CN114584338B - 基于Nftables的白盒交换机安全防护方法、装置及存储介质 - Google Patents
基于Nftables的白盒交换机安全防护方法、装置及存储介质 Download PDFInfo
- Publication number
- CN114584338B CN114584338B CN202111669420.5A CN202111669420A CN114584338B CN 114584338 B CN114584338 B CN 114584338B CN 202111669420 A CN202111669420 A CN 202111669420A CN 114584338 B CN114584338 B CN 114584338B
- Authority
- CN
- China
- Prior art keywords
- data
- flood
- white
- box switch
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000001914 filtration Methods 0.000 claims abstract description 25
- 238000004590 computer program Methods 0.000 claims description 4
- 230000001960 triggered effect Effects 0.000 claims description 4
- 230000007123 defense Effects 0.000 abstract description 4
- 238000004891 communication Methods 0.000 abstract description 2
- 230000000694 effects Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000007547 defect Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/50—Overload detection or protection within a single switching element
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/60—Software-defined switches
- H04L49/602—Multilayer or multiprotocol switching, e.g. IP switching
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/16—Obfuscation or hiding, e.g. involving white box
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种基于Nftables的白盒交换机安全防护方法、装置及存储介质,涉及通信安全技术领域,能够识别、阻断针对白盒交换机操作***的恶意Flood攻击,为白盒交换机提供实时攻击防御。本发明包括:白盒交换机通过Nftables为本地的INPUT节点注册安全防护策略,所述白盒交换机对于接收到的数据,执行注册在所述INPUT节点上的安全防护策略,其中,所述安全防护策略包括:黑白名单过滤环节、Flood保护环节和协议限速环节。对于通过所述黑白名单过滤环节并且通过所述Flood保护环节的数据,进一步执行所述协议限速环节。
Description
技术领域
本发明涉及通信安全技术领域,尤其涉及一种基于Nftables的白盒交换机安全防护方法、装置及存储介质。
背景技术
随着SD-WAN技术的发展,白盒交换机的身影正逐步出现在智能城域接入、汇聚、骨干等各种网络场景,而非局限于数据中心环境,但这也势必会给白盒交换机带来前所未有的安全挑战。没有了数据中心防火墙的保护,运营商网络节点中的白盒设备很容易暴露在黑客的视线下,成为攻击目标。
对于开放可编程的白盒交换机产品本身来说,由于其基于ONL操作***,ONL***本身具有代码量大、复杂性高的特点,往往一些隐藏的***漏洞成为影响白盒交换机高效稳定运行的风险点。不管是产品设计实现过程中的缺陷、开源框架中携带的漏洞、抑或是安全策略设置上的人为疏忽,都可能成为产品的软肋。
目前很多恶意攻击就是针对白盒交换机产品的这种缺陷进行的,尤其是针对白盒交换机操作***的恶意Flood攻击,对开放可编程的白盒交换机产品的应用造成了不小的障碍。因此如何有效得识别、阻断针对白盒交换机操作***的恶意Flood攻击,为白盒交换机提供实时攻击防御,又可实现有效的访问控制,成为了需要研究并解决的问题。
发明内容
本发明的实施例提供一种基于Nftables的白盒交换机安全防护方法、装置及存储介质,能够有效得识别、阻断针对白盒交换机操作***的恶意Flood攻击,为白盒交换机提供实时攻击防御,又可实现有效的访问控制。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,本发明的实施例提供的方法,包括:
白盒交换机通过Nftables为本地的INPUT节点注册安全防护策略,其中,INPUT节点部署在网络层,所述INPUT节点用于将通过所述网络层接收到的数据向应用层的应用程序发送。
所述白盒交换机对于接收到的数据,执行注册在所述INPUT节点上的安全防护策略,其中,所述安全防护策略包括:黑白名单过滤环节、Flood保护环节和协议限速环节。
对于通过所述黑白名单过滤环节并且通过所述Flood保护环节的数据,进一步执行所述协议限速环节。
第二方面,本发明的实施例提供的装置,包括:
所述装置运行在白盒交换机上,所述白盒交换机用于通过Nftables为本地的INPUT节点注册安全防护策略,其中,INPUT节点部署在网络层,所述INPUT节点用于将通过所述网络层接收到的数据向应用层的应用程序发送。
所述装置包括:
安全防护策略模块,用于所述白盒交换机对于接收到的数据,执行注册在所述INPUT节点上的安全防护策略。其中,对于通过所述黑白名单过滤环节并且通过所述Flood保护环节的数据,进一步执行所述协议限速环节。
安全防护策略模块包括:黑白名单过滤单元、Flood保护单元和协议限速单元。
第三方面,本发明的实施例提供一种存储介质,存储有计算机程序或指令,当所述计算机程序或指令被运行时,实现本实施例中的方法。
本发明实施例提供的基于Nftables的白盒交换机安全防护方法、装置及存储介质,提出了一种基于nftables包过滤框架的白盒交换机本机安全防护方法,该方法在充分考虑了白盒交换机功能实现架构和常见业务场景的前提下为白盒交换机设计了一套高效、轻量化的多层级本机安全防护组件架构,从抗DoS攻击、应用信任、协议限速等方面保障白盒交换机操作***控制面安全。且支持白盒交换机厂商、企业用户、运营商根据业务或使用需求进行安全策略的灵活配置和策略在协议栈中生效位置的按需选择。本实施例可实现白盒交换机自身业务功能场景下的***资源保护。如四层负载均衡业务实现中存在数据面与控制面的数据交互,首包通过摘要信息方式进行数据面向控制面的信息上报,大流量场景下可能造成CPU冲击,本发明可针对特定业务定制协议限速和重复报文丢弃策略,保障白盒交换机控制面安全。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的白盒交换机操作***协议栈数据处理流程示意图;
图2为本发明实施例提供的白盒交换机本机安全防护架构示意图;
图3为本发明实施例提供的方法流程示意图;
图4为本发明实施例提供的装置结构示意图。
具体实施方式
为使本领域技术人员更好地理解本发明的技术方案,下面结合附图和具体实施方式对本发明作进一步详细描述。下文中将详细描述本发明的实施方式,所述实施方式的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样定义,不会用理想化或过于正式的含义来解释。
传统的网络安全架构往往基于网络边界进行防护,在构建网络安全体系时,首先将网络划分区域(内网、外网、DMZ(Demilitarized Zone,隔离区)、服务器),然后在不同的网络区域边界上放置安全防护设备,如防火墙、入侵防御、WAF(Web ApplicationFirewall,网站应用级入侵防御***)设备等等,这种架构某种程度上默认了内网的安全性。然而大多数交换机的安全威胁主要来自于局域网内部。其中,DMZ主要是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全***与安全***之间的缓冲区。WAF用于通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护。
白盒交换机设备基于ONL(Open Network Linux,开放网络操作***)操作***,ONL是一款为白盒交换机而设计的开源Linux操作***,ONL***本身具有高复杂性的特点,隐藏的***漏洞成为影响白盒交换机高效稳定运行的风险点。为解决该问题,本实施例为白盒交换机构建轻量级的本机防火墙***,可针对SYN Flood、UDP Flood、ICMP Flood等常见的网络DoS(Denial of Service,拒绝服务),造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。攻击提供实时检测及阻断,保障白盒交换机操作***资源免受冲击。从而为白盒交换机构建零信任的安全模式,仅对可信任用户、应用、流量开放***访问权限,阻断一切可能产生的漏洞利用和渗透入侵。
大致的设计思路在于:结合白盒交换机业务场景提出一种基于Nftables的本机安全防护方法。该方法既能识别、阻断针对白盒交换机操作***的恶意Flood攻击,为白盒交换机提供实时攻击防御,又可通过流量过滤策略和协议限速策略的灵活设定实现有效访问控制,保障白盒交换机的控制面安全。
本发明实施例提供一种基于Nftables的白盒交换机安全防护方法,如图3所示,包括:
S1、白盒交换机通过Nftables为本地的INPUT节点注册安全防护策略。
其中,INPUT节点部署在网络层,所述INPUT节点用于将通过所述网络层接收到的数据向应用层的应用程序发送。本实施例中,白盒交换机自身的基础操作***ONL基于Linux内核,控制面CPU收发数据报文主要来自于交换机面板管理接口以及交换芯片连接接口,并且利用了Linux内核的Netfliter框架,该框架是Linux内核中进行数据包过滤、连接跟踪、网络地址转换等功能的主要实现框架,Netfilter在网络协议栈处理数据包的关键流程中定义了一系列钩子节点,注册相关函数以实现对数据包的处理。以控制面CPU收发IP报文为例,白盒交换机操作***协议栈的主要数据处理流程如图1所示。其中,白盒交换机控制面CPU主要数据流向包括:接收数据:PREROUTING->INPUT->应用程序;发送数据:应用程序->OUTPUT->POSTROUTING;路由转发数据:PREROUTING->FORWARD->POSTROUTING。
可以用户在白盒交换机上进行操作,来进行安全防护方面的配置。白盒交换机则根据用户的操作,完成本地的安全防护策略的注册,其中,白盒交换机利用了Nftables这一工具在INPUT节点上实行注册动作。通常而言,INPUT节点也对应建立了注册表等存储方式,用于记录被注册进来的安全防护策略。
S2、所述白盒交换机对于接收到的数据,执行注册在所述INPUT节点上的安全防护策略。
其中,所述安全防护策略包括:黑白名单过滤环节、Flood保护环节和协议限速环节。具体的,Nftables是一个用于适配Netfliter网络子***的开源数据包过滤组件,可解决现有Iptables工具存在的诸多限制,包含性能优化、查询表支持、事务型规则更新、规则自动应用等。本发明通过Nftables向INPUT节点注册安全防护策略。本实施例旨在为白盒交换机构建轻量级的本机防火墙***,因此将基于控制面CPU接收数据流程对INPUT钩子节点进行注册函数改造以达到本机安全防护的目的。实际应用中,白盒交换机厂商可自行设定缺省策略,针对访问本机的流量,仅放行业务相关服务端口的TCP流量。企业用户或运营商用户可根据实际应用场景自定义注册在INPUT节点的黑白名单策略。
在实际应用中,白盒交换机会被部署在数据中心、骨干网等场景,并承担作为通常意义上的“交换机”的工作。白盒交换机接收到的数据,主要就是报文类型的数据。
S3、对于通过所述黑白名单过滤环节并且通过所述Flood保护环节的数据,进一步执行所述协议限速环节。
本实施例中,黑白名单过滤环节、Flood保护环节和协议限速环节,可以采用如下的程序脚本实现,并用计算机程序或指令的形式存储在存储介质中,其中包括:
黑白名单过滤环节
Flood保护环节
协议限速环节
本实施例中,在所述黑白名单过滤环节中,如图2所示的,包括:
在接收到的数据中,对于符合IPv4或者IPv6的数据,检测是否匹配黑名单。不符合则INPUT流程结束。若否则检测数据是否匹配白名单放行策略,若是则将数据输入所述Flood保护环节,若否则丢弃数据。
在所述Flood保护环节中,包括:若触发Flood保护开启,则检测数据是否为TCP连接、UDP报文或ICMP回显请求报文中的任意一项,若否则将数据输入所述协议限速环节。若是则检测数据是否匹配Flood允许列表,若匹配所述Flood允许列表,则将数据输入所述协议限速环节。若不匹配所述Flood允许列表,则检测数据是否匹配Flood拒绝列表。若数据不匹配所述Flood拒绝列表,则检测数据发送方的连接速率是否超过Flood保护配置速率,若超过则将所述数据发送方更新至所述Flood拒绝列表。若不超过则将数据输入所述协议限速环节。若数据匹配所述Flood拒绝列表,则丢弃数据。
当检测到数据不匹配所述白名单放行策略,或者检测到数据不匹配所述Flood拒绝列表时,丢弃数据。其中,未命中黑名单策略的TCP连接、UDP报文或ICMP回显请求报文将被Flood保护策略实时监控。***发现可疑TCP SYN Flood/UDP Flood/ICMP Flood攻击,并将攻击源地址信息自动加入拒绝列表,***默认丢弃来自攻击源的访问流量。用户经过安全运维分析后可选择手动将拒绝列表中的主机地址移除,移出拒绝列表的主机流量将不会被***直接丢弃,但仍受Flood保护策略监控。用户可根据需求将可信主机加入允许列表,允许列表中的主机流量不受Flood保护策略监控。
进一步的,在所述协议限速环节,包括:当所述协议限速开启时,检测数据发送方的连接速率是否超出限制速率,若超过则丢弃超速报文。实际应用中,白盒交换机厂商可根据具体业务实现需要或运维需要设定相关协议限速策略。使用者可根据需要选择是否开启针对特定协议的限速功能。
具体举例来说,本实施例应用在白盒交换机上,可以用于防御pingflood,其中,白盒交换机设置nft防御规则如下:
规则说明:通过限制每秒icmp echo-request的接收数量实现抵御ping flood攻击的效果,burst代表初始最大峰值。在实际测试中,可以用hping3工具对目标白盒交换机发动ping flood攻击。实际的测试效果:白盒交换机安全防护模块显示icmp echo-request包接收和拦截的数量,成功防御ping flood攻击。
还可以用于防御Dos攻击,其中,限制每个白盒交换机主机IP最大连接数,将每个主机IP的SSH最大连接数限制为1:
实际的测试效果:这时每个白盒交换机主机IP同时只能保持一个SSH连接。此外,还可通过限制每个IP最大连接数和新建连接的速率来更好的实现DoS攻击防御效果。
本实施例还提供一种基于Nftables的白盒交换机本机安全防护装置,所述装置运行在白盒交换机上,所述白盒交换机用于通过Nftables为本地的INPUT节点注册安全防护策略,其中,INPUT节点部署在网络层,所述INPUT节点用于将通过所述网络层接收到的数据向应用层的应用程序发送。如图4所示的,所述装置包括:
安全防护策略模块,用于所述白盒交换机对于接收到的数据,执行注册在所述INPUT节点上的安全防护策略;其中,对于通过所述黑白名单过滤环节并且通过所述Flood保护环节的数据,进一步执行所述协议限速环节。
安全防护策略模块包括:黑白名单过滤单元、Flood保护单元和协议限速单元。
其中,所述黑白名单过滤单元用于在接收到的数据中,对于符合IPv4或者IPv6的数据,检测是否匹配黑名单;若否则检测数据是否匹配白名单放行策略,若是则将数据输入所述Flood保护环节。
所述Flood保护单元,用于若触发Flood保护开启,则检测数据是否为TCP连接、UDP报文或ICMP回显请求报文中的任意一项,若否则将数据输入所述协议限速单元;若是则检测数据是否匹配Flood允许列表,若匹配所述Flood允许列表,则将数据输入所述协议限速单元;若不匹配所述Flood允许列表,则检测数据是否匹配Flood拒绝列表;若数据不匹配所述Flood拒绝列表,则检测数据发送方的连接速率是否超过Flood保护配置速率,若超过则将所述数据发送方更新至所述Flood拒绝列表;若不超过则将数据输入所述协议限速单元;当检测到数据不匹配所述白名单放行策略,或者检测到数据不匹配所述Flood拒绝列表时,丢弃数据。
所述协议限速单元,用于当所述协议限速开启时,检测数据发送方的连接速率是否超出限制速率,若超过则丢弃超速报文。
本发明的实施例还提供一种存储介质,存储有计算机程序或指令,当所述计算机程序或指令被运行时,实现本实施例中的方法。
本实施例提出了一种基于nftables包过滤框架的白盒交换机本机安全防护方法,该方法在充分考虑了白盒交换机功能实现架构和常见业务场景的前提下为白盒交换机设计了一套高效、轻量化的多层级本机安全防护组件架构,从抗DoS攻击、应用信任、协议限速等方面保障白盒交换机操作***控制面安全。且支持白盒交换机厂商、企业用户、运营商根据业务或使用需求进行安全策略的灵活配置和策略在协议栈中生效位置的按需选择。
本实施例可实现白盒交换机自身业务功能场景下的***资源保护。如四层负载均衡业务实现中存在数据面与控制面的数据交互,首包通过摘要信息方式进行数据面向控制面的信息上报,大流量场景下可能造成CPU冲击,本发明可针对特定业务定制协议限速和重复报文丢弃策略,保障白盒交换机控制面安全。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种基于Nftables的白盒交换机本机安全防护方法,其特征在于,包括:
白盒交换机通过Nftables为本地的INPUT节点注册安全防护策略,其中,INPUT节点部署在网络层,所述INPUT节点用于将通过所述网络层接收到的数据向应用层的应用程序发送,INPUT节点中的注册表用于记录已注册的所述安全防护策略;
所述白盒交换机对于接收到的数据,执行注册在所述INPUT节点上的安全防护策略,其中,所述安全防护策略包括:黑白名单过滤环节、Flood保护环节和协议限速环节,所述数据由所述白盒交换机的CPU流向所述INPUT节点;
对于通过所述黑白名单过滤环节并且通过所述Flood保护环节的数据,进一步执行所述协议限速环节。
2.根据权利要求1所述的方法,其特征在于,在所述黑白名单过滤环节中,包括:
在接收到的数据中,对于符合IPv4或者IPv6的数据,检测是否匹配黑名单;
若否则检测数据是否匹配白名单放行策略,若是则将数据输入所述Flood保护环节。
3.根据权利要求2所述的方法,其特征在于,在所述Flood保护环节中,包括:
若触发Flood保护开启,则检测数据是否为TCP连接、UDP报文或ICMP回显请求报文中的任意一项,若否则将数据输入所述协议限速环节;
若是则检测数据是否匹配Flood允许列表,若匹配所述Flood允许列表,则将数据输入所述协议限速环节;若不匹配所述Flood允许列表,则检测数据是否匹配Flood拒绝列表;
若数据不匹配所述Flood拒绝列表,则检测数据发送方的连接速率是否超过Flood保护配置速率,若超过则将所述数据发送方更新至所述Flood拒绝列表;若不超过则将数据输入所述协议限速环节。
4.根据权利要求3所述的方法,其特征在于,当检测到数据不匹配所述白名单放行策略,或者检测到数据不匹配所述Flood拒绝列表时,丢弃数据。
5.根据权利要求1-4中任意一项所述的方法,其特征在于,在所述协议限速环节,包括:
当所述协议限速开启时,检测数据发送方的连接速率是否超出限制速率,若超过则丢弃超速报文。
6.一种基于Nftables的白盒交换机本机安全防护装置,其特征在于,包括:
所述装置运行在白盒交换机上,所述白盒交换机用于通过Nftables为本地的INPUT节点注册安全防护策略,其中, INPUT节点部署在网络层,所述INPUT节点用于将通过所述网络层接收到的数据向应用层的应用程序发送,INPUT节点中的注册表用于记录已注册的所述安全防护策略;
所述装置包括:
安全防护策略模块包括:黑白名单过滤单元、Flood保护单元和协议限速单元;
安全防护策略模块,用于所述白盒交换机对于接收到的数据,执行注册在所述INPUT节点上的安全防护策略,所述数据由所述白盒交换机的CPU流向所述INPUT节点;其中,对于通过所述黑白名单过滤单元并且通过所述Flood保护单元的数据,进一步执行所述协议限速单元。
7.根据权利要求6所述的装置,其特征在于,所述黑白名单过滤单元用于在接收到的数据中,对于符合IPv4或者IPv6的数据,检测是否匹配黑名单;若否则检测数据是否匹配白名单放行策略,若是则将数据输入所述Flood保护单元。
8.根据权利要求7所述的装置,其特征在于,所述Flood保护单元,用于若触发Flood保护开启,则检测数据是否为TCP连接、UDP报文或ICMP回显请求报文中的任意一项,若否则将数据输入所述协议限速单元;
若是则检测数据是否匹配Flood允许列表,若匹配所述Flood允许列表,则将数据输入所述协议限速单元;若不匹配所述Flood允许列表,则检测数据是否匹配Flood拒绝列表;
若数据不匹配所述Flood拒绝列表,则检测数据发送方的连接速率是否超过Flood保护配置速率,若超过则将所述数据发送方更新至所述Flood拒绝列表;若不超过则将数据输入所述协议限速单元;
当检测到数据不匹配所述白名单放行策略,或者检测到数据不匹配所述Flood拒绝列表时,丢弃数据。
9.根据权利要求6至8中任意一项所述的装置,其特征在于,所述协议限速单元,用于当所述协议限速开启时,检测数据发送方的连接速率是否超出限制速率,若超过则丢弃超速报文。
10.一种存储介质,其特征在于,存储有计算机程序或指令,当所述计算机程序或指令被运行时,实现如权利要求1至5中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111669420.5A CN114584338B (zh) | 2021-12-31 | 2021-12-31 | 基于Nftables的白盒交换机安全防护方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111669420.5A CN114584338B (zh) | 2021-12-31 | 2021-12-31 | 基于Nftables的白盒交换机安全防护方法、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114584338A CN114584338A (zh) | 2022-06-03 |
| CN114584338B true CN114584338B (zh) | 2024-03-26 |
Family
ID=81771555
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111669420.5A Active CN114584338B (zh) | 2021-12-31 | 2021-12-31 | 基于Nftables的白盒交换机安全防护方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114584338B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109327426A (zh) * | 2018-01-11 | 2019-02-12 | 白令海 | 一种防火墙攻击防御方法 |
| CN111797371A (zh) * | 2020-06-16 | 2020-10-20 | 北京京投信安科技发展有限公司 | 一种交换机加密*** |
| CN111865990A (zh) * | 2020-07-23 | 2020-10-30 | 上海中通吉网络技术有限公司 | 内网恶意反向连接行为的管控方法、装置、设备和*** |
| CN112202814A (zh) * | 2020-11-04 | 2021-01-08 | 中国电子科技集团公司第三十研究所 | 一种路由交换设备内生安全动态防护功能的处理方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11349866B2 (en) * | 2020-03-31 | 2022-05-31 | Fortinet, Inc. | Hardware acceleration device for denial-of-service attack identification and mitigation |
-
2021
- 2021-12-31 CN CN202111669420.5A patent/CN114584338B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109327426A (zh) * | 2018-01-11 | 2019-02-12 | 白令海 | 一种防火墙攻击防御方法 |
| CN111797371A (zh) * | 2020-06-16 | 2020-10-20 | 北京京投信安科技发展有限公司 | 一种交换机加密*** |
| CN111865990A (zh) * | 2020-07-23 | 2020-10-30 | 上海中通吉网络技术有限公司 | 内网恶意反向连接行为的管控方法、装置、设备和*** |
| CN112202814A (zh) * | 2020-11-04 | 2021-01-08 | 中国电子科技集团公司第三十研究所 | 一种路由交换设备内生安全动态防护功能的处理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114584338A (zh) | 2022-06-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Birkinshaw et al. | Implementing an intrusion detection and prevention system using software-defined networking: Defending against port-scanning and denial-of-service attacks | |
| Yu et al. | PSI: Precise Security Instrumentation for Enterprise Networks. | |
| US20180091547A1 (en) | Ddos mitigation black/white listing based on target feedback | |
| US7984493B2 (en) | DNS based enforcement for confinement and detection of network malicious activities | |
| US8176553B1 (en) | Secure gateway with firewall and intrusion detection capabilities | |
| WO2019179375A1 (zh) | 一种防御网络攻击的方法及装置 | |
| US20040162992A1 (en) | Internet privacy protection device | |
| Cox et al. | Leveraging SDN for ARP security | |
| KR101553264B1 (ko) | 네트워크 침입방지 시스템 및 방법 | |
| Cox et al. | Leveraging SDN and WebRTC for rogue access point security | |
| Huang et al. | An OpenFlow-based collaborative intrusion prevention system for cloud networking | |
| Trabelsi et al. | Denial of firewalling attacks (dof): The case study of the emerging blacknurse attack | |
| Gautam et al. | Experimental security analysis of SDN network by using packet sniffing and spoofing technique on POX and Ryu controller | |
| Shimanaka et al. | Cyber deception architecture: Covert attack reconnaissance using a safe sdn approach | |
| KR101593897B1 (ko) | 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법 | |
| CN114584338B (zh) | 基于Nftables的白盒交换机安全防护方法、装置及存储介质 | |
| Patel et al. | A Snort-based secure edge router for smart home | |
| JP2006501527A (ja) | ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム | |
| Mitrokotsa et al. | Denial-of-service attacks | |
| Rodrigues et al. | Design and implementation of a low-cost low interaction IDS/IPS system using virtual honeypot approach | |
| Naidu et al. | IPv6: threats posed by multicast packets, extension headers and their counter measures | |
| Johnson | Computer Network Security: An Overview | |
| Sheikh | Denial of Service | |
| Osmëni et al. | Introduction to Cyber Tensions Preventative Analysis and Honeypotting Strategy | |
| Ferenț | The impact of DoS (Denial of Service) cyberattacks on a Local Area Network (LAN) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |