CN114697088A - 一种确定网络攻击的方法、装置及电子设备 - Google Patents
一种确定网络攻击的方法、装置及电子设备 Download PDFInfo
- Publication number
- CN114697088A CN114697088A CN202210265485.1A CN202210265485A CN114697088A CN 114697088 A CN114697088 A CN 114697088A CN 202210265485 A CN202210265485 A CN 202210265485A CN 114697088 A CN114697088 A CN 114697088A
- Authority
- CN
- China
- Prior art keywords
- server
- message
- response message
- response
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 74
- 230000004044 response Effects 0.000 claims abstract description 181
- 238000012937 correction Methods 0.000 claims abstract description 42
- 238000001514 detection method Methods 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 14
- 238000003860 storage Methods 0.000 claims description 10
- 230000000694 effects Effects 0.000 abstract description 20
- 238000013461 design Methods 0.000 description 19
- 238000010586 diagram Methods 0.000 description 18
- 238000004891 communication Methods 0.000 description 12
- 230000008569 process Effects 0.000 description 9
- 230000006870 function Effects 0.000 description 8
- 238000012545 processing Methods 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 230000007123 defense Effects 0.000 description 4
- 230000002147 killing effect Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000002829 reductive effect Effects 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000000670 limiting effect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000004140 cleaning Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开一种确定网络攻击的方法、装置及电子设备,该方法包括接收服务器发送的第一响应报文,基于确定出服务器发送的第二响应报文与第一响应报文之间的时间差处于预设时间段内,确定建立服务器与防护对象之间的TCP连接,然后,响应于服务器与防护对象建立TCP连接,防护设备根据服务器发送校正报文,确定服务器是否受到网络攻击。基于上述方法可以解决现有技术应用在TCP反射攻击场景下防护效果差的问题,达到节约计算资源、提升攻击防护效果。
Description
技术领域
本申请涉及信息安全技术领域,尤其涉及一种确定网络攻击的方法、装置及电子设备。
背景技术
TCP(Transmission Control Protocol,传输控制协议)反射攻击是当前常见的一种DDOS(Distributed Denial of Service,分布式阻断服务)反射攻击方式。
攻击者在发起TCP反射攻击时,将伪造大量SYN(Synchronize Sequence Numbers,同步序列编号)报文发送至TCP服务器端口,并将这些SYN报文的源地址伪造为攻击目标的IP(Internet Protocol,互联网网络协议)地址,即当这些TCP服务器接收到SYN报文后,便会向攻击目标发送大量的响应报文,以此消耗或者长期占用攻击目标的大量资源,导致攻击目标无法响应正常的业务请求,从而达到攻击目标拒绝服务的目的。
当前,在服务端和客户端在建立TCP连接前,通常采用端口封禁的方式来阻止部分攻击报文;在服务端和客户端建立TCP连接后,通常采用报文限速的方式来降低攻击报文对客户端(攻击对象)的影响。但是,无论是端口封禁还是报文限速,在实际应用中都无法准确识别攻击报文,且容易影响正常业务报文的传输。
发明内容
本申请提供一种确定网络攻击的方法、装置及电子设备,用以在正常通信业务不受影响的前提下,通过相应的确定网络攻击的方法,验证服务器对TCP协议的实现程度,以及验证本次TCP会话的完整性,解决现有技术应用在TCP反射攻击场景下,存在防护效果差的问题。
第一方面,本申请提供了一种确定网络攻击的方法,所述方法包括:
接收服务器发送的第一响应报文;
基于服务器发送的第二响应报文与所述第一响应报文之间的时间差在预设时间段内,确定建立所述服务器与防护对象的TCP连接;其中,所述第二响应报文为所述服务器在发送第一响应报文之后发送的响应报文;和/或
响应于所述服务器与所述防护对象建立TCP连接,根据所述服务器发送校正报文,确定所述服务器是否受到网络攻击。
基于上述方法,能够在正常通信业务不受影响的前提下,通过相应的确定网络攻击的方法,验证服务器对TCP协议的实现程度,以及验证本次TCP会话的完整性,进而确定服务器是否受到网络攻击,解决现有技术在应用中存在无法准确识别攻击报文,且容易影响正常业务报文的传输的问题。
在一种可能的设计中,所述基于服务器发送的第二响应报文与所述第一响应报文之间的时间差在预设时间段内,确定建立所述服务器与防护对象的TCP连接,包括:丢弃所述第一响应报文,并向所述服务器发送重置会话报文;其中,所述第一响应报文为所述服务器响应于防护对象请求建立第一会话连接向所述防护对象发送的报文,所述重置会话报文为中断所述第一会话的报文;在发送所述重置会话报文后,接收所述服务器发送的第二响应报文;其中,所述第二响应报文为所述服务器响应于所述防护对象请求建立第二会话连接向所述防护对象发送的报文;计算接收所述第一响应报文与接收所述第二响应报文之间的时间差;响应于所述时间差在预设时间段内,建立所述服务器与防护对象之间的TCP连接。
基于上述方法,能够在正常通信业务不受影响的前提下,验证服务器对TCP协议的实现程度,达到节约计算资源、提高识别攻击准确性和提升防护效果的技术效果。
在一种可能的设计中,所述丢弃所述第一响应报文,并向所述服务器发送重置会话报文,包括:确定所述第一响应报文的源IP地址;响应于白名单中存在所述源IP地址,判定所述服务器未受到网络攻击;响应于黑名单中存在所述源IP地址,判定所述服务器受到网络攻击;响应于所述白名单和所述黑名单中都不存在所述源IP地址,丢弃所述第一响应报文,并向所述服务器发送重置会话报文。
基于上述方法,通过比对第一响应报文中的源IP地址与白名单和黑名单中存储的源IP地址,可以有效加快识别攻击的效率,节约计算开销以及识别攻击的时间。
在一种可能的设计中,在所述计算接收所述第一响应报文与接收所述第二响应报文之间的时间差之后,还包括:响应于所述时间差不在预设时间段内,判定所述服务器受到网络攻击;确定所述服务器的源IP地址,并将所述源IP地址加入黑名单中;其中,所述黑名单为预设周期更新的存储受到网络攻击的源IP地址的数据库。
基于上述方法,通过添加受到网络攻击的源IP地址到黑名单中,并定期更新黑名单中存储的源IP地址,能够有效节约确定网络攻击的时间,提高确定网络攻击的效率,在保证普通客户端和服务器之间的正常通信基础上,达到较好的攻击防御效果,有效降低误杀攻击的概率。
在一种可能的设计中,所述响应于所述服务器与所述防护对象建立TCP连接,根据所述服务器发送校正报文,确定所述服务器是否受到网络攻击,包括:响应于服务器与防护对象建立TCP连接,接收所述服务器发送的首个携带数据的数据报文;丢弃接收的首个数据报文,并向所述服务器发送探测报文;其中,所述探测报文为不携带正确序列号的报文;在发送所述探测报文后,接收所述服务器发送的校正报文;其中,所述校正报文为携带校正序列号的报文;响应于所述校正序列号加上指定数值与所述正确序列号一致,确定所述服务器未受到网络攻击。
基于上述方法,能够在最大限度不对用户业务造成影响的情况下,对TCP反射攻击流量进行识别与清洗,保证普通客户端和服务器之间的正常通信,此外还能够具备部署简单、计算资源消耗少、防御效果好以及误杀概率低等的技术效果。
在一种可能的设计中,在所述接收所述服务器发送的校正报文之后,还包括:响应于所述校正序列号加上指定数值与所述正确序列号不一致,判定所述服务器受到网络攻击;确定所述服务器的源IP地址,并将所述源IP地址加入黑名单中;其中,所述黑名单为预设周期更新的存储受到网络攻击的源IP地址的数据库。
基于上述方法,通过添加受到网络攻击的源IP地址到黑名单中,并定期更新黑名单中存储的源IP地址,能够有效节约确定网络攻击的时间,提高确定网络攻击的效率,在保证普通客户端和服务器之间的正常通信基础上,达到较好的攻击防御效果,有效降低误杀攻击的概率。
在一种可能的设计中,在所述确定所述服务器未受到网络攻击之后,还包括:确定所述服务器的源IP地址,并将所述源IP地址加入白名单中;其中,所述白名单为预设周期更新的存储未受到网络攻击的源IP地址的数据库。
基于上述方法,通过添加没有受到网络攻击的源IP地址到白名单中,并定期更新白名单中存储的源IP地址,能够有效节约确定网络攻击所花费的计算资源,在保证普通客户端和服务器之间的正常通信基础上,达到部署简单的技术效果。
第二方面,本申请提供了一种确定网络攻击的装置,所述装置包括:
接收第一响应报文模块,接收服务器发送的第一响应报文;
建立TCP连接模块,基于服务器发送的第二响应报文与所述第一响应报文之间的时间差在预设时间段内,确定建立所述服务器与防护对象的TCP连接;其中,所述第二响应报文为所述服务器在发送第一响应报文之后发送的响应报文;和/或
确定网络攻击模块,响应于所述服务器与所述防护对象建立TCP连接,根据所述服务器发送校正报文,确定所述服务器是否受到网络攻击。
在一种可能的设计中,所述建立TCP连接模块,具体用于:丢弃所述第一响应报文,并向所述服务器发送重置会话报文;其中,所述第一响应报文为所述服务器响应于防护对象请求建立第一会话连接向所述防护对象发送的报文,所述重置会话报文为中断所述第一会话的报文;在发送所述重置会话报文后,接收所述服务器发送的第二响应报文;其中,所述第二响应报文为所述服务器响应于所述防护对象请求建立第二会话连接向所述防护对象发送的报文;计算接收所述第一响应报文与接收所述第二响应报文之间的时间差;响应于所述时间差在预设时间段内,建立所述服务器与防护对象之间的TCP连接。
在一种可能的设计中,所述建立TCP连接模块,具体用于:确定所述第一响应报文的源IP地址;响应于白名单中存在所述源IP地址,判定所述服务器未受到网络攻击;响应于黑名单中存在所述源IP地址,判定所述服务器受到网络攻击;响应于所述白名单和所述黑名单中都不存在所述源IP地址,丢弃所述第一响应报文,并向所述服务器发送重置会话报文。
在一种可能的设计中,所述建立TCP连接模块,还用于:响应于所述时间差不在预设时间段内,判定所述服务器受到网络攻击;确定所述服务器的源IP地址,并将所述源IP地址加入黑名单中;其中,所述黑名单为预设周期更新的存储受到网络攻击的源IP地址的数据库。
在一种可能的设计中,所述确定网络攻击模块,具体用于:响应于服务器与防护对象建立TCP连接,接收所述服务器发送的首个携带数据的数据报文;丢弃接收的首个数据报文,并向所述服务器发送探测报文;其中,所述探测报文为不携带正确序列号的报文;在发送所述探测报文后,接收所述服务器发送的校正报文;其中,所述校正报文为携带校正序列号的报文;响应于所述校正序列号加上指定数值与所述正确序列号一致,确定所述服务器未受到网络攻击。
在一种可能的设计中,所述确定网络攻击模块,具体用于:响应于所述校正序列号加上指定数值与所述正确序列号不一致,判定所述服务器受到网络攻击;确定所述服务器的源IP地址,并将所述源IP地址加入黑名单中;其中,所述黑名单为预设周期更新的存储受到网络攻击的源IP地址的数据库。
在一种可能的设计中,所述确定网络攻击模块,还用于:确定所述服务器的源IP地址,并将所述源IP地址加入白名单中;其中,所述白名单为预设周期更新的存储未受到网络攻击的源IP地址的数据库。
第三方面,本申请提供了一种电子设备,所述电子设备包括:
存储器,用于存放计算机程序;
处理器,用于执行所述存储器上所存放的计算机程序时,实现上述的一种确定网络攻击的方法步骤。
第四方面,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述的一种确定网络攻击的方法步骤。
上述第二方面至第四方面中的各个方面以及各个方面可能达到的技术效果请参照上述针对第一方面或第一方面中的各种可能方案可以达到的技术效果说明,这里不再重复赘述。
附图说明
图1为本申请提供的一种可能的应用场景的示意图;
图2为本申请提供的一种确定网络攻击的方法的流程图;
图3为本申请提供的一种服务器重传报文的示意图;
图4为本申请提供的一种防护对象重传报文的示意图;
图5为本申请提供的一种防护设备发送重置会话报文的示意图;
图6为本申请提供的一种成功建立会话连接的示意图;
图7为本申请提供的一种验证会话完整性的示意图;
图8为本申请提供的第一种可能的确定网络攻击的方法的流程图;
图9为本申请提供的第二种可能的确定网络攻击的方法的流程图;
图10为本申请提供的第三种可能的确定网络攻击的方法的流程图;
图11为本申请提供的一种确定网络攻击的装置的示意图;
图12为本申请提供的一种电子设备的结构的示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。需要说明的是,在本申请的描述中“多个”理解为“至少两个”。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。A与B连接,可以表示:A与B直接连接和A与B通过C连接这两种情况。另外,在本申请的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
参见图1所示,为本申请实施例提供的一种可能的应用场景,该应用场景包括服务器、防护设备、路由器、防护对象。
如图1所示,路由器在接收到服务器发送给防护对象的报文时,可以将报文发送给防护设备以使防护设备对服务器发送的报文进行报文分析、攻击识别和流量清洗,然后接收防护设备转发的报文,并将防护设备转发的报文发送给防护对象。
在一种可选的实施方式中,防护设备仅通过牵引对服务器发送给防护对象的报文进行分析和防护。通过这种方式,可以在不添加额外的攻击检测设备的基础上,实现对通过流量的清洗快速清洗。
基于上述可能的应用场景,本申请实施例提供了一种确定网络攻击的方法、装置及电子设备,解决现有技术应用在TCP反射攻击场景下,存在防护效果差的问题。
根据本申请实施例提供的方法,能够在正常通信业务不受影响的前提下,通过相应的确定网络攻击的方法,验证服务器对TCP协议的实现程度,以及验证本次TCP会话的完整性,达到节约计算资源、提高识别攻击准确性和提升防护效果的技术效果。
值得说明的是,本申请实施例提供的技术方案还可以适用于任意网络攻击的识别和防护,包括但不限于,建立TCP连接中可能存在的网络攻击场景,当然尤其针对一种TCP反射攻击的场景。
下面结合附图对本申请优选的实施例所提供的方法作出进一步详细说明。
应当理解,此处所描述的实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
参阅图2所示,本申请实施例提供了一种可能的确定网络攻击的方法,具体流程如下:
步骤201:接收服务器发送的第一响应报文;
在本申请实施例中,防护设备接收服务器发送的第一响应报文,确定第一响应报文的源IP地址,然后在白名单和黑名单中,对第一响应报文的源IP地址进行检索,并根据检索结果,判断该服务器是否为受到网络攻击的服务器。
在这里,白名单用于存储未受到网络攻击的服务器的IP地址,黑名单用于存储受到网络攻击的服务器的IP地址。
基于白名单和黑名单中存储的IP地址,来对第一响应报文的源IP地址进行检索,根据检索结果,可以得到如下多种情况的判定。
情况一,若白名单中存在第一响应报文的源IP地址,则判定服务器为未受到网络攻击的服务器,即该服务器安全,不对该服务器发送的报文执行步骤202和/或步骤203的操作,并直接将该服务器发送的报文发送给防护对象。
情况二,若黑名单中存在第一响应报文的源IP地址,则判定服务器为受到网络攻击的服务器,即该服务器不安全,不对该服务器发送的报文执行步骤202和/或步骤203的操作,并直接丢弃该服务器向防护对象发送的所有报文。
情况三,若白名单和黑名单中都不存在第一响应报文的源IP地址,则然后执行步骤202和/或步骤203的操作,来判断服务器是否受到网络攻击。
基于上述三种情况,通过比对第一响应报文中的源IP地址与白名单和黑名单中存储的源IP地址,可以有效加快识别攻击的效率,节约计算开销以及识别攻击的时间。
进一步的,还可以根据预设规则,对白名单和黑名单进行更新,在这里的预设规则可以是设置预设时间段更新白名单和黑名单,例如,在第一时刻,白名单和黑名单中只存储预设的源IP地址或没有存储任何源IP地址,在第一时刻经过预设时间段的第二时刻,清空白名单和黑名单在第一时刻至第二时刻期间添加的源IP地址。
基于上述步骤,可以接收到服务器发送的第一响应报文。
步骤202:基于服务器发送的第二响应报文与所述第一响应报文之间的时间差在预设时间段内,确定建立所述服务器与防护对象的TCP连接;
在本申请实施例中,防护设备在确定接收到服务器发送的第一响应报文中的源IP地址不在白名单和黑名单中后,丢弃该第一响应报文,并向服务器发送重置会话报文,在这里,第一响应报文为服务器响应于防护对象请求建立第一会话连接向防护对象发送的报文,重置会话报文为中断第一会话的报文,防护对象为包括客户端在内的一切受到防护设备的保护的对象。
进一步地,在发送重置会话报文后,接收服务器发送的第二响应报文,在这里,第二响应报文为服务器响应于防护对象请求建立第二会话连接向防护对象发送的报文,然后计算接收第一响应报文与接收第二响应报文之间的时间差。
进一步地,判断计算出第一响应报文与第二响应报文之间的时间差是否在预设时间段内,若该时间差在预设时间段内,则建立服务器与防护对象之间的TCP连接;如该时间差不在预设时间段内,则不建立服务器与防护对象之间的TCP连接,且判定该服务器受到网络攻击,将该服务器的IP地址加入黑名单中。
具体来说,防护设备向服务器发送重置会话报文的目的是,防止服务器超时重传第一响应报文,避免后续步骤判定服务器是否受到网络攻击受到影响,下面结合不发送重置会话报文、发送重置会话报文这两种方式的作如下详细分析。
值得说明的是,如下的详细分析过程为本申请发明人经过创造性劳动的思考过程,分析目的是为了便于本领域技术人员更好理解本申请实施例提供的技术方案。
方式一,防护设备在丢弃服务器发送的第一响应报文后,不向服务器发送重置会话报文;
