CN110784464A - 泛洪攻击的客户端验证方法、装置、系统及电子设备 - Google Patents
泛洪攻击的客户端验证方法、装置、系统及电子设备 Download PDFInfo
- Publication number
- CN110784464A CN110784464A CN201911021993.XA CN201911021993A CN110784464A CN 110784464 A CN110784464 A CN 110784464A CN 201911021993 A CN201911021993 A CN 201911021993A CN 110784464 A CN110784464 A CN 110784464A
- Authority
- CN
- China
- Prior art keywords
- client
- message
- nqa
- information
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Abstract
本公开提供了一种泛洪攻击的客户端验证方法、装置、系统及电子设备,涉及通信技术领域,该方法包括:如果监测到服务器受到客户端的泛洪攻击,则判断客户端是否满足网络质量分析NQA检测机制;如果是,则生成攻击报文的NQA检测报文,其中,NQA检测报文中携带有验证信息;将NQA检测报文发送至客户端;如果接收到客户端返回的NQA返回报文,则判断NQA返回报文与验证信息是否匹配,若匹配,则确认客户端为合法客户端。本公开提供的泛洪攻击的客户端验证方法、装置、系统及电子设备,在通过NQA检测机制验证客户端的过程中,由于NQA检测报文中携带有验证信息,因此,能够提高客户端验证的精度,以对服务器提供有效的防护。
Description
技术领域
本公开涉及通信技术领域,尤其是涉及一种泛洪攻击的客户端验证方法、装置、系统及电子设备。
背景技术
当前的网络系统中,为了保证数据传输的可靠性和安全性,客户端与服务器之间的通信需要首先建立连接,建立成功连接后,才能进行数据传输,同样,数据之间停止通信也不是单方面的,需要客户端和服务器都确认数据传输完毕,不需要继续传输,才可以进行终止连接。无论是建立连接或是终止连接,其本质都是客户端或者服务器发送携带关键信息的报文发送给对端,并在对端返回相应的响应报文后,决定下一步是否连接或者断开连接。
而在发送报文过程中,攻击者很容易向攻击目标服务器发起泛洪攻击,即,向目标服务器发送大量虚假报文来占用目标服务器的带宽,使得目标服务器需要耗费大量的资源处理这些报文,而无法响应正常请求,严重时可能导致目标服务器的瘫痪。
目前,对于判断出受到泛洪攻击的服务器,会进入防范状态,并采取相关的措施,如输入告警日志、丢包或者客户端验证等,但是这些措施的识别精度较低,难以对目标服务器提供有效的防护。
发明内容
有鉴于此,本公开的目的在于提供一种泛洪攻击的客户端验证方法、装置、系统及电子设备,以缓解上述难以对目标服务器提供有效的防护的技术问题。
第一方面,本公开实施方式提供了一种泛洪攻击的客户端验证方法,该方法应用于防火墙设备,该方法包括:如果监测到服务器受到客户端的泛洪攻击,则判断客户端是否满足网络质量分析NQA检测机制;如果是,则生成客户端发送的攻击报文的NQA检测报文,其中,NQA检测报文中携带有验证信息;将NQA检测报文发送至客户端;如果接收到客户端返回的NQA返回报文,则判断NQA返回报文与所述验证信息是否匹配,若匹配,则确认客户端为合法客户端。
结合第一方面,本公开实施方式提供了第一方面的第一种可能的实施方式,其中,上述判断客户端是否满足NQA检测机制的步骤包括:提取客户端发送的攻击报文的标记位;如果标记位为SYN报文的标记位,判断客户端是否通过预先设置的TCP代理验证;如果否,确认客户端满足NQA检测机制。
结合第一方面的第一种可能的实施方式,本公开实施方式提供了第一方面的第二种可能的实施方式,其中,上述判断客户端是否通过预先设置的TCP代理验证的步骤包括:获取SYN报文,根据SYN报文向客户端发送应答报文;判断是否接收到客户端回应的与应答报文匹配的复位报文;如果是,确认客户端通过预先设置的TCP代理验证;如果否,确认客户端未通过预先设置的TCP代理验证。
结合第一方面的第一种可能的实施方式,本公开实施方式提供了第一方面的第三种可能的实施方式,其中,上述判断客户端是否满足NQA检测机制的步骤还包括:如果标记位为非SYN报文的标记位,判断客户端与服务器是否有匹配的会话记录;如果否,确认客户端满足NQA检测机制。
结合第一方面的第三种可能的实施方式,本公开实施方式提供了第一方面的第四种可能的实施方式,其中,上述判断客户端与服务器是否有匹配的会话记录的步骤包括:如果客户端与服务器有会话记录,获取建立会话记录的SYN报文的五元组信息;判断五元组信息与客户端当前发送的攻击报文是否一致;如果是,确认客户端与服务器有匹配的会话记录。
结合第一方面,本公开实施方式提供了第一方面的第五种可能的实施方式,其中,上述生成客户端发送的攻击报文的NQA检测报文的步骤包括:获取客户端发送的攻击报文的四元组信息和序号信息;根据序号信息生成验证信息;将四元组信息和验证信息封装至NQA检测报文中。
结合第一方面的第五种可能的实施方式,本公开实施方式提供了第一方面的第六种可能的实施方式,其中,上述根据序号信息生成验证信息的步骤包括:采用预先设置的随机算法生成随机验证号;将随机验证号与序号信息中包含的序列号进行组合,以生成验证信息。
结合第一方面的第五种可能的实施方式,本公开实施方式提供了第一方面的第七种可能的实施方式,其中,上述四元组信息包括攻击报文的源IP地址、源端口信息、目的IP地址和目的端口信息;将四元组信息和验证信息封装至NQA检测报文中的步骤包括:将四元组中的源IP地址、源端口信息作为NQA检测报文的目的IP地址、目的端口信息,将四元组中的目的IP地址、目的端口信息作为NQA检测报文的源IP地址、源端口信息;对NQA检测报文的目的IP地址、目的端口信息,以及NQA检测报文的源IP地址、源端口信息和验证信息进行封装,得到NQA检测报文。
结合第一方面,本公开实施方式提供了第一方面的第八种可能的实施方式,其中,上述方法还包括:将合法客户端的IP地址添加至受信任列表,以及,将客户端发送的攻击报文设置为合法报文,并将合法报文发送至服务器。
结合第一方面,本公开实施方式提供了第一方面的第九种可能的实施方式,其中,上述方法还包括:在预定时间内,如果未收到客户端返回的NQA返回报文,或者,在预定时间内收到NQA返回报文,且,NQA返回报文中的验证信息与NQA检测报文中携带的验证信息不一致;则确认客户端为非法客户端;丢弃攻击报文,并将非法客户端的IP地址添加攻击者列表。
第二方面,本公开实施方式还提供一种泛洪攻击的客户端验证装置,该装置设置于防火墙设备,该装置包括:判断模块,用于如果监测到服务器受到客户端的泛洪攻击,则判断客户端是否满足网络质量分析NQA检测机制;生成模块,用于判断模块的判断结果为是时,生成客户端发送的攻击报文的NQA检测报文,其中,NQA检测报文中携带有验证信息;发送模块,用于将NQA检测报文发送至客户端;确认模块,用于如果接收到客户端返回的NQA返回报文,则判断NQA返回报文与验证信息是否匹配,若匹配,则确认客户端为合法客户端。
第三方面,本公开实施方式还提供一种泛洪攻击的客户端验证系统,该系统包括:客户端、防火墙设备和服务器;所述客户端、所述防火墙设备和所述服务器依次连接;其中,所述防火墙设备配置有第二方面所述的泛洪攻击的客户端验证装置。
第四方面,本公开实施方式还提供一种电子设备,该电子设备包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器执行所述机器可执行指令以实现第一方面所述的方法。
第五方面,本公开实施方式还提供一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现第一方面所述的方法。
本公开实施方式带来了以下有益效果:
本公开实施方式提供的泛洪攻击的客户端验证方法、装置、系统及电子设备,能够在监测到服务器受到客户端的泛洪攻击时,判断客户端是否满NQA检测机制,并在客户端满足NQA检测机制时生成与攻击报文对应的NQA检测报文,且,该NQA检测报文中携带有验证信息,将该NQA检测报文发送至客户端,并在客户端返回NQA返回报文,且,NQA返回报文与验证信息匹配时,确认客户端为合法客户端,上述通过NQA检测机制验证客户端的过程,由于NQA检测报文中携带有验证信息,因此,能够提高客户端验证的精度,以对服务器提供有效的防护。
本公开的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本公开而了解。本公开的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本公开的上述目的、特征和优点能更明显易懂,下文特举较佳实施方式,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本公开具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本公开的一些实施方式,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一种泛洪攻击客户端验证流程;
图2为本公开实施方式提供的一种泛洪攻击的客户端验证场景示意图;
图3为本公开实施方式提供的一种泛洪攻击的客户端验证方法的流程图;
图4为本公开实施方式提供的另一种泛洪攻击的客户端验证方法的流程图;
图5为本公开实施方式提供的一种泛洪攻击的客户端验证装置的结构示意图;
图6为本公开实施方式提供的一种电子设备的结构示意图。
具体实施方式
为使本公开实施方式的目的、技术方案和优点更加清楚,下面将结合附图对本公开的技术方案进行清楚、完整地描述,显然,所描述的实施方式是本公开一部分实施方式,而不是全部的实施方式。基于本公开中的实施方式,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式,都属于本公开保护的范围。
泛洪攻击是指攻击者在短时间内向目标服务器发送大量的虚假请求,导致目标服务器疲于应付无用信息,从而无法为合法用户提供正常服务,即发生拒绝服务的现象。例如,对于网络系统,基于客户端与服务器之间通过报文进行握手的机制,攻击者会向攻击目标服务器发起大量的携带虚假源IP地址和虚假源端口信息的TCP(Transmission ControlProtocol,传输控制协议)标记报文,如SYN报文、ACK报文、SYN-ACK报文、FIN报文、RST报文等,使得目标服务器带宽被占满,而且,目标服务器处理这些报文也需要耗费大量的资源而无法响应正常请求,严重时可能导致目标服务器瘫痪。
目前,对于泛洪攻击的防范措施主要通过监测向服务器发起的连接请求的速率是否达到预先设置的阈值进行的。对于判断受到泛洪攻击的服务器,会进入防范状态,并采取相关的措施,如输入告警日志、丢包或者TCP客户端验证等。
对于启用了TCP客户端验证功能的设备,测到有服务器受到相关泛洪攻击时,可以将该服务器IP地址添加为动态受保护的IP地址,并对所有向该受保护服务器发起的TCP连接的协商报文进行处理,通过对客户端发起的TCP连接进行验证,达到保护服务器免受各种TCP泛洪攻击的目的。
图1示出了一种泛洪攻击客户端验证流程,包括TCP协议下的客户端、防火墙设备和服务器,验证流程如下:
(1)当防火墙设备收到某客户端发来的与受保护服务器(匹配某个受保护IP地址表项)建立TCP连接的请求SYN报文后,先代替服务器向TCP客户端回应序号错误的SYN ACK报文。即图1中的序号①和序号②的过程;
(2)如果在③过程中,防火墙设备收到客户端回应的正确RST报文,则认为该TCP连接请求通过TCP代理的验证。
此后一定时间内,防火墙设备收到来自该客户端的TCP报文后,直接将其向转发给服务器,允许客户端和服务器之间直接建立TCP连接,即图1中的④~⑧过程。
该方式依赖于客户端发送完SYN报文后,需要收到服务端的SYN ACK报文(步骤⑥的报文),才能发送ACK报文连接,并且依赖客户端在收到错误序号的SYN ACK报文后,会向服务器发送RST报文后再次发起SYN请求。
但是当客户端发送的是SYN-ACK、ACK、RST、FIN类型的攻击时,会进行如下处理:
(1)SYN-ACK类型的泛洪攻击,由于没有第一次的握手数据,服务器会向客户端直接发送RST报文,告知报文有误,无法建立连接,而客户端对于RST报文不会进行重传,无法验证该客户端的真伪;
(2)ACK类型的泛洪攻击,服务器在收到ACK报文后,会进行查表,如果数据包所表示连接的四元组存在,转发报文;否则,回复RST报文,客户端对于RST报文不会进行重传,无法验证客户单的真伪;
(3)同样,FIN和RST报文,客户端在发送了FIN和RST报文后,不会在发送其他的数据,所以也无法通过验证报文来验证该客户端的真伪。
此外,对于客户端发起的TCP连接进行干预来验证客户端是否合法的过程,往往需要客户端严格遵守TCP协议栈的规定,如果客户端的TCP协议栈实现不完善,即便是合法用户,也可能由于未通过该方法的严格检查而无法访问服务器,也难以对目标服务器提供有效的防护。
进一步,现有技术中还可以通过构造目的端口为未开放端口的UDP(UserDatagram Protocol,用户数据报协议)报文,并发送给客户端,通过判断客户端是否返回正确的报文的方式来验证客户端是否为合法的用户,但是,由于防火墙设备无法确定哪些端口是客户端未开放的端口,因此,可能会导致有些正常的客户端由于开启了这些端口而无法返回目的不可达报文,导致该正常客户端被误判为攻击者,如果攻击者窃知了合法的客户端,并虚拟这些合法客户端的IP地址来发送大量端口不一致的泛洪攻击报文,也会由于IP地址的合法性,而导致这些攻击报文被放行,因此,也难以对目标服务器提供有效的防护。
基于此,本公开实施方式提供的一种泛洪攻击的客户端验证方法、装置、系统及电子设备,以缓解上述难以对目标服务器提供有效防护的技术问题。
为便于对本实施方式进行理解,首先对本公开实施方式所公开的一种泛洪攻击的客户端验证方法进行详细介绍。
在一种可能的实施方式中,本公开实施方式提供了一种泛洪攻击的客户端验证方法,用于在泛洪攻击产生时,保护合法的客户端能够进行正常的连接通信,具体地,该方法通常部署在防火墙设备上,为了便于理解,图2示出了一种泛洪攻击的客户端验证场景示意图,包括多个客户端、防火墙设备和服务器,通常,一个网络系统中的客户端有多个,即图2中的客户端1、客户端2···客户端n,防火墙设备设置在客户端与服务器之间,通过在服务器的接入端口前的防火墙设备部署本公开实施方式提供的方法,可以对各个攻击的流量进行有效的客户端验证,以实现对服务器进行有效的防护。
具体地,如图3所示的一种泛洪攻击的客户端验证方法的流程图,该方法包括以下步骤:
步骤S302,如果监测到服务器受到客户端的泛洪攻击,则判断客户端是否满足NQA检测机制;
其中,NQA检测机制是基于NQA(Network Quality Analyzer,网络质量分析)技术实现的,NQA技术可以对链路状态、网络性能、网络提供的服务及服务质量进行分析,利用NQA的分析结果,用户可以及时了解网络的性能状况,针对不同的网络性能进行相应处理并对网络故障进行诊断和定位。
在该步骤中,防火墙设备会实时监测TCP标记报文向服务器发起的连接请求的流量速率是否达到预先设置的阈值,以此来判断服务器是否受到了TCP泛洪攻击。如果流量超过了预先设置的阈值,如,在一段时间内,该客户端发送的TCP报文数量较多,并超过了预设值,则防火墙设备会认为当前客户端对服务器进行泛洪攻击,并将该客户端确定为攻击者,同时,该客户端发送的TCP报文也被认定为是攻击报文,进而判断该客户端是否满足NQA检测机制。
步骤S304,如果是,则生成客户端发送的攻击报文的NQA检测报文,其中,NQA检测报文中携带有验证信息;
具体实现时,由于泛洪攻击是客户端发送了大量的TCP报文造成的,因此,该步骤中,生成的NQA检测报文是根据攻击报文生成的。
步骤S306,将NQA检测报文发送至客户端;
步骤S308,如果接收到客户端返回的NQA返回报文,则判断NQA返回报文与验证信息是否匹配,若匹配,则确认客户端为合法客户端。
本公开实施方式提供的泛洪攻击的客户端验证方法,能够在监测到服务器受到客户端的泛洪攻击时,判断客户端是否满NQA检测机制,并在客户端满足NQA检测机制时生成与攻击报文对应的NQA检测报文,且,该NQA检测报文中携带有验证信息,将该NQA检测报文发送至客户端,并在客户端返回NQA返回报文,且,NQA返回报文与验证信息匹配时,确认客户端为合法客户端,上述通过NQA检测机制验证客户端的过程,由于NQA检测报文中携带有验证信息,因此,能够提高客户端验证的精度,以对服务器提供有效的防护。
在实际使用时,由于TCP协议中报文的类型有多种,如SYN报文、SYN-ACK报文、ACK报文、RST报文、和FIN报文等等,对于不同类型的报文,其泛洪攻击的类型也不一样,因此,针对不同类型的泛洪攻击,上述步骤S302中判断客户端是否满足NQA检测机制的过程也不同,因此,在图3的基础上,图4还提供了另一种泛洪攻击的客户端验证方法的流程图,对不同类型的泛洪攻击是否满足NQA检测机制进行说明。具体地,如图4所示,包括以下步骤:
步骤S402,如果监测到服务器受到客户端的泛洪攻击时,提取客户端发送的攻击报文的标记位;
步骤S404,判断该标记位是否为SYN报文的标记位;如果是,执行步骤S406;如果否,执行步骤S408;
具体地,判断标记位的过程主要是为了确认泛洪攻击的攻击报文是否为SYN报文,通常,TCP层中携带有SYN标记的报文,或者说,SYN标记位为1的报文为SYN报文,其主要作用是建立连接,因此,SYN报文也称为连接报文,对于该种类型的报文,通常可以使用传统的客户端验证方式进行验证,即执行下述步骤S406的过程,如果通过传统的客户端验证方式验证该客户端为合法客户端,则可以将该客户端的IP地址添加至受信任列表;如果通过传统的客户端验证方式未通过,再通过本公开实施方式提供的验证方法进行验证,以提高客户端的验证精度。
进一步,对于非连接报文,或者,其他标记位为1的报文,如SYN-ACK、ACK、RST、FIN报文等,则执行下述步骤S408的过程,以对是否满足NQA检测机制进行判断。
步骤S406,判断客户端是否通过预先设置的TCP代理验证;如果是,执行步骤S410;如果否,执行步骤S412;
其中,该步骤是在攻击报文的标记位为SYN报文的标记位时进行的,此时攻击报文向服务器发起大量的SYN报文,以进行TCP连接。
具体地,该步骤中的判断过程可以通过以下步骤实现:
(1)获取SYN报文,根据SYN报文向客户端发送应答报文;
(2)判断是否接收到客户端回应的与应答报文匹配的复位报文;
(3)如果是,确认该客户端通过预先设置的TCP代理验证;如果否,确认该客户端未通过预先设置的TCP代理验证。
在实际使用时,上述预先设置的TCP代理验证通常是指传统的客户端验证方式,例如,可以是图1所示泛洪攻击客户端验证流程,在接受到SYN报文的泛洪攻击时,由防火墙设备先代替服务器向TCP客户端回应序号错误的SYN ACK报文,即,上述根据SYN报文向客户端发送应答报文的过程;如果防火墙设备收到客户端回应的正确RST报文(即,上述接收到客户端回应的与应答报文匹配的复位报文的过程),则认为该TCP连接请求通过TCP代理的验证。
此时,防火墙设备会将该客户端认定为合法用户,并执行步骤S410的过程,将客户端的IP地址添加至受信任列表,并将前面被认定为攻击报文的SYN报文转发至服务器。
进一步,如果该客户端未通过传统的客户端验证方式,则继续执行步骤S412,以对客户端进行进一步的验证。
步骤S408,判断该客户端与服务器是否有匹配的会话记录;如果是,执行步骤S410;如果否,执行步骤S412;
其中,该步骤的判断过程是在攻击报文的标记位为非SYN报文的标记位时进行的,即,攻击报文为SYN-ACK、ACK、RST、FIN等报文时进行的。
对于非SYN报文的泛洪攻击,在判断客户端是否满足NQA检测机制时,是根据该客户端与服务器是否有匹配的会话记录进行的。如果客户端与服务器有会话记录,则可以通过建立会话记录的SYN报文的五元组信息来判断是否匹配,具体地,需获取建立该会话记录的SYN报文的五元组信息;判断五元组信息与客户端当前发送的攻击报文是否一致;如果是,确认客户端与服务器有匹配的会话记录。
在实际使用时,上述会话记录通常指在本环节之前的会话,如果有会话,且匹配,则说明在本环节之前的会话过程中已经验证了该客户端为合法客户端,此时,可以直接将该客户端发送的非SYN报文放行,转发至服务器,并执行步骤S410,将该客户端的IP地址添加至受信任列表。
如果没有本环节之前的会话,或者,SYN报文的五元组信息不匹配,则需继续执行步骤S412,以对客户端进行进一步的验证。
其中,上述SYN报文的五元组信息包括攻击报文的源IP地址、源端口信息、协议号、目的IP地址和目的端口信息,当所有信息均一致时,则说明客户端与服务器有匹配的会话记录,如果有任意一个信息不匹配,则说明会话记录不匹配。
步骤S410,将客户端的IP地址添加至受信任列表;
具体地,该步骤中,防火墙设备会将客户端确认为合法客户端,此时,在前述步骤中被认定的攻击报文也会被设置为合法报文,并将该合法报文发送至服务器。
步骤S412,确认客户端满足NQA检测机制;
由前述步骤可知,对满足NQA检测机制的客户端,通常是发送SYN报文的过程没有满足传统的客户端验证方式,或者说,对于非SYN报文,在本环节之前,客户端与服务器没有匹配的会话记录的情况,因此,需要通过本公开实施方式中的NQA检测机制对客户端进行进一步的验证。
其中,对于非SYN报文的情形,如SYN-ACK、ACK、RST、FIN报文等,判断客户端与服务器是否有匹配的会话记录的过程,也称为pre-test流程,如果满足pre-test流程,则说明该客户端为合法客户端,如果不满足pre-test流程,则需转入NQA检测流程,即下述步骤S414~步骤S422的过程。
步骤S414,获取客户端发送的攻击报文的四元组信息和序号信息;
步骤S416,根据序号信息生成验证信息;
步骤S418,将四元组信息和验证信息封装至NQA检测报文中;
其中,上述步骤S414~步骤S418,是生成攻击报文的NQA检测报文的过程,当通过上述步骤生成NQA检测报文之后,防火墙设备可以启动NQA程序,将该检测报文发送至客户端,并执行下述步骤S422的过程来对客户端回应的NQA返回报文进行验证,进而确定客户端是否满足NQA检测机制的检测环节。
具体地,上述步骤S416中生成验证信息的步骤包括:
(1)采用预先设置的随机算法生成随机验证号;
(2)将随机验证号与序号信息中包含的序列号进行组合,以生成验证信息。
具体地,上述随机验证号是随机算法产生的随机数,例如,通过哈希算法生成的哈希数列等等,具体的随机算法还可以根据实际使用情况进行设置,本公开实施方式对此不进行设置。
进一步,步骤S414中获取的序号信息通常是指攻击报文携带的序列号或者确认号,将序列号或者确认号进行组合,可以生成上述验证信息。
此外,攻击报文的四元组信息通常包括攻击报文的源IP地址、源端口信息、目的IP地址和目的端口信息;因此,上述步骤S418的过程包括:
(1)将四元组中的源IP地址、源端口信息作为NQA检测报文的目的IP地址、目的端口信息,将四元组中的目的IP地址、目的端口信息作为NQA检测报文的源IP地址、源端口信息;
(2)对NQA检测报文的目的IP地址、目的端口信息,以及NQA检测报文的源IP地址、源端口信息和验证信息进行封装,得到NQA检测报文。
例如,假设收到的攻击报文信息为:1.1.1.1(1024)->2.2.2.2(1025),即攻击报文的源IP地址为1.1.1.1;源端口信息(端口号)为1024;目的IP地址为:2.2.2.2;目的端口信息(端口号)为1025,因此,该攻击报文的NQA检测报文的封装格式如下表1所示:
表1:
| 目的IP地址 | 目的端口信息 | 源IP地址 | 源端口信息 | 验证信息 |
| 1.1.1.1 | 1024 | 2.2.2.2 | 1025 | 序列号+随机验证号 |
步骤S420,将NQA检测报文发送至客户端;
步骤S422,如果接收到客户端返回的NQA返回报文,则判断NQA返回报文与验证信息是否匹配,若匹配,则确认客户端为合法客户端。
具体地,该步骤中,客户端返回的NQA返回报文是指在预定时间内客户端根据NQA检测报文回应的返回报文,且,返回报文中携带有与NQA检测报文中的验证信息相同的验证信息,因此,在该步骤中,判断NQA返回报文与验证信息是否匹配的过程,实际是判断NQA返回报文中携带的验证信息与检测报文中的验证信息是否相同,如果相同,则认为NQA返回报文与验证信息匹配,如果不同,则认为NQA返回报文与验证信息不匹配。
进一步,如果客户端是合法的,在NQA检测环节中,则在接收到NQA检测报文后,会提取NQA检测报文的源IP地址、源端口信息作为目的IP地址、目的端口信息,以及将NQA检测报文的目的IP地址、目的端口信息作为源IP地址、源端口信息,再加上NQA检测报文的验证信息,重新封装报文,即生成上述NQA返回报文,并发送至防火墙设备进行回应,以证明合法性。
当防火墙设备在预定时间内收到该NQA返回报文后,则会确认该客户端为合法客户端,将NQA返回报文的源IP地址加入至受信任列表,即,将合法客户端的IP地址添加至受信任列表,同时,将客户端发送的攻击报文设置为合法报文,并将合法报文发送至服务器,后续命中受信任列表的IP地址的流量将被直接放行,不需验证。
进一步,在预定时间内,如果未收到客户端返回的NQA返回报文,或者,虽然在预定时间内收到NQA返回报文,但是,NQA返回报文中的验证信息与NQA检测报文中携带的验证信息不一致;则确认客户端为非法客户端;并丢弃上述攻击报文,并将非法客户端的IP地址添加攻击者列表。此后一段时间内,后续命中攻击者列表的IP地址的流量将被丢弃,也不会启动上述NQA检测机制的检测流程。
此外,对于上述受信任列表和攻击者列表还可以根据安全性要求,设定所包含表项的老化时间,并在每个IP地址加入到列表时启动计时功能,当计时时长到达对应表项的老化时间后,则可以删除该表项记录。
综上,本公开实施方式提供的泛洪攻击的客户端验证方法具有以下有益效果:
(1)缓解了由于部分客户端TCP协议栈不完善导致的合法客户端不能通过客户端验证而被错误的丢弃的问题;
(2)缓解了现有检测方式只对攻击者源IP地址进行检测,导致攻击者模拟现有的可信任IP用户,构造攻击报文通过检查,进而攻击目标服务器的现象;
(3)缓解了现有检测方式利用服务器未启用端口进行检测,导致由于无法准确获知服务器的未启用端口而导致正常用户无法被检测成功,导致报文被丢弃的问题;
(4)添加攻击者列表机制,对于检测不通过的客户端,加入攻击者列表,使得一段时间内相同的攻击报文直接被丢弃,免除现有逻辑对相同攻击者反复验证导致的资源消耗。
此外,对应于上述图3所示的泛洪攻击的客户端验证方法,本公开实施方式还提供了一种泛洪攻击的客户端验证装置,该装置设置于防火墙设备,如图5所示的一种泛洪攻击的客户端验证装置的结构示意图,该装置包括以下结构:
判断模块50,用于如果监测到服务器受到客户端的泛洪攻击,则判断客户端是否满足网络质量分析NQA检测机制;
生成模块52,用于判断模块的判断结果为是时,生成客户端发送的攻击报文的NQA检测报文,其中,NQA检测报文中携带有验证信息;
发送模块54,用于将NQA检测报文发送至客户端;
确认模块56,用于如果接收到客户端返回的NQA返回报文,则判断NQA返回报文与验证信息是否匹配,若匹配,则确认客户端为合法客户端。
本公开实施方式提供的泛洪攻击的客户端验证装置,与上述实施方式提供的泛洪攻击的客户端验证方法具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。
本公开实施方式还提供了一种泛洪攻击的客户端验证系统,该系统包括:客户端、防火墙设备和服务器;客户端、防火墙设备和服务器依次连接;其中,防火墙设备配置有图5所示的泛洪攻击的客户端验证装置。
具体地,本公开实施方式中的泛洪攻击的客户端验证系统可以参考图2所示的示意图,其中,客户端的数量同样也可以包括多个,具体可以根据实际情况进行设置,本公开实施方式对此不进行限制。
本公开实施方式还提供了一种电子设备,如防火墙设备等等,具体地。该电子设备包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器执行所述机器可执行指令以实现图3或图4所示的方法。
进一步,本公开实施方式还提供了一种机器可读存储介质,该机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现图3或图4所示的方法。
参见图6,本公开实施方式还提供一种电子设备的结构示意图,包括:处理器600,存储器601,总线602和通信接口603,所述处理器600、通信接口603和存储器601通过总线602连接;处理器600用于执行存储器601中存储的可执行模块,例如计算机程序。
其中,存储器601可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口603(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线602可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器601用于存储程序,处理器600在接收到执行指令后,执行所述程序,前述本公开任一实施方式揭示的泛洪攻击的客户端验证装置所执行的方法可以应用于处理器600中,或者由处理器600实现。
处理器600可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器600中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器600可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DigitalSignal Processing,简称DSP)、专用集成电路(Application Specific IntegratedCircuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本公开实施方式中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本公开实施方式所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器601,处理器600读取存储器601中的信息,结合其硬件完成上述方法的步骤。
本公开实施方式所提供的泛洪攻击的客户端验证方法、装置、系统及电子设备的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施方式中所述的方法,具体实现可参见方法实施方式,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施方式中的对应过程,在此不再赘述。
另外,在本公开实施方式的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域技术人员而言,可以具体情况理解上述术语在本公开中的具体含义。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本公开各个实施方式所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本公开的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本公开和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本公开的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上实施方式,仅为本公开的具体实施方式,用以说明本公开的技术方案,而非对其限制,本公开的保护范围并不局限于此,尽管参照前述实施方式对本公开进行了详细的说明,本领域技术人员应当理解:任何熟悉本技术领域的技术人员在本公开揭露的技术范围内,其依然可以对前述实施方式所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本公开实施方式技术方案的精神和范围,都应涵盖在本公开的保护范围之内。因此,本公开的保护范围应以权利要求的保护范围为准。
Claims (14)
1.一种泛洪攻击的客户端验证方法,其特征在于,所述方法应用于防火墙设备,所述方法包括:
如果监测到服务器受到客户端的泛洪攻击,则判断所述客户端是否满足网络质量分析NQA检测机制;
如果是,则生成所述客户端发送的攻击报文的NQA检测报文,其中,所述NQA检测报文中携带有验证信息;
将所述NQA检测报文发送至所述客户端;
如果接收到所述客户端返回的NQA返回报文,则判断NQA返回报文与所述验证信息是否匹配,若匹配,则确认所述客户端为合法客户端。
2.根据权利要求1所述的方法,其特征在于,判断所述客户端是否满足NQA检测机制的步骤包括:
提取所述客户端发送的攻击报文的标记位;
如果所述标记位为SYN报文的标记位,判断所述客户端是否通过预先设置的TCP代理验证;
如果否,确认所述客户端满足NQA检测机制。
3.根据权利要求2所述的方法,其特征在于,判断所述客户端是否通过预先设置的TCP代理验证的步骤包括:
获取所述SYN报文,根据所述SYN报文向所述客户端发送应答报文;
判断是否接收到所述客户端回应的与所述应答报文匹配的复位报文;
如果是,确认所述客户端通过预先设置的TCP代理验证;
如果否,确认所述客户端未通过预先设置的所述TCP代理验证。
4.根据权利要求2所述的方法,其特征在于,判断所述客户端是否满足NQA检测机制的步骤还包括:
如果所述标记位为非SYN报文的标记位,判断所述客户端与所述服务器是否有匹配的会话记录;
如果否,确认所述客户端满足NQA检测机制。
5.根据权利要求4所述的方法,其特征在于,判断所述客户端与所述服务器是否有匹配的会话记录的步骤包括:
如果所述客户端与所述服务器有会话记录,获取建立所述会话记录的SYN报文的五元组信息;
判断所述五元组信息与所述客户端当前发送的攻击报文是否一致;
如果是,确认所述客户端与所述服务器有匹配的会话记录。
6.根据权利要求1所述的方法,其特征在于,生成所述客户端发送的攻击报文的NQA检测报文的步骤包括:
获取所述客户端发送的攻击报文的四元组信息和序号信息;
根据所述序号信息生成验证信息;
将所述四元组信息和所述验证信息封装至NQA检测报文中。
7.根据权利要求6所述的方法,其特征在于,根据所述序号信息生成验证信息的步骤包括:
采用预先设置的随机算法生成随机验证号;
将所述随机验证号与所述序号信息中包含的序列号进行组合,以生成所述验证信息。
8.根据权利要求6所述的方法,其特征在于,所述四元组信息包括所述攻击报文的源IP地址、源端口信息、目的IP地址和目的端口信息;
将所述四元组信息和所述验证信息封装至NQA检测报文中的步骤包括:
将所述四元组中的源IP地址、源端口信息作为所述NQA检测报文的目的IP地址、目的端口信息,将所述四元组中的目的IP地址、目的端口信息作为所述NQA检测报文的源IP地址、源端口信息;
对所述NQA检测报文的目的IP地址、目的端口信息,以及所述NQA检测报文的源IP地址、源端口信息和所述验证信息进行封装,得到所述NQA检测报文。
9.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将所述合法客户端的IP地址添加至受信任列表,以及,将所述客户端发送的攻击报文设置为合法报文,并将所述合法报文发送至所述服务器。
10.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在预定时间内,如果未收到所述客户端返回的NQA返回报文,或者,在预定时间内收到所述NQA返回报文,且,所述NQA返回报文中的验证信息与所述NQA检测报文中携带的验证信息不一致;
则确认客户端为非法客户端;
丢弃所述攻击报文,并将所述非法客户端的IP地址添加攻击者列表。
11.一种泛洪攻击的客户端验证装置,其特征在于,所述装置设置于防火墙设备,所述装置包括:
判断模块,用于如果监测到服务器受到客户端的泛洪攻击,则判断所述客户端是否满足网络质量分析NQA检测机制;
生成模块,用于所述判断模块的判断结果为是时,生成所述客户端发送的攻击报文的NQA检测报文,其中,所述NQA检测报文中携带有验证信息;
发送模块,用于将所述NQA检测报文发送至所述客户端;
确认模块,用于如果接收到所述客户端返回的NQA返回报文,则判断NQA返回报文与所述验证信息是否匹配,若匹配,则确认所述客户端为合法客户端。
12.一种泛洪攻击的客户端验证系统,其特征在于,所述系统包括:客户端、防火墙设备和服务器;所述客户端、所述防火墙设备和所述服务器依次连接;
其中,所述防火墙设备配置有权利要求11所述的泛洪攻击的客户端验证装置。
13.一种电子设备,其特征在于,所述电子设备包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器执行所述机器可执行指令以实现权利要求1~10任一项所述的方法。
14.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现权利要求1~10任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911021993.XA CN110784464B (zh) | 2019-10-24 | 2019-10-24 | 泛洪攻击的客户端验证方法、装置、系统及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911021993.XA CN110784464B (zh) | 2019-10-24 | 2019-10-24 | 泛洪攻击的客户端验证方法、装置、系统及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110784464A true CN110784464A (zh) | 2020-02-11 |
| CN110784464B CN110784464B (zh) | 2022-09-09 |
Family
ID=69387774
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911021993.XA Active CN110784464B (zh) | 2019-10-24 | 2019-10-24 | 泛洪攻击的客户端验证方法、装置、系统及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110784464B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111431871A (zh) * | 2020-03-10 | 2020-07-17 | 杭州迪普科技股份有限公司 | Tcp半透明代理的处理方法和装置 |
| CN111526126A (zh) * | 2020-03-29 | 2020-08-11 | 杭州迪普科技股份有限公司 | 数据安全传输方法,数据安全设备及系统 |
| CN112055028A (zh) * | 2020-09-11 | 2020-12-08 | 北京知道创宇信息技术股份有限公司 | 网络攻击防御方法、装置、电子设备及存储介质 |
| CN113726757A (zh) * | 2021-08-24 | 2021-11-30 | 杭州迪普科技股份有限公司 | Https协议客户端的验证方法及装置 |
| CN113810398A (zh) * | 2021-09-09 | 2021-12-17 | 新华三信息安全技术有限公司 | 一种攻击防护方法、装置、设备及存储介质 |
| CN114070572A (zh) * | 2020-07-30 | 2022-02-18 | 北京威努特技术有限公司 | 一种非法tcp数据流的检测方法、装置及计算机设备 |
| CN116866055A (zh) * | 2023-07-26 | 2023-10-10 | 中科驭数(北京)科技有限公司 | 数据泛洪攻击的防御方法、装置、设备及介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101277225A (zh) * | 2008-05-09 | 2008-10-01 | 杭州华三通信技术有限公司 | 一种网络质量分析的方法及网络质量分析发起端设备 |
| CN102664767A (zh) * | 2012-04-18 | 2012-09-12 | 郑州三友软件科技有限公司 | 一种基于ip的wlan网络数据qos分析方法 |
| CN102664833A (zh) * | 2012-05-03 | 2012-09-12 | 烽火通信科技股份有限公司 | 家庭网关及分析用户上网行为和监控网络质量的方法 |
| US20140304817A1 (en) * | 2013-04-09 | 2014-10-09 | Electronics And Telecommunications Research Institute | APPARATUS AND METHOD FOR DETECTING SLOW READ DoS ATTACK |
| CN106302495A (zh) * | 2016-08-25 | 2017-01-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种ACK Flood攻击的防护方法及中间防护装置 |
| CN106470238A (zh) * | 2015-08-20 | 2017-03-01 | 阿里巴巴集团控股有限公司 | 应用于服务器负载均衡中的连接建立方法及装置 |
| CN107454065A (zh) * | 2017-07-12 | 2017-12-08 | 北京神州绿盟信息安全科技股份有限公司 | 一种UDP Flood攻击的防护方法及装置 |
| CN108243072A (zh) * | 2016-12-26 | 2018-07-03 | 阿里巴巴集团控股有限公司 | 一种进行网络延时监控的方法与设备 |
-
2019
- 2019-10-24 CN CN201911021993.XA patent/CN110784464B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101277225A (zh) * | 2008-05-09 | 2008-10-01 | 杭州华三通信技术有限公司 | 一种网络质量分析的方法及网络质量分析发起端设备 |
| CN102664767A (zh) * | 2012-04-18 | 2012-09-12 | 郑州三友软件科技有限公司 | 一种基于ip的wlan网络数据qos分析方法 |
| CN102664833A (zh) * | 2012-05-03 | 2012-09-12 | 烽火通信科技股份有限公司 | 家庭网关及分析用户上网行为和监控网络质量的方法 |
| US20140304817A1 (en) * | 2013-04-09 | 2014-10-09 | Electronics And Telecommunications Research Institute | APPARATUS AND METHOD FOR DETECTING SLOW READ DoS ATTACK |
| CN106470238A (zh) * | 2015-08-20 | 2017-03-01 | 阿里巴巴集团控股有限公司 | 应用于服务器负载均衡中的连接建立方法及装置 |
| CN106302495A (zh) * | 2016-08-25 | 2017-01-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种ACK Flood攻击的防护方法及中间防护装置 |
| CN108243072A (zh) * | 2016-12-26 | 2018-07-03 | 阿里巴巴集团控股有限公司 | 一种进行网络延时监控的方法与设备 |
| CN107454065A (zh) * | 2017-07-12 | 2017-12-08 | 北京神州绿盟信息安全科技股份有限公司 | 一种UDP Flood攻击的防护方法及装置 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111431871A (zh) * | 2020-03-10 | 2020-07-17 | 杭州迪普科技股份有限公司 | Tcp半透明代理的处理方法和装置 |
| CN111526126A (zh) * | 2020-03-29 | 2020-08-11 | 杭州迪普科技股份有限公司 | 数据安全传输方法,数据安全设备及系统 |
| CN111526126B (zh) * | 2020-03-29 | 2022-11-01 | 杭州迪普科技股份有限公司 | 数据安全传输方法,数据安全设备及系统 |
| CN114070572A (zh) * | 2020-07-30 | 2022-02-18 | 北京威努特技术有限公司 | 一种非法tcp数据流的检测方法、装置及计算机设备 |
| CN112055028A (zh) * | 2020-09-11 | 2020-12-08 | 北京知道创宇信息技术股份有限公司 | 网络攻击防御方法、装置、电子设备及存储介质 |
| CN112055028B (zh) * | 2020-09-11 | 2023-08-08 | 北京知道创宇信息技术股份有限公司 | 网络攻击防御方法、装置、电子设备及存储介质 |
| CN113726757A (zh) * | 2021-08-24 | 2021-11-30 | 杭州迪普科技股份有限公司 | Https协议客户端的验证方法及装置 |
| CN113810398A (zh) * | 2021-09-09 | 2021-12-17 | 新华三信息安全技术有限公司 | 一种攻击防护方法、装置、设备及存储介质 |
| CN113810398B (zh) * | 2021-09-09 | 2023-09-26 | 新华三信息安全技术有限公司 | 一种攻击防护方法、装置、设备及存储介质 |
| CN116866055A (zh) * | 2023-07-26 | 2023-10-10 | 中科驭数(北京)科技有限公司 | 数据泛洪攻击的防御方法、装置、设备及介质 |
| CN116866055B (zh) * | 2023-07-26 | 2024-02-27 | 中科驭数(北京)科技有限公司 | 数据泛洪攻击的防御方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110784464B (zh) | 2022-09-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110784464B (zh) | 泛洪攻击的客户端验证方法、装置、系统及电子设备 | |
| US7536552B2 (en) | Upper-level protocol authentication | |
| CN108551446B (zh) | 防攻击的syn报文处理方法、装置、防火墙及存储介质 | |
| US8800001B2 (en) | Network authentication method, method for client to request authentication, client, and device | |
| US8499146B2 (en) | Method and device for preventing network attacks | |
| US7472416B2 (en) | Preventing network reset denial of service attacks using embedded authentication information | |
| US10693908B2 (en) | Apparatus and method for detecting distributed reflection denial of service attack | |
| WO2019178966A1 (zh) | 抵抗网络攻击方法、装置、计算机设备及存储介质 | |
| CN107395632B (zh) | SYN Flood防护方法、装置、清洗设备及介质 | |
| WO2003019404A1 (en) | Protecting against distributed denial of service attacks | |
| WO2011000304A1 (zh) | 一种异常连接的检测方法、装置及网关设备 | |
| CN110166408B (zh) | 防御泛洪攻击的方法、装置和系统 | |
| CN111970308A (zh) | 一种防护SYN Flood攻击的方法、装置及设备 | |
| CN107454065B (zh) | 一种UDP Flood攻击的防护方法及装置 | |
| Cao et al. | 0-rtt attack and defense of quic protocol | |
| CN113242260B (zh) | 攻击检测方法、装置、电子设备及存储介质 | |
| CN112235329A (zh) | 一种识别syn报文真实性的方法、装置及网络设备 | |
| CN113765849B (zh) | 一种异常网络流量检测方法和装置 | |
| CN113810398B (zh) | 一种攻击防护方法、装置、设备及存储介质 | |
| KR20130009130A (ko) | 좀비 피씨 및 디도스 대응 장치 및 방법 | |
| CN114697088A (zh) | 一种确定网络攻击的方法、装置及电子设备 | |
| CN112491911B (zh) | Dns分布式拒绝服务防御方法、装置、设备及存储介质 | |
| JP4391455B2 (ja) | DDoS攻撃に対する不正アクセス検知システム及びプログラム | |
| CN113872949A (zh) | 一种地址解析协议的应答方法及相关装置 | |
| CN112087464A (zh) | SYN Flood攻击清洗方法、装置、电子设备和可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |