CN109150919A - 一种网络防攻击的方法及网络设备 - Google Patents
一种网络防攻击的方法及网络设备 Download PDFInfo
- Publication number
- CN109150919A CN109150919A CN201811285814.9A CN201811285814A CN109150919A CN 109150919 A CN109150919 A CN 109150919A CN 201811285814 A CN201811285814 A CN 201811285814A CN 109150919 A CN109150919 A CN 109150919A
- Authority
- CN
- China
- Prior art keywords
- message
- response message
- content information
- client
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/12—Arrangements for detecting or preventing errors in the information received by using return channel
- H04L1/16—Arrangements for detecting or preventing errors in the information received by using return channel in which the return channel carries supervisory signals, e.g. repetition request signals
- H04L1/1607—Details of the supervisory signal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种网络防攻击的方法及网络设备,所述方法应用于一电子设备,包括:接收客户端发送的第一报文;以第一方式对所述第一报文的内容信息进行修改,形成第一应答报文;发送所述第一应答报文至所述客户端;若接收到所述客户端基于所述第一应答报文反馈的第二应答报文,以预设算法对所述第二应答报文进行验证。通过以第一方式对所述第一报文的内容信息进行修改进而形成第一应答报文的形式,解决了现有技术中在电子设备针对客户端发来的报文进行应答处理的过程中,占用处理器及内存较多资源的问题,使得仅需要占用处理器及内存较少的资源便能够实现对客户端进行验证的技术效果,提升了电子设备的性能。
Description
技术领域
本申请涉及网络安全防护领域,特别是一种网络防攻击的方法及网络设备。
背景技术
目前,随着社会发展的不断进步,人们的生活水平正在不断的提高,电子设备已然成为人们生活、工作中的必需品。但是,随着各类网络环境越来越复杂,网络攻击也层出不穷,尤其是底层网络攻击,通过模拟正常的通信过程进行攻击,大量消耗网络资源,导致网络不可用。网络攻击造成的影响主要表现为两个方面,第一,针对服务器及服务器集群的攻击,消耗大量服务器的处理器和内存资源,导致服务器无法提供服务,第二,大量消耗网络路径中网络安全设备的连接资源和内存资源,导致网络安全设备不可用,通信中断。
虽然,当前很多解决方案可以应对底层网络攻击,例如源认证、高级源认证等,但是,还存有在分辨攻击和阻挡攻击过程消耗系统资源和非攻击连接首次通信时误阻断的问题。
发明内容
有鉴于现有技术中存在的上述问题,本申请提供一种大大降低处理器及内存占用资源的网络防攻击的方法及网络设备。
本申请实施例提供了一种网络防攻击的方法,应用于一电子设备,包括:
接收客户端发送的第一报文;
以第一方式对所述第一报文的内容信息进行修改,形成第一应答报文;
发送所述第一应答报文至所述客户端;
若接收到所述客户端基于所述第一应答报文反馈的第二应答报文,以预设算法对所述第二应答报文进行验证。
在本申请的一些实施例中,所述以第一方式对所述第一报文的内容信息进行修改,至少包括:
在所述第一报文的内容信息中加入第一序列号,其中,所述第一序列号依据所述第一报文的内容信息中第一源网络协议地址、第一目的网络协议地址、第一源端口号、第一目的端口号以及所述电子设备与所述客户端建立连接的网络协议确定。
在本申请的一些实施例中,所述以第一方式对所述第一报文的内容信息进行修改,还包括:
对所述第一报文的内容信息中的第一标记信息、所述第一源网络协议地址、所述第一目的网络协议地址、第一源物理地址、第一目的物理地址进行修改、所述第一源端口号以及所述第一目的端口号进行修改。
在本申请的一些实施例中,所述以预设算法对所述第二应答报文进行验证,包括:
获取所述第二应答报文的内容信息中的第二序列号,通过所述预设算法对所述第二序列号进行计算,获得待验证序列号;
将所述待验证序列号与所述第一序列号进行验证。
在本申请的一些实施例中,所述方法还包括:
若所述第二应答报文通过以所述预设算法进行的验证,则以第二方式对所述第二应答报文的内容信息进行修改,形成第二报文;
发送所述第二报文至服务器;
接收所述服务器基于所述第二报文反馈的第三应答报文;
以第三方式对所述第三应答报文的内容信息进行修改,形成第四应答报文;
发送所述第四应答报文至所述服务器,以在所述服务器对接收到所述第四应答报文的验证通过后,建立所述服务器和所述客户端的通信。
在本申请的一些实施例中,所述以第二方式对所述第二应答报文的内容信息进行修改,包括:
对所述第二应答报文的内容信息中的第二标记信息、第三序列号进行修改,并将所述第二应答报文的内容信息中的第二源端口号修改为所述电子设备的出接口地址,将第二目的端口号修改为将要连接的网关地址。
在本申请的一些实施例中,所述以第三方式对所述第三应答报文的内容信息进行修改,包括:
对所述第三应答报文的内容信息中的第三标记信息、第四序列号、第三源网络协议地址、第三目的网络协议地址、第三源物理地址、第三目的物理地址、第三源端口号以及第三目的端口号进行修改。
本申请实施例还提供了一种网络设备,包括
接收模块,其用于接收客户端发送的第一报文;
修改模块,其用于以第一方式对所述第一报文的内容信息进行修改,形成第一应答报文;
发送模块,其用于发送所述第一应答报文至所述客户端;
验证模块,其用于若接收到所述客户端基于所述第一应答报文反馈的第二应答报文,以预设算法对所述第二应答报文进行验证。
在本申请的一些实施例中,所述修改模块以第一方式对所述第一报文的内容信息进行修改,至少包括:
在所述第一报文的内容信息中加入第一序列号,其中,所述第一序列号依据所述第一报文的内容信息中第一源网络协议地址、第一目的网络协议地址、第一源端口号、第一目的端口号以及所述电子设备与所述客户端建立连接的网络协议确定。
在本申请的一些实施例中,其中,
所述修改模块还用于,若所述第二应答报文通过以所述预设算法进行的验证,则以第二方式对所述第二应答报文的内容信息进行修改,形成第二报文;
所述发送模块还用于发送所述第二报文至服务器;
所述接收模块还用于接收所述服务器基于所述第二报文反馈的第三应答报文;
所述修改模块还用于以第三方式对所述第三应答报文的内容信息进行修改,形成第四应答报文;
所述发送模块还用于发送所述第四应答报文至所述服务器,以在所述服务器验证接收到所述第四应答报文后,建立所述服务器和所述客户端的通信。
与现有技术相比,本申请的有益效果在于:其在接收客户端发送的第一报文后,是以第一方式对所述第一报文的内容信息进行修改,形成第一应答报文,进而将形成的第一应答报文发送至所述客户端,并在接收到所述客户端基于所述第一应答报文反馈的第二应答报文后,以预设算法对所述第二应答报文进行验证,以验证所述客户端的是否能够进行安全合法连接。在上述技术方案中,通过以第一方式对所述第一报文的内容信息进行修改进而形成第一应答报文的形式,解决了现有技术中的需要根据接收的客户端发送来的报文计算出相关哈希值(hash值),进而再构造一个序列号为该哈希值的应答包,并且在客户端返回针对该应答包的应答信息时,电子设备对该应答信息进行处理的过程中,占用处理器及内存较多系统资源的问题,使得仅需要占用处理器及内存较少的资源便能够实现对客户端进行验证的技术效果,提升了电子设备的性能。
附图说明
图1为本申请实施例中的网络防攻击的方法的流程图;
图2为本申请实施例中的网络防攻击的方法的示意图;
图3为本申请实施例中的网络设备的框图。
具体实施方式
为使本领域技术人员更好的理解本申请的技术方案,下面结合附图和具体实施方式对本申请作详细说明。
此处参考附图描述本申请的各种方案以及特征。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本申请的上述和其它方面、特征和优势将变得更为显而易见。
此后参照附图描述本申请的具体实施例;然而,应当理解,所发明的实施例仅仅是本申请的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以根据用户的历史的操作,判明真实的意图,避免不必要或多余的细节使得本申请模糊不清。因此,本文所发明的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其它实施例中”,其均可指代根据本申请的相同或不同实施例中的一个或多个。
本申请实施例提供了一种网络防攻击的方法,应用于一电子设备,包括:接收客户端发送的第一报文;以第一方式对所述第一报文的内容信息进行修改,形成第一应答报文;发送所述第一应答报文至所述客户端;若接收到所述客户端基于所述第一应答报文反馈的第二应答报文,以预设算法对所述第二应答报文进行验证。
通过上述的技术方案可以看出,其在接收客户端发送的第一报文后,是以第一方式对所述第一报文的内容信息进行修改,形成第一应答报文,进而将形成的第一应答报文发送至所述客户端,并在接收到所述客户端基于所述第一应答报文反馈的第二应答报文后,以预设算法对所述第二应答报文进行验证,以验证所述客户端的是否能够进行安全合法连接。在上述技术方案中,通过以第一方式对所述第一报文的内容信息进行修改进而形成第一应答报文的形式,解决了现有技术中的需要根据接收的客户端发送来的报文计算出相关哈希值(hash值),进而再构造一个序列号为该哈希值的应答包,并且在客户端返回针对该应答包的应答信息时,电子设备对该应答信息进行处理的过程中,占用处理器及内存较多系统资源的问题,使得仅需要占用处理器及内存较少的资源(系统资源)便能够实现对客户端进行验证的技术效果,提升了电子设备的性能。
为了能够更加简单、详细的了解上述技术方案,下面结合实施例和附图对上述的指令处理方法进行详细阐述。
如图1和图2所示,图1为本申请实施例提供的网络防攻击的方法的流程图,其中,所述电子设备可以为网络安全设备,可以为安全路由器、线路密码机、安全服务器、身份识别卡等等,在此不做明确限定,所述网络防攻击的方法具体包括如下步骤:
步骤101:接收客户端发送的第一报文。
其中,所述客户端可以为手机、电脑、平板电脑等等,第一报文可以是指由客户端向所述电子设备发送的用于建立TCP(Transmission Control Protocol传输控制协议)网络连接的SYN(Synchronize Sequence Numbers)报文。作为示例,在所述客户端为一笔记本电脑,所述电子设备为一安全路由器时,则是笔记本电脑向所述安全路由器发送SYN报文。
步骤102:以第一方式对所述第一报文的内容信息进行修改,形成第一应答报文。即,通过对第一报文进行修改的方式形成第一应答报文,避免再次对系统资源的过渡占用,保证设备的性能。
在本申请的一些实施例中,所述以第一方式对所述第一报文的内容信息进行修改,至少包括:在所述第一报文的内容信息中加入第一序列号,其中,所述第一序列号依据所述第一报文的内容信息中第一源网络协议地址、第一目的网络协议地址、所述第一源端口号、所述第一目的端口号以及所述电子设备与所述客户端建立连接的网络协议确定。其中,与所述客户端建立连接的网络协议可以是TCP协议(Transmission Control Protocol传输控制协议)、IP协议(Internet Protocol网络之间互连的协议)、UDP(User DatagramProtocol用户数据报协议)等等,在此并不对上述网络协议作出明确限定,基于上述网络协议以及所述第一报文的内容信息中第一源网络协议地址、第一目的网络协议地址、所述第一源端口号和所述第一目的端口号生成上述的第一序列号,以方便后续通过对该进行了修改了内容信息后的第一报文进行验证。
在本申请的一些实施例中,所述以第一方式对所述第一报文的内容信息进行修改,还包括:对所述第一报文的内容信息中的第一标记信息、所述第一源网络协议地址、所述第一目的网络协议地址、第一源物理地址、第一目的物理地址进行修改、第一源端口号以及第一目的端口号进行修改,具体地,是将所述第一报文的内容信息中的第一源网络协议地址与所述第一目的网络协议地址进行互换,第一源物理地址与第一目的物理地址进行互换,以及将所述第一源端口号与所述第一目的端口号进行互换,以使得经过修改第一报文的内容信息后形成的应答报文能够被准确地进行传递,其中,对所述第一报文的内容信息中的第一标记信息进行修改,可以是将由所述客户端发送来的SYN报文修改为SYN+ACK的应答包,即,形成第一应答报文,使得该第一应答报文携带有能够使客户端完成验证的相应信息,并在将该第一应答报文发送至客户端后,使客户端能够进行相应的反馈。
步骤103:发送所述第一应答报文至所述客户端。
步骤104:若接收到所述客户端基于所述第一应答报文反馈的第二应答报文,以预设算法对所述第二应答报文进行验证。
其中,接收到所述客户端基于所述第一应答报文反馈的第二应答报文可以是客户端基于SYN+ACK的应答包进行反馈的ACK应答包,具体地,第二应答报文(可以为ACK应答包)可以是客户端基于所述电子设备发送的第一应答报文(可以为SYN+ACK的应答包)进行修改而形成的,也可以是通过处理器进行计算而形成的,在此并不做明确限定。
在本申请的一些实施例中,所述以预设算法对所述第二应答报文进行验证,包括:获取所述第二应答报文的内容信息中的第二序列号,通过所述预设算法对所述第二序列号进行计算,获得待验证序列号;将所述待验证序列号与所述第一序列号进行验证。其中,所述第二应答报文的内容信息中的第二序列号是客户端在接收到的第一应答报文的内容信息中的第一序列号的基础上生成的,也就是,通过预设算法可以对所述第二序列号进行还原处理,并在进行还原处理后得到待验证序列号,在将所述待验证序列号与所述第一序列号进行验证,且验证通过后,便可以确定所述客户端已经通过验证,进而确定所述客户端是能够进行安全合法连接的。
在本申请的一些实施例中,所述方法还包括:
步骤105:若所述第二应答报文通过以所述预设算法进行的验证,则以第二方式对所述第二应答报文的内容信息进行修改,形成第二报文。
若所述第二应答报文未通过以所述预设算法进行的验证,则也不发送回执报文给所述客户端,进而使得无需再通过回执报文打断电子设备与客户端建立的连接。
在本申请的一些实施例中,所述以第二方式对所述第二应答报文的内容信息进行修改,包括:对所述第二应答报文的内容信息中的第二标记信息、第三序列号进行修改,并将所述第二应答报文的内容信息中的第二源端口号修改为所述电子设备的出接口地址,将第二目的端口号修改为将要连接的网关地址。具体地,在所述第二应答报文为ACK应答包时,对所述第二应答报文的内容信息中的第二标记信息的修改可以是,将ACK应答包修改为SYN报文,即,修改ACK应答包的类型为SYN报文的类型,修改所述第三序列号具体可以是对ACK应答包的内容信息中的序列号进行调整,可以是基于电子设备的源网络协议地址、源端口号、源物理地址,以及与将要进行通信连接的服务器的目的网络协议地址、目的端口号、目的物理地址以及所述电子设备与将要进行通信连接的服务器之间的网络协议完成对所述序列号的调整。
步骤106:发送所述第二报文至服务器。具体地,可以是将上述对ACK应答包进行修改而生成的SYN报文发送至服务器。进而使得,在所述电子设备向所述服务器发送报文时,通过再次使用客户端发送来的第二应答报文的方式便可实现对新的报文的生成,减少了对系统资源的占用。
步骤107:接收所述服务器基于所述第二报文反馈的第三应答报文。具体地,可以是服务器在接收到发送来的SYN报文后,反馈给所述电子设备一个应答报文,可以是SYN+ACK应答包,当然,该第三应答报文(可以为SYN+ACK应答包)可以是服务器基于所述电子设备发送的第二报文(可以为SYN报文)进行修改而形成的,也可以是通过处理器进行计算而形成的,在此并不做明确限定。
步骤108:以第三方式对所述第三应答报文的内容信息进行修改,形成第四应答报文。
在本申请的一些实施例中,所述以第三方式对所述第三应答报文的内容信息进行修改,包括:对所述第三应答报文的内容信息中的第三标记信息、第四序列号、第三源网络协议地址、第三目的网络协议地址、第三源物理地址、第三目的物理地址、第三源端口号以及第三目的端口号进行修改。具体地,可以是将所述第三应答报文的内容信息中的第三源网络协议地址与第三目的网络协议地址进行互换,将第三源物理地址与第三目的物理地址进行互换,将第三源端口号与第三目的端口号进行互换,而在第三应答报文为SYN+ACK应答包时,对第三标记信息的修改可以是将所述SYN+ACK应答包修改为ACK应答包,进而形成第四应答报文。
步骤109:发送所述第四应答报文至所述服务器,以在所述服务器对接收到所述第四应答报文的验证通过后,建立所述服务器和所述客户端的通信。具体地,可以是将基于所述服务器反馈的第三应答报文(可以为SYN+ACK应答包)进行修改而生成的第四应答报文(可以为ACK应答包)发送给所述服务器,进而使得所述客户端能够与所述服务器直接建立通信连接。即,通过电子设备以对客户端与电子设备之间来回传送的报文及应答报文、以及电子设备与服务器之间来回传送的报文及应答报文进行修改的方式,实现了对客户端的安全合法的验证,且通过对客户端与电子设备之间来回传送的报文及应答报文、以及电子设备与服务器之间来回传送的报文及应答报文进行修改的方式,避免了由于需要对客户端与电子设备之间来回传送的报文及应答报文,以及电子设备与服务器之间来回传送的报文及应答报文进行响应计算,进而申请占用过多的系统资源,达到无需占用过多的处理器及内存资源便可完成对客户端安全合法的验证,提升了设备整体性能,且避免了非攻击报文首次通信失败的问题,保证费共计报文首次通信的正常,且无需通过回执报文打断电子设备与客户端之间的连接。
本申请实施例还提供了一种网络设备,如图3所示,包括
接收模块1,其用于接收客户端发送的第一报文;
修改模块2,其用于以第一方式对所述第一报文的内容信息进行修改,形成第一应答报文;
发送模块3,其用于发送所述第一应答报文至所述客户端;
验证模块4,其用于若接收到所述客户端基于所述第一应答报文反馈的第二应答报文,以预设算法对所述第二应答报文进行验证。
在本申请的一些实施例中,所述修改模块2以第一方式对所述第一报文的内容信息进行修改,至少包括:在所述第一报文的内容信息中加入第一序列号,其中,所述第一序列号依据所述第一报文的内容信息中第一源网络协议地址、第一目的网络协议地址、第一源端口号、第一目的端口号以及所述电子设备与所述客户端建立连接的网络协议确定。
在本申请的一些实施例中,所述修改模块2以第一方式对所述第一报文的内容信息进行修改,还包括:对所述第一报文的内容信息中的第一标记信息、所述第一源网络协议地址、所述第一目的网络协议地址、第一源物理地址、第一目的物理地址进行修改、所述第一源端口号以及所述第一目的端口号进行修改。
在本申请的一些实施例中,所述验证模块4以预设算法对所述第二应答报文进行验证,包括:获取所述第二应答报文的内容信息中的第二序列号,通过所述预设算法对所述第二序列号进行计算,获得待验证序列号;将所述待验证序列号与所述第一序列号进行验证。
在本申请的一些实施例中,其中,
所述修改模块2还用于,若所述第二应答报文通过以所述预设算法进行的验证,则以第二方式对所述第二应答报文的内容信息进行修改,形成第二报文;
所述发送模块3还用于发送所述第二报文至服务器;
所述接收模块1还用于接收所述服务器基于所述第二报文反馈的第三应答报文;
所述修改模块2还用于以第三方式对所述第三应答报文的内容信息进行修改,形成第四应答报文;
所述发送模块3还用于发送所述第四应答报文至所述服务器,以在所述服务器验证接收到所述第四应答报文后,建立所述服务器和所述客户端的通信。
在本申请的一些实施例中,所述修改模块2以第二方式对所述第二应答报文的内容信息进行修改,包括:对所述第二应答报文的内容信息中的第二标记信息、第三序列号进行修改,并将所述第二应答报文的内容信息中的第二源端口号修改为所述电子设备的出接口地址,将第二目的端口号修改为将要连接的网关地址。
在本申请的一些实施例中,所述修改模块2以第三方式对所述第三应答报文的内容信息进行修改,包括:对所述第三应答报文的内容信息中的第三标记信息、第四序列号、第三源网络协议地址、第三目的网络协议地址、第三源物理地址、第三目的物理地址、第三源端口号以及第三目的端口号进行修改。
由于本实施例所介绍的存储介质、电子设备为本申请实施例中指令处理的方法所对应的存储介质、电子设备,故而,基于本申请实施例中指令处理方法,本领域的技术人员能够了解本申请实施例中存储介质、电子设备的具体实施方式以及其各种变化形式,所以在此对于该存储介质、电子设备不再详细介绍。只要本领域所述技术人员实施本申请实施例中指令处理方法的存储介质、电子设备,都属于本申请所欲保护的范围。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理模块以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理模块执行的指令产生用于实现在流程图的一个流程或多个流程和/或方框图的一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图的一个流程或多个流程和/或方框图的一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图的一个流程或多个流程和/或方框图的一个方框或多个方框中指定的功能的步骤。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。
Claims (10)
1.一种网络防攻击的方法,应用于一电子设备,其特征在于,包括:
接收客户端发送的第一报文;
以第一方式对所述第一报文的内容信息进行修改,形成第一应答报文;
发送所述第一应答报文至所述客户端;
若接收到所述客户端基于所述第一应答报文反馈的第二应答报文,以预设算法对所述第二应答报文进行验证。
2.根据权利要求1所述的网络防攻击的方法,其特征在于,所述以第一方式对所述第一报文的内容信息进行修改,至少包括:
在所述第一报文的内容信息中加入第一序列号,其中,所述第一序列号依据所述第一报文的内容信息中第一源网络协议地址、第一目的网络协议地址、第一源端口号、第一目的端口号以及所述电子设备与所述客户端建立连接的网络协议确定。
3.根据权利要求2所述的网络防攻击的方法,其特征在于,所述以第一方式对所述第一报文的内容信息进行修改,还包括:
对所述第一报文的内容信息中的第一标记信息、所述第一源网络协议地址、所述第一目的网络协议地址、第一源物理地址、第一目的物理地址进行修改、所述第一源端口号以及所述第一目的端口号进行修改。
4.根据权利要求2所述的网络防攻击的方法,其特征在于,所述以预设算法对所述第二应答报文进行验证,包括:
获取所述第二应答报文的内容信息中的第二序列号,通过所述预设算法对所述第二序列号进行计算,获得待验证序列号;
将所述待验证序列号与所述第一序列号进行验证。
5.根据权利要求1所述的网络防攻击的方法,其特征在于,还包括:
若所述第二应答报文通过以所述预设算法进行的验证,则以第二方式对所述第二应答报文的内容信息进行修改,形成第二报文;
发送所述第二报文至服务器;
接收所述服务器基于所述第二报文反馈的第三应答报文;
以第三方式对所述第三应答报文的内容信息进行修改,形成第四应答报文;
发送所述第四应答报文至所述服务器,以在所述服务器对接收到所述第四应答报文的验证通过后,建立所述服务器和所述客户端的通信。
6.根据权利要求5所述的网络防攻击的方法,其特征在于,所述以第二方式对所述第二应答报文的内容信息进行修改,包括:
对所述第二应答报文的内容信息中的第二标记信息、第三序列号进行修改,并将所述第二应答报文的内容信息中的第二源端口号修改为所述电子设备的出接口地址,将第二目的端口号修改为将要连接的网关地址。
7.根据权利要求5所述的网络防攻击的方法,其特征在于,所述以第三方式对所述第三应答报文的内容信息进行修改,包括:
对所述第三应答报文的内容信息中的第三标记信息、第四序列号、第三源网络协议地址、第三目的网络协议地址、第三源物理地址、第三目的物理地址、第三源端口号以及第三目的端口号进行修改。
8.一种网络设备,其特征在于,包括
接收模块,其用于接收客户端发送的第一报文;
修改模块,其用于以第一方式对所述第一报文的内容信息进行修改,形成第一应答报文;
发送模块,其用于发送所述第一应答报文至所述客户端;
验证模块,其用于若接收到所述客户端基于所述第一应答报文反馈的第二应答报文,以预设算法对所述第二应答报文进行验证。
9.根据权利要求8所述的网络设备,其特征在于,所述修改模块以第一方式对所述第一报文的内容信息进行修改,至少包括:
在所述第一报文的内容信息中加入第一序列号,其中,所述第一序列号依据所述第一报文的内容信息中第一源网络协议地址、第一目的网络协议地址、第一源端口号、第一目的端口号以及所述电子设备与所述客户端建立连接的网络协议确定。
10.根据权利要求8所述的网络设备,其特征在于,
所述修改模块还用于,若所述第二应答报文通过以所述预设算法进行的验证,则以第二方式对所述第二应答报文的内容信息进行修改,形成第二报文;
所述发送模块还用于发送所述第二报文至服务器;
所述接收模块还用于接收所述服务器基于所述第二报文反馈的第三应答报文;
所述修改模块还用于以第三方式对所述第三应答报文的内容信息进行修改,形成第四应答报文;
所述发送模块还用于发送所述第四应答报文至所述服务器,以在所述服务器验证接收到所述第四应答报文后,建立所述服务器和所述客户端的通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811285814.9A CN109150919B (zh) | 2018-10-31 | 2018-10-31 | 一种网络防攻击的方法及网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811285814.9A CN109150919B (zh) | 2018-10-31 | 2018-10-31 | 一种网络防攻击的方法及网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109150919A true CN109150919A (zh) | 2019-01-04 |
| CN109150919B CN109150919B (zh) | 2021-06-08 |
Family
ID=64806848
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811285814.9A Active CN109150919B (zh) | 2018-10-31 | 2018-10-31 | 一种网络防攻击的方法及网络设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109150919B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1630248A (zh) * | 2003-12-19 | 2005-06-22 | 北京航空航天大学 | 基于连接请求验证的SYN flooding攻击防御方法 |
| CN101282209A (zh) * | 2008-05-13 | 2008-10-08 | 杭州华三通信技术有限公司 | 防范dns请求报文泛洪攻击的方法及设备 |
| CN101296223A (zh) * | 2007-04-25 | 2008-10-29 | 北京天融信网络安全技术有限公司 | 一种实现防火墙芯片参与syn代理的方法 |
| CN101436958A (zh) * | 2007-11-16 | 2009-05-20 | 太极计算机股份有限公司 | 抵御拒绝服务攻击的方法 |
| CN102780688A (zh) * | 2012-04-26 | 2012-11-14 | 华为技术有限公司 | 在传输控制协议tcp下防止攻击的方法和装置 |
| CN103347016A (zh) * | 2013-06-28 | 2013-10-09 | 天津汉柏汉安信息技术有限公司 | 一种攻击的防御方法 |
| US8887280B1 (en) * | 2012-05-21 | 2014-11-11 | Amazon Technologies, Inc. | Distributed denial-of-service defense mechanism |
| CN105516080A (zh) * | 2015-11-24 | 2016-04-20 | 网宿科技股份有限公司 | Tcp连接的处理方法、装置及系统 |
| CN105827646A (zh) * | 2016-05-17 | 2016-08-03 | 浙江宇视科技有限公司 | Syn攻击防护的方法及装置 |
| CN106302495A (zh) * | 2016-08-25 | 2017-01-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种ACK Flood攻击的防护方法及中间防护装置 |
-
2018
- 2018-10-31 CN CN201811285814.9A patent/CN109150919B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1630248A (zh) * | 2003-12-19 | 2005-06-22 | 北京航空航天大学 | 基于连接请求验证的SYN flooding攻击防御方法 |
| CN101296223A (zh) * | 2007-04-25 | 2008-10-29 | 北京天融信网络安全技术有限公司 | 一种实现防火墙芯片参与syn代理的方法 |
| CN101436958A (zh) * | 2007-11-16 | 2009-05-20 | 太极计算机股份有限公司 | 抵御拒绝服务攻击的方法 |
| CN101282209A (zh) * | 2008-05-13 | 2008-10-08 | 杭州华三通信技术有限公司 | 防范dns请求报文泛洪攻击的方法及设备 |
| CN102780688A (zh) * | 2012-04-26 | 2012-11-14 | 华为技术有限公司 | 在传输控制协议tcp下防止攻击的方法和装置 |
| US8887280B1 (en) * | 2012-05-21 | 2014-11-11 | Amazon Technologies, Inc. | Distributed denial-of-service defense mechanism |
| CN103347016A (zh) * | 2013-06-28 | 2013-10-09 | 天津汉柏汉安信息技术有限公司 | 一种攻击的防御方法 |
| CN105516080A (zh) * | 2015-11-24 | 2016-04-20 | 网宿科技股份有限公司 | Tcp连接的处理方法、装置及系统 |
| CN105827646A (zh) * | 2016-05-17 | 2016-08-03 | 浙江宇视科技有限公司 | Syn攻击防护的方法及装置 |
| CN106302495A (zh) * | 2016-08-25 | 2017-01-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种ACK Flood攻击的防护方法及中间防护装置 |
Non-Patent Citations (2)
| Title |
|---|
| R. LYCHEV, S. JERO, A. BOLDYREVA AND C. NITA-ROTARU: ""How Secure and Quick is QUIC? Provable Security and Performance Analyses"", 《2015 IEEE SYMPOSIUM ON SECURITY AND PRIVACY, SAN JOSE, CA, USA, 2015》 * |
| 计培良: ""计算机通信网络安全的现状与预防"", 《科技信息(科学教研)》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109150919B (zh) | 2021-06-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110086822B (zh) | 面向微服务架构的统一身份认证策略的实现方法及系统 | |
| JP6858749B2 (ja) | 負荷平衡システムにおいて接続を確立するデバイス及び方法 | |
| EP3481029B1 (en) | Internet defense method and authentication server | |
| EP3424178B1 (en) | Deterministic reproduction of client/server computer state or output sent to one or more client computers | |
| KR100932834B1 (ko) | Sip 메시지 프로세싱 방법 | |
| CN110099048B (zh) | 一种云存储方法及设备 | |
| CN106034104A (zh) | 用于网络应用访问的验证方法、装置和系统 | |
| CN107302438A (zh) | 一种基于密钥更新的私钥保护方法、系统及装置 | |
| CN108111497A (zh) | 摄像机与服务器相互认证方法和装置 | |
| CN107579991A (zh) | 一种对客户端进行云端防护认证的方法、服务器和客户端 | |
| CN109361753A (zh) | 一种物联网系统架构与加密方法 | |
| CN110493367B (zh) | 无地址的IPv6非公开服务器、客户机与通信方法 | |
| CN109309684A (zh) | 一种业务访问方法、装置、终端、服务器及存储介质 | |
| CN107370599A (zh) | 一种远程销毁私钥的管理方法、装置和系统 | |
| CN107995233B (zh) | 建立连接的方法及相应的设备 | |
| CN106612267A (zh) | 一种验证方法及验证装置 | |
| CN112968910A (zh) | 一种防重放攻击方法和装置 | |
| CN113904807B (zh) | 一种源地址认证的方法、装置、电子设备及存储介质 | |
| CN107104919A (zh) | 防火墙设备、流控制传输协议sctp报文的处理方法 | |
| US9197362B2 (en) | Global state synchronization for securely managed asymmetric network communication | |
| CN106899554A (zh) | 一种防止arp欺骗的方法及装置 | |
| CN105577738B (zh) | 一种处理终端信息的方法、装置及系统 | |
| CN109150919A (zh) | 一种网络防攻击的方法及网络设备 | |
| US20200186504A1 (en) | Secure Virtual Personalized Network | |
| CN109361712A (zh) | 一种信息处理方法及信息处理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |