CN110365658A - 一种反射攻击防护与流量清洗方法、装置、设备及介质 - Google Patents

一种反射攻击防护与流量清洗方法、装置、设备及介质 Download PDF

Info

Publication number
CN110365658A
CN110365658A CN201910556264.8A CN201910556264A CN110365658A CN 110365658 A CN110365658 A CN 110365658A CN 201910556264 A CN201910556264 A CN 201910556264A CN 110365658 A CN110365658 A CN 110365658A
Authority
CN
China
Prior art keywords
message
data packet
internet protocol
protocol address
sequence number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910556264.8A
Other languages
English (en)
Other versions
CN110365658B (zh
Inventor
陈国�
金帅
罗喜军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Tencent Computer Systems Co Ltd
Original Assignee
Shenzhen Tencent Computer Systems Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Tencent Computer Systems Co Ltd filed Critical Shenzhen Tencent Computer Systems Co Ltd
Priority to CN201910556264.8A priority Critical patent/CN110365658B/zh
Publication of CN110365658A publication Critical patent/CN110365658A/zh
Application granted granted Critical
Publication of CN110365658B publication Critical patent/CN110365658B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种反射攻击防护与流量清洗方法、装置、设备及介质,所述方法包括截取发送至目标服务器的第一报文,所述第一报文包括第一数据包和第二数据包,所述第一数据包包括第一序列号,所述第二数据包包括第二序列号;生成不同于第二序列号的第三序列号;根据所述第三序列号生成第三数据包,根据所述第一数据包和所述三数据包生成第二报文,并将所述第二报文发送至目标服务器;在预设时间内截取指定报文,所述指定报文为源网际协议地址与所述第一报文的源网际协议地址相同的复位报文;若未获取到指定报文,则判定所述源网际协议地址发出反射攻击。本发明可以对反射攻击的流量进行拦截,不会误伤正常流量,从而保证业务的稳定安全。

Description

一种反射攻击防护与流量清洗方法、装置、设备及介质
技术领域
本发明涉及安全防御领域,尤其涉及一种反射攻击防护与流量清洗方法、装置、设备及介质。
背景技术
现有的通过产生异常流量对目标服务器进行分布式攻击的方法包括基于僵尸网络的直接攻击和TCP(Transmission Control Protocol,传输控制协议)反射攻击。
基于僵尸网络的直接攻击通过控制分布在各处的僵尸网络向目标服务器发起大量异常流量,服务器忙于处理异常流量,无法处理正常用户请求,甚至系统崩溃,造成拒绝服务。僵尸网络通常是指采用一种或多种传播手段,将大量主机感染病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。而随着防护技术的逐渐完善,基于僵尸网络的直接攻击难以绕过防御,而由此产生了新型攻击方式,即TCP反射攻击。
TCP反射攻击通过伪造成目标服务器向公网的TCP服务器发起请求,以使得TCP服务器产生应答报文,并将所述应答报文向目标服务器发布,从而造成目标服务器收到了大量的应答报文,最终造成带宽拥塞、资源被耗尽,拒绝服务。
由于TCP反射攻击中产生的异常流量中请求以及其对应的报文存在协议栈行为,而且异常流量的产生源即公网的TCP服务器是真实存在的,所以传统的防护算法难以有效防护,导致这种攻击手法越来越盛行。而现有技术中尚没有能够精准判定TCP反射攻击的方案。
发明内容
为了解决现有技术中没有能够精准判定TCP反射攻击的方案的技术问题,本发明实施例提供一种反射攻击防护与流量清洗方法、装置、设备及介质。
一方面,本发明提供了一种反射攻击防护方法,所述方法包括:
截取发送至目标服务器的第一报文,所述第一报文包括第一数据包和第二数据包,所述第一数据包包括第一序列号,所述第二数据包包括第二序列号;
生成不同于第二序列号的第三序列号;
根据所述第三序列号生成第三数据包,根据所述第一数据包和所述三数据包生成第二报文,并将所述第二报文发送至目标服务器;
在预设时间内截取指定报文,所述指定报文为源网际协议地址与所述第一报文的源网际协议地址相同的复位报文;
若未获取到指定报文,则判定所述源网际协议地址发出反射攻击。
另一方面,本发明提供了一种流量清洗方法,所述方法包括:
生成镜像流量,并对镜像流量进行攻击检测;
若检测到所述镜像流量中存在攻击,则获取所述镜像流量中发出反射攻击的源网际协议地址;
根据所述反射攻击的源网际协议地址对所述镜像流量进行清洗;
所述对镜像流量进行攻击检测,包括:
截取发送至目标服务器的第一报文,所述第一报文包括第一数据包和第二数据包,所述第一数据包包括第一序列号,所述第二数据包包括第二序列号;
生成不同于第二序列号的第三序列号;
根据所述第三序列号生成第三数据包,根据所述第一数据包和所述三数据包生成第二报文,并将所述第二报文发送至目标服务器;
在预设时间内截取指定报文,所述指定报文为源网际协议地址与所述第一报文的源网际协议地址相同的复位报文;
若未获取到指定报文,则判定所述源网际协议地址发出反射攻击。
另一方面,本发明提供了一种反射攻击防护装置,所述装置包括:
截取模块,用于截取发送至目标服务器的第一报文,所述第一报文包括第一数据包和第二数据包,所述第一数据包包括第一序列号,所述第二数据包包括第二序列号;
序列号变更模块,用于生成不同于第二序列号的第三序列号;
转发模块,用于根据所述第三序列号生成第三数据包,根据所述第一数据包和所述三数据包生成第二报文,并将所述第二报文发送至目标服务器;
指定报文截取模块,用于在预设时间内截取指定报文,所述指定报文为源网际协议地址与所述第一报文的源网际协议地址相同的复位报文;
判定模块,用于若未获取到指定报文,则判定所述源网际协议地址发出反射攻击。
另一方面,本发明提供了一种流量清洗装置,所述装置包括:
镜像检测模块,用于生成镜像流量,并对镜像流量进行攻击检测;
攻击地址获取模块,用于若检测到所述镜像流量中存在攻击,则获取所述镜像流量中发出反射攻击的源网际协议地址;
清洗模块,用于根据所述反射攻击的源网际协议地址对所述镜像流量进行清洗;
所述镜像检测模块包括:
截取单元,用于截取发送至目标服务器的第一报文,所述第一报文包括第一数据包和第二数据包,所述第一数据包包括第一序列号,所述第二数据包包括第二序列号;
序列号变更单元,用于生成不同于第二序列号的第三序列号;
转发单元,用于根据所述第三序列号生成第三数据包,根据所述第一数据包和所述三数据包生成第二报文,并将所述第二报文发送至目标服务器;
指定报文截取单元,用于在预设时间内截取指定报文,所述指定报文为源网际协议地址与所述第一报文的源网际协议地址相同的复位报文;
判定单元,用于若未获取到指定报文,则判定所述源网际协议地址发出反射攻击。
另一方面,本发明提供了一种设备,其特征在于,所述设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现一种反射攻击防护方法或一种流量清洗方法。
另一方面,本发明提供了一种计算机存储介质,其特征在于,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行一种反射攻击防护方法或一种流量清洗方法。
本发明提供了一种反射攻击防护与流量清洗方法、装置、设备及介质。本发明通过第一报文生成第二报文,使得其中用于进行握手的序列号被修改,从而在非反射攻击情况下产生复位报文,通过监测复位报文即可达到精准判断反射攻击的目的,并可以基于判断结果对反射攻击的流量进行拦截丢弃。显然,所述方法可以精准区分正常流量和异常流量,并进而实现精准流量清洗,不会误伤正常业务的正常流量,从而保证业务的稳定安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案和优点,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
图1是本发明提供的三次握手原理示意图;
图2是本发明提供的实施环境图;
图3是本发明提供的一种反射攻击防护方法流程图;
图4是本发明提供的肉鸡攻击的触发逻辑流程图;
图5是本发明提供的正常需求的触发逻辑流程图;
图6是本发明提供的基于恶意会话进行标记后直接判定反射攻击的流程图;
图7是本发明提供的了一种流量清洗方法流程图;
图8是本发明提供的一种反射攻击防护装置框图;
图9是本发明提供的一种流量清洗装置框图;
图10是本发明提供的流量清洗装置运行示意图;
图11是本发明提供的一种用于实现本发明实施例所提供的方法的设备的硬件结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了使本发明实施例公开的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明实施例进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本发明实施例,并不用于限定本发明实施例。为了便于详述本发明实施例中的技术方案,本发明实施例首先对下述基本概念进行介绍:
肉鸡:肉鸡也称傀儡机,是指可以被黑客远程控制的机器。比如用"灰鸽子"等诱导客户点击或者电脑被黑客攻破或用户电脑有漏洞被种植了木马,黑客可以随意操纵它并利用它做任何事情。肉鸡通常被用作分布式攻击。
IP地址:网际协议地址(Internet Protocol Address,IP地址),是分配给用户上网使用的网际协议的设备的数字标签。
公网:公网可以是普通电路交换网,即现在的网通,电信,铁通等架设的骨干及分支网络。
TCP:传输控制协议(Transmission Control Protocol)是一种面向连接的、可靠的、基于字节流的传输层通信协议。
TCP反射攻击利用了TCP协议的三次握手原理(three times handshake),所谓的“三次握手”即对每次发送的数据量是怎样跟踪进行协商使数据段的发送和接收同步,根据所接收到的数据量而确定的数据确认数及数据发送、接收完毕后何时撤消联系,并建立虚连接。
为便于说明本发明实施例提供的一种反射攻击防御方法,本发明实施例首先简介三次握手原理。请参考图1,其示出了三次握手原理示意图。为了建立基于TCP的通信连接,第一目标端和第二目标端需要经历三次握手:
首先,第一目标端向第二目标端发起第一SYN请求,所述第一SYN请求即为第一SYN包,并进入SYN_SENT状态,等待第二目标端确认。SYN即同步序列编号(SynchronizeSequence Numbers)。假设此时第一SYN包中的序列号为a(seq=a)。
然后,由第二目标端向第一目标端返回第一ACK包和第二SYN包,ACK表示确认字符,是在数据通信中,接收站发给发送站的一种传输类控制字符,表示发来的数据已确认接收无误。第二目标端收到第一SYN包后,确认所述第一SYN包的序列号(seq=a),确认通过后产生第一ACK包。所述第一ACK包的序列号为所述第一SYN包的序列号增一(seq=a+1),同时第二目标端还产生第二SYN包,所述第二SYN包的序列号由所述第二目标端确定(seq=b),由此,第二目标端生成了第一ACK包和第二SYN包,即SYN/ACK响应,将所述SYN/ACK响应发送至第一目标端后,第二目标端进入SYN_RECV状态。
所述SYN/ACK响应的源网际协议地址和目的网际协议地址,与所述第一SYN请求的源网际协议地址和目的网际协议地址是对调的。
第三,第一目标端校验第一ACK包的序列号与第一SYN包的序列号的关系。若校验通过,则产生第二ACK包,所述第二ACK包的序列号为所述第二SYN包的序列号自增一(seq=b+1),并将所述第二ACK包发送至第二目标端。
三次握手通过后,第一目标端和第二目标端均进入ESTABLISHED(TCP连接成功)状态,完成三次握手。
在后续数据通信过程中,第二目标端还将继续对应验证第二ACK包与第二SYN的关系,校验不通过,则TCP连接被断开,复位报文被发出;若校验通过,则可以继续传输数据。
由上述三次握手原理可知,若攻击者使用肉鸡伪造了目标服务器的IP地址向公网的TCP服务器发出第一SYN包,则TCP服务器即会向目标服务器发布SYN/ACK响应,由此导致目标服务器获取到大量的异常流量,而这一异常流量的来源IP就是公网的TCP服务器,这就是TCP反射攻击的原理,由于公网的TCP服务器本身是合法的流量来源,由此导致TCP反射攻击难以被发现。
对于TCP反射攻击,目前现有技术中没有成熟稳定的解决方案。通常的应对方式主要为:对各个来源IP产生的syn/ack响应报文限速,并对包量和成份异常的来源IP做封禁,例如某个来源IP的syn/ack包量超过某个既定的阈值,而且整个来源IP的流量成份中syn/ack包量占比过大明显异常(正常业务流量中syn/ack报文应该很少),则判定来源IP为异常,从而封禁其产生的流量。但是这一应对方式存在下述明显的缺点:
限速虽然能起到一定的防护效果,但是如果来源IP数量足够多,而且每个来源IP的发包量不大的情况下,限速策略不可避免地出现攻击流量透传,影响业务;
限速策略实际是无法判断来源IP是否合法,所以只能针对所有来源IP做包量统计,超过阈值的包做丢弃来实现防护,但是如果正常的业务流量也存在syn/ack报文,例如目标服务器需要主动对外访问,则限速策略就可能会对正常业务造成误杀。
为此,本发明实施例公开一种反射攻击防护方法,所述反射攻击防护方法旨在精准确定产生异常流量的来源IP,从而实现精准的TCP反射防护,避免对正常业务造成误杀,也不会产生流量透传。
为了实施本发明实施例公开的一种反射攻击防护方法,本发明实施例给出其实施环境。
参见图2,该实施环境包括:防护服务器01和目标服务器03,所述防护服务器01与所述目标服务器03通信连接,所述防护服务器01通过精准确定传输至目标服务器03的异常流量的来源IP,根据所述来源IP阻隔异常流量向目标服务器03的传输,从而达到为目标服务器03提供反射攻击防护的目的。
所述目标服务器03可以与各个公网服务器05基于TCP进行通信连接。
所述目标服务器03和防护服务器01均可以包括一个独立运行的服务器,或者分布式服务器,或者由多个服务器组成的服务器集群。
本发明实施例提供一种反射攻击防护方法,所述方法以所述实施环境中的防护服务器为实施主体,如图3所示,包括:
S101.截取发送至目标服务器的第一报文,所述第一报文包括第一数据包和第二数据包,所述第一数据包包括第一序列号,所述第二数据包包括第二序列号。
本发明实施例中所述第一报文可以为公网的TCP服务器发送至目标服务器的SYN/ACK响应,所述第一数据包即为三次握手中对应的第一ACK包,所述第二数据包即为三次握手中对应的第二SYN包。当目标服务器或伪造成目标服务器的肉鸡向公网的TCP服务器发送第一SYN包时,所述公网的TCP服务器即会向目标服务器反馈SYN/ACK响应。
在优选的实施方式中,在步骤S101之后,记录第一报文对应的会话,所述第一报文对应的会话由源网际协议地址、目的网际协议地址、源端口、目的端口和会话协议定义。
S103.生成不同于第二序列号的第三序列号。
S105.根据所述第三序列号生成第三数据包,根据所述第一数据包和所述三数据包生成第二报文,并将所述第二报文发送至目标服务器。
S107.在预设时间内截取指定报文,所述指定报文为源网际协议地址与所述第一报文的源网际协议地址相同的复位报文。
复位报文为RST报文。RST为TCP的6个标志比特之一,表示重置连接、复位连接。无论何时一个报文段发往基准的连接(referenced connection)出现错误,都会导致复位报文被发出。所述基准的连接是一个基于TCP协议的会话对应的连接,所述基于TCP协议的会话可以通过四元组来定义,所述四元组为源网际协议地址、源端口号、目的网际协议地址和目的端口号。
第一报文和第二报文的目标网际协议地址为目标服务器的IP地址,源网际协议地址为向目标服务器反馈SYN/ACK响应的公网的TCP服务器的IP地址。相应的,复位报文的源网际协议地址为公网的TCP服务器的IP地址,目标网际协议地址为目标服务器的IP地址。
本发明实施例中复位报文的截取时间可以根据实际需要进行设定,比如10秒,5秒。
本发明实施例中,所述第一报文可能由目标服务器向公网的TCP服务器发送第一SYN包而产生,也可能由肉鸡通过伪装目标服务器的IP地址向公网的TCP服务器发送第一SYN包而产生,通过截取指定报文的方式可以判断出这一报文产生的具体原因,从而精准判定出由于被肉鸡攻击而产生第一报文的公网的TCP服务器,即发出反射攻击的源网际协议地址。
若所述第一报文是因为肉鸡攻击而产生,则按照上述步骤,会触发下述逻辑,如图4所示,具体为:
首先,肉鸡伪造目标服务器的IP地址向公网的TCP服务器发起第一SYN请求,发出的第一SYN包中的序列号为a,源网际协议地址为目标服务器的IP地址,目标网协议地址为TCP服务器的IP地址。
第二,TCP服务器向目标服务器反馈第一ACK包和第二SYN包,所述第一ACK包的序列号为a+1,所述第二SYN包的序列号为b。
第三,所述防护服务器截获所述第一ACK包和第二SYN包(第一报文),生成了第二报文,并将第二报文发送至目标服务器。所述第二报文中包括第一ACK包和第三SYN包,所述第二SYN包的序列号为c(c与b不相等)。
第四,目标服务器收到第二报文后会按照三次握手原理进行校验,由于目标服务器并没有发出第一SYN请求(第一SYN请求是肉鸡发出的),校验失败,所述目标服务器丢弃所述第二报文并向公网的TCP服务器返回复位报文以拒绝会话。
在其它实施例中,所述目标服务器也可以不返回任何报文。
第五,公网的TCP服务器收到复位报文,不执行任何操作。
相应的,在其它实施例中,公网的TCP服务器没有收到任何报文,也不会执行任何操作。
显然,若第一SYN请求由肉鸡发出,则公网的TCP服务器不执行任何操作,相应的,也无法截获源网际协议地址为公网的TCP服务器的IP地址,目标网际协议地址为目标服务器的IP地址的复位报文,因此,若在预设时间内截取指定报文失败,则说明触发公网的TCP服务器产生第一报文的第一SYN请求是由肉鸡产生的。
若所述第一报文是由于目标服务器的正常需求而产生,则按照上述步骤,会触发下述逻辑,如图5所示,具体为:
首先,目标服务器向公网的TCP服务器发起第一SYN请求,发出的第一SYN包中的序列号为a,源网际协议地址为目标服务器的IP地址,目标网协议地址为TCP服务器的IP地址。
第二,TCP服务器向目标服务器反馈第一ACK包和第二SYN包,所述第一ACK包的序列号为a+1,所述第二SYN包的序列号为b。
第三,所述防护服务器截获所述第一ACK包和第二SYN包(第一报文),生成了第二报文,并将第二报文发送至目标服务器。所述第二报文中包括第一ACK包和第三SYN包,所述第二SYN包的序列号为c(c与b不相等)。
第四,目标服务器收到第二报文后会按照三次握手原理进行校验,由于目标服务器确实发出第一SYN请求,校验成功,所述目标服务器产生第二ACK包,并将所述第二ACK包发送至TCP服务器,所述第二ACK包的序列号为c+1。
第四,TCP服务器获取第二ACK包后依然按照三次握手原理进行校验,所述第二ACK包的序列号c+1与第二SYN包的序号b自增一不同,则校验失败,产生复位报文。
第五,所述复位报文被防护服务器捕捉,则说明第一报文是由于目标服务器产生的第一SYN请求而发出,并不是反射攻击产生的。
S109.若未获取到指定报文,则判定所述源网际协议地址发出反射攻击。
对于反射攻击,则丢弃所述会话的全部报文。
在一个优选的实施方式中,还可以标记所述会话为恶意会话,丢弃所述恶意会话的后续流量。
S1011.若获取到指定报文,则判定所述源网际协议地址为合法地址。
本发明实施例可以对于接收到的来自各个公网的TCP服务器的第一报文均执行步骤S101-S109的操作,标记恶意会话,并丢弃其报文,从而可以实现精准的反射攻击防护。
在一个优选的实施例中,若所述源网际协议地址为合法地址,则允许将所述源网际协议地址为合法地址加入到信任列表中,对于加入到信任列表的会话,其对应的流量不再进行拦截。即若步骤S101截获的报文对应的会话属于信任列表,则对其不再进行拦截。信任列表的设定使得对于添加入信任列表的会话可以直接处理,不需要再执行步骤S103-S109中的逻辑,从而减少防护服务器的工作量,并直接减少透传到目标服务器的包量,保障服务器稳定。
在一个优选的实施例中,在对恶意会话进行标记的基础上,如图6所示,还包括:
S201.根据各个恶意会话构建目标元组,所述目标元组由源网际协议地址、目的网际协议地址和会话协议定义。
S203.若与目标元组具备相同的源网际协议地址、目的网际协议地址和会话协议的恶意会话的数量超过预设数量,则将所述目标元组判定为恶意元组。
S205.若存在与所述第一报文的源网际协议地址、目的网际协议地址和会话协议相同的恶意元组,则判定所述第一报文的源网际协议地址发出反射攻击。
若步骤S101截获的报文尤其对应的恶意元组,则会触发对反射攻击的防护,防护方法本发明实施例前文已经详述,在此不再赘言。
在所述优选的实施例中,可以根据历史的判定结果得到恶意元组,从而根据恶意元组直接判定反射攻击,而不需要再执行步骤S103-S109中的逻辑,从而减少防护服务器的工作量,并直接减少透传到目标服务器的包量,保障服务器稳定。
进一步地,还包括:
若不存在与所述第一报文的源网际协议地址、目的网际协议地址和会话协议相同的恶意元组,则继续执行步骤S103-S109中的逻辑。
本发明实施例公开了一种反射攻击防护方法,通过根据第一报文生成第二报文,使得其中用于进行握手的序列号被修改,从而在非反射攻击情况下产生复位报文,通过监测复位报文即可达到精准判断反射攻击的目的,并可以基于判断结果对反射攻击的流量进行拦截丢弃。显然,所述方法可以精准区分正常流量和异常流量,不会误伤正常业务的正常流量,从而保证业务的稳定安全。
进一步地,基于所述反射攻击方法,本发明实施例还公开了一种流量清洗方法,如图7所示,所述方法包括:
S301.生成镜像流量,并对镜像流量进行攻击检测。
具体地,所述对镜像流量进行攻击检测可以使用本发明实施例公开的反射攻击防护方法来进行,详情请参见上述实施例,在此不再赘述。
S303.若检测到所述镜像流量中存在攻击,则获取所述镜像流量中发出反射攻击的源网际协议地址。
具体地,所述获取所述镜像流量中发出反射攻击的源网际协议地址的方法可以基于前文所述的反射攻击方法来实现,在此不做赘述。
S305.根据所述反射攻击的源网际协议地址对所述镜像流量进行清洗。
本发明实施例公开的流量清洗方法可以对镜像流量进行精准的清洗。
本发明实施例公开一种反射攻击防护装置,如图8所示,所述装置包括:
截取模块401,用于截取发送至目标服务器的第一报文,所述第一报文包括第一数据包和第二数据包,所述第一数据包包括第一序列号,所述第二数据包包括第二序列号;
序列号变更模块403,用于生成不同于第二序列号的第三序列号;
转发模块405,用于根据所述第三序列号生成第三数据包,根据所述第一数据包和所述三数据包生成第二报文,并将所述第二报文发送至目标服务器;
指定报文截取模块407,用于在预设时间内截取指定报文,所述指定报文为源网际协议地址与所述第一报文的源网际协议地址相同的复位报文;
判定模块409,用于若未获取到指定报文,则判定所述源网际协议地址发出反射攻击
具体地,本发明实施例所述一种反射攻击防护装置与方法实施例均基于相同发明构思。
本发明实施例公开一种流量清洗装置,如图9所示,所述装置包括:
镜像检测模块501,用于生成镜像流量,并对镜像流量进行攻击检测;
攻击地址获取模块503,用于若检测到所述镜像流量中存在攻击,则获取所述镜像流量中发出反射攻击的源网际协议地址;
清洗模块505,用于根据所述反射攻击的源网际协议地址对所述镜像流量进行清洗。
所述镜像检测模块501包括:
截取单元,用于截取发送至目标服务器的第一报文,所述第一报文包括第一数据包和第二数据包,所述第一数据包包括第一序列号,所述第二数据包包括第二序列号;
序列号变更单元,用于生成不同于第二序列号的第三序列号;
转发单元,用于根据所述第三序列号生成第三数据包,根据所述第一数据包和所述三数据包生成第二报文,并将所述第二报文发送至目标服务器;
指定报文截取单元,用于在预设时间内截取指定报文,所述指定报文为源网际协议地址与所述第一报文的源网际协议地址相同的复位报文;
判定单元,用于若未获取到指定报文,则判定所述源网际协议地址发出反射攻击。
进一步地,请参考图10,镜像流量可以经由核心路由器通过分光,把镜像流量转发到攻击检测系统,做攻击检测,当攻击检测系统检测到攻击之后,会产生告警到控制系统,防护服务器收到告警后,会执行攻击地址获取模块功能,并通过与核心路由器建立的边界网关协议,向核心路由器发布反射攻击的源网际协议地址的牵引路由,将攻击流量流量牵引到清洗模块。
具体地,本发明实施例所述一种流量清洗装置与方法实施例均基于相同发明构思。
本发明实施例还提供了一种计算机存储介质,所述计算机存储介质可以存储有多条指令,所述指令适于由处理器加载并执行本发明实施例所述的一种反射攻击防护方法或一种流量清洗方法的各种步骤,再此不再赘述。
进一步地,图11示出了一种用于实现本发明实施例所提供的方法的设备的硬件结构示意图,所述设备可以参与构成或包含本发明实施例所提供的装置。如图11所示,设备10可以包括一个或多个(图中采用102a、102b,……,102n来示出)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图11所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,设备10还可包括比图11中所示更多或者更少的组件,或者具有与图11所示不同的配置。
应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到设备10(或移动设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器104可用于存储应用软件的软件程序以及模块,如本发明实施例中所述的方法对应的程序指令/数据存储装置,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的一种反射攻击防护方法或一种流量清洗方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至设备10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括设备10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(NetworkInterfaceController,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(RadioFrequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与设备10(或移动设备)的用户界面进行交互。
需要说明的是:上述本发明实施例先后顺序仅仅为了描述,不代表实施例的优劣。且上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置和服务器实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种反射攻击防护方法,其特征在于,所述方法包括:
截取发送至目标服务器的第一报文,所述第一报文包括第一数据包和第二数据包,所述第一数据包包括第一序列号,所述第二数据包包括第二序列号;
生成不同于第二序列号的第三序列号;
根据所述第三序列号生成第三数据包,根据所述第一数据包和所述三数据包生成第二报文,并将所述第二报文发送至目标服务器;
在预设时间内截取指定报文,所述指定报文为源网际协议地址与所述第一报文的源网际协议地址相同的复位报文;
若未获取到指定报文,则判定所述源网际协议地址发出反射攻击。
2.根据权利要求1所述的方法,其特征在于,所述截取发送至目标服务器的第一报文,之后还包括:
记录第一报文对应的会话,所述第一报文对应的会话由源网际协议地址、目的网际协议地址、源端口、目的端口和会话协议定义。
3.根据权利要求2所述的方法,其特征在于:
若所述源网际协议地址发出反射攻击,则标记所述会话为恶意会话,丢弃所述恶意会话的后续流量。
4.根据权利要求3所述的方法,其特征在于,还包括:
根据各个恶意会话构建目标元组,所述目标元组由源网际协议地址、目的网际协议地址和会话协议定义;
若与目标元组具备相同的源网际协议地址、目的网际协议地址和会话协议的恶意会话的数量超过预设数量,则将所述目标元组判定为恶意元组;
在所述截取发送至目标服务器的第一报文,之后还包括:
若存在与所述第一报文的源网际协议地址、目的网际协议地址和会话协议相同的恶意元组,则直接判定所述第一报文的源网际协议地址发出反射攻击。
5.根据权利要求4所述的方法,其特征在于,在预设时间内截取指定报文,之后还包括:
若获取到指定报文,则判定所述源网际协议地址为合法地址,将所述合法地址加入到信任列表中,对于加入到信任列表的会话,对其后续流量不再进行拦截。
6.一种流量清洗方法,其特征在于,所述包括:
生成镜像流量,并对镜像流量进行攻击检测;
若检测到所述镜像流量中存在攻击,则获取所述镜像流量中发出反射攻击的源网际协议地址;
根据所述反射攻击的源网际协议地址对所述镜像流量进行清洗;
所述对镜像流量进行攻击检测,包括:
截取发送至目标服务器的第一报文,所述第一报文包括第一数据包和第二数据包,所述第一数据包包括第一序列号,所述第二数据包包括第二序列号;
生成不同于第二序列号的第三序列号;
根据所述第三序列号生成第三数据包,根据所述第一数据包和所述三数据包生成第二报文,并将所述第二报文发送至目标服务器;
在预设时间内截取指定报文,所述指定报文为源网际协议地址与所述第一报文的源网际协议地址相同的复位报文;
若未获取到指定报文,则判定所述源网际协议地址发出反射攻击。
7.一种反射攻击防护装置,其特征在于,所述装置包括:
截取模块,用于截取发送至目标服务器的第一报文,所述第一报文包括第一数据包和第二数据包,所述第一数据包包括第一序列号,所述第二数据包包括第二序列号;
序列号变更模块,用于生成不同于第二序列号的第三序列号;
转发模块,用于根据所述第三序列号生成第三数据包,根据所述第一数据包和所述三数据包生成第二报文,并将所述第二报文发送至目标服务器;
指定报文截取模块,用于在预设时间内截取指定报文,所述指定报文为源网际协议地址与所述第一报文的源网际协议地址相同的复位报文;
判定模块,用于若未获取到指定报文,则判定所述源网际协议地址发出反射攻击。
8.一种流量清洗装置,其特征在于,所述装置包括:
镜像检测模块,用于生成镜像流量,并对镜像流量进行攻击检测;
攻击地址获取模块,用于若检测到所述镜像流量中存在攻击,则获取所述镜像流量中发出反射攻击的源网际协议地址;
清洗模块,用于根据所述反射攻击的源网际协议地址对所述镜像流量进行清洗;
所述镜像检测模块包括:
截取单元,用于截取发送至目标服务器的第一报文,所述第一报文包括第一数据包和第二数据包,所述第一数据包包括第一序列号,所述第二数据包包括第二序列号;
序列号变更单元,用于生成不同于第二序列号的第三序列号;
转发单元,用于根据所述第三序列号生成第三数据包,根据所述第一数据包和所述三数据包生成第二报文,并将所述第二报文发送至目标服务器;
指定报文截取单元,用于在预设时间内截取指定报文,所述指定报文为源网际协议地址与所述第一报文的源网际协议地址相同的复位报文;
判定单元,用于若未获取到指定报文,则判定所述源网际协议地址发出反射攻击。
9.一种设备,其特征在于,所述设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1-5任一项所述的一种反射攻击防护方法或权利要求6所述的一种流量清洗方法。
10.一种计算机存储介质,其特征在于,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行如权利要求1-5任一项所述的一种反射攻击防护方法或权利要求6所述的一种流量清洗方法。
CN201910556264.8A 2019-06-25 2019-06-25 一种反射攻击防护与流量清洗方法、装置、设备及介质 Active CN110365658B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910556264.8A CN110365658B (zh) 2019-06-25 2019-06-25 一种反射攻击防护与流量清洗方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910556264.8A CN110365658B (zh) 2019-06-25 2019-06-25 一种反射攻击防护与流量清洗方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN110365658A true CN110365658A (zh) 2019-10-22
CN110365658B CN110365658B (zh) 2022-04-19

Family

ID=68217128

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910556264.8A Active CN110365658B (zh) 2019-06-25 2019-06-25 一种反射攻击防护与流量清洗方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN110365658B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110912907A (zh) * 2019-11-28 2020-03-24 杭州迪普科技股份有限公司 Ssl握手阶段的攻击防护方法和装置
CN112565309A (zh) * 2021-02-26 2021-03-26 腾讯科技(深圳)有限公司 报文处理方法、装置、设备以及存储介质
CN112804200A (zh) * 2020-12-30 2021-05-14 北京天融信网络安全技术有限公司 反射攻击防御方法、装置、电子设备及存储介质
CN114070572A (zh) * 2020-07-30 2022-02-18 北京威努特技术有限公司 一种非法tcp数据流的检测方法、装置及计算机设备
CN114697088A (zh) * 2022-03-17 2022-07-01 神州绿盟成都科技有限公司 一种确定网络攻击的方法、装置及电子设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060168649A1 (en) * 2004-10-26 2006-07-27 Balaji Venkat Method and system for addressing attacks on a computer connected to a network
US20170272454A1 (en) * 2014-08-18 2017-09-21 Secugraph Inc. System and method for detecting malicious code using visualization
CN107948175A (zh) * 2017-11-24 2018-04-20 成都知道创宇信息技术有限公司 一种识别DDoS反射放大攻击的方法
CN109922072A (zh) * 2019-03-18 2019-06-21 腾讯科技(深圳)有限公司 一种分布式拒绝服务攻击检测方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060168649A1 (en) * 2004-10-26 2006-07-27 Balaji Venkat Method and system for addressing attacks on a computer connected to a network
US20170272454A1 (en) * 2014-08-18 2017-09-21 Secugraph Inc. System and method for detecting malicious code using visualization
CN107948175A (zh) * 2017-11-24 2018-04-20 成都知道创宇信息技术有限公司 一种识别DDoS反射放大攻击的方法
CN109922072A (zh) * 2019-03-18 2019-06-21 腾讯科技(深圳)有限公司 一种分布式拒绝服务攻击检测方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
孙晓峰等: "DRDoS 攻击原理及其防御技术的分析与实现", 《科技创新导报》 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110912907A (zh) * 2019-11-28 2020-03-24 杭州迪普科技股份有限公司 Ssl握手阶段的攻击防护方法和装置
CN110912907B (zh) * 2019-11-28 2022-08-26 杭州迪普科技股份有限公司 Ssl握手阶段的攻击防护方法和装置
CN114070572A (zh) * 2020-07-30 2022-02-18 北京威努特技术有限公司 一种非法tcp数据流的检测方法、装置及计算机设备
CN112804200A (zh) * 2020-12-30 2021-05-14 北京天融信网络安全技术有限公司 反射攻击防御方法、装置、电子设备及存储介质
CN112804200B (zh) * 2020-12-30 2022-06-24 北京天融信网络安全技术有限公司 反射攻击防御方法、装置、电子设备及存储介质
CN112565309A (zh) * 2021-02-26 2021-03-26 腾讯科技(深圳)有限公司 报文处理方法、装置、设备以及存储介质
CN114697088A (zh) * 2022-03-17 2022-07-01 神州绿盟成都科技有限公司 一种确定网络攻击的方法、装置及电子设备
CN114697088B (zh) * 2022-03-17 2024-03-15 神州绿盟成都科技有限公司 一种确定网络攻击的方法、装置及电子设备

Also Published As

Publication number Publication date
CN110365658B (zh) 2022-04-19

Similar Documents

Publication Publication Date Title
CN110365658A (zh) 一种反射攻击防护与流量清洗方法、装置、设备及介质
CN108551446B (zh) 防攻击的syn报文处理方法、装置、防火墙及存储介质
CN104137513B (zh) 攻击防范方法和设备
Yang et al. A DoS-limiting network architecture
CN108063765B (zh) 适于解决网络安全的sdn系统
US7571479B2 (en) Denial of service defense by proxy
CN109639712B (zh) 一种防护ddos攻击的方法及系统
CN104468624B (zh) Sdn控制器、路由/交换设备及网络防御方法
CN103051605A (zh) 一种数据包处理方法、装置和系统
CA2548476C (en) Preventing network data injection attacks using duplicate-ack and reassembly gap approaches
CN108737447B (zh) 用户数据报协议流量过滤方法、装置、服务器及存储介质
Shi et al. NDNLP: A link protocol for NDN
CN107395632B (zh) SYN Flood防护方法、装置、清洗设备及介质
CN105812318B (zh) 用于在网络中防止攻击的方法、控制器和系统
CN110213214B (zh) 一种攻击防护方法、系统、装置和存储介质
CN109005175A (zh) 网络防护方法、装置、服务器及存储介质
KR20120136506A (ko) 네임 기반의 네트워크 시스템에서 펜딩 테이블의 오버플로우를 방지하는 노드 장치 및 방법
CN109587167A (zh) 一种报文处理的方法和装置
CN110198293A (zh) 服务器的攻击防护方法、装置、存储介质和电子装置
CN110266678A (zh) 安全攻击检测方法、装置、计算机设备及存储介质
CN110519265A (zh) 一种防御攻击的方法及装置
US7114181B2 (en) Preventing network data injection attacks
CN110535888A (zh) 端口扫描攻击检测方法及相关装置
CN102510385A (zh) 防ip数据报分片攻击的方法
CN107800626A (zh) 数据报文的处理方法、装置及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant