CN113810398A - 一种攻击防护方法、装置、设备及存储介质 - Google Patents
一种攻击防护方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113810398A CN113810398A CN202111058166.5A CN202111058166A CN113810398A CN 113810398 A CN113810398 A CN 113810398A CN 202111058166 A CN202111058166 A CN 202111058166A CN 113810398 A CN113810398 A CN 113810398A
- Authority
- CN
- China
- Prior art keywords
- session
- packet loss
- flooding attack
- attack message
- flooding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/142—Denial of service attacks against network infrastructure
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种攻击防护方法、装置、设备及存储介质,方法包括:在收到泛洪攻击报文时,基于泛洪攻击报文的目的地址和源地址判断是否需要创建丢包会话;若需要,则根据泛洪攻击报文的五元组创建丢包会话,在接收到匹配丢包会话的第二泛洪攻击报文时,丢弃第二泛洪攻击报文。通过为泛洪攻击报文创建丢包会话,使得后续收到泛洪攻击报文可以直接匹配丢包会话后丢弃,可以减少报文的无关处理流程,从而减少设备性能损耗,进而突破防火墙设备上使用泛洪攻击局限性。通过将泛洪攻击报文的目的地址和源地址这两项信息,作为创建丢包会话的条件,可以避免创建大量的丢包会话,而耗费太多的设备内存的同时,还可以达到精细化的防御目的,从而减少误判。
Description
技术领域
本发明涉及攻击防御技术领域,具体涉及一种攻击防护方法、装置、设备及存储介质。
背景技术
随着网络技术发展,各种类型网络攻击接连不断,泛洪攻击尤为突出,泛洪攻击包括SYN(Synchronize Sequence Numbers,同步序列编号)泛洪攻击、ICMP(InternetControl Message Protocol,Internet控制报文协议)泛洪攻击、UDP(User DatagramProtocol,用户数据报协议)泛洪攻击等,其特点是在短时间内向目标服务器发送大量的虚假请求,导致目标服务器疲于应付无用信息,从而无法为合法用户提供正常服务,即发生拒绝服务。
在相关技术中,使用防火墙设备来对泛洪攻击进行防御,即当防火墙设备收到大量的泛洪攻击报文时,基于被攻击的目的服务器的IP地址进行攻击速率统计,若攻击速率大于阈值,则直接丢包并上报,或者触发客户端验证策略。然而,由于防火墙设备要处理大量泛洪攻击报文,导致设备的性能损耗比较大,因此对于泛洪攻击的防御在防火墙设备使用上存在局限性。
发明内容
本发明的目的是针对上述现有技术的不足提出的一种攻击防护方法、装置、设备及存储介质,该目的是通过以下技术方案实现的。
本发明的第一方面提出了一种攻击防护方法,所述方法包括:
在收到第一泛洪攻击报文时,基于所述第一泛洪攻击报文的目的地址和源地址判断是否需要创建丢包会话;
若需要,则根据所述第一泛洪攻击报文的五元组信息创建丢包会话;
接收第二泛洪攻击报文;
若所述第二泛洪攻击报文匹配到所述丢包会话,则丢弃所述第二泛洪攻击报文。
在本申请的一些实施例中,所述基于所述泛洪攻击报文的目的地址和源地址判断是否需要创建丢包会话,包括:
确定包含所述目的地址的泛洪攻击报文的第一接收速率;若所述第一接收速率大于第一阈值,则确定包含所述源地址的泛洪攻击报文的第二接收速率;若所述第二接收速率大于第二阈值,则确定需要创建丢包会话;若所述第一接收速率不大于第一阈值或所述第二接收速率不大于第二阈值,则确定不需要创建丢包会话。
在本申请的一些实施例中,在确定包含所述源地址的泛洪攻击报文的第二接收速率之前,所述方法还包括:
对发送所述第一泛洪攻击报文的客户端进行验证;若验证通过,则执行确定包含所述源地址的泛洪攻击报文的第二接收速率的步骤;若验证失败,则丢弃所述第一泛洪攻击报文。
在本申请的一些实施例中,在根据所述第一泛洪攻击报文的五元组创建丢包会话之后,所述方法还包括:
若存在硬件转发模块,则将所述丢包会话下发至所述硬件转发模块,以使所述硬件转发模块丢弃匹配到所述丢包会话的第二泛洪攻击报文。
在本申请的一些实施例中,在根据所述第一泛洪攻击报文的五元组信息创建丢包会话之后,包括:
为所述丢包会话设置一老化时间;在所述老化时间到达之前,若所述丢包会话被匹配到,则更新所述丢包会话的老化时间;在所述老化时间到期时,若所述丢包会话仍未被匹配到,则删除所述丢包会话。
在本申请的一些实施例中,在收到第一泛洪攻击报文时,所述方法还包括:
利用所述第一泛洪攻击报文的五元组信息匹配丢包会话;若匹配到,则丢弃所述第一泛洪攻击报文;若未匹配到,则执行基于所述第一泛洪攻击报文的目的地址和源地址判断是否需要创建丢包会话的步骤。
本发明的第二方面提出了一种攻击防护装置,所述装置包括:
判断模块,用于在收到第一泛洪攻击报文时,基于所述第一泛洪攻击报文的目的地址和源地址判断是否需要创建丢包会话;
丢包会话创建模块,用于在判断需要创建时,根据所述泛洪攻击报文的五元组信息创建丢包会话;
丢弃模块,用于接收第二泛洪攻击报文,若所述第二泛洪攻击报文匹配到所述丢包会话,则丢弃所述第二泛洪攻击报文。
本发明的第三方面提出了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述第一方面所述方法的步骤。
本发明的第四方面提出了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如上述第一方面所述方法的步骤。
基于上述第一方面和第二方面所述的攻击防护方法及装置,本发明至少具有如下有益效果或优点:
设备在受到泛洪攻击时,通过为收到的泛洪攻击报文创建丢包会话,使得后续收到相同泛洪攻击报文时可以直接匹配丢包会话后丢弃掉,可以减少报文的无关处理流程,从而减少设备性能的损耗,进而突破防火墙设备上使用泛洪攻击的局限性。
进一步地,通过将泛洪攻击报文的目的地址和源地址这两项信息,作为创建丢包会话的条件,可以避免创建大量的丢包会话,而耗费太多的设备内存的同时,还可以达到精细化的防御目的,从而减少误判。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为现有技术中采用的泛洪攻击防护流程示意图;
图2为本发明根据一示例性实施例示出的一种攻击防护方法的实施例流程图;
图3为本发明根据图2所示实施例示出的存在硬件转发模块的攻击防护流程具体示意图;
图4为本发明根据一示例性实施例示出的一种攻击防护装置的结构示意图;
图5为本发明根据一示例性实施例示出的一种计算机设备的硬件结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本发明可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
图1为现有技术提供的泛洪攻击防护流程,当防火墙设备收到大量的泛洪攻击报文时,一种是若开启防护策略,则基于被攻击服务器的IP地址进行攻击速率统计,若攻击速率大于阈值,则直接丢包并上报;另一种是若未开启防护策略,则由防火墙设备的安全策略规则进行丢弃。
然而,第一种开启防护策略的方式,由于防火墙设备要处理大量泛洪攻击报文,导致设备的性能损耗比较大,因此对于泛洪攻击的防御在防火墙设备使用上存在局限性。另一种未开启防护策略的方式,由于安全策略的业务点在防火墙设备的业务处理流程中,处于比较靠后的位置,这样每个泛洪攻击报文都需要依次经之前的所有业务点处理,处理深度比较大,因此性能损耗也比较大。
为解决上述技术问题,本发明提出一种攻击防护方法,即在收到第一泛洪攻击报文时,首先基于第一泛洪攻击报文的目的地址和源地址判断是否需要创建丢包会话,在判断需要时,根据第一泛洪攻击报文的五元组信息创建丢包会话,从而在接收到第二泛洪攻击报文时,若第二泛洪攻击报文匹配到该丢包会话,则丢弃该第二泛洪攻击报文。
基于上述描述技术方案可达到的技术效果有:
设备在收到泛洪攻击时,通过为收到的泛洪攻击报文创建丢包会话,使得后续收到相同泛洪攻击报文时可以直接匹配丢包会话后丢弃掉,可以减少报文的无关处理流程,从而减少设备性能的损耗,进而突破防火墙设备上使用泛洪攻击的局限性。
进一步地,通过将泛洪攻击报文的目的地址和源地址这两项信息,作为创建丢包会话的条件,可以避免创建大量的丢包会话,而耗费太多的设备内存的同时,还可以达到精细化的防御目的,从而减少误判。
为了使本领域技术人员更好的理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
实施例一:
图2为本发明根据一示例性实施例示出的一种攻击防护方法的实施例流程图,所述攻击防护方法可以应用于防火墙设备,具体在防火墙设备的CPU上执行,如图2所示,该攻击防护方法包括如下步骤:
步骤201:在收到第一泛洪攻击报文时,基于第一泛洪攻击报文的目的地址和源地址判断是否需要创建丢包会话。
其中,第一泛洪攻击报文指的是当防火墙设备收到报文流量的速率达到预先设置的阈值时,设备启用泛洪攻击防护措施,从而将收到的所有报文流量均作为泛洪攻击报文来处理。
进一步地,由于攻击者可能挟持真实的源客户端进行攻击,也可能主要针对被挟持服务器的攻击,当然也可能伪造源客户端进行攻击,并且有的报文实际属于正常报文,而非泛洪攻击报文,因此充分考虑泛洪攻击的自身特点后,基于第一泛洪攻击报文的目的地址(指示服务器)和源地址(指示客户端)判定有没有创建丢包会话的必要。
在一可选的具体实施例中,可以确定包含该目的地址的泛洪攻击报文的第一接收速率,在第一接收速率大于第一阈值时,确定包含该目源地址的泛洪攻击报文的第二接收速率,在第二接收速率大于第二阈值时,确定需要创建丢包会话,而在第一接收速率不大于第一阈值或者是第二接收速率不大于第二阈值时,确定不需要创建丢包会话。
其中,第一接收速率指的是每秒接收到包含该目的地址的泛洪攻击报文数量,这些泛洪攻击报文中的目的地址与第一泛洪攻击报文中的目的地址相同。第二接收速率指的是每秒接收到包含源地址的泛洪攻击报文数量,这些泛洪攻击报文中的源地址与第一泛洪攻击报文中的源地址相同。
通过确定第一接收速率可以将正常访问服务器的报文排除掉,通过确定第二接收速率可以将正常客户端访问服务器的报文排除掉,因此通过将目的地址和源地址这两项信息作为创建丢包会话的条件,可以避免创建大量的丢包会话,而耗费太多的设备内存的同时,还可以达到精细化的防御目的,从而减少误判。
可选的,在确定不需要创建丢包会话时,可以利用预设的安全策略规则处理第一泛洪攻击报文即可。
本领域技术人员可以理解的是,针对利用预设的安全策略规则处理泛洪攻击报文的过程,可以采用相关技术实现,本申请对此不进行具体限定。
需要说明的是,为了进一步减少丢包会话的创建数量,攻击者若采用伪造的源地址(也即非正常源客户端)进行攻击,而非挟持正常客户端或服务器进行攻击,在第一接收速率大于第一阈值时,可以进一步对发送第一泛洪攻击报文的客户端进行验证,在验证通过情况下,再执行确定包含源地址的泛洪攻击报文的第二接收速率的步骤,在验证失败情况下,则直接丢弃第一泛洪攻击报文。从而不需要创建丢包会话,通过客户端验证方式就可以正常防护。
可选的,针对客户端验证过程,可以是防火墙设备向发送第一泛洪攻击报文的源客户端发送一个错误报文,如果源客户端有响应相应的报文,那么表示客户端验证通过,如果源客户端没有响应,那么表示客户端验证失败。
基于上述描述可知,需要创建丢包会话进行防护的情况,是对于被挟持的真实源客户端或者被挟持服务器,防火墙受到大流量的攻击源,攻击特征是源地址明确,攻击速率大,从而需要创建丢包会话来快速丢弃大量的攻击。
步骤202:在判断需要创建时,根据第一泛洪攻击报文的五元组信息创建丢包会话。
其中,第一泛洪攻击报文的五元组信息指的是源地址、源端口、目的地址、目的端口、以及协议信息。丢包会话包含两层含义,一层是一个会话表项,另一层是处理动作为丢弃。
可选的,针对创建丢包会话的过程,为了实现会话快速检索,可以基于五元组信息进行哈希计算,得到一个哈希值,并基于这个哈希值创建丢包会话。由于五元组信息经过哈希计算,可以得到一个固定长度的字符序列,并且不同五元组信息经过哈希计算后,得到的字符序列不同,因此在进行会话匹配时,需要的匹配量很少,可以快速给出防护动作。
需要说明的是,为了提升用户体验,可以对创建的丢包会话进行维护,因此在根据第一泛洪攻击报文的五元组信息创建丢包会话之后,通过为丢包会话设置老化时间,在老化时间到达之前,若该丢包会话被匹配到,则更新该丢包会话的老化时间,在老化时间到期时,若该丢包会话仍未被匹配到,则删除该丢包会话。
其中,老化时间可以根据实际需求设置,例如,将老化时间设置为60秒,那么在这60秒里,每次匹配到丢包会话的泛洪攻击报文会被直接丢弃,并且还会更新该丢包会话的老化时间为60秒,而如果在这60秒内,一直未匹配到该丢包会话,那么该丢包会话就会被删除掉。
需要进一步说明的是,随着安全设备硬件的不断更新换代,为了提升流量转发效率,一些设备上采用硬件转发模块根据CPU下发的会话直接进行流量快转处理,无需经CPU进行处理转发,然而在现有技术中,若是监测到泛洪攻击,由于硬件转发模块不具有防护能力,对于进入硬件转发模块的泛洪攻击报文均上报CPU进行处理,导致CPU的压力增加,对设备性能损耗也比较大。
基于此,在存在硬件转发模块的情况下,可以将创建的丢包会话下发至硬件转发模块,以使硬件转发模块丢弃匹配到丢包会话的第二泛洪攻击报文,从而避免所有泛洪攻击报文都上报CPU处理,造成CPU性能损耗过大的问题。
可选的,在硬件转发模块中也可以对下发的丢包会话进行维护,向硬件转发模块下发设置有老化时间的丢包会话,为了确保硬件转发模块与CPU之间的同步,在硬件转发模块中,对老化时间进行监测,即在老化时间到期之前,若该丢包会话被匹配到,则更新该丢包会话的老化时间,并向CPU发送更新通知,在老化时间到期时,若该丢包会话仍未被匹配到,则向CPU发送会话到期通知,并在接收到CPU发送的删除通知时,删除该丢包会话。
针对上述步骤201至步骤202的过程,在收到第一泛洪攻击报文时,可以先利用第一泛洪攻击报文的五元组信息匹配丢包会话,若匹配到,则直接丢弃该第一泛洪攻击报文,若未匹配到,则再执行基于该第一泛洪攻击报文的目的地址和源地址判断是否需要创建丢包会话。
本领域技术人员可以理解的是,在存在硬件转发模块的情况下,泛洪攻击报文首先进入硬件转发模块进行丢包会话匹配,若匹配到,则直接丢弃,若未匹配到,则将泛洪攻击报文再上报CPU,由CPU执行基于该泛洪攻击报文的目的地址和源地址判断是否需要创建丢包会话的过程。
步骤203:接收第二泛洪攻击报文,若第二泛洪攻击报文匹配到所述丢包会话,则丢弃第二泛洪攻击报文。
本领域技术人员可以理解的是,上述步骤201中所述的第一泛洪攻击报文指的是创建丢包会话前接收的报文,步骤203中所述的第二泛洪攻击报文指的是创建丢包会话后接收的报文。
基于上述步骤202中描述的丢包会话创建过程,针对第二泛洪攻击报文匹配丢包会话的过程,可以根据第二泛洪攻击报文的五元组信息进行哈希计算,得到一个哈希值,如果该哈希值与丢包会话的哈希值相同,则确定匹配到所述丢包会话。
至此,完成上述图2所示的攻击防护流程,设备在受到泛洪攻击时,通过为收到的泛洪攻击报文创建丢包会话,使得后续收到相同泛洪攻击报文时可以直接匹配丢包会话后丢弃掉,可以减少报文的无关处理流程,从而减少设备性能的损耗,进而突破防火墙设备上使用泛洪攻击的局限性。
进一步地,通过将泛洪攻击报文的目的地址和源地址这两项信息,作为创建丢包会话的条件,可以避免创建大量的丢包会话,而耗费太多的设备内存的同时,还可以达到精细化的防御目的,从而减少误判。
实施例二:
图3为本发明根据图2所示实施例示出的存在硬件转发模块的攻击防护具体流程示意图,在本实施例中,防火墙设备包括CPU和硬件转发模块两个可以对报文处理的硬件结构。在上述图2所示实施例的基础上,下面以CPU与硬件转发模块之间的交互为例,对存在硬件转发模块的攻击防护具体流程进行介绍:
在防火墙设备开启泛洪攻击防护措施后,泛洪攻击报文首先进入硬件转发模块,在硬件转发模块中,基于泛洪攻击报文的五元组进行丢包会话匹配,若匹配到丢包会话,则直接丢弃泛洪攻击报文,若未匹配到,则将泛洪攻击报文上报CPU。
在CPU中,首先基于泛洪攻击报文的目的地址统计确定第一接收速率,如果第一接收速率大于第一阈值,则对发送泛洪攻击报文的客户端进行验证,如果验证通过,再基于泛洪攻击报文的源地址确定第二接收速率,如果第二接收速率大于第二阈值,则利用泛洪攻击报文的五元组创建丢包会话并添加到会话表中,同时将丢包会话也下发至硬件转发模块中,以使后续的泛洪攻击报文匹配到该丢包会话后直接丢弃。另一方面,如果第一接收速率不大于第一阈值或者第二接收速率不大于第二阈值,都会利用预设的安全策略规则处理该泛洪攻击报文。
基于上述实施例描述的技术方案,设备在受到泛洪攻击时,通过确定目的地址的第一接收速率可以将正常访问服务器的报文排除掉,通过确定源地址的第二接收速率可以将正常客户端访问服务器的报文排除掉,因此通过将目的地址和源地址这两项信息作为创建丢包会话的条件,可以避免创建大量的丢包会话,而耗费太多的设备内存的同时,还可以达到精细化的防御目的,从而减少误判。
并且在第一接收速率大于第一阈值时,再进一步对发送泛洪攻击报文的客户端进行验证,在验证通过情况下,再确定第二接收速率,可以对攻击者采用伪造的源地址(也即非正常源客户端)进行攻击的情况起到防护作用,而不需要创建丢包会话。具体来说,在对客户端进行验证时,可以从泛洪攻击报文中提取出客户端的相关信息,然后基于提取到的客户端的相关信息对客户端进行验证。例如,如果该客户端的相关信息已预先记录且合法,则对该客户端验证通过,否则验证不通过。
对于被挟持的真实源客户端或者被挟持服务器情况,防火墙受到大流量的攻击源,攻击特征是源地址明确,攻击速率大,从而需要创建丢包会话来快速丢弃大量的攻击,减少设备性能的损耗,进而突破防火墙设备上使用泛洪攻击的局限性。
与前述攻击防护方法的实施例相对应,本发明还提供了攻击防护装置的实施例。
图4为本发明根据一示例性实施例示出的一种攻击防护装置的实施例流程图,该装置用于执行上述任一实施例提供的攻击防护方法,如图4所示,该攻击防护装置包括:
判断模块410,用于在收到第一泛洪攻击报文时,基于所述第一泛洪攻击报文的目的地址和源地址判断是否需要创建丢包会话;
丢包会话创建模块420,用于在判断需要创建时,根据所述第一泛洪攻击报文的五元组信息创建丢包会话;
丢弃模块430,用于接收第二泛洪攻击报文,若所述第二泛洪攻击报文匹配到所述丢包会话,则丢弃所述第二泛洪攻击报文。
在一可选的实施方式中,所述判断模块410,具体用于确定包含所述目的地址的泛洪攻击报文的第一接收速率;若所述第一接收速率大于第一阈值,则确定包含所述源地址的泛洪攻击报文的第二接收速率;若所述第二接收速率大于第二阈值,则确定需要创建丢包会话;若所述第一接收速率不大于第一阈值或所述第二接收速率不大于第二阈值,则确定不需要创建丢包会话。
在一可选的实施方式中,所述装置还包括(图4中未示出):
验证模块,用于在所述判断模块410确定包含所述源地址的泛洪攻击报文的第二接收速率之前,对发送所述第一泛洪攻击报文的客户端进行验证;若验证通过,则执行确定包含所述源地址的泛洪攻击报文的第二接收速率的步骤;若验证失败,则丢弃所述第一泛洪攻击报文。
在一可选的实施方式中,所述装置还包括(图4中未示出):
会话下发模块,用于在所述丢包会话创建模块420根据所述第一泛洪攻击报文的五元组创建丢包会话之后,若存在硬件转发模块,则将所述丢包会话下发至所述硬件转发模块,以使所述硬件转发模块丢弃匹配到所述丢包会话的第二泛洪攻击报文。
在一可选的实施方式中,所述装置还包括(图4中未示出):
会话维护模块,用于在所述丢包会话创建模块420根据所述第一泛洪攻击报文的五元组信息创建丢包会话之后,为所述丢包会话设置老化时间;在所述老化时间到达之前,若所述丢包会话被匹配到,则更新所述丢包会话的老化时间;在所述老化时间到达时,若所述丢包会话仍未被匹配到,则删除所述丢包会话。
在一可选的实施方式中,所述装置还包括(图4中未示出):
匹配模块,用于在所述判断模块410收到第一泛洪攻击报文时,利用所述第一泛洪攻击报文的五元组信息匹配丢包会话;若匹配到,则丢弃所述第一泛洪攻击报文;若未匹配到,则执行所述判断模块410中基于所述第一泛洪攻击报文的目的地址和源地址判断是否需要创建丢包会话的步骤。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本发明实施方式还提供一种与前述实施方式所提供的攻击防护方法对应的设备,以执行上述攻击防护方法。
图5为本发明根据一示例性实施例示出的一种设备的硬件结构图,该设备包括:通信接口501、处理器502、存储器503和总线504;其中,通信接口501、处理器502和存储器503通过总线504完成相互间的通信。处理器502通过读取并执行存储器503中与攻击防护方法的控制逻辑对应的机器可执行指令,可执行上文描述的攻击防护方法,该方法的具体内容参见上述实施例,此处不再累述。
本发明中提到的存储器503可以是任何电子、磁性、光学或其它物理存储装置,可以包含存储信息,如可执行指令、数据等等。具体地,存储器503可以是RAM(Random AccessMemory,随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。通过至少一个通信接口501(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网、广域网、本地网、城域网等。
总线504可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。其中,存储器503用于存储程序,所述处理器502在接收到执行指令后,执行所述程序。
处理器502可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器502中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器502可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。
本申请实施例提供的设备与本申请实施例提供的攻击防护方法出于相同的发明构思,具有与其采用、运行或实现的方法相同的有益效果。
本申请实施方式还提供一种与前述实施方式所提供的攻击防护方法对应的计算机可读存储介质,可以为光盘30,其上存储有计算机程序(即程序产品),所述计算机程序在被处理器运行时,会执行前述任意实施方式所提供的攻击防护方法。
需要说明的是,所述计算机可读存储介质的例子还可以包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他光学、磁性存储介质,在此不再一一赘述。
本申请的上述实施例提供的计算机可读存储介质与本申请实施例提供的攻击防护方法出于相同的发明构思,具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种攻击防护方法,其特征在于,所述方法包括:
在收到第一泛洪攻击报文时,基于所述第一泛洪攻击报文的目的地址和源地址判断是否需要创建丢包会话;
若需要,则根据所述第一泛洪攻击报文的五元组信息创建丢包会话;
接收第二泛洪攻击报文;
若所述第二泛洪攻击报文匹配到所述丢包会话,则丢弃所述第二泛洪攻击报文。
2.根据权利要求1所述的方法,其特征在于,所述基于所述第一泛洪攻击报文的目的地址和源地址判断是否需要创建丢包会话,包括:
确定包含所述目的地址的泛洪攻击报文的第一接收速率;
若所述第一接收速率大于第一阈值,则确定包含所述源地址的泛洪攻击报文的第二接收速率;
若所述第二接收速率大于第二阈值,则确定需要创建丢包会话;
若所述第一接收速率不大于第一阈值或所述第二接收速率不大于第二阈值,则确定不需要创建丢包会话。
3.根据权利要求2所述的方法,其特征在于,在确定包含所述源地址的泛洪攻击报文的第二接收速率之前,所述方法还包括:
对发送所述第一泛洪攻击报文的客户端进行验证;
若验证通过,则执行确定包含所述源地址的泛洪攻击报文的第二接收速率的步骤;
若验证失败,则丢弃所述第一泛洪攻击报文。
4.根据权利要求1所述的方法,其特征在于,在根据所述第一泛洪攻击报文的五元组信息创建丢包会话之后,所述方法还包括:
若存在硬件转发模块,则将所述丢包会话下发至所述硬件转发模块,以使所述硬件转发模块丢弃匹配到所述丢包会话的第二泛洪攻击报文。
5.根据权利要求1所述的方法,其特征在于,在根据所述第一泛洪攻击报文的五元组信息创建丢包会话之后,包括:
为所述丢包会话设置老化时间;
在所述老化时间到达之前,若所述丢包会话被匹配到,则更新所述丢包会话的老化时间;
在所述老化时间到达时,若所述丢包会话仍未被匹配到,则删除所述丢包会话。
6.根据权利要求1所述的方法,其特征在于,在收到第一泛洪攻击报文时,所述方法还包括:
利用所述第一泛洪攻击报文的五元组信息匹配丢包会话;
若匹配到,则丢弃所述第一泛洪攻击报文;
若未匹配到,则执行基于所述第一泛洪攻击报文的目的地址和源地址判断是否需要创建丢包会话的步骤。
7.一种攻击防护装置,其特征在于,所述装置包括:
判断模块,用于在收到第一泛洪攻击报文时,基于所述第一泛洪攻击报文的目的地址和源地址判断是否需要创建丢包会话;
丢包会话创建模块,用于在判断需要创建时,根据所述第一泛洪攻击报文的五元组信息创建丢包会话;
丢弃模块,用于接收第二泛洪攻击报文,若所述第二泛洪攻击报文匹配到所述丢包会话,则丢弃所述第二泛洪攻击报文。
8.根据权利要求7所述的装置,其特征在于,所述判断模块,具体用于确定包含所述目的地址的泛洪攻击报文的第一接收速率;若所述第一接收速率大于第一阈值,则确定包含所述源地址的泛洪攻击报文的第二接收速率;若所述第二接收速率大于第二阈值,则确定需要创建丢包会话;若所述第一接收速率不大于第一阈值或所述第二接收速率不大于第二阈值,则确定不需要创建丢包会话。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-6任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-6任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111058166.5A CN113810398B (zh) | 2021-09-09 | 2021-09-09 | 一种攻击防护方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111058166.5A CN113810398B (zh) | 2021-09-09 | 2021-09-09 | 一种攻击防护方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113810398A true CN113810398A (zh) | 2021-12-17 |
| CN113810398B CN113810398B (zh) | 2023-09-26 |
Family
ID=78940611
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111058166.5A Active CN113810398B (zh) | 2021-09-09 | 2021-09-09 | 一种攻击防护方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113810398B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114363032A (zh) * | 2021-12-29 | 2022-04-15 | 安天科技集团股份有限公司 | 网络攻击检测方法、装置、计算机设备及存储介质 |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1750512A (zh) * | 2005-09-27 | 2006-03-22 | 杭州华为三康技术有限公司 | 单播反向路径转发方法 |
| CN101257379A (zh) * | 2008-03-31 | 2008-09-03 | 华为技术有限公司 | 防止攻击的网络的配置方法、防止攻击的方法和装置 |
| CN102291441A (zh) * | 2011-08-02 | 2011-12-21 | 杭州迪普科技有限公司 | 一种防范SYN Flood攻击的方法及安全代理装置 |
| KR101144819B1 (ko) * | 2010-11-23 | 2012-05-11 | 한국과학기술정보연구원 | 분산서비스거부 공격 탐지 및 방어 장치 및 그 방법 |
| CN105207997A (zh) * | 2015-08-19 | 2015-12-30 | 北京星网锐捷网络技术有限公司 | 一种防攻击的报文转发方法和系统 |
| US20160036838A1 (en) * | 2014-08-04 | 2016-02-04 | Microsoft Corporation | Data center architecture that supports attack detection and mitigation |
| CN105704097A (zh) * | 2014-11-26 | 2016-06-22 | 华为数字技术(苏州)有限公司 | 一种防御攻击的方法及装置 |
| CN106161333A (zh) * | 2015-03-24 | 2016-11-23 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及系统 |
| CN107547507A (zh) * | 2017-06-27 | 2018-01-05 | 新华三技术有限公司 | 一种防攻击方法、装置、路由器设备及机器可读存储介质 |
| CN108933731A (zh) * | 2017-05-22 | 2018-12-04 | 南京骏腾信息技术有限公司 | 基于大数据分析的智能网关 |
| CN108989275A (zh) * | 2017-11-14 | 2018-12-11 | 新华三信息安全技术有限公司 | 一种攻击防范方法和装置 |
| CN109327426A (zh) * | 2018-01-11 | 2019-02-12 | 白令海 | 一种防火墙攻击防御方法 |
| CN110166408A (zh) * | 2018-02-13 | 2019-08-23 | 北京京东尚科信息技术有限公司 | 防御泛洪攻击的方法、装置和系统 |
| CN110519265A (zh) * | 2019-08-27 | 2019-11-29 | 新华三信息安全技术有限公司 | 一种防御攻击的方法及装置 |
| CN110784464A (zh) * | 2019-10-24 | 2020-02-11 | 新华三信息安全技术有限公司 | 泛洪攻击的客户端验证方法、装置、系统及电子设备 |
-
2021
- 2021-09-09 CN CN202111058166.5A patent/CN113810398B/zh active Active
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1750512A (zh) * | 2005-09-27 | 2006-03-22 | 杭州华为三康技术有限公司 | 单播反向路径转发方法 |
| CN101257379A (zh) * | 2008-03-31 | 2008-09-03 | 华为技术有限公司 | 防止攻击的网络的配置方法、防止攻击的方法和装置 |
| KR101144819B1 (ko) * | 2010-11-23 | 2012-05-11 | 한국과학기술정보연구원 | 분산서비스거부 공격 탐지 및 방어 장치 및 그 방법 |
| CN102291441A (zh) * | 2011-08-02 | 2011-12-21 | 杭州迪普科技有限公司 | 一种防范SYN Flood攻击的方法及安全代理装置 |
| US20160036838A1 (en) * | 2014-08-04 | 2016-02-04 | Microsoft Corporation | Data center architecture that supports attack detection and mitigation |
| CN105704097A (zh) * | 2014-11-26 | 2016-06-22 | 华为数字技术(苏州)有限公司 | 一种防御攻击的方法及装置 |
| CN106161333A (zh) * | 2015-03-24 | 2016-11-23 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及系统 |
| CN105207997A (zh) * | 2015-08-19 | 2015-12-30 | 北京星网锐捷网络技术有限公司 | 一种防攻击的报文转发方法和系统 |
| CN108933731A (zh) * | 2017-05-22 | 2018-12-04 | 南京骏腾信息技术有限公司 | 基于大数据分析的智能网关 |
| CN107547507A (zh) * | 2017-06-27 | 2018-01-05 | 新华三技术有限公司 | 一种防攻击方法、装置、路由器设备及机器可读存储介质 |
| CN108989275A (zh) * | 2017-11-14 | 2018-12-11 | 新华三信息安全技术有限公司 | 一种攻击防范方法和装置 |
| CN109327426A (zh) * | 2018-01-11 | 2019-02-12 | 白令海 | 一种防火墙攻击防御方法 |
| CN110166408A (zh) * | 2018-02-13 | 2019-08-23 | 北京京东尚科信息技术有限公司 | 防御泛洪攻击的方法、装置和系统 |
| CN110519265A (zh) * | 2019-08-27 | 2019-11-29 | 新华三信息安全技术有限公司 | 一种防御攻击的方法及装置 |
| CN110784464A (zh) * | 2019-10-24 | 2020-02-11 | 新华三信息安全技术有限公司 | 泛洪攻击的客户端验证方法、装置、系统及电子设备 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114363032A (zh) * | 2021-12-29 | 2022-04-15 | 安天科技集团股份有限公司 | 网络攻击检测方法、装置、计算机设备及存储介质 |
| CN114363032B (zh) * | 2021-12-29 | 2023-08-15 | 安天科技集团股份有限公司 | 网络攻击检测方法、装置、计算机设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113810398B (zh) | 2023-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7936670B2 (en) | System, method and program to control access to virtual LAN via a switch | |
| CN110784464B (zh) | 泛洪攻击的客户端验证方法、装置、系统及电子设备 | |
| CN109005175B (zh) | 网络防护方法、装置、服务器及存储介质 | |
| CN107395632B (zh) | SYN Flood防护方法、装置、清洗设备及介质 | |
| CN109587167B (zh) | 一种报文处理的方法和装置 | |
| US11190543B2 (en) | Method and system for detecting and mitigating a denial of service attack | |
| US10630700B2 (en) | Probe counter state for neighbor discovery | |
| US20110026529A1 (en) | Method And Apparatus For Option-based Marking Of A DHCP Packet | |
| CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
| CN109657463B (zh) | 一种报文洪泛攻击的防御方法及装置 | |
| CN106487790B (zh) | 一种ack flood攻击的清洗方法及系统 | |
| CN108810008B (zh) | 传输控制协议流量过滤方法、装置、服务器及存储介质 | |
| CN111431871A (zh) | Tcp半透明代理的处理方法和装置 | |
| CN112187793A (zh) | 一种ACK Flood攻击的防护方法及装置 | |
| CN113810398B (zh) | 一种攻击防护方法、装置、设备及存储介质 | |
| CN107454065B (zh) | 一种UDP Flood攻击的防护方法及装置 | |
| CN112073376A (zh) | 一种基于数据面的攻击检测方法及设备 | |
| CN107786489B (zh) | 访问请求验证方法及装置 | |
| CN110198290B (zh) | 一种信息处理方法、设备、装置及存储介质 | |
| WO2019096104A1 (zh) | 攻击防范 | |
| JP6053561B2 (ja) | 偽装トラフィック検知を目的としたbgpルートを基にしたネットワークトラフィックプロファイルを作成するシステム及び方法 | |
| CN107948195B (zh) | 一种防护Modbus攻击的方法及装置 | |
| CN111031077B (zh) | 一种流量清洗方法、流量清洗系统和设备 | |
| CN111726429B (zh) | 一种通信方法、装置、设备及介质 | |
| CN112738110A (zh) | 一种旁路阻断方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |