CN114844723A - 网络攻击的防护方法、装置、设备以及存储介质 - Google Patents

网络攻击的防护方法、装置、设备以及存储介质 Download PDF

Info

Publication number
CN114844723A
CN114844723A CN202210683563.XA CN202210683563A CN114844723A CN 114844723 A CN114844723 A CN 114844723A CN 202210683563 A CN202210683563 A CN 202210683563A CN 114844723 A CN114844723 A CN 114844723A
Authority
CN
China
Prior art keywords
target
message
sequence number
confirmation
acknowledgement
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210683563.XA
Other languages
English (en)
Inventor
周清志
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Baidu Netcom Science and Technology Co Ltd
Original Assignee
Beijing Baidu Netcom Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Baidu Netcom Science and Technology Co Ltd filed Critical Beijing Baidu Netcom Science and Technology Co Ltd
Priority to CN202210683563.XA priority Critical patent/CN114844723A/zh
Publication of CN114844723A publication Critical patent/CN114844723A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本公开提供了一种网络攻击的防护方法、装置、设备以及存储介质,涉及人工智能领域,具体涉及云计算、云网络和云原生技术,可应用在智能云场景下。该方法包括:响应于接收到请求连接目标服务器的同步序列编号SYN报文,将SYN报文发送给防护设备;响应于确定防护设备已成功建立目标服务器与发送SYN报文的客户端之间的连接,接收客户端发送的目标报文,将目标报文通过防护设备发送给目标服务器;确定目标服务器返回的目标确认报文对应的防护设备,通过对应的防护设备将目标确认报文返回给客户端。本公开提供的网络攻击的防护方法提升了云原生网络下对网络攻击的防护能力。

Description

网络攻击的防护方法、装置、设备以及存储介质
技术领域
本公开涉及人工智能领域,具体涉及云计算、云网络和云原生技术,尤其涉及网络攻击的防护方法、装置、设备以及存储介质,可应用在智能云场景下。
背景技术
随着云计算越来越大规模的产业化应用,越来越多的客户从传统的IDC(InternetData Center,互联网数据中心)迁移到云上部署服务。作为云提供商,需要有能力保障客户的业务不被DDoS(Distributed denial of service,分布式拒绝服务)攻击所侵害,从而影响业务。DDoS的攻击类型会有很多,比如拒绝服务攻击SYN flood、ICMP Flood(一种DDoS攻击)等等。其中SYN Flood是最典型的一种攻击,其会引起被攻击主机网络资源耗尽从而导致瘫痪。
发明内容
本公开提供了一种网络攻击的防护方法、装置、设备以及存储介质。
根据本公开的第一方面,提供了一种网络攻击的防护方法,包括:响应于接收到请求连接目标服务器的SYN报文,将SYN报文发送给防护设备;响应于确定防护设备已成功建立目标服务器与发送SYN报文的客户端之间的连接,接收客户端发送的目标报文,将目标报文通过防护设备发送给目标服务器;确定目标服务器返回的目标确认报文对应的防护设备,通过对应的防护设备将目标确认报文返回给客户端。
根据本公开的第二方面,提供了一种网络攻击的防护方法,包括:接收导流器发送的请求连接目标服务器的SYN报文;将SYN报文的第一应答报文以及第一应答报文的第三序列编号和第三确认编号返回给导流器;基于导流器发送的ACK报文的第五序列编号和第四确认编号,对发送SYN报文的客户端的身份进行验证;响应于确定客户端的身份通过验证,建立客户端与目标服务器之间的连接。
根据本公开的第三方面,提供了一种网络攻击的防护装置,包括:第一发送模块,被配置成响应于接收到请求连接目标服务器的SYN报文,将SYN报文发送给防护设备;第二发送模块,被配置成响应于确定防护设备已成功建立目标服务器与发送SYN报文的客户端之间的连接,接收客户端发送的目标报文,将目标报文通过防护设备发送给目标服务器;确定模块,被配置成确定目标服务器返回的目标确认报文对应的防护设备,通过对应的防护设备将目标确认报文返回给客户端。
根据本公开的第四方面,提供了一种网络攻击的防护装置,包括:第二接收模块,被配置成接收导流器发送的请求连接目标服务器的SYN报文;返回模块,被配置成将SYN报文的第一应答报文以及第一应答报文的第三序列编号和第三确认编号返回给导流器;验证模块,被配置成基于导流器发送的ACK报文的第五序列编号和第四确认编号,对发送SYN报文的客户端的身份进行验证;建立模块,被配置成响应于确定客户端的身份通过验证,建立客户端与目标服务器之间的连接。
根据本公开的第五方面,提供了一种网络攻击的防护系统,包括:客户端,客户端用于将请求连接目标服务器的SYN报文以及目标报文发送给导流器;导流器,导流器用于接收SYN报文和目标报文,将SYN报文和目标报文发送给防护设备;以及确定目标服务器返回的目标确认报文对应的防护设备;防护设备,防护设备用于接收SYN报文,基于SYN报文建立客户端与目标服务器之间的连接;以及接收目标报文,将目标报文发送给目标服务器;目标服务器,目标服务器用于接收目标报文,以及返回目标确认报文给防护设备。
根据本公开的第六方面,提供了一种电子设备,包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行如第一方面或第二方面中任一实现方式描述的方法。
根据本公开的第七方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,计算机指令用于使计算机执行如第一方面或第二方面中任一实现方式描述的方法。
根据本公开的第八方面,提供了一种计算机程序产品,包括计算机程序,计算机程序在被处理器执行时实现如第一方面或第二方面中任一实现方式描述的方法。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本公开的限定。其中:
图1是本公开可以应用于其中的示例性系统架构图;
图2是根据本公开的网络攻击的防护方法的第一实施例的流程图;
图3是根据本公开的网络攻击的防护方法的第二实施例的流程图;
图4是根据本公开的网络攻击的防护方法的第三实施例的流程图;
图5是根据本公开的网络攻击的防护方法的第四实施例的流程图;
图6是根据本公开的网络攻击的防护方法的第五实施例的流程图;
图7是根据本公开的网络攻击的防护方法的第六实施例的流程图;
图8是根据本公开的网络攻击的防护装置的一个实施例的结构示意图;
图9是根据本公开的网络攻击的防护装置的另一个实施例的结构示意图;
图10是根据本公开的网络攻击的防护系统的一个实施例的结构示意图;
图11是用来实现本公开实施例的网络攻击的防护方法的电子设备的框图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。
图1示出了可以应用本公开的网络攻击的防护方法或网络攻击的防护装置的实施例的示例性系统架构110。
如图1所示,系统架构110可以包括终端设备101,网络102,导流器103,防护设备104和目标服务器105。网络102用以在终端设备101、导流器103、防护设备104和目标服务器105之间提供通信链路的介质。网络102可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101通过网络102与导流器103、防护设备104和目标服务器105交互,以接收或发送信息等。终端设备101上可以安装有各种客户端应用。
终端设备101可以是硬件,也可以是软件。当终端设备101为硬件时,可以是各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。当终端设备101为软件时,可以安装在上述电子设备中。其可以实现成多个软件或软件模块,也可以实现成单个软件或软件模块。在此不做具体限定。
需要说明的是,目标服务器105可以是硬件,也可以是软件。当目标服务器105为硬件时,可以实现成多个服务器组成的分布式服务器集群,也可以实现成单个服务器。当目标服务器105为软件时,可以实现成多个软件或软件模块(例如用来提供分布式服务),也可以实现成单个软件或软件模块。在此不做具体限定。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
继续参考图2,其示出了根据本公开的网络攻击的防护方法的第一实施例的流程200。该网络攻击的防护方法包括以下步骤:
步骤201,响应于接收到请求连接目标服务器的SYN报文,将SYN报文发送给防护设备。
在本实施例中,网络攻击的防护方法的执行主体(例如图1所示的导流器103)可以在接收到请求连接目标服务器的SYN报文时,将接收的SYN报文发送给防护设备。SYN:同步序列编号(Synchronize Sequence Numbers),是TCP(Transmission Control Protocol,传输控制协议)/IP(Internet Protocol,网际互连协议)建立连接时使用的握手信号。在客户端和服务器之间建立正常的TCP网络连接时,客户端会先发出一个请求连接的SYN消息,上述执行主体在接收到SYN报文时,会将其发送给防护设备。一般情况下,客户端会发送位码为SYN=1,并随机产生Sequence number序列编号(以下简写为seq)的数据包一起发送给上述执行主体,上述执行主体会将SYN以及seq发给防护设备,防护设备由SYN=1便会知道客户端要与目标服务器建立联机。
需要说明的是,客户端给服务器发送SYN报文,服务器给客户端回复SYN-ACK,并开始准备资源。正常情况下,客户端收到SYN-ACK报文后,会回复一个ACK(Acknowledgecharacter,确认)报文。至此,连通双方(客户端和服务器)的TCP连接已经建成。但如果是一个恶意客户端的话,服务端准备好了资源后,客户端将不再发送ACK报文,这就会导致服务端的一个连接资源被占用。如果同时有大量这样的恶意客户端的话,则导致服务器资源枯竭,从而无法服务,这就是SYN Flood攻击。
所以,在本实施例中,接入了多台防护设备,上述执行主体会将SYN报文发送给其中一台防护设备,防护设备会对发送SYN报文的客户端的身份进行验证,当客户端的身份通过验证后,才会建立客户端与服务器之间的连接,从而对SYN Flood攻击进行防护,避免服务器资源枯竭。
步骤202,响应于确定防护设备已成功建立目标服务器与发送SYN报文的客户端之间的连接,接收客户端发送的目标报文,将目标报文通过防护设备发送给目标服务器。
在本实施例中,上述执行主体在确定防护设备已经成功建立目标服务器与发送SYN报文的客户端之间的连接时,会接收客户端发送的目标报文。防护设备已成功建立目标服务器与客户端之间的连接后,客户端与服务器之间便可进行数据传输了,需要说明的是,客户端在发送请求连接的SYN报文后,会发送目标报文给上述执行主体,但是由于此时防护设备没有确定客户端的身份,所以,上述执行主体不会接收目标报文,且不会将其发给防护设备。只有在防护设备通过对客户端的身份的验证后,上述执行主体才会接收客户端发送的目标报文,并将其转发给防护设备,防护设备再将其转发给目标服务器,从而完成目标报文的传输。
步骤203,确定目标服务器返回的目标确认报文对应的防护设备,通过对应的防护设备将目标确认报文返回给客户端。
在本实施例中,目标服务器在接收到目标报文后,会回复一个目标确认报文,上述执行主体会确定目标确认报文对应的防护设备,该防护设备也即发送目标报文的防护设备。具体地,上述执行主体可以基于顺序无关哈希算法来确定,上述执行主体会获取目标报文的五元组信息,五元组信息包括源地址、目标地址、源端口、目标端口和协议类型,然后基于该五元组信息生成对应的哈希值;之后,再获取目标确认报文的五元组信息,由于目标报文与目标确认报文的五元组信息相同,且该算法与五元组信息的顺序无关,所以,目标确认报文的哈希值与目标报文的哈希值相同,基于此,上述执行主体可以基于目标报文的哈希值与目标确认报文的哈希值确定发送目标报文的防护设备,并将目标确认报文返回给该防护设备,从而通过该防护设备将目标确认报文返回给客户端。
本公开实施例提供的网络攻击的防护方法,首先响应于接收到请求连接目标服务器的SYN报文,将SYN报文发送给防护设备;之后响应于确定防护设备已成功建立目标服务器与发送SYN报文的客户端之间的连接,接收客户端发送的目标报文,将目标报文通过防护设备发送给目标服务器;最后确定目标服务器返回的目标确认报文对应的防护设备,通过对应的防护设备将目标确认报文返回给客户端。本实施例中的网络攻击的防护方法,该方法在未改变服务IP地址的情况下,将一条TCP连接上的正反向流量(即目标报文和目标确认报文)都导流给同一台防护设备,未改变传输报文的内容,从而解决了原生云网络下的SYNFlood攻击的防护问题,提高了原生云网络下的SYN Flood攻击的防护能力。
继续参考图3,图3示出了根据本公开的网络攻击的防护方法的第二实施例的流程300。该网络攻击的防护方法包括以下步骤:
步骤301,响应于接收到请求连接目标服务器的SYN报文,将SYN报文发送给防护设备。
步骤302,响应于确定防护设备已成功建立目标服务器与发送SYN报文的客户端之间的连接,接收客户端发送的目标报文。
步骤301-302与前述实施例的步骤201-202基本一致,具体实现方式可以参考前述对步骤201-202的描述,此处不再赘述。
步骤303,获取目标报文的五元组信息。
在本实施例中,网络攻击的防护方法的执行主体(例如图1所示的导流器103)会获取目标报文的五元组信息,其中,五元组信息包括:源地址、目标地址、源端口、目标端口和协议类型。五元组信息能够区分不同会话,并且对应的会话是唯一的。
步骤304,生成目标报文的五元组信息对应的哈希值,记为第一哈希值。
在本实施例中,上述执行主体会基于获取的目标报文的五元组信息生成其对应的哈希值,并将其记为第一哈希值。首先,可以基于哈希算法分别将五元组信息中的每个信息值映射为固定长度的较小二进制值,然后对五元组异或求得对应的哈希值,从而得到第一哈希值。
步骤305,将目标报文通过防护设备发送给目标服务器。
在本实施例中,上述执行主体会将目标报文通过防护设备发送给目标服务器。
步骤306,获取目标服务器返回的目标确认报文的五元组信息。
在本实施例中,目标服务器在接收到目标报文后,会回复目标确认报文,上述执行主体会接收目标服务器返回的目标确认报文,并获取目标确认报文的五元组信息,这里的五元组信息包括源地址、目标地址、源端口、目标端口和协议类型。
步骤307,生成目标确认报文的五元组信息对应的哈希值,记为第二哈希值。
在本实施例中,上述执行主体会生成目标确认报文的五元组信息对应的哈希值,并将其记为第二哈希值,第二哈希值的生成方法与第一哈希值的生成方法一致,在此不再赘述。
步骤308,基于第一哈希值和第二哈希值,确定目标确认报文对应的防护设备。
在本实施例中,上述执行主体会基于第一哈希值和第二哈希值,来确定目标确认报文对应的防护设备。由于同一条TCP连接的五元组信息是相同的,且与五元组信息的顺序无关,所以目标报文的第一哈希值与目标确认报文的第二哈希值相同,基于此,上述执行主体可以在生成第二哈希值时,确定与第二哈希值相同的哈希值,也即第一哈希值,从而确定发送目标报文的防护设备,也即目标确认报文对应的防护设备。
步骤309,通过对应的防护设备将目标确认报文返回给客户端。
在本实施例中,上述执行主体将目标确认报文发送给步骤308确定的防护设备,从而通过该防护设备将目标确认报文返回给客户端。
从图3中可以看出,与图2对应的实施例相比,本实施例中的网络攻击的防护方法,该方法突出了确定目标确认报文对应的防护设备的步骤,从而在不改变服务IP地址的情况下,将一条TCP连接上的正反向流量(即目标报文和目标确认报文)都导流给同一台防护设备,在不改变传输报文的内容的情况下,实现报文的传输,从而解决了原生云网络下的SYNFlood攻击的防护问题,提高了原生云网络下的SYN Flood攻击的防护能力。
继续参考图4,图4示出了根据本公开的网络攻击的防护方法的第三实施例的流程400。该网络攻击的防护方法包括以下步骤:
步骤401,接收客户端发送的目标报文。
在本实施例中,网络攻击的防护方法的执行主体(例如图1所示的导流器103)会接收客户端发送的目标报文。
步骤402,将目标报文的第一确认编号发送给防护设备,以使防护设备将第二确认编号发送给目标服务器。
在本实施例中,上述执行主体会将目标报文的第一确认编号发送给防护设备,以使防护设备将第二确认编号发送给目标服务器,其中,第二确认编号为基于第一确认编号生成的。由于每个报文都会对应一个随机产生的顺序编号seq以及acknowledgement确认编号(以下简称为ack),上述执行主体会将目标报文的顺序编号以及第一确认编号发送给防护设备,以使防护设备基于第一确认编号生成第二确认编号,并将第二确认编号发送给目标服务器。
在本实施例的一些可选的实施方式中,第二确认编号为第一确认编号与目标数值的和。
在本实施例的一些可选的实施方式中,目标数值通过以下步骤得到:获取防护设备返回的对于SYN报文的第一应答报文的第三序列编号;获取目标服务器返回的对于SYN报文的第二应答报文的第四序列编号;将第四序列编号与第三序列编号的差值记为目标数值。
在本实现方式中,由于在对客户端身份进行验证的过程中,客户端未与目标服务器进行交互,而是由防护设备代理的。也即,防护设备在收到客户端发送的SYN报文后,会代理目标服务器返回一个应答报文,记为第一应答报文,第一应答报文对应的序列编号记为第三序列编号;而目标服务器在接收到防护设备发送的SYN报文后,会回复一个应答报文,记为第二应答报文,第二应答报文对应的序列编号记为第四序列编号。由于在这个TCP连接过程中,两个应答报文的发出主体不同,其对应的序列编号也不相同,也即第三序列编号与第四序列编号不同,两者会有一个差值。例如,防护设备在接收到SYN报文后,返回的第一应答报文的第三序列编号为100,目标服务器在接收到防护设备发送的SYN报文后,返回的第二应答报文的第四序列编为200,那么将两个序列编号的差值记为delta,delta的值就为两个序列编号的差值,也即200-100=100,delta的值就为100。
通过上述步骤确定目标数值,从而在后续流量传输过程中,对报文的序列编号和确认编号进行修正。
在对目标报文的传输过程中,上述执行主体会先将目标报文的序列编号和确认编号(即第一确认编号)发送给防护设备,由于在建立TCP连接过程中,序列编号的值并没有发生异常,只有确认编号的值发生了异常。因此,防护设备会对目标报文的第一确认编号进行修正,从而得到正确的第二确认编号,第二确认编号记为第一确认编号与目标数值的和。从而对目标报文的确认编号进行修正,从而保证数据传输过程的顺利进行。
步骤403,接收目标服务器返回的目标确认报文的第一序列编号。
在本实施例中,上述执行主体会接收目标确认报文的第一序列编号,其中,第一序列编号为防护设备基于目标确认报文的第二序列编号生成的。在目标服务器接收到目标报文后,会回复一个确认报文,即目标确认报文,防护设备会基于目标确认报文的序列编号(即第二序列编号)得到第一序列编号,也即对第二序列编号进行修正,得到修正后的第一序列编号。上述执行主体会接收防护设备返回的修正后的第一序列编号。
在本实施例的一些可选的实施方式中,第一序列编号为第二序列编号与目标数值的差。其中,目标数值可通过前述步骤计算得到,在此不再赘述。也即防护设备会将接收到的第二序列编号与目标数值作差,从而得到第一序列编号。从而目标确认报文的序列编号进行修正,从而保证数据传输过程的顺利进行。
步骤404,将目标确认报文以及目标确认报文的第一序列编号发送给客户端。
在本实施例中,上述执行主体会将目标确认报文以及目标确认报文对应的序列编号(第一序列编号)和确认编号都发送给服务器。
从图4中可以看出,与图3对应的实施例相比,本实施例中的网络攻击的防护方法,该方法突出了对目标报文的确认编号以及目标确认报文的序列编号进行修正的步骤,从而可以实现报文数据的正常传输。
继续参考图5,其示出了根据本公开的网络攻击的防护方法的第四实施例的流程500。该网络攻击的防护方法包括以下步骤:
步骤501,接收导流器发送的请求连接目标服务器的SYN报文。
在本实施例中,网络攻击的防护方法的执行主体(例如图1所示的防护设备104)会接收导流器发送的请求连接目标服务器的SYN报文,SYN报文由客户端发送给导流器。
步骤502,将SYN报文的第一应答报文以及第一应答报文的第三序列编号和第三确认编号返回给导流器。
在本实施例中,上述执行主体会将SYN报文的第一应答报文以及第一应答报文的第三序列编号和第三确认编号返回给导流器。这里上述执行主体在接收到客户端的SYN报文后,便知晓客户端想要与目标服务器建立TCP连接,便会对客户端的身份进行验证,此时,上述执行主体会代替目标服务器回复一个应答报文(即第一应答报文),需要说明的是,序列编号是随机生成的数据包,而确认编号是基于收到的序列编号生成的。也即上述执行主体在收到SYN报文后返回的第一应答报文的第三序列编号是随机生成的数据包,第三确认编号是基于SYN报文的序列编号生成的。
步骤503,基于导流器发送的ACK报文的第五序列编号和第四确认编号,对发送SYN报文的客户端的身份进行验证。
在本实施例中,导流器会将第一应答报文以及第一应答报文的序列编号以及确认编号发送给客户端,客户端在收到后,会回复一个确认报文(也即ACK报文),ACK报文对应的序列编号也是随机生成的数据包,ACK报文的确认编号是基于第一应答报文的第三序列编号生成的。所以,上述执行主体会基于导流器发送的ACK报文的第五序列编号以及第四确认编号来对客户端的身份进行验证。若ACK报文的第四确认编号是基于第一应答报文的第三序列编号生成的,那么客户端的身份通过验证,也即该客户端为一个合法的客户端。若是客户端返回的ACK报文的第四确认编号不是基于第一应答报文的第三序列编号生成的,那么可以证明该客户端为非法的客户端。此外,若是客户端没有返回任何数据,那么也认为该客户端为非法的。
步骤504,响应于确定客户端的身份通过验证,建立客户端与目标服务器之间的连接。
在本实施例中,上述执行主体会在确定客户端的身份通过验证的情况下,建立客户端与目标服务器之间的TCP连接。若客户端的身份通过验证,那么上述执行主体会将客户端返回的ACK报文发送给目标服务器,并在接收目标服务器返回的应答报文后,再代替客户端回复一个确认报文给目标服务器,从而建立客户端与目标服务器之间的TCP连接。
本公开实施例提供的网络攻击的防护方法,首先接收导流器发送的对目标服务器请求连接的SYN报文;然后将SYN报文的第一应答报文以及第一应答报文的第三序列编号和第三确认编号返回给导流器;之后基于导流器发送的ACK报文的第五序列编号和第四确认编号,对发送SYN报文的客户端的身份进行验证;最后响应于确定客户端的身份通过验证,建立客户端与目标服务器之间的连接。本实施例中的网络攻击的防护方法,该方法可以对客户端的身份进行验证,并在客户端身份通过验证的情况下,建立客户端与目标服务器之间的连接,从而保证了连接的有效性,避免了服务器资源的浪费。
继续参考图6,图6示出了根据本公开的网络攻击的防护方法的第五实施例的流程600。该网络攻击的防护方法包括以下步骤:
步骤601,接收导流器发送的请求连接目标服务器的SYN报文。
步骤602,将SYN报文的第一应答报文以及第一应答报文的第三序列编号和第三确认编号返回给导流器。
步骤601-602与前述实施例的步骤501-502基本一致,具体实现方式可以参考前述对步骤501-502的描述,此处不再赘述。
步骤603,判断导流器发送的ACK报文的第四确认编号的值是否与第三序列编号和预设数值的和相等。
在本实施例中,网络攻击的防护方法的执行主体(例如图1所示的防护设备104)会判断导流器发送的ACK报文的第四确认编号的值是否与第三序列编号和预设数值的和相等。由于应答报文的确认编号是基于接收报文的序列编号生成的,一般情况下是应答报文的确认编号为接收报文的序列编号加1。上述执行主体会基于上述规律对客户端的身份进行验证。
步骤604,若相等,则确定发送SYN报文的客户端的身份通过验证。
在本实施例中,若ACK报文的第四确认编号的值与第三序列编号和预设数值的和相等,上述执行主体会确定发送SYN报文的客户端的身份通过验证。
步骤605,响应于确定客户端的身份通过验证,建立客户端与目标服务器之间的连接。
步骤605与前述实施例的步骤504基本一致,具体实现方式可以参考前述对步骤504的描述,此处不再赘述。
从图6中可以看出,与图5对应的实施例相比,本实施例中的网络攻击的防护方法,该方法突出了对客户端身份的验证步骤,从而通过校验保证了客户端的身份,也保证了连接的有效性,有效的保护了服务器的资源。
继续参考图7,图7示出了根据本公开的网络攻击的防护方法的第六实施例的流程700。该网络攻击的防护方法包括以下步骤:
步骤701,获取导流器发送的目标报文以及目标报文的第一确认编号。
在本实施例中,网络攻击的防护方法的执行主体(例如图1所示的防护设备104)会获取导流器发送的目标报文以及报文的第一确认编号。
步骤702,基于第一确认编号生成第二确认编号,并将目标报文和第二确认编号发送给目标服务器。
在本实施例中,上述执行主体会基于第一确认编号生成第二确认编号,并将目标报文和第二确认编号发送给目标服务器,其中,第二确认编号为第一确认编号与目标数值的和。目标数值通过前述实施例中的步骤计算得到,在此不再赘述。通过将第一确认编号与目标数值求和得到第二确认编号,从而对目标报文的确认编号进行修正,从而保证数据传输过程的顺利进行。
步骤703,基于目标服务器返回的目标确认报文的第二序列编号生成第一序列编号。
在本实施例中,上述执行主体会基于目标服务器返回的目标确认报文的第二序列编号生成第一序列编号,其中,第一序列编号为第二序列编号与所述目标数值的差。目标数值通过前述实施例中的步骤计算得到,在此不再赘述。通过将第二序列编号与目标数值作差得到第一序列编号,从而对目标确认报文的序列编号进行修正,从而保证数据传输过程的顺利进行。
步骤704,将目标确认报文以及目标确认报文的第一序列编号发送给导流器。
在本实施例中,上述执行主体会将目标确认报文以及目标确认报文的第一序列编号发送给导流器,以使导流器将其发送给客户端。
从图7中可以看出,与图6对应的实施例相比,本实施例中的网络攻击的防护方法,该方法突出了对目标报文的确认编号以及目标确认报文的序列编号进行修正的步骤,从而可以实现报文数据的正常传输。
进一步参考图8,作为对上述各图所示方法的实现,本公开提供了一种网络攻击的防护装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图8所示,本实施例的网络攻击的防护装置800包括:第一发送模块801、第二发送模块802和确定模块803。其中,第一发送模块801,被配置成响应于接收到请求连接目标服务器的SYN报文,将SYN报文发送给防护设备;第二发送模块802,被配置成响应于确定防护设备已成功建立目标服务器与发送SYN报文的客户端之间的连接,接收客户端发送的目标报文,将目标报文通过防护设备发送给目标服务器;确定模块803,被配置成确定目标服务器返回的目标确认报文对应的防护设备,通过对应的防护设备将目标确认报文返回给客户端。
在本实施例中,网络攻击的防护装置800中:第一发送模块801、第二发送模块802和确定模块803的具体处理及其所带来的技术效果可分别参考图2对应实施例中的步骤201-203的相关说明,在此不再赘述。
在本实施例的一些可选的实现方式中,上述网络攻击的防护装置800还包括:第一获取模块,被配置成获取目标报文的五元组信息,其中,五元组信息包括:源地址、目标地址、源端口、目标端口和协议类型;第一生成模块,被配置成生成目标报文的五元组信息对应的哈希值,记为第一哈希值;以及确定模块包括:获取子模块,被配置成获取目标确认报文的五元组信息;生成子模块,被配置成生成目标确认报文的五元组信息对应的哈希值,记为第二哈希值;确定子模块,被配置成基于第一哈希值和第二哈希值,确定目标确认报文对应的防护设备。
在本实施例的一些可选的实现方式中,上述网络攻击的防护装置800还包括:第三发送模块,被配置成将目标报文的第一确认编号发送给防护设备,以使防护设备将第二确认编号发送给目标服务器,其中,第二确认编号为基于第一确认编号生成的;第一接收模块,被配置成接收目标确认报文的第一序列编号,其中,第一序列编号为防护设备基于目标确认报文的第二序列编号生成的;第四发送模块,被配置成将目标确认报文以及目标确认报文的第一序列编号发送给客户端。
在本实施例的一些可选的实现方式中,第二确认编号为第一确认编号与目标数值的和;第一序列编号为第二序列编号与目标数值的差。
在本实施例的一些可选的实现方式中,上述网络攻击的防护装置800还包括:用于生成目标数值的第二生成模块,其中,第二生成模块被进一步配置成:获取防护设备返回的对于SYN报文的第一应答报文的第三序列编号;获取目标服务器返回的对于SYN报文的第二应答报文的第四序列编号;将第四序列编号与第三序列编号的差值记为目标数值。
进一步参考图9,作为对上述各图所示方法的实现,本公开提供了一种网络攻击的防护装置的一个实施例,该装置实施例与图5所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图9所示,本实施例的网络攻击的防护装置900包括:第二接收模块901、返回模块902、验证模块903和建立模块904。其中,第二接收模块901,被配置成接收导流器发送的请求连接目标服务器的SYN报文;返回模块902,被配置成将SYN报文的第一应答报文以及第一应答报文的第三序列编号和第三确认编号返回给导流器;验证模块903,被配置成基于导流器发送的ACK报文的第五序列编号和第四确认编号,对发送SYN报文的客户端的身份进行验证;建立模块904,被配置成响应于确定客户端的身份通过验证,建立客户端与目标服务器之间的连接。
在本实施例中,网络攻击的防护装置900中:第二接收模块901、返回模块902、验证模块903和建立模块904的具体处理及其所带来的技术效果可分别参考图5对应实施例中的步骤501-504的相关说明,在此不再赘述。
在本实施例的一些可选的实现方式中,验证模块被进一步配置成:判断导流器发送的ACK报文的第四确认编号的值是否与第三序列编号和预设数值的和相等;若相等,则确定发送SYN报文的客户端的身份通过验证。
在本实施例的一些可选的实现方式中,上述网络攻击的防护装置900还包括:第二获取模块,被配置成获取导流器发送的目标报文以及目标报文的第一确认编号;第五发送模块,被配置成基于第一确认编号生成第二确认编号,并将目标报文和第二确认编号发送给目标服务器,其中,第二确认编号为第一确认编号与目标数值的和;第三生成模块,被配置成基于目标服务器返回的目标确认报文的第二序列编号生成第一序列编号,其中,第一序列编号为第二序列编号与目标数值的差;第六发送模块,被配置成将目标确认报文以及目标确认报文的第一序列编号发送给导流器。
进一步参考图10,作为对上述各图所示方法的实现,本公开提供了一种网络攻击的防护系统的一个实施例。
如图10所示,本实施例的网络攻击的防护系统1000包括:客户端1001、导流器1002、防护设备1003、目标服务器1004。
首先,客户端1001将请求连接目标服务器的SYN报文(序列编号seq1)发送给导流器1002,导流器1002会将接收的SYN报文(seq1)发送给防护设备1003,防护设备1003会回复应答报文SYN-ACK(seq2,确认编号ack2)发送给导流器1002,导流器1002会将其发送给客户端1001。客户端1001会回复一个确认报文ACK(seq3,ack3)给导流器1002,导流器1002会将其发送给防护设备1003。防护设备1003会基于ack3的值来对客户端的身份进行校验,若客户端的身份通过校验,则将SYN报文(seq4)发送给目标服务器1004,并基于目标服务器1004返回的应答报文SYN-ACK(seq5,ack5)回复一个确认报文ACK(seq6,ack6),至此,防护设备1003已经成功建立客户端1001与目标服务器1004之间的连接。
然后,导流器1002会将客户端1001发送的目标报文ACK(seq7,ack7)发送给防护设备1003,防护设备1003会对目标报文的ack7的值进行修正,得到修正后的值,并将修正后的ACK(seq7,ack7+delta)发送给目标服务器1004。其中,delta为seq5与seq2的差值。
最后,防护设备1003会对目标服务器1004返回的目标确认报文ACK(seq8,ack8)中的seq8的值进行修正,得到修正后的值,并将修正后的ACK(seq8-delta,ack8)发送给客户端1001。
需要说明的是,导流器会确定目标服务器1004返回的目标确认报文对应的防护设备,也即发送目标报文的防护设备,从而将一条TCP连接上的正反向流量导流给同一台防护设备。
在本实施例的一些可选的实现方式中,导流器还用于:获取目标报文的五元组信息,其中,五元组信息包括:源地址、目标地址、源端口、目标端口和协议类型;生成目标报文的五元组信息对应的哈希值,记为第一哈希值;获取目标确认报文的五元组信息;生成目标确认报文的五元组信息对应的哈希值,记为第二哈希值;基于第一哈希值和第二哈希值,确定目标确认报文对应的防护设备。
在本实现方式中,导流器会获取目标报文的五元组信息,并基于获取的目标报文的五元组信息生成其对应的哈希值,并将其记为第一哈希值。例如可以基于哈希算法分别将五元组信息中的每个信息值映射为固定长度的较小二进制值,然后对五元组异或求得对应的哈希值,从而得到第一哈希值。
然后,导流器再获取目标服务器返回的目标确认报文的五元组信息,再生成目标确认报文的五元组信息对应的哈希值,并将其记为第二哈希值,第二哈希值的生成方法与第一哈希值的生成方法一致。
之后,导流器会基于第一哈希值和第二哈希值,来确定目标确认报文对应的防护设备。由于同一条TCP连接的五元组信息是相同的,且与五元组信息的顺序无关,所以目标报文的第一哈希值与目标确认报文的第二哈希值相同,基于此,导流器可以在生成第二哈希值时,确定与第二哈希值相同的哈希值,也即第一哈希值,从而确定发送目标报文的防护设备,也即目标确认报文对应的防护设备。
通过上述步骤,导流器在不改变服务IP地址的情况下,将一条TCP连接上的正反向流量(即目标报文和目标确认报文)都导流给同一台防护设备。
在本实施例的一些可选的实现方式中,防护设备还用于:获取导流器发送的目标报文以及目标报文的第一确认编号;基于第一确认编号生成第二确认编号,并将目标报文和第二确认编号发送给目标服务器,其中,第二确认编号为第一确认编号与目标数值的和;基于目标服务器返回的目标确认报文的第二序列编号生成第一序列编号,其中,第一序列编号为第二序列编号与目标数值的差;将目标确认报文以及目标确认报文的第一序列编号发送给导流器。
在本实现方式中,防护设备会获取导流器发送的目标报文以及目标报文的第一确认编号;然后基于第一确认编号生成第二确认编号,并将目标报文和第二确认编号发送给目标服务器,这里的第二确认编号为第一确认编号与目标数值的和。目标数值可通过前述实施例中记载的内容计算得到,在此不再赘述。然后,防护设备会基于目标服务器返回的目标确认报文的第二序列编号生成第一序列编号,这里的第一序列编号为第二序列编号与目标数值的差。最后,防护设备会将目标确认报文以及目标确认报文的第一序列编号发送给导流器。
通过上述步骤,防护设备可以对目标报文的确认编号以及目标确认报文的序列编号进行修正,从而可以实现报文数据的正常传输。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
图11示出了可以用来实施本公开的实施例的示例电子设备1100的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图11所示,设备1100包括计算单元1101,其可以根据存储在只读存储器(ROM)1102中的计算机程序或者从存储单元1108加载到随机访问存储器(RAM)1103中的计算机程序,来执行各种适当的动作和处理。在RAM 1103中,还可存储设备1100操作所需的各种程序和数据。计算单元1101、ROM 1102以及RAM 1103通过总线1104彼此相连。输入/输出(I/O)接口1105也连接至总线1104。
设备1100中的多个部件连接至I/O接口1105,包括:输入单元1106,例如键盘、鼠标等;输出单元1107,例如各种类型的显示器、扬声器等;存储单元1108,例如磁盘、光盘等;以及通信单元1109,例如网卡、调制解调器、无线通信收发机等。通信单元1109允许设备1100通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元1101可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元1101的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元1101执行上文所描述的各个方法和处理,例如网络攻击的防护方法。例如,在一些实施例中,网络攻击的防护方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元1108。在一些实施例中,计算机程序的部分或者全部可以经由ROM 1102和/或通信单元1109而被载入和/或安装到设备1100上。当计算机程序加载到RAM 1103并由计算单元1101执行时,可以执行上文描述的网络攻击的防护方法的一个或多个步骤。备选地,在其他实施例中,计算单元1101可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行网络攻击的防护方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
云计算(cloud computer),指的是通过网络接入弹性可扩展的共享物理或虚拟资源池,资源可以包括服务器、操作系统、网络、软件、应用或存储设备等,并可以以按需、自服务的方式对资源进行部署和管理的技术体系。通过云计算技术,可以为人工智能、区块链等技术应用、模型训练提供高效强大的数据处理能力。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以为分布式系统的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。

Claims (22)

1.一种网络攻击的防护方法,包括:
响应于接收到请求连接目标服务器的同步序列编号SYN报文,将所述SYN报文发送给防护设备;
响应于确定所述防护设备已成功建立所述目标服务器与发送所述SYN报文的客户端之间的连接,接收所述客户端发送的目标报文,将所述目标报文通过所述防护设备发送给所述目标服务器;
确定所述目标服务器返回的目标确认报文对应的防护设备,通过对应的防护设备将所述目标确认报文返回给所述客户端。
2.根据权利要求1所述的方法,还包括:
获取所述目标报文的五元组信息,其中,所述五元组信息包括:源地址、目标地址、源端口、目标端口和协议类型;
生成所述目标报文的五元组信息对应的哈希值,记为第一哈希值;以及
所述确定所述目标服务器返回的目标确认报文对应的防护设备,包括:
获取所述目标确认报文的五元组信息;
生成所述目标确认报文的五元组信息对应的哈希值,记为第二哈希值;
基于所述第一哈希值和所述第二哈希值,确定所述目标确认报文对应的防护设备。
3.根据权利要求1所述的方法,还包括:
将所述目标报文的第一确认编号发送给所述防护设备,以使所述防护设备将第二确认编号发送给所述目标服务器,其中,所述第二确认编号为基于所述第一确认编号生成的;
接收所述目标确认报文的第一序列编号,其中,所述第一序列编号为所述防护设备基于所述目标确认报文的第二序列编号生成的;
将所述目标确认报文以及所述目标确认报文的第一序列编号发送给所述客户端。
4.根据权利要求3所述的方法,其中,所述第二确认编号为所述第一确认编号与目标数值的和;所述第一序列编号为所述第二序列编号与所述目标数值的差。
5.根据权利要求4所述的方法,其中,所述目标数值通过以下步骤得到:
获取所述防护设备返回的对于所述SYN报文的第一应答报文的第三序列编号;
获取所述目标服务器返回的对于所述SYN报文的第二应答报文的第四序列编号;
将所述第四序列编号与所述第三序列编号的差值记为所述目标数值。
6.一种网络攻击的防护方法,包括:
接收导流器发送的请求连接目标服务器的SYN报文;
将所述SYN报文的第一应答报文以及所述第一应答报文的第三序列编号和第三确认编号返回给所述导流器;
基于所述导流器发送的确认ACK报文的第五序列编号和第四确认编号,对发送所述SYN报文的客户端的身份进行验证;
响应于确定所述客户端的身份通过验证,建立所述客户端与所述目标服务器之间的连接。
7.根据权利要求6所述的方法,其中,所述基于所述导流器发送的确认ACK报文的第五序列编号和第四确认编号,对发送所述SYN报文的客户端的身份进行验证,包括:
判断所述导流器发送的ACK报文的第四确认编号的值是否与所述第三序列编号和预设数值的和相等;
若相等,则确定发送所述SYN报文的客户端的身份通过验证。
8.根据权利要求6所述的方法,还包括:
获取所述导流器发送的目标报文以及所述目标报文的第一确认编号;
基于所述第一确认编号生成第二确认编号,并将所述目标报文和所述第二确认编号发送给所述目标服务器,其中,所述第二确认编号为所述第一确认编号与目标数值的和;
基于所述目标服务器返回的目标确认报文的第二序列编号生成第一序列编号,其中,所述第一序列编号为所述第二序列编号与所述目标数值的差;
将所述目标确认报文以及所述目标确认报文的第一序列编号发送给所述导流器。
9.一种网络攻击的防护装置,包括:
第一发送模块,被配置成响应于接收到请求连接目标服务器的同步序列编号SYN报文,将所述SYN报文发送给防护设备;
第二发送模块,被配置成响应于确定所述防护设备已成功建立所述目标服务器与发送所述SYN报文的客户端之间的连接,接收所述客户端发送的目标报文,将所述目标报文通过所述防护设备发送给所述目标服务器;
确定模块,被配置成确定所述目标服务器返回的目标确认报文对应的防护设备,通过对应的防护设备将所述目标确认报文返回给所述客户端。
10.根据权利要求9所述的装置,还包括:
第一获取模块,被配置成获取所述目标报文的五元组信息,其中,所述五元组信息包括:源地址、目标地址、源端口、目标端口和协议类型;
第一生成模块,被配置成生成所述目标报文的五元组信息对应的哈希值,记为第一哈希值;以及
所述确定模块包括:
获取子模块,被配置成获取所述目标确认报文的五元组信息;
生成子模块,被配置成生成所述目标确认报文的五元组信息对应的哈希值,记为第二哈希值;
确定子模块,被配置成基于所述第一哈希值和所述第二哈希值,确定所述目标确认报文对应的防护设备。
11.根据权利要求9所述的装置,还包括:
第三发送模块,被配置成将所述目标报文的第一确认编号发送给所述防护设备,以使所述防护设备将第二确认编号发送给所述目标服务器,其中,所述第二确认编号为基于所述第一确认编号生成的;
第一接收模块,被配置成接收所述目标确认报文的第一序列编号,其中,所述第一序列编号为所述防护设备基于所述目标确认报文的第二序列编号生成的;
第四发送模块,被配置成将所述目标确认报文以及所述目标确认报文的第一序列编号发送给所述客户端。
12.根据权利要求11所述的装置,其中,所述第二确认编号为所述第一确认编号与目标数值的和;所述第一序列编号为所述第二序列编号与所述目标数值的差。
13.根据权利要求12所述的装置,还包括:用于生成所述目标数值的第二生成模块,其中,所述第二生成模块被进一步配置成:
获取所述防护设备返回的对于所述SYN报文的第一应答报文的第三序列编号;
获取所述目标服务器返回的对于所述SYN报文的第二应答报文的第四序列编号;
将所述第四序列编号与所述第三序列编号的差值记为所述目标数值。
14.一种网络攻击的防护装置,包括:
第二接收模块,被配置成接收导流器发送的请求连接目标服务器的SYN报文;
返回模块,被配置成将所述SYN报文的第一应答报文以及所述第一应答报文的第三序列编号和第三确认编号返回给所述导流器;
验证模块,被配置成基于所述导流器发送的确认ACK报文的第五序列编号和第四确认编号,对发送所述SYN报文的客户端的身份进行验证;
建立模块,被配置成响应于确定所述客户端的身份通过验证,建立所述客户端与所述目标服务器之间的连接。
15.根据权利要求14所述的装置,其中,所述验证模块被进一步配置成:
判断所述导流器发送的ACK报文的第四确认编号的值是否与所述第三序列编号和预设数值的和相等;
若相等,则确定发送所述SYN报文的客户端的身份通过验证。
16.根据权利要求14所述的装置,还包括:
第二获取模块,被配置成获取所述导流器发送的目标报文以及所述目标报文的第一确认编号;
第五发送模块,被配置成基于所述第一确认编号生成第二确认编号,并将所述目标报文和所述第二确认编号发送给所述目标服务器,其中,所述第二确认编号为所述第一确认编号与目标数值的和;
第三生成模块,被配置成基于所述目标服务器返回的目标确认报文的第二序列编号生成第一序列编号,其中,所述第一序列编号为所述第二序列编号与所述目标数值的差;
第六发送模块,被配置成将所述目标确认报文以及所述目标确认报文的第一序列编号发送给所述导流器。
17.一种网络攻击的防护系统,包括:
客户端,所述客户端用于将请求连接目标服务器的SYN报文以及目标报文发送给导流器;
导流器,所述导流器用于接收所述SYN报文和所述目标报文,将所述SYN报文和所述目标报文发送给防护设备;以及确定所述目标服务器返回的目标确认报文对应的防护设备;
防护设备,所述防护设备用于接收所述SYN报文,基于所述SYN报文建立所述客户端与所述目标服务器之间的连接;以及接收所述目标报文,将所述目标报文发送给所述目标服务器;
目标服务器,所述目标服务器用于接收所述目标报文,以及返回目标确认报文给所述防护设备。
18.根据权利要求17所述的系统,其中,所述导流器还用于:
获取所述目标报文的五元组信息,其中,所述五元组信息包括:源地址、目标地址、源端口、目标端口和协议类型;
生成所述目标报文的五元组信息对应的哈希值,记为第一哈希值;
获取所述目标确认报文的五元组信息;
生成所述目标确认报文的五元组信息对应的哈希值,记为第二哈希值;
基于所述第一哈希值和所述第二哈希值,确定所述目标确认报文对应的防护设备。
19.根据权利要求17所述的系统,其中,所述防护设备还用于:
获取所述导流器发送的目标报文以及所述目标报文的第一确认编号;
基于所述第一确认编号生成第二确认编号,并将所述目标报文和所述第二确认编号发送给所述目标服务器,其中,所述第二确认编号为所述第一确认编号与目标数值的和;
基于所述目标服务器返回的目标确认报文的第二序列编号生成第一序列编号,其中,所述第一序列编号为所述第二序列编号与所述目标数值的差;
将所述目标确认报文以及所述目标确认报文的第一序列编号发送给所述导流器。
20.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-5或6-8中任一项所述的方法。
21.一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行权利要求1-5或6-8中任一项所述的方法。
22.一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现根据权利要求1-5或6-8中任一项所述的方法。
CN202210683563.XA 2022-06-16 2022-06-16 网络攻击的防护方法、装置、设备以及存储介质 Pending CN114844723A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210683563.XA CN114844723A (zh) 2022-06-16 2022-06-16 网络攻击的防护方法、装置、设备以及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210683563.XA CN114844723A (zh) 2022-06-16 2022-06-16 网络攻击的防护方法、装置、设备以及存储介质

Publications (1)

Publication Number Publication Date
CN114844723A true CN114844723A (zh) 2022-08-02

Family

ID=82575232

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210683563.XA Pending CN114844723A (zh) 2022-06-16 2022-06-16 网络攻击的防护方法、装置、设备以及存储介质

Country Status (1)

Country Link
CN (1) CN114844723A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115378764A (zh) * 2022-08-19 2022-11-22 山石网科通信技术股份有限公司 通信方法、装置、存储介质及电子装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110198293A (zh) * 2018-04-08 2019-09-03 腾讯科技(深圳)有限公司 服务器的攻击防护方法、装置、存储介质和电子装置
CN114500021A (zh) * 2022-01-18 2022-05-13 神州绿盟成都科技有限公司 一种攻击检测方法、装置、电子设备及存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110198293A (zh) * 2018-04-08 2019-09-03 腾讯科技(深圳)有限公司 服务器的攻击防护方法、装置、存储介质和电子装置
CN114500021A (zh) * 2022-01-18 2022-05-13 神州绿盟成都科技有限公司 一种攻击检测方法、装置、电子设备及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115378764A (zh) * 2022-08-19 2022-11-22 山石网科通信技术股份有限公司 通信方法、装置、存储介质及电子装置
CN115378764B (zh) * 2022-08-19 2024-04-05 山石网科通信技术股份有限公司 通信方法、装置、存储介质及电子装置

Similar Documents

Publication Publication Date Title
US9635051B2 (en) Detecting and preventing flooding attacks in a network environment
Darwish et al. Cloud-based DDoS attacks and defenses
EP3338396B1 (en) Device and method for establishing connection in load-balancing system
US9350829B2 (en) Transparent bridging of transmission control protocol (TCP) connections
US9288227B2 (en) Systems and methods for transparently monitoring network traffic for denial of service attacks
US20140298466A1 (en) Data Detecting Method and Apparatus for Firewall
CN105516080A (zh) Tcp连接的处理方法、装置及系统
CN110365658B (zh) 一种反射攻击防护与流量清洗方法、装置、设备及介质
US20150067840A1 (en) Method for packet processing, electronic device and storage medium
CN109450766B (zh) 一种工作区级vpn的访问处理方法及装置
CN107800723A (zh) Cc攻击防护方法及设备
CN114844723A (zh) 网络攻击的防护方法、装置、设备以及存储介质
CN114448706A (zh) 一种单包授权方法、装置、电子设备及存储介质
CN110995586A (zh) 一种bgp报文的处理方法、装置、电子设备及存储介质
CN102427452B (zh) 同步报文发送方法、装置和网络设备
EP3059924B1 (en) Devices and methods for performing tcp handshakes
CN117459235A (zh) 面向物联网终端设备的可信控制指令的实现方法
CN114697088A (zh) 一种确定网络攻击的方法、装置及电子设备
Iffländer et al. Addressing Shortcomings of Existing DDoS Protection Software Using Software-Defined Networking
EP3618389B1 (en) Systems and methods for operating a networking device
CN108833418B (zh) 用于防御攻击的方法、装置和系统
US10182071B2 (en) Probabilistic tracking of host characteristics
EP3902222A1 (en) Dr mode protection method and device
CN111049754B (zh) 数据通信方法、装置、设备和计算机可读存储介质
CN115348113B (zh) 一种中间人攻击对抗方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20220802

RJ01 Rejection of invention patent application after publication