CN109962918A - 一种防御攻击报文的方法、系统及设备 - Google Patents

一种防御攻击报文的方法、系统及设备 Download PDF

Info

Publication number
CN109962918A
CN109962918A CN201910243990.4A CN201910243990A CN109962918A CN 109962918 A CN109962918 A CN 109962918A CN 201910243990 A CN201910243990 A CN 201910243990A CN 109962918 A CN109962918 A CN 109962918A
Authority
CN
China
Prior art keywords
message
entry
nat
translation table
flag information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910243990.4A
Other languages
English (en)
Other versions
CN109962918B (zh
Inventor
滕飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fiberhome Telecommunication Technologies Co Ltd
Original Assignee
Fiberhome Telecommunication Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fiberhome Telecommunication Technologies Co Ltd filed Critical Fiberhome Telecommunication Technologies Co Ltd
Priority to CN201910243990.4A priority Critical patent/CN109962918B/zh
Publication of CN109962918A publication Critical patent/CN109962918A/zh
Application granted granted Critical
Publication of CN109962918B publication Critical patent/CN109962918B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2517Translation of Internet protocol [IP] addresses using port numbers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种防御攻击报文的方法、系统及设备,涉及通信技术领域。防御攻击报文的方法包括:在与客户端建立传输控制协议TCP连接过程中,将收到的TCP报文的标志信息记录在网络地址转换NAT转换表内对应的条目中;根据目的信息对NAT转换表内仅记录同步请求SYN报文的标志信息的条目进行统计,以生成访问控制列表ACL条目。本发明有效防御攻击报文,简化网络部署,降低成本。

Description

一种防御攻击报文的方法、系统及设备
技术领域
本发明涉及通信技术领域,具体是涉及一种防御攻击报文的方法、系统及设备。
背景技术
网络地址转换(Network Address Translation,NAT)技术将内部私有网络地址(互联网协议(Internet Protocol,IP)地址)翻译成合法网络IP地址的技术。在具有NAT功能的NAT设备上,例如作为面向宽带网络应用的新型接入网关的宽带接入服务器(Broadband Remote Access Server,BRAS),NAT的实现方式有三种:静态转换、动态转换和端口多路复用的端口地址转换(Port-address-translation,PAT)。
对于动态转换和端口多路复用方式,尤其是端口多路复用方式,NAT表项资源是有限的。BRAS设备用户侧的报文都是来自普通PC,由于近几年勒索病毒爆发,中病毒的个人计算机(Personal Computer,PC)一直发送大量无效的传输控制协议(Transmission ControlProtocol,TCP)连接请求,导致NAT表项资源很快耗尽,甚至有一个用户的PC中病毒后,会影响其他所有接到该BRAS设备的PC上网。在BRAS设备上,NAT防攻击的一般解决方法是限制每个用户的NAT表项数量,但这种方法会造成用户本身正常的网络访问受到影响。如果采用加防火墙设备的方式则加大网络部署成本,因此,亟需一种有效且成本低的NAT防攻击机制。
发明内容
针对现有技术中存在的缺陷,本发明的目的在于提供一种防御攻击报文的方法、系统及设备,有效防御攻击报文,简化网络部署,降低成本。
本发明提供一种防御攻击报文的方法,其包括:
在与客户端建立传输控制协议TCP连接过程中,将收到的TCP报文的标志信息记录在网络地址转换NAT转换表内对应的条目中;
根据目的信息对NAT转换表内仅记录同步请求SYN报文的标志信息的条目进行统计,以生成访问控制列表ACL条目。
在上述技术方案的基础上,所述NAT转换表包括两个标志字段,分别用于存储所述SYN报文和确认ACK报文携带的标志信息。
在上述技术方案的基础上,所述方法还包括:对所述NAT转换表进行老化时,按照预设的加速老化周期加速老化所述仅记录SYN报文的标志信息的条目。
在上述技术方案的基础上,所述NAT转换表老化过程以及生成ACL条目过程同时或者先后进行。
在上述技术方案的基础上,定期轮询所述NAT转换表,统计所述仅记录SYN报文的标志信息的条目,当所述目的信息相同的条目总数达到预定阈值时,生成所述ACL条目。
在上述技术方案的基础上,所述目的信息为目的端口和/或目的IP地址。
本发明还提供一种防御攻击报文的系统,其包括:
NAT转换模块,其包括NAT转换表,所述NAT转换模块用于在与客户端建立TCP连接过程中,将收到的TCP报文的标志信息记录在NAT转换表内对应的条目中;
ACL创建模块,其用于根据目的信息对NAT转换表内仅记录SYN报文的标志信息的条目进行统计,以生成ACL条目。
在上述技术方案的基础上,所述NAT转换表包括两个标志字段,分别用于存储所述SYN报文和确认ACK报文携带的标志信息。
在上述技术方案的基础上,所述系统还包括NAT老化模块,用于对所述NAT转换表进行老化;还用于按照预设的加速老化周期加速老化所述仅记录SYN报文的标志信息的条目。
在上述技术方案的基础上,所述NAT老化模块在每个老化周期中对所述NAT转换表进行老化,所述ACL创建模块在每个轮询周期中生成所述ACL条目,两个周期并行或者依序交替进行。
在上述技术方案的基础上,所述ACL创建模块用于定期轮询所述NAT转换表,统计所述仅记录SYN报文的标志信息的条目,当所述目的信息相同的条目总数达到预定阈值时,生成所述ACL条目。
在上述技术方案的基础上,所述目的信息为目的端口和/或目的IP地址。
本发明还提供一种网络地址转换NAT设备,所述NAT设备包括上述的防御攻击报文的系统。
与现有技术相比,本发明实施例在与客户端建立TCP连接过程中,将收到的TCP报文的标志信息记录在NAT转换表内对应的条目中,并根据目的信息对仅记录同步(Synchronous,SYN)报文的标志信息的条目进行统计,以生成访问控制列表(AccessControl List,ACL)条目,有效防御攻击报文,简化网络部署,降低成本。
附图说明
图1是本发明第一实施例防御攻击报文的方法流程图;
图2是本发明第一实施例中NAT转换表的数据结构示意图;
图3是本发明第一实施例中ACL表项的条目示意图;
图4是本发明第一实施例防御攻击报文的方法中,步骤S120的具体流程图;
图5是本发明第二实施例防御攻击报文的方法中,步骤S310的具体流程图;
图6本发明第四实施例防御攻击报文的系统示意图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步的详细描述。
本发明第一实施例提供一种防御攻击报文的方法,用于NAT设备中,NAT设备包括宽带接入服务器BRAS,本实施例以BRAS设备为例对本方法具体说明。
具体的,客户端和BRAS设备之间建立TCP连接的过程包含3次TCP报文的交互:
1)客户端向BRAS设备发送同步(Synchronous,SYN)报文;
2)BRAS设备向客户端回应应答(SynchronousAcknowledgement,SYNACK)报文;
3)客户端向BRAS设备发送确认(Acknowledgment,ACK)报文。
上述3次报文交互即为TCP连接的三次握手。在攻击的情况下,大部分情况是客户端发了SYN报文,而目的IP地址是扫描式变化的,当目的IP地址不是真正存在时,BRAS设备不会回应SYNACK报文的,也就是说,当客户端向发送SYN报文后,不回应ACK报文,即只进行上述步骤1),而没有完成上述步骤2)和3),则客户端和服务器端完成了半连接。
当中病毒或恶意客户端向BRAS设备发送大量无效的TCP连接请求时,BRAS设备收到大量无效SYN报文,为避免对NAT表项资源以及为半连接分配的连接资源造成过大的消耗,有必要进行防护。
参见图1所示,本防御攻击报文的方法包括:
S110在与客户端建立传输控制协议TCP连接过程中,将收到的TCP报文的标志信息记录在NAT转换表内对应的条目中。
S120根据目的信息对NAT转换表内仅记录同步SYN报文的标志信息的条目进行统计,以生成访问控制列表ACL条目。
图1显示了步骤S110和步骤S120依序执行,但是,需要说明的是,步骤S110和步骤S120也可以同时进行。以下对步骤S110和步骤S120分别说明。
如上述说明,在步骤S110中,BRAS设备收到的TCP报文包括SYN报文和ACK报文,其中,SYN报文携带的标志信息(TCP Flag)为SYN标志信息,ACK报文携带的标志信息(TCPFlag)为ACK标志信息。
参见图2所示,NAT转换表包括匹配项(KEY)和数据(DATA),匹配项(KEY)包括协议号、源IP地址、目的IP地址、源端口号和目的端口号。数据(DATA)包括条目索引(Tableindex)、转换后的源IP地址(Src IP)、转换后的目的IP(Dst IP)、转换后源端口号(Srcport)、转换后目的端口号(Dst port)、转换后协议号(Protocol)、TCP syn标志(Syn)、TCPack标志(Ack)、老化时间(Ttl)、时间戳(timestamp)、以及是否老化标志(Aging flag)。
其中,NAT转换表包括两个标志字段,TCP syn标志用于存储SYN报文携带的标志信息,TCP ack标志用于存储ACK报文携带的标志信息。
TCP syn标志和TCP ack标志的初始值可以设为0,当收到SYN报文时,提取报文的IP五元组(即协议号、源IP地址、目的IP地址、源端口号和目的端口号),并在NAT转换表中查找匹配项(KEY),找到一致的匹配项(KEY)所在的条目为对应条目,将NAT转换表的对应条目中的TCP syn标志设置为1;当收到ACK报文时,NAT转换表的对应条目中的TCP ack标志设置为1。当NAT转换表中的某个条目的TCP syn标志和TCP ack标志都设置为1时,说明客户端与NAT设备完成了TCP连接的三次握手。将报文的源IP和源端口进行替换,然后查路由转发。
如果NAT转换表中的某个条目的TCP syn标志设置为1,而TCP ack标志仍为0,说明客户端与NAT设备为半连接状态。
步骤S120包括:定期轮询NAT转换表,统计仅记录SYN报文的标志信息的条目,当目的信息相同的条目总数达到预定阈值时,生成ACL条目。
仅记录SYN报文的标志信息的条目是指该条目中仅仅记录了收到的SYN报文的标志信息,由于没有收到ACK报文,因而没有记录ACK报文的标志信息,具体是指NAT转换表中TCP syn标志设置为1,而TCP ack标志仍为0的条目。
目的信息为目的端口和/或目的IP地址。以目的端口为例,在每个进行统计的轮询周期内,扫描所有只有TCP syn标志设置为1的条目,并统计这些条目中目的端口号相同的条目总数,如果某个目的端口号相同的条目总数达到了预定阈值(例如50),则根据这个目的端口号生成一条ACL条目。
统计得到的目的端口号相同的条目中的源IP地址可以相同,也可以不同,不作限定。例如,可以基于源IP地址,扫描所有只有TCP syn标志设置为1的条目,并统计这些条目中目的端口号相同的条目总数,如果某个目的端口号相同的条目总数达到了预定阈值(例如50),则根据这个目的端口号生成一条ACL条目。此时,统计得到的目的端口号相同的条目中的源IP地址都是上述所基于的源IP地址。
类似地,可以根据目的IP地址对只有TCP syn标志设置为1的条目进行统计并生成一条ACL条目。或者,可以结合目的端口和目的IP地址对只有TCP syn标志设置为1的条目进行统计并生成一条ACL条目。
访问控制列表ACL是现有的路由器和交换机接口的指令列表,用来控制进出的报文。ACL包括匹配关系、条件等,ACL的数据结构参见图3所示,包括关键字、掩码和动作,其中,关键字包括报文的IP五元组(即协议号、源IP地址、目的IP地址、源端口号和目的端口号),例如,源IP地址和目的IP地址均为32比特bits,源端口号和目的端口号均为16比特bits,协议号为8比特bits。
每个ACL条目的关键字对应一个相应的掩码,掩码的每个比特bit对应相应关键字中的每个比特bit,掩码的某个比特bit为0,则表示ACL条目要匹配对应关键字的对应bit;掩码某个比特bit为1,则表示不关心对应关键字的对应bit。例如,如果丢弃目的IP地址为192.168.x.x的报文,则关键字的目的IP地址为192.168.0.0,目的IP地址的掩码为0.0.255.255;如果希望匹配目的端口号为1000,则关键字目的端口为1000,目的端口掩码为0。
本实施例中的访问控制列表ACL是入口ACL,采用通用的IP五元组模板,收到报文后提取报文的IP五元组作为关键字,在ACL表中进行查找,如果命中,则根据相应的动作的内容做相应的处理,本实施例中ACL的动作为丢弃。
具体的,生成的ACL条目可以为精确匹配目的IP地址和/或精确匹配目的端口号,所以目的IP地址的掩码为0.0.0.0和/或目的端口号的掩码为0,其他的源IP地址、源端口、协议号的掩码在进行匹配时可以忽略,例如可以分别为255.255.255.255、65535和255。
NAT设备进行报文转发时,对报文进行动态地址转换NAT和按照ACL规则控制报文的进出,可以采用顺序匹配方式,即:先执行ACL再进行NAT。
参见图4所示,步骤S120具体包括:
S121设定扫描定时器,每隔2秒开始对NAT转换表进行扫描。
S122判断目的IP地址和/或目的端口号重复的条目是否达到了50条,若是,进入步骤S123;若否,进入步骤S124。
S123根据目的IP地址和/或目的端口号生成ACL条目。
S124判断是否遍历NAT转换表,若是,返回步骤S121;若否,返回步骤S122。
本发明实施例在与客户端建立TCP连接过程中,将收到的TCP报文的标志信息记录在NAT转换表内对应的条目中,并根据目的信息对仅记录SYN报文的标志信息的条目进行统计,以生成ACL条目,有效防御攻击报文,简化网络部署,降低成本。
本发明第二实施例提供一种防御攻击报文的方法,在本发明第一实施例的基础上,基于防御攻击报文的方法的报文处理过程包括:
S210接收客户端发出的报文,根据报文的入口和vlan在接口表查找NAT内网侧或NAT外网侧等标识。
接口表是匹配入口和vlan的一张表,动作包括是否做NAT等标志位。NAT内网侧一般接客户端,客户端会主动发起TCP连接请求,所以NAT转换表的生成是由内网侧触发的。外网侧接服务端,回应客户端的请求。不管是NAT内网侧还是NAT外网侧的报文,NAT设备收到后都要查路由转发。
S220判断报文为NAT内网还是NAT外网,若是NAT内网,进入步骤S230;若是NAT外网,进入步骤S270。
S230提取报文的IP五元组,并在NAT转换表中查找该报文的IP五元组所对应的条目。
S240判断是否找到对应的条目,若是,进入步骤S250;若否,进入步骤S260。
S250更新该条目的时间戳,对于SYN报文和ACK报文,相应地更新该条目的TCP syn和TCP ack标志位,然后将报文IP五元组按照条目的数据进行替换,进入步骤S300。
具体的,更新该条目的TCP syn和TCP ack标志位的具体说明参见第一实施例中的步骤S110,此处不再赘述。
S260生成新的NAT转换表条目,该条目的匹配字段为当前报文的IP五元组,数据的IP五元组为动态分配的,返回步骤S250。
S270提取报文的IP五元组,并在NAT转换表中查找该报文的IP五元组所对应的条目。
S280判断是否找到对应的条目,若是,进入步骤S290;若否,进入步骤S300。
S290更新该条目的时间戳,然后将报文IP五元组按照条目的数据进行替换,进入步骤S300。
S300根据报文的目的IP进行路由查找并转发。
通过上述步骤,在与客户端建立传输控制协议TCP连接过程中,将收到的TCP报文的标志信息记录在NAT转换表内对应的条目中。
在执行上述步骤的同时,还可以执行以下步骤:
S310对NAT转换表进行老化时,按照预设的加速老化周期加速老化仅记录SYN报文的标志信息的条目。
具体的,对所述NAT转换表进行老化包括:
当NAT转换表中的某一个条目是非TCP的条目,或者,是TCP报文且TCP syn和TCPack标识都置1,当没有任何报文命中该条目达到了老化周期时,将该条目删除。
具体的,按照预设的加速老化周期加速老化所述仅记录SYN报文的标志信息的条目包括:
当NAT转换表中的某一个仅有TCP syn标识置1的条目没有命中达到了加速老化周期时,将该条目删除。加速老化周期一般短于老化周期,所以对于攻击报文,可以达到快速老化的效果。
参见图5所示,步骤S310具体包括:
S311设置NAT老化定时器,每隔2秒开始扫描NAT转换表。
S312判断TCP syn和TCP ack标志位,当TCP syn=1且TCP ack=0时,进入步骤S313;当TCP syn=1且TCP ack=1,或TCP syn=0 TCP ack=0,进入步骤S315。
S313当前时间与条目的时间戳做差值,如果达到加速老化周期,则老化。
S314上报日志LOG,提示网络管理员有TCP攻击报文,进入步骤S316。
S315当前时间与条目的时间戳做差值,如果达到正常NAT老化周期,则正常老化。
S316判断是否遍历NAT转换表,若是,返回步骤S311;若否,返回步骤S312。
S320根据目的信息对NAT转换表内仅记录同步SYN报文的标志信息的条目进行统计,以生成访问控制列表ACL条目。具体说明参见第一实施例中的步骤S120,此处不再赘述。
需要说明的是,在本实施例中,步骤S310和S320同时进行。
本发明第三实施例提供一种防御攻击报文的方法,本发明第三实施例与第二实施例基本相同,区别在于:在第三实施例中,NAT转换表老化过程以及生成ACL条目过程先后进行。
在一种实施方式中,开始NAT转换表老化周期,在本次老化周期内,首先对NAT转换表进行老化,并且按照预设的加速老化周期加速老化仅记录SYN报文的标志信息的条目,然后生成ACL条目。
在另一种实施方式中,首先开始NAT转换表老化周期,在本次老化周期结束后,开始另一个轮询周期,以生成ACL条目,两个周期交替进行。
参见图6所示,本发明第四实施例提供一种防御攻击报文的系统,用于实现前述防御攻击报文的方法,防御攻击报文的系统包括NAT转换模块和ACL创建模块。
NAT转换模块包括NAT转换表,用于在与客户端建立传输控制协议TCP连接过程中,将收到的TCP报文的标志信息记录在NAT转换表内对应的条目中。
ACL创建模块用于根据目的信息对NAT转换表内仅记录同步SYN报文的标志信息的条目进行统计,以生成ACL条目。
NAT转换表包括两个标志字段,分别用于存储SYN报文和确认ACK报文携带的标志信息。目的信息为目的端口和/或目的IP地址。
具体的,ACL创建模块用于定期轮询NAT转换表,统计仅记录SYN报文的标志信息的条目,当目的信息相同的条目总数达到预定阈值时,生成ACL条目。
参见图6所示,本发明第五实施例提供一种防御攻击报文的系统,在本发明第四实施例的基础上,防御攻击报文的系统还包括NAT老化模块,用于对NAT转换表进行老化;还用于按照预设的加速老化周期加速老化仅记录SYN报文的标志信息的条目。
NAT老化模块在每个老化周期中对NAT转换表进行老化,ACL创建模块在每个轮询周期中生成ACL条目,两个周期并行或者依序交替进行。
具体的,NAT老化模块轮询NAT转换表的所有条目的状态。当NAT转换表中的某一个条目没有任何报文命中达到了老化时间后,该条目老化,资源得到回收。如果轮询到只有TCP syn标识置1的条目达到加速老化周期时,说明该条目是由无效的TCP连接会话生成的,则直接快速老化。
具体的,防御攻击报文的系统还包括报文解析模块、ACL控制模块和路由转发模块。
报文解析模块接收并解析客户端的报文,ACL控制模块存储ACL条目,并对与ACL条目相匹配的报文进行相应的动作操作。NAT转换模块根据解析得到的报文的五元组(协议号、源IP地址、目的IP地址、源端口号和目的端口号)在NAT转换表查找对应的条目,如果能找到,则将报文的源IP地址和源端口号进行替换,然后发到路由转发模块按照路由转发;如果没有查到,则根据报文的五元组生成NAT转换表的新条目,同时生成反向的NAT转换表的条目,即转换表的匹配项和数据互换,这就意味着使用了一个NAT表项资源。
NAT转换表同时记录了时间戳以及TCP flag中syn和ack的状态,当TCP的SYN报文到达NAT转换模块时,对应条目的TCP syn标识会置1,当TCP的ACK报文到达NAT转换模块时,对应条目TCP ack标识会置1;当某个条目的sync标识和ack标识都置1时,说明该会话是有三次握手过程的。
本发明第六实施例提供一种网络地址转换NAT设备,NAT设备包括前述实施例的防御攻击报文的系统。
本发明不局限于上述实施方式,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围之内。本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。

Claims (10)

1.一种防御攻击报文的方法,其特征在于,其包括:
在与客户端建立传输控制协议TCP连接过程中,将收到的TCP报文的标志信息记录在网络地址转换NAT转换表内对应的条目中;
根据目的信息对NAT转换表内仅记录同步请求SYN报文的标志信息的条目进行统计,以生成访问控制列表ACL条目。
2.如权利要求1所述的防御攻击报文的方法,其特征在于:所述NAT转换表包括两个标志字段,分别用于存储所述SYN报文和确认ACK报文携带的标志信息。
3.如权利要求1所述的防御攻击报文的方法,其特征在于,所述方法还包括:对所述NAT转换表进行老化时,按照预设的加速老化周期加速老化所述仅记录SYN报文的标志信息的条目。
4.如权利要求3所述的防御攻击报文的方法,其特征在于:所述NAT转换表老化过程以及生成ACL条目过程同时或者先后进行。
5.如权利要求1所述的防御攻击报文的方法,其特征在于:定期轮询所述NAT转换表,统计所述仅记录SYN报文的标志信息的条目,当所述目的信息相同的条目总数达到预定阈值时,生成所述ACL条目。
6.如权利要求5所述的防御攻击报文的方法,其特征在于:所述目的信息为目的端口和/或目的IP地址。
7.一种防御攻击报文的系统,其特征在于,其包括:
NAT转换模块,其包括NAT转换表,所述NAT转换模块用于在与客户端建立TCP连接过程中,将收到的TCP报文的标志信息记录在NAT转换表内对应的条目中;
ACL创建模块,其用于根据目的信息对NAT转换表内仅记录SYN报文的标志信息的条目进行统计,以生成ACL条目。
8.如权利要求7所述的防御攻击报文的系统,其特征在于:所述NAT转换表包括两个标志字段,分别用于存储所述SYN报文和确认ACK报文携带的标志信息。
9.如权利要求7所述的防御攻击报文的系统,其特征在于:所述系统还包括NAT老化模块,用于对所述NAT转换表进行老化;还用于按照预设的加速老化周期加速老化所述仅记录SYN报文的标志信息的条目。
10.一种网络地址转换NAT设备,其特征在于:所述NAT设备包括如权利要求7至9任一项所述的防御攻击报文的系统。
CN201910243990.4A 2019-03-28 2019-03-28 一种防御攻击报文的方法、系统及设备 Active CN109962918B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910243990.4A CN109962918B (zh) 2019-03-28 2019-03-28 一种防御攻击报文的方法、系统及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910243990.4A CN109962918B (zh) 2019-03-28 2019-03-28 一种防御攻击报文的方法、系统及设备

Publications (2)

Publication Number Publication Date
CN109962918A true CN109962918A (zh) 2019-07-02
CN109962918B CN109962918B (zh) 2021-11-30

Family

ID=67025203

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910243990.4A Active CN109962918B (zh) 2019-03-28 2019-03-28 一种防御攻击报文的方法、系统及设备

Country Status (1)

Country Link
CN (1) CN109962918B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111756713A (zh) * 2020-06-15 2020-10-09 Oppo(重庆)智能科技有限公司 网络攻击识别方法、装置、计算机设备及介质
CN113285918A (zh) * 2021-04-08 2021-08-20 锐捷网络股份有限公司 针对网络攻击的acl过滤表项建立方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101163041A (zh) * 2007-08-17 2008-04-16 中兴通讯股份有限公司 一种防范syn洪泛攻击的方法及路由器设备
CN103916389A (zh) * 2014-03-19 2014-07-09 汉柏科技有限公司 防御HttpFlood攻击的方法及防火墙
CN105991632A (zh) * 2015-04-20 2016-10-05 杭州迪普科技有限公司 网络安全防护方法及装置
CN107395632A (zh) * 2017-08-25 2017-11-24 北京神州绿盟信息安全科技股份有限公司 SYN Flood防护方法、装置、清洗设备及介质
CN107547507A (zh) * 2017-06-27 2018-01-05 新华三技术有限公司 一种防攻击方法、装置、路由器设备及机器可读存储介质
CN109327426A (zh) * 2018-01-11 2019-02-12 白令海 一种防火墙攻击防御方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101163041A (zh) * 2007-08-17 2008-04-16 中兴通讯股份有限公司 一种防范syn洪泛攻击的方法及路由器设备
CN103916389A (zh) * 2014-03-19 2014-07-09 汉柏科技有限公司 防御HttpFlood攻击的方法及防火墙
CN105991632A (zh) * 2015-04-20 2016-10-05 杭州迪普科技有限公司 网络安全防护方法及装置
CN107547507A (zh) * 2017-06-27 2018-01-05 新华三技术有限公司 一种防攻击方法、装置、路由器设备及机器可读存储介质
CN107395632A (zh) * 2017-08-25 2017-11-24 北京神州绿盟信息安全科技股份有限公司 SYN Flood防护方法、装置、清洗设备及介质
CN109327426A (zh) * 2018-01-11 2019-02-12 白令海 一种防火墙攻击防御方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111756713A (zh) * 2020-06-15 2020-10-09 Oppo(重庆)智能科技有限公司 网络攻击识别方法、装置、计算机设备及介质
CN113285918A (zh) * 2021-04-08 2021-08-20 锐捷网络股份有限公司 针对网络攻击的acl过滤表项建立方法及装置
CN113285918B (zh) * 2021-04-08 2023-10-24 锐捷网络股份有限公司 针对网络攻击的acl过滤表项建立方法及装置

Also Published As

Publication number Publication date
CN109962918B (zh) 2021-11-30

Similar Documents

Publication Publication Date Title
Whalen An introduction to arp spoofing
CN111385235B (zh) 一种基于动态变换的DDoS攻击防御系统和方法
EP2940970A1 (en) Nat implementation system, method, and openflow switch
US11968174B2 (en) Systems and methods for blocking spoofed traffic
RU2006143768A (ru) Ароматическое ограничение сетевого нарушителя
Gondim et al. Mirror saturation in amplified reflection Distributed Denial of Service: A case of study using SNMP, SSDP, NTP and DNS protocols
CN102932461B (zh) 网络加速传输方法及装置
CN103248724A (zh) 一种基于sdn控制器的dhcp广播处理方法
WO2011032321A1 (zh) 一种数据转发方法、数据处理方法、系统以及相关设备
CN102244651A (zh) 防止非法邻居发现协议报文攻击的方法和接入设备
US20220174072A1 (en) Data Processing Method and Device
CN109962918A (zh) 一种防御攻击报文的方法、系统及设备
CN106487807A (zh) 一种域名解析的防护方法和装置
CN113114666B (zh) 一种sdn网络中针对扫描攻击的移动目标防御方法
CN101141396B (zh) 报文处理方法和网络设备
EP1617619B1 (en) Method for securing communication in a local area network switch
US11159562B2 (en) Method and system for defending an HTTP flood attack
KR20190053170A (ko) Dns 요청을 억제하기 위한 시스템 및 방법
US7159033B2 (en) Router search system, router search method and router search program
JP2011109186A (ja) ネットワーク通信方法及びアクセス管理方法とパケット中継装置
KR101015464B1 (ko) 공인 아이피를 갖지 않은 내부망의 여러 장치의 외부망과의통신 연결을 지원하는 단일칩 프로세서 및 그 제어방법
KR101188308B1 (ko) 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법
Shing An improved tarpit for network deception
CN111464517B (zh) 一种ns反向查询防止地址欺骗攻击的方法及系统
WO2016070725A1 (zh) 一种实现dhcp广播交互报文vlan n:1转换的方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant