CN117560211A - 泛洪攻击防御方法、装置、设备及计算机可读存储介质 - Google Patents
泛洪攻击防御方法、装置、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN117560211A CN117560211A CN202311614051.9A CN202311614051A CN117560211A CN 117560211 A CN117560211 A CN 117560211A CN 202311614051 A CN202311614051 A CN 202311614051A CN 117560211 A CN117560211 A CN 117560211A
- Authority
- CN
- China
- Prior art keywords
- message
- calculation result
- unknown source
- source
- calculation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 69
- 230000007123 defense Effects 0.000 title claims abstract description 45
- 238000004364 calculation method Methods 0.000 claims abstract description 152
- 230000004044 response Effects 0.000 claims abstract description 96
- 238000012790 confirmation Methods 0.000 claims abstract description 31
- 238000004891 communication Methods 0.000 claims abstract description 22
- 238000004590 computer program Methods 0.000 claims description 14
- 230000008569 process Effects 0.000 abstract description 13
- 230000000694 effects Effects 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 3
- 230000011664 signaling Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002035 prolonged effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02A—TECHNOLOGIES FOR ADAPTATION TO CLIMATE CHANGE
- Y02A10/00—TECHNOLOGIES FOR ADAPTATION TO CLIMATE CHANGE at coastal zones; at river basins
- Y02A10/40—Controlling or monitoring, e.g. of flood or hurricane; Forecasting, e.g. risk assessment or mapping
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种泛洪攻击防御方法、装置、设备及计算机可读存储介质,该方法包括:按照预设计算策略对来自未知源IP的连接建立报文进行计算,得到第一计算结果;将所述第一计算结果作为连接确认报文的SEQ值,向所述未知源IP返回所述连接确认报文;响应于接收到来自所述未知源IP的第一应答报文,按照所述预设计算策略对所述第一应答报文进行计算,得到第二计算结果,所述第一应答报文是由所述未知源IP根据所述连接确认报文生成的;若所述第二计算结果与所述第一应答报文中的应答字段不符合预设规则,则拒绝与所述未知源IP建立通信连接。本公开在认证过程中客户端只需发起一次连接请求,在保证防御效果的同时节约了客户端的访问时间。
Description
技术领域
本公开涉及通信安全技术领域,尤其涉及一种泛洪攻击防御方法、装置、设备及计算机可读存储介质。
背景技术
TCP/IP是广泛应用于互联网中最基本的通信协议,计算机通过TCP/IP协议来进行相互通信。在传输控制协议(TransmissionControlProtocol,TCP)连接建立通信的过程中,需要有三次握手才可以正常建立TCP连接。
SYN泛洪攻击正是利用三次握手的过程,攻击者伪造大量的客户端IP与MAC地址,向被攻击的服务器发送海量SYN报文,使服务器向客户端返回第二次握手报文并进入SYN-RECV状态,而被伪造IP的真实客户端并没有向服务器发送过连接请求,因此真实客户端在接收到服务器返回的第二次握手报文后会直接丢弃,并不会向服务器发送第三次握手报文,使得服务器持续处于SYN-RECV状态,重复向客户端返回第二次握手报文,这会导致服务器的中央处理器(Central Processing Unit,CPU)资源与内存资源被消耗,当攻击者发送的SYN报文数量过多时,服务器会因为内存容量不足或CPU资源不足而崩溃。
传统的防止SYN泛洪攻击的“源认证”方法,是服务器在接收到一个SYN报文之后,记录下当前SYN报文的源地址,并向对方回复错误的第二次握手报文,此时正常客户端会向服务器发送RST连接重置报文,服务器通过检测RST连接重置报文的源地址是否已经被记录来判断是否发生SYN泛洪攻击。因此“源认证”方法实际上进行了两次连接建立的请求响应,延长了响应时间,影响客户端的体验。
发明内容
为了解决上述技术问题,本公开提供了一种泛洪攻击防御方法、装置、设备及计算机可读存储介质。
第一方面,本公开实施例提供一种泛洪攻击防御方法,包括:
按照预设计算策略对来自未知源IP的连接建立报文进行计算,得到第一计算结果;
将所述第一计算结果作为连接确认报文的SEQ值,向所述未知源IP返回所述连接确认报文;
响应于接收到来自所述未知源IP的第一应答报文,按照所述预设计算策略对所述第一应答报文进行计算,得到第二计算结果,所述第一应答报文是由所述未知源IP根据所述连接确认报文生成的;
若所述第二计算结果与所述第一应答报文中的应答字段不符合预设规则,则拒绝与所述未知源IP建立通信连接。
在一些实施例中,所述按照预设计算策略对来自未知源IP的连接建立报文进行计算,得到第一计算结果,包括:
提取所述连接建立报文中携带的目标字段;
按照预设计算策略对于所述连接建立报文中的目标字段进行计算,得到第一计算结果。
在一些实施例中,所述按照所述预设计算策略对所述第一应答报文进行计算,得到第二计算结果,包括:
提取所述第一应答报文中携带的目标字段;
按照所述预设计算策略对所述第一应答报文中的目标字段进行计算,得到第二计算结果。
在一些实施例中,所述目标字段至少包括下列一项或多项:
源IP、源端口号、源MAC地址、目的IP、目的端口号、目的MAC地址。
在一些实施例中,所述预设规则包括:
所述应答字段与所述第二计算结果的差值为1。
在一些实施例中,响应于接收到来自所述未知源IP的第一应答报文,按照所述预设计算策略对所述第一应答报文进行计算,得到第二计算结果之后,所述方法还包括:
若所述第二计算结果与所述第一应答报文中的应答字段符合预设规则,则将所述第一应答报文对应的源IP、源端口记录至通信白名单中;
向所述未知源IP发送第二应答报文,建立与所述未知源IP的通信连接。
在一些实施例中,所述将所述第一计算结果作为所述连接建立报文的SEQ值,向所述未知源IP返回所述连接建立报文之后,所述方法还包括:
若未接收到来自所述未知源IP的第一应答报文,则结束此次防御操作。
第二方面,本公开实施例提供一种泛洪攻击防御装置,包括:
第一计算模块,用于按照预设计算策略对来自未知源IP的连接建立报文进行计算,得到第一计算结果;
返回模块,用于将所述第一计算结果作为连接确认报文的SEQ值,向所述未知源IP返回所述连接确认报文;
第二计算模块,用于响应于接收到来自所述未知源IP的第一应答报文,按照所述预设计算策略对所述第一应答报文进行计算,得到第二计算结果,所述第一应答报文是由所述未知源IP根据所述连接确认报文生成的;
防御模块,用于若所述第二计算结果与所述第一应答报文中的应答字段不符合预设规则,则拒绝与所述未知源IP建立通信连接。第三方面,本公开实施例提供一种电子设备,包括:
存储器;
处理器;以及
计算机程序;
其中,所述计算机程序存储在所述存储器中,并被配置为由所述处理器执行以实现如第一方面所述的方法。
第四方面,本公开实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行以实现第一方面所述的方法。
第五方面,本公开实施例还提供了一种计算机程序产品,该计算机程序产品包括计算机程序或指令,该计算机程序或指令被处理器执行时实现如上所述的泛洪攻击防御方法。
本公开实施例提供的泛洪攻击防御方法、装置、设备及计算机可读存储介质,在认证过程中客户端只需发起一次连接请求,在保证防御效果的同时节约了客户端的访问时间。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的泛洪攻击防御方法流程图;
图2为本公开实施例提供的一种应用场景的示意图;
图3为本公开另一实施例提供的泛洪攻击防御方法流程图;
图4为本公开实施例提供的一种泛洪攻击防御方法信令图;
图5为本公开另一实施例提供的一种应用场景的示意图;
图6为本公开实施例提供的泛洪攻击防御装置的结构示意图;
图7为本公开实施例提供的电子设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
在建立TCP连接的三次握手过程中,第一次握手时,客户端需要向服务器发送第一次握手报文(SYN报文)请求建立连接,等待服务器确认;第二次握手时,服务器收到SYN报文后,向客户端发送第二次握手报文以确认客户端的连接请求,此时服务器进入SYN-RECV状态,等待来自客户端第三次握手报文;第三次握手时,客户端接收到服务器的第二次握手报文后,向服务器发送第三次握手报文,此时客户端与服务器之间的TCP连接建立完成。
而当服务器一直没有接收到客户端的第三次握手报文时,会一直处于SYN-RECV状态并重复重传第二次握手报文。这会导致服务器的CPU资源与内存资源被消耗,当攻击者发送的SYN报文数量过多时,服务器会因为内存容量不足或CPU资源不足而崩溃。
现有的防止SYN泛洪攻击的方法通常有“源认证”和“首包丢弃”两种方式。
“首包丢弃”是指针对同一个IP源,丢弃IP源发送的第一个SYN报文,等待IP源的第二个SYN报文。即服务器不会理会客户端传来的第一次连接请求,对于正常的客户端,当发送的SYN报文没有被确认的时候,会重传SYN报文。在一定时间内,如果同一个IP只发送了一次SYN报文,则认为该报文是攻击报文;如果发送了两次或以上的SYN报文,则认为该报文是正常报文。但是如果攻击者在攻击时令每个IP都发送两次或以上的SYN报文,那么首包丢弃的方法显然无法识别到攻击行为,且这种方法需要存储IP发送的SYN报文的数量,占用了内存资源。
“源认证”方法是指服务器在接收到一个SYN报文之后,记录下当前SYN报文的源地址。并向对方回复一个错误的第二次握手报文。此时正常的客户端应当会向服务器发送RST连接重置报文。服务器检测接收到的RST连接重置报文的源地址是否与之前记录的SYN报文的源地址相同,如果相同则表明SYN报文是一个正常的报文,将源地址添加到白名单里即可;如果在一定时间内没有接收到RST连接重置报文,则认定之前所接收的SYN报文为攻击报文,丢弃之前存储的源地址。这种方案额外向客户端发送一次错误的第二次握手报文,并接收RST连接重置报文后进行判断,因此正常的客户端需要有两次建链过程才可以访问到服务器,两次连接请求延长了响应时间,影响了客户端的使用体验。同时服务器还需要存储SYN报文的相关信息,以便在接收到RST连接重置报文后进行确认,对于内存资源的占用比较大。
针对上述问题,本公开实施例提供了一种泛洪攻击防御方法,下面结合具体的实施例对该方法进行介绍。
图1为本公开实施例提供的泛洪攻击防御方法流程图。该方法可以应用于图2所示的应用场景,该应用场景中包括服务器21和客户端22,服务器21侧运行有泛洪攻击防御系统,客户端22具体可以是终端,例如,智能手机、掌上电脑、平板电脑、带显示屏的可穿戴设备、台式机、笔记本电脑、一体机、智能家居设备等。可以理解的是,本公开实施例提供的泛洪攻击防御方法还可以应用在其他场景中,例如泛洪攻击防御系统可以作为防火墙、应用程序、硬件设备等在服务器TCP协议栈外部抵御SYN流量攻击,也可以融入到服务器的TCP协议栈内部或卸载的硬件TCP协议栈内部进行SYN流量攻击的防护,本公开实施例仅以泛洪攻击防御系统运行在服务器内部进行说明。
下面结合图2所示的应用场景,对图1所示的泛洪攻击防御方法进行介绍,该方法包括的具体步骤如下:
S101、按照预设计算策略对来自未知源IP的连接建立报文进行计算,得到第一计算结果。
未知源IP可以理解为尚未与服务器建立连接的客户端的IP。当客户端请求与服务器建立连接(如TCP连接)时,向客户端发送连接建立报文,即用于第一次握手的SYN报文。
服务器接收到来自未知源IP的连接建立报文后,按照预设计算策略对该连接建立报文进行计算,得到的哈希值作为第一计算结果。具体的,服务器按照预设计算策略对连接建立报文中的目标字段进行计算,得到第一计算结果。
其中,所述预设计算策略包括但不限于哈希计算、减法计算、加法计算、CRC计算、固定值计算等等。
S102、将所述第一计算结果作为连接确认报文的SEQ值,向所述未知源IP返回所述连接确认报文。
SEQ号存在于报文段的首部中,用来标识从源端向目的端发送的字节流,源端发送数据时对此进行标记。
在本公开实施例中,SEQ号的值由服务器指定为上述第一计算结果。
服务器向未知源IP客户端返回连接确认报文,该连接确认报文的SEQ值为所述第一计算结果,之后等待未知源IP客户端的回复。
S103、响应于接收到来自所述未知源IP的第一应答报文,按照所述预设计算策略对所述第一应答报文进行计算,得到第二计算结果,所述第一应答报文是由所述未知源IP根据所述连接确认报文生成的。
如果收到未知源IP客户端返回的第一应答报文,则采用与计算第一计算结果相同的预设计算策略,根据第一应答报文计算得到第二计算结果。具体的,服务器按照预设计算策略对第一应答报文中的目标字段进行计算,得到第二计算结果。
在一些实施例中,所述特定字段包括但不限于源IP字段、源端口字段等等,因此在正常情况下,根据连接建立报文计算得到的第一计算结果与根据第一应答报文计算得到的第二计算结果一致。
S104、若所述第二计算结果与所述第一应答报文中的应答字段不符合预设规则,则拒绝与所述未知源IP建立通信连接。
具体的,所述预设规则为所述应答字段与所述第二计算结果的差值为1,即第二计算结果加一等于所述应答字段。
第一应答报文中的应答字段即ACK字段。正常情况下,客户端在接收到服务器发送的连接确认报文后,识别连接确认报文中的SEQ号,并在SEQ值的基础上加一作为第一应答报文中的ACK字段。因此,在SEQ值被指定为第一计算结果时,正常的第一应答报文中的应答字段应为第一计算结果加一,也即是第二计算结果加一。而当第二计算结果与所述第一应答报文中的应答字段不符合预设规则时,则代表该第一应答报文异常,将第一应答报文丢弃,拒绝与所述未知源IP建立通信连接。
本公开实施例通过按照预设计算策略对来自未知源IP的连接建立报文进行计算,得到第一计算结果;将所述第一计算结果作为连接确认报文的SEQ值,向所述未知源IP返回所述连接确认报文;响应于接收到来自所述未知源IP的第一应答报文,按照所述预设计算策略对所述第一应答报文进行计算,得到第二计算结果,所述第一应答报文是由所述未知源IP根据所述连接确认报文生成的;若所述第二计算结果与所述第一应答报文中的应答字段不符合预设规则,则拒绝与所述未知源IP建立通信连接,在认证过程中客户端只需发起一次连接请求,在保证防御效果的同时节约了客户端的访问时间。
在上述实施例的基础上,所述按照预设计算策略对来自未知源IP的连接建立报文进行计算,得到第一计算结果,包括:提取所述连接建立报文中携带的目标字段;按照预设计算策略对于所述连接建立报文中的目标字段进行计算,得到第一计算结果。
相应的,所述按照所述预设计算策略对所述第一应答报文进行计算,得到第二计算结果,包括:提取所述第一应答报文中携带的目标字段;按照所述预设计算策略对所述第一应答报文中的目标字段进行计算,得到第二计算结果。
其中,所述目标字段至少包括下列一项或多项:源IP、源端口号、源MAC地址、目的IP、目的端口号、目的MAC地址。
可以理解的是,在另一些实施例中,还可以将连接建立报文中所携带的目标字段信息(源IP、源端口号、源MAC地址等)作为SEQ值,或是根据目标字段按照预设计算策略进行特定运算得到的数据作为SEQ值,包括但不限于哈希计算、加法计算、CRC计算等。
由于第一计算结果与第二计算结果对应的算法相同,且用于计算的目标字段信息也相同,因此不需要存储每个返回的连接应答报文的SEQ值,只需确定计算方法,并采用相同的计算方法对第一应答报文中的目标字段进行计算即可,且正常情况下第一计算结果与第二计算结果相同。
另外,由于不需要存储SEQ值或是其他来自于源IP客户端的标识信息,有效节约了服务器侧的内存资源。
图3为本公开另一实施例提供的泛洪攻击防御方法流程图,如图3所示,该方法包括如下几个步骤:
S301、按照预设计算策略对来自未知源IP的连接建立报文进行计算,得到第一计算结果。
S302、将所述第一计算结果作为连接确认报文的SEQ值,向所述未知源IP返回所述连接确认报文。
具体的,S301~S302和S101~S102的实现过程和原理一致,此处不再赘述。
S303、判断是否接收到来自所述未知源IP的第一应答报文。若是,执行S304;若否,执行S308。
具体的,此步骤等待预设时间后结束,若在预设时间内未接收到来自所述未知源IP的第一应答报文,则执行S308。
S304、按照所述预设计算策略对所述第一应答报文进行计算,得到第二计算结果。
S305、判断第二计算结果与所述第一应答报文中的应答字段是否符合预设规则。若是,执行S306;若否,执行S308。
具体的,所述预设规则包括所述应答字段与所述第二计算结果的差值为1。
S306、将所述第一应答报文对应的源IP、源端口记录至通信白名单中。
在第二计算结果与应答字段匹配通过后,至此未知源IP客户端与服务器之间的认证过程已经完成,服务器将未知源IP客户端的源IP、源端口记录至通信白名单中,之后再接收到来自该源IP、源端口的报文时即可正常进行处理。
S307、向所述未知源IP发送第二应答报文,建立与所述未知源IP的通信连接。
服务器向未知源IP客户端发送第二应答报文,完成TCP链接的建立流程。
S308、结束。
若未接收到来自所述未知源IP的第一应答报文,将不做任何处理,结束此次防御操作,同时等待下一连接建立报文。
若第二计算结果与所述第一应答报文中的应答字段不符合预设规则,则丢弃该第一应答报文,不与所述未知源IP的客户端建立连接,结束此次防御操作,同时等待下一连接建立报文。
本公开实施例通过将SEQ值指定为根据目标字段以及特定的预设计算策略得到的计算结果,因此无需对SEQ号进行存储,只需确定计算方法即可对连接请求进行认证,节约了内存资源,同时,客户端只需要发起一次连接请求,若通过验证即可访问服务器,节约了客户端的访问时间。
图4为本公开实施例提供的一种泛洪攻击防御方法信令图。该方法可以应用于如图5所示的应用场景中,如图5所示,泛洪攻击防御系统52作为防火墙、应用程序、硬件设备等在服务器53TCP协议栈外部运行,对来自于客户端51的报文进行检测。可以理解的是,泛洪攻击防御系统还可以融入到服务器的TCP协议栈内部或卸载的硬件TCP协议栈内部,本公开实施例仅以泛洪攻击防御系统运行在服务器外部为例进行说明。
如图4所示,该方法包括如下几个步骤:
S401、泛洪攻击防御系统接收到来自于未知源IP客户端的SYN报文。
S402、泛洪攻击防御系统提取SYN报文中的目标字段并按照预设计算策略进行计算,得到第一计算结果。
其中,目标字段可以是源IP、源端口号、源MAC地址、目的IP、目的端口号、目的MAC地址中的一个或几个。
S403、将第一计算结果作为SYN报文的SEQ值,发送给未知源IP客户端。
S404、响应于接收到来自未知源IP客户端的SYN+ACK报文,提取SYN+ACK报文中的目标字段并按照预设计算策略进行计算,得到第二计算结果。
S405、将SYN+ACK报文中携带的ACK字段与第二哈希结果进行比较,判断SYN+ACK报文是否为正常报文。
其中,正常情况下ACK字段为SEQ值加1,同时ACK字段为第二哈希结果加1。
S406、若SYN+ACK报文为正常报文,则将源IP与源PORT记录到白名单内,并向未知源IP客户端发送SYN+ACK报文,完成TCP链接的建立。
S407、未知源IP客户端与服务器基于TCP链接进行通信。
本公开实施例通过将SEQ值指定为根据目标字段以及特定的预设计算策略得到的计算结果,因此无需对SEQ号进行存储,只需确定计算方法即可对连接请求进行认证,节约了内存资源,同时,客户端只需要发起一次连接请求,若通过验证即可访问服务器,节约了客户端的访问时间。
图6为本公开实施例提供的泛洪攻击防御装置的结构示意图。该泛洪攻击防御装置可以是如上实施例所述的泛洪攻击防御系统或运行有泛洪攻击防御系统的服务器,或者该泛洪攻击防御装置可以是该泛洪攻击防御系统或运行有泛洪攻击防御系统的服务器中的部件或组件。本公开实施例提供的泛洪攻击防御装置可以执行泛洪攻击防御方法实施例提供的处理流程,如图6所示,泛洪攻击防御装置60包括:第一计算模块61、返回模块62、第二计算模块63、防御模块64;其中,第一计算模块61用于按照预设计算策略对来自未知源IP的连接建立报文进行计算,得到第一计算结果;返回模块62用于将所述第一计算结果作为连接确认报文的SEQ值,向所述未知源IP返回所述连接确认报文;第二计算模块63用于响应于接收到来自所述未知源IP的第一应答报文,按照所述预设计算策略对所述第一应答报文进行计算,得到第二计算结果,所述第一应答报文是由所述未知源IP根据所述连接确认报文生成的;防御模块64用于若所述第二计算结果与所述第一应答报文中的应答字段不符合预设规则,则拒绝与所述未知源IP建立通信连接。
可选的,所述第一计算模块61包括第一提取单元611、第一计算单元612;第一提取单元611用于提取所述连接建立报文中携带的目标字段;第一计算单元612用于按照预设计算策略对于所述连接建立报文中的目标字段进行计算,得到第一计算结果。
可选的,所述第二计算模块63包括第二提取单元631、第二计算单元632;第二提取单元631用于提取所述第一应答报文中携带的目标字段;第二计算单元632用于按照所述预设计算策略对所述第一应答报文中的目标字段进行计算,得到第二计算结果。
可选的,所述目标字段至少包括下列一项或多项:源IP、源端口号、源MAC地址、目的IP、目的端口号、目的MAC地址。
可选的,所述预设规则包括:所述应答字段与所述第二计算结果的差值为1。
可选的,泛洪攻击防御装置60还包括连接模块65,用于若所述第二计算结果与所述第一应答报文中的应答字段符合预设规则,则将所述第一应答报文对应的源IP、源端口记录至通信白名单中;向所述未知源IP发送第二应答报文,建立与所述未知源IP的通信连接。
可选的,泛洪攻击防御装置60还包括结束模块66,用于若未接收到来自所述未知源IP的第一应答报文,则结束此次防御操作。
图6所示实施例的泛洪攻击防御装置可用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图7为本公开实施例提供的电子设备的结构示意图。该电子设备可以是如上实施例所述的泛洪攻击防御系统或运行有泛洪攻击防御系统的服务器。本公开实施例提供的电子设备可以执行泛洪攻击防御方法实施例提供的处理流程,如图7所示,电子设备70包括:存储器71、处理器72、计算机程序和通讯接口73;其中,计算机程序存储在存储器71中,并被配置为由处理器72执行如上所述的泛洪攻击防御方法。
另外,本公开实施例还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行以实现上述实施例所述的泛洪攻击防御方法。
此外,本公开实施例还提供了一种计算机程序产品,该计算机程序产品包括计算机程序或指令,该计算机程序或指令被处理器执行时实现如上所述的泛洪攻击防御方法。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种泛洪攻击防御方法,其特征在于,所述方法包括:
按照预设计算策略对来自未知源IP的连接建立报文进行计算,得到第一计算结果;
将所述第一计算结果作为连接确认报文的SEQ值,向所述未知源IP返回所述连接确认报文;
响应于接收到来自所述未知源IP的第一应答报文,按照所述预设计算策略对所述第一应答报文进行计算,得到第二计算结果,所述第一应答报文是由所述未知源IP根据所述连接确认报文生成的;
若所述第二计算结果与所述第一应答报文中的应答字段不符合预设规则,则拒绝与所述未知源IP建立通信连接。
2.根据权利要求1所述的方法,其特征在于,所述按照预设计算策略对来自未知源IP的连接建立报文进行计算,得到第一计算结果,包括:
提取所述连接建立报文中携带的目标字段;
按照预设计算策略对于所述连接建立报文中的目标字段进行计算,得到第一计算结果。
3.根据权利要求1所述的方法,其特征在于,所述按照所述预设计算策略对所述第一应答报文进行计算,得到第二计算结果,包括:
提取所述第一应答报文中携带的目标字段;
按照所述预设计算策略对所述第一应答报文中的目标字段进行计算,得到第二计算结果。
4.根据权利要求2或3所述的方法,其特征在于,所述目标字段至少包括下列一项或多项:
源IP、源端口号、源MAC地址、目的IP、目的端口号、目的MAC地址。
5.根据权利要求1所述的方法,其特征在于,所述预设规则包括:
所述应答字段与所述第二计算结果的差值为1。
6.根据权利要求1所述的方法,其特征在于,响应于接收到来自所述未知源IP的第一应答报文,按照所述预设计算策略对所述第一应答报文进行计算,得到第二计算结果之后,所述方法还包括:
若所述第二计算结果与所述第一应答报文中的应答字段符合预设规则,则将所述第一应答报文对应的源IP、源端口记录至通信白名单中;
向所述未知源IP发送第二应答报文,建立与所述未知源IP的通信连接。
7.根据权利要求1所述的方法,其特征在于,所述将所述第一计算结果作为所述连接建立报文的SEQ值,向所述未知源IP返回所述连接建立报文之后,所述方法还包括:
若未接收到来自所述未知源IP的第一应答报文,则结束此次防御操作。
8.一种泛洪攻击防御装置,其特征在于,包括:
第一计算模块,用于按照预设计算策略对来自未知源IP的连接建立报文进行计算,得到第一计算结果;
返回模块,用于将所述第一计算结果作为连接确认报文的SEQ值,向所述未知源IP返回所述连接确认报文;
第二计算模块,用于响应于接收到来自所述未知源IP的第一应答报文,按照所述预设计算策略对所述第一应答报文进行计算,得到第二计算结果,所述第一应答报文是由所述未知源IP根据所述连接确认报文生成的;
防御模块,用于若所述第二计算结果与所述第一应答报文中的应答字段不符合预设规则,则拒绝与所述未知源IP建立通信连接。
9.一种电子设备,其特征在于,包括:
存储器;
处理器;以及
计算机程序;
其中,所述计算机程序存储在所述存储器中,并被配置为由所述处理器执行以实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311614051.9A CN117560211A (zh) | 2023-11-29 | 2023-11-29 | 泛洪攻击防御方法、装置、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311614051.9A CN117560211A (zh) | 2023-11-29 | 2023-11-29 | 泛洪攻击防御方法、装置、设备及计算机可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117560211A true CN117560211A (zh) | 2024-02-13 |
Family
ID=89816524
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311614051.9A Pending CN117560211A (zh) | 2023-11-29 | 2023-11-29 | 泛洪攻击防御方法、装置、设备及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117560211A (zh) |
-
2023
- 2023-11-29 CN CN202311614051.9A patent/CN117560211A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8108531B2 (en) | Securing an access provider | |
US8935419B2 (en) | Filtering device for detecting HTTP request and disconnecting TCP connection | |
US7990866B2 (en) | Server device, method for controlling a server device, and method for establishing a connection using the server device | |
US11196767B2 (en) | Front-end protocol for server protection | |
EP0956685A1 (en) | Communications protocol with improved security | |
EP2916508B1 (en) | Data packet processing method, electronic device, and storage medium | |
US20120227088A1 (en) | Method for authenticating communication traffic, communication system and protective apparatus | |
CN107395632B (zh) | SYN Flood防护方法、装置、清洗设备及介质 | |
CN110266678B (zh) | 安全攻击检测方法、装置、计算机设备及存储介质 | |
US8543807B2 (en) | Method and apparatus for protecting application layer in computer network system | |
WO2020037781A1 (zh) | 一种实现服务器防攻击方法及装置 | |
Simpson | TCP cookie transactions (TCPCT) | |
CN108418844B (zh) | 一种应用层攻击的防护方法及攻击防护端 | |
CN110798451A (zh) | 一种安全认证的方法及装置 | |
CN113873057A (zh) | 数据处理方法和装置 | |
CN113242260A (zh) | 攻击检测方法、装置、电子设备及存储介质 | |
US20050182929A1 (en) | Efficient hash table protection for data transport protocols | |
CN107395550B (zh) | 一种网络攻击的防御方法及服务器 | |
CN109818912B (zh) | 防范泛洪攻击的方法、装置、负载均衡设备和存储介质 | |
CN117560211A (zh) | 泛洪攻击防御方法、装置、设备及计算机可读存储介质 | |
CN106961393B (zh) | 网络会话中udp报文的检测方法及装置 | |
CN114697088A (zh) | 一种确定网络攻击的方法、装置及电子设备 | |
JP2018142927A (ja) | マルウェア不正通信対処システム及び方法 | |
CN113810330A (zh) | 发送验证信息的方法、装置及存储介质 | |
US9537878B1 (en) | Network adaptor configured for connection establishment offload |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |