[发明专利]一种防范syn洪泛攻击的方法及路由器设备

说明书

技术领域

本发明涉及一种在路由器设备上建立TCP连接时防范syn洪泛攻击的方法，还涉及一种在路由器设备上建立TCP连接时防范syn洪泛攻击的路由器设备。

背景技术

随着宽带接入技术的不断发展，人们越来越离不开网络所带来的信息以及服务平台，但是对网络的依赖性越大，对网络的安全性的要求也越高。

在目前的情况下，拒绝服务攻击已经成为黑客攻击的主要手段，而这种攻击的对象大多是www服务器，这种服务是基于TCP协议的，对于TCP协议的服务，采取syn洪泛(syn flood)的攻击是很难防范的。目前syn洪泛成了最流行的拒绝服务的攻击方式了。

一个正常的TCP连接需要三次握手，首先客户端要发一个包含syn标志位的数据包，然后服务器返回一个syn/ack应答包，表示客户端的请求被接受，最后客户端再返回一个ack数据包表示连接完成。

如图1所示，为TCP服务器遭受syn洪泛攻击示意图。syn洪泛攻击主要是通过向服务器发送多个syn请求，但是在服务器返回一个syn/ack应答包后，又不回应服务器发起的syn-ack请求，来达到消耗服务器资源的目的，导致服务器资源耗尽，从而让服务器拒绝正常的服务请求。

这样的攻击极大的影响的服务器对正常服务的相应，对企业和门户网站的运作有严重的威胁。

发明内容

本发明要解决的技术问题是提供一种在建立TCP连接时防范syn洪泛攻击方法以及路由器设备，实现代理服务器对客户机发起的TCP链接的响应，大大的节省了资源，提高了资源的利用率，达到了提高设备安全性的效果。

为了解决上述问题，本发明提供了一种在建立TCP连接时防范syn洪泛攻击方法，包括：设置代理水线以及攻击水线；当半链接数超过代理水线时，在路由器设备上用路由器代替服务器进行TCP连接的建立，建立TCP连接后再代替客户机给服务器发起TCP连接；当半链接数增大至攻击水线时，在收到一个syn报文后，对存在时间最长的半链接进行老化，并缩短超时重传时间，直至将半链接数推出水线数目，则重新进入正常的工作模式；

进一步的，本发明所述的方法，其中，所述代理水线，为触发路由器代替服务器建立TCP连接后产生的半链接数量的门限值，以保护服务器免受攻击；

进一步的，本发明所述的方法，其中，所述攻击水线，为启动对半链接进行老化操作的半链接数量的门限值，用以保护路由器；

进一步的，本发明所述的方法，其中，所述超时重传时间，第一次设置为1秒，之后依次增加，重传若干次后，路由器还无法得到服务器或者客户端的包，则认为该建链包为非法，将之丢弃；

进一步的，本发明所述的方法，其中，包括以下步骤：

(1)正常情况下处于监控模式，收到客户机发送的syn报文，直接查找路由将其发送，并记录该TCP连接；

(2)如果发现半链接数超过代理水线，则进入拦截模式，由路由器代理服务器进行建立TCP连接的操作；

(3)如果发现半链接数达到攻击水线，则进入攻击模式，删除冗余的半链接条目；

(4)如果发现半链接数小于代理水线，则重新进入监控模式，正常工作；

本发明所述的方法，其中，所述步骤(2)，当路由器收到一个TCP连接请求时，进一步包括以下步骤：

(i)生成TCP链接信息表，并代替服务器相应客户机发起的连接请求；

(ii)如果该请求是正常访问，客户机在收到路由器发的ack报文后会发送确认报文来完成TCP连接的建立；此时，TCP存储记录的状态为半连接状态；

(iii)利用所存储的外网主机发送过来的TCP连接请求报文，替代外网主机，与内网受保护的服务器建立TCP连接；

(iv)当连接成功后，路由器保留TCP连接记录，此时修改TCP存储记录的状态，将原来的半连接状态改成全连接状态；

本发明所述的方法，其中，所述步骤(ii)，进一步包括：

如果该请求是非正常访问，为攻击报文，则不会将其发送服务器进行下一步连接；

进一步的，本发明所述的方法，其中，所述步骤(3)，包括：当发现半链接数达到攻击水线，进入攻击模式，此时每收到一个客户机发起的TCP连接请求，则路由器将存在时间最长的半链接条目删除，并缩短重传时间，使攻击链接更快地被删除；

为了解决上述问题，本发明还提供了一种防范syn洪泛攻击的路由器设备，包括：外网终端、内网服务器以及作为内部网关的路由器，其特征在于，所述路由器中，还包括：