[发明专利]一种防止DoS攻击的方法及防火墙

权利要求书

1.一种防止DoS攻击的方法，其特征在于，包括步骤：

步骤S1，接收IKE报文；

步骤S2，检查IKE报文中的cookie值是否完整；

步骤S3，如果所述cookie值完整并且IKE SA数据库中有对应的值，则继续IKE协商过程，否则将所述IKE报文丢弃；所述cookie值完整是指所述cookie值中源cookie值和目的cookie值都存在；IKE SA数据库中有对应的值是指在IKE SA数据库中有与源cookie值和目的cookie值对应的IKE SA连接结构体；

步骤S4，如果所述cookie值中只有源cookie值，并且IKE SA数据库中有对应的值，则再次发送回应报文；

步骤S5，如果所述cookie值中只有源cookie值，并且IKE SA数据库中没有对应的值，则根据是否开启了防DoS功能，对所述IKE报文进行处理。

2.根据权利要求1所述的方法，其特征在于，步骤S5中，所述根据是否开启了防DoS功能，对所述IKE报文进行处理包括步骤：

步骤S501，如果没有开启防DoS功能，则判断整机最大半连接数是否达到上限，如果达到则将所述IKE报文丢弃，否则将半连接个数加1并创建与所述IKE报文对应的IKE SA连接结构体，并将所述IKE SA连接结构体存储至IKE SA数据库中，构造回应报文并发送；

步骤S502，如果开启了防DoS功能，则对防DoS攻击表进行检索，如果防DoS攻击表中存在与源cookie值相同的cookie值，则判断整机最大半连接数是否达到上限，如果达到则丢弃所述IKE报文，否则将半连接个数加1并创建与所述IKE报文对应的IKE SA连接结构体，并将所述IKE SA连接结构体存储至IKE SA数据库中，构造回应报文并发送；并且清除防DoS攻击表与源cookie值对应的表项；

步骤S503，如果开启了防DoS功能，且防DoS攻击表中不存在与源cookie值相同的cookie值，则判断整机最大半连接数是否达防攻击记录边界值，如果没有达到则将半连接个数加1并创建与所述IKE报文对应的IKE SA连接结构体，并将所述IKE SA连接结构体存储至IKE SA数据库中，构造回应报文并发送；如果整机最大半连接数达到防攻击记录边界值，则将源cookie值记录到防DoS攻击表中，并丢弃所述IKE报文。

3.根据权利要求2所述的方法，其特征在于，所述整机最大半连接数的上限为4000；所述防攻击记录边界值为1000。

4.根据权利要求1至3任意一项所述的方法，其特征在于，步骤S1之前还包括：开启防DoS攻击功能，配置防DoS攻击的防攻击记录边界值和整机最大半连接数的上限。

5.一种防止DoS攻击的防火墙，其特征在于，包括：

接收单元(401)，用于接收IKE报文；

检查单元(402)，用于检查IKE报文中的cookie值是否完整；

第一处理单元(403)，用于在所述cookie值完整并且IKE SA数据库中有对应的值时，继续IKE协商过程，否则将所述IKE报文丢弃；所述cookie值完整是指所述cookie值中源cookie值和目的cookie值都存在；IKE SA数据库中有对应的值是指在IKE SA数据库中有与源cookie值和目的cookie值对应的IKE SA连接结构体；

第二处理单元(404)，用于在所述cookie值中只有源cookie值，并且IKE SA数据库中有对应的值时，再次发送回应报文；

第三处理单元(405)，用于在所述cookie值中只有源cookie值，并且IKE SA数据库中没有对应的值时，根据是否开启了防DoS功能，对所述IKE报文进行处理。