CN114039747B - 防ddos数据重传攻击方法、装置、设备及存储介质 - Google Patents
防ddos数据重传攻击方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN114039747B CN114039747B CN202111228917.3A CN202111228917A CN114039747B CN 114039747 B CN114039747 B CN 114039747B CN 202111228917 A CN202111228917 A CN 202111228917A CN 114039747 B CN114039747 B CN 114039747B
- Authority
- CN
- China
- Prior art keywords
- message
- dyeing
- mark
- sent
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Color Image Communication Systems (AREA)
- Arrangements For Transmission Of Measured Signals (AREA)
- Sewing Machines And Sewing (AREA)
Abstract
本申请公开了一种防DDOS数据重传攻击方法、装置、设备及可读存储介质,通过识别可疑报文,使所述可疑报文对应的socket对象进入紧急控制状态和染色子状态;根据进入所述紧急控制状态和所述染色子状态的socket对象对待发送报文进行染色标记,生成染色标记报文;根据所述染色标记报文确定攻击报文,并对所述攻击报文实施黑洞策略。通过使socket对象进入紧急控制状态和染色子状态,从而对攻击源头做出有效防攻击处理,避免消耗过多计算资源,提高服务安全性。
Description
技术领域
本发明涉及数据安全技术领域,尤其涉及一种防DDOS数据重传攻击方法、装置、设备及可读存储介质。
背景技术
分布式拒绝服务攻击(Distribution Denial of Service DDOS)一般由多个客户端主机联合起来作为攻击平台,对一个服务端集中发起,如图1所示,由于DDOS攻击发起者往往利用数量庞大的***作的客户端软件在约定的时间端发起突发集群攻击,这些合法主机发起类似同步序列编号(Synchronize Sequence Numbers SYN)或普通数据的确认字符(Acknowledgement ACK)重传,由于相关报文均为合法报文,现有防火墙或防攻击软件很难有效识别攻击的真实性,不仅不能起到安全防护的效果,还导致大量的计算资源消耗。
发明内容
本申请提供了一种防DDOS数据重传攻击方法、装置、设备及可读存储介质,以解决现有防火墙或防攻击软件很难有效识别攻击的真实性,不仅不能起到安全防护的效果,还导致大量的计算资源消耗的问题。
为实现上述目的,本发明实施例提供了一种防DDOS数据重传攻击方法,所述方法包括以下步骤:
识别可疑报文,使所述可疑报文对应的socket对象进入紧急控制状态和染色子状态;
根据进入所述紧急控制状态和所述染色子状态的socket对象对待发送报文进行染色标记,生成染色标记报文;
根据所述染色标记报文确定攻击报文,并对所述攻击报文实施黑洞策略。
为实现上述目的,本发明实施例还提出了一种防DDOS数据重传攻击装置,所述防DDOS数据重传攻击装置包括:
识别模块,用于识别可疑报文,使所述可疑报文对应的socket对象进入紧急控制状态和染色子状态;
生成模块,用于根据进入所述紧急控制状态和所述染色子状态的socket对象对待发送报文进行染色标记,生成染色标记报文;
确定模块,用于根据所述染色标记报文确定攻击报文,并对所述攻击报文实施黑洞策略。
为实现上述目的,本发明实施例还提出了一种计算机设备,所述计算机设备包括处理器、存储器、以及存储在所述存储器上并可被所述处理器执行的计算机程序,其中所述计算机程序被所述处理器执行时,实现如上述的防DDOS数据重传攻击方法的步骤。
为实现上述目的,本发明实施例还提出了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,其中所述计算机程序被处理器执行时,实现如上述的防DDOS数据重传攻击方法的步骤。
本申请公开了一种防DDOS数据重传攻击方法、装置、设备及可读存储介质,通过识别可疑报文,使所述可疑报文对应的socket对象进入紧急控制状态和染色子状态;根据进入所述紧急控制状态和所述染色子状态的socket对象对待发送报文进行染色标记,生成染色标记报文;根据所述染色标记报文确定攻击报文,并对所述攻击报文实施黑洞策略。通过使socket对象进入紧急控制状态和染色子状态,从而对攻击源头做出有效防攻击处理,避免消耗过多计算资源,提高服务安全性。
附图说明
为了更清楚地说明本申请实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的DDOS数据重传攻击原理示意场景图;
图2为本申请实施例提供的一种防DDOS数据重传攻击方法的流程示意图;
图3为图2中的防DDOS数据重传攻击方法的子步骤流程示意图;
图4为本申请实施例提供的urgent紧急标记示意图;
图5为本申请实施例提供的urgent pointer指针的数据字节标记示意图;
图6为本申请实施例提供的紧急指针指向的紧急数据字节的示意图;
图7为本申请实施例提供的染色数据格式的示意图;
图8为本申请实施例提供的另一种防DDOS数据重传攻击方法的流程示意图;
图9为本申请实施例提供的一种防DDOS数据重传攻击装置的示意性框图;
图10为本申请一实施例涉及的计算机设备的结构示意框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
附图中所示的流程图仅是示例说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解、组合或部分合并,因此实际执行的顺序有可能根据实际情况改变。
本申请实施例提供一种防DDOS数据重传攻击方法、装置、计算机设备及计算机可读存储介质。其中,该防DDOS数据重传攻击方法可应用于计算机设备中,该计算机设备可以是服务器等电子设备。
下面结合附图,对本申请的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
请参阅图2,图2是本申请的一实施例提供的一种防DDOS数据重传攻击方法的示意流程图。
如图2所示,本实施例提供了一种防DDOS数据重传攻击方法,该方法包括以下步骤:
步骤S101:识别可疑报文,使所述可疑报文对应的socket对象进入紧急控制状态和染色子状态。
示范性的,接收客户端发送的报文,对该报文进行识别,若识别出该报文为可疑报文,获取第一预置约定,通过该第一预置约定使该可疑报文对应的socket对象进入紧急控制状态和染色子状态。识别报文的方式包括识别该报文的属性信息,若该属性信息不是预置属性信息,则确定该报文为可疑报文;或者,识别该报文的链路信息,若该报文的链路信息不是预置链路信息,则确定该报文为可疑报文。
在识别该报文为可疑报文时,获取第一预置约定,通过该第一预置约定使该可疑报文对应的socket对象进入紧急控制状态和染色子状态。报文是在服务器与客户端的socket会话中进行的,第一预置约定为预先对socket对象进行设置,在识别到可疑报文时,socket对象进入到紧急控制状态和染色子状态。例如,在识别可疑报文时,通过第一预置约定,对该可疑报文对应的socket对象进行紧急标记,使socket对象进入紧急控制状态,当该socket对象进入紧急控制状态时,确定是否需要进入染色子状态。当确定需要进入染色子状态,则对socket对象进行染色标记,使socket对象进入染色子状态,并记录染色标记的染色信息,该染色信息包括染色标记,以及该染色标记对应的数据信息,其中,紧急标记和染色标记包括颜色标记或数据标记等。
Socket为套接字,是对网络中不同主机上的应用进程之间进行双向通信的端点的抽象。一个套接字就是网络上进程通信的一端,提供了应用层进程利用网络协议交换数据的机制。从所处的地位来讲,套接字上联应用进程,下联网络协议栈,是应用程序通过网络协议进行通信的接口,是应用程序与网络协议根进行交互的接口。
具体的,接收客户端发送的报文,识别所述报文携带的ACK ID信息;根据所述ACKID信息,确定所述报文在预置采样周期内是否为重传数据报文;若确定所述报文为重传数据报文,则确定所述报文为可疑报文。
示范性的,接收客户端发送的报文,识别该报文携带的ACK ID信息,发送客户端的报文均携带有ACK ID信息,以使接收到客户端发送的报文也携带有ACK ID信息。实施例的,预先对发送给客户端的报文进行设置,使其该报文携带有ACK ID信息,该ACK ID信息为预置的序列信息,例如,该序列信息包括0x5A0xB50x5C0x5D。
在获取到该ACK ID信息,通过该ACK ID信息确定该报文在预置采样周期内是否为重传数据。实施例的,该ACK ID信息为预置的序列信息,预置采样周期为3个周期,获取该报文对应的Socket对象连续三次发送的报文,或获取间续发送的报文,获取各个报文中的序列信息,若该序列信息为预置序列信息,则确定当前的报文为重传数据报文。若该序列信息不是预置序列信息,则确定当前的报文不是重传数据报文。例如,若获取连续或获取间续发送的报文的序列信息为0x5A0xB50x5C,则确定该报文为重传数据报文;若获取到连续或获取间续发送的报文的序列信息为0x5A0xB50x5D,则确定该报文不是重传数据报文。
在服务端确定该报文为重传数据报文,且重传数据报文为已连续多次从客户端接收符合预制周期约定的高频率,将该重传数据报文作为可疑报文,将该socket对象进行监控。
步骤S102:根据进入所述紧急控制状态和所述染色子状态的socket对象对待发送报文进行染色标记,生成染色标记报文。
示范性的,在识别该报文为可疑报文时,获取第一预置约定,通过该第一预置约定使该可疑报文对应的socket对象进入紧急控制状态和染色子状态。报文是在服务器与客户端的socket会话中进行的,第一预置约定为预先对socket对象进行设置,在识别到可疑报文时,socket对象进入到紧急控制状态和染色子状态。
进入紧急控制状态后的socket对象对待发送报文进行紧急标记,例如,通过对待发送报文进行如图4所示urgent紧急标记,urgent紧急标记为通用标记,区分常规TCP协议标准约定传输的紧急数据。标记方式如图5所示,标记TCP头部urgent pointer指针的数据字节。
在确定socket对象进入紧急控制状态时,通过第一预置预定使socket对象进入染色子状态,通过进入染色子状态的socket对象对待发送报文进行染色,例如,如图6所示,对待发送报文进行扩展,得到一个紧急数据区。通过如图5所示,在紧急指针指向的前一个字节紧急数据字节中,定义紧急数据区内染色数据格式。如图7所示,染色数据格式为8比特,该染色数据格式包括控制码和染色码,其中,8比特的前三比特为控制码,后五位比特为染色码。例如,染色数据格式为01011101,其中,010为控制码,11101为染色码。
在一实施例中,具体地,参照图3,步骤S102包括:子步骤S1021至子步骤S1024。
子步骤S1021、通过进入所述紧急控制状态和所述染色子状态的第一socket对象,对所述第一待发送报文进行紧急标记;
示范性的,该socket对象包括第一socket对象,待发送报文包括第一待发送报文,第一socket对象位于服务器端,第一待发送报文为服务器发送客户端的报文。在确定第一socket对象进入到紧急控制状态时,通过该紧急标记确定是否需要染色。例如,该紧急标记包括第一紧急标记和第二紧急标记,当该紧急标记为第一紧急标记时,确定需要对第一待发送报文进行染色;当该紧急标记为第二紧急标记时,确定不需要对第一待发送报文进行染色。当确定需要对第一待发送报文进行染色时,对该第一发送报文进行紧急标记。实施例的,当紧急标记为如图4所示urgent紧急标记,urgent紧急标记为通用标记,区分常规TCP协议标准约定传输的紧急数据。对该第一待发送报文进行urgent标记,标记方式如图5所示,标记TCP头部urgent pointer指针的数据字节。
子步骤S1022、并对所述第一待发送报文扩展紧急数据区,生成所述第一待发送报文对应的所述第一染色标记报文,其中,所述紧急数据区包括控制码和染色码。
在对第一待发送报文进行紧急标记后,对该第一待发送报文扩展紧急数据区,并对该紧急数据区进行染色。例如,如图6所示,对第一待发送报文进行扩展,得到一个紧急数据区。通过如图5所示,在紧急指针指向的前一个字节紧急数据字节中,定义紧急数据区内染色数据格式。如图4所示,染色数据格式为8比特,该染色数据格式包括控制码和染色码,其中,8比特的前三比特为控制码,后五位比特为染色码。例如,染色数据格式为01011101,其中,010为控制码,11101为染色码。通过对该第一待发送报文进行扩展紧急数据区,生成第一待发送报文对应的第一染色标记报文。
子步骤S1023、将所述第一染色标记报文发送至客户端,以使所述客户端的第二socket对象读取所述第一染色标记报文中的所述紧急标记,进入所述紧急受控状态和所述染色子状态。
示范性的,该socket对象包括第二socket对象,第二socket对象位于客户端。染色标记报文包括第一染色标记报文,在获取到生成的第一染色标记报文时,将该第一染色标记报文通过socket会话发送客户端。客户端在接收到第一染色标记报文时,获取该第一染色标记报文中的紧急标记,通过该紧急标记使第二socket对象进入紧急控制状态。在第二socket对象进入紧急控制状态时,获取第一染色标记报文中紧急控制区中的控制码,通过该控制码确定是否对该第二socket对象进入染色使能。例如,获取控制码,将控制码与预置控制码进行比对,获取该控制码对应预置控制码中预置目标控制码对应的标记信息。例如,如下表一所示:
序号 | 紧急控制码(二进制) | 含义 |
1 | 000 | 保留 |
2 | 001 | 染色使能 |
3 | 010 | 保留 |
4 | 011 | 保留 |
5 | 100 | 保留 |
6 | 101 | 保留 |
7 | 110 | 保留 |
8 | 111 | 保留 |
在获取到的控制码为001时,确定对该第二socket对象进行染色使能。在确定对该第二socket对象进行染色使能,从而使该第二socket对象进入染色子状态。例如,在确定对该第二socket对象进行染色使能,通过预先设置对socket会话进行设置,从而使第二socket对象进入染色子状态。
子步骤S1024、接收进入所述紧急受控状态和所述染色子状态的所述第二socket对象对所述第二待发送报文进行染色标记后生成的所述第二染色标记报文。
示范性的,染色标记报文包括第二染色标记报文,待发送报文包括第二待发送报文。在该第二socket对象进入紧急控制状态和染色子状态时,获取并记录第一染色标记报文的紧急数据区中的染色码信息,该染色码信息包括控制码和染色码,将获取的染色码信息与第二socket对象进行关联。
在确定需要向服务器发送第二待发送报文时,确定该第二待发送报文的标记是否为受控。例如,在检测到第二待发送报文进入到SCK,则确定需要向服务器发送第二待发送报文。在确定需要向服务器发送第二待发送报文时,对该第二待发送报文进行标记。检测该第二待发送报文的标记是否为紧急标记,在确定该第二待发送报文为紧急报文时,写入紧急标记。例如,在确定该第二待发送报文为紧急标记时,写入Urgent标记。在第二待发送报文中扩展紧急数据区,并在该紧急数据区中写入之前获取的染色码信息,该染色码信息包括控制码和染色码。
步骤S103:根据所述染色标记报文确定攻击报文,并对所述攻击报文实施黑洞策略。
示范性的,在接收客户端使用第二socket对象通过socket会话发送第二染色标记报文时,通过该第二染色标记报文确定攻击报文,并对确定的攻击报文实施黑洞策略。例如,在接收到第二染色标记报文时,对该第二染色报文进行校验,获取该第二染色标记报文中的染色信息,确定该染色信息是否为预置染色信息;若该染色信息不是预置染色信息,则确定该第二染色标记报文是攻击报文;若该染色信息是预置染色信息,则确定该第二染色标记报文不是攻击报文。在确定该第二染色标记报文为攻击报文时,丢弃该第二染色标记报文。
具体的,所述染色标记报文包括第二染色标记报文,所述根据所述染色标记报文确定攻击报文,包括:根据预置校验策略对所述第二染色标记报文进行校验,确定所述第二染色标记报文为攻击报文。
示范性的,在接收到客户端发送的第二染色标记报文,获取预置校验策略,通过该预置校验策略对第二染色标报文进行校验,确定第二染色标记报文为攻击报文。实施例的,获取第二染色标记报文的染色信息,通过该预置校验策略对该染色信息进行校验,确定该染色信息是否满足预置染色规则;若确定该染色信息满足预置染色规则,则确定该第二染色标记报文不是攻击报文;若确定该第二染色标记报文不满足预置染色规则,则确定该第二染色标记报文是攻击报文。
在本申请实施例中,通过识别可疑报文,以使该可疑报文对应的第一socket对象进入紧急控制状态和染色子状态,通过进入紧急控制状态和染色子状态的第一socket对象对第一待发送报文进行染色标记,生成对应的第一染色标记报文,并将第一染色标记报文发送客户端,以使客户端的第二socket对象进入紧急控制状态和人染色子状态,对第二待发送报文进行染色标记,生成第二染色标记报文,根据接收的第二染色标记报文确定攻击报文,并对攻击报文实施黑洞策略。从而对攻击源头做出有效防攻击处理,避免消耗过多计算资源,提高服务安全性。
请参阅图8,图8是本申请的一实施例提供的另一种防DDOS数据重传攻击方法的示意流程图。
步骤S201、检测所述第二染色标记报文是否为染色使能报文。
示范性的,在接收到客户端发送的第二染色标记报文时,检测该第二染色标记是否为染色使能报文。实施例的,获取待第二染色标记报文的紧急数据区中的控制码,通过该控制码确定该第二染色标记报文是否为染色使能报文。例如,如下表一所示:
序号 | 控制码(二进制) | 含义 |
1 | 000 | 保留 |
2 | 001 | 染色使能 |
3 | 010 | 保留 |
4 | 011 | 保留 |
5 | 100 | 保留 |
6 | 101 | 保留 |
7 | 110 | 保留 |
8 | 111 | 保留 |
当获取到控制码为000时,通过预置信息确定该第二染色标记报文不是染色使能报文;当获取到控制码为001时,通过预置信息确定该第二染色标记报文为染色使能报文。
步骤S202、若确定所述第二染色标记报文为染色使能报文,分别获取所述第二染色标记报文的染色信息和所述第一染色标记报文的染色信息。
示范性的,当获取到控制码为预置控制码,确定该第二染色标记报文为染色使能报文。在确定该第二染色标记报文为染色使能报文时,分别从第一染色标记文本中的紧急数据区中获取染色信息,以及从第二染色标记报文的紧急数据区中获取染色信息,其中,该染色信息包括控制码和染色码。
步骤S203、确定所述第二染色标记报文的染色信息与所述第一染色标记报文的染色信息是否一致。
示范性的,在分别从第一染色标记文本中的紧急数据区中获取染色信息,以及从第二染色标记报文的紧急数据区中获取染色信息时,将第一染色标记文本中的紧急数据区中的染色信息与第二染色标记报文的紧急数据区中的染色信息进行比对。实施例的,该染色信息包控制码和染色码,将该第一染色标记报文的紧急数据区中的控制码和第二染色标记报文的紧急数据区中的控制码进行比对;或,将该第一染色标记报文的紧急数据区中的染色码和第二染色标记报文的紧急数据区中的染色码进行比对;或,将该第一染色标记报文的紧急数据区中的控制码和第二染色标记报文的紧急数据区中的控制码进行比对,以及将该第一染色标记报文的紧急数据区中的染色码和第二染色标记报文的紧急数据区中的染色码进行比对。
步骤S204、若确定所述第二染色标记报文的染色信息与所述第一染色标记报文的染色信息不一致,则确定所述第二染色标记报文为攻击报文。
示范性的,若确定第二染色标记报文的紧急数据区中的染色信息与第一染色标记报文中的染色信息不一致,则确定该第二染色标记报文为攻击报文。实施例的,若第一染色标记报文的紧急数据区中的控制码和第二染色标记报文的紧急数据区中的控制码不一致,则确定该第二染色标记报文为攻击报文。例如,当获取到第一染色标记报文的紧急数据区中的染色信息为00111010,第一染色标记报文的紧急数据区中的染色信息为01111010,该第一染色标记报文的控制码001与第二染色标记报文中的011不一致,则确定该第二染色标记报文为攻击报文。
或,第一染色标记报文的紧急数据区中的染色码和第二染色标记报文的紧急数据区中的染色码不一致,则确定该第二染色标记报文为攻击报文。实施例的,当获取到第一染色标记报文的紧急数据区中的染色信息为00111010,第一染色标记报文的紧急数据区中的染色信息为00111011,该第一染色标记报文的控制码11010与第二染色标记报文中的11011不一致,则确定该第二染色标记报文为攻击报文。
或,该第一染色标记报文的紧急数据区中的控制码和第二染色标记报文的紧急数据区中的控制码不一致,以及将该第一染色标记报文的紧急数据区中的染色码和第二染色标记报文的紧急数据区中的染色码不一致。实施例的,当获取到第一染色标记报文的紧急数据区中的染色信息为00111010,第一染色标记报文的紧急数据区中的染色信息为01111011,该第一染色标记报文的控制码001与第二染色标记报文中的011不一致,以及该第一染色标记报文的控制码11010与第二染色标记报文中的11011不一致,则确定该第二染色标记报文为攻击报文。
步骤S205、若确定所述第二染色标记报文的染色信息与所述第一染色标记报文的染色信息一致,则确定所述第二染色标记报文是否为重传数据报文。
示范性的,当确定第二染色标记报文的染色信息与第一染色标记报文的染色信息一致,则确定该第二染色标记是否为重传数据报文。实施例的,获取第二染色标记报文的ACK ID信息,将该ACK ID信息与其它socket对象的报文的ACK ID信息进行匹配,若其它socket对象的报文的ACK ID信息与该第二染色标记报文的ACK ID信息一致,则确定该第二染色标记报文为重传数据报文。
步骤S206、若确定所述第二染色标记报文不是染色使能报文,检测所述第一socket对象是否接收到正确染色码。
示范性的,在确定第二染色标记报文不是染色使能报文,检测该第一socket对象是否接收到正确染色码。例如,在确定第二染色标记报文不是染色使能报文,通过检测待第一socket对象是否接收到正确染色码。
步骤S207、若所述第一socket对象接收到正确染色码,则确定所述第二染色标记报文为攻击报文。
示范性的,当确定该第一socket对象接收到正确的染色码,则确定该第二染色标记报文为攻击报文。在确定该第二染色标记报文为攻击报文,则将该第二染色标记报文丢弃,不再接收该第二染色标记报文。
步骤S208、若所述第一socket对象未收到正确染色码,则确定所述第二染色标记报文是否为重传数据报文。
示范性的,在确定该第一socket对象未接收到正确的染色码,确定该第二染色标记报文是否为重传数据报文。实施例的,获取第二染色标记报文的ACK ID信息,将该ACK ID信息与其它socket对象的报文的ACK ID信息进行匹配,若其它socket对象的报文的ACK ID信息与该第二染色标记报文的ACK ID信息一致,则确定该第二染色标记报文为重传数据报文。
步骤S209、若确定所述第二染色标记报文是重传数据报文,则确定所述第二染色标记报文为攻击报文。
示范性的,在确定该第二染色标记报文是重传数据报文,则确定该第二染色标记报文为攻击报文。在确定该第二染色标记报文为攻击报文,则将该第二染色标记报文丢弃,不再接收该第二染色标记报文。
在本申请实施例中,通过确定第二染色标记报文是否染色使能报文,在确定第二染色标记报文为染色使能报文时,通过比对ACK ID序列,确定该第二染色标记报文是否为重传数据报文,以及确定该第二染色标记报文为攻击报文,在确定为重传数据报文时,确定该第二染色标记报文为攻击报文。在确定第二染色标记不是染色使能报文时,检测该第一socket对象是否接收到正确染色码,在确定该第一socket对象接收过正确染色码时,确定该第二染色标记报文为攻击报文。在确定该socket对象未接收过正确染色码,确定该第二染色标记报文是否为重传数据报文,在确定该第二染色标记报文是重传数据报文,则确定该第二染色标记报文为攻击报文。通过预置校验策略中的多种校验方式对该第二染色标记报文进行校验,准确的检测到攻击报文,从而避免遭受DOSS攻击,提高了服务安全性。
请参照图9,图9为本申请实施例提供的一种防DDOS数据重传攻击装置的示意性框图。
如图9所示,该防DDOS数据重传攻击装置300,包括:识别模块301、生成模块302、确定模块303。
识别模块301,用于识别可疑报文,使所述可疑报文对应的socket对象进入紧急控制状态和染色子状态;
生成模块302,用于根据进入所述紧急控制状态和所述染色子状态的socket对象对待发送报文进行染色标记,生成染色标记报文;
确定模块303,用于根据所述染色标记报文确定攻击报文,并对所述攻击报文实施黑洞策略。
其中,生成模块302具体还用于:
通过进入所述紧急控制状态和所述染色子状态的第一socket对象,对所述第一待发送报文进行紧急标记;
并对所述第一待发送报文扩展紧急数据区,生成所述第一待发送报文对应的所述第一染色标记报文,其中,所述紧急数据区包括控制码和染色码。
其中,防DDOS数据重传攻击装置300具体还用于:
将所述第一染色标记报文发送至客户端,以使所述客户端的第二socket对象读取所述第一染色标记报文中的所述紧急标记,进入所述紧急受控状态和所述染色子状态;
接收进入所述紧急受控状态和所述染色子状态的所述第二socket对象对所述第二待发送报文进行染色标记后生成的所述第二染色标记报文。
其中,确定模块303具体还用于:
根据预置校验策略对所述第二染色标记报文进行校验,确定所述第二染色标记报文为攻击报文。
其中,确定模块303具体还用于:
检测所述第二染色标记报文是否为染色使能报文;
若确定所述第二染色标记报文为染色使能报文,分别获取所述第二染色标记报文的染色信息和所述第一染色标记报文的染色信息;
确定所述第二染色标记报文的染色信息与所述第一染色标记报文的染色信息是否一致;
若确定所述第二染色标记报文的染色信息与所述第一染色标记报文的染色信息不一致,则确定所述第二染色标记报文为攻击报文;
若确定所述染色信息与所述第一染色标记报文的染色信息一致,则确定所述第二染色标记报文是否为重传数据报文;
若确定所述第二染色标记报文是重传数据报文,则确定所述第二染色标记报文为攻击报文。
其中,确定模块303具体还用于:
若确定所述第二染色标记报文不是染色使能报文,检测所述第一socket对象是否接收到正确染色码;
若所述第一socket对象接收到正确染色码,则确定所述第二染色标记报文为攻击报文;
若所述第一socket对象未收到正确染色码,则确定所述第二染色标记报文是否为重传数据报文;
若确定所述第二染色标记报文是重传数据报文,则确定所述第二染色标记报文为攻击报文。
其中,防DDOS数据重传攻击装置具体还用于:
识别模块301需要说明的是,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的装置和各模块及单元的具体工作过程,可以参考前述防DDOS数据重传攻击方法实施例中的对应过程,在此不再赘述。
上述实施例提供的装置可以实现为一种计算机程序的形式,该计算机程序可以在如图10所示的计算机设备上运行。
请参阅图10,图10为本申请实施例提供的一种计算机设备的结构示意性框图。该计算机设备可以为终端。
如图10所示,该计算机设备包括通过***总线连接的处理器、存储器和网络接口,其中,存储器可以包括非易失性存储介质和内存储器。
非易失性存储介质可存储操作***和计算机程序。该计算机程序包括程序指令,该程序指令被执行时,可使得处理器执行任意一种防DDOS数据重传攻击方法。
处理器用于提供计算和控制能力,支撑整个计算机设备的运行。
内存储器为非易失性存储介质中的计算机程序的运行提供环境,该计算机程序被处理器执行时,可使得处理器执行任意一种防DDOS数据重传攻击方法。
该网络接口用于进行网络通信,如发送分配的任务等。本领域技术人员可以理解,图10中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
应当理解的是,处理器可以是中央处理单元(Central Processing Unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
其中,在一个实施例中,所述处理器用于运行存储在存储器中的计算机程序,以实现如下步骤:
识别可疑报文,使所述可疑报文对应的socket对象进入紧急控制状态和染色子状态;
根据进入所述紧急控制状态和所述染色子状态的socket对象对待发送报文进行染色标记,生成染色标记报文;
根据所述染色标记报文确定攻击报文,并对所述攻击报文实施黑洞策略。
在一个实施例中,所述处理器socket对象包括第一socket对象,所述待发送报文包括第一待发送报文,所述染色标记报文包括第一染色标记报文,所述根据进入所述紧急控制状态和所述染色子状态的socket对象对待发送报文进行染色标记,生成染色标记报文实现时,用于实现:
通过进入所述紧急控制状态和所述染色子状态的第一socket对象,对所述第一待发送报文进行紧急标记;
并对所述第一待发送报文扩展紧急数据区,生成所述第一待发送报文对应的所述第一染色标记报文,其中,所述紧急数据区包括控制码和染色码。
在一个实施例中,所述处理器socket对象包括第二socket对象,所述待发送报文包括第二待发送报文,所述染色标记报文包括第二染色标记报文,所述生成所述第一待发送报文对应的所述第一染色标记报文之后实现时,用于实现:
将所述第一染色标记报文发送至客户端,以使所述客户端的第二socket对象读取所述第一染色标记报文中的所述紧急标记,进入所述紧急受控状态和所述染色子状态;
接收进入所述紧急受控状态和所述染色子状态的所述第二socket对象对所述第二待发送报文进行染色标记后生成的所述第二染色标记报文。
在一个实施例中,所述处理器染色标记报文包括第二染色标记报文,所述根据所述染色标记报文确定攻击报文实现时,用于实现:
根据预置校验策略对所述第二染色标记报文进行校验,确定所述第二染色标记报文为攻击报文。
在一个实施例中,所述处理器染色标记报文包括第一染色标记报文,所述根据预置校验策略对所述第二染色标记报文进行校验,确定所述第二染色标记报文为攻击报文实现时,用于实现:
检测所述第二染色标记报文是否为染色使能报文;
若确定所述第二染色标记报文为染色使能报文,分别获取所述第二染色标记报文的染色信息和所述第一染色标记报文的染色信息;
确定所述第二染色标记报文的染色信息与所述第一染色标记报文的染色信息是否一致;
若确定所述第二染色标记报文的染色信息与所述第一染色标记报文的染色信息不一致,则确定所述第二染色标记报文为攻击报文;
若确定所述染色信息与所述第一染色标记报文的染色信息一致,则确定所述第二染色标记报文是否为重传数据报文;
若确定所述第二染色标记报文是重传数据报文,则确定所述第二染色标记报文为攻击报文。
在一个实施例中,所述处理器其中,所述socket对象包括第一socket对象,所述检测所述第二染色标记报文是否为染色使能报文之后实现时,用于实现:
若确定所述第二染色标记报文不是染色使能报文,检测所述第一socket对象是否接收到正确染色码;
若所述第一socket对象接收到正确染色码,则确定所述第二染色标记报文为攻击报文;
若所述第一socket对象未收到正确染色码,则确定所述第二染色标记报文是否为重传数据报文;
若确定所述第二染色标记报文是重传数据报文,则确定所述第二染色标记报文为攻击报文。
在一个实施例中,所述处理器识别可疑报文实现时,用于实现:
接收客户端发送的报文,识别所述报文携带的ACK ID信息;
根据所述ACK ID信息,确定所述报文在预置采样周期内是否为重传数据报文;
若确定所述报文为重传数据报文,则确定所述报文为可疑报文。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序中包括程序指令,所述程序指令被执行时所实现的方法可参照本申请防DDOS数据重传攻击方法的各个实施例。
其中,所述计算机可读存储介质可以是前述实施例所述的计算机设备的内部存储单元,例如所述计算机设备的硬盘或内存。所述计算机可读存储介质也可以是所述计算机设备的外部存储设备,例如所述计算机设备上配备的插接式硬盘,智能存储卡(SmartMedia Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者***不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者***所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者***中还存在另外的相同要素。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (8)
1.一种防DDOS数据重传攻击的方法,其特征在于,应用于服务器端,所述方法包括:
识别可疑报文,使所述可疑报文对应的socket对象进入紧急控制状态和染色子状态;
根据进入所述紧急控制状态和所述染色子状态的socket对象对待发送报文进行染色标记,生成染色标记报文;
根据所述染色标记报文确定攻击报文,并对所述攻击报文实施黑洞策略;
所述socket对象包括第一socket对象,所述待发送报文包括第一待发送报文,所述染色标记报文包括第一染色标记报文,所述根据进入所述紧急控制状态和所述染色子状态的socket对象对待发送报文进行染色标记,生成染色标记报文,包括:
通过进入所述紧急控制状态和所述染色子状态的第一socket对象对所述第一待发送报文进行紧急标记;
并对所述第一待发送报文扩展紧急数据区,生成所述第一待发送报文对应的所述第一染色标记报文,其中,所述紧急数据区包括控制码和染色码;所述socket对象包括第二socket对象,所述待发送报文包括第二待发送报文,所述染色标记报文包括第二染色标记报文,所述生成所述第一待发送报文对应的所述第一染色标记报文之后,还包括:
将所述第一染色标记报文发送至客户端,以使所述客户端的第二socket对象读取所述第一染色标记报文中的所述紧急标记,进入所述紧急控制状态和所述染色子状态;
接收进入所述紧急控制状态和所述染色子状态的所述第二socket对象对所述第二待发送报文进行染色标记后生成的所述第二染色标记报文。
2.根据权利要求1所述的防DDOS数据重传攻击的方法,其特征在于,所述染色标记报文包括第二染色标记报文,所述根据所述染色标记报文确定攻击报文,包括:
根据预置校验策略对所述第二染色标记报文进行校验,确定所述第二染色标记报文为攻击报文。
3.根据权利要求2所述的防DDOS数据重传攻击的方法,其特征在于,所述染色标记报文包括第一染色标记报文,所述根据预置校验策略对所述第二染色标记报文进行校验,确定所述第二染色标记报文为攻击报文,包括:
检测所述第二染色标记报文是否为染色使能报文;
若确定所述第二染色标记报文为染色使能报文,分别获取所述第二染色标记报文的染色信息和所述第一染色标记报文的染色信息;
确定所述第二染色标记报文的染色信息与所述第一染色标记报文的染色信息是否一致;
若确定所述第二染色标记报文的染色信息与所述第一染色标记报文的染色信息不一致,则确定所述第二染色标记报文为攻击报文;
若确定所述染色信息与所述第一染色标记报文的染色信息一致,则确定所述第二染色标记报文是否为重传数据报文;
若确定所述第二染色标记报文是重传数据报文,则确定所述第二染色标记报文为攻击报文。
4.根据权利要求3所述的防DDOS数据重传攻击的方法,其特征在于,其中,所述socket对象包括第一socket对象,所述检测所述第二染色标记报文是否为染色使能报文之后,还包括:
若确定所述第二染色标记报文不是染色使能报文,检测所述第一socket对象是否接收到正确染色码;
若所述第一socket对象接收到正确染色码,则确定所述第二染色标记报文为攻击报文;
若所述第一socket对象未收到正确染色码,则确定所述第二染色标记报文是否为重传数据报文;
若确定所述第二染色标记报文是重传数据报文,则确定所述第二染色标记报文为攻击报文。
5.根据权利要求1所述的防DDOS数据重传攻击的方法,其特征在于,所述识别可疑报文,包括:
接收客户端通过发送的报文,识别所述报文携带的ACK ID信息;
根据所述ACK ID信息,确定所述报文在预置采样周期内是否为重传数据报文;
若确定所述报文为重传数据报文,则确定所述报文为可疑报文。
6.一种防DDOS数据重传攻击装置,其特征在于,所述防DDOS数据重传攻击装置包括:
识别模块,用于识别可疑报文,使所述可疑报文对应的socket对象进入紧急控制状态和染色子状态;
生成模块,用于根据进入所述紧急控制状态和所述染色子状态的socket对象对待发送报文进行染色标记,生成染色标记报文;
确定模块,用于根据所述染色标记报文确定攻击报文,并对所述攻击报文实施黑洞策略;
所述socket对象包括第一socket对象,所述待发送报文包括第一待发送报文,所述染色标记报文包括第一染色标记报文,所述根据进入所述紧急控制状态和所述染色子状态的socket对象对待发送报文进行染色标记,生成染色标记报文,包括:
通过进入所述紧急控制状态和所述染色子状态的第一socket对象对所述第一待发送报文进行紧急标记;
并对所述第一待发送报文扩展紧急数据区,生成所述第一待发送报文对应的所述第一染色标记报文,其中,所述紧急数据区包括控制码和染色码;所述socket对象包括第二socket对象,所述待发送报文包括第二待发送报文,所述染色标记报文包括第二染色标记报文,所述生成所述第一待发送报文对应的所述第一染色标记报文之后,还包括:
将所述第一染色标记报文发送至客户端,以使所述客户端的第二socket对象读取所述第一染色标记报文中的所述紧急标记,进入所述紧急控制状态和所述染色子状态;
接收进入所述紧急控制状态和所述染色子状态的所述第二socket对象对所述第二待发送报文进行染色标记后生成的所述第二染色标记报文。
7.一种计算机设备,其特征在于,所述计算机设备包括处理器、存储器、以及存储在所述存储器上并可被所述处理器执行的计算机程序,其中所述计算机程序被所述处理器执行时,实现如权利要求1至5中任一项所述的防DDOS数据重传攻击方法的步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,其中所述计算机程序被处理器执行时,实现如权利要求1至5中任一项所述的防DDOS数据重传攻击方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111228917.3A CN114039747B (zh) | 2021-10-21 | 2021-10-21 | 防ddos数据重传攻击方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111228917.3A CN114039747B (zh) | 2021-10-21 | 2021-10-21 | 防ddos数据重传攻击方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114039747A CN114039747A (zh) | 2022-02-11 |
CN114039747B true CN114039747B (zh) | 2023-05-16 |
Family
ID=80135090
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111228917.3A Active CN114039747B (zh) | 2021-10-21 | 2021-10-21 | 防ddos数据重传攻击方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114039747B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101729513A (zh) * | 2008-10-27 | 2010-06-09 | 成都市华为赛门铁克科技有限公司 | 网络认证方法和装置 |
CN109842631A (zh) * | 2019-03-21 | 2019-06-04 | 安徽威尔信通信科技有限责任公司 | 一种网络信息安全智能分析*** |
CN110035031A (zh) * | 2018-01-11 | 2019-07-19 | 阿里巴巴集团控股有限公司 | 一种sql注入的检测方法及数据处理方法 |
CN110213204A (zh) * | 2018-03-13 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 攻击防护方法及装置、设备及可读存储介质 |
CN110912904A (zh) * | 2019-11-27 | 2020-03-24 | 腾讯科技(深圳)有限公司 | 恶意设备识别方法、装置、存储介质和计算机设备 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6975647B2 (en) * | 2001-11-13 | 2005-12-13 | Ems Technologies Canada, Ltd | Enhancements for TCP performance enhancing proxies |
US7992192B2 (en) * | 2006-12-29 | 2011-08-02 | Ebay Inc. | Alerting as to denial of service attacks |
-
2021
- 2021-10-21 CN CN202111228917.3A patent/CN114039747B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101729513A (zh) * | 2008-10-27 | 2010-06-09 | 成都市华为赛门铁克科技有限公司 | 网络认证方法和装置 |
CN110035031A (zh) * | 2018-01-11 | 2019-07-19 | 阿里巴巴集团控股有限公司 | 一种sql注入的检测方法及数据处理方法 |
CN110213204A (zh) * | 2018-03-13 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 攻击防护方法及装置、设备及可读存储介质 |
CN109842631A (zh) * | 2019-03-21 | 2019-06-04 | 安徽威尔信通信科技有限责任公司 | 一种网络信息安全智能分析*** |
CN110912904A (zh) * | 2019-11-27 | 2020-03-24 | 腾讯科技(深圳)有限公司 | 恶意设备识别方法、装置、存储介质和计算机设备 |
Non-Patent Citations (1)
Title |
---|
基于IPv6的大规模网络异常流量检测***设计;王劲松;李军燕;张洪玮;宫良一;;计算机工程(10);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114039747A (zh) | 2022-02-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109309685B (zh) | 信息传输方法和装置 | |
CN104038490B (zh) | 一种通信安全校验方法及其装置 | |
CN106165339A (zh) | 用于在通信过程中改进数据安全性的方法和*** | |
US10298508B2 (en) | Communication system, receiving-side apparatus and transmission-side apparatus | |
CN113536284B (zh) | 一种数字证书的验证方法、装置、设备和存储介质 | |
CN108683606B (zh) | IPsec防重放的方法、装置、网络设备及可读存储介质 | |
CN108234441B (zh) | 确定伪造访问请求的方法、装置、电子设备和存储介质 | |
CN110619022B (zh) | 基于区块链网络的节点检测方法、装置、设备及存储介质 | |
CN111865557B (zh) | 一种校验码生成方法及装置 | |
CN103229486B (zh) | 批量文件传输方法及设备 | |
CN113434474B (zh) | 基于联邦学习的流量审计方法、设备、存储介质 | |
CN114039747B (zh) | 防ddos数据重传攻击方法、装置、设备及存储介质 | |
EP3748913A1 (en) | Link bandwidth utilization rate acquisition method and device, and terminal | |
US9036659B2 (en) | Method for transferring network event protocol messages | |
CN105099930B (zh) | 加密数据流流量控制方法及装置 | |
CN114710316B (zh) | 带内遥测数据验证方法及白盒交换机 | |
CN114449504B (zh) | 一种nfc标签的验证方法、电子设备及存储介质 | |
CN113169883B (zh) | 数字证书的验证方法和验证装置 | |
CN104579557A (zh) | 一种多节点间数据完整性传输方法 | |
CN114070801A (zh) | 报文处理方法、报文传输方法、装置及电子设备 | |
JP2019029921A (ja) | 送信装置、受信装置、及び通信方法 | |
CN114065302A (zh) | 数据处理方法、装置、设备、介质和区块链网络 | |
CN109194490B (zh) | 一种配电网通信安全认证***及方法 | |
CN114301600B (zh) | 一种提高http报文签名安全性的方法、装置及介质 | |
CN113873035A (zh) | 一种文件传输方法、装置,文件传输设备及用户终端 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |