CN1697397A - 一种实现网络设备防攻击的方法 - Google Patents
一种实现网络设备防攻击的方法 Download PDFInfo
- Publication number
- CN1697397A CN1697397A CN 200410044215 CN200410044215A CN1697397A CN 1697397 A CN1697397 A CN 1697397A CN 200410044215 CN200410044215 CN 200410044215 CN 200410044215 A CN200410044215 A CN 200410044215A CN 1697397 A CN1697397 A CN 1697397A
- Authority
- CN
- China
- Prior art keywords
- message
- connection
- user
- list item
- udp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
本发明公开了一种实现网络设备防攻击的方法,该方法为:网络设备在接收到报文时根据报文中相关信息查找对应的连接表项,如果找到连接表项,则按相应的转发表项转发报文;否则根据报文中的源IP地址获得发送所述报文的用户已建立的连接数量并判是否小于预定值,如果是则为用户建立连接表项和转发表项并进行业务处理;否则丢弃所述报文。本发明通过限制同一用户的连接数目来防止攻击,并在同一用户的连接数目超过规定值时,将该用户的新的连接报文丢弃,这样就可以保证在遭到网络风暴攻击时系统的资源不会耗尽,而且还能提供正常的业务,从而提高系统防攻击的能力。
Description
技术领域
本发明涉及网络技术,尤其涉及一种实现网络设备防攻击的方法。
背景技术
近年来网络的应用在迅速普及,网络在快速发展的过程也遗留下了大量的系统和协议漏洞,用户在享受网络带来的便捷性的同时,也要面临它带来的威胁。以下是一些常用的攻击手段和原理:
TCP SYN Flood:当用户进行一次标准的传输控制协议(TCP)连接时,会有一个3次握手过程。首先是请求服务方发送一个同步消息,服务方收到同步消息后,会向请求方回送一个同步确认消息表示确认,当请求方收到同步确认消息后,再次向服务方发送一个接收确认消息,这样,一次TCP连接建立成功。TCP-SYN flood的攻击原理为:在实现过程中只进行前两个步骤,当请求方收到服务方的同步确认消息后,请求方停止向服务方发送接收确认消息,服务方将会在一定时间处于等待接收请求方接收确认消息的状态。对于某台服务器来说,可用的TCP连接是有限的,如果恶意攻击方快速连续地发送此类连接请求,该服务器可用的TCP连接队列将很快被阻塞,系统可用资源急剧减少,网络可用带宽迅速缩小,长此下去,网络将无法向用户提供正常的服务。
UDP Flood:由于用户数据包协议(UDP)在网络中的应用比较广泛,基于UDP攻击种类也较多。如今在因特上提供上网浏览和电子邮件等服务设备通常是使用Unix的服务器,它们默认一些被恶意利用的UDP服务,如echo和chargen服务,它会显示接收到的每一个数据包,而原本作为测试功能的chargen服务会在收到每一个数据包时随机反馈一些字符,如果恶意攻击者将这两个UDP服务互指,则网络可用带宽将很快耗尽。
为了预防TCP SYN Flood攻击通常采用以下两种方法:第一种是缩短服务方的等待删除时间(SYN Timeout)时间,由于SYN Flood攻击的效果取决于服务器上保持的半连接数,这个值=攻击的频度*SYN Timeout,所以通过缩短从接收到同步报文到确定这个报文无效并丢弃改连接的时间,例如设置为20秒以下(过低的SYN Timeout设置可能会影响客户的正常访问),可以成倍的降低服务器的负荷。第二种方法是设置SYN Cookie,就是给每一个请求连接的IP地址分配一个Cookie,如果短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP地址发来的所有包都被丢弃。
为了预防UDP Flood的攻击通常采用以下方法,第一种是关闭某些不使用的UDP端口,不提供Echo和Chargen服务,在需要使用该功能的时候再使用命令打开此功能;第二种是采用流量控制技术,把流量限制在一定范围内,一旦超过该流量新来的报文都将被丢弃,这样可以保证系统的其他服务还是正常的。
另外,也可以利用防火墙来保护网络的安全。在组网的时候,在各个网络设备之间分别加上一个防火墙,并在防火墙上定义什么是合法的连接,并阻止非法用户的入侵。防火墙根据这些预定义的规则,就可以识别这些攻击所采用的攻击方法,并将攻击包阻挡在外。许多商业防火墙可以通过设置,及时表明攻击迹象。可以向设备管理部门提供防火墙的详细记录,信息越详细,他们就可以越快地把数据包过滤掉,防止这些攻击数据包进入网络。这些信息同时也有利于追踪攻击者。
虽然上述方法可以在一定程序上起到防攻击的作用,但存在以下缺点:
对付TCP SYN Flood的两种方法只能对付比较原始的SYN Flood攻击,缩短SYN Timeout时间仅在对方攻击频度不高的情况下生效,而在攻击频度高的情况下效果较差。
为了预防UDP Flood攻击把UDP的相关端口关闭,同时也屏蔽了该端口提供的正常功能,如果采用流量控制技术,只是在异常情况下保证系统可以不死机,因为一旦超过设置的流量,系统将同时丢弃很多正常的报文,可能导致不可预测的问题。
使用防火墙可以有效的防止各种攻击,但是需要运营商在组网时额外购买防火墙,增加了成本和网络的复杂性。
发明内容
本发明的目的在于提供一种实现网络设备防攻击的方法,以解决现有的防攻击方法中存在防攻击力较差和影响正常业务的问题。
实现本发明的技术方案:
一种实现网络设备防攻击的方法,在于网络设备在接收到报文时进行下述步骤:
A、根据报文中相关信息查找对应的连接表项,如果找到连接表项,则按相应的转发表项转发报文;否则进行步骤B;
B、至少根据报文中的源IP地址获得发送所述报文的用户已建立的连接数量;
C、判断所述连接数量是否小于预定值,如果是则为用户建立连接表项和转发表项并进行业务处理;否则丢弃所述报文。
其中:
将用户已建立连接的数量和对应的用户IP地址存储于表中,当用户新建连接或断开已建立的连接时更新该表中用户已建立的连接数量。
所述相关信息为能够唯一确定一个连接的五元组信息。
所述报文为传输控制协议(TCP)报文或用户数据报协议(UDP)报文,所述连接为传输控制协议(TCP)或用户数据报协议(UDP)连接。
本发明通过对同一用户的连接报文的限制,能有效的防止攻击,增强网络设备对攻击的防范能力,抵御来自网络中的攻击,确保设备在受到攻击的时候还能提供正常的业务,维护网络秩序。
附图说明
图1为本发明的流程图。
具体实施方式
本发明通过限制每个用户的传输控制协议/用户数据报协议(TCP/UDP)连接数来防止TCP SYN Flood和UDP Flood的攻击。
网络风暴(SYN Flood)攻击是攻击者将大量的首包报文SYN发送给服务器,服务器收到每个首包报文后会发送首包响应报文SYN ACK,并建立传输控制协议(TCP)半开连接,然后等待客户侧发来的回应报文ACK。但攻击者不会发送服务器等待的回应报文ACK,导致服务器充满了半开连接。由于服务器不断地向外发送得不到任何回应的首包响应报文SYN ACK,使服务器处于异常繁忙的状态,使正常的连接请求很难被处理,最终造成正常业务中断。
由于传输控制协议是面向连接的,而用户数据报协议(UDP)是面向非连接,但是交换/路由设备在收到客户端的UDP报文后,仍然要为该客户分配资源,因而大量的没有后UDP报文的第一、第二个报文将会占用大量的资源。
网络设备在受到TCP SYN Flood和UDP Flood的攻击而异常是因为系统中TCP/UDP连接数大多,占用了太多的系统资源所致。因此,系统限制每个用户只能建立一定数量的TCP/UDP连接,一旦发现某个用户使用的连接数超过预定值,系统就禁止新连接的建立,除非原来占用的连接断开,才可以建立新连接。这样就可以在一定程度上限制了系统中TCP/UDP连接的数量。所述预定值设定为一个用户正常上网连接数量的两倍。
一条连接是由五元组即源IP地址、目的IP地址、源端口号、目的端口号和协议类型所决定,一个用户访问不同的网站可能要在网络设备上建立不同的连接,即使访问相同的网站里面不同的内容都可能要建立不同的连接。虽然这些连接的目的IP地址,目的端口号和协议类型可能不同,但是源IP地址是相同的,因此建立一个统计(IP_CON)表,该表的表项记录系统中每个用户已经建立的连接数量,以用户的源IP地址为索引。
当用户新建一个连接或断开一个已建立的连接后,更新统计表中该用户的连接数量。
参阅图1所示,对报文的处理流程如下:
步骤10:网络设备接收到一个报文。
步骤20:根据报文中能够确定唯一连接的五元组信息判断是否有该用户对应的已经建立的连接表项,如果有则进行步骤30;否则进行步骤40。
五元组信息包括源IP地址、源端口号、目的IP地址、目的端口号和协议类型,当然其中的源端口号和目的端口号也可是源MAC地址和目的MAC地址。
步骤30:根据连接表项对应的转发表项转发收到的报文。
由于能够查找到连接表项,说明以前转发过类似的报文,因此,可以找到这条连接的转发表项,然后直接对报文进行业务处理并转发。
步骤40:根据报文中的源IP地址获取该用户已建立的连接数量。
没有找到这条连接的连接表项,说明这是一个新的TCP或UDP连接,网络设备需要把该报文送到控制平台处理,由控制平台的处理模块检查该用户已经有多少条连接。
步骤50:判断该用户已建立连接的数量是否超过预定值,如果是则进行步骤60,否则进行步骤70。
步骤60:丢弃收到的报文,并结束对该报文的处理。
步骤70:为该连接建立相应的连接表项和转发表项,表项建立成功后根据用户的源IP地址查找IP_CON表,如果找到对应的表项,则直接更新已经建立的连接数量,否则为该用户新建一条表项,同时设置其对应的连接数量为1。
在建立连接表项和转发表项后,该连接上来的后续的报文就直接根据连接表项和转发表项进行处理。
本发明通过限制同一用户的连接数目来防止攻击,并在同一用户的连接数目超过规定值时,将该用户的新的连接报文丢弃,这样就可以保证在遭到网络风暴攻击时系统的资源不会耗尽,而且还能提供正常的业务,从而提高系统防攻击的能力。
Claims (6)
1、一种实现网络设备防攻击的方法,其特征在于网络设备在接收到报文时进行下述步骤:
A、根据报文中相关信息查找对应的连接表项,如果找到连接表项,则按相应的转发表项转发报文;否则进行步骤B;
B、根据报文中的源IP地址获得发送所述报文的用户已建立的连接数量;
C、判断所述连接数量是否小于预定值,如果是则为用户建立连接表项和转发表项并进行业务处理;否则丢弃所述报文。
2、如权利要求1所述的方法,其特征在于,将用户已建立连接的数量和对应的用户IP地址存储于表中,当用户新建连接或断开已建立的连接时更新该表中用户已建立的连接数量。
3、如权利要求1所述的方法,其特征在于,所述相关信息为能够唯一确定一个连接的五元组信息。
4、如权利要求3所述的方法,其特征在于,所述五元组信息包括源IP地址、目的IP地址、源端口号、目的端口号和协议类型。
5、如权利1要求所述的方法,其特征在于,所述预定值设定为用户正常上网连接数量的两倍。
6、如权利要求1至5任一所述的方法,其特征在于,所述报文为传输控制协议(TCP)报文或用户数据报协议(UDP)报文,所述连接为传输控制协议(TCP)连接或用户数据报协议(UDP)连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200410044215XA CN100420197C (zh) | 2004-05-13 | 2004-05-13 | 一种实现网络设备防攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200410044215XA CN100420197C (zh) | 2004-05-13 | 2004-05-13 | 一种实现网络设备防攻击的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1697397A true CN1697397A (zh) | 2005-11-16 |
| CN100420197C CN100420197C (zh) | 2008-09-17 |
Family
ID=35349933
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB200410044215XA Expired - Lifetime CN100420197C (zh) | 2004-05-13 | 2004-05-13 | 一种实现网络设备防攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100420197C (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008080324A1 (fr) * | 2006-12-31 | 2008-07-10 | Huawei Technologies Co., Ltd. | Procédé et appareil pour empêcher une attaque par messages igmp |
| WO2009000169A1 (fr) * | 2007-06-28 | 2008-12-31 | Huawei Technologies Co., Ltd. | Procédé de transfert de message et dispositif réseau |
| CN100454839C (zh) * | 2005-11-24 | 2009-01-21 | 华为技术有限公司 | 一种基于用户防攻击的装置以及方法 |
| CN101034975B (zh) * | 2007-04-05 | 2010-05-26 | 华为技术有限公司 | 防范小报文攻击的方法和装置 |
| CN101022458B (zh) * | 2007-03-23 | 2010-10-13 | 杭州华三通信技术有限公司 | 会话的控制方法及控制装置 |
| CN101355419B (zh) * | 2008-08-22 | 2011-01-05 | 成都市华为赛门铁克科技有限公司 | 一种网络攻击防范方法和装置 |
| CN101969637A (zh) * | 2009-07-28 | 2011-02-09 | 华为技术有限公司 | 网络连接管理方法以及相关装置 |
| CN101202742B (zh) * | 2006-12-13 | 2011-10-26 | 中兴通讯股份有限公司 | 一种防止拒绝服务攻击的方法和系统 |
| WO2011131076A1 (zh) * | 2010-04-22 | 2011-10-27 | 华为技术有限公司 | 建立流转发表项的方法及数据通信设备 |
| CN101743966B (zh) * | 2009-12-29 | 2012-10-31 | 华南农业大学 | 茶皂素与杀螨剂混配的杀虫剂 |
| CN102882894A (zh) * | 2012-10-30 | 2013-01-16 | 杭州迪普科技有限公司 | 一种识别攻击的方法及装置 |
| CN101854333B (zh) * | 2009-03-30 | 2013-06-05 | 华为技术有限公司 | 对不完整会话攻击进行检测的方法和装置 |
| CN103384221A (zh) * | 2013-06-26 | 2013-11-06 | 汉柏科技有限公司 | 一种业务优先报文快转优化方法 |
| CN102045331B (zh) * | 2009-10-22 | 2014-01-22 | 成都市华为赛门铁克科技有限公司 | 查询请求报文处理方法、装置及系统 |
| CN103685329A (zh) * | 2012-08-30 | 2014-03-26 | 华耀(中国)科技有限公司 | 基于负载均衡的高级访问控制系统及方法 |
| CN104363176A (zh) * | 2014-10-24 | 2015-02-18 | 杭州华三通信技术有限公司 | 一种报文控制的方法和设备 |
| CN104580225A (zh) * | 2015-01-14 | 2015-04-29 | 南京烽火星空通信发展有限公司 | 一种云平台安全防护加密装置和方法 |
| CN104601542A (zh) * | 2014-12-05 | 2015-05-06 | 国云科技股份有限公司 | 一种适用于虚拟机的ddos主动防护方法 |
| CN110071939A (zh) * | 2019-05-05 | 2019-07-30 | 江苏亨通工控安全研究院有限公司 | 针对传统ddos防火墙syn flood防护在工业网络中的改进方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5958053A (en) * | 1997-01-30 | 1999-09-28 | At&T Corp. | Communications protocol with improved security |
| CN1152517C (zh) * | 2002-04-23 | 2004-06-02 | 华为技术有限公司 | 防范网络攻击的方法 |
| US8201252B2 (en) * | 2002-09-03 | 2012-06-12 | Alcatel Lucent | Methods and devices for providing distributed, adaptive IP filtering against distributed denial of service attacks |
| US7540028B2 (en) * | 2002-10-25 | 2009-05-26 | Intel Corporation | Dynamic network security apparatus and methods or network processors |
-
2004
- 2004-05-13 CN CNB200410044215XA patent/CN100420197C/zh not_active Expired - Lifetime
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100454839C (zh) * | 2005-11-24 | 2009-01-21 | 华为技术有限公司 | 一种基于用户防攻击的装置以及方法 |
| CN101202742B (zh) * | 2006-12-13 | 2011-10-26 | 中兴通讯股份有限公司 | 一种防止拒绝服务攻击的方法和系统 |
| WO2008080324A1 (fr) * | 2006-12-31 | 2008-07-10 | Huawei Technologies Co., Ltd. | Procédé et appareil pour empêcher une attaque par messages igmp |
| CN101022458B (zh) * | 2007-03-23 | 2010-10-13 | 杭州华三通信技术有限公司 | 会话的控制方法及控制装置 |
| CN101034975B (zh) * | 2007-04-05 | 2010-05-26 | 华为技术有限公司 | 防范小报文攻击的方法和装置 |
| WO2009000169A1 (fr) * | 2007-06-28 | 2008-12-31 | Huawei Technologies Co., Ltd. | Procédé de transfert de message et dispositif réseau |
| CN101355419B (zh) * | 2008-08-22 | 2011-01-05 | 成都市华为赛门铁克科技有限公司 | 一种网络攻击防范方法和装置 |
| CN101854333B (zh) * | 2009-03-30 | 2013-06-05 | 华为技术有限公司 | 对不完整会话攻击进行检测的方法和装置 |
| CN101969637A (zh) * | 2009-07-28 | 2011-02-09 | 华为技术有限公司 | 网络连接管理方法以及相关装置 |
| CN102045331B (zh) * | 2009-10-22 | 2014-01-22 | 成都市华为赛门铁克科技有限公司 | 查询请求报文处理方法、装置及系统 |
| CN101743966B (zh) * | 2009-12-29 | 2012-10-31 | 华南农业大学 | 茶皂素与杀螨剂混配的杀虫剂 |
| US8761178B2 (en) | 2010-04-22 | 2014-06-24 | Huawei Technologies Co., Ltd. | Method for creating stream forwarding entry, and data communication device |
| WO2011131076A1 (zh) * | 2010-04-22 | 2011-10-27 | 华为技术有限公司 | 建立流转发表项的方法及数据通信设备 |
| CN103685329A (zh) * | 2012-08-30 | 2014-03-26 | 华耀(中国)科技有限公司 | 基于负载均衡的高级访问控制系统及方法 |
| CN103685329B (zh) * | 2012-08-30 | 2017-11-21 | 华耀(中国)科技有限公司 | 基于负载均衡的高级访问控制系统及方法 |
| CN102882894A (zh) * | 2012-10-30 | 2013-01-16 | 杭州迪普科技有限公司 | 一种识别攻击的方法及装置 |
| CN103384221A (zh) * | 2013-06-26 | 2013-11-06 | 汉柏科技有限公司 | 一种业务优先报文快转优化方法 |
| CN104363176A (zh) * | 2014-10-24 | 2015-02-18 | 杭州华三通信技术有限公司 | 一种报文控制的方法和设备 |
| CN104601542A (zh) * | 2014-12-05 | 2015-05-06 | 国云科技股份有限公司 | 一种适用于虚拟机的ddos主动防护方法 |
| CN104580225A (zh) * | 2015-01-14 | 2015-04-29 | 南京烽火星空通信发展有限公司 | 一种云平台安全防护加密装置和方法 |
| CN104580225B (zh) * | 2015-01-14 | 2017-11-03 | 南京烽火星空通信发展有限公司 | 一种云平台安全防护加密装置和方法 |
| CN110071939A (zh) * | 2019-05-05 | 2019-07-30 | 江苏亨通工控安全研究院有限公司 | 针对传统ddos防火墙syn flood防护在工业网络中的改进方法 |
| CN110071939B (zh) * | 2019-05-05 | 2021-06-29 | 江苏亨通工控安全研究院有限公司 | 针对传统ddos防火墙syn flood防护在工业网络中的改进方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100420197C (zh) | 2008-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100420197C (zh) | 一种实现网络设备防攻击的方法 | |
| CN101589595B (zh) | 用于潜在被污染端系统的牵制机制 | |
| US6973040B1 (en) | Method of maintaining lists of network characteristics | |
| CN101019405B (zh) | 用于在通信网络中缓解拒绝服务的方法和系统 | |
| CN108173812B (zh) | 防止网络攻击的方法、装置、存储介质和设备 | |
| US6816910B1 (en) | Method and apparatus for limiting network connection resources | |
| US8320242B2 (en) | Active response communications network tap | |
| CN101175013B (zh) | 一种拒绝服务攻击防护方法、网络系统和代理服务器 | |
| CN101202742B (zh) | 一种防止拒绝服务攻击的方法和系统 | |
| EP1482709A2 (en) | Queuing methods for mitigation of packet spoofing | |
| US7818795B1 (en) | Per-port protection against denial-of-service and distributed denial-of-service attacks | |
| US7854000B2 (en) | Method and system for addressing attacks on a computer connected to a network | |
| US7171688B2 (en) | System, method and computer program for the detection and restriction of the network activity of denial of service attack software | |
| US20010042200A1 (en) | Methods and systems for defeating TCP SYN flooding attacks | |
| US8387144B2 (en) | Network amplification attack mitigation | |
| US7404210B2 (en) | Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs | |
| US20070280106A1 (en) | Method and system for intrusion detection and prevention based on packet type recognition in a network | |
| EP1999585A2 (en) | BEHAVIOR-BASED TRAFFIC DIFFERENTIATION (BTD) TO DEFEND AGAINST DISTRIBUTED DENIAL OF SERVICE(DDoS) ATTACKS | |
| CN101064597B (zh) | 网络安全设备以及使用该网络安全设备处理包数据的方法 | |
| CN102510385A (zh) | 防ip数据报分片攻击的方法 | |
| CN108810008B (zh) | 传输控制协议流量过滤方法、装置、服务器及存储介质 | |
| US7464398B2 (en) | Queuing methods for mitigation of packet spoofing | |
| CN1545294A (zh) | 一种用于媒体流传输和网络测量的实时数据传输控制方法 | |
| CN101043465A (zh) | 动态主机配置协议服务管理方法以及系统 | |
| CN108449280B (zh) | 一种避免tcp报文乒乓的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |