CN110071939B - 针对传统ddos防火墙syn flood防护在工业网络中的改进方法 - Google Patents
针对传统ddos防火墙syn flood防护在工业网络中的改进方法 Download PDFInfo
- Publication number
- CN110071939B CN110071939B CN201910369103.8A CN201910369103A CN110071939B CN 110071939 B CN110071939 B CN 110071939B CN 201910369103 A CN201910369103 A CN 201910369103A CN 110071939 B CN110071939 B CN 110071939B
- Authority
- CN
- China
- Prior art keywords
- syn
- threshold value
- statistics
- target
- steps
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种针对传统DDOS防火墙SYN FLOOD防护在工业网络中的改进方法。本发明针对传统DDOS防火墙SYN FLOOD防护在工业网络中的改进方法,包括:步骤一:捕获以太网络中的数据包;步骤二:解析TCP协议SYN报文,针对目的IP地址进行数量统计;步骤三:根据预设值的阈值与SYN报文统计数比对,如果统计数未超过阈值,则进入步骤四,如果超过阈值则进入步骤八。本发明的有益效果:本专利针对未超过阈值部分SYN FLood攻击流量进行主动释放处理,减少被攻击目标内存占用时间,使被攻击目标较快速的恢复到未遭受攻击时的正常工作状态,从而对工业设备达到安全防护的效果。
Description
技术领域
本发明涉及防火墙领域,具体涉及一种针对传统DDOS防火墙SYN FLOOD防护在工业网络中的改进方法。
背景技术
网络状态同步洪水攻击(以下简称:SYN Flood攻击)是利用TCP协议的不合理性而产生的一种网络攻击。TCP协议规定:TCP连接必须经过双方三次握手交换信息,经确认无误后,方进行数据的交换;也就是说,后续的数据交换是基于三次握手产生的的信任关系而进行的。其具体数据交换过程:根据TCP协议,当B主机收到A主机发送的带有SYN标志位的SYN数据包后,应该向A主机回复一个带有SYN和ACK标志位的SYN/ACK数据包,然后B主机开始进入等待A主机发送的带有ACK标志位的ACK数据包状态。根据TCP协议,该状态为SYN_WAIT状态,这个状态将持续一段时间,如果在这段时间内,B主机没有收到A主机发送的ACK数据包,B主机才认为A主机放弃此次连接。一般来说,操作***会在SYN_WAIT状态的时候就为此次连接分配一定量的内存。
传统DDOS防火墙的SYN Flood攻击检测方式是通过阈值进行判断,超过预先设置的阈值时,防火墙启动SYN Flood防护策略,对攻击进行清洗。
传统技术存在以下技术问题:
然而,工业网络环境中,SYN Flood攻击目标往往具有内存容量小,CPU处理速度不足等情况,传统防火墙未对超过阈值前的攻击流量进行处理,导致攻击流量到达被攻击目标,使被攻击目标内存一定时间的消耗或出现一定时间的拒绝服务的现象。
发明内容
本发明要解决的技术问题是提供一种针对传统DDOS防火墙SYN FLOOD防护在工业网络中的改进方法。
为了解决上述技术问题,本发明提供了一种针对传统DDOS防火墙SYN FLOOD防护在工业网络中的改进方法,包括:
步骤一:捕获以太网络中的数据包;
步骤二:解析TCP协议SYN报文,针对目的IP地址进行数量统计;
步骤三:根据预设值的阈值与SYN报文统计数比对,如果统计数未超过阈值,则进入步骤四,如果超过阈值则进入步骤八;
步骤四:针对目的IP地址进行会话状态统计;
步骤五:对于会话状态变更为已成功建立的,从统计表中删除;
步骤六:对于处于SYN_WAIT状态的会话建立定时老化机制,防止统计表无限扩张。
步骤七:报文处理结束,执行步骤一;
步骤八:根据四、五、六步骤生成的会话统计表,对目的IP发送FIN报文,释放其SYN_WAIT状态所占用内存;
步骤九:执行SYN Flood清洗流程;
步骤十:清洗结束,执行步骤一。
一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现任一项所述方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现任一项所述方法的步骤。
一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行任一项所述的方法。
本发明的有益效果:
本专利针对未超过阈值部分SYN FLood攻击流量进行主动释放处理,减少被攻击目标内存占用时间,使被攻击目标较快速的恢复到未遭受攻击时的正常工作状态,从而对工业设备达到安全防护的效果。
附图说明
图1是本发明针对传统DDOS防火墙SYN FLOOD防护在工业网络中的改进方法的流程图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明,以使本领域的技术人员可以更好地理解本发明并能予以实施,但所举实施例不作为对本发明的限定。
图1为本发明的流程图,包括如下步骤:
步骤一:捕获以太网络中的数据包。
步骤二:解析TCP协议SYN报文,针对目的IP地址进行数量统计。
步骤三:根据预设值的阈值与SYN报文统计数比对,如果统计数未超过阈值,则进入步骤四,如果超过阈值则进入步骤八。
步骤四:针对目的IP地址进行会话状态统计。
步骤五:对于会话状态变更为已成功建立的,从统计表中删除。
步骤六:对于处于SYN_WAIT状态的会话建立定时老化机制,防止统计表无限扩张。
步骤七:报文处理结束,执行步骤一。
步骤八:根据四、五、六步骤生成的会话统计表,对目的IP发送FIN报文,释放其SYN_WAIT状态所占用内存。
步骤九:执行SYN Flood清洗流程。
步骤十:清洗结束,执行步骤一。
以上所述实施例仅是为充分说明本发明而所举的较佳的实施例,本发明的保护范围不限于此。本技术领域的技术人员在本发明基础上所作的等同替代或变换,均在本发明的保护范围之内。本发明的保护范围以权利要求书为准。
Claims (3)
1.一种针对传统DDOS防火墙SYN FLOOD防护在工业网络中的改进方法,其特征在于,包括:
步骤一:捕获以太网络中的数据包;
步骤二:解析TCP协议SYN报文,针对目的IP地址进行数量统计;
步骤三:根据预设值的阈值与SYN报文统计数比对,如果统计数未超过阈值,则进入步骤四,如果超过阈值则进入步骤八;
步骤四:针对目的IP地址进行会话状态统计;
步骤五:对于会话状态变更为已成功建立的,从会话统计表中删除;
步骤六:对于处于SYN_WAIT状态的会话建立定时老化机制,防止会话统计表无限扩张;
步骤七:报文处理结束,执行步骤一;
步骤八:根据四、五、六步骤生成的会话统计表,对目的IP发送FIN报文,释放其SYN_WAIT状态所占用内存;
步骤九:执行SYN Flood清洗流程;
步骤十:清洗结束,执行步骤一。
2.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1所述方法的步骤。
3.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910369103.8A CN110071939B (zh) | 2019-05-05 | 2019-05-05 | 针对传统ddos防火墙syn flood防护在工业网络中的改进方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910369103.8A CN110071939B (zh) | 2019-05-05 | 2019-05-05 | 针对传统ddos防火墙syn flood防护在工业网络中的改进方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110071939A CN110071939A (zh) | 2019-07-30 |
CN110071939B true CN110071939B (zh) | 2021-06-29 |
Family
ID=67370164
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910369103.8A Active CN110071939B (zh) | 2019-05-05 | 2019-05-05 | 针对传统ddos防火墙syn flood防护在工业网络中的改进方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110071939B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110535861B (zh) * | 2019-08-30 | 2022-01-25 | 杭州迪普信息技术有限公司 | 一种识别syn攻击行为中统计syn包数量的方法及装置 |
CN112583850B (zh) * | 2020-12-27 | 2023-02-24 | 杭州迪普科技股份有限公司 | 网络攻击防护方法、装置及*** |
CN117201202B (zh) * | 2023-11-07 | 2024-01-02 | 北京金睛云华科技有限公司 | 一种反射放大Flood攻击流量存储方法 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1697397A (zh) * | 2004-05-13 | 2005-11-16 | 华为技术有限公司 | 一种实现网络设备防攻击的方法 |
CN1972286A (zh) * | 2006-12-05 | 2007-05-30 | 苏州国华科技有限公司 | 一种针对DDoS攻击的防御方法 |
CN101163041A (zh) * | 2007-08-17 | 2008-04-16 | 中兴通讯股份有限公司 | 一种防范syn洪泛攻击的方法及路由器设备 |
CN101296223A (zh) * | 2007-04-25 | 2008-10-29 | 北京天融信网络安全技术有限公司 | 一种实现防火墙芯片参与syn代理的方法 |
CN104601578A (zh) * | 2015-01-19 | 2015-05-06 | 福建星网锐捷网络有限公司 | 一种攻击报文识别方法、装置及核心设备 |
WO2016197498A1 (zh) * | 2015-06-10 | 2016-12-15 | 中兴通讯股份有限公司 | 一种防止网络攻击的方法及设备、存储介质 |
CN107547507A (zh) * | 2017-06-27 | 2018-01-05 | 新华三技术有限公司 | 一种防攻击方法、装置、路由器设备及机器可读存储介质 |
CN109327426A (zh) * | 2018-01-11 | 2019-02-12 | 白令海 | 一种防火墙攻击防御方法 |
-
2019
- 2019-05-05 CN CN201910369103.8A patent/CN110071939B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1697397A (zh) * | 2004-05-13 | 2005-11-16 | 华为技术有限公司 | 一种实现网络设备防攻击的方法 |
CN1972286A (zh) * | 2006-12-05 | 2007-05-30 | 苏州国华科技有限公司 | 一种针对DDoS攻击的防御方法 |
CN101296223A (zh) * | 2007-04-25 | 2008-10-29 | 北京天融信网络安全技术有限公司 | 一种实现防火墙芯片参与syn代理的方法 |
CN101163041A (zh) * | 2007-08-17 | 2008-04-16 | 中兴通讯股份有限公司 | 一种防范syn洪泛攻击的方法及路由器设备 |
CN104601578A (zh) * | 2015-01-19 | 2015-05-06 | 福建星网锐捷网络有限公司 | 一种攻击报文识别方法、装置及核心设备 |
WO2016197498A1 (zh) * | 2015-06-10 | 2016-12-15 | 中兴通讯股份有限公司 | 一种防止网络攻击的方法及设备、存储介质 |
CN107547507A (zh) * | 2017-06-27 | 2018-01-05 | 新华三技术有限公司 | 一种防攻击方法、装置、路由器设备及机器可读存储介质 |
CN109327426A (zh) * | 2018-01-11 | 2019-02-12 | 白令海 | 一种防火墙攻击防御方法 |
Non-Patent Citations (1)
Title |
---|
网络行为管理***中IPv6会话管理;文旭;《电子测量技术》;20110430;第34卷(第4期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN110071939A (zh) | 2019-07-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110071939B (zh) | 针对传统ddos防火墙syn flood防护在工业网络中的改进方法 | |
CN108551446B (zh) | 防攻击的syn报文处理方法、装置、防火墙及存储介质 | |
US7636305B1 (en) | Method and apparatus for monitoring network traffic | |
CN105827646B (zh) | Syn攻击防护的方法及装置 | |
WO2015074324A1 (zh) | 一种数据包快速转发方法及装置 | |
US9641561B2 (en) | Method and system for managing a SIP server | |
US7640338B2 (en) | System and method for mitigation of malicious network node activity | |
CN107395632B (zh) | SYN Flood防护方法、装置、清洗设备及介质 | |
CN110266678B (zh) | 安全攻击检测方法、装置、计算机设备及存储介质 | |
US7818795B1 (en) | Per-port protection against denial-of-service and distributed denial-of-service attacks | |
WO2004010259A2 (en) | Denial of service defense by proxy | |
US8910267B2 (en) | Method for managing connections in firewalls | |
KR101430032B1 (ko) | 물리적 전송 매체의 인터럽션 경우에 있어서 tcp 데이터 전송 프로세스를 향상시키는 방법 | |
US7404210B2 (en) | Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs | |
CN106330742B (zh) | 一种流量控制的方法及网络控制器 | |
CN102510385A (zh) | 防ip数据报分片攻击的方法 | |
CN105610852A (zh) | 处理ack洪泛攻击的方法和装置 | |
CN102333080A (zh) | 一种防范报文攻击的方法及装置 | |
WO2016177131A1 (zh) | 防止dos攻击方法、装置和*** | |
CN106487790B (zh) | 一种ack flood攻击的清洗方法及*** | |
CN106961414B (zh) | 一种基于蜜罐的数据处理方法、装置及*** | |
CN111431871A (zh) | Tcp半透明代理的处理方法和装置 | |
GB2493130A (en) | SIP server overload control | |
Masumi et al. | Towards efficient labeling of network incident datasets using tcpreplay and snort | |
EP3599751A1 (en) | Maintaining internet protocol security tunnels |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |