[发明专利]防范泛洪攻击的方法、装置、负载均衡设备和存储介质

权利要求书

1.一种防范泛洪攻击的方法，应用于工作在直接路由模式下的负载均衡设备，其特征在于，所述方法包括：

当所述负载均衡设备与客户端建立传输控制协议TCP连接时，接收所述客户端向服务器发送的第一同步报文，并基于所述第一同步报文生成第一同步认证信息值；

向所述客户端发送包括所述第一同步认证信息值的同步确认报文；

接收所述客户端发送的确认报文，从所述确认报文中提取第二同步认证信息值；其中，所述第二同步认证信息值由所述客户端基于所述第一同步认证信息值生成；

将所述第二同步认证信息值与所述第一同步认证信息值进行匹配；

如果匹配失败，则停止向所述服务器发送第二同步报文；

如果匹配成功，则向所述服务器发送所述第二同步报文；

所述向所述服务器发送所述第二同步报文的步骤，包括：

根据轮询调度算法、加权轮询调度算法、最少连接数调度算法或加权最少连接数调度算法，选择待接收所述第二同步报文的服务器；

向选中的待接收所述第二同步报文的服务器，发送所述第二同步报文；

所述第二同步报文包括选项字段；所述负载均衡设备包括网卡；

所述向选中的待接收所述第二同步报文的服务器，发送所述第二同步报文的步骤，包括：

获取所述网卡的接口地址；

基于所述网卡的接口地址，按照预定格式，生成目标数值；

将所述目标数值作为所述选项字段的内容，向选中的待接收所述第二同步报文的服务器，发送包括所述选项字段的所述第二同步报文；所述选项字段用于选中的待接收所述第二同步报文的服务器解析所述选项字段的内容得到往返延时RTT值，所述RTT值用于校准从客户端至服务器的延迟时间，所述延迟时间用于通过修改协议栈的方式校正第二同步报文中的序列号字段里的内容。

2.根据权利要求1所述的方法，其特征在于，在所述向所述客户端发送包括所述第一同步认证信息值的同步确认报文的步骤之后，所述方法还包括：

如果在预设时间段内未接收到来自所述客户端的确认报文，则停止向所述服务器发送第二同步报文。

3.根据权利要求1所述的方法，其特征在于，所述同步确认报文包括序列号字段，所述确认报文包括确认号字段；

所述向所述客户端发送包括第一同步认证信息值的同步确认报文的步骤，包括：

将所述第一同步认证信息值作为所述序列号字段的内容，向所述客户端发送包括所述序列号字段的所述同步确认报文；

所述接收所述客户端发送的确认报文，从所述确认报文中提取第二同步认证信息值的步骤，包括：

接收所述客户端发送的确认报文，从所述确认报文中提取确认号字段中的内容，作为所述第二同步认证信息值，所述确认号字段根据接收到的确认报文中的序列号字段获得。

4.根据权利要求1所述的方法，其特征在于，所述将所述第二同步认证信息值与所述第一同步认证信息值进行匹配的步骤，包括：

将所述第二同步认证信息值与所述第一同步认证信息值进行比较；其中，所述第二同步认证信息值在所述客户端为合法客户端的情况下，根据所述TCP连接的建立条件，由所述合法客户端将接收到的所述第一同步认证信息值进行加1操作而得到；

如果所述第二同步认证信息值与所述第一同步认证信息值的差值为1，则确定匹配成功；否则，确定匹配失败。

5.根据权利要求1所述的方法，其特征在于，所述基于所述第一同步报文生成第一同步认证信息值的步骤，包括：

记录接收所述第一同步报文的时间；

从所述第一同步报文中提取出源端口号字段的内容、目的端口号字段的内容、源互联网协议IP地址字段的内容和目的IP地址字段的内容；

根据所述负载均衡设备当前的工作状态，生成一个随机数；

对所记录的时间、所述源端口号字段的内容、所述目的端口号字段的内容、所述源IP地址字段的内容、所述目的IP地址字段的内容和所述随机数，进行哈希计算，得到哈希值，并将所述哈希值作为所述第一同步认证信息值。