CN110519265A - 一种防御攻击的方法及装置 - Google Patents
一种防御攻击的方法及装置 Download PDFInfo
- Publication number
- CN110519265A CN110519265A CN201910797284.4A CN201910797284A CN110519265A CN 110519265 A CN110519265 A CN 110519265A CN 201910797284 A CN201910797284 A CN 201910797284A CN 110519265 A CN110519265 A CN 110519265A
- Authority
- CN
- China
- Prior art keywords
- message
- attack
- address
- source
- slow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种防御攻击的方法及装置,涉及通信技术领域,可以检测并防御HTTP慢速攻击,保证服务器的正常运行。本申请的方案包括:接收第一报文,若确定与服务器已建立的连接数大于连接阈值,则判断第一报文是否为慢攻击报文,若第一报文为慢攻击报文,且已接收的与第一报文具有相同源IP地址的慢攻击报文数大于攻击阈值,则丢弃与第一报文具有相同源IP地址的报文。
Description
技术领域
本申请涉及通信技术领域,特别是涉及一种防御攻击的方法及装置。
背景技术
超文本传输协议(Hypertext transfer protocol,HTTP)慢速攻击是指在攻击者与服务器建立连接后,尽量长时间与服务器保持连接,导致服务器的资源耗尽,使得服务器无法为其他访问者提供服务。
目前通常出现的攻击方式有两种。第一种为攻击者通过获取(GET)请求方法或者通过提交(POST)请求方法向服务器发送HTTP报文,从而与服务器建立连接,但是在向服务器发送的HTTP报文的头字段中均不包括结束符,只包括用于保活的字节,使得服务器一直与该攻击者存在连接,占用服务器的资源。第二种为攻击者通过POST的请求方法向服务器发送HTTP报文,以请求向服务器提交数据,然而攻击者将报文长度设置为一个较大的数值,在后续向服务器发送的HTTP报文中,只携带很少的数据,导致服务器一直等待攻击者发送剩余的数据,导致攻击者一直占用服务器的资源。
现有技术中无法检测出HTTP慢速攻击,会影响服务器的正常运行。
发明内容
有鉴于此,本申请实施例提供一种防御攻击的方法及装置,以检测并防御HTTP慢速攻击,保证服务器的正常运行。具体技术方案如下:
第一方面,本申请提供一种防御攻击的方法,所述方法应用于终端与服务器之间的防火墙,所述方法包括:
接收第一报文;
若确定与所述服务器已建立的连接数大于连接阈值,则判断所述第一报文是否为慢攻击报文;
若所述第一报文为慢攻击报文,且已接收的与所述第一报文具有相同源IP地址的慢攻击报文数大于攻击阈值,则丢弃与所述第一报文具有相同源IP地址的报文。
在一种可能的实现方式中,所述判断所述第一报文是否为慢攻击报文,包括:
判断所述第一报文是否包含结束符;
若所述第一报文不包含结束符,则所述第一报文为慢攻击报文。
在一种可能的实现方式中,在判断所述第一报文是否包含结束符之后,所述方法还包括:
若所述第一报文包含结束符,则判断所述第一报文的标识载荷长度是否大于长度阈值,且所述第一报文的实际载荷长度是否小于所述长度阈值;
若所述第一报文的标识载荷长度大于所述长度阈值,且所述第一报文的实际载荷长度小于所述长度阈值,则所述第一报文为慢攻击报文;
若所述第一报文的标识载荷长度小于所述长度阈值,或所述第一报文的实际载荷长度大于所述长度阈值,则所述第一报文不是慢攻击报文。
在一种可能的实现方式中,在判断所述第一报文是否为慢攻击报文之后,所述方法还包括:
若所述第一报文为慢攻击报文,则获取所述第一报文的源IP地址;
判断攻击列表是否包括所述源IP地址;
若所述攻击列表包括所述源IP地址,则将所述源IP地址对应的攻击报文数加1;
若所述攻击列表不包括所述源IP地址,则将所述源IP地址加入所述攻击列表,并记录所述源IP地址对应的攻击报文数。
在一种可能的实现方式中,所述若所述第一报文为慢攻击报文,且已接收的与所述第一报文具有相同源IP地址的慢攻击报文数大于攻击阈值,则丢弃与所述第一报文具有相同IP地址的报文,包括:
若所述第一报文为慢攻击报文,且已接收的与第一报文具有相同源IP地址的慢攻击报文数大于攻击阈值,则将会话表项列表中包含所述源IP地址的会话表项删除,并将所述源IP地址加入拦截列表,所述会话表项列表包括用于所述防火墙对报文进行转发的会话表项;
当接收到的报文的源IP地址与所述拦截列表中的IP地址相同时,丢弃报文。
在一种可能的实现方式中,所述方法还包括:
当所述攻击列表中的所述源IP地址对应的攻击报文数小于所述攻击阈值时,将所述源IP地址从所述攻击列表中删除。
第二方面,本申请提供一种防御攻击的装置,所述装置应用于终端与服务器之间的防火墙,所述装置包括:
接收模块,用于接收第一报文;
判断模块,用于若确定与所述服务器已建立的连接数大于连接阈值,则判断所述第一报文是否为慢攻击报文;
丢弃模块,用于若所述判断模块确定所述第一报文为慢攻击报文,且所述接入模块已接收的与所述第一报文具有相同源IP地址的慢攻击报文数大于攻击阈值,则丢弃与所述第一报文具有相同源IP地址的报文。
在一种可能的实现方式中,所述判断模块,具体用于:
判断所述第一报文是否包含结束符;
若所述第一报文不包含结束符,则所述第一报文为慢攻击报文。
在一种可能的实现方式中,所述判断模块,具体还用于:
若所述第一报文包含结束符,则判断所述第一报文的标识载荷长度是否大于长度阈值,且所述第一报文的实际载荷长度是否小于所述长度阈值;
若所述第一报文的标识载荷长度大于所述长度阈值,且所述第一报文的实际载荷长度小于所述长度阈值,则所述第一报文为慢攻击报文;
若所述第一报文的标识载荷长度小于所述长度阈值,或所述第一报文的实际载荷长度大于所述长度阈值,则所述第一报文不是慢攻击报文。
在一种可能的实现方式中,所述装置还包括:获取模块和记录模块;
所述获取模块,用于若所述第一报文为慢攻击报文,则获取所述第一报文的源IP地址;
所述判断模块,还用于判断攻击列表是否包括所述源IP地址;
所述记录模块,用于若所述攻击列表包括所述源IP地址,则将所述源IP地址对应的攻击报文数加1;若所述攻击列表不包括所述源IP地址,则将所述源IP地址加入所述攻击列表,并记录所述源IP地址对应的攻击报文数。
在一种可能的实现方式中,所述丢弃模块,具体用于:
若所述第一报文为慢攻击报文,且已接收的与第一报文具有相同源IP地址的慢攻击报文数大于攻击阈值,则将会话表项列表中包含所述源IP地址的会话表项删除,并将所述源IP地址加入拦截列表,所述会话表项列表包括用于所述防火墙对报文进行转发的会话表项;
当接收到的报文的源IP地址与所述拦截列表中的IP地址相同时,丢弃报文。
在一种可能的实现方式中,所述装置还包括:删除模块;
所述删除模块,用于当所述攻击列表中的所述源IP地址对应的攻击报文数小于所述攻击阈值时,将所述源IP地址从所述攻击列表中删除。
第三方面,本申请实施例提供一种防火墙,该防火墙包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现第一方面中所述的防御攻击的方法。
第四方面,本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现第一方面中所述的防御攻击的方法。
第五方面,本申请实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面中所述的防御攻击的方法。
采用本申请实施例提供的防御攻击的方法及装置,防火墙接收到第一报文后,若确定与服务器已建立的连接数大于连接阈值,则防火墙可判断第一报文是否为慢攻击报文,若第一报文为慢攻击报文,且已接收的与第一报文具有相同源IP地址的慢攻击报文大于攻击阈值,则丢弃与第一报文具有相同源IP地址的报文。相比于现有技术,本申请实施例可以检测出HTTP慢速攻击,并对慢攻击报文进行防御,以保证服务器的正常运行。
当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种防御攻击的方法的流程图;
图2为本申请实施例提供的另一种防御攻击的方法的流程图;
图3为本申请实施例提供的一种防御攻击的装置的结构示意图;
图4为本申请实施例提供的一种防火墙的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了检测并防御HTTP慢速攻击,本申请实施例提供一种防御攻击的方法,该方法应用于终端与服务器之间部署的防火墙,如图1所示,该方法包括:
S101、接收第一报文。
其中,防火墙接收到第一报文后,可对第一报文进行解析,获取第一报文的报头信息,以及载荷长度。
S102、若确定与服务器已建立的连接数大于连接阈值,则判断第一报文是否为慢攻击报文。
其中,防火墙接收到第一报文后,可将第一报文的报头信息与自身存储的会话表项列表中的会话表项进行匹配,若不存在与第一报文的报头信息匹配的会话表项,则根据第一报文的报头信息创建会话表项,并将会话表项加入会话表项列表。会话表项列表包括用于防火墙对报文进行转发的会话表项。在一个示例中,会话表项包括源IP地址、目的IP地址、源端口、目的端口,报头信息包括源IP地址、目的IP地址、源端口、目的端口,当第一报文的源IP地址、目的IP地址、源端口、目的端口分别与某一会话表项的源IP地址、目的IP地址、源端口、目的端口匹配时,则认为存在与第一报文的报头信息匹配的会话表项。
然后,防火墙可根据会话表项的数量确定与服务器已建立的连接数,若与服务器已建立的连接数小于连接阈值,说明服务器剩余的连接资源较多,可放行第一报文。一个实施例中,若防火墙的一会话表项包含服务器IP地址、或包括服务器IP地址和服务器端口,则该会话表项对应一个与服务器已建立的连接,因此,可将包含服务器IP地址、或包括服务器IP地址和服务器端口的会话表项的数量作为与服务器已建立的连接数。
例如,若防火墙存储了20个包括该服务器IP地址、或包括服务器IP地址和服务器端口的会话表项,则确定与该服务器已建立的连接数为20。
若已建立的连接数大于连接阈值,说明服务器的大部分连接资源处于被使用的状态,为避免服务器的连接资源不足,影响对正常业务的处理,防火墙可判断第一报文是否为慢攻击报文。
S103、若第一报文为慢攻击报文,且已接收的与第一报文具有相同源IP地址的慢攻击报文数大于攻击阈值,则丢弃与第一报文具有相同源IP地址的报文。
具体地,若第一报文为慢攻击报文,且已接收的与第一报文具有相同源IP地址的慢攻击报文数大于攻击阈值,则将会话表项列表中包含所述源IP地址的会话表项删除,并将包含所述源IP地址加入拦截列表,后续当接收到的报文的源IP地址与所述拦截列表中的IP地址相同时,丢弃报文。
其中,由于包含上述源IP地址的报文为慢攻击报文,所以可以将包含该源IP地址的会话表项从会话表项列表中删除,以避免防火墙根据包含该源IP地址的会话表项转发慢攻击报文。
在一个实施例中,若已接收的与第一报文具有相同源IP地址的慢攻击报文数大于攻击阈值,说明该源IP地址对应的终端已发送了大量的慢攻击报文,为避免该终端发送更多占用服务器资源的慢攻击报文,可将该源IP地址加入拦截列表。防火墙接收到报文后,可先将报文的源IP地址与拦截列表中的IP地址进行比较,若拦截列表中的IP地址与报文中的源IP地址相同,则拦截该报文。
例如,若拦截列表中包括IP地址1、IP地址2和IP地址3,则后续若接收到的报文的源IP地址为IP地址1、IP地址2或IP地址3,则拦截该报文。
由以上方案可见,采用本申请实施例提供的防御攻击的方法,防火墙接收到第一报文后,若确定与服务器已建立的连接数大于连接阈值,则防火墙可判断第一报文是否为慢攻击报文,若第一报文为慢攻击报文,且已接收的与第一报文具有相同源IP地址的慢攻击报文大于攻击阈值,则丢弃与第一报文具有相同源IP地址的报文。相比于现有技术,本申请实施例可以检测出HTTP慢速攻击,并对慢攻击报文进行防御,以保证服务器的正常运行。
在本申请实施例中,如图2所示,判断第一报文是否为慢攻击报文的方法具体包括以下步骤:
S201、判断第一报文是否包含结束符。
S202、若第一报文不包含结束符,则第一报文为慢攻击报文。
具体地,若第一报文不包含结束符,则第一报文具体为报文头部异常的慢攻击报文,可称为Slow Header慢攻击报文。
S203、若第一报文包含结束符,则判断第一报文的标识载荷长度是否大于长度阈值,且第一报文的实际载荷长度是否小于长度阈值。
若上述两个判断结果均为是,则执行S204;若其中任意一个判断结果为否,则执行S205。
S204、若第一报文的标识载荷长度大于长度阈值,且第一报文的实际载荷长度小于长度阈值,则第一报文为慢攻击报文。
具体地,若第一报文的标识载荷长度大于长度阈值,且实际载荷长度小于长度阈值,说明第一报文的标识载荷长度大于实际载荷长度,即第一报文携带的数据量(载荷长度)小于设置的数据量(标识载荷长度),则第一报文为载荷异常的慢攻击报文,可称为SlowPost慢攻击报文。
例如,若第一报文的标识载荷长度为512字节,长度阈值为128字节,但第一报文的实际载荷长度只有10字节,这种情况下,会导致服务器与发送第一报文的终端一直保持连接,等待接收剩余的502字节载荷,这种情况下可确定第一报文为Slow Post慢攻击报文。
S205、若第一报文的标识载荷长度小于长度阈值,或第一报文的实际载荷长度大于长度阈值,则第一报文不是慢攻击报文。
在上述流程中,若确定第一报文为慢攻击报文,可获取第一报文的源IP地址,并判断攻击列表中是否包括源IP地址。
其中,攻击列表中存储了各慢攻击报文中携带的源IP地址。
若攻击列表包括源IP地址,则将源IP地址对应的攻击报文数加1。
若攻击列表不包括源IP地址,则将源IP地址加入攻击列表,并记录源IP地址对应的攻击报文数。
在一个实施例中,防火墙可实时对攻击列表中的源IP地址进行维护,当攻击列表中的源IP地址对应的攻击报文数小于攻击阈值时,则确定当前包括该源IP地址的报文不是攻击报文,将源IP地址从攻击列表中删除,以使得防火墙对包括该源IP地址的报文进行转发。
反之,若攻击列表中的源IP地址对应的攻击报文数大于攻击阈值,说明包含该源IP地址的报文仍为攻击报文,则将源IP地址保留在攻击列表中。
基于相同的技术构思,本申请实施例还提供一种防御攻击的装置,该装置应用于终端与服务器之间的防火墙,如图3所示,该装置包括:接收模块301、判断模块302和丢弃模块303。
接收模块301,用于接收第一报文;
判断模块302,用于若确定与服务器已建立的连接数大于连接阈值,则判断第一报文是否为慢攻击报文;
丢弃模块303,用于若判断模块302确定第一报文为慢攻击报文,且接入模块301已接收的与第一报文具有相同源IP地址的慢攻击报文数大于攻击阈值,则丢弃与第一报文具有相同源IP地址的报文。
可选地,判断模块302,具体用于:
判断第一报文是否包含结束符;
若第一报文不包含结束符,则第一报文为慢攻击报文。
可选地,判断模块302,具体还用于:
若第一报文包含结束符,则判断第一报文的标识载荷长度是否大于长度阈值,且第一报文的实际载荷长度是否小于长度阈值;
若第一报文的标识载荷长度大于长度阈值,且第一报文的实际载荷长度小于长度阈值,则第一报文为慢攻击报文;
若第一报文的标识载荷长度小于长度阈值,或第一报文的实际载荷长度大于长度阈值,则第一报文不是慢攻击报文。
可选地,该装置还包括:获取模块和记录模块;
获取模块,用于若第一报文为慢攻击报文,则获取第一报文的源IP地址;
判断模块302,还用于判断攻击列表是否包括源IP地址;
记录模块,用于若攻击列表包括源IP地址,则将源IP地址对应的攻击报文数加1;若攻击列表不包括源IP地址,则将源IP地址加入攻击列表,并记录源IP地址对应的攻击报文数。
可选地,丢弃模块303,具体用于:
若第一报文为慢攻击报文,且已接收的与第一报文具有相同源IP地址的慢攻击报文数大于攻击阈值,则将会话表项列表中包含源IP地址的会话表项删除,并将源IP地址加入拦截列表,会话表项列表包括用于防火墙对报文进行转发的会话表项;
当接收到的报文的源IP地址与拦截列表中的IP地址相同时,丢弃报文。
可选地,该装置还包括:删除模块;
删除模块,用于当攻击列表中的源IP地址对应的攻击报文数小于攻击阈值时,将源IP地址从攻击列表中删除。
本申请实施例还提供了一种防火墙,如图4所示,包括处理器401、通信接口402、存储器403和通信总线404,其中,处理器401,通信接口402,存储器403通过通信总线404完成相互间的通信,
存储器403,用于存放计算机程序;
处理器401,用于执行存储器403上所存放的程序时,实现上述方法实施例中由防火墙执行的步骤。
上述防火墙提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述防火墙与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本申请提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一防御攻击的方法的步骤。
在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一防御攻击的方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (14)
1.一种防御攻击的方法,其特征在于,所述方法应用于终端与服务器之间的防火墙,所述方法包括:
接收第一报文;
若确定与所述服务器已建立的连接数大于连接阈值,则判断所述第一报文是否为慢攻击报文;
若所述第一报文为慢攻击报文,且已接收的与所述第一报文具有相同源IP地址的慢攻击报文数大于攻击阈值,则丢弃与所述第一报文具有相同源IP地址的报文。
2.根据权利要求1所述的方法,其特征在于,所述判断所述第一报文是否为慢攻击报文,包括:
判断所述第一报文是否包含结束符;
若所述第一报文不包含结束符,则所述第一报文为慢攻击报文。
3.根据权利要求2所述的方法,其特征在于,在所述判断所述第一报文是否包含结束符之后,所述方法还包括:
若所述第一报文包含结束符,则判断所述第一报文的标识载荷长度是否大于长度阈值,且所述第一报文的实际载荷长度是否小于所述长度阈值;
若所述第一报文的标识载荷长度大于所述长度阈值,且所述第一报文的实际载荷长度小于所述长度阈值,则所述第一报文为慢攻击报文;
若所述第一报文的标识载荷长度小于所述长度阈值,或所述第一报文的实际载荷长度大于所述长度阈值,则所述第一报文不是慢攻击报文。
4.根据权利要求2或3所述的方法,其特征在于,在判断所述第一报文是否为慢攻击报文之后,所述方法还包括:
若所述第一报文为慢攻击报文,则获取所述第一报文的源IP地址;
判断攻击列表是否包括所述源IP地址;
若所述攻击列表包括所述源IP地址,则将所述源IP地址对应的攻击报文数加1;
若所述攻击列表不包括所述源IP地址,则将所述源IP地址加入所述攻击列表,并记录所述源IP地址对应的攻击报文数。
5.根据权利要求1所述的方法,其特征在于,所述若所述第一报文为慢攻击报文,且已接收的与所述第一报文具有相同源IP地址的慢攻击报文数大于攻击阈值,则丢弃与所述第一报文具有相同IP地址的报文,包括:
若所述第一报文为慢攻击报文,且已接收的与第一报文具有相同源IP地址的慢攻击报文数大于攻击阈值,则将会话表项列表中包含所述源IP地址的会话表项删除,并将所述源IP地址加入拦截列表,所述会话表项列表包括用于所述防火墙对报文进行转发的会话表项;
当接收到的报文的源IP地址与所述拦截列表中的IP地址相同时,丢弃报文。
6.根据权利要求4所述的方法,其特征在于,所述方法还包括:
当所述攻击列表中的所述源IP地址对应的攻击报文数小于所述攻击阈值时,将所述源IP地址从所述攻击列表中删除。
7.一种防御攻击的装置,其特征在于,所述装置应用于终端与服务器之间的防火墙,所述装置包括:
接收模块,用于接收第一报文;
判断模块,用于若确定与所述服务器已建立的连接数大于连接阈值,则判断所述第一报文是否为慢攻击报文;
丢弃模块,用于若所述判断模块确定所述第一报文为慢攻击报文,且所述接入模块已接收的与所述第一报文具有相同源IP地址的慢攻击报文数大于攻击阈值,则丢弃与所述第一报文具有相同源IP地址的报文。
8.根据权利要求7所述的装置,其特征在于,所述判断模块,具体用于:
判断所述第一报文是否包含结束符;
若所述第一报文不包含结束符,则所述第一报文为慢攻击报文。
9.根据权利要求8所述的装置,其特征在于,所述判断模块,具体还用于:
若所述第一报文包含结束符,则判断所述第一报文的标识载荷长度是否大于长度阈值,且所述第一报文的实际载荷长度是否小于所述长度阈值;
若所述第一报文的标识载荷长度大于所述长度阈值,且所述第一报文的实际载荷长度小于所述长度阈值,则所述第一报文为慢攻击报文;
若所述第一报文的标识载荷长度小于所述长度阈值,或所述第一报文的实际载荷长度大于所述长度阈值,则所述第一报文不是慢攻击报文。
10.根据权利要求8或9所述的装置,其特征在于,所述装置还包括:获取模块和记录模块;
所述获取模块,用于若所述第一报文为慢攻击报文,则获取所述第一报文的源IP地址;
所述判断模块,还用于判断攻击列表是否包括所述源IP地址;
所述记录模块,用于若所述攻击列表包括所述源IP地址,则将所述源IP地址对应的攻击报文数加1;若所述攻击列表不包括所述源IP地址,则将所述源IP地址加入所述攻击列表,并记录所述源IP地址对应的攻击报文数。
11.根据权利要求7所述的装置,其特征在于,所述丢弃模块,具体用于:
若所述第一报文为慢攻击报文,且已接收的与第一报文具有相同源IP地址的慢攻击报文数大于攻击阈值,则将会话表项列表中包含所述源IP地址的会话表项删除,并将所述源IP地址加入拦截列表,所述会话表项列表包括用于所述防火墙对报文进行转发的会话表项;
当接收到的报文的源IP地址与所述拦截列表中的IP地址相同时,丢弃报文。
12.根据权利要求10所述的装置,其特征在于,所述装置还包括:删除模块;
所述删除模块,用于当所述攻击列表中的所述源IP地址对应的攻击报文数小于所述攻击阈值时,将所述源IP地址从所述攻击列表中删除。
13.一种防火墙,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-6任一所述的方法步骤。
14.一种机器可读存储介质,其特征在于,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现权利要求1-6任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910797284.4A CN110519265B (zh) | 2019-08-27 | 2019-08-27 | 一种防御攻击的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910797284.4A CN110519265B (zh) | 2019-08-27 | 2019-08-27 | 一种防御攻击的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110519265A true CN110519265A (zh) | 2019-11-29 |
| CN110519265B CN110519265B (zh) | 2022-02-25 |
Family
ID=68627273
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910797284.4A Active CN110519265B (zh) | 2019-08-27 | 2019-08-27 | 一种防御攻击的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110519265B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111698214A (zh) * | 2020-05-15 | 2020-09-22 | 平安科技(深圳)有限公司 | 网络攻击的安全处理方法、装置及计算机设备 |
| CN112272164A (zh) * | 2020-09-30 | 2021-01-26 | 新华三信息安全技术有限公司 | 报文处理方法及装置 |
| CN112738099A (zh) * | 2020-12-28 | 2021-04-30 | 北京天融信网络安全技术有限公司 | 一种检测慢速攻击的方法、装置、存储介质和电子设备 |
| CN113810398A (zh) * | 2021-09-09 | 2021-12-17 | 新华三信息安全技术有限公司 | 一种攻击防护方法、装置、设备及存储介质 |
| CN114221813A (zh) * | 2021-12-16 | 2022-03-22 | 中国电信股份有限公司 | Http慢速攻击的检测方法、系统、设备及存储介质 |
| CN114422272A (zh) * | 2022-03-28 | 2022-04-29 | 北京信安世纪科技股份有限公司 | 数据处理系统、方法及服务端设备 |
| CN114567484A (zh) * | 2022-02-28 | 2022-05-31 | 天翼安全科技有限公司 | 一种报文处理方法、装置、电子设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7873991B1 (en) * | 2000-02-11 | 2011-01-18 | International Business Machines Corporation | Technique of defending against network flooding attacks using a connectionless protocol |
| CN102413105A (zh) * | 2010-09-25 | 2012-04-11 | 杭州华三通信技术有限公司 | 防范cc攻击的方法和装置 |
| WO2013032775A1 (en) * | 2011-08-29 | 2013-03-07 | Arbor Networks, Inc. | Method and protection system for mitigating slow http attacks using rate and time monitoring |
| CN105553974A (zh) * | 2015-12-14 | 2016-05-04 | 中国电子信息产业集团有限公司第六研究所 | 一种http慢速攻击的防范方法 |
| CN105577608A (zh) * | 2014-10-08 | 2016-05-11 | 腾讯科技(深圳)有限公司 | 网络攻击行为检测方法和装置 |
| CN106357652A (zh) * | 2016-09-26 | 2017-01-25 | 杭州迪普科技有限公司 | 一种vxlan报文防攻击的方法和装置 |
| CN106656975A (zh) * | 2016-10-18 | 2017-05-10 | 新华三技术有限公司 | 一种攻击防御方法及装置 |
-
2019
- 2019-08-27 CN CN201910797284.4A patent/CN110519265B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7873991B1 (en) * | 2000-02-11 | 2011-01-18 | International Business Machines Corporation | Technique of defending against network flooding attacks using a connectionless protocol |
| CN102413105A (zh) * | 2010-09-25 | 2012-04-11 | 杭州华三通信技术有限公司 | 防范cc攻击的方法和装置 |
| WO2013032775A1 (en) * | 2011-08-29 | 2013-03-07 | Arbor Networks, Inc. | Method and protection system for mitigating slow http attacks using rate and time monitoring |
| US8856913B2 (en) * | 2011-08-29 | 2014-10-07 | Arbor Networks, Inc. | Method and protection system for mitigating slow HTTP attacks using rate and time monitoring |
| CN105577608A (zh) * | 2014-10-08 | 2016-05-11 | 腾讯科技(深圳)有限公司 | 网络攻击行为检测方法和装置 |
| CN105553974A (zh) * | 2015-12-14 | 2016-05-04 | 中国电子信息产业集团有限公司第六研究所 | 一种http慢速攻击的防范方法 |
| CN106357652A (zh) * | 2016-09-26 | 2017-01-25 | 杭州迪普科技有限公司 | 一种vxlan报文防攻击的方法和装置 |
| CN106656975A (zh) * | 2016-10-18 | 2017-05-10 | 新华三技术有限公司 | 一种攻击防御方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| IEVGEN DURAVKIN ET AL: "Method of slow-attack detection", 《2014 FIRST INTERNATIONAL SCIENTIFIC-PRACTICAL CONFERENCE PROBLEMS OF INFOCOMMUNICATIONS SCIENCE AND TECHNOLOGY》 * |
| 时光知味: "HTTP POST Flood&慢速攻击", 《HTTPS://BLOG.CSDN.NET/MATCHA_996731821/ARTICLE/DETAILS/86009437》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111698214A (zh) * | 2020-05-15 | 2020-09-22 | 平安科技(深圳)有限公司 | 网络攻击的安全处理方法、装置及计算机设备 |
| CN112272164A (zh) * | 2020-09-30 | 2021-01-26 | 新华三信息安全技术有限公司 | 报文处理方法及装置 |
| CN112738099A (zh) * | 2020-12-28 | 2021-04-30 | 北京天融信网络安全技术有限公司 | 一种检测慢速攻击的方法、装置、存储介质和电子设备 |
| CN112738099B (zh) * | 2020-12-28 | 2022-07-12 | 北京天融信网络安全技术有限公司 | 一种检测慢速攻击的方法、装置、存储介质和电子设备 |
| CN113810398A (zh) * | 2021-09-09 | 2021-12-17 | 新华三信息安全技术有限公司 | 一种攻击防护方法、装置、设备及存储介质 |
| CN113810398B (zh) * | 2021-09-09 | 2023-09-26 | 新华三信息安全技术有限公司 | 一种攻击防护方法、装置、设备及存储介质 |
| CN114221813A (zh) * | 2021-12-16 | 2022-03-22 | 中国电信股份有限公司 | Http慢速攻击的检测方法、系统、设备及存储介质 |
| CN114221813B (zh) * | 2021-12-16 | 2024-01-30 | 中国电信股份有限公司 | Http慢速攻击的检测方法、系统、设备及存储介质 |
| CN114567484A (zh) * | 2022-02-28 | 2022-05-31 | 天翼安全科技有限公司 | 一种报文处理方法、装置、电子设备及存储介质 |
| CN114567484B (zh) * | 2022-02-28 | 2024-03-12 | 天翼安全科技有限公司 | 一种报文处理方法、装置、电子设备及存储介质 |
| CN114422272A (zh) * | 2022-03-28 | 2022-04-29 | 北京信安世纪科技股份有限公司 | 数据处理系统、方法及服务端设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110519265B (zh) | 2022-02-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110519265A (zh) | 一种防御攻击的方法及装置 | |
| US10673874B2 (en) | Method, apparatus, and device for detecting e-mail attack | |
| CN109889547B (zh) | 一种异常网络设备的检测方法及装置 | |
| US9578055B1 (en) | Thwarting drone-waged denial of service attacks on a network | |
| US8856913B2 (en) | Method and protection system for mitigating slow HTTP attacks using rate and time monitoring | |
| US7512072B2 (en) | TCP/IP method FPR determining the expected size of conjestion windows | |
| CN100589489C (zh) | 针对web服务器进行DDOS攻击的防御方法和设备 | |
| US10218733B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
| CN101460983A (zh) | 恶意攻击检测系统和相关的使用方法 | |
| CN104137513A (zh) | 攻击防范方法和设备 | |
| JP2015057931A (ja) | ネットワーク装置、通信システム、異常トラヒックの検出方法およびプログラム | |
| CN107864101A (zh) | 负载均衡方法和装置 | |
| EP3618355B1 (en) | Systems and methods for operating a networking device | |
| KR101200906B1 (ko) | 네트워크 기반 고성능 유해사이트 차단 시스템 및 방법 | |
| JP6548823B2 (ja) | 木グラフプロパティを適用するjsonデータのリアルタイムバリデーション | |
| CN110798451A (zh) | 一种安全认证的方法及装置 | |
| WO2017011981A1 (zh) | 一种流表项的定时处理方法及装置 | |
| CN109347810A (zh) | 一种处理报文的方法和装置 | |
| CN106961393B (zh) | 网络会话中udp报文的检测方法及装置 | |
| WO2022267490A1 (zh) | 攻击识别方法、装置及系统、计算机可读存储介质 | |
| CN110198315A (zh) | 一种报文处理的方法及装置 | |
| JP6870386B2 (ja) | マルウェア不正通信対処システム及び方法 | |
| CN108449280B (zh) | 一种避免tcp报文乒乓的方法及装置 | |
| CN108833282A (zh) | 数据转发方法、系统、装置及sdn交换机 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |