CN109150890A - 新建连接攻击的防护方法及相关设备 - Google Patents
新建连接攻击的防护方法及相关设备 Download PDFInfo
- Publication number
- CN109150890A CN109150890A CN201811031383.3A CN201811031383A CN109150890A CN 109150890 A CN109150890 A CN 109150890A CN 201811031383 A CN201811031383 A CN 201811031383A CN 109150890 A CN109150890 A CN 109150890A
- Authority
- CN
- China
- Prior art keywords
- newly
- attack
- target device
- built
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例供一种新建连接攻击的防护方法。在一个新的防护周期,通知目标设备的硬件允许预定数量的新建连接请求报文进入所述目标设备;统计在所述周期当前建立的连接数;如果在所述周期当前建立的连接数大于或等于预定的阈值,通知所述目标设备的硬件阻止新建连接请求报文进入所述目标设备;如果在所述周期当前建立的连接数小于预定的阈值,通知目标设备的硬件继续允许预定数量的新建连接请求报文进入所述目标设备。根据本申请实施例的方案,通过软件进行新建连接计数以及攻击判定,硬件进行报文限制,阻止大流量攻击报文在经过报文安全性检查以及报文转发前的预处理流程空耗设备性能的情况发生,使设备在能够实现防护的同时仍保持高性能状态。
Description
技术领域
本申请涉及网络安全领域,特别涉及新建连接攻击的防护方法及相关设备。
背景技术
一方面,随着各种DDoS(分布式拒绝服务,Distributed Denial of Service)攻击工具的问世、工具的获取容易及其操作简单,此外,现在的DDoS攻击服务也非常廉价;另一方面,服务器的网络连接数又是有限制的;因此导致新建连接攻击能够轻易实现。攻击者通过攻击工具或者僵尸网络发起大量的新建连接请求,以耗尽服务器的新建连接资源,从而导致正常的连接请求建立失败。
新建连接攻击常见有以下两种情况:一种是在很短的时间内以高速率与攻击目标(如,服务器)建立网络连接以使新建连接数超过攻击目标的上限。一般情况下,利用已有的攻击工具再加上僵尸网络,很容易超过攻击目标的新建连接数上限。另一种是每秒钟内与攻击目标建立的连接数正常,即在一段连续时间内均以一定的速率与攻击目标建立网络连接,但从不释放已建立成功的连接,从而使新建连接数超过攻击目标的上限。通常,攻击工具或者僵尸网络与攻击目标建立完连接后,不传输任何数据,因为一旦传输错误的数据,攻击目标会自动断开连接。因此,当攻击目标的新建连接资源被攻击者或者僵尸网络使用完后,当有正常的连接请求到达时则无法提供响应。
发明内容
针对新建连接攻击,相关的现有技术方案是在进入报文转发流程之前,设置新建连接攻击的防护流程,并在该流程中先判断当前建立的连接数是否已超过设定的阈值,若已超过设定的阈值则直接丢弃连接请求报文,若未超过设定的阈值则该连接请求报文进入到后面的报文转发流程,建立连接。
但是本申请的发明人在研究中发现,虽然超过阈值的连接请求报文被丢弃了,但同时也消耗了服务器的大量资源。因为连接请求报文在进入报文转发流程前,会先进入到很多有关报文安全性检查的防护流程以及报文转发前的预处理流程中。对于这一系列流程,也会消耗服务器不小的资源。如果是处理小流量的攻击报文时,服务器的性能基本没有什么变化,而在处理大流量的攻击报文时,虽然连接数控制在了阈值范围内,但是服务器的大部分资源用来处理经过这一系列流程的大流量攻击报文,从而对其他的功能无法提供正常服务。此时,服务器本身的性能受到严重影响,对于攻击者来说就已经超过了攻击的目的。
有鉴于此,本申请提供新建连接攻击的防护方法及相关设备,以尽可能解决现有技术中由于攻击报文(特别是大流量攻击报文)在被丢弃前已过度地消耗服务器资源而导致服务器性能下降进而无法提供正常服务的问题。
具体地,本申请是通过如下技术方案实现的:
一种新建连接攻击的防护方法,所述方法包括:
在一个新的防护周期,通知目标设备的硬件允许预定数量的新建连接请求报文进入所述目标设备;
统计在所述周期当前建立的连接数;
如果在所述周期当前建立的连接数大于或等于预定的阈值,通知所述目标设备的硬件阻止新建连接请求报文进入所述目标设备;
如果在所述周期当前建立的连接数小于预定的阈值,通知目标设备的硬件继续允许预定数量的新建连接请求报文进入所述目标设备。
可选的,在目标设备的硬件阻止新建连接请求报文进入所述目标设备之后,所述方法还包括:
统计在所述周期当前建立的连接数;
如果在所述周期当前建立的连接数大于或等于预定的阈值,继续保持阻止;如果在所述周期当前建立的连接数小于预定的阈值,通知目标设备的硬件允许预定数量的新建连接请求报文进入所述目标设备。
可选的,所述方法还包括:
查询预定的防护策略,所述预定的防护策略包括对源IP地址的防护和/或对目标IP地址的防护,以便根据所述防护策略对对应的新建连接请求报文进行防护。
可选的,所述预定数量的新建连接数请求报文为所有新建连接请求报文。
可选的,所述方法还包括:
记录连接数首次大于或等于预定的阈值的时间点并作为攻击开始的事件,以及记录连接数在预定的时间内持续小于预定的阈值的时间点并作为攻击结束的事件,将所述攻击开始的事件和所述攻击结束的事件进行上报。
可选的,所述方法还包括:
在攻击开始后,如果在一个或多个预设的时间段内连接数均持续大于或等于预定的阈值,确定攻击正在持续,并将攻击正在持续的事件进行上报。
一种新建连接攻击的防护装置,所述装置包括:
防护控制模块,用于在一个新的防护周期,通知目标设备的硬件允许预定数量的新建连接请求报文进入所述目标设备;
统计模块,用于统计在所述周期当前建立的连接数;
防护控制模块还用于,如果在所述周期当前建立的连接数大于或等于预定的阈值,通知所述目标设备的硬件阻止新建连接请求报文进入所述目标设备,如果在所述周期当前建立的连接数小于预定的阈值,通知目标设备的硬件继续允许预定数量的新建连接请求报文进入所述目标设备。
可选的,统计模块还用于,在目标设备的硬件阻止新建连接请求报文进入所述目标设备之后,统计在所述周期当前建立的连接数;
防护控制模块还用于,如果在所述周期当前建立的连接数大于或等于预定的阈值,继续保持阻止,如果在所述周期当前建立的连接数小于预定的阈值,通知目标设备的硬件允许预定数量的新建连接请求报文进入所述目标设备。
可选的,所述装置还包括:
查询模块,用于在目标设备的硬件允许预定数量的新建连接请求报文进入所述目标设备并根据所述预定数量统计当前建立的连接数之前,查询预定的防护策略,所述预定的防护策略包括对源IP地址的防护和/或对目标IP地址的防护,以便根据所述防护策略对对应的新建连接请求报文进行防护。
可选的,所述预定数量的新建连接数请求报文为所有新建连接请求报文。
可选的,所述装置还包括:
上报模块,用于记录连接数首次大于或等于预定的阈值的时间点并作为攻击开始的事件,以及记录连接数在预定的时间内持续小于预定的阈值的时间点并作为攻击结束的事件,将所述攻击开始的事件和所述攻击结束的事件进行上报。
可选的,上报模块还用于,在攻击开始后,如果在一个或多个预设的时间段内连接数均持续大于或等于预定的阈值,确定攻击正在持续,并将攻击正在持续的事件进行上报。
一种电子设备,所述电子设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现前述的新建连接攻击的防护方法。
可选的,所述电子设备为遭到新建连接攻击的服务器。
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述的新建连接攻击的防护方法。
由以上本申请提供的技术方案可见,根据连接数的计数统计以及硬件限制相结合,一旦当前建立的连接数超过预定的阈值就通知硬件阻止新报文进入目标设备,防止有新的报文进入目标设备并通过有关报文安全性检查的防护流程以及报文转发前的预处理流程消耗目标设备本身的性能。解决现有技术中由于攻击报文(特别是大流量攻击报文)在被丢弃前已过度地消耗服务器资源而导致服务器性能下降进而无法提供正常服务的问题。
附图说明
图1为本申请示出的相关技术中新建连接攻击的网络架构示意图;
图2为本申请示出的一种新建连接攻击的防护方法的流程图;
图3为本申请示出的一种新建连接攻击的防护装置的结构框图;
图4为本申请示出的另一种新建连接攻击的防护装置的结构框图;
图5为本申请示出的一种电子设备的结构框图;
图6为实现根据本申请示出的新建连接请求攻击的防护方法的计算机***的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
请参见图1,其为本申请示出的相关技术中新建连接攻击的网络架构示意图。该网络架构中包括黑客10、控制设备20、多个攻击设备30(为了便于展示,图1中仅示出了三个攻击设备)以及攻击目标40,其中,黑客10与控制设备20进行网络连接,控制设备20与多个攻击设备30进行网络连接,攻击设备30与攻击目标40进行网络连接。攻击设备30上安装有攻击工具,黑客10通过控制设备20控制多个攻击设备30向攻击目标40发起攻击,例如该攻击可以是新建连接攻击,以耗尽攻击目标的新建连接资源,从而导致正常的连接请求建立失败。攻击目标40可以是网络架构中对外提供服务的服务器,如提供业务服务或者网络连接服务等。
在相关的现有技术中,是在进入报文转发流程之前,设置新建连接攻击的防护流程,并在该流程中先判断当前建立的连接数是否已超过设定的阈值,若已超过设定的阈值则直接丢弃该连接请求报文使其无法进入报文转发流程,若未超过设定的阈值则该连接请求报文进入到后面的报文转发流程,建立连接。虽然超过阈值的连接请求报文在进入报文转发流程之前被丢弃了,但因为连接请求报文在进入报文转发流程前,会先进入到很多有关报文安全性检查的防护流程以及报文转发前的预处理流程中,因此也同样会消耗攻击目标大量的资源,对其他的功能无法提供正常服务。
针对新建连接攻击,本申请的发明人在研究中发现,不能只简单的将攻击防住,攻击目标本身的性能也很重要,一旦攻击目标本身的性能受到影响,其对于攻击报文的处理能力就将会大大降低。因此,新建连接防护功能不仅需要将攻击防住,同时攻击目标也需保持在高性能状态。
为了解决上述问题,本申请实施例提供了一种新建连接攻击的防护方案,基于连接数统计对进入攻击目标的连接请求报文进行限制,一旦当前建立的连接数超过预定的阈值就通知硬件丢弃报文,防止有新的报文进入攻击目标消耗攻击目标本身的性能。在硬件处于丢弃报文的状态下,如果当前建立的连接数下降并低于预定的阈值再通知硬件允许报文进入攻击目标,保证攻击目标的对外正常服务。
请参见图2,图2为本申请示出的一种新建连接攻击的防护方法的流程图。该方法例如可以应用于图1所示的服务器,该服务器为被攻击或者存在被攻击可能性的目标设备。该方法包括以下步骤:
步骤200:统计在一个周期当前建立的连接数。
步骤201:判断在一个周期当前建立的连接数是否大于或等于预定的阈值,如果是,执行步骤202,否则,跳转到步骤206。
步骤202:判断是否已向服务器的硬件发送丢弃报文通知,如果是,跳转到步骤204,否则,执行步骤203。
步骤203:向硬件发送丢弃报文通知。
在步骤203中,在向服务器的硬件发送丢弃报文通知后,服务器的硬件不允许新建连接请求报文进入服务器,即直接丢弃报文。
步骤204:判断该周期是否超时,如果超时,执行步骤205,否则,跳转回步骤200。
步骤205:进入新的周期,向服务器的硬件发送允许报文通过通知,并跳转回步骤200。
步骤206:判断是否已向服务器的硬件发送丢弃报文通知,如果是,执行步骤207,否则,跳转到步骤200。
步骤207:向服务器的硬件发送允许报文通过通知,并跳转到步骤200。
在步骤205和步骤207中,在向服务器的硬件发送允许报文通过通知后,硬件可允许一定数量的报文进入服务器,该数量值可以根据需要设置。在一个实施例中,可以允许所有新建连接请求报文进入服务器。当然,出于服务器处理效率的考虑,该数量也可以设置为任意多个。
需要说明的是,由于新建连接攻击的一种类型是攻击工具以正常速率与服务器建立大量连接,且不释放已建立的连接,另一种类型是攻击工具以高速率与服务器建立大量连接,释放后马上又重新建立连接,从而急剧消耗服务器的网络连接上限,导致服务器无法响应正常的连接请求。针对第二种以高速率与服务器建立大量连接的情形,可将上述步骤中的周期设定为与高速率攻击相匹配的周期或者更小的周期以便有效防止此类型攻击,而针对第一种以正常速率与服务器建立大量连接的情形,可将上述步骤中的周期设定为与正常速率攻击相匹配的周期或者更大的周期。
另外,攻击工具既存在对报文的源IP地址的新建连接进行攻击,也存在对目标IP地址的新建连接进行攻击,因此,在本申请的防护方案中,可以在执行步骤201之前,先查看报文对应的策略是对源IP地址的新建连接进行防护,还是对目的IP地址的新建连接进行防护,并在步骤201-207中根据查看结果有针对性地防护。
此外,在本申请方案中,服务器在确定被攻击后,可以将攻击的相关事件上报给后台的维护平台,例如,将攻击开始的事件以及攻击结束的事件上报给维护平台,也可以将攻击持续的事件上报。其中,在一个防护周期,可以将连接数首次大于或等于预定的阈值的时间点作为攻击开始,并上报攻击开始的事件,该事件中可记录有攻击开始的时间点。在攻击开始后,如果在一个或多个预设的时间段内连接数均持续大于预定的阈值,可以确定攻击正在持续,并上报攻击持续的事件,这里,预设的时间段可以根据需要任意设置时间长度,如,1秒钟。可以理解的,服务器需要每个一定的上报周期就上报一次攻击持续的事件,这个上报周期可以设置为一个或多个预设的时间段的长度。在攻击开始后,连接数出现了小于预定的阈值的情况,并且这种情况持续了预定的时间,可以确定攻击结束,并上报攻击结束的事件,该事件中记录有攻击结束的时间点。维护平台获取这些信息后,可以对攻击的方式、特点进行分析,以便后续更有效地对该攻击进行防护。
由以上本申请提供的技术方案可见,根据连接数的计数统计以及硬件限制相结合,一旦当前建立的连接数超过预定的阈值就通知硬件阻止新报文进入目标设备,防止有新的报文进入目标设备并通过有关报文安全性检查的防护流程以及报文转发前的预处理流程消耗目标设备本身的性能。解决现有技术中由于攻击报文(特别是大流量攻击报文)在被丢弃前已过度地消耗服务器资源而导致服务器性能下降进而无法提供正常服务的问题。
请参考图3,图3为本申请示出的一种新建连接攻击的防护装置的结构框图,应用于图1所示的服务器侧,该装置包括:防护控制模块310、统计模块320。
其中,防护控制模块310,用于在一个新的防护周期,通知目标设备的硬件允许预定数量的新建连接请求报文进入所述目标设备;
统计模块320,用于统计在所述周期当前建立的连接数;
防护控制模块310还用于,如果在所述周期当前建立的连接数大于或等于预定的阈值,通知所述目标设备的硬件阻止新建连接请求报文进入所述目标设备,如果在所述周期当前建立的连接数小于预定的阈值,通知目标设备的硬件继续允许预定数量的新建连接请求报文进入所述目标设备。
在本申请的另一个可选实施例中,统计模块320还用于,在目标设备的硬件阻止新建连接请求报文进入所述目标设备之后,统计在所述周期当前建立的连接数;
防护控制模块310还用于,如果在所述周期当前建立的连接数大于或等于预定的阈值,继续保持阻止,如果在所述周期当前建立的连接数小于预定的阈值,通知目标设备的硬件允许预定数量的新建连接请求报文进入所述目标设备。
如图4所示,在本申请的另一个可选实施例中,该装置还包括:查询模块330,用于在目标设备的硬件允许预定数量的新建连接请求报文进入所述目标设备并根据所述预定数量统计当前建立的连接数之前,查询预定的防护策略,所述预定的防护策略包括对源IP地址的防护和/或对目标IP地址的防护,以便根据所述防护策略对对应的新建连接请求报文进行防护。
在本申请的另一个可选实施例中,所述预定数量的新建连接数请求报文为所有新建连接请求报文。
在本申请的另一个可选实施例中,该装置还包括:上报模块,用于记录连接数首次大于或等于预定的阈值的时间点并作为攻击开始的事件,以及记录连接数在预定的时间内持续小于预定的阈值的时间点并作为攻击结束的事件,将所述攻击开始的事件和所述攻击结束的事件进行上报。
在本申请的另一个可选实施例中,上报模块还用于,在攻击开始后,如果在一个或多个预设的时间段内连接数均持续大于或等于预定的阈值,确定攻击正在持续,并将攻击正在持续的事件进行上报。
由以上本申请提供的技术方案可见,根据连接数的计数统计以及硬件限制相结合,一旦当前建立的连接数超过预定的阈值就通知硬件阻止新报文进入目标设备,防止有新的报文进入目标设备并通过有关报文安全性检查的防护流程以及报文转发前的预处理流程消耗目标设备本身的性能。解决现有技术中由于攻击报文(特别是大流量攻击报文)在被丢弃前已过度地消耗服务器资源而导致服务器性能下降进而无法提供正常服务的问题。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
请参考图5,图5为本申请示出的一种电子设备的结构框图,如图5所示,所述电子设备500包括处理器501和存储器502;其中,
所述存储器502用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器501执行以实现前述各方法步骤中的全部或部分步骤。
图6为实现根据本申请示出的新建连接请求攻击的防护方法的计算机***的结构示意图。
如图6所示,计算机***600包括中央处理单元(CPU)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行上述图2所示的实施方式中的各种处理。在RAM603中,还存储有***600操作所需的各种程序和数据。CPU601、ROM602以及RAM603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
以下部件连接至I/O接口605:包括键盘、鼠标等的输入部分606;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分607;包括硬盘等的存储部分608;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器610上,以便于从其上读出的计算机程序根据需要被安装入存储部分608。
特别地,根据本申请的实施方式,上文参考图2描述的方法可以被实现为计算机软件程序。例如,本申请的实施方式包括一种计算机程序产品,其包括有形地包含在及其可读介质上的计算机程序,所述计算机程序包含用于执行前述空间索引建立方法的程序代码。在这样的实施方式中,该计算机程序可以通过通信部分609从网络上被下载和安装,和/或从可拆卸介质611被安装。
附图中的流程图和框图,图示了按照本申请各种实施方式的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,路程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施方式中所涉及到的单元或模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中,这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。
作为另一方面,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施方式中所述装置中所包含的计算机可读存储介质;也可以是单独存在,未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序,所述程序被一个或者一个以上的处理器用来执行描述于本申请的方法。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (15)
1.一种新建连接攻击的防护方法,其特征在于,所述方法包括:
在一个新的防护周期,通知目标设备的硬件允许预定数量的新建连接请求报文进入所述目标设备;
统计在所述周期当前建立的连接数;
如果在所述周期当前建立的连接数大于或等于预定的阈值,通知所述目标设备的硬件阻止新建连接请求报文进入所述目标设备;
如果在所述周期当前建立的连接数小于预定的阈值,通知目标设备的硬件继续允许预定数量的新建连接请求报文进入所述目标设备。
2.根据权利要求1所述的方法,其特征在于,在目标设备的硬件阻止新建连接请求报文进入所述目标设备之后,所述方法还包括:
统计在所述周期当前建立的连接数;
如果在所述周期当前建立的连接数大于或等于预定的阈值,继续保持阻止;如果在所述周期当前建立的连接数小于预定的阈值,通知目标设备的硬件允许预定数量的新建连接请求报文进入所述目标设备。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
查询预定的防护策略,所述预定的防护策略包括对源IP地址的防护和/或对目标IP地址的防护,以便根据所述防护策略对对应的新建连接请求报文进行防护。
4.根据权利要求1-3中任一项所述的方法,其特征在于,所述预定数量的新建连接数请求报文为所有新建连接请求报文。
5.根据权利要求1-3中任一项所述的方法,其特征在于,所述方法还包括:
记录连接数首次大于或等于预定的阈值的时间点并作为攻击开始的事件,以及记录连接数在预定的时间内持续小于预定的阈值的时间点并作为攻击结束的事件,将所述攻击开始的事件和所述攻击结束的事件进行上报。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
在攻击开始后,如果在一个或多个预设的时间段内连接数均持续大于或等于预定的阈值,确定攻击正在持续,并将攻击正在持续的事件进行上报。
7.一种新建连接攻击的防护装置,其特征在于,所述装置包括:
防护控制模块,用于在一个新的防护周期,通知目标设备的硬件允许预定数量的新建连接请求报文进入所述目标设备;
统计模块,用于统计在所述周期当前建立的连接数;
防护控制模块还用于,如果在所述周期当前建立的连接数大于或等于预定的阈值,通知所述目标设备的硬件阻止新建连接请求报文进入所述目标设备,如果在所述周期当前建立的连接数小于预定的阈值,通知目标设备的硬件继续允许预定数量的新建连接请求报文进入所述目标设备。
8.根据权利要求7所述的装置,其特征在于,
统计模块还用于,在目标设备的硬件阻止新建连接请求报文进入所述目标设备之后,统计在所述周期当前建立的连接数;
防护控制模块还用于,如果在所述周期当前建立的连接数大于或等于预定的阈值,继续保持阻止,如果在所述周期当前建立的连接数小于预定的阈值,通知目标设备的硬件允许预定数量的新建连接请求报文进入所述目标设备。
9.根据权利要求7所述的装置,其特征在于,所述装置还包括:
查询模块,用于在目标设备的硬件允许预定数量的新建连接请求报文进入所述目标设备并根据所述预定数量统计当前建立的连接数之前,查询预定的防护策略,所述预定的防护策略包括对源IP地址的防护和/或对目标IP地址的防护,以便根据所述防护策略对对应的新建连接请求报文进行防护。
10.根据权利要求7-9中任一项所述的装置,其特征在于,所述预定数量的新建连接数请求报文为所有新建连接请求报文。
11.根据权利要求7-9中任一项所述的装置,其特征在于,所述装置还包括:
上报模块,用于记录连接数首次大于或等于预定的阈值的时间点并作为攻击开始的事件,以及记录连接数在预定的时间内持续小于预定的阈值的时间点并作为攻击结束的事件,将所述攻击开始的事件和所述攻击结束的事件进行上报。
12.根据权利要求11所述的装置,其特征在于,
上报模块还用于,在攻击开始后,如果在一个或多个预设的时间段内连接数均持续大于或等于预定的阈值,确定攻击正在持续,并将攻击正在持续的事件进行上报。
13.一种电子设备,其特征在于,所述电子设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1至7中任一项所述的新建连接攻击的防护方法。
14.根据权利要求13所述的电子设备,所述电子设备为遭到新建连接攻击的服务器。
15.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至7中任一项所述新建连接攻击的防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811031383.3A CN109150890A (zh) | 2018-09-05 | 2018-09-05 | 新建连接攻击的防护方法及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811031383.3A CN109150890A (zh) | 2018-09-05 | 2018-09-05 | 新建连接攻击的防护方法及相关设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109150890A true CN109150890A (zh) | 2019-01-04 |
Family
ID=64827078
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811031383.3A Pending CN109150890A (zh) | 2018-09-05 | 2018-09-05 | 新建连接攻击的防护方法及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109150890A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110519248A (zh) * | 2019-08-19 | 2019-11-29 | 光通天下网络科技股份有限公司 | DDoS攻击判定及流量清洗的方法、装置和电子设备 |
| CN113141376A (zh) * | 2021-05-08 | 2021-07-20 | 四川英得赛克科技有限公司 | 一种恶意ip扫描检测方法、装置、电子设备及存储介质 |
| CN114268594A (zh) * | 2021-12-16 | 2022-04-01 | 锐捷网络股份有限公司 | 数据处理方法、***及虚拟交换机 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1722674A (zh) * | 2004-07-15 | 2006-01-18 | 联想网御科技(北京)有限公司 | 一种防火墙及其访问限制方法 |
| US20110264908A1 (en) * | 2008-10-31 | 2011-10-27 | Chengdu Huawei Symantec Technologies Co., Ltd. | Method and device for preventing network attacks |
| CN103957195A (zh) * | 2014-04-04 | 2014-07-30 | 上海聚流软件科技有限公司 | Dns***以及dns攻击的防御方法和防御装置 |
| CN104009983A (zh) * | 2014-05-14 | 2014-08-27 | 杭州安恒信息技术有限公司 | 一种cc攻击的检测方法及其检测*** |
| CN106789892A (zh) * | 2016-11-22 | 2017-05-31 | 国云科技股份有限公司 | 一种云平台通用的防御分布式拒绝服务攻击的方法 |
| US20170374098A1 (en) * | 2016-06-24 | 2017-12-28 | Fortinet, Inc. | Denial-of-service (dos) mitigation approach based on connection characteristics |
| CN107547561A (zh) * | 2017-09-25 | 2018-01-05 | 新华三信息安全技术有限公司 | 一种进行ddos攻击防护处理的方法及装置 |
-
2018
- 2018-09-05 CN CN201811031383.3A patent/CN109150890A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1722674A (zh) * | 2004-07-15 | 2006-01-18 | 联想网御科技(北京)有限公司 | 一种防火墙及其访问限制方法 |
| US20110264908A1 (en) * | 2008-10-31 | 2011-10-27 | Chengdu Huawei Symantec Technologies Co., Ltd. | Method and device for preventing network attacks |
| CN103957195A (zh) * | 2014-04-04 | 2014-07-30 | 上海聚流软件科技有限公司 | Dns***以及dns攻击的防御方法和防御装置 |
| CN104009983A (zh) * | 2014-05-14 | 2014-08-27 | 杭州安恒信息技术有限公司 | 一种cc攻击的检测方法及其检测*** |
| US20170374098A1 (en) * | 2016-06-24 | 2017-12-28 | Fortinet, Inc. | Denial-of-service (dos) mitigation approach based on connection characteristics |
| CN106789892A (zh) * | 2016-11-22 | 2017-05-31 | 国云科技股份有限公司 | 一种云平台通用的防御分布式拒绝服务攻击的方法 |
| CN107547561A (zh) * | 2017-09-25 | 2018-01-05 | 新华三信息安全技术有限公司 | 一种进行ddos攻击防护处理的方法及装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110519248A (zh) * | 2019-08-19 | 2019-11-29 | 光通天下网络科技股份有限公司 | DDoS攻击判定及流量清洗的方法、装置和电子设备 |
| CN110519248B (zh) * | 2019-08-19 | 2020-11-24 | 光通天下网络科技股份有限公司 | DDoS攻击判定及流量清洗的方法、装置和电子设备 |
| CN113141376A (zh) * | 2021-05-08 | 2021-07-20 | 四川英得赛克科技有限公司 | 一种恶意ip扫描检测方法、装置、电子设备及存储介质 |
| CN114268594A (zh) * | 2021-12-16 | 2022-04-01 | 锐捷网络股份有限公司 | 数据处理方法、***及虚拟交换机 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ficco et al. | Stealthy denial of service strategy in cloud computing | |
| JP4914052B2 (ja) | セキュリティポリシーを配布するための方法およびシステム | |
| US9325725B2 (en) | Automated deployment of protection agents to devices connected to a distributed computer network | |
| US8171554B2 (en) | System that provides early detection, alert, and response to electronic threats | |
| KR101109393B1 (ko) | 소프트웨어 취약성의 이용을 방지하기 위한 통신 메시지 필터링 방법 및 시스템 | |
| Wu et al. | On modeling and simulation of game theory-based defense mechanisms against DoS and DDoS attacks | |
| US7039950B2 (en) | System and method for network quality of service protection on security breach detection | |
| CN106209684B (zh) | 一种基于时间触发转发检测调度的方法 | |
| CN109150890A (zh) | 新建连接攻击的防护方法及相关设备 | |
| KR101312905B1 (ko) | 네트워크 증폭 공격 완화 방법 | |
| JP2005513591A (ja) | ステイトフル分散型イベント処理及び適応保全 | |
| Ricciulli et al. | TCP SYN flooding defense | |
| CN109462599A (zh) | 一种蜜罐管理*** | |
| CN104717212B (zh) | 一种云端虚拟网络安全的防护方法与*** | |
| Atre et al. | SurgeProtector: Mitigating temporal algorithmic complexity attacks using adversarial scheduling | |
| CN112769639B (zh) | 一种并行下发配置信息的方法及装置 | |
| Liu et al. | A clusterized firewall framework for cloud computing | |
| Heo et al. | Partitioning Ethereum without Eclipsing It. | |
| Liu et al. | Real-time detection of covert channels in highly virtualized environments | |
| Czubak et al. | Algorithmic complexity vulnerability analysis of a stateful firewall | |
| US7657937B1 (en) | Method for customizing processing and response for intrusion prevention | |
| CN110213301A (zh) | 一种转移网络攻击面的方法、服务器和*** | |
| Lahmadi et al. | Veto: An exploit prevention language from known vulnerabilities in sip services | |
| CN108471428B (zh) | 应用于CDN***内的DDoS攻击主动防御技术及装备 | |
| CN105959300B (zh) | 一种DDoS攻击防护的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190104 |
|
| RJ01 | Rejection of invention patent application after publication |