CN109729043A - 阻止攻击消息的方法、装置和系统 - Google Patents
阻止攻击消息的方法、装置和系统 Download PDFInfo
- Publication number
- CN109729043A CN109729043A CN201711035317.9A CN201711035317A CN109729043A CN 109729043 A CN109729043 A CN 109729043A CN 201711035317 A CN201711035317 A CN 201711035317A CN 109729043 A CN109729043 A CN 109729043A
- Authority
- CN
- China
- Prior art keywords
- mark
- terminal
- message
- gateway server
- ucast
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开是关于一种阻止攻击消息的方法、装置和系统,属于通信技术领域。所述方法包括:接收第一终端发送的第一消息,其中,第一消息携带的源终端标识为第一终端的标识、目的终端标识为第二终端的标识;获取第二终端对应的第二网关服务器的标识,将第二网关服务器的标识作为目的网关服务器标识、第一网关服务器的标识作为源网关服务器标识,添加到第一消息中;向第二网关服务器发送添加处理后的第一消息;在接收到管理服务器发送的携带有第一终端的标识的拒绝传输通知后,检测后续接收到的消息中携带的源终端标识;当接收到的第二消息的源终端标识为第一终端的标识时,拒绝转发第二消息。采用本公开,可以避免攻击消息对正常消息的传输造成影响。
Description
技术领域
本公开是关于通信技术领域,尤其是关于一种阻止攻击消息的方法、装置和系统。
背景技术
随着通信技术的发展,终端可以与网关服务器建立连接,通过网关服务器与网络中的其他终端传输消息。网关服务器上可以安装有防火墙,保证终端间通信的安全性。
当攻击者通过第一终端向网络中的其他终端发送攻击消息时,第一终端向连接的第一网关服务器发送该攻击消息,第一网关服务器中的防火墙可以检测到该攻击消息并进行拦截,使得攻击消息不能传输给其他终端,以保证其他终端的安全。
在实现本公开的过程中,发明人发现至少存在以下问题:
如果第一终端连接的第一网关服务器没有使用防火墙,则攻击消息可以通过网络传输给其他网关服务器以传输给其他终端。即使其他终端连接的网关服务器的防火墙可以检测到该攻击消息并进行拦截,避免其他终端受到攻击,可是如果第一终端一直传输攻击消息,则会占用网络带宽,从而,影响正常消息的传输。
发明内容
本公开提供一种阻止攻击消息的方法、装置和系统,可以避免攻击消息对正常消息的传输造成影响。所述技术方案如下:
第一方面,提供了一种阻止攻击消息的方法,该方法应用于第一网关服务器,该方法包括:接收第一终端发送的第一消息,其中,第一消息携带的源终端标识为第一终端的标识、目的终端标识为第二终端的标识;获取第二终端对应的第二网关服务器的标识,将第二网关服务器的标识作为目的网关服务器标识、第一网关服务器的标识作为源网关服务器标识,添加到第一消息中;向第二网关服务器发送添加处理后的第一消息;在接收到管理服务器发送的携带有第一终端的标识的拒绝传输通知后,检测后续接收到的消息中携带的源终端标识;当接收到的第二消息的源终端标识为第一终端的标识时,拒绝转发第二消息。
本发明实施例所示的方案,在第一网关服务器存在发送攻击消息的第一终端时,拒绝转发第一终端发送的消息。具体的,当第一终端要向第二终端发送第一消息时,第一终端可以向连接的第一网关服务器发送第一消息。进而,第一网关服务器可以接收到第一终端发送的第一消息。第一网关服务器在接收到第一终端发送的第一消息后,可以获取到该第一消息携带的目的终端标识为第二终端的标识,进而,根据第二终端的标识,可以查询到第二终端与第二网关服务器相连接。第一网关服务器可以对接收到的第一消息进行封装,将第二网关服务器的标识作为目的网关服务器标识、第一网关服务器的标识作为源网关服务器标识,添加到第一消息中。第一网关服务器对第一消息进行添加处理之后,可以向目的网关服务器发送该第一消息。当第一网关服务器接收到管理服务器发送的携带有第一终端的标识的拒绝传输通知后,可以获取该拒绝传输通知中携带的第一终端的标识,并将第一终端标记为拒绝传输的终端。之后,每当接收到新的消息,第一网关服务器可以检测新的消息中携带的源终端标识,并可以判断该源终端标识是否为第一终端的标识。如果第一网关服务器检测到第二消息的源终端标识为第一终端的标识,则第一网关服务器可以拒绝转发该第二消息。这样,即使源网关服务器中未安装或未启用防火墙,也能对待其传输的攻击消息进行拦截,拒绝转发攻击消息,从而,可以避免大量的攻击消息传输进入网络而占用大量网络带宽,避免攻击消息对正常消息的传输造成影响。
在一种可能的实现方式中,在接收到管理服务器发送的携带有第一终端的标识的拒绝传输通知后,检测后续接收到的消息中携带的源终端标识,包括:在接收到管理服务器发送的携带有第一终端的标识的拒绝传输通知后,将第一终端的标识作为源终端标识,存储在黑洞媒体访问控制MAC列表或者访问控制列表ACL中;获取后续接收到的消息中携带的源终端标识,与黑洞MAC列表或访问控制列表ACL存储的源终端标识进行匹配;当接收到的第二消息的源终端标识为第一终端的标识时,拒绝转发第二消息,包括:当接收到的第二消息的源终端标识与黑洞MAC列表或访问控制列表ACL存储的源终端标识相匹配时,拒绝转发第二消息。
本发明实施例所示的方案,第一网关服务器第一网关服务器在接收到管理服务器发送的拒绝传输通知后,可以获取该拒绝传输通知携带的第一终端的标识,可以将该第一终端的标识作为源终端标识,存储在黑洞MAC列表或访问控制列表ACL中。进而,每当接收到新的消息,第一网关服务器可以检测新的消息中携带的源终端标识,并可以将该源终端标识与黑洞MAC列表或访问控制列表ACL存储的源终端标识进行匹配。黑洞MAC列表或访问控制列表ACL可能存储有不止一个源终端标识,可以将第二消息的源终端标识与存储的源终端标识逐一进行匹配,只要查找到相匹配的源终端标识,就可以停止匹配的处理,拒绝转发该第二消息。
在一种可能的实现方式中,接收第一终端发送的第一消息之前,还包括:接收第一终端发送的连接请求;为第一终端建立对应的本地单播媒体接入控制地址Ucast_Macs_Local表,其中,Ucast_Macs_Local表中记录有第一终端的标识,Ucast_Macs_Local表设置有action字段,action字段的内容为permit;向管理服务器发送Ucast_Macs_Local表;在接收到管理服务器发送的携带有第一终端的标识的拒绝传输通知后,检测后续接收到的消息中携带的源终端标识,包括:在接收到管理服务器发送的携带有修改后的Ucast_Macs_Local表的拒绝传输通知后,将本地建立的Ucast_Macs_Local表替换为修改后的Ucast_Macs_Local表,检测后续接收到的消息中携带的源终端标识;其中,修改后的Ucast_Macs_Local表中action字段的内容为deny。
本发明实施例所示的方案,当第一终端第一次通过第一网关服务器接入VMwarevSphere网络时,可以向第一网关服务器发送连接请求。进而,第一网关服务器接收到连接请求后,可以为第一终端建立对应的action字段的内容为permit的Ucast_Macs_Local表,并将该Ucast_Macs_Local表添加进OVSDB协议中,上报给管理服务器,以便管理服务器进行管理。可以将本地存储的Ucast_Macs_Local表替换为修改后的Ucast_Macs_Local表。进而,可以根据action字段的内容为deny的Ucast_Macs_Local表记录的第一终端的标识,判断后续接收到的携带有第一终端的标识的消息可能是攻击消息。为了更准确地预测攻击消息,则可以不仅仅基于第一终端的标识(如终端的MAC地址)对新的消息进行查找,还可以将终端的MAC地址、终端的IP地址、对应的VXLAN的VNI进行组合查找。之后,每当接收到新的消息,第一网关服务器可以检测新的消息中携带的源终端标识对应的Ucast_Macs_Local表的信息(如终端的MAC地址、终端的IP地址、对应的VXLAN的VNI进行组合),并可以判断该表中的action字段是否为deny。如果判断出表中的action字段为deny,则拒绝转发该第二消息。这样,相比于仅仅基于第一终端的标识检测得到第二消息,基于第一终端对应的Ucast_Macs_Local表检测得到的第二消息更准确。
第二方面,提供了一种阻止攻击消息的方法,该方法应用于第二网关服务器,该方法包括:接收第一网关服务器发送的第一消息,其中,第一消息携带的源终端标识为第一终端的标识、源网关服务器标识为第一网关服务器的标识、目的终端标识为第二终端的标识、目的网关服务器标识为第二网关服务器的标识;检测第一消息,确定第一消息为攻击消息;向管理服务器发送携带有第一终端的标识和第一网关服务器的标识的攻击通知。
本发明实施例所示的方案,第一网关服务器将第一消息发送给第二网关服务器之后,第二网关服务器可以接收到该第一消息。第二网关服务器可以对接收到的第一消息进行检测,如果检测到第一消息是攻击消息,则可以获取第一消息携带的第一终端的标识和第一网关服务器的标识,进而,可以生成携带有第一终端的标识和第一网关服务器的标识的攻击通知,将该攻击通知发送给管理服务器。
第三方面,提供了一种阻止攻击消息的方法,该方法应用于管理服务器,该方法包括:接收第二网关服务器发送的攻击通知,其中,攻击通知携带有第一终端的标识和第一网关服务器的标识;向第一网关服务器发送携带有第一终端的标识的拒绝传输通知。
本发明实施例所示的方案,第二网关服务器向管理服务器发送攻击通知之后,管理服务器可以接收到该攻击通知,进而,可以获取该攻击通知中携带的第一终端的标识和第一网关服务器的标识。可以确定向第一网关服务器发送拒绝传输通知,生成携带有第一终端的标识的拒绝传输通知,将该拒绝传输通知发送给第一网关服务器。
在一种可能的实现方式中,接收第二网关服务器发送的攻击通知之前,还包括:接收第一网关服务器发送的本地单播媒体接入控制地址Ucast_Macs_Local表并存储,其中,Ucast_Macs_Local表中记录有第一终端的标识,Ucast_Macs_Local表设置有action字段,action字段的内容为permit;向第一网关服务器发送携带有第一终端的标识的拒绝传输通知,包括:将Ucast_Macs_Local表中的action字段的内容修改为deny,得到修改后的Ucast_Macs_Local表;通过开放虚拟交换机数据库管理OVSDB协议,向第一网关服务器发送携带有修改后的Ucast_Macs_Local表的拒绝传输通知。
本发明实施例所示的方案,管理服务器可以接收到第一网关服务器上报的Ucast_Macs_Local表后,并可以对其进行存储。当管理服务器接收到第二网关服务器发送的攻击通知时,可以获取该攻击通知中携带的第一终端的标识和第一网关服务器的标识,并且可以根据第一终端的标识查找到对应的Ucast_Macs_Local表。进而,可以将该表中的action字段修改为deny,进而,可以将修改后的Ucast_Macs_Local表添加进拒绝传输通知,通过OVSDB协议下发给对应的第一网关服务器。
第四方面,提供了一种第一网关服务器,该第一网关服务器包括至少一个模块,该至少一个模块用于实现上述第一方面所提供的阻止攻击消息的方法。
第五方面,提供了一种第二网关服务器,该第二网关服务器包括至少一个模块,该至少一个模块用于实现上述第二方面所提供的阻止攻击消息的方法。
第六方面,提供了一种管理服务器,该管理服务器包括至少一个模块,该至少一个模块用于实现上述第三方面所提供的阻止攻击消息的方法。
第七方面,提供了一种阻止攻击消息的系统,该系统包括第一网关服务器、第二网关服务器和管理服务器,其中:
第一网关服务器,用于接收第一终端发送的第一消息,其中,第一消息携带的源终端标识为第一终端的标识、目的终端标识为第二终端的标识;获取第二终端对应的第二网关服务器的标识,将第二网关服务器的标识作为目的网关服务器标识、第一网关服务器的标识作为源网关服务器标识,添加到第一消息中;向第二网关服务器发送添加处理后的第一消息;在接收到管理服务器发送的携带有第一终端的标识的拒绝传输通知后,检测后续接收到的消息中携带的源终端标识;当接收到的第二消息的源终端标识为第一终端的标识时,拒绝转发第二消息;
第二网关服务器,用于接收第一网关服务器发送的第一消息,其中,第一消息携带的源终端标识为第一终端的标识、源网关服务器标识为第一网关服务器的标识、目的终端标识为第二终端的标识、目的网关服务器标识为第二网关服务器的标识;检测第一消息,确定第一消息为攻击消息;向管理服务器发送携带有第一终端的标识和第一网关服务器的标识的攻击通知;
管理服务器,用于接收第二网关服务器发送的攻击通知,其中,攻击通知携带有第一终端的标识和第一网关服务器的标识;向第一网关服务器发送携带有第一终端的标识的拒绝传输通知。
第八方面,提供一种第一网关服务器,该第一网关服务器包括处理器、存储器,处理器被配置为执行存储器中存储的指令;处理器通过执行指令来实现上述第一方面所提供的阻止攻击消息的方法。
第九方面,提供一种第二网关服务器,该第二网关服务器包括处理器、存储器,处理器被配置为执行存储器中存储的指令;处理器通过执行指令来实现上述第二方面所提供的阻止攻击消息的方法。
第十方面,提供一种管理服务器,该管理服务器包括处理器、存储器,处理器被配置为执行存储器中存储的指令;处理器通过执行指令来实现上述第三方面所提供的阻止攻击消息的方法。
第十一方面,提供了计算机可读存储介质,包括指令,当所述计算机可读存储介质在第一网关服务器上运行时,使得第一网关服务器执行上述第一方面所述的方法。
第十二方面,提供了一种包含指令的计算机程序产品,当所述计算机程序产品在第一网关服务器上运行时,使得第一网关服务器执行上述第一方面所述的方法。
第十三方面,提供了一种计算机可读存储介质,其特征在于,包括指令,当所述计算机可读存储介质在第二网关服务器上运行时,使得第二网关服务器执行第二方面所述的方法。
第十四方面,提供了一种包含指令的计算机程序产品,其特征在于,当所述计算机程序产品在第二网关服务器上运行时,使得第二网关服务器执行第二方面所述的方法。
第十五方面,提供了一种计算机可读存储介质,其特征在于,包括指令,当所述计算机可读存储介质在管理服务器上运行时,使得管理服务器执行第三方面所述的方法。
第十六方面,提供了一种包含指令的计算机程序产品,其特征在于,当所述计算机程序产品在管理服务器上运行时,使得管理服务器执行第三方面所述的方法。
本发明实施例提供的技术方案带来的有益效果是:
本发明实施例中,第一网关服务器将第一终端发送的第一消息转发给第二网关服务器,如果第二网关服务器检测到该第一消息是攻击消息,则将携带有第一终端的标识的攻击通知发送给管理服务器,进而,管理服务器将携带有该第一终端的标识的拒绝传输通知发送给第一网关服务器,第一网关服务器可以拒绝转发该第一终端后续发送的第二消息。这样,即使源网关服务器中未安装或未启用防火墙,也能对待其传输的攻击消息进行拦截,拒绝转发攻击消息,从而,可以避免大量的攻击消息传输进入网络而占用大量网络带宽,避免攻击消息对正常消息的传输造成影响。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。在附图中:
图1是本发明实施例提供的一种消息传输系统框架示意图;
图2是本发明实施例提供的一种第一网关服务器的结构示意图;
图3是本发明实施例提供的一种第二网关服务器的结构示意图;
图4是本发明实施例提供的一种管理服务器的结构示意图;
图5是本发明实施例提供的一种阻止攻击消息方法流程图;
图6是本发明实施例提供的一种阻止攻击消息装置结构示意图;
图7是本发明实施例提供的一种阻止攻击消息装置结构示意图;
图8是本发明实施例提供的一种阻止攻击消息装置结构示意图;
图9是本发明实施例提供的一种阻止攻击消息装置结构示意图;
图10是本发明实施例提供的一种阻止攻击消息装置结构示意图;
图11是本发明实施例提供的一种阻止攻击消息系统框架示意图。
通过上述附图,已示出本公开明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本公开构思的范围,而是通过参考特定实施例为本领域技术人员说明本公开的概念。
具体实施方式
本发明实施例提供了一种阻止攻击消息的方法,该方法可以用于消息传输的系统,如图1所示,该系统中可以至少包括管理服务器、多个网关服务器和多个终端。管理服务器可以与系统中的所有网关服务器相连接,可以用于对每个网关服务器进行管理。网关服务器不仅可以与管理服务器相连接,还可以与多个终端相连接,为连接的终端提供服务,例如传输终端的消息。并且,所有的网关服务器之间可以相互连接,可以用于将终端的消息转发给其他网关服务器。终端可以与网关服务器相连接,通过网关服务器接入网络,并通过网关服务器向其他终端发送消息。
该方法可以由第一网关服务器、第二网关服务器和管理服务器共同实现,其中,第一网关服务器可以是需要发送消息的服务器,第二网关服务器可以是需要接收消息的服务器,管理服务器可以是对所有网关服务器进行管理的服务器。为了防止由于与第一网关服务器连接的第一终端发送大量的攻击消息而占用网络带宽,导致网络传输消息的效率较低,在传输消息的过程中,第二网关服务器可以将发送攻击消息的第一终端和第一网关服务器的标识发送给管理服务器,管理服务器可以将第一终端的标识发送给第一网关服务器,进而第一网关服务器可以拒绝第一终端发送的攻击消息。具体的,第一网关服务器接收第一终端发送的第一消息,向第二网关服务器发送第一消息。第二网关服务器接收第一网关服务器发送的第一消息,可以检测该第一消息,如果确定第一消息为攻击消息,则向管理服务器发送携带有第一终端的标识和第一网关服务器的标识的攻击通知。管理服务器接收第二网关服务器发送的攻击通知,向第一网关服务器发送携带有第一终端的标识的拒绝传输通知。第一网关服务器在接收到管理服务器发送的携带有第一终端的标识的拒绝传输通知后,检测后续接收到的消息中携带的源终端标识,当接收到的第二消息的源终端标识为第一终端的标识时,拒绝转发第二消息。
第一网关服务器可以包括处理器210、发射器220、接收器230,接收器230和发射器220可以分别与处理器210连接,如图2所示。接收器230可以用于接收消息或数据,即可以接收第一终端发送的第一消息、管理服务器发送的拒绝传输通知,发射器220和接收器230可以是网卡,发射器220可以用于发送消息或数据,即可以发送第一终端发送的第一消息。处理器210可以是第一网关服务器的控制中心,利用各种接口和线路连接整个第一网关服务器的各个部分,如接收器230和发射器220等。在本发明中,处理器210可以是CPU(CentralProcessing Unit,中央处理器),可以用于检测消息中携带的源终端标识的相关处理,可选的,处理器210可以包括一个或多个处理单元;处理器210可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统,调制解调处理器主要处理无线通信。处理器210还可以是数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件等。第一网关服务器还可以包括存储器240,存储器240可用于存储软件程序以及模块,处理器210通过读取存储在存储器的软件代码以及模块,从而执行第一网关服务器的各种功能应用以及数据处理。
第二网关服务器可以包括处理器310、发射器320、接收器330,接收器330和发射器320可以分别与处理器310连接,如图3所示。接收器330可以用于接收消息或数据,即可以接收第一网关服务器发送的第一消息,发射器320和接收器330可以是网卡,发射器320可以用于发送消息或数据,即可以向管理服务器发送攻击通知。处理器310可以是第二网关服务器的控制中心,利用各种接口和线路连接整个第二网关服务器的各个部分,如接收器330和发射器320等。在本发明中,处理器310可以是CPU,可以用于确定第一消息为攻击消息的相关处理,可选的,处理器310可以包括一个或多个处理单元;处理器310可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统,调制解调处理器主要处理无线通信。处理器310还可以是数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件等。第二网关服务器还可以包括存储器340,存储器340可用于存储软件程序以及模块,处理器310通过读取存储在存储器的软件代码以及模块,从而执行第二网关服务器的各种功能应用以及数据处理。
管理服务器可以包括处理器410、发射器420、接收器430,接收器430和发射器420可以分别与处理器410连接,如图4所示。接收器430可以用于接收消息或数据,即可以接收第二网关服务器发送的攻击通知,发射器420和接收器430可以是网卡,发射器420可以用于发送消息或数据,即可以发送目标业务配置信息和目标虚拟机的虚拟机内存数据。处理器410可以是管理服务器的控制中心,利用各种接口和线路连接整个管理服务器的各个部分,如接收器430和发射器420等。在本发明中,处理器410可以是CPU,可以用于读取目标业务配置信息的相关处理,可选的,处理器410可以包括一个或多个处理单元;处理器410可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统,调制解调处理器主要处理无线通信。处理器410还可以是数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件等。管理服务器还可以包括存储器440,存储器440可用于存储软件程序以及模块,处理器410通过读取存储在存储器的软件代码以及模块,从而执行管理服务器的各种功能应用以及数据处理。
网络中的终端可以互相通信,源终端可以通过连接的源网关服务器将消息转发给目的网关服务器,进而,目的网关服务器可以将该消息转发给目的终端。本方案以第一终端向第二终端发送第一消息为例,即第一终端为源终端,其连接的第一网关服务器为源服务器,第二终端为目的终端,其连接的第二网关服务器为目的服务器。
网关服务器中可以安装有防火墙,可以对发送至网络中的消息或从网络中接收到的消息进行安全检测,以保证终端间通信的安全性。但是,仍然可能存在一些网关服务器中未安装或未启用防火墙,使得该网关服务器不能对传输的消息进行检测,直接对消息进行转发。本方案针对源网关服务器未安装或未启用防火墙、目的网关服务器启用防火墙的情况,在源网关服务器存在发送攻击消息的源终端时,拒绝转发该源终端发送的消息。
下面将结合具体实施方式,对图5所示的处理流程进行详细的说明,内容可以如下:
在步骤501中,第一网关服务器接收第一终端发送的第一消息。
其中,第一消息携带的源终端标识为第一终端的标识、目的终端标识为第二终端的标识。
在实施中,第一终端与第一网关服务器相连接,进而可以通过第一网关服务器接入网络。相类似的,第二终端与第二网关服务器相连接,进而可以通过第二网关服务器接入网络。其中,该网络可以是互联网或者局域网。当第一终端要向第二终端发送消息时,第一终端可以向连接的第一网关服务器发送该消息(即第一消息)。进而,第一网关服务器可以接收到第一终端发送的第一消息。其中,第一消息可以是正常通信的消息,也可以是会对系统造成威胁的攻击消息。
在步骤502中,第一网关服务器获取第二终端对应的第二网关服务器的标识,将第二网关服务器的标识作为目的网关服务器标识、第一网关服务器的标识作为源网关服务器标识,添加到第一消息中。
在实施中,第一网关服务器在接收到第一终端发送的第一消息后,可以获取到该第一消息携带的目的终端标识为第二终端的标识,进而,根据第二终端的标识,可以查询到第二终端与第二网关服务器相连接。第一网关服务器可以对接收到的第一消息进行封装,将第二网关服务器的标识作为目的网关服务器标识、第一网关服务器的标识作为源网关服务器标识,添加到第一消息中。
可选的,第一网关服务器在接收第一终端发送的第一消息之前,还可以进行如下处理:接收第一终端发送的连接请求;为第一终端建立对应的本地单播媒体接入控制地址Ucast_Macs_Local表,其中,Ucast_Macs_Local表中记录有第一终端的标识,Ucast_Macs_Local表设置有action字段,action字段的内容为permit;向管理服务器发送Ucast_Macs_Local表。
示例性的,在VMware vSphere(云计算虚拟化平台)中,终端可以是虚拟机VM(Virtual Machine),也可以是Bare Metal(裸机)服务器。网关服务器可以是ESXi服务器,也可以是硬件网关服务器。如果网关服务器是ESXi服务器,则可以安装分布式防火墙实现消息的检测和丢弃;但是如果是Bare Metal服务器结合硬件网关,则无法安装分布式防火墙。如果终端是VM,则其连接的网关服务器可以是ESXi服务器;如果终端是Bare Metal服务器,则其连接的网关服务器可以是硬件网关服务器。其中,ESXi服务器中主要由vSwitch(虚拟交换机)完成封装、解封装、转发消息等功能。
当第一终端第一次通过第一网关服务器接入VMware vSphere网络时,可以向第一网关服务器发送连接请求。进而,第一网关服务器接收到连接请求后,可以为第一终端建立对应的Ucast_Macs_Local表(本地单播媒体接入控制地址表),并将该Ucast_Macs_Local表添加进OVSDB(OpenvSwitch Database Management Protocol,开放虚拟交换机数据库管理)协议中,上报给管理服务器,以便管理服务器进行管理。其中,Ucast_Macs_Local表中的表项可以有以下一项或多项:终端的MAC(Media Access Control,媒体访问控制)地址,终端的IP(Internet Protocol,互联网协议)地址,对应的VXLAN(Virtual eXtensible LocalArea Network,虚拟可扩展局域网)的VNI(VXLAN Network Identifier,VXLAN网络标识符),以及action(操作)字段。其中,action字段可以包括permit(许可)或deny(拒绝),如果action字段的内容为permit,则该终端的消息可以进行传输;如果action字段的内容为deny,则该终端的消息将被拒绝传输。第一网关服务器为第一终端建立对应的Ucast_Macs_Local表时,action字段的内容默认为permit。
当Bare Metal服务器要向VM发送消息时,Bare Metal服务器可以将该消息发送给其连接的硬件网关,进而,该硬件网关可以接收到Bare Metal服务器发送的消息,并对该消息进行VXLAN封装。
在步骤503中,第一网关服务器向第二网关服务器发送第一消息。
在实施中,第一网关服务器对第一消息进行添加处理之后,可以向目的网关服务器发送该第一消息。本实施例中,第一消息中携带的目的网关服务器标识为第二网关服务器,则可以确定向第二网关服务器发送该第一消息。由于第一网关服务器中未安装或未启用防火墙,则不会对该第一消息进行检测,无论是正常通信的消息,还是攻击消息,都直接向目的网关服务器(即第二网关服务器)发送该第一消息。
示例性的,对于拥有Ucast_Macs_Local表的第一终端,表中的action字段初始可以为permit。第一网关服务器可以从对应的Ucast_Macs_Local表中获取到该action字段,则无论第一终端发送的消息是正常通信的消息,还是攻击消息,第一网关服务器将正常传输第一终端发送的消息。
在步骤504中,第二网关服务器接收第一网关服务器发送的第一消息。
在实施中,第一网关服务器将第一消息发送给第二网关服务器之后,第二网关服务器可以接收到该第一消息。
示例性的,在VMware vSphere中,第二网关服务器中的vSwitch可以对接收到的第一消息进行VXLAN解封装。
在步骤505中,第二网关服务器检测第一消息,确定第一消息为攻击消息。
其中,该攻击消息可以属于ARP(Address Resolution Protocol,地址解析协议)洪水攻击或DDoS(Distributed Denial of Service,分布式拒绝服务)攻击等,可能大量占用网络带宽。攻击消息还可以是恶意软件在虚拟机间横向(东西向)传播的攻击消息,或未经授权的虚拟机间横向(东西向)传播的攻击消息。例如,如果攻击消息为未经授权的虚拟机间横向(东西向)传播的攻击消息,则防火墙可以根据权限表,检测源终端标识是否在该权限表中。如果在,则正常转发该消息至目的终端;如果不在,则丢弃该消息。
在实施中,第二网关服务器中启用了防火墙,则可以对接收到的第一消息进行检测,检测该第一消息是否会对系统造成威胁,即检测该第一消息是正常通信的消息,还是攻击消息。如果检测到第一消息是正常通信的消息,则可以根据第一消息中携带的目的终端标识(即第二终端的标识),将第一消息转发给该目的终端(即第二终端),不进行步骤506-510的处理。如果检测到第一消息是攻击消息,则继续进行步骤506的处理。
示例性的,在VMware vSphere中,第二网关服务器中的vSwitch可以将解封装后的第一消息分发给第二网关服务器中的防火墙进行检测,如果检测到第一消息是正常通信的消息,则可以将第一消息发送回vSwitch,进而,vSwitch可以将第一消息发送给目的终端VM。如果检测到第一消息是攻击消息,则继续进行步骤506的处理。
在步骤506中,第二网关服务器向管理服务器发送携带有第一终端的标识和第一网关服务器的标识的攻击通知。
在实施中,如果第二网关服务器检测到第一消息是攻击消息,则可以获取第一消息携带的源终端标识和源网关服务器标识(即第一终端的标识和第一网关服务器的标识),进而,可以生成携带有该源终端标识和源网关服务器标识的攻击通知,将该攻击通知发送给管理服务器,以告知该源终端通过该源网关服务器发送了攻击消息。
在步骤507中,管理服务器接收第二网关服务器发送的攻击通知。
其中,攻击通知携带有第一终端的标识和第一网关服务器的标识。
在实施中,第二网关服务器向管理服务器发送攻击通知之后,管理服务器可以接收到该攻击通知,进而,可以获取该攻击通知中携带的第一终端的标识和第一网关服务器的标识。
可选的,管理服务器在接收第二网关服务器发送的攻击通知之前,还可以进行如下处理:接收第一网关服务器发送的本地单播媒体接入控制地址Ucast_Macs_Local表并存储。
其中,Ucast_Macs_Local表中记录有第一终端的标识,Ucast_Macs_Local表设置有action字段,action字段的内容为permit。
示例性的,管理服务器在接收到第一网关服务器上报的Ucast_Macs_Local表后,可以对其进行存储。当管理服务器接收到第二网关服务器发送的攻击通知时,可以获取该攻击通知中携带的第一终端的标识和第一网关服务器的标识,并且可以根据第一终端的标识和第一网关服务器的标识查找到对应的Ucast_Macs_Local表。
在步骤508中,管理服务器向第一网关服务器发送携带有第一终端的标识的拒绝传输通知。
在实施中,管理服务器接获取攻击通知中携带的第一终端的标识和第一网关服务器的标识之后,可以确定向第一网关服务器发送拒绝传输通知,生成携带有第一终端的标识的拒绝传输通知,将该拒绝传输通知发送给第一网关服务器。
可选的,管理服务器可以将Ucast_Macs_Local表中的action字段的内容修改为deny,得到修改后的Ucast_Macs_Local表;通过开放虚拟交换机数据库管理OVSDB协议,向第一网关服务器发送携带有修改后的Ucast_Macs_Local表的拒绝传输通知。
示例性的,管理服务器在找到与第一终端的标识相对应的Ucast_Macs_Local表后,可以将该表中的action字段修改为deny,进而,可以将修改后的Ucast_Macs_Local表添加进拒绝传输通知,通过OVSDB协议下发给对应的第一网关服务器。
在步骤509中,第一网关服务器在接收到管理服务器发送的携带有第一终端的标识的拒绝传输通知后,检测后续接收到的消息中携带的源终端标识。
在实施中,管理服务器将拒绝传输通知发送给第一网关服务器后,第一网关服务器可以接收到该拒绝传输通知,进而,可以获取该拒绝传输通知中携带的第一终端的标识,并将第一终端标记为拒绝传输的终端。之后,每当接收到新的消息,第一网关服务器可以检测新的消息中携带的源终端标识,并可以判断该源终端标识是否为第一终端的标识。
可选的,第一网关服务器在接收到管理服务器发送的携带有修改后的Ucast_Macs_Local表的拒绝传输通知后,可以将本地建立的Ucast_Macs_Local表替换为修改后的Ucast_Macs_Local表,检测后续接收到的消息中携带的源终端标识。
其中,修改后的Ucast_Macs_Local表中action字段的内容为deny。
示例性的,当第一网关服务器接收到管理服务器发送的携带有修改后的Ucast_Macs_Local表的拒绝传输通知时,可以将本地存储的Ucast_Macs_Local表替换为修改后的Ucast_Macs_Local表。进而,可以根据action字段的内容为deny的Ucast_Macs_Local表记录的第一终端的标识,判断后续接收到的携带有第一终端的标识的消息可能是攻击消息。为了更准确地预测攻击消息,则可以不仅仅基于第一终端的标识(如终端的MAC地址)对新的消息进行查找,还可以将终端的MAC地址、终端的IP地址、对应的VXLAN的VNI进行组合查找,此处不作限制。之后,每当接收到新的消息,第一网关服务器可以检测新的消息中携带的源终端标识对应的Ucast_Macs_Local表的信息(如终端的MAC地址、终端的IP地址、对应的VXLAN的VNI进行组合),并可以判断该表中的action字段是否为deny。如果判断出表中的action字段为deny,则拒绝转发该第二消息。这样,相比于仅仅基于第一终端的标识检测得到第二消息,基于第一终端对应的Ucast_Macs_Local表检测得到的第二消息更准确。
可选的,第一网关服务器可以将第一终端的标识存储在黑洞MAC列表或访问控制列表ACL(Access Control List)中,相应的处理可以如下:在接收到管理服务器发送的携带有第一终端的标识的拒绝传输通知后,将第一终端的标识作为源终端标识,存储在黑洞媒体访问控制MAC列表或者访问控制列表ACL中;获取后续接收到的消息中携带的源终端标识,与黑洞MAC列表或访问控制列表ACL存储的源终端标识进行匹配。
在实施中,第一网关服务器在接收到管理服务器发送的拒绝传输通知后,可以获取该拒绝传输通知携带的第一终端的标识,即表示第一终端为发送了攻击消息的终端,因此可以将该第一终端的标识作为源终端标识,存储在黑洞MAC列表或访问控制列表ACL中。进而,每当接收到新的消息,第一网关服务器可以检测新的消息中携带的源终端标识,并可以将该源终端标识与黑洞MAC列表或访问控制列表ACL存储的源终端标识进行匹配。
在步骤510中,当第一网关服务器接收到的第二消息的源终端标识为第一终端的标识时,拒绝转发第二消息。
其中,第二消息为在发送第一消息的时刻之后,第一终端发送的消息。
在实施中,如果第一网关服务器检测到某一消息的源终端标识为第一终端的标识(即接收到的第二消息的源终端标识为第一终端的标识),表示该消息可能是由第一终端发送给第一网关服务器的攻击消息,则第一网关服务器可以拒绝转发该消息。
可选的,第一网关服务器在将第一终端标记为拒绝传输的终端之后,达到预设时长,则可以将第一终端的标记删除或将第一终端标记为允许传输的终端。进而,当第一网关服务器再次接收到第一终端发送的消息时,可以执行步骤502,将该消息发送至目的网关服务器。如果再次接收到管理服务器发送的携带有第一终端的标识的拒绝传输通知时,再次执行步骤509-510,拒绝传输第一终端后续发送的消息。
可选的,当接收到的第二消息的源终端标识与黑洞MAC列表或访问控制列表ACL存储的源终端标识相匹配时,拒绝转发第二消息。
在实施中,黑洞MAC列表或访问控制列表ACL可能存储有不止一个源终端标识,可以将第二消息的源终端标识与存储的源终端标识逐一进行匹配,只要查找到相匹配的源终端标识,就可以停止匹配的处理,拒绝转发该第二消息。
本公开实施例中,第一网关服务器将第一终端发送的第一消息转发给第二网关服务器,如果第二网关服务器检测到该第一消息是攻击消息,则将携带有第一终端的标识的攻击通知发送给管理服务器,进而,管理服务器将携带有该第一终端的标识的拒绝传输通知发送给第一网关服务器,第一网关服务器可以拒绝转发该第一终端后续发送的第二消息。这样,即使源网关服务器中未安装或未启用防火墙,也能对待其传输的攻击消息进行拦截,拒绝转发攻击消息,从而,可以避免大量的攻击消息传输进入网络而占用大量网络带宽,避免攻击消息对正常消息的传输造成影响。
基于相同的技术构思,本发明实施例还提供了一种阻止攻击消息的装置,该装置可以是上述第一网关服务器,如图6所示,该装置包括:
第一接收模块610,用于接收第一终端发送的第一消息,其中,所述第一消息携带的源终端标识为所述第一终端的标识、目的终端标识为第二终端的标识,具体可以实现上述步骤501中的接收功能,以及其他隐含步骤;
添加模块620,用于获取所述第二终端对应的第二网关服务器的标识,将所述第二网关服务器的标识作为目的网关服务器标识、所述第一网关服务器的标识作为源网关服务器标识,添加到所述第一消息中,具体可以实现上述步骤502中的接收功能,以及其他隐含步骤;
第一发送模块630,用于向所述第二网关服务器发送所述第一消息,具体可以实现上述步骤503中的发送功能,以及其他隐含步骤;
检测模块640,用于在接收到管理服务器发送的携带有所述第一终端的标识的拒绝传输通知后,检测后续接收到的消息中携带的源终端标识,具体可以实现上述步骤509中的检测功能,以及其他隐含步骤;
拒绝转发模块650,用于当接收到的第二消息的源终端标识为所述第一终端的标识时,拒绝转发所述第二消息,具体可以实现上述步骤510中的拒绝转发功能,以及其他隐含步骤。
可选的,所述检测模块640用于:
在接收到管理服务器发送的携带有所述第一终端的标识的拒绝传输通知后,将所述第一终端的标识作为源终端标识,存储在黑洞媒体访问控制MAC列表或者访问控制列表ACL中;
获取后续接收到的消息中携带的源终端标识,与所述黑洞MAC列表或所述访问控制列表ACL存储的源终端标识进行匹配;
所述拒绝转发模块650用于:
当接收到的第二消息的源终端标识与所述黑洞MAC列表或所述访问控制列表ACL存储的源终端标识相匹配时,拒绝转发所述第二消息。
可选的,如图7所示,所述第一网关服务器还包括:
第二接收模块660,用于接收第一终端发送的连接请求;
建立模块670,用于为所述第一终端建立对应的本地单播媒体接入控制地址Ucast_Macs_Local表,其中,所述Ucast_Macs_Local表中记录有所述第一终端的标识,所述Ucast_Macs_Local表设置有action字段,所述action字段的内容为permit;
第二发送模块680,用于向管理服务器发送所述Ucast_Macs_Local表;
所述检测模块640用于:
在接收到管理服务器发送的携带有修改后的Ucast_Macs_Local表的拒绝传输通知后,将本地建立的Ucast_Macs_Local表替换为所述修改后的Ucast_Macs_Local表,检测后续接收到的消息中携带的源终端标识;
其中,所述修改后的Ucast_Macs_Local表中action字段的内容为deny。
需要说明的是,上述第一接收模块610可以由接收器实现,添加模块620可以由处理器配合发射器、接收器实现,第一发送模块630可以由发射器实现,检测模块640可以由处理器实现,拒绝转发模块650可以由处理器配合发射器实现,第二接收模块660可以由接收器实现,建立模块670可以由处理器实现,第二发送模块680可以由发射器实现。
基于相同的技术构思,本发明实施例还提供了一种阻止攻击消息的装置,该装置可以是上述第二网关服务器,如图8所示,该装置包括:
接收模块810,用于接收第一网关服务器发送的第一消息,其中,所述第一消息携带的源终端标识为第一终端的标识、源网关服务器标识为所述第一网关服务器的标识、目的终端标识为第二终端的标识、目的网关服务器标识为第二网关服务器的标识,具体可以实现上述步骤504中的接收功能,以及其他隐含步骤;
检测模块820,用于检测所述第一消息,确定所述第一消息为攻击消息,具体可以实现上述步骤505中的检测功能,以及其他隐含步骤;
发送模块830,用于向管理服务器发送携带有所述第一终端的标识和所述第一网关服务器的标识的攻击通知,具体可以实现上述步骤506中的发送功能,以及其他隐含步骤。
需要说明的是,上述接收模块810可以由接收器实现,检测模块820可以由处理器实现,发送模块830可以由发射器实现。
基于相同的技术构思,本发明实施例还提供了一种阻止攻击消息的装置,该装置可以是上述管理服务器,如图9所示,该装置包括:
第一接收模块910,用于接收第二网关服务器发送的攻击通知,其中,所述攻击通知携带有第一终端的标识和第一网关服务器的标识,具体可以实现上述步骤507中的接收功能,以及其他隐含步骤;
发送模块920,用于向所述第一网关服务器发送携带有所述第一终端的标识的拒绝传输通知,具体可以实现上述步骤508中的发送功能,以及其他隐含步骤。
可选的,如图10所示,所述管理服务器还包括:
第二接收模块930,用于接收所述第一网关服务器发送的本地单播媒体接入控制地址Ucast_Macs_Local表,其中,所述Ucast_Macs_Local表中记录有所述第一终端的标识,所述Ucast_Macs_Local表设置有action字段,所述action字段的内容为permit;
所述发送模块920用于:
将所述Ucast_Macs_Local表中的action字段修改为deny,得到修改后的Ucast_Macs_Local表;
将修改后的Ucast_Macs_Local表添加进拒绝传输通知中;
通过开放虚拟交换机数据库管理OVSDB协议,向所述第一网关服务器发送所述拒绝传输通知。
需要说明的是,上述第一接收模块910可以由接收器实现,发送模块920可以由发射器实现,第二接收模块930可以由接收器实现。
本发明实施例中,第一网关服务器将第一终端发送的第一消息转发给第二网关服务器,如果第二网关服务器检测到该第一消息是攻击消息,则将携带有第一终端的标识的攻击通知发送给管理服务器,进而,管理服务器将携带有该第一终端的标识的拒绝传输通知发送给第一网关服务器,第一网关服务器可以拒绝转发该第一终端后续发送的第二消息。这样,即使源网关服务器中未安装或未启用防火墙,也能对待其传输的攻击消息进行拦截,拒绝转发攻击消息,从而,可以避免大量的攻击消息传输进入网络而占用大量网络带宽,避免攻击消息对正常消息的传输造成影响。
需要说明的是:上述实施例提供的阻止攻击消息的装置在阻止攻击消息时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将第一网关服务器、第二网关服务器和管理服务器的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的阻止攻击消息的装置与阻止攻击消息的方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于相同的技术构思,本发明实施例还提供了一种阻止攻击消息的系统,阻止攻击消息的系统框架示意图如图11所示,所述系统包括第一网关服务器、第二网关服务器和管理服务器,其中:
所述第一网关服务器,用于接收第一终端发送的第一消息,其中,所述第一消息携带的源终端标识为所述第一终端的标识、目的终端标识为第二终端的标识;获取所述第二终端对应的第二网关服务器的标识,将所述第二网关服务器的标识作为目的网关服务器标识、所述第一网关服务器的标识作为源网关服务器标识,添加到所述第一消息中;向所述第二网关服务器发送添加处理后的第一消息;在接收到管理服务器发送的携带有所述第一终端的标识的拒绝传输通知后,检测后续接收到的消息中携带的源终端标识;当接收到的第二消息的源终端标识为所述第一终端的标识时,拒绝转发所述第二消息;
所述第二网关服务器,用于接收第一网关服务器发送的第一消息,其中,所述第一消息携带的源终端标识为第一终端的标识、源网关服务器标识为所述第一网关服务器的标识、目的终端标识为第二终端的标识、目的网关服务器标识为第二网关服务器的标识;检测所述第一消息,确定所述第一消息为攻击消息;向管理服务器发送携带有所述第一终端的标识和所述第一网关服务器的标识的攻击通知;
所述管理服务器,用于接收第二网关服务器发送的攻击通知,其中,所述攻击通知携带有第一终端的标识和第一网关服务器的标识;向所述第一网关服务器发送携带有所述第一终端的标识的拒绝传输通知。
本发明实施例中,第一网关服务器将第一终端发送的第一消息转发给第二网关服务器,如果第二网关服务器检测到该第一消息是攻击消息,则将携带有第一终端的标识的攻击通知发送给管理服务器,进而,管理服务器将携带有该第一终端的标识的拒绝传输通知发送给第一网关服务器,第一网关服务器可以拒绝转发该第一终端后续发送的第二消息。这样,即使源网关服务器中未安装或未启用防火墙,也能对待其传输的攻击消息进行拦截,拒绝转发攻击消息,从而,可以避免大量的攻击消息传输进入网络而占用大量网络带宽,避免攻击消息对正常消息的传输造成影响。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现,当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令,在设备上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴光缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是设备能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(如软盘、硬盘和磁带等),也可以是光介质(如数字视盘(Digital Video Disk,DVD)等),或者半导体介质(如固态硬盘等)。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明一个实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (25)
1.一种阻止攻击消息的方法,其特征在于,所述方法应用于第一网关服务器,所述方法包括:
接收第一终端发送的第一消息,其中,所述第一消息携带的源终端标识为所述第一终端的标识、目的终端标识为第二终端的标识;
获取所述第二终端对应的第二网关服务器的标识,将所述第二网关服务器的标识作为目的网关服务器标识、所述第一网关服务器的标识作为源网关服务器标识,添加到所述第一消息中;
向所述第二网关服务器发送添加处理后的第一消息;
在接收到管理服务器发送的携带有所述第一终端的标识的拒绝传输通知后,检测后续接收到的消息中携带的源终端标识;
当接收到的第二消息的源终端标识为所述第一终端的标识时,拒绝转发所述第二消息。
2.根据权利要求1所述的方法,其特征在于,所述在接收到管理服务器发送的携带有所述第一终端的标识的拒绝传输通知后,检测后续接收到的消息中携带的源终端标识,包括:
在接收到管理服务器发送的携带有所述第一终端的标识的拒绝传输通知后,将所述第一终端的标识作为源终端标识,存储在黑洞媒体访问控制MAC列表或者访问控制列表ACL中;
获取后续接收到的消息中携带的源终端标识,与所述黑洞MAC列表或所述访问控制列表ACL存储的源终端标识进行匹配;
所述当接收到的第二消息的源终端标识为所述第一终端的标识时,拒绝转发所述第二消息,包括:
当接收到的第二消息的源终端标识与所述黑洞MAC列表或所述访问控制列表ACL存储的源终端标识相匹配时,拒绝转发所述第二消息。
3.根据权利要求1所述的方法,其特征在于,所述接收第一终端发送的第一消息之前,还包括:
接收第一终端发送的连接请求;
为所述第一终端建立对应的本地单播媒体接入控制地址Ucast_Macs_Local表,其中,所述Ucast_Macs_Local表中记录有所述第一终端的标识,所述Ucast_Macs_Local表设置有action字段,所述action字段的内容为permit;
向管理服务器发送所述Ucast_Macs_Local表;
所述在接收到管理服务器发送的携带有所述第一终端的标识的拒绝传输通知后,检测后续接收到的消息中携带的源终端标识,包括:
在接收到管理服务器发送的携带有修改后的Ucast_Macs_Local表的拒绝传输通知后,将本地建立的Ucast_Macs_Local表替换为所述修改后的Ucast_Macs_Local表,检测后续接收到的消息中携带的源终端标识;
其中,所述修改后的Ucast_Macs_Local表中action字段的内容为deny。
4.一种阻止攻击消息的方法,其特征在于,所述方法应用于第二网关服务器,所述方法包括:
接收第一网关服务器发送的第一消息,其中,所述第一消息携带的源终端标识为第一终端的标识、源网关服务器标识为所述第一网关服务器的标识、目的终端标识为第二终端的标识、目的网关服务器标识为第二网关服务器的标识;
检测所述第一消息,确定所述第一消息为攻击消息;
向管理服务器发送携带有所述第一终端的标识和所述第一网关服务器的标识的攻击通知。
5.一种阻止攻击消息的方法,其特征在于,所述方法应用于管理服务器,所述方法包括:
接收第二网关服务器发送的攻击通知,其中,所述攻击通知携带有第一终端的标识和第一网关服务器的标识;
向所述第一网关服务器发送携带有所述第一终端的标识的拒绝传输通知。
6.根据权利要求5所述的方法,其特征在于,所述接收第二网关服务器发送的攻击通知之前,还包括:
接收所述第一网关服务器发送的本地单播媒体接入控制地址Ucast_Macs_Local表并存储,其中,所述Ucast_Macs_Local表中记录有所述第一终端的标识,所述Ucast_Macs_Local表设置有action字段,所述action字段的内容为permit;
所述向所述第一网关服务器发送携带有所述第一终端的标识的拒绝传输通知,包括:
将所述Ucast_Macs_Local表中的action字段的内容修改为deny,得到修改后的Ucast_Macs_Local表;
通过开放虚拟交换机数据库管理OVSDB协议,向所述第一网关服务器发送携带有所述修改后的Ucast_Macs_Local表的拒绝传输通知。
7.一种第一网关服务器,其特征在于,所述第一网关服务器包括:
第一接收模块,用于接收第一终端发送的第一消息,其中,所述第一消息携带的源终端标识为所述第一终端的标识、目的终端标识为第二终端的标识;
添加模块,用于获取所述第二终端对应的第二网关服务器的标识,将所述第二网关服务器的标识作为目的网关服务器标识、所述第一网关服务器的标识作为源网关服务器标识,添加到所述第一消息中;
第一发送模块,用于向所述第二网关服务器发送添加处理后的第一消息;
检测模块,用于在接收到管理服务器发送的携带有所述第一终端的标识的拒绝传输通知后,检测后续接收到的消息中携带的源终端标识;
拒绝转发模块,用于当接收到的第二消息的源终端标识为所述第一终端的标识时,拒绝转发所述第二消息。
8.根据权利要求7所述的第一网关服务器,其特征在于,所述检测模块用于:
在接收到管理服务器发送的携带有所述第一终端的标识的拒绝传输通知后,将所述第一终端的标识作为源终端标识,存储在黑洞媒体访问控制MAC列表或者访问控制列表ACL中;
获取后续接收到的消息中携带的源终端标识,与所述黑洞MAC列表或所述访问控制列表ACL存储的源终端标识进行匹配;
所述拒绝转发模块用于:
当接收到的第二消息的源终端标识与所述黑洞MAC列表或所述访问控制列表ACL存储的源终端标识相匹配时,拒绝转发所述第二消息。
9.根据权利要求7所述的第一网关服务器,其特征在于,所述第一网关服务器还包括:
第二接收模块,用于接收第一终端发送的连接请求;
建立模块,用于为所述第一终端建立对应的本地单播媒体接入控制地址Ucast_Macs_Local表,其中,所述Ucast_Macs_Local表中记录有所述第一终端的标识,所述Ucast_Macs_Local表设置有action字段,所述action字段的内容为permit;
第二发送模块,用于向管理服务器发送所述Ucast_Macs_Local表;
所述检测模块用于:
在接收到管理服务器发送的携带有修改后的Ucast_Macs_Local表的拒绝传输通知后,将本地建立的Ucast_Macs_Local表替换为所述修改后的Ucast_Macs_Local表,检测后续接收到的消息中携带的源终端标识;
其中,所述修改后的Ucast_Macs_Local表中action字段的内容为deny。
10.一种第二网关服务器,其特征在于,所述第二网关服务器包括:
接收模块,用于接收第一网关服务器发送的第一消息,其中,所述第一消息携带的源终端标识为第一终端的标识、源网关服务器标识为所述第一网关服务器的标识、目的终端标识为第二终端的标识、目的网关服务器标识为第二网关服务器的标识;
检测模块,用于检测所述第一消息,确定所述第一消息为攻击消息;
发送模块,用于向管理服务器发送携带有所述第一终端的标识和所述第一网关服务器的标识的攻击通知。
11.一种管理服务器,其特征在于,所述管理服务器包括:
第一接收模块,用于接收第二网关服务器发送的攻击通知,其中,所述攻击通知携带有第一终端的标识和第一网关服务器的标识;
发送模块,用于向所述第一网关服务器发送携带有所述第一终端的标识的拒绝传输通知。
12.根据权利要求11所述的管理服务器,其特征在于,所述管理服务器还包括:
第二接收模块,用于接收所述第一网关服务器发送的本地单播媒体接入控制地址Ucast_Macs_Local表并存储,其中,所述Ucast_Macs_Local表中记录有所述第一终端的标识,所述Ucast_Macs_Local表设置有action字段,所述action字段的内容为permit;
所述发送模块用于:
将所述Ucast_Macs_Local表中的action字段的内容修改为deny,得到修改后的Ucast_Macs_Local表;
通过开放虚拟交换机数据库管理OVSDB协议,向所述第一网关服务器发送携带有所述修改后的Ucast_Macs_Local表的拒绝传输通知。
13.一种阻止攻击消息的系统,其特征在于,所述系统包括第一网关服务器、第二网关服务器和管理服务器,其中:
所述第一网关服务器,用于接收第一终端发送的第一消息,其中,所述第一消息携带的源终端标识为所述第一终端的标识、目的终端标识为第二终端的标识;获取所述第二终端对应的第二网关服务器的标识,将所述第二网关服务器的标识作为目的网关服务器标识、所述第一网关服务器的标识作为源网关服务器标识,添加到所述第一消息中;向所述第二网关服务器发送添加处理后的第一消息;在接收到所述管理服务器发送的携带有所述第一终端的标识的拒绝传输通知后,检测后续接收到的消息中携带的源终端标识;当接收到的第二消息的源终端标识为所述第一终端的标识时,拒绝转发所述第二消息;
所述第二网关服务器,用于接收所述第一网关服务器发送的第一消息,其中,所述第一消息携带的源终端标识为所述第一终端的标识、源网关服务器标识为所述第一网关服务器的标识、目的终端标识为所述第二终端的标识、目的网关服务器标识为所述第二网关服务器的标识;检测所述第一消息,确定所述第一消息为攻击消息;向所述管理服务器发送携带有所述第一终端的标识和所述第一网关服务器的标识的攻击通知;
所述管理服务器,用于接收所述第二网关服务器发送的攻击通知,其中,所述攻击通知携带有所述第一终端的标识和所述第一网关服务器的标识;向所述第一网关服务器发送携带有所述第一终端的标识的拒绝传输通知。
14.一种第一网关服务器,其特征在于,所述第一网关服务器包括收发器、处理器,其中:
所述收发器,用于接收第一终端发送的第一消息,其中,所述第一消息携带的源终端标识为所述第一终端的标识、目的终端标识为第二终端的标识;向所述第二网关服务器发送添加处理后的第一消息;
所述处理器,用于获取所述第二终端对应的第二网关服务器的标识,将所述第二网关服务器的标识作为目的网关服务器标识、所述第一网关服务器的标识作为源网关服务器标识,添加到所述第一消息中;在接收到管理服务器发送的携带有所述第一终端的标识的拒绝传输通知后,检测后续接收到的消息中携带的源终端标识;当接收到的第二消息的源终端标识为所述第一终端的标识时,拒绝转发所述第二消息。
15.根据权利要求14所述的第一网关服务器,其特征在于,所述处理器用于:
在接收到管理服务器发送的携带有所述第一终端的标识的拒绝传输通知后,将所述第一终端的标识作为源终端标识,存储在黑洞媒体访问控制MAC列表或者访问控制列表ACL中;
获取后续接收到的消息中携带的源终端标识,与所述黑洞MAC列表或所述访问控制列表ACL存储的源终端标识进行匹配;
当接收到的第二消息的源终端标识与所述黑洞MAC列表或所述访问控制列表ACL存储的源终端标识相匹配时,拒绝转发所述第二消息。
16.根据权利要求14所述的第一网关服务器,其特征在于,所述收发器还用于:
接收第一终端发送的连接请求;
所述处理器还用于:
为所述第一终端建立对应的本地单播媒体接入控制地址Ucast_Macs_Local表,其中,所述Ucast_Macs_Local表中记录有所述第一终端的标识,所述Ucast_Macs_Local表设置有action字段,所述action字段的内容为permit;
所述收发器还用于:
向管理服务器发送所述Ucast_Macs_Local表;
所述处理器用于:
在接收到管理服务器发送的携带有修改后的Ucast_Macs_Local表的拒绝传输通知后,将本地建立的Ucast_Macs_Local表替换为所述修改后的Ucast_Macs_Local表,检测后续接收到的消息中携带的源终端标识;
其中,所述修改后的Ucast_Macs_Local表中action字段的内容为deny。
17.一种第二网关服务器,其特征在于,所述第一网关服务器包括收发器、处理器,其中:
所述收发器,用于接收第一网关服务器发送的第一消息,其中,所述第一消息携带的源终端标识为第一终端的标识、源网关服务器标识为所述第一网关服务器的标识、目的终端标识为第二终端的标识、目的网关服务器标识为所述第二网关服务器的标识;向管理服务器发送携带有所述第一终端的标识和所述第一网关服务器的标识的攻击通知;
所述处理器,用于检测所述第一消息,确定所述第一消息为攻击消息。
18.一种管理服务器,其特征在于,所述管理服务器包括收发器,其中:
所述收发器,用于接收第二网关服务器发送的攻击通知,其中,所述攻击通知携带有第一终端的标识和第一网关服务器的标识;向所述第一网关服务器发送携带有所述第一终端的标识的拒绝传输通知。
19.根据权利要求18所述的管理服务器,其特征在于,所述收发器还用于:
接收所述第一网关服务器发送的本地单播媒体接入控制地址Ucast_Macs_Local表,其中,所述Ucast_Macs_Local表中记录有所述第一终端的标识,所述Ucast_Macs_Local表设置有action字段,所述action字段的内容为permit;
所述管理服务器还包括处理器,所述处理器用于:
将所述Ucast_Macs_Local表中的action字段修改为deny,得到修改后的Ucast_Macs_Local表;
将修改后的Ucast_Macs_Local表添加进拒绝传输通知中;
所述收发器用于:
通过开放虚拟交换机数据库管理OVSDB协议,向所述第一网关服务器发送所述拒绝传输通知。
20.一种计算机可读存储介质,其特征在于,包括指令,当所述计算机可读存储介质在第一网关服务器上运行时,使得所述第一网关服务器执行所述权利要求1-3中任一权利要求所述的方法。
21.一种包含指令的计算机程序产品,其特征在于,当所述计算机程序产品在第一网关服务器上运行时,使得所述第一网关服务器执行所述权利要求1-3中任一权利要求所述的方法。
22.一种计算机可读存储介质,其特征在于,包括指令,当所述计算机可读存储介质在第二网关服务器上运行时,使得所述第二网关服务器执行所述权利要求4中所述的方法。
23.一种包含指令的计算机程序产品,其特征在于,当所述计算机程序产品在第二网关服务器上运行时,使得所述第二网关服务器执行所述权利要求4中所述的方法。
24.一种计算机可读存储介质,其特征在于,包括指令,当所述计算机可读存储介质在管理服务器上运行时,使得所述管理服务器执行所述权利要求5-6中任一权利要求所述的方法。
25.一种包含指令的计算机程序产品,其特征在于,当所述计算机程序产品在管理服务器上运行时,使得所述管理服务器执行所述权利要求5-6中任一权利要求所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711035317.9A CN109729043B (zh) | 2017-10-30 | 2017-10-30 | 阻止攻击消息的方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711035317.9A CN109729043B (zh) | 2017-10-30 | 2017-10-30 | 阻止攻击消息的方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109729043A true CN109729043A (zh) | 2019-05-07 |
| CN109729043B CN109729043B (zh) | 2020-09-08 |
Family
ID=66291500
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711035317.9A Active CN109729043B (zh) | 2017-10-30 | 2017-10-30 | 阻止攻击消息的方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109729043B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112788090A (zh) * | 2020-05-08 | 2021-05-11 | 珠海金山办公软件有限公司 | 一种网络资源传输方法、装置及系统 |
| CN118174970A (zh) * | 2024-05-15 | 2024-06-11 | 环球数科集团有限公司 | 一种用于防止DDoS攻击的分布式网关设计系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101047669A (zh) * | 2007-04-12 | 2007-10-03 | 中兴通讯股份有限公司 | 基于动态电话本阻止联系人发送即时消息的方法 |
| US20080162926A1 (en) * | 2006-12-27 | 2008-07-03 | Jay Xiong | Authentication protocol |
| CN103166932A (zh) * | 2011-12-15 | 2013-06-19 | 上海粱江通信系统股份有限公司 | 识别并治理利用大量短信实施DDoS的系统及方法 |
| CN103929745A (zh) * | 2014-04-16 | 2014-07-16 | 东北大学 | 一种基于隐私保护的无线mesh网络接入认证系统及方法 |
| CN105450652A (zh) * | 2015-12-03 | 2016-03-30 | 迈普通信技术股份有限公司 | 一种认证方法、装置及系统 |
-
2017
- 2017-10-30 CN CN201711035317.9A patent/CN109729043B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080162926A1 (en) * | 2006-12-27 | 2008-07-03 | Jay Xiong | Authentication protocol |
| CN101047669A (zh) * | 2007-04-12 | 2007-10-03 | 中兴通讯股份有限公司 | 基于动态电话本阻止联系人发送即时消息的方法 |
| CN103166932A (zh) * | 2011-12-15 | 2013-06-19 | 上海粱江通信系统股份有限公司 | 识别并治理利用大量短信实施DDoS的系统及方法 |
| CN103929745A (zh) * | 2014-04-16 | 2014-07-16 | 东北大学 | 一种基于隐私保护的无线mesh网络接入认证系统及方法 |
| CN105450652A (zh) * | 2015-12-03 | 2016-03-30 | 迈普通信技术股份有限公司 | 一种认证方法、装置及系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112788090A (zh) * | 2020-05-08 | 2021-05-11 | 珠海金山办公软件有限公司 | 一种网络资源传输方法、装置及系统 |
| CN112788090B (zh) * | 2020-05-08 | 2023-06-23 | 珠海金山办公软件有限公司 | 一种网络资源传输方法、装置及系统 |
| CN118174970A (zh) * | 2024-05-15 | 2024-06-11 | 环球数科集团有限公司 | 一种用于防止DDoS攻击的分布式网关设计系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109729043B (zh) | 2020-09-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101270041B1 (ko) | Arp 스푸핑 공격 탐지 시스템 및 방법 | |
| US10097573B1 (en) | Systems and methods for malware defense | |
| Cabaj et al. | Using software-defined networking for ransomware mitigation: the case of cryptowall | |
| US8881281B1 (en) | Application and network abuse detection with adaptive mitigation utilizing multi-modal intelligence data | |
| US10193924B2 (en) | Network intrusion diversion using a software defined network | |
| US7100201B2 (en) | Undetectable firewall | |
| Jung et al. | Fast portscan detection using sequential hypothesis testing | |
| US7409714B2 (en) | Virtual intrusion detection system and method of using same | |
| KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
| KR101010465B1 (ko) | 엔드포인트 리소스를 사용하는 네트워크 보안 요소 | |
| CN103746956A (zh) | 虚拟蜜罐 | |
| Wang et al. | SECO: SDN sEcure COntroller algorithm for detecting and defending denial of service attacks | |
| Osanaiye et al. | TCP/IP header classification for detecting spoofed DDoS attack in Cloud environment | |
| US7596808B1 (en) | Zero hop algorithm for network threat identification and mitigation | |
| CN101378312B (zh) | 基于宽带网络的安全支付控制系统和方法 | |
| CN109729043A (zh) | 阻止攻击消息的方法、装置和系统 | |
| Cheetancheri et al. | A distributed host-based worm detection system | |
| US8724506B2 (en) | Detecting double attachment between a wired network and at least one wireless network | |
| JP3495030B2 (ja) | 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム | |
| CN113206852B (zh) | 一种安全防护方法、装置、设备及存储介质 | |
| KR20030016500A (ko) | 정책기반 네트워크 보안 시스템과 그를 이용한 보안 및보안정책 결정 방법 | |
| CN108769055A (zh) | 一种虚假源ip检测方法及装置 | |
| WO2021181391A1 (en) | System and method for finding, tracking, and capturing a cyber-attacker | |
| Bojjagani et al. | Early DDoS Detection and Prevention with Traced-Back Blocking in SDN Environment. | |
| Bythwood et al. | Fingerprinting Bots in a Hybrid Honeypot |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |