CN108418844A - 一种应用层攻击的防护方法及攻击防护端 - Google Patents
一种应用层攻击的防护方法及攻击防护端 Download PDFInfo
- Publication number
- CN108418844A CN108418844A CN201810630228.7A CN201810630228A CN108418844A CN 108418844 A CN108418844 A CN 108418844A CN 201810630228 A CN201810630228 A CN 201810630228A CN 108418844 A CN108418844 A CN 108418844A
- Authority
- CN
- China
- Prior art keywords
- client
- message
- attack
- server
- binary system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Abstract
本申请涉及网络通信技术领域,尤其涉及一种应用层攻击的防护方法,所述方法应用于攻击防护端,包括:获取所述攻击防护端与客户端握手后所述客户端发送的首个报文;在所述首个报文的预设位置获取二进制报文段,并将获取的二进制报文段与预存的二进制数据进行匹配;若所述二进制报文段与预存的二进制数据不匹配,则拒绝向服务器转发所述客户端的报文。通过本申请方案,可以有效地对应用层的攻击行为进行防护。本申请还提供了一种应用层攻击的攻击防护端。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及一种应用层攻击的防护方法及攻击防护端。
背景技术
应用层位于网络结构中的最顶层,可以为网络用户提供服务。当谈到入侵系统时,应用层是大多数入侵行为所针对的目标。高价值的攻击目标(如网上银行和敏感的医疗信息的接口)都存在于应用层或可从应用层访问。应用层攻击是以耗尽服务器资源且造成服务器拒绝服务为目的。现有的应用层攻击的检测方案,大多是通过计算在固定时间内的网络之间互连的协议(Internet Protocol,IP)请求速率来实现的。当IP请求速率达到设定阈值时,则可以判定当前IP的请求为攻击行为。
然而,现在的应用层攻击方式,一般是利用分布式代理服务器或僵尸网络对网站服务器发送大量的请求,而这种方式下,每个分布式代理服务器或僵尸网络的IP请求速率并没有明显的异常,因此,通过检测IP请求速率的方式判断攻击行为往往难以奏效。
发明内容
有鉴于此,本申请实施例提供一种应用层攻击的防护方法及攻击防护端,可以有效地判断应用层的攻击行为。
本申请实施例提供了一种应用层攻击的防护方法,所述方法包括:
获取所述攻击防护端与客户端握手后所述客户端发送的首个报文;
在所述首个报文的预设位置获取二进制报文段,并将获取的二进制报文段与预存的二进制数据进行匹配;
若所述二进制报文段与预存的二进制数据不匹配,则拒绝向服务器转发所述客户端的报文。
上述技术方案中,所述在所述首个报文的预设位置获取二进制报文段之后,还包括:
若所述二进制报文段与预存的二进制数据匹配,则在与所述服务器建立连接之后,向服务器转发所述客户端的首个报文,并在第一预设时间内接收到所述客户端的报文后,将接收到的报文转发给所述服务器。
上述技术方案中,所述在所述首个报文的预设位置获取二进制报文段,包括:
读取所述首个报文的第n+1到第n+m个字节,将读取的m个字节作为获取的所述二进制报文段,n和m是为所述客户端设置的预定值,n和m为正整数。
上述技术方案中,所述拒绝向服务器转发所述客户端的首个报文之后,还包括:
断开与所述客户端的连接,并向所述客户端返回复位报文。
上述技术方案中,所述断开与所述客户端的连接之后,还包括:
若在第二预设时间内收到所述客户端发送的连接请求,则拒绝与所述客户端之间建立连接关系。
本申请实施例还提供了一种应用层攻击的攻击防护端,包括:接收模块、获取模块和处理模块;其中,
所述接收模块,用于获取所述攻击防护端与客户端握手后所述客户端发送的首个报文;
所述获取模块,用于在所述首个报文的预设位置获取二进制报文段,并将获取的二进制报文段与预存的二进制数据进行匹配;
所述处理模块,用于若所述二进制报文段与预存的二进制数据不匹配,则拒绝向服务器转发所述客户端的报文。
上述技术方案中,所述攻击防护端还包括:
发送模块,用于若所述二进制报文段与预存的二进制数据匹配,则在与所述服务器建立连接之后,向服务器转发所述客户端的首个报文,并在第一预设时间内接收到所述客户端的报文后,将接收到的报文转发给所述服务器。
上述技术方案中,所述获取模块,具体用于读取所述首个报文的第n+1到第n+m个字节,将读取的m个字节作为获取的所述二进制报文段,n和m是为所述客户端设置的预定值,n和m为正整数。
上述技术方案中,所述发送模块,还用于断开与所述客户端的连接,并向所述客户端返回复位报文。
上述技术方案中,所述处理模块,还用于若在第二预设时间内收到所述客户端发送的连接请求,则拒绝与所述客户端之间建立连接关系。
本申请实施例还提供了一种攻击防护端,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行上述方法的步骤。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述方法的步骤。
采用上述方案,可以获取攻击防护端与客户端握手后所述客户端发送的首个报文,在首个报文的预设位置获取二进制报文段,进而可以通过获取的二进制报文段来判断该客户端是否为异常客户端,若所述二进制报文段与预存的二进制数据不匹配,则可以确定该客户端为异常客户端,从而拒绝向服务器转发该客户端的报文。这样,通过客户端握手后发送的首个报文,可以对异常的客户端进行判别并针对异常的客户端进行防护,与通过IP请求速率判别异常客户端的方案相比,可以有效地对分布式代理IP或僵尸网络IP的恶意攻击行为进行防护,提高网络安全。
为使本申请实施例的上述目的、特征和优点能更明显易懂,下面将结合实施例,并配合所附附图,作详细说明。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本申请实施例所提供的应用层攻击的防护方法的基本流程图;
图2示出了本申请实施例所提供的三次握手的流程图;
图3示出了本申请实施例所提供的应用层攻击的防护方法的具体流程图;
图4示出了本申请实施例所提供的应用层攻击的防护方法交互过程的流程图;
图5示出了本申请实施例所提供的应用层攻击的攻击防护端的结构图;
图6示出了本申请实施例所提供的攻击防护端的结构图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。以下对本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例下述方法、装置、电子设备或计算机存储介质可以应用于任何需要对应用层攻击进行防护的场景,比如,可以应用攻击防护端等。本申请实施例并不对具体的应用场景作限制,任何使用本申请实施例提供的方法对应用层攻击进行防护的方案均在本申请保护范围内。
本申请实施例中,攻击防护端可以与客户端握手之后,接收客户端发送的首个报文,并在首个报文的预设位置提取二进制报文段,进而可以通过二进制报文段与预存的二进制数据的匹配结果判定客户端的异常情况。这里,预存的二进制数据可以为客户端的设计者或开发商设置的,并利用二进制协议表示的具有特定含义的数据,每个客户端对应的预存的二进制数据不同,进而将在预设位置获取的二进制报文段与预存的二进制数据进行匹配,可以对代理服务器或僵尸网络发送的恶意攻击报文进行识别,并拒绝向服务器转发二进制报文段与预存的二进制数据不匹配的报文,实现对应用层攻击的有效防护,使服务器为正常客户端提供服务。如果通过某个IP发送请求的速率来判断是否为恶意攻击,那么分布式代理端或僵尸网络端的发送请求的速率并没有明显的异常,进而通过检测IP请求速率的方式很难达到对应用层的攻击进行防护。本申请实施例提供的应用层攻击的防护方法,可以通过对应用层的二进制报文段进行检测,从而实现对服务器进行应用层攻击的有效防护。
本申请实施例提供的应用层攻击的防护方法的基本流程如图1所示,所述方法包括:
S101:获取所述攻击防护端与客户端握手后所述客户端发送的首个报文。
在具体实施中,攻击防护端可以接收客户端发送的携带有同步序列编号(Synchronize Sequence Numbers,SYN)的同步报文,与客户端进行握手。在握手成功之后,攻击防护端可以与客户端进行数据传输,进而攻击防护端可以获取握手成功后客户端发送的首个报文。攻击防护端可以为服务器、终端等电子设备。
攻击防护端在获取与客户端握手后该客户端发送的首个报文时,可以检测与客户端握手过程中客户端第三次握手时发送的确认报文中,是否携带有确认(Acknowledgement,ACK)字段之外的其他报文信息,例如访问某个网址的访问信息,如果存在其他报文信息,则可以确定上述确定报文为客户端发送的首个报文。如果不存在其他报文信息,则可以确定在确定报文之后接收的报文为客户端发送的首个报文。
这里,攻击防护端与客户端可以进行三次握手。在握手时,客户端可以使用传输控制协议(Transmission Control Protocol,TCP)或/因特网互联协议(Internet Protocol,IP)与攻击防护端进行通信。
图2示出了客户端与攻击防护端进行三次握手的流程,可以包括以下步骤:
S101a:客户端向攻击防护端发送携带有SYN字段的同步报文,与攻击防护端进行第一次握手。
S101b:攻击防护端在接收到客户端发送的同步报文之后,向客户端返回携带有SYN字段和ACK字段的确认报文,与客户端进行第二次握手。
S101c:客户端在收到携带有SYN字段和ACK字段的确认报文之后,向攻击防护端发送携带有ACK字段的确认报文,与攻击防护端进行第三次握手。
在客户端与攻击防护端进行第三次握手时,还可以在确认报文中携带需要向服务器发送的数据,此时确认报文为上述首个报文。一些实施例中,客户端还可以与攻击防护端第二次握手之后,直接向攻击防护端发送需要向服务器发送的数据,此时客户端发送的报文即为上述首个报文。
S102:在所述首个报文的预设位置获取二进制报文段,并将获取的二进制报文段与预存的二进制数据进行匹配。
这里,预设位置可以为攻击防护端在首个报文中获取二进制数据的位置。其中的二进制数据以二进制协议的报文格式进行数据传输,二进制协议为一种私有协议,每个客户端可以与服务器通过预先协商的方式确定应用层中二进制数据所要表示的报文内容,即使其他服务器获取了该客户端的二进制数据,由于其他服务器没有预先与该客户端进行协商,其他服务器也不能根据二进制数据获取二进制数据表示的报文内容,从而进一步加强报文的安全性。上述二进制数据可由软件的设计者或开发者进行设置,从而该软件的客户端可以与该软件的服务器利用二进制数据进行通信。本申请实施例中,上述二进制数据可以预先存储在攻击防护端,由攻击防护端利用该二进制数据对客户端的真实性进行验证,从而根据验证结果对恶意客户端或异常客户端进行防护。对于恶意客户端或者异常客户端而言,由于报文中携带的二进制数据与正常客户端的报文中携带的二进制数据不同,因此可以利用二进制数据的这种特点对恶意客户端或者异常客户端进行防护。
在具体实施中,攻击防护端可以预先存储与每个客户端对应的二进制数据,以及该二进制数据在报文中的预设位置。攻击防护端在获取与客户端握手后某个客户端发送的首个报文时,可以利用与该客户端对应的预设位置,在首个报文的预设位置获取首个报文的二进制报文段,并将获取的二进制报文段与预存的二进制数据进行匹配,从而根据匹配结果判断该客户端是否为恶意客户端或异常客户端。
攻击防护端获取首个报文中的二级制报文段时,可以根据与客户端相对应的预设位置,读取首个报文的第n+1到第n+m个字节,并将读取的m个字节作为获取的二进制报文段。具体如,攻击防护端在接收在接收到握手后客户端发送的首个报文时,可以根据客户端的编号或IP等信息获取与该客户端对应的获取二进制数据的预设位置,如从获取首个报文的第4个字节至第8个字节。其中,n和m是为客户端设置的预定值,n和m为正整数。
S103:若所述二进制报文段与预存的二进制数据不匹配,则拒绝向服务器转发所述客户端的报文。
在具体实施中,攻击防护端在将获取的二进制报文段与预存的二进制数据匹配之后,可以根据匹配后的匹配结果判断客户端是否为恶意或者异常客户端。如果获取的二进制报文段与预存的二进制数据匹配,可以确定该客户端为正常客户端,则可以与服务器进行三次握手,从而在与服务器建立连接之后,向服务器转发该客户端的首个报文,并在第一预设时间内接收到该客户端发送的报文时,将接收到的该客户端发送的报文转发给服务器,使正常客户端与服务器进行通信。在第一预设时间之后,攻击防护端可以利用预存的二进制数据对该客户端发送的报文进行验证,以防止该客户端发生异常或被病毒感染成为恶意客户端。如果获取的二进制报文段与预存的二进制数据不匹配,可以确定该客户端为恶意客户端或异常客户端,则拒绝向服务器转发该客户端的报文,从而对恶意客户端或异常客户端进行防护。这里,攻击防护端在确定客户端为恶意客户端或异常客户端时,攻击防护端可以不与服务器建立连接,相应地,攻击防护端不向服务器转发恶意客户端或异常客户端发送的报文。这里的不向服务器转发客户端的报文可以理解为不向服务器转发该客户端的首个报文以及后续发送的其他报文。
在一些实施例中,攻击防护端在拒绝向服务器转发客户端的报文之后,还可以断开与该客户端的连接,并向该客户端返回复位报文。这里,复位报文中可以携带RST(Resetthe connection)字段,以通知该客户端当前连接出现错误。
可选地,攻击防护端在断开与客户端的连接之后,若在第二预设时间内收到该客户端发送的连接请求,则拒绝与该客户端之间建立连接关系,从而拒绝该客户端发送的后续请求,实现对恶意或者异常客户端防护的目的。
具体如,攻击防护端在与客户端相对应的预设位置读取首个报文的第4个字节至第8个字节,得到该客户端的二进制报文段0d 0a 0d 0a,如果该客户端预存的二进制数据为0d 0a 0d 0a,则可以确定该客户端为正常客户端,从而在与服务器进行连接之后,向服务器转发该客户端发送的首个报文以及后续的报文;如果该客户端预存的二进制数据与0d0a 0d 0a不同,则可以确定该客户端为恶意或异常客户端,从而拒绝向服务器转发该客户端发送的报文,并与断开与该客户端的连接,拒绝该客户端发送的后续请求。
本申请实施例提供的应用层攻击的防护方法,可以获取攻击防护端与客户端握手后所述客户端发送的首个报文,在首个报文的预设位置获取二进制报文段,进而可以通过获取的二进制报文段来判断该客户端是否为异常客户端,如果获取的二进制报文段与预存的二进制数据不匹配,则可以确定该客户端为异常客户端,从而拒绝向服务器转发该客户端的报文。这样,通过客户端握手后发送的首个报文,可以对异常的客户端进行判别并针对异常的客户端进行防护,与通过IP请求速率判别异常客户端的方案相比,可以有效地对应用层的恶意攻击行为进行防护,提高网络通信安全性。
本申请实施例提供的应用层攻击的防护方法的具体流程如图3所示,所述方法包括:
S301:客户端向攻击防护端发送携带有SYN字段的同步报文;
这里,客户端可以使用TCP协议或IP协议与攻击防护端进行第一次握手。
S302:攻击防护端在接收到客户端发送的同步报文之后,向客户端返回携带有SYN字段和ACK字段的确认报文,与客户端进行第二次握手。
S303:客户端在收到携带有SYN字段和ACK字段的确认报文之后,向攻击防护端发送携带有ACK字段以及通信数据DATA的首个报文。
S304:攻击防护端接收客户端发送的首个报文,在首个报文的预设位置获取二进制报文段,并将获取的二进制报文段与预存的二进制数据进行匹配。
例如,攻击防护端读取首个报文的第4个字节至第8个字节,获取二进制报文段,并将获取的二进制报文段与预存的二进制数据进行匹配。
S305:如果获取的二进制报文段与预存的二进制数据不匹配,攻击防护端拒绝向服务器转发客户端的报文,并断开与客户端的连接。
在具体实施中,假设该客户端对应的预存的二进制数据为0d 0a 0d0a,如果获取的二进制报文段不为0d 0a 0d 0a,则不与服务器建立连接,从而不会向服务器转发客户端的报文,相应地,攻击防护端拒绝还可以断开与客户端的连接,并向客户端返回携带有RST字段复位报文。
S306:如果获取的二进制报文段与预存的二进制数据匹配,在与服务器建立连接之后,向服务器转发客户端的首个报文。
在具体实施中,假设该客户端对应的预存的二进制数据为0d 0a 0d0a,如果获取的二进制报文段为0d 0a 0d 0a,则与服务器进行连接,并向服务器转发客户端的首个报文。
采用上述应用层攻击的防护方法,可以通过客户端握手后发送的首个报文,可以对异常的客户端进行判别并针对异常的客户端进行防护,与通过IP请求速率判别异常客户端的方案相比,可以有效地对应用层的恶意攻击行为进行防护,提高网络通信安全性,为服务器节省不必要的资源浪费。
本申请实施例还提供了应用层攻击的防护方法的交互过程,如图4所示,可以包括以下步骤:
S401:客户端向攻击防护端发送携带有SYN字段的同步报文,与攻击防护端进行第一次握手。
S402:攻击防护端在接收到客户端发送的同步报文之后,向客户端返回携带有SYN字段和ACK字段的确认报文,与客户端进行第二次握手。
S403:客户端在收到携带有SYN字段和ACK字段的确认报文之后,向攻击防护端发送携带有ACK字段以及通信数据DATA的首个报文。
S404:攻击防护端接收客户端发送的首个报文,在首个报文的预设位置获取二进制报文段,在获取的二进制报文段与预存的二进制数据匹配时,与服务器建立连接,向服务器转发客户端的首个报文。
S405:攻击防护端接收客户端发送的首个报文,在首个报文的预设位置获取二进制报文段,在获取的二进制报文段与预存的二进制数据不匹配时,向客户端返回携带有RST字段复位报文。
采用上述应用层攻击的防护方法,可以通过客户端握手后发送的首个报文,可以对异常的客户端进行判别并针对异常的客户端进行防护,与通过IP请求速率判别异常客户端的方案相比,可以有效地对应用层的恶意攻击行为进行防护,提高网络通信安全性,为服务器节省不必要的资源浪费。
本申请实施例提供的应用层攻击的攻击防护端50的基本结构如图5所示,包括:接收模块51、获取模块52和处理模块53;其中,
所述接收模块51,用于获取所述攻击防护端与客户端握手后所述客户端发送的首个报文;
所述获取模块52,用于在所述首个报文的预设位置获取二进制报文段,并将获取的二进制报文段与预存的二进制数据进行匹配;
所述处理模块53,用于若所述二进制报文段与预存的二进制数据不匹配,则拒绝向服务器转发所述客户端的报文。
采用上述应用层攻击的攻击防护端50,可以获取攻击防护端与客户端握手后所述客户端发送的首个报文,在首个报文的预设位置获取二进制报文段,进而可以通过获取的二进制报文段来判断该客户端是否为异常客户端,若所述二进制报文段与预存的二进制数据不匹配,则可以确定该客户端为异常客户端,从而拒绝向服务器转发该客户端的报文。这样,通过客户端握手后发送的首个报文,可以对异常的客户端进行判别并针对异常的客户端进行防护,与通过IP请求速率判别异常客户端的方案相比,可以有效地对分布式代理IP或僵尸网络IP的恶意攻击行为进行防护,提高网络安全。
在本申请实施中,所述攻击防护端50还包括:
发送模块54,用于若所述二进制报文段与预存的二进制数据匹配,则在与所述服务器建立连接之后,向服务器转发所述客户端的首个报文,并在第一预设时间内接收到所述客户端的报文后,将接收到的报文转发给所述服务器。
所述获取模块52,具体用于读取所述首个报文的第n+1到第n+m个字节,将读取的m个字节作为获取的所述二进制报文段,n和m是为所述客户端设置的预定值,n和m为正整数。
进一步地,所述发送模块54,还用于断开与所述客户端的连接,并向所述客户端返回复位报文。
可选地,所述处理模块53,还用于若在第二预设时间内收到所述客户端发送的连接请求,则拒绝与所述客户端之间建立连接关系。
采用上述应用层攻击的攻击防护端50,可以在确定客户端为恶意客户端或异常客户端时,断开与该客户端的连接,并在拒绝该客户端后续发送的请求,进而可以在客户端连接服务器之前,为服务器验证客户端的安全性,并有效地对应用层的恶意攻击行为进行防护,从而可以提高网络通信安全性,为服务器节省不必要的资源浪费,提高服务器的工作效率。
本申请实施例还提供了一种攻击防护端60,如图6所示,包括:处理器61、存储器62和总线63;
所述存储器存储62有所述处理器61可执行的机器可读指令,当电子设备运行时,所述处理器61与所述存储器62之间通过总线63通信,所述机器可读指令被所述处理器61执行时执行如下处理:
获取所述攻击防护端与客户端握手后所述客户端发送的首个报文;
在所述首个报文的预设位置获取二进制报文段,并将获取的二进制报文段与预存的二进制数据进行匹配;
若所述二进制报文段与预存的二进制数据不匹配,则拒绝向服务器转发所述客户端的报文。
在具体实施中,上述处理器61执行的处理中,所述在所述首个报文的预设位置获取二进制报文段之后,还包括:
若所述二进制报文段与预存的二进制数据匹配,则在与所述服务器建立连接之后,向服务器转发所述客户端的首个报文,并在第一预设时间内接收到所述客户端的报文后,将接收到的报文转发给所述服务器。
在具体实施中,上述处理器61执行的处理中,所述在所述首个报文的预设位置获取二进制报文段,包括:
读取所述首个报文的第n+1到第n+m个字节,将读取的m个字节作为获取的所述二进制报文段,n和m是为所述客户端设置的预定值,n和m为正整数。
在具体实施中,上述处理器61执行的处理中,所述拒绝向服务器转发所述客户端的首个报文之后,还包括:
断开与所述客户端的连接,并向所述客户端返回复位报文。
在具体实施中,上述处理器61执行的处理中,所述断开与所述客户端的连接之后,还包括:
若在第二预设时间内收到所述客户端发送的连接请求,则拒绝与所述客户端之间建立连接关系。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述任一实施例提供的应用层攻击的防护方法的步骤。
具体地,该存储介质能够为通用的存储介质,如移动磁盘、硬盘等,该存储介质上的计算机程序被运行时,能够执行上述应用层攻击的防护方法,从而解决目前通过检测IP请求速率的方式难以判断攻击行为的问题,进而对恶意客户端或异常客户端进行有效地防护。
本申请实施例所提供的应用层攻击的防护方法的计算机程序产品,包括存储了程序代码的计算机可读存储介质,程序代码包括的指令可用于执行前面方法实施例中的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种应用层攻击的防护方法,其特征在于,所述方法应用于攻击防护端,包括:
获取所述攻击防护端与客户端握手后所述客户端发送的首个报文;
在所述首个报文的预设位置获取二进制报文段,并将获取的二进制报文段与预存的二进制数据进行匹配;
若所述二进制报文段与预存的二进制数据不匹配,则拒绝向服务器转发所述客户端的报文。
2.根据权利要求1所述的方法,其特征在于,所述在所述首个报文的预设位置获取二进制报文段之后,还包括:
若所述二进制报文段与预存的二进制数据匹配,则在与所述服务器建立连接之后,向服务器转发所述客户端的首个报文,并在第一预设时间内接收到所述客户端的报文后,将接收到的报文转发给所述服务器。
3.根据权利要求1所述的方法,其特征在于,所述在所述首个报文的预设位置获取二进制报文段,包括:
读取所述首个报文的第n+1到第n+m个字节,将读取的m个字节作为获取的所述二进制报文段,n和m是为所述客户端设置的预定值,n和m为正整数。
4.根据权利要求1所述的方法,其特征在于,所述拒绝向服务器转发所述客户端的报文之后,还包括:
断开与所述客户端的连接,并向所述客户端返回复位报文。
5.根据权利要求4所述的方法,其特征在于,所述断开与所述客户端的连接之后,还包括:
若在第二预设时间内收到所述客户端发送的连接请求,则拒绝与所述客户端之间建立连接关系。
6.一种应用层攻击的攻击防护端,其特征在于,包括:接收模块、获取模块和处理模块;其中,
所述接收模块,用于获取所述攻击防护端与客户端握手后所述客户端发送的首个报文;
所述获取模块,用于在所述首个报文的预设位置获取二进制报文段,并将获取的二进制报文段与预存的二进制数据进行匹配;
所述处理模块,用于若所述二进制报文段与预存的二进制数据不匹配,则拒绝向服务器转发所述客户端的报文。
7.根据权利要求6所述的攻击防护端,其特征在于,还包括:
发送模块,用于若所述二进制报文段与预存的二进制数据匹配,则在与所述服务器建立连接之后,向服务器转发所述客户端的首个报文,并在第一预设时间内接收到所述客户端的报文后,将接收到的报文转发给所述服务器。
8.根据权利要求6所述的攻击防护端,其特征在于,
所述获取模块,具体用于读取所述首个报文的第n+1到第n+m个字节,将读取的m个字节作为获取的所述二进制报文段,n和m是为所述客户端设置的预定值,n和m为正整数。
9.一种攻击防护端,其特征在于,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如权利要求1~5任一所述方法的步骤。
10.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如权利要求1~5任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810630228.7A CN108418844B (zh) | 2018-06-19 | 2018-06-19 | 一种应用层攻击的防护方法及攻击防护端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810630228.7A CN108418844B (zh) | 2018-06-19 | 2018-06-19 | 一种应用层攻击的防护方法及攻击防护端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108418844A true CN108418844A (zh) | 2018-08-17 |
| CN108418844B CN108418844B (zh) | 2020-09-01 |
Family
ID=63141713
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810630228.7A Active CN108418844B (zh) | 2018-06-19 | 2018-06-19 | 一种应用层攻击的防护方法及攻击防护端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108418844B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110445750A (zh) * | 2019-06-18 | 2019-11-12 | 国家计算机网络与信息安全管理中心 | 一种车联网协议流量识别方法及装置 |
| CN110912907A (zh) * | 2019-11-28 | 2020-03-24 | 杭州迪普科技股份有限公司 | Ssl握手阶段的攻击防护方法和装置 |
| CN111314373A (zh) * | 2020-03-05 | 2020-06-19 | 南水北调中线信息科技有限公司 | 一种报文监控方法及装置 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101202742A (zh) * | 2006-12-13 | 2008-06-18 | 中兴通讯股份有限公司 | 一种防止拒绝服务攻击的方法和系统 |
| CN101789947A (zh) * | 2010-02-21 | 2010-07-28 | 成都市华为赛门铁克科技有限公司 | 防范http post泛洪攻击的方法及防火墙 |
| CN101834866A (zh) * | 2010-05-05 | 2010-09-15 | 北京来安科技有限公司 | 一种cc攻击防护方法及其系统 |
| US8239670B1 (en) * | 2008-05-13 | 2012-08-07 | Adobe Systems Incorporated | Multi-aspect identifier in network protocol handshake |
| CN104901953A (zh) * | 2015-05-05 | 2015-09-09 | 中国科学院信息工程研究所 | 一种arp欺骗的分布式检测方法及系统 |
| CN105610852A (zh) * | 2016-01-15 | 2016-05-25 | 腾讯科技(深圳)有限公司 | 处理ack洪泛攻击的方法和装置 |
| CN107395599A (zh) * | 2017-07-25 | 2017-11-24 | 北京长亭科技有限公司 | 网络攻击的检测方法及装置、终端设备和计算机存储介质 |
| CN107800723A (zh) * | 2017-12-06 | 2018-03-13 | 中盈优创资讯科技有限公司 | Cc攻击防护方法及设备 |
| CN107979581A (zh) * | 2016-10-25 | 2018-05-01 | 华为技术有限公司 | 僵尸特征的检测方法和装置 |
| CN108111466A (zh) * | 2016-11-24 | 2018-06-01 | 北京金山云网络技术有限公司 | 一种攻击检测方法及装置 |
-
2018
- 2018-06-19 CN CN201810630228.7A patent/CN108418844B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101202742A (zh) * | 2006-12-13 | 2008-06-18 | 中兴通讯股份有限公司 | 一种防止拒绝服务攻击的方法和系统 |
| US8239670B1 (en) * | 2008-05-13 | 2012-08-07 | Adobe Systems Incorporated | Multi-aspect identifier in network protocol handshake |
| CN101789947A (zh) * | 2010-02-21 | 2010-07-28 | 成都市华为赛门铁克科技有限公司 | 防范http post泛洪攻击的方法及防火墙 |
| CN101834866A (zh) * | 2010-05-05 | 2010-09-15 | 北京来安科技有限公司 | 一种cc攻击防护方法及其系统 |
| CN104901953A (zh) * | 2015-05-05 | 2015-09-09 | 中国科学院信息工程研究所 | 一种arp欺骗的分布式检测方法及系统 |
| CN105610852A (zh) * | 2016-01-15 | 2016-05-25 | 腾讯科技(深圳)有限公司 | 处理ack洪泛攻击的方法和装置 |
| CN107979581A (zh) * | 2016-10-25 | 2018-05-01 | 华为技术有限公司 | 僵尸特征的检测方法和装置 |
| CN108111466A (zh) * | 2016-11-24 | 2018-06-01 | 北京金山云网络技术有限公司 | 一种攻击检测方法及装置 |
| CN107395599A (zh) * | 2017-07-25 | 2017-11-24 | 北京长亭科技有限公司 | 网络攻击的检测方法及装置、终端设备和计算机存储介质 |
| CN107800723A (zh) * | 2017-12-06 | 2018-03-13 | 中盈优创资讯科技有限公司 | Cc攻击防护方法及设备 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110445750A (zh) * | 2019-06-18 | 2019-11-12 | 国家计算机网络与信息安全管理中心 | 一种车联网协议流量识别方法及装置 |
| CN110912907A (zh) * | 2019-11-28 | 2020-03-24 | 杭州迪普科技股份有限公司 | Ssl握手阶段的攻击防护方法和装置 |
| CN110912907B (zh) * | 2019-11-28 | 2022-08-26 | 杭州迪普科技股份有限公司 | Ssl握手阶段的攻击防护方法和装置 |
| CN111314373A (zh) * | 2020-03-05 | 2020-06-19 | 南水北调中线信息科技有限公司 | 一种报文监控方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108418844B (zh) | 2020-09-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9900346B2 (en) | Identification of and countermeasures against forged websites | |
| US11019383B2 (en) | Internet anti-attack method and authentication server | |
| CN105430011B (zh) | 一种检测分布式拒绝服务攻击的方法和装置 | |
| CN101802837B (zh) | 通过对设备的动态地址隔离来提供网络和计算机防火墙保护的系统和方法 | |
| JP5970041B2 (ja) | イベント分析に基づくサイバー攻撃探知装置及び方法 | |
| US7752662B2 (en) | Method and apparatus for high-speed detection and blocking of zero day worm attacks | |
| CN100361452C (zh) | 响应拒绝服务攻击的方法和设备 | |
| CN104079557A (zh) | 一种cc攻击的防护方法及装置 | |
| KR20120085821A (ko) | 네트워크 통신 시스템, 서버 시스템 및 단말기 | |
| US9245118B2 (en) | Methods for identifying key logging activities with a portable device and devices thereof | |
| CN111565203B (zh) | 业务请求的防护方法、装置、系统和计算机设备 | |
| CN104618404A (zh) | 防止网络攻击Web服务器的处理方法、装置及系统 | |
| CN108418844A (zh) | 一种应用层攻击的防护方法及攻击防护端 | |
| JP2022554101A (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
| CN112615854B (zh) | 终端准入控制方法、装置、准入服务器及存储介质 | |
| CN111182537A (zh) | 移动应用的网络接入方法、装置及系统 | |
| CN103067384A (zh) | 威胁处理方法及系统、联动客户端、安全设备及主机 | |
| JP2009044665A (ja) | 通信装置を制御するプログラム及び通信装置 | |
| CN106789858A (zh) | 一种访问控制方法和装置以及服务器 | |
| Tally et al. | Anti-phishing: Best practices for institutions and consumers | |
| JP7102780B2 (ja) | 不正通信対処システム及び方法 | |
| CN111225038B (zh) | 服务器访问方法及装置 | |
| Lu et al. | Detecting command and control channel of botnets in cloud | |
| CN110198298A (zh) | 一种信息处理方法、装置及存储介质 | |
| JP6870386B2 (ja) | マルウェア不正通信対処システム及び方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |