[发明专利]一种防御攻击的方法和设备

权利要求书

1.一种防御攻击的方法，其特征在于，包括：

在与客户端建立传输控制协议TCP连接后，接收所述客户端发送的密钥协商请求消息，所述密钥协商请求消息包括所述客户端的源IP地址、用户名和会话标识；

根据所述客户端的源IP地址和用户名判断是否存在所述客户端的会话监控表，所述会话监控表用于记录已进行密钥协商的客户端的源IP地址、用户名及会话标识信息；

若存在所述客户端的会话监控表，则判断所述客户端的会话监控表中是否存在所述会话标识；

若所述会话监控表中不存在所述会话标识，则在所述会话监控表中记录所述会话标识；

判断所述客户端的会话标识数是否大于第一预设值；

若所述客户端的会话标识数大于所述第一预设值，则断开所述TCP连接。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

获取单位时间内所述客户端的会话标识数的增量；

判断在所述单位时间内所述客户端的会话标识数的增量是否大于第二预设值；

若在所述单位时间内所述客户端的会话标识数的增量大于所述第二预设值，则断开所述TCP连接。

3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：

若不存在所述客户端的会话监控表，则根据所述客户端的源IP地址、用户名和会话标识创建所述客户端的会话监控表，并在所述会话监控表中记录所述会话标识。

4.根据权利要求1至3任意一项所述的方法，其特征在于，还包括：

若所述会话监控表中存在所述会话标识或所述客户端的会话标识数不大于所述第一预设值，则向所述客户端发送包括所述会话标识的密钥协商响应消息。

5.根据权利要求1至3任意一项所述的方法，其特征在于，所述断开所述TCP连接之后，还包括：

在所述会话监控表中删除所述会话标识信息。

6.根据权利要求2所述的方法，其特征在于，还包括：

若在所述单位时间内所述客户端的会话标识数的增量大于所述第二预设值，将所述客户端加入黑名单。

7.一种防御攻击设备，其特征在于，包括：

接收单元，用于在与客户端建立传输控制协议TCP连接后，接收所述客户端发送的密钥协商请求消息，所述密钥协商请求消息包括所述客户端的源IP地址、用户名和会话标识；

判断单元，用于根据所述客户端的源IP地址和用户名判断是否存在所述客户端的会话监控表，所述会话监控表用于记录已进行密钥协商的客户端的源IP地址、用户名及会话标识信息；

所述判断单元，还用于当存在所述客户端的会话监控表时，判断所述客户端的会话监控表中是否存在所述会话标识；

记录单元，用于当所述判断单元判断所述会话监控表中不存在所述会话标识时，在所述会话监控表中记录所述会话标识；

所述判断单元，还用于判断所述客户端的会话标识数是否大于第一预设值；

处理单元，用于当所述判断单元判断所述客户端的会话标识数大于所述第一预设值时，断开所述TCP连接。

8.根据权利要求7所述的防御攻击设备，其特征在于，还包括：

增量获取单元，用于获取单位时间内所述客户端的会话标识数的增量；

所述判断单元，还用于判断所述增量获取单元获取的在所述单位时间内所述客户端的会话标识数的增量是否大于第二预设值；

所述处理单元，还用于当所述判断单元判断当所述单位时间内所述客户端的会话标识数的增量大于所述第二预设值时，断开所述TCP连接。

9.根据权利要求7或8所述的防御攻击设备，其特征在于，还包括：

监控表管理单元，用于当所述判断单元判断不存在所述客户端的会话监控表时，根据所述客户端的源IP地址、用户名和会话标识创建所述客户端的会话监控表，并在所述会话监控表中记录所述会话标识。

10.根据权利要求7至9任意一项所述的防御攻击的设备，其特征在于，还包括：

发送单元，用于当所述判断单元判断所述会话监控表中存在所述会话标识或所述客户端的会话标识数不大于所述第一预设值时，向所述客户端发送包括所述会话标识的密钥协商响应消息。

11.根据权利要求9所述的防御攻击设备，其特征在于，

所述监控表管理单元，还用于在所述处理单元断开所述TCP连接之后，在所述会话监控表中删除所述会话标识信息；

所述处理单元，还用于若在所述单位时间内所述客户端的会话标识数的增量大于所述第二预设值，将所述客户端加入黑名单。