CN114301653A - 抵御半连接攻击的方法、装置、存储介质以及处理器 - Google Patents
抵御半连接攻击的方法、装置、存储介质以及处理器 Download PDFInfo
- Publication number
- CN114301653A CN114301653A CN202111583674.5A CN202111583674A CN114301653A CN 114301653 A CN114301653 A CN 114301653A CN 202111583674 A CN202111583674 A CN 202111583674A CN 114301653 A CN114301653 A CN 114301653A
- Authority
- CN
- China
- Prior art keywords
- negotiation
- connection
- semi
- determining
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 56
- 239000003999 initiator Substances 0.000 claims abstract description 66
- 238000001514 detection method Methods 0.000 claims abstract description 56
- 230000000977 initiatory effect Effects 0.000 claims abstract description 34
- 230000004044 response Effects 0.000 claims abstract description 13
- 230000004083 survival effect Effects 0.000 claims description 10
- 230000006399 behavior Effects 0.000 claims description 7
- 238000011217 control strategy Methods 0.000 claims description 4
- 238000004891 communication Methods 0.000 abstract description 22
- 238000005516 engineering process Methods 0.000 abstract description 8
- 230000008569 process Effects 0.000 description 7
- 238000004140 cleaning Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种抵御半连接攻击的方法、装置、存储介质以及处理器。其中,该方法包括:在确定IKE的目标协商发起方携带有预定标识的情况下,检测目标协商发起方的IP地址是否在白名单内,得到检测结果;确定当前时刻的半连接占比,其中,半连接为其他协商发起方向协商响应方发送协商请求,协商响应方返回响应信号至其他协商发起方,协商响应方保持其他协商发起方的请求状态后形成的连接状态;根据半连接占比与检测结果确定协商策略,其中,协商策略至少用于减少半连接的个数。本申请解决了由于相关技术中设置半连接的超时时间对半连接进行清除造成的清除不及时、影响正常通信以及造成通信系统资源浪费,无法进行新的协商的技术问题。
Description
技术领域
本申请涉及通信领域,具体而言,涉及一种抵御半连接攻击的方法、装置、存储介质以及处理器。
背景技术
VPN(虚拟专用网络)是一种在公用网络上建立专用网络,进行加密通讯的技术。IPSec VPN是利用IPSec(互联网安全协议)协议进行数据加密,保证链接通道数据安全的VPN技术。IPSec VPN传输数据之前需要进行IKE(网络密钥交换协议)协商,协商出IPSecVPN数据传输所需要的一系列参数,如加密算法等。IKE协商时,发起协商的一端称为发起方,响应协商一端称为协商方。IKE协商过程中,需要保存协商相关信息,等待一段时间未协商成功,清理保存的协商信息。攻击者可以模仿协商发起方不断发起协商,响应方需要保存每一次IKE协商的中间数据,最终造成系统资源耗尽,无法进行新的协商。相关技术中,一般通过设置半连接超时时间,当半连接超时后,进行自动清除,但当发起方攻击速度过快,大于半连接清理速度时,半连接还是不能被快速清除,其还是存在半连接数目过多,影响正常通信,造成通信系统资源耗尽,无法进行新的协商问题。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种抵御半连接攻击的方法、装置、存储介质以及处理器,以至少解决由于相关技术中设置半连接的超时时间对半连接进行清除造成的清除不及时、影响正常通信以及造成通信系统资源浪费,无法进行新的协商的技术问题。
根据本申请实施例的一个方面,提供了一种抵御半连接攻击的方法,包括:在确定因特网密钥交换协议IKE的目标协商发起方携带有预定标识的情况下,检测目标协商发起方的IP地址是否在白名单内,得到检测结果,其中,检测结果用于指示IP地址的类型,类型包括:白名单类型或非白名单类型;确定当前时刻的半连接占比,其中,半连接为其他协商发起方向协商响应方发送协商请求,协商响应方返回响应信号至其他协商发起方,协商响应方保持其他协商发起方的请求状态后形成的连接状态;根据半连接占比与检测结果确定协商策略,其中,协商策略至少用于减少半连接的个数。
可选地,在根据半连接占比与检测结果确定协商策略之前,方法还包括:获取预设的半连接占比等级,其中,不同等级对应的半连接占比不同;确定不同的半连接占比等级下对应的协商行为,协商行为包括:允许建立半连接的IP地址类型,以及不同类型下IP地址的超时时间,其中,超时时间用于指示半连接的最大有效时间,在达到超时时间后结束半连接状态。
可选地,根据半连接占比与检测结果确定协商策略,包括:确定半连接占比所属于的目标半连接占比等级;确定目标半连接等级下,允许建立半连接的IP地址的目标类型集合;确定检测结果所指示的IP地址的类型属于目标类型集合的情况下,确定协商策略包括:建立与协商发起方的第一半连接,并获取该目标类型对应的半连接的超时时间,在达到超时时间后,若未接收来自协商发起方的数据,则结束第一半连接。
可选地,协商策略还包括:确定目标类型集合中除检测结果所指示的IP地址的类型之外的其他IP地址类型,建立与其他IP地址类型对应的协商发起方的第二半连接,并获取其他IP地址类型的超时时间,在达到超时时间后,若未接收到来自其他IP地址类型对应的协商发起方的数据,则结束第二半连接。
可选地,在根据半连接占比与检测结果确定协商策略之后,方法还包括:获取当前时刻的半连接总数;判断半连接总数是否大于第一预设阈值得到判断结果,根据判断结果确定控制策略。
可选地,根据判断结果确定控制策略,包括:在判断结果指示半连接总数大于预设阈值的情况下,允许白名单类型的IP地址发起协商,拒绝非白名单类型的IP地址发起协商,并结束当前所有与非白名单类型中的IP地址已建立的半连接;在判断结果指示半连接总数小于预设阈值的情况下,允许白名单类型的IP地址与非白名单类型的IP发起协商。
可选地,白名单类型的IP地址通过如下方式配置:统计历史时段内至少一个已协商成功的IP地址;判断已协商成功的IP地址在历史时段内的发起协商的次数以及存活总时长;在存活总时长大于第二预设阈值,且发起协商的次数小于第三预设阈值的情况下,则将已协商成功的IP地址属于白名单类型的IP地址。
可选地,确定因特网密钥交换协议IKE的目标协商发起方携带有预定标识,包括:对目标协商发起方的发送的协商请求进行解析,得到目标协商发起方的协商报文;确定协商报文中的厂商识别码;检测厂商识别码中是否包含预设字段,在厂商识别码包含预设字段的情况下,则确定目标协商发起方携带有预定标识。
根据本申请实施例的另一方面,还提供了一种抵御半连接攻击的装置,包括:检测模块,用于在确定因特网密钥交换协议IKE的目标协商发起方携带有预定标识的情况下,检测目标协商发起方的IP地址是否在白名单内,得到检测结果,其中,检测结果用于指示IP地址的类型,类型包括:白名单类型或非白名单类型;第一确定模块,用于确定当前时刻的半连接占比,其中,半连接为其他协商发起方向协商响应方发送协商请求,协商响应方返回响应信号至其他协商发起方,协商响应方保持其他协商发起方的请求状态后形成的连接状态;第二确定模块,用于根据半连接占比与检测结果确定协商策略,其中,协商策略至少用于减少半连接的个数。
根据本申请实施例的另一方面,还提供了一种非易失性存储介质,非易失性存储介质包括存储的程序,其中,在程序运行时控制非易失性存储介质所在设备执行任意一种抵御半连接攻击的方法。
根据本申请实施例的另一方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行任意一种抵御半连接攻击的方法。
在本申请实施例中,采用基于半连接占比确定协商策略的方式,通过在确定因特网密钥交换协议IKE的目标协商发起方携带有预定标识的情况下,检测目标协商发起方的IP地址是否在白名单内,得到检测结果,其中,检测结果用于指示IP地址的类型,类型包括:白名单类型或非白名单类型;确定当前时刻的半连接占比,其中,半连接为其他协商发起方向协商响应方发送协商请求,协商响应方返回响应信号至其他协商发起方,协商响应方保持其他协商发起方的请求状态后形成的连接状态;根据半连接占比与检测结果确定协商策略,其中,协商策略至少用于减少半连接的个数,达到了对半连接数据进行有效控制的目的,从而实现了对半连接数据进行有效限制,及时快速清理多余的半连接,节省通信系统资源的技术效果,进而解决了由于相关技术中设置半连接的超时时间对半连接进行清除造成的清除不及时、影响正常通信以及造成通信系统资源浪费,无法进行新的协商技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种可选的抵御半连接攻击的方法的流程示意图;
图2是根据本申请实施例一种可选的将IP地址加入白名单列表的流程示意图;
图3是一种示例性的抵御半连接攻击的方法的流程示意图;
图4是根据本申请实施例的一种可选的抵御半连接攻击的装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本申请实施例,提供了一种抵御半连接攻击的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本申请实施例的抵御半连接攻击的方法,如图1所示,该方法包括如下步骤:
步骤S102,在确定因特网密钥交换协议IKE的目标协商发起方携带有预定标识的情况下,检测目标协商发起方的IP地址是否在白名单内,得到检测结果,其中,检测结果用于指示IP地址的类型,类型包括:白名单类型或非白名单类型;
步骤S104,确定当前时刻的半连接占比,其中,半连接为其他协商发起方向协商响应方发送协商请求,协商响应方返回响应信号至其他协商发起方,协商响应方保持其他协商发起方的请求状态后形成的连接状态;
步骤S104,根据半连接占比与检测结果确定协商策略,其中,协商策略至少用于减少半连接的个数。
该抵御半连接攻击的方法中,在确定因特网密钥交换协议IKE的目标协商发起方携带有预定标识的情况下,检测目标协商发起方的IP地址是否在白名单内,得到检测结果,其中,检测结果用于指示IP地址的类型,类型包括:白名单类型或非白名单类型;确定当前时刻的半连接占比,其中,半连接为其他协商发起方向协商响应方发送协商请求,协商响应方返回响应信号至其他协商发起方,协商响应方保持其他协商发起方的请求状态后形成的连接状态;根据半连接占比与检测结果确定协商策略,其中,协商策略至少用于减少半连接的个数,达到了对半连接数据进行有效控制的目的,从而实现了对半连接数据进行有效限制,及时快速清理多余的半连接,节省通信系统资源的技术效果,进而解决了由于相关技术中设置半连接的超时时间对半连接进行清除造成的清除不及时、影响正常通信以及造成通信系统资源浪费,无法进行新的协商技术问题。
本申请一些实施例中,在根据半连接占比与检测结果确定协商策略之前,还可以获取预设的半连接占比等级,其中,不同等级对应的半连接占比不同;确定不同的半连接占比等级下对应的协商行为,协商行为包括:允许建立半连接的IP地址类型,以及不同类型下IP地址的超时时间,其中,超时时间用于指示半连接的最大有效时间,在达到超时时间后结束半连接状态。
本申请一些可选的实施例中,根据半连接占比与检测结果确定协商策略,具体可以为确定半连接占比所属于的目标半连接占比等级;确定目标半连接等级下,允许建立半连接的IP地址的目标类型集合;确定检测结果所指示的IP地址的类型属于目标类型集合的情况下,确定协商策略包括:建立与协商发起方的第一半连接,并获取该目标类型对应的半连接的超时时间,在达到超时时间后,若未接收来自协商发起方的数据,则结束第一半连接。
一些可选的实施例中,协商策略还包括:确定目标类型集合中除检测结果所指示的IP地址的类型之外的其他IP地址类型,建立与其他IP地址类型对应的协商发起方的第二半连接,并获取其他IP地址类型的超时时间,在达到超时时间后,若未接收到来自其他IP地址类型对应的协商发起方的数据,则结束第二半连接。
需要说明的是,在根据半连接占比与检测结果确定协商策略之后,还可以获取当前时刻的半连接总数;判断半连接总数是否大于第一预设阈值得到判断结果,根据判断结果确定控制策略。
一些可选的实施例中,根据判断结果确定控制策略,包括:在判断结果指示半连接总数大于预设阈值的情况下,允许白名单类型的IP地址发起协商,拒绝非白名单类型的IP地址发起协商,并结束当前所有与非白名单类型中的IP地址已建立的半连接;在判断结果指示半连接总数小于预设阈值的情况下,允许白名单类型的IP地址与非白名单类型的IP发起协商。
需要说明的是,白名单类型的IP地址通过如下方式配置:统计历史时段内至少一个已协商成功的IP地址;判断已协商成功的IP地址在历史时段内的发起协商的次数以及存活总时长;在存活总时长大于第二预设阈值,且发起协商的次数小于第三预设阈值的情况下,则将已协商成功的IP地址属于白名单类型的IP地址。例如,某厂商有一个研发总部与多个分支机构,每个分支机构都与总部进行VPN连接。当总部的IPSec VPN受到半连接攻击,未采用上述方法前,系统需要维护大量IKE半连接,影响所有分支机构的IPSec VPN建立。通过采用上述方法后,由于分支正常协商的IPSec VPN,其IP地址相对规定,每天进行规律协商,因此会识别为白名单IP,可以正常协商。
图2是本申请一种可选的将IP地址加入白名单列表的流程示意图,如图2所示,该流程主要包括:IPSec VPN协商成功后,统计该IP协商次数与时长,判断总时长(存活总时长)是否阈值,在确定总时长超出阈值的情况下,再判断协商次数是否超过阈值,在协商次数小于阈值的情况下,则将该IP地址加入白名单。
本申请一些实施例中,确定因特网密钥交换协议IKE的目标协商发起方携带有预定标识,可通过如下步骤实现:对目标协商发起方的发送的协商请求进行解析,得到目标协商发起方的协商报文;确定协商报文中的厂商识别码;检测厂商识别码中是否包含预设字段,在厂商识别码包含预设字段的情况下,则确定目标协商发起方携带有预定标识。
示例性的,上述方法可基于如下步骤实现,主要包括两大步骤:第一步,统计与识别协商对端;第二步,基于统计与识别结果限制半连接。
其中,第一步,统计与识别协商对端,包括:
1)识别特定对端的方法:在协商报文中设置特别的Vendor ID,若Vendor ID中包含特定的字段,则认为对端为可以协商对端。
2)统计半连接数目的方法:当识别到一次协商时,半连接数目加1;完成一次协商,则半连接数目减1;当半连接超时删除时,半连接数目减1。
3)统计总连接数目的方法:当进行一次协商,连接数目增加1;当删除一次协商(包括超时删除),连接数目减1;可以理解的,上述总连接数目包括:半连接数目与全连接数目。
4)计算半连接数目占比:
考虑到协商开始时就统计半连接数目,为了统计更加合理,在N个连接数目
之前,半连接数目占比为0;当超过数目N后,半连接数目占比计算为:半连接占比=半连接数目/总链接数。
5)白名单IP设置
一个正常协商的VPN,其IP地址相对固定的,协商呈现出规律协商,存活时间长等特点。对协商成功VPN的IP,统计一天内,重协商次数与存活总时长,当存活总时长超过设置阈值且重协商次数小于阈值时,认为这是一个可信IP,保存到IP白名单列表。
当白名单列表某个IP出现长时间不在线时,认为对端变更,IP不可信,从白名单列表移除该IP。当白名单列表某个IP短时间内协商次数超过阈值,认为IP不可信,从白名单列表移除该IP。
第二步,基于统计与识别结果限制半连接,具体可以为:通过对协商IP进行统计与识别,采取下述限制方法可以有效抵御半连接,整体流程如下:
1)识别协商报文的特征值,拒绝不含特点特定标识的对端协商,包含特定标识的对端可以正常协商。
2)通过检查对端IP是否在白名单列表中,设置对端为普通IP(即非白名单IP)与白名单IP。对端IP在白名单列表为白名单IP(即IP的类型属于白名单类型);对端IP不在白名单列表为普通IP。
3)计算半连接占比,在不同半连接占比时,依据步骤2识别IP类型设置不同超时时间与协商行为:
a.当半连接占比为20%时,普通IP半连接允许协商,设置超时时间为40s;白名单IP半连接允许协商,超时时间60s;
b.当半连接占比为50%时,普通IP半连接允许协商,设置超时时间为20s;白
名单IP半连接允许协商,超时时间40s;
c.当半连接占比为80%时,普通IP半连接允许协商,设置超时时间为10s;白
名单IP半连接允许协商,超时时间20s;
d.当半连接占比为97%时,普通IP半连接不允许协商;白名单IP半连接允许协商,超时时间10s。需要说明的是,上述半连接占比,以及超时时间可以根据实际情况进行调整,也可以为其他值。
4)计算半连接总数。
5)检查半连接总数执行下述操作:当半连接不超过阈值,所有IP可以正常协商;当半连接超过阈值时,普通IP不允许协商,同时清理所有普通IP半连接;当半连接超过阈值时,白名单IP允许协商,同时清理所有普通IP半连接;
图3是一种示例性的抵御半连接攻击的实施方法,如图3所示,该方法包括如下步骤:
确定发起方(协商发起方)是否携带有特定标识(即预定标识),在确定发起方携带有特定标识的情况下,判断该协商发起方属于白名单列表,然后,计算半连接占比,并设置超时时间,然后计算半连接总数,在半连接总数超出阈值的情况下,清除普通IP的半连接,在半连接未超出阈值情况下,则进行正常协商。
图4是根据本申请实施例的一种抵御半连接攻击的装置,如图4所示,该装置包括:
检测模块40,用于在确定因特网密钥交换协议IKE的目标协商发起方携带有预定标识的情况下,检测目标协商发起方的IP地址是否在白名单内,得到检测结果,其中,检测结果用于指示IP地址的类型,类型包括:白名单类型或非白名单类型;
第一确定模块42,用于确定当前时刻的半连接占比,其中,半连接为其他协商发起方向协商响应方发送协商请求,协商响应方返回响应信号至其他协商发起方,协商响应方保持其他协商发起方的请求状态后形成的连接状态;
第二确定模块44,用于根据半连接占比与检测结果确定协商策略,其中,协商策略至少用于减少半连接的个数。
该抵御半连接攻击的装置中,检测模块40,用于在确定因特网密钥交换协议IKE的目标协商发起方携带有预定标识的情况下,检测目标协商发起方的IP地址是否在白名单内,得到检测结果,其中,检测结果用于指示IP地址的类型,类型包括:白名单类型或非白名单类型;第一确定模块42,用于确定当前时刻的半连接占比,其中,半连接为其他协商发起方向协商响应方发送协商请求,协商响应方返回响应信号至其他协商发起方,协商响应方保持其他协商发起方的请求状态后形成的连接状态;第二确定模块44,用于根据半连接占比与检测结果确定协商策略,其中,协商策略至少用于减少半连接的个数达到了对半连接数据进行有效控制的目的,从而实现了对半连接数据进行有效限制,及时快速清理多余的半连接,节省通信系统资源的技术效果,进而解决了由于相关技术中设置半连接的超时时间对半连接进行清除造成的清除不及时、影响正常通信以及造成通信系统资源浪费,无法进行新的协商技术问题。
根据本申请实施例的另一方面,还提供了一种非易失性存储介质,非易失性存储介质包括存储的程序,其中,在程序运行时控制非易失性存储介质所在设备执行任意一种抵御半连接攻击的方法。
根据本申请实施例的另一方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行任意一种抵御半连接攻击的方法。
采用基于半连接占比确定协商策略的方式,通过在确定因特网密钥交换协议IKE的目标协商发起方携带有预定标识的情况下,检测目标协商发起方的IP地址是否在白名单内,得到检测结果,其中,检测结果用于指示IP地址的类型,类型包括:白名单类型或非白名单类型;确定当前时刻的半连接占比,其中,半连接为其他协商发起方向协商响应方发送协商请求,协商响应方返回响应信号至其他协商发起方,协商响应方保持其他协商发起方的请求状态后形成的连接状态;根据半连接占比与检测结果确定协商策略,其中,协商策略至少用于减少半连接的个数,达到了对半连接数据进行有效控制的目的,从而实现了对半连接数据进行有效限制,及时快速清理多余的半连接,节省通信系统资源的技术效果,进而解决了由于相关技术中设置半连接的超时时间对半连接进行清除造成的清除不及时、影响正常通信以及造成通信系统资源浪费,无法进行新的协商技术问题。
具体地,上述存储介质用于存储执行以下功能的程序指令,实现以下功能:
在确定因特网密钥交换协议IKE的目标协商发起方携带有预定标识的情况下,检测目标协商发起方的IP地址是否在白名单内,得到检测结果,其中,检测结果用于指示IP地址的类型,类型包括:白名单类型或非白名单类型;确定当前时刻的半连接占比,其中,半连接为其他协商发起方向协商响应方发送协商请求,协商响应方返回响应信号至其他协商发起方,协商响应方保持其他协商发起方的请求状态后形成的连接状态;根据半连接占比与检测结果确定协商策略,其中,协商策略至少用于减少半连接的个数。
具体地,上述处理器用于调用存储器中的程序指令,实现以下功能:
在确定因特网密钥交换协议IKE的目标协商发起方携带有预定标识的情况下,检测目标协商发起方的IP地址是否在白名单内,得到检测结果,其中,检测结果用于指示IP地址的类型,类型包括:白名单类型或非白名单类型;确定当前时刻的半连接占比,其中,半连接为其他协商发起方向协商响应方发送协商请求,协商响应方返回响应信号至其他协商发起方,协商响应方保持其他协商发起方的请求状态后形成的连接状态;根据半连接占比与检测结果确定协商策略,其中,协商策略至少用于减少半连接的个数。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (11)
1.一种抵御半连接攻击的方法,其特征在于,包括:
在确定因特网密钥交换协议IKE的目标协商发起方携带有预定标识的情况下,检测所述目标协商发起方的IP地址是否在白名单内,得到检测结果,其中,所述检测结果用于指示所述IP地址的类型,所述类型包括:白名单类型或非白名单类型;
确定当前时刻的半连接占比,其中,所述半连接为其他协商发起方向协商响应方发送协商请求,所述协商响应方返回响应信号至所述其他协商发起方,所述协商响应方保持所述其他协商发起方的请求状态后形成的连接状态;
根据所述半连接占比与所述检测结果确定协商策略,其中,所述协商策略至少用于减少半连接的个数。
2.根据权利要求1所述的方法,其特征在于,在根据所述半连接占比与所述检测结果确定协商策略之前,所述方法还包括:
获取预设的半连接占比等级,其中,不同等级对应的半连接占比不同;
确定不同的半连接占比等级下对应的协商行为,所述协商行为包括:允许建立半连接的IP地址类型,以及不同类型下IP地址的超时时间,其中,所述超时时间用于指示所述半连接的最大有效时间,在达到所述超时时间后结束半连接状态。
3.根据权利要求2所述的方法,其特征在于,根据所述半连接占比与所述检测结果确定协商策略,包括:
确定所述半连接占比所属于的目标半连接占比等级;
确定所述目标半连接等级下,允许建立半连接的IP地址的目标类型集合;
确定所述检测结果所指示的IP地址的类型属于所述目标类型集合的情况下,确定所述协商策略包括:建立与所述协商发起方的第一半连接,并获取该目标类型对应的半连接的超时时间,在达到所述超时时间后,若未接收来自所述协商发起方的数据,则结束所述第一半连接。
4.根据权利要求3所述的方法,其特征在于,所述协商策略还包括:
确定所述目标类型集合中除所述检测结果所指示的IP地址的类型之外的其他IP地址类型,建立与所述其他IP地址类型对应的协商发起方的第二半连接,并获取所述其他IP地址类型的超时时间,在达到所述超时时间后,若未接收到来自所述其他IP地址类型对应的协商发起方的数据,则结束所述第二半连接。
5.根据权利要求1所述的方法,其特征在于,在根据所述半连接占比与所述检测结果确定协商策略之后,所述方法还包括:
获取所述当前时刻的半连接总数;
判断所述半连接总数是否大于第一预设阈值得到判断结果,根据所述判断结果确定控制策略。
6.根据权利要求5所述的方法,其特征在于,根据所述判断结果确定控制策略,包括:
在所述判断结果指示所述半连接总数大于所述预设阈值的情况下,允许所述白名单类型的IP地址发起协商,拒绝所述非白名单类型的IP地址发起协商,并结束当前所有与非白名单类型中的IP地址已建立的半连接;
在所述判断结果指示所述半连接总数小于所述预设阈值的情况下,允许所述白名单类型的IP地址与所述非白名单类型的IP发起协商。
7.根据权利要求1所述的方法,其特征在于,所述白名单类型的IP地址通过如下方式配置:
统计历史时段内至少一个已协商成功的IP地址;
判断所述已协商成功的IP地址在所述历史时段内的发起协商的次数以及存活总时长;
在所述存活总时长大于第二预设阈值,且所述发起协商的次数小于第三预设阈值的情况下,则将所述已协商成功的IP地址属于所述白名单类型的IP地址。
8.根据权利要求1所述的方法,其特征在于,确定因特网密钥交换协议IKE的目标协商发起方携带有预定标识,包括:
对所述目标协商发起方的发送的协商请求进行解析,得到所述目标协商发起方的协商报文;
确定所述协商报文中的厂商识别码;
检测所述厂商识别码中是否包含预设字段,在所述厂商识别码包含所述预设字段的情况下,则确定所述目标协商发起方携带有所述预定标识。
9.一种抵御半连接攻击的装置,其特征在于,包括:
检测模块,用于在确定因特网密钥交换协议IKE的目标协商发起方携带有预定标识的情况下,检测所述目标协商发起方的IP地址是否在白名单内,得到检测结果,其中,所述检测结果用于指示所述IP地址的类型,所述类型包括:白名单类型或非白名单类型;
第一确定模块,用于确定当前时刻的半连接占比,其中,所述半连接为其他协商发起方向协商响应方发送协商请求,所述协商响应方返回响应信号至所述其他协商发起方,所述协商响应方保持所述其他协商发起方的请求状态后形成的连接状态;
第二确定模块,用于根据所述半连接占比与所述检测结果确定协商策略,其中,所述协商策略至少用于减少半连接的个数。
10.一种非易失性存储介质,其特征在于,所述非易失性存储介质包括存储的程序,其中,在所述程序运行时控制所述非易失性存储介质所在设备执行权利要求1至8中任意一项所述抵御半连接攻击的方法。
11.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至8中任意一项所述抵御半连接攻击的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111583674.5A CN114301653B (zh) | 2021-12-22 | 2021-12-22 | 抵御半连接攻击的方法、装置、存储介质以及处理器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111583674.5A CN114301653B (zh) | 2021-12-22 | 2021-12-22 | 抵御半连接攻击的方法、装置、存储介质以及处理器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114301653A true CN114301653A (zh) | 2022-04-08 |
| CN114301653B CN114301653B (zh) | 2024-02-02 |
Family
ID=80969981
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111583674.5A Active CN114301653B (zh) | 2021-12-22 | 2021-12-22 | 抵御半连接攻击的方法、装置、存储介质以及处理器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114301653B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101018233A (zh) * | 2007-03-20 | 2007-08-15 | 杭州华为三康技术有限公司 | 会话的控制方法及控制装置 |
| CN101022458A (zh) * | 2007-03-23 | 2007-08-22 | 杭州华为三康技术有限公司 | 会话的控制方法及控制装置 |
| CN102231737A (zh) * | 2011-06-23 | 2011-11-02 | 成都市华为赛门铁克科技有限公司 | Ike协商控制方法和设备 |
| US20140108781A1 (en) * | 2012-10-12 | 2014-04-17 | Huawei Technologies Co., Ltd. | Method and System for Negotiation Based on IKE Messages |
| CN104202297A (zh) * | 2014-07-30 | 2014-12-10 | 杭州华三通信技术有限公司 | 一种动态地适应服务器性能的防攻击方法和设备 |
| CN104519021A (zh) * | 2013-09-29 | 2015-04-15 | 杭州华三通信技术有限公司 | 防止恶意流量攻击的方法及装置 |
| CN105516080A (zh) * | 2015-11-24 | 2016-04-20 | 网宿科技股份有限公司 | Tcp连接的处理方法、装置及系统 |
| CN107623685A (zh) * | 2017-09-08 | 2018-01-23 | 杭州安恒信息技术有限公司 | 快速检测SYN Flood攻击的方法及装置 |
| US10110675B1 (en) * | 2016-03-16 | 2018-10-23 | Amazon Technologies, Inc. | Presentation of directed content at semi-connected devices |
| CN111756713A (zh) * | 2020-06-15 | 2020-10-09 | Oppo(重庆)智能科技有限公司 | 网络攻击识别方法、装置、计算机设备及介质 |
-
2021
- 2021-12-22 CN CN202111583674.5A patent/CN114301653B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101018233A (zh) * | 2007-03-20 | 2007-08-15 | 杭州华为三康技术有限公司 | 会话的控制方法及控制装置 |
| CN101022458A (zh) * | 2007-03-23 | 2007-08-22 | 杭州华为三康技术有限公司 | 会话的控制方法及控制装置 |
| CN102231737A (zh) * | 2011-06-23 | 2011-11-02 | 成都市华为赛门铁克科技有限公司 | Ike协商控制方法和设备 |
| US20140108781A1 (en) * | 2012-10-12 | 2014-04-17 | Huawei Technologies Co., Ltd. | Method and System for Negotiation Based on IKE Messages |
| CN104519021A (zh) * | 2013-09-29 | 2015-04-15 | 杭州华三通信技术有限公司 | 防止恶意流量攻击的方法及装置 |
| US20160197954A1 (en) * | 2013-09-29 | 2016-07-07 | Hangzhou H3C Technologies Co., Ltd. | Defending against flow attacks |
| CN104202297A (zh) * | 2014-07-30 | 2014-12-10 | 杭州华三通信技术有限公司 | 一种动态地适应服务器性能的防攻击方法和设备 |
| CN105516080A (zh) * | 2015-11-24 | 2016-04-20 | 网宿科技股份有限公司 | Tcp连接的处理方法、装置及系统 |
| US10110675B1 (en) * | 2016-03-16 | 2018-10-23 | Amazon Technologies, Inc. | Presentation of directed content at semi-connected devices |
| CN107623685A (zh) * | 2017-09-08 | 2018-01-23 | 杭州安恒信息技术有限公司 | 快速检测SYN Flood攻击的方法及装置 |
| CN111756713A (zh) * | 2020-06-15 | 2020-10-09 | Oppo(重庆)智能科技有限公司 | 网络攻击识别方法、装置、计算机设备及介质 |
Non-Patent Citations (1)
| Title |
|---|
| 孟威;薛仁政;姜永曾;吴迪;: "SYN Flood攻击的防御性研究", 齐齐哈尔大学学报(自然科学版), no. 01 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114301653B (zh) | 2024-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103051633B (zh) | 一种防御攻击的方法和设备 | |
| EP2790382B1 (en) | Protection method and device against attacks | |
| CN108521408B (zh) | 抵抗网络攻击方法、装置、计算机设备及存储介质 | |
| KR100908404B1 (ko) | 분산서비스거부공격의 방어방법 및 방어시스템 | |
| US20070136808A1 (en) | Attachment Chain Tracing Scheme for Email Virus Detection and Control | |
| US20110078311A1 (en) | Network communication device and automatic reconnection method | |
| CN109271802A (zh) | 一种用户信息管理方法、系统、设备及计算机存储介质 | |
| CN105847277A (zh) | 用于第三方应用的服务账号共享管理方法及系统 | |
| CN110636086A (zh) | 网络防护测试方法及装置 | |
| CN108092940A (zh) | 一种dns的防护方法及相关设备 | |
| CN112073376A (zh) | 一种基于数据面的攻击检测方法及设备 | |
| CN109040112B (zh) | 网络控制方法和装置 | |
| CN114301653A (zh) | 抵御半连接攻击的方法、装置、存储介质以及处理器 | |
| CN109005164A (zh) | 一种网络系统、设备、网络数据交互方法及存储介质 | |
| CN112152895A (zh) | 智能家居设备控制方法、装置、设备及计算机可读介质 | |
| CN104601578A (zh) | 一种攻击报文识别方法、装置及核心设备 | |
| CN115811428A (zh) | 一种抵御DDoS攻击的防御方法、系统、设备及存储介质 | |
| CN111131192A (zh) | 一种旁路防护方法及装置 | |
| CN110971565A (zh) | 基于恶意攻击建模的源网荷系统脆弱性评价方法及系统 | |
| CN114697088B (zh) | 一种确定网络攻击的方法、装置及电子设备 | |
| CN115633359A (zh) | Pfcp会话安全检测方法、装置、电子设备和存储介质 | |
| CN112632646B (zh) | 一种单片机串口通讯加密方法 | |
| CN111163084B (zh) | 一种基于动态选举和共识机制的安全存储方法 | |
| CN210444303U (zh) | 网络防护测试系统 | |
| CN115550017A (zh) | 协商行为的处理方法、装置及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |