通信拦截方法及装置、服务器制造方法及图纸

本申请提供一种通信拦截方法及装置、服务器，该方法包括：确定网络流量的数据报文是否为发送至预设主控服务器的数据报文；当所述网络流量的数据报文为发送至预设主控服务器的数据报文时，确定所述数据报文的源IP地址，构造与所述数据报文相应的响应报文；将所述响应报文发送至所述云机房中的IP地址为所述源IP地址的云服务器。在本申请的技术方案可以快速地阻断傀儡机到预设主控服务器的通信，实现从源头避免傀儡机对服务器的攻击。

Communication interception method, device and server

The invention provides a communication interception method and device, server, the method includes determining a data packet network traffic is sent to a data message preset master server; when the data packet data packet of the network traffic is sent to the preset master server when determining the source IP address of the data packet with the structure of the data message, the corresponding response message; the response message is sent to the cloud room in the IP address of the source IP address of the cloud server. The technical scheme in the application can rapidly block the communication between the puppet machine and the preset master server, thereby avoiding the attack of the puppet machine on the server from the source.

【技术实现步骤摘要】
通信拦截方法及装置、服务器
本申请涉及网络
，尤其涉及一种通信拦截方法及装置、服务器。
技术介绍
当云内服务器被入侵成为傀儡机后，攻击者通过主控服务器(Command&ControlServer，简称为C&C服务器)发送指令到傀儡机上，由傀儡机对被攻击服务器发起大量请求，以进行分布式拒绝服务(DistributedDenialofService，简称为DDoS)攻击。当攻击者使用具有一定规模的僵尸网络进行DDoS攻击时，可导致被攻击服务器瘫痪。
技术实现思路
有鉴于此，本申请提供一种新的技术方案，可以有效地拦截傀儡机到主控服务器的通信。为实现上述目的，本申请提供技术方案如下：根据本申请的第一方面，提出了一种通信拦截方法，包括：确定网络流量的数据报文是否为发送至预设主控服务器的数据报文；当所述网络流量的数据报文为发送至预设主控服务器的数据报文时，确定所述网络流量的数据报文的源IP地址，构造与所述网络流量的数据报文相应的响应报文；将所述响应报文发送IP地址为所述源IP地址的云服务器。根据本申请的第二方面，提出了一种通信拦截装置，应用于服务器上，包括：第一确定模块，用于确本文档来自技高网...

【技术保护点】
一种通信拦截方法，其特征在于，所述方法包括：确定网络流量的数据报文是否为发送至预设主控服务器的数据报文；当所述网络流量的数据报文为发送至预设主控服务器的数据报文时，确定所述网络流量的数据报文的源IP地址，构造与所述网络流量的数据报文相应的响应报文；将所述响应报文发送至IP地址为所述源IP地址的服务器。

【技术特征摘要】
1.一种通信拦截方法，其特征在于，所述方法包括：确定网络流量的数据报文是否为发送至预设主控服务器的数据报文；当所述网络流量的数据报文为发送至预设主控服务器的数据报文时，确定所述网络流量的数据报文的源IP地址，构造与所述网络流量的数据报文相应的响应报文；将所述响应报文发送至IP地址为所述源IP地址的服务器。2.根据权利要求1所述的方法，其特征在于，所述确定网络流量的数据报文是否为发送至预设主控服务器的数据报文，包括：确定网络流量的数据报文的目的IP地址是否在第一黑名单中，所述第一黑名单用于记录指挥控制僵尸网络的主控服务器的IP地址；当所述网络流量的数据报文的目的IP地址在所述第一黑名单中时，确定所述网络流量的数据报文为发送至预设主控服务器的数据报文。3.根据权利要求1所述的方法，其特征在于，所述确定网络流量的数据报文是否为发送至预设主控服务器的数据报文，包括：确定网络流量的数据报文携带的域名是否在所述第二黑名单中，所述第二黑名单用于记录指挥控制僵尸网络的主控服务器的域名；当所述网络流量的数据报文携带的域名在所述第二黑名单中时，确定所述网络流量的数据报文为发送至预设主控服务器的数据报文。4.根据权利要求1所述的方法，其特征在于，所述构造与所述网络流量的数据报文相应的响应报文，包括：确定所述网络流量的数据报文是否为TCPSYN报文；如果确定所述网络流量的数据报文为TCPSYN报文，构造与所述TCPSYN报文相应的TCPRST响应报文。5.根据权利要求1所述的方法，其特征在于，所述构造与所述网络流量的数据报文相应的响应报文，包括：确定所述网络流量的数据报文是否为DNS请求报文；如果确定所述网络流量的数据报文为DNS请求报文，构造与所述DNS请求报文相应的DNS响应报文。6.根据权利要求1所述的方法，其特征在于，所述网络流量为从云机房流出的流量的镜像流量。7.根据权利要求6所述的方法，其特征在于，所述方法还包括：确定所述云机房中的全部服务器中属于傀儡机的服务器；确定所述属于傀儡机的服务器对应的用户；向所述属于傀儡机的服务器的用户发送通知消息。8.一种通信拦截装置，其特征在于，所述装置包括：第一确定模块，用于确定网络流量的数据报文是否为发送至预设主控服务器的数据报文；报文构造模块，用于当所述第一确定模块确定所述网络流量的数据报文为发送至预设主控服务器的数据报文时，确定所述网络流量的数据报文的源IP地址，构造与所述网络流量的数据报文相应的响应报文；第一发送模块，用于将所述报文构...

【专利技术属性】
技术研发人员：张钊，胡闽，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY