CN109561109A - 一种报文处理方法及装置 - Google Patents
一种报文处理方法及装置 Download PDFInfo
- Publication number
- CN109561109A CN109561109A CN201910040932.1A CN201910040932A CN109561109A CN 109561109 A CN109561109 A CN 109561109A CN 201910040932 A CN201910040932 A CN 201910040932A CN 109561109 A CN109561109 A CN 109561109A
- Authority
- CN
- China
- Prior art keywords
- address
- source address
- attack
- tcp connection
- name list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例提供了一种报文处理方法及装置,其中,该报文处理方法包括:接收用于请求TCP连接的请求报文,并获取请求报文的源地址;查询在预设的动态攻击源名单中是否存在与源地址匹配的地址;若存在,则取消基于请求报文建立TCP连接。通过本申请实施例提供的技术方案,通过AC中存储的动态攻击源名单,以限制攻击地址与AC建立TCP连接,进而限制了客户端向AC请求认证页面的HTTP/HTTPS报文数量,使得客户端获取到Portal服务器的URL的数量减少,进一步地限制了客户端向Portal服务器发起请求的数量。Portal服务器处理客户端的请求数量减少,占用资源减少,以使得Portal服务器可以提供正常服务。
Description
技术领域
本申请涉及通信技术领域,特别是涉及一种报文处理方法及装置。
背景技术
Portal认证是对用户进行身份认证的一种方式。当AC(Access Controller,无线控制器)采用Portal认证时,需要在AC的接口或者无线端口配置Portal过滤规则。利用该Portal过滤规则,通过与客户端之间的交互,以达到进行用户身份认证的目的。
具体地,客户端与AC之间通过三次握手的方式建立TCP(Transmission ControlProtocol,传输控制协议)连接。其中,在三次握手的过程中,AC根据所配置的Portal过滤规则对客户端发送的报文进行匹配,只有匹配成功的情况下客户端才能与AC建立TCP连接。在TCP连接建立之后,通过TCP连接,客户端向AC发送请求认证页面的HTTP/HTTPS报文。AC根据所接收到的HTTP/HTTPS报文,向客户端反馈携带有Portal服务器的URL(Uniform ResourceLocator,统一资源定位符)的HTTP/HTTPS报文。这样,客户端获取到Portal服务器的URL,并根据URL向Portal服务器发起用于请求认证页面的请求,在请求成功后即可在认证页面上进行相应地身份认证。
在客户端与AC之间进行三次握手的过程中,客户端是通过一个端口与AC进行交互的,在完成三次握手后客户端即通过该端口与AC建立一条TCP连接。
对于正常的客户端来说,一个客户端在一定时间内仅会发送有限的少量的请求认证页面的HTTP/HTTPS报文给AC,AC也只会反馈相应数量的携带有URL的HTTP/HTTPS报文,这样,客户端根据URL向Portal服务器请求认证页面的数量也有限,Portal服务器也可以为各客户端正常提供服务。
然而,若客户端中毒,比如安装了病毒应用程序,会通过不同的端口向AC发送大量的请求认证页面的HTTP/HTTPS报文,相应地,客户端可以接收到AC反馈的携带有Portal服务器的URL的大量HTTP/HTTPS报文,根据每一个HTTP/HTTPS报文携带的URL客户端均可以向Portal服务器发起一次请求,这样,客户端会向Portal服务器发起大量的请求,导致占用Portal服务器的资源,进而影响Portal服务器正常提供服务。
发明内容
本申请实施例的目的在于提供一种报文处理方法及装置,以解决客户端对Portal服务器发起大量的请求导致占用Portal服务器的过多资源,进而影响Portal服务器正常提供服务的问题。具体技术方案如下:
第一方面,本申请实施例提供了一种报文处理方法,应用于AC,所述方法包括:
接收用于请求传输控制协议TCP连接的请求报文,并获取所述请求报文的源地址;
查询在预设的动态攻击源名单中是否存在与所述源地址匹配的地址,其中,所述动态攻击源名单中记录有已确认的攻击地址,所述攻击地址是基于与所述AC之间的TCP连接数量不小于预设数量阈值所确认的;
若存在,则取消基于所述请求报文建立TCP连接。
第二方面,本申请实施例提供了一种报文处理装置,应用于AC,所述装置包括:
接收模块,用于接收用于请求TCP连接的请求报文,并获取所述请求报文的源地址;
第一查询模块,用于查询在预设的动态攻击源名单中是否存在与所述源地址匹配的地址,其中,所述动态攻击源名单中记录有已确认的攻击地址,所述攻击地址是基于与所述AC之间的TCP连接数量不小于预设数量阈值所确认的;
取消模块,用于当所述第一查询模块的查询结果是存在时,则取消基于所述请求报文建立TCP连接。
第三方面,本申请实施例提供了一种AC,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述任一所述的报文处理方法步骤。
第四方面,本申请实施例提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现上述任一所述的报文处理方法步骤。
本申请实施例提供的技术方案中,接收用于请求TCP连接的请求报文,并获取请求报文的源地址;查询在预设的动态攻击源名单中是否存在与源地址匹配的地址,若存在,则取消基于所述请求报文建立TCP连接。通过本申请实施例提供的技术方案,AC中存储有记录攻击地址的动态攻击源名单,且动态攻击源名单中记录的攻击地址是基于TCP连接数量不小于预设数量阈值而确认的。当动态攻击源名单中存在与请求报文的源地址匹配的地址时,即可以认为该源地址为攻击地址,取消基于所述请求报文建立TCP连接。这样,限制了作为攻击地址的源地址与AC建立TCP连接的数量,TCP连接的数量限制甚至减少之后,限制了客户端向AC请求认证页面的HTTP/HTTPS报文数量,使得客户端获取到Portal服务器的URL的数量减少,进一步地限制了客户端向Portal服务器发起请求的数量。Portal服务器处理客户端的请求数量减少,占用资源减少,以使得Portal服务器可以提供正常服务。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的报文处理方法的一种流程图;
图2为本申请实施例提供的报文处理方法的另一种流程图;
图3为本申请实施例提供的报文处理装置的一种结构示意图;
图4为本申请实施例提供的AC的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了解决客户端对Portal服务器发起大量的请求导致占用Portal服务器的过多资源,进而影响Portal服务器正常提供服务的问题,本申请实施例提供了一种报文处理方法及装置,应用于AC,其中,本申请实施例提供的一种报文处理方法包括:
接收用于请求TCP连接的请求报文,并获取请求报文的源地址;
查询在预设的动态攻击源名单中是否存在与源地址匹配的地址,其中,动态攻击源名单中记录有已确认的攻击地址,攻击地址是基于与AC之间的TCP连接数量不小于预设数量阈值所确认的;
若存在,则取消基于请求报文建立TCP连接。
本申请实施例提供的技术方案中,接收用于请求TCP连接的请求报文,并获取请求报文的源地址;查询在预设的动态攻击源名单中是否存在与源地址匹配的地址,若存在,则取消基于所述请求报文建立TCP连接。通过本申请实施例提供的技术方案,AC中存储有记录攻击地址的动态攻击源名单,且动态攻击源名单中记录的攻击地址是基于TCP连接数量不小于预设数量阈值而确认的。当动态攻击源名单中存在与请求报文的源地址匹配的地址时,即可以认为该源地址为攻击地址,取消基于所述请求报文建立TCP连接。这样,限制了作为攻击地址的源地址与AC建立TCP连接的数量,TCP连接的数量限制甚至减少之后,限制了客户端向AC请求认证页面的HTTP/HTTPS报文数量,使得客户端获取到Portal服务器的URL的数量减少,进一步地限制了客户端向Portal服务器发起请求的数量。Portal服务器处理客户端的请求数量减少,占用资源减少,以使得Portal服务器可以提供正常服务。
下面首先对本申请实施例提供的报文处理方法进行介绍。本申请实施例提供的一种报文处理方法,应用于AC,如图1所示,该报文处理方法包括如下步骤。
S101,接收用于请求TCP连接的请求报文,并获取请求报文的源地址。
TCP连接的建立基于三次握手,在第一次握手时请求建立TCP连接的终端向AC发送SYN(Synchronize Sequence Numbers,同步序列编号)报文。基于此,可以认为,AC接收的请求报文为SYN报文。
S102,查询在预设的动态攻击源名单中是否存在与源地址匹配的地址。如果是,执行步骤S103。
其中,动态攻击源名单中记录有已确认的攻击地址,攻击地址是基于与AC之间的TCP连接数量不小于预设数量阈值所确认的。动态攻击源名单为所记录的攻击地址在满足预设条件时可以进行释放处理的名单,经过释放处理的攻击地址即从动态攻击源名单中删除,其中,预设条件可以是自定义设定的,例如,预设条件可以用户下发的删除指令,还可以是预设时长,当地址添加至动态攻击源名单的时长达到该预设时长时,则表示该地址满足预设条件,可以将该地址从动态攻击源名单中删除。
也就是说,对于任一地址来说,当存在该地址与AC之间的TCP连接数量不小于预设数量阈值的情况,AC可以将该地址确定为攻击地址,并将该地址添加至动态攻击源名单中。
对于一个终端来说,可以包含多个端口,通过每一个端口可以与AC建立一条TCP连接。这样,在任一时刻,终端与AC建立的TCP连接的数量可以是一个或多个。
其中,预设数量阈值可以是自定义设定的。例如,预设数量阈值为10,若终端A与AC之间的TCP连接数量为12,且AC获取到该TCP连接数量,此时可以确定终端A与AC之间的TCP连接数量大于预设数量阈值,则可以将终端A的地址作为攻击地址存储于动态攻击源名单中。
若在动态攻击源名单中未查询到与源地址匹配的地址,即可以确定该源地址为非攻击地址,则AC可以与该源地址继续通过第二次握手和第三次握手建立TCP连接。
S103,取消基于请求报文建立TCP连接。
若在动态攻击源名单中查询到存在与源地址匹配的地址,即可以确定该源地址为攻击地址,则AC可以取消基于请求报文与该源地址建立TCP连接,并将该请求报文丢弃。
一种实施方式中,若在动态攻击源名单中未查询到与源地址匹配的地址,则可以确定源地址与AC之间的TCP连接数量。
一种实现方式中,请求报文中携带有表示源地址与AC之间的TCP连接数量的标识,当AC接收到请求报文,并从请求报文中获取到标识后,便可以确定源地址与AC之间的TCP连接数量。
例如,请求报文为SYN报文,每一SYN报文中携带有序列号Seq,该序列号Seq可以用于表示源地址与AC之间的TCP连接数量。若AC从所接收到的SYN报文中获取到序列号Seq为5,则AC可以确定源地址与AC之间的TCP连接数量为5个。
在确定源地址与AC之间的TCP连接数量之后,判断所确定的TCP连接数量是否不小于预设数量阈值。
其中,所设定的预设数量阈值可以是针对所有源地址的,也就是说,每一个源地址对应的预设数量阈值是相同的。另外,所设定的预设数量阈值还可以是仅针对一个源地址,也就是说,一个预设数量阈值对应一个源地址,各源地址对应的预设数量阈值可以是不相同的。
例如,源地址1对应的预设数量阈值为5,则表示该源地址1与AC之间的TCP连接数量与5进行比较。源地址2对应的预设数量阈值为10,则表示该源地址2与AC之间的TCP连接数量与10进行比较。
其中,对于该预设数量阈值,可以是AC设定的TCP连接数量的上限值。也就是说,源地址与AC之间的TCP连接数量最大只能达到该预设数量阈值,当源地址与AC之间的TCP连接数量达到该预设数量阈值时,该源地址与AC之间不会再建立TCP连接。还可以不是TCP连接数量的上限值,而仅作为判断源地址是否为攻击地址的标准。这种情况下,源地址与AC之间的TCP连接数量可以超过预设数量阈值。
如果判断出所确定的TCP连接数量不小于预设数量阈值,则可以丢弃该请求报文,并将源地址作为攻击地址添加至动态攻击源名单中。如果判断所确定的TCP连接数量小于预设数量阈值,则AC可以与源地址继续通过第二次握手和第三次握手建立TCP连接。
一种实施方式中,如果判断出所确定的TCP连接数量不小于预设数量阈值,那么,在丢弃请求报文,并将源地址作为攻击地址添加至动态攻击源名单中的步骤之前,还可以包括如下步骤。
在以判断出所确定的TCP连接数量不小于预设数量阈值为起点的第一预设时长内,检测源地址与AC之间的TCP连接数量是否始终不小于预设数量阈值。
其中,第一预设时长可以是自定义设定的。例如,判断出所确定的TCP连接数量不小于预设数量阈值的时间为9点,第一预设时长为1个小时,则以判断出所确定的TCP连接数量不小于预设数量阈值为起点的第一预设时长是指:从9点到10点之间的时间段。
对于每一个TCP连接,在传输完HTTP/HTTPS报文之后,该TCP连接会断开。基于此,源地址与AC之间的TCP连接数量是可以变化的。在第一预设时长内实时检测源地址与AC之间的TCP连接数量是否始终不小于预设数量阈值。
若在第一预设时长内源地址与AC之间的TCP连接数量始终不小于预设数量阈值,则可以认为该源地址向AC发送了大量的请求建立TCP连接的报文,并且在一个时间段内发送大量报文的源地址可以认为是攻击地址。因此,可以执行丢弃请求报文,并将源地址作为攻击地址添加至动态攻击源名单的步骤。
一种实施方式中,对于动态攻击源名单中记录的攻击地址,是可以变化的。除了向动态攻击源名单中添加攻击地址以外,当动态攻击源名单中记录的攻击地址满足预设条件时,可以将满足预设条件的攻击地址从动态攻击源名单中删除。其中,预设条件可以是自定义设定的。
一种实现方式中,在将源地址作为攻击地址添加至动态攻击源名单之后,在以将源地址添加至动态攻击源名单的时刻为起点的第二预设时长之后,将源地址从动态攻击源名单中删除。
其中,第二预设时长可以是自定义设定的。例如,将源地址添加至动态攻击源名单的时刻为12点,第二预设时长为1个小时,则以将源地址添加至动态攻击源名单的时刻为起点的第二预设时长是指:从12点到13点之间的时间段。
源地址从动态攻击源名单中删除之后,则可以认为该源地址为非攻击地址,若AC再接收到该源地址发送的请求TCP连接的请求报文,AC可以与该源地址建立TCP连接。
一种实施方式中,AC中还存储有静态攻击源名单,该静态攻击源名单用于记录添加至动态攻击源名单中的次数达到预设次数阈值的攻击地址。静态攻击源名单为所记录的攻击地址除用户手动删除的方式以外不能通过其他方式删除的名单。
其中,预设次数阈值可以是自定义设定的。对于静态攻击源名单中记录的攻击地址,用户可以手动进行删除。
当AC接收到请求报文并获取到请求报文的源地址之后,还可以查询在静态攻击源名单中是否存在该源地址;若存在,则可以将该源地址确定为攻击地址,并取消基于请求报文建立TCP连接。
一种实施方式中,AC可以记录每一源地址添加至动态攻击源名单的次数并进行累加。当判断出动态攻击源名单中不存在源地址之后,可以从所记录的次数中获取该源地址添加至动态攻击源名单中的次数,并判断所获取的次数是否达到预设次数阈值。
若所获取的次数达到预设次数阈值,则可以将该源地址添加至静态攻击源名单中。这样,AC再接收到该源地址发送的请求TCP连接的请求报文时,因为在静态攻击源名单中记录有该源地址,AC可以取消基于该请求报文建立TCP连接,并将该请求报文丢弃。若所获取的次数未达到预设次数阈值,则不添加该源地址至静态攻击源名单中。
例如,预设次数阈值为3,当AC接收到源地址11.2.1.25发送的请求报文后,AC从所记录的次数中确定11.2.1.25添加至动态攻击源名单中的次数,若所确定的次数为3次,达到预设次数阈值,则将11.2.1.25添加至静态攻击源名单中。这样,后续再接收到11.2.1.25发送的请求报文时,可以取消基于该请求报文建立TCP连接,并丢弃该请求报文。
另外,当AC将源地址添加至静态攻击源名单之后,可以将所记录的该源地址添加至动态攻击源名单中的次数清零。这样,当用户将该源地址从静态攻击源名单中删除后,AC可以重新从0开始记录该源地址添加至动态攻击源名单中的次数。
本申请实施例提供的技术方案中,接收用于请求TCP连接的请求报文,并获取请求报文的源地址;查询在预设的动态攻击源名单中是否存在与源地址匹配的地址,若存在,则取消基于所述请求报文建立TCP连接。通过本申请实施例提供的技术方案,AC中存储有记录攻击地址的动态攻击源名单,且动态攻击源名单中记录的攻击地址是基于TCP连接数量不小于预设数量阈值而确认的。当动态攻击源名单中存在与请求报文的源地址匹配的地址时,即可以认为该源地址为攻击地址,取消基于所述请求报文建立TCP连接。这样,限制了作为攻击地址的源地址与AC建立TCP连接的数量,TCP连接的数量限制甚至减少之后,限制了客户端向AC请求认证页面的HTTP/HTTPS报文数量,使得客户端获取到Portal服务器的URL的数量减少,进一步地限制了客户端向Portal服务器发起请求的数量。Portal服务器处理客户端的请求数量减少,占用资源减少,以使得Portal服务器可以提供正常服务。
本申请实施例还提供一种报文处理方法,如图2所示,该报文处理方法包括如下步骤。
S201,接收用于请求TCP连接的请求报文,并获取请求报文的源地址。
终端向AC请求建立TCP连接,在第一次握手时,终端向AC发送SYN报文(Seq=9),该SYN报文中携带该终端的地址11.1.1.25,即SYN报文的源地址为11.1.1.25。AC接收到SYN报文后,可以从SYN报文中获取源地址11.1.1.25。
S202,在动态攻击源名单中和静态攻击源名单中查询是否存在与源地址匹配的地址。如果是,执行步骤S203,如果否,执行步骤S204。
AC从SYN报文中获取源地址11.1.1.25之后,在动态攻击源名单中以及静态攻击源名单中查询是否存在与11.1.1.25匹配的地址。
S203,取消基于请求报文建立TCP连接。
若查询到动态攻击源名单中有11.1.1.25,或者在静态攻击源名单中有11.1.1.25,,或者动态攻击源名单和静态攻击源名单中均有11.1.1.25,则可以认为11.1.1.25为攻击地址,则取消基于SYN报文建立TCP连接。
S204,确定源地址与AC之间的TCP连接数量,并判断所确定的TCP连接数量是否不小于预设数量阈值。如果是,执行步骤S205。
若动态攻击源名单和静态攻击源名单中均没有记录与11.1.1.25匹配的地址,则根据从SYN报文中获取的Seq,可以确定11.1.1.25与AC之间的TCP连接数量为9。当预设数量阈值为9时,则可以判断出11.1.1.25与AC之间的TCP连接数量等于预设数量阈值。
S205,在以判断出所确定的TCP连接数量不小于预设数量阈值为起点的第一预设时长内,检测源地址与AC之间的TCP连接数量是否始终不小于预设数量阈值。如果是,执行步骤S206。
当判断出11.1.1.25与AC之间的TCP连接数量等于预设数量阈值的时间为9点时,第一预设时长为1个小时,则在9点至10点的时间段内,检测11.1.1.25与AC之间的TCP连接数量是否始终不小于9。
S206,丢弃请求报文,并将源地址作为攻击地址添加至动态攻击源名单。
若在9点至10点的时间段内,11.1.1.25与AC之间的TCP连接数量始终不小于9,则可以将SYN报文丢弃,并将11.1.1.25作为攻击地址添加至动态攻击源名单。
将11.1.1.25作为攻击地址添加至动态攻击源名单的时刻为10点,第二预设时长为2小时,则在12点时将11.1.1.25从动态攻击源名单中删除。
S207,判断源地址添加至动态攻击源名单中的次数是否达到预设次数阈值。如果是,执行步骤S208。
预设次数阈值为3。上述在10点将11.1.1.25添加至动态攻击源名单是第一次,在后续13点时11.1.1.25再次被添加至动态攻击源名单,并在20点时11.1.1.25第三次被添加至动态攻击源名单。在第三次添加时已达到预设次数阈值。
S208,将源地址添加至静态攻击源名单。
在20点时11.1.1.25第三次被添加至动态攻击源名单,此时已达到预设次数阈值,则将11.1.1.25添加至静态攻击源名单中。
相应于上述报文处理方法实施例,本申请实施例提供了一种报文处理装置,应用于AC,如图3所示,该报文处理装置包括:
接收模块310,用于接收用于请求TCP连接的请求报文,并获取请求报文的源地址;
第一查询模块320,用于查询在预设的动态攻击源名单中是否存在与源地址匹配的地址,其中,动态攻击源名单中记录有已确认的攻击地址,攻击地址是基于与AC之间的TCP连接数量不小于预设数量阈值所确认的;
取消模块330,用于当第一查询模块的查询结果是存在时,则取消基于请求报文建立TCP连接。
一种实施方式中,该报文处理装置还可以包括:
确定模块,用于当动态攻击源名单中不存在与源地址匹配的地址时,确定源地址与AC之间的TCP连接数量;
第一判断模块,用于判断所确定的TCP连接数量是否不小于预设数量阈值;
第一添加模块,用于当第一判断模块的判断结果为是时,丢弃请求报文,并将源地址作为攻击地址添加至动态攻击源名单。
一种实施方式中,该报文处理装置还可以包括:
检测模块,用于在以判断出所确定的TCP连接数量不小于预设数量阈值为起点的第一预设时长内,检测源地址与AC之间的TCP连接数量是否始终不小于预设数量阈值;如果是,触发第一添加模块用于执行丢弃请求报文,并将源地址作为攻击地址添加至动态攻击源名单的步骤。
一种实施方式中,该报文处理装置还可以包括:
删除模块,用于在以将所述源地址添加至所述动态攻击源名单的时刻为起点的第二预设时长之后,将所述源地址从所述动态攻击源名单中删除。
一种实施方式中,所述AC还存储有静态攻击源名单,所述静态攻击源名单用于记录添加至所述动态攻击源名单中的次数达到预设次数阈值的攻击地址;该报文处理装置还可以包括:
第二查询模块,用于查询在静态攻击源名单中是否存在源地址;
所述取消模块330,还用于当第二查询模块的查询结果为存在时,则取消基于请求报文建立TCP连接。
一种实施方式中,该报文处理装置还可以包括:
第二判断模块,用于当静态攻击源名单中不存在源地址时,判断源地址添加至动态攻击源名单中的次数是否达到预设次数阈值;
第二添加模块,用于当第二判断模块的判断结果为是时,将源地址添加至静态攻击源名单,以使得AC再接收到静态攻击源名单中的攻击地址发送的请求报文时取消基于该请求报文建立TCP连接。
本申请实施例提供的技术方案中,接收用于请求TCP连接的请求报文,并获取请求报文的源地址;查询在预设的动态攻击源名单中是否存在与源地址匹配的地址,若存在,则取消基于所述请求报文建立TCP连接。通过本申请实施例提供的技术方案,AC中存储有记录攻击地址的动态攻击源名单,且动态攻击源名单中记录的攻击地址是基于TCP连接数量不小于预设数量阈值而确认的。当动态攻击源名单中存在与请求报文的源地址匹配的地址时,即可以认为该源地址为攻击地址,取消基于所述请求报文建立TCP连接。这样,限制了作为攻击地址的源地址与AC建立TCP连接的数量,TCP连接的数量限制甚至减少之后,限制了客户端向AC请求认证页面的HTTP/HTTPS报文数量,使得客户端获取到Portal服务器的URL的数量减少,进一步地限制了客户端向Portal服务器发起请求的数量。Portal服务器处理客户端的请求数量减少,占用资源减少,以使得Portal服务器可以提供正常服务。
本申请实施例还提供了一种AC,如图4所示,包括处理器410和机器可读存储介质420,机器可读存储介质420存储有能够被处理器410执行的机器可执行指令。
另外,如图4所示,AC还可以包括:通信接口430和通信总线440;其中,处理器410、机器可读存储介质420、通信接口430通过通信总线440完成相互间的通信,通信接口430用于上述AC与其他设备之间的通信。
处理器410促使执行上述任一种报文处理方法的实施例,其中,报文处理方法包括:
接收用于请求TCP连接的请求报文,并获取请求报文的源地址;
查询在预设的动态攻击源名单中是否存在与源地址匹配的地址,其中,动态攻击源名单中记录有已确认的攻击地址,攻击地址是基于与AC之间的TCP连接数量不小于预设数量阈值所确认的;
若存在,则取消基于请求报文建立TCP连接。
本申请实施例提供的技术方案中,接收用于请求TCP连接的请求报文,并获取请求报文的源地址;查询在预设的动态攻击源名单中是否存在与源地址匹配的地址,若存在,则取消基于所述请求报文建立TCP连接。通过本申请实施例提供的技术方案,AC中存储有记录攻击地址的动态攻击源名单,且动态攻击源名单中记录的攻击地址是基于TCP连接数量不小于预设数量阈值而确认的。当动态攻击源名单中存在与请求报文的源地址匹配的地址时,即可以认为该源地址为攻击地址,取消基于所述请求报文建立TCP连接。这样,限制了作为攻击地址的源地址与AC建立TCP连接的数量,TCP连接的数量限制甚至减少之后,限制了客户端向AC请求认证页面的HTTP/HTTPS报文数量,使得客户端获取到Portal服务器的URL的数量减少,进一步地限制了客户端向Portal服务器发起请求的数量。Portal服务器处理客户端的请求数量减少,占用资源减少,以使得Portal服务器可以提供正常服务。
上述通信总线440可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(Extended Industry Standard Architecture,扩展工业标准结构)总线等。该通信总线440可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
机器可读存储介质420可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。另外,机器可读存储介质420还可以是至少一个位于远离前述处理器的存储装置。
上述处理器410可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital SignalProcessing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
相应于上述报文处理方法的实施例,本申请实施例还提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,机器可执行指令促使处理器实现上述报文处理方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于报文处理装置、AC以及机器可读存储介质实施例而言,由于其基本相似于报文处理方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (10)
1.一种报文处理方法,其特征在于,应用于无线控制器AC,所述方法包括:
接收用于请求传输控制协议TCP连接的请求报文,并获取所述请求报文的源地址;
查询在预设的动态攻击源名单中是否存在与所述源地址匹配的地址,其中,所述动态攻击源名单中记录有已确认的攻击地址,所述攻击地址是基于与所述AC之间的TCP连接数量不小于预设数量阈值所确认的;
若存在,则取消基于所述请求报文建立TCP连接。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述动态攻击源名单中不存在与所述源地址匹配的地址,确定所述源地址与所述AC之间的TCP连接数量;
判断所确定的TCP连接数量是否不小于所述预设数量阈值;
如果是,丢弃所述请求报文,并将所述源地址作为攻击地址添加至所述动态攻击源名单。
3.根据权利要求2所述的方法,其特征在于,丢弃所述请求报文,并将所述源地址作为攻击地址添加至所述动态攻击源名单的步骤之前,还包括:
在以判断出所确定的TCP连接数量不小于所述预设数量阈值为起点的第一预设时长内检测所述源地址与所述AC之间的TCP连接数量是否始终不小于所述预设数量阈值;
如果是,执行所述丢弃所述请求报文,并将所述源地址作为攻击地址添加至所述动态攻击源名单的步骤。
4.根据权利要求2-3任一项所述的方法,其特征在于,所述将所述源地址作为攻击地址添加至所述动态攻击源名单的步骤之后,还包括:
在以将所述源地址添加至所述动态攻击源名单的时刻为起点的第二预设时长之后,将所述源地址从所述动态攻击源名单中删除。
5.根据权利要求4所述的方法,其特征在于,所述AC还存储有静态攻击源名单,所述静态攻击源名单用于记录添加至所述动态攻击源名单中的次数达到预设次数阈值的攻击地址;所述方法还包括:
查询在所述静态攻击源名单中是否存在所述源地址;
若存在,则取消基于所述请求报文建立TCP连接。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
若所述静态攻击源名单中不存在所述源地址,判断所述源地址添加至所述动态攻击源名单中的次数是否达到所述预设次数阈值;
如果是,将所述源地址添加至所述静态攻击源名单,以使得AC再接收到所述静态攻击源名单中的攻击地址发送的请求报文时取消基于该请求报文建立TCP连接。
7.一种报文处理装置,其特征在于,应用于AC,所述装置包括:
接收模块,用于接收用于请求TCP连接的请求报文,并获取所述请求报文的源地址;
第一查询模块,用于查询在预设的动态攻击源名单中是否存在与所述源地址匹配的地址,其中,所述动态攻击源名单中记录有已确认的攻击地址,所述攻击地址是基于与所述AC之间的TCP连接数量不小于预设数量阈值所确认的;
取消模块,用于当所述第一查询模块的查询结果是存在时,则取消基于所述请求报文建立TCP连接。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
确定模块,用于当所述动态攻击源名单中不存在与所述源地址匹配的地址时,确定所述源地址与所述AC之间的TCP连接数量;
第一判断模块,用于判断所确定的TCP连接数量是否不小于所述预设数量阈值;
第一添加模块,用于当所述第一判断模块的判断结果为是时,丢弃所述请求报文,并将所述源地址作为攻击地址添加至所述动态攻击源名单。
9.一种AC,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-6任一所述的方法步骤。
10.一种机器可读存储介质,其特征在于,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现权利要求1-6任一所述的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910040932.1A CN109561109A (zh) | 2019-01-16 | 2019-01-16 | 一种报文处理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910040932.1A CN109561109A (zh) | 2019-01-16 | 2019-01-16 | 一种报文处理方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109561109A true CN109561109A (zh) | 2019-04-02 |
Family
ID=65873120
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910040932.1A Pending CN109561109A (zh) | 2019-01-16 | 2019-01-16 | 一种报文处理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109561109A (zh) |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1874303A (zh) * | 2006-03-04 | 2006-12-06 | 华为技术有限公司 | 一种黑名单实现的方法 |
US20070118894A1 (en) * | 2005-11-23 | 2007-05-24 | Nextone Communications, Inc. | Method for responding to denial of service attacks at the session layer or above |
CN101188612A (zh) * | 2007-12-10 | 2008-05-28 | 中兴通讯股份有限公司 | 一种黑名单实时管理的方法及其装置 |
CN101227467A (zh) * | 2008-01-08 | 2008-07-23 | 中兴通讯股份有限公司 | 黑名单管理方法和装置 |
CN101296182A (zh) * | 2008-05-20 | 2008-10-29 | 华为技术有限公司 | 一种数据传输控制方法以及数据传输控制装置 |
CN101510908A (zh) * | 2009-03-12 | 2009-08-19 | 中兴通讯股份有限公司 | 一种终端来电防火墙的实现方法及装置 |
CN102143143A (zh) * | 2010-10-15 | 2011-08-03 | 华为数字技术有限公司 | 一种网络攻击的防护方法、装置及路由器 |
CN103051633A (zh) * | 2012-12-25 | 2013-04-17 | 华为技术有限公司 | 一种防御攻击的方法和设备 |
CN103391546A (zh) * | 2013-07-12 | 2013-11-13 | 杭州华三通信技术有限公司 | 一种无线攻击检测及防御装置及其方法 |
CN104348816A (zh) * | 2013-08-07 | 2015-02-11 | 华为数字技术(苏州)有限公司 | 保护Cookie信息的方法及Web服务器前置网关 |
CN108901025A (zh) * | 2018-07-10 | 2018-11-27 | 迈普通信技术股份有限公司 | 一种非法接入点反制方法及反制设备 |
-
2019
- 2019-01-16 CN CN201910040932.1A patent/CN109561109A/zh active Pending
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070118894A1 (en) * | 2005-11-23 | 2007-05-24 | Nextone Communications, Inc. | Method for responding to denial of service attacks at the session layer or above |
CN1874303A (zh) * | 2006-03-04 | 2006-12-06 | 华为技术有限公司 | 一种黑名单实现的方法 |
CN101188612A (zh) * | 2007-12-10 | 2008-05-28 | 中兴通讯股份有限公司 | 一种黑名单实时管理的方法及其装置 |
CN101227467A (zh) * | 2008-01-08 | 2008-07-23 | 中兴通讯股份有限公司 | 黑名单管理方法和装置 |
CN101296182A (zh) * | 2008-05-20 | 2008-10-29 | 华为技术有限公司 | 一种数据传输控制方法以及数据传输控制装置 |
CN101510908A (zh) * | 2009-03-12 | 2009-08-19 | 中兴通讯股份有限公司 | 一种终端来电防火墙的实现方法及装置 |
CN102143143A (zh) * | 2010-10-15 | 2011-08-03 | 华为数字技术有限公司 | 一种网络攻击的防护方法、装置及路由器 |
CN103051633A (zh) * | 2012-12-25 | 2013-04-17 | 华为技术有限公司 | 一种防御攻击的方法和设备 |
CN103391546A (zh) * | 2013-07-12 | 2013-11-13 | 杭州华三通信技术有限公司 | 一种无线攻击检测及防御装置及其方法 |
CN104348816A (zh) * | 2013-08-07 | 2015-02-11 | 华为数字技术(苏州)有限公司 | 保护Cookie信息的方法及Web服务器前置网关 |
CN108901025A (zh) * | 2018-07-10 | 2018-11-27 | 迈普通信技术股份有限公司 | 一种非法接入点反制方法及反制设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7418486B2 (en) | Automatic discovery and configuration of external network devices | |
US10218717B1 (en) | System and method for detecting a malicious activity in a computing environment | |
WO2017004947A1 (zh) | 防止域名劫持的方法和装置 | |
CN110855666B (zh) | 基于端云协同的网关设备激活方法、装置、设备及介质 | |
CN108471369B (zh) | 一种网络拨号方法、装置及存储介质 | |
CN108028835B (zh) | 自动配置服务器和服务器执行的方法 | |
WO2014185394A1 (ja) | 中継装置および中継装置の制御方法 | |
JP6430356B2 (ja) | 検知方法及び検知システム | |
JP2009239525A (ja) | フィルタリング装置、フィルタリング方法およびフィルタリングプログラム | |
WO2017206943A1 (zh) | 一种光网络终端及其工作方法、及通信***、存储介质 | |
US20190014081A1 (en) | Apparatus for supporting communication between separate networks and method for the same | |
CN107294910B (zh) | 一种登录方法和服务器 | |
CN102761535A (zh) | 病毒监测方法和设备 | |
CN109618004A (zh) | 一种报文转发方法及装置 | |
JP2019152912A (ja) | 不正通信対処システム及び方法 | |
EP3349138B1 (en) | Communication destination determination device, communication destination determination method, and recording medium | |
CN108471427B (zh) | 一种防御攻击的方法及装置 | |
US10237287B1 (en) | System and method for detecting a malicious activity in a computing environment | |
CN109561109A (zh) | 一种报文处理方法及装置 | |
CN106453119A (zh) | 一种认证控制方法及装置 | |
JP6870386B2 (ja) | マルウェア不正通信対処システム及び方法 | |
US20160337394A1 (en) | Newborn domain screening of electronic mail messages | |
EP2677715A1 (en) | A method and a server for evaluating a request for access to content from a server in a computer network | |
CN109302390A (zh) | 一种漏洞检测方法和装置 | |
EP3190743B1 (en) | Packet processing method, network server and virtual private network system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190402 |