CN108471427B - 一种防御攻击的方法及装置 - Google Patents
一种防御攻击的方法及装置 Download PDFInfo
- Publication number
- CN108471427B CN108471427B CN201810676284.4A CN201810676284A CN108471427B CN 108471427 B CN108471427 B CN 108471427B CN 201810676284 A CN201810676284 A CN 201810676284A CN 108471427 B CN108471427 B CN 108471427B
- Authority
- CN
- China
- Prior art keywords
- user terminal
- detected
- suspected
- coefficient
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供了一种防御攻击的方法及装置,其中,防御攻击的方法应用于网络防护设备,包括:按照预设探测周期,向待探测用户终端发送反向连接请求;若在第一预设时间内未接收到待探测用户终端回复的回应报文,则增加待探测用户终端的疑似系数;当疑似系数大于第一预设阈值时,防御待探测用户终端发送的报文。通过本方案,可以实现对攻击报文的及时防御。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种防御攻击的方法及装置。
背景技术
在建立TCP(Transmission Control Protocol,传输控制协议)连接时,用户终端与服务器之间需要完成三次握手操作。每一次握手操作都会使用相应的握手信号报文,其中,用户终端向服务器发送的第一个握手信号报文为SYN(Synchronous,同步)报文,用于请求与服务器建立连接。TCP连接中往往存在同步报文泛洪SYN FLOOD攻击的情况,SYN FLOOD攻击是DoS(Denial of Service,拒绝服务)攻击与DDoS(Distributed Denial ofService,分布式拒绝服务)攻击的方式之一,是一种利用TCP协议缺陷,发送大量伪造的SYN报文,从而消耗服务器资源来使合法用户无法正常使用网络服务的攻击方式。
服务器在接收到SYN报文后,会向用户终端反馈同步确认报文,用户终端在接收到该同步确认报文后,会向服务器回复ACK(Acknowledge,确认)报文,以确认和服务器之间建立连接。在SYN FLOOD攻击的情况下,用户终端在接收到同步确认报文后,不会向服务器回复ACK报文,因此,在对SYN FLOOD攻击进行防御的方法中,主要是通过无法接收到用户终端回复的ACK报文来判断用户终端发送的SYN报文为攻击报文,再对攻击报文进行防御。
但是,上述SYN FLOOD攻击的防御方法中,在进行防御攻击之前,已有大量的攻击报文到达服务器或者网络防护设备上,对攻击报文的防御实际存在较大延迟,不能对攻击报文及时进行防御,易导致网络瘫痪。
发明内容
本发明实施例的目的在于提供一种防御攻击的方法及装置,以实现对攻击报文的及时防御。具体技术方案如下:
第一方面,本发明实施例提供了一种防御攻击的方法,应用于网络防护设备,所述方法包括:
按照预设探测周期,向待探测用户终端发送反向连接请求;
若在第一预设时间内未接收到所述待探测用户终端回复的回应报文,则增加所述待探测用户终端的疑似系数;
当所述疑似系数大于第一预设阈值时,防御所述待探测用户终端发送的报文。
第二方面,本发明实施例提供了一种防御攻击的装置,应用于网络防护设备,所述装置包括:
发送模块,用于按照预设探测周期,向待探测用户终端发送反向连接请求;
增加模块,用于若在第一预设时间内未接收到所述待探测用户终端回复的回应报文,则增加所述待探测用户终端的疑似系数;
防御模块,用于当所述疑似系数大于第一预设阈值时,防御所述待探测用户终端发送的报文。
第三方面,本发明实施例提供了一种网络防护设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使执行本发明实施例第一方面所述的方法步骤。
第四方面,本发明实施例提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器执行本发明实施例第一方面所述的方法步骤。
本发明实施例提供的一种防御攻击的方法及装置,网络防护设备按照预设探测周期,向待探测用户终端发送反向连接请求,若在第一预设时间内未接收到待探测用户终端回复的回应报文,则增加待探测用户终端的疑似系数,当疑似系数大于第一预设阈值时,防御待探测用户终端发送的报文。网络防护设备主动向待探测用户终端发送反向连接请求,如果待探测用户终端为攻击者,是不会响应反向连接请求的,这样,如果网络防护设备多次主动地向待探测用户终端发送反向连接请求,而一直无法接收到待探测用户回复的回应报文,则可以确定待探测用户为攻击者,因此,可以在攻击者发送攻击报文之前,预先对攻击者发送的攻击报文进行防御,这样主动防御的方式,在接收到攻击者发送的攻击报文之前,已经做好了防御准备,实现了对攻击报文的及时防御。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的防御攻击的方法的流程示意图;
图2为本发明实施例的防御攻击的装置的结构示意图;
图3为本发明实施例的网络防护设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了实现对攻击报文的及时防御,本发明实施例提供了一种防御攻击的方法、装置、网络防护设备及机器可读存储介质。
下面首先对本发明实施例所提供的一种防御攻击的方法进行介绍。
本发明实施例所提供的防御攻击的方法的执行主体可以为网关、路由器、防火墙等网络防护设备,该网络防护设备可以与用户终端及服务器相连,并介于用户终端与服务器之间,以对用户终端与服务器之间的报文传输进行防护,本发明实施例所提供的防御攻击的方法可以被设置于执行主体中的软件、硬件电路、逻辑电路、处理器中的至少一种执行实现。
如图1所示,本发明实施例所提供的一种防御攻击的方法,可以包括如下步骤。
S101,按照预设探测周期,向待探测用户终端发送反向连接请求。
如果用户终端为攻击者,其目的主要是通过发送攻击报文来消耗服务器资源,使得合法用户终端无法正常使用网络服务,因此,攻击者通常不会对网络端发来的报文进行响应,基于此,网络端的网络防护设备可以主动向用户终端发送反向连接请求,来探测用户终端是否为攻击者。待探测用户终端可以为任一用户终端,也可以为用户终端中的疑似攻击者,疑似攻击者为在先前的连接过程中,划分成可能为攻击者的用户终端。预设探测周期的设置与待探测用户终端的疑似系数相关。通常情况下,疑似系数越大,预设探测周期则设置的越大;疑似系数越小,预设探测周期则设置的越小。
疑似系数为在对可能为攻击者的用户终端进行划分时,所计算出来的数值,该疑似系数的大小直接反映了待探测用户终端为攻击者的可能性,疑似系数越大,则待探测用户终端为攻击者的可能性就越大。
由于疑似系数越大,待探测用户终端为攻击者的可能性越大,则待探测用户终端响应反向连接请求的几率也就越小,因此,为了节约网络带宽资源,可以将预设探测周期设置的较小。
其中,待探测用户终端可以预先设置好,当然,也可以通过其他方式确定。例如,网络防护设备可以在接收到用户终端发送的SYN报文时,采取相应的手段确定出疑似攻击者,以该疑似攻击者作为待探测终端。可选的,本发明实施例所提供的方法还可以执行如下步骤:
接收用户终端发送的SYN报文;
向用户终端发送同步确认报文;
若在第二预设时间内未接收到用户终端回复的ACK报文,则确定用户终端为待探测用户终端,并向待探测用户终端分配初始的疑似系数。
通过上述步骤,可以确定网络环境中哪些用户终端为待探测用户终端,即哪些用户终端是疑似攻击者,用户终端在请求与服务器建立连接时,向服务器发送SYN报文,网络防护设备可以查找该用户终端是否已经与服务器建立连接,如果已经建立连接,则直接放行用户终端发送的报文,如果没有建立过连接,则需要进行防护处理。
另外需要说明的是,用户终端主动发送的SYN报文和网络防护设备发送的反向连接请求,都是TCP连接请求,本实施例中为了区分是网络防护设备主动发起的连接请求,还是用户终端主动发起的连接请求,则将网络防护设备主动发起的连接请求称为反向连接请求,用户终端主动发送的连接请求称为SYN报文。
由于网络防护设备介于用户终端与服务器之间,对于需要进行防护处理的用户终端,可以接收到用户终端发送的SYN报文,在接收到SYN报文后,向用户终端反馈同步确认报文,同步确认报文为TCP报文,该TCP报文中SYN标志及ACK标志被置位,网络防护设备通过反馈同步确认报文来尝试与用户终端建立连接,网络防护设备在向用户终端发送了同步确认报文后,则等待用户终端回复ACK报文,但是,如果用户终端为疑似攻击者,则不会回复ACK报文。
因此,网络防护设备等待第二预设时间,如果在第二预设时间内未接收到ACK报文,则确定该用户终端为待探测用户终端。并且,为了体现待探测用户终端为攻击者的可能性,给待探测用户终端分配初始的疑似系数,通常,初始的疑似系数设置的较小,例如为-1,如果待探测用户终端的疑似系数为初始的疑似系数,则该待探测用户终端可能为攻击者,而为攻击者的可能性最低。
可选的,在若在第二预设时间内未接收到所述用户终端回复的ACK报文的步骤之后,本发明实施例所提供的方法还可以执行以下步骤:
从SYN报文中,提取待探测用户终端的设备信息;
将该待探测用户设备的设备信息及疑似系数的对应关系,存储至疑似攻击区,以在到达探测周期时,根据疑似攻击区中存储的设备信息,向待探测用户终端发送反向连接请求。例如,可以在到达探测周期时,执行步骤S101。
此时,S101具体可以为:
按照预设探测周期,根据疑似攻击区中存储的设备信息,向待探测用户终端发送反向连接请求。
为了便于对疑似攻击者的统一管理,更有针对性的完成对攻击报文的防御,可以建立疑似攻击区,用来存放待探测用户终端的设备信息以及设备信息对应的疑似系数。这样,在发送反向连接请求时,可以直接根据设备信息,向指定的待探测用户终端发送反向连接请求,针对性更强。
可选的,在向待探测用户终端分配初始的疑似系数的步骤之后,本发明实施例所提供的方法还可以执行以下步骤:
重复向待探测用户终端发送同步确认报文;
若在第二预设时间内未接收到ACK报文,则增加疑似系数。
由于在报文传输过程中,受复杂网络环境的影响,存在大多数情况下报文可正常转发,而偶尔出现中途丢包或者时延的情况发生,这样,网络防护设备可能无法及时接收到待探测用户终端回复的ACK报文,但待探测用户终端实际不是攻击者,因此,为了应对这种问题,网络防护设备可以重复发送同步确认报文,如果仍然无法接收到待探测用户终端回复的ACK报文,则增加待探测用户终端的疑似系数,以增大待探测用户终端为攻击者的可能性。
可选的,本发明实施例所提供的方法还可以执行以下步骤:
若在第二预设时间内接收到ACK报文,则从疑似攻击区中删除待探测用户终端的设备信息及疑似系数。
如果能够在第二预设时间内接收到待探测用户终端回复的ACK报文,则认为待探测用户终端不是攻击者,则可以从疑似攻击区中删除待探测用户终端的设备信息及疑似系数。
S102,若在第一预设时间内未接收到待探测用户终端回复的回应报文,则增加待探测用户终端的疑似系数。
网络防护设备每发送一个反向连接请求,如果待探测用户终端不是攻击者,就会回复一个回应报文,如果待探测用户终端为攻击者,则不会回复回应报文。这样,可以通过判断在第一预设时间内是否接收到待探测用户终端回复的回应报文,来确定待探测用户终端为攻击者的可能性,如果未接收到待探测用户终端回复的回应报文,则可以通过增加待探测用户终端的疑似系数,来增大待探测用户终端为攻击者的可能性。第一预设时间可以小于预设探测周期。
由于待探测用户终端的疑似系数与设备信息基于其对应关系,存储在疑似攻击区中,因此,可选的,增加待探测用户终端的疑似系数的步骤具体可以为:
增加疑似攻击区中设备信息对应的疑似系数。
可选的,本发明实施例所提供的方法还可以执行如下步骤:
若在第一预设时间内接收到待探测用户终端回复的回应报文,则减小待探测用户终端的疑似系数;
当待探测用户终端的疑似系数小于或等于第二预设阈值时,允许放行待探测用户终端发送的报文。
如果接收到待探测用户终端回复的回应报文,则说明待探测用户终端不是攻击者,或者待探测用户终端作为攻击者的可能性正在减小,因此,如果接收到待探测用户终端回复的回应报文,可以减小待探测用户终端的疑似系数,如果疑似系数减小到小于初始的疑似系数,则说明该待探测用户终端不是攻击者,则可以允许放行待探测用户终端发送的报文,第二预设阈值可以小于或者等于初始的疑似系数。如果第二预设阈值小于初始的疑似系数,则允许放行待探测用户终端发送的报文的判定条件为待探测用户终端的疑似系数小于或等于第二预设阈值;如果第二预设阈值等于初始的疑似系数,则允许放行待探测用户终端发送的报文的判定条件为待探测用户终端的疑似系数小于第二预设阈值。
上述增加或者减少疑似系数的方式,可以为每次增加1或者减少1,也可以为每次增加或者减少一个固定的预设值。
可选的,当确定出待探测用户终端的疑似系数小于或等于第二预设阈值时,本发明实施例所提供的方法还可以执行如下步骤:
获取待探测用户终端的设备信息;
将待探测用户终端的设备信息存储至安全区。
待探测用户终端的设备信息的获取方式可以为从用户终端发送的SYN报文中获取,如果允许放行待探测用户终端发送的报文,则说明待探测用户终端为合法的、不攻击服务器的用户终端,则可以将该待探测用户终端的设备信息存储至安全区,以使得该用户终端再次进行请求连接时,可以直接与服务器建立连接,而不需要再进行三次握手的交互过程,节省了带宽资源以及交互时间。
S103,当待探测用户终端的疑似系数大于第一预设阈值时,防御待探测用户终端发送的报文。
第一预设阈值为用来识别攻击者的预设值,第一预设阈值的设定影响着对攻击者发送的攻击报文进行防护的力度大小,如果第一预设阈值设置的小,则说明疑似系数较小时,就会被识别为攻击者,防护力度较强;如果第一预设阈值设置的大,则说明疑似系数较大时,才会被识别为攻击者,防护力度较弱,第一阈值可以大于第二预设阈值。
如果疑似系数大于第一预设阈值,则说明待探测用户终端为攻击者,待探测用户终端即将发送的是攻击报文,则需要对待探测用户终端发送的攻击报文进行防御准备,即防御待探测用户终端发送的报文。具体的防御方式可以为黑洞路由、直接丢弃待探测用户终端发送的报文等。
针对复杂的攻击方式,例如DDoS攻击,DDoS攻击是指将多个用户终端联合起来作为攻击平台,对一个服务器或者多个服务器发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力,由于DDoS攻击是将众多的用户终端联合到一起发动攻击,这样,每一个用户终端的攻击报文的流量可以很小,按照传统的防御攻击的方法,网络防护设备很难识别出来攻击报文。而本发明实施例是网络防护设备主动向待探测用户终端发送反向连接请求,以探测是否为攻击者,不受攻击报文流量大小的影响,可以精确识别攻击者,实现了对DDoS攻击的防御。
应用本实施例,网络防护设备按照预设探测周期,向待探测用户终端发送反向连接请求,若在第一预设时间内未接收到待探测用户终端回复的回应报文,则增加待探测用户终端的疑似系数,当疑似系数大于第一预设阈值时,防御待探测用户终端发送的报文。网络防护设备主动向待探测用户终端发送反向连接请求,如果待探测用户终端为攻击者,是不会响应反向连接请求的,这样,如果网络防护设备多次主动地向待探测用户终端发送反向连接请求,而一直无法接收到待探测用户回复的回应报文,则可以确定待探测用户为攻击者,因此,可以在攻击者发送攻击报文之前,预先对攻击者发送的攻击报文进行防御,这样主动防御的方式,在接收到攻击者发送的攻击报文之前,已经做好了防御准备,实现了对攻击报文的及时防御。
相应于上述方法实施例,本发明实施例提供了一种防御攻击的装置,如图2所示,应用于网络防护设备,该防御攻击的装置可以包括:
发送模块210,用于按照预设探测周期,向待探测用户终端发送反向连接请求;
增加模块220,用于若在第一预设时间内未接收到所述待探测用户终端回复的回应报文,则增加所述待探测用户终端的疑似系数;
防御模块230,用于当所述疑似系数大于第一预设阈值时,防御所述待探测用户终端发送的报文。
可选的,所述装置还可以包括:
接收模块,用于接收用户终端发送的SYN报文;
所述发送模块210,还可以用于向所述用户终端发送同步确认报文;
确定模块,用于若在第二预设时间内未接收到所述用户终端回复的ACK报文,则确定所述用户终端为待探测用户终端,并向所述待探测用户终端分配初始的疑似系数。
可选的,所述发送模块210,还可以用于重复向所述待探测用户终端发送所述同步确认报文;
所述增加模块220,还可以用于若在所述第二预设时间内未接收到所述ACK报文,则增加所述疑似系数。
可选的,所述装置还可以包括:
提取模块,用于从所述SYN报文中,提取所述待探测用户终端的设备信息;
存储模块,用于将所述设备信息及所述疑似系数的对应关系,存储至疑似攻击区,以在到达所述探测周期时,根据所述疑似攻击区中存储的设备信息,向所述待探测用户终端发送反向连接请求。
可选的,所述装置还可以包括:
删除模块,用于若在所述第二预设时间内接收到所述ACK报文,则从所述疑似攻击区中删除所述待探测用户终端的设备信息及疑似系数。
可选的,所述装置还可以包括:
减小模块,用于若在所述第一预设时间内接收到所述回应报文,则减小所述待探测用户终端的疑似系数;
允许模块,用于当所述疑似系数小于或等于第二预设阈值时,允许放行所述待探测用户终端发送的报文,所述第二预设阈值小于所述第一预设阈值。
可选的,所述装置还可以包括:
获取模块,用于获取所述待探测用户终端的设备信息;
存储模块,用于将所述待探测用户终端的设备信息存储至安全区。
应用本实施例,网络防护设备按照预设探测周期,向待探测用户终端发送反向连接请求,若在第一预设时间内未接收到待探测用户终端回复的回应报文,则增加待探测用户终端的疑似系数,当疑似系数大于第一预设阈值时,防御待探测用户终端发送的报文。网络防护设备主动向待探测用户终端发送反向连接请求,如果待探测用户终端为攻击者,是不会响应反向连接请求的,这样,如果网络防护设备多次主动地向待探测用户终端发送反向连接请求,而一直无法接收到待探测用户回复的回应报文,则可以确定待探测用户为攻击者,因此,可以在攻击者发送攻击报文之前,预先对攻击者发送的攻击报文进行防御,这样主动防御的方式,在接收到攻击者发送的攻击报文之前,已经做好了防御准备,实现了对攻击报文的及时防御。
本发明实施例还提供了一种网络防护设备,如图3所示,包括处理器301和机器可读存储介质302,所述机器可读存储介质302存储有能够被所述处理器301执行的机器可执行指令,所述处理器301被所述机器可执行指令促使执行本发明实施例提供的防御攻击的方法的所有步骤。
上述计算机可读存储介质可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-volatile Memory,非易失性存储器),例如至少一个磁盘存储器。可选的,计算机可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processor,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本实施例中,处理器301通过读取机器可读存储介质302中存储的机器可执行指令,被机器可执行指令促使能够实现:网络防护设备按照预设探测周期,向待探测用户终端发送反向连接请求,若在第一预设时间内未接收到待探测用户终端回复的回应报文,则增加待探测用户终端的疑似系数,当疑似系数大于第一预设阈值时,防御待探测用户终端发送的报文。网络防护设备主动向待探测用户终端发送反向连接请求,如果待探测用户终端为攻击者,是不会响应反向连接请求的,这样,如果网络防护设备多次主动地向待探测用户终端发送反向连接请求,而一直无法接收到待探测用户回复的回应报文,则可以确定待探测用户为攻击者,因此,可以在攻击者发送攻击报文之前,预先对攻击者发送的攻击报文进行防御,这样主动防御的方式,在接收到攻击者发送的攻击报文之前,已经做好了防御准备,实现了对攻击报文的及时防御。
另外,为了实现对攻击报文的及时防御,本发明实施例提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器执行本发明实施例所提供的防御攻击的方法的所有步骤。
本实施例中,机器可读存储介质在运行时执行本发明实施例所提供的防御攻击的方法的机器可执行指令,因此能够实现:网络防护设备按照预设探测周期,向待探测用户终端发送反向连接请求,若在第一预设时间内未接收到待探测用户终端回复的回应报文,则增加待探测用户终端的疑似系数,当疑似系数大于第一预设阈值时,防御待探测用户终端发送的报文。网络防护设备主动向待探测用户终端发送反向连接请求,如果待探测用户终端为攻击者,是不会响应反向连接请求的,这样,如果网络防护设备多次主动地向待探测用户终端发送反向连接请求,而一直无法接收到待探测用户回复的回应报文,则可以确定待探测用户为攻击者,因此,可以在攻击者发送攻击报文之前,预先对攻击者发送的攻击报文进行防御,这样主动防御的方式,在接收到攻击者发送的攻击报文之前,已经做好了防御准备,实现了对攻击报文的及时防御。
对于网络防护设备以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、网络防护设备及机器可读存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (14)
1.一种防御攻击的方法,其特征在于,应用于网络防护设备,所述方法包括:
按照预设探测周期,向待探测用户终端发送反向连接请求;
若在第一预设时间内未接收到所述待探测用户终端回复的回应报文,则增加所述待探测用户终端的疑似系数;所述疑似系数与所述预设探测周期正相关;
当所述疑似系数大于第一预设阈值时,防御所述待探测用户终端发送的报文。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收用户终端向服务器发送的同步SYN报文;
向所述用户终端发送同步确认报文;
若在第二预设时间内未接收到所述用户终端回复的确认ACK报文,则确定所述用户终端为待探测用户终端,并向所述待探测用户终端分配初始的疑似系数。
3.根据权利要求2所述的方法,其特征在于,在所述向所述待探测用户终端分配初始的疑似系数之后,所述方法还包括:
重复向所述待探测用户终端发送所述同步确认报文;
若在所述第二预设时间内未接收到所述ACK报文,则增加所述疑似系数。
4.根据权利要求2所述的方法,其特征在于,在所述若在第二预设时间内未接收到所述用户终端回复的ACK报文之后,所述方法还包括:
从所述SYN报文中,提取所述待探测用户终端的设备信息;
将所述设备信息及所述疑似系数的对应关系,存储至疑似攻击区,以在到达所述探测周期时,根据所述疑似攻击区中存储的设备信息,向所述待探测用户终端发送反向连接请求。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
若在所述第二预设时间内接收到所述ACK报文,则从所述疑似攻击区中删除所述待探测用户终端的设备信息及疑似系数。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述方法还包括:
若在所述第一预设时间内接收到所述回应报文,则减小所述待探测用户终端的疑似系数;
当所述疑似系数小于或等于第二预设阈值时,允许放行所述待探测用户终端发送的报文,所述第二预设阈值小于所述第一预设阈值。
7.根据权利要求1所述的方法,其特征在于,当确定出待探测用户终端的疑似系数小于或等于第二预设阈值时,所述方法还包括:
获取所述待探测用户终端的设备信息;
将所述待探测用户终端的设备信息存储至安全区。
8.一种防御攻击的装置,其特征在于,应用于网络防护设备,所述装置包括:
发送模块,用于按照预设探测周期,向待探测用户终端发送反向连接请求;
增加模块,用于若在第一预设时间内未接收到所述待探测用户终端回复的回应报文,则增加所述待探测用户终端的疑似系数;所述疑似系数与所述预设探测周期正相关;
防御模块,用于当所述疑似系数大于第一预设阈值时,防御所述待探测用户终端发送的报文。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
接收模块,用于接收用户终端发送的SYN报文;
所述发送模块,还用于向所述用户终端发送同步确认报文;
确定模块,用于若在第二预设时间内未接收到所述用户终端回复的ACK报文,则确定所述用户终端为待探测用户终端,并向所述待探测用户终端分配初始的疑似系数。
10.根据权利要求9所述的装置,其特征在于,
所述发送模块,还用于重复向所述待探测用户终端发送所述同步确认报文;
所述增加模块,还用于若在所述第二预设时间内未接收到所述ACK报文,则增加所述疑似系数。
11.根据权利要求9所述的装置,其特征在于,所述装置还包括:
提取模块,用于从所述SYN报文中,提取所述待探测用户终端的设备信息;
存储模块,用于将所述设备信息及所述疑似系数的对应关系,存储至疑似攻击区,以在到达所述探测周期时,根据所述疑似攻击区中存储的设备信息,向所述待探测用户终端发送反向连接请求。
12.根据权利要求11所述的装置,其特征在于,所述装置还包括:
删除模块,用于若在所述第二预设时间内接收到所述ACK报文,则从所述疑似攻击区中删除所述待探测用户终端的设备信息及疑似系数。
13.根据权利要求8-12任一项所述的装置,其特征在于,所述装置还包括:
减小模块,用于若在所述第一预设时间内接收到所述回应报文,则减小所述待探测用户终端的疑似系数;
允许模块,用于当所述疑似系数小于或等于第二预设阈值时,允许放行所述待探测用户终端发送的报文,所述第二预设阈值小于所述第一预设阈值。
14.根据权利要求8所述的装置,其特征在于,所述装置还包括:
获取模块,用于获取所述待探测用户终端的设备信息;
存储模块,用于将所述待探测用户终端的设备信息存储至安全区。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810676284.4A CN108471427B (zh) | 2018-06-27 | 2018-06-27 | 一种防御攻击的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810676284.4A CN108471427B (zh) | 2018-06-27 | 2018-06-27 | 一种防御攻击的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108471427A CN108471427A (zh) | 2018-08-31 |
| CN108471427B true CN108471427B (zh) | 2021-03-19 |
Family
ID=63260064
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810676284.4A Active CN108471427B (zh) | 2018-06-27 | 2018-06-27 | 一种防御攻击的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108471427B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110855635B (zh) * | 2019-10-25 | 2022-02-11 | 新华三信息安全技术有限公司 | Url识别方法、装置及数据处理设备 |
| CN112995235B (zh) * | 2021-05-20 | 2021-07-27 | 清华大学 | 一种对DDoS攻击进行检测的方法、装置及电子设备 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9246940B2 (en) * | 2013-04-06 | 2016-01-26 | Citrix Systems, Inc. | Systems and methods for protecting cluster systems from TCP SYN attack |
| CN104506531B (zh) * | 2014-12-19 | 2018-05-01 | 上海斐讯数据通信技术有限公司 | 针对流量攻击的安全防御系统及方法 |
| CN105871771A (zh) * | 2015-01-18 | 2016-08-17 | 吴正明 | 一种针对ddos网络攻击的sdn网络架构 |
| CN105119942B (zh) * | 2015-09-16 | 2018-11-06 | 广东睿江云计算股份有限公司 | 一种洪水攻击检测方法 |
| CN105827646B (zh) * | 2016-05-17 | 2019-06-11 | 浙江宇视科技有限公司 | Syn攻击防护的方法及装置 |
| CN106131039A (zh) * | 2016-07-26 | 2016-11-16 | 广州华多网络科技有限公司 | Syn洪泛攻击的处理方法及装置 |
-
2018
- 2018-06-27 CN CN201810676284.4A patent/CN108471427B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN108471427A (zh) | 2018-08-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| CN109617885B (zh) | 攻陷主机自动判定方法、装置、电子设备及存储介质 | |
| CN108551446B (zh) | 防攻击的syn报文处理方法、装置、防火墙及存储介质 | |
| RU2666289C1 (ru) | Система и способ для ограничения запросов доступа | |
| WO2017088326A1 (zh) | Tcp连接的处理方法、装置及系统 | |
| CN107547503B (zh) | 一种会话表项处理方法、装置、防火墙设备及存储介质 | |
| EP2136526A1 (en) | Method, device for identifying service flows and method, system for protecting against a denial of service attack | |
| CN103916389A (zh) | 防御HttpFlood攻击的方法及防火墙 | |
| CN109922072B (zh) | 一种分布式拒绝服务攻击检测方法及装置 | |
| CN110266678B (zh) | 安全攻击检测方法、装置、计算机设备及存储介质 | |
| CN112565307B (zh) | 一种对DDoS攻击进行入口管控的方法及装置 | |
| EP3340568A2 (en) | Anycast-based spoofed traffic detection and mitigation | |
| WO2020037781A1 (zh) | 一种实现服务器防攻击方法及装置 | |
| CN107454065B (zh) | 一种UDP Flood攻击的防护方法及装置 | |
| CN110677414A (zh) | 网络检测方法、装置、电子设备及计算机可读存储介质 | |
| CN108471427B (zh) | 一种防御攻击的方法及装置 | |
| CN110191104A (zh) | 一种安全防护的方法及装置 | |
| CN105634660A (zh) | 数据包检测方法及系统 | |
| CN102573111A (zh) | 传输控制协议资源的释放方法及装置 | |
| CN108737344B (zh) | 一种网络攻击防护方法和装置 | |
| CN108418844B (zh) | 一种应用层攻击的防护方法及攻击防护端 | |
| CN109413015B (zh) | 一种dns劫持的防御方法和装置 | |
| CN113242260A (zh) | 攻击检测方法、装置、电子设备及存储介质 | |
| CN107547561B (zh) | 一种进行ddos攻击防护处理的方法及装置 | |
| CN114697088B (zh) | 一种确定网络攻击的方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |