CN108667829A - 一种网络攻击的防护方法、装置及存储介质 - Google Patents
一种网络攻击的防护方法、装置及存储介质 Download PDFInfo
- Publication number
- CN108667829A CN108667829A CN201810386316.7A CN201810386316A CN108667829A CN 108667829 A CN108667829 A CN 108667829A CN 201810386316 A CN201810386316 A CN 201810386316A CN 108667829 A CN108667829 A CN 108667829A
- Authority
- CN
- China
- Prior art keywords
- terminal
- request message
- time
- message
- receiving
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了网络攻击的防护方法、装置及存储介质,应用于信息处理技术领域。防护系统会在接收到终端的首次请求报文后,直接返回错误响应报文,并通过终端根据错误响应报文的反馈来确定终端是否为具有可信网络协议地址的终端,以进行网络攻击的防护。这样,当终端发出了首次请求报文后,如果在终端开启“防火墙”功能的情况下,防护系统也会继续等待终端在未接收到任何响应时的反馈,并根据反馈判断终端是否为具有可信网络协议地址的终端,从而不会对这种类型的终端误杀,使得容错性更高。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种网络攻击的防护方法、装置及存储介质。
背景技术
分布式拒绝服务攻击(Distributed Denial of Service,DDoS)等一类的攻击通常都是通过僵尸网络发起的,因僵尸网络分布于互联网各处,故这类攻击称为分布式DoS攻击。
同步洪水(SYNFLOOD)攻击是最典型的DDoS攻击手法,直到现在仍为最主要的DDoS攻击威胁。SYNFLOOD就是通过控制分布在互联网各处的肉鸡向目的服务器同时发送大量的同步(Synchronize,简称syn)报文,被攻击服务器接收到syn报文后,会进行如下操作:(1)产生大量syn半连接,连接数被撑满,无法建立新的网络连接;(2)忙于处理syn报文,处理器内存等资源被耗尽,最终,被攻击服务器无法响应正常用户请求,造成拒绝服务。
现有SYNFLOOD防护主要依赖反向探测算法进行防护,通过反向探测算法,可以识别伪造网络协议(Internet Protocol,IP)和真实IP,从而对SYNFLOOD做清洗。具体地,一种情况下,防护系统会接收用户请求,并向用户请求的终端返回错误的响应,对于具有真实IP的终端会拒绝本次连接,并发出拒绝连接请求,当防护系统收到拒绝连接请求后,确定该终端具有真实IP;而具有伪造IP的肉鸡,则不会进行任何操作。但是有些终端开启了“防火墙”功能,会丢弃该错误的响应,从而使得这种类型的终端无法通过防护系统的验证,导致误杀。
发明内容
本发明实施例提供一种网络攻击的防护方法、装置及存储介质,实现了通过终端根据错误响应报文发出的重传请求报文,确定终端是否为具有可信网络协议地址的终端。
本发明实施例第一方面提供一种网络攻击的防护方法,包括:
接收终端的首次请求报文;
根据所述首次请求报文,向所述终端返回错误响应报文;
当接收到所述终端根据所述错误响应报文发出的重传请求报文,向所述终端返回正确响应报文;
当接收到所述终端根据所述正确响应报文发出的网络连接请求,确定所述终端为具有可信网络协议地址的终端,以进行网络攻击的防护。
本发明实施例第二方面提供一种网络攻击的防护装置,包括:报文接收单元,反馈单元,及终端确定单元,其中:
所述报文接收单元,用于接收终端的首次请求报文;
所述反馈单元,用于根据所述首次请求报文,向所述终端返回错误响应报文;
所述反馈单元,还用于当接收到所述终端根据所述错误响应报文发出的重传请求报文,向所述终端返回正确响应报文;
所述终端确定单元,用于当接收到所述终端根据所述正确响应报文发出的网络连接请求,确定所述终端为具有可信网络协议地址的终端,以进行网络攻击的防护。
本发明实施例第三方面提供一种存储介质,所述存储介质储存多条指令,所述指令适于由处理器加载并执行如本发明实施例第一方面所述的网络攻击的防护方法。
本发明实施例第四方面提供一种服务器,包括处理器和存储介质,所述处理器,用于实现各个指令;
所述存储介质用于储存多条指令,所述指令用于由处理器加载并执行如本发明实施例第一方面所述的网络攻击的防护方法。
可见,在本实施例的方法中,防护系统会在接收到终端的首次请求报文后,直接返回错误响应报文,并通过终端根据错误响应报文的反馈来确定终端是否为具有可信网络协议地址的终端,以进行网络攻击的防护。这样,当终端发出了首次请求报文后,如果在终端开启“防火墙”功能的情况下,防护系统也会继续等待终端在未接收到任何响应时的反馈,并根据反馈判断终端是否为具有可信网络协议地址的终端,从而不会对这种类型的终端误杀,使得容错性更高。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种网络攻击的防护方法所应用于的系统的结构示意图;
图2是本发明一个实施例提供的一种网络攻击的防护方法的流程图;
图3是本发明应用实施例中防护系统的结构示意图;
图4是本发明应用实施例提供的网络攻击的防护方法的流程图;
图5是本发明应用实施例提供的同步混合算法的示意图;
图6是本发明应用实施例提供的重传验证算法的示意图;
图7是本发明另一应用实施例中网络攻击的防护方法所应用于的场景的示意图;
图8是本发明实施例提供的一种网络攻击的防护装置的结构示意图;
图9是本发明实施例提供的另一种网络攻击的防护装置的结构示意图;
图10是本发明实施例提供的一种服务器的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排它的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例提供一种网络攻击的防护方法,主要可以应用于如图1所示的系统中,在该系统中包括终端,防护系统和服务器,其中:
终端发送给服务器的数据要先经过防护系统,该终端包括正常用户请求的终端,也包括僵尸网络中发送数据的终端(称为肉鸡)。
防护系统用于对发送给服务器的数据实施数据的防护措施,即对终端发送给服务器的数据进行清洗,具体地,当根据终端发送的报文确定该终端属于具有可信网络协议地址的终端时,将该终端后续发送的报文都转发给服务器,当该终端属于具有伪造网络协议地址的终端时,会丢弃该终端后续发送的报文。在本实施例中,防护系统可以根据如下方法实现网络攻击的防护:
接收终端的首次请求报文;根据所述首次请求报文,向所述终端返回错误响应报文;当接收到所述终端根据所述错误响应报文发出的重传请求报文,向所述终端返回正确响应报文;当接收到所述终端根据所述正确响应报文发出的网络连接请求,确定所述终端为具有可信网络协议地址的终端,以进行网络攻击的防护。
这样,当终端发出了首次请求报文后,如果在终端开启“防火墙”功能的情况下,防护系统也会继续等待终端在未接收到任何响应时的反馈,并根据反馈判断终端是否为具有可信网络协议地址的终端,从而不会对这种类型的终端误杀,使得容错性更高。
本发明实施例提供一种网络攻击的防护方法,主要是防护系统所执行的方法,流程图如图2所示,包括:
步骤101,接收终端的首次请求报文。
可以理解,一种情况下,可以在任一服务器上电后,即可发起本实施例的防护流程,以对发送给该服务器的数据进行清洗。
另一种情况下,防护系统可以先对发送给服务器的数据的特征信息进行统计,如果统计的特征信息满足预置条件,则发起本实施例的防护流程。其中,统计的特征信息可以是发送给服务器的数据的数据量等信息,如果数据量大于预置值,则发起本实施例的防护流程。
需要说明的是,当防护系统接收终端的非首次请求报文,可以确定该终端的信息是否在防护系统预置的黑名单中或者可信终端数据库中,如果该终端的信息在黑名单或不在可信终端数据库中,则丢弃该非首次请求报文;如果该终端的信息不在黑名单或在可信终端数据库中,则将该非首次请求报文转发给服务器。
步骤102,根据首次请求报文,向终端返回错误响应报文。
对于终端发送的首次请求报文,防护系统可以直接根据首次请求报文中包括的终端的信息,向对应终端返回错误响应报文。对于具有可信网络协议地址的终端来说,在接收到错误响应报文后,会发出拒绝连接请求报文,当防护系统接收到终端根据错误响应报文发出的拒绝连接请求报文,则确定终端为具有可信网络协议地址的终端。如果在终端开启了“防火墙”功能,则终端会拦截该错误响应报文,使得终端不会接收到该错误响应报文,故终端在发出上述首次请求报文后的预置时间内,没有接收到任何报文,会发起超时重传,即发出重传请求报文。
其中,重传请求报文与上述的首次请求报文的内容和格式一致,该重传请求报文是终端在发出了首次请求报文后,如果未收到任何回应,重新发出的同样的报文。
对于具有伪造网络协议地址的终端,在接收到防护系统发送的错误响应报文后,不会执行任何操作,则如果防护系统在预置的时间内未接收到该终端发出的任何报文,则确定该终端为具有伪造网络协议地址的终端。
步骤103,当接收到终端根据错误响应报文发出的重传请求报文,向终端返回正确响应报文,当终端接收到正确响应报文后,会发出网络连接请求。
步骤104,当接收到终端根据正确响应报文发出的网络连接请求,确定终端为具有可信网络协议地址的终端,以进行网络攻击的防护。
进一步地,当防护系统在确定上述终端为具有可信网络协议地址的终端后,如果在防护系统中预置有可信度终端数据库,则可以将该终端的信息(具体可以为终端的网络协议地址等)加入到预置的可信度终端数据库中。
当防护系统在确定上述终端为具有伪造网络协议地址的终端后,如果在防护系统中预置有黑名单,则可以将该终端的信息加入到预置的黑名单中。
可见,在本实施例的方法中,防护系统会在接收到终端的首次请求报文后,直接返回错误响应报文,并通过终端根据错误响应报文的反馈来确定终端是否为具有可信网络协议地址的终端,以进行网络攻击的防护。这样,当终端发出了首次请求报文后,如果在终端开启“防火墙”功能的情况下,防护系统也会继续等待终端在未接收到任何响应时的反馈,并根据反馈判断终端是否为具有可信网络协议地址的终端,从而不会对这种类型的终端误杀,使得容错性更高。
上述实施例中的防护方法中,防护系统在接收到终端发出的首次请求报文后,直接采用一定的防护算法,确定终端是否为具有可信网络协议地址的终端,从而对该终端后续发出的报文进行相应处理。在一个具体的实施例中,防护系统在执行上述步骤101后,即接收到首次请求报文后,会先根据首次请求报文确定终端的可信度级别,然后根据确定结果,选择某一种防护算法,来确定该终端是否为具有可信网络协议地址的终端,具体地:
如果防护系统确定的可信度级别为低级,用于指示该终端的可信度较低,则选择上述步骤102到104的方法进行防护,即同步混合算法。
如果确定的可信度级别为高级,用于指示该终端的可信度较高,则选择重传验证算法,即防护系统会先丢弃首次请求报文,这样终端就不会接收到任何反馈,对于具有可信网络协议地址的终端,会发出重传请求报文,当防护系统接收到终端发出的重传请求报文,确定终端为具有可信网络协议地址的终端;
对于具有伪造网络协议地址的终端,不会执行任何操作,则防护系统在预置时间内未收到该终端发出的任何报文,确定终端为具有伪造网络协议地址的终端。
上述重传验证算法中,对于首次请求报文直接丢弃,以等待终端自动发起的超时重传,而不用防护系统触发终端进行重传,缩短了对于具有可信网络协议地址的终端连接到服务器这个过程的时间,提高了用户体验。
需要说明的是,上述防护系统接收的首次请求报文中会包括终端的信息,比如终端的网络协议地址等信息,则在根据首次请求报文确定终端的可信度级别时,具体地,防护系统会判断终端的信息是否在预置的黑名单中或是否在预置的可信终端数据库中,如果终端的信息在在预置的黑名单中或不在预置的可信终端数据库中,确定终端的可信度级别为高级;如果终端的信息不在预置的黑名单中或在预置的可信终端数据库中,确定终端的可信度级别为低级。
以下以一个具体的实施例来说明本发明的网络攻击的防护方法,本实施例的方法可以应用于上述图1所示的系统中,且防护系统的结构可以如图3所示,包括:攻击检测模块,信誉库模块,同步混合算法模块和重传验证算法模块,其中:
攻击检测模块,用于监控发送给服务器的数据的数据量,并根据监控的数据量确定是否发生网络攻击,具体地是否发生synflood攻击,并发出警告。
信誉库模块,用于储存具有可信网络协议地址的终端的信息,具体为终端的网络协议地址,即上述的可信终端数据库。
同步混合算法模块,用于执行同步混合算法,以确定某一终端是否为具有可信网络协议地址的终端,具体地,通过上述步骤102到104的方法来实现。
重传验证算法模块,用于执行重传验证算法,以确定某一终端是否为具有可信网络协议地址的终端,是基于首包丢弃的轻量级防护算法。
参考图4所示,在本实施例中,防护系统可以按照如下方法进行网络攻击的防护:
步骤201,攻击检测模块对发送给服务器的数据的数据量进行实时监控和分析,当某一时段的数据量超时某一阈值时,确定服务器正遭受synflood攻击,并触发如下步骤202到204的防护流程。
步骤202,防护系统中的信誉库模块会将这些数据的来源网络协议地址,与该模块中储存的网络协议地址进行比较,如果来源网络协议地址在信誉库模块中,说明该来源网络协议地址对应的终端的可信度相对较高,则由重传验证算法模块执行步骤204中的重传验证算法;如果来源网络协议地址不在信誉库模块中,说明该来源网络协议地址对应的终端的可信度相对较低,则由同步混合算法模块执行步骤203总的同步混合算法。
步骤203,由同步混合算法模块执行同步(syn)混合算法,参考图5所示,在上述数据中,对于终端发出的首次请求报文,具体为syn报文:
一种情况下,同步混合算法模块会返回错误响应报文(即错误的synack报文),如果接收到终端返回的拒绝连接请求报文,则确定该终端是合法终端,将该终端的网络协议地址加入到信誉库模块中,并将该终端后续发送给服务器的报文转发给服务器;
如果终端中开启了“防火墙”功能,对错误响应报文进行拦截,则终端不会接收到防护系统返回的任何报文,进行超时重传,即发出重传请求报文;当同步混合算法模块接收到终端发出的重传请求报文,向终端返回正确响应报文(即正确的synack报文),当接收到终端发出的网络连接请求,比如传输控制协议(Transmission Control Protocol,TCP)连接请求,则确定该终端是合法终端,将该终端的网络协议地址加入到信誉库模块中,并将该终端后续发送给服务器的报文转发给服务器。
另一种情况下,当同步混合算法模块返回错误响应报文后,在预置时间内未接收到终端返回的任何报文,确定该终端不是合法终端,并丢弃该终端后续发送给服务器的报文。
步骤204,由重传验证算法模块执行重传验证算法,参考图6所示,在上述数据中,对于终端发出的首次请求报文:
重传验证算法模块会直接丢弃,如果接收到终端发出的重传请求报文,则可以直接确定该终端是合法终端,将该终端的网络协议地址加入到信誉库模块中,并将该终端后续发送给服务器的报文转发给服务器;如果在预置时间内为接收终端发出的任何报文,确定该终端不是合法终端,并丢弃该终端后续发送给服务器的报文。
在其它具体的应用实施例中,本发明的方法还可以应用于如图7所示的场景中,在该场景中包括:防护系统,核心路由器,核心网关和服务器,其中:
核心路由器为的互联网服务提供商(Internet Service Provider,ISP)网络的出口路由器,即终端发出数据的出口,用于通过分光,将ISP网络的镜像数据转发给防护系统中的攻击检测子系统。
防护系统包括控制子系统,攻击检测子系统和防护子系统,其中的攻击检测子系统在接收到核心路由器转发的镜像数据后,根据镜像数据确定是否遭受synflood攻击,如果遭受synflood攻击,则向控制子系统发出警告;控制子系统接收到警告后,控制防护子系统开启网络攻击的防护操作。
防护子系统,开启防护操作后,与核心路由器建立边界网关协议(Border GatewayProtocol,BGP)连接,向核心路由器发布牵引路由,将核心路由器发送给服务器的数据牵引到防护子系统;由防护子系统根据上述步骤实施例中的方法对核心路由器的数据进行清洗,并将清洗后数据回注到核心网关。
核心网关,用于将通过防护子系统回注的数据接入到服务器。
本发明实施例还提供一种网络攻击的防护装置,比如上述的防护系统,其结构示意图如图8所示,具体可以包括:报文接收单元10,反馈单元11,及终端确定单元12,其中:
所述报文接收单元10,用于接收终端的首次请求报文;
所述反馈单元11,用于根据所述报文接收单元10接收的首次请求报文,向所述终端返回错误响应报文;
所述反馈单元11,还用于当所述报文接收单元10接收到所述终端根据所述错误响应报文发出的重传请求报文,向所述终端返回正确响应报文;
所述终端确定单元12,用于当所述报文接收单元10接收到所述终端根据所述正确响应报文发出的网络连接请求,确定所述终端为具有可信网络协议地址的终端,以进行网络攻击的防护。
进一步地,所述终端确定单元12,还用于当所述报文接收单元10接收到所述终端根据所述错误响应报文发出的拒绝连接请求报文,确定所述终端为具有可信网络协议地址的终端。
可见,在本实施例的防护装置中,反馈单元11会在报文接收单元10接收到终端的首次请求报文后,直接返回错误响应报文,且终端确定单元11通过终端根据错误响应报文的反馈来确定终端是否为具有可信网络协议地址的终端,以进行网络攻击的防护。这样,当终端发出了首次请求报文后,如果在终端开启“防火墙”功能的情况下,防护装置也会继续等待终端在未接收到任何响应时的反馈,并根据反馈判断终端是否为具有可信网络协议地址的终端,从而不会对这种类型的终端误杀,使得容错性更高。
参考图9所示,在一个具体的实施例中,网络攻击的防护装置除了可以包括如上述图8所示的结构外,还可以包括:可信度确定单元13,丢弃单元14,信息加入单元15和转发单元16,具体地:
可信度确定单元13,用于根据所述首次请求报文确定所述终端的可信度级别;如果所述可信度级别为低级,通知所述反馈单元11执行所述根据所述首次请求报文,向所述终端返回错误响应报文的步骤。
其中,如果报文接收单元10接收的所述首次请求报文中包括所述终端的信息,则可信度确定单元13,具体用于如果所述终端的信息在预置的黑名单中或不在预置的可信终端数据库中,确定所述终端的可信度级别为高级;如果所述终端的信息不在预置的黑名单中或在预置的可信终端数据库中,确定所述终端的可信度级别为低级。
丢弃单元14,用于如果所述可信度确定单元13确定的可信度级别为高级,丢弃所述首次请求报文;则所述终端确定单元12,还用于当所述报文接收单元10接收到所述终端发出的重传请求报文,确定所述终端为具有可信网络协议地址的终端。
信息加入单元15,用于当所述终端确定单元12确定所述终端为具有可信网络协议地址的终端,将所述终端的信息加入到预置的可信度终端数据库中。
转发单元16,用于当所述报文接收单元10接收到所述终端发送的非首次请求报文,将所述非首次请求报文转发给对应的服务器。
本发明实施例还提供一种服务器,可以承载上述防护系统,其结构示意图如图10所示,该服务器可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(central processing units,CPU)20(例如,一个或一个以上处理器)和存储器21,一个或一个以上存储应用程序221或数据222的存储介质22(例如一个或一个以上海量存储设备)。其中,存储器21和存储介质22可以是短暂存储或持久存储。存储在存储介质22的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器20可以设置为与存储介质22通信,在服务器上执行存储介质22中的一系列指令操作。
具体地,在存储介质22中储存的应用程序221包括网络攻击的防护的应用程序,且该程序可以包括上述网络攻击的防护装置中的报文接收单元10,反馈单元11,终端确定单元12,可信度确定单元13,丢弃单元14,信息加入单元15和转发单元16,在此不进行赘述。更进一步地,中央处理器20可以设置为与存储介质22通信,在服务器上执行存储介质22中储存的网络攻击的防护的应用程序对应的一系列操作。
服务器还可以包括一个或一个以上电源23,一个或一个以上有线或无线网络接口24,一个或一个以上输入输出接口25,和/或,一个或一个以上操作系统223,例如WindowsServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
上述方法实施例中所述的由上述防护系统所执行的步骤可以基于该图10所示的服务器的结构。
本发明实施例还提供一种存储介质,所述存储介质储存多条指令,所述指令适于由处理器加载并执行如上述防护系统所执行的网络攻击的防护方法。
本发明实施例还提供一种服务器,包括处理器和存储介质,所述处理器,用于实现各个指令;
所述存储介质用于储存多条指令,所述指令用于由处理器加载并执行如上述防护系统所执行的网络攻击的防护方法。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器(ROM)、随机存取存储器RAM)、磁盘或光盘等。
以上对本发明实施例所提供的网络攻击的防护方法、装置及存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (14)
1.一种网络攻击的防护方法,其特征在于,包括:
接收终端的首次请求报文;
根据所述首次请求报文,向所述终端返回错误响应报文;
当接收到所述终端根据所述错误响应报文发出的重传请求报文,向所述终端返回正确响应报文;
当接收到所述终端根据所述正确响应报文发出的网络连接请求,确定所述终端为具有可信网络协议地址的终端,以进行网络攻击的防护。
2.如权利要求1所述的方法,其特征在于,所述向所述终端返回错误响应报文之后,还包括:
当接收到所述终端根据所述错误响应报文发出的拒绝连接请求报文,确定所述终端为具有可信网络协议地址的终端。
3.如权利要求1所述的方法,其特征在于,所述接收终端的首次请求报文之后,所述方法还包括:
根据所述首次请求报文确定所述终端的可信度级别;
如果所述可信度级别为低级,执行所述根据所述首次请求报文,向所述终端返回错误响应报文的步骤。
4.如权利要求3所述的方法,其特征在于,所述首次请求报文中包括所述终端的信息,则所述根据所述首次请求报文确定所述终端的可信度级别,具体包括:
如果所述终端的信息在预置的黑名单中或不在预置的可信终端数据库中,确定所述终端的可信度级别为高级;
如果所述终端的信息不在预置的黑名单中或在预置的可信终端数据库中,确定所述终端的可信度级别为低级。
5.如权利要求3所述的方法,其特征在于,所述方法还包括:
如果所述可信度级别为高级,丢弃所述首次请求报文;
当接收到所述终端发出的重传请求报文,确定所述终端为具有可信网络协议地址的终端。
6.如权利要求1至4任一项所述的方法,其特征在于,所述方法还包括:
将所述终端的信息加入到预置的可信度终端数据库中。
7.如权利要求1至5任一项所述的方法,其特征在于,所述方法还包括:
当接收到所述终端发送的非首次请求报文,将所述非首次请求报文转发给对应的服务器。
8.一种网络攻击的防护装置,其特征在于,包括:报文接收单元,反馈单元,及终端确定单元,其中:
所述报文接收单元,用于接收终端的首次请求报文;
所述反馈单元,用于根据所述首次请求报文,向所述终端返回错误响应报文;
所述反馈单元,还用于当接收到所述终端根据所述错误响应报文发出的重传请求报文,向所述终端返回正确响应报文;
所述终端确定单元,用于当接收到所述终端根据所述正确响应报文发出的网络连接请求,确定所述终端为具有可信网络协议地址的终端,以进行网络攻击的防护。
9.如权利要求8所述的装置,其特征在于,还包括:
可信度确定单元,用于根据所述首次请求报文确定所述终端的可信度级别;如果所述可信度级别为低级,通知所述反馈单元执行所述根据所述首次请求报文,向所述终端返回错误响应报文的步骤。
10.如权利要求9所述的装置,其特征在于,还包括:
丢弃单元,用于如果所述可信度级别为高级,丢弃所述首次请求报文;
则所述终端确定单元,用于当接收到所述终端发出的重传请求报文,确定所述终端为具有可信网络协议地址的终端。
11.如权利要求9至10任一项所述的装置,其特征在于,还包括:
信息加入单元,用于将所述终端的信息加入到预置的可信度终端数据库中。
12.如权利要求9至10任一项所述的装置,其特征在于,还包括:
转发单元,用于当接收到所述终端发送的非首次请求报文,将所述非首次请求报文转发给对应的服务器。
13.一种存储介质,其特征在于,所述存储介质储存多条指令,所述指令适于由处理器加载并执行如权利要求1至8任一项所述的网络攻击的防护方法。
14.一种服务器,其特征在于,包括处理器和存储介质,所述处理器,用于实现各个指令;
所述存储介质用于储存多条指令,所述指令用于由处理器加载并执行如权利要求1至7任一项所述的网络攻击的防护方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810386316.7A CN108667829B (zh) | 2018-04-26 | 2018-04-26 | 一种网络攻击的防护方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810386316.7A CN108667829B (zh) | 2018-04-26 | 2018-04-26 | 一种网络攻击的防护方法、装置及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108667829A true CN108667829A (zh) | 2018-10-16 |
CN108667829B CN108667829B (zh) | 2022-05-20 |
Family
ID=63781207
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810386316.7A Active CN108667829B (zh) | 2018-04-26 | 2018-04-26 | 一种网络攻击的防护方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108667829B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109327465A (zh) * | 2018-11-15 | 2019-02-12 | 珠海莲鸿科技有限公司 | 一种安全抵御网络劫持的方法 |
CN111385303A (zh) * | 2020-03-11 | 2020-07-07 | 江苏亨通工控安全研究院有限公司 | 一种网络安全防护系统及实现方法 |
WO2023060881A1 (zh) * | 2021-10-15 | 2023-04-20 | 华为技术有限公司 | 报文源地址识别方法及装置 |
WO2023241048A1 (zh) * | 2022-06-15 | 2023-12-21 | 中兴通讯股份有限公司 | 对网络连接请求的调控方法、控制器、基站及存储介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101018195A (zh) * | 2007-02-06 | 2007-08-15 | 中国科学院软件研究所 | Manet信息分发订购平台中短猝报文的传送方法 |
CN101175013A (zh) * | 2006-11-03 | 2008-05-07 | 飞塔信息科技(北京)有限公司 | 一种拒绝服务攻击防护方法、网络系统和代理服务器 |
CN101174930A (zh) * | 2006-11-03 | 2008-05-07 | 华为技术有限公司 | 一种中继系统中自动重传请求的实现方法和装置 |
CN102143173A (zh) * | 2011-03-23 | 2011-08-03 | 深信服网络科技(深圳)有限公司 | 防御分布式拒绝服务攻击的方法、系统以及网关设备 |
CN102739683A (zh) * | 2012-06-29 | 2012-10-17 | 杭州迪普科技有限公司 | 一种网络攻击过滤方法及装置 |
CN104683293A (zh) * | 2013-11-27 | 2015-06-03 | 杭州迪普科技有限公司 | 一种基于逻辑器件的syn攻击防护方法 |
CN105610852A (zh) * | 2016-01-15 | 2016-05-25 | 腾讯科技(深圳)有限公司 | 处理ack洪泛攻击的方法和装置 |
US20160358434A1 (en) * | 2015-06-05 | 2016-12-08 | Hanwha Techwin Co., Ltd. | Surveillance system including network camera and gateway and method of driving the same |
CN106453419A (zh) * | 2016-12-07 | 2017-02-22 | 东软集团股份有限公司 | 识别源ip地址合法性、网络攻击防御的方法及装置 |
-
2018
- 2018-04-26 CN CN201810386316.7A patent/CN108667829B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101175013A (zh) * | 2006-11-03 | 2008-05-07 | 飞塔信息科技(北京)有限公司 | 一种拒绝服务攻击防护方法、网络系统和代理服务器 |
CN101174930A (zh) * | 2006-11-03 | 2008-05-07 | 华为技术有限公司 | 一种中继系统中自动重传请求的实现方法和装置 |
CN101018195A (zh) * | 2007-02-06 | 2007-08-15 | 中国科学院软件研究所 | Manet信息分发订购平台中短猝报文的传送方法 |
CN102143173A (zh) * | 2011-03-23 | 2011-08-03 | 深信服网络科技(深圳)有限公司 | 防御分布式拒绝服务攻击的方法、系统以及网关设备 |
CN102739683A (zh) * | 2012-06-29 | 2012-10-17 | 杭州迪普科技有限公司 | 一种网络攻击过滤方法及装置 |
CN104683293A (zh) * | 2013-11-27 | 2015-06-03 | 杭州迪普科技有限公司 | 一种基于逻辑器件的syn攻击防护方法 |
US20160358434A1 (en) * | 2015-06-05 | 2016-12-08 | Hanwha Techwin Co., Ltd. | Surveillance system including network camera and gateway and method of driving the same |
CN105610852A (zh) * | 2016-01-15 | 2016-05-25 | 腾讯科技(深圳)有限公司 | 处理ack洪泛攻击的方法和装置 |
CN106453419A (zh) * | 2016-12-07 | 2017-02-22 | 东软集团股份有限公司 | 识别源ip地址合法性、网络攻击防御的方法及装置 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109327465A (zh) * | 2018-11-15 | 2019-02-12 | 珠海莲鸿科技有限公司 | 一种安全抵御网络劫持的方法 |
CN109327465B (zh) * | 2018-11-15 | 2021-11-05 | 珠海莲鸿科技有限公司 | 一种安全抵御网络劫持的方法 |
CN111385303A (zh) * | 2020-03-11 | 2020-07-07 | 江苏亨通工控安全研究院有限公司 | 一种网络安全防护系统及实现方法 |
WO2023060881A1 (zh) * | 2021-10-15 | 2023-04-20 | 华为技术有限公司 | 报文源地址识别方法及装置 |
WO2023241048A1 (zh) * | 2022-06-15 | 2023-12-21 | 中兴通讯股份有限公司 | 对网络连接请求的调控方法、控制器、基站及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN108667829B (zh) | 2022-05-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109639712B (zh) | 一种防护ddos攻击的方法及系统 | |
Schechter et al. | Fast detection of scanning worm infections | |
US7373663B2 (en) | Secret hashing for TCP SYN/FIN correspondence | |
CN102291441B (zh) | 一种防范SYN Flood攻击的方法及安全代理装置 | |
CN101175013B (zh) | 一种拒绝服务攻击防护方法、网络系统和代理服务器 | |
KR101217647B1 (ko) | 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치 | |
CN108667829A (zh) | 一种网络攻击的防护方法、装置及存储介质 | |
US20060191003A1 (en) | Method of improving security performance in stateful inspection of TCP connections | |
US20050278779A1 (en) | System and method for identifying the source of a denial-of-service attack | |
Sanmorino et al. | DDoS attack detection method and mitigation using pattern of the flow | |
CN109327426A (zh) | 一种防火墙攻击防御方法 | |
US7404210B2 (en) | Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs | |
CN111212096B (zh) | 一种降低idc防御成本的方法、装置、存储介质和计算机 | |
CN108810008B (zh) | 传输控制协议流量过滤方法、装置、服务器及存储介质 | |
Kavisankar et al. | A mitigation model for TCP SYN flooding with IP spoofing | |
CN110365658B (zh) | 一种反射攻击防护与流量清洗方法、装置、设备及介质 | |
Shah et al. | Mitigating TCP SYN flooding based EDOS attack in cloud computing environment using binomial distribution in SDN | |
US8973143B2 (en) | Method and system for defeating denial of service attacks | |
CN114465742A (zh) | 网络安全防护方法以及防护设备 | |
CN114745142B (zh) | 一种异常流量处理方法、装置、计算机设备及存储介质 | |
JP6932375B2 (ja) | 通信装置 | |
Kumarasamy et al. | An active defense mechanism for TCP SYN flooding attacks | |
Wang et al. | A multi-layer framework for puzzle-based denial-of-service defense | |
CN113660666B (zh) | 一种中间人攻击的双向请求应答检测方法 | |
Djalaliev et al. | Sentinel: hardware-accelerated mitigation of bot-based DDoS attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |