[发明专利]防御DDoS攻击的方法、装置和系统

说明书

技术领域

本发明涉及通信领域，尤其涉及一种防御DDoS攻击的方法、装置和系统。

背景技术

现有通过网络对服务器进行远程攻击的方式中有一种为拒绝服务攻击(Denial of Service，简称DoS)，攻击者向服务器发送带有虚假地址的请求，服务器发送回复报文到虚假地址，然后服务器一直等待所需的回复报文。拒绝服务攻击会占据服务器过多的资源，从而使合法用户无法得到服务器的响应。由于服务器的处理能力通常较高，利用单个计算机进行DoS攻击往往无法达到预期的效果，因此出现了分布式拒绝服务攻击(Distributed Denial of Service，简称DDoS)。攻击者首先控制大量的傀儡计算机，并将其中一部分傀儡计算机设置为主控端，然后攻击者发送攻击指令给各个主控端，并由主控端将指令发送给所有的傀儡计算机，最后傀儡计算机对指定的服务器进行DoS攻击，从而造成服务器超载或者死机。

为了防御DDoS的攻击，现有防御DDoS攻击的方案主要有两种：

一种为：在靠近服务器的位置部署检测DDoS攻击的设备。当检测设备发现流量过载时，生成一个防御消息并广播给各个靠近用户的防御设备。防御设备收到防御消息后，首先对消息的有效性进行验证，验证通过后，对异常流量进行阻断。

另一种为：在靠近服务器的地方部署一个防御DDoS攻击的设备，由防御设备来代理用户和服务器之间的数据交互过程。如果防御设备和用户之间TCP三次握手能够顺利完成，则认为是合法的连接请求，否则就是无效的连接请求。

在实现上述防御DDoS攻击的过程中，发明人发现现有技术中至少存在如下问题：第一种防御方案中，防御设备直接阻断部分流量，会造成合法用户无法访问受攻击的服务器。第二种防御方案中，当DDoS攻击的流量很大时，会有大量的连接请求需要防御设备处理，此时防御设备本身会发生超载或者死机。

发明内容

本发明的实施例提供一种防御DDoS攻击的方法、装置、系统，能够在流量过载时保证合法用户访问受攻击的服务器并且降低防御设备本身的负载。

为达到上述目的，本发明的实施例采用如下技术方案：

一种防御DDoS攻击的方法，包括：

接收用户访问目标服务器的连接请求；

判断防御表中是否保存有所述连接请求中携带的目标服务器的标识；

当防御表中保存有所述连接请求中携带的目标服务器的标识时，将所述连接请求转发到代理服务器，以使所述代理服务器代替目标服务器与用户进行三次握手连接，并使所述代理服务器在与所述用户建立连接成功后，代理所述用户与目标服务器进行报文交互。

一种防御DDoS攻击的方法，包括：

接收接入设备根据防御表转发的用户针对目标服务器的连接请求；

与所述用户进行三次握手连接；

在与用户三次握手连接成功后，与目标服务器进行三次握手连接；

在与目标服务器三次握手连接成功后，转发用户与目标服务器之间的报文。

一种接入设备，包括：

防御消息接收模块，用于接收来自检测设备的防御消息，将防御消息中的目标服务器标识添加到防御表中；

连接请求转发模块，用于将用户对防御表中目标服务器的连接请求转发到代理服务器，以使代理服务器代替目标服务器与用户进行三次握手连接。

一种代理服务器，包括：

连接请求接收模块，用于接收接入设备根据防御表转发的用户针对目标服务器的连接请求；

用户连接模块，用于与所述用户进行三次握手连接；

目标服务器连接模块，用于在与用户三次握手连接成功后，与目标服务器进行三次握手连接；

报文转发模块，用于在与目标服务器三次握手连接成功后，转发用户与目标服务器之间的报文。

一种防御DDoS攻击的系统，包括：

检测设备，用于向攻击源所在网段的接入设备发送防御消息，所述防御消息包含目标服务器标识；

接入设备，用于记录目标服务器标识，并将用户对目标服务器的连接请求转发到代理服务器；

代理服务器，用于代替目标服务器与用户三次握手连接，并完成用户与目标服务器之间的报文转发。

本发明实施例提供的防御DDoS攻击的方法、装置和系统，在目标服务器受到攻击时，只针对攻击源所在网段，通过代理服务器进行与用户之间的握手连接，能够在流量过载时保证合法用户访问受攻击的服务器并且降低接入设备本身的负载。

附图说明

图1为本发明防御DDoS攻击的方法的一个实施例的流程图。