CN110071939B - 针对传统ddos防火墙syn flood防护在工业网络中的改进方法 - Google Patents

针对传统ddos防火墙syn flood防护在工业网络中的改进方法 Download PDF

Info

Publication number
CN110071939B
CN110071939B CN201910369103.8A CN201910369103A CN110071939B CN 110071939 B CN110071939 B CN 110071939B CN 201910369103 A CN201910369103 A CN 201910369103A CN 110071939 B CN110071939 B CN 110071939B
Authority
CN
China
Prior art keywords
syn
threshold value
statistics
target
steps
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910369103.8A
Other languages
English (en)
Other versions
CN110071939A (zh
Inventor
董超
陈夏裕
孙杨
蔡艳林
杨明勋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Hengtong Industrial Control Safety Research Institute Co Ltd
Original Assignee
Jiangsu Hengtong Industrial Control Safety Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Hengtong Industrial Control Safety Research Institute Co Ltd filed Critical Jiangsu Hengtong Industrial Control Safety Research Institute Co Ltd
Priority to CN201910369103.8A priority Critical patent/CN110071939B/zh
Publication of CN110071939A publication Critical patent/CN110071939A/zh
Application granted granted Critical
Publication of CN110071939B publication Critical patent/CN110071939B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种针对传统DDOS防火墙SYN FLOOD防护在工业网络中的改进方法。本发明针对传统DDOS防火墙SYN FLOOD防护在工业网络中的改进方法,包括:步骤一:捕获以太网络中的数据包;步骤二:解析TCP协议SYN报文,针对目的IP地址进行数量统计;步骤三:根据预设值的阈值与SYN报文统计数比对,如果统计数未超过阈值,则进入步骤四,如果超过阈值则进入步骤八。本发明的有益效果:本专利针对未超过阈值部分SYN FLood攻击流量进行主动释放处理,减少被攻击目标内存占用时间,使被攻击目标较快速的恢复到未遭受攻击时的正常工作状态,从而对工业设备达到安全防护的效果。

Description

针对传统DDOS防火墙SYN FLOOD防护在工业网络中的改进 方法
技术领域
本发明涉及防火墙领域,具体涉及一种针对传统DDOS防火墙SYN FLOOD防护在工业网络中的改进方法。
背景技术
网络状态同步洪水攻击(以下简称:SYN Flood攻击)是利用TCP协议的不合理性而产生的一种网络攻击。TCP协议规定:TCP连接必须经过双方三次握手交换信息,经确认无误后,方进行数据的交换;也就是说,后续的数据交换是基于三次握手产生的的信任关系而进行的。其具体数据交换过程:根据TCP协议,当B主机收到A主机发送的带有SYN标志位的SYN数据包后,应该向A主机回复一个带有SYN和ACK标志位的SYN/ACK数据包,然后B主机开始进入等待A主机发送的带有ACK标志位的ACK数据包状态。根据TCP协议,该状态为SYN_WAIT状态,这个状态将持续一段时间,如果在这段时间内,B主机没有收到A主机发送的ACK数据包,B主机才认为A主机放弃此次连接。一般来说,操作***会在SYN_WAIT状态的时候就为此次连接分配一定量的内存。
传统DDOS防火墙的SYN Flood攻击检测方式是通过阈值进行判断,超过预先设置的阈值时,防火墙启动SYN Flood防护策略,对攻击进行清洗。
传统技术存在以下技术问题:
然而,工业网络环境中,SYN Flood攻击目标往往具有内存容量小,CPU处理速度不足等情况,传统防火墙未对超过阈值前的攻击流量进行处理,导致攻击流量到达被攻击目标,使被攻击目标内存一定时间的消耗或出现一定时间的拒绝服务的现象。
发明内容
本发明要解决的技术问题是提供一种针对传统DDOS防火墙SYN FLOOD防护在工业网络中的改进方法。
为了解决上述技术问题,本发明提供了一种针对传统DDOS防火墙SYN FLOOD防护在工业网络中的改进方法,包括:
步骤一:捕获以太网络中的数据包;
步骤二:解析TCP协议SYN报文,针对目的IP地址进行数量统计;
步骤三:根据预设值的阈值与SYN报文统计数比对,如果统计数未超过阈值,则进入步骤四,如果超过阈值则进入步骤八;
步骤四:针对目的IP地址进行会话状态统计;
步骤五:对于会话状态变更为已成功建立的,从统计表中删除;
步骤六:对于处于SYN_WAIT状态的会话建立定时老化机制,防止统计表无限扩张。
步骤七:报文处理结束,执行步骤一;
步骤八:根据四、五、六步骤生成的会话统计表,对目的IP发送FIN报文,释放其SYN_WAIT状态所占用内存;
步骤九:执行SYN Flood清洗流程;
步骤十:清洗结束,执行步骤一。
一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现任一项所述方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现任一项所述方法的步骤。
一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行任一项所述的方法。
本发明的有益效果:
本专利针对未超过阈值部分SYN FLood攻击流量进行主动释放处理,减少被攻击目标内存占用时间,使被攻击目标较快速的恢复到未遭受攻击时的正常工作状态,从而对工业设备达到安全防护的效果。
附图说明
图1是本发明针对传统DDOS防火墙SYN FLOOD防护在工业网络中的改进方法的流程图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明,以使本领域的技术人员可以更好地理解本发明并能予以实施,但所举实施例不作为对本发明的限定。
图1为本发明的流程图,包括如下步骤:
步骤一:捕获以太网络中的数据包。
步骤二:解析TCP协议SYN报文,针对目的IP地址进行数量统计。
步骤三:根据预设值的阈值与SYN报文统计数比对,如果统计数未超过阈值,则进入步骤四,如果超过阈值则进入步骤八。
步骤四:针对目的IP地址进行会话状态统计。
步骤五:对于会话状态变更为已成功建立的,从统计表中删除。
步骤六:对于处于SYN_WAIT状态的会话建立定时老化机制,防止统计表无限扩张。
步骤七:报文处理结束,执行步骤一。
步骤八:根据四、五、六步骤生成的会话统计表,对目的IP发送FIN报文,释放其SYN_WAIT状态所占用内存。
步骤九:执行SYN Flood清洗流程。
步骤十:清洗结束,执行步骤一。
以上所述实施例仅是为充分说明本发明而所举的较佳的实施例,本发明的保护范围不限于此。本技术领域的技术人员在本发明基础上所作的等同替代或变换,均在本发明的保护范围之内。本发明的保护范围以权利要求书为准。

Claims (3)

1.一种针对传统DDOS防火墙SYN FLOOD防护在工业网络中的改进方法,其特征在于,包括:
步骤一:捕获以太网络中的数据包;
步骤二:解析TCP协议SYN报文,针对目的IP地址进行数量统计;
步骤三:根据预设值的阈值与SYN报文统计数比对,如果统计数未超过阈值,则进入步骤四,如果超过阈值则进入步骤八;
步骤四:针对目的IP地址进行会话状态统计;
步骤五:对于会话状态变更为已成功建立的,从会话统计表中删除;
步骤六:对于处于SYN_WAIT状态的会话建立定时老化机制,防止会话统计表无限扩张;
步骤七:报文处理结束,执行步骤一;
步骤八:根据四、五、六步骤生成的会话统计表,对目的IP发送FIN报文,释放其SYN_WAIT状态所占用内存;
步骤九:执行SYN Flood清洗流程;
步骤十:清洗结束,执行步骤一。
2.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1所述方法的步骤。
3.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1所述方法的步骤。
CN201910369103.8A 2019-05-05 2019-05-05 针对传统ddos防火墙syn flood防护在工业网络中的改进方法 Active CN110071939B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910369103.8A CN110071939B (zh) 2019-05-05 2019-05-05 针对传统ddos防火墙syn flood防护在工业网络中的改进方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910369103.8A CN110071939B (zh) 2019-05-05 2019-05-05 针对传统ddos防火墙syn flood防护在工业网络中的改进方法

Publications (2)

Publication Number Publication Date
CN110071939A CN110071939A (zh) 2019-07-30
CN110071939B true CN110071939B (zh) 2021-06-29

Family

ID=67370164

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910369103.8A Active CN110071939B (zh) 2019-05-05 2019-05-05 针对传统ddos防火墙syn flood防护在工业网络中的改进方法

Country Status (1)

Country Link
CN (1) CN110071939B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110535861B (zh) * 2019-08-30 2022-01-25 杭州迪普信息技术有限公司 一种识别syn攻击行为中统计syn包数量的方法及装置
CN112583850B (zh) * 2020-12-27 2023-02-24 杭州迪普科技股份有限公司 网络攻击防护方法、装置及***
CN117201202B (zh) * 2023-11-07 2024-01-02 北京金睛云华科技有限公司 一种反射放大Flood攻击流量存储方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1697397A (zh) * 2004-05-13 2005-11-16 华为技术有限公司 一种实现网络设备防攻击的方法
CN1972286A (zh) * 2006-12-05 2007-05-30 苏州国华科技有限公司 一种针对DDoS攻击的防御方法
CN101163041A (zh) * 2007-08-17 2008-04-16 中兴通讯股份有限公司 一种防范syn洪泛攻击的方法及路由器设备
CN101296223A (zh) * 2007-04-25 2008-10-29 北京天融信网络安全技术有限公司 一种实现防火墙芯片参与syn代理的方法
CN104601578A (zh) * 2015-01-19 2015-05-06 福建星网锐捷网络有限公司 一种攻击报文识别方法、装置及核心设备
WO2016197498A1 (zh) * 2015-06-10 2016-12-15 中兴通讯股份有限公司 一种防止网络攻击的方法及设备、存储介质
CN107547507A (zh) * 2017-06-27 2018-01-05 新华三技术有限公司 一种防攻击方法、装置、路由器设备及机器可读存储介质
CN109327426A (zh) * 2018-01-11 2019-02-12 白令海 一种防火墙攻击防御方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1697397A (zh) * 2004-05-13 2005-11-16 华为技术有限公司 一种实现网络设备防攻击的方法
CN1972286A (zh) * 2006-12-05 2007-05-30 苏州国华科技有限公司 一种针对DDoS攻击的防御方法
CN101296223A (zh) * 2007-04-25 2008-10-29 北京天融信网络安全技术有限公司 一种实现防火墙芯片参与syn代理的方法
CN101163041A (zh) * 2007-08-17 2008-04-16 中兴通讯股份有限公司 一种防范syn洪泛攻击的方法及路由器设备
CN104601578A (zh) * 2015-01-19 2015-05-06 福建星网锐捷网络有限公司 一种攻击报文识别方法、装置及核心设备
WO2016197498A1 (zh) * 2015-06-10 2016-12-15 中兴通讯股份有限公司 一种防止网络攻击的方法及设备、存储介质
CN107547507A (zh) * 2017-06-27 2018-01-05 新华三技术有限公司 一种防攻击方法、装置、路由器设备及机器可读存储介质
CN109327426A (zh) * 2018-01-11 2019-02-12 白令海 一种防火墙攻击防御方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
网络行为管理***中IPv6会话管理;文旭;《电子测量技术》;20110430;第34卷(第4期);全文 *

Also Published As

Publication number Publication date
CN110071939A (zh) 2019-07-30

Similar Documents

Publication Publication Date Title
CN110071939B (zh) 针对传统ddos防火墙syn flood防护在工业网络中的改进方法
CN108551446B (zh) 防攻击的syn报文处理方法、装置、防火墙及存储介质
US7636305B1 (en) Method and apparatus for monitoring network traffic
CN105827646B (zh) Syn攻击防护的方法及装置
WO2015074324A1 (zh) 一种数据包快速转发方法及装置
US9641561B2 (en) Method and system for managing a SIP server
US7640338B2 (en) System and method for mitigation of malicious network node activity
CN107395632B (zh) SYN Flood防护方法、装置、清洗设备及介质
CN110266678B (zh) 安全攻击检测方法、装置、计算机设备及存储介质
US7818795B1 (en) Per-port protection against denial-of-service and distributed denial-of-service attacks
WO2004010259A2 (en) Denial of service defense by proxy
US8910267B2 (en) Method for managing connections in firewalls
KR101430032B1 (ko) 물리적 전송 매체의 인터럽션 경우에 있어서 tcp 데이터 전송 프로세스를 향상시키는 방법
US7404210B2 (en) Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs
CN106330742B (zh) 一种流量控制的方法及网络控制器
CN102510385A (zh) 防ip数据报分片攻击的方法
CN105610852A (zh) 处理ack洪泛攻击的方法和装置
CN102333080A (zh) 一种防范报文攻击的方法及装置
WO2016177131A1 (zh) 防止dos攻击方法、装置和***
CN106487790B (zh) 一种ack flood攻击的清洗方法及***
CN106961414B (zh) 一种基于蜜罐的数据处理方法、装置及***
CN111431871A (zh) Tcp半透明代理的处理方法和装置
GB2493130A (en) SIP server overload control
Masumi et al. Towards efficient labeling of network incident datasets using tcpreplay and snort
EP3599751A1 (en) Maintaining internet protocol security tunnels

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant