[发明专利]传输控制协议流量过滤方法、装置、服务器及存储介质

说明书

本发明公开了一种传输控制协议流量过滤方法、装置、服务器及存储介质，属于网络安全领域。所述方法包括：当服务器受到黑洞挑战攻击时，基于服务器的源英特网协议地址信任列表，确定发送给服务器的传输控制协议报文的源英特网协议地址中的信任源英特网协议地址和非信任源英特网协议地址。将信任源英特网协议地址的传输控制协议报文发送给服务器。利用非信任源英特网协议地址的同步序列编号报文速率基线、传输控制协议报文长度基线和传输控制协议报文速率基线，判断是否对非信任源英特网协议地址的传输控制协议报文进行拦截。

技术领域

本发明涉及网络安全领域，特别涉及一种传输控制协议流量过滤方法、装置、服务器及存储介质。

背景技术

分布式拒绝服务(Distributed Denial of Service，DDoS)攻击，是指黑客通过控制分布在各处的僵死网络向目的服务器发起大量异常流量，服务器忙于处理异常流量，无法处理正常用户请求，甚至系统崩溃，造成拒绝服务。

黑洞挑战(Chanllenge Collapsar，CC)攻击是一种非常常见的DDoS攻击手法。攻击端(例如，被控制的客户端)先与被攻击端(例如，被攻击服务器)建立传输控制协议(Transmission Control Protocol，TCP)连接，然后向被攻击端发送大量的TCP垃圾报文，阻塞被攻击端带宽，导致业务瘫痪。

传统CC攻击防护方案采用水印防护实现，在客户端向服务器发送上行TCP报文时，需要在TCP报文中携带通过事先约定的算法算出的水印字段。设置在客户端和服务器之间的防护端，通过验证该上行TCP报文中水印字段的合法性，从而判断是否将该TCP报文转发给服务器，实现对非法报文进行拦截。然而，这种防护方案需要对客户端的代码进行修改，接入成本和门槛较高；另外，携带水印字段的TCP报文长度增加，增加了上行流量成本。

发明内容

为了解决相关技术中存在的采用水印防护CC攻击时，客户端接入成本和门槛较高，同时增加了上行流量成本问题。本发明实施例提供了一种TCP流量过滤方法、装置、服务器及存储介质。所述技术方案如下：

一方面，提供了一种TCP流量过滤方法，所述方法包括：

当服务器受到CC攻击时，基于所述服务器的源IP地址信任列表，确定发送给所述服务器的TCP报文的源IP地址中的信任源IP地址和非信任源IP地址，所述信任源IP地址为处于源IP地址信任列表中的源IP地址，所述非信任源IP地址为不处于源IP地址信任列表中的源IP地址。将所述信任源IP地址的TCP报文发送给所述服务器。利用所述非信任源IP地址的SYN报文速率基线、TCP报文长度基线和TCP报文速率基线，判断是否对所述非信任源IP地址的TCP报文进行拦截。

另一方面，还提供了一种TCP流量过滤装置，所述装置包括：

判断模块，用于当服务器受到CC攻击时，基于所述服务器的源IP地址信任列表，确定发送给所述服务器的TCP报文的源IP地址中的信任源IP地址和非信任源IP地址，所述信任源IP地址为处于源IP地址信任列表中的源IP地址，所述非信任源IP地址为不处于源IP地址信任列表中的源IP地址。过滤模块，用于将所述信任源IP地址的TCP报文发送给所述服务器；利用所述非信任源IP地址的SYN报文速率基线、TCP报文长度基线和TCP报文速率基线，判断是否对所述非信任源IP地址的TCP报文进行拦截。

另一方面，还提供了一种服务器，所述服务器包括处理器和存储器，所述存储器中存储有至少一条指令，所述指令由所述处理器加载并执行以实现如第一方面所述的TCP流量过滤方法。

另一方面，还提供了一种计算机可读存储介质，所述存储介质中存储有至少一条指令，所述指令由处理器加载并执行以实现如第一方面所述的TCP流量过滤方法。

本发明实施例提供的技术方案带来的有益效果是：