CN112565309A - 报文处理方法、装置、设备以及存储介质 - Google Patents
报文处理方法、装置、设备以及存储介质 Download PDFInfo
- Publication number
- CN112565309A CN112565309A CN202110217802.8A CN202110217802A CN112565309A CN 112565309 A CN112565309 A CN 112565309A CN 202110217802 A CN202110217802 A CN 202110217802A CN 112565309 A CN112565309 A CN 112565309A
- Authority
- CN
- China
- Prior art keywords
- message
- target
- response
- source
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种报文处理方法、装置、设备以及存储介质,可适用于计算机技术、云计算以及云安全等领域。该方法包括:接收至少一个第一设备发送的多个第一响应报文,确定各第一响应报文对应的源端口中的目标源端口;根据目标源端口对应的第一响应报文的报文相关信息,对目标源端口对应的第一响应报文进行分类;对于每一类第一响应报文,响应该类第一响应报文中的第一目标报文,向第一目标报文对应的第一设备发送第二响应报文,以建立和第一目标报文对应的第一设备的通信连接,第一目标报文为该类第一响应报文中第一个接收到的第一响应报文。采用本申请实施例,可提升报文处理效率,适用性高。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种报文处理方法、装置、设备以及存储介质。
背景技术
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是指攻击者将多个设备联合起来作为攻击平台向一个或数个目标发动报文攻击,或者一个攻击者控制了多台设备并利用这些设备对目标同时实施报文攻击,从而使得目标无法正常使用,如导致大型网站出现无法进行操作的情况,这样不仅仅会影响用户的正常使用,同时造成的经济损失也是非常巨大的。
其中,传输控制协议(Transmission Control Protocol,TCP)反射型DDoS攻击是DDoS攻击的一种。攻击者利用某些开放服务器,通过伪造被攻击者的IP地址向开放服务器发送请求报文,使得开放服务器将数倍于请求报文的响应报文发送至被攻击目标,从而对后者间接形成DDoS攻击。基于此,被攻击目标会接收到大量不属于自己连接进程的响应报文,最终造成系统资源消耗,降低被攻击目标的运行效率。
现有的针对TCP反射型DDoS攻击的防护方案中,通常会通过防护设备对TCP反射型DDoS攻击中的攻击报文进行识别并丢弃。但是由于TCP反射型DDoS攻击中的攻击报文是基于协议栈生成的,和正常的业务报文没有任何区别,因此防护设备并不能有效识别TCP反射型DDoS攻击中的攻击报文。并且,在将TCP反射型DDoS攻击中的攻击报文丢弃之后,开放服务器会基于重传机制继续发送攻击报文,导致攻击报文的数量出现倍增。
因此,如何对TCP反射型DDoS攻击中的响应报文进行有效处理成为亟需解决的问题。
发明内容
本申请实施例提供一种报文处理方法、装置、设备以及存储介质,可提升报文处理效率,适用性高。
第一方面,本申请实施例提供一种报文处理方法,该方法包括:
接收至少一个第一设备发送的多个第一响应报文,确定各上述第一响应报文对应的源端口中的目标源端口,上述第一响应报文用于响应第二设备发送的源IP地址为目标IP地址的连接请求报文;
根据上述目标源端口对应的第一响应报文的报文相关信息,对上述目标源端口对应的第一响应报文进行分类;
对于每一类上述第一响应报文,响应该类第一响应报文中的第一目标报文,向上述第一目标报文对应的第一设备发送第二响应报文,以建立和上述第一目标报文对应的第一设备的通信连接,上述第一目标报文为该类第一响应报文中第一个接收到的第一响应报文。
另一方面,本申请实施例提供了一种报文处理装置,该报文处理装置包括:
端口确定模块,用于接收至少一个第一设备发送的多个第一响应报文,确定各上述第一响应报文对应的源端口中的目标源端口,上述第一响应报文用于响应第二设备发送的源IP地址为目标IP地址的连接请求报文;
报文分类模块,用于根据上述目标源端口对应的第一响应报文的报文相关信息,对上述目标源端口对应的第一响应报文进行分类;
报文处理模块,用于对于每一类上述第一响应报文,响应该类第一响应报文中的第一目标报文,向上述第一目标报文对应的第一设备发送第二响应报文,以建立和上述第一目标报文对应的第一设备的通信连接,上述第一目标报文为该类第一响应报文中第一个接收到的第一响应报文。
另一方面,本申请实施例提供了一种电子设备,包括处理器和存储器,该处理器和存储器相互连接;
上述存储器用于存储计算机程序;
上述处理器被配置用于在调用上述计算机程序时,执行本申请实施例所提供的报文方法。
另一方面,本申请实施例提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,该计算机程序被处理器执行以实现本申请实施例所提供的报文方法。
另一方面,本申请实施例提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。电子设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行本申请实施例所提供的报文方法。
在本申请实施例中,通过从各第一响应报文中确定出目标源端口,进而可确定出需要进行处理的第一响应报文对应的源端口,实现对进行处理的报文的快速识别。进一步的,通过对目标源端口对应的第一响应报文进行分类,进而可对每一类第一响应报文中的第一个接收到的第一响应报文进行响应,并向相对应的第一设备发送第二响应报文,以减少第一响应报文的处理量,提升报文处理效率,适用性高。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1a是本申请实施例提供的报文处理方法的网络架构示意图;
图1b是本申请实施例提供的TCP反射型DDoS攻击的一场景示意图;
图1c是本申请实施例提供的报文处理方法的一场景示意图;
图2是本申请实施例提供的报文处理方法的一流程示意图;
图3是本申请实施例提供的确定目标源端口的方法流程示意图;
图4a是现有的报文处理方法的一场景示意图;
图4b是现有的报文处理方法的另一场景示意图;
图5是本申请实施例提供的报文处理方法的另一场景示意图;
图6是本申请实施例提供的报文处理方法的另一流程示意图;
图7是本申请实施例提供的报文处理装置的结构示意图;
图8是本申请实施例提供的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例可适用于计算机技术、云安全等领域。其中,云安全是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。本申请实施例主要涉及云安全中的网络攻击防护等方面,对网络攻击报文进行防护,提升网络云安全。
参见图1a,图1a是本申请实施例提供的报文处理方法的网络架构示意图。如图1a所示,本申请实施例提供的报文处理方法可适用于设备300。对于设备300而言,设备300可接收至少一个第一设备发送的多个第一响应报文,如图1a中的设备201和设备202。其中,设备201和设备201发送的第一响应报文用于响应第二设备(设备100)发送的源IP地址为目标IP地址的连接请求报文。其中,对于任一连接请求报文,该连接请求报文对应的源IP地址为该连接请求报文的发送方(第一设备100)的IP地址。其中,目标IP地址为设备300对应的IP地址。在本申请实施例中,设备100将设备300的IP地址作为其IP地址并向设备201和设备202发送第一响应报文。
也就是说,设备201和设备202在接收到设备100发送的源IP地址为目标IP地址的连接请求报文之后,会对连接请求报文进行响应。由于设备100将设备300的IP地址作为其IP地址,因此设备201和设备202在响应接收到的连接请求报文之后,将用于响应连接请求报文的第一响应报文发送至设备300。
其中,设备201和设备202可分别响应设备100发送的多个连接请求报文,进而向设备300发送多个第一响应报文。
进一步的,设备300在接收到设备201和设备202发送的第一响应报文之后,可确定各第一响应报文对应的源端口中的目标源端口,进而根据目标源端口对应的第一响应报文的报文相关信息,将目标源端口对应的第一响应报文进行分类,得到不同类的第一响应报文。
对于每一类第一响应报文,设备300可响应该类第一响应报文中第一个接收到的第一响应报文(如设备201发送的一个第一响应报文),进而对该第一响应报文响应,向设备201发送第二响应报文从而建立与设备201的通信连接。
在本申请实施例中,设备100、设备201、设备202以及设备203可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、Tcaplus、安全服务、内容分发网络(Content Delivery Network,CDN)的云服务器或服务器集群,在此不做限制。
可选的,上述设备100还可以是终端设备,包括但不限于智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、客户机以及智能手表等,但并不局限于此。
图1a所示的网络架构可用于对TCP反射型DDoS攻击中的攻击报文进行处理。以TCP反射型DDoS攻击为例,攻击者通过IP地址欺骗方式,伪造目标服务器IP向公网上的TCP服务器发起同步序列号(Synchronize Sequence Numbers,SYN)报文。TCP服务器接收到SYN报文后,向目标服务器返回SYN-ACK(acknowledgment)响应报文或者ACK报文,就这样目标服务器接收到大量不属于自己连接进程的报文,最终造成带宽、CPU等资源耗尽,引发被攻击服务器拒绝服务。
其中,在TCP反射型DDoS攻击中,上述设备100可以为攻击者,上述设备201和设备202可以为网络服务器,如TCP服务器,也可称为反射源服务器,上述设备300可以为用于处理向目标服务器发送的攻击报文的防护设备、防护软件以及进程等,在此不做限制。
参见图1b,图1b是本申请实施例提供的TCP反射型DDoS攻击的一场景示意图。在图1b中,目标设备为被攻击设备,目标设备的IP地址为x.x.x.x。攻击服务器为攻击者所使用的服务器,即本申请实施例中的第二设备,可对应于图1a中的设备100。反射源服务器即为网络服务器,即本申请实施例中的第一设备,可对应于图1a中的设备201以及设备202。
在该场景中,若攻击者需要攻击目标设备的443端口,则攻击服务器将目标设备的IP地址:x.x.x.x作为其IP地址,向各反射源服务器发送源IP地址为x.x.x.x,源端口为443端口的SYN报文。例如,攻击服务器向IP地址为a.a.a.a的反射源服务器发送源IP地址为x.x.x.x、源端口为443端口、目的IP地址为a.a.a.a以及目的端口为80端口的SYN1报文。同理,攻击服务器向IP地址为b.b.b.b的反射源服务器发送源IP地址为x.x.x.x、源端口为443端口、目的IP地址为b.b.b.b以及目的端口为80端口的SYN2报文;攻击服务器向IP地址为c.c.c.c的反射源服务器发送源IP地址为x.x.x.x、源端口为443端口、目的IP地址为c.c.c.c以及目的端口为80端口的SYN3报文。攻击服务器向IP地址为d.d.d.d的反射源服务器发送源IP地址为x.x.x.x、源端口为443端口、目的IP地址为d.d.d.d以及目的端口为80端口的SYN4报文。由于上述各SYN报文的目的端口为80端口,则各反射源服务器基于80端口响应相对应的SYN报文。
进一步的,由于各反射源服务器接收到的SYN报文对应的源IP地址是攻击服务器所伪造的目标设备的IP地址x.x.x.x,因此各反射源服务器在响应接收到的SYN报文之后,向IP地址为x.x.x.x目标设备发送针对SYN报文的SYN-ACK响应报文。如IP地址为a.a.a.a的反射源服务器向目标设备发送源IP地址为a.a.a.a、源端口为80端口、目的IP地址为x.x.x.x以及目的端口为443端口的SYN-ACK1响应报文。同理,IP地址为b.b.b.b的反射源服务器向目标设备发送源IP地址为b.b.b.b、源端口为80端口、目的IP地址为x.x.x.x以及目的端口为443端口的SYN-ACK2响应报文;IP地址为c.c.c.c的反射源服务器向目标设备发送源IP地址为c.c.c.c、源端口为80端口、目的IP地址为x.x.x.x以及目的端口为443端口的SYN-ACK3响应报文;IP地址为d.d.d.d的反射源服务器向目标设备发送源IP地址为d.d.d.d、源端口为80端口、目的IP地址为x.x.x.x以及目的端口为443端口的SYN-ACK4响应报文。
基于上述报文发送以及响应机制,攻击服务器不断向各反射源服务器发送针对目标设备的SYN报文,可实现对IP地址为x.x.x.x的目标设备的报文攻击,且该报文攻击时针对于目标设备的443端口而言的。
其中,对于正常的用户终端(假设IP地址为e.e.e.e)而言,该用户终端可通过相对应的端口(例如17911端口)向IP地址为x.x.x.x的目标设备的80端口发送SYN报文。如用户终端向目标设备发送源IP地址为e.e.e.e、源端口为17911端口、目的IP地址为x.x.x.x以及目的端口为80端口的SYN5报文。目标设备响应SYN5报文,并向用户终端发送源IP地址为x.x.x.x、源端口为80端口、目的IP地址为e.e.e.e以及目的端口为17911端口的SYN-ACK5响应报文,进而用户终端可响应SYN-ACK5响应报文,并向目标设备发送源IP地址为e.e.e.e、源端口为17911端口、目的IP地址为x.x.x.x以及目的端口为80端口的ACK5报文,从而用户终端和目标设备建立TCP连接。
为对图1b中的TCP反射型DDoS攻击进行防护,本申请实施例可应用于防护设备或者目标设备。参见图1c,图1c是本申请实施例提供的报文处理方法的一场景示意图。如图1c所示,本申请实施例在图1b的基础之上引入防护设备,以基于本申请实施例提供的方法对TCP反射型DDoS攻击进行防护。
在各反射源服务器发送多个SYN-ACK响应报文之后,防护设备可确定各SYN-ACK响应报文对应的源端口中的目标源端口。在图1c中各SYN-ACK响应报文的源端口均为80端口,则防护设备可确定80端口是否为目标源端口。在80端口为目标源端口的情况下,可根据各SYN-ACK响应报文的报文相关信息对各SYN-ACK响应报文进行归类,进而防护设备可响应每一类SYN-ACK响应报文中的第一个接收到的SYN-ACK响应报文,并向其发送ACK响应报文。对于用户终端而言,防护设备不对用户终端向目标设备发送的报文进行任何处理,也不对目标设备向用户终端发送的报文进行任何处理,从而用户终端和目标设备可正常建立TCP连接。
参见图2,图2是本申请实施例提供的报文处理方法的一流程示意图。如图2所示,本申请实施例提供的报文处理方法可包括如下步骤:
步骤S21、接收至少一个第一设备发送的多个第一响应报文,确定各第一响应报文对应的源端口中的目标源端口。
在一些可行的实施方式中,在接收至少一个第一设备发送的多个第一响应报文时,基于预设接收配置接收各第一设备发送的第一响应报文。
其中,上述第一设备发送的第一响应报文可以为SYN报文或者ACK报文。
可选的,可接收并缓存预设时间窗内各第一设备发送的多个第一响应报文。如将数十毫秒的时间窗内的,由第一设备发送的多个第一响应报文进行缓存。
可选的,在接收并缓存各第一设备发送的多个第一响应报文时,可将源IP地址和/或源端口在黑名单中的第一响应报文进行拦截或者丢弃,进而至接收并缓存源IP地址和/或源端口在黑名单外的其他第一响应报文。
需要特别说明的是,上述接收至少一个第一设备发送的多个第一响应报文的具体实现方式仅为示例,具体可基于实际应用场景需求确定,在此不做限制。
在本申请实施例中,将各第一设备发送的多个第一响应报文进行缓存可基于计算机、区块链等技术实现。各第一设备发送的多个第一响应报文可缓存至缓存空间、数据库、数据库管理系统或者区块链中,或者基于大数据、云存储技术等,通过集群应用、网格技术以及分布存储文件系统等功能,将网络中大量各种不同类型的存储设备(存储设备也称之为存储节点)通过应用软件或应用接口集合起来协同工作,共同存储。
其中,区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块用于存储数据。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层。
在一些可行的实施方式中,对于任一第一设备,该第一设备发送的第一响应报文用于响应其接收到的连接请求报文。
其中,该第一设备发送的第一响应报文的源端口、源IP地址、目的端口以及目的IP地址分别为相对应的连接请求报文的目的端口、目的IP地址、源端口以及源IP地址。
其中,该第一设备所响应的连接请求报文是由第二设备发送。并且,任一第一设备可接收并响应至少一个第二设备发送的连接请求报文,任一第二设备可向至少一个第一设备发送连接请求报文,每一第二设备向不同第一设备发送的连接请求报文的源端口和目的端口可以相同,也可以不同,具体可基于实际应用场景需求确定,在此不做限制。
作为一示例,第二设备向第一设备发送SYN报文(连接请求报文),第一设备响应SYN报文并发送SYN-ACK响应报文(第一响应报文)。若SYN报文对应的源IP地址为e.e.e.e、源端口为443端口、目的IP地址为x.x.x.x以及目的端口为80端口,则SYN-ACK响应报文的源IP地址为x.x.x.x、源端口为80端口、目的IP地址为e.e.e.e以及目的端口为443端口。
在一些可行的实施方式中,对于任一第一设备,该第一设备响应的连接请求报文的源IP地址为目标IP地址,该目标IP地址为被攻击的IP地址。
作为一示例,在TCP反射型DDoS攻击中,第二设备为攻击服务器,第一设备为反射源服务器。攻击服务器可伪造被攻击的目标服务器的目标IP地址,向反射源服务器发送SYN报文,即攻击服务器将被攻击的目标服务器的目标IP地址作为SYN报文的源IP地址,并向各反射源服务器不间断发送SYN报文。反射源服务器在接收到攻击服务器发送的SYN报文之后,会将SYN报文的源IP地址作为SYN-ACK响应报文的目的IP地址,进而将目的IP地址对应的被攻击的目标服务器发送SYN-ACK响应报文。
在一些可行的实施方式中,对于任一第一设备,若其接收到目的端口不同的多个连接请求报文,则相对应的该第一设备发送的多个第一响应报文分别对应不同的源端口。也就是说,第二设备在向各第一设备发送源IP地址为目标IP地址的连接请求报文时,可向各第一设备的不同端口发送连接请求报文,进而使得各第一设备在响应各连接请求报文时所发送的各第一响应报文可分别对应不同的源端口。
进一步的,根据TCP协议可知,正常的用户设备发送的连接请求报文对应的源端口会在1024端口至65535端口之间随机分布,在多个用户设备发送大量的连接请求报文的情况下,用户设备发送的连接请求报文则会在1024端口至65535端口的范围内趋近于平均分布。但是对于TCP反射型DDoS攻击而言,攻击服务器通常会使用21端口,22端口,23端口,80端口,81端口,443端口,1900端口,3389端口,8080端口等TCP端口发起攻击。
因此,在接收到至少一个第一设备发送的多个第一响应报文之后,可确定各第一响应报文对应的源端口中的目标源端口,以确定出接收到的多个第一响应报文中的待处理报文。换句话说,在接收到至少一个第一设备发送的多个第一响应报文之后,可从各第一响应报文对应的源端口中确定出用于进行报文攻击的目标源端口,进而该目标源端口对应的第一响应报文为用于对目标IP地址进行报文攻击的攻击报文。
在一些可行的实施方式中,上述第一响应报文对应的源端口包括用于提供安全外壳(Secure Shell,SSH)协议服务的端口(TCP22端口)、超文本传输协议(HypertextTransfer Protocol,HTTP)服务的端口(TCP80端口)以及超文本传输安全协议(Hyper TextTransfer Protocol over Secure Socket Layer,HTTPS)服务的端口(TCP443端口)中的至少一项。
在一些可行的实施方式中,确定各第一响应报文对应的源端口中的目标源端口的具体实现方式可参见图3。图3是本申请实施例提供的确定目标源端口的方法流程示意图。如图3所示,本申请实施例提供的确定目标源端口的方法可包括如下步骤:
步骤S31、获取各第一响应报文对应的源端口的端口相关信息。
具体的,每一源端口的端口相关信息包括该源端口对应的第一响应报文的源IP地址的种类数量或者第一响应报文的报文数量中的至少一项。
其中,该源端口对应的第一响应报文可以为不同第一设备采用基于相同端口发送的第一响应报文,即该源端口对应的各第一响应报文的源端口相同,目的端口、源IP地址可以不同。也就是说,该源端口对应的第一响应报文的源IP地址的种类数量可用于表示基于该源端口发送第一响应报文的第一设备的数量。
其中,该源端口对应的第一响应报文的报文数量用于说明各第一设备基于该源端口发送的第一响应报文的报文数量。
步骤S32、根据端口相关信息,确定各第一响应报文对应的源端口中的目标源端口。
具体的,在确定目标源端口时,由于用于进行报文攻击的攻击报文的报文数量往往大于正常用户设备所带来的报文数量,因此对于每一用于进行报文攻击的源端口,其对应的第一响应报文的数量以及第一响应报文对应的源IP地址的种类数往往会大量聚集,因此可基于各源端口的端口相关信息来确定目标源端口。
进一步的,可将各第一响应报文对应的源端口中第一响应报文的源IP地址的种类数量超过第一数量阈值,和/或第一响应报文的报文数量超过第二数量阈值的源端口确定为目标源端口。
其中,上述第一数量阈值和上述第二数量阈值具体可基于实际应用场景需求确定,在此不做限制。
作为一示例,每一源端口的端口相关信息包括该源端口对应的第一响应报文的源IP地址的种类数量。对于每一源端口,若该源端口对应的第一响应报文的源IP地址的种类数量超过第一数量阈值,说明有多个第一设备通过该源端口发送第一响应报文。
当第一数量阈值足够大时,该源端口对应的源IP地址的种类数量也就越多,则该源端口对应的第一响应报文的数量也就越多。在此情况下,可将该源端口确定为目标源端口,即该源端口对应的第一响应报文为用于进行报文攻击的攻击报文。
作为一示例,每一源端口的端口相关信息包括该源端口对应的第一响应报文的报文数量。对于每一源端口,若该源端口对应的第一响应报文的报文数量超过第二数量阈值,则说明该源端口聚集有大量的第一响应报文。
由于正常用户设备对应的源端口在一定的端口范围内随机分布,因此在该源端口聚集有大量第一响应报文的情况下,可将该源端口确定为目标源端口,即该源端口对应的第一响应报文为用于进行报文攻击的攻击报文。
作为一示例,每一源端口的端口相关信息包括该源端口对应的第一响应报文的源IP地址的种类数量以及第一响应报文的报文数量。对于每一源端口,若该源端口对应的第一响应报文的报文数量超过第二阈值,说明该源端口聚集有大量第一响应报文。进一步,若该源端口对应的第一响应报文的源IP地址的种类数量超过第一阈值,说明该源端口聚集的大量第一响应报文是由大量不同的第一设备所发送的,进而可排除少量第一设备基于大量第一响应报文进行TCP连接以进行大量数据传输的情况,从而可将该源端口确定为目标源端口,即该源端口对应的第一响应报文为用于进行报文攻击的攻击报文。
可选的,在确定目标源端口时,还可根据实际应用场景需求指定一个或者多个端口,将第一设备发送的各第一响应报文对应的源端口中与指定端口相同的端口确定为目标源端口。
步骤S22、根据目标源端口对应的第一响应报文的报文相关信息,对目标源端口对应的第一响应报文进行分类。
在一些可行的实施方式中,第一响应报文的报文相关信息包括源端口、目的端口、源IP地址以及目的IP地址。
在一些可行的实施方式中,对于目标源端口对应的任一两个第一响应报文,若其对应的源端口、目的端口、源IP地址以及目的IP地址中,除目的IP地址外的其他任意一项或者多项不同时,则上述两个第一响应报文会对应有不同的报文相关信息的第二响应报文。
作为一示例,若两个第一响应报文对应的源端口、源IP地址以及目的IP地址相同,目的端口不同,则上述两个第一响应报文会对应有源端口不同,目的端口、源IP地址以及目的IP地址相同的两个第二响应报文。
例如,若存在第一响应报文SYN-ACK1和SYN-ACK2,且SYN-ACK1响应报文的源IP地址为a.a.a.a,源端口为80端口,目的端口为443端口,目的IP地址为x.x.x.x;SYN-ACK2响应报文的源IP地址为a.a.a.a,源端口为80端口,目的端口为22端口。则SYN-ACK1对应的ACK1报文的目的IP地址为a.a.a.a,目的端口为80端口,源端口为443端口,源IP地址为x.x.x.x;SYN-ACK2响应报文对应的ACK2报文的目的IP地址为a.a.a.a,目的端口为80端口,源端口为22端口,目的端口为443端口。由此可知,ACK1报文和ACK2报文的目的端口不同,SYN-ACK1响应报文和SYN-ACK2响应报文对应不同的ACK报文。
基于此,对于每一目标源端口,可将该目标源端口对应的第一响应报文中源端口、目的端口、源IP地址以及目的IP地址相同的第一响应报文归为一类,以将该目标源端口对应的第一响应报文划分为多类第一响应报文,进而对各类第一响应报文进行处理。
步骤S23、对于每一类第一响应报文,响应该类第一响应报文中的第一目标报文,向第一目标报文对应的第一设备发送第二响应报文,以建立和第一目标报文对应的第一设备的通信连接。
在实际应用中,第二设备会不间断的发送连接请求报文,导致第一设备会不间断发送第一响应报文。即便现有的防护方案中会从接收到的第一响应报文中确定出攻击报文,并对大量的攻击报文进行丢弃,但是第一设备不断发送的第一响应报文仍然会占用防护设备的带宽和网络链路。除了可能造成链路拥堵,还会带来额外的带宽费用,增加报文的防护成本。同时由于TCP反射生成第一响应报文都是60多字节的数据量较小的报文,第二设备可以通过重复发送连接请求报文,不断触发第一设备发送第一响应报文,进而对防护设备的系统性能造成消耗,甚至造成防护设备性能不足引发故障。并且反射源服务器(第一设备)产生的攻击报文是基于服务器的协议栈生成的,和正常用户设备产生的业务报文没有区别,因此现有的防护方案并不能对第一响应报文中的攻击报文进行有效识别。
参见图4a,图4a是现有的报文处理方法的一场景示意图。如图4a所示,对于某一攻击服务器(第二设备)而言,该攻击服务器向反射源服务器(第一设备)发送连接请求报文SYN1,反射源服务器接收到SYN1报文之后,向防护设备发送相对应的SYN-ACK1响应报文,防护设备在接收到SYN-ACK1响应报文之后确定出攻击报文并对其进行丢弃。由于防护设备对SYN-ACK1响应报文进行丢弃,并未与反射源服务器建立TCP连接,因此反射源服务器再次接收到攻击服务器发送的连接请求报文(如后续的SYN2报文至SYN6报文),均会向防护设备发送相对应的第一响应报文(SYN-ACK2响应报文至SYN-ACK6响应报文),进而会占用防护设备的带宽和网络链路,消耗防护设备的系统性能。
另一方面,在实际建立TCP连接的过程中,若反射源服务器向防护设备发送第一响应报文(SYN-ACK响应报文)之后,并未收到防护设备返回的第二响应报文(ACK报文),则反射源服务器会对先前发送的SYN-ACK响应报文进行重传。进而随着防护设备对该SYN-ACK响应报文的不断丢弃,反射源服务器不断进行重传,从而导致第一响应报文的数量持续增长。并且若反射源服务器接收到防护设备返回的ACK报文,即防护设备对反射源服务器发送的SYN-ACK响应报文进行响应之后,反射源服务器会对攻击服务器(第二设备)后续发送的SYN报文进行响应,产生ACK报文或者RST(Reset the connection)报文,进而反射源服务器会进一步增加第一响应报文的报文数量,从而会占用防护设备的带宽和网络链路,消耗防护设备的系统性能。
参见图4b,图4b是现有的报文处理方法的另一场景示意图。如图4b所示,对于某一攻击服务器(第二设备)而言,该攻击服务器向反射源服务器(第一设备)发送连接请求报文SYN1,反射源服务器接收到SYN1报文之后,向防护设备发送相对应的SYN-ACK1响应报文,防护设备在接收到SYN-ACK1响应报文之后对其进行丢弃。由于防护设备对SYN-ACK1响应报文进行丢弃,并未与反射源服务器建立TCP连接,因此反射源服务器会对SYN-ACK1响应报文进行重传,如此往复反射源服务器会持续向防护设备发送SYN-ACK1响应报文,进而会占用防护设备的带宽和网络链路,消耗防护设备的系统性能。
基于此,在对每一目标源端口对应的第一响应报文进行分类之后,对于每一类第一响应报文,可响应该类第一响应报文中的第一个接收到的第一响应报文(为方便描述,以下称为第一目标报文),进而建立和第一目标报文对应的第一设备的通信连接。
对于每一类第一响应报文,在与该类第一响应报文中第一目标报文对应的第一设备建立通信连接之后,第一设备在该通信连接的连接期间不再触发报文重传机制。并且第一设备已基于第一目标报文建立通信连接,因此第一设备也不再对与第一目标报文对应的连接请求报文的报文相关信息相同的奇特连接请求报文进行响应,从而第一设备不再发送与第一目标报文相同的第一响应报文。
参见图5,图5是本申请实施例提供的报文处理方法的另一场景示意图。在图5中,攻击服务器(第二设备)不断向反射源服务器(第一设备)发送报文相关信息相同的连接请求报文,即攻击服务器不断向攻击服务器发送源IP地址为x.x.x.x、源端口为443端口、目的IP地址为a.a.a.a以及目的端口为80端口的SYN报文。对于反射源服务器而言,反射源服务器在接收到连接请求报文后,会向防护设备发送报文相关信息相同的第一响应报文,即反射源服务器会发送多个源IP地址为a.a.a.a、源端口为80端口、目的IP地址为x.x.x.x以及目的端口为443端口的SYN-ACK响应报文。
进一步的,由于反射源服务器发送的SYN-ACK响应报文的源端口均为443端口,在确定源端口443端口为目标源端口的情况下,该目标源端口对应的各SYN-ACK响应报文的报文相关信息相同,因此可将反射源服务器发送的SYN-ACK响应报文确定为一类第一响应报文。在该情况下,防护设备可响应第一个接收到的SYN-ACK1响应报文,并向反射源服务器发送源IP地址为x.x.x.x、源端口为443端口、目的端口为80以及目的IP地址为a.a.a.a的第二响应报文ACK1。
反射源服务器在接收到了完成TCP三次握手所需要的ACK1响应报文之后,与防护设备建立TCP连接,进而反射源服务器将不会对SYN-ACK1响应报文发起重传。
并且,反射源服务器在基于上述ACK1报文完成正常的TCP连接之后,在该TCP连接的连接期间(超时或者断开之前),反射源服务器将会忽略攻击服务器发出的与SYN1相同的SYN报文,进而不再产生新的与AYN-ACK1相同的第一响应报文以实现对攻击报文的处理。对于反射源服务器而言,本申请实施例提供的报文处理方法只是增加了处理防护设备返回的各类SYN-ACK响应报文对应的ACK报文,并新增了少量的TCP连接。除此之外,并没有新增更多的性能消耗,反而因为反射源服务器不再需要重传大量的SYN-ACK响应报文而减少了带宽占用,降低系统性能消耗。
在一些可行的实施方式中,对于每一类第一响应报文,在基于该类第一响应报文中的第一目标报文所建立的通信连接断开时,可确定该类第一响应报文对应的通信连接的断开时间,并确定该类第一响应报文中在上述断开时间之后第一个接收到的第一响应报文(为方便描述,以下称为第二目标报文)。进而在上述通信连接断开之后,响应第二目标报文并向第二目标报文对应的第一设备发送第二响应报文,从而建立与第二目标报文对应的第一设备的通信连接。
基于此,对于每一类第一响应报文,在该类第一响应报文对应的通信连接断开之后,可基于上述方式再次建立新的通信连接,从而进一步触发第一设备的报文重传机制以及避免第一设备再次发送大量与第一目标报文或者第二报文为同类的第一响应报文。
在一些可行的实施方式中,为减少系统资源消耗,对于每一目标源端口中的每一类第一响应报文,每建立与第一设备的通信连接之后,可丢弃接收时间在该通信连接对应的第一响应报文的接收时间之后的部分第一响应报文。其中,丢弃的部分第一响应报文中最后一个接收到的第一响应报文的接收时间,与当前建立的通信连接对应的第一响应报文的接收时间的时间间隔,不超过当前建立的通信连接的连接时间。
换句话说,对于每一目标源端口中的每一类第一响应报文,每建立一次通信连接之后,可丢弃接时间在该通信连接的超时时刻之前的所有第一响应报文。进而在该通信连接断开时候,可基于断开时间之后的第一个接收到的第一响应报文建立与相对应的第一设备的通信连接。
在一些可行的实施方式中,对于每一目标源端口中的每一类第一响应报文,可丢弃该类第一响应报文中的第三目标报文。其中,该类第一响应报文中的第三目标报文为接收时间在上述第一目标报文的接收时间和与其相邻的第二目标报文的接收时间之间的第一响应报文,以及接收时间在每两个相邻的第二目标报文的接收时间之间的第一响应报文。
在一些可行的实施方式中,对于每一目标源端口中的每一类第一响应报文,在基于该类第一响应报文中的任一第一响应报文建立与相对应的第一设备的通信连接之后,可丢弃该任一第一响应报文。
参见图6,图6是本申请实施例提供的报文处理方法的另一流程示意图。如图6所示,本申请实施例提供的报文处理方法可包括如下步骤:
步骤S61、接收至少一个第一设备发送的多个第一响应报文,确定各第一响应报文对应的源端口中的目标源端口。
步骤S62、根据目标源端口对应的第一响应报文的报文相关信息,对目标源端口对应的第一响应报文进行分类。
步骤S63、对于每一类第一响应报文,响应该类第一响应报文中的第一目标报文,向第一目标报文对应的第一设备发送第二响应报文,以建立和第一目标报文对应的第一设备的通信连接。
在一些可行的实施方式中,上述步骤S61至步骤S63的具体实施方式可参见图2中步骤S21至步骤S23所示的实现方式,在此不再赘述。
步骤S64、响应第四目标报文,向第四目标报文对应的第一设备发送第二响应报文,以建立和第四目标报文对应的第一设备的通信连接。
在一些可行的实施方式中,在基于本申请实施例提供的报文处理方法对目标源端口对应的第一响应报文进行处理后,由于除目标源端口外的其他源端口对应的第一响应报文(为方便描述,以下称为第四目标报文)为正常用户设备发送的第一响应报文,因此在对目标源端口对应的第一响应报文进行处理的同时,可响应上述第四目标报文,进而建立与第四目标报文对应的第一设备的通信连接,进而实现对非攻击报文的处理。
在一些可行的实施方式中,对于本申请实施例中的任一第一响应报文,该第二响应报文对应的源IP地址、目的IP地址、源端口以及目的端口分别为相对应的第一响应报文对应的目的IP地址、源IP地址、目标端口以及源端口。
在本申请实施例中,确定各第一响应报文的接收时间以及对各源端口对应的第一响应报文进行分类等过程可基于计算机技术以及云计算等方式进行。其中,云计算是网格计算(Grid Computing)、分布式计算(Distributed Computing)、并行计算(ParallelComputing)、效用计算(Utility Computing)、网络存储(Network StorageTechnologies)、虚拟化(Virtualization)、负载均衡(Load Balance)等传统计算机和网络技术发展融合的产物,基于云计算可提升本申请实施例中确定各第一响应报文的接收时间以及对各源端口对应的第一响应报文进行分类的处理效率。
在本申请实施例中,通过对第一设备发送的多个第一响应报文对应的源端口的端口相关信息进行分析,可快速识别出用于进行报文攻击的目标源端口以及目标源端口对应的攻击报文,从而对攻击报文进行处理,避免了由于对大量报文进行会话检查而导致增加正常业务网络访问的网络延迟。
进一步的,可基于各目标源端口对应的第一响应报文的报文信息,将各源端口对应的第一响应报文进行分类,进而可对每一类的第一响应报文进行处理。并且在报文处理过程中,可对每一类的第一响应报文中的一个第一响应报文进行响应并回复第二响应报文,从而大幅度减少第一设备所发送的第一响应报文的数量,降低了TCP反射型DDoS攻击的防护成本。
另一方面,对于每一类的第一响应报文,在该类第一响应报文对应的通信连接断开之后可再次建立一个新的通信连接,可有效防止由于丢弃第一响应报文以及通信连接超时所触发的TCP重传机制导致的第一响应报文的报文数量急速增加的效应。
与此同时,基于本申请实施例提供的报文处理方法,可避免被攻击的用户由于大量第一响应报文(攻击报文)的涌入导致被网络平台和/或运营商封禁。并且由于第三方反射源服务器(第一设备)可参与攻击报文的防护处理,可大幅度降低防护设备的性能消耗,适用性高。
参见图7,图7是本申请实施例提供的报文处理装置的结构示意图。本申请实施例提供的报文处理装置1包括:
端口确定模块11,用于接收至少一个第一设备发送的多个第一响应报文,确定各上述第一响应报文对应的源端口中的目标源端口,上述第一响应报文用于响应第二设备发送的源IP地址为目标IP地址的连接请求报文;
报文分类模块12,用于根据上述目标源端口对应的第一响应报文的报文相关信息,对上述目标源端口对应的第一响应报文进行分类;
报文处理模块13,用于对于每一类上述第一响应报文,响应该类第一响应报文中的第一目标报文,向上述第一目标报文对应的第一设备发送第二响应报文,以建立和上述第一目标报文对应的第一设备的通信连接,上述第一目标报文为该类第一响应报文中第一个接收到的第一响应报文。
在一些可行的实施方式中,上述端口确定模块11,用于:
获取各上述第一响应报文对应的源端口的端口相关信息,每一上述源端口的端口相关信息包括该源端口对应的第一响应报文的源IP地址的种类数量或者第一响应报文的报文数量中的至少一项;
根据上述端口相关信息,确定各上述第一响应报文对应的源端口中的目标源端口。
在一些可行的实施方式中,上述端口确定模块11,用于:
将各上述第一响应报文对应的源端口中第一响应报文的源IP地址的种类数量超过第一数量阈值,和/或第一响应报文的报文数量超过第二数量阈值的源端口确定为目标源端口。
在一些可行的实施方式中,上述报文分类模块12,用于:
对于每一上述目标源端口,将该目标源端口对应的第一响应报文中报文信息相关信息相同的第一响应报文信息确定为一类第一响应报文;
上述报文相关信息包括源端口、目的端口、源IP地址以及目的IP地址。
在一些可行的实施方式中,上述报文处理模块13,还用于:
对于每一类上述第一响应报文,响应于该类第一响应报文对应的通信连接断开,确定该类第一响应报文对应的通信连接的断开时间;
响应该类第一响应报文中的第二目标报文,向上述第二目标报文对应的第一设备发送第二响应报文,以建立和上述第二目标报文对应的第一设备的通信连接,上述第二目标报文为该类第一响应报文中在上述断开时间之后第一个接收到的第一响应报文。
在一些可行的实施方式中,上述报文处理模块13,还用于:
对于每一类上述第一响应报文,丢弃该类第一响应报文中的第三目标报文;
上述第三目标报文为接收时间在上述第一目标报文的接收时间和与上述第一目标报文相邻的第二目标报文的接收时间之间的第一响应报文、以及接收时间在各相邻的上述第二目标报文的接收时间之间的第一响应报文。
在一些可行的实施方式中,上述报文处理模块13,还用于:
响应第四目标报文,向上述第四目标报文对应的第一设备发送第二响应报文,以建立和上述第四目标报文对应的第一设备的通信连接;
上述第四目标报文为除上述目标源端口外的其他源端口对应的第一响应报文。
在一些可行的实施方式中,对于每一上述第二响应报文,该第二响应报文对应的源IP地址、目的IP地址、源端口以及目的端口分别为相对应的第一响应报文对应的目的IP地址、源IP地址、目标端口以及源端口。
在一些可行的实施方式中,上述第一响应报文对应的源端口包括用于提供安全外壳协议服务的端口、超文本传输协议服务的端口以及超文本传输安全协议服务的端口中的至少一项。
具体实现中,上述报文处理装置1可通过其内置的各个功能模块执行如上述图2、图3以及图6中各个步骤所提供的实现方式,具体可参见上述各个步骤所提供的实现方式,在此不再赘述。
上述报文处理装置可以是运行于计算机设备中的一个计算机程序(包括程序代码),例如该报文处理装置为一个应用软件;该报文处理装置可以用于执行本申请实施例提供的报文处理方法中的相应步骤。
在一些可行的实施方式中,本申请实施例提供的报文处理装置可以采用软硬件结合的方式实现,作为示例,本申请实施例提供的报文处理装置可以是采用硬件译码处理器形式的处理器,其被编程以执行本申请实施例提供的报文处理方法,例如,硬件译码处理器形式的处理器可以采用一个或多个应用专用集成电路(ASIC,Application SpecificIntegrated Circuit)、DSP、可编程逻辑器件(PLD,Programmable Logic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、现场可编程门阵列(FPGA,Field-Programmable Gate Array)或其他电子元件。
在一些可行的实施方式中,本申请实施例提供的报文处理装置可以采用软件方式实现,图7中的报文处理装置1,其可以是程序和插件等形式的软件,并包括一系列的模块,包括端口确定模块11、报文分类模块12、以及报文处理模块13。其中,端口确定模块11、报文分类模块12、以及报文处理模块13用于实现本申请实施例提供的报文处理方法。
参见图8,图8是本申请实施例提供的电子设备的结构示意图。如图8所示,本实施例中的电子设备1000可以包括:处理器1001,网络接口1004和存储器1005,此外,上述电子设备1000还可以包括:用户接口1003,和至少一个通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。其中,用户接口1003可以包括显示屏(Display)、键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1004可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器1005可选的还可以是至少一个位于远离前述处理器1001的存储装置。如图8所示,作为一种计算机可读存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及设备控制应用程序。
在图8所示的电子设备1000中,网络接口1004可提供网络通讯功能;而用户接口1003主要用于为用户提供输入的接口;而处理器1001可以用于调用存储器1005中存储的设备控制应用程序,以实现:
接收至少一个第一设备发送的多个第一响应报文,确定各上述第一响应报文对应的源端口中的目标源端口,上述第一响应报文用于响应第二设备发送的源IP地址为目标IP地址的连接请求报文;
根据上述目标源端口对应的第一响应报文的报文相关信息,对上述目标源端口对应的第一响应报文进行分类;
对于每一类上述第一响应报文,响应该类第一响应报文中的第一目标报文,向上述第一目标报文对应的第一设备发送第二响应报文,以建立和上述第一目标报文对应的第一设备的通信连接,上述第一目标报文为该类第一响应报文中第一个接收到的第一响应报文。
在一些可行的实施方式中,上述处理器1001用于:
获取各上述第一响应报文对应的源端口的端口相关信息,每一上述源端口的端口相关信息包括该源端口对应的第一响应报文的源IP地址的种类数量或者第一响应报文的报文数量中的至少一项;
根据上述端口相关信息,确定各上述第一响应报文对应的源端口中的目标源端口。
在一些可行的实施方式中,上述处理器1001用于:
将各上述第一响应报文对应的源端口中第一响应报文的源IP地址的种类数量超过第一数量阈值,和/或第一响应报文的报文数量超过第二数量阈值的源端口确定为目标源端口。
在一些可行的实施方式中,上述处理器1001用于:
对于每一上述目标源端口,将该目标源端口对应的第一响应报文中报文信息相关信息相同的第一响应报文信息确定为一类第一响应报文;
上述报文相关信息包括源端口、目的端口、源IP地址以及目的IP地址。
在一些可行的实施方式中,上述处理器1001还用于:
对于每一类上述第一响应报文,响应于该类第一响应报文对应的通信连接断开,确定该类第一响应报文对应的通信连接的断开时间;
响应该类第一响应报文中的第二目标报文,向上述第二目标报文对应的第一设备发送第二响应报文,以建立和上述第二目标报文对应的第一设备的通信连接,上述第二目标报文为该类第一响应报文中在上述断开时间之后第一个接收到的第一响应报文。
在一些可行的实施方式中,上述处理器1001还用于:
对于每一类上述第一响应报文,丢弃该类第一响应报文中的第三目标报文;
上述第三目标报文为接收时间在上述第一目标报文的接收时间和与上述第一目标报文相邻的第二目标报文的接收时间之间的第一响应报文、以及接收时间在各相邻的上述第二目标报文的接收时间之间的第一响应报文。
在一些可行的实施方式中,上述处理器1001还用于:
响应第四目标报文,向上述第四目标报文对应的第一设备发送第二响应报文,以建立和上述第四目标报文对应的第一设备的通信连接;
上述第四目标报文为除上述目标源端口外的其他源端口对应的第一响应报文。
在一些可行的实施方式中,对于每一上述第二响应报文,该第二响应报文对应的源IP地址、目的IP地址、源端口以及目的端口分别为相对应的第一响应报文对应的目的IP地址、源IP地址、目标端口以及源端口。
在一些可行的实施方式中,上述第一响应报文对应的源端口包括用于提供安全外壳协议服务的端口、超文本传输协议服务的端口以及超文本传输安全协议服务的端口中的至少一项。
应当理解,在一些可行的实施方式中,上述处理器1001可以是中央处理单元(central processing unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(digital signal processor,DSP)、专用集成电路 (application specific integratedcircuit,ASIC)、现成可编程门阵列 (field-programmable gate array,FPGA) 或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。该存储器可以包括只读存储器和随机存取存储器,并向处理器提供指令和数据。存储器的一部分还可以包括非易失性随机存取存储器。例如,存储器还可以存储设备类型的信息。
具体实现中,上述电子设备1000可通过其内置的各个功能模块执行如上述图2、图3以及图6中各个步骤所提供的实现方式,具体可参见上述各个步骤所提供的实现方式,在此不再赘述。
本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,被处理器执行以实现图2、图3以及图6中各个步骤所提供的方法,具体可参见上述各个步骤所提供的实现方式,在此不再赘述。
上述计算机可读存储介质可以是前述任一实施例提供的报文处理装置和/或电子设备的内部存储单元,例如电子设备的硬盘或内存。该计算机可读存储介质也可以是该电子设备的外部存储设备,例如该电子设备上配备的插接式硬盘,智能存储卡(smart mediacard, SMC),安全数字(secure digital, SD)卡,闪存卡(flash card)等。上述计算机可读存储介质还可以包括磁碟、光盘、只读存储记忆体(read-only memory,ROM)或随机存储记忆体(random access memory,RAM)等。进一步地,该计算机可读存储介质还可以既包括该电子设备的内部存储单元也包括外部存储设备。该计算机可读存储介质用于存储该计算机程序以及该电子设备所需的其他程序和数据。该计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。
本申请实施例提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。电子设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行图2、图3以及图6中各个步骤所提供的方法。
本申请的权利要求书和说明书及附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或电子设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或电子设备固有的其它步骤或单元。在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置展示该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
以上所揭露的仅为本申请较佳实施例而已,不能以此来限定本申请之权利范围,因此依本申请权利要求所作的等同变化,仍属本申请所涵盖的范围。
Claims (12)
1.一种报文处理方法,其特征在于,所述方法包括:
接收至少一个第一设备发送的多个第一响应报文,确定各所述第一响应报文对应的源端口中的目标源端口,所述第一响应报文用于响应第二设备发送的源IP地址为目标IP地址的连接请求报文;
根据所述目标源端口对应的第一响应报文的报文相关信息,对所述目标源端口对应的第一响应报文进行分类;
对于每一类所述第一响应报文,响应该类第一响应报文中的第一目标报文,向所述第一目标报文对应的第一设备发送第二响应报文,以建立和所述第一目标报文对应的第一设备的通信连接,所述第一目标报文为该类第一响应报文中第一个接收到的第一响应报文。
2.根据权利要求1所述的方法,其特征在于,所述确定各所述第一响应报文对应的源端口中的目标源端口,包括:
获取各所述第一响应报文对应的源端口的端口相关信息,每一所述源端口的端口相关信息包括该源端口对应的第一响应报文的源IP地址的种类数量或者第一响应报文的报文数量中的至少一项;
根据所述端口相关信息,确定各所述第一响应报文对应的源端口中的目标源端口。
3.根据权利要求2所述的方法,其特征在于,所述根据所述端口相关信息,确定各所述第一响应报文对应的源端口中的目标源端口,包括:
将各所述第一响应报文对应的源端口中第一响应报文的源IP地址的种类数量超过第一数量阈值,和/或第一响应报文的报文数量超过第二数量阈值的源端口确定为目标源端口。
4.根据权利要求1所述的方法,其特征在于,所述根据所述目标源端口对应的第一响应报文的报文相关信息,对所述目标源端口对应的第一响应报文进行分类,包括:
对于每一所述目标源端口,将该目标源端口对应的第一响应报文中报文信息相关信息相同的第一响应报文信息确定为一类第一响应报文;
所述报文相关信息包括源端口、目的端口、源IP地址以及目的IP地址。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
对于每一类所述第一响应报文,响应于该类第一响应报文对应的通信连接断开,确定该类第一响应报文对应的通信连接的断开时间;
响应该类第一响应报文中的第二目标报文,向所述第二目标报文对应的第一设备发送第二响应报文,以建立和所述第二目标报文对应的第一设备的通信连接,所述第二目标报文为该类第一响应报文中在所述断开时间之后第一个接收到的第一响应报文。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
对于每一类所述第一响应报文,丢弃该类第一响应报文中的第三目标报文;
所述第三目标报文为接收时间在所述第一目标报文的接收时间和与所述第一目标报文相邻的第二目标报文的接收时间之间的第一响应报文、以及接收时间在各相邻的所述第二目标报文的接收时间之间的第一响应报文。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应第四目标报文,向所述第四目标报文对应的第一设备发送第二响应报文,以建立和所述第四目标报文对应的第一设备的通信连接;
所述第四目标报文为除所述目标源端口外的其他源端口对应的第一响应报文。
8.根据权利要求1所述的方法,其特征在于,对于每一所述第二响应报文,该第二响应报文对应的源IP地址、目的IP地址、源端口以及目的端口分别为相对应的第一响应报文对应的目的IP地址、源IP地址、目标端口以及源端口。
9.根据权利要求1所述的方法,其特征在于,所述第一响应报文对应的源端口包括用于提供安全外壳协议服务的端口、超文本传输协议服务的端口以及超文本传输安全协议服务的端口中的至少一项。
10.一种报文处理装置,其特征在于,所述报文处理装置包括:
端口确定模块,用于接收至少一个第一设备发送的多个第一响应报文,确定各所述第一响应报文对应的源端口中的目标源端口,所述第一响应报文用于响应第二设备发送的源IP地址为目标IP地址的连接请求报文;
报文分类模块,用于根据所述目标源端口对应的第一响应报文的报文相关信息,对所述目标源端口对应的第一响应报文进行分类;
报文处理模块,用于对于每一类所述第一响应报文,响应该类第一响应报文中的第一目标报文,向所述第一目标报文对应的第一设备发送第二响应报文,以建立和所述第一目标报文对应的第一设备的通信连接,所述第一目标报文为该类第一响应报文中第一个接收到的第一响应报文。
11.一种电子设备,其特征在于,包括处理器和存储器,所述处理器和存储器相互连接;
所述存储器用于存储计算机程序;
所述处理器被配置用于在调用所述计算机程序时,执行如权利要求1至9任一项所述的方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行以实现权利要求1至9任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110217802.8A CN112565309B (zh) | 2021-02-26 | 2021-02-26 | 报文处理方法、装置、设备以及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110217802.8A CN112565309B (zh) | 2021-02-26 | 2021-02-26 | 报文处理方法、装置、设备以及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112565309A true CN112565309A (zh) | 2021-03-26 |
| CN112565309B CN112565309B (zh) | 2021-05-14 |
Family
ID=75036051
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110217802.8A Active CN112565309B (zh) | 2021-02-26 | 2021-02-26 | 报文处理方法、装置、设备以及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112565309B (zh) |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8156557B2 (en) * | 2007-01-04 | 2012-04-10 | Cisco Technology, Inc. | Protection against reflection distributed denial of service attacks |
| CN107241301A (zh) * | 2016-03-29 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 防御反射攻击的方法、装置和系统 |
| CN108093051A (zh) * | 2017-12-20 | 2018-05-29 | 迈普通信技术股份有限公司 | 报文复制方法及装置 |
| CN108551446A (zh) * | 2018-04-08 | 2018-09-18 | 东软集团股份有限公司 | 防攻击的syn报文处理方法、装置、防火墙及存储介质 |
| US20180278500A1 (en) * | 2017-03-24 | 2018-09-27 | The Trustees Of Princeton University | Scalable streaming analytics platform for network monitoring |
| CN109194680A (zh) * | 2018-09-27 | 2019-01-11 | 腾讯科技(深圳)有限公司 | 一种网络攻击识别方法、装置及设备 |
| CN110266678A (zh) * | 2019-06-13 | 2019-09-20 | 深圳市腾讯计算机系统有限公司 | 安全攻击检测方法、装置、计算机设备及存储介质 |
| CN110365658A (zh) * | 2019-06-25 | 2019-10-22 | 深圳市腾讯计算机系统有限公司 | 一种反射攻击防护与流量清洗方法、装置、设备及介质 |
| CN110445809A (zh) * | 2019-09-03 | 2019-11-12 | 深圳绿米联创科技有限公司 | 网络攻击检测方法、装置、系统、电子设备及存储介质 |
| US20200128039A1 (en) * | 2018-10-22 | 2020-04-23 | A10 Networks, Inc. | Network session traffic behavior learning system |
| WO2020118375A1 (en) * | 2018-12-14 | 2020-06-18 | Newsouth Innovations Pty Limited | Apparatus and process for detecting network security attacks on iot devices |
| US10798060B2 (en) * | 2016-03-29 | 2020-10-06 | Huawei Technologies Co., Ltd. | Network attack defense policy sending method and apparatus, and network attack defending method and apparatus |
-
2021
- 2021-02-26 CN CN202110217802.8A patent/CN112565309B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8156557B2 (en) * | 2007-01-04 | 2012-04-10 | Cisco Technology, Inc. | Protection against reflection distributed denial of service attacks |
| CN107241301A (zh) * | 2016-03-29 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 防御反射攻击的方法、装置和系统 |
| US10798060B2 (en) * | 2016-03-29 | 2020-10-06 | Huawei Technologies Co., Ltd. | Network attack defense policy sending method and apparatus, and network attack defending method and apparatus |
| US20180278500A1 (en) * | 2017-03-24 | 2018-09-27 | The Trustees Of Princeton University | Scalable streaming analytics platform for network monitoring |
| CN108093051A (zh) * | 2017-12-20 | 2018-05-29 | 迈普通信技术股份有限公司 | 报文复制方法及装置 |
| CN108551446A (zh) * | 2018-04-08 | 2018-09-18 | 东软集团股份有限公司 | 防攻击的syn报文处理方法、装置、防火墙及存储介质 |
| CN109194680A (zh) * | 2018-09-27 | 2019-01-11 | 腾讯科技(深圳)有限公司 | 一种网络攻击识别方法、装置及设备 |
| US20200128039A1 (en) * | 2018-10-22 | 2020-04-23 | A10 Networks, Inc. | Network session traffic behavior learning system |
| WO2020118375A1 (en) * | 2018-12-14 | 2020-06-18 | Newsouth Innovations Pty Limited | Apparatus and process for detecting network security attacks on iot devices |
| CN110266678A (zh) * | 2019-06-13 | 2019-09-20 | 深圳市腾讯计算机系统有限公司 | 安全攻击检测方法、装置、计算机设备及存储介质 |
| CN110365658A (zh) * | 2019-06-25 | 2019-10-22 | 深圳市腾讯计算机系统有限公司 | 一种反射攻击防护与流量清洗方法、装置、设备及介质 |
| CN110445809A (zh) * | 2019-09-03 | 2019-11-12 | 深圳绿米联创科技有限公司 | 网络攻击检测方法、装置、系统、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112565309B (zh) | 2021-05-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7836498B2 (en) | Device to protect victim sites during denial of service attacks | |
| US8224976B2 (en) | Using a server's capability profile to establish a connection | |
| US7278159B2 (en) | Coordinated thwarting of denial of service attacks | |
| US9130978B2 (en) | Systems and methods for detecting and preventing flooding attacks in a network environment | |
| US20010042200A1 (en) | Methods and systems for defeating TCP SYN flooding attacks | |
| CN108173812B (zh) | 防止网络攻击的方法、装置、存储介质和设备 | |
| US7043759B2 (en) | Architecture to thwart denial of service attacks | |
| US9578055B1 (en) | Thwarting drone-waged denial of service attacks on a network | |
| US7124440B2 (en) | Monitoring network traffic denial of service attacks | |
| US7743134B2 (en) | Thwarting source address spoofing-based denial of service attacks | |
| US8856913B2 (en) | Method and protection system for mitigating slow HTTP attacks using rate and time monitoring | |
| CN110198293B (zh) | 服务器的攻击防护方法、装置、存储介质和电子装置 | |
| CN101834833B (zh) | 对分布式拒绝服务攻击的服务器防护 | |
| US20020035628A1 (en) | Statistics collection for network traffic | |
| US20020103916A1 (en) | Thwarting connection-based denial of service attacks | |
| CN109005194B (zh) | 基于kcp协议的无端口影子通信方法及计算机存储介质 | |
| US7854000B2 (en) | Method and system for addressing attacks on a computer connected to a network | |
| US7404210B2 (en) | Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs | |
| CN111314328A (zh) | 网络攻击防护方法、装置、存储介质及电子设备 | |
| CN108667829A (zh) | 一种网络攻击的防护方法、装置及存储介质 | |
| EP1154610A2 (en) | Methods and system for defeating TCP Syn flooding attacks | |
| CN114465742A (zh) | 网络安全防护方法以及防护设备 | |
| CN112565309B (zh) | 报文处理方法、装置、设备以及存储介质 | |
| CN114124489B (zh) | 防止流量攻击的方法、清洗装置、设备和介质 | |
| CN113179247B (zh) | 拒绝服务攻击防护方法、电子装置和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40041373 Country of ref document: HK |