CN109962918B - 一种防御攻击报文的方法、***及设备 - Google Patents
一种防御攻击报文的方法、***及设备 Download PDFInfo
- Publication number
- CN109962918B CN109962918B CN201910243990.4A CN201910243990A CN109962918B CN 109962918 B CN109962918 B CN 109962918B CN 201910243990 A CN201910243990 A CN 201910243990A CN 109962918 B CN109962918 B CN 109962918B
- Authority
- CN
- China
- Prior art keywords
- nat
- tcp
- message
- entry
- mark
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2517—Translation of Internet protocol [IP] addresses using port numbers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种防御攻击报文的方法、***及设备,涉及通信技术领域。防御攻击报文的方法包括:在与客户端建立传输控制协议TCP连接过程中,将收到的TCP报文的标志信息记录在网络地址转换NAT转换表内对应的条目中;根据目的信息对NAT转换表内仅记录同步请求SYN报文的标志信息的条目进行统计,以生成访问控制列表ACL条目。本发明有效防御攻击报文,简化网络部署,降低成本。
Description
技术领域
本发明涉及通信技术领域,具体是涉及一种防御攻击报文的方法、***及设备。
背景技术
网络地址转换(Network Address Translation,NAT)技术将内部私有网络地址(互联网协议(Internet Protocol,IP)地址)翻译成合法网络IP地址的技术。在具有NAT功能的NAT设备上,例如作为面向宽带网络应用的新型接入网关的宽带接入服务器(Broadband Remote Access Server,BRAS),NAT的实现方式有三种:静态转换、动态转换和端口多路复用的端口地址转换(Port-address-translation,PAT)。
对于动态转换和端口多路复用方式,尤其是端口多路复用方式,NAT表项资源是有限的。BRAS设备用户侧的报文都是来自普通PC,由于近几年勒索病毒爆发,中病毒的个人计算机(Personal Computer,PC)一直发送大量无效的传输控制协议(Transmission ControlProtocol,TCP)连接请求,导致NAT表项资源很快耗尽,甚至有一个用户的PC中病毒后,会影响其他所有接到该BRAS设备的PC上网。在BRAS设备上,NAT防攻击的一般解决方法是限制每个用户的NAT表项数量,但这种方法会造成用户本身正常的网络访问受到影响。如果采用加防火墙设备的方式则加大网络部署成本,因此,亟需一种有效且成本低的NAT防攻击机制。
发明内容
针对现有技术中存在的缺陷,本发明的目的在于提供一种防御攻击报文的方法、***及设备,有效防御攻击报文,简化网络部署,降低成本。
本发明提供一种防御攻击报文的方法,其包括:
在与客户端建立传输控制协议TCP连接过程中,将收到的TCP报文的标志信息记录在网络地址转换NAT转换表内对应的条目中;
根据目的信息对NAT转换表内仅记录同步请求SYN报文的标志信息的条目进行统计,以生成访问控制列表ACL条目。
在上述技术方案的基础上,所述NAT转换表包括两个标志字段,分别用于存储所述SYN报文和确认ACK报文携带的标志信息。
在上述技术方案的基础上,所述方法还包括:对所述NAT转换表进行老化时,按照预设的加速老化周期加速老化所述仅记录SYN报文的标志信息的条目。
在上述技术方案的基础上,所述NAT转换表老化过程以及生成ACL条目过程同时或者先后进行。
在上述技术方案的基础上,定期轮询所述NAT转换表,统计所述仅记录SYN报文的标志信息的条目,当所述目的信息相同的条目总数达到预定阈值时,生成所述ACL条目。
在上述技术方案的基础上,所述目的信息为目的端口和/或目的IP地址。
本发明还提供一种防御攻击报文的***,其包括:
NAT转换模块,其包括NAT转换表,所述NAT转换模块用于在与客户端建立TCP连接过程中,将收到的TCP报文的标志信息记录在NAT转换表内对应的条目中;
ACL创建模块,其用于根据目的信息对NAT转换表内仅记录SYN报文的标志信息的条目进行统计,以生成ACL条目。
在上述技术方案的基础上,所述NAT转换表包括两个标志字段,分别用于存储所述SYN报文和确认ACK报文携带的标志信息。
在上述技术方案的基础上,所述***还包括NAT老化模块,用于对所述NAT转换表进行老化;还用于按照预设的加速老化周期加速老化所述仅记录SYN报文的标志信息的条目。
在上述技术方案的基础上,所述NAT老化模块在每个老化周期中对所述NAT转换表进行老化,所述ACL创建模块在每个轮询周期中生成所述ACL条目,两个周期并行或者依序交替进行。
在上述技术方案的基础上,所述ACL创建模块用于定期轮询所述NAT转换表,统计所述仅记录SYN报文的标志信息的条目,当所述目的信息相同的条目总数达到预定阈值时,生成所述ACL条目。
在上述技术方案的基础上,所述目的信息为目的端口和/或目的IP地址。
本发明还提供一种网络地址转换NAT设备,所述NAT设备包括上述的防御攻击报文的***。
与现有技术相比,本发明实施例在与客户端建立TCP连接过程中,将收到的TCP报文的标志信息记录在NAT转换表内对应的条目中,并根据目的信息对仅记录同步(Synchronous,SYN)报文的标志信息的条目进行统计,以生成访问控制列表(AccessControl List,ACL)条目,有效防御攻击报文,简化网络部署,降低成本。
附图说明
图1是本发明第一实施例防御攻击报文的方法流程图;
图2是本发明第一实施例中NAT转换表的数据结构示意图;
图3是本发明第一实施例中ACL表项的条目示意图;
图4是本发明第一实施例防御攻击报文的方法中,步骤S120的具体流程图;
图5是本发明第二实施例防御攻击报文的方法中,步骤S310的具体流程图;
图6本发明第四实施例防御攻击报文的***示意图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步的详细描述。
本发明第一实施例提供一种防御攻击报文的方法,用于NAT设备中,NAT设备包括宽带接入服务器BRAS,本实施例以BRAS设备为例对本方法具体说明。
具体的,客户端和BRAS设备之间建立TCP连接的过程包含3次TCP报文的交互:
1)客户端向BRAS设备发送同步(Synchronous,SYN)报文;
2)BRAS设备向客户端回应应答(SynchronousAcknowledgement,SYNACK)报文;
3)客户端向BRAS设备发送确认(Acknowledgment,ACK)报文。
上述3次报文交互即为TCP连接的三次握手。在攻击的情况下,大部分情况是客户端发了SYN报文,而目的IP地址是扫描式变化的,当目的IP地址不是真正存在时,BRAS设备不会回应SYNACK报文的,也就是说,当客户端向发送SYN报文后,不回应ACK报文,即只进行上述步骤1),而没有完成上述步骤2)和3),则客户端和服务器端完成了半连接。
当中病毒或恶意客户端向BRAS设备发送大量无效的TCP连接请求时,BRAS设备收到大量无效SYN报文,为避免对NAT表项资源以及为半连接分配的连接资源造成过大的消耗,有必要进行防护。
参见图1所示,本防御攻击报文的方法包括:
S110在与客户端建立传输控制协议TCP连接过程中,将收到的TCP报文的标志信息记录在NAT转换表内对应的条目中。
S120根据目的信息对NAT转换表内仅记录同步SYN报文的标志信息的条目进行统计,以生成访问控制列表ACL条目。
图1显示了步骤S110和步骤S120依序执行,但是,需要说明的是,步骤S110和步骤S120也可以同时进行。以下对步骤S110和步骤S120分别说明。
如上述说明,在步骤S110中,BRAS设备收到的TCP报文包括SYN报文和ACK报文,其中,SYN报文携带的标志信息(TCP Flag)为SYN标志信息,ACK报文携带的标志信息(TCPFlag)为ACK标志信息。
参见图2所示,NAT转换表包括匹配项(KEY)和数据(DATA),匹配项(KEY)包括协议号、源IP地址、目的IP地址、源端口号和目的端口号。数据(DATA)包括条目索引(Tableindex)、转换后的源IP地址(Src IP)、转换后的目的IP(Dst IP)、转换后源端口号(Srcport)、转换后目的端口号(Dst port)、转换后协议号(Protocol)、TCP syn标志(Syn)、TCPack标志(Ack)、老化时间(Ttl)、时间戳(timestamp)、以及是否老化标志(Aging flag)。
其中,NAT转换表包括两个标志字段,TCP syn标志用于存储SYN报文携带的标志信息,TCP ack标志用于存储ACK报文携带的标志信息。
TCP syn标志和TCP ack标志的初始值可以设为0,当收到SYN报文时,提取报文的IP五元组(即协议号、源IP地址、目的IP地址、源端口号和目的端口号),并在NAT转换表中查找匹配项(KEY),找到一致的匹配项(KEY)所在的条目为对应条目,将NAT转换表的对应条目中的TCP syn标志设置为1;当收到ACK报文时,NAT转换表的对应条目中的TCP ack标志设置为1。当NAT转换表中的某个条目的TCP syn标志和TCP ack标志都设置为1时,说明客户端与NAT设备完成了TCP连接的三次握手。将报文的源IP和源端口进行替换,然后查路由转发。
如果NAT转换表中的某个条目的TCP syn标志设置为1,而TCP ack标志仍为0,说明客户端与NAT设备为半连接状态。
步骤S120包括:定期轮询NAT转换表,统计仅记录SYN报文的标志信息的条目,当目的信息相同的条目总数达到预定阈值时,生成ACL条目。
仅记录SYN报文的标志信息的条目是指该条目中仅仅记录了收到的SYN报文的标志信息,由于没有收到ACK报文,因而没有记录ACK报文的标志信息,具体是指NAT转换表中TCP syn标志设置为1,而TCP ack标志仍为0的条目。
目的信息为目的端口和/或目的IP地址。以目的端口为例,在每个进行统计的轮询周期内,扫描所有只有TCP syn标志设置为1的条目,并统计这些条目中目的端口号相同的条目总数,如果某个目的端口号相同的条目总数达到了预定阈值(例如50),则根据这个目的端口号生成一条ACL条目。
统计得到的目的端口号相同的条目中的源IP地址可以相同,也可以不同,不作限定。例如,可以基于源IP地址,扫描所有只有TCP syn标志设置为1的条目,并统计这些条目中目的端口号相同的条目总数,如果某个目的端口号相同的条目总数达到了预定阈值(例如50),则根据这个目的端口号生成一条ACL条目。此时,统计得到的目的端口号相同的条目中的源IP地址都是上述所基于的源IP地址。
类似地,可以根据目的IP地址对只有TCP syn标志设置为1的条目进行统计并生成一条ACL条目。或者,可以结合目的端口和目的IP地址对只有TCP syn标志设置为1的条目进行统计并生成一条ACL条目。
访问控制列表ACL是现有的路由器和交换机接口的指令列表,用来控制进出的报文。ACL包括匹配关系、条件等,ACL的数据结构参见图3所示,包括关键字、掩码和动作,其中,关键字包括报文的IP五元组(即协议号、源IP地址、目的IP地址、源端口号和目的端口号),例如,源IP地址和目的IP地址均为32比特bits,源端口号和目的端口号均为16比特bits,协议号为8比特bits。
每个ACL条目的关键字对应一个相应的掩码,掩码的每个比特bit对应相应关键字中的每个比特bit,掩码的某个比特bit为0,则表示ACL条目要匹配对应关键字的对应bit;掩码某个比特bit为1,则表示不关心对应关键字的对应bit。例如,如果丢弃目的IP地址为192.168.x.x的报文,则关键字的目的IP地址为192.168.0.0,目的IP地址的掩码为0.0.255.255;如果希望匹配目的端口号为1000,则关键字目的端口为1000,目的端口掩码为0。
本实施例中的访问控制列表ACL是入口ACL,采用通用的IP五元组模板,收到报文后提取报文的IP五元组作为关键字,在ACL表中进行查找,如果命中,则根据相应的动作的内容做相应的处理,本实施例中ACL的动作为丢弃。
具体的,生成的ACL条目可以为精确匹配目的IP地址和/或精确匹配目的端口号,所以目的IP地址的掩码为0.0.0.0和/或目的端口号的掩码为0,其他的源IP地址、源端口、协议号的掩码在进行匹配时可以忽略,例如可以分别为255.255.255.255、65535和255。
NAT设备进行报文转发时,对报文进行动态地址转换NAT和按照ACL规则控制报文的进出,可以采用顺序匹配方式,即:先执行ACL再进行NAT。
参见图4所示,步骤S120具体包括:
S121设定扫描定时器,每隔2秒开始对NAT转换表进行扫描。
S122判断目的IP地址和/或目的端口号重复的条目是否达到了50条,若是,进入步骤S123;若否,进入步骤S124。
S123根据目的IP地址和/或目的端口号生成ACL条目。
S124判断是否遍历NAT转换表,若是,返回步骤S121;若否,返回步骤S122。
本发明实施例在与客户端建立TCP连接过程中,将收到的TCP报文的标志信息记录在NAT转换表内对应的条目中,并根据目的信息对仅记录SYN报文的标志信息的条目进行统计,以生成ACL条目,有效防御攻击报文,简化网络部署,降低成本。
本发明第二实施例提供一种防御攻击报文的方法,在本发明第一实施例的基础上,基于防御攻击报文的方法的报文处理过程包括:
S210接收客户端发出的报文,根据报文的入口和vlan在接口表查找NAT内网侧或NAT外网侧等标识。
接口表是匹配入口和vlan的一张表,动作包括是否做NAT等标志位。NAT内网侧一般接客户端,客户端会主动发起TCP连接请求,所以NAT转换表的生成是由内网侧触发的。外网侧接服务端,回应客户端的请求。不管是NAT内网侧还是NAT外网侧的报文,NAT设备收到后都要查路由转发。
S220判断报文为NAT内网还是NAT外网,若是NAT内网,进入步骤S230;若是NAT外网,进入步骤S270。
S230提取报文的IP五元组,并在NAT转换表中查找该报文的IP五元组所对应的条目。
S240判断是否找到对应的条目,若是,进入步骤S250;若否,进入步骤S260。
S250更新该条目的时间戳,对于SYN报文和ACK报文,相应地更新该条目的TCP syn和TCP ack标志位,然后将报文IP五元组按照条目的数据进行替换,进入步骤S300。
具体的,更新该条目的TCP syn和TCP ack标志位的具体说明参见第一实施例中的步骤S110,此处不再赘述。
S260生成新的NAT转换表条目,该条目的匹配字段为当前报文的IP五元组,数据的IP五元组为动态分配的,返回步骤S250。
S270提取报文的IP五元组,并在NAT转换表中查找该报文的IP五元组所对应的条目。
S280判断是否找到对应的条目,若是,进入步骤S290;若否,进入步骤S300。
S290更新该条目的时间戳,然后将报文IP五元组按照条目的数据进行替换,进入步骤S300。
S300根据报文的目的IP进行路由查找并转发。
通过上述步骤,在与客户端建立传输控制协议TCP连接过程中,将收到的TCP报文的标志信息记录在NAT转换表内对应的条目中。
在执行上述步骤的同时,还可以执行以下步骤:
S310对NAT转换表进行老化时,按照预设的加速老化周期加速老化仅记录SYN报文的标志信息的条目。
具体的,对所述NAT转换表进行老化包括:
当NAT转换表中的某一个条目是非TCP的条目,或者,是TCP报文且TCP syn和TCPack标识都置1,当没有任何报文命中该条目达到了老化周期时,将该条目删除。
具体的,按照预设的加速老化周期加速老化所述仅记录SYN报文的标志信息的条目包括:
当NAT转换表中的某一个仅有TCP syn标识置1的条目没有命中达到了加速老化周期时,将该条目删除。加速老化周期一般短于老化周期,所以对于攻击报文,可以达到快速老化的效果。
参见图5所示,步骤S310具体包括:
S311设置NAT老化定时器,每隔2秒开始扫描NAT转换表。
S312判断TCP syn和TCP ack标志位,当TCP syn=1且TCP ack=0时,进入步骤S313;当TCP syn=1且TCP ack=1,或TCP syn=0 TCP ack=0,进入步骤S315。
S313当前时间与条目的时间戳做差值,如果达到加速老化周期,则老化。
S314上报日志LOG,提示网络管理员有TCP攻击报文,进入步骤S316。
S315当前时间与条目的时间戳做差值,如果达到正常NAT老化周期,则正常老化。
S316判断是否遍历NAT转换表,若是,返回步骤S311;若否,返回步骤S312。
S320根据目的信息对NAT转换表内仅记录同步SYN报文的标志信息的条目进行统计,以生成访问控制列表ACL条目。具体说明参见第一实施例中的步骤S120,此处不再赘述。
需要说明的是,在本实施例中,步骤S310和S320同时进行。
本发明第三实施例提供一种防御攻击报文的方法,本发明第三实施例与第二实施例基本相同,区别在于:在第三实施例中,NAT转换表老化过程以及生成ACL条目过程先后进行。
在一种实施方式中,开始NAT转换表老化周期,在本次老化周期内,首先对NAT转换表进行老化,并且按照预设的加速老化周期加速老化仅记录SYN报文的标志信息的条目,然后生成ACL条目。
在另一种实施方式中,首先开始NAT转换表老化周期,在本次老化周期结束后,开始另一个轮询周期,以生成ACL条目,两个周期交替进行。
参见图6所示,本发明第四实施例提供一种防御攻击报文的***,用于实现前述防御攻击报文的方法,防御攻击报文的***包括NAT转换模块和ACL创建模块。
NAT转换模块包括NAT转换表,用于在与客户端建立传输控制协议TCP连接过程中,将收到的TCP报文的标志信息记录在NAT转换表内对应的条目中。
ACL创建模块用于根据目的信息对NAT转换表内仅记录同步SYN报文的标志信息的条目进行统计,以生成ACL条目。
NAT转换表包括两个标志字段,分别用于存储SYN报文和确认ACK报文携带的标志信息。目的信息为目的端口和/或目的IP地址。
具体的,ACL创建模块用于定期轮询NAT转换表,统计仅记录SYN报文的标志信息的条目,当目的信息相同的条目总数达到预定阈值时,生成ACL条目。
参见图6所示,本发明第五实施例提供一种防御攻击报文的***,在本发明第四实施例的基础上,防御攻击报文的***还包括NAT老化模块,用于对NAT转换表进行老化;还用于按照预设的加速老化周期加速老化仅记录SYN报文的标志信息的条目。
NAT老化模块在每个老化周期中对NAT转换表进行老化,ACL创建模块在每个轮询周期中生成ACL条目,两个周期并行或者依序交替进行。
具体的,NAT老化模块轮询NAT转换表的所有条目的状态。当NAT转换表中的某一个条目没有任何报文命中达到了老化时间后,该条目老化,资源得到回收。如果轮询到只有TCP syn标识置1的条目达到加速老化周期时,说明该条目是由无效的TCP连接会话生成的,则直接快速老化。
具体的,防御攻击报文的***还包括报文解析模块、ACL控制模块和路由转发模块。
报文解析模块接收并解析客户端的报文,ACL控制模块存储ACL条目,并对与ACL条目相匹配的报文进行相应的动作操作。NAT转换模块根据解析得到的报文的五元组(协议号、源IP地址、目的IP地址、源端口号和目的端口号)在NAT转换表查找对应的条目,如果能找到,则将报文的源IP地址和源端口号进行替换,然后发到路由转发模块按照路由转发;如果没有查到,则根据报文的五元组生成NAT转换表的新条目,同时生成反向的NAT转换表的条目,即转换表的匹配项和数据互换,这就意味着使用了一个NAT表项资源。
NAT转换表同时记录了时间戳以及TCP flag中syn和ack的状态,当TCP的SYN报文到达NAT转换模块时,对应条目的TCP syn标识会置1,当TCP的ACK报文到达NAT转换模块时,对应条目TCP ack标识会置1;当某个条目的sync标识和ack标识都置1时,说明该会话是有三次握手过程的。
本发明第六实施例提供一种网络地址转换NAT设备,NAT设备包括前述实施例的防御攻击报文的***。
本发明不局限于上述实施方式,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围之内。本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。
Claims (7)
1.一种防御攻击报文的方法,其特征在于,其包括:
在与客户端建立传输控制协议TCP连接过程中,将收到的TCP报文的标志信息记录在网络地址转换NAT转换表内对应的条目中;
根据目的信息对NAT转换表内仅记录同步请求SYN报文的标志信息的条目进行统计,以生成访问控制列表ACL条目;
所述NAT转换表包括两个标志字段TCP syn标志和TCP ack标志,分别用于存储所述SYN报文和确认ACK报文携带的标志信息;
所述仅记录同步请求SYN报文的标志信息的条目指NAT转换表中TCP syn标志的值为1,TCP ack标志的值为0的条目;
定期轮询所述NAT转换表,统计所述仅记录同步请求SYN报文的标志信息的条目,当所述目的信息相同的条目总数达到预定阈值时,生成所述ACL条目。
2.如权利要求1所述的防御攻击报文的方法,其特征在于,所述方法还包括:对所述NAT转换表进行老化时,按照预设的加速老化周期加速老化所述仅记录SYN报文的标志信息的条目。
3.如权利要求2所述的防御攻击报文的方法,其特征在于:所述NAT转换表老化过程以及生成ACL条目过程同时或者先后进行。
4.如权利要求1所述的防御攻击报文的方法,其特征在于:所述目的信息为目的端口和/或目的IP地址。
5.一种防御攻击报文的***,其特征在于,其包括:
NAT转换模块,其包括NAT转换表,所述NAT转换模块用于在与客户端建立TCP连接过程中,将收到的TCP报文的标志信息记录在NAT转换表内对应的条目中;
ACL创建模块,其用于根据目的信息对NAT转换表内仅记录SYN报文的标志信息的条目进行统计,以生成ACL条目;
所述NAT转换表包括TCP syn标志和TCP ack标志两个标志字段,分别用于存储所述SYN报文和确认ACK报文携带的标志信息;
所述仅记录SYN报文的标志信息的条目指NAT转换表中TCP syn标志的值为1,TCP ack标志的值为0的条目;
ACL创建模块还用于定期轮询所述NAT转换表,统计所述仅记录SYN报文的标志信息的条目,当所述目的信息相同的条目总数达到预定阈值时,生成所述ACL条目。
6.如权利要求5所述的防御攻击报文的***,其特征在于:所述***还包括NAT老化模块,用于对所述NAT转换表进行老化;还用于按照预设的加速老化周期加速老化所述仅记录SYN报文的标志信息的条目。
7.一种网络地址转换NAT设备,其特征在于:所述NAT设备包括如权利要求5或6所述的防御攻击报文的***。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910243990.4A CN109962918B (zh) | 2019-03-28 | 2019-03-28 | 一种防御攻击报文的方法、***及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910243990.4A CN109962918B (zh) | 2019-03-28 | 2019-03-28 | 一种防御攻击报文的方法、***及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109962918A CN109962918A (zh) | 2019-07-02 |
CN109962918B true CN109962918B (zh) | 2021-11-30 |
Family
ID=67025203
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910243990.4A Active CN109962918B (zh) | 2019-03-28 | 2019-03-28 | 一种防御攻击报文的方法、***及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109962918B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111756713B (zh) * | 2020-06-15 | 2022-12-27 | Oppo广东移动通信有限公司 | 网络攻击识别方法、装置、计算机设备及介质 |
CN113285918B (zh) * | 2021-04-08 | 2023-10-24 | 锐捷网络股份有限公司 | 针对网络攻击的acl过滤表项建立方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101163041A (zh) * | 2007-08-17 | 2008-04-16 | 中兴通讯股份有限公司 | 一种防范syn洪泛攻击的方法及路由器设备 |
CN103916389A (zh) * | 2014-03-19 | 2014-07-09 | 汉柏科技有限公司 | 防御HttpFlood攻击的方法及防火墙 |
CN105991632A (zh) * | 2015-04-20 | 2016-10-05 | 杭州迪普科技有限公司 | 网络安全防护方法及装置 |
CN107395632A (zh) * | 2017-08-25 | 2017-11-24 | 北京神州绿盟信息安全科技股份有限公司 | SYN Flood防护方法、装置、清洗设备及介质 |
CN107547507A (zh) * | 2017-06-27 | 2018-01-05 | 新华三技术有限公司 | 一种防攻击方法、装置、路由器设备及机器可读存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109327426A (zh) * | 2018-01-11 | 2019-02-12 | 白令海 | 一种防火墙攻击防御方法 |
-
2019
- 2019-03-28 CN CN201910243990.4A patent/CN109962918B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101163041A (zh) * | 2007-08-17 | 2008-04-16 | 中兴通讯股份有限公司 | 一种防范syn洪泛攻击的方法及路由器设备 |
CN103916389A (zh) * | 2014-03-19 | 2014-07-09 | 汉柏科技有限公司 | 防御HttpFlood攻击的方法及防火墙 |
CN105991632A (zh) * | 2015-04-20 | 2016-10-05 | 杭州迪普科技有限公司 | 网络安全防护方法及装置 |
CN107547507A (zh) * | 2017-06-27 | 2018-01-05 | 新华三技术有限公司 | 一种防攻击方法、装置、路由器设备及机器可读存储介质 |
CN107395632A (zh) * | 2017-08-25 | 2017-11-24 | 北京神州绿盟信息安全科技股份有限公司 | SYN Flood防护方法、装置、清洗设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN109962918A (zh) | 2019-07-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Whalen | An introduction to arp spoofing | |
US9497208B2 (en) | Distributed network protection | |
US9712559B2 (en) | Identifying frames | |
CN107710680B (zh) | 网络攻击防御策略发送、网络攻击防御的方法和装置 | |
EP2940970A1 (en) | Nat implementation system, method, and openflow switch | |
US11968174B2 (en) | Systems and methods for blocking spoofed traffic | |
EP3026872B1 (en) | Packet forwarding method, apparatus, and system | |
JPH11508753A (ja) | インターネット・プロトコル・フィルタ | |
CN108234473B (zh) | 一种报文防攻击方法及装置 | |
CN109962918B (zh) | 一种防御攻击报文的方法、***及设备 | |
US20220174072A1 (en) | Data Processing Method and Device | |
CN107690004B (zh) | 地址解析协议报文的处理方法及装置 | |
Wang et al. | Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks | |
CN110661763B (zh) | 一种DDoS反射攻击防御方法、装置及其设备 | |
US7613179B2 (en) | Technique for tracing source addresses of packets | |
CN102546587B (zh) | 防止网关***会话资源被恶意耗尽的方法及装置 | |
CN108650237B (zh) | 一种基于存活时间的报文安全检查方法及*** | |
CN113114666B (zh) | 一种sdn网络中针对扫描攻击的移动目标防御方法 | |
US8307415B2 (en) | Safe hashing for network traffic | |
CN110198290A (zh) | 一种信息处理方法、设备、装置及存储介质 | |
Song et al. | Using FDAD to prevent DAD attack in secure neighbor discovery protocol | |
KR100748090B1 (ko) | 고속 라우터에서의 패킷 처리 장치 및 그 방법 | |
TW201132055A (en) | Routing device and related packet processing circuit | |
CN107786496B (zh) | 针对局域网arp表项欺骗攻击的预警方法及装置 | |
KR101088868B1 (ko) | 네트워크 스위치의 에이알피 패킷 처리 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |