CN110912907B - Ssl握手阶段的攻击防护方法和装置 - Google Patents
Ssl握手阶段的攻击防护方法和装置 Download PDFInfo
- Publication number
- CN110912907B CN110912907B CN201911194012.1A CN201911194012A CN110912907B CN 110912907 B CN110912907 B CN 110912907B CN 201911194012 A CN201911194012 A CN 201911194012A CN 110912907 B CN110912907 B CN 110912907B
- Authority
- CN
- China
- Prior art keywords
- message
- processed
- address
- source
- tcp connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种针对SSL握手阶段的攻击防护方法及装置,应用于防护设备中,所述方法包括:获取终端发送的待处理报文携带的源IP地址;在黑名单和白名单中查找源IP地址;若在黑名单和白名单中均未查找到源IP地址,则确定待处理报文是否是Client Hello报文;若确定待处理报文是Client Hello报文,则向终端发送异常的Sever Hello报文,在待处理报文对应的TCP连接的状态信息中添加发送标识,并丢弃待处理报文;若确定待处理报文不是Client Hello报文,则根据TCP连接的状态信息中是否包括发送标识、以及待处理报文是否是携带设定错误信息的告警Alert报文更新白名单或者黑名单,断开TCP连接,并丢弃待处理报文。应用本申请的实施例,实现更好地防护针对SSL握手阶段的攻击。
Description
技术领域
本申请涉及网络通信技术领域,特别设计一种安全套接层(Secure SocketsLayer,SSL)握手阶段的攻击防护方法和装置。
背景技术
随着互联网的不断发展,网络安全也越来越受到重视。现在,超文本传输安全协议(Hypertext Transfer Protocol Secure,HTTPS)逐渐替代超文本传输协议(Hyper TextTransfer Protocol,HTTP),针对HTTPS的攻击也呈快速增长趋势,包括针对安全套接层(Secure Sockets Layer,SSL)握手阶段的攻击和针对HTTPS数据报文的攻击。
其中,针对SSL握手阶段的攻击方式为:攻击源在与服务器建立传输控制协议(Transmission Control Protocol,TCP)连接后,会继续请求与服务器建立SSL连接,首先发送客户端问候Client Hello报文;服务器通常会回复服务器问候Server Hello报文、证书等等报文;攻击源接收到Server Hello报文、证书等报文后,发送一串错误的加密数据;服务器在解密操作执行完成后,才发现是错误的加密数据,对于加密和解密的操作而言,服务器的资源消耗约是客户端的15倍,此时,通过解密操作就已经消耗了服务器的资源,当多个攻击源请求与服务器建立相当数量的SSL连接后,服务器的资源已被大大消耗,从而只能拒绝后续的请求,导致正常的终端也不能访问服务器。
因此,如何防护针对SSL握手阶段的攻击是亟需解决的问题。
发明内容
有鉴于此,本申请提供一种针对SSL握手阶段的攻击防护方法和装置,以实现防护针对SSL握手阶段的攻击。
具体地,本申请是通过如下技术方案实现的:
一种针对SSL握手阶段的攻击防护方法,应用于防护设备中,所述方法包括:
获取终端发送的待处理报文携带的源互联网协议IP地址;
在黑名单和白名单中查找所述源IP地址;
若在所述黑名单和所述白名单中均未查找到所述源IP地址,则确定所述待处理报文是否是客户端问候Client Hello报文;
若确定所述待处理报文是Client Hello报文,则向所述终端发送异常的服务器问候Sever Hello报文,在所述待处理报文对应的传输控制协议TCP连接的状态信息中添加发送标识,并丢弃所述待处理报文;若确定所述待处理报文不是Client Hello报文,则根据所述TCP连接的状态信息中是否包括所述发送标识、以及所述待处理报文是否是携带设定错误信息的告警Alert报文更新所述白名单或者黑名单,断开所述TCP连接,并丢弃所述待处理报文。
一种针对SSL握手阶段的攻击防护装置,应用于防护设备中,所述装置包括:
获取模块,用于获取终端发送的待处理报文携带的源IP地址;
查找模块,用于在黑名单和白名单中查找所述源IP地址;
处理模块,用于若在所述黑名单和所述白名单中均未查找到所述源IP地址,则确定所述待处理报文是否是Client Hello报文;若确定所述待处理报文是Client Hello报文,则向所述终端发送异常的Sever Hello报文,在所述待处理报文对应的TCP连接的状态信息中添加发送标识,并丢弃所述待处理报文;若确定所述待处理报文不是Client Hello报文,则根据所述TCP连接的状态信息中是否包括所述发送标识、以及所述待处理报文是否是携带设定错误信息的Alert报文更新所述白名单或者黑名单,断开所述TCP连接,并丢弃所述待处理报文。
一种电子设备,所述电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存储的程序时,实现上述的方法步骤。
一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法步骤。
由以上本申请提供的技术方案可见,可以建立黑名单和白名单,首先利用白名单和黑名单过滤报文,若无法过滤报文时,在确定终端发送的待处理报文不是Client Hello报文后,可以根据TCP连接的状态信息中是否包括发送标识、以及待处理报文是否是携带设定错误信息的告警Alert报文更新白名单或者黑名单,从而可以不断完善白名单和黑名单,利用实时更新的白名单和黑名单可以准确地过滤掉来自攻击源的报文,从而实现更好地防护针对SSL握手阶段的攻击,避免服务器在解密操作执行完成后才发现是错误的加密数据而造成的无意义的资源浪费,确保服务器可以处理正常的访问。
附图说明
图1为本申请示出的一种针对SSL握手阶段的攻击防护方法的流程图;
图2为本申请示出的一种针对SSL握手阶段的攻击防护装置的结构示意图;
图3为本申请示出的一种电子设备的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
针对SSL握手阶段的攻击特点是攻击源发送Client Hello报文并接收到ServerHello报文、证书等报文后,发送一段错误的加密数据给服务器,在服务器进行解密操作后,才发现是错误的数据。此种攻击正是通过服务器的解密操作来消耗服务器的资源,从而达到拒绝后续的请求的目的。可见,针对SSL握手阶段的攻击防护的关键点在于及时确认发送报文的终端是否可靠。
为了解决上述问题,本发明实施例提供了一种针对SSL握手阶段的攻击防护方法,以实现更好地防护针对SSL握手阶段的攻击,避免服务器在解密操作执行完成后才发现是错误的加密数据而造成的无意义的资源浪费,确保服务器可以处理正常的访问。
请参见图1,图1为本申请示出的一种针对SSL握手阶段的攻击防护方法的流程图,应用于防护设备中,防护设备设置在终端与服务器之间,终端发送给服务器的报文首先由防护设备接收并进行相应处理。
S11:获取终端发送的待处理报文携带的源互联网协议(Internet Protocol,IP)地址。
针对SSL握手阶段的攻击通常是由终端发起的,因此,可以通过设置在终端和服务器之间的防护设备进行防护。在进行防护时,针对接收到的每个终端发送的每个报文都要进行处理,这些报文可以定义为待处理报文,首先需要获取待处理报文的源IP地址,该源IP地址也就是发送待处理报文的终端的IP地址。
S12:在黑名单和白名单中查找源IP地址。
可以建立白名单和黑名单,在白名单中记载安全的终端的IP地址,那携带白名单中的IP地址为源IP地址的报文就可以直接放行,在黑名单中记载不安全的终端的IP地址,那携带黑名单中的IP地址为源IP地址的报文就可以直接丢弃,因此,可以首先在白名单和黑名单中查找待处理报文的源IP地址。
S13:若在黑名单和白名单中均未查找到源IP地址,则确定待处理报文是否是Client Hello报文,若确定待处理报文是Client Hello报文,则执行S14;若确定待处理报文不是Client Hello报文,则执行S15。
若在白名单中查找到源IP地址,说明发送待处理报文的终端是安全的,待处理报文可以直接放行,则直接转发待处理报文;若在黑名单中查找到源IP地址,说明发送待处理报文的终端是不安全的,则直接丢弃待处理报文;若在白名单和黑名单中均未查找到待处理报文的源IP地址,说明无法确定发送待处理报文的终端是否安全,因此需要进一步判断。
一种可选的实施方式,在确定待处理报文是否是Client Hello报文之前,还可以确定待处理报文否是SSL报文,若确定待处理报文不是SSL报文,说明不是针对SSL握手阶段的攻击,则可以转发待处理报文;若确定待处理报文是SSL报文,需要进一步确定是否是针对SSL握手阶段的攻击,则需要执行确定待处理报文是否Client Hello报文的步骤。
S14:向终端发送异常的Sever Hello报文,在待处理报文对应的TCP连接的状态信息中添加发送标识,并丢弃待处理报文。
若确定待处理报文是Client Hello报文,说明可能是针对SSL握手阶段的攻击,可以基于SSL协议的Alert机制,代替服务器构造一个异常的Server Hello报文回复给终端,SSL握手阶段是基于TCP连接的,而Client Hello报文是SSL握手阶段的第一个报文,因此,接收到Client Hello报文说明之前终端已经与服务器建立了TCP连接,可以在待处理报文对应的TCP连接的状态信息中添加发送标识,用来标识已经发送过异常的Sever Hello报文,并丢弃待处理报文,然后根据终端后续回复的报文进行进一步判断。
其中,可以将Server Hello报文的cipher suit字段设为全0,这样得到的ServerHello就是异常的Server Hello报文。
S15:根据TCP连接的状态信息中是否包括发送标识、以及待处理报文是否是携带设定错误信息的告警Alert报文更新白名单或者黑名单,断开TCP连接,并丢弃待处理报文。
按照SSL协议,终端接收到异常的Server Hello报文后,会回复携带设定错误信息的Alert报文;若防护设备接收到携带设定错误信息的Alert报文,还需要确定携带设定错误信息的Alert报文是不是因为之前发送的异常的Server Hello报文而回复的。
因此,若确定待处理报文不是Client Hello报文,就可以根据TCP连接的状态信息中是否包括发送标识、以及待处理报文是否是携带设定错误信息的告警Alert报文更新白名单或者黑名单,断开TCP连接,并丢弃待处理报文,避免服务器在解密操作执行完成后才发现是错误的加密数据而造成的无意义的资源浪费,确保服务器可以处理正常的访问。
其中,设定错误信息可以是错误码为47;可以通过发送RST报文,来断开TCP连接。
需要说明的是,若在白名单和黑名单中均未查找到源IP地址后的各种情况均会断开之间建立的TCP连接,对于安全的终端,其IP地址记录在白名单中,在断开TCP连接之后,还可以再次尝试建立TCP连接,此时报文都会直接放行,因此还可以成功建立TCP连接进行通信;对于不安全的终端,其IP地址记录在黑名单中,后续即使再次尝试建立TCP连接,报文也会直接丢弃,无法建立TCP连接。
由以上本申请提供的技术方案可见,可以建立黑名单和白名单,首先利用白名单和黑名单过滤报文,若无法过滤报文时,在确定终端发送的待处理报文不是Client Hello报文后,可以根据TCP连接的状态信息中是否包括发送标识、以及待处理报文是否是携带设定错误信息的告警Alert报文更新白名单或者黑名单,从而可以不断完善白名单和黑名单,利用实时更新的白名单和黑名单可以准确地过滤掉来自攻击源的报文,从而实现更好地防护针对SSL握手阶段的攻击。
具体的,上述S15中的根据TCP连接的状态信息中是否包括发送标识以及待处理报文是否携带设定错误信息的Alert报文更新白名单或者黑名单,实现过程具体包括:
确定TCP连接的状态信息是否包括发送标识;
若确定TCP连接的状态信息包括发送标识,则确定待处理报文是否是携带设定错误信息的Alert报文;
若确定待处理报文是携带设定错误信息的Alert报文,则将源IP地址添加到白名单中;
若确定TCP连接的状态信息未包括发送标识或者待处理报文不是携带设定错误信息的Alert报文,则将源IP地址添加到黑名单中。
根据TCP连接的状态信息中是否包括发送标识以及待处理报文是否携带设定错误信息的Alert报文更新白名单或者黑名单时,首先需要确定TCP连接的状态信息是否包括发送标识,若确定TCP连接的状态信息包括发送标识,说明之前已经发送过异常的SeverHello报文,按照SSL协议,终端接收到异常的Server Hello报文后,会回复携带设定错误信息的Alert报文,还需要进一步确定待处理报文是否是携带设定错误信息的Alert报文,若确定待处理报文是携带设定错误信息的Alert报文,说明发送待处理报文的终端是按照SSL协议通信的,是安全的,不是攻击源,则可以直接将源IP地址添加到白名单中;若确定TCP连接的状态信息未包括发送标识或者待处理报文不是携带设定错误信息的Alert报文,说明发送待处理报文的终端并不是按照SSL协议进行通信的,是不安全的,是攻击源,则直接将源IP地址添加到黑名单中。通过上述过程,可以实时地更新白名单和黑名单,从而便于后续可以更加准确地防护针对SSL握手阶段的攻击。
请参见图2,图2为本申请示出的一种基于SSL协议的攻击防护装置的结构示意图,应用于防护设备中,该装置包括:
获取模块21,用于获取终端发送的待处理报文携带的源IP地址;
查找模块22,用于在黑名单和白名单中查找源IP地址;
处理模块23,用于若在黑名单和白名单中均未查找到源IP地址,则确定待处理报文是否是Client Hello报文;若确定待处理报文是Client Hello报文,则向终端发送异常的Sever Hello报文,在待处理报文对应的TCP连接的状态信息中添加发送标识,并丢弃待处理报文;若确定待处理报文不是Client Hello报文,则根据TCP连接的状态信息中是否包括发送标识、以及待处理报文是否是携带设定错误信息的Alert报文更新白名单或者黑名单,断开TCP连接,并丢弃待处理报文。
由以上本申请提供的技术方案可见,可以建立黑名单和白名单,首先利用白名单和黑名单过滤报文,若无法过滤报文时,在确定终端发送的待处理报文不是Client Hello报文后,可以根据TCP连接的状态信息中是否包括发送标识、以及待处理报文是否是携带设定错误信息的告警Alert报文更新白名单或者黑名单,从而可以不断完善白名单和黑名单,利用实时更新的白名单和黑名单可以准确地过滤掉来自攻击源的报文,从而实现更好地防护针对SSL握手阶段的攻击,避免服务器在解密操作执行完成后才发现是错误的加密数据而造成的无意义的资源浪费,确保服务器可以处理正常的访问。
一种可选的实施方式,处理模块23,还用于:
若在白名单中查找到源IP地址,则转发待处理报文;或者,
若在黑名单中查找到源IP地址,则丢弃待处理报文。
一种可选的实施方式,处理模块23,还用于:
在确定待处理报文是否Client Hello报文之前,确定待处理报文否是SSL报文;
若确定待处理报文不是SSL报文,则转发待处理报文;
若确定待处理报文是SSL报文,则执行所述确定待处理报文是否Client Hello报文的步骤。
具体的,处理模块23,用于根据TCP连接的状态信息中是否包括发送标识以及待处理报文是否携带设定错误信息的Alert报文更新白名单或者黑名单,具体用于:
确定TCP连接的状态信息是否包括发送标识;
若确定TCP连接的状态信息包括发送标识,则确定待处理报文是否是携带设定错误信息的Alert报文;
若确定待处理报文是携带设定错误信息的Alert报文,则将源IP地址添加到白名单中;
若确定TCP连接的状态信息未包括发送标识或者待处理报文不是携带设定错误信息的Alert报文,则将源IP地址添加到黑名单中。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本申请实施例还提供了一种电子设备,请参见图3所示,包括处理器310、通信接口320、存储器330和通信总线340,其中,处理器310,通信接口320,存储器330通过通信总线340完成相互间的通信。
存储器330,用于存放计算机程序;
处理器310,用于执行存储器330上所存放的程序时,实现上述实施例中任一所述的基于SSL协议的攻击防护方法。
通信接口320用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
由以上本申请提供的技术方案可见,可以建立黑名单和白名单,首先利用白名单和黑名单过滤报文,若无法过滤报文时,在确定终端发送的待处理报文不是Client Hello报文后,可以根据TCP连接的状态信息中是否包括发送标识、以及待处理报文是否是携带设定错误信息的告警Alert报文更新白名单或者黑名单,从而可以不断完善白名单和黑名单,利用实时更新的白名单和黑名单可以准确地过滤掉来自攻击源的报文,从而实现更好地防护针对SSL握手阶段的攻击,避免服务器在解密操作执行完成后才发现是错误的加密数据而造成的无意义的资源浪费,确保服务器可以处理正常的访问。
相应地,本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的基于SSL协议的攻击防护方法。
由以上本申请提供的技术方案可见,可以建立黑名单和白名单,首先利用白名单和黑名单过滤报文,若无法过滤报文时,在确定终端发送的待处理报文不是Client Hello报文后,可以根据TCP连接的状态信息中是否包括发送标识、以及待处理报文是否是携带设定错误信息的告警Alert报文更新白名单或者黑名单,从而可以不断完善白名单和黑名单,利用实时更新的白名单和黑名单可以准确地过滤掉来自攻击源的报文,从而实现更好地防护针对SSL握手阶段的攻击,避免服务器在解密操作执行完成后才发现是错误的加密数据而造成的无意义的资源浪费,确保服务器可以处理正常的访问。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (8)
1.一种针对SSL握手阶段的攻击防护方法,应用于防护设备中,其特征在于,所述方法包括:
获取终端发送的待处理报文携带的源IP地址;
在黑名单和白名单中查找所述源IP地址;
若在所述黑名单和所述白名单中均未查找到所述源IP地址,则确定所述待处理报文是否是Client Hello报文;
若确定所述待处理报文是Client Hello报文,则向所述终端发送异常的Sever Hello报文,在所述待处理报文对应的TCP连接的状态信息中添加发送标识,并丢弃所述待处理报文;若确定所述待处理报文不是Client Hello报文,则确定所述TCP连接的状态信息是否包括所述发送标识;
若确定所述TCP连接的状态信息包括所述发送标识,则确定所述待处理报文是否是携带设定错误信息的Alert报文;
若确定所述待处理报文是携带设定错误信息的Alert报文,则将所述源IP地址添加到所述白名单中,断开所述TCP连接,并丢弃所述待处理报文;
若确定所述TCP连接的状态信息未包括所述发送标识或者所述待处理报文不是携带设定错误信息的Alert报文,则将所述源IP地址添加到所述黑名单中,断开所述TCP连接,并丢弃所述待处理报文。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若在所述白名单中查找到所述源IP地址,则转发所述待处理报文;或者,
若在所述黑名单中查找到所述源IP地址,则丢弃所述待处理报文。
3.根据权利要求1所述的方法,其特征在于,确定所述待处理报文是否Client Hello报文之前,所述方法还包括:
确定所述待处理报文否是SSL报文;
若确定所述待处理报文不是SSL报文,则转发所述待处理报文;
若确定所述待处理报文是SSL报文,则执行所述确定所述待处理报文是否ClientHello报文的步骤。
4.一种针对SSL握手阶段的攻击防护装置,应用于防护设备中,其特征在于,所述装置包括:
获取模块,用于获取终端发送的待处理报文携带的源IP地址;
查找模块,用于在黑名单和白名单中查找所述源IP地址;
处理模块,用于若在所述黑名单和所述白名单中均未查找到所述源IP地址,则确定所述待处理报文是否是Client Hello报文;若确定所述待处理报文是Client Hello报文,则向所述终端发送异常的Sever Hello报文,在所述待处理报文对应的TCP连接的状态信息中添加发送标识,并丢弃所述待处理报文;若确定所述待处理报文不是Client Hello报文,则确定所述TCP连接的状态信息是否包括所述发送标识;
若确定所述TCP连接的状态信息包括所述发送标识,则确定所述待处理报文是否是携带设定错误信息的Alert报文;
若确定所述待处理报文是携带设定错误信息的Alert报文,则将所述源IP地址添加到所述白名单中,断开所述TCP连接,并丢弃所述待处理报文;
若确定所述TCP连接的状态信息未包括所述发送标识或者所述待处理报文不是携带设定错误信息的Alert报文,则将所述源IP地址添加到所述黑名单中,断开所述TCP连接,并丢弃所述待处理报文。
5.根据权利要求4所述的装置,其特征在于,所述处理模块,还用于:
若在所述白名单中查找到所述源IP地址,则转发所述待处理报文;或者,
若在所述黑名单中查找到所述源IP地址,则丢弃所述待处理报文。
6.根据权利要求4所述的装置,其特征在于,所述处理模块,还用于:
在确定所述待处理报文是否Client Hello报文之前,确定所述待处理报文否是SSL报文;
若确定所述待处理报文不是SSL报文,则转发所述待处理报文;
若确定所述待处理报文是SSL报文,则执行所述确定所述待处理报文是否ClientHello报文的步骤。
7.一种电子设备,其特征在于,所述电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存储的程序时,实现权利要求1-3任一所述的方法步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-3任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911194012.1A CN110912907B (zh) | 2019-11-28 | 2019-11-28 | Ssl握手阶段的攻击防护方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911194012.1A CN110912907B (zh) | 2019-11-28 | 2019-11-28 | Ssl握手阶段的攻击防护方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110912907A CN110912907A (zh) | 2020-03-24 |
| CN110912907B true CN110912907B (zh) | 2022-08-26 |
Family
ID=69820330
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911194012.1A Active CN110912907B (zh) | 2019-11-28 | 2019-11-28 | Ssl握手阶段的攻击防护方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110912907B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113839859B (zh) * | 2020-06-23 | 2023-05-23 | 华为技术有限公司 | 一种报文通告的方法以及相关装置 |
| CN112291248A (zh) * | 2020-10-30 | 2021-01-29 | 绿盟科技集团股份有限公司 | 一种防护HTTPS DDoS攻击的方法及设备 |
| CN113726757B (zh) * | 2021-08-24 | 2023-08-22 | 杭州迪普科技股份有限公司 | Https协议客户端的验证方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105827646A (zh) * | 2016-05-17 | 2016-08-03 | 浙江宇视科技有限公司 | Syn攻击防护的方法及装置 |
| CN106453419A (zh) * | 2016-12-07 | 2017-02-22 | 东软集团股份有限公司 | 识别源ip地址合法性、网络攻击防御的方法及装置 |
| CN107438074A (zh) * | 2017-08-08 | 2017-12-05 | 北京神州绿盟信息安全科技股份有限公司 | 一种DDoS攻击的防护方法及装置 |
| CN108418844A (zh) * | 2018-06-19 | 2018-08-17 | 北京云枢网络科技有限公司 | 一种应用层攻击的防护方法及攻击防护端 |
| CN108551446A (zh) * | 2018-04-08 | 2018-09-18 | 东软集团股份有限公司 | 防攻击的syn报文处理方法、装置、防火墙及存储介质 |
| CN110365658A (zh) * | 2019-06-25 | 2019-10-22 | 深圳市腾讯计算机系统有限公司 | 一种反射攻击防护与流量清洗方法、装置、设备及介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9774631B2 (en) * | 2014-10-29 | 2017-09-26 | International Business Machines Corporation | TLS connection abandoning |
-
2019
- 2019-11-28 CN CN201911194012.1A patent/CN110912907B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105827646A (zh) * | 2016-05-17 | 2016-08-03 | 浙江宇视科技有限公司 | Syn攻击防护的方法及装置 |
| CN106453419A (zh) * | 2016-12-07 | 2017-02-22 | 东软集团股份有限公司 | 识别源ip地址合法性、网络攻击防御的方法及装置 |
| CN107438074A (zh) * | 2017-08-08 | 2017-12-05 | 北京神州绿盟信息安全科技股份有限公司 | 一种DDoS攻击的防护方法及装置 |
| CN108551446A (zh) * | 2018-04-08 | 2018-09-18 | 东软集团股份有限公司 | 防攻击的syn报文处理方法、装置、防火墙及存储介质 |
| CN108418844A (zh) * | 2018-06-19 | 2018-08-17 | 北京云枢网络科技有限公司 | 一种应用层攻击的防护方法及攻击防护端 |
| CN110365658A (zh) * | 2019-06-25 | 2019-10-22 | 深圳市腾讯计算机系统有限公司 | 一种反射攻击防护与流量清洗方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110912907A (zh) | 2020-03-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110912907B (zh) | Ssl握手阶段的攻击防护方法和装置 | |
| US10812521B1 (en) | Security monitoring system for internet of things (IOT) device environments | |
| US10929538B2 (en) | Network security protection method and apparatus | |
| EP3259928B1 (en) | Establishing and managing identities for constrained devices | |
| CN109309685B (zh) | 信息传输方法和装置 | |
| US10798061B2 (en) | Automated learning of externally defined network assets by a network security device | |
| US10263788B2 (en) | Systems and methods for providing a man-in-the-middle proxy | |
| WO2020086714A1 (en) | Network security system with enhanced traffic analysis based on feedback loop | |
| US9854000B2 (en) | Method and apparatus for detecting malicious software using handshake information | |
| KR102581873B1 (ko) | 전자기기의 패스워드 업데이트 방법, 장치, 기기 및 저장매체 | |
| CN111431871B (zh) | Tcp半透明代理的处理方法和装置 | |
| US20170272456A1 (en) | Intrusion detection to prevent impersonation attacks in computer networks | |
| CN110557255A (zh) | 一种证书管理的方法和装置 | |
| US20180048670A1 (en) | Evaluation node for reporting status via a secure link | |
| CN111182537A (zh) | 移动应用的网络接入方法、装置及系统 | |
| WO2016008212A1 (zh) | 一种终端及检测终端数据交互的安全性的方法、存储介质 | |
| CN112751866B (zh) | 一种网络数据传输方法及系统 | |
| CN107948195B (zh) | 一种防护Modbus攻击的方法及装置 | |
| CN111181967B (zh) | 数据流识别方法、装置、电子设备及介质 | |
| US11310265B2 (en) | Detecting MAC/IP spoofing attacks on networks | |
| CN112087475B (zh) | 一种云平台组件应用的消息推送方法、装置及消息服务器 | |
| US20170237716A1 (en) | System and method for interlocking intrusion information | |
| CN113630417B (zh) | 基于waf的数据发送方法、装置、电子装置和存储介质 | |
| CN114363020A (zh) | 加密流量检测方法、系统、设备及存储介质 | |
| CN113343155A (zh) | 一种请求处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |