[go: up one dir, main page]

CN109587163B - 一种dr模式下的防护方法和装置 - Google Patents

一种dr模式下的防护方法和装置 Download PDF

Info

Publication number
CN109587163B
CN109587163B CN201811612909.7A CN201811612909A CN109587163B CN 109587163 B CN109587163 B CN 109587163B CN 201811612909 A CN201811612909 A CN 201811612909A CN 109587163 B CN109587163 B CN 109587163B
Authority
CN
China
Prior art keywords
ack
message
value
target
push
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811612909.7A
Other languages
English (en)
Other versions
CN109587163A (zh
Inventor
杨光
马涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wangsu Science and Technology Co Ltd
Original Assignee
Wangsu Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wangsu Science and Technology Co Ltd filed Critical Wangsu Science and Technology Co Ltd
Priority to CN201811612909.7A priority Critical patent/CN109587163B/zh
Priority to PCT/CN2019/071876 priority patent/WO2020133603A1/zh
Priority to EP19902032.2A priority patent/EP3902222A4/en
Priority to US17/291,872 priority patent/US20220014530A1/en
Publication of CN109587163A publication Critical patent/CN109587163A/zh
Application granted granted Critical
Publication of CN109587163B publication Critical patent/CN109587163B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1027Persistence of sessions during load balancing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种DR模式下的防护方法和装置,属于网络安全技术领域。所述方法包括:当接收到目标请求的数据报文时,判断所述数据报文的报文类型;如果所述报文类型为SYN报文,则回复携带有目标SEQ值的SYN_ACK报文;如果所述报文类型为ACK报文,则基于所述目标SEQ值判断所述ACK报文是否合法;如果所述ACK报文合法,则在后续的PUSH_ACK报文中对预设字段进行标记,并将所述PUSH_ACK报文转发至业务服务器,以使所述业务服务器基于所述预设字段已标记的所述PUSH_ACK报文,对所述目标请求进行处理。采用本发明,可以提高DR模式下负载均衡设备的防护质量。

Description

一种DR模式下的防护方法和装置
技术领域
本发明涉及网络安全技术领域,特别涉及一种DR模式下的防护方法和装置。
背景技术
随着网络访问请求的爆发式增长,CDN(Content Delivery Network,内容分发网络)系统面临着极大的分发压力。CDN系统可以通过负载均衡设备,将这些海量的网络访问请求,均衡的分发给用于处理网络访问请求的业务服务器。
现有的负载均衡设备通常部署有LVS(Linux Virtual Server,Linux虚拟服务器)服务,其可以将各个网络访问请求的访问地址修改为Linux虚拟服务器的IP地址,然后基于各个业务服务器的负载情况,将Linux虚拟服务器接收到的大量网络访问请求均衡地分发给各个业务服务器进行处理。负载均衡设备通常采用DR(Direct Routing,直接路由)分发模式,即通过将各个网络访问请求的请求报文中的MAC(Media Access Control,媒体访问控制)地址修改为业务服务器所在机房的路由MAC地址,以将请求报文直接分发到业务服务器所在机房的路由设备,然后由路由设备传输给相应的业务服务器进行处理。另外,由于采用DR分发模式的负载均衡设备不具备防SYN FLOOD攻击的能力,因此其可以结合防护设备或内置防护模块来进行防护,防护设备或防护模块可以基于首包丢弃重传或者错误序列号报文等机制,来防护SYN FLOOD攻击。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:
基于首包丢弃重传或者错误序列号报文等机制,会带来首包延迟、易出现误防护等问题,客户体验较差,故而现有的DR分发模式下的负载均衡设备的防护质量较差。
发明内容
为了解决现有技术的问题,本发明实施例提供了一种DR模式下的防护方法和装置。所述技术方案如下:
第一方面,提供了一种DR模式下的防护方法,所述方法包括:
当接收到目标请求的数据报文时,判断所述数据报文的报文类型;
如果所述报文类型为SYN报文,则回复携带有目标SEQ值的SYN_ACK报文;
如果所述报文类型为ACK报文,则基于所述目标SEQ值判断所述ACK报文是否合法;
如果所述ACK报文合法,则在后续的PUSH_ACK报文中对预设字段进行标记,并将所述PUSH_ACK报文转发至业务服务器,以使所述业务服务器基于所述预设字段已标记的所述PUSH_ACK报文,对所述目标请求进行处理。
进一步的,所述如果所述报文类型为SYN报文,则回复携带有目标SEQ值的SYN_ACK报文,包括:
如果所述报文类型为SYN报文,则对所述SYN报文的报文内容进行加密以生成目标SEQ值,并回复携带有目标SEQ值的SYN_ACK报文,其中,所述SYN报文的报文内容至少包括四元组信息以及TCP_OPTION选项内容。
进一步的,所述如果所述报文类型为ACK报文,则基于所述目标SEQ值判断所述ACK报文是否合法,包括:
如果所述报文类型为ACK报文,则对所述ACK报文的报文内容进行加密以生成目标ACK值,并判断所述ACK报文中的ACK值、目标ACK值以及所述目标SEQ值是否一致,其中,所述ACK报文的报文内容至少包括四元组信息;
如果一致,则判断所述ACK报文合法,否则判断所述ACK报文非法。
进一步的,所述判断所述ACK报文中的ACK值、目标ACK值以及所述目标SEQ值是否一致,包括:
如果所述ACK报文中的ACK值与所述目标SEQ值加一后的值相同,且所述目标SEQ值与所述目标ACK值一致,则判断所述ACK报文中的ACK值、目标ACK值以及所述目标SEQ值一致,否则判断所述ACK报文中的ACK值、目标ACK值以及所述目标SEQ值不一致。
进一步的,所述在后续的PUSH_ACK报文中对预设字段进行标记,包括:
如果所述PUSH_ACK报文的协议类型为ipv4,则对所述PUSH_ACK报文的ipv4预设字段进行标记;
如果所述PUSH_ACK报文的协议类型为ipv6,则对所述PUSH_ACK报文的ipv6预设字段进行标记。
第二方面,提供了一种DR模式下的防护方法,所述方法包括:
接收预设字段已标记的PUSH_ACK报文;
提取所述预设字段已标记的所述PUSH_ACK报文中的ACK值,并基于提取的所述ACK值得到目标SEQ值;
对所述目标SEQ值进行解密,得到TCP_OPTION选项内容,并基于所述TCP_OPTION选项内容对所述预设字段已标记的所述PUSH_ACK报文所属的目标请求进行处理。
进一步的,所述基于所述TCP_OPTION选项内容对所述预设字段已标记的所述PUSH_ACK报文所属的目标请求进行处理,包括:
如果所述目标请求的连接已建立,则基于所述TCP_OPTION选项内容对所述目标请求的连接表项进行更新,并基于更新后的所述连接表项对所述目标请求进行处理;
如果所述目标请求的连接未建立,则基于所述TCP_OPTION选项内容创建所述目标请求的连接表项,并基于创建的所述连接表项对所述目标请求进行处理。
第三方面,提供了一种DR模式下的防护装置,所述防护装置包括:
第一判断模块,用于当接收到目标请求的数据报文时,判断所述数据报文的报文类型;
回复模块,用于如果所述报文类型为SYN报文,则回复携带有目标SEQ值的SYN_ACK报文;
第二判断模块,用于如果所述报文类型为ACK报文,则基于所述目标SEQ值判断所述ACK报文是否合法;
标记转发模块,用于如果所述ACK报文合法,则在后续的PUSH_ACK报文中对预设字段进行标记,并将所述PUSH_ACK报文转发至业务服务器,以使所述业务服务器基于所述预设字段已标记的所述PUSH_ACK报文,对所述目标请求进行处理。
进一步的,所述回复模块,具体用于:
如果所述报文类型为SYN报文,则对所述SYN报文的报文内容进行加密以生成目标SEQ值,并回复携带有目标SEQ值的SYN_ACK报文,其中,所述SYN报文的报文内容至少包括四元组信息以及TCP_OPTION选项内容。
进一步的,所述第二判断模块,具体用于:
如果所述报文类型为ACK报文,则对所述ACK报文的报文内容进行加密以生成目标ACK值,并判断所述ACK报文中的ACK值、目标ACK值以及所述目标SEQ值是否一致,其中,所述ACK报文的报文内容至少包括四元组信息;
如果一致,则判断所述ACK报文合法,否则判断所述ACK报文非法。
进一步的,所述第二判断模块,还用于:
如果所述ACK报文中的ACK值与所述目标SEQ值加一后的值相同,且所述目标SEQ值与所述目标ACK值一致,则判断所述ACK报文中的ACK值、目标ACK值以及所述目标SEQ值一致,否则判断所述ACK报文中的ACK值、目标ACK值以及所述目标SEQ值不一致。
进一步的,所述标记转发模块,具体用于:
如果所述PUSH_ACK报文的协议类型为ipv4,则对所述PUSH_ACK报文的ipv4预设字段进行标记;
如果所述PUSH_ACK报文的协议类型为ipv6,则对所述PUSH_ACK报文的ipv6预设字段进行标记。
第四方面,提供了一种业务服务器,包括:
接收模块,用于接收预设字段已标记的PUSH_ACK报文;
提取模块,用于提取所述预设字段已标记的所述PUSH_ACK报文中的ACK值,并基于提取的所述ACK值得到所述目标SEQ值;
处理模块,用于对所述目标SEQ值进行解密,得到所述TCP_OPTION选项内容,并基于所述TCP_OPTION选项内容对所述预设字段已标记的所述PUSH_ACK报文所属的目标请求进行处理。
进一步的,所述处理模块,具体用于:
如果所述目标请求的连接已建立,则基于所述TCP_OPTION选项内容对所述目标请求的连接表项进行更新,并基于更新后的所述连接表项对所述目标请求进行处理;
如果所述目标请求的连接未建立,则基于所述TCP_OPTION选项内容创建所述目标请求的连接表项,并基于创建的所述连接表项对所述目标请求进行处理。
第五方面,提供了一种负载均衡设备,所述负载均衡设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如第一方面所述的DR模式下的防护方法。
第六方面,提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如第一方面所述的DR模式下的防护方法。
本发明实施例提供的技术方案带来的有益效果是:
在本实施例中,当接收到目标请求的数据报文时,判断所述数据报文的报文类型;如果所述报文类型为SYN报文,则回复携带有目标SEQ值的SYN_ACK报文;如果所述报文类型为ACK报文,则基于所述目标SEQ值判断所述ACK报文是否合法;如果所述ACK报文合法,则在后续的PUSH_ACK报文中对预设字段进行标记,并将所述PUSH_ACK报文转发至业务服务器,以使所述业务服务器基于所述预设字段已标记的所述PUSH_ACK报文,对所述目标请求进行处理。这样,在DR工作模式下,当负载均衡设备接收到SYN报文时,通过回复携带有目标SEQ值的SYN_ACK报文,可以避免将潜在的攻击型SYN报文直接转发给后端的业务服务器而带来的业务服务器资源大量消耗的问题。当负载均衡设备接收到非法ACK报文时,可以将其丢弃,以防护SYN FLOOD攻击,防护质量较高。当负载均衡设备接收到合法ACK报文时,可以继续进行TCP连接的相关建立流程,延迟较低,从而可以有效避免首包丢弃重传或者错误序列号报文等机制带来的首包延迟、易出现误防护等问题,客户体验较好,有效提高负载均衡设备的服务质量。另外,采用本发明实施例提供的防护方法,不需要额外增加防护设备,实施成本较低。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明实施例提供的一种网络场景示意图;
图2是本发明实施例提供的一种DR模式下的防护方法示意图;
图3是本发明实施例提供的一种DR模式下的防护装置结构示意图;
图4是本发明实施例提供的一种业务服务器的结构示意图;
图5是本发明实施例提供的一种负载均衡设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
本发明实施例提供了一种DR模式下的防护方法,该方法的执行主体可以是CDN系统的负载均衡设备,其可以接收来自海量客户端的对各项资源的网络访问请求,如对网页资源、视频资源等的访问请求,同时可以基于CDN系统中各个业务服务器的负载情况,采用DR模式的分发逻辑,将这些海量的网络访问请求均衡地分发给各个业务服务器进行处理,即首先将网络访问请求的请求报文中MAC地址修改为业务服务器所在机房的路由MAC地址,然后将请求报文直接分发到业务服务器所在机房的路由设备,最后由路由设备传输给相应的业务服务器进行处理,业务服务器可以将响应直接返回给客户端。另外,上述负载均衡设备可以在DR模式下对SYN FLOOD攻击请求进行防护。相应的网络场景可以如图1所示。上述设备可以包括处理器、存储器、收发器,处理器可以用于进行下述流程中对于DR模式下的防护处理,存储器可以用于存储处理过程中需要的数据以及产生的数据,收发器可以用于接收和发送处理过程中的相关数据。
下面将结合具体实施方式,对图2所示的一种DR模式下的防护方法的处理流程进行详细的说明,内容可以如下:
步骤201,当接收到目标请求的数据报文时,判断数据报文的报文类型。
在实施中,SYN FLOOD攻击是一种利用TCP(Transmission Control Protocol,传输控制协议)三次握手规则的缺陷,向被攻击方发送大量伪造的TCP连接请求,造成被攻击方服务器产生大量半连接,无法响应正常的连接请求,从而使得被攻击方资源耗尽(如CPU满负荷、内存不足)的攻击方式。为了对SYN FLOOD攻击进行防护,负载均衡设备在接收到任意网络访问请求(可称为目标请求)时,可以对目标请求的数据报文的报文类型进行判断,然后根据判断结果进行相应的处理。具体的,TCP连接请求的数据报文可以分为SYN报文、ACK报文,SYN报文是TCP数据包中的SYN标志位设置为1且ACK标志位设置为0的数据报文,其表示请求建立TCP连接;ACK报文是TCP数据包中的SYN标志位设置为0且ACK标志位设置为1的数据报文,其表示确认建立TCP连接。这样,负载均衡设备可以基于数据报文各个标志位的状态,来判断报文类型。
步骤202,如果报文类型为SYN报文,则回复携带有目标SEQ值的SYN_ACK报文。
在实施中,如果目标请求的数据报文中的SYN标志位状态为1且ACK标志位状态为0,则负载均衡设备可以判断该数据报文的报文类型为SYN报文。这时,基于建立TCP连接的三次握手规则,负载均衡设备可以通过代理的方式,模拟业务服务器向发起目标请求的客户端回复相应的SYN_ACK报文,其中,该SYN_ACK报文中SEQ(Sequence number,封包序号)字段的内容,可以为对SYN报文的报文内容经过特殊处理的值(可称为目标SEQ值),如对SYN报文中的四元组信息以及与建立TCP连接必需的TCP_OPTION选项内容进行加密所得到的值,具体的,其可以通过哈希处理将四元组信息以及TCP_OPTION选项内容映射为较短的固定长度的二进制值。该目标SEQ值可以基于SYN报文的四元组信息对目标请求进行标记,以对目标请求的后续报文是否合法(具有与SYN报文相同的四元组信息)进行判断,同时,还可以通过目标SEQ值将TCP_OPTION选项内容进行保存,便于后续的防护处理,并可以解决因代理回复SYN_ACK报文而带来的无法缓存SYN报文中TCP_OPTION选项内容的问题,该问题的产生,是由于TCP_OPTION选项内容只记录在ACK报文中,而负载均衡设备由于资源有限,无法对所有的ACK报文中的TCP_OPTION选项内容进行缓存。这样,经过上述回复携带有目标SEQ值的SYN_ACK报文的处理,既可以避免将潜在的攻击型SYN报文直接转发给后端的业务服务器而带来的业务服务器资源大量消耗的问题,又可以继续进行TCP连接的相关建立流程,避免出现首包丢弃重传或者错误序列号报文等机制带来的首包延迟、易出现误防护等问题。
可选的,上述步骤202的处理可以如下:如果报文类型为SYN报文,则对SYN报文的报文内容进行加密以生成目标SEQ值,并回复携带有目标SEQ值的SYN_ACK报文。
在实施中,负载均衡设备可以通过对SYN报文的报文内容进行分别加密的方式,生成目标SEQ值。SYN报文的报文内容可以至少包括四元组信息以及TCP_OPTION选项内容,其中,四元组信息为源IP地址、源端口号、目的IP地址以及目的端口号,TCP_OPTION选项内容可以包括窗口扩大选项、时间戳选项等内容。具体的,负载均衡设备可以首先对SYN报文中的四元组信息进行加密,得到第一加密值,该第一加密值可以用于判断后续的ACK报文是否合法。之后,可以对TCP_OPTION选项内容进行加密,得到第二加密值,该第二加密值可以用于保存TCP_OPTION选项内容。之后,可以对第一加密值和第二加密值按照预设规则进行组合,得到目标SEQ值。或者直接将第二加密值附加到第一加密值之后,得到一个较长的字符为例,假设第一加密值为8位的二进制值11110000,第二加密值为另一8位的二进制值11001100,则目标SEQ值可以为1111000011001100。
步骤203,如果报文类型为ACK报文,则基于目标SEQ值判断ACK报文是否合法。
在实施中,如果目标请求的数据报文中的SYN标志位状态为0且ACK标志位状态为1,则负载均衡设备可以判断该数据报文的报文类型为ACK报文。这时,负载均衡设备可以基于上述目标SEQ值,对ACK报文的合法性进行判断。具体的,基于建立TCP连接的三次握手规则,上述客户端在生成合法的ACK报文时,会将SYN_ACK报文中的SEQ字段的内容(即上述目标SEQ值)进行加一处理后的值,作为ACK报文中的ACK(acknowledge number,确认序号)值。这样,负载均衡设备在接收到返回的ACK报文时,可以基于目标SEQ值来判断返回的ACK报文的合法性,即是否为正常的ACK报文。
可选的,上述步骤203的处理可以如下:如果报文类型为ACK报文,则对ACK报文的报文内容进行加密以生成目标ACK值,并判断ACK报文中的ACK值、目标ACK值以及目标SEQ值是否一致;如果一致,则判断ACK报文合法,否则判断ACK报文非法。
在实施中,只有ACK报文的四元组信息和SYN报文的四元组信息相同,且ACK报文的ACK值与SYN_ACK报文的SEQ值(即目标SEQ值)加一后的值相同,才可以判断ACK报文为合法报文。这样,负载均衡设备可以按照同样的加密算法,对ACK报文的四元组信息进行加密,得到相应的加密结果(可称为目标ACK值)。然后,负载均衡设备可以判断ACK报文中的ACK值、目标ACK值以及目标SEQ值是否一致。如果ACK报文中的ACK值与目标SEQ值一致,即ACK报文中的ACK值与目标SEQ值加一后的值相同,且目标SEQ值与目标ACK值一致,则负载均衡设备可以判断ACK报文中的ACK值、目标ACK值以及目标SEQ值一致;如果ACK报文中的ACK值与目标SEQ值加一后的值不相同,或者目标SEQ值与目标ACK值不一致,则负载均衡设备可以判断ACK报文中的ACK值、目标ACK值以及目标SEQ值不一致。具体的,负载均衡设备可以先判断ACK报文中的ACK值是否与目标SEQ值一致,如果ACK报文中的ACK值与目标SEQ值一致,则负载均衡设备可以继续判断目标SEQ值是否与目标ACK值一致。以上述通过分别加密方式生成目标SEQ值的情形为例,可以通过判断第一加密值是否与目标ACK值相同的方式,来判断目标SEQ值是否与目标ACK值一致。
这样,如果ACK报文中的ACK值与目标SEQ值一致,且目标SEQ值与目标ACK值一致,则负载均衡设备可以判断ACK报文为合法报文。如果ACK报文中的ACK值与目标SEQ值不一致,或者目标SEQ值与目标ACK值不一致,则负载均衡设备可以判断ACK报文为非法报文。
步骤204,如果ACK报文合法,则在后续的PUSH_ACK报文中对预设字段进行标记,并将PUSH_ACK报文转发至业务服务器,以使业务服务器基于预设字段已标记的PUSH_ACK报文,对目标请求进行处理。
在实施中,负载均衡设备可以预先和业务服务器约定以下内容:当目标请求的ACK报文合法时,即目标请求属于正常的网络访问请求,负载均衡设备可以对目标请求的PUSH_ACK报文(紧跟在ACK报文后的下一报文)进行特殊标记,如将PUSH_ACK报文中的某些自定义字段(可称为预设字段)设置为预设值,如十六进制下的值1010101,以使业务服务器可以基于具有特殊标记的PUSH_ACK报文中所携带的目标SEQ值,获取TCP_OPTION选项内容。这样,如果负载均衡设备对上述ACK报文的判断结果为非法,则可以进行丢弃处理。如果负载均衡设备对上述ACK报文的判断结果为合法,则可以在后续的PUSH_ACK报文中,对PUSH_ACK中的预设字段进行特殊标记,然后基于DR模式将标记后的PUSH_ACK报文的MAC地址修改为业务服务器所在机房的MAC地址,从而可以将标记后的PUSH_ACK报文转发至业务服务器。之后,业务服务器可以接收到上述预设字段已标记的PUSH_ACK报文,然后可以按照上述约定内容,从PUSH_ACK报文中获取到TCP_OPTION选项内容,以完成与上述客户端之间的TCP连接处理。之后,负载均衡设备可以将目标请求的后续报文通过DR模式直接转发给上述业务服务器,从而,业务服务器可以对客户端发出的目标请求进行处理。
需要说明的是,为了进一步提高安全性,负载均衡设备还可以对上述PUSH_ACK报文的合法性进行判断,判断方法可以参考ACK报文的合法性判断方式,这里不再赘述。
可选的,可以基于不同的协议类型,对PUSH_ACK报文中相应的预设字段进行标记,相应的,步骤204的部分处理可以如下:如果PUSH_ACK报文的协议类型为ipv4,则对PUSH_ACK报文的ipv4预设字段进行标记;如果PUSH_ACK报文的协议类型为ipv6,则对PUSH_ACK报文的ipv6预设字段进行标记。
在实施中,当报文的协议类型不同时,报文包括的报文字段也不尽相同,如在ipv6协议下,报文具有自定义的traffic class字段,而这一字段是ipv4协议所不具备的。这样,负载均衡设备在判断ACK报文合法之后,可以基于PUSH_ACK报文的协议类型,确定待标记的报文字段。具体的,如果PUSH_ACK报文的协议类型为ipv4,则负载均衡设备可以对PUSH_ACK报文的ipv4预设字段进行标记,如对tos字段进行标记。如果PUSH_ACK报文的协议类型为ipv6,则负载均衡设备可以对PUSH_ACK报文的ipv6预设字段进行标记,如对traffic class字段进行标记。需要说明的是,上述不同协议类型下所选择的标记字段,还可以是其他字段,这里不对其进行限定。
可选的,业务服务器可以基于预设字段已标记的PUSH_ACK报文中的ACK值,获取到TCP_OPTION选项内容,相应的处理可以如下:业务服务器提取预设字段已标记的PUSH_ACK报文中的ACK值,并基于提取的ACK值得到目标SEQ值;业务服务器对目标SEQ值进行解密,得到TCP_OPTION选项内容,并基于TCP_OPTION选项内容对目标请求进行处理。
在实施中,由于目标SEQ值变相保存有建立TCP连接必需的TCP_OPTION选项内容,且PUSH_ACK报文中的ACK值和ACK报文中的ACK值相同,因此,业务服务器可以通过PUSH_ACK报文中的ACK值,反推出目标SEQ值,然后对目标SEQ值进行解密,得到TCP_OPTION选项内容。具体的,业务服务器在接收到预设字段已标记的PUSH_ACK报文之后,可以从PUSH_ACK报文中提取出ACK值,然后可以基于提取的ACK值得到目标SEQ值,即将ACK值进行减一处理得到目标SEQ值。之后,业务服务器可以按照上述加密算法对应的解密算法,对目标SEQ值进行解密,得到TCP_OPTION选项内容,之后,业务服务器可以基于TCP_OPTION选项内容进行与上述客户端之间的TCP连接处理,从而可以对目标请求进行处理。
可选的,上述基于TCP_OPTION选项内容对目标请求进行处理的内容可以如下:如果目标请求的连接已建立,则基于TCP_OPTION选项内容对目标请求的连接表项进行更新,并基于更新后的连接表项对目标请求进行处理;如果目标请求的连接未建立,则基于TCP_OPTION选项内容创建目标请求的连接表项,并基于创建的连接表项对目标请求进行处理。
在实施中,如果业务服务器与上述客户端之间已经建立有TCP连接,则可以基于TCP_OPTION选项内容对连接表项进行更新,具体的,可以基于TCP_OPTION选项内容对连接表项中的TCP连接的会话时间进行更新,或者基于TCP_OPTION选项内容生成并发送reset报文,以更新连接表项。之后,可以基于更新后的连接表项,继续对目标请求进行处理。如果业务服务器与上述客户端之间未建立有TCP连接,则可以基于TCP_OPTION选项内容创建连接表项,然后可以基于创建的连接表项建立与上述客户端之间的TCP连接,以对目标请求进行处理。
在本实施例中,当接收到目标请求的数据报文时,判断所述数据报文的报文类型;如果所述报文类型为SYN报文,则回复携带有目标SEQ值的SYN_ACK报文;如果所述报文类型为ACK报文,则基于所述目标SEQ值判断所述ACK报文是否合法;如果所述ACK报文合法,则在后续的PUSH_ACK报文中对预设字段进行标记,并将所述PUSH_ACK报文转发至业务服务器,以使所述业务服务器基于所述预设字段已标记的所述PUSH_ACK报文,对所述目标请求进行处理。这样,在DR工作模式下,当负载均衡设备接收到SYN报文时,通过回复携带有目标SEQ值的SYN_ACK报文,可以避免将潜在的攻击型SYN报文直接转发给后端的业务服务器而带来的业务服务器资源大量消耗的问题。当负载均衡设备接收到非法ACK报文时,可以将其丢弃,以防护SYN FLOOD攻击,防护质量较高。当负载均衡设备接收到合法ACK报文时,可以继续进行TCP连接的相关建立流程,延迟较低,从而可以有效避免首包丢弃重传或者错误序列号报文等机制带来的首包延迟、易出现误防护等问题,客户体验较好,有效提高负载均衡设备的服务质量。另外,采用本发明实施例提供的防护方法,不需要额外增加防护设备,实施成本较低。
基于相同的技术构思,本发明实施例还提供了一种DR模式下的防护装置,如图3所示,所述防护装置包括:
第一判断模块301,用于当接收到目标请求的数据报文时,判断所述数据报文的报文类型;
回复模块302,用于如果所述报文类型为SYN报文,则回复携带有目标SEQ值的SYN_ACK报文;
第二判断模块303,用于如果所述报文类型为ACK报文,则基于所述目标SEQ值判断所述ACK报文是否合法;
标记转发模块304,用于如果所述ACK报文合法,则在后续的PUSH_ACK报文中对预设字段进行标记,并将所述PUSH_ACK报文转发至业务服务器,以使所述业务服务器基于所述预设字段已标记的所述PUSH_ACK报文,对所述目标请求进行处理。
可选的,所述回复模块302,具体用于:
如果所述报文类型为SYN报文,则对所述SYN报文的报文内容进行加密以生成目标SEQ值,并回复携带有目标SEQ值的SYN_ACK报文,其中,所述SYN报文的报文内容至少包括四元组信息以及TCP_OPTION选项内容。
可选的,所述第二判断模块303,具体用于:
如果所述报文类型为ACK报文,则对所述ACK报文的报文内容进行加密以生成目标ACK值,并判断所述ACK报文中的ACK值、目标ACK值以及所述目标SEQ值是否一致,其中,所述ACK报文的报文内容至少包括四元组信息;
如果一致,则判断所述ACK报文合法,否则判断所述ACK报文非法。
可选的,所述第二判断模块303还用于:
如果所述ACK报文中的ACK值与所述目标SEQ值加一后的值相同,且所述目标SEQ值与所述目标ACK值一致,则判断所述ACK报文中的ACK值、目标ACK值以及所述目标SEQ值一致,否则判断所述ACK报文中的ACK值、目标ACK值以及所述目标SEQ值不一致。
可选的,所述标记转发模块304,具体用于:
如果所述PUSH_ACK报文的协议类型为ipv4,则对所述PUSH_ACK报文的ipv4预设字段进行标记;
如果所述PUSH_ACK报文的协议类型为ipv6,则对所述PUSH_ACK报文的ipv6预设字段进行标记。
需要说明的是:上述实施例提供的DR模式下的防护装置在进行防护时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的DR模式下的防护装置与DR模式下的防护方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于相同的技术构思,本发明实施例还提供了一种业务服务器,如图4所示,所述业务服务器包括:
接收模块401,用于接收由上述防护装置转发的预设字段已标记的PUSH_ACK报文;
提取模块402,用于提取所述预设字段已标记的所述PUSH_ACK报文中的ACK值,并基于提取的所述ACK值得到所述目标SEQ值;
处理模块403,用于对所述目标SEQ值进行解密,得到所述TCP_OPTION选项内容,并基于所述TCP_OPTION选项内容对所述预设字段已标记的所述PUSH_ACK报文所属的目标请求进行处理。
可选的,所述处理模块403,具体用于:
如果所述目标请求的连接已建立,则基于所述TCP_OPTION选项内容对所述目标请求的连接表项进行更新,并基于更新后的所述连接表项对所述目标请求进行处理;
如果所述目标请求的连接未建立,则基于所述TCP_OPTION选项内容创建所述目标请求的连接表项,并基于创建的所述连接表项对所述目标请求进行处理。
图5是本发明实施例提供的负载均衡设备的结构示意图。该负载均衡设备500可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器522(例如,一个或一个以上处理器)和存储器532,一个或一个以上存储应用程序542或数据544的存储介质530(例如一个或一个以上海量存储设备)。其中,存储器532和存储介质530可以是短暂存储或持久存储。存储在存储介质530的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对负载均衡设备中的一系列指令操作。更进一步地,中央处理器522可以设置为与存储介质530通信,在负载均衡设备500上执行存储介质530中的一系列指令操作。
负载均衡设备500还可以包括一个或一个以上电源526,一个或一个以上有线或无线网络接口550,一个或一个以上输入输出接口558,一个或一个以上键盘556,和/或,一个或一个以上操作系统541,例如Windows Server TM,Mac OS XTM,Unix TM,Linux TM,FreeBSD TM等等。
负载均衡设备500可以包括有存储器,以及一个或者一个以上的程序,其中一个或者一个以上程序存储于存储器中,且经配置以由一个或者一个以上处理器执行所述一个或者一个以上程序包含用于进行上述DR模式下的防护指令。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (14)

1.一种DR模式下的防护方法,其特征在于,所述方法应用于负载均衡设备中,所述负载均衡设备与后端业务服务器之间存在DR分发模式,所述方法包括:
当接收到客户端发送的目标请求的数据报文时,判断所述数据报文的报文类型;
如果所述报文类型为SYN报文,则对所述SYN报文的报文内容进行加密以生成目标SEQ值,并向所述客户端回复携带有目标SEQ值的SYN_ACK报文,其中,所述SYN报文的报文内容至少包括四元组信息以及TCP_OPTION选项内容;
如果所述报文类型为ACK报文,则基于所述目标SEQ值判断所述ACK报文是否合法;
如果所述ACK报文合法,则在接收到所述客户端后续发送的PUSH_ACK报文时,对所述PUSH_ACK报文中的预设字段进行标记,并基于DR分发模式将标记后的所述PUSH_ACK报文转发至所述业务服务器,以使所述业务服务器基于所述预设字段已标记的所述PUSH_ACK报文所携带的所述目标SEQ值,获取所述TCP_OPTION选项内容,以与所述客户端建立TCP连接,并对所述预设字段已标记的所述PUSH_ACK报文所属的目标请求进行处理。
2.根据权利要求1所述的方法,其特征在于,所述如果所述报文类型为ACK报文,则基于所述目标SEQ值判断所述ACK报文是否合法,包括:
如果所述报文类型为ACK报文,则对所述ACK报文的报文内容进行加密以生成目标ACK值,并判断所述ACK报文中的ACK值、目标ACK值以及所述目标SEQ值是否一致,其中,所述ACK报文的报文内容至少包括四元组信息;
如果一致,则判断所述ACK报文合法,否则判断所述ACK报文非法。
3.根据权利要求2所述的方法,其特征在于,所述判断所述ACK报文中的ACK值、目标ACK值以及所述目标SEQ值是否一致,包括:
如果所述ACK报文中的ACK值与所述目标SEQ值加一后的值相同,且所述目标SEQ值与所述目标ACK值一致,则判断所述ACK报文中的ACK值、目标ACK值以及所述目标SEQ值一致,否则判断所述ACK报文中的ACK值、目标ACK值以及所述目标SEQ值不一致。
4.根据权利要求1所述的方法,其特征在于,所述在后续的PUSH_ACK报文中对预设字段进行标记,包括:
如果所述PUSH_ACK报文的协议类型为ipv4,则对所述PUSH_ACK报文的ipv4预设字段进行标记;
如果所述PUSH_ACK报文的协议类型为ipv6,则对所述PUSH_ACK报文的ipv6预设字段进行标记。
5.一种DR模式下的防护方法,其特征在于,所述方法应用于业务服务器中,所述业务服务器与负载均衡设备之间存在DR分发模式,所述方法包括:
接收所述负载均衡设备基于DR分发模式发送的预设字段已标记的PUSH_ACK报文;
提取所述预设字段已标记的所述PUSH_ACK报文中的ACK值,并基于提取的所述ACK值得到目标SEQ值;
对所述目标SEQ值进行解密,得到TCP_OPTION选项内容,并基于所述TCP_OPTION选项内容,与客户端建立TCP连接,并对所述预设字段已标记的所述PUSH_ACK报文所属的目标请求进行处理。
6.根据权利要求5所述的方法,其特征在于,所述基于所述TCP_OPTION选项内容对所述预设字段已标记的所述PUSH_ACK报文所属的目标请求进行处理,包括:
如果所述目标请求的连接已建立,则基于所述TCP_OPTION选项内容对所述目标请求的连接表项进行更新,并基于更新后的所述连接表项对所述目标请求进行处理;
如果所述目标请求的连接未建立,则基于所述TCP_OPTION选项内容创建所述目标请求的连接表项,并基于创建的所述连接表项对所述目标请求进行处理。
7.一种DR模式下的防护装置,其特征在于,所述防护装置应用于负载均衡设备中,所述负载均衡设备与后端业务服务器之间存在DR分发模式,所述防护装置包括:
第一判断模块,用于当接收到客户端发送的目标请求的数据报文时,判断所述数据报文的报文类型;
回复模块,用于如果所述报文类型为SYN报文,则对所述SYN报文的报文内容进行加密以生成目标SEQ值,并回复携带有目标SEQ值的SYN_ACK报文,其中,所述SYN报文的报文内容至少包括四元组信息以及TCP_OPTION选项内容;
第二判断模块,用于如果所述报文类型为ACK报文,则基于所述目标SEQ值判断所述ACK报文是否合法;
标记转发模块,用于如果所述ACK报文合法,则在接收到所述客户端后续发送的PUSH_ACK报文时,对所述PUSH_ACK报文中的预设字段进行标记,并基于DR分发模式将标记后的所述PUSH_ACK报文转发至所述业务服务器,以使所述业务服务器基于所述预设字段已标记的所述PUSH_ACK报文所携带的所述目标SEQ值,获取所述TCP_OPTION选项内容,以与所述客户端建立TCP连接,并对所述预设字段已标记的所述PUSH_ACK报文所属的目标请求进行处理。
8.根据权利要求7所述的装置,其特征在于,所述第二判断模块,具体用于:
如果所述报文类型为ACK报文,则对所述ACK报文的报文内容进行加密以生成目标ACK值,并判断所述ACK报文中的ACK值、目标ACK值以及所述目标SEQ值是否一致,其中,所述ACK报文的报文内容至少包括四元组信息;
如果一致,则判断所述ACK报文合法,否则判断所述ACK报文非法。
9.根据权利要求8所述的装置,其特征在于,第二判断模块,还用于:
如果所述ACK报文中的ACK值与所述目标SEQ值加一后的值相同,且所述目标SEQ值与所述目标ACK值一致,则判断所述ACK报文中的ACK值、目标ACK值以及所述目标SEQ值一致,否则判断所述ACK报文中的ACK值、目标ACK值以及所述目标SEQ值不一致。
10.根据权利要求7所述的装置,其特征在于,所述标记转发模块,具体用于:
如果所述PUSH_ACK报文的协议类型为ipv4,则对所述PUSH_ACK报文的ipv4预设字段进行标记;
如果所述PUSH_ACK报文的协议类型为ipv6,则对所述PUSH_ACK报文的ipv6预设字段进行标记。
11.一种业务服务器,其特征在于,所述业务服务器与负载均衡设备之间存在DR分发模式,包括:
接收模块,用于接收所述负载均衡设备基于DR分发模式发送的预设字段已标记的PUSH_ACK报文;
提取模块,用于提取所述预设字段已标记的所述PUSH_ACK报文中的ACK值,并基于提取的所述ACK值得到目标SEQ值;
处理模块,用于对所述目标SEQ值进行解密,得到TCP_OPTION选项内容,并基于所述TCP_OPTION选项内容,与客户端建立TCP连接,并对所述预设字段已标记的所述PUSH_ACK报文所属的目标请求进行处理。
12.根据权利要求11所述的业务服务器,其特征在于,所述处理模块,具体用于:
如果所述目标请求的连接已建立,则基于所述TCP_OPTION选项内容对所述目标请求的连接表项进行更新,并基于更新后的所述连接表项对所述目标请求进行处理;
如果所述目标请求的连接未建立,则基于所述TCP_OPTION选项内容创建所述目标请求的连接表项,并基于创建的所述连接表项对所述目标请求进行处理。
13.一种负载均衡设备,其特征在于,所述负载均衡设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1至4任一所述的DR模式下的防护方法。
14.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如权利要求1至6任一所述的DR模式下的防护方法。
CN201811612909.7A 2018-12-27 2018-12-27 一种dr模式下的防护方法和装置 Active CN109587163B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201811612909.7A CN109587163B (zh) 2018-12-27 2018-12-27 一种dr模式下的防护方法和装置
PCT/CN2019/071876 WO2020133603A1 (zh) 2018-12-27 2019-01-16 一种dr模式下的防护方法和装置
EP19902032.2A EP3902222A4 (en) 2018-12-27 2019-01-16 Dr mode protection method and device
US17/291,872 US20220014530A1 (en) 2018-12-27 2019-01-16 Protection method and protection device under direct routing mode

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811612909.7A CN109587163B (zh) 2018-12-27 2018-12-27 一种dr模式下的防护方法和装置

Publications (2)

Publication Number Publication Date
CN109587163A CN109587163A (zh) 2019-04-05
CN109587163B true CN109587163B (zh) 2022-08-16

Family

ID=65933092

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811612909.7A Active CN109587163B (zh) 2018-12-27 2018-12-27 一种dr模式下的防护方法和装置

Country Status (4)

Country Link
US (1) US20220014530A1 (zh)
EP (1) EP3902222A4 (zh)
CN (1) CN109587163B (zh)
WO (1) WO2020133603A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111314358B (zh) * 2020-02-21 2023-02-17 深圳市腾讯计算机系统有限公司 攻击防护方法、装置、系统、计算机存储介质及电子设备

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017050117A1 (zh) * 2015-09-25 2017-03-30 网宿科技股份有限公司 网络负载均衡处理系统及其方法和装置

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020035681A1 (en) * 2000-07-31 2002-03-21 Guillermo Maturana Strategy for handling long SSL messages
US20030014528A1 (en) * 2001-07-12 2003-01-16 Crutcher Paul D. Light-weight protocol-independent proxy for accessing distributed data
US20030108044A1 (en) * 2001-12-11 2003-06-12 Roland Hendel Stateless TCP/IP protocol
US8245032B2 (en) * 2003-03-27 2012-08-14 Avaya Inc. Method to authenticate packet payloads
JP4313266B2 (ja) * 2004-07-29 2009-08-12 株式会社エヌ・ティ・ティ・ドコモ サーバ装置、その制御方法およびコネクション確立方法
US7392323B2 (en) * 2004-11-16 2008-06-24 Seiko Epson Corporation Method and apparatus for tunneling data using a single simulated stateful TCP connection
US7535907B2 (en) * 2005-04-08 2009-05-19 Oavium Networks, Inc. TCP engine
US8069250B2 (en) * 2005-04-28 2011-11-29 Vmware, Inc. One-way proxy system
JP5470828B2 (ja) * 2008-12-10 2014-04-16 株式会社日立製作所 データ配信用通信装置、及びデータ配信システム
US8224976B2 (en) * 2008-12-24 2012-07-17 Juniper Networks, Inc. Using a server's capability profile to establish a connection
JP5765123B2 (ja) * 2011-08-01 2015-08-19 富士通株式会社 通信装置、通信方法、通信プログラム及び通信システム
CN103248605B (zh) * 2012-02-02 2016-12-14 哈尔滨安天科技股份有限公司 一种基于ipv6的tcp流汇聚方法及系统
CN102946387B (zh) * 2012-11-01 2016-12-21 惠州Tcl移动通信有限公司 一种防御拒接服务攻击的方法
CN103078720B (zh) * 2012-12-28 2015-11-25 华为技术有限公司 报文处理方法及装置
CN103200120B (zh) * 2013-04-09 2016-08-03 杭州华三通信技术有限公司 一种直接路由方式下的报文转发方法和网络设备
US9560126B2 (en) * 2013-05-06 2017-01-31 Alcatel Lucent Stateless load balancing of connections
CN103347016A (zh) * 2013-06-28 2013-10-09 天津汉柏汉安信息技术有限公司 一种攻击的防御方法
US20150189010A1 (en) * 2013-12-30 2015-07-02 Alcatel-Lucent Canada Inc. Communication network with load balancing functionality
US9749354B1 (en) * 2015-02-16 2017-08-29 Amazon Technologies, Inc. Establishing and transferring connections
CN106470238A (zh) * 2015-08-20 2017-03-01 阿里巴巴集团控股有限公司 应用于服务器负载均衡中的连接建立方法及装置
CN108667880A (zh) * 2017-03-31 2018-10-16 华为技术有限公司 一种负载均衡系统、方法及装置
US10038715B1 (en) * 2017-08-01 2018-07-31 Cloudflare, Inc. Identifying and mitigating denial of service (DoS) attacks
CN108551446B (zh) * 2018-04-08 2020-11-27 东软集团股份有限公司 防攻击的syn报文处理方法、装置、防火墙及存储介质

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017050117A1 (zh) * 2015-09-25 2017-03-30 网宿科技股份有限公司 网络负载均衡处理系统及其方法和装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
在路由器上利用SYN Cookie原理实现SYN Flood防御;刘艳;《中国优秀硕士学位论文全文数据库》;20070315;全文 *

Also Published As

Publication number Publication date
EP3902222A4 (en) 2022-02-16
US20220014530A1 (en) 2022-01-13
WO2020133603A1 (zh) 2020-07-02
CN109587163A (zh) 2019-04-05
EP3902222A1 (en) 2021-10-27

Similar Documents

Publication Publication Date Title
Moskowitz et al. Host identity protocol version 2 (HIPv2)
Moskowitz et al. Host identity protocol
US8370920B2 (en) System and method for providing unified transport and security protocols
JP4271451B2 (ja) インターネット鍵交換データパケットをフラグメント化および再組み立てするための方法および装置
CN101764799B (zh) 利用服务器能力配置文件建立连接
KR100431231B1 (ko) Tcp syn 플러딩 공격을 좌절시키기 위한 방법 및시스템
US9467290B2 (en) Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols
US11038658B2 (en) Deceiving attackers in endpoint systems
EP1880525B1 (en) Host identity protocol method and apparatus
JP6858749B2 (ja) 負荷平衡システムにおいて接続を確立するデバイス及び方法
Petullo et al. MinimaLT: minimal-latency networking through better security
US7536719B2 (en) Method and apparatus for preventing a denial of service attack during key negotiation
EP3442195A1 (en) Method and device for parsing packet
Moskowitz et al. Rfc 5201: Host identity protocol
CN113225298A (zh) 一种报文验证方法及装置
CN109587163B (zh) 一种dr模式下的防护方法和装置
CN113347198B (zh) Arp报文处理方法、装置、网络设备及存储介质
CN107104919A (zh) 防火墙设备、流控制传输协议sctp报文的处理方法
CN118413356B (zh) 一种抵御syn flood攻击的优化方法和系统
US8978143B2 (en) Reverse authorized SYN cookie
CN118449736A (zh) 防攻击的报文处理方法、装置、电子设备及存储介质
He et al. Sav6: A novel inter-as source address validation protocol for ipv6 internet
Cohen et al. On the Protection of a High Performance Load Balancer Against SYN Attacks** This is an extended journal version of [2]
RU2390959C2 (ru) Способ и устройство протокола идентификации хост-узла
Feng et al. A Reliable Lightweight Communication Method via Chain Verification

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant