CN101378395A - 一种防止拒绝访问攻击的方法及装置 - Google Patents
一种防止拒绝访问攻击的方法及装置 Download PDFInfo
- Publication number
- CN101378395A CN101378395A CNA2008101703136A CN200810170313A CN101378395A CN 101378395 A CN101378395 A CN 101378395A CN A2008101703136 A CNA2008101703136 A CN A2008101703136A CN 200810170313 A CN200810170313 A CN 200810170313A CN 101378395 A CN101378395 A CN 101378395A
- Authority
- CN
- China
- Prior art keywords
- address
- trusted
- network equipment
- tcp port
- address table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 230000016571 aggressive behavior Effects 0.000 title description 2
- 238000004891 communication Methods 0.000 claims abstract description 16
- 230000008878 coupling Effects 0.000 claims description 16
- 238000010168 coupling process Methods 0.000 claims description 16
- 238000005859 coupling reaction Methods 0.000 claims description 16
- 230000000295 complement effect Effects 0.000 claims description 2
- 238000012545 processing Methods 0.000 abstract description 2
- 238000012217 deletion Methods 0.000 description 16
- 230000037430 deletion Effects 0.000 description 16
- 230000008569 process Effects 0.000 description 14
- 230000005540 biological transmission Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 108700007698 Genetic Terminator Regions Proteins 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 3
- 235000014510 cooky Nutrition 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000007812 deficiency Effects 0.000 description 2
- 230000002950 deficient Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 230000015556 catabolic process Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000011430 maximum method Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及通信安全领域,为了解决现有技术中防范SYN洪水攻击成本高,准确性不高的不足,提供了一种防止拒绝访问攻击的方法及装置,该方法包括在网络设备中设置一可信任IP地址表,所述可信任IP地址表存储有可信任的IP地址和TCP端口号;当用户发起连接请求,所述网络设备判断该连接请求的目的TCP端口和源IP地址是否与所述可信任IP地址表中的相应记录匹配,如果匹配则允许建立连接,否则拒绝连接。本发明的有益效果在于,可靠性高,成本低,不需要在防火墙上实施,并且网络设备使用本发明方法比现有技术中防范拒绝访问攻击的方法处理连接的速度提高。
Description
技术领域
本发明涉及网络领域,特别涉及网络安全访问技术,具体的讲是一种防止拒绝访问攻击的方法及装置。
背景技术
随着网络技术的不断发展,它给人们带来了越来越多的便利,人们对它的依赖性也越来越大,但是这对网络的安全性和可靠性也带来了一定的挑战性,在体验网络所带来的方便的同时,人们也开始越来越关注网络的安全性和可靠性了。
TCP作为一个可靠的传输协议,几乎在所有的网络设备上都有实现,另外人们常常访问的WWW服务器也是使用的TCP协议来进行传输的。正是由于它使用的广泛性,黑客们经常通过拒绝服务攻击来达到破坏网络设备提供的TCP服务,而黑客们最常用的TCP拒绝服务攻击手段就是同步信号(SYN:synchronize)洪水攻击。
正常情况下建立一个TCP连接需要完成三次握手的动作,终止一个TCP连接要经过四次握手。三次握手成功后,客户端和服务端就可以开始进行数据的传输了。四次握手完成后,双方连接断开,通信结束。如图1所示为现有技术中建立和关闭一条TCP连接的流程图,包括7个步骤。
步骤1,客户发送一个带有SYN标志位的TCP报文段1,表示打算连接服务器的端口,同时表明这个连接的初始序号为101,终止序列号为101,报文中的数据字节为0。
步骤2,服务器回应一个带有SYN和ACK标志位的TCP报文段2,初始序列号为200,终止序列号为200,报文中的数据字节为0。同时,服务器确认了客户发送的报文段1,即回复ACK 102。
步骤3,客户发送一个带ACK标志的报文段3,确认服务器发送的报文段2,即回复ACK 201。至此,3个报文段完成了连接的建立,即三次握手过程。
步骤4,客户发送一个带有FIN和ACK标志为的TCP报文段4,表示希望关闭这个连接,后续不再往服务器发送数据。报文的起始序列号为102,终止序列号为102,报文中的数据字节为0。回复给服务器的确认号为ACK 201与报文段3的一样,表示在这期间客户并没有收到服务器发送过来的数据。
步骤5,服务器回应一个带ACK标志的报文段5,序列号为103,对报文段4的FIN的确认。
步骤6,服务器发送一个带有FIN和ACK标志的报文段6,表示希望关闭这个连接,后续不再往客户发送数据。报文的起始序列号为201,终止序列号为201,报文中的数据字节为0。回复给服务器的确认号为ACK 103与报文段5的一样,表示在这期间服务器并没有收到客户发送过来的数据。
步骤7,客户发送一个带ACK标志的报文段7,序列号为202,对报文段6的FIN的确认。至此,报文段4到7完成了连接的关闭,即四次握手过程。
而目前TCP攻击方式中最常见的就是SYN洪水攻击,攻击者通过发送大量伪造的TCP连接请求,使得被攻击方的资源(内存、CPU资源以及网络带宽)耗尽。由于TCP协议本身并不检查连接请求的合法性,所以SYN洪水攻击利用了TCP协议这个的缺陷。攻击这者向被攻击方发送大量的SYN报文,被攻击方接受到这些连接请求后需要对其处理,对其响应SYN+ACK报文,由于攻击者不再确认被攻击者发送的报文,而TCP协议是提供可靠服务的,当一定时间内如果收不到攻击方的确认报文,则被攻击方需要再次重传之前发送的SYN+ACK报文,而且一般都需要重传多次(重传的总时间为SYN Timeout),这样严重浪费了被攻击者的CPU资源以及维护这些连接所需要的内存资源。攻击者发送的SYN报文可以源IP地址,源端口,报文初始序列号三者的任意变化组合。
网络设备上两个比较常见也是使用最多的防止SYN洪水攻击的方法是减小SYN Timeout时间和SYN Cookie,前者通过缩短SYN报文的重传时间来达到快速释放***资源的目的,但是这种方法只适用于攻击频度不高的情况;后者通过为一个连接请求的IP分配一个Cookie的方式,在短时间内如果收到同一个IP地址的SYN报文,则认为是攻击,但是这种方法无法解决攻击者IP地址一直变化的情况。
中国专利公开号CN 1822593,发明名称为“一种抵御拒绝服务攻击事件的网络安全保护方法”,其具有对TCP连接请求合法性验证的过程,该方案使用防火墙设备,用防火墙设备作为第一层的防护,其中,中继防火墙的作用是利用防火墙设备先与用户完成TCP地三次握手,从而滤除一些拒绝服务攻击。此方法将防火墙作为一个TCP服务的代理,代替网络设备去处理TCP的SYN洪水攻击,TCP代理程序一般工作在应用层,处理半连接的数量也是有限的,很容易被攻破;同时,由于TCP三次握手过程增加了一次代理,这样势必影响了TCP连接的速度;另外,需要用户在部署网络的时候需要购买防火墙等专业设备,这样将增加网络运营商的成本,普通的中小企业用户恐怕无法支付这笔昂贵的费用,这种技术推广起来比较困难。该技术在特定时间内如果再次收到端口和IP一致,并且未超时的数据包,则认为这个连接请求是合法的,将这个IP地址添加到合法IP地址连接记录链表。如果SYN洪水攻击报文的端口、IP在此技术认为的特定时间内循环使用的话,那么可能导致非法用户被认为是合法用户,所有此技术还是存在一定的风险,无法准确判断出用户的合法性。
以引入方式将其合并于此。
发明内容
本发明的目的在于提供一种防止拒绝访问攻击的方法,用于解决现有技术中防范攻击成本高,并且容易将非法的攻击误认为合法连接的不足。
本发明的目的还在于提供一种防止拒绝访问攻击的装置,用于解决现有技术中无法准确判断连接的合法性的问题,并且能够克服现有技术必须在防火墙设备上实施的不足。
为了解决上述现有问题,本发明实施例提供了一种防止拒绝访问攻击的方法,其特征在于该方法包括,在网络设备中设置一可信任IP地址表,所述可信任IP地址表存储有可信任的IP地址和TCP端口号;当用户发起连接请求,所述网络设备判断该连接请求的目的TCP端口和源IP地址是否与所述可信任IP地址表中的相应记录匹配,如果匹配则允许建立连接,否则拒绝连接。
根据本发明实施例所述的一种防止拒绝访问攻击方法的一个进一步的方面,所述可信任IP地址表为两级链表,所述TCP端口号为第一级链表,与所述TCP端口号对应的IP地址为第二级链表;或者所述IP地址为第一级链表,与所述IP地址对应的TCP端口号为第二级链表。
根据本发明实施例所述的一种防止拒绝访问攻击方法的再一个进一步的方面,所述网络设备判断该连接请求的目的TCP端口和源IP地址是否与所述可信任IP地址表中的相应记录匹配的步骤包括,先将所述连接请求中的目的TCP端口或源IP地址数据与第一级链表中的数据相匹配,再在与所述第一级链表对应的第二级链表中匹配源IP地址或目的TCP端口数据。
根据本发明实施例所述的一种防止拒绝访问攻击方法的另一个进一步的方面,在所述网络设备判断该连接请求的目的TCP端口和源IP地址是否与所述可信任IP地址表中的相应记录匹配步骤之前,还包括根据所述连接请求的目的TCP端口判断所述网络设备上是否已经开启了该TCP端口的服务,如果已经开启则进行上述匹配步骤,否则拒绝连接。
根据本发明实施例所述的一种防止拒绝访问攻击方法的另一个进一步的方面,所述拒绝连接步骤中,所述网络终端直接丢弃所述连接请求报文,或者向用户终端返回连接复位的报文。
根据本发明实施例所述的一种防止拒绝访问攻击方法的另一个进一步的方面,在所述网络设备中设置一可信任IP地址表的步骤包括,所述网络设备根据相邻网络设备的信息,自动在所述可信任IP地址表中配置所述可信任IP地址和TCP端口号。
为了解决上述现有问题,本发明实施例还提供了一种防止拒绝访问攻击的装置,包括网络设备的通信单元,其特征在于该装置还包括,匹配单元,拒绝连接单元,允许连接单元,可信任IP地址表;其中,所述可信任IP地址表内存储有允许与该网络设备建立连接的其他网络设备的IP地址和TCP端口号;所述通信单元与用户终端通信,接收用户终端的连接请求,所述匹配单元判断该连接请求的目的TCP端口和源IP地址是否与所述可信任IP地址表中的相应记录匹配,如果匹配则调用允许连接单元建立所述网络设备与用户终端的连接,否则调用拒绝连接单元拒绝所述网络设备与用户终端的连接。
根据本发明实施例所述的一种防止拒绝访问攻击装置的一个进一步的方面,还包括添加单元和删除单元,分别与所述通信单元和可信任IP地址表相连接,通过所述添加单元和删除单元配置所述可信任IP地址表中的可信任IP地址和TCP端口号。
根据本发明实施例所述的一种防止拒绝访问攻击装置的再一个进一步的方面,还包括自动学习单元,根据所述网络设备上存储的与该网络设备相邻网络设备的信息,自动在所述可信任IP地址表中配置所述可信任IP地址和TCP端口号。
根据本发明实施例所述的一种防止拒绝访问攻击装置的另一个进一步的方面,所述拒绝连接单元直接丢弃所述连接请求报文,或者向用户终端返回连接复位的报文。
本发明实施例的有益效果在于,可靠性高,成本低,不需要在防火墙上实施,并且网络设备使用本发明方法比现有技术中防范拒绝访问攻击的方法处理连接的速度提高。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的限定。在附图中:
图1所示为现有技术中建立和关闭一条TCP连接的流程图;
图2所示为本发明第一实施例建立的可信任IP地址表示意图;
图3所示为本发明第二实施例建立的可信任IP地址表示意图;
图4所示为本发明添加可信任IP地址表的实施例流程图;
图5所示为本发明删除可信任IP地址表的第一实施例的流程图;
图6所示为本发明删除可信任IP地址表的第二实施例的流程图;
图7所示为本发明删除可信任IP地址表的第三实施例的流程图;
图8所示为本发明网络设备通过自动学习的实施例示意图;
图9所示为本发明网络设备与其它网络设备进行连接时的实施例流程图;
图10所示为本发明网络设备上防止TCP拒绝服务攻击的装置结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施方式和附图,对本发明做进一步详细说明。在此,本发明的示意性实施方式及其说明用于解释本发明,但并不作为对本发明的限定。
本发明实施例提供一种防止拒绝访问攻击的方法及装置。以下结合附图对本发明进行详细说明。
如图2所示为本发明第一实施例建立的可信任IP地址表示意图,在网络中的服务器或者中继设备上配置如图所示的可信任IP地址表,该表中的IP地址都是针对于某个服务端口可信任的IP地址,对网络设备上提供的每个TCP端口进行源IP地址的限制,如Telnet服务的23端口,可以在设备的这个端口上配置一组允许连接的可信任用户的IP地址。如BGP的179端口,则可以利用BGP协议本身的邻居建立关系,***将根据用户配置的邻居,自动将邻居IP添加到可信任的IP地址表中,删除邻居的时候自动将邻居IP从可信任的IP地址表中删除。
可信任的TCP连接用户IP地址表的创建和维护方法有两种:一种是用户的手工配置,另外一种是网络设备的自动学习。可信任IP地址表采用二级链表的组织方式,第一级链表是TCP的服务端口号,第二级链表是TCP端口号上面的可信任用户的IP地址。
如图3所示为本发明第二实施例建立的可信任IP地址表示意图,该可信任IP地址表以可信任的IP地址作为第一级链表,以可信任的IP地址对应的TCP服务端口号为第二级链表。
如图4所示为本发明添加可信任IP地址表的实施例流程图,用户终端通过互联网建立与网络设备的连接,在该网络设备上的可信任IP地址表中添加可信任的IP地址或TCP端口。用户终端输入要添加的IP地址和相应TCP端口号,IP地址表示可信任的IP地址,TCP端口号表示TCP的服务端口。
包括步骤401,开始添加流程。
步骤402,该网络设备判断是否开启了用户端要添加的TCP端口,如果开启了该TCP端口则进入步骤403,否则进入步骤404。该步骤可以减少对可信任IP地址表的匹配过程,提高网络设备的效率。
步骤403,该网络设备判断用户端添加IP地址是否已经存在于该网络设备的可信任IP地址表中,如果已经存在则进入步骤404,否则进入步骤405。
步骤404,结束添加流程。
步骤405,在所述可信任IP地址表中加入用户端添加可信任IP地址。
其中,对于网络设备管理员而言,通过所述用户端输入一条简单的配置命令即可以完成可信任IP地址的添加。
作为优选的实施例,可信任IP地址表如图2所示,用户端添加一个新的TCP端口的可信任IP地址时,在该可信任IP地址表中生成一个一级链表记录和一个二级链表记录。用户如果想在某个TCP端口上配置多个可信任IP地址,则此TCP端口对应的一级链表记录中添加相应个数的二级链表记录,如图2中23服务端口上具有多个二级链表记录。用户也可以将一个IP地址添加到多个服务端口,如图2中IP地址192.168.0.1存在于TCP端口23,80,179这三个一级链表记录上。相似的方法也可以应用于如图3所示的实施例中。
如图5所示为本发明删除可信任IP地址表的第一实施例的流程图,用户终端通过互联网建立与网络设备的连接,在该网络设备上的可信任IP地址表中删除IP地址,所述可信任IP地址表为图2所示的实施例。用户端输入要删除的IP地址和相应TCP端口号,IP地址表示可信任的IP地址,TCP端口号表示TCP的服务端口。
包括步骤501,开始删除流程。
步骤502,在所述网络设备的可信任IP地址表的第一级链表中寻找相应的TCP端口号,如果没有找到则进入步骤507,否则进入步骤503。
步骤503,在所述相应TCP端口号的第二级链表中,如果该TCP端口号所对应的第二级链表没有任何IP地址记录,则进入步骤504,否则进入步骤505。
步骤504,删除第一级链表该TCP端口号的记录,进入步骤507。
步骤505,找出第二级链表的IP地址中与用户终端输入的IP地址相同的IP地址,如果找到相应的IP地址则进入步骤506,否则进入步骤507。
步骤506,在所述可信任IP地址表中删除所述找到的IP地址。
步骤507,结束删除流程。
如图6所示为本发明删除可信任IP地址表的第二实施例的流程图,用户终端通过互联网建立与网络设备的连接,在该网络设备上的可信任IP地址表中删除IP地址,所述可信任IP地址表为图3所示的实施例。用户端输入要删除的IP地址和相应TCP端口号,IP地址表示可信任的IP地址,TCP端口号表示TCP的服务端口。
包括步骤601,开始删除流程。
步骤602,在所述网络设备的可信任IP地址表的第一级链表中寻找相应的IP地址,如果没有找到则进入步骤607,否则进入步骤603。
步骤603,在所述相应IP地址的第二级链表中,如果该IP地址所对应的第二级链表没有任何TCP端口记录,则进入步骤604,否则进入步骤605。
步骤604,删除第一级链表的该IP地址的记录,进入步骤607。
步骤605,找出第二级链表的TCP端口中与用户终端输入的TCP端口相同的TCP端口,如果找到相应的TCP端口则进入步骤606,否则进入步骤607。
步骤606,在所述可信任IP地址表中删除所述找到的TCP端口记录。
步骤607,结束删除流程。
如图7所示为本发明删除可信任IP地址表的第三实施例的流程图,用户端通过互联网建立与网络设备的连接,在该网络设备上的可信任IP地址表中删除IP地址,所述可信任IP地址表为图2所示的实施例。用户端输入要删除的IP地址,在可信任的IP地址表的所有第一级链表TCP端口中,寻找所述IP地址并删除。
包括步骤701,开始删除流程。
步骤702,在所述网络设备的可信任IP地址表中,寻找所有TCP端口号中具有相应IP地址的记录,如果找到则进行步骤703,否则进行步骤704。
步骤703,删除所述找到的IP地址。
步骤704,结束删除流程。
如图8所示为本发明网络设备通过自动学习的实施例示意图,对于采用TCP通信协议的网络设备,并且在该设备上还能够获得其邻居关系(存储有邻居IP地址),例如采用边界网关协议(BGP:Border Gateway Protocol)的网络设备,该网络设备就存储有邻居IP地址,网络设备将根据配置的邻居关系自动添加邻居对应的IP地址到可信任的TCP连接用户IP地址表,不需要网络管理员做任何的操作。
两台设备之间形成BGP连接的基本配置如图8所示,通过如图的配置可以看出路由器A的邻居是路由器B接口Fa0/1的IP地址,路由器B的邻居是路由A接口Fa 0/1的IP地址。在上述环境中,路由器A打开BGP,配置本地的自治***(AS:Autonomous Systems)为100,路由器A的邻居路由器B的地址为192.168.1.2,该邻居路由器B的AS为200;路由器B打开BGP,配置本地的自治***(AS:Autonomous Systems)为200,路由器B的邻居路由器A的地址为192.168.1.1,该邻居路由器B的AS为100。通过上面的配置,路由器A将执行添加操作,将IP地址为192.168.1.2端口为179的用户加入到路由器A的可信任IP地址表。同理,路由器B执行添加操作,将IP地址为192.168.1.1端口为179的用户加入到路由器B的可信任IP地址表。当路由器A或者B再和其他网络设备形成BGP邻居关系的时候,会将它们的邻居的端口号和IP地址都自动加入到可信任IP地址表中。当路由器A或者B的邻居被取消的时候,他们的邻居也将从可信任TCP连接用户IP地址表中自动删除。
这种自动学习的方式适用于利用TCP通信并存在邻居关系的所有协议,网络设备的这种能力将为这些协议提供安全可靠的连接服务,同时也达到了防止网络设备遭受SYN洪水攻击的效果。
如图9所示为本发明网络设备与其它网络设备进行连接时的实施例流程图,在本例中使用第一实施例的可信任IP地址表。
包括步骤901,所述网络设备收到用户发送的连接请求。
步骤902,获取连接请求的目的TCP端口号和源IP地址。
步骤903,判断该被连接的网络设备是否已经开启该TCP端口,如果已经开启则进入步骤904,否则进入步骤906。该步骤可以减少对可信任IP地址表的匹配过程,提高网络设备的效率。
步骤904,判断所述目的TCP端口号是否在所述网络设备的可信任IP地址表中,如果在则进入步骤905,否则进入步骤906。
步骤905,判断所述源IP地址是否在该被连接网络设备的可信任IP地址表的相应TCP端口的IP地址记录中,如果在则进入步骤911,否则进入步骤906。
步骤906,被连接网络设备拒绝用户的连接。
步骤907,判断该被连接网络设备是否发送RST标志的报文,即连接复位报文。如果发送则进入步骤908,否则进入步骤909。
步骤908,发送RST报文。
步骤909,直接丢弃请求报文。
步骤910,连接失败,连接步骤结束。
步骤911,接受连接请求。
步骤912,完成TCP协议的3次握手。
步骤913,连接成功,连接步骤结束。
作为优选的实施例,如果使用第二实施例的可信任IP地址表则步骤904和步骤905调换。
如图10所示为本发明网络设备上防止TCP拒绝服务攻击的装置结构图,包括通信单元1001,匹配单元1002,可信任IP地址表1003,拒绝连接单元1004,允许连接单元1005,删除单元1006,添加单元1007,自动学习单元1008。
所述通信单元1001分别与所述匹配单元1002、添加单元1007和删除单元1006相连接,所述可信任IP地址表也分别与所述匹配单元1002、添加单元1007和删除单元1006相连接,所述匹配单元1002分别与所述拒绝连接单元1004和允许连接单元1005相连接。
所述通信单元1001用于与外界设备通信。
所述可信任IP地址表1003,用于存储允许接入该网络设备的IP地址和TCP端口。
所述添加单元1007,用于在用户的控制下向所述可信任IP地址表添加记录。
所述删除单元1006,用于在用户的控制下从所述可信任IP地址表中找出相应的IP地址或者TCP端口记录进行删除。
所述自动学习单元1008,用于根据所述网络设备上存储的与该网络设备相邻网络设备的信息,自动在所述可信任IP地址表中配置所述可信任IP地址和TCP端口号。所述配置包括添加、删除操作。
所述匹配单元1002,用于根据所述网络设备接收到的连接请求信息,匹配所述可信任IP地址表,如果所述连接请求的目的TCP端口号、源IP地址与所述可信任IP地址表中的记录相同,则调用允许连接单元1005进行处理或者直接丢弃该连接请求报文,否则调用所述拒绝连接单元1004进行处理。
所述允许连接单元1005,用于建立所述网络设备与所述连接请求方的连接,进行现有技术中的三次握手进行连接。
所述拒绝连接单元1004,用于向所述发起连接请求的终端发送现有技术中的连接复位报文。
作为优选的实施例,用户端为网络设备的管理员,而网络设备为路由器,所述管理员在所述路由器的可信任IP地址表中进行手动的添加或者删除,通过与通信单元1001的连接,调用添加单元1007和删除单元1006配置所述可信任IP地址表1003,规定哪些IP地址的终端或者网络设备可以连接到该路由器的哪些TCP端口;或者该路由器可以通过自动学习单元1008根据BGP等协议获得与其相邻的网络设备的IP地址信息,自动将该相邻网络设备的信息添加到所述可信任IP地址表。
当一用户终端发起连接请求时,该网络设备的通信单元1001接收到该请求,获得该请求报文中的目的TCP端口和源IP地址,通过匹配单元1002在所述可信任IP地址表1003中进行匹配,在所述可信任IP地址表1003中找出TCP端口和IP地址相同的记录,然后调用允许连接单元1005,建立所述网络设备和用户终端的连接;如果所述匹配单元1002没有在所述可信任IP地址表1003中找到相同的记录,则调用拒绝连接单元1004向发起连接的请求端发送重发报文或者直接丢弃该连接请求报文。
本发明有益效果在于,攻击检测精准,本发明技术方案与现有技术项比较,现有技术基于连接请求验证的防御方法主要还是停留在通过采集多次报文信息,前后对比获取合法连接或者对TCP连接报文的序列号合法性检查上,这样的防御方法还是存在误判的情况。而本发明直接对源IP地址进行验证,直接从源头上防御拒绝访问的SYN洪水攻击,不存在误判的情况。
攻击防御效果好,目前的攻击防御技术,为了记录攻击者的一些基本信息,如IP地址,TCP端口号,TCP报文序列号等,都需要消耗一部分***资源。而本发明方案通过直接从源头上防御拒绝访问的SYN洪水,对于无法通过合法性检查的用户根本不会去分配任何***资源,不存在SYN Timeout和SYN Cookie技术上的缺陷,从而更有效的防御了SYN攻击所造成的“拒绝服务”和“服务退化”。另外,可以通过设置是否发送RST标志位的报文来实现拒绝连接的方式,如果采用不发送RST的方式的话,则还可以达到节省CPU资源的效果。
操作简单、网络运营成本低,本发明方案只需要用户配置一个可信任的IP地址表,操作非常简单。另外不需要用户去购买昂贵的防火墙或者其他的专用设备,能够直接在网络设备上实现防止拒绝访问的SYN洪水攻击,降低了网络的运营成本。
可信任用户管理方便、灵活,常见的TCP协议栈并没有对连接请求的源IP地址限制,也就无法在特定的TCP端口上启动合法用户(可信任用户)的检测,更无法实现将某个用户设置成可信任用户。
在本发明方案中,网络管理员只需要知道网络上所启用的TCP端口,然后通过简单的配置命令往其源IP地址表中添加可信任用户的IP地址即可实现防止拒绝访问的SYN洪水攻击。如果需要将某个用户设置成不可信用户,只需要删除对应的源IP地址表中对应的IP地址即可。另外,对于BGP这种存在邻居关系的协议,本方案又可以根据邻居关系自动生成可信任的用户IP地址表,使用相当灵活,减轻了管理员的配置负担。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种防止拒绝访问攻击的方法,其特征在于该方法包括,在网络设备中设置一可信任IP地址表,所述可信任IP地址表存储有可信任的IP地址和TCP端口号;当用户发起连接请求,所述网络设备判断该连接请求的目的TCP端口和源IP地址是否与所述可信任IP地址表中的相应记录匹配,如果匹配则允许建立连接,否则拒绝连接。
2.根据权利要求1所述的一种防止拒绝访问攻击的方法,其特征在于,所述可信任IP地址表为两级链表,所述TCP端口号为第一级链表,与所述TCP端口号对应的IP地址为第二级链表;或者所述IP地址为第一级链表,与所述IP地址对应的TCP端口号为第二级链表。
3.根据权利要求2所述的一种防止拒绝访问攻击的方法,其特征在于,所述网络设备判断该连接请求的目的TCP端口和源IP地址是否与所述可信任IP地址表中的相应记录匹配的步骤包括,先将所述连接请求中的目的TCP端口或源IP地址数据与第一级链表中的数据相匹配,再在与所述第一级链表对应的第二级链表中匹配源IP地址或目的TCP端口数据。
4.根据权利要求1所述的一种防止拒绝访问攻击的方法,其特征在于,在所述网络设备判断该连接请求的目的TCP端口和源IP地址是否与所述可信任IP地址表中的相应记录匹配步骤之前,还包括根据所述连接请求的目的TCP端口判断所述网络设备上是否已经开启了该TCP端口的服务,如果已经开启则进行上述匹配步骤,否则拒绝连接。
5.根据权利要求1或4所述的一种防止拒绝访问攻击的方法,其特征在于,所述拒绝连接步骤中,所述网络终端直接丢弃所述连接请求报文,或者向用户终端返回连接复位的报文。
6.根据权利要求1所述的一种防止拒绝访问攻击的方法,其特征在于,在所述网络设备中设置一可信任IP地址表的步骤包括,所述网络设备根据相邻网络设备的信息,自动在所述可信任IP地址表中配置所述可信任IP地址和TCP端口号。
7.一种防止拒绝访问攻击的装置,包括网络设备的通信单元,其特征在于该装置还包括,匹配单元,拒绝连接单元,允许连接单元,可信任IP地址表;其中,所述可信任IP地址表内存储有允许与该网络设备建立连接的其他网络设备的IP地址和TCP端口号;
所述通信单元与用户终端通信,接收用户终端的连接请求,所述匹配单元判断该连接请求的目的TCP端口和源IP地址是否与所述可信任IP地址表中的相应记录匹配,如果匹配则调用允许连接单元建立所述网络设备与用户终端的连接,否则调用拒绝连接单元拒绝所述网络设备与用户终端的连接。
8.根据权利要求7所述的一种防止拒绝访问攻击的装置,其特征在于还包括添加单元和删除单元,分别与所述通信单元和可信任IP地址表相连接,通过所述添加单元和删除单元配置所述可信任IP地址表中的可信任IP地址和TCP端口号。
9.根据权利要求7或8所述的一种防止拒绝访问攻击的装置,其特征在于还包括自动学习单元,根据所述网络设备上存储的与该网络设备相邻网络设备的信息,自动在所述可信任IP地址表中配置所述可信任IP地址和TCP端口号。
10.根据权利要求7所述的一种防止拒绝访问攻击的装置,其特征在于所述拒绝连接单元直接丢弃所述连接请求报文,或者向用户终端返回连接复位的报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101703136A CN101378395B (zh) | 2008-10-10 | 2008-10-10 | 一种防止拒绝访问攻击的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101703136A CN101378395B (zh) | 2008-10-10 | 2008-10-10 | 一种防止拒绝访问攻击的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101378395A true CN101378395A (zh) | 2009-03-04 |
| CN101378395B CN101378395B (zh) | 2011-04-06 |
Family
ID=40421737
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101703136A Expired - Fee Related CN101378395B (zh) | 2008-10-10 | 2008-10-10 | 一种防止拒绝访问攻击的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101378395B (zh) |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101931627A (zh) * | 2010-08-26 | 2010-12-29 | 福建星网锐捷网络有限公司 | 安全检测方法、装置和网络侧设备 |
| CN101577645B (zh) * | 2009-06-12 | 2011-06-22 | 北京星网锐捷网络技术有限公司 | 检测仿冒网络设备的方法和装置 |
| CN102843681A (zh) * | 2012-08-15 | 2012-12-26 | 腾讯科技(深圳)有限公司 | 信息交互方法和装置 |
| CN102916983A (zh) * | 2012-11-22 | 2013-02-06 | 北京奇虎科技有限公司 | 网络访问行为的防护*** |
| CN102932354A (zh) * | 2012-11-02 | 2013-02-13 | 杭州迪普科技有限公司 | 一种ip地址的验证方法及装置 |
| CN103313429A (zh) * | 2013-07-10 | 2013-09-18 | 江苏君立华域信息安全技术有限公司 | 一种识别伪造wifi热点的处理方法 |
| CN104079558A (zh) * | 2014-05-22 | 2014-10-01 | 汉柏科技有限公司 | 一种防止DoS攻击的方法及防火墙 |
| CN105049489A (zh) * | 2015-06-25 | 2015-11-11 | 上海斐讯数据通信技术有限公司 | 一种在uboot上实现三次握手的方法 |
| WO2016070568A1 (zh) * | 2014-11-04 | 2016-05-12 | 华为技术有限公司 | 报文发送方法及装置 |
| CN107070928A (zh) * | 2017-04-19 | 2017-08-18 | 北京网康科技有限公司 | 一种应用层防火墙及其处理方法 |
| CN107104852A (zh) * | 2017-03-28 | 2017-08-29 | 深圳市神云科技有限公司 | 监控云平台虚拟网络环境的方法及装置 |
| CN108023866A (zh) * | 2016-10-28 | 2018-05-11 | 新华三技术有限公司 | 一种防攻击处理方法及网络设备 |
| CN108337222A (zh) * | 2017-11-28 | 2018-07-27 | 中国电子科技集团公司电子科学研究院 | 区分访问终端身份的端口开放方法、设备及可读存储介质 |
| CN108632265A (zh) * | 2018-04-26 | 2018-10-09 | 广州视源电子科技股份有限公司 | 客户端的通讯连接方法、装置、***和存储介质 |
| CN108712451A (zh) * | 2018-08-02 | 2018-10-26 | 夸克链科技(深圳)有限公司 | 一种记录登录历史的防dos攻击方法 |
| CN109618004A (zh) * | 2019-01-16 | 2019-04-12 | 新华三技术有限公司 | 一种报文转发方法及装置 |
| CN110781453A (zh) * | 2019-09-23 | 2020-02-11 | 太原理工大学 | 一种基于复杂理论作战网络脆弱边识别方法 |
| CN112272164A (zh) * | 2020-09-30 | 2021-01-26 | 新华三信息安全技术有限公司 | 报文处理方法及装置 |
| CN112910927A (zh) * | 2021-03-19 | 2021-06-04 | 厦门星纵信息科技有限公司 | 一种防御外网攻击的sip注册方法 |
| CN113206828A (zh) * | 2021-03-30 | 2021-08-03 | 新华三信息安全技术有限公司 | 一种分析网络设备安全的方法及设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101159718B (zh) * | 2007-08-03 | 2010-06-16 | 重庆邮电大学 | 嵌入式工业以太网安全网关 |
| CN101267437B (zh) * | 2008-04-28 | 2011-01-19 | 杭州华三通信技术有限公司 | 网络设备的报文访问控制方法及*** |
-
2008
- 2008-10-10 CN CN2008101703136A patent/CN101378395B/zh not_active Expired - Fee Related
Cited By (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101577645B (zh) * | 2009-06-12 | 2011-06-22 | 北京星网锐捷网络技术有限公司 | 检测仿冒网络设备的方法和装置 |
| CN101931627B (zh) * | 2010-08-26 | 2013-09-18 | 福建星网锐捷网络有限公司 | 安全检测方法、装置和网络侧设备 |
| CN101931627A (zh) * | 2010-08-26 | 2010-12-29 | 福建星网锐捷网络有限公司 | 安全检测方法、装置和网络侧设备 |
| CN102843681A (zh) * | 2012-08-15 | 2012-12-26 | 腾讯科技(深圳)有限公司 | 信息交互方法和装置 |
| US10055731B2 (en) | 2012-08-15 | 2018-08-21 | Tencent Technology (Shenzhen) Company Limited | Method and device for securing an information interaction process |
| CN102932354A (zh) * | 2012-11-02 | 2013-02-13 | 杭州迪普科技有限公司 | 一种ip地址的验证方法及装置 |
| CN102916983A (zh) * | 2012-11-22 | 2013-02-06 | 北京奇虎科技有限公司 | 网络访问行为的防护*** |
| CN102916983B (zh) * | 2012-11-22 | 2015-08-05 | 北京奇虎科技有限公司 | 网络访问行为的防护*** |
| CN103313429B (zh) * | 2013-07-10 | 2016-12-28 | 江苏君立华域信息安全技术有限公司 | 一种识别伪造wifi热点的处理方法 |
| CN103313429A (zh) * | 2013-07-10 | 2013-09-18 | 江苏君立华域信息安全技术有限公司 | 一种识别伪造wifi热点的处理方法 |
| CN104079558A (zh) * | 2014-05-22 | 2014-10-01 | 汉柏科技有限公司 | 一种防止DoS攻击的方法及防火墙 |
| CN104079558B (zh) * | 2014-05-22 | 2018-02-13 | 汉柏科技有限公司 | 一种防止DoS攻击的方法及防火墙 |
| US10791127B2 (en) | 2014-11-04 | 2020-09-29 | Huawei Technologies Co., Ltd. | Packet transmission method and apparatus |
| CN105635067A (zh) * | 2014-11-04 | 2016-06-01 | 华为技术有限公司 | 报文发送方法及装置 |
| WO2016070568A1 (zh) * | 2014-11-04 | 2016-05-12 | 华为技术有限公司 | 报文发送方法及装置 |
| CN105635067B (zh) * | 2014-11-04 | 2019-11-15 | 华为技术有限公司 | 报文发送方法及装置 |
| CN105049489A (zh) * | 2015-06-25 | 2015-11-11 | 上海斐讯数据通信技术有限公司 | 一种在uboot上实现三次握手的方法 |
| CN108023866A (zh) * | 2016-10-28 | 2018-05-11 | 新华三技术有限公司 | 一种防攻击处理方法及网络设备 |
| CN107104852A (zh) * | 2017-03-28 | 2017-08-29 | 深圳市神云科技有限公司 | 监控云平台虚拟网络环境的方法及装置 |
| CN107070928A (zh) * | 2017-04-19 | 2017-08-18 | 北京网康科技有限公司 | 一种应用层防火墙及其处理方法 |
| CN108337222A (zh) * | 2017-11-28 | 2018-07-27 | 中国电子科技集团公司电子科学研究院 | 区分访问终端身份的端口开放方法、设备及可读存储介质 |
| CN108337222B (zh) * | 2017-11-28 | 2022-02-25 | 中国电子科技集团公司电子科学研究院 | 区分访问终端身份的端口开放方法、设备及可读存储介质 |
| CN108632265B (zh) * | 2018-04-26 | 2021-06-29 | 广州视源电子科技股份有限公司 | 客户端的通讯连接方法、装置、***和存储介质 |
| CN108632265A (zh) * | 2018-04-26 | 2018-10-09 | 广州视源电子科技股份有限公司 | 客户端的通讯连接方法、装置、***和存储介质 |
| CN108712451A (zh) * | 2018-08-02 | 2018-10-26 | 夸克链科技(深圳)有限公司 | 一种记录登录历史的防dos攻击方法 |
| CN109618004A (zh) * | 2019-01-16 | 2019-04-12 | 新华三技术有限公司 | 一种报文转发方法及装置 |
| CN110781453A (zh) * | 2019-09-23 | 2020-02-11 | 太原理工大学 | 一种基于复杂理论作战网络脆弱边识别方法 |
| CN110781453B (zh) * | 2019-09-23 | 2023-11-24 | 太原理工大学 | 一种基于复杂理论作战网络脆弱边识别方法 |
| CN112272164A (zh) * | 2020-09-30 | 2021-01-26 | 新华三信息安全技术有限公司 | 报文处理方法及装置 |
| CN112910927A (zh) * | 2021-03-19 | 2021-06-04 | 厦门星纵信息科技有限公司 | 一种防御外网攻击的sip注册方法 |
| CN113206828A (zh) * | 2021-03-30 | 2021-08-03 | 新华三信息安全技术有限公司 | 一种分析网络设备安全的方法及设备 |
| CN113206828B (zh) * | 2021-03-30 | 2022-05-27 | 新华三信息安全技术有限公司 | 一种分析网络设备安全的方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101378395B (zh) | 2011-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101378395B (zh) | 一种防止拒绝访问攻击的方法及装置 | |
| CN102291441B (zh) | 一种防范SYN Flood攻击的方法及安全代理装置 | |
| US7984493B2 (en) | DNS based enforcement for confinement and detection of network malicious activities | |
| CN101415012B (zh) | 一种防御地址解析协议报文攻击的方法和*** | |
| US7207061B2 (en) | State machine for accessing a stealth firewall | |
| De Vivo et al. | Internet security attacks at the basic levels | |
| Baitha et al. | Session hijacking and prevention technique | |
| CN104426837B (zh) | Ftp的应用层报文过滤方法及装置 | |
| CN109327426A (zh) | 一种防火墙攻击防御方法 | |
| JP2002215478A (ja) | ファイアウォールサービス提供方法 | |
| CN101594269A (zh) | 一种异常连接的检测方法、装置及网关设备 | |
| CN110830447A (zh) | 一种spa单包授权的方法及装置 | |
| KR20080028381A (ko) | 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법 | |
| CN101594359A (zh) | 防御传输控制协议同步洪泛攻击方法及传输控制协议代理 | |
| KR101252787B1 (ko) | 다수의 중계 서버를 갖는 보안관리 시스템 및 보안관리 방법 | |
| WO2015174100A1 (ja) | パケット転送装置、パケット転送システム及びパケット転送方法 | |
| CN101984693A (zh) | 终端接入局域网的监控方法和监控装置 | |
| US20170041297A1 (en) | Unified source user checking of tcp data packets for network data leakage prevention | |
| US8973143B2 (en) | Method and system for defeating denial of service attacks | |
| CN115378625A (zh) | 一种跨网信息安全交互方法及*** | |
| CN107360178A (zh) | 一种使用白名单控制网络访问的方法 | |
| Safa et al. | A collaborative defense mechanism against SYN flooding attacks in IP networks | |
| JP2008306610A (ja) | 不正侵入・不正ソフトウェア調査システム、および通信振分装置 | |
| CN102291378B (zh) | 一种防御DDoS攻击的方法和设备 | |
| Wang et al. | Hijacking spoofing attack and defense strategy based on Internet TCP sessions |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 350015 M9511 Industrial Park, fast road, Mawei District, Fujian, Fuzhou Patentee after: RUIJIE NETWORKS Co.,Ltd. Address before: 350015 M9511 Industrial Park, fast road, Mawei District, Fujian, Fuzhou Patentee before: Fujian Star-net Ruijie Network Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110406 |