CN108234473A - 一种报文防攻击方法及装置 - Google Patents
一种报文防攻击方法及装置 Download PDFInfo
- Publication number
- CN108234473A CN108234473A CN201711465437.2A CN201711465437A CN108234473A CN 108234473 A CN108234473 A CN 108234473A CN 201711465437 A CN201711465437 A CN 201711465437A CN 108234473 A CN108234473 A CN 108234473A
- Authority
- CN
- China
- Prior art keywords
- message
- blacklist
- attack
- address
- attack protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Abstract
本申请涉及防报文攻击领域,尤其涉及一种报文防攻击方法及装置,包括监测在第一预设时间长度内接收到的携带有相同的第一目标参数的第一报文的个数;所述第一目标参数包括报文的五元组信息对应的五种参数中至少一种参数;若第一报文的个数达到预设的第一阈值,则将所述第一目标参数加入预设的防攻击黑名单中,并将所述防攻击黑名单中具有所述第一目标参数的多个五元组信息删除;其中,删除的所述防攻击黑名单中的五元组信息,是当在第二预设时间长度内接收到携带有所述五元组信息的第二报文的个数达到第二阈值时,加入到所述防攻击黑名单中的。本申请能够在有效的防御报文攻击的基础上,节约了黑名单资源。
Description
技术领域
本申请涉及报文攻击技术领域,具体而言,涉及一种报文防攻击方法及装置。
背景技术
传输控制协议拒绝服务攻击(TCP SYN FLOOD)为网络中常见的攻击手段,其原理是利用传输控制协议(Transmission Control Protocol,TCP)协议,将大量同步序列编号(Synchronize Sequence Numbers,SYN)标记位置1的报文发送到网络设备或服务器(以下简称设备)的接口上,以通过大量的SYN报文冲击设备的主控CPU,使得设备的主控CPU处理资源耗尽,导致无法建立正常业务。因此,现有的设备大多需要对TCP SYN FLOOD攻击进行防御。
现有技术中,针对TCP SYN FLOOD攻击的防御方法通常是采用基于黑名单的方案,当监控到上送到设备的TCP SYN报文为攻击报文时,将该攻击报文的五元组信息记录在黑名单中,后续,若每一个上送主机的TCP SYN报文的五元组信息匹配黑名单中的五元组信息,则丢弃匹配黑名单的该TCP SYN报文,以此来防御TCP SYN FLOOD攻击。
但是,设备中黑名单的资源是有限的,而实际情况中,TCP SYN FLOOD攻击可能会不停的变换源端口或者源网络之间互连的协议(Internet Protocol,IP)地址,而这种情况下的攻击报文的数量相比五元组信息不变的攻击报文的数量呈指数倍数的增长,从而很容易将设备中的黑名单资源占满,当黑名单资源被占满以后,不在黑名单内的攻击报文,要么不再受黑名单限制直接冲击主机,要么和其他正常报文一起被限速,影响正常业务的建立。
发明内容
有鉴于此,本申请实施例的目的在于提供一种报文防攻击方法及装置,通过五元组信息和第一目标参数监控报文的攻击级别,并在确定报文为高级别攻击时,利用高攻击级别的一个黑名单条目信息来替代多个对应的多个低攻击级别的黑名单条目信息,在有效的防御报文攻击的基础上,节约了黑名单资源。
第一方面,本申请实施例提供了一种报文防攻击方法,包括:
监测在第一预设时间长度内接收到的携带有相同的第一目标参数的第一报文的个数;所述第一目标参数包括报文的五元组信息对应的五种参数中至少一种参数;
若第一报文的个数达到预设的第一阈值,则将所述第一目标参数加入预设的防攻击黑名单中,并将所述防攻击黑名单中具有所述第一目标参数的多个五元组信息删除;
其中,删除的所述防攻击黑名单中的五元组信息,是当在第二预设时间长度内接收到携带有所述五元组信息的第二报文的个数达到第二阈值时,加入到所述防攻击黑名单中的。
第二方面,本申请实施例还提供了一种报文防攻击装置,包括:
监测模块,用于监测在第一预设时间长度内接收到的携带有相同的第一目标参数的第一报文的个数;所述第一目标参数包括报文的五元组信息对应的五种参数中至少一种参数;
黑名单更新模块,用于在第一报文的个数达到预设的第一阈值时,将所述第一目标参数加入预设的防攻击黑名单中,并将所述防攻击黑名单中具有所述第一目标参数的多个五元组信息删除;
其中,删除的所述防攻击黑名单中的五元组信息,是当在第二预设时间长度内接收到携带有所述五元组信息的第二报文的个数达到第二阈值时,加入到所述防攻击黑名单中的。
本申请实施例提供的报文防攻击方法及装置,通过五元组信息和第一目标参数监控报文的攻击级别,并在确定报文为高级别攻击时,利用高攻击级别的一个黑名单条目信息来替代多个对应的多个低攻击级别的黑名单条目信息,在有效的防御报文攻击的基础上,节约了黑名单资源,保证了在有效的防御报文攻击的基础上,节约了黑名单资源。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了实施本申请实施例所提供的报文防攻击方法的通信系统的结构示意图。
图2示出了本申请实施例所提供的一种报文防攻击方法的流程图。
图3示出了本申请实施例所提供的一种报文防攻击方装置的结构示意图。
图4示出了本申请实施例所提供的另一种报文防攻击方装置的结构示意图。
图5示出了本申请实施例所提供的一种计算机设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
如图1所示,为实施本申请实施例提供的报文攻击方法的一种通信系统的结构示意图,该通信系统包括:用户端10和网络设备20;这里,网络设备20可以为路由器、交换机、网桥、网关、网络适配器(Network Interface Card,NIC)等。在本申请实施例中,用户端10与网络设备20可以通过传输控制协议(Transmission Control Protocol,TCP)建立通信连接,也可以通过用户数据报协议(User Datagram Protocol,UDP)建立通信连接,以此来实现用户端10与网络设备20之间业务数据的传输。需要说明的是,上述通信系统只是本申请实施例的一种实例,实际中,任何用户端和非用户端设备组成的通信系统都可以实施本申请的方案,比如,上述非用户端除了可以为网络设备20,还可以为服务器。
以用户端10与网络设备20通过TCP建立通信连接为例,正常的用户端10与网络设备20建立TCP连接的过程为:用户端10向网络设备20发送传输控制协议同步序列编号(TCPSYN)报文,网络设备20在接收到该TCP SYN报文后,向用户端10返回SYN+ACK(同步确认字符)报文,用户端10在接收到所述SYN+ACK报文后,向网络设备20发送ACK(确认字符)报文,当网络设备20接收到该ACK报文且确认该ACK报文正确,则建立与用户端10的通信连接。
但是,若用户端10携带有传输控制协议拒绝服务(TCP SYN FLOOD)的攻击源,携带有攻击源的用户端10会向网络设备20发送大量的TCP SYN攻击报文,通过大量的SYN报文冲击网络设备20的主控CPU,使得网络设备20的主控中央处理器(Central Processing Unit,CPU)处理资源耗尽,从而无法建立与用户端10的正常通信连接。因此,网络设备20为了防止遭受传输控制协议拒绝服务攻击,需要防御来自用户端10的TCP SYN攻击报文,以保证网络设备20与用户端10正常业务的建立。
通常情况下,TCP SYN FLOOD攻击源发送的TCP SYN报文的目的IP地址、目的端口和传输层协议都是不变的,基于TCP SYN FLOOD攻击源的该攻击特点,本申请实施例将来自TCP SYN FLOOD攻击源的TCP SYN攻击报文分为多个攻击级别,分别为:低等级攻击、中等级攻击和高等级攻击。其中,上述各个等级攻击的特点如下:
1、低等级攻击:TCP SYN FLOOD攻击源以五元组信息不变,但速率很大的TCP SYN报文攻击网络设备20。这里的速率为单位时间内发送的TCP SYN报文的个数。这里,五元组信息为报文的五元组信息,具体包括;源网络之间互连的协议(Internet Protocol,IP)地址、源端口、目的IP地址、目的端口和TCP协议。
2、中等级攻击:TCP SYN FLOOD攻击源以源IP地址、目的IP地址、目的端口和传输层协议不变,源端口大范围变化的TCP SYN报文攻击网络设备20。
3、高等级攻击:TCP SYN FLOOD攻击源以目的IP地址、目的端口和传输层协议不变,变化源IP地址的方式(这种情况下,源端口可以变化,也可以不变化)发送攻击报文。
基于此,如图2所示,为本申请第一实施例提供的报文防攻击方法,应用于上述通信系统中的网络设备20,能够防御来自用户端10的TCP SYN攻击报文,所述方法具体如下描述。
S101、监测在第一预设时间长度内接收到的携带有相同的第一目标参数的第一报文的个数;所述第一目标参数包括报文的五元组信息对应的五种参数中至少一种参数。
在本实施例中,第一目标参数相同是指第一目标参数的内容相同。例如,第一目标参数为五元组信息中的源IP地址、目的IP地址、目的端口和传输层协议,当两个报文携带的源IP地址、目的IP地址、目的端口和传输层协议均相同时,才会被认为两个报文携带有相同的第一目标参数。
举例说明:若监测到第一报文A携带的第一目标参数包括源IP地址1.1.1.1、目的IP地址2.2.2.2、目的端口10和传输层协议TCP,第一报文B携带的第一目标参数包括源IP地址1.1.1.1、目的IP地址2.2.2.2、目的端口10和传输层协议TCP,此时确定第一报文A和第一报文B携带有相同的第一目标参数。
S102、若第一报文的个数达到预设的第一阈值,则将所述第一目标参数加入预设的防攻击黑名单中,并将所述防攻击黑名单中具有所述第一目标参数的多个五元组信息删除;其中,删除的所述防攻击黑名单中的五元组信息,是当在第二预设时间长度内接收到携带有所述五元组信息的第二报文的个数达到第二阈值时,加入到所述防攻击黑名单中的。
S103(该步骤为可选步骤)、当所述第一目标参数包括源IP地址、目的IP地址、目的端口和传输层协议时,监测在第三预设时间长度内接收到携带有相同的第二目标参数的第三报文的个数;其中,所述第二目标参数包括:包含多个源IP地址的目标网段区间、目的IP地址、目的端口和传输层协议。
在本实施例中,第二目标参数相同是指第二目标参数的内容相同。例如,第二目标参数包括:目标网段区间、目的IP地址、目的端口和传输层协议时,当两个报文携带的目标网段区间、目的IP地址、目的端口和传输层协议均相同时,才会被认为两个报文携带有相同的第二目标参数。
举例说明:若监测到第三报文A携带的第二目标参数包括目标网段区间1.1.0.0-1.1.255.255、目的IP地址2.2.2.2、目的端口10和传输层协议TCP,第三报文B携带的第二目标参数包括目标网段区间1.1.0.0-1.1.255.255、目的IP地址2.2.2.2、目的端口10和传输层协议TCP,此时确定第三报文A和第三报文B携带有相同的第二目标参数。
S104(该步骤为可选步骤)、若所述第三报文的个数达到预设的第三阈值,则将所述第二目标参数加入所述防攻击黑名单中,并将所述防攻击黑名单中与所述第二目标参数对应的多个第一目标参数删除,其中,与所述第二目标参数对应的任一第一目标参数中的源IP地址位于所述第二目标参数的目标网段区间中,且该任一第一目标参数与所述第二目标参数中的目的IP地址、目的端口和传输层协议相同。
具体实施方式中,针对上述不同等级的报文攻击,对应有不同检测方式并且不同等级的攻击报文对应加入的防攻击黑名单中的条目信息也不同。针对低等级攻击,通过步骤102中的五元组信息进行检测,并且,加入所述防攻击黑名单中的条目信息为该五元组信息,因此,低等级攻击也为低等级五元组攻击;针对中等级攻击,通过步骤101中的第一目标参数进行检测,并且,加入所述防攻击黑名单中的条目信息为该第一目标参数,因此,中等级攻击也为中等级主机攻击;针对高等级攻击,通过步骤103中的第二目标参数进行检测,并且,加入所述防攻击黑名单中的条目信息为该第二目标参数,因此,高等级攻击也为高等级网段攻击。
基于本申请实施例中定义的TCP SYN攻击报文的不同级别,网络设备20首先要监控接收到的TCP SYN报文是否为上述任意一个等级的攻击报文,若是,则创建与确定的攻击级别对应的黑名单条目信息,并通过创建的条目信息来防御TCP SYN报文攻击。
在本申请实施例中,对应上述攻击级别从低到高的检测参数依次为:五元组信息、第一目标参数和第二目标参数。因此,与低等级五元组攻击对应的黑名单条目信息为五元组信息,与中等级主机攻击对应的黑名单条目信息为第一目标参数,与高等级主机攻击对应的黑名单条目信息为第二目标参数。
本申请实施例中,预先设置对应上述攻击级别从低到高的检测阈值依次为:第二阈值、第一阈值和第三阈值。需要说明的是,无论所述第一预设时间长度、所述第二预设时间长度和所述第三时间长度是否相同,单位时间长度内的第三阈值大于第一阈值,第一阈值大于第二阈值。
这里,监测的至少一个第一TCP SYN报文(即第一报文)携带有相同的第一目标参数;监测的至少一个第二TCP SYN报文(即第二报文)携带有相同的五元组信息;监测至少一个第三TCP SYN报文(即第三报文)携带有相同的第二目标参数。其中,第一TCP SYN报文可以包括多个不同的第二TCP SYN报文,不同的第二TCP SYN报文携带不同的五元组信息。第三TCP SYN报文可以包括多个不同的第一TCP SYN报文,任一个第一TCP SYN报文中的源IP地址位于上述第三TCP SYN报文的目标网段区间内,且第一TCP SYN报文与所述第三TCPSYN报文中的目的IP地址、目的端口和传输层协议相同。
这里,基于中等级主机攻击的TCP SYN报文的特点,即源IP地址、目的IP地址、目的端口和传输层协议不变,源端口大范围变化,本申请实施例中的第一目标参数可以为“源IP地址、目的IP地址、目的端口和传输层协议”,也可以为“源端口、目的IP地址、目的端口和传输层协议”。本申请实施例中,第一目标参数为源IP地址、目的IP地址、目的端口以及TCP协议。
基于高等级攻击的TCP SYN报文的特点,即目的IP地址、目的端口和传输层协议不变,源IP地址变化,对应于包括“源IP地址、目的IP地址、目的端口和传输层协议”的第一目标参数,高等级攻击对应的第二目标参数为包含多个源IP地址的目标网段区间、目的IP地址、目的端口和传输层协议。这里,第二目标参数包括:目标网段区间、目的IP地址、目的端口以及具体的传输层协议。
应当理解的是,本申请实施例只是以网络设备监测的报文为TCP SYN报文为例进行说明,网络设备监测的报文还可以是其他类型的报文,在此不再特别说明。
在本申请实施例中,通过以下方法确定任一源IP地址的目标网段区间:根据预设的路由表中包含的源IP地址与目标网段区间的映射关系,从所述路由表中查找与所述源IP地址对应的目标网段区间。
具体实施方式中,网络设备20中预先存储有路由表,该路由表中存储有IP字段与网段区间的映射关系表,在接收到任一TCP SYN报文之后,根据该TCP SYN报文的源IP字段,从存储的路由表中的有IP字段与网段区间的映射关系表,查找与该源IP字段对应的网段信息,查找到的该网段信息即为对应于源IP字段的目标网段区间。
具体实施方式中,网络设备在每接收到一个来自用户端的TCP SYN报文后,提取接收到的TCP SYN报文的五元组信息。基于提取的五元组信息,监测在第二预设时间长度内接收到的携带有相同五元组信息的第二TCP SYN报文的个数,对于提取的任一个五元组信息,若监控到包括所述五元组信息的第二TCP SYN报文的个数达到第二阈值时,将第二TCP SYN报文携带的五元组信息加入到所述防攻击黑名单中。
同时,基于提取的五元组信息,提取每一个接收到的所述五元组信息中的第一目标参数,基于提取的第一目标参数,监测在第一预设时间长度内接收到的携带有相同的第一目标参数的第一TCP SYN报文的个数。若监控到第一TCP SYN报文的个数达到第一阈值时,将所述第一目标参数加入预设的防攻击黑名单中,并将所述防攻击黑名单中具有所述第一目标参数的多个五元组信息删除。
本申请实施例中,通过五元组信息来监控TCP SYN报文是否属于低等级五元组攻击,通过第一目标参数来监控TCP SYN报文是否属于中等级主机攻击,由于,五元组信息为第一目标参数的子集,因此,对应于中等级主机攻击的基于第一目标参数的黑名单条目信息,能够囊括对应于低等级五元组攻击的基于五元组信息的黑名单条目信息。因此,一旦监测到TCP SYN报文属于中等级主机攻击,则通过一个基于第一目标参数的黑名单条目信息来替代多个基于五元组信息的黑名单条目信息,能够在有效的防御TCP SYN报文攻击的基础上,节约了黑名单资源。
本申请实施例中,通过第一目标参数来监控TCP SYN报文是否属于中等级主机攻击,通过第二目标参数来监控TCP SYN报文是否属于高等级网段攻击,由于,第一目标参数为第二目标参数的子集,因此,对应于高等级网段攻击的基于第二目标参数的黑名单条目信息,能够囊括对应于中等级主机攻击的基于第一目标参数的黑名单条目信息,因此,一旦监测到TCP SYN报文属于高等级网段攻击,则通过一个基于第二目标参数的黑名单条目信息来替代多个基于第一目标参数的黑名单条目信息,能够在有效的防御TCP SYN报文攻击的基础上,节约黑名单资源。
仍然以前述第二TCP SYN报文a(即第二报文)为例,具体的对应于低等级的低等级五元组攻击、中等级主机攻击和高等级网段攻击的防攻击黑名单表项如下:
低等级的低等级五元组攻击的黑名单表项:
源IP地址(permit tcp source):192.5.6.2,目的IP地址(destination):192.5.6.1,源端口:176,TCP(传输层协议),目的端口(destination-port):63683。
中等级主机攻击的黑名单表项:
源IP地址(permit tcp source):192.5.6.2,目的IP地址(destination):192.5.6.1,TCP(传输层协议),目的端口(destination-port):63683。
高等级网段攻击的防攻击黑名单表项:
源IP地址网段区间(permit tcp source):192.5.6.2-192.5.6.255,目的IP地址(destination):192.5.6.1,目的端口(destination-port):63683,TCP(传输层协议)。在这里,源IP地址网段区间即为本实施例所说的目标网段区间。
应当理解的是,当报文携带的五元组信息或第一目标参数或第二目标参数匹配防攻击黑名单表项时,应当丢弃该报文。其中,黑名单表项中permit(允许)表示若报文携带的五元组信息或第一目标参数或第二目标参数匹配防攻击黑名单表项时,则允许丢弃该报文。
下面为本申请第二实施例提供的报文防攻击方法,应用于上述通信系统中的网络设备20,能够防御来自用户端10的TCP SYN攻击报文,所述方法具体如下描述。
网络设备20监控到其接口接收到TCP SYN报文后,获取接收到的每个TCP SYN报文的五元组信息,并统计1s内携带有相同的第一五元组信息的第二TCP SYN报文的个数。
假设统计的1s内携带有相同的第一五元组信息的第二TCP SYN报文(即第二报文)的个数为100,预先设定的对应于低等级五元组攻击的第一阈值为60,此时,网络设备20判断1s内接收到的携带第一五元组信息的第二TCP SYN报文的个数200超过第二阈值60,确定携带有第一五元组信息的第二TCP SYN报文为低等级五元组攻击报文,此时,将第一五元组信息加入防攻击黑名单中。
同理,网络设备20确定携带有第二五元组信息的第二TCP SYN报文为低等级五元组攻击报文,并将第二五元组信息加入防攻击黑名单中。网络设备20确定携带有第三五元组信息的第二TCP SYN报文为低等级五元组攻击报文,并将第三五元组信息加入防攻击黑名单中。网络设备20确定携带有第四五元组信息的第二TCP SYN报文为低等级五元组攻击报文,并将第四五元组信息加入防攻击黑名单中。
这里,第一五元组信息可以为:192.5.6.2(源IP地址)、176(源端口)、TCP(传输层协议)、192.5.6.1(目的IP地址)、63683(目的端口);第二五元组信息可以为:192.5.6.2(源IP地址)、176(源端口)、TCP、192.5.6.1(目的IP地址)、63683(目的端口)。第三五元组信息可以为:192.5.6.3(源IP地址)、177(源端口)、TCP、192.5.6.1(目的IP地址)、63683(目的端口)。第四五元组信息可以为:192.5.6.3(源IP地址)、178(源端口)、TCP、192.5.6.1(目的IP地址)、63683(目的端口)。
之后,网络设备20在确定携带有第一五元组信息的第二TCP SYN报文为低等级五元组攻击报文后,提取第一五元组信息中的第一目标参数a(具体包括源IP地址192.5.6.2、目的IP地址192.5.6.1、目的端口63683和传输层协议TCP),统计1s内接收到第一目标参数a均相同第一TCP SYN报文的个数,例如:上述第一五元组信息和第二五元组信息全部相同,则携带有上述第一五元组信息或第二五元组信息的报文均可以被认为是第一报文。本申请实施例中,网络设备20统计1s内的第一TCP SYN报文(即第一报文)的个数为400,该个数超过了对应于中等级主机攻击的第一阈值300,因此,网络设备20确定携带有第一目标参数a的第一TCP SYN报文为中等级主机攻击报文,并将该第一目标参数a加入所述防攻击黑名单中,并删除防攻击黑名单存储的第一五元组信息、第二五元组信息。
同理,网络设备20确定携带有第一目标参数b的第一TCP SYN报文为中等级主机攻击报文,并将该第一目标参数b(具体包括源IP地址192.5.6.3、目的IP地址192.5.6.1、目的端口63683和传输层协议TCP)加入所述防攻击黑名单中,并删除防攻击黑名单存储的第三五元组信息、第四五元组信息。
之后,网络设备20在在确定携带有相同的第一目标参数a和第一目标参数b的第一TCP SYN报文为中等级主机攻击报文后,统计1s内接收到第二目标参数(这里的第二目标参数包括:源IP地址的目标网段区间192.5.6.2-192.5.6.255、目的IP地址192.5.6.1、目的端口63683和传输层协议TCP)均相同第三TCP SYN报文的个数,例如,上述第一目标参数a和第一目标参数b中的源IP地址均位于第二目标参数的目标网段区间,且第一目标参数a和第一目标参数b的目的IP地址、目的端口和传输层协议相同,则携带有第一目标参数a或第一目标参数b的报文均可以为被认为是第三报文。本申请实施例中,网络设备20统计1s内的第三TCP SYN报文(即第三报文)的个数为800,该个数超过了对应于高等级网段攻击的第三阈值600,因此,网络设备20确定携带有第二目标参数的第三TCP SYN报文为高等级网段攻击报文,并将该第二目标参数加入所述防攻击黑名单中,并删除防攻击黑名单存储的第一目标参数a和第一目标参数b。
基于上述建立的防攻击黑名单,本申请实施例中,还会利用上述防攻击黑名单对来自用户端的攻击报文进行防御,具体实施过程如下:
当接收到来自用户端的任一报文后,若所述任一报文中的五元组信息存在于所述防攻击黑名单中,则丢弃所述任一报文。
例如:网络设备20直接检测防攻击黑名单中是否存在提取的五元组信息,若是,丢弃该TCP SYN报文。
或者,
当接收到来自用户端的任一报文后,若所述任一报文中的所述第一目标参数存在于所述防攻击黑名单中,则丢弃所述任一报文。
例如:网络设备20在提取接收到的TCP SYN报文的五元组信息后,提取该五元组信息中的第一目标参数,然后检测防攻击黑名单中是否存在提取的第一目标参数,若是,丢弃该TCP SYN报文。
或者,
当接收到来自用户端的任一报文后,若所述任一报文中的第二目标参数存在于所述防攻击黑名单中,则丢弃所述任一报文。
例如:网络设备20在提取接收到的TCP SYN报文的五元组信息和第一目标参数后,提取所述第一目标参数中的源IP地址和其他信息(这里的其他信息指的是目的IP地址、目的端口和传输层协议),检测防攻击黑名单中是否存在包含提取的所述源IP地址的网段区间和与提取的其他信息相同的第二目标参数,若是,丢弃该TCP SYN报文。
本申请实施例中,通过五元组信息来监控TCP SYN报文是否属于低等级的低等级五元组攻击,通过第一目标参数来监控TCP SYN报文是否属于中等级主机攻击,通过第二目标参数来监控TCP SYN报文是否属于高等级网段攻击。
由于第一目标参数为第二目标参数的子集,第一目标参数为五元组信息的子集,因此,对应于高等级网段攻击的基于第二目标参数的黑名单条目信息,能够囊括对应于中等级主机攻击的基于第一目标参数的黑名单条目信息,对应于中等级主机攻击的基于第一目标参数的黑名单条目信息,能够囊括对应于低等级的低等级五元组攻击的基于五元组信息的黑名单条目信息。
因此,一旦监测到TCP SYN报文属于中等级主机攻击或者高等级网段攻击,则通过一个基于第一目标参数的黑名单条目信息来替代多个基于五元组信息的黑名单条目信息,和/或通过一个基于第二目标参数的黑名单条目信息来替代多个基于第一目标参数的黑名单条目信息,能够在有效的防御TCP SYN报文攻击的基础上,节约了黑名单资源。
本申请实施例提供的一种报文防攻击装置,用于执行所述报文防攻击方法,如图3所示,所述装置包括:
监测模块11,用于监测在第一预设时间长度内接收到的携带有相同的第一目标参数的第一报文的个数;所述第一目标参数包括报文的五元组信息对应的五种参数中至少一种参数;
黑名单更新模块12,用于在第一报文的个数达到预设的第一阈值时,将所述第一目标参数加入预设的防攻击黑名单中,并将所述防攻击黑名单中具有所述第一目标参数的多个五元组信息删除;
其中,删除的所述防攻击黑名单中的五元组信息,是当在第二预设时间长度内接收到携带有所述五元组信息的第二报文的个数达到第二阈值时,加入到所述防攻击黑名单中的。
可选的,本申请实施例提供的报文防攻击装置中,所述第一目标参数包括源IP地址、目的IP地址、目的端口和传输层协议;
监测模块11,还用于监测在第三预设时间长度内接收到携带有相同的第二目标参数的第三报文的个数;其中,所述第二目标参数包括:包含多个源IP地址的目标网段区间、目的IP地址、目的端口和传输层协议;
黑名单更新模块12,还用于在所述第三报文的个数达到预设的第三阈值时,将所述第二目标参数加入所述防攻击黑名单中,并将所述防攻击黑名单中与所述第二目标参数对应的多个第一目标参数删除,其中,与所述第二目标参数对应的任一第一目标参数中的源IP地址位于所述第二目标参数的目标网段区间中,且该任一第一目标参数与所述第二目标参数中的目的IP地址、目的端口和传输层协议相同。
可选的,如图4所示,本本申请实施例提供的报文防攻击装置,还包括:
查找模块13,用于根据预设的路由表中包含的源IP地址与目标网段区间的映射关系,从所述路由表中查找与所述源IP地址对应的目标网段区间。
可选的,如图4所示,本申请实施例提供的报文防攻击装置,还包括:
丢弃模块14,用于当接收到来自用户端的任一报文后,若所述任一报文中的五元组信息或者第二目标参数存在于所述防攻击黑名单中,则丢弃所述任一报文。
可选的,如图4所示,本申请实施例提供的报文防攻击装置中,
丢弃模块14,还用于当接收到来自用户端的任一报文后,若所述任一报文中的五元组信息或者第一目标参数或者第二目标参数存在于所述防攻击黑名单中,则丢弃所述任一报文。
本申请实施例提供的报文防攻击装置,通过五元组信息来监控TCP SYN报文是否属于低等级的低等级五元组攻击,通过第一目标参数来监控TCP SYN报文是否属于中等级主机攻击,通过第二目标参数来监控TCP SYN报文是否属于高等级网段攻击,由于,第一目标参数为第二目标参数的子集,第一目标参数为五元组信息的子集,因此,对应于高等级网段攻击的基于第二目标参数的黑名单条目信息,能够囊括对应于中等级主机攻击的基于第一目标参数的黑名单条目信息,对应于中等级主机攻击的基于第一目标参数的黑名单条目信息,能够囊括对应于低等级的低等级五元组攻击的基于五元组信息的黑名单条目信息,因此,一旦监测到TCP SYN报文属于中等级主机攻击或者高等级网段攻击,则通过一个基于第一目标参数的黑名单条目信息来替代多个基于五元组信息的黑名单条目信息,和/或通过一个基于第二目标参数的黑名单条目信息来替代多个基于第一目标参数的黑名单条目信息,能够在有效的防御TCP SYN报文攻击的基础上,节约黑名单资源。
图5为本申请一实施例提供的计算机设备的结构示意图,如图5所示,用于执行图2中的报文防攻击方法,该设备包括存储器301、处理器302及存储在该存储器301上并可在该处理器302上运行的计算机程序,其中,上述处理器302执行上述计算机程序时实现上述报文防攻击方法的步骤。
具体地,上述存储器301和处理器302能够为通用的存储器和处理器,这里不做具体限定,当处理器302运行存储器301存储的计算机程序时,能够执行上述报文防攻击方法,通过五元组信息和第一目标参数监控报文的攻击级别,并在确定报文为高级别攻击时,利用高攻击级别的一个黑名单条目信息来替代多个对应的多个低攻击级别的黑名单条目信息,在有效的防御报文攻击的基础上,节约了黑名单资源,保证了在有效的防御报文攻击的基础上,节约了黑名单资源。
对应于图5中的报文防攻击方法,本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述报文防攻击方法的步骤。
具体地,该存储介质能够为通用的存储介质,如移动磁盘、硬盘等,该存储介质上的计算机程序被运行时,能够执行上述报文防攻击方法,通过五元组信息和第一目标参数监控报文的攻击级别,并在确定报文为高级别攻击时,利用高攻击级别的一个黑名单条目信息来替代多个对应的多个低攻击级别的黑名单条目信息,在有效的防御报文攻击的基础上,节约了黑名单资源,保证了在有效的防御报文攻击的基础上,节约了黑名单资源。
本申请实施例所提供的报文防攻击的装置可以为设备上的特定硬件或者安装于设备上的软件或固件等。本申请实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,前述描述的系统、装置和单元的具体工作过程,均可以参考上述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请提供的实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释,此外,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本申请的具体实施方式,用以说明本申请的技术方案,而非对其限制,本申请的保护范围并不局限于此,尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本申请实施例技术方案的精神和范围。都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种报文防攻击方法,其特征在于,包括:
监测在第一预设时间长度内接收到的携带有相同的第一目标参数的第一报文的个数;所述第一目标参数包括报文的五元组信息对应的五种参数中至少一种参数;
若第一报文的个数达到预设的第一阈值,则将所述第一目标参数加入预设的防攻击黑名单中,并将所述防攻击黑名单中具有所述第一目标参数的多个五元组信息删除;
其中,删除的所述防攻击黑名单中的五元组信息,是当在第二预设时间长度内接收到携带有所述五元组信息的第二报文的个数达到第二阈值时,加入到所述防攻击黑名单中的。
2.根据权利要求1所述的报文防攻击方法,其特征在于,所述第一目标参数包括源IP地址、目的IP地址、目的端口和传输层协议,所述方法还包括:
监测在第三预设时间长度内接收到携带有相同的第二目标参数的第三报文的个数;其中,所述第二目标参数包括:包含多个源IP地址的目标网段区间、目的IP地址、目的端口和传输层协议;
若所述第三报文的个数达到预设的第三阈值,则将所述第二目标参数加入所述防攻击黑名单中,并将所述防攻击黑名单中与所述第二目标参数对应的多个第一目标参数删除,其中,与所述第二目标参数对应的任一第一目标参数中的源IP地址位于所述第二目标参数的目标网段区间中,且该任一第一目标参数与所述第二目标参数中的目的IP地址、目的端口和传输层协议相同。
3.根据权利要求2所述的报文防攻击方法,其特征在于,通过以下方法确定任一源IP地址的目标网段区间:
根据预设的路由表中包含的源IP地址与目标网段区间的映射关系,从所述路由表中查找与所述源IP地址对应的目标网段区间。
4.根据权利要求1至3任一项所述的报文防攻击方法,其特征在于,所述方法还包括:
当接收到来自用户端的任一报文后,若所述任一报文中的五元组信息或者第二目标参数存在于所述防攻击黑名单中,则丢弃所述任一报文。
5.根据权利要求2或3所述的报文防攻击方法,其特征在于,所述方法还包括:
当接收到来自用户端的任一报文后,若所述任一报文中的五元组信息或者第一目标参数或者第二目标参数存在于所述防攻击黑名单中,则丢弃所述任一报文。
6.一种报文防攻击装置,其特征在于,包括:
监测模块,用于监测在第一预设时间长度内接收到的携带有相同的第一目标参数的第一报文的个数;所述第一目标参数包括报文的五元组信息对应的五种参数中至少一种参数;
黑名单更新模块,用于在第一报文的个数达到预设的第一阈值时,将所述第一目标参数加入预设的防攻击黑名单中,并将所述防攻击黑名单中具有所述第一目标参数的多个五元组信息删除;
其中,删除的所述防攻击黑名单中的五元组信息,是当在第二预设时间长度内接收到携带有所述五元组信息的第二报文的个数达到第二阈值时,加入到所述防攻击黑名单中的。
7.根据权利要求6所述的报文防攻击装置,其特征在于,所述第一目标参数包括源IP地址、目的IP地址、目的端口和传输层协议;
所述监测模块,还用于监测在第三预设时间长度内接收到携带有相同的第二目标参数的第三报文的个数;其中,所述第二目标参数包括:包含多个源IP地址的目标网段区间、目的IP地址、目的端口和传输层协议;
黑名单更新模块,还用于在所述第三报文的个数达到预设的第三阈值时,将所述第二目标参数加入所述防攻击黑名单中,并将所述防攻击黑名单中与所述第二目标参数对应的多个第一目标参数删除,其中,与所述第二目标参数对应的任一第一目标参数中的源IP地址位于所述第二目标参数的目标网段区间中,且该任一第一目标参数与所述第二目标参数中的目的IP地址、目的端口和传输层协议相同。
8.根据权利要求7所述的报文防攻击装置,其特征在于,还包括:
查找模块,用于根据预设的路由表中包含的源IP地址与目标网段区间的映射关系,从所述路由表中查找与所述源IP地址对应的目标网段区间。
9.根据权利要求6至8任一项所述的报文防攻击装置,其特征在于,还包括:
丢弃模块,用于当接收到来自用户端的任一报文后,若所述任一报文中的五元组信息或者第二目标参数存在于所述防攻击黑名单中,则丢弃所述任一报文。
10.根据权利要求7或8所述的报文防攻击装置,其特征在于,丢弃模块,还用于当接收到来自用户端的任一报文后,若所述任一报文中的五元组信息或者第一目标参数或者第二目标参数存在于所述防攻击黑名单中,则丢弃所述任一报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711465437.2A CN108234473B (zh) | 2017-12-28 | 2017-12-28 | 一种报文防攻击方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711465437.2A CN108234473B (zh) | 2017-12-28 | 2017-12-28 | 一种报文防攻击方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108234473A true CN108234473A (zh) | 2018-06-29 |
CN108234473B CN108234473B (zh) | 2021-02-09 |
Family
ID=62646705
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711465437.2A Active CN108234473B (zh) | 2017-12-28 | 2017-12-28 | 一种报文防攻击方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108234473B (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109088896A (zh) * | 2018-10-25 | 2018-12-25 | 苏州格目软件技术有限公司 | 一种基于物联网的互联网DDoS防御系统的工作方法 |
CN109088895A (zh) * | 2018-10-25 | 2018-12-25 | 苏州格目软件技术有限公司 | 一种定位分散式网络安全攻击防御系统的工作方法 |
CN110661809A (zh) * | 2019-09-29 | 2020-01-07 | 新华三信息安全技术有限公司 | 一种攻击防御方法及装置 |
CN111131337A (zh) * | 2020-03-31 | 2020-05-08 | 北京安博通科技股份有限公司 | UDP Flood攻击的检测方法及装置 |
CN113765844A (zh) * | 2020-06-01 | 2021-12-07 | 极客信安(北京)科技有限公司 | 一种加密正常流量的过滤方法、装置和电子设备 |
CN114024768A (zh) * | 2021-12-01 | 2022-02-08 | 北京天融信网络安全技术有限公司 | 一种基于DDoS攻击的安全防护方法及装置 |
CN114363032A (zh) * | 2021-12-29 | 2022-04-15 | 安天科技集团股份有限公司 | 网络攻击检测方法、装置、计算机设备及存储介质 |
CN117201201A (zh) * | 2023-11-07 | 2023-12-08 | 北京金睛云华科技有限公司 | 基于全流量存储回溯系统的syn flood攻击存储方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050060535A1 (en) * | 2003-09-17 | 2005-03-17 | Bartas John Alexander | Methods and apparatus for monitoring local network traffic on local network segments and resolving detected security and network management problems occurring on those segments |
CN101035062A (zh) * | 2006-03-09 | 2007-09-12 | 中兴通讯股份有限公司 | 一种三重内容可寻址存储器报文分类的规则更新方法 |
CN101753544A (zh) * | 2008-12-05 | 2010-06-23 | 华为技术有限公司 | 包过滤规则处理方法及系统、媒体网关和媒体网关控制器 |
CN105681353A (zh) * | 2016-03-22 | 2016-06-15 | 浙江宇视科技有限公司 | 防御端口扫描入侵的方法及装置 |
CN105827646A (zh) * | 2016-05-17 | 2016-08-03 | 浙江宇视科技有限公司 | Syn攻击防护的方法及装置 |
-
2017
- 2017-12-28 CN CN201711465437.2A patent/CN108234473B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050060535A1 (en) * | 2003-09-17 | 2005-03-17 | Bartas John Alexander | Methods and apparatus for monitoring local network traffic on local network segments and resolving detected security and network management problems occurring on those segments |
CN101035062A (zh) * | 2006-03-09 | 2007-09-12 | 中兴通讯股份有限公司 | 一种三重内容可寻址存储器报文分类的规则更新方法 |
CN101753544A (zh) * | 2008-12-05 | 2010-06-23 | 华为技术有限公司 | 包过滤规则处理方法及系统、媒体网关和媒体网关控制器 |
CN105681353A (zh) * | 2016-03-22 | 2016-06-15 | 浙江宇视科技有限公司 | 防御端口扫描入侵的方法及装置 |
CN105827646A (zh) * | 2016-05-17 | 2016-08-03 | 浙江宇视科技有限公司 | Syn攻击防护的方法及装置 |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109088896A (zh) * | 2018-10-25 | 2018-12-25 | 苏州格目软件技术有限公司 | 一种基于物联网的互联网DDoS防御系统的工作方法 |
CN109088895A (zh) * | 2018-10-25 | 2018-12-25 | 苏州格目软件技术有限公司 | 一种定位分散式网络安全攻击防御系统的工作方法 |
CN109088896B (zh) * | 2018-10-25 | 2021-04-09 | 深圳供电局有限公司 | 一种基于物联网的互联网DDoS防御系统的工作方法 |
CN110661809A (zh) * | 2019-09-29 | 2020-01-07 | 新华三信息安全技术有限公司 | 一种攻击防御方法及装置 |
CN111131337A (zh) * | 2020-03-31 | 2020-05-08 | 北京安博通科技股份有限公司 | UDP Flood攻击的检测方法及装置 |
CN111131337B (zh) * | 2020-03-31 | 2020-06-26 | 北京安博通科技股份有限公司 | UDP Flood攻击的检测方法及装置 |
CN113765844A (zh) * | 2020-06-01 | 2021-12-07 | 极客信安(北京)科技有限公司 | 一种加密正常流量的过滤方法、装置和电子设备 |
CN113765844B (zh) * | 2020-06-01 | 2023-05-05 | 极客信安(北京)科技有限公司 | 一种加密正常流量的过滤方法、装置和电子设备 |
CN114024768A (zh) * | 2021-12-01 | 2022-02-08 | 北京天融信网络安全技术有限公司 | 一种基于DDoS攻击的安全防护方法及装置 |
CN114363032A (zh) * | 2021-12-29 | 2022-04-15 | 安天科技集团股份有限公司 | 网络攻击检测方法、装置、计算机设备及存储介质 |
CN114363032B (zh) * | 2021-12-29 | 2023-08-15 | 安天科技集团股份有限公司 | 网络攻击检测方法、装置、计算机设备及存储介质 |
CN117201201A (zh) * | 2023-11-07 | 2023-12-08 | 北京金睛云华科技有限公司 | 基于全流量存储回溯系统的syn flood攻击存储方法 |
CN117201201B (zh) * | 2023-11-07 | 2024-01-02 | 北京金睛云华科技有限公司 | 基于全流量存储回溯系统的syn flood攻击存储方法 |
Also Published As
Publication number | Publication date |
---|---|
CN108234473B (zh) | 2021-02-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108234473A (zh) | 一种报文防攻击方法及装置 | |
CN109347830B (zh) | 一种网络动态防御系统及方法 | |
KR100834570B1 (ko) | 실시간 상태 기반 패킷 검사 방법 및 이를 위한 장치 | |
US8561188B1 (en) | Command and control channel detection with query string signature | |
CN104853003B (zh) | 一种基于Netfilter的地址、端口跳变通信实现方法 | |
Nur et al. | Record route IP traceback: Combating DoS attacks and the variants | |
CN105306436B (zh) | 一种异常流量检测方法 | |
CN108282497A (zh) | 针对SDN控制平面的DDoS攻击检测方法 | |
JP5713445B2 (ja) | 通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム | |
CN106131027A (zh) | 一种基于软件定义网络的网络异常流量检测防御系统 | |
CN102148854B (zh) | 对等节点共享流量识别方法和装置 | |
CN101800746B (zh) | 检测僵尸网络中控制主机域名的方法、装置和系统 | |
CN106034056A (zh) | 一种业务安全分析的方法和系统 | |
Sung et al. | Large-scale IP traceback in high-speed internet: practical techniques and information-theoretic foundation | |
CN109561111B (zh) | 一种攻击源的确定方法及装置 | |
CN106453229A (zh) | 使用公共过滤器对域名系统记录系统的更新的并行检测 | |
CN112688900B (zh) | 一种防御arp欺骗和网络扫描的局域网安全防护系统及方法 | |
CN106506531A (zh) | Arp攻击报文的防御方法及装置 | |
CN106686007A (zh) | 一种发现内网被控重路由节点的主动流量分析方法 | |
CN110113333A (zh) | 一种tcp/ip协议指纹动态化处理方法及装置 | |
CN108810008A (zh) | 传输控制协议流量过滤方法、装置、服务器及存储介质 | |
CN107347051B (zh) | 一种业务报文处理方法及系统 | |
JP6418232B2 (ja) | ネットワーク管理装置、ネットワークシステム、ネットワーク管理方法およびプログラム | |
CN109962879A (zh) | 针对分布式反射拒绝服务DRDoS的安全防御方法和控制器 | |
CN109617779B (zh) | 基于vtep的路由表维护方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |