[发明专利]一种防止DoS攻击的方法及防火墙

说明书

技术领域

本发明涉及防DoS攻击领域，尤其涉及一种防止DoS攻击的方法及防火墙。

背景技术

IKE(Internet Key Exchange)的协商过程包括主模式和野蛮模式，IKE协商中发起者事先不知道响应者的cookie值，在发往响应者的第一条消息中响应者的cookie值将被置为0，因此响应者就不可能知道这条消息是否是虚假交换请求，由于响应者在接收到第一条消息时即创建状态，因此恶意攻击者可以通过发大量的初始消息使响应者不停地创建状态、耗费内存资源，最终导致内存耗尽、系统崩溃，因此IKE容易受到的损耗内存资源的DoS(Denial of Service)攻击。另外，在野蛮模式中，IKE需要在第一次协商中通过Dffie-Hellman交换进行密钥协商，其中的模幂运算会占用较大的计算资源。DoS攻击者会通过IP欺骗的方法发起大量虚假交换请求，如果响应者不能分辨出这些伪造的请求，则不得不对伪造的请求进行大量模幂运算，导致消耗耗CPU资源的DoS攻击。因此主模式和野蛮模式初始交换都会受到消耗内存资源的DoS攻击，同时野蛮模式还会受到消耗CPU资源的DoS攻击。

发明内容

本发明鉴于上述情况而作出，其目的是提供一种防止DoS攻击的方法及防火墙，能够有效地防止响应者在IKE协商过程中受到DoS攻击。

根据本发明的一个方面，提供一种防止DoS攻击的方法，包括以下步骤：

步骤S1，接收IKE报文。

步骤S2，检查IKE报文中的cookie值是否完整。

步骤S3，如果所述cookie值完整并且IKE SA(Security Association)数据库中有对应的值，则继续IKE协商过程，否则将所述IKE报文丢弃。

步骤S4，如果所述cookie值中只有源cookie值，并且IKE SA数据库中有对应的值，则再次发送回应报文。

步骤S5，如果所述cookie值中只有源cookie值，并且IKE SA数据库中没有对应的值，则根据是否开启了防DoS功能，对所述IKE报文进行处理。

具体地，步骤S3中，所述cookie值完整是指所述cookie值中源cookie值和目的cookie值都存在。

进一步地，根据是否开启了防DoS功能，对所述IKE报文进行处理包括步骤：

步骤S501，如果没有开启防DoS功能，则判断整机最大半连接数是否达到上限，如果达到则将所述IKE报文丢弃，否则将半连接个数加1并创建与所述IKE报文对应的IKE SA连接结构体，并将所述IKE SA连接结构体存储至IKE SA数据库中，构造回应报文并发送。

步骤S502，如果开启了防DoS功能，则对防DoS攻击表进行检索，如果防DoS攻击表中存在与源cookie值相同的cookie值，则判断整机最大半连接数是否达到上限，如果达到则丢弃所述IKE报文，否则将半连接个数加1并创建与所述IKE报文对应的IKE SA连接结构体，并将所述IKE SA连接结构体存储至IKE SA数据库中，构造回应报文并发送，清除防DoS攻击表与源cookie值对应的表项。

步骤S503，如果开启了防DoS功能，且防DoS攻击表中不存在与源cookie值相同的cookie值，则判断整机最大半连接数是否达防攻击记录边界值，如果没有达到则将半连接个数加1并创建与所述IKE报文对应的IKE SA连接结构体，并将所述IKE SA连接结构体存储至IKE SA数据库中，构造回应报文并发送；如果整机最大半连接数达到防攻击记录边界值，则将源cookie值记录到防DoS攻击表中，并丢弃所述IKE报文。

其中，整机最大半连接数上限为4000，所述防攻击记录边界值为1000。

进一步地，步骤S1之前还包括：开启防DoS攻击功能，配置防DoS攻击的防攻击记录边界值和整机最大半连接数的上限。

根据本发明的另一方面，提供一种防止DoS攻击的防火墙，包括：

接收单元，用于接收IKE报文；

检查单元，用于检查IKE报文中的cookie值是否完整；

第一处理单元，用于在所述cookie值完整并且IKE SA数据库中有对应的值时，继续IKE协商过程，否则将所述IKE报文丢弃；

第二处理单元，用于在所述cookie值中只有源cookie值，并且IKE SA数据库中有对应的值时，再次发送回应报文；