设备,用于接收来自于发送端的访问请求,并将访问请求转发至接收端;旁路设备,用于对访问请求进行镜像,得到镜像请求;在镜像请求匹配预设阻断规则的情况下,向接收端发送伪造复位请求,其中,伪造复位请求用于触发接收端关闭在发送端与接收端之间的网络连接;监控设备,用于监控接收端是否向发送端返回与访问请求对应的访问响应。
根据本申请实施例的又一方面,提供了一种阻断访问请求的方法,包括:
获取镜像请求,其中,镜像请求是对从发送端发送至接收端的访问请求的镜像结果;确定镜像请求匹配预设阻断规则;和向接收端发送伪造复位请求,以阻断访问请求,其中,伪造复位请求用于触发接收端关闭在发送端与接收端之间的网络连接;监控接收端是否向发送端返回与访问请求对应的访问响应。
可选地,在监控接收端是否向发送端返回访问响应之后,还包括:在接收端对访问请求的响应时间达到后,如果未监控到接收端向发送端返回访问响应,则确定成功拦截访问请求;如果监控到接收端向发送端返回访问响应,则确定未能拦截访问请求。
可选地,在确定通过执行旁路阻断操作未能拦截访问请求之后,还包括:按照预设次数重复向接收端发送伪造复位请求;利用拦截访问请求的失败次数与预设次数计算拦截访问请求的失败率;当失败率超过预设监控阈值时,发出告警提示。
可选地,在当失败率超过预设监控阈值时,发出告警提示之后,还包括:控制边界网关协议(BGP)清洗设备通过BGP牵引的方式将拦截失败的访问请求牵引至BGP清洗设备,其中,BGP清洗设备与转发访问请求的路由设备相连接,访问请求在经过BGP清洗设备的清洗和回注后,发送至接收端。
根据本申请实施例的再一方面,提供了另一种阻断访问请求的方法,包括:
获取访问请求;在访问请求匹配预设阻断规则的情况下,向接收端发送伪造复位请求,其中,伪造复位请求用于触发接收端关闭在发送端与接收端之间的网络连接。
根据本申请实施例的再一方面,提供了一种服务器,服务器用于在获取到的镜像请求匹配预设阻断规则的情况下,向接收端发送伪造复位请求,并监控接收端是否向发送端返回与访问请求对应的访问响应,其中,镜像请求是对从发送端发送至接收端的访问请求进行镜像得到的,伪造复位请求用于触发接收端关闭在发送端与接收端之间的网络连接。
可选地,服务器还用于在接收端对访问请求的响应时间达到后,如果未监控到接收端向发送端返回访问响应,则确定成功拦截访问请求;如果监控到接收端向发送端返回访问响应,则确定未能拦截访问请求。
可选地,服务器还用于按照预设次数重复向接收端发送伪造复位请求,利用拦截访问请求的失败次数与预设次数计算拦截访问请求的失败率,并在失败率超过预设监控阈值时,发出告警提示。
可选地,服务器还用于控制BGP清洗设备通过BGP牵引的方式将拦截失败的访问请求牵引至BGP清洗设备,其中,BGP清洗设备与转发访问请求的路由设备相连接,访问请求在经过BGP清洗设备的清洗和回注后,发送至接收端。
根据本申请实施例的再一方面,提供了另一种服务器,服务器用于在获取到的访问请求匹配预设阻断规则的情况下,向接收端发送伪造复位请求,其中,伪造复位请求用于触发接收端关闭在发送端与接收端之间的网络连接。
根据本申请实施例的再一方面,提供了一种阻断访问请求的装置,包括:
获取模块,用于获取镜像请求,其中,镜像请求是对从发送端发送至接收端的访问请求的镜像结果;第一确定模块,用于确定镜像请求匹配预设阻断规则;执行模块,用于向接收端发送伪造复位请求,以阻断访问请求,其中,伪造复位请求用于触发接收端关闭在发送端与接收端之间的网络连接;监控接收端是否向发送端返回与访问请求对应的访问响应。
可选地,上述装置还包括:第二确定模块,用于在接收端对访问请求的响应时间达到后,如果未监控到接收端向发送端返回访问响应,则确定成功拦截访问请求;如果监控到接收端向发送端返回访问响应,则确定未能拦截访问请求。
可选地,执行模块,用于按照预设次数重复向接收端发送伪造复位请求;上述装置还包括:计算模块,用于利用拦截访问请求的失败次数与预设次数计算拦截访问请求的失败率;告警模块,用于当失败率超过预设监控阈值时,发出告警提示。
可选地,上述装置还包括:控制模块,用于控制BGP清洗设备通过BGP牵引的方式将拦截失败的访问请求牵引至BGP清洗设备,其中,BGP清洗设备与转发访问请求的路由设备相连接,访问请求在经过BGP清洗设备的清洗和回注后,发送至接收端。
根据本申请实施例的再一方面,提供了另一种阻断访问请求的装置,包括:
获取模块,用于获取访问请求;执行模块,用于在访问请求匹配预设阻断规则的情况下,向接收端发送伪造复位请求,其中,伪造复位请求用于触发接收端关闭在发送端与接收端之间的网络连接。
在本申请实施例中,采用获取对从发送端发送至接收端的访问请求进行镜像得到的镜像请求,在该镜像请求匹配预设阻断规则的情况下,向接收端发送用于触发接收端关闭在发送端与接收端之间的网络连接的伪造复位请求并监控接收端是否向发送端返回与访问请求对应的访问响应的方式,通过对发送端发送至接收端的访问请求以及在对该访问请求进行旁路阻断拦截后对接收端向发送端返回的访问响应进行双向监控,达到了自动感知旁路阻断的拦截效果的目的,从而实现了及时掌握旁路阻断的拦截效果以便能够根据旁路阻断的拦截效果动态调整旁路阻断策略的技术效果,进而解决了相关技术中无法实现对旁路阻断的拦截效果进行监控的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本申请实施例的阻断访问请求的系统的结构示意图;
图2是根据本申请实施例的另一种阻断访问请求的系统的结构示意图;
图3是根据本申请实施例的阻断访问请求的方法的流程图;
图4是根据本申请优选实施例的旁路阻断监控的示意图;
图5是根据本申请优选实施例的旁路阻断监控的流程图;
图6是根据本申请优选实施例的旁路阻断的动态切换的示意图;
图7是根据本申请实施例的另一种阻断访问请求的方法的流程图;
图8是根据本申请实施例的阻断访问请求的装置的结构框图;
图9是根据本申请优选实施例的阻断访问请求的装置的结构框图;
图10是根据本申请实施例的另一种阻断访问请求的装置的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
通过上述图1中所提供的解决方案可知,尽管目前主流的旁路阻断技术能够提供上述便利,但同时也具有以下技术局限性:
(1)网络部署的局限性
现有技术的防火墙设备部署是一种基于局域网的阻断部署方案,其与IDC机房的部署建设耦合强。而为了提高旁路阻断防火墙的阻断效果,对防火墙的部署位置也具有特殊的要求,因此,对于运营维护成本和旁路阻断工作的稳定性都存在较大的挑战。
另外,现有技术的旁路阻断防火墙无法为大型云服务厂商提供全面的防护,在大型的云机房部署环境中,对每个物理机房都独立部署一套旁路阻断防火墙的维护成本和设备成本都会出现指数级增长。
(2)阻断手段的单一性
与现有较为成熟的网关控制、干路防火墙、代理控制等干路拦截技术相比,当前真正实际可用的旁路阻断技术相对单一,并且阻断效果无法达到100%的成功率,一旦出现网络延时过大,传输链路抖动,旁路阻断方式可以采取的应对方案相对较少,进而影响阻断成功率。
(3)阻断效果缺乏监控能力
旁路阻断报文由于与正常业务流量报文存在一定的时序竞争关系,因此,无法达到干路阻断100%拦截成功的效果,同时在旁路分析和旁路阻断过程中由于存在镜像流量丢失,分析协议栈内容溢出,reset报文传输丢失等情况都会影响到旁路阻断的拦截效果,而所有旁路的处理环节如果没有适当的监控能力和分析定位能力,那么旁路阻断效果也将会受到严重影响。
下面将结合以下几个实施例来详细描述本发明针对上述缺陷的具体实施过程。
本申请所涉及到的名词解释如下:
镜像,亦称复制,其是指将发送至指定端口的请求消息复制到目的端口,以实现网络监管。在本申请中主要是指将发送至路由设备上指定端口的访问请求复制到旁路设备的一个目的端口(即监控端口)上。
镜像请求,是指将将发送至路由设备上指定端口的访问请求复制到旁路设备的一个目的端口(即监控端口)上所得到的与访问请求具有相同内容的请求消息,以便通过该复制请求分析是否需要对访问请求进行阻断。
骨干网络是指用来连接多个区域或地区的高速网络。
实施例1
根据本申请实施例,提供了一种阻断访问请求的系统的实施例。图1是根据本申请实施例的阻断访问请求的系统的结构示意图。如图1所示,该系统可以包括:
路由设备100,用于接收来自于发送端的访问请求,并将访问请求转发至接收端;发送端可以是与接收端位于不同区域或地区的客户端或服务器,经由骨干网络发送访问请求。上述接收端为服务器集群A 104和/或服务器集群B 106。
旁路设备102,用于对访问请求进行镜像,得到镜像请求;在镜像请求匹配预设阻断规则的情况下,向接收端发送伪造复位请求,以及监控接收端是否向发送端返回与访问请求对应的访问响应,其中,伪造复位请求用于触发接收端关闭在发送端与接收端之间建立的网络连接。
当发送端向接收端发送访问请求时,可以在负责转发该访问请求的路由设备上设置一个或多个源端口将访问流量转发至对网络实行安全监控的旁路设备的指定端口上,即,旁路设备不需要串接到网络中,而是旁挂在路由设备上,再通过旁路镜像方式对网络中的请求报文进行检测和告警。由此,可以实现在不改变原有网络拓扑结构的前提下无缝接入网络对请求报文进行检测,从而通过旁路设备监控路由设备是否接收到服务器集群A和/或服务器集群B返回的与访问请求对应的访问响应。另外,旁路设备中可以包括一个或多个服务器,每个服务器分别负责阻断不同的访问请求,以提高旁路设备的并发处理能力。
上述预设阻断规则可以根据网络中常见的不同类型的恶意攻击形式来预先设定完成。在每次获取到镜像请求后,可以将镜像请求与上述预设阻断规则进行比对,如果镜像请求能够与上述预设阻断规则相互匹配,那么就需要对该访问请求执行旁路阻断操作。
在实际应用过程中,上述预设阻断规则可以包括如下内容:
(1)HTTP请求正规化检查
目前,部分恶意攻击利用协议盲点,通过诸如拆分攻击的形式进行恶意攻击。针对这种方式,预设阻断规则可以通过对HTTP协议请求方法、版本、协议格式等进行正规化校验,将格式不在正规化范围内的报文进行阻断。
(2)Cookie正规化检查
针对攻击者通过Cookie携带异常信息,修改或添加原有的数值,导致服务器无法正常地解析Cookie中的内容,预设阻断规则可以对访问请求中的Cookie部分进行校验,防止通过畸形Cookie窃取服务器中用户私有信息或误导服务器做出错误的判定。
(3)Cookie加密
在服务器发送给客户端的消息中的Cookie值通常会存放其内部生成的会话(session)值,该数值用于确定客户端与服务器直接连接的钥匙,不允许被客户端或恶意使用者篡改。如果Cookie被恶意篡改将使用户安全隐私信息被窃取,对客户及服务器造成不必要的损失。针对这一问题,预设阻断规则将通过对Cookie值进行摘要或者加密,通过HttpOnly方式禁止用户对Cookie进行查看修改,再将加密后的Cookie值返回客户端,防止客户端修改Cookie信息;同时针对攻击者进行的Cookie重放,对Cookie是否经过篡改进行缜密的分析,阻断这类请求访问服务器。
此外,预设阻断规则还可以包含以下内容:
(1)在预设阻断规则中配置URL黑白名单对用户限访问网站服务器路径范围进行严格限制;
(2)通过在预设阻断规则中配置User-agent黑白名单查找匹配用户信息字段判定是否为非法用户请求;
(3)在预设阻断规则中严格限制用户请求方法、协议版本、参数范围及长度、请求报头长度、提交数据长度以及通过正则表达式对请求URL参数进行正规化限制;
(4)在预设阻断规则中记录用户提交信息或网页中包含的敏感关键词;
(5)在预设阻断规则中配置算法对访问服务器的爬虫进行分类阻断;
(6)在预设阻断规则中配置算法对涉及服务器中存放的具有安全隐私性信息的文件进行访问及下载的请求进行阻断;
(7)在预设阻断规则中配置算法对向服务器上传文件进行精准的字典匹配。
以上关于预设阻断规则所包含的内容仅为示例性说明,其还可以包含更多的内容,在此,不再赘述。
在镜像请求匹配预设阻断规则的情况下,旁路设备需要对访问请求(例如:HTTPrequest)进行分析,通过旁路设备的快速精确计算匹配生成伪造的重置位(reset)请求发到接收端。接收端在接收到reset请求后,会认为发送端当前发生异常,从而立即关闭在发送端与接收端之间建立的网络连接(例如:TCP连接),因此,接收端不会再向发送端返回访问响应。发送端由于无法接收到访问响应,也会关闭在发送端与接收端之间建立的网络连接。
在对访问请求进行分析,通过旁路设备的快速精确计算匹配生成伪造的reset请求过程中,由于TCP连接均为四元组,其是由源互联网协议(IP)地址、源端口、目标IP地址以及目标端口唯一确定的连接,因此,如果旁路设备需要伪造发送端发往接收到的访问请求,则需要对上述四元组进行匹配。由于接收端(通常为服务器)的IP地址和端口号是公开的,发送端(通常为客户端)的IP地址也是可以获知的以及发送端的端口号设置方式也存在一定的规律性,进而可以实现对上述四元组进行匹配。此外,还可以通过滑动窗口来确定需要填写在reset请求中的序列号,最终生成伪造的reset请求。
根据本申请实施例,还提供了另一种阻断访问请求的系统的实施例。图2是根据本申请实施例的另一种阻断访问请求的系统的结构示意图。如图2所示,该系统可以包括:路由设备200,用于接收来自于发送端的访问请求,并将访问请求转发至接收端;旁路设备202,用于对访问请求进行镜像,得到镜像请求;在镜像请求匹配预设阻断规则的情况下,向接收端发送伪造复位请求,其中,伪造复位请求用于触发接收端关闭在发送端与接收端之间建立的网络连接。监控设备204,用于监控接收端是否向发送端返回与访问请求对应的访问响应。
与上述图1不同,当发送端向接收端发送访问请求时,可以在负责转发该访问请求的路由设备上设置一个或多个源端口将访问流量转发至旁路设备的指定端口上,即,旁路设备不需要串接到网络中,而是旁挂在路由设备上。另外,除了在路由设备上挂接旁路设备之外,还需要在路由设备上挂接监控设备。该监控设备可以是终端或服务器,用于对网络实行安全监控,对访问请求进行检测和告警。即,对访问响应的监测点由旁路设备转移至单独新增的监控设备,从而通过监控设备监控路由设备是否接收到服务器集群A 206和/或服务器集群B 208返回的与访问请求对应的访问响应。
在上述运行环境下,本申请提供了如图3所示的阻断访问请求的方法。图3是根据本申请实施例的阻断访问请求的方法的流程图。如图3所示,该方法可以包括以下处理步骤:
步骤S31:获取镜像请求,其中,镜像请求是对从发送端发送至接收端的访问请求的镜像结果;
步骤S32:确定镜像请求匹配预设阻断规则;
步骤S33:向接收端发送伪造复位请求,以阻断访问请求,其中,伪造复位请求用于触发接收端关闭在发送端与接收端之间的网络连接;
步骤S34:监控接收端是否向发送端返回与访问请求对应的访问响应。
相关技术中,由于HTTP旁路阻断防火墙存在阻断报文和正常的HTTP业务报文之间的传输延时无法满足关闭传输控制协议(Transmission Control Protocol,简称为TCP)会话早于HTTP应答报文发出的时序要求,从而存在无法保证100%阻断成功的情况。采用本申请实施例所提供的技术方案,通过对发送端发送至接收端的访问请求以及在对该访问请求进行旁路阻断拦截后对接收端向发送端返回的访问响应进行双向监控,达到了自动感知旁路阻断的拦截效果的目的,从而实现了及时掌握旁路阻断的拦截效果以便能够根据旁路阻断的拦截效果动态调整旁路阻断策略,从而最大程度地提升旁路阻断的成功率的技术效果,进而解决了相关技术中无法实现对旁路阻断的拦截效果进行监控的技术问题。
可选地,在步骤S34,监控接收端是否向发送端返回访问响应之后,还可以包括以下执行步骤:
步骤S35:在接收端对访问请求的响应时间达到后,如果未监控到接收端向发送端返回访问响应,则确定成功拦截访问请求;如果监控到接收端向发送端返回访问响应,则确定未能拦截访问请求。
在优选实施过程中,当发送端为客户端,接收端为服务器时,可以通过监控服务器是否向客户端返回表示已经对访问请求进行处理的访问响应(例如:已经处理成功的200OK的状态码)来确定通过执行旁路阻断操作是否已经成功拦截访问请求。
需要说明的是,此处服务器向客户端返回的200 OK状态码仅为优选示例,其并不构成对本申请实施例的不当限制,可以根据具体应用场景返回不同的状态码。
接收端是否向发送端返回访问响应主要取决于在接收端对访问请求的响应时间达到前能够接收到上述reset请求,即从接收端接收到访问请求到准备返回访问响应的延时差(T1)必须要大于从旁路设备通过旁路模式侦听捕捉到访问请求开始一直到将reset请求发送至接收端的延时差(T2),其中,T2由对访问请求进行分析继而生成伪造的reset请求的处理延时(t1)和从旁路设备将reset请求发送至接收端的网络传输延时(t2)两部分组成。
经过反复的实验分析表明,在计算处理延(t1)时,可以通过不断优化哈希(hash)表的方式最终完成预设数量指令(例如:1000万指令)的匹配命中,进而确定处理平均延时被控制在20微秒左右。此外,镜像流量的网络传输延时是在旁路阻断处理中较难控制和测量监控的一个重要指标。特别在大型的网络环境中,对每一个IDC机房的发送链路都可能存在reset请求发送链路与访问请求发送链路不一致或网络拥塞等情况,从而导致传输延时的宽幅震荡。通过对比现有的服务器处理响应时间,静态的WEB页面的响应时间可以保持在100微秒左右完成访问响应的返回动作。因此,通过计算可以得出,网络传输的延时(t2)应该基本控制在70微秒以内才能够真正确保旁路阻断的延时成功率。
如果旁路设备能够在满足T2(即t1+t2)<T1的条件下将reset请求发送至接收端,那么在接收端准备返回访问响应之前,便会释放在发送端与接收端之间建立的网络连接,继而不再向发送端返回访问响应,此时,便不会监听到访问响应,由此可以确定通过执行旁路阻断操作已经成功拦截访问请求。然而,如果旁路设备未能在满足T2(即t1+t2)<T1的条件下将reset请求发送至接收端,那么在接收端接收到reset请求之前,便已经向发送端返回访问响应,而后才会释放在发送端与接收端之间建立的网络连接,此时,便可以监听到从接收端发出的访问响应,由此可以确定通过执行旁路阻断操作未能成功拦截访问请求。
下面将结合图4和图5所示的优选实施方式对上述优选实施过程做进一步地详细描述。
图4是根据本申请优选实施例的旁路阻断监控的示意图。如图4所示,在客户端与服务器之间的一个TCP连接的成功建立需要双方进行三次握手,而只有当三次握手都顺利完成之后,一个TCP连接才能成功建立。当客户端请求与服务器建立一个TCP连接时,双方需要进行以下消息交互:
首先,客户端需要向服务器发送一个SYN消息;
其次,如果服务器同意建立TCP连接,则向客户端返回一个与SYN消息对应的回应消息(SYN/ACK);
然后,在客户端接收到来自于服务器的SYN/ACK后,再向服务器发送一个ACK消息进行确认。
最终,当服务器接收到来自于客户端的ACK消息以后,一个TCP连接便会成功建立。
在TCP连接成功建立后,可以采用旁路防火墙对客户端发送的访问请求进行旁路监听。旁路监听的方式通常采用将流经交换机的数据镜像到旁路防火墙,而旁路防火墙可以捕获通过对该访问请求进行镜像得到的镜像请求。在每次通过旁路模式获取到镜像请求后,旁路防火墙可以将镜像请求与预设阻断规则进行比对,如果镜像请求能够与上述预设阻断规则相互匹配,那么就需要对该访问请求执行旁路阻断操作。
因此,在镜像请求匹配预设阻断规则的情况下,旁路防火墙需要对访问请求(例如:HTTP request)进行分析,通过旁路设备的快速精确计算匹配生成伪造的重置位(reset)请求发到接收端。接收端在接收到reset请求后,会认为发送端当前发生异常,从而立即关闭在发送端与接收端之间建立的网络连接(例如:TCP连接),这样当客户端向服务器发送的真正访问请求到达服务器时,由于服务器已经关闭TCP连接,因此,将不再受理该访问请求,也不会向客户端返回访问响应。而发送端由于无法接收到请求响应,也会关闭在发送端与接收端之间建立的网络连接,不再向服务器发送访问请求。
经过上述分析,在接收端对访问请求的响应时间达到后,如果未监控到服务器向客户端返回访问响应,则可以确定通过执行旁路阻断操作成功拦截访问请求;如果依然能够监控到服务器向客户端返回访问响应,则可以确定通过执行旁路阻断操作未能拦截访问请求。
图5是根据本申请优选实施例的旁路阻断监控的流程图。如图5所示,该流程可以包括以下处理步骤:
步骤S51:通过旁路模式对从发送端发送至接收端的访问请求进行镜像得到的镜像请求,必要地,还需要对多个镜像请求进行镜像重组;
步骤S52:判断镜像请求是否与预设阻断规则相匹配;如果是,则继续执行步骤S53;如果否,则转到步骤S56;
步骤S53:对访问请求执行旁路阻断操作,即,根据镜像请求生成触发接收端关闭在发送端与接收端之间建立的网络连接的伪造复位请求,并将伪造复位请求发送至接收端;
在镜像请求匹配预设阻断规则的情况下,旁路阻断防火墙需要对HTTP request进行分析,通过旁路阻断防火墙的快速精确计算匹配生成伪造的reset请求发到接收端。接收端在接收到reset请求后,会认为发送端当前发生异常,从而立即关闭在发送端与接收端之间建立的TCP连接,因此,接收端不会再向发送端返回访问响应。发送端由于无法接收到访问响应,也会关闭在发送端与接收端之间建立的网络连接。
步骤S54:通过对接收端返回访问响应的源端口是否向发送端返回访问响应进行监控来判断通过执行旁路阻断操作是否已经成功拦截访问请求;如果监控到访问响应,则继续执行步骤S55;如果未监控到访问响应,则继续执行步骤S57;
步骤S55:在接收端对访问请求的响应时间达到后,如果监控到接收端向发送端返回访问响应(例如:监控到服务器向客户端返回200 OK的状态码),则确定通过执行旁路阻断操作未能拦截访问请求;
在优选实施过程中,当发送端为客户端,接收端为服务器时,可以通过监控服务器是否向客户端返回表示已经对访问请求进行处理的访问响应(例如:已经处理成功的200OK的状态码)来确定通过执行旁路阻断操作是否已经成功拦截访问请求。
需要说明的是,此处服务器向客户端返回的200 OK状态码仅为优选示例,其并不构成对本申请实施例的不当限制,可以根据具体应用场景返回不同的状态码。
步骤S56:对访问请求正常放行;流程结束;
步骤S57:在接收端对访问请求的响应时间达到后,如果未监控到接收端向发送端返回访问响应(例如:未监控到服务器向客户端返回200 OK的状态码),则确定通过执行旁路阻断操作成功拦截访问请求。
可选地,在步骤S35,确定通过执行旁路阻断操作未能拦截访问请求之后,还可以包括以下执行步骤:
步骤S36:按照预设次数重复向接收端发送伪造复位请求;
步骤S37:利用拦截访问请求的失败次数与预设次数计算拦截访问请求的失败率;
步骤S38:当失败率超过预设监控阈值时,发出告警提示。
由于旁路设备可以对接收端是否向发送端返回访问响应进行监听,因此,如果在接收端对访问请求的响应时间达到后,依然能够监控到服务器向客户端返回访问响应,则可以确定通过执行旁路阻断操作未能拦截访问请求。
此时,可以为该访问请求设定一个监控阈值(例如:5%)以及需要对该访问请求进行重复拦截的次数(例如:100次),通过按照设定的重复拦截次数对访问请求进行重复拦截,如果拦截失败的次数与设定的重复拦截次数的比值大于监控阈值(即拦截失败率大于5%)即可认为对该访问请求长期拦截失效,进而发出告警提示,即,当前存在长期拦截失效行为,需要通过动态切换链路的方式来完成自适应旁路阻断拦截动作。
可选地,在步骤S38,当失败率超过预设监控阈值时,发出告警提示之后,还可以包括以下执行步骤:
步骤S39:控制边界网关协议(BGP)清洗设备通过BGP牵引的方式将拦截失败的访问请求牵引至BGP清洗设备,其中,BGP清洗设备与转发访问请求的路由设备相连接,访问请求在经过BGP清洗设备的清洗和回注后,发送至接收端。
在发生上述对访问请求长期拦截失效事件的情况下,需要控制机房网络中的BGP流量清洗设备通过对访问请求进行BGP牵引,进而将对该访问请求切换到BGP流量清洗设备。通过这种方式可以改变访问请求在进入机房核心路由以后的路由,由于采用强制牵引改变路由的方式,比原有传输路径相比,其传输延时将会增加500微秒左右。而由于旁路阻断设备部署在BGP迁移流量前端,即可实现旁路发现和阻断拦截动作的reset请求传输路径保持不变。这样在改变原有访问请求的传输延时后,便可以稳定地保持阻断的拦截成功率。
通过对监控发现的拦截失效访问请求执行BGP牵引到流量清洗设备,通过改变原有访问请求路由的方式来延长接收端应答的处理延时,从而满足旁路阻断的延时差要求,完成稳定的旁路阻断效果。
在优选实施过程中,还可以将旁路阻断的分流侦听的网络部署上移到因特网服务提供商(Internet Service Provider,简称为ISP,其能够提供拨号上网服务、网上浏览、下载文件、收发电子邮件等服务,是网络最终用户进入因特网的入口和桥梁,具体可以包括:因特网接入服务和因特网内容提供服务)侧,并将旁路拦截的reset请求传输接入部署下沉到距离接收端最近的接入层交换机侧,进而通过优化旁路阻断的传输路径方式来优化和接收端应答的处理延时之间的延时差,其同样能够得到良好的拦截效果。
图6是根据本申请优选实施例的旁路阻断的动态切换的示意图。如图6所示,
旁路设备602和BGP清洗设备608旁路部署在路由设备600上,由于是旁路部署,需要将拦截失败的访问请求通过BGP引流方式实时牵引至BGP清洗设备608进行延时处理,再将访问请求通过策略路由方式回注到原链路的路由设备600,进而由路由设备600,最终由路由设备600将访问请求转发至服务器集群A 604和/或服务器集群B606。
在具体实施过程中通过采用静态引流方式,将需要将拦截失败的访问请求通过BGP引流方式实时牵引至BGP清洗设备608进行延时处理。
路由设备600的接口1与BGP清洗设备608的接口1之间的通道为引流通道,BGP清洗设备608的接口2与路由设备600的接口2之间的通道为回注通道。BGP清洗设备608通过路由设备600的接口1将拦截失败的访问请求牵引至BGP清洗设备608进行延时处理,然后再通过BGP清洗设备608的接口2回注。
通过这种方式可以改变访问请求在进入机房核心路由以后的路由,由于采用强制牵引改变路由的方式,比原有传输路径相比,其传输延时将会明显增加。而由于旁路阻断设备部署在BGP迁移流量前端,即可实现旁路发现和阻断拦截动作的reset请求传输路径保持不变。这样在改变原有访问请求的传输延时后,便可以稳定地保持阻断的拦截成功率。
在上述运行环境下,本申请提供了另一种如图7所示的阻断访问请求的方法。图7是根据本申请实施例的另一种阻断访问请求的方法的流程图。如图7所示,该方法可以包括以下处理步骤:
步骤S71:获取访问请求;
步骤S72:在访问请求匹配预设阻断规则的情况下,向接收端发送伪造复位请求,其中,伪造复位请求用于触发接收端关闭在发送端与接收端之间的网络连接。
与图3所示的方法不同,当发送端向接收端发送访问请求时,可以在负责转发该访问请求的路由设备上设置一个或多个源端口将访问流量转发至旁路设备的指定端口上,即,旁路设备不需要串接到网络中,而是旁挂在路由设备上。另外,除了在路由设备上挂接旁路设备之外,还需要在路由设备上挂接监控设备。该监控设备可以是终端或服务器,用于对网络实行安全监控,对访问请求进行检测和告警。即,对访问响应的监测点由旁路设备转移至单独新增的监控设备,从而通过监控设备监控路由设备是否接收到服务器集群返回的与访问请求对应的访问响应。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的阻断访问请求的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
根据本申请实施例,还提供了一种用于实施上述阻断访问请求的装置实施例,图8是根据本申请实施例的阻断访问请求的装置的结构框图。如图8所示,该装置包括:获取模块10,用于获取镜像请求,其中,镜像请求是对从发送端发送至接收端的访问请求的镜像结果;第一确定模块20,用于确定镜像请求匹配预设阻断规则;执行模块30,用于向接收端发送伪造复位请求,以阻断访问请求,其中,伪造复位请求用于触发接收端关闭在发送端与接收端之间的网络连接;监控模块40,用于监控接收端是否向发送端返回与访问请求对应的访问响应。
当发送端(例如:客户端)向接收端(例如:服务器)发送访问请求时,可以在负责转发该访问请求的路由设备上设置旁路接口,即,不需要串接到网络中,而是旁挂在路由设备上,再通过旁路镜像方式对网络中的请求报文进行检测和告警。由此,可以实现在不改变原有网络拓扑结构的前提下无缝接入网络对请求报文进行检测。
上述预设阻断规则可以根据网络中常见的不同类型的恶意攻击形式来预先设定完成。在每次通过旁路模式获取到镜像请求后,可以将镜像请求与上述预设阻断规则进行比对,如果镜像请求能够与上述预设阻断规则相互匹配,那么就需要对该访问请求执行旁路阻断操作。
采用本申请实施例所提供的技术方案,通过对发送端发送至接收端的访问请求以及在对该访问请求进行旁路阻断拦截后对接收端向发送端返回的访问响应进行双向监控,达到了自动感知旁路阻断的拦截效果的目的,从而实现了及时掌握旁路阻断的拦截效果以便能够根据旁路阻断的拦截效果动态调整旁路阻断策略,从而最大程度地提升旁路阻断的成功率的技术效果,进而解决了相关技术中无法实现对旁路阻断的拦截效果进行监控的技术问题。
可选地,图9是根据本申请优选实施例的阻断访问请求的装置的结构框图。如图9所示,上述装置还包括:第二确定模块50,用于在接收端对访问请求的响应时间达到后,如果未监控到接收端向发送端返回访问响应,则确定成功拦截访问请求;如果监控到接收端向发送端返回访问响应,则确定未能拦截访问请求。
接收端是否向发送端返回访问响应主要取决于在接收端对访问请求的响应时间达到前能够接收到上述reset请求,即从接收端接收到访问请求到准备返回访问响应的延时差(T1)必须要大于从旁路设备通过旁路模式侦听捕捉到访问请求开始一直到将reset请求发送至接收端的延时差(T2),其中,T2由对访问请求进行分析继而生成伪造的reset请求的处理延时(t1)和从旁路设备将reset请求发送至接收端的网络传输延时(t2)两部分组成。
如果旁路设备能够在满足T2(即t1+t2)<T1的条件下将reset请求发送至接收端,那么在接收端准备返回访问响应之前,便会释放在发送端与接收端之间建立的网络连接,继而不再向发送端返回访问响应,此时,便不会监听到访问响应,由此可以确定通过执行旁路阻断操作已经成功拦截访问请求。然而,如果旁路设备未能在满足T2(即t1+t2)<T1的条件下将reset请求发送至接收端,那么在接收端接收到reset请求之前,便已经向发送端返回访问响应,而后才会释放在发送端与接收端之间建立的网络连接,此时,便可以监听到从接收端发出的访问响应,由此可以确定通过执行旁路阻断操作未能成功拦截访问请求。
可选地,执行模块30,用于按照预设次数重复向接收端发送伪造复位请求;上述装置还包括:如图9所示,计算模块60,用于利用拦截访问请求的失败次数与预设次数计算拦截访问请求的失败率;告警模块70,用于当失败率超过预设监控阈值时,发出告警提示。
由于旁路设备可以对接收端是否向发送端返回访问响应进行监听,因此,如果在接收端对访问请求的响应时间达到后,依然能够监控到服务器向客户端返回访问响应,则可以确定通过执行旁路阻断操作未能拦截访问请求。
此时,可以为该访问请求设定一个监控阈值(例如:5%)以及需要对该访问请求进行重复拦截的次数(例如:100次),通过按照设定的重复拦截次数对访问请求进行重复拦截,如果拦截失败的次数与设定的重复拦截次数的比值大于监控阈值(即拦截失败率大于5%)即可认为对该访问请求长期拦截失效,进而发出告警提示,即,当前存在长期拦截失效行为,需要通过动态切换链路的方式来完成自适应旁路阻断拦截动作。
可选地,如图9所示,上述装置还包括:控制模块80,用于控制BGP清洗设备通过BGP牵引的方式将拦截失败的访问请求牵引至BGP清洗设备,其中,BGP清洗设备与转发访问请求的路由设备相连接,访问请求在经过BGP清洗设备的清洗和回注后,发送至接收端。
通过这种方式可以改变访问请求在进入机房核心路由以后的路由,由于采用强制牵引改变路由的方式,比原有传输路径相比,其传输延时将会明显增加。而由于旁路阻断设备部署在BGP迁移流量前端,即可实现旁路发现和阻断拦截动作的reset请求传输路径保持不变。这样在改变原有访问请求的传输延时后,便可以稳定地保持阻断的拦截成功率。
根据本申请实施例,还提供了另一种用于实施上述阻断访问请求的装置实施例,图10是根据本申请实施例的另一种阻断访问请求的装置的结构框图。如图10所示,该装置包括:获取模块1000,用于获取访问请求;执行模块1002,用于在访问请求匹配预设阻断规则的情况下,向接收端发送伪造复位请求,其中,伪造复位请求用于触发接收端关闭在发送端与接收端之间的网络连接。
实施例3
根据本申请实施例,还提供了一种服务器。该服务器用于在获取到的镜像请求匹配预设阻断规则的情况下,向接收端发送伪造复位请求,并监控接收端是否向发送端返回与访问请求对应的访问响应,其中,镜像请求是对从发送端发送至接收端的访问请求进行镜像得到的,伪造复位请求用于触发接收端关闭在发送端与接收端之间的网络连接。
可选地,服务器还用于在接收端对访问请求的响应时间达到后,如果未监控到接收端向发送端返回访问响应,则确定成功拦截访问请求;如果监控到接收端向发送端返回访问响应,则确定未能拦截访问请求。
可选地,服务器还用于按照预设次数重复向接收端发送伪造复位请求,利用拦截访问请求的失败次数与预设次数计算拦截访问请求的失败率,并在失败率超过预设监控阈值时,发出告警提示。
可选地,服务器还用于控制BGP清洗设备通过BGP牵引的方式将拦截失败的访问请求牵引至BGP清洗设备,其中,BGP清洗设备与转发访问请求的路由设备相连接,访问请求在经过BGP清洗设备的清洗和回注后,发送至接收端。
根据本申请实施例,还提供了另一种服务器。该服务器用于在获取到的访问请求匹配预设阻断规则的情况下,向接收端发送伪造复位请求,其中,伪造复位请求用于触发接收端关闭在发送端与接收端之间的网络连接。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (16)
1.一种阻断访问请求的系统,其特征在于,包括:
路由设备,用于接收来自于发送端的访问请求,并将所述访问请求转发至接收端;
旁路设备,用于对所述访问请求进行镜像,得到镜像请求;在所述镜像请求匹配预设阻断规则的情况下,向所述接收端发送伪造复位请求,以及监控所述接收端是否向所述发送端返回与所述访问请求对应的访问响应,其中,所述伪造复位请求用于触发所述接收端关闭在所述发送端与所述接收端之间的网络连接。
2.一种阻断访问请求的系统,其特征在于,包括:
路由设备,用于接收来自于发送端的访问请求,并将所述访问请求转发至接收端;
旁路设备,用于对所述访问请求进行镜像,得到镜像请求;在所述镜像请求匹配预设阻断规则的情况下,向所述接收端发送伪造复位请求,其中,所述伪造复位请求用于触发所述接收端关闭在所述发送端与所述接收端之间的网络连接;
监控设备,用于监控所述接收端是否向所述发送端返回与所述访问请求对应的访问响应。
3.一种阻断访问请求的方法,其特征在于,包括:
获取镜像请求,其中,所述镜像请求是对从发送端发送至接收端的访问请求的镜像结果;
确定所述镜像请求匹配预设阻断规则;和
向所述接收端发送伪造复位请求,以阻断所述访问请求;
其中,所述伪造复位请求用于触发所述接收端关闭在所述发送端与所述接收端之间的网络连接;
监控所述接收端是否向所述发送端返回与所述访问请求对应的访问响应。
4.根据权利要求3所述的方法,其特征在于,在监控所述接收端是否向所述发送端返回所述访问响应之后,还包括:
在所述接收端对所述访问请求的响应时间达到后,如果未监控到所述接收端向所述发送端返回所述访问响应,则确定成功拦截所述访问请求;如果监控到所述接收端向所述发送端返回所述访问响应,则确定未能拦截所述访问请求。
5.根据权利要求4所述的方法,其特征在于,在确定通过执行旁路阻断操作未能拦截所述访问请求之后,还包括:
按照预设次数重复向所述接收端发送所述伪造复位请求;
利用拦截所述访问请求的失败次数与所述预设次数计算拦截所述访问请求的失败率;
当所述失败率超过预设监控阈值时,发出告警提示。
6.根据权利要求5所述的方法,其特征在于,在当所述失败率超过所述预设监控阈值时,发出所述告警提示之后,还包括:
控制边界网关协议BGP清洗设备通过BGP牵引的方式将拦截失败的所述访问请求牵引至所述BGP清洗设备,其中,所述BGP清洗设备与转发所述访问请求的路由设备相连接,所述访问请求在经过所述BGP清洗设备的清洗和回注后,发送至所述接收端。
7.一种阻断访问请求的方法,适用于旁路设备,其特征在于,所述旁路设备旁挂于路由设备上,所述方法包括:
获取所述路由设备转发的访问请求;
在所述访问请求匹配预设阻断规则的情况下,向接收端发送伪造复位请求,其中,所述伪造复位请求用于触发所述接收端关闭在所述发送端与所述接收端之间的网络连接;
挂接于所述路由设备的监控设备可监控所述路由设备是否接收到与所述访问请求对应的访问响应。
8.一种阻断访问请求的方法,其特征在于,包括:
监控接收端是否向发送端返回与访问请求对应的访问响应;所述访问请求是所述发送端向所述接收端发出的;且在所述访问请求匹配预设阻断规则的情况下,可通过伪造复位请求触发所述接收端关闭在所述发送端与所述接收端之间的网络连接;若未监控到与访问请求对应的访问响应,则确定成功拦截所述访问请求。
9.一种服务器,其特征在于,所述服务器用于在获取到的镜像请求匹配预设阻断规则的情况下,向接收端发送伪造复位请求,并监控所述接收端是否向所述发送端返回与访问请求对应的访问响应,其中,所述镜像请求是对从发送端发送至接收端的访问请求进行镜像得到的,所述伪造复位请求用于触发所述接收端关闭在所述发送端与所述接收端之间的网络连接。
10.根据权利要求9所述的服务器,其特征在于,所述服务器还用于在所述接收端对所述访问请求的响应时间达到后,如果未监控到所述接收端向所述发送端返回所述访问响应,则确定成功拦截所述访问请求;如果监控到所述接收端向所述发送端返回所述访问响应,则确定未能拦截所述访问请求。
11.根据权利要求10所述的服务器,其特征在于,所述服务器还用于按照预设次数重复向所述接收端发送所述伪造复位请求,利用拦截所述访问请求的失败次数与所述预设次数计算拦截所述访问请求的失败率,并在所述失败率超过预设监控阈值时,发出告警提示。
12.根据权利要求11所述的服务器,其特征在于,所述服务器还用于控制边界网关协议BGP清洗设备通过BGP牵引的方式将拦截失败的所述访问请求牵引至所述BGP清洗设备,其中,所述BGP清洗设备与转发所述访问请求的路由设备相连接,所述访问请求在经过所述BGP清洗设备的清洗和回注后,发送至所述接收端。
13.一种服务器,其特征在于,所述服务器旁挂于路由设备上,用于获取所述路由设备转发的访问请求,并在获取到的访问请求匹配预设阻断规则的情况下,向接收端发送伪造复位请求,其中,所述伪造复位请求用于触发所述接收端关闭在所述发送端与所述接收端之间的网络连接;
挂接于所述路由设备的监控设备可监控所述路由设备是否接收到与所述访问请求对应的访问响应。
14.一种服务器,其特征在于,所述服务器用于监控接收端是否向发送端返回与访问请求对应的访问响应;所述访问请求是所述发送端向所述接收端发出的;且在所述访问请求匹配预设阻断规则的情况下,可通过伪造复位请求触发所述接收端关闭在所述发送端与所述接收端之间的网络连接;若未监控到与访问请求对应的访问响应,则确定成功拦截所述访问请求。
15.一种阻断访问请求的装置,其特征在于,包括:
获取模块,用于获取镜像请求,其中,所述镜像请求是对从发送端发送至接收端的访问请求的镜像结果;
确定模块,用于确定所述镜像请求匹配预设阻断规则;
执行模块,用于向所述接收端发送伪造复位请求,以阻断所述访问请求;
其中,所述伪造复位请求用于触发所述接收端关闭在所述发送端与所述接收端之间的网络连接;
监控所述接收端是否向所述发送端返回与所述访问请求对应的访问响应。
16.一种阻断访问请求的装置,旁挂于路由设备上,其特征在于,包括:
获取模块,用于获取所述路由设备转发的访问请求;
执行模块,用于在所述访问请求匹配预设阻断规则的情况下,向接收端发送伪造复位请求,其中,所述伪造复位请求用于触发所述接收端关闭在所述发送端与所述接收端之间的网络连接;
挂接于所述路由设备的监控设备可监控所述路由设备是否接收到与所述访问请求对应的访问响应。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610559404.3A CN107623661B (zh) | 2016-07-15 | 2016-07-15 | 阻断访问请求的系统、方法及装置,服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610559404.3A CN107623661B (zh) | 2016-07-15 | 2016-07-15 | 阻断访问请求的系统、方法及装置,服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107623661A CN107623661A (zh) | 2018-01-23 |
| CN107623661B true CN107623661B (zh) | 2020-12-08 |
Family
ID=61087543
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610559404.3A Active CN107623661B (zh) | 2016-07-15 | 2016-07-15 | 阻断访问请求的系统、方法及装置,服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107623661B (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108259509A (zh) * | 2018-02-27 | 2018-07-06 | 世纪龙信息网络有限责任公司 | 网络接入认证方法、系统、计算机设备和存储介质 |
| CN108833418B (zh) * | 2018-06-22 | 2021-05-25 | 京东数字科技控股有限公司 | 用于防御攻击的方法、装置和系统 |
| CN109309628A (zh) * | 2018-09-19 | 2019-02-05 | 北京奇安信科技有限公司 | 一种共享接入用户的阻塞处理方法及装置 |
| CN109587156B (zh) * | 2018-12-17 | 2021-07-09 | 广州天懋信息系统股份有限公司 | 异常网络访问连接识别与阻断方法、系统、介质和设备 |
| CN110868380B (zh) * | 2018-12-19 | 2022-08-23 | 北京安天网络安全技术有限公司 | 网络流量安全监测方法、装置、电子设备及存储介质 |
| CN109672563B (zh) * | 2018-12-24 | 2021-10-19 | 广州君海网络科技有限公司 | 一种网关的配置方法、装置及api网关 |
| CN109688140B (zh) * | 2018-12-27 | 2022-02-01 | 北京天融信网络安全技术有限公司 | 一种信息处理方法及信息处理装置 |
| CN110049119A (zh) * | 2019-04-12 | 2019-07-23 | 苏州浪潮智能科技有限公司 | 一种服务请求处理方法、装置及相关设备 |
| CN111917682B (zh) * | 2019-05-07 | 2023-01-24 | 阿里巴巴集团控股有限公司 | 访问行为识别方法、性能检测方法、装置、设备和系统 |
| CN110213362B (zh) * | 2019-05-29 | 2021-06-29 | 武汉绿色网络信息服务有限责任公司 | 一种旁路环境下的长信息推送的方法和装置 |
| CN111049807B (zh) * | 2019-11-25 | 2022-03-11 | 杭州安恒信息技术股份有限公司 | 旁路报文限速方法和系统 |
| CN111385303B (zh) * | 2020-03-11 | 2022-11-29 | 江苏亨通工控安全研究院有限公司 | 一种网络安全防护系统及实现方法 |
| CN111786940A (zh) * | 2020-05-07 | 2020-10-16 | 宁波小遛共享信息科技有限公司 | 一种数据处理方法及装置 |
| CN113765846B (zh) * | 2020-06-01 | 2023-08-04 | 极客信安(北京)科技有限公司 | 一种网络异常行为智能检测与响应方法、装置及电子设备 |
| CN112073374B (zh) * | 2020-08-05 | 2023-03-24 | 长沙市到家悠享网络科技有限公司 | 信息拦截方法、装置及设备 |
| CN112087459B (zh) * | 2020-09-11 | 2023-02-21 | 杭州安恒信息技术股份有限公司 | 一种访问请求检测的方法、装置、设备及可读存储介质 |
| CN112995277B (zh) * | 2021-02-01 | 2023-02-24 | 长沙市到家悠享网络科技有限公司 | 访问处理方法、装置及代理服务器 |
| CN115052004A (zh) * | 2022-06-13 | 2022-09-13 | 北京天融信网络安全技术有限公司 | 网络访问旁路监控方法及电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1909504A (zh) * | 2006-01-11 | 2007-02-07 | 郑凯 | 一种基于旁路侦听技术对局域网主机公网报文进行控制的方法 |
| CN101902334A (zh) * | 2009-05-25 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种安全事件实时确认方法及系统 |
| CN105227515A (zh) * | 2014-05-28 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 网络入侵阻断方法、装置及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9438994B2 (en) * | 2013-01-23 | 2016-09-06 | Lloyd Baggs Innovations, Llc | Instrument amplification systems incorporating reflection cancelling boundary microphones and multiband compression |
-
2016
- 2016-07-15 CN CN201610559404.3A patent/CN107623661B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1909504A (zh) * | 2006-01-11 | 2007-02-07 | 郑凯 | 一种基于旁路侦听技术对局域网主机公网报文进行控制的方法 |
| CN101902334A (zh) * | 2009-05-25 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种安全事件实时确认方法及系统 |
| CN105227515A (zh) * | 2014-05-28 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 网络入侵阻断方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107623661A (zh) | 2018-01-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107623661B (zh) | 阻断访问请求的系统、方法及装置,服务器 | |
| US11050786B2 (en) | Coordinated detection and differentiation of denial of service attacks | |
| US20220045990A1 (en) | Methods and systems for api deception environment and api traffic control and security | |
| US10798055B2 (en) | Detecting relayed communications | |
| Cambiaso et al. | Slow DoS attacks: definition and categorisation | |
| CN100474819C (zh) | 一种深度报文检测方法、网络设备及系统 | |
| Wang et al. | Your state is not mine: A closer look at evading stateful internet censorship | |
| US9444835B2 (en) | Method for tracking machines on a network using multivariable fingerprinting of passively available information | |
| CN108494769B (zh) | 一种Tor匿名网络中隐藏服务的溯源方法 | |
| Fadlullah et al. | DTRAB: Combating against attacks on encrypted protocols through traffic-feature analysis | |
| CN103179132B (zh) | 一种检测和防御cc攻击的方法及装置 | |
| KR20200033092A (ko) | 엣지 컴퓨팅 기반 네트워크 모니터링 방법, 장치 및 시스템 | |
| EP3823244A1 (en) | High availability for network security devices | |
| US20200120107A1 (en) | Triggering targeted scanning to detect rats and other malware | |
| Mirkovic et al. | Towards user-centric metrics for denial-of-service measurement | |
| Kannan et al. | Semi-automated discovery of application session structure | |
| EP3340566B1 (en) | Identifying self-signed certificates using http access logs for malware detection | |
| Pras et al. | Attacks by “Anonymous‿ WikiLeaks Proponents not Anonymous | |
| CN109922062B (zh) | 源代码泄露监控方法及相关设备 | |
| CN102404741B (zh) | 移动终端上网异常检测方法和装置 | |
| CN108810008B (zh) | 传输控制协议流量过滤方法、装置、服务器及存储介质 | |
| JP4259183B2 (ja) | 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法 | |
| TW201124876A (en) | System and method for guarding against dispersive blocking attacks | |
| CN108234516B (zh) | 一种网络泛洪攻击的检测方法及装置 | |
| EP2747345B1 (en) | Ips detection processing method, network security device and system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |