CN115720174A - 黑名单例外的设置方法、装置、设备及存储介质 - Google Patents
黑名单例外的设置方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN115720174A CN115720174A CN202211521440.2A CN202211521440A CN115720174A CN 115720174 A CN115720174 A CN 115720174A CN 202211521440 A CN202211521440 A CN 202211521440A CN 115720174 A CN115720174 A CN 115720174A
- Authority
- CN
- China
- Prior art keywords
- address
- client
- server
- public network
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本申请提供一种黑名单例外的设置方法、装置、设备及存储介质,应用于网络安全技术领域,通过响应于检测到服务器向NAT网关发送的携带有第一初始序列号、第二初始序列号、公网IP地址和服务器的IP地址的地址访问响应,记录服务器的第一初始序列号和客户端的第二初始序列号,在响应于检测到NAT网关向客户端发送的携带第三初始序列号、第四初始序列号、公网IP地址和客户端的IP地址的域名访问响应时,查询是否已记录服务器的第三初始序列号和客户端的第四初始序列号,若已记录第三初始序列号和第四初始序列号,则将公网IP地址设置为黑名单例外,降低因误加黑名单影响用户正常业务的风险。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种黑名单例外的设置方法、装置、设备及存储介质。
背景技术
在网络安全技术领域,通常依赖多种检测手段识别网络攻击行为,并采取黑名单的方式如:采取安全策略或访问控制列表(Access Control Lists,简称ACL)的方式对检测出的外部攻击者进行阻断。
例如在如下场景中,通过网络转换地址(Net Address Translation,简称NAT)网关连接局域网和公网,其中,NAT网关上启用源网络转换地址(Source Net AddressTranslation,简称SNAT)功能和目的网络转换地址(Destination Net AddressTranslation,简称DNAT)功能:局域网用户通过SNAT功能访问公网,公网用户通过DNAT功能访问局域网。具体地,当局域网用户访问局域网服务器的公网地址,例如通过域名访问局域网服务器的公网地址时,部署在公网中的公网域名系统(Domain Name System,简称DNS)将域名解析到为NAT网关配置的公网地址池中的一个公网互联网协议(Internet Protocol,简称IP)地址,则上述通过域名访问局域网服务器的公网地址对应的流量访问关系为局域网用户的IP地址(例如192.168.1.1)访问公网IP地址(例如x.x.x.x),当该流量访问关系被转发至NAT网关时,NAT网关根据SNAT功能和DNAT功能,将该流量访问关系转换为公网IP地址(例如x.x.x.x)访问局域网服务器的IP地址(例如y.y.y.y)。
上述访问过程中,网络管理员从局域网用户的位置通过公网地址向局域网服务器发起漏洞扫描时,公网中部署的安全检测设备可以检测到公网IP地址为x.x.x.x的“外部攻击者”对IP地址为y.y.y.y的局域网服务器发起网络攻击,并将x.x.x.x这一公网IP地址加入黑名单后发送给公网中部署的安全响应设备,通过安全响应设备基于黑名单阻断源自x.x.x.x的访问请求,造成所有的局域网用户均无法访问IP地址为y.y.y.y的局域网服务器,正常业务受损。
由于安全检测的误报在实践中难以避免,因此在执行添加黑名单之前,通常需要对黑名单进行过滤,排除一些用户自身业务地址,以减少因误加黑名单影响用户正常业务的风险。
相关技术中,通过手动在安全设备(包括安全检测设备和安全响应设备)上配置黑名单过滤条件,将NAT网关对应的公网地址池中的地址设为黑名单例外,但网络业务和安全设备部署之间存在耦合,当局域网用户的IP地址发生变化时,此方案对黑名单例外的设置失效。
发明内容
本申请实施例提供一种黑名单例外的设置方法、装置、设备及存储介质,用以解决在网络安全检测中因误加黑名单影响用户正常业务的问题。
第一方面,本申请实施例提供一种黑名单例外的设置方法,应用于安全设备,该安全设备部署在NAT网关和局域网之间,局域网中包括服务器和客户端,设置方法包括:响应于检测到服务器向NAT网关发送的地址访问响应,记录服务器的第一初始序列号和客户端的第二初始序列号,其中,地址访问响应是服务器响应于地址访问请求向客户端发送的,地址访问响应中携带有第一初始序列号、第二初始序列号、公网IP地址和服务器的IP地址,地址访问请求是域名访问请求经NAT网关进行地址转换得到的,域名访问请求用于请求建立客户端和服务器之间的通信连接,公网IP地址为NAT网关对应的公网地址池中的公网IP地址;响应于检测到NAT网关向客户端发送的域名访问响应,查询是否已记录服务器的第三初始序列号和客户端的第四初始序列号,其中,域名访问响应是地址访问响应经NAT网关进行地址转换得到的,域名访问响应中携带第三初始序列号、第四初始序列号、公网IP地址和客户端的IP地址;若已记录第三初始序列号和第四初始序列号,则将公网IP地址设置为黑名单例外。
一种可能的实现方式中,该设置方法还包括:若未记录第三初始序列号,和/或,未记录第四初始序列号,则将公网IP地址不设置为黑名单例外。
一种可能的实现方式中,域名访问请求和地址访问响应的报文结构是基于传输控制协议(Transmission Control Protocol,简称TCP)的。
一种可能的实现方式中,NAT网关对应的公网地址池中的公网IP地址是根据客户端的IP地址确定的。
第二方面,本申请提供一种黑名单例外的设置装置,应用于安全设备,该安全设备部署在NAT网关和局域网之间,局域网中包括服务器和客户端,设置装置包括:记录模块,用于响应于检测到服务器向NAT网关发送的地址访问响应,记录服务器的第一初始序列号和客户端的第二初始序列号,其中,地址访问响应是服务器响应于地址访问请求向客户端发送的,地址访问响应中携带有第一初始序列号、第二初始序列号、公网IP地址和服务器的IP地址,地址访问请求是域名访问请求经NAT网关进行地址转换得到的,域名访问请求用于请求建立客户端和服务器之间的通信连接,公网IP地址为NAT网关对应的公网地址池中的公网IP地址;查询模块,用于响应于检测到NAT网关向客户端发送的域名访问响应,查询是否已记录服务器的第三初始序列号和客户端的第四初始序列号,其中,域名访问响应是地址访问响应经NAT网关进行地址转换得到的,域名访问响应中携带第三初始序列号、第四初始序列号、公网IP地址和客户端的IP地址;设置模块,用于在已记录第三初始序列号和第四初始序列号时,将公网IP地址设置为黑名单例外。
一种可能的实现方式中,设置模块还可以用于:在未记录第三初始序列号,和/或,未记录第四初始序列号时,将公网IP地址不设置为黑名单例外。
一种可能的实现方式中,域名访问请求和地址访问响应的报文结构是基于TCP的。
一种可能的实现方式中,NAT网关对应的公网地址池中的公网IP地址是根据客户端的IP地址确定的。
第三方面,本申请提供一种网络安全检测系统,包括:NAT网关以及安全设备;
其中,NAT网关,用于连接局域网和公网,该NAT网关具有源网络地址转换功能和目的网络地址转换功能;安全设备,用于执行本申请第一方面提供的黑名单例外的设置方法。
一种可能的实现方式中,安全设备包括安全检测设备和安全响应设备;
其中,安全检测设备,用于检测网络攻击行为,并将网络攻击行为对应的IP地址添加至黑名单,并向安全响应设备发送黑名单;安全响应设备,用于基于黑名单执行访问阻断操作。
第四方面,本申请提供一种通信系统,包括:本申请第三方面提供的网络安全检测系统;客户端和服务器。
第五方面,本申请提供一种安全设备,包括:至少一个处理器;以及与至少一个处理器连接的存储器;其中,存储器用于存储至少一个处理器可执行的指令,该指令被至少一个处理器执行,以使至少一个处理器能够执行第一方面提供的黑名单例外的设置方法。
第六方面,本申请提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机执行指令,计算机执行指令被执行时用于实现第一方面提供的黑名单例外的设置方法。
第七方面,本申请提供一种程序产品,该程序产品包含计算机执行指令。当计算机执行指令被执行时,以实现第一方面提供的黑名单例外的设置方法。
本申请提供一种黑名单例外的设置方法、装置、设备及存储介质,通过响应于检测到服务器向NAT网关发送的携带有第一初始序列号、第二初始序列号、公网IP地址和服务器的IP地址的地址访问响应,记录服务器的第一初始序列号和客户端的第二初始序列号,在响应于检测到NAT网关向客户端发送的携带第三初始序列号、第四初始序列号、公网IP地址和客户端的IP地址的域名访问响应时,查询是否已记录服务器的第三初始序列号和客户端的第四初始序列号,若已记录第三初始序列号和第四初始序列号,则将公网IP地址设置为黑名单例外,其中,地址访问响应是服务器响应于地址访问请求向客户端发送的,地址访问请求是域名访问请求经NAT网关进行地址转换得到的,域名访问请求用于请求建立客户端和服务器之间的通信连接,域名访问响应是地址访问响应经NAT网关进行地址转换得到的,公网IP地址为NAT网关对应的公网地址池中的公网IP地址。本申请中,通过检测域名访问响应中携带的第三初始序列号和第四初始序列号,分别与地址访问响应中携带的第一初始序列号和第二初始序列号是否相同,基于双向初始序列号是否重复出现检测NAT网关地址池中的公网IP地址是否为客户端对应的网络出口地址,并将检测到的客户端对应的网络出口地址设置为黑名单例外,该设置方法无需人工配置,不受NAT网关对应的地址池的影响,且无需与互联网联动,对客户端原有的网络结构无影响,可以有效的降低因误加黑名单影响用户正常业务的风险。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请实施例提供的应用场景的结构示意图;
图2为本申请一实施例提供的黑名单例外的设置方法的流程图;
图3为本申请实施例提供的基于TCP建立客户端和服务器之间通信连接的流程示意图;
图4为本申请实施例提供的NAT网关的工作机制的结构示意图;
图5为本申请实施例提供的TCP的报文结构的示意图;
图6为本申请一实施例提供的黑名单例外的设置装置的结构示意图;
图7为本申请一实施例提供的安全设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
首先对本申请实施例中涉及的网元以及其功能进行解释说明:
局域网用户主机:网络访问的客户机,在用户站点内通过服务器的公网地址访问服务器;
服务器:部署在用户站点中,提供基于TCP协议的网络服务,并通过NAT网关的DNAT功能将服务映射到互联网;
NAT网关:连接用户站点的局域网和互联网,该NAT网关提供SNAT功能,使用户站点内部的主机可访问互联网,同时该网关提供DNAT功能,将服务器上的服务映射到互联网,使用户站点外部的访问者可以访问服务。
安全检测设备:通过检查网络流量来识别攻击行为,并向安全响应设备发送检测到的黑名单;
安全响应设备:接受安全检测设备下发的黑名单,并执行阻断。
相关技术中,还可以通过由安全厂商在公网中部署一个公共服务,由局域网中的安全设备(包括安全检测设备和安全响应设备)主动向该公共服务发起访问,在服务端可以检测到访问的源IP地址,此IP地址为用户站点的出口地址,服务器将此IP地址反馈给安全设备,安全设备据此感知到局域网的出口地址,以此建立黑名单过滤规则,将感知到的出口地址设为黑名单例外,规避上述场景中误添加的黑名单的情况,降低对正常业务的影响。但该方案一方面,要求安全设备可以主动访问互联网,该要求实际应用中难以实现,且需要对已有网络进行整改,另一方面,NAT网关可能对安全设备和局域网用户使用不同的地址池,使安全设备感知到的出口地址与安全设备检测到的具有网络攻击行为的源IP地址不同,黑名单过滤机制无法拦截误加黑名单的操作,造成正常业务受损。
基于相关技术中存在的问题,本申请通过检测域名访问响应中携带的第三初始序列号和第四初始序列号,分别与地址访问响应中携带的第一初始序列号和第二初始序列号是否相同,基于双向初始序列号是否重复出现,检测NAT网关地址池中的公网IP地址是否为客户端对应的网络出口地址,并将检测到的客户端对应的网络出口地址设置为黑名单例外,该设置方法无需人工配置,不受NAT网关地址池的影响且无需与互联网联动,对客户端原有的网络结构无影响,可以有效的降低因误加黑名单影响用户正常业务的风险。
为了便于理解,首先对本申请实施例的应用场景进行介绍。
图1为本申请实施例提供的应用场景的结构示意图。如图1所示,本申请实施例提供的应用场景包括局域网11、公网12、NAT网关13、客户端14、服务器15以及安全设备16。其中,局域网11和公网12通过NAT网关13连接,NAT网关13上启用SNAT功能和DNAT功能,安全设备16可以包括安全检测设备和安全响应设备。具体的,安全设备16可以部署在NAT网关13和局域网11之间。示例性的,公网12可以为互联网(internet),客户端14可以为局域网11内的本地用户,服务器15可以为局域网11内的服务器。
图中带箭头的虚线表示客户端14通过域名访问服务器15的访问路径。具体的,客户端14通过域名访问服务器15时,部署在公网12中的公网DNS将域名解析到为NAT网关13配置的公网地址池中的一个公网IP地址,将客户端14通过域名访问服务器15的公网地址对应的流量访问关系为客户端14的IP地址(例如192.168.1.1)访问公网IP地址(例如x.x.x.x),当该流量访问关系被转发至NAT网关13时,NAT网关13根据SNAT功能和DNAT功能,将该流量访问关系转换为公网IP地址(例如x.x.x.x)访问服务器15的IP地址(例如y.y.y.y)。在上述访问过程中,基于TCP连接,安全设备16对服务器15向客户端14发送的域名访问响应时携带的客户端14的初始序列号(Initial Sequence Number,简称ISN)和服务器15的ISN进行检测,并将检测到的NAT网关对应的公网地址池中的公网IP地址设置为黑名单例外,降低因误加黑名单影响用户正常业务的风险。
基于上述应用场景,以安全设备为执行主体,下面通过具体的实施例对本申请提供的黑名单例外的设置方法进行详细的说明。
图2为本申请一实施例提供的黑名单例外的设置方法的流程图。如图2所示,该黑名单例外的设置方法可以包括以下步骤:
S201,响应于检测到服务器向NAT网关发送的地址访问响应,记录服务器的第一初始序列号和客户端的第二初始序列号,其中,地址访问响应是服务器响应于地址访问请求向客户端发送的,地址访问响应中携带有第一初始序列号、第二初始序列号、公网IP地址和服务器的IP地址,地址访问请求是域名访问请求经NAT网关进行地址转换得到的,域名访问请求用于请求建立客户端和服务器之间的通信连接,公网IP地址为NAT网关对应的公网地址池中的公网IP地址。
首先对域名访问请求的含义及过程进行详细说明。
可选地,域名访问请求用于请求建立客户端和服务器之间的通信连接。具体的,该通信连接可以基于TCP连接。TCP是一种面向连接的、可靠的、基于字节流的传输层通信协议,由国际互联网工程任务组(The Internet Engineering Task Force,简称IETF)的请求评论(Request For Comments,简称RFC)793定义。TCP广泛用于网络通信领域,许多应用均承载于TCP之上。
下面对基于TCP连接的建立过程进行解释说明。TCP通过一种称为“TCP握手“的报文交互过程来建立连接关系,同时在握手报文中携带了双方的ISN。图3为本申请实施例提供的基于TCP建立客户端和服务器之间通信连接的流程示意图。如图3所示,基于TCP建立客户端和服务器之间通信连接包括以下“三次握手”:
(1)客户端向服务器发送第一同步序列编号(Synchronize Sequence Numbers,简称SYN)报文,该SYN报文中包含客户端的ISN;
(2)服务器在接收到来自客户端发送的SYN报文后,以自己的SYN报文作为响应,并将该SYN报文发送给客户端,同时将客户端的ISN+1作为确认字符(Acknowledgecharacter,简称ACK)的值发送给客户端,即服务器向客户端发送SYN-ACK报文,其中,SYN报文中包含服务器的ISN,ACK用于表示服务器收到了客户端的SYN报文;
(3)客户端接收到服务器的SYN-ACK报文后,向服务器发送ACK报文,表示客户端收到了服务器的SYN-ACK报文,其中,ACK的值可以为服务器的ISN+1;
在上述“三次握手”中,SYN报文是TCP握手的第一个报文,SYN字段被置位,同时其序列号字段中的值即是客户端的ISN,SYN-ACK报文是TCP握手的第二个报文,SYN字段和ACK字段被置位,同时其序列号字段中的值是服务端的ISN,ACK报文是TCP握手的第三个报文,ACK字段置位,完成上述“三次握手”后,表示客户端和服务器之间建立了通信连接。
示例性的,域名访问请求可以为客户端发送的SYN报文,该报文中携带有客户端的ISN。
可选地,ISN的生成具有随机性。示例性的,RFC 793建议ISN的生成方式为使ISN根据协议栈时间每4微秒递增1,以减少ISN重复的几率;RFC6528建议可使用对本地IP、本地端口、对端IP、对端端口以及一个密钥执行伪随机数函数得到ISN。基于上述ISN的生成方式,可以理解的是,ISN值在不同主机之间无任何联系,具有随机性,且取值空间巨大(一个TCP连接双方ISN长度为64位),因此可以用双向的ISN来标识一个TCP连接。
下面对地址访问请求的含义及过程进行详细说明。
可选地,地址访问请求是是域名访问请求经NAT网关进行地址转换得到的,即域名访问请求经过NAT网关时,通过该NAT网关的SNAT和DNAT转换,将域名访问请求对应的访问关系转换为公网IP地址访问服务器的IP地址。示例性的,服务器的IP地址可以为服务器的主机地址。
可选地,NAT网关上开启SNAT功能和DNAT功能。具体的,SNAT功能可以将局域网的IP地址转换为公网IP地址,使局域网可以访问公网,示例性,可以使局域网内部用户的主机访问互联网;DNAT功能可以将公网IP地址转换为局域网的IP地址,将服务器上的服务映射到互联网,使局域网外部的用户可以访问互联网。
下面对NAT网关的工作机制进行解释说明。图4为本申请实施例提供的NAT网关的工作机制的结构示意图。如图4所示,局域网中的客户端41(IP地址为192.168.xx)通过域名访问服务器42时,当该域名访问请求经过NAT网关时,根据SNAT功能和DNAT功能,将IP地址192.168.xx转换为NAT网关对应的公网地址池中的一个公网IP地址(12.34.xx.yy),使得该域名访问请求的源地址转换为12.34.xx.yy,并将该域名访问请求转换为12.34.xx.yy访问服务器42的IP地址(12.34.zz.zz)。示例性的,地址访问请求对应的访问关系可以为上述的12.34.xx.yy访问12.34.zz.zz。
基于上述域名访问请求和地址访问请求,可以理解的是,地址访问响应是服务器响应于地址访问请求经NAT网关向客户端发送的。即服务器将该响应先发送给NAT网关,再通过NAT网关发送给客户端。
可选地,地址访问响应可以为服务器向NAT网关发送的SYN-ACK报文。
可选地,第一初始序列号和第二初始序列号可以记录在初始序列号记录表中。具体的,该初始序列号记录表可以设置在安全设备中。示例性的,初始序列号记录表可以为记录双向ISN的ISN记录表。其中,双向ISN即可以分别表示上述客户端向服务器发送的客户端的ISN,和服务器向客户端发送的服务器的ISN。
可选地,第一初始序列号可以为上述SYN-ACK报文中服务器的ISN,第二初始序列号可以为上述SYN-ACK报文中客户端的ISN。可选地,第二初始序列号可以为上述SYN-ACK报文中客户端的ISN+1,即ACK报文的值。
一种可能的实现方式中,通过解码SYN-ACK报文可以得到服务器的ISN以及ACK的值,ACK的值为客户端的ISN+1。可选地,安全设备中可以部署有解码器。
可选地,NAT网关对应的公网地址池中可以包括至少一个公网IP地址。
一种可能的实现方式中,公网IP地址可以是由部署在公网中的DNS通过对服务器的域名进行解析后随机分配的。
可选地,服务器的IP地址可以为服务器的主机地址。
S202,响应于检测到NAT网关向客户端发送的域名访问响应,查询是否已记录服务器的第三初始序列号和客户端的第四初始序列号,其中,域名访问响应是地址访问响应经NAT网关进行地址转换得到的,域名访问响应中携带第三初始序列号、第四初始序列号、公网IP地址和客户端的IP地址。
可选地,域名访问响应可以为NAT网关向客户端发送的SYN-ACK报文。
可以理解的是,经过NAT网关时,根据上述基于TCP,建立客户端和服务器之间的通信连接时,客户端接收到的来自服务器的ISN不变,因此,域名访问响应中携带的第三初始序列号应与地址访问响应中携带的第一初始序列号相同,域名访问响应中携带的第四初始序列号应与地址访问响应中携带的第二初始序列号相同,均为服务器的ISN和客户端的ISN。
可选地,第四初始序列号和第二初始序列号也可以为客户端的ISN+1。
可选地,客户端的IP地址可以为客户端的主机地址。
S203,若已记录第三初始序列号和第四初始序列号,则将公网IP地址设置为黑名单例外。
可选地,若初始序列号记录表中已记录第三初始序列号和第四初始序列号,说明客户端接收到了来自服务器的响应,即客户端与服务器基于TCP建立通信连接时,存在双向的ISN即客户端的ISN和服务器的ISN,进一步说明经过NAT网关的地址转换后得到的公网IP地址为客户端所在局域网的出口地址,则将公网IP地址设置为黑名单例外,以确保局域网内用户正常业务不受影响。
本申请实施例中,通过响应于检测到服务器向NAT网关发送的携带有第一初始序列号、第二初始序列号、公网IP地址和服务器的IP地址的地址访问响应,记录服务器的第一初始序列号和客户端的第二初始序列号,在响应于检测到NAT网关向客户端发送的携带第三初始序列号、第四初始序列号、公网IP地址和客户端的IP地址的域名访问响应时,查询是否已记录服务器的第三初始序列号和客户端的第四初始序列号,若已记录第三初始序列号和第四初始序列号,则将公网IP地址设置为黑名单例外,其中,地址访问响应是服务器响应于地址访问请求向客户端发送的,地址访问请求是域名访问请求经NAT网关进行地址转换得到的,域名访问请求用于请求建立客户端和服务器之间的通信连接,域名访问响应是地址访问响应经NAT网关进行地址转换得到的,公网IP地址为NAT网关对应的公网地址池中的公网IP地址。本申请中,通过检测域名访问响应中携带的第三初始序列号和第四初始序列号,分别与地址访问响应中携带的第一初始序列号和第二初始序列号是否相同,基于双向初始序列号是否重复出现检测NAT网关地址池中的公网IP地址是否为客户端对应的网络出口地址,并将检测到的客户端对应的网络出口地址设置为黑名单例外,该设置方法无需人工配置,不受NAT网关对应的地址池的影响,且无需与互联网联动,对客户端原有的网络结构无影响,可以有效的降低因误加黑名单影响用户正常业务的风险。
在上述实施例的基础上,该黑名单例外的设置方法还可以包括:若未记录第三初始序列号,和/或,未记录第四初始序列号,则将公网IP地址不设置为黑名单例外。可选地,当初始序列号记录表中未记录第三初始序列号,和/或,初始序列号记录表中未记录第四初始序列号时,可以将第三初始序列号和第四初始序列号记录在双向初始序列号记录表中。
一些实施例中,上述域名访问请求和地址访问响应的报文结构是基于TCP的。具体的,报文结构可以为上述的SYN报文。图5为本申请实施例提供的TCP的报文结构的示意图。如图5所示,该报文结构中包括如下字段:源端口(Source port)、目的端口(Destinationport)、序列号(sequence number)字段、确认序列号(Acknowledgement number)、数据偏移(Data offset)、标志位、接收缓冲区的空闲空间(Window)、校验和(Checksum)以及紧急指针(Urgent Pointers)。具体的,序列号字段指出了TCP报文数据字段在整个TCP连接中的序列号;标志位包括紧急位(Urgent,简称URG)、ACK、SYN、复位(Reset the connection,简称RST)以及FIN(Finish),其中,URG表示Urgent Pointer字段有意义,ACK表示Acknowledgment Number字段有意义,PSH表示Push功能,RST表示复位TCP连接,SYN表示SYN报文,(在建立TCP连接的时候使用)。示例性的,ACK字段置位则表示报文发送方确认收到对方发送的数据,SYN字段置位则表示该TCP报文发送方发起了一个数据流的传输,如果SYN字段被置位,则序列号字段就成为了ISN。
一些实施例中,NAT网关对应的公网地址池中的公网IP地址是根据客户端的IP地址确定的。具体的,该公网地址池中的公网IP地址可以包括一个,也可以包括多个。
需要说明的是,上述本申请实施例提供的黑名单例外的设置方法是通过对客户端与服务器建立连接时的SYN-ACK报文进行记录和检测实现的。本领域技术人员可以显而易见的是,上述本申请实施例提供的黑名单例外的设置方法也可以通过分别对客户端与服务器建立连接时的SYN报文和SYN-ACK报文进行记录和检测来实现。本申请实施例对客户端与服务器基于TCP建立连接时记录和检测的报文不做限定。
下述为本申请装置实施例,可以用于执行本申请方法实施例。对于本申请装置实施例中未披露的细节,请参照本申请方法实施例。
图6为本申请一实施例提供的黑名单例外的设置装置的结构示意图。如图6所示,该黑名单例外的设置装置60包括:记录模块610,查询模块620以及设置模块630。
其中,记录模块610,用于响应于检测到服务器向NAT网关发送的地址访问响应,记录服务器的第一初始序列号和客户端的第二初始序列号,其中,地址访问响应是服务器响应于地址访问请求向客户端发送的,地址访问响应中携带有第一初始序列号、第二初始序列号、公网IP地址和服务器的IP地址,地址访问请求是域名访问请求经NAT网关进行地址转换得到的,域名访问请求用于请求建立客户端和服务器之间的通信连接,公网IP地址为NAT网关对应的公网地址池中的公网IP地址;查询模块620,用于响应于检测到NAT网关向客户端发送的域名访问响应,查询是否已记录服务器的第三初始序列号和客户端的第四初始序列号,其中,域名访问响应是地址访问响应经NAT网关进行地址转换得到的,域名访问响应中携带第三初始序列号、第四初始序列号、公网IP地址和客户端的IP地址;设置模块630,用于在已记录第三初始序列号和第四初始序列号时,将公网IP地址设置为黑名单例外。
一种可能的实现方式中,设置模块630还可以用于:在未记录第三初始序列号,和/或,未记录第四初始序列号时,将公网IP地址不设置为黑名单例外。
一种可能的实现方式中,域名访问请求和地址访问响应的报文结构是基于传输控制协议TCP的。
一种可能的实现方式中,NAT网关对应的公网地址池中的公网IP地址是根据客户端的IP地址确定的。
本申请实施例提供的装置,可用于执行上述方法实施例提供的方法步骤,其实现原理和技术效果类似,在此不再赘述。
需要说明的是,应理解以上装置的各个模块的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现;也可以全部以硬件的形式实现;还可以部分模块通过处理元件调用软件的形式实现,部分模块通过硬件的形式实现。例如,处理模块可以为单独设立的处理元件,也可以集成在上述装置的某一个芯片中实现,此外,也可以以程序代码的形式存储于上述装置的存储器中,由上述装置的某一个处理元件调用并执行以上处理模块的功能。其它模块的实现与之类似。此外这些模块全部或部分可以集成在一起,也可以独立实现。这里的处理元件可以是一种集成电路,具有信号的处理能力。在实现过程中,上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。
例如,以上这些模块可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(Application Specific Integrated Circuit,简称ASIC),或,一个或多个微处理器(Digital Signal Processor,简称DSP),或,一个或者多个现场可编程逻辑门阵列(Field Programmable Gate Array,简称FPGA)等。再如,当以上某个模块通过处理元件调度程序代码的形式实现时,该处理元件可以是通用处理器,例如中央处理器(Central Processing Unit,简称CPU)或其它可以调用程序代码的处理器。再如,这些模块可以集成在一起,以片上系统(System-On-a-Chip,简称SOC)的形式实现。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机指令时,全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(Digital SubscriberLine,简称DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,数字通用光盘,(Digital Video Disc,简称DVD))、或者半导体介质(例如固态硬盘solid state disk(SSD))等。
图7为本申请一实施例提供的安全设备的结构示意图。如图7所示,该安全设备70包括:至少一个处理器710、存储器720、通信接口730和系统总线740。其中,存储器720和通信接口730通过系统总线740与处理器710连接并完成相互间的通信,存储器720用于存储指令,通信接口730用于和其他设备进行通信,处理器710用于调用存储器中的指令以执行如上述方法实施例提供的方法步骤,具体实现方式和技术效果类似,这里不再赘述。
该图7中提到的系统总线740可以是外设部件互连标准(Peripheral ComponentInterconnect,简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,简称EISA)总线等。该系统总线740可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口730用于实现数据库访问装置与其他设备(例如客户端、读写库和只读库)之间的通信,示例性的,该通信接口可以为网络接口,用于实现服务器和局域网之间的通信。
存储器720可能包含随机存取存储器(Random Access Memory,简称RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。具体的,存储器720中指令可以存储在操作系统和程序代码中等。
处理器710可以是通用处理器,包括中央处理器、网络处理器(NetworkProcessor,简称NP)等;数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现场可编程逻辑门阵列(Field Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本申请实施例还提供一种网络安全检测系统,包括:NAT网关以及安全设备;其中,NAT网关,用于连接局域网和公网,该NAT网关具有源网络地址转换功能和目的网络地址转换功能;安全设备,用于执行上述方法实施例中的方法步骤,具体实现方式和技术效果类似,这里不再赘述。本申请实施例提供的网络安全检测系统,可以参考图1,这里不再赘述。
一种可能的实现方式中,安全设备包括安全检测设备和安全响应设备;
其中,安全检测设备,用于检测网络攻击行为,并将网络攻击行为对应的IP地址添加至黑名单,并向安全响应设备发送黑名单;安全响应设备,用于基于黑名单执行访问阻断操作。
本申请实施例提供一种通信系统,包括:本申请实施例提供的网络安全检测系统,客户端和服务器。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,计算机执行指令被处理器执行时用于实现如上述方法实施例中的方法步骤,具体实现方式和技术效果类似,这里不再赘述。
本申请实施例还提供一种程序产品,该程序产品包含计算机执行指令。当计算机执行指令被执行时,以实现如上述方法实施例中的方法步骤,具体实现方式和技术效果类似,这里不再赘述。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到发明的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求书指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,并且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准,并提供有相应的操作入口,供用户选择授权或者拒绝。
Claims (10)
1.一种黑名单例外的设置方法,其特征在于,应用于安全设备,所述安全设备部署在网络地址转换NAT网关和局域网之间,所述局域网中包括服务器和客户端,所述设置方法包括:
响应于检测到所述服务器向所述NAT网关发送的地址访问响应,记录所述服务器的第一初始序列号和客户端的第二初始序列号,其中,所述地址访问响应是所述服务器响应于地址访问请求向所述客户端发送的,所述地址访问响应中携带有第一初始序列号、第二初始序列号、公网IP地址和所述服务器的IP地址,所述地址访问请求是域名访问请求经NAT网关进行地址转换得到的,所述域名访问请求用于请求建立所述客户端和所述服务器之间的通信连接,所述公网IP地址为所述NAT网关对应的公网地址池中的公网IP地址;
响应于检测到所述NAT网关向所述客户端发送的域名访问响应,查询是否已记录所述服务器的第三初始序列号和所述客户端的第四初始序列号,其中,所述域名访问响应是所述地址访问响应经所述NAT网关进行地址转换得到的,所述域名访问响应中携带所述第三初始序列号、所述第四初始序列号、所述公网IP地址和所述客户端的IP地址;
若已记录所述第三初始序列号和所述第四初始序列号,则将所述公网IP地址设置为黑名单例外。
2.根据权利要求1所述的设置方法,其特征在于,还包括:若未记录所述第三初始序列号,和/或,未记录所述第四初始序列号,则将所述公网IP地址不设置为黑名单例外。
3.根据权利要求1或2所述的设置方法,其特征在于,所述域名访问请求和所述地址访问响应的报文结构是基于传输控制协议TCP的。
4.根据权利要求1或2所述的设置方法,其特征在于,所述NAT网关对应的公网地址池中的公网IP地址是根据所述客户端的IP地址确定的。
5.一种网络安全检测系统,其特征在于,包括:网络地址转换NAT网关以及安全设备;
所述NAT网关,用于连接局域网和公网,所述NAT网关具有源网络地址转换功能和目的网络地址转换功能;
所述安全设备,用于执行如权利要求1至4中任一项所述的黑名单例外的设置方法。
6.根据权利要求5所述的网络安全检测系统,其特征在于,所述安全设备包括安全检测设备和安全响应设备;
所述安全检测设备,用于检测网络攻击行为,并将所述网络攻击行为对应的IP地址添加至黑名单,并向所述安全响应设备发送黑名单;
所述安全响应设备,用于基于黑名单执行访问阻断操作。
7.一种通信系统,其特征在于,包括:
如权利要求5或6所述的网络安全检测系统;
客户端和服务器。
8.一种黑名单例外的设置装置,其特征在于,应用于安全设备,所述安全设备部署在网络地址转换NAT网关和局域网之间,所述局域网中包括服务器和客户端,所述设置装置包括:
记录模块,用于响应于检测到所述服务器向所述NAT网关发送的地址访问响应,记录所述服务器的第一初始序列号和客户端的第二初始序列号,其中,所述地址访问响应是所述服务器响应于地址访问请求向所述客户端发送的,所述地址访问响应中携带有第一初始序列号、第二初始序列号、公网IP地址和所述服务器的IP地址,所述地址访问请求是域名访问请求经NAT网关进行地址转换得到的,所述域名访问请求用于请求建立所述客户端和所述服务器之间的通信连接,所述公网IP地址为所述NAT网关对应的公网地址池中的公网IP地址;
查询模块,用于响应于检测到所述NAT网关向所述客户端发送的域名访问响应,查询是否已记录所述服务器的第三初始序列号和所述客户端的第四初始序列号,其中,所述域名访问响应是所述地址访问响应经所述NAT网关进行地址转换得到的,所述域名访问响应中携带所述第三初始序列号、所述第四初始序列号、所述公网IP地址和所述客户端的IP地址;
设置模块,用于在已记录所述第三初始序列号和所述第四初始序列号时,将所述公网IP地址设置为黑名单例外。
9.一种安全设备,其特征在于,包括
至少一个处理器;
以及与所述至少一个处理器通信连接的存储器;
其中,所述存储器用于存储所述至少一个处理器可执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1至4中任一项所述的黑名单例外的设置方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1至4中任一项所述的黑名单例外的设置方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211521440.2A CN115720174B (zh) | 2022-11-30 | 2022-11-30 | 黑名单例外的设置方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211521440.2A CN115720174B (zh) | 2022-11-30 | 2022-11-30 | 黑名单例外的设置方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115720174A true CN115720174A (zh) | 2023-02-28 |
CN115720174B CN115720174B (zh) | 2023-05-23 |
Family
ID=85257310
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211521440.2A Active CN115720174B (zh) | 2022-11-30 | 2022-11-30 | 黑名单例外的设置方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115720174B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090319776A1 (en) * | 2008-05-16 | 2009-12-24 | Lloyd Leon Burch | Techniques for secure network communication |
CN102299978A (zh) * | 2011-09-23 | 2011-12-28 | 上海西默通信技术有限公司 | Dns域名系统中的加黑名单过滤重定向方法 |
CN103491061A (zh) * | 2012-06-13 | 2014-01-01 | 华为技术有限公司 | 缓解攻击方法、序列号提供方法及设备 |
CN110572438A (zh) * | 2019-08-14 | 2019-12-13 | 北京天融信网络安全技术有限公司 | 一种网络连接建立方法、装置、网络设备和存储介质 |
CN111431871A (zh) * | 2020-03-10 | 2020-07-17 | 杭州迪普科技股份有限公司 | Tcp半透明代理的处理方法和装置 |
CN112311722A (zh) * | 2019-07-26 | 2021-02-02 | 中国移动通信有限公司研究院 | 一种访问控制方法、装置、设备及计算机可读存储介质 |
CN114390049A (zh) * | 2021-12-29 | 2022-04-22 | 中国电信股份有限公司 | 一种应用数据获取方法及装置 |
-
2022
- 2022-11-30 CN CN202211521440.2A patent/CN115720174B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090319776A1 (en) * | 2008-05-16 | 2009-12-24 | Lloyd Leon Burch | Techniques for secure network communication |
CN102299978A (zh) * | 2011-09-23 | 2011-12-28 | 上海西默通信技术有限公司 | Dns域名系统中的加黑名单过滤重定向方法 |
CN103491061A (zh) * | 2012-06-13 | 2014-01-01 | 华为技术有限公司 | 缓解攻击方法、序列号提供方法及设备 |
CN112311722A (zh) * | 2019-07-26 | 2021-02-02 | 中国移动通信有限公司研究院 | 一种访问控制方法、装置、设备及计算机可读存储介质 |
CN110572438A (zh) * | 2019-08-14 | 2019-12-13 | 北京天融信网络安全技术有限公司 | 一种网络连接建立方法、装置、网络设备和存储介质 |
CN111431871A (zh) * | 2020-03-10 | 2020-07-17 | 杭州迪普科技股份有限公司 | Tcp半透明代理的处理方法和装置 |
CN114390049A (zh) * | 2021-12-29 | 2022-04-22 | 中国电信股份有限公司 | 一种应用数据获取方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN115720174B (zh) | 2023-05-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101054705B1 (ko) | 위조 발생지 어드레스를 가진 포트 스캔을 탐지하기 위한 방법 및 장치 | |
US7734776B2 (en) | Automatically detecting malicious computer network reconnaissance by updating state codes in a histogram | |
CN105430011B (zh) | 一种检测分布式拒绝服务攻击的方法和装置 | |
EP3200434A2 (en) | Domain name resolution | |
US20100235917A1 (en) | System and method for detecting server vulnerability | |
US9860272B2 (en) | System and method for detection of targeted attack based on information from multiple sources | |
JP2007124064A (ja) | 機器検疫方法、および、検疫ネットワークシステム | |
CN108632221B (zh) | 定位内网中的受控主机的方法、设备及系统 | |
US20210112093A1 (en) | Measuring address resolution protocol spoofing success | |
Prigent et al. | IpMorph: fingerprinting spoofing unification | |
US10097418B2 (en) | Discovering network nodes | |
CN112383559B (zh) | 地址解析协议攻击的防护方法及装置 | |
CN115720174B (zh) | 黑名单例外的设置方法、装置、设备及存储介质 | |
EP1592199A1 (en) | Administration of network security | |
CN113765846A (zh) | 一种网络异常行为智能检测与响应方法、装置及电子设备 | |
CN108282786B (zh) | 一种用于检测无线局域网中dns欺骗攻击的方法与设备 | |
US10015179B2 (en) | Interrogating malware | |
US11683337B2 (en) | Harvesting fully qualified domain names from malicious data packets | |
CN110995738B (zh) | 暴力破解行为识别方法、装置、电子设备及可读存储介质 | |
Chatzis | Motivation for behaviour-based DNS security: A taxonomy of DNS-related internet threats | |
US11683196B2 (en) | Communication control device and non-transitory computer readable medium | |
JP2014150504A (ja) | ネットワーク監視装置、ネットワーク監視方法、および、コンピュータ・プログラム | |
EP4266649A1 (en) | Method and system for providing dns security using process information | |
JP2018182618A (ja) | パケット処理装置、パケット処理方法、及び、パケット処理プログラム | |
Man | Side Channel Isn’t Sad Anymore: Towards the Leak-Free Network Stack—From DNS and Beyond |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |