CN107634971A - 一种检测洪水攻击的方法及装置 - Google Patents
一种检测洪水攻击的方法及装置 Download PDFInfo
- Publication number
- CN107634971A CN107634971A CN201711021069.2A CN201711021069A CN107634971A CN 107634971 A CN107634971 A CN 107634971A CN 201711021069 A CN201711021069 A CN 201711021069A CN 107634971 A CN107634971 A CN 107634971A
- Authority
- CN
- China
- Prior art keywords
- session
- user
- list item
- entry
- tuple
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种检测洪水攻击的方法及装置,应用于局域网的接入交换机,该方法包括:根据会话表的会话表项的源IP更新用户表的用户表项中的发起会话数;根据会话表的会话表项的会话状态和会话建立时间更新用户表的用户表项中的异常会话数;周期性遍历用户表,确定各用户表项的发起会话数是否达到预设的第一阈值,以及,确定各用户表项的异常会话数是否到达预设的第二阈值;如果用户表项的发起会话数达到第一阈值或者用户表项的异常会话数达到第二阈值,确定用户表项中的IP地址为攻击源的IP地址。本申请由接入交换机排查洪水攻击的攻击源,在不增加局域网成本的情况下提高了网络的安全性和可靠性。
Description
技术领域
本申请涉及安全防护领域,特别涉及一种检测洪水攻击的方法及装置。
背景技术
局域网内的计算机或服务器等设备中病毒后,往往会成为局域网内的攻击源,向局域网其它计算机或服务器发送大量攻击报文,造成洪水攻击,常见的有TCP SYN Flood(Transmission Control Protocol Synchronize Flood,传输控制协议同步洪水攻击)报文、UDP Flood(User Datagram Protocol Flood,用户数据包协议洪水攻击)报文和ICMPFlood(Internet Control Message Protocol Flood,控制报文协议洪水攻击)报文等。这些攻击报文会导致局域网内通信效率下降,甚至断网,也可能使局域网内面向外网的服务器瘫痪,无法提供服务。因此,在出现洪水攻击后,及时识别攻击源,并对攻击源进行阻断十分重要。
在现有技术中,通常由汇聚层或核心层的网络设备检测攻击源,汇聚层或核心层的网络设备可以对报文进行抓包,然后提取报文的报文特征(例如:源IP),然后根据报文特征分析出攻击报文,进而确定出攻击源。然而,当攻击报文只在二层网络中转发,汇聚层或核心层的网络设备无法检测到攻击报文。为解决上述问题,通常可以部署与接入交换机连接的安全设备,由安全设备检测接入交换机转发的报文,从而确定攻击源,这又会提高局域网的成本。
发明内容
有鉴于此,本申请提供一种检测洪水攻击的方法及装置,用于在不增加局域网成本的情况下,提高网络的安全性和可靠性。
具体地,本申请是通过如下技术方案实现的:
一种检测洪水攻击的方法,应用于局域网的接入交换机,包括:
根据预设的会话表的会话表项的五元组中的源IP更新预设的用户表的用户表项中的发起会话数;其中,所述会话表包括五元组、会话状态和会话建立时间的映射关系,所述用户表包括IP地址、发起会话数和异常会话数的映射关系;
根据所述会话表的会话表项的会话状态和会话建立时间更新所述用户表的用户表项中的所述异常会话数;
周期性遍历所述用户表,确定各用户表项的发起会话数是否达到预设的第一阈值,以及,确定各用户表项的异常会话数是否到达预设的第二阈值;
如果所述用户表项的发起会话数达到所述第一阈值或者所述用户表项的异常会话数达到所述第二阈值,确定所述用户表项中的IP地址为攻击源的IP地址。
在所述检测洪水攻击的方法中,所述根据会话表的会话表项的五元组中的源IP更新用户表的用户表项中的发起会话数,包括:
新建会话表项,或者,更新会话表的会话表项;
根据所述会话表项的五元组中的源IP查找所述用户表,确定是否查找到对应的用户表项;
如果是,将查找到的所述用户表项中的所述发起会话数加1;
如果否,根据所述会话表项的五元组中的源IP新建用户表项,并将所述发起会话数置为1。
在所述检测洪水攻击的方法中,所述新建会话表项,或者,更新会话表的会话表项,包括:
接收到报文并提取报文的五元组;
根据所述五元组查找所述会话表,确定是否查找到对应的会话表项;
如果是,更新所述会话表项中的会话状态;其中,所述会话状态包括未完全状态和完全状态,所述未完全状态指会话双方尚未互相通信,所述完全状态指会话双方已经互相通信;
如果否,基于所述五元组新建会话表项,并将所述会话表项中的会话状态置为未完全状态。
在所述检测洪水攻击的方法中,所述根据所述会话表的会话表项的会话状态和会话建立时间更新所述用户表的用户表项中的所述异常会话数,包括:
周期性遍历所述会话表,依次将各会话表项选为目标会话表项;
基于当前时间和所述目标会话表项中的会话建立时间确定所述目标会话表项是否已建立达到预设的状态更新时长;
如果所述目标会话表项已建立达到所述状态更新时长,确定所述目标会话表项中的会话状态是否为完全状态;
如果是,将下一个会话表项选为目标会话表项;
如果否,将所述目标会话表项的五元组中的源IP查找所述用户表,将查找到的用户表项中的异常会话数加1。
在所述检测洪水攻击的方法中,所述方法还包括:
确定所述攻击源的IP地址后,对所述攻击源发送的报文进行丢弃。
在所述检测洪水攻击的方法中,所述接入交换机与管理服务器对接,所述方法还包括:
确定所述攻击源的IP地址后,将所述攻击源的用户表项上报至所述管理服务器,以由所述管理服务器进一步确认所述用户表项中的IP地址为洪水攻击的攻击源的IP地址并下发阻断命令;
接收到所述阻断命令,对所述攻击源发送的报文进行丢弃。
一种检测洪水攻击的装置,应用于局域网的接入交换机,包括:
第一更新单元,用于根据预设的会话表的会话表项的五元组中的源IP更新预设的用户表的用户表项中的发起会话数;其中,所述会话表包括五元组、会话状态和会话建立时间的映射关系,所述用户表包括IP地址、发起会话数和异常会话数的映射关系;
第二更新单元,用于根据所述会话表的会话表项的会话状态和会话建立时间更新所述用户表的用户表项中的所述异常会话数;
检测单元,用于周期性遍历所述用户表,确定各用户表项的发起会话数是否达到预设的第一阈值,以及,确定各用户表项的异常会话数是否到达预设的第二阈值;
确定单元,用于如果所述用户表项的发起会话数达到所述第一阈值或者所述用户表项的异常会话数达到所述第二阈值,确定所述用户表项中的IP地址为攻击源的IP地址。
在所述检测洪水攻击的装置中,所述第一更新单元,进一步用于:
新建会话表项,或者,更新会话表的会话表项;
根据所述会话表项的五元组中的源IP查找所述用户表,确定是否查找到对应的用户表项;
如果是,将查找到的所述用户表项中的所述发起会话数加1;
如果否,根据所述会话表项的五元组中的源IP新建用户表项,并将所述发起会话数置为1。
在所述检测洪水攻击的装置中,所述第一更新单元,进一步用于:
接收到报文并提取报文的五元组;
根据所述五元组查找所述会话表,确定是否查找到对应的会话表项;
如果是,更新所述会话表项中的会话状态;其中,所述会话状态包括未完全状态和完全状态,所述未完全状态指会话双方尚未互相通信,所述完全状态指会话双方已经互相通信;
如果否,基于所述五元组新建会话表项,并将所述会话表项中的会话状态置为未完全状态。
在所述检测洪水攻击的装置中,所述第二更新单元,进一步用于:
周期性遍历所述会话表,依次将各会话表项选为目标会话表项;
基于当前时间和所述目标会话表项中的会话建立时间确定所述目标会话表项是否已建立达到预设的状态更新时长;
如果所述目标会话表项已建立达到所述状态更新时长,确定所述目标会话表项中的会话状态是否为完全状态;
如果是,将下一个会话表项选为目标会话表项;
如果否,将所述目标会话表项的五元组中的源IP查找所述用户表,将查找到的用户表项中的异常会话数加1。
在所述检测洪水攻击的装置中,所述装置还包括:
丢弃单元,用于确定所述攻击源的IP地址后,对所述攻击源发送的报文进行丢弃。
在所述检测洪水攻击的装置中,所述接入交换机与管理服务器对接,所述装置还包括:
上报单元,用于确定所述攻击源的IP地址后,将所述攻击源的用户表项上报至所述管理服务器,以由所述管理服务器进一步确认所述用户表项中的IP地址为洪水攻击的攻击源的IP地址并下发阻断命令;
接收单元,用于接收到所述阻断命令,对所述攻击源发送的报文进行丢弃。
在本申请技术方案中,由于在正常情况下,单个终端设备主动发起的会话数较少,单个终端设备发起的会话中异常会话的数量也不多,因此,局域网的接入交换机以用户表项中的发起会话数和异常会话数为依据,确定各用户表项对应的终端设备是否为洪水攻击的攻击源;
本申请将排查洪水攻击的攻击源的工作交由局域网的接入交换机来完成,相比由汇聚层或核心层的网络设备排查攻击源而言,各接入交换机可以检测仅在二层网络转发的报文,且无需增加安全设备,从而在不增加局域网成本的情况下提高了网络的安全性和可靠性。
附图说明
图1是本申请示出的一种局域网的网络架构图;
图2是本申请示出的一种检测洪水攻击的方法的流程图;
图3是本申请示出的一种更新会话表和用户表的流程图;
图4是本申请示出的一种更新用户表的异常会话数的流程图;
图5是本申请示出的一种确定洪水攻击的攻击源的流程图;
图6是本申请示出的一种检测洪水攻击的装置的实施例框图;
图7是本申请示出的一种检测洪水攻击的装置的硬件结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对现有技术方案和本发明实施例中的技术方案作进一步详细的说明。
现有技术通常由汇聚层或核心层的网络设备检测局域网中的洪水攻击的攻击源。参见图1,为本申请示出的一种局域网的网络架构图,如图1所示,当局域网中的某一台计算机中病毒后,成为攻击源向其它计算机或服务器发送大量攻击报文。在这种情况下,局域网的核心设备(即图1中的网关设备)可以对所有接入交换机上转发的报文进行抓包,然后提取报文的报文特征,其中,报文特征可以是报文的源IP。
网关设备可以统计各源IP出现的次数,进而以出现的次数超过预设的阈值的源IP为洪水攻击的计算机的IP地址。在确定攻击源的IP地址之后,网关设备可以向转发攻击报文的接入交换机下发阻断命令,以由接入交换机对攻击源发送的报文进行阻断。
然而,如果攻击报文并未经三层转发,则核心层的网络设备无法检测到攻击报文。比如,当图1中的计算机A仅向计算机B发送攻击报文时,网关设备就无法检测到攻击报文,进而无法确定攻击源。
在这种情况下,通常可以部署与接入交换机连接的安全设备,由安全设备对接入交换机转发的报文进行检测,从而排查出洪水攻击的攻击源。然而,这种方式增加了局域网的部署成本。
可见,现有技术中,由核心层或汇聚层的网络设备排查攻击源的方式存在缺陷,无法检测出未经三层转发的攻击报文;而如果通过部署与接入交换机连接的安全设备排查攻击源,则会增加局域网的部署成本和维护成本。
有鉴于此,本申请提供一种检测洪水攻击的方法,由各接入交换机基于预设的会话表的会话表项更新用户表的用户表项,然后周期性判断各计算机或服务器主动发起的会话的数量是否达到预设的第一阈值以及各计算机或服务器的异常会话数是否达到预设的第二阈值,并在任一指标达到预设的阈值时确定会话发起方为攻击源。本申请由各接入交换机主动检测洪水攻击的攻击源,从而能够在不增加局域网部署成本和维护成本的情况下,提高网络的安全性和可靠性。
参见图2,为本申请示出的一种检测洪水攻击的方法的流程图,所述方法应用于局域网的接入交换机,包括:
步骤201:根据预设的会话表的会话表项的五元组中的源IP更新预设的用户表的用户表项中的发起会话数;其中,所述会话表包括五元组、会话状态和会话建立时间的映射关系,所述用户表包括IP地址、发起会话数和异常会话数的映射关系。
步骤202:根据所述会话表的会话表项的会话状态和会话建立时间更新所述用户表的用户表项中的所述异常会话数。
步骤203:周期性遍历所述用户表,确定各用户表项的发起会话数是否达到预设的第一阈值,以及,确定各用户表项的异常会话数是否到达预设的第二阈值。
步骤204:如果所述用户表项的发起会话数达到所述第一阈值或者所述用户表项的异常会话数达到所述第二阈值,确定所述用户表项中的IP地址为攻击源的IP地址。
在本申请实施例中,各接入交换机可以预配置会话表和用户表;其中,会话表用于记录本地处理的报文所属的会话,每条会话表项包括五元组、会话状态、会话建立时间和会话老化时间的映射关系,用户表用于记录局域网内各计算机或服务器主动发起的会话的数量和异常会话的数量,包括IP地址、发起会话数和异常会话数的映射关系。
需要指出的是,五元组包括源IP、目的IP、协议号、源端口和目的端口,每条会话表项可以包括两组五元组,其中一组五元组的源IP和源端口分别是另一组五元组的目的IP和目的端口。会话状态可以包括未完全状态和完全状态,对于不同协议类型的会话的会话状态的判断策略是不同的。
比如,对于TCP协议的会话而言,接入交换机接收到携带SYN的报文,可以将会话状态填为未完全状态,接收到携带SYN和ACK的报文后,可以保持会话状态不变,直到接收到仅携带ACK的报文后(也就是确定会话双方完成三次握手后),将会话状态更新为完全状态。
而对于UDP协议的会话而言,接入交换机在创建会话表项时将会话状态填为未完全状态,当接收到携带会话的另一组五元组的报文后(也就是确定会话存在双向流量后),将会话状态更新为完全状态。
此外,各接入交换机上可以预配置状态更新时长,后续可以在会话表项建立达到上述状态更新时长后判断会话表项中的会话状态是否为完全状态,并在会话表项中的会话状态不为完全状态时,确定该会话表项对应的会话为异常会话。上述状态更新时长可以根据实际网络环境进行配置,比如,可以设置为120秒。
在本申请实施例中,接入交换机可以根据上述会话表的会话表项的五元组的源IP更新上述用户表的用户表项中的发起会话数。
具体地,接入交换机在接收到局域网内各终端设备(包括计算机和服务器)之间互相通信的报文时,可以基于报文创建或者更新会话表项,并更新用户表。
参见图3,为本申请示出的一种更新会话表和用户表的流程图,如图3所示,接入交换机接收到报文后,首先可以提取报文的五元组;其中,上述报文可以是接入上述接入交换机的终端设备发送的,也可以是汇聚层或核心层的网络设备转发至上述接入交换机的。
接入交换机可以根据提取到的五元组查找上述的会话表,确定是否查找到对应的会话表项。需要指出的是,接入交换机在根据提取到的五元组查找会话表时,并不区分源IP和目的IP,也不区分源端口和目的端口;因此,在基于源IP和目的IP相反、源端口和目的端口相反的两组五元组查找会话表时可以查找到同一个会话表项。
一方面,如果接入交换机查找到上述五元组对应的会话表项,说明接入交换机此前已经接收到该会话的报文,接入交换机可以更新查找到的会话表项。
具体地,如果上述五元组对应的是TCP协议的会话,接入交换机可以基于上述报文携带的SYN字段、ACK字段等内容更新会话状态。此外,如果会话表项中尚未记录上述五元组,则可以将上述五元组记录到上述会话表项中。
如果上述五元组对应的是UDP协议的会话,接入交换机可以确定上述会话表项中是否已经记录两组源IP和目的IP相反、源端口和目的端口相反的五元组,当上述会话表项中尚未记录提取到的上述五元组,可以将上述五元组记录到上述会话表项中,并确定该会话存在双向流量,从而将上述会话表项中的会话状态更新为完全状态。
类似地,如果上述五元组对应的是ICMP协议的会话,接入交换机同样可以确定上述会话表项中是否已经记录两组源IP和目的IP相反、源端口和目的端口相反的五元组,当上述会话表项中尚未记录提取到的上述五元组,可以将上述五元组记录到上述会话表项中,并确定该会话存在双向流量,从而将上述会话表项中的会话状态更新为完全状态。
另一方面,如果接入交换机无法查找到上述五元组对应的会话表项,说明接入交换机此前尚未接收到该会话的报文,接入交换机可以新建会话表项。
具体地,接入交换机可以基于上述五元组新建会话表项,并在会话建立时间中填入当前的时间,将会话状态中置为未完全状态。
在实际应用中,会话状态中填入的可以是完全状态标识和未完全状态标识;比如,未完全状态标识可以是0,完全状态标识可以是1。
进一步地,接入交换机在新建会话表项或更新会话状态后,可以根据上述五元组中的源IP查找预配置的上述用户表,确定是否查找到对应的用户表项。
一方面,如果不能查找到对应的用户表项,接入交换机可以根据上述五元组中的源IP新建用户表项,并将上述用户表项中的发起会话数置为1;
另一方面,如果查找到对应的用户表项,接入交换机可以将上述用户表项中的发起会话数加1。
在本申请实施例中,接入交换机可以根据上述会话表的会话表项的会话状态和会话建立时间更新上述用户表的用户表项中的异常会话数。
具体地,接入交换机可以周期性检查各终端设备发起的会话的会话状态,然后确定各会话表项对应的是否为异常会话。
参见图4,为本申请示出的一种更新用户的异常会话数的流程图,如图4所示,接入交换机可以周期性遍历会话表,依次将各会话表项作为目标会话表项,然后基于该目标会话表项的会话建立时间和当前时间确定时间差,并判断该时间差是否达到上述状态更新时长,如果该时间差达到上述状态更新时长,可以进一步判断该目标会话表项中的会话状态是否为完全状态。
一方面,如果该目标会话表项中的会话状态为完全状态,则可以继续将下一个会话表项作为目标会话表项进行检查;
另一方面,如果该目标会话表项中的会话状态不为完全状态,则可以根据该目标会话表项的五元组中的源IP查找上述用户表,并将查找的用户表项中的异常会话数加1。
通过该措施,接入交换机可以及时更新各终端设备主动发起的会话中异常会话的数量,以便于后续基于各用户表项中的异常会话数确定洪水攻击的攻击源。
在本申请实施例中,接入交换机可以周期性遍历用户表,确定洪水攻击的攻击源。
参见图5,为本申请示出的一种确定洪水攻击的攻击源的流程图,如图5所示,接入交换机可以周期性遍历用户表,依次将各用户表项作为目标用户表项,然后确定该目标用户表项中的发起会话数是否达到预设的第一阈值,以及,该用户表项中的异常会话数是否达到预设的第二阈值。
一方面,如果该目标用户表项的发起会话数和异常会话数有任一一项达到阈值,则可以确定该目标用户表项对应的终端设备为攻击源;
另一方面,如果该目标用户表项的发起会话数和异常会话数都未达到阈值,则可以继续将下一个用户表项作为目标用户表项进行检查。
在本申请实施例中,接入交换机在确定洪水攻击的攻击源后,可以对上述攻击源发送的报文进行丢弃处理,使得上述攻击源无法继续对局域网内的其它终端设备造成攻击。
在本申请另一实施例中,接入交换机可以与管理服务器对接,在确定洪水攻击的攻击源后,接入交换机可以向管理服务器上报攻击源的用户表项,以由管理服务器进一步确认该用户表项中的IP地址为洪水攻击的攻击源的IP地址。
管理服务器接收到接入交换机上报的用户表项后,可以基于预配置的筛选策略分析用户表项中的发起会话数和异常会话数,从而更准确地确定洪水攻击的攻击源。比如:管理服务器可以根据接入交换机若干次上报的用户表项中的发起会话数计算单位时间内的增速,并在增数达到预设的阈值的情况下,确定用户表项对应的终端设备确实为攻击源。
管理服务器在确定攻击源后,可以向上报上述用户表项的接入交换机下发阻断命令;其中,该阻断命令可以携带攻击源的IP地址。接入交换机接收到阻断命令,可以对上述攻击源发送的报文进行丢弃。
通过上述实施例中的措施,可以更准确地确定攻击源,避免接入交换机在误判后阻断正常通信。
综上所述,在本申请技术方案中,局域网的接入交换机代替汇聚层或核心层的网络设备排查洪水攻击的攻击源,由于接入交换机可以检测二层网络的流量,避免了通过汇聚层或核心层网络设备对二层网络的攻击报文的遗漏,并且无需部署与接入交换机连接的安全设备,从而在不增加局域网部署成本和维护成本的情况下,提高网络的安全性和可靠性。
与前述检测洪水攻击的方法的实施例相对应,本申请还提供了检测洪水攻击的装置的实施例。
参见图6,为本申请示出的一种检测洪水攻击的装置的实施例框图:
如图6所示,该检测洪水攻击的装置60包括:
第一更新单元610,用于根据预设的会话表的会话表项的五元组中的源IP更新预设的用户表的用户表项中的发起会话数;其中,所述会话表包括五元组、会话状态和会话建立时间的映射关系,所述用户表包括IP地址、发起会话数和异常会话数的映射关系。
第二更新单元620,用于根据所述会话表的会话表项的会话状态和会话建立时间更新所述用户表的用户表项中的所述异常会话数。
检测单元630,用于周期性遍历所述用户表,确定各用户表项的发起会话数是否达到预设的第一阈值,以及,确定各用户表项的异常会话数是否到达预设的第二阈值。
确定单元640,用于如果所述用户表项的发起会话数达到所述第一阈值或者所述用户表项的异常会话数达到所述第二阈值,确定所述用户表项中的IP地址为攻击源的IP地址。
在本例中,所述第一更新单元610,进一步用于:
新建会话表项,或者,更新会话表的会话表项;
根据所述会话表项的五元组中的源IP查找所述用户表,确定是否查找到对应的用户表项;
如果是,将查找到的所述用户表项中的所述发起会话数加1;
如果否,根据所述会话表项的五元组中的源IP新建用户表项,并将所述发起会话数置为1。
在本例中,所述第一更新单元610,进一步用于:
接收到报文并提取报文的五元组;
根据所述五元组查找所述会话表,确定是否查找到对应的会话表项;
如果是,更新所述会话表项中的会话状态;其中,所述会话状态包括未完全状态和完全状态,所述未完全状态指会话双方尚未互相通信,所述完全状态指会话双方已经互相通信;
如果否,基于所述五元组新建会话表项,并将所述会话表项中的会话状态置为未完全状态。
在本例中,所述第二更新单元620,进一步用于:
周期性遍历所述会话表,依次将各会话表项选为目标会话表项;
基于当前时间和所述目标会话表项中的会话建立时间确定所述目标会话表项是否已建立达到预设的状态更新时长;
如果所述目标会话表项已建立达到所述状态更新时长,确定所述目标会话表项中的会话状态是否为完全状态;
如果是,将下一个会话表项选为目标会话表项;
如果否,将所述目标会话表项的五元组中的源IP查找所述用户表,将查找到的用户表项中的异常会话数加1。
在本例中,所述装置还包括:
丢弃单元650,用于确定所述攻击源的IP地址后,对所述攻击源发送的报文进行丢弃。
在本例中,所述接入交换机与管理服务器对接,所述装置还包括:
上报单元660,用于确定所述攻击源的IP地址后,将所述攻击源的用户表项上报至所述管理服务器,以由所述管理服务器进一步确认所述用户表项中的IP地址为洪水攻击的攻击源的IP地址并下发阻断命令。
接收单元670,用于接收到所述阻断命令,对所述攻击源发送的报文进行丢弃。
本申请检测洪水攻击的装置的实施例可以应用在接入交换机上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在接入交换机的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图7所示,为本申请检测洪水攻击的装置所在接入交换机的一种硬件结构图,除了图7所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的接入交换机通常根据该检测洪水攻击的装置的实际功能,还可以包括其他硬件,对此不再赘述。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (12)
1.一种检测洪水攻击的方法,应用于局域网的接入交换机,其特征在于,包括:
根据预设的会话表的会话表项的五元组中的源IP更新预设的用户表的用户表项中的发起会话数;其中,所述会话表包括五元组、会话状态和会话建立时间的映射关系,所述用户表包括IP地址、发起会话数和异常会话数的映射关系;
根据所述会话表的会话表项的会话状态和会话建立时间更新所述用户表的用户表项中的所述异常会话数;
周期性遍历所述用户表,确定各用户表项的发起会话数是否达到预设的第一阈值,以及,确定各用户表项的异常会话数是否到达预设的第二阈值;
如果所述用户表项的发起会话数达到所述第一阈值或者所述用户表项的异常会话数达到所述第二阈值,确定所述用户表项中的IP地址为攻击源的IP地址。
2.根据权利要求1所述的方法,其特征在于,所述根据会话表的会话表项的五元组中的源IP更新用户表的用户表项中的发起会话数,包括:
新建会话表项,或者,更新会话表的会话表项;
根据所述会话表项的五元组中的源IP查找所述用户表,确定是否查找到对应的用户表项;
如果是,将查找到的所述用户表项中的所述发起会话数加1;
如果否,根据所述会话表项的五元组中的源IP新建用户表项,并将所述发起会话数置为1。
3.根据权利要求2所述的方法,其特征在于,所述新建会话表项,或者,更新会话表的会话表项,包括:
接收到报文并提取报文的五元组;
根据所述五元组查找所述会话表,确定是否查找到对应的会话表项;
如果是,更新所述会话表项中的会话状态;其中,所述会话状态包括未完全状态和完全状态,所述未完全状态指会话双方尚未互相通信,所述完全状态指会话双方已经互相通信;
如果否,基于所述五元组新建会话表项,并将所述会话表项中的会话状态置为未完全状态。
4.根据权利要求3所述的方法,其特征在于,所述根据所述会话表的会话表项的会话状态和会话建立时间更新所述用户表的用户表项中的所述异常会话数,包括:
周期性遍历所述会话表,依次将各会话表项选为目标会话表项;
基于当前时间和所述目标会话表项中的会话建立时间确定所述目标会话表项是否已建立达到预设的状态更新时长;
如果所述目标会话表项已建立达到所述状态更新时长,确定所述目标会话表项中的会话状态是否为完全状态;
如果是,将下一个会话表项选为目标会话表项;
如果否,将所述目标会话表项的五元组中的源IP查找所述用户表,将查找到的用户表项中的异常会话数加1。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
确定所述攻击源的IP地址后,对所述攻击源发送的报文进行丢弃。
6.根据权利要求1所述的方法,其特征在于,所述接入交换机与管理服务器对接,所述方法还包括:
确定所述攻击源的IP地址后,将所述攻击源的用户表项上报至所述管理服务器,以由所述管理服务器进一步确认所述用户表项中的IP地址为洪水攻击的攻击源的IP地址并下发阻断命令;
接收到所述阻断命令,对所述攻击源发送的报文进行丢弃。
7.一种检测洪水攻击的装置,应用于局域网的接入交换机,其特征在于,包括:
第一更新单元,用于根据预设的会话表的会话表项的五元组中的源IP更新预设的用户表的用户表项中的发起会话数;其中,所述会话表包括五元组、会话状态和会话建立时间的映射关系,所述用户表包括IP地址、发起会话数和异常会话数的映射关系;
第二更新单元,用于根据所述会话表的会话表项的会话状态和会话建立时间更新所述用户表的用户表项中的所述异常会话数;
检测单元,用于周期性遍历所述用户表,确定各用户表项的发起会话数是否达到预设的第一阈值,以及,确定各用户表项的异常会话数是否到达预设的第二阈值;
确定单元,用于如果所述用户表项的发起会话数达到所述第一阈值或者所述用户表项的异常会话数达到所述第二阈值,确定所述用户表项中的IP地址为攻击源的IP地址。
8.根据权利要求7所述的装置,其特征在于,所述第一更新单元,进一步用于:
新建会话表项,或者,更新会话表的会话表项;
根据所述会话表项的五元组中的源IP查找所述用户表,确定是否查找到对应的用户表项;
如果是,将查找到的所述用户表项中的所述发起会话数加1;
如果否,根据所述会话表项的五元组中的源IP新建用户表项,并将所述发起会话数置为1。
9.根据权利要求8所述的装置,其特征在于,所述第一更新单元,进一步用于:
接收到报文并提取报文的五元组;
根据所述五元组查找所述会话表,确定是否查找到对应的会话表项;
如果是,更新所述会话表项中的会话状态;其中,所述会话状态包括未完全状态和完全状态,所述未完全状态指会话双方尚未互相通信,所述完全状态指会话双方已经互相通信;
如果否,基于所述五元组新建会话表项,并将所述会话表项中的会话状态置为未完全状态。
10.根据权利要求9所述的装置,其特征在于,所述第二更新单元,进一步用于:
周期性遍历所述会话表,依次将各会话表项选为目标会话表项;
基于当前时间和所述目标会话表项中的会话建立时间确定所述目标会话表项是否已建立达到预设的状态更新时长;
如果所述目标会话表项已建立达到所述状态更新时长,确定所述目标会话表项中的会话状态是否为完全状态;
如果是,将下一个会话表项选为目标会话表项;
如果否,将所述目标会话表项的五元组中的源IP查找所述用户表,将查找到的用户表项中的异常会话数加1。
11.根据权利要求7所述的装置,其特征在于,所述装置还包括:
丢弃单元,用于确定所述攻击源的IP地址后,对所述攻击源发送的报文进行丢弃。
12.根据权利要求7所述的装置,其特征在于,所述接入交换机与管理服务器对接,所述装置还包括:
上报单元,用于确定所述攻击源的IP地址后,将所述攻击源的用户表项上报至所述管理服务器,以由所述管理服务器进一步确认所述用户表项中的IP地址为洪水攻击的攻击源的IP地址并下发阻断命令;
接收单元,用于接收到所述阻断命令,对所述攻击源发送的报文进行丢弃。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711021069.2A CN107634971B (zh) | 2017-10-26 | 2017-10-26 | 一种检测洪水攻击的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711021069.2A CN107634971B (zh) | 2017-10-26 | 2017-10-26 | 一种检测洪水攻击的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107634971A true CN107634971A (zh) | 2018-01-26 |
CN107634971B CN107634971B (zh) | 2020-07-07 |
Family
ID=61106080
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711021069.2A Active CN107634971B (zh) | 2017-10-26 | 2017-10-26 | 一种检测洪水攻击的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107634971B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110535861A (zh) * | 2019-08-30 | 2019-12-03 | 杭州迪普信息技术有限公司 | 一种识别syn攻击行为中统计syn包数量的方法及装置 |
CN112532620A (zh) * | 2020-11-26 | 2021-03-19 | 杭州迪普信息技术有限公司 | 一种会话表控制方法及装置 |
CN115633076A (zh) * | 2022-12-19 | 2023-01-20 | 亿海蓝(北京)数据技术股份公司 | 会话管理方法及***、可读存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101465855A (zh) * | 2008-12-31 | 2009-06-24 | 中国科学院计算技术研究所 | 一种同步泛洪攻击的过滤方法及*** |
CN102333080A (zh) * | 2011-08-02 | 2012-01-25 | 杭州迪普科技有限公司 | 一种防范报文攻击的方法及装置 |
CN103095584A (zh) * | 2013-02-04 | 2013-05-08 | 杭州华三通信技术有限公司 | 一种报文处理方法及交换设备 |
US8789173B2 (en) * | 2009-09-03 | 2014-07-22 | Juniper Networks, Inc. | Protecting against distributed network flood attacks |
US9438592B1 (en) * | 2009-10-28 | 2016-09-06 | Aunigma Network Security Group | System and method for providing unified transport and security protocols |
CN106027551A (zh) * | 2016-06-30 | 2016-10-12 | 大连楼兰科技股份有限公司 | 网络泛洪攻击的检测、存储及显示***及方法 |
CN106911724A (zh) * | 2017-04-27 | 2017-06-30 | 杭州迪普科技股份有限公司 | 一种报文处理方法及装置 |
CN107222462A (zh) * | 2017-05-08 | 2017-09-29 | 汕头大学 | 一种局域网内部攻击源的自动定位、隔离方法 |
-
2017
- 2017-10-26 CN CN201711021069.2A patent/CN107634971B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101465855A (zh) * | 2008-12-31 | 2009-06-24 | 中国科学院计算技术研究所 | 一种同步泛洪攻击的过滤方法及*** |
US8789173B2 (en) * | 2009-09-03 | 2014-07-22 | Juniper Networks, Inc. | Protecting against distributed network flood attacks |
US9438592B1 (en) * | 2009-10-28 | 2016-09-06 | Aunigma Network Security Group | System and method for providing unified transport and security protocols |
CN102333080A (zh) * | 2011-08-02 | 2012-01-25 | 杭州迪普科技有限公司 | 一种防范报文攻击的方法及装置 |
CN103095584A (zh) * | 2013-02-04 | 2013-05-08 | 杭州华三通信技术有限公司 | 一种报文处理方法及交换设备 |
CN106027551A (zh) * | 2016-06-30 | 2016-10-12 | 大连楼兰科技股份有限公司 | 网络泛洪攻击的检测、存储及显示***及方法 |
CN106911724A (zh) * | 2017-04-27 | 2017-06-30 | 杭州迪普科技股份有限公司 | 一种报文处理方法及装置 |
CN107222462A (zh) * | 2017-05-08 | 2017-09-29 | 汕头大学 | 一种局域网内部攻击源的自动定位、隔离方法 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110535861A (zh) * | 2019-08-30 | 2019-12-03 | 杭州迪普信息技术有限公司 | 一种识别syn攻击行为中统计syn包数量的方法及装置 |
CN110535861B (zh) * | 2019-08-30 | 2022-01-25 | 杭州迪普信息技术有限公司 | 一种识别syn攻击行为中统计syn包数量的方法及装置 |
US11677769B2 (en) | 2019-08-30 | 2023-06-13 | Hangzhou Dptech Technologies Co., Ltd. | Counting SYN packets |
CN112532620A (zh) * | 2020-11-26 | 2021-03-19 | 杭州迪普信息技术有限公司 | 一种会话表控制方法及装置 |
CN115633076A (zh) * | 2022-12-19 | 2023-01-20 | 亿海蓝(北京)数据技术股份公司 | 会话管理方法及***、可读存储介质 |
CN115633076B (zh) * | 2022-12-19 | 2023-03-14 | 亿海蓝(北京)数据技术股份公司 | 会话管理方法及***、可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN107634971B (zh) | 2020-07-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108063765B (zh) | 适于解决网络安全的sdn*** | |
CN104580168B (zh) | 一种攻击数据包的处理方法、装置及*** | |
Chen et al. | Measuring TCP round-trip time in the data plane | |
EP3222005B1 (en) | Passive performance measurement for inline service chaining | |
US8397284B2 (en) | Detection of distributed denial of service attacks in autonomous system domains | |
CN104247332B (zh) | 处理关于虚拟机和网络之间的通信的流量的方法和*** | |
CN100514921C (zh) | 一种网络流量异常检测方法和*** | |
CN101505230B (zh) | 计算机网络中用于优化路由的事件触发追踪路由 | |
CN108234235A (zh) | 用于数据监控的方法、网络设备以及计算机可读存储介质 | |
US7898966B1 (en) | Discard interface for diffusing network attacks | |
Tammaro et al. | Exploiting packet‐sampling measurements for traffic characterization and classification | |
EP3198822A1 (en) | Computer network packet flow controller | |
CN107979607A (zh) | 适于网络安全的软件定义的网络架构及其工作方法 | |
CN107634971A (zh) | 一种检测洪水攻击的方法及装置 | |
CN107800626A (zh) | 数据报文的处理方法、装置及设备 | |
Hubballi et al. | An event based technique for detecting spoofed IP packets | |
CN106101088B (zh) | 清洗设备、检测设备、路由设备和防范dns攻击的方法 | |
CN107135185A (zh) | 一种攻击处理方法、设备及*** | |
JP5178573B2 (ja) | 通信システムおよび通信方法 | |
Bonola et al. | StreaMon: A data-plane programming abstraction for software-defined stream monitoring | |
CN107018116A (zh) | 监控网络流量的方法、装置及服务器 | |
CN105939288A (zh) | 会话控制方法及装置 | |
CN102315962B (zh) | 探测以太网最大传输单元的方法及维护端点 | |
CN113259387B (zh) | 一种基于虚拟交换的防止蜜罐被控成为跳板机的方法 | |
Csikor et al. | End-host driven troubleshooting architecture for software-defined networking |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |