[发明专利]一种攻击的防御方法

说明书

技术领域

本发明涉及网络安全技术领域，特别涉及一种攻击的防御方法。

背景技术

在网络通信中，客户端与服务器建立TCP连接的标准过程为：第一步，客户端发送一个包含同步（Synchronize，SYN）标志的TCP SYN报文，同步报文会指明客户端使用的端口以及TCP连接的初始序号；第二步，服务器在收到客户端的TCP SYN报文后，返回一个SYN/ACK报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgment）；第三步，客户端也返回一个ACK确认报文给服务器，同样TCP序列号被加一，到此就完成了一个TCP连接。以上的连接过程在TCP协议中被称为三次握手。当客户端与服务器之间存在网络安全设备时，客户端发送的TCP SYN报文和ACK报文会经由网络安全设备转发给服务器，服务器发送的SYN/ACK报文同样也会经由网络安全设备转发给客户端。在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN/ACK应答报文后是无法收到客户端的ACK报文的，这种情况下服务器一般会重试（再次发送SYN/ACK报文给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间称为SYN Timeout。

SYN Flood是当前最流行的DDoS（分布式拒绝服务攻击）的方式之一，是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽的攻击方式。如果有一个恶意的攻击者大量模拟SYN Timeout的情况，服务器将为了维护一个非常大的半连接列表而消耗非常多的资源，因为数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，且服务器还要不断对这个列表中的IP进行SYN/ACK重试。如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃；即使服务器的系统足够强大，服务器也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求，此时从正常客户的角度看来，服务器失去了响应。这种情况便被称作：服务器受到了SYN Flood攻击（即SYN洪水攻击）。

现有的TCP连接方式使得服务器无法有效识别并防御SYN Flood攻击，因此，有必要提出一种有效防止服务器受到SYN Flood攻击的方法。

发明内容

（一）所要解决的技术问题

本发明的目的在于提供一种攻击的防御方法，能够利用网络安全设备有效识别SYN Flood攻击，避免服务器受到SYN Flood攻击。

（二）技术方案

为了解决上述技术问题，本发明提出了一种攻击的防御方法，所述方法包括以下步骤：

网络安全设备接收到客户端发送给服务器的TCP SYN报文时，计算出cookie值，并将所述cookie值添加到SYN/ACK报文中，然后将所述SYN/ACK报文回送给所述客户端；

所述客户端接收到所述SYN/ACK报文后，向所述网络安全设备发送ACK报文；

所述网络安全设备接收到所述ACK报文后，利用所述cookie值对所述ACK报文进行校验，若校验成功，则将所述ACK报文的源IP地址标记为合法用户，所述网络安全设备与所述客户端建立第一TCP连接，并代理所述客户端与所述服务器建立第二TCP连接，否则将所述ACK报文的源IP地址标记为攻击方。

可选的，所述计算出cookie值具体包括：

根据所述TCP SYN报文的TCP首部信息，利用加密算法计算出所述cookie值。

可选的，所述TCP SYN报文的TCP首部信息包括源IP地址、源端口号和本地时间中的任意一个或多个。

可选的，所述加密算法为md5算法。

可选的，所述计算出cookie值具体包括：

将预设值作为所述cookie值。

可选的，将所述cookie值添加到SYN/ACK报文中具体包括：

将所述cookie值添加为所述SYN/ACK报文的TCP首部中的序列号。

可选的，利用所述cookie值对所述ACK报文进行校验具体包括：

将所述ACK报文的TCP首部中的序列号与所述cookie值进行校验，若两者互相匹配，则判定为校验成功。

可选的，将所述ACK报文的源IP地址标记为攻击方之后还包括步骤：

丢弃所述ACK报文；