CN113037755B - 网络连接攻击的防御方法及设备 - Google Patents

网络连接攻击的防御方法及设备 Download PDF

Info

Publication number
CN113037755B
CN113037755B CN202110259824.0A CN202110259824A CN113037755B CN 113037755 B CN113037755 B CN 113037755B CN 202110259824 A CN202110259824 A CN 202110259824A CN 113037755 B CN113037755 B CN 113037755B
Authority
CN
China
Prior art keywords
server
port
connection
preset
real
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110259824.0A
Other languages
English (en)
Other versions
CN113037755A (zh
Inventor
关超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hytera Communications Corp Ltd
Original Assignee
Hytera Communications Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hytera Communications Corp Ltd filed Critical Hytera Communications Corp Ltd
Priority to CN202110259824.0A priority Critical patent/CN113037755B/zh
Publication of CN113037755A publication Critical patent/CN113037755A/zh
Application granted granted Critical
Publication of CN113037755B publication Critical patent/CN113037755B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请提供了网络连接攻击的防御方法及设备,其中,方法包括:服务端按照与客户端事先约定的获取方式,获取服务端的真实连接端口标识;获取多个攻击掩护端口标识;将服务端的真实连接端口标识与多个攻击掩护端口标识分别指示的端口,作为用于接收TCP连接请求的端口;客户端在需要向服务端发送TCP连接请求的情况下,按照与服务端事先约定的获取方式,获取服务端的真实连接端口标识;向真实连接端口标识指示的端口发送TCP连接请求,服务端将服务端的真实连接端口标识指示的端口上建立的TCP连接信息,发送到服务器的业务端口,并删除攻击掩护端口接收到的全部信息。本申请在保证用户的正常连接需求的情况下,可以对网络连接攻击起到防御的功能。

Description

网络连接攻击的防御方法及设备
技术领域
本申请涉及网络安全领域,尤其涉及网络连接攻击的防御方法及设备。
背景技术
网络连接攻击,是一种从多个傀儡机,向服务器发起大量TCP连接,耗尽服务器资源的攻击方式。其中,在TCP连接三次握手完成之后,服务器的操作***内核会为每个TCP连接分配相应的结构,保存TCP连接的相应控制信息,以及接收缓冲区和发送缓冲区,一个连接至少也需占用大概10K的内存。若攻击方发起总共200W个TCP连接,将占用至少2G的内存。更重要的是,大量的空连接占用的不只是内存,攻击者通常还会在建立后立即结束连接。每个TCP连接都需要维护状态。不断的发起和断开,服务器的操作***将不断分配和释放资源,将会大大增加操作***的负担。同时,上层应用也将在建立和断开连接上消耗大量的CPU,造成服务器瘫痪。
目前,对于攻击的防御方法主要两种,其中,第一种包括:用防火墙屏蔽端口、设置密码和增加验证等等手段。第二种包括:限制最大连接次数。但是,由于网络连接攻击是通过建立TCP连接完成的,而目前的第一种防御方法都是在建立连接后执行的防御操作,因此,第一种防御方法无法达到对网络连接攻击的防御效果。对于第二种方法,将导致正常用户无法连接,或者在连接队列中等待过长的时间。
因此,急需一种网络连接攻击的防御方案,既对网络连接攻击进行防御,又保证用户的正常连接需求。
发明内容
本申请提供了网络连接攻击的防御方法及设备,目的在于实现既对网络连接攻击进行防御,又保证用户的正常连接需求的网络连接攻击的防御方案。
为了实现上述目的,本申请提供了以下技术方案:
本申请提供了一种网络连接攻击的防御方法,应用于客户端,包括:
在需要向服务端发送TCP连接请求的情况下,按照与所述服务端事先约定的获取方式,获取所述服务端的真实连接端口标识;
向所述真实连接端口标识指示的端口发送TCP连接请求。
可选的,所述服务端的真实连接端口标识在预设时刻起的时间段序列中的同一时间段内取值相同,不同时间段内取值不同;并且,所述服务端的真实连接端口标识在不同时间段的取值变化情况无规律。
可选的,按照与所述服务端事先约定的获取方式,获取所述服务端的真实连接端口标识,包括:
按照预设方式对所述预设起始时刻与当前时刻进行计算,得到待加密对象;
按照预设加密方式,采用预设密钥对所述待加密对象进行加密,得到密文;
在所述密文为数字的情况下,将所述密文作为当前时刻所述服务端的真实连接端口标识。
可选的,还包括:
在所述密文为非数字形式的情况下,按照预设的转换方式,将非数字形式的密文转换为数字形式的密文。
可选的,所述按照预设方式对预设的起始时刻与当前时刻进行计算,得到待加密对象,包括:
计算当前时刻与所述预设起始时刻间的差值;
计算所述差值与预设的时间间隔的比值;
将所述比值作为所述待加密对象。
本申请还提供了一种网络连接攻击的防御方法,应用于服务端,所述服务端至少包括:服务器;
所述方法,包括:
按照与客户端事先约定的获取方式,获取所述服务端的真实连接端口标识;所述服务端与所述客户端获取到的相同时刻的真实连接端口标识相同;
获取多个攻击掩护端口标识;
将所述服务端的真实连接端口标识与所述多个攻击掩护端口标识分别指示的端口,作为用于接收TCP连接请求的端口;其中,所述攻击掩护端口,缓冲区大小设置为预设大小,并且,TCP连接次数设置为预设次数;
将所述服务端的真实连接端口标识指示的端口上建立的TCP连接信息,发送到所述服务器的业务端口;
删除所述攻击掩护端口接收到的全部信息。
可选的,所述服务端的真实连接端口在预设时刻起的时间段序列中的同一时间段内取值相同,不同时间段内取值不同;并且,所述服务端的真实连接端口标识在不同时间段的取值变化情况无规律。
可选的,所述获取多个攻击掩护端口标识,包括:
将历史获取的真实连接端口标识中,与当前时刻最近的多个历史真实连接端口标识,作为所述多个攻击掩护端口标识。
可选的,在所述网络连接为短连接的情况下,所述服务端为所述服务器;所述方法的执行主体为安装在所述服务器中的预设装置;
在所述网络连接为长连接的情况下,所述服务端还包括端口映射设备;所述方法的执行主体为所述端口映射设备。
可选的,在所述将所述服务端的真实连接端口标识指示的端口上建立的TCP连接信息,发送到所述服务器的业务端口之前,还包括:
在网络连接为长连接的情况下,所述端口映射设备对在所述服务端的真实连接端口标识指示的端口上建立的TCP连接,按照预设的验证方式进行验证;
所述将所述服务端的真实连接端口标识指示的端口上建立的TCP连接信息,发送到所述服务器的业务端口,具体为:在建立的TCP连接通过验证的情况下,将建立的TCP连接信息,发送到所述服务器的业务端口;
在所述服务端的真实连接端口标识发生变化的情况下,关闭未通过验证的TCP连接。
本申请还提供了一种客户设备,包括:至少一个处理器、以及与所述处理器连接的至少一个存储器、总线;其中,所述处理器、所述存储器通过所述总线完成相互间的通信;所述处理器用于调用所述存储器中的程序指令,以执行上述任一所述的网络连接攻击的防御方法。
本申请还提供了一种服务设备,至少包括服务器;所述服务器包括:至少一个处理器、以及与所述处理器连接的至少一个存储器、总线;其中,所述处理器、所述存储器通过所述总线完成相互间的通信;所述处理器用于调用所述存储器中的程序指令,以执行上述的网络连接攻击的防御方法。
可选的,服务设备还包括端口映射设备;所述端口映射设备包括:至少一个处理器、以及与所述处理器连接的至少一个存储器、总线;其中,所述处理器、所述存储器通过所述总线完成相互间的通信;
在所述网络连接为短连接的情况下,所述服务器中的处理器用于调用所述存储器中的程序指令,以执行上述网络连接攻击的防御方法;
在所述网络连接为长连接的情况下,所述端口映射设备中的处理器用于调用所述存储器中的程序指令,以执行上述网络连接攻击的防御方法。
本申请所述的网络连接攻击的防御方法及设备,服务端按照与客户端事先约定的获取方式,获取服务端的真实连接端口标识;获取多个攻击掩护端口标识;将服务端的真实连接端口标识与多个攻击掩护端口标识分别指示的端口,作为用于接收TCP连接请求的端口;客户端在需要向服务端发送TCP连接请求的情况下,按照与服务端事先约定的获取方式,获取服务端的真实连接端口标识;向真实连接端口标识指示的端口发送TCP连接请求,服务端将服务端的真实连接端口标识指示的端口上建立的TCP连接信息,发送到服务器的业务端口。
一方面,在本申请中,由于客户端和服务端按照约定的方式,彼此可以获取到服务端的真实连接端口标识,并且,服务端与客户端获取到的相同时刻的真实连接端口标识相同,因此,客户端可以连接到服务端,即可以保证用户的正常连接需求。
另一方面,在本申请中,服务端除了将真实连接端口指示的端口作为接收TCP连接请求的端口外,还将多个攻击掩护端口标识分别指示的端口,作为接收TCP连接请求的端口。其中,攻击者不知道真实连接端口标识的内容,也不知道攻击掩护端口标识的内容,因此,在一定概率上,攻击者会向攻击掩护端口发送TCP连接请求。在本申请中,攻击掩护端口的缓冲区大小设置为预设大小、TCP连接次数设置为预设次数,以及删除攻击掩护端口接收到的全部信息。从而,使得攻击者向攻击掩护端口发送的攻击并不会浪费服务器的资源,但是会耗费攻击者的资源。因此,本申请在TCP连接过程中就对服务器的网络连接攻击起到一定的防御。
综上所述,本申请在保证用户的正常连接需求的情况下,可以对网络连接攻击起到防御的功能。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的网络连接攻击的防御方法的应用场景示意图;
图2为本申请实施例公开的一种网络连接攻击的防御方法的流程图;
图3为本申请实施例公开的获取服务端的真实连接端口标识的过程示意图;
图4为本申请实施例公开的一种客户设备的结构示意图;
图5为本申请实施例公开的又一种服务设备的结构示意图;
图6为本申请实施例公开的又一种服务设备的结构示意图;
图7为本申请实施例公开的一种网络连接攻击的防御装置的结构示意图;
图8为本申请实施例公开的又一种网络连接攻击的防御装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的发明人在研究中发现,在实际中,对于很多网络服务,并不需要服务于全部用户,而是只需要服务于特定用户。即本申请实施例的应用背景为针对服务于特定客户的网络服务出现的网络连接攻击。因此,本申请实施例,客户端和服务端通过按照约定的方式,彼此获取到服务端的真实连接端口标识,实现客户端的正常连接需求,是可行的方案。
图1为本申请实施例提供的一种网络连接攻击防御方法的应用场景示意图,包括客户端、服务端和攻击设备,其中,客户端需要与服务端进行网络连接。其中,服务端可以仅包括服务器,也可以包括服务器和端口映射设备(端口映射设备与服务器连接)。
具体的,在连接为短连接的情况下,服务端可以仅包括服务器,也可以既包括服务器也包括端口映射设备。对于仅包括服务器的情况,网络连接攻击的防御方法的执行主体为服务器中的预设装置。对于既包括服务器也包括端口映射设备的情况,网络连接攻击的防御方法的执行主体为端口映射设备。
具体的,在连接为长连接的情况下,服务端既包括服务器也包括端口映射设备,并且,网络连接攻击的防御方法的执行主体为端口映射设备。
图2为本申请实施例提供的网络连接攻击的防御方法,可以包括以下步骤:
S201、服务端按照与客户端事先约定的获取方式,获取服务端的真实连接端口标识。
在本实施例中,服务端的真实连接端口标识指示的端口与服务器的业务端口连接。并且,只有通过真实连接端口建立的TCP连接,才会在服务器的业务端口进行处理。
S202、服务端获取多个攻击掩护端口标识。
在本实施例中,攻击掩护端口标识指:用于接收TCP连接请求,但是,接收到的信息并不会发送给服务器的业务端口进行处理的端口标识。
在本实施例中,攻击掩护端口的缓冲区大小设置为预设大小,并且,TCP连接次数设置为预设次数。其中,预设大小和预设次数的取值可以根据实际情况确定,本实施例不对具体的取值内容作限定。
S203、服务端将服务端的真实连接端口标识与多个攻击掩护端口标识分别指示的端口,作为用于接收TCP连接请求的端口。
S204、客户端在需要向服务端发送TCP连接请求的情况下,按照与服务端事先约定的获取方式,获取服务端的真实连接端口标识。
需要说明的是,在本实施例中,客户端与服务端分别按照事先约定的获取方式,获取服务端的真实连接端口。其中,对于具体的获取方式的内容,本实施例不作限定,只要保证服务端与客户端获取到的相同时刻的真实连接端口标识相同即可。即使得在同一时刻,客户端向服务端发送的TCP连接请求,服务端可以正常响应即可。
S205、客户端向真实连接端口标识指示的端口发送TCP连接请求。
S206、服务端在服务端的真实连接端口标识指示的端口上建立TCP连接。
S207、服务端按照预设的验证方式,对建立的TCP连接进行验证。
S208、服务端判断建立的TCP连接是否通过验证,如果否,则执行S209,如果是,则执行S210。
S209、在服务端的真实连接端口标识发生变化的情况下,关闭未通过验证的TCP连接。
在建立的TCP连接未通过验证的情况下,执行本步骤的操作。
在本实施例中,服务端的真实连接端口标识可以随着时间而变化,在本步骤中,在端口映射设备切换服务端的真实连接端口时,保留上次使用的真实连接端口上通过验证的TCP连接,关闭其他未通过验证的TCP连接。
需要说明的是,在长连接业务中,需要执行S207~S209,但是,在短连接业务中,无需执行S207~S209,并且,执行主体为端口映射设备。
S210、服务端将真实连接端口标识指示的端口上建立的TCP连接信息,发送到服务器的业务端口。
S211、服务端删除攻击掩护端口接收到的全部信息。
在本实施例中,由于客户端和服务端按照约定的方式,都可以获取到服务端的真实连接端口标识,并且,服务端与客户端获取到的相同时刻的真实连接端口标识相同,因此,客户端可以连接到服务端,即可以保证用户的正常连接需求。
另一方面,在本实施例中,服务端除了将真实连接端口指示的端口作为接收TCP连接请求的端口外,还将多个攻击掩护端口标识分别指示的端口,作为接收TCP连接请求的端口。其中,攻击者不知道真实连接端口标识的内容,也不知道攻击掩护端口标识的内容,因此,在一定概率上,攻击者会向攻击掩护端口发送TCP连接请求。在本实施例中,攻击掩护端口的缓冲区大小设置为预设大小、TCP连接次数设置为预设次数,以及删除攻击掩护端口接收到的全部信息。从而,使得攻击者向攻击掩护端口发送的攻击并不会浪费服务器的资源,但是会耗费攻击者的资源。因此,本申请在TCP连接过程中就对服务器的网络连接攻击起到一定的防御。
为了提高攻击者破解出服务端的真实连接端口标识的难度,从而进一步提高网络连接攻击的防御效果,在本实施例中,不仅要保证客户端与服务端获取的相同时刻的真实连接端口标识相同,而且,还要保证在不同时间段获取的真实连接端口标识是不同的。具体的,服务端的真实连接端口标识在预设时刻起的时间段序列中的同一时间段内取值相同,不同时间段内取值不同,并且,在不同时间段的取值变化情况无规律。即时间段序列中,一个时间段对应服务端的一个真实连接端口标识的取值,其中,不同时间段对应的真实连接端口标识的取值不同且无变化规律。
其中,预设时刻起的时间段序列可以为:预设时刻起始,每隔预设时长作为一个时间段。例如,预设时刻为2020年1月1日0点0分,预设时长为五分钟,则时间段序列为以2020年1月1日0点0分起,每隔5分钟为一个时间段组成的序列。
在本实施例中,服务端的真实连接端口标识的取值是随着时间变化的,从而,加大攻击者破解到服务端的真实连接端口标识的取值的难度。并且,即使攻击者当前破解出服务端的真实连接端口标识的取值,由于服务端的真实连接端口标识的取值的有效时长仅为一个时间段的时长,因此,使得防御效果得到进一步提高。
更进一步,在本实施例中,服务端获取多个攻击掩护端口标识的方式可以包括:将历史获取的真实连接端口标识中,与当前时刻最近的多个历史真实连接端口标识,作为多个攻击掩护端口标识。由于多个攻击掩护端口标识是历史时间最近确定的多个真实连接端口标识,使得多个攻击掩护端口标识更具有迷惑性。因此,即使攻击者破解到某一时刻服务端的真实连接端口标识,一方面,服务端的真实连接端口标识的取值在下一个时间段发生变化,另一方面,多个攻击掩护端口标识更具有较强的迷惑性,使得攻击者更有可能向攻击掩护端口标识指示的端口发送TCP连接请求,从而,可以进一步浪费攻击者的资源,因此可以进一步提高防御效果。
在本实施例中,客户端与服务端,按照与对端事先约定的获取方式,获取服务端的真实连接端口标识的方式可以是相同的,具体的,以客户端获取服务端的真实连接端口标识的过程为例进行介绍。其中,客户端获取服务端真实连接端口标识的过程如图3所示,可以包括以下步骤:
S301、按照预设方式对预设起始时刻与当前时刻进行计算,得到待加密对象。
在本步骤中,按照预设方式对预设的起始时刻与当前时刻进行计算,得到待加密对象的过程可以包括以下步骤A1~步骤A3:
A1、计算当前时刻与预设起始时刻间的差值。
还以预设起始时刻为2020年1月1日0点0分为例,假设当前时刻为2020年6月18日12点15分,则差值为244095分钟。
A2、计算差值与预设的时间间隔的比值。
在本步骤中,预设的时间间隔即预设时长,假设预设时长为5分钟,则在本步骤中,比值为244095/5=48819,即比值为48819。
A3、将比值作为待加密对象。
在本步骤中,将比值作为待加密对象。
需要说明的是,上述步骤A1~步骤A3只是一种具体的实现方式,在实际中,还可以通过其他方式确定待加密对象,本实施例不对待加密对象的具体确定方式作限定。
S302、按照预设加密方式,采用预设密钥对待加密对象进行加密,得到密文。
在本实施例中,预设密钥和预设加密方式的具体内容,可以根据实际情况确定,本实施例不作限定。
在本步骤中,将采用预设密钥对待加密对象进行加密得到的加密结果,称为密文。
S303、判断密文是否为数字形式,如果否,则执行S304,如果是,则执行S305。
在本实施例中,密文的形式可能为字符串,也可能为数字。
在本步骤中,判断的具体实现方式为现有技术,这里不再赘述。
S304、按照预设的转换方式,将非数字形式的密文转换为数字形式的密文。
在密文为非数字形式的情况下,执行本步骤的操作。
在本步骤中,转换的具体实现方式为现有技术,这里不再赘述。
执行完本步骤后,执行S305。
S305、依据密文确定当前时刻服务端的真实连接端口标识。
在密文为数字的情况下,执行本步骤的操作。
在本步骤中,可以按照如下公式,确定密文对应的真实连接端口标识的取值。
P=(A%64535)+1000
式中,P表示当前时间间隔内的真实连接端口标识,A表示数字形式的密文。
通过该公式,可以看出1000<=P<=65535。
图4为本申请实施例提供的一种客户设备,可以包括:至少一个处理器、以及与所述处理器连接的至少一个存储器、总线;其中,所述处理器、所述存储器通过所述总线完成相互间的通信;所述处理器用于调用所述存储器中的程序指令,以执行上述应用于客户端的网络连接攻击的防御方法。
图5为本申请实施例提供的一种服务设备,可以包括服务器,其中,服务器包括至少一个处理器、以及与所述处理器连接的至少一个存储器、总线;其中,所述处理器、所述存储器通过所述总线完成相互间的通信;所述处理器用于调用所述存储器中的程序指令,以执行上述针对网络连接为短连接时,应用于服务端的网络连接攻击的防御方法。
图6为本申请实施例提供的一种服务设备,可以包括:服务器和端口映射设备,其中,服务器和端口映射设备连接。其中,服务器可以包括至少一个处理器、以及与所述处理器连接的至少一个存储器、总线;其中,所述处理器、所述存储器通过所述总线完成相互间的通信。端口映射设备可以包括:至少一个处理器、以及与所述处理器连接的至少一个存储器、总线;其中,所述处理器、所述存储器通过所述总线完成相互间的通信;
所述服务器中的处理器用于调用存储器中的程序指令,以执行网络连接为短连接的情况下,上述服务端执行的网络连接攻击的防御方法。
端口映射设备中的处理器用于调用存储器中的程序指令,以执行网络连接为长连接的情况下,上述服务端执行的网络连接攻击的防御方法。
图7为本申请实施例提供的一种网络连接攻击的防御装置,应用于客户端,可以包括:第一获取模块701和第一发送模块702;
第一获取模块701,用于在需要向服务端发送TCP连接请求的情况下,按照与所述服务端事先约定的获取方式,获取所述服务端的真实连接端口标识;
第一发送模块702,用于向所述真实连接端口标识指示的端口发送TCP连接请求。
可选的,所述服务端的真实连接端口标识在预设时刻起的时间段序列中的同一时间段内取值相同,不同时间段内取值不同;并且,所述服务端的真实连接端口标识在不同时间段的取值变化情况无规律。
可选的,第一获取模块701,用于按照与所述服务端事先约定的获取方式,获取所述服务端的真实连接端口标识,包括:
第一获取模块701,具体用于按照预设方式对所述预设起始时刻与当前时刻进行计算,得到待加密对象;按照预设加密方式,采用预设密钥对所述待加密对象进行加密,得到密文;在所述密文为数字的情况下,将所述密文作为当前时刻所述服务端的真实连接端口标识。
可选的,第一获取模块701,还用于在所述密文为非数字形式的情况下,按照预设的转换方式,将非数字形式的密文转换为数字形式的密文。
可选的,所述第一获取模块701,用于按照预设方式对预设的起始时刻与当前时刻进行计算,得到待加密对象,包括:
第一获取模块701,具体用于计算当前时刻与所述预设起始时刻间的差值;计算所述差值与预设的时间间隔的比值;将所述比值作为所述待加密对象。
图8为本申请实施例提供的一种网络连接攻击的防御装置,应用于服务端,所述服务端至少包括:服务器,该装置可以包括:第二获取模块801、第三获取模块802、执行模块803、第二发送模块804和删除模块805,其中,
第二获取模块801,用于按照与客户端事先约定的获取方式,获取所述服务端的真实连接端口标识;所述服务端与所述客户端获取到的相同时刻的真实连接端口标识相同;
第三获取模块802,用于获取多个攻击掩护端口标识;
执行模块803,用于将所述服务端的真实连接端口标识与所述多个攻击掩护端口标识分别指示的端口,作为用于接收TCP连接请求的端口;其中,所述攻击掩护端口,缓冲区大小设置为预设大小,并且,TCP连接次数设置为预设次数;
第二发送模块804,用于将所述服务端的真实连接端口标识指示的端口上建立的TCP连接信息,发送到所述服务器的业务端口;
删除模块805,用于删除所述攻击掩护端口接收到的全部信息。
可选的,所述服务端的真实连接端口在预设时刻起的时间段序列中的同一时间段内取值相同,不同时间段内取值不同;并且,所述服务端的真实连接端口标识在不同时间段的取值变化情况无规律。
可选的,所述第三获取模块802,用于获取多个攻击掩护端口标识,包括:
所述第三获取模块802,具体用于将历史获取的真实连接端口标识中,与当前时刻最近的多个历史真实连接端口标识,作为所述多个攻击掩护端口标识。
可选的,在所述网络连接为短连接的情况下,所述服务端为所述服务器;该装置的执行主体为所述服务器;
在所述网络连接为长连接的情况下,所述服务端还包括端口映射设备;该装置的执行主体为所述端口映射设备。
可选的,该装置还可以包括:
处理模块,用于在网络连接为长连接的情况下,在所述第二发送模块804,将所述服务端的真实连接端口标识指示的端口上建立的TCP连接信息,发送到所述服务器的业务端口之前,所述端口映射设备对在所述服务端的真实连接端口标识指示的端口上建立的TCP连接,按照预设的验证方式进行验证;所述第二发送模块804,用于将所述服务端的真实连接端口标识指示的端口上建立的TCP连接信息,发送到所述服务器的业务端口,具体为:所述第二发送模块804,具体用于在建立的TCP连接通过验证的情况下,将建立的TCP连接信息,发送到所述服务器的业务端口;
在所述服务端的真实连接端口标识发生变化的情况下,关闭未通过验证的TCP连接。
本申请实施例方法所述的功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算设备可读取存储介质中。基于这样的理解,本申请实施例对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一台计算设备(可以是个人计算机,服务器,移动计算设备或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
对所公开的实施例的上述说明,本说明书中各实施例中记载的特征可以相互替换或者组合,使本领域专业技术人员能够实现或使用本申请。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种网络连接攻击的防御方法,其特征在于,应用于客户端,包括:
在需要向服务端发送TCP连接请求的情况下,按照与所述服务端事先约定的获取方式,获取所述服务端的真实连接端口标识;
向所述真实连接端口标识指示的端口发送TCP连接请求;
所述服务端的真实连接端口标识在预设时刻起的时间段序列中的同一时间段内取值相同,不同时间段内取值不同;并且,所述服务端的真实连接端口标识在不同时间段的取值变化情况无规律;
按照与所述服务端事先约定的获取方式,获取所述服务端的真实连接端口标识,包括:
按照预设方式对所述预设起始时刻与当前时刻进行计算,得到待加密对象;
按照预设加密方式,采用预设密钥对所述待加密对象进行加密,得到密文;
在所述密文为数字的情况下,将所述密文作为当前时刻所述服务端的真实连接端口标识。
2.根据权利要求1所述的方法,其特征在于,还包括:
在所述密文为非数字形式的情况下,按照预设的转换方式,将非数字形式的密文转换为数字形式的密文。
3.根据权利要求1所述的方法,其特征在于,所述按照预设方式对预设的起始时刻与当前时刻进行计算,得到待加密对象,包括:
计算当前时刻与所述预设起始时刻间的差值;
计算所述差值与预设的时间间隔的比值;
将所述比值作为所述待加密对象。
4.一种网络连接攻击的防御方法,其特征在于,应用于服务端,所述服务端至少包括:服务器;
所述方法,包括:
按照与客户端事先约定的获取方式,获取所述服务端的真实连接端口标识;所述服务端与所述客户端获取到的相同时刻的真实连接端口标识相同;
获取多个攻击掩护端口标识;
将所述服务端的真实连接端口标识与所述多个攻击掩护端口标识分别指示的端口,作为用于接收TCP连接请求的端口;其中,所述攻击掩护端口,缓冲区大小设置为预设大小,并且,TCP连接次数设置为预设次数;
将所述服务端的真实连接端口标识指示的端口上建立的TCP连接信息,发送到所述服务器的业务端口;
删除所述攻击掩护端口接收到的全部信息,
其中所述获取多个攻击掩护端口标识,包括:
将历史获取的真实连接端口标识中,与当前时刻最近的多个历史真实连接端口标识,作为所述多个攻击掩护端口标识;
所述按照与客户端事先约定的获取方式,获取所述服务端的真实连接端口标识,包括:
按照预设方式对所述预设起始时刻与当前时刻进行计算,得到待加密对象;
按照预设加密方式,采用预设密钥对所述待加密对象进行加密,得到密文;
在所述密文为数字的情况下,将所述密文作为当前时刻所述服务端的真实连接端口标识。
5.根据权利要求4所述的方法,其特征在于,所述服务端的真实连接端口在预设时刻起的时间段序列中的同一时间段内取值相同,不同时间段内取值不同;并且,所述服务端的真实连接端口标识在不同时间段的取值变化情况无规律。
6.根据权利要求4所述的方法,其特征在于,
在所述网络连接为短连接的情况下,所述服务端为所述服务器;所述方法的执行主体为安装在所述服务器中的预设装置;
在所述网络连接为长连接的情况下,所述服务端还包括端口映射设备;所述方法的执行主体为所述端口映射设备。
7.根据权利要求6所述的方法,其特征在于,在所述将所述服务端的真实连接端口标识指示的端口上建立的TCP连接信息,发送到所述服务器的业务端口之前,还包括:
在网络连接为长连接的情况下,所述端口映射设备对在所述服务端的真实连接端口标识指示的端口上建立的TCP连接,按照预设的验证方式进行验证;
所述将所述服务端的真实连接端口标识指示的端口上建立的TCP连接信息,发送到所述服务器的业务端口,具体为:在建立的TCP连接通过验证的情况下,将建立的TCP连接信息,发送到所述服务器的业务端口;
在所述服务端的真实连接端口标识发生变化的情况下,关闭未通过验证的TCP连接。
8.一种客户设备,其特征在于,包括:至少一个处理器、以及与所述处理器连接的至少一个存储器、总线;其中,所述处理器、所述存储器通过所述总线完成相互间的通信;所述处理器用于调用所述存储器中的程序指令,以执行如权利要求1~3中任一项所述的网络连接攻击的防御方法。
9.一种服务设备,其特征在于,至少包括服务器;所述服务器包括:至少一个处理器、以及与所述处理器连接的至少一个存储器、总线;其中,所述处理器、所述存储器通过所述总线完成相互间的通信;所述处理器用于调用所述存储器中的程序指令,以执行如权利要求4~5中任一项所述的网络连接攻击的防御方法。
10.根据权利要求9所述的服务设备,其特征在于,还包括端口映射设备;所述端口映射设备包括:至少一个处理器、以及与所述处理器连接的至少一个存储器、总线;其中,所述处理器、所述存储器通过所述总线完成相互间的通信;
在所述网络连接为短连接的情况下,所述服务器中的处理器用于调用所述存储器中的程序指令,以执行如权利要求4~5中任一项所述的网络连接攻击的防御方法;
在所述网络连接为长连接的情况下,所述端口映射设备中的处理器用于调用所述存储器中的程序指令,以执行如权利要求4~7中任一项所述的网络连接攻击的防御方法中所述端口映射设备执行的方法。
CN202110259824.0A 2021-03-10 2021-03-10 网络连接攻击的防御方法及设备 Active CN113037755B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110259824.0A CN113037755B (zh) 2021-03-10 2021-03-10 网络连接攻击的防御方法及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110259824.0A CN113037755B (zh) 2021-03-10 2021-03-10 网络连接攻击的防御方法及设备

Publications (2)

Publication Number Publication Date
CN113037755A CN113037755A (zh) 2021-06-25
CN113037755B true CN113037755B (zh) 2023-06-16

Family

ID=76469013

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110259824.0A Active CN113037755B (zh) 2021-03-10 2021-03-10 网络连接攻击的防御方法及设备

Country Status (1)

Country Link
CN (1) CN113037755B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107070927A (zh) * 2017-04-19 2017-08-18 中国石油大学(华东) 一种基于dna加密的跳变隐蔽通信方法
CN110995761A (zh) * 2019-12-19 2020-04-10 长沙理工大学 检测虚假数据注入攻击的方法、装置及可读存储介质
US10903999B1 (en) * 2019-09-11 2021-01-26 Zscaler, Inc. Protecting PII data from man-in-the-middle attacks in a network

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101204502B1 (ko) * 2012-08-10 2012-11-26 한상국 모바일에서의 html 정보파일 보안 방법
CN110798423B (zh) * 2018-08-01 2022-04-15 阿里巴巴集团控股有限公司 消息处理方法及装置、安全防护设备及终端设备
CN110868396A (zh) * 2019-10-14 2020-03-06 云深互联(北京)科技有限公司 一种tcp端口动态开放的方法和装置
CN111988282B (zh) * 2020-07-30 2021-09-07 杭州超级科技有限公司 基于tcp的数据传输***、方法、电子设备及介质
CN111970334A (zh) * 2020-07-30 2020-11-20 杭州超级科技有限公司 基于tcp的数据传输方法、装置、电子设备及介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107070927A (zh) * 2017-04-19 2017-08-18 中国石油大学(华东) 一种基于dna加密的跳变隐蔽通信方法
US10903999B1 (en) * 2019-09-11 2021-01-26 Zscaler, Inc. Protecting PII data from man-in-the-middle attacks in a network
CN110995761A (zh) * 2019-12-19 2020-04-10 长沙理工大学 检测虚假数据注入攻击的方法、装置及可读存储介质

Also Published As

Publication number Publication date
CN113037755A (zh) 2021-06-25

Similar Documents

Publication Publication Date Title
EP3481029B1 (en) Internet defense method and authentication server
CN105827646B (zh) Syn攻击防护的方法及装置
EP3576370A1 (en) Traffic flow control method and device
CN106778229B (zh) 一种基于vpn的恶意应用下载拦截方法及***
CN110012074A (zh) 一种云环境可信上下文管理方法
WO2016127582A1 (zh) 一种防御消息攻击的方法及装置
CN109257387A (zh) 用于断线重连的方法和装置
CN110022319B (zh) 攻击数据的安全隔离方法、装置、计算机设备及存储设备
US10142437B2 (en) Prioritising SIP messages
CN108418844B (zh) 一种应用层攻击的防护方法及攻击防护端
JP2008276457A (ja) ネットワーク保護プログラム、ネットワーク保護装置およびネットワーク保護方法
CN113037755B (zh) 网络连接攻击的防御方法及设备
CN103023943A (zh) 任务处理方法及其装置、终端设备
CN109842587B (zh) 监测***安全的方法和装置
TWI676115B (zh) 用以管控與雲端服務系統認證之系統及方法
WO2019242053A1 (zh) 一种针对HTTP Flood攻击的防护方法及***
CN107566418B (zh) 一种安全管理的方法及接入设备
CN114726579B (zh) 防御网络攻击的方法、装置、设备、存储介质及程序产品
CN107623571B (zh) 一种握手处理方法、客户端及服务器
CN115811428A (zh) 一种抵御DDoS攻击的防御方法、***、设备及存储介质
CN111200583A (zh) 骚扰电话处理方法、装置、设备及介质
CN113225348B (zh) 请求防重放校验方法和装置
EP3190743B1 (en) Packet processing method, network server and virtual private network system
CN110417615B (zh) 校验开关控制方法、装置、设备及计算机可读存储介质
CN109460654B (zh) 业务控制方法、业务控制***、服务器及计算机存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant