CN114640704A - 通讯数据获取方法、系统、计算机设备及可读存储介质 - Google Patents
通讯数据获取方法、系统、计算机设备及可读存储介质 Download PDFInfo
- Publication number
- CN114640704A CN114640704A CN202210536346.8A CN202210536346A CN114640704A CN 114640704 A CN114640704 A CN 114640704A CN 202210536346 A CN202210536346 A CN 202210536346A CN 114640704 A CN114640704 A CN 114640704A
- Authority
- CN
- China
- Prior art keywords
- communication
- information
- client
- server
- blocking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及通讯数据获取领域,尤其涉及一种通讯数据获取方法、系统、计算机设备及可读存储介质。提供了一种通讯数据获取方法,应用于第一系统,第一系统包括客户端、服务器及通讯阻断模块;数据获取方法包括:控制第一系统以第一方法进行运行;获取第一系统以第一方法运行时,第一系统产生的通讯数据;通讯数据用于优化所述通讯阻断模块。本发明通过提供了一个可以对网络攻击以及网络防守进行模拟的平台,来获取每次攻防过程中产生的数据,也即,第一系统以第一方法运行时产生的通讯数据,由此,通过模拟时产生的通讯数据,可以帮助开发人员来对通讯阻断模块进行优化升级,以提高通讯阻断模块网络防护能力。
Description
技术领域
本发明涉及通讯保密通信领域,尤其涉及一种通讯数据获取方法、系统、计算机设备及可读存储介质。
背景技术
网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”;控制安全则指身份认证、不可否认性、授权和访问控制。互联网与生俱有的开放性、交互性和分散性的特征,由此使得信息资源得到最大程度的共享。但同时也正是由于互联网的上述特性,产生了许多安全问题:如信息泄漏、信息污染、信息不易受控等问题。这些紧随信息化发展而来的网络安全问题已成为信息时代人类共同面临的挑战。
现有的技术中,为了提高网络的安全性通常会通过设置防护程序对破坏网络安全的行为进行阻断,以提高网络的安全性。为了不断提高防护软件的防护强度需要不断对防护软件进行优化,但是,现有技术中缺少能够用于对防护软件进行优化的参考数据,不利于防护软件的及时升级优化。
发明内容
有鉴于此,本发明提供一种通讯数据获取方法、系统、计算机设备及可读存储介质,至少部分解决现有技术中存在的问题。
根据本发明的一个方面,提供了一种通讯数据获取方法,应用于第一系统,所述第一系统包括客户端、服务器及通讯阻断模块;所述数据获取方法包括:
控制所述第一系统以第一方法进行运行;
获取所述第一系统以所述第一方法运行时,所述第一系统产生的通讯数据;所述通讯数据用于优化所述通讯阻断模块;
所述第一方法包括:
所述服务器和所述通讯阻断模块获取所述客户端发送的通讯连接请求;
若所述客户端接收到所述服务器发送的第一响应信息,则向所述服务器发送根据所述第一响应信息生成的第二响应信息,以建立与所述服务器的通讯连接;
若所述客户端在接收到所述第一响应信息之前,接收到所述通讯阻断模块发送的阻断信息,则向所述服务器发送根据所述阻断信息生成的第三响应信息,并不对所述第一响应信息进行响应,所述第三响应信息无法建立与所述服务器的通讯连接;
当所述客户端接收到所述服务器发送的终止连接信息后,所述客户端确定在接收所述终止连接信息前,发送所述通讯连接请求的次数;
所述客户端获取每次发送所述通讯连接请求后,接收到的针对本次所述通讯连接请求的响应信息组,所述响应信息组包含所述第一响应信息和所述阻断信息;
确定每一所述响应信息组内,接收到所述第一响应信息和阻断信息的时间间隔;
根据若干所述时间间隔确定目标时间间隔,并根据目标时间间隔阻止对阻断信息的响应。
在本发明一种可能的实现方式中,所述根据目标时间间隔阻止对阻断信息的响应,包括:
在接收到所述阻断信息后,若在目标时间间隔内接收到第一响应信息,则对第一响应信息进行响应;所述阻断信息和所述第一响应信息均根据所述连接请求生成,且所述阻断信息和所述第一响应信息的差异符合设定条件。
在本发明一种可能的实现方式中,所述阻断信息为所述通讯阻断模块在根据所述连接请求确定所述客户端为恶意用户的情况下生成并发送的。
在本发明一种可能的实现方式中,所述第一系统还包括映像交换机,所述映像交换机分别与所述客户端、所述服务器及所述通讯阻断模块通信连接,以使所述客户端通过所述映像交换机与所述服务器及所述通讯阻断模块分别通信连接。
在本发明一种可能的实现方式中,所述通讯阻断模块到所述客户端的链路距离小于所述服务器到所述客户端的链路距离,以使所述阻断信息先于所述第一响应信息到达所述客户端。
在本发明一种可能的实现方式中,所述第一方法还包括:
当所述通讯阻断模块确定所述客户端为恶意用户的情况下,所述通讯阻断模块还用于,向所述客户端和/或所述服务器发送RST信息。
在本发明一种可能的实现方式中,所述RST信息对应的序列号根据源ACK序列号与修改参数得到的,所述RST信息对应的序列号大于所述源ACK序列号;所述修改参数大于预设数值且小于可用接收窗口的区间值。
根据本发明的另一个方面,提供了一种数据获取系统,包括:
客户端、服务器及通讯阻断模块,所述客户端分别与所述服务器及所述通讯阻断模块通信连接,所述客户端、所述服务器及所述通讯阻断模块按照所述第一方法进行运行;以及数据获取模块,所述数据获取模块分别与所述客户端、所述服务器及所述通讯阻断模块通行连接,用于获取所述第一系统以所述第一方法运行时,所述第一系统产生的通讯数据;所述通讯数据用于优化所述通讯阻断模块。
根据本发明的另一个方面,提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上任一项所述的通讯数据获取方法。
根据本发明的另一个方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如上任一项所述的通讯数据获取方法。
在本申请中,第一方法用于确定客户端与服务器之间以TCP协议进行连接及数据传输。并且通过通讯阻断模块在TCP连接进行第二次握手的时候发送阻断信息给客户端,并由阻断信息来阻断客户端与服务器建立连接,由此,可以模拟通讯阻断模块在发现客户端为恶意用户时,通讯阻断模块通过发送的阻断信息来防止恶意用户的入侵,也即模拟如何防守网络入侵。另外,当所述客户端接收到服务器发送的终止连接信息后,会根据由若干第一响应信息和通信阻断信息产生的时间间隔来确定目标时间间隔,并根据目标时间间隔阻止对通信阻断信息的响应。由此,模拟了恶意用户在发现被防守时,如何对通讯阻断模块产生的防守进行绕开,以再次实现对网络的入侵。本发明通过提供了一个可以对网络攻击以及网络防守进行模拟的平台,来获取每次攻防过程中产生的数据,也即,第一系统以第一方法运行时产生的通讯数据,由此,通过模拟时产生的通讯数据,可以帮助开发人员来对通讯阻断模块进行优化升级,以提高通讯阻断模块网络防护能力。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明一实施例中通讯数据获取方法的流程示意图;
图2为本发明一实施例中第一方法的流程示意图;
图3为本发明另一实施例中通讯数据获取方法的流程示意图;
图4为本发明另一实施例中通讯数据获取方法的流程示意图;
图5为本发明另一实施例中通讯数据获取系统的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合;并且,基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
根据本发明的一个方面,如图1及图2所示,提供了一种通讯数据获取方法,应用于第一系统,第一系统包括客户端500、服务器501及通讯阻断模块502;数据获取方法包括:
步骤S10:控制第一系统以第一方法进行运行;
具体的,第一系统以第一方法进行运行可以为客户端500与服务器501之间通过TCP协议的方式进行连接以及信息的传输,另外,通讯阻断模块502通过旁路监听的方式来与客户端500进行通信。
步骤S20:获取第一系统以第一方法运行时,第一系统产生的通讯数据;通讯数据用于优化通讯阻断模块502;
具体的,需要获取的通讯数据包括:
客户端500每次发送和接收到的信息以及每一条信息对应的时间信息;
服务器501每次发送和接收到的信息以及每一条信息对应的时间信息;
以及,通讯阻断模块502每次发送和接收到的信息以及每一条信息对应的时间信息。通过获取这些信息及其对应的时间信息,可以帮助开发人员对进行的每次模拟的攻防过程进行了解,并通过这些数据可以分析出网络攻击的方式以及攻击的成功率,由此,来对通讯阻断模块502进行相应的优化调整。
如图2所示,第一方法包括:
步骤S100:服务器501和通讯阻断模块502获取客户端500发送的通讯连接请求;
具体的,根据TCP协议的规定,客户端500在首次与服务器501建立连接的时候,也即在第一次握手时,客户端500会发送一个带有SEQ1(序列号)的SYN报文给服务器501,带有SEQ1的SYN报文也即通讯连接请求,同时在客户端500发送带有SEQ1的SYN报文时,通讯阻断模块502可以通过旁路监听的方式获取到该数据包。
步骤S101:若客户端500接收到服务器501发送的第一响应信息,则向服务器501发送根据第一响应信息生成的第二响应信息,以建立与服务器501的通讯连接;
具体的,在服务器501接收到客户端500在第一次握手中发送的SYN报文后,服务器501会回复一个带有SEQ(序列号)2和ACK(确认序列号)1的确认报文给客户端500,且ACK1=SEQ1+1,其中,本实施例中的第一响应信息也即带有SEQ2和ACK1的确认报文,该过程即为第二次握手的过程。
同时,在客户端500接收到第一响应信息后,会相应的生成一个确认序列号为ACK2的确认报文,也即第二响应信息,其中ACK2的取值为SEQ2+1,并且客户端500会将这个确认序列号为ACK2的确认报文回复给服务器501,此时客户端500与服务器501之间的连接建立成功,可以正常进行后续的数据传输。
步骤S102:若客户端500在接收到第一响应信息之前,接收到通讯阻断模块502发送的阻断信息,则向服务器501发送根据阻断信息生成的第三响应信息,并不对第一响应信息进行响应,第三响应信息无法建立与服务器501的通讯连接;
具体的,在客户端500发出通讯连接请求后,通讯阻断模块502会接收到通讯连接请求,当通讯阻断模块502认为客户端500为恶意用户时,会生成一个伪造的第一响应信息,也即为阻断信息,具体由通讯阻断模块502生成一个带有SEQ3和ACK1的确认报文,并由通讯阻断模块502发送给客户端500,客户端500接收到伪造的第一响应信息后,会根据第一响应信息生成一个确认报文,也即第三响应信息,第三响应信息中的ACK3的取值为SEQ3+1。
由此,如果客户端500要与服务器501建立连接,则客户端500在第三次握手时应该回复ACK取值为SEQ2+1的确认报文给服务器501。如果,客户端500在第三次握手时回复的确认报文中的ACK的取值为SEQ3+1,那么服务器501在收到ACK的取值为SEQ3+1的确认报文时,由于ACK与服务器501发出的第二步握手中的SEQ2的序列号不匹配,被服务器501丢弃,由此,连接不能够被成功建立,进而达到阻断网络攻击的效果。
由于,客户端500通常是对先到达的确认信息进行响应,对后到达的信息不再响应,所以,所以为了能够更好的达到阻断的效果,需要通讯阻断模块502发出的阻断信息先于服务器501发出的第一响应信息到达客户端500。
优选的,可以通过使通讯阻断模块502到客户端500的链路距离小于服务器501到客户端500的链路距离,来达到阻断信息先于第一响应信息到达客户端500。
步骤S103:当客户端500接收到服务器501发送的终止连接信息后,客户端500确定在接收终止连接信息前,发送通讯连接请求的次数。
具体的,由于,服务器501接收到的第三响应信息与服务器501发送的第一响应信息不匹配,所以服务器501会要求客户端500再次重新发送通讯连接请求,以便重新建立连接,但是由于阻断信息总是会优先于第一响应信息到达,所以客户端500总是会优先响应通讯阻断模块502发送的阻断信息,由此,客户端500生成的第三响应信息与服务器501依然不匹配,服务器501再次要求客户端500重发通讯连接请求,当多次重发通讯连接请求的次数达到阈值时,服务器501会发出终止连接信息给客户端500。此时,客户端500则可以判断出与服务器501之间的连接被阻断了,进而客户端500开始进行对阻断信息的绕开作业,也即再次发起对具有防护的网络的攻击。
首先,客户端500会追溯在接收终止连接信息前,发送通讯连接请求的次数,该追溯的时间段可以是接收到终止连接信息到客户端500发送对应的通讯连接请求这一时间段内,这个追溯的时间段可以自行设置。
步骤S104:客户端500获取每次发送通讯连接请求后,接收到的针对本次通讯连接请求的响应信息组,响应信息组包含第一响应信息和阻断信息;
具体的,由于在客户端500与服务器501之间的连接被阻断信息阻断的情况下,客户端500每次发送通讯连接请求后,必然会先后收到阻断信息和第一响应信息。
步骤S105:确定每一响应信息组内,接收到第一响应信息和阻断信息的时间间隔;
具体的,计算出每一个响应信息组中收到阻断信息和第一响应信息的时间间隔,时间间隔可以通过时间戳计算得出。
步骤S106:根据若干时间间隔确定目标时间间隔,并根据目标时间间隔阻止对阻断信息的响应。
具体为,在目标时间间隔内不对阻断信息的进行响应,而对在阻断信息之后接收到与阻断信息相似的信息进行响应。由此,来绕过阻断信息,进而突破防守端的防守。
目标时间间隔可以是多个时间间隔的平均值或最大值。
优选的,取多个时间间隔的最大值作为目标时间间隔。
由此,可以提高绕过阻断信息的成功率。取多个时间间隔的最大值作为目标时间间隔,可延长在接收到阻断信息后对后续相似信息的等待时长,所以即使由于网络速度慢而导致相似信息到达的时间较晚,也依然可以落在目标时间间隔内,由此可以提高绕过阻断信息的成功率。
在本发明一种可能的实施例中,如图3所示,在步骤S106中,根据目标时间间隔阻止对阻断信息的响应,包括:
步骤S1061:在接收到阻断信息后,若在目标时间间隔内接收到第一响应信息,则对第一响应信息进行响应;阻断信息和第一响应信息均根据连接请求生成,且阻断信息和第一响应信息的差异符合设定条件。
具体的,为当在目标时间间隔内会先后收到阻断信息和第一响应信息,则客户端500对第一响应信息进行响应而不对阻断信息进行响应,由此,即可绕过阻断信息再次与服务器501建立连接。
阻断信息和第一响应信息均根据客户端500发送的连接请求生成的,且阻断信息和第一响应信息的差异符合设定条件,也即阻断信息和第一响应信息仅是在数据内容上不同,在数据大小及数据形式上均相同。由此,客户端500在接收到阻断信息和第一响应信息均会被按照TCP连接过程中第二步握手中返回的信息进行处理。
另外,为了能够更加确定客户端500与服务器501之间的连接不成功是由阻断信息导致的,则可以在步骤S1061之前或之后增加一个验证步骤,也即,使用新的客户端500发送第二通讯连接请求,当新的客户端500在第一时长阈值内收到服务器501发送的终止连接信息时,则表示客户端500与服务器501之间的连接被阻断信息阻断。
其中,第一时长阈值,可以根据当客户端500与服务器501之间的连接被阻断信息阻断时,客户端500会在发送通讯连接请求后平均多长的时间内接收到终止连接信息来确定。
在本发明一种可能的实施例中,阻断信息为通讯阻断模块502在根据连接请求确定客户端500为恶意用户的情况下生成并发送的。
具体的,通讯阻断模块502可以通过旁路监听的方式来获取到客户端500发送的信息,如通讯阻断模块502可以采用libpcap或其他过滤软件捕获客户端500发出的数据包,所以通讯阻断模块502可以根据客户端500发送的信息来判断客户端500是否被入侵,当客户端500被入侵后,则认为客户端500为恶意用户。
在本发明一种可能的实施例中,第一系统还包括映像交换机503,映像交换机503分别与客户端500、服务器501及通讯阻断模块502通信连接,以使客户端500通过映像交换机503与服务器501及通讯阻断模块502分别通信连接。
具体的,在第一系统中加入映像交换机503以后,第一系统按照第一方法进行运行的具体步骤如下:
客户端500在首次与服务器501建立连接的时候,也即在第一次握手时,客户端500会发送一个带有SEQ1的SYN报文给映像交换机503,带有SEQ1的SYN报文也即通讯连接请求,然后再由映像交换机503同时将通讯连接请求发送给服务器501及通讯阻断模块502。
在服务器501接收到客户端500在第一次握手中发送的SYN报文后,服务器501会生成一个带有SEQ2和ACK1的确认报文,也即第一响应信息,其中,ACK1=SEQ1+1,然后,服务器501将第一响应信息发送给映像交换机503,再由映像交换机503把第一响应信息发送给客户端500,该过程即为第二次握手的过程。
同时,在客户端500接收到第一响应信息后,会相应的生成一个确认序列号为ACK2的确认报文,也即第二响应信息,其中,ACK2的取值为SEQ2+1,并且客户端500会将第二响应信息发送给映像交换机503,再由映像交换机503同时分别发送给服务器501和通讯阻断模块502,服务器501收到第二响应信息后,客户端500与服务器501之间的连接建立成功,可以正常进行后续的数据传输。
在客户端500发出通讯连接请求后,通讯阻断模块502会通过映像交换机503接收到通讯连接请求,当通讯阻断模块502认为客户端500为恶意用户时,会生成一个伪造的第一响应信息,也即为阻断信息,具体由通讯阻断模块502生成一个带有SEQ3和ACK1的确认报文,其中,ACK1=SEQ1+1,然后,通讯阻断模块502发送阻断信息给映像交换机503,映像交换机503再将阻断信息发送给客户端500,客户端500接收到伪造的第一响应信息后,会根据第一响应信息生成一个确认报文,也即第三响应信息,第三响应信息中的ACK3的取值为SEQ3+1。
然后,客户端500会将第三响应信息发送给映像交换机503,映像交换机503再将第三响应信息发送给服务器501。
但是,由于第三响应信息中的ACK与服务器501发出的第二响应信息中的SEQ2的序列号不匹配,使得第三响应信息被服务器501丢弃,由此,连接不能够被成功建立,进而达到阻断网络攻击的效果。
服务器501接收到的第三响应信息与服务器501发送的第一响应信息不匹配,所以服务器501会通过映像交换机503发送信息给客户端500,要求客户端500再次重新发送通讯连接请求,以便重新建立连接,但是由于阻断信息总是会优先于第一响应信息到达,所以客户端500总是会优先响应通讯阻断模块502发送的阻断信息,由此,客户端500生成的第三响应信息与服务器501依然不匹配,服务器501再次要求客户端500重发通讯连接请求,当多次重发通讯连接请求的次数达到阈值时,服务器501会发出终止连接信息给映像交换机503,再由映像交换机503将终止连接信息发送给客户端500。此时,客户端500则可以判断出发送的信息被通讯阻断模块502阻断,进而客户端500开始进行对阻断信息的绕开作业,也即再次发起对具有防护的网络的攻击。
首先,客户端500会追溯在接收终止连接信息前,发送通讯连接请求的次数,该追溯的时间段可以是30分钟或1天或3小时,这个追溯的时间段可以自行设置。
由于在客户端500每次发送通讯连接请求后,必然会先后收到由映像交换机503发送的阻断信息和第一响应信息。
客户端500计算出每一个响应信息组中收到阻断信息和第一响应信息的时间间隔,时间间隔可以通过时间戳计算得出。
然后,客户端500根据若干时间间隔确定目标时间间隔,并根据目标时间间隔阻止对阻断信息的响应。
通常可以取多个时间间隔的最大值最为目标时间间隔,然后根据目标时间间隔阻止对阻断信息的响应。由此,来绕过阻断信息,进而再次根据第一响应信息生成第二响应信息,由此可以通过第二响应信息来与服务器501建立正常的连接,由此来突破防守端的防守。
本实施例中的第一系统以第一方法进行运行,在此过程中当防守方检测到恶意用户通过本实施例中的方式突破防守时,通讯阻断模块502能够知晓该状态并获得恶意用户绕开防守端的方法,然后,通讯阻断模块502会相应的更新自身的防守策略,以进一步完善防守体系。
在本发明一种可能的实施例中,如图4所示,第一方法还包括:
步骤S107:当通讯阻断模块502确定客户端500为恶意用户的情况下,通讯阻断模块502还用于,向客户端500和/或服务器501发送RST信息。
通讯阻断模块502根据捕获数据包判断出客户端500为恶意用户时,客户端500可以生成一个RST信息,然后再将RST信息发送至映像交换机503,再有映像交换机503发送给客户端500和/或服务器501,当客户端500或服务器501接收到RST信息时,安全关闭TCP连接的机制,由此即可阻断客户端500与服务器501之间的连接,实现对网络攻击的阻断。
本实施例中的防守方法,不仅可以在TCP的三步握手阶段进行阻断,也可以在信息传输过程中进行阻断,属于全过程阻断。
在本发明一种可能的实施例中,RST信息对应的序列号根据源ACK序列号与修改参数得到的,RST信息对应的序列号大于所述源ACK序列号;修改参数大于预设数值且小于可用接收窗口的区间值。
具体的,对应的RST信息对应的序列号=源ACK序列号+n,n为修改参数,通讯阻断模块502根据捕获数据包判断出客户端500为恶意用户时,会捕获到在客户端500与服务器501的传输过程中的数据包,数据包中会包含源ACK序列号以及接收窗口信息,由接收窗口信息可以获得可用接收窗口的区间值,如接收窗口为500字节,其中已占用窗口为200字节,则可用接收窗口的区间值为300字节,预设数值自行设定,本实施例中可以为大于等于10等自然数,由此,10<n<300,假如源ACK序列号为201,修改参数为20,则RST信息对应的序列号为201+20=221。
由此,通过将RST信息对应的序列号修改为与捕获到的数据包中的源ACK序列号差异较大的数值,可以增加RST信息与捕获到的数据包之间的数据差异性,由于,RST信息与捕获到的数据包到达同一接收端的时间间隔极短,所以,如果RST信息与捕获到的数据包之间的序列号差异较小,则接收端会有极大的可能会认为这两个数据包可能是重复数据包,所以会不对后到的数据包进行处理,如果RST信息是后到的数据包,则接收端不会对RST信息进行接收,由此RST信息也就失去了作用。但是如果两个数据包的差异较大,则接收端必然会认为是两个不同的数据包,所以会对两个数据包都进行处理,RST信息必然会将客户端500与服务器501之间的连接阻断。
根据本发明的另一个方面,如图5所示,提供了一种数据获取系统,包括:
客户端500、服务器501及通讯阻断模块502,客户端500分别与服务器501及通讯阻断模块502通信连接,客户端500、服务器501及通讯阻断模块502按照第一方法进行运行;以及
数据获取模块,数据获取模块分别与客户端500、服务器501及通讯阻断模块502通行连接,用于获取第一系统以第一方法运行时,第一系统产生的通讯数据;通讯数据用于优化通讯阻断模块502。
根据本发明的另一个方面,提供了一种计算机设备,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现如上任一项的通讯数据获取方法。
根据本发明的另一个方面,提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现如上任一项的通讯数据获取方法。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种通讯数据获取方法,其特征在于,应用于第一系统,所述第一系统包括客户端、服务器及通讯阻断模块;所述数据获取方法包括:
控制所述第一系统以第一方法进行运行;
获取所述第一系统以所述第一方法运行时,所述第一系统产生的通讯数据;所述通讯数据用于优化所述通讯阻断模块;
所述第一方法包括:
所述服务器和所述通讯阻断模块获取所述客户端发送的通讯连接请求;
若所述客户端接收到所述服务器发送的第一响应信息,则向所述服务器发送根据所述第一响应信息生成的第二响应信息,以建立与所述服务器的通讯连接;
若所述客户端在接收到所述第一响应信息之前,接收到所述通讯阻断模块发送的阻断信息,则向所述服务器发送根据所述阻断信息生成的第三响应信息,并不对所述第一响应信息进行响应,所述第三响应信息无法建立与所述服务器的通讯连接;
当所述客户端接收到所述服务器发送的终止连接信息后,所述客户端确定在接收所述终止连接信息前,发送所述通讯连接请求的次数;
所述客户端获取每次发送所述通讯连接请求后,接收到的针对本次所述通讯连接请求的响应信息组,所述响应信息组包含所述第一响应信息和所述阻断信息;
确定每一所述响应信息组内,接收到所述第一响应信息和阻断信息的时间间隔;
根据若干所述时间间隔确定目标时间间隔,并根据目标时间间隔阻止对阻断信息的响应。
2.根据权利要求1所述的一种通讯数据获取方法,其特征在于,所述根据目标时间间隔阻止对阻断信息的响应,包括:
在接收到所述阻断信息后,若在目标时间间隔内接收到第一响应信息,则对第一响应信息进行响应;所述阻断信息和所述第一响应信息均根据所述连接请求生成,且所述阻断信息和所述第一响应信息的差异符合设定条件。
3.根据权利要求1所述的一种通讯数据获取方法,其特征在于,所述阻断信息为所述通讯阻断模块在根据所述连接请求确定所述客户端为恶意用户的情况下生成并发送的。
4.根据权利要求1所述的一种通讯数据获取方法,其特征在于,所述第一系统还包括映像交换机,所述映像交换机分别与所述客户端、所述服务器及所述通讯阻断模块通信连接,以使所述客户端通过所述映像交换机与所述服务器及所述通讯阻断模块分别通信连接。
5.根据权利要求1所述的一种通讯数据获取方法,其特征在于,所述通讯阻断模块到所述客户端的链路距离小于所述服务器到所述客户端的链路距离,以使所述阻断信息先于所述第一响应信息到达所述客户端。
6.根据权利要求1所述的一种通讯数据获取方法,其特征在于,所述第一方法还包括:
当所述通讯阻断模块确定所述客户端为恶意用户的情况下,所述通讯阻断模块还用于,向所述客户端和/或所述服务器发送RST信息。
7.根据权利要求6所述的数据获取方法,其特征在于,所述RST信息对应的序列号根据源ACK序列号与修改参数得到的,所述RST信息对应的序列号大于所述源ACK序列号;所述修改参数大于预设数值且小于可用接收窗口的区间值。
8.一种数据获取系统,其特征在于,包括:
客户端、服务器及通讯阻断模块,所述客户端分别与所述服务器及所述通讯阻断模块通信连接,所述客户端、所述服务器及所述通讯阻断模块按照所述第一方法进行运行;以及
数据获取模块,所述数据获取模块分别与所述客户端、所述服务器及所述通讯阻断模块通行连接,用于获取所述第一系统以所述第一方法运行时,所述第一系统产生的通讯数据;所述通讯数据用于优化所述通讯阻断模块。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的通讯数据获取方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的通讯数据获取方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210536346.8A CN114640704B (zh) | 2022-05-18 | 2022-05-18 | 通讯数据获取方法、系统、计算机设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210536346.8A CN114640704B (zh) | 2022-05-18 | 2022-05-18 | 通讯数据获取方法、系统、计算机设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114640704A true CN114640704A (zh) | 2022-06-17 |
| CN114640704B CN114640704B (zh) | 2022-08-19 |
Family
ID=81952768
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210536346.8A Active CN114640704B (zh) | 2022-05-18 | 2022-05-18 | 通讯数据获取方法、系统、计算机设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114640704B (zh) |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102300208A (zh) * | 2011-06-21 | 2011-12-28 | 常州艾可泰自动化设备有限公司 | 无线传感网络的恶意软件传播的优化防御策略 |
| CN102968578A (zh) * | 2012-10-30 | 2013-03-13 | 山东中创软件商用中间件股份有限公司 | 一种防注入方法及系统 |
| CN108400955A (zh) * | 2017-02-06 | 2018-08-14 | 腾讯科技(深圳)有限公司 | 一种网络攻击的防护方法及系统 |
| CN109639712A (zh) * | 2018-12-29 | 2019-04-16 | 北京神州绿盟信息安全科技股份有限公司 | 一种防护ddos攻击的方法及系统 |
| CN110677389A (zh) * | 2019-09-09 | 2020-01-10 | 杭州迪普科技股份有限公司 | 基于ssl协议的混合攻击防护方法和装置 |
| WO2020077680A1 (zh) * | 2018-10-19 | 2020-04-23 | 网宿科技股份有限公司 | 数据传输方法、系统以及代理服务器 |
| CN111064755A (zh) * | 2020-01-14 | 2020-04-24 | 腾讯科技(深圳)有限公司 | 一种数据保护方法、装置、计算机设备和存储介质 |
| EP3683705A1 (en) * | 2019-01-18 | 2020-07-22 | Cobalt Iron, Inc. | Data protection automatic optimization system and method |
| CN112187793A (zh) * | 2020-09-28 | 2021-01-05 | 绿盟科技集团股份有限公司 | 一种ACK Flood攻击的防护方法及装置 |
| CN112367337A (zh) * | 2020-11-26 | 2021-02-12 | 杭州安恒信息技术股份有限公司 | 一种网络安全攻防方法、装置及介质 |
| CN112615865A (zh) * | 2020-12-21 | 2021-04-06 | 曹佳乐 | 基于大数据和人工智能的数据防入侵方法及大数据服务器 |
| CN112866281A (zh) * | 2021-02-07 | 2021-05-28 | 辽宁科技大学 | 一种分布式实时DDoS攻击防护系统及方法 |
| CN113761526A (zh) * | 2021-09-18 | 2021-12-07 | 苏州科知律信息科技有限公司 | 基于大数据的攻击意图分析方法及系统 |
| CN114465796A (zh) * | 2022-01-30 | 2022-05-10 | 杭州立思辰安科科技有限公司 | 一种应用于车载防火墙的安全防护方法 |
-
2022
- 2022-05-18 CN CN202210536346.8A patent/CN114640704B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102300208A (zh) * | 2011-06-21 | 2011-12-28 | 常州艾可泰自动化设备有限公司 | 无线传感网络的恶意软件传播的优化防御策略 |
| CN102968578A (zh) * | 2012-10-30 | 2013-03-13 | 山东中创软件商用中间件股份有限公司 | 一种防注入方法及系统 |
| CN108400955A (zh) * | 2017-02-06 | 2018-08-14 | 腾讯科技(深圳)有限公司 | 一种网络攻击的防护方法及系统 |
| WO2020077680A1 (zh) * | 2018-10-19 | 2020-04-23 | 网宿科技股份有限公司 | 数据传输方法、系统以及代理服务器 |
| CN109639712A (zh) * | 2018-12-29 | 2019-04-16 | 北京神州绿盟信息安全科技股份有限公司 | 一种防护ddos攻击的方法及系统 |
| EP3683705A1 (en) * | 2019-01-18 | 2020-07-22 | Cobalt Iron, Inc. | Data protection automatic optimization system and method |
| CN110677389A (zh) * | 2019-09-09 | 2020-01-10 | 杭州迪普科技股份有限公司 | 基于ssl协议的混合攻击防护方法和装置 |
| CN111064755A (zh) * | 2020-01-14 | 2020-04-24 | 腾讯科技(深圳)有限公司 | 一种数据保护方法、装置、计算机设备和存储介质 |
| CN112187793A (zh) * | 2020-09-28 | 2021-01-05 | 绿盟科技集团股份有限公司 | 一种ACK Flood攻击的防护方法及装置 |
| CN112367337A (zh) * | 2020-11-26 | 2021-02-12 | 杭州安恒信息技术股份有限公司 | 一种网络安全攻防方法、装置及介质 |
| CN112615865A (zh) * | 2020-12-21 | 2021-04-06 | 曹佳乐 | 基于大数据和人工智能的数据防入侵方法及大数据服务器 |
| CN112866281A (zh) * | 2021-02-07 | 2021-05-28 | 辽宁科技大学 | 一种分布式实时DDoS攻击防护系统及方法 |
| CN113761526A (zh) * | 2021-09-18 | 2021-12-07 | 苏州科知律信息科技有限公司 | 基于大数据的攻击意图分析方法及系统 |
| CN114465796A (zh) * | 2022-01-30 | 2022-05-10 | 杭州立思辰安科科技有限公司 | 一种应用于车载防火墙的安全防护方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114640704B (zh) | 2022-08-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109639712B (zh) | 一种防护ddos攻击的方法及系统 | |
| US5958053A (en) | Communications protocol with improved security | |
| CN101764799B (zh) | 利用服务器能力配置文件建立连接 | |
| CN109005175B (zh) | 网络防护方法、装置、服务器及存储介质 | |
| US9860181B2 (en) | System and method for inferring traffic legitimacy through selective impairment | |
| CN108234087B (zh) | 数据传输方法及发送端 | |
| US20190342327A1 (en) | Front-end protocol for server protection | |
| CN107395632B (zh) | SYN Flood防护方法、装置、清洗设备及介质 | |
| CN111970308A (zh) | 一种防护SYN Flood攻击的方法、装置及设备 | |
| KR101430032B1 (ko) | 물리적 전송 매체의 인터럽션 경우에 있어서 tcp 데이터 전송 프로세스를 향상시키는 방법 | |
| CN100420197C (zh) | 一种实现网络设备防攻击的方法 | |
| CN111756685B (zh) | 一种基于假设检验的ddos攻击检测方法 | |
| CN108810008B (zh) | 传输控制协议流量过滤方法、装置、服务器及存储介质 | |
| CN108667829B (zh) | 一种网络攻击的防护方法、装置及存储介质 | |
| CN112152880A (zh) | 一种链路健康检测方法及装置 | |
| CN107454065B (zh) | 一种UDP Flood攻击的防护方法及装置 | |
| CN109560897A (zh) | 一种tcp重传方法和装置 | |
| CN107547561B (zh) | 一种进行ddos攻击防护处理的方法及装置 | |
| JP6932375B2 (ja) | 通信装置 | |
| CN114640704B (zh) | 通讯数据获取方法、系统、计算机设备及可读存储介质 | |
| CN110460520B (zh) | 一种数据报文传输方法及整车网络系统 | |
| CN113872949B (zh) | 一种地址解析协议的应答方法及相关装置 | |
| EP3618396B1 (en) | Protection method and system for http flood attack | |
| KR20130022089A (ko) | 서비스 거부 공격에 대한 tcp연결 해제 방법 및 장치 | |
| CN113596147B (zh) | 消息推送方法、装置、设备与存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Communication data acquisition method, system, computer equipment and readable storage medium Effective date of registration: 20221130 Granted publication date: 20220819 Pledgee: Zhejiang Commercial Bank Co.,Ltd. Jinan Branch Pledgor: Shandong Yuntian Safety Technology Co.,Ltd. Registration number: Y2022980024358 |