CN109639712A - 一种防护ddos攻击的方法及*** - Google Patents
一种防护ddos攻击的方法及*** Download PDFInfo
- Publication number
- CN109639712A CN109639712A CN201811640337.3A CN201811640337A CN109639712A CN 109639712 A CN109639712 A CN 109639712A CN 201811640337 A CN201811640337 A CN 201811640337A CN 109639712 A CN109639712 A CN 109639712A
- Authority
- CN
- China
- Prior art keywords
- server
- client
- message
- cleaning equipment
- syn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种防护DDOS攻击的方法及***,该方法包括客户端在重传间隔时间经过中间清洗设备向服务器发送SYN请求报文,中间清洗设备记录SYN请求报文中的第一五元组信息和第一序列号信息,在接收到服务器的发送的具有正确确认号的SYN确认报文后,确定当前连接请求是否超时,若否,则经过中间清洗设备向服务器发送确认报文,中间清洗设备根据确认报文对客户端进行验证,并在验证通过后将确认报文发送给服务器,从而与所述服务器建立TCP连接。由于不存在客户端不响应错误确认号的[SYN,ACK]报文行为或客户端不响应被对端断掉TCP连接的两种行为,在实现防护DDOS攻击的同时保证正常客户端与服务器的正常通信。
Description
技术领域
本发明实施例涉及DDOS(Distributed Denial of Service,分布式拒绝服务)攻击防护技术领域,尤其涉及一种防护DDOS攻击的方法及***。
背景技术
SYN(Synchronize Sequence Numbers,同步序列编号)Flood(泛)攻击是最常用的DDoS方式之一,通过利用TCP(Transmission Control Protocol,传输控制协议)的漏洞,伪造大量的TCP连接请求,从而达到耗尽被攻击者资源的目的。为了防御SYN Flood攻击,当前主流的防护方案主要有以下两种:
第一种如图1所示,从图1中可以看出,该方案是利用中间清洗设备在接收到SYN请求报文后,会回复一个带有错误确认号的[SYN,ACK(确认)]报文,正常的客户端一般情况下会回RST报文断掉该连接并重新发起三次握手,从而经过中间清洗设备验证,后续直接和服务器进行通信;攻击者由于不能支持协议交互,导致SYN Flood报文被中间清洗设备拦截,以实现防护功能。在该方案中,客户端是首先通过三次握手与中间清洗设备建立起TCP连接,才会经过中间清洗设备验证,也就是说客户端发起的TCP连接不是与服务器建立的,而是使用中间清洗设备来替代服务器建立TCP连接。
第二种如图2所示,从图2中可以看出,该方案是利用中间清洗设备在接收到SYN报文后,会回复一个带有正确确认号的[SYN,ACK]报文,正常的客户端会回复一个ACK报文和中间清洗设备建立TCP连接,中间清洗设备此时会回复一个RST(复位)报文阻断该连接,客户端一般情况下会再次进行连接请求,从而经过中间清洗设备验证,直接和服务器进行通信;攻击者由于不能支持协议交互,导致SYN Flood的报文被中间清洗设备拦截,以实现防护功能。该方案中,客户端也是首先通过三次握手与中间清洗设备建立TCP连接,然后中间清洗设备再通过断开连接的方式对客户端进行验证,同样是使用中间清洗设备来替代服务器建立TCP连接。
随着网络攻击的日益剧增,当前很多正常的客户端,尤其是支付类的客户端,存在这样的协议行为:一是不响应服务器返回的错误[SYN,ACK]报文;二是对于建立的TCP连接,被中间清洗设备断掉连接后不再进行响应。在使用现有的SYN Flood防护算法进行防护时,由于具有这两种协议行为的客户端不再进行响应,从而阻断了使用这两种协议行为的客户端的正常通信,影响正常业务。
发明内容
本发明实施例提供一种防护DDOS攻击的方法及***,用以实现防护DDOS攻击的情况下,保证客户端的正常业务通信。
本发明实施例提供的一种防护DDOS攻击的方法,包括:
客户端在重传间隔时间经过中间清洗设备向服务器发送SYN请求报文,所述SYN请求报文包括第一五元组信息和第一序列号信息;
所述中间清洗设备在接收到所述客户端发送给所述服务器的SYN请求报文之后,记录所述第一五元组信息和所述第一序列号信息,并将所述SYN请求报文转发给所述服务器,以使所述服务器发送SYN确认报文;
所述客户端在接收到所述服务器的发送的具有正确确认号的SYN确认报文后,确定当前连接请求是否超时;
若否,则所述客户端经过所述中间清洗设备向所述服务器发送确认报文,所述确认报文包括第二五元组信息和第二序列号信息;
所述中间清洗设备在接收到所述客户端发送给所述服务器的确认报文之后,根据所述第二五元组信息和第二序列号信息对所述客户端进行验证,并在验证通过后将所述确认报文转发给所述服务器,以使所述客户端与所述服务器完成TCP连接的建立。
上述技术方案中,客户端在接收到服务器发送的SYN确认报文后,若当前连接请求未超时,就会经过中间清洗设备向服务器发送确认报文,中间清洗设备在对客户端进行验证通过后将该确认报文发送至服务器,从而实现与服务器建立TCP连接,不存在客户端不响应错误确认号的[SYN,ACK]报文行为或是客户端不响应被对端断掉TCP连接的两种行为,在防护DDOS攻击的同时保证了客户端与服务器直接的正常通信,可以很好的适配支付类或移动类客户端,解决了现有SYN Flood防护方案阻断正常客户端的正常业务通信的问题。同时,由于中间清洗设备是在客户端与服务器建立TCP连接的过程中实现对客户端的验证,并不需要客户端与中间清洗设备先建立TCP连接,提高了客户端与服务器建立TCP连接的效率,节省了***资源。
可选的,还包括:
若所述客户端确定所述当前连接请求超时,则所述客户端经过所述中间清洗设备向所述服务器发送RST报文,所述RST报文包括第三五元组信息和第三序列号信息;
所述中间清洗设备在接收到所述客户端发送给所述服务器的RST报文之后,根据所述第三五元组信息和所述第三序列号信息对所述客户端进行验证,并在验证通过后将所述RST报文转发给所述服务器;
所述客户端向所述服务器发送TCP连接请求,与所述服务器建立所述TCP连接,并进行通信。
上述技术方案中,客户端在接收到服务器发送的SYN确认报文后,若当前连接请求未超时,就可以经过中间清洗设备向服务器发送确认报文,中间清洗设备根据确认报文中的第二五元组信息和第二序列号信息在对客户端进行验证通过后将该确认报文发送至服务器,或者若当前连接请求超时,就经过中间清洗设备向服务器发送RST报文,中间清洗设备根据RST报文中的第三五元组信息和第三序列号信息在对客户端进行验证通过后将该RST报文发送至服务器,从而实现与服务器建立TCP连接,不存在客户端不响应错误确认号的[SYN,ACK]报文行为或是客户端不响应被对端断掉TCP连接的两种行为。在防护DDOS攻击的同时保证了正常客户端与服务器的正常通信,可以很好的适配支付类或移动类客户端,解决了现有SYN Flood防护方案阻断正常业务的问题。同时,由于中间清洗设备是在客户端与服务器建立TCP连接的过程中实现对客户端的验证,并不需要客户端与中间清洗设备先建立TCP连接,提高了客户端与服务器建立TCP连接的效率,节省了***资源。
可选的,在所述中间清洗设备将所述确认报文转发给所述服务器之后,所述客户端直接与所述服务器进行通信。
在上述技术方案中,在中间清洗设备将确认报文转发给服务器后,这时客户端与服务器完成了TCP连接的建立,客户端无需在经过中间清洗设备的验证,直接就可以与服务器进行通信。
可选的,所述中间清洗设备在接收客户端发送的SYN请求报文之前,还包括:
所述中间清洗设备统计发送至服务器的SYN报文,在确认达到同一目的地址的SYN报文超过阈值时,进入防护状态。
相应的,本发明实施例还提供了一种防护DDOS攻击的***,包括:客户端、中间清洗设备和服务器;
所述客户端,用于在重传间隔时间经过中间清洗设备向服务器发送SYN请求报文,所述SYN请求报文包括第一五元组信息和第一序列号信息;
所述中间清洗设备,用于在接收到所述客户端发送给所述服务器的SYN请求报文之后,记录所述第一五元组信息和所述第一序列号信息,并将所述SYN请求报文转发给所述服务器,以使所述服务器发送SYN确认报文;
所述客户端,还用于在接收到所述服务器的发送的具有正确确认号的SYN确认报文后,确定当前连接请求是否超时;以及若否,则经过所述中间清洗设备向所述服务器发送确认报文,所述确认报文包括第二五元组信息和第二序列号信息;
所述中间清洗设备,还用于在接收到所述客户端发送给所述服务器的确认报文之后,根据所述第二五元组信息和第二序列号信息对所述客户端进行验证,并在验证通过后将所述确认报文转发给所述服务器,以使所述客户端与所述服务器完成传输控制协议TCP连接的建立。
可选的,所述客户端,还用于若确定所述当前连接请求超时,则经过所述中间清洗设备向所述服务器发送RST报文,所述RST报文包括第三五元组信息和第三序列号信息;
所述中间清洗设备,还用于在接收到所述客户端发送给所述服务器的RST报文之后,根据所述第三五元组信息和所述第三序列号信息对所述客户端进行验证,并在验证通过后将所述RST报文转发给所述服务器;
所述客户端,还用于向所述服务器发送TCP连接请求,与所述服务器建立所述TCP连接,并进行通信。
可选的,所述客户端还用于:
在所述中间清洗设备将所述确认报文转发给所述服务器之后,直接与所述服务器进行通信。
可选的,所述中间清洗设备还用于:
在接收客户端发送的SYN请求报文之前,统计发送至服务器的SYN报文,在确认达到同一目的地址的SYN报文超过阈值时,进入防护状态。
相应的,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行上述防护DDOS攻击的方法。
相应的,本发明实施例还提供了一种计算设备,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行上述防护DDOS攻击的方法。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种SYN Flood攻击防御方案的示意图;
图2为本发明实施例提供的一种SYN Flood攻击防御方案的示意图;
图3为本发明实施例提供的一种***架构的示意图;
图4为本发明实施例提供的一种防护DDOS攻击的方法的流程示意图;
图5为本发明实施例提供的一种防护DDOS攻击的方法的示意图;
图6为本发明实施例提供的一种防护DDOS攻击的***的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图3为本发明实施例所适用的***架构。参考图3所示,该***架构可以包括客户端100、中间清洗设备200和服务器300。
所述中间清洗设备200位于所述客户端100和所述服务器300之间,用于对SYNFlood攻击进行拦截,以及对客户端进行验证。
需要说明的是,上述图3所示的结构仅是一种示例,本发明实施例对此不做限定。
基于上述描述,图4示例性的示出了本发明实施例提供的一种防护DDOS攻击的方法的流程,该流程可以由防护DDOS攻击的***执行,下面将通过客户端、中间清洗设备和服务器交互的方式来描述防护DDOS攻击的流程。
如图4所示,该流程具体步骤包括:
步骤401,客户端向中间清洗设备发送SYN请求报文。
该SYN请求报文包括第一五元组信息和第一序列号信息,该第一五元组信息和第一序列号信息用于中间清洗设备在后续接收到客户端发送的报文后对客户端进行验证,验证客户端是否为正常的客户端。该SYN请求报文是在重传间隔时间发送的,由于是重传的报文,该SYN请求报文也就是客户端向服务器发送的第一个报文,因此,序列号相当于为1。由于此时中间清洗设备已经进行防护状态,对所有的SYN请求报文都会进行验证,因此,客户端第一次发送的SYN请求报文会被中间清洗设备清洗掉,也就是拒绝将第一次发送的SYN请求报文转发给服务器,用以实现防止SYN Flood攻击。因此,客户端在重传间隔时间未收到服务器的响应后,就重新发送一次SYN请求报文,当中间清洗设备再次接收到SYN请求报文时,才会对该SYN请求报文进行放行。
在本发明实施例中,重传间隔时间做成可适配的(依据经验设置的),以达到精准匹配客户端业务SYN重传间隔的同时清洗掉伪造的SYN Flood报文,或者通过其它手段来达到清洗SYN Flood报文的目的。
需要说明的是,在客户端发送SYN请求报文之前,中间清洗设备会统计发送至服务器的SYN报文,在确认达到同一目的地址的SYN报文超过阈值时,进入防护状态,以实现对SYN Flood攻击的防护。该阈值可以依据经验设置。
步骤402,中间清洗设备记录第一五元组信息和第一序列号信息。
中间清洗设备接收到的客户端发送给服务器的SYN请求报文中包括第一五元组信息和第一序列号信息,中间清洗设备会记录该第一五元组信息和第一序列号信息,以便在后续的交互中对客户端进行验证,验证该客户端是否为正常的客户端。
步骤403,中间清洗设备向服务器发送SYN请求报文。
当中间清洗设备记录了SYN请求报文中的第一五元组信息和第一序列号信息之后,就可以将该SYN请求报文放行,把该SYN请求报文发送至服务器,以使服务器向客户端发送SYN确认报文。
步骤404,服务器向客户端发送SYN确认报文。
服务器在接收到客户端发送的SYN请求报文之后,就会向客户端发送SYN确认报文,该SYN确认报文是具有正确确认号的SYN确认报文,由于服务器向客户端发送的是具有正确确认号的SYN确认报文,就可以保证不响应具有错误确认号的SYN确认报文的客户端可以正常通信,不会对不响应具有错误确认号的SYN确认报文的客户端发送的确认报文进行拦截。
步骤405,客户端判断当前连接请求是否超时,若是,则转入步骤410,否则转入步骤406。
客户端在接收到服务器发送的具有正确确认号的SYN确认报文之后,需要先判断当前连接请求是否超时,这里的超时是指本次建立TCP连接是否会超过TCP连接建立时间,如果超过,就表示超时,可以放弃建立本次TCP连接。如果不超过,就表示客户端在返回确认报文后,不会造成TCP连接建立超时。
步骤406,客户端向中间清洗设备发送确认报文。
客户端在步骤405中确认当前连接请求未超时时,就可以继续向服务器发送确认报文,由于中间清洗设备还未对该客户端进行验证,该确认报文还是会被中间清洗设备拦截,因此,此时客户端向服务器发送的确认报文会先经过中间清洗设备。该确认报文用于与服务器完成TCP连接的建立。该确认报文中包括了第二五元组信息和第二序列号信息,以用于中间设备根据该第二五元组信息和第二序列号信息对该客户端进行验证。
步骤407,中间清洗设备对客户端进行验证。
中间清洗设备在接收到客户端发送的确认报文后,根据该确认报文中的第二五元组信息和第二序列号信息对客户端进行验证,具体的:中间清洗设备对比该客户端的第一五元组信息和第一序列号信息与第二五元组信息和第二序列号信息,如果两者一致,确认该客户端为正常的客户端,就会验证通过,在验证通过后,中间清洗设备就不会再拦截客户端与服务器之间的通信报文,对客户端与服务器之间的通信进行放行,直到该客户端与服务器之间建立的TCP连接断开为止。
如果此时客户端发送的第二五元组信息和第二序列号信息没有通过验证,表明与客户端的第一五元组信息和第一序列号信息不一致,也可以表示该客户端有可能是DDOS攻击者,中间清洗设备会对此处的确认报文进行拦截,不会将该确认报文放行,发送给服务器,从而起到了防护DDOS攻击的目的。
由于不存在客户端不响应错误确认号的[SYN,ACK]报文行为或是客户端不响应被对端断掉TCP连接的两种行为,在防护DDOS攻击的同时保证了客户端与服务器直接的正常通信,可以很好的适配支付类或移动类客户端,解决了现有SYN Flood防护方案阻断正常客户端的正常业务通信的问题。同时,由于中间清洗设备是在客户端与服务器建立TCP连接的过程中实现对客户端的验证,并不需要客户端与中间清洗设备先建立TCP连接,提高了客户端与服务器建立TCP连接的效率,节省了***资源。
步骤408,中间清洗设备向服务器发送确认报文。
中间清洗设备在对客户端验证通过后,就将确认报文发送给服务器,以使客户端与服务器建立起TCP连接。
步骤409,客户端与服务器建立TCP连接。
