CN110572380A - 一种tcp回注封堵的方法及装置 - Google Patents
一种tcp回注封堵的方法及装置 Download PDFInfo
- Publication number
- CN110572380A CN110572380A CN201910810260.8A CN201910810260A CN110572380A CN 110572380 A CN110572380 A CN 110572380A CN 201910810260 A CN201910810260 A CN 201910810260A CN 110572380 A CN110572380 A CN 110572380A
- Authority
- CN
- China
- Prior art keywords
- flow
- module
- tcp
- message
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/143—Termination or inactivation of sessions, e.g. event-controlled end of session
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种TCP回注封堵的装置涉及信息技术领域。本发明由分流设备、审计服务器、Bypass设备组成;审计服务器由策略模块、匹配引擎、流信息解析模块、数据包处理模块、数据包捕获模块、报文伪造模块组成;实现本发明解决了TCP串接封堵影响用户的上网,影响原有业务的问题;解决了TCP旁路封堵需要专门的旁路链路和封堵效果差的问题。
Description
技术领域
本发明涉及信息技术领域,尤其是信息安全技术领域。
背景技术
随着信息化的发展,互联网已渗透到人们工作、学习、生活的各个领域。在互联网深刻地改变着人们现实生活的同时,也带来了前所未有的网络安全问题。当前,全球网络安全形势异常严峻,个人信息与商业数据遭遇大规模泄露与违规利用,针对关键信息基础设施的恶意网站攻击频发,各国在网络空间对抗态势进一步加剧。面对网络安全的严峻形势,如何采取有效措施保障网络信息的安全健康发展,已经成为各国政府与企业亟待解决的重大课题。
对于网络上常见的攻击,其实大多数攻击都是基于TCP连接,那么如何有效地阻断非法的TCP连接。在现有技术中,在客户端与服务器端之间部署监听设备,客户端与服务器端之间建立TCP连接之后,当监听可疑报文时,向客户端或是服务器端发送RST报文,使已经建立的TCP连接断开,从而达到阻断可疑报文攻击的目的。
现有的TCP阻断方法主要有两种,一种是TCP串接阻断,另外一种是TCP旁路阻断。
TCP串接阻断方法是通过串接设备进行TCP阻断,其中,串接设备深串在客户端和服务器之间,当监听到可疑报文时,根据可疑报文伪造RST报文并向客户端或是服务器端发送伪造的RST报文。当客户端或是服务器端接收到伪造的RST报文后,会将已经建立的TCP连接断开,从而达到阻断可疑报文攻击的目的。TCP串接阻断方法适用于串接的环境。如果串接设备出现故障或是有性能瓶颈,则整个串接设备下面的用户都不能上网或是上网很慢,同时用户很容易发现网络被监控了。
TCP旁路阻断方法是通过旁路干扰设备进行TCP阻断,其中,旁路干扰设备旁接在客户端和服务器之间,旁路监听的方式一般是将主交换机的数据分光或镜像到旁路干扰设备。当监听到可疑报文时,根据可疑报文伪造RST报文并向客户端或是服务器端发送伪造的RST报文。当客户端或是服务器端接收到伪造的RST报文后,会将已经建立的TCP连接断开,从而达到阻断可疑报文攻击的目的。TCP旁路阻断方法适用于并接环境,需要有专门的旁路链路。同时,需要跟真实的服务器端拼比速度,如果RST(Reset)报文晚于真实服务器端的回复报文,就不能阻断。相比TCP串接阻断,封堵效果差一些。
本发明提出了一种TCP回注封堵的方法及装置,将设备浅串,所谓的浅串,就是所有流量由分流设备进行转发,同时流量镜像一份给审计服务器。分流设备可以参与控制、分析、阻断等,具体采取何种动作可由审计服务器来决定。在客户端和服务器端之间,通过Bypass光旁路保护系统保障分流设备的流量都能正常转发。利用原有的链路直接把伪造的RST报文回注给给客户端和服务器端,从而使已经建立的TCP连接断开,阻断了可疑报文的攻击。既不会有TCP串接封堵影响用户的上网问题,又不会有TCP旁路封堵需要专门的旁路链路和封堵效果差的问题。
共有技术
Bypass设备,就是可以通过特定的触发状态让两个网络不通过网络安全设备的系统,而直接物理上导通,所以有了Bypass后,当网络安全设备故障以后,还可以让连接在这台设备上的网络相互导通,当然这个时候这台网络设备也就不会再对网络中的封包做处理了。
数据包捕获:数据包的捕包驱动有DPDK、PF_RING、NETMAP、PCAP几种不同的方式,其中DPDK、PF_RING、NETMAP都是零拷贝,DPDK性能最好,PF_RING次之,NETMAP再次之,PACP性能最差。PCAP是Unix/Linux平台下的网络数据包捕获函数包,大多数网络监控软件都以它为基础。PCAP可以在绝大多数类Unix平台下工作。PF_RING是基于Linux内核级的高效数据包捕获技术,它拥有一套完整开发接口的高速数据包捕捉库,与我们熟知的PCAP十分相似,但其性能要优于PCAP。NETMAP是一个高性能收发原始数据包的框架,其包含了内核模块以及用户态库函数。其目标是,不修改现有操作系统软件以及不需要特殊硬件支持,实现用户态和网卡之间数据包的高性能传递。DPDK主要基于Linux系统运行,用于快速数据包处理的函数库与驱动集合,可以极大提高数据处理性能和吞吐量,提高数据平面应用程序的工作效率。
Hyperscan和AC算法
AC(Aho–Corasick)自动机算法是由Alfred V. Aho和Margaret J.Corasick 发明的字符串搜索算法,用于在输入的一串字符串中匹配有限组“字典”中的子串。它与普通字符串匹配的不同点在于同时与所有字典串进行匹配。算法均摊情况下具有近似于线性的时间复杂度,约为字符串的长度加所有匹配的数量。
Hyperscan是一款来自于Intel的高性能的正则表达式匹配库,它是基于X86平台以PCRE为原型而开发的。在支持PCRE的大部分语法的前提下,Hyperscan增加了特定的语法和工作模式来保证其在真实网络场景下的实用性。与此同时,大量高效算法及Intel SIMD指令的使用实现了Hyperscan的高性能匹配。Hyperscan适用于部署在诸如DPI/IPS/IDS/FW等场景中,目前已经在全球多个客户网络安全方案中得到实际的应用。此外,Hyperscan还支持和开源IDS/IPS产品Snort和Suricata 集成,使其应用更加广泛。
RSS (Receive Side Scaling,RSS是一种能够在多处理器系统下使接收报文在多个CPU之间高效分发的网卡驱动技术。
发明内容
鉴于现有技术的不足,本发明的一种TCP回注封堵的装置由分流设备、审计服务器、Bypass设备组成;审计服务器由策略模块、匹配引擎、流信息解析模块、数据包处理模块、数据包捕获模块、报文伪造模块组成;
分流设备在客户端和服务器端起浅串的作用,分流设备镜像一份数据给审计服务器,所有的数据都靠分流设备转发出去,同时负责将审计服务器的报文伪造模块发送来的伪造报文发送到复制过流量的网络链路;
Bypass设备并行安装于分流设备的网络两端,Bypass设备在分流设备上的链路无输出时切换线路,直接接通分流设备两端的网络链路;
策略模块负责制定TCP回注封堵的策略,TCP回注封堵的策略是针对网络流量的流信息进行设定,网络流量的流信息由目的IP地址、源IP地址、目的端口号、源端口号、协议号组成;
数据包捕获模块负责基于DPDK驱动获取网卡捕包口的流量,通过RSS技术分发到各个CPU 内核上,由数据包处理模块进行下一步处理;
数据包处理模块负责解析数据包的目的IP地址、源IP地址、目的端口号、源端口号、协议号;
流信息解析模块负责根据数据包的目的IP地址、源IP地址、目的端口号、源端口号、协议号建流,建流后可提供流表进行流管理,建流的过程就是将IP地址、源IP地址、目的端口号、源端口号、协议号都相同的数据包归纳为一个数据流的过程;
匹配引擎负责比较TCP回注封堵的策略里的流信息和流信息解析模块的流表中的流信息,当流信息解析模块的流表中的流信息包括在TCP回注封堵的策略中时,匹配引擎将流信息发送给报文伪造模块;
报文伪造模块根据匹配引擎发送的流信息伪造RST报文,生成伪造报文,并将伪造报文发送给分流设备。
有益效果
实现本发明解决了TCP串接封堵影响用户的上网,影响原有业务的问题;解决了TCP旁路封堵需要专门的旁路链路和封堵效果差的问题。
附图说明
图1是本发明的结构流程图。
具体实施方式
参看图1,实现本发明的一种TCP回注封堵的装置由分流设备A、审计服务器B、Bypass设备C组成;审计服务器B由策略模块20、匹配引擎21、流信息解析模块22、数据包处理模块23、数据包捕获模块24、报文伪造模块25组成;
分流设备A在客户端和服务器端起浅串的作用,分流设备A镜像一份数据给审计服务器B,所有的数据都靠分流设备A转发出去,同时负责将审计服务器B的报文伪造模块25发送来的伪造报文发送到复制过流量的网络链路;
Bypass设备C并行安装于分流设备A的网络两端,Bypass设备C在分流设备A上的链路无输出时切换线路,直接接通分流设备A两端的网络链路;
策略模块20负责制定TCP回注封堵的策略,TCP回注封堵的策略是针对网络流量的流信息进行设定,网络流量的流信息由目的IP地址、源IP地址、目的端口号、源端口号、协议号组成;
数据包捕获模块24负责基于DPDK驱动获取网卡捕包口的流量,通过RSS技术分发到各个CPU 内核上,由数据包处理模块23进行下一步处理;
数据包处理模块23负责解析数据包的目的IP地址、源IP地址、目的端口号、源端口号、协议号;
流信息解析模块22负责根据数据包的目的IP地址、源IP地址、目的端口号、源端口号、协议号建流,建流后可提供流表进行流管理,建流的过程就是将IP地址、源IP地址、目的端口号、源端口号、协议号都相同的数据包归纳为一个数据流的过程;
匹配引擎21负责比较TCP回注封堵的策略里的流信息和流信息解析模块22的流表中的流信息,当流信息解析模块22的流表中的流信息包括在TCP回注封堵的策略中时,匹配引擎21将流信息发送给报文伪造模块25;
报文伪造模块25根据匹配引擎21发送的流信息伪造RST报文,生成伪造报文,并将伪造报文发送给分流设备A。
Claims (1)
1.一种TCP回注封堵的装置,其特征在于由分流设备、审计服务器、Bypass设备组成;审计服务器由策略模块、匹配引擎、流信息解析模块、数据包处理模块、数据包捕获模块、报文伪造模块组成;
分流设备在客户端和服务器端起浅串的作用,分流设备镜像一份数据给审计服务器,所有的数据都靠分流设备转发出去,同时负责将审计服务器的报文伪造模块发送来的伪造报文发送到复制过流量的网络链路;
Bypass设备并行安装于分流设备的网络两端,Bypass设备在分流设备上的链路无输出时切换线路,直接接通分流设备两端的网络链路;
策略模块负责制定TCP回注封堵的策略,TCP回注封堵的策略是针对网络流量的流信息进行设定,网络流量的流信息由目的IP地址、源IP地址、目的端口号、源端口号、协议号组成;
数据包捕获模块负责基于DPDK驱动获取网卡捕包口的流量,通过RSS技术分发到各个CPU 内核上,由数据包处理模块进行下一步处理;
数据包处理模块负责解析数据包的目的IP地址、源IP地址、目的端口号、源端口号、协议号;
流信息解析模块负责根据数据包的目的IP地址、源IP地址、目的端口号、源端口号、协议号建流,建流后可提供流表进行流管理,建流的过程就是将IP地址、源IP地址、目的端口号、源端口号、协议号都相同的数据包归纳为一个数据流的过程;
匹配引擎负责比较TCP回注封堵的策略里的流信息和流信息解析模块的流表中的流信息,当流信息解析模块的流表中的流信息包括在TCP回注封堵的策略中时,匹配引擎将流信息发送给报文伪造模块;
报文伪造模块根据匹配引擎发送的流信息伪造RST报文,生成伪造报文,并将伪造报文发送给分流设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910810260.8A CN110572380A (zh) | 2019-08-30 | 2019-08-30 | 一种tcp回注封堵的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910810260.8A CN110572380A (zh) | 2019-08-30 | 2019-08-30 | 一种tcp回注封堵的方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110572380A true CN110572380A (zh) | 2019-12-13 |
Family
ID=68777071
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910810260.8A Pending CN110572380A (zh) | 2019-08-30 | 2019-08-30 | 一种tcp回注封堵的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110572380A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111984415A (zh) * | 2020-08-24 | 2020-11-24 | 北京亚鸿世纪科技发展有限公司 | 一种基于流水线转发模型的负载均衡方法及装置 |
CN112422567A (zh) * | 2020-11-18 | 2021-02-26 | 清创网御(合肥)科技有限公司 | 一种面向大流量的网络入侵检测方法 |
CN112671618A (zh) * | 2021-03-15 | 2021-04-16 | 北京安帝科技有限公司 | 深度报文检测方法和装置 |
CN115834256A (zh) * | 2023-02-17 | 2023-03-21 | 北京浩瀚深度信息技术股份有限公司 | 一种基于并接网络的quic流量封堵方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105656765A (zh) * | 2016-03-11 | 2016-06-08 | 北京中测安华科技有限公司 | 一种基于深度内容解析的smtp协议数据防外泄方法及系统 |
CN106060149A (zh) * | 2016-06-24 | 2016-10-26 | 北京交通大学 | 一种移动互联网海量数据分析审计技术架构 |
CN109450940A (zh) * | 2018-12-25 | 2019-03-08 | 南京中新赛克科技有限责任公司 | 一种实现网络流量封堵的装置和方法 |
-
2019
- 2019-08-30 CN CN201910810260.8A patent/CN110572380A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105656765A (zh) * | 2016-03-11 | 2016-06-08 | 北京中测安华科技有限公司 | 一种基于深度内容解析的smtp协议数据防外泄方法及系统 |
CN106060149A (zh) * | 2016-06-24 | 2016-10-26 | 北京交通大学 | 一种移动互联网海量数据分析审计技术架构 |
CN109450940A (zh) * | 2018-12-25 | 2019-03-08 | 南京中新赛克科技有限责任公司 | 一种实现网络流量封堵的装置和方法 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111984415A (zh) * | 2020-08-24 | 2020-11-24 | 北京亚鸿世纪科技发展有限公司 | 一种基于流水线转发模型的负载均衡方法及装置 |
CN112422567A (zh) * | 2020-11-18 | 2021-02-26 | 清创网御(合肥)科技有限公司 | 一种面向大流量的网络入侵检测方法 |
CN112671618A (zh) * | 2021-03-15 | 2021-04-16 | 北京安帝科技有限公司 | 深度报文检测方法和装置 |
CN112671618B (zh) * | 2021-03-15 | 2021-06-15 | 北京安帝科技有限公司 | 深度报文检测方法和装置 |
CN115834256A (zh) * | 2023-02-17 | 2023-03-21 | 北京浩瀚深度信息技术股份有限公司 | 一种基于并接网络的quic流量封堵方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110572380A (zh) | 一种tcp回注封堵的方法及装置 | |
Wang et al. | SGS: Safe-guard scheme for protecting control plane against DDoS attacks in software-defined networking | |
Prasad et al. | An efficient detection of flooding attacks to Internet Threat Monitors (ITM) using entropy variations under low traffic | |
Sanmorino et al. | DDoS attack detection method and mitigation using pattern of the flow | |
JP7388613B2 (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
CN101459660A (zh) | 用于集成多个威胁安全服务的方法及其设备 | |
CN104702571B (zh) | 一种Xen虚拟化环境下网络数据的入侵检测方法 | |
Xue et al. | {OpenVPN} is open to {VPN} fingerprinting | |
KR100684602B1 (ko) | 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법 | |
Kshirsagar et al. | CPU load analysis & minimization for TCP SYN flood detection | |
Moorthy et al. | Botnet detection using artificial intelligence | |
CN111865996A (zh) | 数据检测方法、装置和电子设备 | |
Huang et al. | An authentication scheme to defend against UDP DrDoS attacks in 5G networks | |
Hsu et al. | Detecting Web‐Based Botnets Using Bot Communication Traffic Features | |
Hu et al. | Detecting cryptojacking traffic based on network behavior features | |
US10965693B2 (en) | Method and system for detecting movement of malware and other potential threats | |
Sutton et al. | Towards an SDN assisted IDS | |
Le et al. | A proactive method of the webshell detection and prevention based on deep traffic analysis | |
Singh | Machine learning in openflow network: comparative analysis of DDoS detection techniques. | |
Tang et al. | A new dynamic security defense system based on TCP_REPAIR and deep learning | |
CN108881255B (zh) | 一种基于c&c通信状态转换检测僵尸网络的方法 | |
Ding et al. | Network security defense model based on firewall and IPS | |
Leblond et al. | Introduction to eBPF and XDP support in suricata | |
US11128646B1 (en) | Apparatus and method for cloud-based accelerated filtering and distributed available compute security processing | |
Gupta et al. | DeeP4R: Deep Packet Inspection in P4 using Packet Recirculation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20191213 |