具体来说,防护对象直接向服务器发送SYN报文,即请求建立第一会话连接;服务器在接收到防护对象发送的SYN报文后,会通过防护设备向防护对象发送SYN/ACK报文,即响应于请求建立第一会话连接的第一响应报文;防护设备在接收到服务器发送的SYN/ACK报文后,将直接丢弃SYN/ACK报文,至此,服务器和防护对象都在等待对方的响应,进而可能出现如下两种情形:
情形1,如图3所示,若服务器在一定时间内没有接收到防护对象的回复,则服务器将再次通过防护设备向防护对象发送SYN/ACK报文,即响应于请求建立第一会话连接的第二响应报文;
情形2,如图4所示,若防护对象在一定时间内没有接收到服务器的回复,则防护对象将向服务器重新发送SYN报文,即请求建立第二会话连接。
在实际应用过程中,防护设备默认接收到服务器发送的响应报文都是基于上述情形2发送的,并且防护设备是基于接收的响应报文来对网络攻击进行识别,鉴于此,上述情形1的发生将导致防护设备错误识别网络攻击问题的发生。
方式二,防护设备在丢弃服务器发送的第一响应报文后,向服务器发送重置会话报文。
如图5所示,为发送重置会话报文的示意图,首先防护对象向服务器发送SYN报文,即请求建立第一会话连接;服务器在接收到防护对象发送的SYN报文后,会通过防护设备向防护对象发送SYN/ACK报文,即响应于请求建立第一会话连接的第一响应报文;防护设备将在接收到服务器发送的SYN/ACK报文后,将直接丢弃SYN/ACK报文,并向服务器发送RST报文,即重置会话报文。
至此,服务器在接收到防护设备发送的RST报文后,将主动终止当前的第一会话,即不会再通过防护设备向防护对象发送带有与第一响应报文中相同seq号的SYN报文,能够避免上述方式一中情形1的出现,进而保证防护设备对服务器和防护对象之间的一致理解。
基于上述分析,防护设备在丢弃接收服务器发送的第一响应报文后,便向服务器发送重置会话报文。
进一步地,防护设备在发送重置会话报文后,接收服务器发送的第二响应报文,在这里,第二响应报文为服务器响应于防护对象请求建立第二会话连接向防护对象发送的报文。
具体来说,服务器在接收到重置会话报文后将主动终止当前的第一会话,即不会再通过防护设备向防护对象发送响应于建立第一会话连接的第二响应报文。
在此情况下,防护对象在一定时间内没有接收到服务器的回复,便将重新向服务器发送建立第二会话连接的报文;而服务器在接收到该建立第二会话连接的报文后,便会通过防护设备向防护对象发送响应于建立第二会话连接的第二响应报文。
因此,防护设备在向服务器发送重置会话报文后,将接收到服务器响应于防护对象请求建立第二会话连接发送的第二响应报文。
进一步地,防护设备计算接收到第一响应报文与接收到第二响应报文之间的时间差,通过确定第一响应报文的第一时刻、以及接收第二响应报文的第二时刻,来计算第一时刻与第二时刻之间的时间差,若计算的时间差处于一个预设时间段内,则服务器与防护对象成功建立TCP连接,如图6所示,为服务器和防护对象成功建立会话连接时,防护设备接收第一响应报文和第二响应报文的示意图。
值得说明的是,上述时间差为计算出第一时刻与第二时刻之间差值的绝对值。
值得说明的是,若计算出的时间差不在预设时间段内,则确定建立服务器与防护对象之间的第二会话连接失败,并判定服务器受到网络攻击。
进一步,如果确定服务器受到网络攻击,那么将该服务器的源IP地址加入黑名单中。
步骤203:响应于所述服务器与所述防护对象建立TCP连接,根据所述服务器发送校正报文,确定所述服务器是否受到网络攻击。
在本申请实施例中,在服务器与防护对象建立TCP连接后,防护设备丢弃接收服务器发送的首个携带数据的数据报文,并向服务器发送不携带正确序列号的探测报文,然后,防护设备接收服务器发送的携带校正序列号的校正报文,通过判断校正序列号加上指定数值与正确序列号是否一致,确定服务器是否受到网络攻击。
具体来说,若校正序列号加上指定数值与正确序列号一致,则确定服务器没有受到网络攻击;若校正序列号加上指定数值与正确序列号不一致,则确定服务器受到网络攻击。
值得说明的是,上述首个携带数据的数据报文是防护设备首次接收到服务器向防护对象发送的携带数据的数据报文,即与TCP连接的建立时机或建立时间无关。
如图7所示,为建立第二会话后识别网络攻击的示意图,防护设备在接收服务器发送的第一个携带数据的ACK报文后,丢弃这第一个携带数据的ACK报文,并且构建一个错误的ACK报文作为探测报文发送给服务器,以使得服务器接收该探测报文后发送携带校正序列号的ACK报文作为校正报文;防护设备在接收到这个校正报文后,将对这个校正报文进行验证来确定该服务器是否受到网络攻击,如,通过对比校正序列号加上指定数值后是否与正确序列号一致来确定等。
进一步地,如果确定服务器没有受到网络攻击,那么将该服务器的源IP地址加入白名单中;如果确定服务器受到网络攻击,那么将该服务器的源IP地址加入黑名单中。
值得说明的是,上述为本申请提供的一种确定网络攻击的方法的具体描述,其中涉及的技术手段可以基于不同的应用场景进行相互结合或单独使用,下面分别列举三个实施例作说明。
实施例1:
参阅图8所示,本申请实施例1提供了一种可能的确定网络攻击的方法,具体流程如下:
步骤801:接收服务器发送的第一响应报文;
步骤802:基于服务器发送的第二响应报文与所述第一响应报文之间的时间差在预设时间段内,确定建立所述服务器与防护对象的TCP连接。
在本申请实施实例1中,防护设备丢弃服务器发送的第一响应报文,并向服务器发送重置会话报文,在此第一响应报文为服务器响应于防护对象请求建立第一会话连接向防护对象发送的报文,重置会话报文为中断第一会话的报文,然后防护设备在发送重置会话报文后,接收服务器发送的第二响应报文,在此第二响应报文为服务器响应于防护对象请求建立第二会话连接向防护对象发送的报文,再计算接收第一响应报文与接收第二响应报文之间的时间差,响应于该时间差在预设时间段内,建立服务器与防护对象之间的TCP连接。
值得说明的是,在本申请实施例1中,建立服务器与防护对象之间的TCP连接可以视为该服务器为未收到网络攻击的服务器。
可选的,在防护设备丢弃服务器发送的第一响应报文之前,还可以确定第一响应报文的源IP地址:响应于白名单中存在该源IP地址,判定服务器未受到网络攻击;响应于黑名单中存在该源IP地址,判定服务器受到网络攻击;响应于白名单和黑名单中都不存在该源IP地址,丢弃第一响应报文,并向服务器发送重置会话报文。
可选的,若计算接收到第一响应报文和第二响应报文的时间差不在预设时间段内,则判定该服务器受到网络攻击,并确定该服务器的源IP地址,将确定的源IP地址加入黑名单中,在这里,黑名单为预设周期更新的存储受到网络攻击的源IP地址的数据库。
实施例2:
参阅图9所示,本申请实施例2提供了一种可能的确定网络攻击的方法,具体流程如下:
步骤901:接收服务器发送的第一响应报文;
步骤902:响应于所述服务器与所述防护对象建立TCP连接,根据所述服务器发送校正报文,确定所述服务器是否受到网络攻击。
在本申请实施例2中,防护设备接收到服务器发送的第一响应报文,即防护对象与服务器建立TCP连接后,防护设备丢弃接收服务器发送的首个携带数据的数据报文,并向服务器发送探测报文,在此探测报文为不携带正确序列号的报文,然后,防护设备接收服务器发送的校正报文,在此校正报文为携带校正序列号的报文,响应于校正序列号加上指定数值与正确序列号一致,确定服务器未受到网络攻击。
可选的,在确定服务器未收到网络攻击后,可以确定该服务器的源IP地址,然后将该源IP地址加入白名单中,在此白名单为预设周期更新的存储未受到网络攻击的源IP地址的数据库。
值得说明的是,若上述校正序列号加上指定数值与正确序列号不一致,则判定服务器受到网络攻击,进而通过确定服务器的源IP地址,将该源IP地址加入黑名单中,在此黑名单为预设周期更新的存储受到网络攻击的源IP地址的数据库。
实施例3:
参阅图10所示,本申请实施例3提供了一种可能的确定网络攻击的方法,具体流程如下:
步骤11:接收服务器发送的第一响应报文;
步骤12:基于服务器发送的第二响应报文与所述第一响应报文之间的时间差在预设时间段内,确定建立所述服务器与防护对象的TCP连接;
步骤13:响应于所述服务器与所述防护对象建立TCP连接,根据所述服务器发送校正报文,确定所述服务器是否受到网络攻击。
在本申请实施例3中,防护设备丢弃服务器发送的第一响应报文,并向服务器发送重置会话报文,在此第一响应报文为服务器响应于防护对象请求建立第一会话连接向防护对象发送的报文,重置会话报文为中断第一会话的报文,然后防护设备在发送重置会话报文后,接收服务器发送的第二响应报文,在此第二响应报文为服务器响应于防护对象请求建立第二会话连接向防护对象发送的报文,再计算接收第一响应报文与接收第二响应报文之间的时间差,响应于该时间差在预设时间段内,建立服务器与防护对象之间的TCP连接。
在防护对象与服务器建立TCP连接后,防护设备丢弃接收服务器发送的首个携带数据的数据报文,并向服务器发送探测报文,在此探测报文为不携带正确序列号的报文,然后,防护设备接收服务器发送的校正报文,在此校正报文为携带校正序列号的报文,响应于校正序列号加上指定数值与正确序列号一致,确定服务器未受到网络攻击。
可选的,在防护设备丢弃服务器发送的第一响应报文之前,还可以确定第一响应报文的源IP地址:响应于白名单中存在该源IP地址,判定服务器未受到网络攻击;响应于黑名单中存在该源IP地址,判定服务器受到网络攻击;响应于白名单和黑名单中都不存在该源IP地址,丢弃第一响应报文,并向服务器发送重置会话报文。
可选的,若计算接收到第一响应报文和第二响应报文的时间差不在预设时间段内,则判定该服务器受到网络攻击,并确定该服务器的源IP地址,将确定的源IP地址加入黑名单中,在这里,黑名单为预设周期更新的存储受到网络攻击的源IP地址的数据库。
可选的,在确定服务器未收到网络攻击后,可以确定该服务器的源IP地址,然后将该源IP地址加入白名单中,在此白名单为预设周期更新的存储未受到网络攻击的源IP地址的数据库。
可选的,若上述校正序列号加上指定数值与正确序列号不一致,则判定服务器受到网络攻击,进而通过确定服务器的源IP地址,将该源IP地址加入黑名单中,在此黑名单为预设周期更新的存储受到网络攻击的源IP地址的数据库。
通过上述本申请实施例所提供的方法,能够在最大限度不对用户业务造成影响的情况下,对TCP反射攻击流量进行识别与清洗,保证普通客户端和服务器之间的正常通信,此外还能够具备部署简单、计算资源消耗少、防御效果好以及误杀概率低等的技术效果。
基于同一发明构思,本申请还提供了一种确定网络攻击的装置,用以在正常通信业务不受影响的前提下,通过相应的确定网络攻击的方法,验证服务器对TCP协议的实现程度,以及验证本次TCP会话的完整性,解决现有技术应用在TCP反射攻击场景下,存在防护效果差的问题,参见图11,该装置包括:
接收第一响应报文模块111,接收服务器发送的第一响应报文;
建立TCP连接模块112,基于服务器发送的第二响应报文与所述第一响应报文之间的时间差在预设时间段内,确定建立所述服务器与防护对象的TCP连接;其中,所述第二响应报文为所述服务器在发送第一响应报文之后发送的响应报文;和/或
确定网络攻击模块113,响应于所述服务器与所述防护对象建立TCP连接,根据所述服务器发送校正报文,确定所述服务器是否受到网络攻击。
在一种可能的设计中,所述建立TCP连接模块112,具体用于:丢弃所述第一响应报文,并向所述服务器发送重置会话报文;其中,所述第一响应报文为所述服务器响应于防护对象请求建立第一会话连接向所述防护对象发送的报文,所述重置会话报文为中断所述第一会话的报文;在发送所述重置会话报文后,接收所述服务器发送的第二响应报文;其中,所述第二响应报文为所述服务器响应于所述防护对象请求建立第二会话连接向所述防护对象发送的报文;计算接收所述第一响应报文与接收所述第二响应报文之间的时间差;响应于所述时间差在预设时间段内,建立所述服务器与防护对象之间的TCP连接。
在一种可能的设计中,所述建立TCP连接模块112,具体用于:确定所述第一响应报文的源IP地址;响应于白名单中存在所述源IP地址,判定所述服务器未受到网络攻击;响应于黑名单中存在所述源IP地址,判定所述服务器受到网络攻击;响应于所述白名单和所述黑名单中都不存在所述源IP地址,丢弃所述第一响应报文,并向所述服务器发送重置会话报文。
在一种可能的设计中,所述建立TCP连接模块112,还用于:响应于所述时间差不在预设时间段内,判定所述服务器受到网络攻击;确定所述服务器的源IP地址,并将所述源IP地址加入黑名单中;其中,所述黑名单为预设周期更新的存储受到网络攻击的源IP地址的数据库。
在一种可能的设计中,所述确定网络攻击模块113,具体用于:响应于服务器与防护对象建立TCP连接,接收所述服务器发送的首个携带数据的数据报文;丢弃接收的首个数据报文,并向所述服务器发送探测报文;其中,所述探测报文为不携带正确序列号的报文;在发送所述探测报文后,接收所述服务器发送的校正报文;其中,所述校正报文为携带校正序列号的报文;响应于所述校正序列号加上指定数值与所述正确序列号一致,确定所述服务器未受到网络攻击。
在一种可能的设计中,所述确定网络攻击模块113,具体用于:响应于所述校正序列号加上指定数值与所述正确序列号不一致,判定所述服务器受到网络攻击;确定所述服务器的源IP地址,并将所述源IP地址加入黑名单中;其中,所述黑名单为预设周期更新的存储受到网络攻击的源IP地址的数据库。
在一种可能的设计中,所述确定网络攻击模块113,还用于:确定所述服务器的源IP地址,并将所述源IP地址加入白名单中;其中,所述白名单为预设周期更新的存储未受到网络攻击的源IP地址的数据库。
基于上述装置,能够在正常通信业务不受影响的前提下,通过相应的确定网络攻击的方法,验证服务器对TCP协议的实现程度,以及验证本次TCP会话的完整性,达到节约计算资源、提高识别攻击准确性和提升防护效果的技术效果。
基于同一发明构思,本申请实施例中还提供了一种电子设备,所述电子设备可以实现前述一种确定网络攻击的装置的功能,参考图12,所述电子设备包括:
至少一个处理器121,以及与至少一个处理器121连接的存储器122,本申请实施例中不限定处理器121与存储器122之间的具体连接介质,图12中是以处理器121和存储器122之间通过总线120连接为例。总线120在图12中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线120可以分为地址总线、数据总线、控制总线等,为便于表示,图12中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。或者,处理器121也可以称为控制器,对于名称不做限制。
在本申请实施例中,存储器122存储有可被至少一个处理器121执行的指令,至少一个处理器121通过执行存储器122存储的指令,可以执行前文论述的确定网络攻击方法。处理器121可以实现图11所示的装置中各个模块的功能。
其中,处理器121是该装置的控制中心,可以利用各种接口和线路连接整个该控制设备的各个部分,通过运行或执行存储在存储器122内的指令以及调用存储在存储器122内的数据,该装置的各种功能和处理数据,从而对该装置进行整体监控。
在一种可能的设计中,处理器121可包括一个或多个处理单元,处理器121可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器121中。在一些实施例中,处理器121和存储器122可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器121可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的确定网络攻击方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器122作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器122可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器122是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器122还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
通过对处理器121进行设计编程,可以将前述实施例中介绍的确定网络攻击方法所对应的代码固化到芯片内,从而使芯片在运行时能够执行图2所示的实施例的确定网络攻击方法的步骤。如何对处理器121进行设计编程为本领域技术人员所公知的技术,这里不再赘述。
基于同一发明构思,本申请实施例还提供一种存储介质,该存储介质存储有计算机指令,当该计算机指令在计算机上运行时,使得计算机执行前文论述确定网络攻击方法。
在一些可能的实施方式中,本申请提供的确定网络攻击方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在装置上运行时,程序代码用于使该控制设备执行本说明书上述描述的根据本申请各种示例性实施方式的确定网络攻击方法中的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、装置、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种确定网络攻击的方法,其特征在于,所述方法包括:
接收服务器发送的第一响应报文;
基于服务器发送的第二响应报文与所述第一响应报文之间的时间差在预设时间段内,确定建立所述服务器与防护对象的TCP连接;其中,所述第二响应报文为所述服务器在发送第一响应报文之后发送的响应报文;和/或
响应于所述服务器与所述防护对象建立TCP连接,根据所述服务器发送校正报文,确定所述服务器是否受到网络攻击。
2.如权利要求1所述的方法,其特征在于,所述基于服务器发送的第二响应报文与所述第一响应报文之间的时间差在预设时间段内,确定建立所述服务器与防护对象的TCP连接,包括:
丢弃所述第一响应报文,并向所述服务器发送重置会话报文;其中,所述第一响应报文为所述服务器响应于防护对象请求建立第一会话连接向所述防护对象发送的报文,所述重置会话报文为中断所述第一会话的报文;
在发送所述重置会话报文后,接收所述服务器发送的第二响应报文;其中,所述第二响应报文为所述服务器响应于所述防护对象请求建立第二会话连接向所述防护对象发送的报文;
计算接收所述第一响应报文与接收所述第二响应报文之间的时间差;
响应于所述时间差在预设时间段内,建立所述服务器与防护对象之间的TCP连接。
3.如权利要求2所述的方法,其特征在于,所述丢弃所述第一响应报文,并向所述服务器发送重置会话报文,包括:
确定所述第一响应报文的源IP地址;
响应于白名单中存在所述源IP地址,判定所述服务器未受到网络攻击;
响应于黑名单中存在所述源IP地址,判定所述服务器受到网络攻击;
响应于所述白名单和所述黑名单中都不存在所述源IP地址,丢弃所述第一响应报文,并向所述服务器发送重置会话报文。
4.如权利要求2所述的方法,其特征在于,在所述计算接收所述第一响应报文与接收所述第二响应报文之间的时间差之后,还包括:
响应于所述时间差不在预设时间段内,判定所述服务器受到网络攻击;
确定所述服务器的源IP地址,并将所述源IP地址加入黑名单中;其中,所述黑名单为预设周期更新的存储受到网络攻击的源IP地址的数据库。
5.如权利要求1所述的方法,其特征在于,所述响应于所述服务器与所述防护对象建立TCP连接,根据所述服务器发送校正报文,确定所述服务器是否受到网络攻击,包括:
响应于服务器与防护对象建立TCP连接,接收所述服务器发送的首个携带数据的数据报文;
丢弃接收的首个数据报文,并向所述服务器发送探测报文;其中,所述探测报文为不携带正确序列号的报文;
在发送所述探测报文后,接收所述服务器发送的校正报文;其中,所述校正报文为携带校正序列号的报文;
响应于所述校正序列号加上指定数值与所述正确序列号一致,确定所述服务器未受到网络攻击。
6.如权利要求5所述的方法,其特征在于,在所述接收所述服务器发送的校正报文之后,还包括:
响应于所述校正序列号加上指定数值与所述正确序列号不一致,判定所述服务器受到网络攻击;
确定所述服务器的源IP地址,并将所述源IP地址加入黑名单中;其中,所述黑名单为预设周期更新的存储受到网络攻击的源IP地址的数据库。
7.如权利要求5所述的方法,其特征在于,在所述确定所述服务器未受到网络攻击之后,还包括:
确定所述服务器的源IP地址,并将所述源IP地址加入白名单中;其中,所述白名单为预设周期更新的存储未受到网络攻击的源IP地址的数据库。
8.一种网络攻击确定的装置,其特征在于,所述装置包括:
接收第一响应报文模块,接收服务器发送的第一响应报文;
建立TCP连接模块,基于服务器发送的第二响应报文与所述第一响应报文之间的时间差在预设时间段内,确定建立所述服务器与防护对象的TCP连接;其中,所述第二响应报文为所述服务器在发送第一响应报文之后发送的响应报文;和/或
确定网络攻击模块,响应于所述服务器与所述防护对象建立TCP连接,根据所述服务器发送校正报文,确定所述服务器是否受到网络攻击。
9.一种电子设备,其特征在于,包括:
存储器,用于存放计算机程序;
处理器,用于执行所述存储器上所存放的计算机程序时,实现权利要求1-7中任一项所述的方法步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-7任一项所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210265485.1A CN114697088B (zh) | 2022-03-17 | 2022-03-17 | 一种确定网络攻击的方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210265485.1A CN114697088B (zh) | 2022-03-17 | 2022-03-17 | 一种确定网络攻击的方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114697088A true CN114697088A (zh) | 2022-07-01 |
| CN114697088B CN114697088B (zh) | 2024-03-15 |
Family
ID=82138703
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210265485.1A Active CN114697088B (zh) | 2022-03-17 | 2022-03-17 | 一种确定网络攻击的方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114697088B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115314266A (zh) * | 2022-07-27 | 2022-11-08 | 阿里云计算有限公司 | 访问控制方法、装置、电子设备及可读存储介质 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060072455A1 (en) * | 2004-09-23 | 2006-04-06 | Nortel Networks Limited | Detecting an attack of a network connection |
| CN102655509A (zh) * | 2012-05-07 | 2012-09-05 | 福建星网锐捷网络有限公司 | 一种网络攻击识别方法及装置 |
| CN104683293A (zh) * | 2013-11-27 | 2015-06-03 | 杭州迪普科技有限公司 | 一种基于逻辑器件的syn攻击防护方法 |
| CN105827646A (zh) * | 2016-05-17 | 2016-08-03 | 浙江宇视科技有限公司 | Syn攻击防护的方法及装置 |
| CN106302495A (zh) * | 2016-08-25 | 2017-01-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种ACK Flood攻击的防护方法及中间防护装置 |
| CN107395632A (zh) * | 2017-08-25 | 2017-11-24 | 北京神州绿盟信息安全科技股份有限公司 | SYN Flood防护方法、装置、清洗设备及介质 |
| CN108270682A (zh) * | 2016-12-30 | 2018-07-10 | 华为技术有限公司 | 一种报文传输方法、终端、网络设备及通信系统 |
| US20190058730A1 (en) * | 2017-08-18 | 2019-02-21 | eSentire, Inc. | System and method to spoof a tcp reset for an out-of-band security device |
| CN109639712A (zh) * | 2018-12-29 | 2019-04-16 | 北京神州绿盟信息安全科技股份有限公司 | 一种防护ddos攻击的方法及系统 |
| CN110266678A (zh) * | 2019-06-13 | 2019-09-20 | 深圳市腾讯计算机系统有限公司 | 安全攻击检测方法、装置、计算机设备及存储介质 |
| CN110365658A (zh) * | 2019-06-25 | 2019-10-22 | 深圳市腾讯计算机系统有限公司 | 一种反射攻击防护与流量清洗方法、装置、设备及介质 |
| CN111953555A (zh) * | 2020-06-29 | 2020-11-17 | 联想(北京)有限公司 | 一种链路检测方法、cpe及存储介质 |
| CN112187793A (zh) * | 2020-09-28 | 2021-01-05 | 绿盟科技集团股份有限公司 | 一种ACK Flood攻击的防护方法及装置 |
-
2022
- 2022-03-17 CN CN202210265485.1A patent/CN114697088B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060072455A1 (en) * | 2004-09-23 | 2006-04-06 | Nortel Networks Limited | Detecting an attack of a network connection |
| CN102655509A (zh) * | 2012-05-07 | 2012-09-05 | 福建星网锐捷网络有限公司 | 一种网络攻击识别方法及装置 |
| CN104683293A (zh) * | 2013-11-27 | 2015-06-03 | 杭州迪普科技有限公司 | 一种基于逻辑器件的syn攻击防护方法 |
| CN105827646A (zh) * | 2016-05-17 | 2016-08-03 | 浙江宇视科技有限公司 | Syn攻击防护的方法及装置 |
| CN106302495A (zh) * | 2016-08-25 | 2017-01-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种ACK Flood攻击的防护方法及中间防护装置 |
| CN108270682A (zh) * | 2016-12-30 | 2018-07-10 | 华为技术有限公司 | 一种报文传输方法、终端、网络设备及通信系统 |
| US20190058730A1 (en) * | 2017-08-18 | 2019-02-21 | eSentire, Inc. | System and method to spoof a tcp reset for an out-of-band security device |
| CN107395632A (zh) * | 2017-08-25 | 2017-11-24 | 北京神州绿盟信息安全科技股份有限公司 | SYN Flood防护方法、装置、清洗设备及介质 |
| CN109639712A (zh) * | 2018-12-29 | 2019-04-16 | 北京神州绿盟信息安全科技股份有限公司 | 一种防护ddos攻击的方法及系统 |
| CN110266678A (zh) * | 2019-06-13 | 2019-09-20 | 深圳市腾讯计算机系统有限公司 | 安全攻击检测方法、装置、计算机设备及存储介质 |
| CN110365658A (zh) * | 2019-06-25 | 2019-10-22 | 深圳市腾讯计算机系统有限公司 | 一种反射攻击防护与流量清洗方法、装置、设备及介质 |
| CN111953555A (zh) * | 2020-06-29 | 2020-11-17 | 联想(北京)有限公司 | 一种链路检测方法、cpe及存储介质 |
| CN112187793A (zh) * | 2020-09-28 | 2021-01-05 | 绿盟科技集团股份有限公司 | 一种ACK Flood攻击的防护方法及装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115314266A (zh) * | 2022-07-27 | 2022-11-08 | 阿里云计算有限公司 | 访问控制方法、装置、电子设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114697088B (zh) | 2024-03-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108551446B (zh) | 防攻击的syn报文处理方法、装置、防火墙及存储介质 | |
| CN109639712B (zh) | 一种防护ddos攻击的方法及系统 | |
| US8453208B2 (en) | Network authentication method, method for client to request authentication, client, and device | |
| US11196767B2 (en) | Front-end protocol for server protection | |
| US8108531B2 (en) | Securing an access provider | |
| CN107395632B (zh) | SYN Flood防护方法、装置、清洗设备及介质 | |
| CN110784464B (zh) | 泛洪攻击的客户端验证方法、装置、系统及电子设备 | |
| CN109005175B (zh) | 网络防护方法、装置、服务器及存储介质 | |
| CN109922072B (zh) | 一种分布式拒绝服务攻击检测方法及装置 | |
| US7854000B2 (en) | Method and system for addressing attacks on a computer connected to a network | |
| CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
| CN109040140B (zh) | 一种慢速攻击检测方法及装置 | |
| WO2020037781A1 (zh) | 一种实现服务器防攻击方法及装置 | |
| US8429742B2 (en) | Detection of a denial of service attack on an internet server | |
| CN107454065B (zh) | 一种UDP Flood攻击的防护方法及装置 | |
| CN114697088B (zh) | 一种确定网络攻击的方法、装置及电子设备 | |
| CN113242260B (zh) | 攻击检测方法、装置、电子设备及存储介质 | |
| CN108418844B (zh) | 一种应用层攻击的防护方法及攻击防护端 | |
| CN108833410B (zh) | 一种针对HTTP Flood攻击的防护方法及系统 | |
| CN112087464B (zh) | SYN Flood攻击清洗方法、装置、电子设备和可读存储介质 | |
| CN109617893B (zh) | 一种僵尸网络DDoS攻击的防护方法、装置及存储介质 | |
| EP3902222A1 (en) | Dr mode protection method and device | |
| CN112055028B (zh) | 网络攻击防御方法、装置、电子设备及存储介质 | |
| CN113179247B (zh) | 拒绝服务攻击防护方法、电子装置和存储介质 | |
| CN116866055B (zh) | 数据泛洪攻击的防御方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |