CN107395632A - SYN Flood防护方法、装置、清洗设备及介质 - Google Patents
SYN Flood防护方法、装置、清洗设备及介质 Download PDFInfo
- Publication number
- CN107395632A CN107395632A CN201710741489.1A CN201710741489A CN107395632A CN 107395632 A CN107395632 A CN 107395632A CN 201710741489 A CN201710741489 A CN 201710741489A CN 107395632 A CN107395632 A CN 107395632A
- Authority
- CN
- China
- Prior art keywords
- terminal
- messages
- syn
- list
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/12—Arrangements for detecting or preventing errors in the information received by using return channel
- H04L1/16—Arrangements for detecting or preventing errors in the information received by using return channel in which the return channel carries supervisory signals, e.g. repetition request signals
- H04L1/1607—Details of the supervisory signal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种SYN Flood攻击的防护方法、装置、清洗设备及存储介质,所述方法包括:接收终端发送的SYN报文,判断信任列表或限制列表中是否记录有终端的信息;如果否,丢弃SYN报文,向终端发送ACK探测报文;判断是否接收到RST报文,如果是,在信任列表中添加终端的信息,如果否,在限制列表中添加终端的信息。由于在本发明实施例中,清洗设备中保存有信任列表和限制列表,如果终端未记录在上述任一列表中,向所述终端发送ACK探测报文,ACK探测报文不会破坏所述终端与服务器的TCP协议连接,根据终端是否发送RST报文,确定将终端添加到哪个列表。SYN报文被丢弃,无需占用资源,提高了清洗设备的处理效率。
Description
技术领域
本发明涉及网络通信安全领域,尤其涉及一种同步泛洪(synchronize Flood,SYNFlood)攻击的防护方法、装置、清洗设备及存储介质。
背景技术
传输控制协议(Transmission Control Protocol,TCP)通过三次握手过程建立连接,三次握手过程如下:
1、终端向服务器发送一个同步(synchronize,SYN)报文,所述SYN报文会指明终端使用的端口以及TCP协议连接的初始序号;
2、服务器在接收到SYN报文后,向终端发送一个与SYN报文对应的同步确认(synchronize+acknowledgement,SYN+ACK)报文,SYN+ACK报文表示终端的连接请求被接受,同时TCP协议连接的序号为初始序号自动加1;
3、终端向服务器发送一个确认ACK报文,同样,TCP协议连接的序号被加1。
在三次握手的过程中设置了一些异常处理机制。如果服务器没有收到终端发送的ACK报文,会一直处于等待确认(synchronize Receive,SYN_RECV)状态,并且服务器会将终端的IP信息加入等待列表,服务器根据等待列表中记录的终端的IP信息,重新向终端发送SYN+ACK报文。如果服务器还是没有收到终端发送的ACK报文,会继续重新向终端发送SYN+ACK报文,重新向终端发送SYN+ACK报文的次数一般为3-5次,大约间隔30秒左右轮询一次等待列表。另一方面,服务器在发出了SYN+ACK报文后,会预先为即将建立的TCP协议连接分配资源,这个资源在服务器处于SYN_RECV状态下时会一直保留。但因为服务器资源有限,处于SYN_RECV状态下时的分配的资源达到一定的阈值后,服务器就不再接收新的SYN报文,也就是拒绝新的TCP协议连接建立。
SYN Flood攻击正是利用了上述在三次握手过程中设置的异常处理机制,达到攻击服务器的目的。攻击者伪装大量的IP地址给服务器发送SYN报文,由于伪造的IP地址不存在,也就不会给服务器返回ACK报文。因此,服务器将会维持一个庞大的等待列表,不停地重试发送SYN+ACK报文,同时占用着大量的资源无法释放。更为关键的是,被攻击服务器处于SYN_RECV状态下时分配的资源达到一定的阈值后就不再接收新的SYN报文,合法用户无法完成三次握手建立起TCP协议连接。
现有技术中对SYN Flood攻击进行防护的方法如下:
方案一:
图1为本方案对SYN Flood攻击进行防护的示意图,清洗设备收到终端发来的SYN报文后,先代替服务器向终端回应正常的SYN+ACK报文。如果收到终端回应的ACK报文,则认为该TCP协议连接请求通过验证。清洗设备再向服务器发送同样的SYN报文,并通过三次握手与服务器建立TCP协议连接。
本方案存在的问题是:该方案中清洗设备需要记录会话中每个报文的序号,针对后续终端以及服务器之间的报文,清洗设备需要做逐个报文序号修正和重新计算校验和,防护性能十分低下,并且清洗设备只能串联部署到网络中,局限性很大。
方案二:
图2为本方案对SYN Flood攻击进行防护的示意图,清洗设备收到终端发来的SYN报文后,先代替服务器向终端回应与SYN报文对应的只是序号错误的SYN+ACK报文。如果收到终端回应的重置(RESET,RST)报文,则认为该TCP协议连接请求通过验证。一定时间内,清洗设备收到终端重发的SYN报文后,直接向服务器转发,在终端和服务器之间建立TCP协议连接。TCP协议连接建立后,清洗设备直接转发该终端后续的报文,不对报文进行处理。
本方案存在问题是:清洗设备代替服务器向终端回应与SYN报文对应的只是序号错误的SYN+ACK报文,会故意破坏终端与服务器的TCP协议连接状态,根据终端协议栈的纠正能力来识别是否是合法的终端,如果终端合法,需要终端主动重新发起连接,才能与服务器建立TCP协议连接。但在实际应用中发现,部分终端在被断开TCP协议连接状态后不会主动再次发送SYN报文,需要用户手动重启,部分无人值守的终端会因此而不能正常工作,导致业务中断,用户体验差,满意度低。
发明内容
本发明实施例提供了一种SYN Flood攻击的防护方法、装置、清洗设备及存储介质,用以解决现有技术中在对SYN Flood攻击进行防护时,存在由于破坏终端与服务器的TCP协议连接状态,导致业务中断,影响用户体验的问题,以及存在清洗设备记录每个报文的序号,针对后续终端与服务器之间传输的报文,需要做逐个报文序号修正和重新计算校验和,导致清洗设备防护性能压力大的问题。
本发明实施例提供了一种SYN Flood攻击的防护方法,应用于清洗设备,该方法包括:
接收终端发送的SYN报文,判断自身保存的信任列表或限制列表中是否记录有所述终端的信息;
如果信任列表中记录有所述终端的信息,将所述SYN报文转发至服务器,如果限制列表中记录有所述终端的信息,丢弃所述SYN报文;
否则,丢弃所述SYN报文,向所述终端发送满足特定条件的确认ACK探测报文;判断是否接收到所述终端发送的重置RST纠错报文,如果是,在所述信任列表中添加所述终端的信息,如果否,在所述限制列表中添加所述终端的信息。
进一步地,所述满足特定条件的ACK探测报文中的发送序号和确认序号为随机值。
进一步地,所述判断自身保存的信任列表或限制列表中是否记录有所述终端的信息之前,所述方法还包括:
获取所述服务器的当前流量,判断所述当前流量是否大于预设的流量阈值,如果是,确定存在SYN Flood攻击,进行后续步骤。
进一步地,所述满足特定条件的ACK探测报文的第二源IP、第二目的IP、第二源端口和第二目的端口分别为所述SYN报文中的第一目的IP、第一源IP、第一目的端口和第一源端口。
进一步地,所述判断是否接收到所述终端发送的RST纠错报文包括:
判断在设定时间长度内是否接收到所述终端发送的RST纠错报文。
另一方面,本发明实施例提供了一种同步泛洪SYN Flood攻击的防护装置,所述装置包括:
接收判断模块,用于接收终端发送的SYN报文,判断自身保存的信任列表或限制列表中是否记录有所述终端的信息;
第一处理模块,用于如果信任列表中记录有所述终端的信息,将所述SYN报文转发至服务器,如果限制列表中记录有所述终端的信息,丢弃所述SYN报文;
第二处理模块,用于丢弃所述SYN报文,向所述终端发送满足特定条件的确认ACK探测报文;判断是否接收到所述终端发送的重置RST纠错报文,如果是,在所述信任列表中添加所述终端的信息,如果否,在所述限制列表中添加所述终端的信息。
进一步地,所述第二处理模块发送的所述满足特定条件的ACK探测报文中的发送序号和确认序号为随机值。
进一步地,所述装置还包括:
获取判断模块,用于获取所述服务器的当前流量,判断所述当前流量是否大于预设的流量阈值,如果是,确定存在SYN Flood攻击,触发接收判断模块。
进一步地,所述第二处理模块发送的所述满足特定条件的ACK探测报文的第二源IP、第二目的IP、第二源端口和第二目的端口分别为所述SYN报文中的第一目的IP、第一源IP、第一目的端口和第一源端口。
进一步地,所述第二处理模块,具体用于判断在设定时间长度内是否接收到所述终端发送的RST纠错报文。
本发明实施例提供了一种清洗设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述任一项所述的方法步骤。
本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的方法步骤。
本发明实施例提供了一种SYN Flood攻击的防护方法、装置、清洗设备及存储介质,所述方法包括:接收终端发送的SYN报文,判断自身保存的信任列表或限制列表中是否记录有所述终端的信息;如果信任列表中记录有所述终端的信息,将所述SYN报文转发至服务器,如果限制列表中记录有所述终端的信息,丢弃所述SYN报文;否则,丢弃所述SYN报文,向所述终端发送满足特定条件的确认ACK探测报文;判断是否接收到所述终端发送的重置RST纠错报文,如果是,在所述信任列表中添加所述终端的信息,如果否,在所述限制列表中添加所述终端的信息。由于在本发明实施例中,清洗设备中保存有信任列表和限制列表,因此可以针对记录在不同列表中的终端发送的SYN报文进行相应处理,如果终端未记录在上述任一列表中,向终端发送ACK探测报文,ACK探测报文不会破坏所述终端与服务器的TCP协议连接状态,另外因为ACK探测报文对于终端为一个异常报文,根据终端是否向清洗设备发送RST纠错报文,确定将终端添加到哪个列表中。同时因为接收到的SYN报文被丢弃了,因此无需占用清洗设备的资源,有效提高了清洗设备的处理效率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中的一种对SYN Flood攻击进行防护的示意图;
图2为现有技术中的另一种对SYN Flood攻击进行防护的示意图;
图3为本发明实施例1提供的SYN Flood攻击的防护过程示意图;
图4为本发明实施例3提供的SYN Flood攻击的防护过程示意图;
图5为本发明实施例6提供的一种清洗设备示意图;
图6为本发明实施例提供的SYN Flood攻击的防护装置结构示意图。
具体实施方式
下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例1:
图3为本发明实施例提供的一种SYN Flood攻击的防护过程示意图,该过程包括以下步骤:
S101:接收终端发送的SYN报文,判断自身保存的信任列表或限制列表中是否记录有所述终端的信息。
本发明实施例提供的SYN Flood攻击的防护方法应用于清洗设备,清洗设备中保存有信任列表和限制列表,信任列表和限制列表中记录有终端的信息。清洗设备可以是抗SYN Flood攻击的产品,例如:绿盟科技的抗拒绝服务***(NSFOCUS Anti-DDoS System,NSFOCUS ADS),也可以是具有防护功能的网关等设备,另外本发明实施例中的终端可以是平板电脑、PC等设备。
清洗设备可以接收终端基于TCP协议发送的SYN报文,根据SYN报文,可以获取终端的信息。由于清洗设备中保存有信任列表和限制列表,因此,在获取到终端的信息后,可以判断自身保存的信任列表中或限制列表中是否记录有终端的信息。具体的该终端的信息可以是终端的IP地址信息。
S102:如果信任列表中记录有所述终端的信息,将所述SYN报文转发至服务器,如果限制列表中记录有所述终端的信息,丢弃所述SYN报文。
清洗设备中保存的信任列表中的终端可以认为是真实终端,即信任列表中的终端发送的SYN报文认为是正常的终端发送的SYN报文。清洗设备接收终端发送的SYN报文,根据SYN报文获取终端的信息之后,如果判断信任列表中记录有终端的信息,则直接将SYN报文转发至服务器。
清洗设备中保存的限制列表中的终端可以认为是虚假终端,即限制列表中的终端发送的SYN报文认为是,虚假终端为了攻击服务器而发送的SYN报文。清洗设备接收终端发送的SYN报文,根据SYN报文获取终端的信息之后,如果判断限制列表中记录有终端的信息,则丢弃SYN报文,从而对服务器进行有效防护。
S103:否则,丢弃所述SYN报文,向所述终端发送满足特定条件的确认ACK探测报文;判断是否接收到所述终端发送的重置RST纠错报文,如果是,在所述信任列表中添加所述终端的信息,如果否,在所述限制列表中添加所述终端的信息。
清洗设备接收终端发送的SYN报文,根据SYN报文获取终端的信息之后,有可能判断自身保存的信任列表和限制列表中都没有记录终端的信息。此时,为了对服务器进行防护,并且不影响正常用户发送的SYN报文到服务器,需要判断终端是真实终端还是虚假终端。
由于真实终端具有完整的协议栈,在进行报文传输的时候满足TCP协议,即真实终端接收到基于TCP协议发送的报文之后,会发送响应报文;而虚假终端不满足TCP协议,即虚假终端无法接收到基于TCP协议发送的报文,也就不会发送响应报文。因此,可以根据终端是否满足TCP协议,来确定终端是真实终端还是虚假终端。
在本发明实施例中,存在SYN Flood攻击时,攻击者很容易伪造大量的虚假终端发起攻击,因此,终端向清洗设备发送的SYN报文会占用清洗设备很多的资源,当SYN报文占用的清洗设备的资源达到一定阈值时,清洗设备的缓存将会耗尽,影响清洗设备的防护性能。为了防止清洗设备的缓存耗尽,清洗设备在接收到终端发送的SYN报文后,如果判断自身保存的信任列表或限制列表中都没有记录终端的信息,则丢弃SYN报文,然后清洗设备进行终端是真实终端还是虚假终端的判断。
具体的,清洗设备可以基于TCP协议,向终端发送探测报文,为了避免破坏终端与服务器的TCP协议连接状态,向终端发送探测报文可以是清洗设备基于TCP协议构造的ACK探测报文,ACK探测报文不是与终端发送的SYN报文对应的SYN+ACK报文,ACK探测报文相当于模拟终端和服务器之间一个已有的连接会话,因此ACK探测报文不会破坏终端与服务器的TCP协议连接状态。
清洗设备向终端发送ACK探测报文后,判断是否接收到终端发送的RST纠错报文,如果终端是真实终端,则终端向清洗设备发送RST纠错报文,如果终端是虚假终端,则终端不会向清洗设备发送RST纠错报文。因此如果清洗设备接收到RST纠错报文,则说明终端为真实终端。在确定终端为真实终端后,可以将终端的信息添加到信任列表中。清洗设备基于TCP协议向终端发送ACK探测报文,如果未接收到终端发送的RST纠错报文,则说明终端为虚假终端。在确定终端为虚假终端后,可以将终端的信息添加到限制列表中。
虽然清洗设备在接收到终端发送的SYN报文,判断自身保存的信任列表或限制列表中都没有记录终端的信息时,丢弃了SYN报文,服务器接收不到SYN报文,但由于终端没有收到期待的SYN+ACK报文,而且发送的ACK探测报文不会破坏终端与服务器的TCP协议连接状态,终端在一定时间接收不到与SYN报文对应的SYN+ACK报文时,会再次发送SYN报文,其中,终端再次发送的SYN报文与清洗设备丢弃的SYN报文是相同的,处于同一个TCP协议连接状态中的报文。而清洗设备通过判断终端是真实终端还是虚假终端,将终端的信息对应的添加到信任列表或限制列表,当清洗设备接收到终端再次发送的SYN报文时,便可以根据信任列表或限制列表中是否记录有终端的信息对终端发送的SYN报文进行相应处理。
由于在本发明实施例中,清洗设备中保存有信任列表和限制列表,因此可以针对记录在不同列表中的终端发送的SYN报文进行相应处理,如果终端未记录在上述任一列表中,向终端发送ACK探测报文,ACK探测报文不会破坏所述终端与服务器的TCP协议连接状态,另外因为ACK探测报文对于终端为一个异常报文,根据终端是否向清洗设备发送RST纠错报文,确定将终端添加到哪个列表中。同时因为接收到的SYN报文被丢弃了,因此无需占用清洗设备的资源,有效提高了清洗设备的处理效率。终端与服务器的TCP协议连接状态不被破坏的情况下,SYN报文被丢弃之后,终端在一定时间内接收不到服务器发送的SYN+ACK报文时,会再次发送SYN报文,清洗设备可以针对记录在不同列表中的终端发送的SYN报文进行相应处理。因此在进行SYNFlood攻击的防护时,避免了由于破坏终端与服务器的TCP协议连接状态,导致业务中断,影响用户体验的问题。
另外,在本发明实施例中,清洗设备在接收到终端发送的SYN报文后,不会向终端发送SYN+ACK报文,而是向终端发送ACK探测报文,这样就不存在终端和清洗设备建立TCP协议连接,清洗设备和服务器建立TCP协议连接的情况,也就避免了清洗设备记录每个报文的序号,针对后续终端以及服务器之间的报文,需要做逐个报文序号修正和重新计算校验和的问题,提高了防护性能,并且清洗设备既可以串联部署到网络中,也可以旁路部署到网络中,提高了清洗设备部署的灵活性。
实施例2:
在上述实施例的基础上,在本发明实施例中,所述满足特定条件的ACK探测报文中的发送序号和确认序号为随机值。
终端和服务器之间传输的报文的序号是有关系的,例如终端向服务器发送的SYN报文的序号为初始序号,服务器在接收到SYN报文后,向终端发送SYN+ACK报文的序号为初始序号自动加1。为了保证清洗设备向终端发送的ACK探测报文不影响终端与服务器之间传输的报文,清洗设备构造的ACK探测报文满足特定的条件,即ACK探测报文中的发送序号和确认序号设置为随机值,这样便可以保证终端在接收到ACK探测报文后,认为ACK探测报文为异常报文,并进行异常处理,向清洗设备发送RST纠错报文。
实施例3:
由于本案提供的防护方法是针对SYN Flood攻击的,在进行防护之前,可以判断是否存在SYN Flood攻击,如果判断不存在SYN Flood攻击,则不需要进行防护,只有在判断存在SYN Flood攻击,才需要对SYN Flood攻击进行防护。为了节约清洗设备的防护资源,在上述实施例的基础上,在本发明实施例中,所述判断自身保存的信任列表或限制列表中是否记录有所述终端的信息之前,所述方法还包括:
获取所述服务器的当前流量,判断所述当前流量是否大于预设的流量阈值,如果是,确定存在SYN Flood攻击,进行后续步骤。
清洗设备接收终端发送的SYN报文之后,在判断自身保存的信任列表或限制列表中是否记录有终端的信息之前,可以首先判断是否存在SYN Flood攻击,如果判断不存在SYN Flood攻击,则不需要判断自身保存的信任列表或限制列表中是否记录有终端的信息,可以直接将终端发送的SYN报文转发到服务器,而当判断存在SYN Flood攻击时,才需要对SYN Flood攻击进行防护。
存在SYN Flood攻击时,攻击者一般会伪造大量的虚假终端对服务器发起攻击,这样就会导致服务器的当前流量大于不存在SYN Flood攻击时服务器的流量。因此可以根据服务器的当前流量确定是否存在SYN Flood攻击。
具体的,清洗设备可以获取服务器的当前流量,并且清洗设备中保存有预设的流量阈值,获取服务器的当前流量后,判断当前流量是否大于预设的流量阈值,如果是,则确定存在SYN Flood攻击,需要对SYN Flood攻击进行防护,清洗设备之后判断自身保存的信任列表或限制列表中是否记录有终端的信息。如果当前流量不大于预设的流量阈值,则确定不存在SYN Flood攻击,不需要对SYN Flood攻击进行防护,因此清洗设备可以直接将接收到的SYN报文转发到服务器。
图4为本发明实施例提供的一种SYN Flood攻击的防护过程示意图,该过程包括以下步骤:
S201:接收终端发送的SYN报文,获取所述服务器的当前流量,判断所述当前流量是否大于预设的流量阈值,如果是,确定存在SYN Flood攻击。
S202:判断自身保存的信任列表或限制列表中是否记录有所述终端的信息。
S203:如果信任列表中记录有所述终端的信息,将所述SYN报文转发至服务器,如果限制列表中记录有所述终端的信息,丢弃所述SYN报文。
S204:否则,丢弃所述SYN报文,向所述终端发送满足特定条件的确认ACK探测报文;判断是否接收到所述终端发送的重置RST纠错报文,如果是,在所述信任列表中添加所述终端的信息,如果否,在所述限制列表中添加所述终端的信息。
S205:接收终端再次发送的与清洗设备丢弃的SYN报文相同的,处于同一个TCP协议连接状态中的SYN报文,判断自身保存的信任列表或限制列表中是否记录有所述终端的信息,如果信任列表中记录有所述终端的信息,将所述终端再次发送的SYN报文转发至服务器,如果限制列表中记录有所述终端的信息,丢弃所述终端再次发送的SYN报文。
由于在本发明实施例中,在判断自身保存的信任列表或限制列表中是否记录有终端的信息之前,可以根据服务器的当前流量,确定是否存在SYN Flood攻击,当确定存在SYNFlood攻击时,再进行后续防护的步骤,而确定不存在SYN Flood攻击时,直接将接收到的SYN报文转发到服务器,因此节约了清洗设备的防护资源。
实施例4:
如果终端存在防火墙等组件时,清洗设备发送的ACK探测报文便不能通过防火墙等组件的检测,ACK探测报文也就不能传输到终端,这样即使是真实终端,因为接收不到ACK探测报文,也就不能发送RST纠错报文,这样就会将真实终端误判为虚假终端,为了在防火墙等组件存在的情况下,能够保证清洗设备发送的ACK探测报文通过防火墙等组件的检测,传输到终端,从而保证确定终端是真实终端还是虚假终端更准确,在上述各实施例的基础上,在本发明实施例中,所述满足特定条件的ACK探测报文的第二源IP、第二目的IP、第二源端口和第二目的端口分别为所述SYN报文中的第一目的IP、第一源IP、第一目的端口和第一源端口。
由于终端是向服务器发送SYN报文的,因此终端发送的SYN报文中的第一源IP为终端的IP地址,第一源端口为终端的端口,第一目的IP为服务器的IP地址,第一目的端口为服务器的端口。而清洗设备向终端发送的ACK探测报文中的源IP一般为清洗设备的IP地址,源端口为清洗设备的端口。这样,终端发送的SYN报文中的第一目的IP和第一目的端口与清洗设备发送的ACK探测报文的源IP和源端口不一致。终端的防火墙等组件就会阻止清洗设备发送的ACK探测报文传输到终端。
为了保证在防火墙等组件存在的情况下,清洗设备发送的ACK探测报文能够通过防火墙等组件的检测,传输到终端,清洗设备发送的ACK探测报文是满足特定条件的。在本发明实施例中,通过五元组数值交换策略能够保证清洗设备发送的ACK探测报文通过防火墙等组件的检测,传输到终端,具体的,清洗设备接收到终端发送的SYN报文后,获取SYN报文中的第一目的IP、第一源IP、第一目的端口和第一源端口,根据SYN报文中的第一目的IP、第一源IP、第一目的端口和第一源端口进行ACK探测报文的设置,将ACK报文中的第二源IP设置为SYN报文中的第一目的IP,将ACK报文中的第二源端口设置为SYN报文中的第一目的端口,将ACK报文中的第二目的IP设置为SYN报文中的第一源IP,将ACK报文中的第二目的端口设置为SYN报文中的第一源端口。这样,终端发送的SYN报文中的第一目的IP和第一目的端口与清洗设备发送的ACK探测报文的第二源IP和第二源端口不一致,终端发送的SYN报文中的第一源IP和第一源端口与清洗设备发送的ACK探测报文的第二目的IP和第二目的端口不一致。终端的防火墙等组件就不会阻止清洗设备发送的ACK探测报文传输到终端。
由于在本发明实施例中,清洗设备发送的ACK探测报文的第二源IP、第二目的IP、第二源端口和第二目的端口分别为SYN报文中的第一目的IP、第一源IP、第一目的端口和第一源端口,因此,在终端存在防火墙的情况下,终端的防火墙等组件也不会阻止清洗设备发送的ACK探测报文传输到终端,进而使得确定终端是真实终端还是虚假终端更准确。
实施例5:
为了提高终端真实性确定的准确性,在上述各实施例的基础上,在本发明实施例中,所述判断是否接收到所述终端发送的RST纠错报文包括:
判断在设定时间长度内是否接收到所述终端发送的RST纠错报文。
按照TCP协议的规则,清洗设备在基于TCP协议,向终端发送ACK探测报文后,终端会在设定时间长度内向清洗设备发送RST纠错报文,也就是说清洗设备会在设定时间长度内向接收到终端发送的RST纠错报文。如果在设定时间长度内接收到终端发送的RST纠错报文,那么可以认为终端满足TCP协议,因此,可以确定终端为真实终端。如果在设定时间长度内没有接收到终端发送的RST纠错报文,那么可以认为终端不满足TCP协议,因此,可以确定终端为虚假终端。
具体的,清洗设备中可以设置一个计时器,在清洗设备基于TCP协议向终端发送ACK探测报文的同时,启动计时器开始计时,并且计时器的计时时长为设定时间长度,清洗设备判断在计时器的计时时长内是否接收到终端发送的RST纠错报文,如果接收到,则确定终端为真实终端,如果在计时器的计时时长内未接收到终端发送的RST纠错报文,则确定终端为虚假终端。另外,设定时间长度可以略小于终端再次发送SYN报文的时间间隔,例如,设定时间长度可以为0.6秒、0.8秒等。
实施例6:
在上述各实施例的基础上,本发明实施例中还提供了一种清洗设备,如图5所示,包括:处理器501、通信接口502、存储器503和通信总线504,其中,处理器501,通信接口502,存储器503通过通信总线504完成相互间的通信;
所述存储器503中存储有计算机程序,当所述程序被所述处理器501执行时,使得所述处理器501执行如下步骤:
接收终端发送的SYN报文,判断自身保存的信任列表或限制列表中是否记录有所述终端的信息;
如果信任列表中记录有所述终端的信息,将所述SYN报文转发至服务器,如果限制列表中记录有所述终端的信息,丢弃所述SYN报文;
否则,丢弃所述SYN报文,向所述终端发送满足特定条件的确认ACK探测报文;判断是否接收到所述终端发送的重置RST纠错报文,如果是,在所述信任列表中添加所述终端的信息,如果否,在所述限制列表中添加所述终端的信息。
基于同一发明构思,本发明实施例中还提供了一种清洗设备,由于上述清洗设备解决问题的原理与SYN Flood攻击的防护方法相似,因此上述清洗设备的实施可以参见方法的实施,重复之处不再赘述。
本发明实施例提供的清洗设备具体可以为抗SYN Flood攻击的产品,例如:绿盟科技的抗拒绝服务***(NSFOCUS Anti-DDoS System,NSFOCUS ADS),也可以是具有防护功能的网关等设备,另外本发明实施例中的终端可以是平板电脑、PC等设备。
上述清洗设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口502用于上述清洗设备与其他设备之间的通信。
存储器503可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选地,存储器503还可以是至少一个位于远离前述处理器的存储装置。
上述处理器501可以是通用处理器,包括中央处理器、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(Digital Signal Processing,DSP)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
在本发明实施例中处理器501执行存储器503上所存放的程序时,可以针对记录在不同列表中的终端发送的SYN报文进行相应处理,如果终端未记录在上述任一列表中,向终端发送满足特定条件的ACK探测报文,ACK探测报文不会破坏所述终端与服务器的TCP协议连接状态,另外因为ACK探测报文对于终端为一个异常报文,根据终端是否向清洗设备发送RST纠错报文,确定将终端添加到哪个列表中。同时因为接收到的SYN报文被丢弃了,因此无需占用清洗设备的资源,有效提高了清洗设备的处理效率。
实施例7:
在上述各实施例的基础上,本发明实施例还提供了一种计算机存储可读存储介质,所述计算机可读存储介质内存储有可由清洗设备执行的计算机程序,当所述程序在所述清洗设备上运行时,使得所述清洗设备执行时实现如下步骤:
接收终端发送的SYN报文,判断自身保存的信任列表或限制列表中是否记录有所述终端的信息;
如果信任列表中记录有所述终端的信息,将所述SYN报文转发至服务器,如果限制列表中记录有所述终端的信息,丢弃所述SYN报文;
否则,丢弃所述SYN报文,向所述终端发送满足特定条件的确认ACK探测报文;判断是否接收到所述终端发送的重置RST纠错报文,如果是,在所述信任列表中添加所述终端的信息,如果否,在所述限制列表中添加所述终端的信息。
基于同一发明构思,本发明实施例中还提供了一种计算机可读存储介质,由于处理器在执行上述计算机可读存储介质上存储的计算机程序时解决问题的原理与SYN Flood攻击的防护方法相似,因此处理器在执行上述计算机可读存储介质存储的计算机程序的实施可以参见方法的实施,重复之处不再赘述。
上述计算机可读存储介质可以是清洗设备中的处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器如软盘、硬盘、磁带、磁光盘(MO)等、光学存储器如CD、DVD、BD、HVD等、以及半导体存储器如ROM、EPROM、EEPROM、非易失性存储器(NANDFLASH)、固态硬盘(SSD)等。
在本发明实施例中提供的计算机可读存储介质内存储计算机程序,计算机程序被处理器执行时,可以针对记录在不同列表中的终端发送的SYN报文进行相应处理,如果终端未记录在上述任一列表中,向终端发送ACK探测报文,ACK探测报文不会破坏所述终端与服务器的TCP协议连接状态,另外因为ACK探测报文对于终端为一个异常报文,根据终端是否向清洗设备发送RST纠错报文,确定将终端添加到哪个列表中。同时因为接收到的SYN报文被丢弃了,因此无需占用清洗设备的资源,有效提高了清洗设备的处理效率。
图6为本发明实施例提供的SYN Flood攻击的防护装置结构示意图,所述装置包括:
接收判断模块61,用于接收终端发送的SYN报文,判断自身保存的信任列表或限制列表中是否记录有所述终端的信息;
第一处理模块62,用于如果信任列表中记录有所述终端的信息,将所述SYN报文转发至服务器,如果限制列表中记录有所述终端的信息,丢弃所述SYN报文;
第二处理模块63,用于丢弃所述SYN报文,向所述终端发送满足特定条件的确认ACK探测报文;判断是否接收到所述终端发送的重置RST纠错报文,如果是,在所述信任列表中添加所述终端的信息,如果否,在所述限制列表中添加所述终端的信息。
所述第二处理模块63发送的所述满足特定条件的ACK探测报文中的发送序号和确认序号为随机值。
所述装置还包括:
获取判断模块64,用于获取所述服务器的当前流量,判断所述当前流量是否大于预设的流量阈值,如果是,确定存在SYN Flood攻击,触发接收判断模块61。
所述第二处理模块63发送的所述满足特定条件的ACK探测报文的第二源IP、第二目的IP、第二源端口和第二目的端口分别为所述SYN报文中的第一目的IP、第一源IP、第一目的端口和第一源端口。
所述第二处理模块63,具体用于判断在设定时间长度内是否接收到所述终端发送的RST纠错报文。
本发明实施例提供了一种SYN Flood攻击的防护方法、装置、清洗设备及存储介质,所述方法包括:接收终端发送的SYN报文,判断自身保存的信任列表或限制列表中是否记录有所述终端的信息;如果信任列表中记录有所述终端的信息,将所述SYN报文转发至服务器,如果限制列表中记录有所述终端的信息,丢弃所述SYN报文;否则,丢弃所述SYN报文,向所述终端发送满足特定条件的确认ACK探测报文;判断是否接收到所述终端发送的重置RST纠错报文,如果是,在所述信任列表中添加所述终端的信息,如果否,在所述限制列表中添加所述终端的信息。由于在本发明实施例中,清洗设备中保存有信任列表和限制列表,因此可以针对记录在不同列表中的终端发送的SYN报文进行相应处理,如果终端未记录在上述任一列表中,向终端发送ACK探测报文,ACK探测报文不会破坏所述终端与服务器的TCP协议连接状态,另外因为ACK探测报文对于终端为一个异常报文,根据终端是否向清洗设备发送RST纠错报文,确定将终端添加到哪个列表中。同时因为接收到的SYN报文被丢弃了,因此无需占用清洗设备的资源,有效提高了清洗设备的处理效率。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1.一种同步泛洪SYN Flood攻击的防护方法,其特征在于,应用于清洗设备,所述方法包括:
接收终端发送的SYN报文,判断自身保存的信任列表或限制列表中是否记录有所述终端的信息;
如果信任列表中记录有所述终端的信息,将所述SYN报文转发至服务器,如果限制列表中记录有所述终端的信息,丢弃所述SYN报文;
否则,丢弃所述SYN报文,向所述终端发送满足特定条件的确认ACK探测报文;判断是否接收到所述终端发送的重置RST纠错报文,如果是,在所述信任列表中添加所述终端的信息,如果否,在所述限制列表中添加所述终端的信息。
2.如权利要求1所述的方法,其特征在于,所述满足特定条件的ACK探测报文中的发送序号和确认序号为随机值。
3.如权利要求1所述的方法,其特征在于,所述判断自身保存的信任列表或限制列表中是否记录有所述终端的信息之前,所述方法还包括:
获取所述服务器的当前流量,判断所述当前流量是否大于预设的流量阈值,如果是,确定存在SYN Flood攻击,进行后续步骤。
4.如权利要求1所述的方法,其特征在于,所述满足特定条件的ACK探测报文的第二源IP、第二目的IP、第二源端口和第二目的端口分别为所述SYN报文中的第一目的IP、第一源IP、第一目的端口和第一源端口。
5.如权利要求1所述的方法,其特征在于,所述判断是否接收到所述终端发送的RST纠错报文包括:
判断在设定时间长度内是否接收到所述终端发送的RST纠错报文。
6.一种同步泛洪SYN Flood攻击的防护装置,其特征在于,所述装置包括:
接收判断模块,用于接收终端发送的SYN报文,判断自身保存的信任列表或限制列表中是否记录有所述终端的信息;
第一处理模块,用于如果信任列表中记录有所述终端的信息,将所述SYN报文转发至服务器,如果限制列表中记录有所述终端的信息,丢弃所述SYN报文;
第二处理模块,用于丢弃所述SYN报文,向所述终端发送满足特定条件的确认ACK探测报文;判断是否接收到所述终端发送的重置RST纠错报文,如果是,在所述信任列表中添加所述终端的信息,如果否,在所述限制列表中添加所述终端的信息。
7.如权利要求6所述的装置,其特征在于,所述第二处理模块发送的所述满足特定条件的ACK探测报文中的发送序号和确认序号为随机值。
8.如权利要求6所述的装置,其特征在于,所述装置还包括:
获取判断模块,用于获取所述服务器的当前流量,判断所述当前流量是否大于预设的流量阈值,如果是,确定存在SYN Flood攻击,触发接收判断模块。
9.如权利要求6所述的装置,其特征在于,所述第二处理模块发送的所述满足特定条件的ACK探测报文的第二源IP、第二目的IP、第二源端口和第二目的端口分别为所述SYN报文中的第一目的IP、第一源IP、第一目的端口和第一源端口。
10.如权利要求6所述的装置,其特征在于,所述第二处理模块,具体用于判断在设定时间长度内是否接收到所述终端发送的RST纠错报文。
11.一种清洗设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-5任一项所述的方法步骤。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-5任一项所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710741489.1A CN107395632B (zh) | 2017-08-25 | 2017-08-25 | SYN Flood防护方法、装置、清洗设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710741489.1A CN107395632B (zh) | 2017-08-25 | 2017-08-25 | SYN Flood防护方法、装置、清洗设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107395632A true CN107395632A (zh) | 2017-11-24 |
| CN107395632B CN107395632B (zh) | 2020-09-22 |
Family
ID=60345226
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710741489.1A Active CN107395632B (zh) | 2017-08-25 | 2017-08-25 | SYN Flood防护方法、装置、清洗设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107395632B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108833418A (zh) * | 2018-06-22 | 2018-11-16 | 北京京东金融科技控股有限公司 | 用于防御攻击的方法、装置和*** |
| CN109413037A (zh) * | 2018-09-12 | 2019-03-01 | 北京奇安信科技有限公司 | 一种Modbus业务处理方法及装置 |
| CN109962918A (zh) * | 2019-03-28 | 2019-07-02 | 烽火通信科技股份有限公司 | 一种防御攻击报文的方法、***及设备 |
| CN110198298A (zh) * | 2018-10-11 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 一种信息处理方法、装置及存储介质 |
| CN110417679A (zh) * | 2018-04-26 | 2019-11-05 | 阿里巴巴集团控股有限公司 | 规避旁路阻断的方法、装置和*** |
| CN111970308A (zh) * | 2020-09-03 | 2020-11-20 | 杭州安恒信息技术股份有限公司 | 一种防护SYN Flood攻击的方法、装置及设备 |
| WO2021227674A1 (zh) * | 2020-05-13 | 2021-11-18 | 华为技术有限公司 | 一种协议报文的处理方法、网络设备及计算机存储介质 |
| CN114697088A (zh) * | 2022-03-17 | 2022-07-01 | 神州绿盟成都科技有限公司 | 一种确定网络攻击的方法、装置及电子设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110131646A1 (en) * | 2009-12-02 | 2011-06-02 | Electronics And Telecommunications Research Institute | Apparatus and method for preventing network attacks, and packet transmission and reception processing apparatus and method using the same |
| CN102291441A (zh) * | 2011-08-02 | 2011-12-21 | 杭州迪普科技有限公司 | 一种防范SYN Flood攻击的方法及安全代理装置 |
| CN103281369A (zh) * | 2013-05-24 | 2013-09-04 | 华为技术有限公司 | 报文处理方法及广域网加速控制器woc |
| CN104683293A (zh) * | 2013-11-27 | 2015-06-03 | 杭州迪普科技有限公司 | 一种基于逻辑器件的syn攻击防护方法 |
| CN105827646A (zh) * | 2016-05-17 | 2016-08-03 | 浙江宇视科技有限公司 | Syn攻击防护的方法及装置 |
| CN106453373A (zh) * | 2016-11-03 | 2017-02-22 | 北京知道未来信息技术有限公司 | 一种高效的SYN Flood攻击识别及处置方法 |
| CN106936799A (zh) * | 2015-12-31 | 2017-07-07 | 阿里巴巴集团控股有限公司 | 报文清洗方法及装置 |
-
2017
- 2017-08-25 CN CN201710741489.1A patent/CN107395632B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110131646A1 (en) * | 2009-12-02 | 2011-06-02 | Electronics And Telecommunications Research Institute | Apparatus and method for preventing network attacks, and packet transmission and reception processing apparatus and method using the same |
| CN102291441A (zh) * | 2011-08-02 | 2011-12-21 | 杭州迪普科技有限公司 | 一种防范SYN Flood攻击的方法及安全代理装置 |
| CN103281369A (zh) * | 2013-05-24 | 2013-09-04 | 华为技术有限公司 | 报文处理方法及广域网加速控制器woc |
| CN104683293A (zh) * | 2013-11-27 | 2015-06-03 | 杭州迪普科技有限公司 | 一种基于逻辑器件的syn攻击防护方法 |
| CN106936799A (zh) * | 2015-12-31 | 2017-07-07 | 阿里巴巴集团控股有限公司 | 报文清洗方法及装置 |
| CN105827646A (zh) * | 2016-05-17 | 2016-08-03 | 浙江宇视科技有限公司 | Syn攻击防护的方法及装置 |
| CN106453373A (zh) * | 2016-11-03 | 2017-02-22 | 北京知道未来信息技术有限公司 | 一种高效的SYN Flood攻击识别及处置方法 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110417679B (zh) * | 2018-04-26 | 2022-06-14 | 阿里巴巴集团控股有限公司 | 规避旁路阻断的方法、装置和*** |
| CN110417679A (zh) * | 2018-04-26 | 2019-11-05 | 阿里巴巴集团控股有限公司 | 规避旁路阻断的方法、装置和*** |
| CN108833418B (zh) * | 2018-06-22 | 2021-05-25 | 京东数字科技控股有限公司 | 用于防御攻击的方法、装置和*** |
| CN108833418A (zh) * | 2018-06-22 | 2018-11-16 | 北京京东金融科技控股有限公司 | 用于防御攻击的方法、装置和*** |
| CN109413037A (zh) * | 2018-09-12 | 2019-03-01 | 北京奇安信科技有限公司 | 一种Modbus业务处理方法及装置 |
| CN109413037B (zh) * | 2018-09-12 | 2021-11-16 | 奇安信科技集团股份有限公司 | 一种Modbus业务处理方法及装置 |
| CN110198298A (zh) * | 2018-10-11 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 一种信息处理方法、装置及存储介质 |
| CN110198298B (zh) * | 2018-10-11 | 2021-08-27 | 腾讯科技(深圳)有限公司 | 一种信息处理方法、装置及存储介质 |
| CN109962918B (zh) * | 2019-03-28 | 2021-11-30 | 烽火通信科技股份有限公司 | 一种防御攻击报文的方法、***及设备 |
| CN109962918A (zh) * | 2019-03-28 | 2019-07-02 | 烽火通信科技股份有限公司 | 一种防御攻击报文的方法、***及设备 |
| WO2021227674A1 (zh) * | 2020-05-13 | 2021-11-18 | 华为技术有限公司 | 一种协议报文的处理方法、网络设备及计算机存储介质 |
| CN111970308A (zh) * | 2020-09-03 | 2020-11-20 | 杭州安恒信息技术股份有限公司 | 一种防护SYN Flood攻击的方法、装置及设备 |
| CN114697088A (zh) * | 2022-03-17 | 2022-07-01 | 神州绿盟成都科技有限公司 | 一种确定网络攻击的方法、装置及电子设备 |
| CN114697088B (zh) * | 2022-03-17 | 2024-03-15 | 神州绿盟成都科技有限公司 | 一种确定网络攻击的方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107395632B (zh) | 2020-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107395632A (zh) | SYN Flood防护方法、装置、清洗设备及介质 | |
| CN104137513B (zh) | 攻击防范方法和设备 | |
| US9350758B1 (en) | Distributed denial of service (DDoS) honeypots | |
| CN109660539B (zh) | 失陷设备识别方法、装置、电子设备及存储介质 | |
| CN107666473A (zh) | 一种攻击检测的方法及控制器 | |
| CN104283882B (zh) | 一种路由器的智能安全防护方法 | |
| CN107295017A (zh) | 基于用户认证的cc防护方法 | |
| US20210258342A1 (en) | Method circuits devices systems and functionally associated computer executable code for detecting and mitigating denial of service attack directed on or through a radio access network | |
| CN105656765B (zh) | 一种基于深度内容解析的smtp协议数据防外泄方法及*** | |
| CN110166408B (zh) | 防御泛洪攻击的方法、装置和*** | |
| CN108737447A (zh) | 用户数据报协议流量过滤方法、装置、服务器及存储介质 | |
| CN107454065A (zh) | 一种UDP Flood攻击的防护方法及装置 | |
| CN109040140A (zh) | 一种慢速攻击检测方法及装置 | |
| CN111800401A (zh) | 业务报文的防护方法、装置、***和计算机设备 | |
| CN110266678A (zh) | 安全攻击检测方法、装置、计算机设备及存储介质 | |
| CN110191104A (zh) | 一种安全防护的方法及装置 | |
| CN104348808B (zh) | 会话处理的方法和装置 | |
| JP2005184792A (ja) | 帯域制御装置、帯域制御方法及び帯域制御プログラム | |
| CN107800723A (zh) | Cc攻击防护方法及设备 | |
| CN108616488A (zh) | 一种攻击的防御方法及防御设备 | |
| CN108737344B (zh) | 一种网络攻击防护方法和装置 | |
| CN104506559B (zh) | 一种基于Android***的DDoS防御***和方法 | |
| CN106101088B (zh) | 清洗设备、检测设备、路由设备和防范dns攻击的方法 | |
| CN113242260B (zh) | 攻击检测方法、装置、电子设备及存储介质 | |
| CN101873324A (zh) | 穿越防火墙的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee after: NSFOCUS Technologies Group Co.,Ltd. Patentee after: NSFOCUS TECHNOLOGIES Inc. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Patentee before: NSFOCUS TECHNOLOGIES Inc. |
|
| CP01 | Change in the name or title of a patent holder |