[发明专利]一种防攻击数据传输方法及装置

说明书

技术领域

本发明涉及数据传输领域，具体涉及一种一种防攻击数据传输方法及装置。

背景技术

目前，在现有技术中，常见的通信攻击方式包括以下两种：

1、SYN攻击，攻击原理如下：SYN攻击属于DOS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。SYN攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统，事实上SYN攻击并不管目标是什么系统，只要这些系统打开TCP服务就可以实施。服务器接收到连接请求(syn＝j)，将此信息加入未连接队列，并发送请求包给客户(syn＝k,ack ＝j+1)，此时进入SYN_RECV状态。当服务器未收到客户端的确认包时，重发请求包，一直到超时，才将此条目从未连接队列删除。配合IP欺骗，SYN攻击能达到很好的效果，通常，客户端在短时间内伪造大量不存在的IP地址，向服务器不断地发送syn包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，目标系统运行缓慢，严重者引起网络堵塞甚至系统瘫痪。

2、ACK攻击，攻击原理如下：在TCP连接建立之后，所有的数据传输TCP报文都是带有 ACK标志位的，主机在接收到一个带有ACK标志位的数据包的时候，需要检查该数据包所表示的连接四元组是否存在，如果存在则检查该数据包所表示的状态是否合法，然后再向应用层传递该数据包。如果在检查中发现该数据包不合法，例如该数据包所指向的目的端口在本机并未开放，则主机操作系统协议栈会回应RST包告诉对方此端口不存在。通常状态检测防火墙所做的事情与此类似，只不过防火墙只拦截非法的数据包，而不主动回应。

对比主机以及防火墙在接收到ACK报文和SYN报文时所做动作的复杂程度，显然ACK报文带来的负载要小得多。所以在实际环境中，只有当攻击程序每秒钟发送ACK报文的速率达到一定的程度，才能使主机和防火墙的负载有大的变化。当发包速率很大的时候，主机操作系统将耗费大量的精力接收报文、判断状态，同时要主动回应RST报文，正常的数据包就可能无法得到及时的处理。这时候客户端(以IE为例)的表现就是访问页面反应很慢，丢包率较高。但是状态检测的防火墙通过判断ACK报文的状态是否合法，借助其强大的硬件能力可以较为有效的过滤攻击报文。当然如果攻击流量非常大，由于需要维护很大的连接状态表同时要检查数量巨大的ACK报文的状态，防火墙也会不堪重负导致全网瘫痪。

为了解决上述问题，目前常用的处理方式是：宽带流量清洗。通过宽带流量清洗的方式，以减轻来自于攻击流量对网络和服务器造成的压力。其中，宽带流量清洗解决方案主要分为三个步骤：第一步，利用专用的检测设备对用户业务流量进行分析监控。第二步，当服务器遭受到攻击时，检测设备上报给专用的业务管理平台生成清洗任务，将用户流量牵引到流量清洗中心；第三步，流量清洗中心对牵引过来的用户流量进行清洗，并将清洗后的用户合法流量回注到服务器。但是在现有的清洗方案中，由于通讯协议各有不同，均采用流量清洗的方式来御防攻击，则很有可能会造成误伤，即将正常的数据流量当成攻击流量进行过滤。针对上述的问题，目前尚未提出有效的解决方案。

发明内容

根据本发明实施例的一个方面，提供了一种防攻击数据传输方法，包括：获取待传输的通信协议报文；对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理，生成处理信息；将上述处理信息保存在上述通信协议报文在上述报文头部中的扩展位上，得到转换后的通信协议报文，其中，上述通信协议报文的上述报文头部包括上述信息位和上述扩展位；发送上述转换后的通信协议报文至接收设备；

可选地，对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理包括以下至少之一：调整上述信息位上的数据的顺序；或者对上述信息位上的数据进行整体或局部的压缩，并填充字符到压缩后的空闲位置；或者对上述信息位上的数据进行整体或局部的加密；或者对上述信息位上的数据进行整体或局部的签名。

可选地，在对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理之前，还包括：将上述通信协议报文中位于上述报文头部的部分字节设置为上述扩展位。

可选地，将上述通信协议报文中位于报文头部的部分字节设置为扩展位包括：将上述报文头部中的序列号和/或确认号中的部分字节设置为上述扩展位。