客户端与服务器建立TCP连接后,客户端就可以与服务器直接进行通信,无需再经过中间清洗设备的拦截。
步骤410,客户端向中间清洗设备发送RST报文。
在上述步骤405中,客户端确认当前连接请求超时时,客户端可以向服务器发送RST报文,以用于与服务器重新启动建立TCP连接的流程。该RST报文中包括了第三五元组信息和第三序列号信息,以使中间清洗设备根据该第三五元组信息和第三序列号信息对客户端进行验证。
步骤411,中间清洗设备对客户端进行验证。
中间清洗设备在接收到客户端发送给服务器的RST报文后,根据RST报文中的第三五元组信息和第三序列号信息对客户端进行验证,具体的:中间清洗设备对比该客户端的第一五元组信息和第一序列号信息与第三五元组信息和第三序列号信息,如果两者一致,确认该客户端为正常的客户端,就会验证通过,在验证通过后,中间清洗设备就不会再拦截客户端与服务器之间的通信报文,对客户端与服务器之间的通信进行放行,后续客户端与服务器重新建立TCP连接,直到该客户端与服务器之间建立的TCP连接断开为止。
如果此时客户端发送的第三五元组信息和第三序列号信息没有通过验证,表明与客户端的第一五元组信息和第一序列号信息不一致,也可以表示该客户端有可能是DDOS攻击者,中间清洗设备会对此处的确认报文进行拦截,不会将该确认报文放行,发送给服务器,从而起到了防护DDOS攻击的目的。同时也可以保证不会被中间清洗设备断开连接,也就保证了不响应对端断开连接的正常客户端与服务器直接的正常通信,也就是说,中间清洗设备不会拦截这种不响应对端断开连接的客户端的报文,而是继续对该报文的发送者进行验证。现有技术的方案是中间清洗设备会拦截这种不响应对端断开连接的报文,从而影响正常客户端与服务器直接的正常通信。
同时,由于中间清洗设备是在客户端与服务器建立TCP连接的过程中实现对客户端的验证,并不需要客户端与中间清洗设备先建立TCP连接,提高了客户端与服务器建立TCP连接的效率,节省了***资源。
步骤412,中间清洗设备向服务器发送RST报文。
中间清洗设备在对客户端验证通过后,就会对该RST报文放行,将该RST报文发送给服务器,此时服务器接收到该RST报文后不会进行响应,只需等待客户端再次发出TCP连接建立请求即可。
步骤413,客户端向服务器发送第一SYN请求报文。
当中间清洗设备在步骤411中对客户端进行验证通过后,就不会再拦截客户端后续发送的报文,此时,客户端直接向服务器发送第一SYN请求报文。
步骤414,服务器向客户端发送第一SYN确认报文。
服务器在接收到客户端发送的第一SYN请求报文后,向客户端发送第一SYN确认报文。
步骤415,客户端向服务器发送第一确认报文。
客户端在接收到服务器发送的第一SYN确认报文之后,就可以向服务器发送第一确认报文,以完成TCP连接的建立。
通过步骤413至步骤415的客户端与服务器之间的三次握手,客户端与服务器可以成功建立TCP连接,实现TCP通信。
上述实施例表明,客户端在接收到服务器发送的SYN确认报文后,若当前连接请求未超时,就可以经过中间清洗设备向服务器发送确认报文,中间清洗设备根据确认报文中的第二五元组信息和第二序列号信息在对客户端进行验证通过后将该确认报文发送至服务器,或者若当前连接请求超时,就经过中间清洗设备向服务器发送RST报文,中间清洗设备根据RST报文中的第三五元组信息和第三序列号信息在对客户端进行验证通过后将该RST报文发送至服务器,从而实现与服务器建立TCP连接,不存在客户端不响应错误确认号的[SYN,ACK]报文行为或是客户端不响应被对端断掉TCP连接的两种行为。在防护DDOS攻击的同时保证了正常客户端与服务器的正常通信,可以很好的适配支付类或移动类客户端,解决了现有SYN Flood防护方案阻断正常业务的问题。同时,由于中间清洗设备是在客户端与服务器建立TCP连接的过程中实现对客户端的验证,并不需要客户端与中间清洗设备先建立TCP连接,提高了客户端与服务器建立TCP连接的效率,节省了***资源。
为了更好的解释本发明实施例,下面将通过具体的实时场景来描述防护DDOS攻击的流程。
如图5所示的流程,首先,攻击者会伪造大量的SYN Flood构造报文发送给服务器,然后SYN Flood报文被中间清洗设备统计,超过被保护服务器设置的SYN报文阈值,中间清洗设备进入防护状态。中间清洗设备对于后续接收到的SYN Flood报文,通过一定手段进行拦截清洗,比如,SYN重传间隔做成可适配的,以达到精准匹配客户业务SYN重传间隔的同时清洗掉伪造的SYN Flood报文,或者通过其它手段来达到清洗SYN Flood报文的目的。
在整个攻击过程中,由于服务器在中间清洗设备上处于被保护状态,则对于正常的客户端访问服务器,有以下几步处理流程:
(1)、客户端发送SYN报文请求与服务器进行TCP连接。
(2)、中间清洗设备在拦截客户端第一个SYN请求报文后,在重传间隔时间收到重传的SYN请求报文,记录SYN请求报文的报文五元组以及序列号信息,并放过该报文。
(3)、服务器收到SYN报文后,会返回一个正确的[SYN,ACK]报文给客户端。客户端收到报文后,会分两种情况:第一种,此时该TCP连接请求超时;第二种,此时该TCP连接没超时。
(4)、如果此时该连接请求没超时,客户端会回一个ACK报文,中间清洗设备会根据ACK报文的五元组信息以及序列号来验证是一个正常的客户端,经过验证后,并放过该报文发送到服务器,后续客户端和服务器就直接进行通信。
(5)、如果测试该连接请求超时,客户端会回一个RST报文,中间清洗设备会根据RST报文的报文五元组及序列号来验证是一个正常的客户端,经过验证后,RST报文发送到服务器,断掉该连接,客户端会再次进行TCP连接请求,中间清洗设备会直接放行该连接请求以及后续的报文交互,客户端和服务器直接进行通信。
本发明实施例提出的防护DDOS攻击的方案,相对于现有主流的SYN Flood防护方案,在清洗SYN Flood报文的同时,既可以保证普通客户端和服务器之间的正常通信,又可以保证不响应错误的[SYN,ACK]报文,或者不响应对端断开连接的客户端和服务器之间的正常通信。目前本发明实施例很好的适配了支付类客户端和移动客户端,解决了现有SYNFlood防护方案阻断正常业务的问题。
基于相同的技术构思,图6示例性的示出了本发明实施例提供的一种防护DDOS攻击的***的结构,该***可以执行防护DDOS攻击的流程。
如图6所示,该***具体包括:客户端601、中间清洗设备602和服务器603;
所述客户端601,用于在重传间隔时间经过中间清洗设备602向服务器603发送SYN请求报文,所述SYN请求报文包括第一五元组信息和第一序列号信息;
所述中间清洗设备602,用于在接收到所述客户端601发送给所述服务器603的SYN请求报文之后,记录所述第一五元组信息和所述第一序列号信息,并将所述SYN请求报文转发给所述服务器603,以使所述服务器603发送SYN确认报文;
所述客户端601,还用于在接收到所述服务器603的发送的具有正确确认号的SYN确认报文后,确定当前连接请求是否超时;以及若否,则经过所述中间清洗设备602向所述服务器603发送确认报文,所述确认报文包括第二五元组信息和第二序列号信息;
所述中间清洗设备602,还用于在接收到所述客户端601发送给所述服务器603的确认报文之后,根据所述第二五元组信息和第二序列号信息对所述客户端601进行验证,并在验证通过后将所述确认报文转发给所述服务器603,以使所述客户端601与所述服务器603完成TCP连接的建立。
可选的,所述客户端601,还用于若确定所述当前连接请求超时,则经过所述中间清洗设备602向所述服务器603发送RST报文,所述RST报文包括第三五元组信息和第三序列号信息;
所述中间清洗设备602,还用于在接收到所述客户端601发送给所述服务器603的RST报文之后,根据所述第三五元组信息和所述第三序列号信息对所述客户端601进行验证,并在验证通过后将所述RST报文转发给所述服务器603;
所述客户端601,还用于向所述服务器603发送TCP连接请求,与所述服务器603建立所述TCP连接,并进行通信。
可选的,所述客户端601还用于:
在所述中间清洗设备602将所述确认报文转发给所述服务器603之后,直接与所述服务器603进行通信。
可选的,所述中间清洗设备602还用于:
在接收客户端601发送的SYN请求报文之前,统计发送至服务器603的SYN报文,在确认达到同一目的地址的SYN报文超过阈值时,进入防护状态。
基于相同的技术构思,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行上述防护DDOS攻击的方法。
基于相同的技术构思,本发明实施例还提供了一种计算设备,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行上述防护DDOS攻击的方法。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种防护分布式拒绝服务DDOS攻击的方法,其特征在于,包括:
客户端在重传间隔时间经过中间清洗设备向服务器发送同步序列编号SYN请求报文,所述SYN请求报文包括第一五元组信息和第一序列号信息;
所述中间清洗设备在接收到所述客户端发送给所述服务器的SYN请求报文之后,记录所述第一五元组信息和所述第一序列号信息,并将所述SYN请求报文转发给所述服务器,以使所述服务器发送SYN确认报文;
所述客户端在接收到所述服务器的发送的具有正确确认号的SYN确认报文后,确定当前连接请求是否超时;
若否,则所述客户端经过所述中间清洗设备向所述服务器发送确认报文,所述确认报文包括第二五元组信息和第二序列号信息;
所述中间清洗设备在接收到所述客户端发送给所述服务器的确认报文之后,根据所述第二五元组信息和第二序列号信息对所述客户端进行验证,并在验证通过后将所述确认报文转发给所述服务器,以使所述客户端与所述服务器完成传输控制协议TCP连接的建立。
2.如权利要求1所述的方法,其特征在于,还包括:
若所述客户端确定所述当前连接请求超时,则所述客户端经过所述中间清洗设备向所述服务器发送复位RST报文,所述RST报文包括第三五元组信息和第三序列号信息;
所述中间清洗设备在接收到所述客户端发送给所述服务器的RST报文之后,根据所述第三五元组信息和所述第三序列号信息对所述客户端进行验证,并在验证通过后将所述RST报文转发给所述服务器;
所述客户端向所述服务器发送TCP连接请求,与所述服务器建立所述TCP连接,并进行通信。
3.如权利要求1所述的方法,其特征在于,在所述中间清洗设备将所述确认报文转发给所述服务器之后,所述客户端直接与所述服务器进行通信。
4.如权利要求1至3任一项所述的方法,其特征在于,所述中间清洗设备在接收客户端发送的SYN请求报文之前,还包括:
所述中间清洗设备统计发送至服务器的SYN报文,在确认达到同一目的地址的SYN报文超过阈值时,进入防护状态。
5.一种防护分布式拒绝服务DDOS攻击的***,其特征在于,包括:客户端、中间清洗设备和服务器;
所述客户端,用于在重传间隔时间经过中间清洗设备向服务器发送同步序列编号SYN请求报文,所述SYN请求报文包括第一五元组信息和第一序列号信息;
所述中间清洗设备,用于在接收到所述客户端发送给所述服务器的SYN请求报文之后,记录所述第一五元组信息和所述第一序列号信息,并将所述SYN请求报文转发给所述服务器,以使所述服务器发送SYN确认报文;
所述客户端,还用于在接收到所述服务器的发送的具有正确确认号的SYN确认报文后,确定当前连接请求是否超时;以及若否,则经过所述中间清洗设备向所述服务器发送确认报文,所述确认报文包括第二五元组信息和第二序列号信息;
所述中间清洗设备,还用于在接收到所述客户端发送给所述服务器的确认报文之后,根据所述第二五元组信息和第二序列号信息对所述客户端进行验证,并在验证通过后将所述确认报文转发给所述服务器,以使所述客户端与所述服务器完成传输控制协议TCP连接的建立。
6.如权利要求5所述的***,其特征在于,所述客户端,还用于若确定所述当前连接请求超时,则经过所述中间清洗设备向所述服务器发送复位RST报文,所述RST报文包括第三五元组信息和第三序列号信息;
所述中间清洗设备,还用于在接收到所述客户端发送给所述服务器的RST报文之后,根据所述第三五元组信息和所述第三序列号信息对所述客户端进行验证,并在验证通过后将所述RST报文转发给所述服务器;
所述客户端,还用于向所述服务器发送TCP连接请求,与所述服务器建立所述TCP连接,并进行通信。
7.如权利要求5所述的***,其特征在于,所述客户端还用于:
在所述中间清洗设备将所述确认报文转发给所述服务器之后,直接与所述服务器进行通信。
8.如权利要求5至7任一项所述的***,其特征在于,所述中间清洗设备还用于:
在接收客户端发送的SYN请求报文之前,统计发送至服务器的SYN报文,在确认达到同一目的地址的SYN报文超过阈值时,进入防护状态。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行如权利要求1至4中任一项所述的方法。
10.一种计算设备,其特征在于,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行如权利要求1至4中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811640337.3A CN109639712B (zh) | 2018-12-29 | 2018-12-29 | 一种防护ddos攻击的方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811640337.3A CN109639712B (zh) | 2018-12-29 | 2018-12-29 | 一种防护ddos攻击的方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109639712A true CN109639712A (zh) | 2019-04-16 |
| CN109639712B CN109639712B (zh) | 2021-09-10 |
Family
ID=66054647
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811640337.3A Active CN109639712B (zh) | 2018-12-29 | 2018-12-29 | 一种防护ddos攻击的方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109639712B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111526126A (zh) * | 2020-03-29 | 2020-08-11 | 杭州迪普科技股份有限公司 | 数据安全传输方法,数据安全设备及*** |
| CN111970308A (zh) * | 2020-09-03 | 2020-11-20 | 杭州安恒信息技术股份有限公司 | 一种防护SYN Flood攻击的方法、装置及设备 |
| CN112055028A (zh) * | 2020-09-11 | 2020-12-08 | 北京知道创宇信息技术股份有限公司 | 网络攻击防御方法、装置、电子设备及存储介质 |
| CN112615866A (zh) * | 2020-12-22 | 2021-04-06 | 杭州易安联科技有限公司 | Tcp连接的预认证方法、装置和*** |
| CN112702358A (zh) * | 2021-01-04 | 2021-04-23 | 北京金山云网络技术有限公司 | SYN Flood攻击的防护方法、装置、电子设备及存储介质 |
| CN113726757A (zh) * | 2021-08-24 | 2021-11-30 | 杭州迪普科技股份有限公司 | Https协议客户端的验证方法及装置 |
| CN114124489A (zh) * | 2021-11-11 | 2022-03-01 | 中国建设银行股份有限公司 | 防止流量攻击的方法、清洗装置、设备和介质 |
| CN114640704A (zh) * | 2022-05-18 | 2022-06-17 | 山东云天安全技术有限公司 | 通讯数据获取方法、***、计算机设备及可读存储介质 |
| CN114697088A (zh) * | 2022-03-17 | 2022-07-01 | 神州绿盟成都科技有限公司 | 一种确定网络攻击的方法、装置及电子设备 |
| CN115499216A (zh) * | 2022-09-15 | 2022-12-20 | 中国电信股份有限公司 | 防御攻击方法及装置、存储介质及电子设备 |
| CN110995612B (zh) * | 2019-11-25 | 2023-08-29 | 浙江中控技术股份有限公司 | 一种报文处理方法、***及通信设备 |
| CN117579233A (zh) * | 2024-01-15 | 2024-02-20 | 杭州优云科技股份有限公司 | 一种报文重传方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599957A (zh) * | 2009-06-04 | 2009-12-09 | 东软集团股份有限公司 | 一种syn洪水攻击的防御方法和装置 |
| CN104683293A (zh) * | 2013-11-27 | 2015-06-03 | 杭州迪普科技有限公司 | 一种基于逻辑器件的syn攻击防护方法 |
| CN105827646A (zh) * | 2016-05-17 | 2016-08-03 | 浙江宇视科技有限公司 | Syn攻击防护的方法及装置 |
| US9742732B2 (en) * | 2012-03-12 | 2017-08-22 | Varmour Networks, Inc. | Distributed TCP SYN flood protection |
| CN107770120A (zh) * | 2016-08-15 | 2018-03-06 | 台山市金讯互联网络科技有限公司 | 一种分布式监测的洪水攻击检测方法 |
-
2018
- 2018-12-29 CN CN201811640337.3A patent/CN109639712B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599957A (zh) * | 2009-06-04 | 2009-12-09 | 东软集团股份有限公司 | 一种syn洪水攻击的防御方法和装置 |
| US9742732B2 (en) * | 2012-03-12 | 2017-08-22 | Varmour Networks, Inc. | Distributed TCP SYN flood protection |
| CN104683293A (zh) * | 2013-11-27 | 2015-06-03 | 杭州迪普科技有限公司 | 一种基于逻辑器件的syn攻击防护方法 |
| CN105827646A (zh) * | 2016-05-17 | 2016-08-03 | 浙江宇视科技有限公司 | Syn攻击防护的方法及装置 |
| CN107770120A (zh) * | 2016-08-15 | 2018-03-06 | 台山市金讯互联网络科技有限公司 | 一种分布式监测的洪水攻击检测方法 |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110995612B (zh) * | 2019-11-25 | 2023-08-29 | 浙江中控技术股份有限公司 | 一种报文处理方法、***及通信设备 |
| CN111526126B (zh) * | 2020-03-29 | 2022-11-01 | 杭州迪普科技股份有限公司 | 数据安全传输方法,数据安全设备及*** |
| CN111526126A (zh) * | 2020-03-29 | 2020-08-11 | 杭州迪普科技股份有限公司 | 数据安全传输方法,数据安全设备及*** |
| CN111970308A (zh) * | 2020-09-03 | 2020-11-20 | 杭州安恒信息技术股份有限公司 | 一种防护SYN Flood攻击的方法、装置及设备 |
| CN112055028A (zh) * | 2020-09-11 | 2020-12-08 | 北京知道创宇信息技术股份有限公司 | 网络攻击防御方法、装置、电子设备及存储介质 |
| CN112055028B (zh) * | 2020-09-11 | 2023-08-08 | 北京知道创宇信息技术股份有限公司 | 网络攻击防御方法、装置、电子设备及存储介质 |
| CN112615866A (zh) * | 2020-12-22 | 2021-04-06 | 杭州易安联科技有限公司 | Tcp连接的预认证方法、装置和*** |
| CN112702358A (zh) * | 2021-01-04 | 2021-04-23 | 北京金山云网络技术有限公司 | SYN Flood攻击的防护方法、装置、电子设备及存储介质 |
| CN113726757A (zh) * | 2021-08-24 | 2021-11-30 | 杭州迪普科技股份有限公司 | Https协议客户端的验证方法及装置 |
| CN114124489A (zh) * | 2021-11-11 | 2022-03-01 | 中国建设银行股份有限公司 | 防止流量攻击的方法、清洗装置、设备和介质 |
| CN114124489B (zh) * | 2021-11-11 | 2024-04-05 | 中国建设银行股份有限公司 | 防止流量攻击的方法、清洗装置、设备和介质 |
| CN114697088A (zh) * | 2022-03-17 | 2022-07-01 | 神州绿盟成都科技有限公司 | 一种确定网络攻击的方法、装置及电子设备 |
| CN114697088B (zh) * | 2022-03-17 | 2024-03-15 | 神州绿盟成都科技有限公司 | 一种确定网络攻击的方法、装置及电子设备 |
| CN114640704B (zh) * | 2022-05-18 | 2022-08-19 | 山东云天安全技术有限公司 | 通讯数据获取方法、***、计算机设备及可读存储介质 |
| CN114640704A (zh) * | 2022-05-18 | 2022-06-17 | 山东云天安全技术有限公司 | 通讯数据获取方法、***、计算机设备及可读存储介质 |
| CN115499216A (zh) * | 2022-09-15 | 2022-12-20 | 中国电信股份有限公司 | 防御攻击方法及装置、存储介质及电子设备 |
| CN115499216B (zh) * | 2022-09-15 | 2024-03-19 | 中国电信股份有限公司 | 防御攻击方法及装置、存储介质及电子设备 |
| CN117579233A (zh) * | 2024-01-15 | 2024-02-20 | 杭州优云科技股份有限公司 | 一种报文重传方法及装置 |
| CN117579233B (zh) * | 2024-01-15 | 2024-04-23 | 杭州优云科技股份有限公司 | 一种报文重传方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109639712B (zh) | 2021-09-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109639712A (zh) | 一种防护ddos攻击的方法及*** | |
| CN108551446B (zh) | 防攻击的syn报文处理方法、装置、防火墙及存储介质 | |
| CN101390064B (zh) | 利用嵌入的认证信息防止网络重置拒绝服务攻击 | |
| CN1316369C (zh) | 检测异常不成功的连接尝试次数的方法 | |
| CN104426837B (zh) | Ftp的应用层报文过滤方法及装置 | |
| CN103347016A (zh) | 一种攻击的防御方法 | |
| CN107395632B (zh) | SYN Flood防护方法、装置、清洗设备及介质 | |
| CN104883360B (zh) | 一种arp欺骗的细粒度检测方法及*** | |
| CN108809923A (zh) | 在检测DDoS攻击时的流量过滤的***和方法 | |
| CN110099027A (zh) | 业务报文的传输方法和装置、存储介质、电子装置 | |
| CN102026199B (zh) | 一种WiMAX***及其防御DDoS攻击的装置和方法 | |
| Kavisankar et al. | A mitigation model for TCP SYN flooding with IP spoofing | |
| CN111314381A (zh) | 安全隔离网关 | |
| CN107204965A (zh) | 一种密码破解行为的拦截方法及*** | |
| CN107800723A (zh) | Cc攻击防护方法及设备 | |
| CN103391226B (zh) | 一种ppp链路检测维护方法及*** | |
| CN108134713A (zh) | 一种通信方法及装置 | |
| CN108667829A (zh) | 一种网络攻击的防护方法、装置及存储介质 | |
| Rana et al. | A Study and Detection of TCP SYN Flood Attacks with IP spoofing and its Mitigations | |
| CN109005164A (zh) | 一种网络***、设备、网络数据交互方法及存储介质 | |
| CN109936543A (zh) | ACK Flood攻击的防护方法、装置、设备及介质 | |
| CN109688136A (zh) | 一种伪造ip攻击行为的检测方法、***及相关组件 | |
| CN110831009A (zh) | 一种无线ap防无线dos攻击的测试方法及测试*** | |
| CN106341413A (zh) | 一种portal认证方法及装置 | |
| CN110035082A (zh) | 一种交换机准入认证方法、交换机及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Applicant after: NSFOCUS Technologies Group Co.,Ltd. Applicant after: NSFOCUS TECHNOLOGIES Inc. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Applicant before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Applicant before: NSFOCUS TECHNOLOGIES Inc. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |