CN116260618A - Ip地址的封堵处理方法、装置、电子设备及存储介质 - Google Patents
Ip地址的封堵处理方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116260618A CN116260618A CN202211661128.3A CN202211661128A CN116260618A CN 116260618 A CN116260618 A CN 116260618A CN 202211661128 A CN202211661128 A CN 202211661128A CN 116260618 A CN116260618 A CN 116260618A
- Authority
- CN
- China
- Prior art keywords
- attack
- network
- address
- source
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种IP地址的封堵处理方法、装置、电子设备及存储介质。该方法包括:在确定接入到所述封堵系统中的网络系统存在网络攻击时,确定攻击源IP地址;确定攻击源IP地址所归属的源网络设备,以及被攻击对象IP地址所在的目的网络设备;根据源网络设备、目的网络设备以及网络系统的网络拓扑结构,确定攻击源的攻击路径;根据攻击源IP地址、被攻击对象IP地址以及至少一个防火墙的设备信息,生成对应的封堵策略;将封堵策略发送给攻击路径中的至少一个防火墙,当网络系统中再次出现攻击源IP地址时,使至少一个防火墙能根据对应的封堵策略对攻击源IP地址进行封堵处理。本申请的方法,可以提高网络防御效果。
Description
技术领域
本申请涉及网络安全技术,尤其涉及一种IP地址的封堵处理方法、装置、电子设备及存储介质。
背景技术
随着网络安全技术的发展,为了提高网络系统的安全性,出现了IP地址的封堵处理方法。
对IP地址进行封堵处理,运维工程师在通过防火墙和路由器配置封锁IP地址的过程中采用人工输入方式,对恶意IP进行封堵,以实现安全运维,对于网络安全事件的处置过程中,运维工程师比较常见于使用固定的出口防火墙用于封堵处置,难以产生最优化的封堵下发效果,缺乏对恶意IP攻击事件的精准定位分析,对网络防御的效果大打折扣。
发明内容
本申请提供一种IP地址的封堵处理方法、装置、电子设备及存储介质,用以解决现有技术中,网络防御效果较差的技术问题。
第一方面,本申请提供一种IP地址的封堵处理方法,包括:
在确定接入到所述封堵系统中的网络系统存在网络攻击时,确定攻击源IP地址;
确定攻击源IP地址所归属的源网络设备,以及被攻击对象IP地址所在的目的网络设备;
根据所述源网络设备、所述目的网络设备以及所述网络系统的网络拓扑结构,确定所述攻击源的攻击路径,所述攻击路径包括所述源网络设备与所述目的网络设备之间的多个网络设备,所述多个网络设备中包括至少一个防火墙;
根据所述攻击源IP地址、所述被攻击对象IP地址以及所述至少一个防火墙的设备信息,生成对应的封堵策略;
将所述封堵策略发送给所述攻击路径中的至少一个防火墙,当所述网络系统中再次出现所述攻击源IP地址时,使所述至少一个防火墙能根据对应的所述封堵策略对所述攻击源IP地址进行封堵处理。
在一个实施例中,所述确定攻击源IP地址所归属的源网络设备,包括:
扫描所述网络系统中所有网关设备的路由信息,确定直连路由;
根据所述直连路由与所述攻击源IP地址进行匹配,以确定攻击源IP地址所归属的源网络设备。
在一个实施例中,所述确定被攻击对象IP地址所在的目的网络设备,包括:
以所述攻击源IP地址所归属的网络设备作为起始,逐个遍历所述网络系统中的网络设备,直至确定被攻击对象IP地址所在的目的网络设备。
在一个实施例中,所述根据所述源网络设备、所述目的网络设备以及所述网络系统的网络拓扑结构,确定所述攻击源的攻击路径,包括:
根据所述源网络设备、所述目的网络设备以及所述网络系统的网络拓扑结构,获得所述攻击源的候选攻击路径;
若确定所述攻击源的候选攻击路径上不具有环路,则将所述攻击源的候选攻击路径确定为所述攻击源的攻击路径。
第二方面,本申请提供一种IP地址的封堵处理装置,包括:
攻击源IP地址确定模块,用于在确定接入到所述封堵系统中的网络系统存在网络攻击时,确定攻击源IP地址;
网络设备确定模块,用于确定攻击源IP地址所归属的源网络设备,以及被攻击对象IP地址所在的目的网络设备;
攻击路径确定模块,用于根据所述源网络设备、所述目的网络设备以及所述网络系统的网络拓扑结构,确定所述攻击源的攻击路径,所述攻击路径包括所述源网络设备与所述目的网络设备之间的多个网络设备,所述多个网络设备中包括至少一个防火墙;
封堵策略生成模块,用于根据所述攻击源IP地址、所述被攻击对象IP地址以及所述至少一个防火墙的设备信息,生成对应的封堵策略;
封堵策略发送模块,用于将所述封堵策略发送给所述攻击路径中的至少一个防火墙,当所述网络系统中再次出现所述攻击源IP地址时,使所述至少一个防火墙能根据对应的所述封堵策略对所述攻击源IP地址进行封堵处理。
第三方面,本申请提供一种电子设备,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如第一方面所述的方法。
第四方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如第一方面所述的方法。
本申请提供的IP地址的封堵处理方法、装置、电子设备及存储介质,在确定接入到所述封堵系统中的网络系统存在网络攻击时,确定攻击源IP地址;确定攻击源IP地址所归属的源网络设备,以及被攻击对象IP地址所在的目的网络设备;根据所述源网络设备、所述目的网络设备以及所述网络系统的网络拓扑结构,确定所述攻击源的攻击路径,所述攻击路径包括所述源网络设备与所述目的网络设备之间的多个网络设备,所述多个网络设备中包括至少一个防火墙;根据所述攻击源IP地址、所述被攻击对象IP地址以及所述至少一个防火墙的设备信息,生成对应的封堵策略;将所述封堵策略发送给所述攻击路径中的至少一个防火墙,当所述网络系统中再次出现所述攻击源IP地址时,使所述至少一个防火墙能根据对应的所述封堵策略对所述攻击源IP地址进行封堵处理。由于在网络防御时,根据攻击源IP地址和被攻击对象IP地址确定了攻击源的攻击路径,至少一个防火墙是根据攻击源的攻击路径确定的,是攻击源IP地址所经过的网络设备,因此根据该至少一个防火墙以及对应生成的封堵策略对攻击源IP地址进行封堵处理,相比于只使用固定的出口防火墙进行封堵处理的方式较为灵活,因此可以提高网络防御的效果。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为实现本申请实施例的IP地址的封堵处理方法的一种应用场景图;
图2为本申请一实施例的实现IP地址的封堵处理方法的流程示意图;
图3为本申请另一实施例的实现IP地址的封堵处理方法的流程示意图;
图4为本申请一实施例中的网络系统的网络拓扑结构的示意图;
图5为本申请实现IP地址的封堵处理装置的结构示意图;
图6为用来实现IP地址的封堵处理方法中的电子设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
为了清楚理解本申请的技术方案,首先对现有技术的方案进行详细介绍。
传统方式中,对IP地址进行封堵处理,运维工程师在通过防火墙和路由器配置封锁IP地址的过程中采用人工输入方式,对恶意IP进行封堵,以实现安全运维,对于网络安全事件的处置过程中,运维工程师比较常见于使用固定的出口防火墙用于封堵处置,难以产生最优化的封堵下发效果,缺乏对恶意IP攻击事件的精准定位分析,对网络防御的效果大打折扣。
所以在面对现有技术的技术问题时,发明人通过创造性的研究后发现,为了提高网络系统的防御的效果,因此,为了提高网络防御的效果,在确定接入到封堵系统中的网络系统存在网络攻击时,先确定攻击源IP地址,确定攻击源IP地址所归属的源网络设备以及被攻击对象IP地址所在的目的网络设备,再获取攻击源的攻击路径,目的是为了确定攻击源的攻击路径中存在的至少一个防火墙,再生成对应的封堵策略,以使至少一个防火墙根据对应的封堵策略对攻击源IP地址进行封堵处理。由于在网络防御时,根据攻击源IP地址和被攻击对象IP地址确定了攻击源的攻击路径,至少一个防火墙是根据攻击源的攻击路径确定的,是攻击源IP地址所经过的网络设备,因此根据该至少一个防火墙以及对应生成的封堵策略对攻击源IP地址进行封堵处理,相比于只使用固定的出口防火墙进行封堵处理的方式较为灵活,因此可以提高网络防御的效果。
如图1所示,本申请实施例提供的IP地址的封堵处理方法的应用场景,在该应用场景中对应的网络架构中包括电子设备10,电子设备10中安装有封堵系统,封堵系统中接入了网络系统。电子设备10在确定接入到所述封堵系统中的网络系统存在网络攻击时,确定攻击源IP地址。再确定攻击源IP地址所归属的源网络设备,以及被攻击对象IP地址所在的目的网络设备。根据源网络设备、目的网络设备以及网络系统的网络拓扑结构,确定攻击源的攻击路径。根据攻击源IP地址、被攻击对象IP地址以及至少一个防火墙的设备信息,生成对应的封堵策略;将封堵策略发送给攻击路径中的至少一个防火墙,当网络系统中再次出现攻击源IP地址时,使至少一个防火墙能根据对应的封堵策略对攻击源IP地址进行封堵处理。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
图2是本申请一实施例提供的IP地址的封堵处理方法,如图2所示,本实施例提供的IP地址的封堵处理方法的执行主体是电子设备。则本实施例提供的IP地址的封堵处理方法包括以下步骤:
步骤101,在确定接入到所述封堵系统中的网络系统存在网络攻击时,确定攻击源IP地址。
其中,封堵系统是当网络系统出现网络攻击时,对网络系统发起攻击的IP地址进行封堵处理的系统。封堵系统可以接入多个客户的网络系统,为各客户分别提供网络防御服务。攻击源IP地址即对网络系统发起攻击的IP地址。
电子设备实时监测网络系统的状态,因此可以第一时间确定网络系统是否存在网络攻击。当网络系统存在网络攻击时,会接收到告警信息五元组,可以确定网络系统存在网络攻击。告警信息五元组中包括告警源IP地址,告警源端口,目的IP地址,目的端口和传输层协议,告警源IP地址即攻击源IP地址。即,根据告警信息五元组可以确定
步骤102,确定攻击源IP地址所归属的源网络设备,以及被攻击对象IP地址所在的目的网络设备。
其中,源网络设备是网络系统中的网络设备,是攻击源IP地址所归属的网络设备,攻击源IP地址所归属的网络设备是指攻击源IP地址的网段归属该网络设备。目的网络设备也是网络系统中的网络设备,是被攻击对象IP地址所在的网络设备。被攻击对象IP地址是指攻击源所要攻击的对象的IP地址,即告警信息五元组中的目的IP。
可选地,根据网络系统中各网络设备的路由信息,可以确定攻击源IP地址所归属的网络设备以及被攻击对象IP地址所在的网络设备。
步骤103,根据所述源网络设备、所述目的网络设备以及所述网络系统的网络拓扑结构,确定所述攻击源的攻击路径。
其中,攻击路径是从源网络设备到达目的网络设备过程中,攻击源IP地址所要经过的路径。因此,攻击路径上包括源网络设备与目的网络设备之间的多个网络设备,多个网络设备中包括至少一个防火墙。
封堵系统采用旁路的模式实现了防火墙、交换机和路由器等各类型设备的统一接入,且通过SSH(Secure Shell,安全外壳协议)、远程终端协议Telnet方式对接入的网络设备进行配置并生成基于业务的网络拓扑图,即,获得网络系统的网络拓扑结构。
步骤104,根据所述攻击源IP地址、所述被攻击对象IP地址以及所述至少一个防火墙的设备信息,生成对应的封堵策略。
其中,防火墙的设备信息包括防火墙的型号与版本。封堵策略是用于告知防火墙应对攻击源IP地址的执行策略。根据攻击源的危险程度以及攻击频次可以设置不同的封堵策略。封堵策略可以是拦截攻击源IP地址的请求,或者当收到攻击源IP地址的请求时,启用验证码,或者不处理、仅记录日志。例如,针对危险程度较高的攻击源IP地址的封堵策略,封堵策略可以是拦截攻击源IP地址的请求。在有多个防火墙的情况下,攻击源IP地址在经过第一个防火墙时,即可被该第一个防火墙拦截,从而大大提高网络防御的效果。
步骤105,将所述封堵策略发送给所述攻击路径中的至少一个防火墙,当所述网络系统中再次出现所述攻击源IP地址时,使所述至少一个防火墙能根据对应的所述封堵策略对所述攻击源IP地址进行封堵处理。
其中,由于封堵策略需要靠防火墙执行,因此在生成对应的封堵策略之后,将封堵策略发送给攻击路径中的至少一个防火墙。防火墙在接收到对应的封堵策略之后,即可根据封堵策略对攻击源IP进行封堵处理,以拦截攻击源IP地址所携带的数据包,防止该攻击源IP地址所携带的数据包对。封堵处理是指根据封堵策略对攻击源IP地址采取相应措施,例如拦截攻击源IP地址的请求,或者当收到攻击源IP地址的请求时,启用验证码,或者不处理、仅记录日志。
本申请中,在确定接入到所述封堵系统中的网络系统存在网络攻击时,确定攻击源IP地址;确定攻击源IP地址所归属的源网络设备,以及被攻击对象IP地址所在的目的网络设备;根据所述源网络设备、所述目的网络设备以及所述网络系统的网络拓扑结构,确定所述攻击源的攻击路径,所述攻击路径包括所述源网络设备与所述目的网络设备之间的多个网络设备,所述多个网络设备中包括至少一个防火墙;根据所述攻击源IP地址、所述被攻击对象IP地址以及所述至少一个防火墙的设备信息,生成对应的封堵策略;将所述封堵策略发送给所述攻击路径中的至少一个防火墙,当所述网络系统中再次出现所述攻击源IP地址时,使所述至少一个防火墙能根据对应的所述封堵策略对所述攻击源IP地址进行封堵处理。由于在网络防御时,根据攻击源IP地址和被攻击对象IP地址确定了攻击源的攻击路径,至少一个防火墙是根据攻击源的攻击路径确定的,是攻击源IP地址所经过的网络设备,因此根据该至少一个防火墙以及对应生成的封堵策略对攻击源IP地址进行封堵处理,相比于只使用固定的出口防火墙进行封堵处理的方式较为灵活,因此可以提高网络防御的效果。
作为一种可选实施方式,如图3所示,本实施例中,步骤102,包括以下步骤:
步骤201,扫描所述网络系统中所有网络设备的路由表信息,确定多个网段包含电子设备的IP地址的网络设备。
其中,每个网络设备的路由表信息包括该网络设备的至少一条路由条目。一条完整的路由条目包括Destination/Mask(路由的目的网络地址与网络掩码)、Proto(即Protocol,路由的协议类型)、Pre(即Preference,路由的路由协议优先级)、Cost(路由开销)、NextHop(下一跳地址)和Interface(表示此路由的出接口)。其中,针对同一目的地,可能存在不同下一跳、出接口等多条路由,这些不同的路由可能是由不同的路由协议发现的(如OSPF和RIP),不同路由协议有不同的优先级。pre数值最小者将成为当前的最优路由。
例如,攻击源IP地址为192.168.8.19,可以匹配到的最精确的路由条目是如表1所示:
表1
| Destination/Mask | Proto | Pre | Cost | NextHop | Interface |
| 192.168.8.0/24 | Direct | 0 | 0 | 192.168.8.1 | Vlan8 |
即,该攻击源IP地址所归属的源网络设备,其对应的目的网络地址与网络掩码为192.168.8.0/24,协议类型为直连路由,路由协议优先级最高,路由开销最小,下一跳地址为192.168.8.1,该源网络设备的出接口为Vlan8,数据将从Vlan8转发出去。
一个网段可以包括多个IP地址,每个网络设备都有对应的网段。扫描网络系统中所有网络设备的路由表信息,可以确定有哪些网络设备的网段中包含电子设备的IP地址,从而得到多个网段包含电子设备的IP地址的网络设备。
步骤202,从所述多个网段包含电子设备的IP地址的网络设备中,将与所述电子设备的路由协议为直连路由的网络设备确定为攻击源IP地址所归属的源网络设备。
其中,确定多个网段中包含电子设备的IP地址的网络设备后,再从多个网段包含电子设备的IP地址的网络设备中,将与电子设备之间的路由协议为直连路由的一个网络设备,确定为攻击源IP地址所归属的源网络设备。
本实施例中,扫描所述网络系统中所有网络设备的路由表信息,确定多个网段包含电子设备的IP地址的网络设备;从所述多个网段包含电子设备的IP地址的网络设备中,将与所述电子设备的路由协议为直连路由的网络设备确定为攻击源IP地址所归属的源网络设备。由于攻击源IP地址所归属的源网络设备是基于扫描网络系统中所有网络设备的路由表信息确定的,因此可以准确确定源网络设备。
作为一种可选实施方式,本实施例中,步骤102,包括:以所述源网络设备作为起始,逐个遍历所述网络系统中路由表信息包含被攻击对象IP地址的网络设备,直至确定被攻击对象IP地址所在的目的网络设备。
具体地,对于从内网发起的攻击,源网络设备和电子设备之间具有路由直连的情况,可以源网络设备作为起始,先根据源网络设备的路由表信息,确定路由表信息中包含被攻击对象IP地址的路由条目,跳转到该路由条目中的下一跳地址。跳转之后,再以该下一跳地址所在的网络设备作为起始,根据该网络设备的路由表信息,确定路由表信息中包含被攻击对象IP地址的路由条目,跳转到该路由条目中的下一跳地址。之后的过程按照此方式逐个遍历,直至跳转的下一跳地址为被攻击对象IP地址,即可确定被攻击对象IP地址所在的目的网络设备。
若某个网络设备中包含被攻击对象IP地址的路由条目有多条,将其中为静态路由方式的路由条目的优先级设置为最高优先级。根据该最高优先级的路由条目确定下一跳地址。
本实施例中,以所述源网络设备作为起始,逐个遍历所述网络系统中路由表信息包含被攻击对象IP地址的网络设备,直至确定被攻击对象IP地址所在的目的网络设备。由于确定被攻击对象IP地址所在的目的网络设备时,是从源网络设备开始,逐个对网络系统中路由表信息包含被攻击对象IP地址的网络设备进行遍历之后,得以确定的,因此可以保证目的网络设备的准确性。
在一个实施例中,若攻击源是从公网发起的攻击,则攻击源IP地址无法确定。可以从与被攻击对象IP地址路由直连的网络设备开始,逐个遍历网络系统中路由表信息包含被攻击对象IP地址的网络设备,按照前述方式继续往后推算直到获取存在攻击源IP地址为直连路由的网络设备或公网边界设备为止。
作为一种可选实施方式,本实施例中,步骤,包括以下步骤:
步骤301,根据所述源网络设备、所述目的网络设备以及所述网络系统的网络拓扑结构,获得所述攻击源的候选攻击路径。
其中,网络系统的网络拓扑结构是封堵系统是在步骤101之前即已获得的。网络系统的网络拓扑结构,如图4所示,包括与电子设备(即图示的主机)直接连接的第一交换机、与第一交换机连接的第一防火墙、与第一防火墙连接的第一路由器、与第一路由器连接的第二路由器、与第二路由器连接的第二防火墙以及与第二防火墙连接的第二交换机,第二交换机连接具体的业务系统。
在根据源网络设备和其他网络设备的路由表信息,确定目的网络设备的过程中,可以确定从源网络设备到达目的网络设备时,攻击源IP地址所经过的攻击源的候选攻击路径。
步骤302,若确定所述攻击源的候选攻击路径上不具有环路,则将所述攻击源的候选攻击路径确定为所述攻击源的攻击路径。
其中,攻击源的候选攻击路径可能会出现环形网络的情况,即重复将某个网络设备作为攻击源IP地址经过的网络设备。为了使最终确定的攻击源的攻击路径满足树状推理,不会出现重复将某个网络设备作为攻击源IP地址经过的网络设备,需要对路径进行去环路裁剪,使攻击源的攻击路径上不具有环路。因此,在攻击源的候选攻击路径上不具有环路时,才将攻击源的候选攻击路径确定为攻击源的攻击路径。
仍以图4中网络系统的网络拓扑结构为例,可以将从第一交换机到第二交换机视为攻击源的攻击路径。环路可以理解为从第一防火墙出发,经过第一路由器之后,又从第一路由器回到第一防火墙,构成一个环路(图中未示出)。此处的第一防火墙即前述的重复获取的网络设备。
本实施例中,根据所述源网络设备、所述目的网络设备以及所述网络系统的网络拓扑结构,获得所述攻击源的候选攻击路径;若确定所述攻击源的候选攻击路径上不具有环路,则将所述攻击源的候选攻击路径确定为所述攻击源的攻击路径。由于确定攻击源的攻击路径时,是在攻击源的候选攻击路径不具有环路时,将该攻击源的候选攻击路径确定为攻击源的攻击路径,因此可以使获得的攻击源的攻击路径不具有环路,从而不会出现某个或多个网络设备重复作为攻击源IP地址所经过的网络设备,有利于保证攻击源的攻击路径的准确性。
作为一种可选实施方式,本实施例中,若攻击源的候选攻击路径上具有至少一个环路,IP地址的封堵处理方法,还包括以下步骤:
步骤401,对所述攻击源的候选攻击路径上的至少一个环路进行裁剪,获得不具有环路的攻击路径。
其中,若攻击源的候选攻击路径上包括至少一个环路,如前述电子设备对该至少一个环路进行裁剪,将环路切断,获得不具有换环路的攻击路径。如前例,切断从第一路由器回到第一防火墙的路由,从而获得不具有环路的攻击路径。
步骤402,将所述不具有环路的攻击路径确定为所述攻击源的攻击路径。
本实施例中,若所述攻击源的候选攻击路径上具有至少一个环路,对所述攻击源的候选攻击路径上的至少一个环路进行裁剪,获得不具有环路的攻击路径;将所述不具有环路的攻击路径确定为所述攻击源的攻击路径。由于在攻击源的候选攻击路径上存在至少一个环路时,会对环路进行裁剪,从而可以获得不具有环路的攻击路径。
作为一种可选实施方式,本实施例中,步骤103之后,还包括以下步骤:
步骤501,剔除所述攻击源的攻击路径中的多个备用网络设备,以及保留所述攻击源的攻击路径中的多个主用网络设备。
其中,网络系统中的所有网络设备都是采用主备模式,即每个网络设备包括一个主用网络设备和至少一个备用网络设备。在确定至少一个防火墙时,是根据攻击源的攻击路径中保留的多个主用网络设备确定的,在这多个主用网络设备中如果有2个防火墙,则这2个防火墙即步骤104中所述的至少一个防火墙。
剔除攻击源的攻击路径中的多个备用网络设备,是因为根据一条攻击源的攻击路径确定至少一个防火墙即可。多个备用网络设备的存在,使攻击源的攻击路线也存在备用路线,只是增加了计算处理量。
步骤502,基于所述多个主用网络设备获取所述至少一个防火墙。
其中,将多个主用网络设备中的一个或多个防火墙确定为所述至少一个防火墙。
本实施例中,剔除所述攻击源的攻击路径中的多个备用网络设备,以及保留所述攻击源的攻击路径中的多个主用网络设备;基于所述多个主用网络设备获取所述至少一个防火墙。由于根据多个主用网络设备确定的至少一个防火墙,从而可以保证至少一个防火墙的准确性。
作为一种可选实施方式,本实施例中,步骤104,包括:根据所述攻击源IP地址、所述被攻击对象IP地址以及所述至少一个防火墙的型号与版本,生成对应的封堵策略。
其中,根据攻击源IP地址、被攻击对象IP地址,以及至少一个防火墙的型号与版本,为至少一个防火墙生成对应的封堵策略,以使至少一个防火墙知道所要拦截的攻击源IP地址,并根据对应的封堵策略对攻击源执行相应动作。对于至少一个防火墙,其版本和型号的差异不会导致封堵策略内容的差异。差异主要在于封堵策略的封装格式要与至少一个防火墙的版本以及型号对应,对应的目的在于使至少一个防火墙能正常解析对应的封堵策略。在封堵策略中还包括防火墙的安全域信息,防火墙的安全域信息确定了防火墙在哪个网段执行封堵策略。
本实施例中,根据所述攻击源IP地址、所述被攻击对象IP地址以及所述至少一个防火墙的型号与版本,生成对应的封堵策略。由于封堵策略是根据至少一个防火墙的版本和型号生成的,因此可以保证至少一个防火墙顺利解析对应的封堵策略。此外,不同品牌的防火墙和路由器对于策略的编排形式各有不同的标准,现有技术对网络运维工程师的要求相当严格,必须具备多个厂商设备的策略编排方式及IP封堵下发方式的专业知识,费时费力,并且存在人为操作失误风险,甚至可能因为操作错误造成网络中断,而且无法达到及时封锁,时效性无法满足安全运维的要求。采用本实施例所述的方式,由于封堵策略是根据各防火墙的型号和版本自动确定的,而不需要人工介入确定,因此可以减少人为带来的错误,并且使得时效性能够满足安全运维的要求。
图5是本申请一实施例提供的IP地址的封堵处理装置的结构示意图,如图5所示,本实施例提供的IP地址的封堵处理装置40位于电子设备中,则本实施例提供的IP地址的封堵处理装置40,包括:
攻击源IP地址确定模块41,用于在确定接入到所述封堵系统中的网络系统存在网络攻击时,确定攻击源IP地址;
网络设备确定模块42,用于确定攻击源IP地址所归属的源网络设备,以及被攻击对象IP地址所在的目的网络设备;
攻击路径确定模块43,用于根据所述源网络设备、所述目的网络设备以及所述网络系统的网络拓扑结构,确定所述攻击源的攻击路径,所述攻击路径包括所述源网络设备与所述目的网络设备之间的多个网络设备,所述多个网络设备中包括至少一个防火墙;
封堵策略生成模块44,用于根据所述攻击源IP地址、所述被攻击对象IP地址以及所述至少一个防火墙的设备信息,生成对应的封堵策略;
封堵策略发送模块45,用于将所述封堵策略发送给所述攻击路径中的至少一个防火墙,当所述网络系统中再次出现所述攻击源IP地址时,使所述至少一个防火墙能根据对应的所述封堵策略对所述攻击源IP地址进行封堵处理。
可选地,确定攻击源IP地址所归属的源网络设备,具体用于:扫描所述网络系统中所有网络设备的路由表信息,确定多个网段包含电子设备的IP地址的网络设备;从所述多个网段包含电子设备的IP地址的网络设备中,将与所述电子设备的路由协议为直连路由的网络设备确定为攻击源IP地址所归属的源网络设备。
可选地,确定被攻击对象IP地址所在的目的网络设备,具体用于:以所述源网络设备作为起始,逐个遍历所述网络系统中路由表信息包含被攻击对象IP地址的网络设备,直至确定被攻击对象IP地址所在的目的网络设备。
可选地,根据所述源网络设备、所述目的网络设备以及所述网络系统的网络拓扑结构,确定所述攻击源的攻击路径,具体用于:根据所述源网络设备、所述目的网络设备以及所述网络系统的网络拓扑结构,获得所述攻击源的候选攻击路径;若确定所述攻击源的候选攻击路径上不具有环路,则将所述攻击源的候选攻击路径确定为所述攻击源的攻击路径。
可选地,若所述攻击源的候选攻击路径上具有至少一个环路,在确定所述攻击源的攻击路径时,电子设备用于:对所述攻击源的候选攻击路径上的至少一个环路进行裁剪,获得不具有环路的攻击路径;将所述不具有环路的攻击路径确定为所述攻击源的攻击路径。
可选地,剔除所述攻击源的攻击路径中的多个备用网络设备,以及保留所述攻击源的攻击路径中的多个主用网络设备;基于所述多个主用网络设备获取所述至少一个防火墙。
可选地,封堵策略生成模块44,具体用于:根据所述攻击源IP地址、所述被攻击对象IP地址以及所述至少一个防火墙的型号与版本,生成对应的封堵策略。
图6是根据一示例性实施例示出的一种电子设备的框图,该设备可以是如图6所示,电子设备,包括:存储器51,处理器52;存储器51用于存储处理器可执行指令的存储器;处理器52用于运行计算机程序或指令,以实现如上任意一个实施例提供的IP地址的封堵处理方法。
其中,存储器51,用于存放程序。具体地,程序可以包括程序代码,程序代码包括计算机操作指令。存储器51可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
其中,处理器52可能是一个中央处理器(Central Processing Unit,简称为CPU),或者是特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者是被配置成实施本公开实施例的一个或多个集成电路。
可选的,在具体实现上,如果存储器51和处理器52独立实现,则存储器51和处理器52可以通过总线53相互连接并完成相互间的通信。总线53可以是工业标准体系结构(Industry Standard Architecture,简称为ISA)总线53、外部设备互连(PeripheralComponent,简称为PCI)总线53或扩展工业标准体系结构(Extended Industry StandardArchitecture,简称为EISA)总线53等。总线53可以分为地址总线53、数据总线53、控制总线53等。为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线53或一种类型的总线53。
可选的,在具体实现上,如果存储器51和处理器52集成在一块芯片上实现,则存储器51和处理器52可以通过内部接口完成相同间的通信。
一种非临时性计算机可读存储介质,当该存储介质中的指令由电子设备的处理器执行时,使得电子设备能够执行上述电子设备的IP地址的封堵处理方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求书指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。
Claims (10)
1.一种IP地址的封堵处理方法,其特征在于,应用于电子设备,所述电子设备中安装有封堵系统;所述方法包括:
在确定接入到所述封堵系统中的网络系统存在网络攻击时,确定攻击源IP地址;
确定攻击源IP地址所归属的源网络设备,以及被攻击对象IP地址所在的目的网络设备;
根据所述源网络设备、所述目的网络设备以及所述网络系统的网络拓扑结构,确定所述攻击源的攻击路径,所述攻击路径包括所述源网络设备与所述目的网络设备之间的多个网络设备,所述多个网络设备中包括至少一个防火墙;
根据所述攻击源IP地址、所述被攻击对象IP地址以及所述至少一个防火墙的设备信息,生成对应的封堵策略;
将所述封堵策略发送给所述攻击路径中的至少一个防火墙,当所述网络系统中再次出现所述攻击源IP地址时,使所述至少一个防火墙能根据对应的所述封堵策略对所述攻击源IP地址进行封堵处理。
2.根据权利要求1所述的方法,其特征在于,所述确定攻击源IP地址所归属的源网络设备,包括:
扫描所述网络系统中所有网络设备的路由表信息,确定多个网段包含电子设备的IP地址的网络设备;
从所述多个网段包含电子设备的IP地址的网络设备中,将与所述电子设备的路由协议为直连路由的网络设备确定为攻击源IP地址所归属的源网络设备。
3.根据权利要求2所述的方法,其特征在于,所述确定被攻击对象IP地址所在的目的网络设备,包括:
以所述源网络设备作为起始,逐个遍历所述网络系统中路由表信息包含被攻击对象IP地址的网络设备,直至确定被攻击对象IP地址所在的目的网络设备。
4.根据权利要求1-3中任一项所述的方法,其特征在于,所述根据所述源网络设备、所述目的网络设备以及所述网络系统的网络拓扑结构,确定所述攻击源的攻击路径,包括:
根据所述源网络设备、所述目的网络设备以及所述网络系统的网络拓扑结构,获得所述攻击源的候选攻击路径;
若确定所述攻击源的候选攻击路径上不具有环路,则将所述攻击源的候选攻击路径确定为所述攻击源的攻击路径。
5.根据权利要求4所述的方法,其特征在于,若所述攻击源的候选攻击路径上具有至少一个环路,在确定所述攻击源的攻击路径时,包括:
对所述攻击源的候选攻击路径上的至少一个环路进行裁剪,获得不具有环路的攻击路径;
将所述不具有环路的攻击路径确定为所述攻击源的攻击路径。
6.根据权利要求5所述的方法,其特征在于,根据所述源网络设备、所述目的网络设备以及所述网络系统的网络拓扑结构,确定所述攻击源的攻击路径之后,所述方法还包括:
剔除所述攻击源的攻击路径中的多个备用网络设备,以及保留所述攻击源的攻击路径中的多个主用网络设备;
基于所述多个主用网络设备获取所述至少一个防火墙。
7.根据权利要求1所述的方法,其特征在于,所述根据所述攻击源IP地址、所述被攻击对象IP地址以及所述至少一个防火墙的设备信息,生成对应的封堵策略,包括:
根据所述攻击源IP地址、所述被攻击对象IP地址以及所述至少一个防火墙的型号与版本,生成对应的封堵策略。
8.一种IP地址的封堵处理装置,其特征在于,所述装置包括:
攻击源IP地址确定模块,用于在确定接入到所述封堵系统中的网络系统存在网络攻击时,确定攻击源IP地址;
网络设备确定模块,用于确定攻击源IP地址所归属的源网络设备,以及被攻击对象IP地址所在的目的网络设备;
攻击路径确定模块,用于根据所述源网络设备、所述目的网络设备以及所述网络系统的网络拓扑结构,确定所述攻击源的攻击路径,所述攻击路径包括所述源网络设备与所述目的网络设备之间的多个网络设备,所述多个网络设备中包括至少一个防火墙;
封堵策略生成模块,用于根据所述攻击源IP地址、所述被攻击对象IP地址以及所述至少一个防火墙的设备信息,生成对应的封堵策略;
封堵策略发送模块,用于将所述封堵策略发送给所述攻击路径中的至少一个防火墙,当所述网络系统中再次出现所述攻击源IP地址时,使所述至少一个防火墙能根据对应的所述封堵策略对所述攻击源IP地址进行封堵处理。
9.一种电子设备,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1-7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211661128.3A CN116260618A (zh) | 2022-12-23 | 2022-12-23 | Ip地址的封堵处理方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211661128.3A CN116260618A (zh) | 2022-12-23 | 2022-12-23 | Ip地址的封堵处理方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116260618A true CN116260618A (zh) | 2023-06-13 |
Family
ID=86678412
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211661128.3A Pending CN116260618A (zh) | 2022-12-23 | 2022-12-23 | Ip地址的封堵处理方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116260618A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116633681A (zh) * | 2023-07-13 | 2023-08-22 | 北京立思辰安科技术有限公司 | 一种阻断防火墙网络通信的方法、电子设备及存储介质 |
| CN117544429A (zh) * | 2024-01-10 | 2024-02-09 | 腾讯科技(深圳)有限公司 | 攻击防护方法、装置、电子设备和计算机可读存储介质 |
-
2022
- 2022-12-23 CN CN202211661128.3A patent/CN116260618A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116633681A (zh) * | 2023-07-13 | 2023-08-22 | 北京立思辰安科技术有限公司 | 一种阻断防火墙网络通信的方法、电子设备及存储介质 |
| CN116633681B (zh) * | 2023-07-13 | 2024-02-20 | 北京立思辰安科技术有限公司 | 一种阻断防火墙网络通信的方法、电子设备及存储介质 |
| CN117544429A (zh) * | 2024-01-10 | 2024-02-09 | 腾讯科技(深圳)有限公司 | 攻击防护方法、装置、电子设备和计算机可读存储介质 |
| CN117544429B (zh) * | 2024-01-10 | 2024-03-26 | 腾讯科技(深圳)有限公司 | 攻击防护方法、装置、电子设备和计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3879759A1 (en) | Optimized datapath troubleshooting with trace policy engine | |
| US9059960B2 (en) | Automatically recommending firewall rules during enterprise information technology transformation | |
| CN116260618A (zh) | Ip地址的封堵处理方法、装置、电子设备及存储介质 | |
| EP3125476B1 (en) | Service function chaining processing method and device | |
| CN108881328B (zh) | 数据包过滤方法、装置、网关设备及存储介质 | |
| CN108353068B (zh) | Sdn控制器辅助的入侵防御系统 | |
| US9258213B2 (en) | Detecting and mitigating forwarding loops in stateful network devices | |
| CN108965137B (zh) | 一种报文处理方法和装置 | |
| KR102620025B1 (ko) | 경로 처리 방법 및 네트워크 장치 | |
| EP3456020A1 (en) | Mechanism for inline packet response generation in software defined networks | |
| CN110278152B (zh) | 一种建立快速转发表的方法及装置 | |
| CN112398741A (zh) | 学习路由的方法、转发报文的方法、设备和存储介质 | |
| US20210203695A1 (en) | Anti-spoofing attack check method, device, and system | |
| EP3461079B1 (en) | Path establishment method and device, and network node | |
| CN111327530B (zh) | 数据发送方法、装置、网络系统及交换机 | |
| CN116545665A (zh) | 一种安全引流方法、系统、设备及介质 | |
| CN112751701B (zh) | 用于管理网络装置的系统、方法及计算机可读介质 | |
| CN111654558B (zh) | Arp交互与内网流量转发方法、装置和设备 | |
| CN114978563A (zh) | 一种封堵ip地址的方法及装置 | |
| US10917385B1 (en) | Sharing matching filters among interfaces of a network device | |
| Oliveira et al. | L3-arpsec–a secure openflow network controller module to control and protect the address resolution protocol | |
| US11902087B2 (en) | Forwarding fault location determining method and device | |
| US11929924B1 (en) | Establishing forward and reverse segment routing (SR) tunnels for bidirectional forwarding detection (BFD) continuity checks | |
| WO2023029750A1 (zh) | Mac学习方法、装置、电子设备及存储介质 | |
| WO2023024867A1 (zh) | 跨设备链路聚合组网的网络诊断方法及网络接入设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |