CN111741021B - 一种cc攻击接入服务集群的检测防护系统 - Google Patents
一种cc攻击接入服务集群的检测防护系统 Download PDFInfo
- Publication number
- CN111741021B CN111741021B CN202010764565.2A CN202010764565A CN111741021B CN 111741021 B CN111741021 B CN 111741021B CN 202010764565 A CN202010764565 A CN 202010764565A CN 111741021 B CN111741021 B CN 111741021B
- Authority
- CN
- China
- Prior art keywords
- protection
- unit
- access service
- module
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Abstract
本发明公开了一种CC攻击接入服务集群的检测防护系统,包括:多个内核层防护模块、多个接入服务模块、多个防护代理模块和一个防护中心,内核层防护模块,用于对本地服务实例是否受到CC攻击进行检测,当检测到CC攻击或接收到接入服务集群受到CC攻击的消息时,启动防护;接入服务模块,用于对本地服务实例是否受到CC攻击进行进一步检测,当未受到CC攻击时,提供正常的接入服务,否则,启动防护并将攻击的信息上报给防护代理模块;防护代理模块,用于实现本地服务实例和防护中心的数据传输;防护中心,用于通过所有接入服务实例提供的数据判断服务集群是否受到CC攻击,当判断受到攻击时,向所有接入服务实例广播接入服务集群受到CC攻击的消息。
Description
技术领域
本发明涉及网络攻击检测及防护领域,具体涉及一种CC攻击接入服务集群的检测防护系统。
背景技术
CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来消耗服务器资源的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。
CC攻击一般是TCP连接建立成功后,对服务进行攻击,因通用的DDoS防火墙一般无法分辨TCP数据部分协议的内容有效性,所以很容易穿过此类防火墙,直接攻入到接入服务集群,耗费完接入服务资源达到拒绝服务的目的。
目前主要有以下两种CC攻击防护系统:
1、各云厂商售卖的WAF,缺陷在于:
1)一般做HTTP/HTTPS防护,非HTTP/HTTPS协议的TCP自定义协议,或者选用开源的protobuf,msgpack或thrift之类做序列化,不能使用,常见的场景比如游戏TCP长连接服务无法接入WAF;
2)功能少,费用高,不能适应企业多样性的具体业务防护需求;
3)对是否受到CC攻击误判率高。
2、各云厂商也提供防CC攻击的SDK,但是客户一般不愿意接入,原因如下:
1)由于客户方被防护的软件前端和后端都要接入云厂商的SDK代码,实际接入时不但有些麻烦,而且作为客户方不能完全信任对方的SDK(担心一些行为或数据被对方恶意收集);
2)同一个程序部署涉及多个云厂商时,用户会产生被已接入SDK的该厂商绑架的错觉;
3)通用的防护规则,很容易被黑客识破并钻漏洞;
4)云厂商是针对所有用户设计的,单个用户提的定制化需求一般不能满足。
发明内容
本发明的目的在于克服上述技术缺陷,提出了一种CC攻击接入服务集群的检测防护系统,当Linux平台TCP的接入服务集群被CC攻击时,能快速识别,并自动提供接入服务集群内所有接入服务实例的防护。
为实现上述目的,本发明提供了一种CC攻击接入服务集群的检测防护系统,所述接入服务集群包括多个接入服务实例,所述系统包括:多个内核层防护模块、多个接入服务模块、多个防护代理模块和一个防护中心,在一个接入服务实例中设置一个内核层防护模块、一个接入服务模块和一个防护代理模块;其中,内核层防护模块运行在接入服务实例的内核空间;
所述内核层防护模块,用于对本地服务实例是否受到CC攻击进行检测,当检测到CC攻击或接收到接入服务集群受到CC攻击的消息时,启动防护;
所述接入服务模块,用于对本地服务实例是否受到CC攻击进行进一步检测,当未受到CC攻击时,提供正常的接入服务,否则,启动防护并将攻击的信息上报给防护代理模块;
所述防护代理模块,用于实现本地服务实例和防护中心的数据传输;
所述防护中心,用于通过所有接入服务实例提供的数据判断服务集群是否受到CC攻击,当判断受到攻击时,向所有接入服务实例广播接入服务集群受到CC攻击的消息。
作为上述系统的一种改进,所述内核层防护模块包括:接收单元、弱指纹校验单元、发送单元和第一防护单元;
所述接收单元,用于接收经四层负载均衡转入其对应的接入服务实例的数据包;
所述弱指纹校验单元,用于对数据包进行弱指纹校验,如果通过将该数据包转发给该接入服务实例的应用层的接入服务模块;否则,启动第一防护单元;
所述发送单元,用于接收接入服务模块转发的响应包,然后转发给四层负载均衡;
所述第一防护单元,用于当弱指纹校验未通过时,按预先设置好的第一防护处理规则进行处理,同时记录拦截IP、拦截原因和拦截IP的次数;还用于当接收到禁封条件时,按预先设置好的第二防护处理规则进行处理。
作为上述系统的一种改进,所述第一防护处理规则包括:直接中断TCP连接、丢掉数据包或回复特定的数据包迷惑攻击方。
作为上述系统的一种改进,所述第二防护处理规则包括:第一防护处理规则、在内核里取消某些IP的状态维护或对需要防护的接入服务实例端口增加和删除动态管理。
作为上述系统的一种改进,所述禁封条件包括:对第二防护规则的执行增加时间、次数或频率控制的限制条件。
作为上述系统的一种改进,所述接入服务模块包括:强指纹数据校验单元、合理性检测单元、响应包接收单元和第二防护单元;
所述强指纹数据校验单元,用于校验数据包中具有时序性的强指纹数据,校验通过则判断为未检测到CC攻击行为,启动合理性检测单元;否则,启动第二防护单元;
所述合理性检测单元,用于检查数据包和应用层协议数据是否合理,如果合理,则转发给下游的服务实例进行业务逻辑处理;否则,启动第二防护单元;
所述响应包接收单元,用于接收下游的服务实例返回的响应包并转发给内核层防护模块的发送单元;
所述第二防护单元,用于切断与攻击程序的连接,获取未通过的源IP信息及原因,转发给本地接入服务实例的防护代理模块。
作为上述系统的一种改进,所述防护代理模块包括:上报单元和转发单元;
所述上报单元,用于接收接入服务模块上报的攻击信息,定时读取内核层防护模块记录的拦截IP的次数,将这些数据上报给防护中心;
所述转发单元,用于收到禁封条件后,将其转发给本地接入服务实例的内核层防护模块。
作为上述系统的一种改进,所述防护中心中设置:数据统计单元、判断单元和广播单元;
所述数据统计单元,用于统计所有的接收服务实例上报的拦截IP的次数;
所述判断单元,用于根据统计次数判断服务集群是否受到CC攻击,若为否,则不做处理,否则,启动广播单元;
所述广播单元,用于向所有接入服务实例的防护代理模块广播禁封条件。
本发明的优势在于:
1、本发明的系统对向Linux平台接入服务发送垃圾数据耗带宽、耗连接资源、利用连接断开时协议漏洞攻击,数据包回放等常见的CC攻击,能够快速识别,并对接入服务集群内的各个接入服务实例提供防护;
2、通过本发明的系统,CC攻击的数据不会到接入服务实例的应用层,资源开销十分少。
附图说明
图1为本发明的CC攻击接入服务集群的检测防护系统的示意图;
图2为场景1的正常用户交互的流程图;
图3为场景2的攻击者攻击程序检测及自动防护的流程图。
具体实施方式
下面结合附图和具体实施例对本发明的技术方案进行详细说明。
如图1所示,本发明提供了一种CC攻击接入服务集群的检测防护系统,其中接入服务集群包括多个接入服务实例,该系统包括:多个内核层防护模块CCWall、多个接入服务模块AccessServer、多个防护代理模块CCWallAgent和一个防护中心CCWallCenter,在一个接入服务实例中设置一个内核层防护模块CCWall、一个接入服务模块AccessServer和一个防护代理模块CCWallAgent,内核层防护模块运行在接入服务实例的内核空间,不涉及用户空间。
内核层防护模块CCWall:用于接收经四层负载均衡LoadBalance转入其对应的接入服务实例的数据包;对数据包进行弱指纹校验,如果通过将该数据包转发给该接入服务实例的应用层的接入服务模块AccessServer,接收接入服务模块AccessServer转发的响应包,然后转发给四层负载均衡LoadBalance;否则当弱指纹校验未通过时,按预先设置好的第一防护处理规则进行处理,同时记录拦截IP、拦截原因和拦截IP的次数;当接收到禁封条件时,按预先设置好的第二防护处理规则进行处理。
第一防护处理规则包括:直接中断TCP连接、丢掉数据包或回复特定的数据包迷惑攻击方。
第二防护处理规则包括:第一防护处理规则、在内核里取消某些IP的状态维护或对需要防护的接入服务实例端口增加和删除动态管理。
禁封条件包括:对第二防护规则的执行增加时间、次数或频率控制的限制条件。
接入服务模块AccessServer:用于校验数据包中具有时序性的强指纹数据,校验通过则判断为未检测到CC攻击行为,进一步检查数据包和应用层协议数据是否合理,如果合理,则转发给下游的服务实例进行业务逻辑处理,接收下游的服务实例返回的响应包并转发给内核层防护模块CCWall,若两个检测任一一个未通过,则切断与攻击程序的连接,获取未通过的源IP信息及原因,转发给该服务实例的防护代理模块CCWallAgent。
防护代理模块CCWallAgent,用于实现本地服务实例和防护中心CCWallCenter的通信;接收接入服务模块AccessServer的上报数据,或者定时读取内核层防护模块CCWall记录的拦截IP的次数,上报给防护中心CCWallCenter;还用于收到禁封条件后,将其下发给该接入服务实例的内核层防护模块CCWall。
防护中心CCWallCenter,用于统计所有的接收服务实例上报的拦截IP的次数,根据统计次数判断服务集群是否受到CC攻击,若为否,则不做处理,否则,广播禁封规则给所有接入服务实例的防护代理模块CCWallAgent。
如图2所示,场景1:当未受到CC攻击时,正常的交互流程包括:
1)用户APP在TCP连接建立成功后,发送请求数据包给四层负载均衡LoadBalance;
2)LoadBalance把数据包转到一个接入服务实例,到达该实例内核层防护模块CCWall;
3)CCWall对数据包进行弱指纹检测,检测通过后转给同实例应用层接入服务模块AccessServer;
4)AccessServer对数据包依次进行强指纹校验,校验通过再进行应用层协议解析,解析合理则转发给下游的服务实例进行业务逻辑处理,处理完后,返回响应包交由CCWall;
5)CCWall把响应包返回给LoadBalance;
6)LoadBalance把响应包返回给用户APP,正常交互完成。
如图3所示,场景2:攻击者攻击程序检测及自动防护:
1)攻击者在TCP连接建立成功后调用攻击程序,发送请求数据包给LoadBalance;
2)LoadBalance把数据包转到一个接入服务实例,到达该实例中的CCWall,CCWall对数据包进行弱指纹校验,通过则继续,不通过则直接按预先设置好的第一防护规则进行处理,同时记录拦截IP,拦截原因,拦截IP的次数并存储到文件;
3)CCWall将数据包转发给本实例的AccessServer,AccessServer校验数据包具有时序性的强指纹,如果校验通过,之后检查应用层协议数据合理性,都通过则没有识别到CC攻击行为,走场景1的正常流程4)及之后的流程,否则,进入4);
4)AccessServer先断开与攻击程序的TCP连接,再将不通过的源IP信息及原因转发给同实例的防护代理CCWallAgent;
5)CCWallAgent收到同实例AccessServer的上报数据,或者定时读取到CCWall的拦截IP的次数,上报给防护中心CCWallCenter;
6)CCWallCenter统计所有接入服务实例的拦截IP的次数后,判断接入集群是否受到CC攻击,如果为否,则暂不做处理,否则,下发禁封条件给本地接入服务实例的CCWallAgent;
7)CCWallCenter广播禁封条件给另一接入服务实例的CCWallAgent;
8)所有CCWallAgent收到禁封条件后,下发给同接入服务实例的CCWall;
9)同一攻击程序下一次TCP请求(包括三次握手建立请求)到达其中任一一个接入层实例时,该实例的CCWall直接在内核层触发防护规则(比如直接中断TCP连接或丢掉数据包等)。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,对本发明的技术方案进行修改或者等同替换,都不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (2)
1.一种CC攻击接入服务集群的检测防护系统,其特征在于,所述接入服务集群包括多个接入服务实例,所述系统包括:多个内核层防护模块、多个接入服务模块、多个防护代理模块和一个防护中心,在一个接入服务实例中设置一个内核层防护模块、一个接入服务模块和一个防护代理模块;其中,内核层防护模块运行在接入服务实例的内核空间;
所述内核层防护模块,用于对本地服务实例是否受到CC攻击进行检测,当检测到CC攻击或接收到接入服务集群受到CC攻击的消息时,启动防护;
所述接入服务模块,用于对本地服务实例是否受到CC攻击进行进一步检测,当未受到CC攻击时,提供正常的接入服务,否则,启动防护并将攻击的信息上报给防护代理模块;
所述防护代理模块,用于实现本地服务实例和防护中心的数据传输;
所述防护中心,用于通过所有接入服务实例提供的数据判断服务集群是否受到CC攻击,当判断受到攻击时,向所有接入服务实例广播接入服务集群受到CC攻击的消息;
所述内核层防护模块包括:接收单元、弱指纹校验单元、发送单元和第一防护单元;
所述接收单元,用于接收经四层负载均衡转入其对应的接入服务实例的数据包;
所述弱指纹校验单元,用于对数据包进行弱指纹校验,如果通过将该数据包转发给该接入服务实例的应用层的接入服务模块;否则,启动第一防护单元;
所述发送单元,用于接收接入服务模块转发的响应包,然后转发给四层负载均衡;
所述第一防护单元,用于当弱指纹校验未通过时,按预先设置好的第一防护处理规则进行处理,同时记录拦截IP、拦截原因和拦截IP的次数;还用于当接收到禁封条件时,按预先设置好的第二防护处理规则进行处理;
所述第一防护处理规则包括:直接中断TCP连接、丢掉数据包或回复特定的数据包迷惑攻击方;
所述第二防护处理规则包括:第一防护处理规则、在内核里取消某些IP的状态维护或对需要防护的接入服务实例端口增加和删除动态管理;
所述禁封条件包括:对第二防护规则的执行增加时间、次数或频率控制的限制条件;所述接入服务模块包括:强指纹数据校验单元、合理性检测单元、响应包接收单元和第二防护单元;
所述强指纹数据校验单元,用于校验数据包中具有时序性的强指纹数据,校验通过则判断为未检测到CC攻击行为,启动合理性检测单元;否则,启动第二防护单元;
所述合理性检测单元,用于检查数据包和应用层协议数据是否合理,如果合理,则转发给下游的服务实例进行业务逻辑处理;否则,启动第二防护单元;
所述响应包接收单元,用于接收下游的服务实例返回的响应包并转发给内核层防护模块的发送单元;
所述第二防护单元,用于切断与攻击程序的连接,获取未通过的源IP信息及原因,转发给本地接入服务实例的防护代理模块;
所述防护中心中设置:数据统计单元、判断单元和广播单元;
所述数据统计单元,用于统计所有的接收服务实例上报的拦截IP的次数;
所述判断单元,用于根据统计次数判断服务集群是否受到CC攻击,若为否,则不做处理,否则,启动广播单元;
所述广播单元,用于向所有接入服务实例的防护代理模块广播禁封条件。
2.根据权利要求1所述的CC攻击接入服务集群的检测防护系统,其特征在于,所述防护代理模块包括:上报单元和转发单元;
所述上报单元,用于接收接入服务模块上报的攻击信息,定时读取内核层防护模块记录的拦截IP的次数,将这些数据上报给防护中心;
所述转发单元,用于收到禁封条件后,将其转发给本地接入服务实例的内核层防护模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010764565.2A CN111741021B (zh) | 2020-08-03 | 2020-08-03 | 一种cc攻击接入服务集群的检测防护系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010764565.2A CN111741021B (zh) | 2020-08-03 | 2020-08-03 | 一种cc攻击接入服务集群的检测防护系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111741021A CN111741021A (zh) | 2020-10-02 |
| CN111741021B true CN111741021B (zh) | 2020-11-24 |
Family
ID=72656878
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010764565.2A Active CN111741021B (zh) | 2020-08-03 | 2020-08-03 | 一种cc攻击接入服务集群的检测防护系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111741021B (zh) |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8248946B2 (en) * | 2006-06-06 | 2012-08-21 | Polytechnic Institute of New York Unversity | Providing a high-speed defense against distributed denial of service (DDoS) attacks |
| US8925082B2 (en) * | 2012-08-22 | 2014-12-30 | International Business Machines Corporation | Cooperative intrusion detection ecosystem for IP reputation-based security |
| CN107454039B (zh) * | 2016-05-31 | 2020-05-01 | 北京京东尚科信息技术有限公司 | 网络攻击检测系统、方法和计算机可读存储介质 |
| CN107682341A (zh) * | 2017-10-17 | 2018-02-09 | 北京奇安信科技有限公司 | Cc攻击的防护方法及装置 |
| CN109873794B (zh) * | 2017-12-04 | 2022-11-08 | 北京安云世纪科技有限公司 | 一种拒绝服务攻击的防护方法及服务器 |
| CN110213214B (zh) * | 2018-06-06 | 2021-08-31 | 腾讯科技(深圳)有限公司 | 一种攻击防护方法、系统、装置和存储介质 |
| CN110266678B (zh) * | 2019-06-13 | 2022-03-25 | 深圳市腾讯计算机系统有限公司 | 安全攻击检测方法、装置、计算机设备及存储介质 |
| CN111464507A (zh) * | 2020-03-17 | 2020-07-28 | 南京航空航天大学 | 一种基于网络报警信息的apt检测方法 |
-
2020
- 2020-08-03 CN CN202010764565.2A patent/CN111741021B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN111741021A (zh) | 2020-10-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| US10187422B2 (en) | Mitigation of computer network attacks | |
| US10530831B2 (en) | Threat protection for real-time communications gateways | |
| US8356349B2 (en) | Method and system for intrusion prevention and deflection | |
| US8443446B2 (en) | Method and system for identifying malicious messages in mobile communication networks, related network and computer program product therefor | |
| US20050182950A1 (en) | Network security system and method | |
| US20060143709A1 (en) | Network intrusion prevention | |
| SE524963C2 (sv) | Nod och mobil anordning för ett mobiltelekommunikationsnätverk som tillhandahåller intrångsdetektering | |
| US11856008B2 (en) | Facilitating identification of compromised devices by network access control (NAC) or unified threat management (UTM) security services by leveraging context from an endpoint detection and response (EDR) agent | |
| JP2003533941A (ja) | インテリジェントフィードバックループプロセス制御システム | |
| CN102857388A (zh) | 云探安全管理审计系统 | |
| CN106254338B (zh) | 报文检测方法以及装置 | |
| CA2887428C (en) | A computer implemented system and method for secure path selection using network rating | |
| CN111641591A (zh) | 云服务安全防御方法、装置、设备及介质 | |
| US11178177B1 (en) | System and method for preventing session level attacks | |
| CN111741021B (zh) | 一种cc攻击接入服务集群的检测防护系统 | |
| CN110493230A (zh) | 一种基于网络流量应用层DDoS攻击检测方法 | |
| CN113206852B (zh) | 一种安全防护方法、装置、设备及存储介质 | |
| CN110650133B (zh) | 基于中央控制器缓解命名数据网络中内容毒害攻击的方法 | |
| KR20050075950A (ko) | 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치 | |
| CN112134845A (zh) | 一种抗拒绝服务系统 | |
| Hostiadi et al. | Improving Automatic Response Model System for Intrusion Detection System | |
| KR102571147B1 (ko) | 스마트워크 환경을 위한 보안 장치 및 그를 수행하도록 컴퓨터 판독 가능한 기록 매체에 저장된 프로그램 | |
| KR102401661B1 (ko) | DDoS 공격의 탐지 및 방어 시스템 및 그 방법 | |
| CN111988333B (zh) | 一种代理软件工作异常检测方法、装置及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |