CN111478888A - 一种旁路阻断方法、设备及存储介质 - Google Patents
一种旁路阻断方法、设备及存储介质 Download PDFInfo
- Publication number
- CN111478888A CN111478888A CN202010211796.0A CN202010211796A CN111478888A CN 111478888 A CN111478888 A CN 111478888A CN 202010211796 A CN202010211796 A CN 202010211796A CN 111478888 A CN111478888 A CN 111478888A
- Authority
- CN
- China
- Prior art keywords
- address
- blocking
- bypass
- blocked
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种旁路阻断方法、设备及存储介质,所述方法包括:S1、从交换机中获取访问链接的镜像报文;S2、根据所述镜像报文判断所述访问链接是否为非法链接,如果是,则提取镜像报文中的源IP和目的IP;S3、从所述镜像报文中的源IP和目的IP提取出在预设阻断范围内的IP地址,并将提取出的IP作为阻断IP;S4、以所述阻断IP和防火墙的IP作为源和目的IP生成攻击报文,并向所述防火墙设备发送所述攻击报文预设次数的N倍;S5、并对所述阻断IP创建效果检查定时器;S6、在所述定时器超时时,判断所述阻断IP是否被阻断成功,如果没有则重复S4至S5,直至所述阻断IP被阻断成功为止。本发明可以达到只阻断非法链接又不影响正常流量的目的。
Description
技术领域
本发明涉及计算机技术领域,具体涉及一种旁路阻断方法、设备及存储介质。
背景技术
旁路阻断就是采用旁路侦听的手段来获取互联网上的数据包,然后再进行协议还原,根据内容进行阻断。这类技术的优点是不影响互联网访问的速度,并且对用户没有特殊的设置要求。通俗讲是并联在互联网的出口上,不会影响原来网络的稳定性。
目前,采用旁路的方式管理网络并阻断非法连接的方法可以分为三类:
1、发送TCP Reset包。
实现方法为:当旁路侦听设备发现一条非法的链接后将会向链接的两端各发送一个TCP RESET包,此时链接两端的终端将会把这个RESET包理解为另一端的回应,然后停止整个通信过程,达到切断链接的目的。
由于采用此种方法时,旁路侦听设备发出的RESET包能被链接两端的终端认可的前提是,RESET包的序列号和确认号与链接当前的序列号和确认号一致。但旁路侦听设备从抓取数据包,监测攻击,产生RESET包,到最后发出RESET整个过程都要消耗一定的时间,而非法链接的序列号和确认号仍在持续变化。所以导致旁路侦听设备发出的RESET包传输到链接两端的终端时,可能已经与链接当前的序列号和确认号不同,那么终端将会认为这是一个无效的数据包或者被破坏的数据包而将它忽略掉,无法达到切断链接的目的。而且TCPRest对于网络的应用来说也有着很大的局限性,其只能针对通常的标准TCP连接发送阻断信息,对于UDP链接是无能为力的。
2、通过与网关产品联动,建立临时规则。
网关产品可包括防火墙、路由器、交换机等,旁路侦听设备可向防火墙发送临时规则、旁路侦听设备向路由器或交换机发送临时ACL列表,即可以达到阻断非法链接的目的。
此种方式因为需要网关产品能够识别出旁路侦听设备发过来的临时规则,但现在并没有统一的协议标准来传输临时规则,只有同厂商的不同网络产品间可以传输并识别临时规则,所以此方法严重依赖网关设备的厂商。
3、进行基于arp的阻断方式。
主要是ARP欺骗。通过伪造ARP应答包,使得非法链接终端的ARP表错误,无法连接到网关,从而阻断链接。
此种方法只能对与旁路侦听设备在同一网段的设备生效,会使非法链接的内网终端无法连接到网关,从效果上讲是很强,但是同时也造成了一个问题,其不但阻止了内网终端回应的非法连接,但也阻断了正常终端与内网终端的合法连接,这对于网络中的正常应用是有着很大的影响的。
所以基于上述分析,目前没有一种有效合理的方式来进行旁路阻断。
因而,现有技术还有待于改进和提高。
发明内容
鉴于上述现有技术的不足之处,本发明的目的在于提供一种旁路阻断方法、设备及存储介质,可充分彻底的阻断异常连接,并弥补现有旁路阻断方式的不足。
为了达到上述目的,本发明采取了以下技术方案:
一方面,本发明公开了一种旁路阻断方法,包括:
步骤S1、从交换机中获取访问链接的镜像报文;
步骤S2、根据所述镜像报文判断所述访问链接是否为非法链接,如果是,则提取镜像报文中的源IP地址和目的IP地址;
步骤S3、从所述镜像报文中的源IP地址和目的IP地址提取出在预设阻断范围内的IP地址,并将提取出的IP地址作为阻断IP地址;
步骤S4、以所述阻断IP地址作为源IP地址,以防火墙设备的IP地址作为目的IP地址生成攻击报文,并向所述防火墙设备发送所述攻击报文预设次数的N倍,其中,N为不小于1的自然数;
步骤S5、将所述阻断IP地址加入预设的阻断列表中,并对所述阻断IP地址创建效果检查定时器;
步骤S6、在所述定时器超时时,判断所述阻断IP地址是否被阻断成功,如果没有则重复步骤S4至步骤S5,直至所述阻断IP地址被阻断成功为止。
优选的,所述的旁路阻断方法中,所述攻击报文至少包括端口扫描攻击报文或flood攻击报文。
优选的,所述的旁路阻断方法中,所述防火墙设备中设置有动态黑名单,所述防火墙设备禁止所述动态黑名单上的IP地址的流量通过。
优选的,所述的旁路阻断方法中,所述步骤S6中,判断所述阻断IP地址是否被阻断成功的方法为:
判断所述阻断列表中的所述阻断IP地址是否存在未阻断成功标记,如果不存在则判定所述阻断IP地址被阻断成功,并从所述阻断列表中剔除所述阻断IP地址,否则判定所述阻断IP地址未被阻断成功并清除所述未阻断成功标记。
优选的,所述的旁路阻断方法中,所述步骤S6中,当所述阻断IP地址未被阻断成功时,执行所述步骤S4时,向所述防火墙设备发送所述攻击报文的频率大于上一次执行所述步骤S4时,向所述防火墙设备发送所述攻击报文的频率。
优选的,所述的旁路阻断方法中,所述预设次数不小于所述防火墙设备认为是攻击的阈值。
优选的,所述的旁路阻断方法中,所述步骤S1之后,所述步骤S2之前还包括:
判断所述镜像报文中的源IP地址和目的IP地址是否在所述阻断列表中,如果是则对在所述阻断列表的IP地址设置未阻断成功标记,否则执行所述步骤S2。
优选的,所述的旁路阻断方法中,所述步骤S2还包括:
当判断所述访问连接不是非法链接时,结束旁路阻断流程。
另一方面,本发明还公开了一种旁路阻断设备,包括:处理器和存储器;
所述存储器上存储有可被所述处理器执行的计算机可读程序;
所述处理器执行所述计算机可读程序时实现如上所述的旁路阻断方法中的步骤。
又一方面,本发明还公开了一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如上所述的旁路阻断方法中的步骤。
相较于现有技术,本发明提供的旁路阻断方法、设备及存储介质中,所述方法包括:步骤S1、从交换机中获取访问链接的镜像报文;步骤S2、根据所述镜像报文判断所述访问链接是否为非法链接,如果是,则提取镜像报文中的源IP地址和目的IP地址;步骤S3、从所述镜像报文中的源IP地址和目的IP地址提取出在预设阻断范围内的IP地址,并将提取出的IP地址作为阻断IP地址;步骤S4、以所述阻断IP地址作为源IP地址,以防火墙设备的IP地址作为目的IP地址生成攻击报文,并向所述防火墙设备发送所述攻击报文预设次数的N倍;步骤S5、将所述阻断IP地址加入预设的阻断列表中,并对所述阻断IP地址创建效果检查定时器;步骤S6、在所述定时器超时时,判断所述阻断IP地址是否被阻断成功,如果没有则重复步骤S4至步骤S5,直至所述阻断IP地址被阻断成功为止。本发明可以直接禁止非法链接终端的所有类型流量,并且通过限制阻断IP范围能够不阻断内网服务器,可达到只阻断非法链接又不影响正常流量的目的。
附图说明
图1为本发明提供的旁路阻断方法的一较佳实施例的流程图;
图2为本发明旁路阻断方法实现的一较佳实施例的组网环境示意图;
图3为本发明旁路阻断程序的较佳实施例的运行环境示意图;
图4为本发明安装旁路阻断程序的系统较佳实施例的功能模块图。
具体实施方式
鉴于现有技术中无法充分彻底的阻断异常链接的缺点,本发明的目的在于提供一种旁路阻断方法、设备及存储介质,可充分彻底的阻断异常连接,并弥补现有旁路阻断方式的不足。
为使本发明的目的、技术方案及效果更加清楚、明确,以下参照附图并举实施例对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
请参阅图1,本发明实施例提供的旁路阻断方法,包括如下步骤:
S1、从交换机中获取访问链接的镜像报文。
本实施例中,当外网终端设备想要访问内网服务器终端设备时,外网终端设备向内网服务器终端设备发起访问链接(所述链接用于标识一条报文流,所述报文流是指一组具有相同源IP、目的IP、协议号、源端口号、目的端口号的连续报文。一条报文流可以传输一份完整的数据信息),此时外网终端设备和内网服务器终端设备的所有流量,均会被所述交换机使用镜像功能复制一份发送给旁路阻断设备,所谓报文即指网络中承载数据信息的传输单元,包括报文头和数据段。报文头中有报文的源地址和目的地址,用于网络传输。数据段用来承载程序交互的数据信息,一份完整的数据信息可以被拆分为多个报文在网络中传输,且报文的长度并不固定。因此,所述旁路阻断设备可以通过镜像报文来进一步判断访问链接是否合法,并获取外网终端设备的IP地址(源IP地址)和内网服务器终端设备的IP地址(目的IP地址);另外,需要说明的是,本发明并不限定通过交换机来镜像复制报文,还可通过分光设备来进行镜像复制,本发明对此不做限定。
S2、根据所述镜像报文判断所述访问链接是否为非法链接,如果是,则提取镜像报文中的源IP地址和目的IP地址。
本实施例中,当获取了镜像报文后,所述旁路阻断设备即可通过从旁路过来的流量识别出外网终端设备与内网服务器终端设备之间是否存在非法链接,如果是,则获取外网终端设备的IP地址以及内网服务器终端设备的IP地址,当判断所述访问连接不是非法链接时,则表示访问为合法访问,此时结束旁路阻断流程,使所述外网终端设备和所述内网服务器设备正常连接。
优选的实施例中,所述步骤S1之后,所述步骤S2之前还包括:
判断所述镜像报文中的源IP地址和目的IP地址是否在所述阻断列表中,如果是则对在所述阻断列表的IP地址设置未阻断成功标记,否则执行所述步骤S2。
具体来说,所述旁路阻断设备在阻断一个IP地址后,会将阻断的IP地址加入其预设的阻断列表中,如果本次阻断流程中所述镜像报文中的源IP地址和目的IP地址还在所述阻断列表中,表示此访问肯定是非法链接,而且上一次阻断不成功,此时即对在所述阻断列表的IP地址设置未阻断成功标记,然后再重新对该IP地址进行阻断,直至该IP地址被成功阻断为止,具体实施时,以该IP地址作为源IP,以防火墙设备的IP地址作为目的IP构造攻击报文,然后向所述防火墙设备发送所述攻击报文若干次,并清除所述未阻断成功标记,设置定时器,当定时器超时时,判断该IP地址是否重新存在未阻断成功标记,如果不存在,则表示阻断成功,并从阻断列表中剔除此IP地址,如果存在,则再重复上述步骤,直至阻断成功为止。
S3、从所述镜像报文中的源IP地址和目的IP地址提取出在预设阻断范围内的IP地址,并将提取出的IP地址作为阻断IP地址。
本实施例中,所述预设阻断范围为管理员在所述旁路阻断设备上配置的IP地址范围,在所述阻断范围内的IP地址是可被阻断的非法链接的终端地址。如果镜像报文中的两个地址均在所述阻断范围内,则两个IP地址均为阻断IP地址,在提取阻断IP地址后,即可进行攻击报文的生成。
S4、以所述阻断IP地址作为源IP地址,以防火墙设备的IP地址作为目的IP地址生成攻击报文,并向所述防火墙设备发送所述攻击报文预设次数的N倍,其中,N为不小于1的自然数。
本实施例中,所述防火墙设备中设置有动态黑名单,所述防火墙设备禁止所述动态黑名单上的IP地址的流量通过,当所述防火墙设备受攻击次数大于其认为是攻击的阈值时,则会将所述攻击报文的源IP地址加入动态黑名单中,进而会会丢弃所有来自动态黑名单上的IP地址的流量,达到阻断非法链接的目的。优选的,所述攻击报文至少包括端口扫描攻击报文或flood攻击报文,所述预设次数不小于所述防火墙设备认为是攻击的阈值,进而保证所述防火墙设备能够成功阻断非法链接,但是又不会影响正常流量,以弥补现有技术中的不足。
S5、将所述阻断IP地址加入预设的阻断列表中,并对所述阻断IP地址创建效果检查定时器。
本实施例中,所述效果检查定时器用于设定定时检查的时间,使所述旁路阻断设备可以定时检查阻断的效果,进而保证非法链接被阻断。
S6、在所述定时器超时时,判断所述阻断IP地址是否被阻断成功,如果没有则重复步骤S4至步骤S5,直至所述阻断IP地址被阻断成功为止。
本实施例中,判断所述阻断IP地址是否被阻断成功的方法为:
判断所述阻断列表中的所述阻断IP地址是否存在未阻断成功标记,如果不存在则判定所述阻断IP地址被阻断成功,并从所述阻断列表中剔除所述阻断IP地址,否则判定所述阻断IP地址未被阻断成功并清除所述未阻断成功标记。
具体来说,当所述阻断IP地址不存在未阻断成功标记时,表示所述阻断IP地址在阻断后已无流量,此时表明阻断成功;当所述阻断IP地址存在未阻断成功标记时,表示所述阻断IP地址仍有流量通过,表示阻断不成功,此时需清除所述未阻断成功标记,重新进行防火墙攻击来实现阻断。
进一步的,当所述阻断IP地址未被阻断成功时,执行所述步骤S4时,向所述防火墙设备发送所述攻击报文的频率大于上一次执行所述步骤S4时,向所述防火墙设备发送所述攻击报文的频率。
具体的,如果所述阻断IP地址未被阻断成功,表示上一次对防火墙设备的攻击频率未达到防火墙设备设置的阈值,需要加大对防火墙设备的攻击频率,以使所述防火墙设备将所述阻断IP地址加入动态黑名单中,保证所述阻断IP地址被阻断成功。
为了更好的理解本发明,以下结合图2来对本发明的技术方案进行详细说明:
请参阅图2,外网有两台终端A和终端B,均访问内网服务器终端C,其中终端A和终端B都向服务器C发起了非法链接。终端A与C和终端B与C的所有流量,都被交换机使用镜像功能复制一份发给旁路阻断设备。旁路阻断设备有链路直连到防火墙设备用于发送伪造的攻击报文。旁路阻断设备上配置的阻断IP范围是除内网的IP地址外的所有地址。
处理过程:
情况1:旁路阻断设备从旁路过来的流量中识别出终端A与C之间存在非法链接,从非法链接的报文中提取源IP地址和目的IP地址为终端A和终端C的IP地址。发现终端A的IP地址在阻断IP范围内,则将终端A的IP地址作为阻断IP地址。旁路阻断设备使用终端A的IP地址为源IP地址,防火墙设备的IP地址为目的IP地址构造攻击报文,并把攻击报文向防火墙设备持续发送n次。防火墙设备受到攻击后,将攻击报文的源IP地址即终端A的IP地址加入黑名单,后续终端A发送的报文在防火墙设备上将直接丢弃。旁路阻断设备对终端A的IP地址创建阻断效果检查定时器。等待定时器超时后,发现已经没有再从旁路过来的流量中发现过终端A的流量,则认为终端A的流量已经被防火墙设备阻断成功,则终端A的阻断效果检查定时器直接结束。
情况2:旁路阻断设备从旁路过来的流量中识别出终端B与终端C之间存在非法链接,从非法链接的报文中提取源IP地址和目的IP地址为终端B和终端C的IP地址。发现终端B的IP地址在阻断IP地址范围内,则将终端B的IP地址作为阻断IP地址。旁路阻断设备使用终端B的IP地址为源IP地址,防火墙设备的IP地址为目的IP地址构造攻击报文,并把攻击报文向防火墙设备持续发送n次。防火墙设备受到攻击,但攻击强度不够未达到防火墙设备的阀值,防火墙设备未将终端B的IP地址加入黑名单。旁路阻断设备对终端B的IP地址创建阻断效果检查定时器。等待定时器超时后,旁路阻断设备发现从旁路过来的流量中仍包含终端B的流量,则认为终端B的流量未被防火墙阻断成功,则再次使用终端B的IP地址为源IP地址,防火墙设备的IP地址为目的IP地址构造攻击报文,并加大攻击量把攻击报文向防火墙设备持续发送2*n次。防火墙识别出攻击后,将攻击报文的源IP地址即终端B的IP地址加入黑名单,后续终端B发送的报文在防火墙设备上将直接丢弃。旁路阻断设备清阻断失败的标记后重加阻断效果检查定时器。等待定时器超时后,发现已经没有再从旁路过来的流量中发现过终端B的流量,则认为终端B的流量已经被防火墙设备阻断成功,则终端B的阻断效果检查定时器结束。
本发明可以直接禁止非法链接终端的所有类型流量,并且通过限制阻断IP范围能够不阻断内网服务器,可达到只阻断非法链接又不影响正常流量的目的。
需要说明的是,虽然图1的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。
如图3所示,基于上述旁路阻断方法,本发明还相应提供了一种旁路阻断设备,所述旁路阻断设备可以是移动终端、桌上型计算机、笔记本、掌上电脑及服务器等计算设备。该旁路阻断设备包括处理器10、存储器20及显示器30。图3仅示出了旁路阻断设备的部分组件,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
所述存储器20在一些实施例中可以是所述旁路阻断设备的内部存储单元,例如旁路阻断设备的硬盘或内存。所述存储器20在另一些实施例中也可以是所述旁路阻断设备的外部存储设备,例如所述旁路阻断设备上配备的插接式硬盘,智能存储卡(Smart MediaCard,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器20还可以既包括旁路阻断设备的内部存储单元也包括外部存储设备。所述存储器20用于存储安装于所述旁路阻断设备的应用软件及各类数据,例如所述安装旁路阻断设备的程序代码等。所述存储器20还可以用于暂时地存储已经输出或者将要输出的数据。在一实施例中,存储器20上存储有旁路阻断程序40,该旁路阻断程序40可被处理器10所执行,从而实现本申请各实施例的旁路阻断方法。
所述处理器10在一些实施例中可以是一中央处理器(Central Processing Unit,CPU),微处理器或其他数据处理芯片,用于运行所述存储器20中存储的程序代码或处理数据,例如执行所述旁路阻断方法等。
所述显示器30在一些实施例中可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。所述显示器30用于显示在所述旁路阻断设备的信息以及用于显示可视化的用户界面。所述旁路阻断设备的部件10-30通过系统总线相互通信。
在一实施例中,当处理器10执行所述存储器20中旁路阻断程序40时实现以下步骤:
步骤S1、从交换机中获取访问链接的镜像报文;
步骤S2、根据所述镜像报文判断所述访问链接是否为非法链接,如果是,则提取镜像报文中的源IP地址和目的IP地址;
步骤S3、从所述镜像报文中的源IP地址和目的IP地址提取出在预设阻断范围内的IP地址,并将提取出的IP地址作为阻断IP地址;
步骤S4、以所述阻断IP地址作为源IP地址,以防火墙设备的IP地址作为目的IP地址生成攻击报文,并向所述防火墙设备发送所述攻击报文预设次数的N倍,其中,N为不小于1的自然数;
步骤S5、将所述阻断IP地址加入预设的阻断列表中,并对所述阻断IP地址创建效果检查定时器;
步骤S6、在所述定时器超时时,判断所述阻断IP地址是否被阻断成功,如果没有则重复步骤S4至步骤S5,直至所述阻断IP地址被阻断成功为止。
进一步地,在所述旁路阻断设备中,所述攻击报文至少包括端口扫描攻击报文或flood攻击报文。
进一步地,所述防火墙设备中设置有动态黑名单,所述防火墙设备禁止所述动态黑名单上的IP地址的流量通过。
进一步地,所述步骤S6中,判断所述阻断IP地址是否被阻断成功的方法为:
判断所述阻断列表中的所述阻断IP地址是否存在未阻断成功标记,如果不存在则判定所述阻断IP地址被阻断成功,并从所述阻断列表中剔除所述阻断IP地址,否则判定所述阻断IP地址未被阻断成功并清除所述未阻断成功标记。
进一步地,所述步骤S6中,当所述阻断IP地址未被阻断成功时,执行所述步骤S4时,向所述防火墙设备发送所述攻击报文的频率大于上一次执行所述步骤S4时,向所述防火墙设备发送所述攻击报文的频率。
进一步地,所述预设次数不小于所述防火墙设备认为是攻击的阈值。
进一步地,所述步骤S2之前还包括:
判断所述镜像报文中的源IP地址和目的IP地址是否在所述阻断列表中,如果是则对在所述阻断列表的IP地址设置未阻断成功标记,否则执行所述步骤S2。
进一步地,所述步骤S2还包括:
当判断所述访问连接不是非法链接时,结束旁路阻断流程。
请参阅图4,其为本发明安装旁路阻断程序的系统较佳实施例的功能模块图。在本实施例中,安装旁路阻断程序的系统可以被分割成一个或多个模块,所述一个或者多个模块被存储于所述存储器20中,并由一个或多个处理器(本实施例为所述处理器10)所执行,以完成本发明。例如,在图4中,安装旁路阻断程序的系统可以被分割成报文获取模块21、识别模块22、阻断IP提取模块23、报文攻击模块24、定时器生成模块25和阻断效果检查模块26。本发明所称的模块是指能够完成特定功能的一系列计算机程序指令段,比程序更适合于描述所述旁路阻断程序在所述旁路阻断设备中的执行过程。以下描述将具体介绍所述模块21-26的功能。
报文获取模块21,用于从交换机中获取访问链接的镜像报文;
识别模块22,用于根据所述镜像报文判断所述访问链接是否为非法链接,如果是,则提取镜像报文中的源IP地址和目的IP地址;
阻断IP提取模块23,用于从所述镜像报文中的源IP地址和目的IP地址提取出在预设阻断范围内的IP地址,并将提取出的IP地址作为阻断IP地址;
报文攻击模块24,用于以所述阻断IP地址作为源IP地址,以防火墙设备的IP地址作为目的IP地址生成攻击报文,并向所述防火墙设备发送所述攻击报文预设次数的N倍,其中,N为不小于1的自然数;
定时器生成模块25,用于将所述阻断IP地址加入预设的阻断列表中,并对所述阻断IP地址创建效果检查定时器;
阻断效果检查模块26,用于在所述定时器超时时,判断所述阻断IP地址是否被阻断成功,并在未被阻断成功时,依次调用所述报文攻击模块24和定时器生成模块25,直至所述阻断IP地址被阻断成功为止。
其中,所述攻击报文至少包括端口扫描攻击报文或flood攻击报文。
进一步地,所述防火墙设备中设置有动态黑名单,所述防火墙设备禁止所述动态黑名单上的IP地址的流量通过。
进一步地,所述阻断效果检查模块26具体用于:
判断所述阻断列表中的所述阻断IP地址是否存在未阻断成功标记,如果不存在则判定所述阻断IP地址被阻断成功,并从所述阻断列表中剔除所述阻断IP地址,否则判定所述阻断IP地址未被阻断成功并清除所述未阻断成功标记。
进一步地,当所述阻断IP地址未被阻断成功时,调用所述报文攻击模块24时,向所述防火墙设备发送所述攻击报文的频率大于上一次报文攻击模块24时,向所述防火墙设备发送所述攻击报文的频率。
进一步地,所述预设次数不小于所述防火墙设备认为是攻击的阈值。
进一步地,安装旁路阻断程序的系统还包括:
镜像报文分析模块,用于判断所述镜像报文中的源IP地址和目的IP地址是否在所述阻断列表中,如果是则对在所述阻断列表的IP地址设置未阻断成功标记,否则调用所述识别模块22。
进一步地,所述识别模块22还用于:
当判断所述访问连接不是非法链接时,结束旁路阻断流程。
综上所述,本发明提供的旁路阻断方法、设备及存储介质中,所述方法包括:步骤S1、从交换机中获取访问链接的镜像报文;步骤S2、根据所述镜像报文判断所述访问链接是否为非法链接,如果是,则提取镜像报文中的源IP地址和目的IP地址;步骤S3、从所述镜像报文中的源IP地址和目的IP地址提取出在预设阻断范围内的IP地址,并将提取出的IP地址作为阻断IP地址;步骤S4、以所述阻断IP地址作为源IP地址,以防火墙设备的IP地址作为目的IP地址生成攻击报文,并向所述防火墙设备发送所述攻击报文预设次数的N倍;步骤S5、将所述阻断IP地址加入预设的阻断列表中,并对所述阻断IP地址创建效果检查定时器;步骤S6、在所述定时器超时时,判断所述阻断IP地址是否被阻断成功,如果没有则重复步骤S4至步骤S5,直至所述阻断IP地址被阻断成功为止。本发明可以直接禁止非法链接终端的所有类型流量,并且通过限制阻断IP范围能够不阻断内网服务器,可达到只阻断非法链接又不影响正常流量的目的。
当然,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关硬件(如处理器,控制器等)来完成,所述的程序可存储于一计算机可读取的存储介质中,该程序在执行时可包括如上述各方法实施例的流程。其中所述的存储介质可为存储器、磁碟、光盘等。
应当理解的是,本发明的应用不限于上述的举例,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,所有这些改进和变换都应属于本发明所附权利要求的保护范围。
Claims (10)
1.一种旁路阻断方法,其特征在于,包括:
步骤S1、从交换机中获取访问链接的镜像报文;
步骤S2、根据所述镜像报文判断所述访问链接是否为非法链接,如果是,则提取镜像报文中的源IP地址和目的IP地址;
步骤S3、从所述镜像报文中的源IP地址和目的IP地址提取出在预设阻断范围内的IP地址,并将提取出的IP地址作为阻断IP地址;
步骤S4、以所述阻断IP地址作为源IP地址,以防火墙设备的IP地址作为目的IP地址生成攻击报文,并向所述防火墙设备发送所述攻击报文预设次数的N倍,其中,N为不小于1的自然数;
步骤S5、将所述阻断IP地址加入预设的阻断列表中,并对所述阻断IP地址创建效果检查定时器;
步骤S6、在所述定时器超时时,判断所述阻断IP地址是否被阻断成功,如果没有则重复步骤S4至步骤S5,直至所述阻断IP地址被阻断成功为止。
2.根据权利要求1所述的旁路阻断方法,其特征在于,所述攻击报文至少包括端口扫描攻击报文或flood攻击报文。
3.根据权利要求1所述的旁路阻断方法,其特征在于,所述防火墙设备中设置有动态黑名单,所述防火墙设备禁止所述动态黑名单上的IP地址的流量通过。
4.根据权利要求1所述的旁路阻断方法,其特征在于,所述步骤S6中,判断所述阻断IP地址是否被阻断成功的方法为:
判断所述阻断列表中的所述阻断IP地址是否存在未阻断成功标记,如果不存在则判定所述阻断IP地址被阻断成功,并从所述阻断列表中剔除所述阻断IP地址,否则判定所述阻断IP地址未被阻断成功并清除所述未阻断成功标记。
5.根据权利要求1所述的旁路阻断方法,其特征在于,所述步骤S6中,当所述阻断IP地址未被阻断成功时,执行所述步骤S4时,向所述防火墙设备发送所述攻击报文的频率大于上一次执行所述步骤S4时,向所述防火墙设备发送所述攻击报文的频率。
6.根据权利要求5所述的旁路阻断方法,其特征在于,所述预设次数不小于所述防火墙设备认为是攻击的阈值。
7.根据权利要求1所述的旁路阻断方法,其特征在于,所述步骤S1之后,所述步骤S2之前还包括:
判断所述镜像报文中的源IP地址和目的IP地址是否在所述阻断列表中,如果是则对在所述阻断列表的IP地址设置未阻断成功标记,否则执行所述步骤S2。
8.根据权利要求7所述的旁路阻断方法,其特征在于,所述步骤S2还包括:
当判断所述访问连接不是非法链接时,结束旁路阻断流程。
9.一种旁路阻断设备,其特征在于,包括:处理器和存储器;
所述存储器上存储有可被所述处理器执行的计算机可读程序;
所述处理器执行所述计算机可读程序时实现如权利要求1-8任意一项所述的旁路阻断方法中的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求1-8任意一项所述的旁路阻断方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010211796.0A CN111478888B (zh) | 2020-03-24 | 2020-03-24 | 一种旁路阻断方法、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010211796.0A CN111478888B (zh) | 2020-03-24 | 2020-03-24 | 一种旁路阻断方法、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111478888A true CN111478888A (zh) | 2020-07-31 |
| CN111478888B CN111478888B (zh) | 2021-01-05 |
Family
ID=71747712
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010211796.0A Active CN111478888B (zh) | 2020-03-24 | 2020-03-24 | 一种旁路阻断方法、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111478888B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112350939A (zh) * | 2020-10-29 | 2021-02-09 | 腾讯科技(深圳)有限公司 | 旁路阻断方法、系统、装置、计算机设备及存储介质 |
| CN112995277A (zh) * | 2021-02-01 | 2021-06-18 | 长沙市到家悠享网络科技有限公司 | 访问处理方法、装置及代理服务器 |
| CN114900352A (zh) * | 2022-04-25 | 2022-08-12 | 中国工商银行股份有限公司 | 旁路阻断方法、装置、电子设备、介质和程序产品 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102891855A (zh) * | 2012-10-16 | 2013-01-23 | 北京神州绿盟信息安全科技股份有限公司 | 网络数据流安全处理方法及设备 |
| CN103916389A (zh) * | 2014-03-19 | 2014-07-09 | 汉柏科技有限公司 | 防御HttpFlood攻击的方法及防火墙 |
| CN105227515A (zh) * | 2014-05-28 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 网络入侵阻断方法、装置及系统 |
| CN107347047A (zh) * | 2016-05-04 | 2017-11-14 | 阿里巴巴集团控股有限公司 | 攻击防护方法和装置 |
| CN107645470A (zh) * | 2016-07-20 | 2018-01-30 | 阿里巴巴集团控股有限公司 | 一种旁路阻断方法、装置、系统、电子设备 |
| CN107659446A (zh) * | 2017-09-25 | 2018-02-02 | 新华三技术有限公司 | 一种waf迁移方法和装置 |
| US9900343B1 (en) * | 2015-01-05 | 2018-02-20 | A10 Networks, Inc. | Distributed denial of service cellular signaling |
| US20180324219A1 (en) * | 2017-05-08 | 2018-11-08 | Fortinet, Inc. | Network security framework based scoring metric generation and sharing |
| CN109587156A (zh) * | 2018-12-17 | 2019-04-05 | 广州天懋信息系统股份有限公司 | 异常网络访问连接识别与阻断方法、系统、介质和设备 |
| CN110049022A (zh) * | 2019-03-27 | 2019-07-23 | 深圳市腾讯计算机系统有限公司 | 一种域名访问控制方法、装置和计算机可读存储介质 |
-
2020
- 2020-03-24 CN CN202010211796.0A patent/CN111478888B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102891855A (zh) * | 2012-10-16 | 2013-01-23 | 北京神州绿盟信息安全科技股份有限公司 | 网络数据流安全处理方法及设备 |
| CN103916389A (zh) * | 2014-03-19 | 2014-07-09 | 汉柏科技有限公司 | 防御HttpFlood攻击的方法及防火墙 |
| CN105227515A (zh) * | 2014-05-28 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 网络入侵阻断方法、装置及系统 |
| US9900343B1 (en) * | 2015-01-05 | 2018-02-20 | A10 Networks, Inc. | Distributed denial of service cellular signaling |
| CN107347047A (zh) * | 2016-05-04 | 2017-11-14 | 阿里巴巴集团控股有限公司 | 攻击防护方法和装置 |
| CN107645470A (zh) * | 2016-07-20 | 2018-01-30 | 阿里巴巴集团控股有限公司 | 一种旁路阻断方法、装置、系统、电子设备 |
| US20180324219A1 (en) * | 2017-05-08 | 2018-11-08 | Fortinet, Inc. | Network security framework based scoring metric generation and sharing |
| CN107659446A (zh) * | 2017-09-25 | 2018-02-02 | 新华三技术有限公司 | 一种waf迁移方法和装置 |
| CN109587156A (zh) * | 2018-12-17 | 2019-04-05 | 广州天懋信息系统股份有限公司 | 异常网络访问连接识别与阻断方法、系统、介质和设备 |
| CN110049022A (zh) * | 2019-03-27 | 2019-07-23 | 深圳市腾讯计算机系统有限公司 | 一种域名访问控制方法、装置和计算机可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 马勤: "基于旁路阻断技术的互联网内容控制系统设计", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112350939A (zh) * | 2020-10-29 | 2021-02-09 | 腾讯科技(深圳)有限公司 | 旁路阻断方法、系统、装置、计算机设备及存储介质 |
| CN112350939B (zh) * | 2020-10-29 | 2023-11-10 | 腾讯科技(深圳)有限公司 | 旁路阻断方法、系统、装置、计算机设备及存储介质 |
| CN112995277A (zh) * | 2021-02-01 | 2021-06-18 | 长沙市到家悠享网络科技有限公司 | 访问处理方法、装置及代理服务器 |
| CN114900352A (zh) * | 2022-04-25 | 2022-08-12 | 中国工商银行股份有限公司 | 旁路阻断方法、装置、电子设备、介质和程序产品 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111478888B (zh) | 2021-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111478888B (zh) | 一种旁路阻断方法、设备及存储介质 | |
| JP6714314B2 (ja) | 応答のない発信ネットワークトラフィックの解析を介する感染したネットワークデバイスの検出 | |
| US10929538B2 (en) | Network security protection method and apparatus | |
| CN112468518B (zh) | 访问数据处理方法、装置、存储介质及计算机设备 | |
| US9313225B2 (en) | Method for packet processing, electronic device and storage medium | |
| US20220263823A1 (en) | Packet Processing Method and Apparatus, Device, and Computer-Readable Storage Medium | |
| CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
| CN111049781B (zh) | 一种反弹式网络攻击的检测方法、装置、设备及存储介质 | |
| CN111565203B (zh) | 业务请求的防护方法、装置、系统和计算机设备 | |
| US20200280580A1 (en) | Method and apparatus for processing data | |
| CN111865996A (zh) | 数据检测方法、装置和电子设备 | |
| CN114553730B (zh) | 一种应用识别方法、装置、电子设备及存储介质 | |
| CN111049780B (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN105516200A (zh) | 云系统安全处理方法和装置 | |
| CN108259416B (zh) | 检测恶意网页的方法及相关设备 | |
| CN112751861A (zh) | 一种基于密网和网络大数据的恶意邮件检测方法及系统 | |
| CN104601578A (zh) | 一种攻击报文识别方法、装置及核心设备 | |
| CN112511523A (zh) | 一种基于访问控制的网络安全控制方法 | |
| CN114697088B (zh) | 一种确定网络攻击的方法、装置及电子设备 | |
| US8209420B2 (en) | Management of duplicate TCP connections using sequence and acknowledgment numbers | |
| CN113630417B (zh) | 基于waf的数据发送方法、装置、电子装置和存储介质 | |
| CN113162922B (zh) | 客户端数据的获取方法及装置、存储介质、电子设备 | |
| CN114189395B (zh) | Plc受攻击停止的风险检测包获取方法及装置 | |
| CN109617866B (zh) | 工控系统主机会话数据过滤方法和装置 | |
| CA3159619C (en) | Packet processing method and apparatus, device, and computer-readable storage medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220129 Address after: 100120 room c0310, building 6, No.3, Dongbinhe Road, Deshengmen, Xicheng District, Beijing Patentee after: BEIJING ABT NETWORKS CO.,LTD. Address before: 430070 building 11, phase I, Guanggu power energy saving and environmental protection industrial park, 308 Guanggu Avenue, Donghu Development Zone, Wuhan City, Hubei Province Patentee before: WUHAN SIPULING TECHNOLOGY Co.,Ltd. |