CN110213204B - 攻击防护方法及装置、设备及可读存储介质 - Google Patents
攻击防护方法及装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN110213204B CN110213204B CN201810204686.4A CN201810204686A CN110213204B CN 110213204 B CN110213204 B CN 110213204B CN 201810204686 A CN201810204686 A CN 201810204686A CN 110213204 B CN110213204 B CN 110213204B
- Authority
- CN
- China
- Prior art keywords
- message
- icmp
- packet
- information
- retransmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种攻击防护方法及装置、设备及可读存储介质,方法包括:当监测到目的IP遭受到ICMP FLOOD攻击时,拦截发往该目的IP的ICMP报文,确定该ICMP报文是否为重传报文,当是重传报文时,将该ICMP报文转发至服务器,当不是重传报文时,丢弃该ICMP报文。考虑到攻击目的IP的发送端是无规律发送ICMP报文的,且不存在重传报文,因此,通过验证发往目的IP的ICMP报文是否是重传报文的方式,可以有效确定发送端是攻击端还是正常端,使得对于攻击端发送的非重传报文能够丢弃,对于正常端发送的ICMP报文能够转发,在防护ICMP FLOOD攻击的同时,避免对正常报文的误杀,避免引起业务异常的误报。
Description
技术领域
本发明涉及网络通信安全技术领域,尤其涉及一种攻击防护方法及装置、设备及可读存储介质。
背景技术
因特网控制报文协议泛洪(Internet Control Message Protocol FLOOD,ICMPFLOOD)攻击为常见的分布式拒绝服务(Distributed Denial of Service,DDOS)攻击的一种,ICMP FLOOD为典型的阻塞带宽性的DDOS攻击手法,通过僵尸网络对被攻击服务器发起大量ICMP垃圾报文,使得被攻击服务器带宽阻塞,正常请求无法响应,达到拒绝服务的目的。
现有技术中是采用限制传输的ICMP报文的数量的方式(限速方式)防护ICMPFLOOD攻击,然而这种方式存在以下缺点:(1)限制了正常ICMP报文的传输,存在误杀的情况,且误杀ICMP报文会导致拨测误判,从而引起业务异常的误报。(2)现网中有很多拨测服务器,专门利用ICMP报文做批量探测,如果该种服务器遭受到ICMP FLOOD攻击而使用限速方式,会严重影响探测服务器的业务,导致探测服务不可用。(3)在攻击端过于分散的情况下,限速方式透传的ICMP报文的数量会比较大,导致业务不可用。
发明内容
本发明的主要目的在于提供一种攻击防护方法及装置、设备及可读存储介质,旨在解决现有技术中攻击防护方法存在误杀,且会引起业务异常的误报;影响探测服务器的业务,导致探测服务不可用;在攻击端过于分散的情况下导致业务不可用的技术问题。
为实现上述目的,本发明第一方面提供一种攻击防护方法,包括:
当监测到目的网络之间互联的协议IP遭受到ICMP FLOOD攻击时,拦截发往所述目的IP的ICMP报文;
当所述ICMP报文是重传报文时,将所述ICMP报文转发至服务器;
当所述ICMP报文不是重传报文时,丢弃所述ICMP报文。
为实现上述目的,本发明第二方面提供一种攻击防护装置,包括:
拦截模块,用于当监测到目的网络之间互联的协议IP遭受到ICMP FLOOD攻击时,拦截发往所述目的IP的ICMP报文;
第一转发模块,用于当所述ICMP报文是重传报文时,将所述ICMP报文转发至服务器;
丢弃模块,用于当所述ICMP报文不是重传报文时,丢弃所述ICMP报文。
为实现上述目的,本发明第三方面提供一种设备,包括:存储器、处理器及存储在所述存储器上且在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现如本发明实施例第一方面提供的攻击防护方法中的各个步骤。
为实现上述目的,本发明第四方面提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,实现如本发明第一方面提供的攻击防护方法中的各个步骤。
本发明提供一种攻击防护方法,当监测到目的IP遭受到ICMP FLOOD攻击时,拦截发往该目的IP的ICMP报文,当该ICMP报文是重传报文时,将该ICMP报文转发至服务器,当该ICMP报文不是重传报文时,丢弃该ICMP报文。相对于现有技术,考虑到攻击目的IP的发送端是无规律发送ICMP报文的,且不存在重传报文,因此,通过验证发往目的IP的ICMP报文是否是重传报文的方式,可以有效确定发送端是攻击端还是正常端,使得对于攻击端发送的非重传报文能够丢弃,对于正常端发送的ICMP报文能够转发,在防护ICMP FLOOD攻击的同时,避免对正常报文的误杀,避免引起业务异常的误报;对于探测服务器,达到探测服务器的ICMP报文都是正常端发送的,有效避免对探测服务的影响;且在攻击端过于分散的情况下,能够有效的识别攻击端发送的ICMP报文,避免对业务的影响。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1a为本发明实施例中防护***的框架示意图;
图1b为本发明实施例中攻击防护方法的一流程示意图;
图2为本发明实施例中攻击防护方法的另一流程示意图;
图3为本发明实施例中攻击端无法绕过重传验证的示意图;
图4为本发明实施例中正常端的重传验证的示意图;
图5为本发明实施例中攻击防护装置的一结构示意图;
图6为本发明实施例中攻击防护装置的另一结构示意图
图7为一种设备的结构框图。
具体实施方式
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而非全部实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
由于现有技术中攻击防护方法存在误杀,会引起业务异常的误报的技术问题。
为了解决上述问题,本发明提出一种攻击防护方法。相对于现有技术,考虑到攻击目的IP的发送端是无规律发送ICMP报文的,且不存在重传报文,因此,通过验证发往目的IP的ICMP报文是否是重传报文的方式,可以有效确定发送端是攻击端还是正常端,使得对于攻击端发送的非重传报文能够丢弃,对于正常端发送的ICMP报文能够转发,在防护ICMPFLOOD攻击的同时,避免对正常报文的误杀,避免引起业务异常的误报;对于探测服务器,达到探测服务器的ICMP报文都是正常端发送的,有效避免对探测服务的影响;且在攻击端过于分散的情况下,能够有效的识别攻击端发送的ICMP报文,避免对业务的影响。
请参阅图1a,为本发明实施例中的防护***的框架示意图,该框架示意图包含防护端、服务器端及客户端,其中,客户端中包含攻击端及正常端。客户端可以向防护端发送ICMP报文,防护端验证该ICMP报文是否为重传报文,若确定该ICMP报文是重传报文,则将该ICMP报文转发至服务器端,若确定该ICMO报文不是重传报文,则丢弃该ICMP报文,使得能够有效的对ICMP报文进行过滤处理,在确保防护ICMP FLOOD攻击的前提下,避免对正常端发送的ICMP报文的误杀。
请参阅图1b,为本发明实施例中攻击防护方法的流程示意图,该方法包括:
步骤101、当监测到目的IP遭受到ICMP FLOOD攻击时,拦截发往所述目的IP的ICMP报文;执行步骤102或者步骤103;
步骤102、当所述ICMP报文是重传报文时,将所述ICMP报文转发至服务器;
步骤103、当所述ICMP报文不是重传报文时,丢弃所述ICMP报文。
在本发明实施例中,攻击防护方法是由攻击防护装置(以下简称为:防护装置)实现的,该防护装置为程序模块,存储在设备的可读存储介质中,该设备具体可以为防护端(防护服务器),防护端内的处理器可以调用可读存储介质中的防护装置,以实现上述的防护方法。
在本发明实施例中,监测设备对客户端发送的报文进行监测,确定在预置时间段内发往每个目的IP的ICMP报文的个数。其中,ICMP报文是不承载具体业务的。
当监测到在预置时间段内发往某个目的IP的ICMP报文的个数大于或等于预设安全阈值,则表明该目的IP遭受到ICMP FLOOD攻击。其中,预置时间段可以是5秒,10秒等等。
其中,在监测到目的IP遭受到ICMP FLOOD攻击后,防护装置拦截发往该目的IP的ICMP报文,且将获取该ICMP报文的报文信息,该报文信息包含源IP、目的IP及报文类型。该报文类型即为ICMP类型。
其中,重传验证是指验证发往目的IP的ICMP报文是否是重传报文,防护装置将利用该ICMP报文的报文信息对该ICMP报文进行重传验证。
其中,基于重传验证确定ICMP报文是否是攻击报文的原理是:对目的IP进行ICMPFLOOD攻击的攻击端,在发送ICMP报文时,是无规律的发送ICMP报文的,包括源IP不断变化等等无规律的发送方式将导致其发送的ICMP报文不存在重传报文,也就无法通过重传验证。而正常向目的IP发送ICMP报文的客户端,其发送ICMP报文是有规律的,例如正常端使用的源IP是相对固定的,且重传报文是指定时间内发送的,使得正常端发送的ICMP报文是具有重传报文的,也就能够通过重传验证。
在本发明实施例中,当ICMP报文通过重传验证时,表明该ICMP报文是重传报文,防护装置将该ICMP报文转发至服务器,当该ICMP报文未通过重传验证时,表明该ICMP报文不是重传报文,防护装置将丢弃该ICMP报文。
在本发明实施例中,当监测到目的IP遭受到ICMP FLOOD攻击时,拦截发往该目的IP的ICMP报文,当该ICMP报文是重传报文时,将该ICMP报文转发至服务器,当该ICMP报文不是重传报文时,丢弃该ICMP报文。相对于现有技术,考虑到攻击目的IP的发送端是无规律发送ICMP报文的,且不存在重传报文,因此,通过验证发往目的IP的ICMP报文是否是重传报文的方式,可以有效确定发送端是攻击端还是正常端,使得对于攻击端发送的非重传报文能够丢弃,对于正常端发送的ICMP报文能够转发,在防护ICMP FLOOD攻击的同时,避免对正常报文的误杀,避免引起业务异常的误报;对于探测服务器,达到探测服务器的ICMP报文都是正常端发送的,有效避免对探测服务的影响;且在攻击端过于分散的情况下,能够有效的识别攻击端发送的ICMP报文,避免对业务的影响。
请参阅图2,为本发明实施例中攻击防护方法的流程示意图,包括:
步骤201、当监测到目的IP遭受到ICMP FLOOD攻击时,拦截发往所述目的IP的ICMP报文,获取所述ICMP报文的ICMP类型,ICMP包长及分片字段值;
步骤202、当所述ICMP类型不是预设的合法类型时,或者当所述ICMP包长大于或等于预设包长时,或者,当所述分片字段值标识所述ICMP报文为分片报文时,确定所述ICMP报文为攻击报文,丢弃所述ICMP报文;
步骤203、当所述ICMP类型是预设的合法类型,且所述ICMP包长小于预设包长,且所述分片字段值标识所述ICMP报文为非分片报文时,所述获取所述ICMP报文的发送端信息;继续执行步骤步骤204;
在本发明实施例中,在监测到目的IP遭受到ICMP FLOOD攻击时,拦截发往该目的IP的ICMP报文,并对该ICMP报文进行合法性验证。
具体的,防护装置将获取ICMP报文的ICMP类型、ICMP包长及分片字段值。
其中,ICMP的类型可参阅下表:
其中,在上述类型表中,合法类型为类型0和类型8,其他类型均为非法类型。
其中,ICMP类型存储在ICMP报文的类型字段中,防护装置可以获取该类型字段的值,且该值表示类型0或者类型8时,表示该ICMP类型为合法类型,ICMP报文为合法报文,否则,为非法类型,且ICMP报文为非法报文,即攻击报文,因此,通过ICMP类型可以有效识别出ICMP报文是否为反射伴生的ICMP攻击报文。
其中,ICMP报文的包头中设置有包长字段,防护装置可以读取该包长字段的值,且该值所表示的ICMP包长超过预设包长时,表示该ICMP报文为攻击报文,该值所表示的ICMP包长小于预设包长时,表示该ICMP报文为合法报文,因此,通过ICMP包长可以有效识别出ICMP报文是否为ICMP大包攻击报文。
其中,ICMP报文的包头中还设置有分片字段,防护装置可以读取该分片字段中的分片字段值,当该分片字段值表示该ICMP报文是一个分片报文时,确定该ICMP报文是攻击报文,当该分片字段值表示该ICMP报文不是一个分片报文时,确定该ICMP报文为合法报文,因此,通过ICMP报文的分配字段值可以有效识别出ICMP报文是否为分片报文。
在本发明实施例中,对于获取的ICMP报文的ICMP类型、ICMP包长及分片字段值,只要其中任意一个参数表示ICMP报文是攻击报文,都可以直接确定该ICMP报文是攻击报文,即,当ICMP类型不是预设的合法类型时,或者,当ICMP包长大于或等于预设包长时,或者,当分片字段值标识ICMP报文为分片报文时,确定该ICMP报文为攻击报文,防护装置将丢弃该ICMP报文。
其中,当ICMP类型为预设的合法类型,且ICMP包长小于预设包长,且分配字段值标识ICMP报文为非分片报文时,为了进一步的确定该ICMP报文是否是正常端发送的ICMP报文,因此,将进一步的确定该ICMP报文的发送端信息是否处于信任列表中。
步骤204、查找信任列表,所述信任列表包含已验证为重传报文的ICMP报文的发送端信息;
步骤205、当所述信任列表中未查找到所述发送端信息时,获取所述ICMP报文的报文信息;
防护端设置有信任列表,该信任列表中包含已通过重传验证的发送端信息。
在本发明实施例中,ICMP报文在通过合法性验证之后,将获取ICMP报文的发送端信息,其中,该发送端信息中至少包含发送该ICMP报文的源IP,此外,该发送端信息还可以包含发送端发送的ICMP报文的生存时间值(Time To Live,TTL)。
可以理解的是,能够通过重传验证的ICMP报文的报文信息构成信任列表,使得发送端信息位于信任列表中的发送端,发送的ICMP报文能够转发到服务器,而不在该信任列表中的发送端发送的ICMP报文需要进行重传验证。
防护装置将利用该发送端信息及信任列表确定发送该ICMP报文的发送端是否可信任,当信任列表中包含该发送端信息时,表明该发送端可信任,且该ICMP报文将转发至服务器。当该信任列表中未包含上述发送端信息时,则获取该ICMP报文的报文信息进行重传验证,确定该ICMP报文是否为重传报文。具体的重传验证方式可以参阅步骤206及步骤207。
步骤206、查找首包报文数据库,确定是否存在与所述报文信息相同的首包报文信息,所述首包报文数据库包含发送端发送的首个ICMP报文的首包报文信息及所述首个ICMP报文的接收时间的对应关系;
步骤207、根据查找结果确定所述ICMP报文是否为重传报文;
步骤208、当所述ICMP报文为重传报文时,转发所述ICMP报文至服务器;
步骤209、当所述ICMP报文不是重传报文时,丢弃所述ICMP报文。
在本发明实施例中,当信任列表中未包含发送端信息时,表明该ICMP报文并非是信任的发送端发送的,可能是攻击报文,也可能是未经过重传验证的报文。此时,防护装置将对该ICMP报文进行重传验证。
其中,重传验证需要使用到首包报文数据库,该首包报文数据库中包含发送端发送的首个ICMP报文的首包报文信息及该首个ICMP报文的接收时间的对应关系。可以理解的是,若一个发送端向目的IP发送了A、B、C、D、E五个ICMP报文,则报文A则为首包报文,且若报文B与报文C之间的时间间隔大于预设时长,则报文C也可以认为是首包报文。防护装置在确定某一个ICMP报文为首包报文时,则将该ICMP报文的首包报文信息及接收到ICMP报文的接收时间的对应关系记录在首包报文数据库中。
在本发明实施例中,防护装置将查找首包报文数据库,确定是否存在与拦截的ICMP报文的报文信息相同的首包报文信息,且根据查找结果确定ICMP报文是否为重传报文。
具体的,当查找到与报文信息相同的首包报文信息,且距离该相同的首包报文信息对应的接收时间的时长小于或等于预置时长时,则确定所述ICMP报文为重传报文;例如,报文信息的源IP为IP1,目的IP为IP2,且ICMP类型为类型0,若在首包报文数据库中查找与上述相同的首包报文信息,则确定该首包报文信息的接收时间距离当前时间的时长,若该时长为3秒,小于预置时长7秒,则确定ICMP报文为重传报文。
或者,当未查找到与报文信息相同的首包报文信息时,或者,当查找到与报文信息相同的首包报文信息,且距离该相同的首包报文信息对应的接收时间的时长大于预置时长时,则确定该ICMP报文不是重传报文。
可以理解的是,为了便于首包报文数据库的查找,可以基于接收时间实时对首包报文数据库进行更新,例如,若确定是否为重传报文的时长为10秒,则首包报文数据库中仅仅保留最近10秒内的首包报文信息,接收时间距离当前时间的时长超过10秒的首包报文数据都将删除掉。在这种情况下,只要在首包报文数据库中查找到相同的首包报文信息,则可确定是重传报文,未在首包报文数据库中查找到相同的首包报文信息,则可确定不是重传报文。
进一步的,在本发明实施例中,在确定ICMP报文是重传报文时,将该ICMP报文的发送端信息加入信任列表中。
进一步的,在本发明实施例中,在确定ICMP报文不是重传报文时,该ICMP报文可能是攻击报文或者是首包报文,且无论ICMP是攻击报文还是首包报文,防护装置将丢弃该ICMP报文,且将该ICMP报文假设为首包报文,将该ICMP报文的报文信息及接收时间的对应关系,添加至首包报文数据库中,以使得在规定时间段内,若拦截到具有相同报文信息的ICMP报文,则可以确定拦截到的ICMP报文为重传报文。例如,若确定报文A不是重传报文,则将该报文A的报文信息B及接收时间C的对应关系添加至首包报文数据库中,若在规定的10秒内(距离接收时间C的时长为10秒),拦截到报文D,且报文D具有报文信息B,与报文A相同,则确定该报文D为重传报文。
为了更好的理解本发明实施例中的重传验证,请参阅图3,为本发明实施例中攻击端无法绕过重传验证的示意图,请参阅图4,为本发明实施例中正常端的重传验证的示意图。从图3中可以看出,攻击端无规律发送报文a1、a2、a3及a4(均为ICMP报文),无法通过重传验证,且无法通过重传验证的报文都将被丢弃,不会被转发到服务器端。从图4中,防护端拦截了客户端发送的报文b1,报文b1未通过重传验证,防护端丢弃了报文b1,并将报文b1的报文信息添加至首包报文数据库中,且在指定时间内,防护端拦截了客户端发送的报文b2,且确定该报文b2与报文b1的报文信息相同,此时报文b2通过了重传验证,为重传报文,防护端将报文b2的源IP及TTL加入到信任(即信任列表),且防护端还将在继续转发源IP及TTL与b2相同的报文b3及报文b4至服务器端,服务器端将反馈相应报文的响应。
需要说明的是,对ICMP报文进行合法性验证、信任列表的查找及重传验证在实际执行时,并不限定于图2所示实施例中的流程,还可以按照如下方式:
在监测到目的IP遭受到ICMP FLOOD攻击时,拦截发往目的IP的ICMP报文,并获取ICMP报文的发送端信息,利用该发送端信息查找信任列表,当在信任列表中查找到发送端信息时,确定该ICMP报文是信任的发送端发送的,转发至服务器,当在信任列表中未查找到该发送端信息时,对该ICMP报文进行合法性验证,若通过合法性验证,则获取报文信息,并利用报文信息进行重传验证,因此,在上述过程中次序为:信任列表查找、合法性验证及重传验证。
或者,在监测到目的IP遭受到ICMP FLOOD攻击时,拦截发往目的IP的ICMP报文,并对该ICMP报文进行合法性验证,当该ICMP报文通过合法性验证之后,对该ICMP报文进行重传验证,当该ICMP报文未通过重传验证,则进行信任列表的查找,因此,在上述过程中次序为合法性验证、重传校验及信任列表查找。
需要说明的是,合法性验证可以过滤掉的ICMP报文,重传验证都可以过滤到,在本发明实施例中,通常合法性验证是在重传验证之前执行的,且能够有效的减少首包报文数据库中的数据量,降低资源的占用。或者,合法性验证和信任列表查找只执行其中的任意一个。
需要说明的是,在本发明实施例中,还可以进一步对信任列表中的源IP进行监测,以进一步确定该信任列表中是否存在恶意源IP。具体的,防护装置还可以执行以下步骤:
步骤A、对所述信任列表中的源IP发送的ICMP报文的数量进行监测;
步骤B、当监测到在预置的时间段内,源IP发送的ICMP报文的数量大于或等于预设阈值时,将所述源IP,或者,源IP及生存时间值从所述信任列表中删除。
在本发明实施例中,信任列表中包含已通过重传验证的源IP及TTL,防护装置将对信任列表中的源IP发送的ICMP报文的数量进行监测,当监测到在预置的时间段内,源IP发送的ICMP报文的数量大于或等于预设阈值时,则表明该源IP为恶意源IP,则将该源IP,或者源IP及生存时间值从信任列表中删除。
进一步的,防护装置还可以设置不信任列表,该不信任列表包含对信任列表进行监测确定为恶意源的源IP,因此,将源IP;或者,源IP及生存时间值从信任列表中删除之后,可以将该源IP;或者,源IP及生存时间值添加至不信任列表中。防护装置将拦截并放弃该不信任列表中的所有源IP发送的ICMP报文。
在本发明实施例中,当监测到目的IP遭受到ICMP FLOOD攻击时,拦截发往目的IP的ICMP报文,并利用该ICMP报文的ICMP类型,ICMP包长及分片字段值进行合法性验证,当未通过合法性验证时,表明该ICMP报文为攻击报文,将丢弃该ICMP报文,当通过合法性验证时,将确定该ICMP报文的发送端信息是否在信任列表中,若在信任列表中,则转发该ICMP报文至服务器,若不在信任列表中,则对该ICMP报文进行重传验证,当确定该ICMP报文是重传报文时,转发该ICMP报文至服务器,当确定该ICMP报文不是重传报文时,丢弃该ICMP报文。通过上述方式,能够有效的确定ICMP报文是否是攻击报文,相对于ICMP报文限速的方式,能够有效的避免对ICMP报文的误杀,避免引起业务异常的误报;对于探测服务器,达到探测服务器的ICMP报文都是正常端发送的,有效避免对探测服务的影响;且在攻击端过于分散的情况下,能够有效的识别攻击端发送的ICMP报文,避免对业务的影响。
通过本发明实施例中的防护方法能够在对正常ICMP报文没有误杀的情况下,有效防护各种场景下的ICMP FLOOD攻击,避免攻击报文的透传,有效提高对DDOS攻击的防护的有效性,而且对于拨测服务器等非常依赖ICMP报文的业务有重要的保障作用;此外,还可以避免导致性能较差的业务受到影响。
请参阅图5,为本发明实施例中攻击防护装置,装置包括:
拦截模块501,用于当监测到目的网络之间互联的协议IP遭受到ICMP FLOOD攻击时,拦截发往所述目的IP的ICMP报文;
第一转发模块502,用于当所述ICMP报文是重传报文时,将所述ICMP报文转发至服务器;
丢弃模块503,用于当所述ICMP报文不是重传报文时,丢弃所述ICMP报文。
在本发明实施例中,图5所示的装置的内容与图1b所示实施例中各个步骤的描述的内容相似,具体可以参阅图1b,此处不做赘述。
在本发明实施例中,当监测到目的IP遭受到ICMP FLOOD攻击时,拦截发往该目的IP的ICMP报文,当该ICMP报文是重传报文时,将该ICMP报文转发至服务器,当该ICMP报文不是重传报文时,丢弃该ICMP报文。相对于现有技术,考虑到攻击目的IP的发送端是无规律发送ICMP报文的,且不存在重传报文,因此,通过验证发往目的IP的ICMP报文是否是重传报文的方式,可以有效确定发送端是攻击端还是正常端,使得对于攻击端发送的非重传报文能够丢弃,对于正常端发送的ICMP报文能够转发,在防护ICMP FLOOD攻击的同时,避免对正常报文的误杀,避免引起业务异常的误报;对于探测服务器,达到探测服务器的ICMP报文都是正常端发送的,有效避免对探测服务的影响;且在攻击端过于分散的情况下,能够有效的识别攻击端发送的ICMP报文,避免对业务的影响。
请参阅图6,为本发明实施例中攻击防护装置,包括如图5所示实施例中的拦截模块501、第一转发模块502及丢弃模块503,且与图5所示实施例中描述的内容相似,此处不做赘述。
在本发明实施例中,装置还包括:
第一获取模块601、用于在拦截模块501之后,获取所述ICMP报文的报文信息;
第一查找模块602,用于查找首包报文数据库,确定是否存在与所述报文信息相同的首包报文信息,所述首包报文数据库包含发送端发送的首个ICMP报文的首包报文信息及所述首个ICMP报文的接收时间的对应关系;
确定模块603,用于根据查找结果确定所述ICMP报文是否为重传报文;
其中,确定模块603具体用于:
当查找到与所述报文信息相同的首包报文信息,且距离所述相同的首包报文信息对应的接收时间的时长小于或等于预置时长时,则确定所述ICMP报文为重传报文;
当未查找到与所述报文信息相同的首包报文信息时,或者,当查找到与所述报文信息相同的首包报文信息,且距离所述相同的首包报文信息对应的接收时间的时长大于所述预置时长时,则确定所述ICMP报文不是重传报文。
在本发明实施例中,装置还包括:
第二获取模块604,用于在第一获取模块601之前,获取所述ICMP报文的发送端信息;可以理解的是,该第二获取模块604还可以在ICMP报文不是重传报文时执行。
第二查找模块605,用于查找信任列表,所述信任列表包含已验证为重传报文的ICMP报文的发送端信息;
第一执行模块606,用于当所述信任列表中未查找到所述发送端信息时,执行所述第一获取模块601,可以理解的是,若第二获取模块604在ICMP报文不是重传报文执行时,则第一执行模块将触发执行所述丢弃模块503;
第二转发模块607,用于当所述信任列表中查找到所述发送端信息时,将所述ICMP报文转发至服务器。
在本发明实施例中,发送端信息包括源IP,或者包括源IP及生存时间值;
装置还包括:
监测模块,用于对所述信任列表中的源IP发送的ICMP报文的数量进行监测;
删除模块,用于当监测到在预置的时间段内,源IP发送的ICMP报文的数量大于或等于预设阈值时,将所述源IP,或者,源IP及生存时间值从所述信任列表中删除。
在本发明实施例中装置还包括:
第三获取模块608,用于在所述第一获取模块601之前,获取所述ICMP报文的ICMP类型,ICMP包长及分片字段值;
报文丢弃模块609,用于当所述ICMP类型不是预设的合法类型时,或者当所述ICMP包长大于或等于预设包长时,或者,当所述分片字段值标识所述ICMP报文为分片报文时,确定所述ICMP报文为攻击报文,丢弃所述ICMP报文;
执行模块610,用于当所述ICMP类型是预设的合法类型,且所述ICMP包长小于预设包长,且所述分片字段值标识所述ICMP报文为非分片报文时,触发所述第一获取模块601。
在本发明实施例中,图6所示的装置的内容与图2所示实施例中各个步骤的描述的内容相似,具体可以参阅图2,此处不做赘述。
在本发明实施例中,当监测到目的IP遭受到ICMP FLOOD攻击时,拦截发往目的IP的ICMP报文,并利用该ICMP报文的ICMP类型,ICMP包长及分片字段值进行合法性验证,当未通过合法性验证时,表明该ICMP报文为攻击报文,将丢弃该ICMP报文,当通过合法性验证时,将确定该ICMP报文的发送端信息是否在信任列表中,若在信任列表中,则转发该ICMP报文至服务器,若不在信任列表中,则对该ICMP报文进行重传验证,当确定该ICMP报文是重传报文时,转发该ICMP报文至服务器,当确定该ICMP报文不是重传报文时,丢弃该ICMP报文。通过上述方式,能够有效的确定ICMP报文是否是攻击报文,相对于ICMP报文限速的方式,能够有效的避免对ICMP报文的误杀,避免引起业务异常的误报;对于探测服务器,达到探测服务器的ICMP报文都是正常端发送的,有效避免对探测服务的影响;且在攻击端过于分散的情况下,能够有效的识别攻击端发送的ICMP报文,避免对业务的影响。
通过本发明实施例中的防护方法能够在对正常ICMP报文没有误杀的情况下,有效防护各种场景下的ICMP FLOOD攻击,避免攻击报文的透传,有效提高对DDOS攻击的防护的有效性,而且对于拨测服务器等非常依赖ICMP报文的业务有重要的保障作用;此外,还可以避免导致性能较差的业务受到影响。
本发明实施例还提供一种设备,包括存储器、处理器及存储在所述存储器上且在处理器上运行的计算机程序,该处理器执行上述计算机程序时,实现如图1b或图2所示实施例中的攻击防护方法中的各个步骤。
本发明实施例还提供一种可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时,实现如图1b或图2所示实施例中的攻击防护方法中的各个步骤。
可以理解的是,在本发明实施例中,上述的攻击防护装置是一种设备,该设备具体可以是防护端,为了更好的理解本发明实施例中的技术方案,请参阅图7,为本发明实施例中设备70的结构示意图。该设备70包括处理器701、存储器702和收发器703,存储器702可以包括只读存储器和随机存取存储器,并向处理器701提供操作指令和数据。存储器702的一部分还可以包括非易失性随机存取存储器(NVRAM)。
在一些实施方式中,存储器702存储了如下的元素:可执行模块或者数据结构,或者他们的子集,或者他们的扩展集。
在本发明实施例中,通过调用存储器702存储的操作指令(该操作指令可存储在操作***中),执行以下过程:当监测到目的IP遭受到ICMP FLOOD攻击时,拦截发往该目的IP的ICMP报文,当该ICMP报文是重传报文时,将该ICMP报文转发至服务器,当该ICMP报文不是重传报文时,丢弃该ICMP报文。
与现有技术中相比,本发明实施例提供的设备,考虑到攻击目的IP的发送端是无规律发送ICMP报文的,且不存在重传报文,因此,通过验证发往目的IP的ICMP报文是否是重传报文的方式,可以有效确定发送端是攻击端还是正常端,使得对于攻击端发送的非重传报文能够丢弃,对于正常端发送的ICMP报文能够转发,在防护ICMP FLOOD攻击的同时,避免对正常报文的误杀,避免引起业务异常的误报;对于探测服务器,达到探测服务器的ICMP报文都是正常端发送的,有效避免对探测服务的影响;且在攻击端过于分散的情况下,能够有效的识别攻击端发送的ICMP报文,避免对业务的影响。
其中,处理器701控制设备70的操作,处理器701还可以称为CPU(CentralProcessing Unit,中央处理单元)。存储器702可以包括只读存储器和随机存取存储器,并向处理器701提供指令和数据。存储器702的一部分还可以包括非易失性随机存取存储器(NVRAM)。具体的应用中设备70的各个组件通过总线***704耦合在一起,其中总线***704除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图中将各种总线都标为总线***704。
上述本发明实施例揭示的方法可以应用于处理器701中,或者由处理器701实现。处理器701可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器701中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器910可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器702,处理器701读取存储器702中的信息,结合其硬件完成上述方法的步骤。
以上的设备70可以参阅图1b及图2所示实施例的描述进行理解,本处不做过多赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,对于前述的各方法实施例,为了简便描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定都是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上为对本发明所提供的一种攻击防护方法及装置、设备及可读存储介质的描述,对于本领域的技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本发明的限制。
Claims (11)
1.一种攻击防护方法,其特征在于,所述方法包括:
当监测到目的网络之间互联的协议IP遭受到因特网控制报文协议泛洪ICMP FLOOD攻击时,拦截发往所述目的IP的ICMP报文,获取所述ICMP报文的ICMP类型,ICMP包长及分片字段值;
当所述ICMP类型是预设的合法类型,且所述ICMP包长小于预设包长,且所述分片字段值标识所述ICMP报文为非分片报文时,获取所述ICMP报文的报文信息;所述报文信息包括源IP、目的IP及ICMP类型;
查找首包报文数据库,确定是否存在与所述报文信息相同的首包报文信息,所述首包报文数据库包含发送端发送的首个ICMP报文的首包报文信息及所述首个ICMP报文的接收时间的对应关系;当查找到与所述报文信息相同的首包报文信息,且距离所述相同的首包报文信息对应的接收时间的时长小于或等于预置时长时,则确定所述ICMP报文为重传报文;当未查找到与所述报文信息相同的首包报文信息时,或者,当查找到与所述报文信息相同的首包报文信息,且距离所述相同的首包报文信息对应的接收时间的时长大于所述预置时长时,则确定所述ICMP报文不是重传报文;
当所述ICMP报文是重传报文时,在不信任列表中查找所述ICMP报文的源IP,若未查找到则将所述ICMP报文转发至服务器;若查找到则将所述ICMP报文丢弃;其中,所述不信任列表中包含对信任列表进行监测确定的恶意源IP,所述信任列表包含已验证为重传报文的ICMP报文的源IP,所述恶意源IP是指在预置的时间段内发送的ICMP报文的数量大于或等于预设阈值的所述信任列表中的源IP;
当所述ICMP报文不是重传报文时,丢弃所述ICMP报文,并将所述ICMP报文的报文信息及接收时间的对应关系,添加至所述首包报文数据库中;
还包括:
对所述信任列表中的源IP发送的ICMP报文的数量进行监测;
当监测到在预置的时间段内,源IP发送的ICMP报文的数量大于或等于预设阈值时,将所述源IP从所述信任列表中删除。
2.根据权利要求1所述的方法,其特征在于,所述获取所述ICMP报文的报文信息之前,或者,所述丢弃所述ICMP报文之前,还包括:
获取所述ICMP报文的发送端信息;
查找所述信任列表;
当所述信任列表中未查找到所述发送端信息时,继续执行所述获取所述ICMP报文的报文信息的步骤,或者继续执行所述放弃所述ICMP报文的步骤;
当所述信任列表中查找到所述发送端信息时,将所述ICMP报文转发至服务器。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
当所述ICMP报文是重传报文时,将所述ICMP报文的发送端信息添加至所述信任列表中。
4.根据权利要求2或3所述的方法,其特征在于,所述发送端信息包括源IP,或者包括源IP及生存时间值;
所述将所述源IP从所述信任列表中删除包括:
将所述源IP及生存时间值从所述信任列表中删除。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述ICMP类型不是预设的合法类型时,或者当所述ICMP包长大于或等于预设包长时,或者,当所述分片字段值标识所述ICMP报文为分片报文时,确定所述ICMP报文为攻击报文,丢弃所述ICMP报文。
6.一种攻击防护装置,其特征在于,所述装置包括:
拦截模块,用于当监测到目的网络之间互联的协议IP遭受到因特网控制报文协议泛洪ICMP FLOOD攻击时,拦截发往所述目的IP的ICMP报文;
第三获取模块,用于获取所述ICMP报文的ICMP类型,ICMP包长及分片字段值;
执行模块,用于当所述ICMP类型是预设的合法类型,且所述ICMP包长小于预设包长,且所述分片字段值标识所述ICMP报文为非分片报文时,触发第一获取模块;
第一获取模块,用于获取所述ICMP报文的报文信息;
第一查找模块,用于查找首包报文数据库,确定是否存在与所述报文信息相同的首包报文信息,所述首包报文数据库包含发送端发送的首个ICMP报文的首包报文信息及所述首个ICMP报文的接收时间的对应关系;
确定模块,用于当查找到与所述报文信息相同的首包报文信息,且距离所述相同的首包报文信息对应的接收时间的时长小于或等于预置时长时,则确定所述ICMP报文为重传报文;当未查找到与所述报文信息相同的首包报文信息时,或者,当查找到与所述报文信息相同的首包报文信息,且距离所述相同的首包报文信息对应的接收时间的时长大于所述预置时长时,则确定所述ICMP报文不是重传报文;
第一转发模块,用于当所述ICMP报文是重传报文时,在不信任列表中查找所述ICMP报文的源IP,若未查找到则将所述ICMP报文转发至服务器;若查找到则将所述ICMP报文丢弃;其中,所述不信任列表中包含对信任列表进行监测确定的恶意源IP,所述信任列表包含已验证为重传报文的ICMP报文的源IP,所述恶意源IP是指在预置的时间段内发送的ICMP报文的数量大于或等于预设阈值的所述信任列表中的源IP;
丢弃模块,用于当所述ICMP报文不是重传报文时,丢弃所述ICMP报文,并将所述ICMP报文的报文信息及接收时间的对应关系,添加至所述首包报文数据库中;
监测模块,用于对所述信任列表中的源IP发送的ICMP报文的数量进行监测;
删除模块,用于当监测到在预置的时间段内,源IP发送的ICMP报文的数量大于或等于预设阈值时,将所述源IP从所述信任列表中删除。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第二获取模块,用于在第一获取模块之前,或者,当所述ICMP报文不是重传报文时,获取所述ICMP报文的发送端信息;
第二查找模块,用于查找信任列表,所述信任列表包含已验证为重传报文的ICMP报文的发送端信息;
第一执行模块,用于当所述信任列表中未查找到所述发送端信息时,执行所述第一获取模块,或者继续执行所述丢弃模块;
第二转发模块,用于当所述信任列表中查找到所述发送端信息时,将所述ICMP报文转发至服务器。
8.根据权利要求7所述的装置,其特征在于,所述发送端信息包括源IP,或者包括源IP及生存时间值;
所述将所述源IP从所述信任列表中删除包括:
将所述源IP及生存时间值从所述信任列表中删除。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:
报文丢弃模块,用于当所述ICMP类型不是预设的合法类型时,或者当所述ICMP包长大于或等于预设包长时,或者,当所述分片字段值标识所述ICMP报文为分片报文时,确定所述ICMP报文为攻击报文,丢弃所述ICMP报文。
10.一种设备,包括存储器、处理器及存储在所述存储器上且在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时,实现如权利要求1至5任意一项所述的攻击防护方法中的各个步骤。
11.一种可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现如权利要求1至5任意一项所述的攻击防护方法的各个步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810204686.4A CN110213204B (zh) | 2018-03-13 | 2018-03-13 | 攻击防护方法及装置、设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810204686.4A CN110213204B (zh) | 2018-03-13 | 2018-03-13 | 攻击防护方法及装置、设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110213204A CN110213204A (zh) | 2019-09-06 |
| CN110213204B true CN110213204B (zh) | 2022-09-23 |
Family
ID=67779052
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810204686.4A Active CN110213204B (zh) | 2018-03-13 | 2018-03-13 | 攻击防护方法及装置、设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110213204B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110798451A (zh) * | 2019-09-29 | 2020-02-14 | 新华三信息安全技术有限公司 | 一种安全认证的方法及装置 |
| CN112261056B (zh) * | 2020-10-27 | 2022-11-11 | 南方电网数字电网研究院有限公司 | 电力***的通讯控制方法、装置、控制设备和存储介质 |
| CN112910839B (zh) * | 2021-01-12 | 2023-04-25 | 杭州迪普科技股份有限公司 | 一种dns攻击的防御方法和装置 |
| CN114039747B (zh) * | 2021-10-21 | 2023-05-16 | 烽火通信科技股份有限公司 | 防ddos数据重传攻击方法、装置、设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101355419A (zh) * | 2008-08-22 | 2009-01-28 | 成都市华为赛门铁克科技有限公司 | 一种网络攻击防范方法和装置 |
| CN105610852A (zh) * | 2016-01-15 | 2016-05-25 | 腾讯科技(深圳)有限公司 | 处理ack洪泛攻击的方法和装置 |
| CN106357688A (zh) * | 2016-11-04 | 2017-01-25 | 中国联合网络通信集团有限公司 | 一种防御ICMP flood攻击的方法和装置 |
| CN106411791A (zh) * | 2016-09-05 | 2017-02-15 | 上海斐讯数据通信技术有限公司 | Icmp分片报文重组方法及转发方法、控制器及交换机 |
| CN106506726A (zh) * | 2016-12-12 | 2017-03-15 | 北京云端智度科技有限公司 | 一种校验dns真实用户的方法 |
-
2018
- 2018-03-13 CN CN201810204686.4A patent/CN110213204B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101355419A (zh) * | 2008-08-22 | 2009-01-28 | 成都市华为赛门铁克科技有限公司 | 一种网络攻击防范方法和装置 |
| CN105610852A (zh) * | 2016-01-15 | 2016-05-25 | 腾讯科技(深圳)有限公司 | 处理ack洪泛攻击的方法和装置 |
| CN106411791A (zh) * | 2016-09-05 | 2017-02-15 | 上海斐讯数据通信技术有限公司 | Icmp分片报文重组方法及转发方法、控制器及交换机 |
| CN106357688A (zh) * | 2016-11-04 | 2017-01-25 | 中国联合网络通信集团有限公司 | 一种防御ICMP flood攻击的方法和装置 |
| CN106506726A (zh) * | 2016-12-12 | 2017-03-15 | 北京云端智度科技有限公司 | 一种校验dns真实用户的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110213204A (zh) | 2019-09-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110213204B (zh) | 攻击防护方法及装置、设备及可读存储介质 | |
| US20140157405A1 (en) | Cyber Behavior Analysis and Detection Method, System and Architecture | |
| CN109005175B (zh) | 网络防护方法、装置、服务器及存储介质 | |
| CN110198293B (zh) | 服务器的攻击防护方法、装置、存储介质和电子装置 | |
| CN101589595B (zh) | 用于潜在被污染端***的牵制机制 | |
| US7797749B2 (en) | Defending against worm or virus attacks on networks | |
| US7926108B2 (en) | SMTP network security processing in a transparent relay in a computer network | |
| CN107710680B (zh) | 网络攻击防御策略发送、网络攻击防御的方法和装置 | |
| US7478429B2 (en) | Network overload detection and mitigation system and method | |
| US20050198519A1 (en) | Unauthorized access blocking apparatus, method, program and system | |
| Haris et al. | Detecting TCP SYN flood attack based on anomaly detection | |
| US20090031423A1 (en) | Proactive worm containment (pwc) for enterprise networks | |
| US7610624B1 (en) | System and method for detecting and preventing attacks to a target computer system | |
| US7818795B1 (en) | Per-port protection against denial-of-service and distributed denial-of-service attacks | |
| KR20150037940A (ko) | 네트워크 트래픽 처리 시스템 | |
| KR20060116741A (ko) | 통신 네트워크에서 웜을 식별하여 무력화시키는 방법과장치 | |
| Karig et al. | Remote denial of service attacks and countermeasures | |
| US10834125B2 (en) | Method for defending against attack, defense device, and computer readable storage medium | |
| CN108667829B (zh) | 一种网络攻击的防护方法、装置及存储介质 | |
| CN110198290B (zh) | 一种信息处理方法、设备、装置及存储介质 | |
| WO2019096104A1 (zh) | 攻击防范 | |
| Kumarasamy et al. | An active defense mechanism for TCP SYN flooding attacks | |
| EP1461704B1 (en) | Protecting against malicious traffic | |
| KR20110027386A (ko) | 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치, 시스템 및 방법 | |
| CN114567484B (zh) | 一种报文处理方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |