The present invention discloses a method and device for attack protection. Among them, the method includes: obtaining the message mirror; the message based on the image, detect the occurrence of default events; to detect the occurrence of default event, the default event to block the connecting terminal and the source terminal. This application solves the technical problem of low efficiency of attacker's intrusion attack on redis server in cloud computing data center.
【技术实现步骤摘要】
攻击防护方法和装置
本申请涉及服务器安全领域,具体而言,涉及一种攻击防护方法和装置。
技术介绍
Redis数据库的使用场景绝大部分是在沙盒化的环境中,因此它的安全模型是只将redis数据库部署在私有网络中,并不允许不受信用的客户接触到。在缺省情况下(即默认设置的情况下),redis数据库会绑定6379端口侦听任意ip的访问,且没有开启认证,如果没有采用防火墙规则等相关策略来避免非信任来源的ip访问,会使redis服务器直接暴露在公网上,导致攻击者可以直接访问redis服务器并进行相关的操作。由于redis服务器使用明文传输,攻击者只需要连接上目标redis服务器后,将自己的公钥通过明文发送给redis服务器,再通过“configsetdir”命令切换redis服务器的持久化目录到/root/.ssh,最后使用“configsetdbfilename”命令将公钥存储到目标redis服务器的/root/.ssh/authorized_keys文件中,从而可以使用自己的私钥登录目标redis服务器,以实现对目标redis服务器的控制。现有技术中采用的防护redis服务器被入侵攻击的方案为:由用户修改redis服务缺省配置,以及使用相关安全策略来禁止非信任IP的访问。而上述方案存在两方面的缺点:一方面,云计算数据中心中用户及服务器数量庞大,查找受影响的服务器并通知用户修改缺省配置工作量繁重,且实施防护措施受限于用户安全意识以及技术能力;另一方面,无法实时的检测并阻断攻击者的入侵。针对现有的攻击者对云计算数据中心中redis服务器的入侵攻击的方案处理效率低的问题,目 ...
【技术保护点】
一种攻击防护方法,其特征在于,包括:获取报文镜像;基于所述报文镜像,检测是否发生预设事件;在检测出发生预设事件的情况下,阻断所述报文的目的端和源端之间的连接。
【技术特征摘要】
1.一种攻击防护方法,其特征在于,包括:获取报文镜像;基于所述报文镜像,检测是否发生预设事件;在检测出发生预设事件的情况下,阻断所述报文的目的端和源端之间的连接。2.根据权利要求1所述的方法,其特征在于,基于所述报文镜像,检测是否发生预设事件包括:检测所述报文镜像中是否存在具有攻击特征的攻击报文;在检测出所述报文镜像中存在所述攻击报文的情况下,确定检测出发生所述预设事件。3.根据权利要求2所述的方法,其特征在于,阻断所述报文的目的端和源端之间的连接包括:利用所述攻击报文中的源IP和目的IP,合并所述攻击报文,得到请求应答信息;确定所述请求应答信息所指示的所述目的端和源端;发送阻断报文,其中,所述阻断报文用于阻断所述目的端与所述源端的连接。4.根据权利要求3所述的方法,其特征在于,在确定所述请求应答信息所指示的所述目的端和源端之后,所述方法还包括:根据所述请求应答信息确定所述目的端是否设置有安全认证机制;在确定所述目的端未设置所述安全认证机制的情况下,生成反馈信息,其中,所述反馈信息用于提示设置所述目的端的安全认证机制。5.根据权利要求4所述的方法,其特征在于,根据所述请求应答信息确定目的端是否设置有安全认证机制包括:在所述请求应答信息指示检测到的请求报文为入侵报文、且应答报文包含确认信息的情况下,确定所述目的端未设置所述安全认证机制;在所述请求应答信息指示检测到的请求报文为入侵报文、且应答报文包含认证请求信息的情况下,确定所述目的端设置有所述安全认证机制,其中,所述请求应答报文对请求应答信息包括所述请求报文和所述应答报文。6.根据权利要求4所述的方法,其特征在于,在确定所述请求应答信息所指示的所述目的端和源端之后,所述方法还包括:若检测到的多个请求应答信息具有相同的源端,则确定所述源端为恶意源端;阻断所述恶意源端与任意一个服务器建立连接。7.根据权利要求4所述的方法,其特征在于,发送阻断报文包括:分别向所述目的端和所述源端发送所述阻断报文;或向所述目的端发送所述阻断报文。8.根据权利要求2所述的方法,其特征在于,检测所述报文镜像中是否存在具有攻击特征的攻击报文包括:从所述报文镜像中,获取具有预置端口的数据包;检测所述数据包是否包含预设字符串;若检测出所述数据包包含所述预设字符串,则确定检测到所述攻击报文。9.根据权利要求8所述的方法,其特征在于,在确定检测到所述攻击报文之后,所述方法还包括:根据所述数据包的端口信息和所述预设字符串的类型确定所述攻击报文的类型。10.根据权利要求9所述的方法,其特征在于,根据所述数据包的端口信息和所述预设字符串的类型确定所述攻击报文的类型包括:若所述数据包的目的端口为所述预置端口,在检测出所述数据包中包含第一字符串的情况下,确定所述攻击报文为入侵报文,其中,所述第一字符串中包含配置集目录命令,所述端口信息包括所述目的端口;若所述数据包的源端口为所述预置端口,在检测出所述...
【专利技术属性】
技术研发人员:程行峰,胡闽,张钊,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。