[发明专利]一种防范SYN Flood攻击的方法及安全代理装置

说明书

技术领域

本发明涉及网络安全技术，尤其涉及一种防报文攻击的方法及装置。

背景技术

随着网络通信技术的进步，各种网络攻击引发的网络安全问题日益受到人们的关注。越来越多的企业以及运营商开始使用诸如防火墙等网络安全设备为网络通信提供保护措施。

基于TCP协议的报文攻击行为是相当常见的网络攻击。这种攻击的特点通过大量发送SYN报文来消耗大量的服务器资源，由于以致服务器没有足够的资源去响应其他客户端的访问请求。这种攻击被称为SYN Flood。

SYN flood攻击是一种通过向目标服务器发送SYN报文，消耗其系统资源，削弱目标服务器的服务提供能力的行为。一般情况下，SYN Flood攻击是在采用IP源地址欺骗行为的基础上，利用TCP连接建立时的三次握手过程形成的。

正常情况下，TCP连接的建立需要双方进行三次握手，只有当三次握手都顺利完成之后，一个TCP连接才能成功建立。当客户端向服务器发出请求，建立一个TCP连接时，双方要进行以下消息交互：

(1)客户端向服务器发送一个SYN报文；

(2)如果服务器同意建立连接，则响应客户端一个对SYN报文的回应(SYN/ACK)；

(3)客户端收到服务器的SYN/ACK以后，再向服务器发送一个ACK报文进行确认。当服务器收到客户端的ACK报文以后，一个TCP的连接成功完成。

请参考图1，在上述过程中，当服务器收到SYN报文后，在发送SYN/ACK回应客户端之前，需要分配一个数据区记录这个未完成的TCP连接，这个数据区通常称为TCB资源，此时的TCP连接也称为半开连接。这种半开连接只有在收到客户端响应报文或连接超时后才断开，而客户端在收到SYN/ACK报文之后才会分配TCB资源，因此这种不对称的资源分配模式会被攻击者所利用形成SYN Flood攻击。

攻击者随机构造源IP地址向目标服务器发起连接，该服务器回应SYN/ACK消息作为响应，由于应答消息的目的地址是随机的，所以这个地址很可能不存在，不会对服务器进行响应。因此，TCP握手的最后一个步骤将永远不可能发生，该连接就一直处于半开状态直到连接超时后被删除。如果攻击者用快于服务器TCP连接超时的速度，连续对目标服务器开放的端口发送SYN报文，服务器的所有TCB资源都将被消耗，以至于不能再接受其他客户端的正常连接请求。

为了解决上述问题，现有技术中在单边流情况下，对SYN Flood防护通常用SYN Safe Reset+白名单方式，即通过验证发起连接客户端的合法性，使服务器免受SYN flood攻击。请参考图2，Safe Reset技术通过拦截TCPSYN(连接新建)报文，修改响应报文序列号且带认证(称之为cookie)信息发回给客户端，再通过客户端回应的报文中携带的信息来验证客户端的合法性。如验证通过，则会将客户端IP地址加入白名单，同时设置老化时间，在老化时间内，此IP再次访问服务器时，会直接放行。

即便如此，如果一旦攻击者伪造的源IP地址与部分合法客户端的IP地址一致时，服务器仍将遭受一定程度的攻击。

发明内容

有鉴于此，本发明提供一种更可靠且实施成本较低的解决方案以解决现有技术的问题。本发明提供一种防范SYN Flood攻击的安全代理装置，其应用于网络安全设备中，该装置包括：

报文检查单元，用于检查发出TCP SYN报文的客户端是否在客户端白名单中有对应的表项；如果是，允许该报文通过并删除该客户端对应的表项；如果否，则转客户端验证单元处理；

客户端验证单元，用于向发出TCP SYN报文的客户端发出验证请求报文并通过客户端返回的验证响应报文检验客户端是否为合法客户端，若客户端为合法客户端，则在客户端白名单中增加对应的表项，否则丢弃该丢弃该验证响应报文。

优选地，所述客户端白名单的表项包括IP地址以及源端口号。

优选地，所述验证请求报文为携带Cookie的SYN ACK报文。

优选地，所述验证响应报文为RST报文。

优选地，其中所述网络安全设备还包括访问控制单元，用于从接收到的报文中筛选出TCP SYN报文并提交给报文检查单元，以及用于从接收到的报文中筛选出验证响应报文并提交给客户端验证单元。

本发明还提供一种防范SYN Flood攻击的方法，其应用于网络安全设备中，该方法包括：