CN108965263B - 网络攻击防御方法及装置 - Google Patents
网络攻击防御方法及装置 Download PDFInfo
- Publication number
- CN108965263B CN108965263B CN201810668309.6A CN201810668309A CN108965263B CN 108965263 B CN108965263 B CN 108965263B CN 201810668309 A CN201810668309 A CN 201810668309A CN 108965263 B CN108965263 B CN 108965263B
- Authority
- CN
- China
- Prior art keywords
- communication device
- attack
- opposite
- local
- communication equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种网络攻击防御方法及装置,应用于本端通信设备,该本端通信设备与对端通信设备进行通信,所述方法包括:根据本端通信设备与对端通信设备之间的通信数据,持续检测本端通信设备是否满足预定的源端防攻击条件;在检测到本端通信设备满足源端防攻击条件时,向对端通信设备发送远端防攻击通知,使对端通信设备启动远端防攻击处理,同时本端通信设备本地也启动源端防攻击处理对网络攻击的防御。如此,相较于现有技术仅在本端通信设备本身启动防御的方式,本申请提供的方案可以是整个网络系统协同进行防御,提高的对恶意攻击防御的有效性,减少网络攻击对整个网络造成的影响。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种网络攻击防御方法及装置。
背景技术
在网络通信中,时长会遇到恶意的主机发起网络攻击,在检测到网络攻击时,需要通信设备针对网络攻击启动防御。现有技术中,当作为攻击目标的通信设备在检测到受到网络攻击时,仅针对自身启动防御机制对攻击报文进行处理,但通常情况下,作为攻击目标的通信设备与发起攻击的主机之间的其他通信设备也会受到网络攻击的影响,仅针对攻击目标本身启动防御机制存在很大的局限性,不能有效减少攻击对整个网络系统造成的影响。
发明内容
第一方面,本申请提供一种网络攻击防御方法,应用于本端通信设备,该本端通信设备与对端通信设备进行通信,所述方法包括:
根据本端通信设备与对端通信设备之间的通信数据,检测所述本端通信设备是否满足预定的源端防攻击条件;
在检测到本端通信设备满足所述源端防攻击条件时,向所述对端通信设备发送远端防攻击通知,使该对端通信设备启动远端防攻击处理。
可选地,所述根据本端通信设备与对端通信设备之间的通信数据,检测所述本端通信设备是否满足预定的源端防攻击条件的步骤,包括:
根据从所述对端通信设备接收到的待处理报文的目的IP地址发送ARP探测报文;
若在第一预设时长内未接收到其它主机针对所述ARP探测报文回复的ARP响应报文,则判断该本端通信设备满足所述源端防攻击条件。
可选地,所述根据从所述对端通信设备接收到的待处理报文的目的IP地址发送ARP探测报文的步骤,包括:
检测该本端通信设备的ARP缓存表中是否记录有与所述待处理报文的目的IP地址对应的MAC地址;
若检测到所述ARP缓存表中未记录有对应的MAC地址,则启动源端防攻击处理,针对该目的IP地址发送ARP探测报文,并生成第一黑洞路由,所述第一黑洞路由用于丢弃与所述待处理报文的目的IP地址相同的报文;
所述方法还包括:
若在第一预设时长内接收到其它主机针对所述ARP探测报文回复的ARP响应报文,则删除所述第一黑洞路由
可选地,所述向所述对端通信设备发送远端防攻击通知的步骤,包括:
根据所述待处理报文的目的IP地址生成所述远端防攻击通知,并将所述远端防攻击通知发送给所述对端通信设备,使所述对端通信设备根据所述远端防攻击通知启动远端防攻击处理生成第二黑洞路由,所述第二黑洞路由用于丢弃与所述待处理报文的目的IP地址相同的报文。
可选地,所述方法还包括:在所述本端通信设备在发送所述远端防攻击通知之后接收到针对所述ARP探测报文的ARP响应报文时,向所述对端通信设备发送解除通知,所述解除通知包括所述待处理报文的目的IP地址,使所述对端通信设备根据所述解除通知删除相应的第二黑洞路由。
可选地,所述方法还包括:检测该本端通信设备上生成的源端口为同一隧道口的第一黑洞路由是否超过第一阈值;
若源端口为同一隧道口的第一黑洞路由超过所述第一阈值,则加快源端口为该隧道口的第一黑洞路由的老化速度。
可选地,所述根据本端通信设备与对端通信设备之间的通信数据,持续检测本端通信设备是否满足预定的源端防攻击条件的步骤,包括:
检测该本端通信设备上来自同一端口的预设状态的TCP连接数量是否超过第二阈值;
所述在检测到本端通信设备满足所述源端防攻击条件时,向所述对端通信设备发送远端防攻击通知的步骤,包括:
在检测到任一端口的TCP连接数量超过第二阈值时,则向与该端口连接的对端通信设备发送远端防攻击通知,使该对端通信设备启动远端防攻击处理检测自身路由表中记录的该对端通信设备每个端口对应目的IP地址的数量,并在检测到该对端通信设备上任一端口对应的目的IP地址数量超过第三阈值时,丢弃从该端口收到的TCP报文。
可选地,所述方法还包括:
接收所述对端通信设备在检测到该对端通信设备上任一端口对应的目的IP地址数量超过第三阈值时发送的源端防攻击通知,启动源端防攻击处理加快该本端通信设备针对所述预设状态的TCP连接老化速度。
第二方面,本申请提供一种网络攻击防御装置,应用于本端通信设备,该本端通信设备与对端通信设备进行通信,所述装置包括:
检测模块,用于根据本端通信设备与对端通信设备之间的通信数据,持续检测本端通信设备是否满足预定的源端防攻击条件;
通知模块,用于在检测到本端通信设备满足所述源端防攻击条件时,向所述对端通信设备发送远端防攻击通知,使该对端通信设备启动远端防攻击处理。
可选地,所述检测模块具体用于根据从所述对端通信设备接收到的待处理报文的目的IP地址发送ARP探测报文;若在第一预设时长内未接收到其它主机针对所述ARP探测报文回复的ARP响应报文,则判断该本端通信设备满足所述源端防攻击条件。
可选地,所述通知模块具体用于根据所述待处理报文的目的IP地址生成所述远端防攻击通知,并将所述远端防攻击通知发送给所述对端通信设备,使所述对端通信设备根据所述远端防攻击通知启动远端防攻击处理生成第二黑洞路由,所述第二黑洞路由用于丢弃与所述待处理报文的目的IP地址相同的报文。
可选地,所述检测模块具体用于检测该本端通信设备上来自同一端口的预设状态的TCP连接数量是否超过第二阈值;
所述通知模块具体用于在检测到任一端口的TCP连接数量超过第二阈值时,则向与该端口连接的对端通信设备发送远端防攻击通知,使该对端通信设备启动远端防攻击处理检测自身路由表中记录的该对端通信设备每个端口对应目的IP地址的数量,并在检测到该对端通信设备上任一端口对应的目的IP地址数量超过第三阈值时,丢弃从该端口收到的TCP报文。
可选地,所述装置还包括:本地防御模块,用于接收所述对端通信设备在检测到该对端通信设备上任一端口对应的目的IP地址数量超过第三阈值时发送的源端防攻击通知,启动源端防攻击处理加快该本端通信设备针对所述预设状态的TCP连接老化速度。
相对于现有技术而言,本申请具有以下有益效果:
本申请提供的网络攻击防御方法及装置,通过在本端通信设备检测到受到网络攻击时,通知网络攻击来源路径上的对端通信设备启动防御,如此,相较于现有技术仅在本端通信设备本身启动防御的方式,本申请提供的方案可以是整个网络系统协同进行防御,提高的对恶意攻击防御的有效性,减少网络攻击对整个网络造成的影响。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的网络攻击防御方法的流程示意图;
图2为本申请实施例第一个例子提供的应用场景示意图;
图3为本申请实施例第一个例子提供的通知报文格式示意图;
图4为本申请实施例第二个例子提供的应用场景示意图;
图5为本申请实施例提供的本端通信设备的硬件结构示意图;
图6为本申请实施例提供的网络攻击防御装置的功能模块示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本申请的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
请参照图1,图1为本实施例提供的一种网络攻击防御方法的流程图,以下将对该方法包括各个步骤进行详细阐述。
步骤S110,根据本端通信设备与对端通信设备之间的通信数据,持续检测本端通信设备是否满足预定的源端防攻击条件。
步骤S120,在检测到本端通信设备满足源端防攻击条件时,向对端通信设备发送远端防攻击通知,使该对端通信设备启动远端防攻击处理。
在本实施例中,在检测到收到网络攻击时,本端通信设备除了通知对端通信设备启动远端防攻击处理,本端通信设备自身也可以启动源端防攻击处理来防御网络攻击。下面通过两个例子解释本实施例提供的方案。
在第一个例子中,本实施例提供的方法可应用于对隧道通信场景下的ARP(Address Resolution Protocol,地址解析协议)攻击进行防御。
通信设备在进行报文转发时,需要对报文的目的IP地址进行解析,获得目的主机的MAC地址,然后根据MAC地址查找相应的出端口发送报文。当遇到无法解析的目的IP地址时,通信设备会发送ARP探测报文,并根据主机回复的ARP响应报文获得主机的IP地址,以建立IP地址与MAC地址的映射关系。
ARP攻击是网络中的恶意主机向通信设备发送大量虚假目的IP地址的报文,导致通信设备因无法解析虚假的目的IP地址而发送大量的ARP探测报文。加重了网络负载,并且反复解析加重通信设备CPU的负担。
在隧道通信场景中,请参照图2,对端通信设备110与本端通信设备200通过公共网络相互通信,并建立隧道,使分别与本端通信设备200和对端通信设备110连接的主机相互之间可以实现二层通信。例如,本端通信设备200与对端通信设备110可以通过GRE(GenericRouting Encapsulation,通用路由封装)隧道进行通信。
若对端通信设备110接收到的待处理报文的目的IP地址所在网段在本端通信设备200一侧,则对端通信设备110不会进行ARP解析,而会为待处理报文添加一层GRE封装,将GRE封装的目的地址指向本端通信设备200。
报文经过公网隧道传输到本端通信设备200后,本端通信设备200检测到待处理报文的GRE封装目的地址是该本端通信设备200,则拆除待处理报文的GRE封装,然后根据待处理报文的目的IP地址在ARP缓存表中进行查询。若未查询到对应的MAC地址,则针对该目的IP地址发送ARP探测报文。
在现有技术中,为了防止ARP攻击,本端通信设备200在接收到目的IP地址不能解析的待处理报文时,会先根据该目的IP地址生成一个黑洞路由,该黑洞路由用于丢弃目的IP地址与该待处理报文相同的报文。直到接收到某个主机针对ARP探测报文回复的ARP响应报文,本端通信设备200才删除对应的黑洞路由,并将ARP响应报文中的MAC地址与该待处理报文的目的IP地址关联以进行后续的报文转发。
在这种方式中,通过本端通信设备200一侧生成的黑洞路由丢弃ARP攻击的报文,但是对端通信设备110没有对攻击报文进行处理的动作,所以即使本端通信设备200启动的防御,对端通信设备110仍然会将ARP攻击报文通过隧道发送,占用了对端通信设备110与本端通信设备200之间的公网带宽。
本实施例提供的方法可以解决上述场景的问题,下面对本实施例的这个例子进行详细阐述。
在步骤S110中,本端通信设备200根据从对端通信设备110接收到的待处理报文的目的IP地址发送ARP探测报文。
具体地,本端通信设备200检测ARP缓存表中是否记录有与待处理报文的目的IP地址对应的MAC地址。若检测到ARP缓存表中未记录有对应的MAC地址,则启动源端防攻击处理,针对该目的IP地址发送ARP探测报文,并生成第一黑洞路由,第一黑洞路由用于在本端通信设备200上丢弃与待处理报文的目的IP地址相同的报文。例如,该第一黑洞路由的目的IP地址可以为待处理报文的目的IP地址,该第一黑洞路由的下一跳端口可以为null。
这样,如果本端通信设备200接收到大量相同的虚假目的IP地址的ARP攻击报文时,可以通过第一黑洞路由丢弃这些报文,不进行ARP解析,也就阻止了ARP攻击。
若在第一预设时长内接收到其它主机针对ARP探测报文回复的ARP响应报文,则认为该目的IP地址是一个真实主机的地址,本端通信设备200根据接收到的ARP响应报文删除对应目的IP地址的第一黑洞路由,进行正常的转发工作。
在步骤S120中,若在第一预设时长内未接收到其它主机针对ARP探测报文回复的ARP响应报文,则说明该目的IP地址的主机并不存在,本端通信设备200将该待处理报文视作ARP攻击报文处理,判断该本端通信设备200满足源端防攻击条件。
其中,本端通信设备200在无法解析一个目的IP地址时会一定时间间隔多次发送ARP探测报文,在本实施例中,第一预设时长可以为ARP探测报文的发送时间间隔乘以预设发送次数。
在本端通信设备200检测到受到ARP攻击时,根据待处理报文的目的IP地址生成远端防攻击通知,并将远端防攻击通知发送给对端通信设备,使对端通信设备根据远端防攻击通知启动远端防攻击处理生成第二黑洞路由,第二黑洞路由用于丢弃与待处理报文的目的IP地址相同的报文。
可选地,在本实施例中,预先定义了一种GRE报文,例如,请参照图3,当报文的GRE头的协议号为0aff时,表示该通知报文。通知报文的通知类型字段长度为4位,该字段的值为0时,表示该报文为通知对端通信设备添加黑洞路由的远端防攻击通知;该字段的值为1时,表示该报文为通知对端通信设备删除黑洞路由的解除通知。通知报文的地址类型字段长度为4位,该字段的值为0时,表示采用IPv4地址;该字段的值为1时,表示采用IPv6地址。通知报文的地址数量字段长度为1字节,表示该通知报文中的地址个数,取值范围是0-255。需要传递的IP地址可以写入通知报文的地址字段。
对端通信设备110在接收到GRE报文后,根据通知类型字段确定该报文为远端防攻击通知,然后根据地址字段携带的IP地址生成第二黑洞路由。该第二黑洞路由用于在对端通信设备110上丢弃与待处理报文的目的IP地址相同的报文。
基于上述设计,当本端通信设备200判断收到ARP攻击时,通知攻击报文来源路径上的对端通信设备110,使对端通信设备110产生第二黑洞路由丢弃攻击报文,这样,使得攻击报文在对端通信设备110上就开始丢弃,不在经过公网传输,减少了攻击报文对对端通信设备110与本端通信设备200之间公网带宽的占用。
进一步地,在一些情况下,真实的主机可能因为某些原因在本端通信设备200开始发送ARP探测报文的第一预设时长之后才回复ARP响应报文,故在本实施例的第一个例子中,本端通信设备200在发送远端防攻击通知之后接收到针对ARP探测报文的ARP响应报文时,向对端通信设备110发送解除通知,解除通知包括待处理报文的目的IP地址,使对端通信设备110根据解除通知删除相应的第二黑洞路由。
进一步地,在该例子中,路由表项的老化机制也适用于本实施例中的黑洞路由。
由于恶意主机在发送ARP攻击报文时,攻击报文的目的IP地址及恶意主机的源IP地址都可能在不断变化,会导致本端通信设备200和对端通信设备110产生大量的黑洞路由。故在这个例子中,本端通信设备200的源端防攻击处理还包括在检测到第一黑洞路由的数量超过第二阈值时,加块第一黑洞路由的老化速度,使不再使用的第一黑洞路由尽早被删除。
另外,针对对端通信设备110,攻击报文通常都来自与恶意主机连接的端口。故对端通信设备110的远端防攻击处理还可以包括在检测源端口为同一物理端口的第二黑洞路由的数量达到预设的告警阈值时,发送trap报文通知管理员进行处理。对端通信设备110在检测源端口为同一物理端口的第二黑洞路由数量达到预设的保护阈值起,第二预设时长内不再转发从该物理端口接收到的报文。
为了方便本领域技术人员了解本实施例提供的方案,下面通过一个具体的实例描述本实施例第一个例子提供的方案。
请再次参照图2,本端通信设备200通过公共网络与对端通信设备110建立GRE隧道通信。
一种情况下,对端通信设备110接收到主机310发送的报文R,报文R的目的IP地址为192.168.2.5。对端通信设备110根据预先获得的路由查询到报文R目的IP地址所在网段192.168.2.0在本端通信设备200一侧,则对端通信设备110为报文R添加GRE目的地址为本端通信设备200的GRE封装,并通过隧道将封装后的报文R发送给本端通信设备200。
本端通信设备200接收GRE封装目的地址为该本端通信设备200的报文R后,拆除报文R的GRE封装。然后根据报文R的目的IP地址在该本端通信设备200的ARP缓存表查询相应的MAC地址。
若本端通信设备200没有查询到相应的MAC地址,则生成一条第一黑洞路由,该第一黑洞路的目的IP地址为192.168.2.5,下一跳为null端口,即,该第一黑洞路由用于丢弃目的IP地址为192.168.2.5的报文。同时,本端通信设备200发起针对IP地址为192.168.2.5的ARP探测报文,并开始计时。
由于IP地址为192.168.2.5的主机500是真实存在的,在第一预设时长内IP地址为192.168.2.5的主机500向本端通信设备200回复了ARP响应报文,则本端通信设备200根据ARP响应报文将主机500的MAC地址与IP地址192.168.2.5的对应关系记录至其ARP缓存表中,并根据ARP缓存表转发目的IP地址为192.168.2.5的报文。
在另一种情况下,对端通信设备110接收到主机320向虚假的IP地址192.168.2.222发送报文F,报文F在通过GRE隧道被发送到本端通信设备200后,本端通信设备200因无法解析192.168.2.222对应的MAC地址,发送针对192.168.2.222的ARP探测报文。同时本端通信设备200针对192.168.2.222生成第一黑洞路由。
本端通信设备200会按照一定时间间隔多次发送ARP探测报文,但由于IP地址为192.168.2.222的主机不存在,本端通信设备200不会接收到针对IP地址192.168.2.222的ARP响应报文,所以在经过第一预设时长(ARP探测报文发送此时X发送时间间隔)之后,本端通信设备200检测到目的IP地址为192.168.2.5的第一黑洞路由任然存在。也就是说,在第一预设时长内本端通信设备200不会收到针对192.168.2.222的ARP响应报文,则本端通信设备200判断报文F可能为ARP攻击报文。
然后,本端通信设备200向对端通信设备110发送一条GRE封装的远端防攻击通知,该远端防攻击通知中携带了IP地址192.168.2.222。
对端通信设备110在接收到GRE封装的报文后,对其解封装,然后根据报文的通知类型发现该报文为远端防攻击通知,则生成一条目的IP地址为192.168.2.222的第二黑洞路由。这样,后续还有采用192.168.2.222作为目的IP地址发起的ARP攻击报文在对端通信设备110上就根据第二黑洞路由被丢弃了,不再经过公网传输。
若IP地址为192.168.2.222的主机因为某种原因在第一预设时长之后恢复ARP响应报文,则本端通信设备200在接收到ARP响应报文后,删除对应的第一黑洞路由,同时向对端通信设备110发送GRE封装的解除通知,解除通知携带有IP地址102.168.2.222。对端通信设备110在接收到解除通知时,删除相应的第二黑洞路由。
同时,对端通信设备110会持续性地检测该对端通信设备110上各第二黑洞路由的目的IP对应的物理端口,当某一物理端口对应的第二黑洞路由数量大于预设的告警阈值,则认为该端口为接收到ARP攻击的端口,对端通信设备110发送trap报文通知管理员。当某一物理端口对应的第二黑洞路由数量大于预设的保护阈值,则对端通信设备110在第二预设时长内不再对从该端口接收到的报文进行转发,但仍然允许从该端口发送报文。
在本端通信设备200上,如果检测到源端口为与对端通信设备110通信隧道口的第一黑洞路由超过保护阈值,则本端通信设备200加快该隧道口对应的第一黑洞路由的老化速度,以加速删除不再使用的第一黑洞路由,避免占用设备资源。
在本实施例的另一个例子中,本实施例提供的网络攻击防御方法可以用于对DDoS类型的网络攻击进行防御,例如,对NAPTHA攻击进行防御。
NAPTHA是一种利用大量的TCP连接消耗通信设备处理资源的攻击手段。通信设备在与主机建立TCP连接后,当TCP连接处于某个特定状态(如CLOSING、ESTABLISHED、FIN_WAIT_1、FIN_WAIT_2或LAST_ACK中的任意一种)时,通信设备需要使用一定的资源维持TCP连接。
例如,请参照图4,本端通信设备200可以通过不同的物理接口分别与对端通信设备120及对端通信设备130通信连接。对端通信设备120及对端通信设备130可以通过不同的物理接口分别与主机330到360通信连接。主机330到360可以经对端通信设备120或130与本端通信设备200建立TCP连接。
若恶意主机330向本端通信设备200发起NAPTHA攻击,主机330会向本端通信设备200请求建立大量的无用的TCP连接,当这些TCP连接处于特定状态时,被攻击的本端通信设备200需要消耗大量的资源维护这些无用的TCP连接。
在现有技术中,由被攻击的本端通信设备200在检测自身到维持在特定状态的TCP连接数量,当这些TCP连接数量超过一定阈值时,认为受到NAPTHA攻击,并在判定受到NAPTHA攻击时触发启动防御,加快本端通信设备200本地TCP连接的老化速度。然而,这种方式触发启动防御的阈值不易确定,阈值太大则不能有效限制攻击,阈值太小又会影响正常的TCP连接。
本实施例提供的方法可以解决上述场景的问题,下面对本实施例的这个例子进行详细阐述。
在该例子中,对端通信设配置成信任本端通信设备200,允许本端通信设备200获取其路由表等信息,并可以根据本端通信设备200发送的通知启动防御。
在步骤S110中,本端通信设备200检测该来自同一端口的预设状态的TCP连接数量是否超过第二阈值,该预设状态包括CLOSING、ESTABLISHED、FIN_WAIT_1、FIN_WAIT_2或LAST_ACK状态中的任意一种。其中,第二阈值可以小于现有技术中单方面触发本端通信设备200启动防御的TCP连接数阈值。
然后在步骤S120中,若检测到来任一端口的预设状态的TCP连接数量超过第二阈值,则说明有可能从该端口受到NAPTHA攻击,本端通信设备200与该端口连接的对端通信设备发送远端防攻击通知,使该对端通信设备启动远端防攻击处理检测自身路由表中记录的该对端通信设备每个端口对应目的IP地址的数量。
若对端通信设备检测到其自身路由表中记录的任一端口对应的目的IP地址数量超过第三阈值,则认为与该端口连接的主机向本端通信设备200发起了NAPTHA攻击,该对端通信设备丢弃从该端口收到的TCP报文。
同时,在该例子中,对端通信设备在检测到在检测到该对端通信设备上任一端口对应的目的IP地址数量超过第三阈值时,向本端通信设备200发送的源端防攻击通知。本端通信设备200接收到上述源端防攻击通知后自身也会启动源端防攻击处理,加快该本端通信设备200针对预设状态的TCP连接老化速度,以尽早释放无用的TCP连接。
基于上述设计,本端通信设备200可以在预设状态的TCP连接数满足一个较小的第二阈值时,结合对端通信设备的路由表进行判断是否受到攻击。并在受到攻击时通知对端通信设备协同进行防御。如此,有效提高的网络攻击检测的进度及对网络攻击防御的有效性。
为了方便本领域技术人员了解本实施例提供的方案,下面通过一个具体的实例描述本实施例的第二个例子提供的方案。
请参照图4,本端通信设备200通过端口Eth-1.1与对端通信设备120的端口Eth-2.1通信连接,本端通信设备200通过端口Eth-1.2与对端通信设备130的端口Eth-3.1通信连接。
对端通信设备120通过端口Eth-2.2和Eth-2.3分别与主机330和340通信连接,对端通信设备130通过端口Eth-3.2和Eth-3.3分别与主机350和360通信连接。主机330到360可以分别经对端通信设备120或130与本端通信设备200建立TCP连接。
主机330或340在通过对端通信设备120与本端通信设备200建立TCP连接后,对端通信设备120会针对主机330或340的每个TCP连接生成用于进行数据转发的路由表项。主机350或360在通过对端通信舍设备130与本端通信设备200建立TCP连接后,对端通信设备130会针对主机350或360每个TCP连接生成用于进行数据转发的路由表项。
在使用过程中,本端通信设备200持续检测该本端通信设备200上来各端口的预设TCP连接的数量。
若此时本端通信设备200检测到来自端口Eth-1.1的预设状态的TCP连接超过第二阈值,则认为可能从端口Eth-1.1收到NAPTHA攻击,需要进一步结合端口Eth-1.1连接的对端通信设备120上TCP连接的情况来判断是否受到NAPTHA攻击,则本端通信设备200向对端通信设备120发送远端防攻击通知。
对端通信设备120接收到远端防攻击通知检查,检测该对端通信设备120的路由表中每个端口对应目的IP地址的数量。
若检测到对端通信设备120与主机连接的端口中,所有端口对应的IP地址数量均未达到第三预设阈值,则表示对端通信设备120上TCP连接数没有集中于某一端口,并非NAPTHA攻击导致本端通信设备200端口Eth-1.1的预设状态的TCP连接超过第二阈值,本端通信设备200不采取其他动作。
若检测到对端通信设备120与主机连接的端口中,端口Eth-2.2对应的IP地址数量大于第三阈值,则表示来自端口Eth-2.2上的TCP连接数量较多,则对端通信设备120认为与端口Eth-2.2连接的主机330向本端通信设备200发起了NAPTHA攻击。因此,对端通信设备120启动防御,丢弃从端口Eth-2.2收到的TCP报文。
同时,对端通信设备120还向本端通信设备200发送源端防攻击通知。本端通信设备200接收源端防攻击通知,并启动防御,加快该本端通信设备200上TCP连接的老化速度。
这样本端通信设备200加速释放无用的TCP连接,对端通信设备120也阻止了恶意主机330继续请求与本端通信设备200建立TCP连接,从而达到了防御NAPTHA攻击的目的。
请参照图5,图5是本实施例提供的本端通信设备200的方框示意图。本端通信设备200包括网络攻击防御装置210、存储器220及处理器230。
存储器220及处理器230各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。网络攻击防御装置210包括至少一个可以软件或固件(firmware)的形式存储于存储器220中或固化在本端通信设备200的操作系统(operating system,OS)中的软件功能模块。处理器230用于执行存储器220中存储的可执行模块,例如网络攻击防御装置210所包括的软件功能模块及计算机程序等。
其中,存储器220可以是,但不限于,随机存取存储器220(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。其中,存储器220用于存储程序,处理器230在接收到执行指令后,执行程序。
请参照图6,从功能上划分,网络攻击防御装置210可以包括检测模块211及通知模块212。
检测模块211用于根据本端通信设备200与对端通信设备之间的通信数据,持续检测本端通信设备200是否满足预定的源端防攻击条件。
通知模块212用于在检测到本端通信设备200满足源端防攻击条件时,向对端通信设备发送远端防攻击通知,使该对端通信设备丢弃产生网络攻击的报文。
可选地,在本实施例的第一个例子中,检测模块211具体用于根据从对端通信设备接收到的待处理报文的目的IP地址发送ARP探测报文;若在第一预设时长内未接收到其它主机针对ARP探测报文回复的ARP响应报文,则判断该本端通信设备200满足源端防攻击条件。
通知模块212具体用于根据待处理报文的目的IP地址生成远端防攻击通知,并将远端防攻击通知发送给对端通信设备,使对端通信设备根据远端防攻击通知生成第二黑洞路由,第二黑洞路由用于丢弃与待处理报文的目的IP地址相同的报文。
可选地,在本实施例的第二个例子中,检测模块211具体用于检测该本端通信设备200上来自同一端口的预设状态的TCP连接数量是否超过第二阈值。
通知模块212具体用于在检测到任一端口的TCP连接数量超过第二阈值时,则向与该端口连接的对端通信设备发送远端防攻击通知,使该对端通信设备检测自身路由表中记录的该对端通信设备每个端口对应目的IP地址的数量,并在检测到该对端通信设备上任一端口对应的目的IP地址数量超过第三阈值时,丢弃从该端口收到的TCP报文。
可选地,网络攻击防御装置210还可以包括本地防御模块。本地防御模块用于接收所述对端通信设备在检测到该对端通信设备上任一端口对应的目的IP地址数量超过第三阈值时发送的源端防攻击通知,加快该本端通信设备针对所述预设状态的TCP连接老化速度。
综上,本申请提供的网络攻击防御方法及装置,通过在本端通信设备检测到受到网络攻击时,通知网络攻击来源路径上的对端通信设备启动防御,如此,相较于现有技术仅在本端通信设备本身启动防御的方式,本申请提供的方案可以是整个网络系统协同进行防御,提高的对恶意攻击防御的有效性,减少网络攻击对整个网络造成的影响。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (9)
1.一种网络攻击防御方法,其特征在于,应用于本端通信设备,该本端通信设备与对端通信设备进行通信,所述方法包括:
根据本端通信设备与对端通信设备之间的通信数据,检测所述本端通信设备是否满足预定的源端防攻击条件;
在检测到本端通信设备满足所述源端防攻击条件时,向所述对端通信设备发送远端防攻击通知,使该对端通信设备启动远端防攻击处理;
其中,所述根据本端通信设备与对端通信设备之间的通信数据,检测所述本端通信设备是否满足预定的源端防攻击条件的步骤,包括:
根据从所述对端通信设备接收到的待处理报文的目的IP地址发送ARP探测报文;
若在第一预设时长内未接收到其它主机针对所述ARP探测报文回复的ARP响应报文,则判断该本端通信设备满足所述源端防攻击条件;
其中,所述根据从所述对端通信设备接收到的待处理报文的目的IP地址发送ARP探测报文的步骤,包括:
检测该本端通信设备的ARP缓存表中是否记录有与所述待处理报文的目的IP地址对应的MAC地址;
若检测到所述ARP缓存表中未记录有对应的MAC地址,则启动源端防攻击处理,针对该目的IP地址发送ARP探测报文,并生成第一黑洞路由,所述第一黑洞路由用于丢弃与所述待处理报文的目的IP地址相同的报文;
其中,所述向所述对端通信设备发送远端防攻击通知的步骤,包括:
根据所述待处理报文的目的I P地址生成所述远端防攻击通知,并将所述远端防攻击通知发送给所述对端通信设备,使所述对端通信设备根据所述远端防攻击通知启动远端防攻击处理生成第二黑洞路由,所述第二黑洞路由用于丢弃与所述待处理报文的目的IP地址相同的报文。
2.根据权利要求1所述的方法,其特征在于,
所述方法还包括:
若在第一预设时长内接收到其它主机针对所述ARP探测报文回复的ARP响应报文,则删除所述第一黑洞路由。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在发送所述远端防攻击通知之后接收到针对所述ARP探测报文的ARP响应报文时,向所述对端通信设备发送解除通知,所述解除通知包括所述待处理报文的目的IP地址,使所述对端通信设备根据所述解除通知删除相应的第二黑洞路由。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
检测该本端通信设备上生成的源端口为同一隧道口的第一黑洞路由是否超过第一阈值;
若源端口为同一隧道口的第一黑洞路由超过所述第一阈值,则加快源端口为该隧道口的第一黑洞路由的老化速度。
5.根据权利要求1所述的方法,其特征在于,所述根据本端通信设备与对端通信设备之间的通信数据,持续检测本端通信设备是否满足预定的源端防攻击条件的步骤,包括:
检测该本端通信设备上来自同一端口的预设状态的TCP连接数量是否超过第二阈值;
所述在检测到本端通信设备满足所述源端防攻击条件时,向所述对端通信设备发送远端防攻击通知的步骤,包括:
在检测到任一端口的TCP连接数量超过第二阈值时,则向与该端口连接的对端通信设备发送远端防攻击通知,使该对端通信设备启动远端防攻击处理检测自身路由表中记录的每个端口对应目的IP地址的数量,并在检测到该对端通信设备上任一端口对应的目的IP地址数量超过第三阈值时,丢弃从该端口收到的TCP报文。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
接收所述对端通信设备在检测到该对端通信设备上任一端口对应的目的IP地址数量超过第三阈值时发送的源端防攻击通知,启动源端防攻击处理加快所述本端通信设备针对所述预设状态的TCP连接老化速度。
7.一种网络攻击防御装置,其特征在于,应用于本端通信设备,该本端通信设备与对端通信设备进行通信,所述装置包括:
检测模块,用于根据本端通信设备与对端通信设备之间的通信数据,持续检测本端通信设备是否满足预定的源端防攻击条件;
通知模块,用于在检测到本端通信设备满足所述源端防攻击条件时,向所述对端通信设备发送远端防攻击通知,使该对端通信设备启动远端防攻击处理;
其中,所述检测模块具体用于根据从所述对端通信设备接收到的待处理报文的目的IP地址发送ARP探测报文;若在第一预设时长内未接收到其它主机针对所述ARP探测报文回复的ARP响应报文,则判断该本端通信设备满足所述源端防攻击条件;
其中,所述检测模块在根据从所述对端通信设备接收到的待处理报文的目的IP地址发送ARP探测报文时,检测该本端通信设备的ARP缓存表中是否记录有与所述待处理报文的目的IP地址对应的MAC地址;若检测到所述ARP缓存表中未记录有对应的MAC地址,则启动源端防攻击处理,针对该目的IP地址发送ARP探测报文,并生成第一黑洞路由,所述第一黑洞路由用于丢弃与所述待处理报文的目的IP地址相同的报文;
其中,所述通知模块具体用于根据所述待处理报文的目的IP地址生成所述远端防攻击通知,并将所述远端防攻击通知发送给所述对端通信设备,使所述对端通信设备根据所述远端防攻击通知启动远端防攻击处理生成第二黑洞路由,所述第二黑洞路由用于丢弃与所述待处理报文的目的IP地址相同的报文。
8.根据权利要求7所述的装置,其特征在于,
所述检测模块具体用于检测该本端通信设备上来自同一端口的预设状态的TCP连接数量是否超过第二阈值;
所述通知模块具体用于在检测到任一端口的TCP连接数量超过第二阈值时,则向与该端口连接的对端通信设备发送远端防攻击通知,使该对端通信设备启动远端防攻击处理检测自身路由表中记录的该对端通信设备每个端口对应目的IP地址的数量,并在检测到该对端通信设备上任一端口对应的目的IP地址数量超过第三阈值时,丢弃从该端口收到的TCP报文。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
本地防御模块,用于接收所述对端通信设备在检测到该对端通信设备上任一端口对应的目的I P地址数量超过第三阈值时发送的源端防攻击通知,启动源端防攻击处理加快所述本端通信设备针对所述预设状态的TCP连接老化速度。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810668309.6A CN108965263B (zh) | 2018-06-26 | 2018-06-26 | 网络攻击防御方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810668309.6A CN108965263B (zh) | 2018-06-26 | 2018-06-26 | 网络攻击防御方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108965263A CN108965263A (zh) | 2018-12-07 |
| CN108965263B true CN108965263B (zh) | 2021-06-08 |
Family
ID=64486755
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810668309.6A Active CN108965263B (zh) | 2018-06-26 | 2018-06-26 | 网络攻击防御方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108965263B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109600379B (zh) * | 2018-12-19 | 2021-08-17 | 锐捷网络股份有限公司 | Https重定向的降噪方法及装置 |
| CN110505243A (zh) * | 2019-09-18 | 2019-11-26 | 浙江大华技术股份有限公司 | 网络攻击的处理方法及装置、存储介质、电子装置 |
| CN112165483B (zh) * | 2020-09-24 | 2022-09-09 | Oppo(重庆)智能科技有限公司 | 一种arp攻击防御方法、装置、设备及存储介质 |
| CN112134893B (zh) * | 2020-09-25 | 2023-08-29 | 杭州迪普科技股份有限公司 | 物联网安全防护方法、装置、电子设备及存储介质 |
| CN114268458A (zh) * | 2021-11-23 | 2022-04-01 | 贵州电网有限责任公司 | 一种终端公网安全通信用安全防护模块的防护方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101175013A (zh) * | 2006-11-03 | 2008-05-07 | 飞塔信息科技(北京)有限公司 | 一种拒绝服务攻击防护方法、网络系统和代理服务器 |
| CN105704097A (zh) * | 2014-11-26 | 2016-06-22 | 华为数字技术(苏州)有限公司 | 一种防御攻击的方法及装置 |
| CN105959334A (zh) * | 2016-07-20 | 2016-09-21 | 上海携程商务有限公司 | DDoS攻击的自动防御系统及方法 |
| CN107104921A (zh) * | 2016-02-19 | 2017-08-29 | 阿里巴巴集团控股有限公司 | DDoS攻击防御方法及装置 |
| CN107347047A (zh) * | 2016-05-04 | 2017-11-14 | 阿里巴巴集团控股有限公司 | 攻击防护方法和装置 |
| CN107395554A (zh) * | 2016-05-17 | 2017-11-24 | 阿里巴巴集团控股有限公司 | 流量攻击的防御处理方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101231975B1 (ko) * | 2011-05-12 | 2013-02-08 | (주)이스트소프트 | 차단서버를 이용한 스푸핑 공격 방어방법 |
-
2018
- 2018-06-26 CN CN201810668309.6A patent/CN108965263B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101175013A (zh) * | 2006-11-03 | 2008-05-07 | 飞塔信息科技(北京)有限公司 | 一种拒绝服务攻击防护方法、网络系统和代理服务器 |
| CN105704097A (zh) * | 2014-11-26 | 2016-06-22 | 华为数字技术(苏州)有限公司 | 一种防御攻击的方法及装置 |
| CN107104921A (zh) * | 2016-02-19 | 2017-08-29 | 阿里巴巴集团控股有限公司 | DDoS攻击防御方法及装置 |
| CN107347047A (zh) * | 2016-05-04 | 2017-11-14 | 阿里巴巴集团控股有限公司 | 攻击防护方法和装置 |
| CN107395554A (zh) * | 2016-05-17 | 2017-11-24 | 阿里巴巴集团控股有限公司 | 流量攻击的防御处理方法及装置 |
| CN105959334A (zh) * | 2016-07-20 | 2016-09-21 | 上海携程商务有限公司 | DDoS攻击的自动防御系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108965263A (zh) | 2018-12-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108965263B (zh) | 网络攻击防御方法及装置 | |
| CN112422481B (zh) | 网络威胁的诱捕方法、系统和转发设备 | |
| EP3507964B1 (en) | Malware detection for proxy server networks | |
| CN107547503B (zh) | 一种会话表项处理方法、装置、防火墙设备及存储介质 | |
| EP3355514B1 (en) | Method and device for transmitting network attack defense policy and method and device for defending against network attack | |
| WO2019179375A1 (zh) | 一种防御网络攻击的方法及装置 | |
| US20050278779A1 (en) | System and method for identifying the source of a denial-of-service attack | |
| CN108234473B (zh) | 一种报文防攻击方法及装置 | |
| US20190058731A1 (en) | User-side detection and containment of arp spoofing attacks | |
| CN110519265B (zh) | 一种防御攻击的方法及装置 | |
| US20110026529A1 (en) | Method And Apparatus For Option-based Marking Of A DHCP Packet | |
| US10447715B2 (en) | Apparatus and method of detecting distributed reflection denial of service attack based on flow information | |
| CN108810008B (zh) | 传输控制协议流量过滤方法、装置、服务器及存储介质 | |
| CN106878326A (zh) | 基于反向检测的IPv6邻居缓存保护方法及其装置 | |
| CN110061998B (zh) | 一种攻击防御方法及装置 | |
| CN110677414A (zh) | 网络检测方法、装置、电子设备及计算机可读存储介质 | |
| CN110213204B (zh) | 攻击防护方法及装置、设备及可读存储介质 | |
| CN102347903B (zh) | 一种数据报文转发方法、装置及系统 | |
| CN109413015B (zh) | 一种dns劫持的防御方法和装置 | |
| WO2019096104A1 (zh) | 攻击防范 | |
| CN110661763B (zh) | 一种DDoS反射攻击防御方法、装置及其设备 | |
| CN112383559B (zh) | 地址解析协议攻击的防护方法及装置 | |
| JP6932375B2 (ja) | 通信装置 | |
| CN111953810B (zh) | 识别代理互联网协议地址的方法、装置及存储介质 | |
| CN111031077B (zh) | 一种流量清洗方法、流量清洗系统和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230612 Address after: 310052 11th Floor, 466 Changhe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee after: H3C INFORMATION TECHNOLOGY Co.,Ltd. Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466 Patentee before: NEW H3C TECHNOLOGIES Co.,Ltd. |