[发明专利]新建连接攻击的防护方法及相关设备

说明书

本申请实施例供一种新建连接攻击的防护方法。在一个新的防护周期，通知目标设备的硬件允许预定数量的新建连接请求报文进入所述目标设备；统计在所述周期当前建立的连接数；如果在所述周期当前建立的连接数大于或等于预定的阈值，通知所述目标设备的硬件阻止新建连接请求报文进入所述目标设备；如果在所述周期当前建立的连接数小于预定的阈值，通知目标设备的硬件继续允许预定数量的新建连接请求报文进入所述目标设备。根据本申请实施例的方案，通过软件进行新建连接计数以及攻击判定，硬件进行报文限制，阻止大流量攻击报文在经过报文安全性检查以及报文转发前的预处理流程空耗设备性能的情况发生，使设备在能够实现防护的同时仍保持高性能状态。

技术领域

本申请涉及网络安全领域，特别涉及新建连接攻击的防护方法及相关设备。

背景技术

一方面，随着各种DDoS(分布式拒绝服务，Distributed Denial of Service)攻击工具的问世、工具的获取容易及其操作简单，此外，现在的DDoS攻击服务也非常廉价；另一方面，服务器的网络连接数又是有限制的；因此导致新建连接攻击能够轻易实现。攻击者通过攻击工具或者僵尸网络发起大量的新建连接请求，以耗尽服务器的新建连接资源，从而导致正常的连接请求建立失败。

新建连接攻击常见有以下两种情况：一种是在很短的时间内以高速率与攻击目标(如，服务器)建立网络连接以使新建连接数超过攻击目标的上限。一般情况下，利用已有的攻击工具再加上僵尸网络，很容易超过攻击目标的新建连接数上限。另一种是每秒钟内与攻击目标建立的连接数正常，即在一段连续时间内均以一定的速率与攻击目标建立网络连接，但从不释放已建立成功的连接，从而使新建连接数超过攻击目标的上限。通常，攻击工具或者僵尸网络与攻击目标建立完连接后，不传输任何数据，因为一旦传输错误的数据，攻击目标会自动断开连接。因此，当攻击目标的新建连接资源被攻击者或者僵尸网络使用完后，当有正常的连接请求到达时则无法提供响应。

发明内容

针对新建连接攻击，相关的现有技术方案是在进入报文转发流程之前，设置新建连接攻击的防护流程，并在该流程中先判断当前建立的连接数是否已超过设定的阈值，若已超过设定的阈值则直接丢弃连接请求报文，若未超过设定的阈值则该连接请求报文进入到后面的报文转发流程，建立连接。

但是本申请的发明人在研究中发现，虽然超过阈值的连接请求报文被丢弃了，但同时也消耗了服务器的大量资源。因为连接请求报文在进入报文转发流程前，会先进入到很多有关报文安全性检查的防护流程以及报文转发前的预处理流程中。对于这一系列流程，也会消耗服务器不小的资源。如果是处理小流量的攻击报文时，服务器的性能基本没有什么变化，而在处理大流量的攻击报文时，虽然连接数控制在了阈值范围内，但是服务器的大部分资源用来处理经过这一系列流程的大流量攻击报文，从而对其他的功能无法提供正常服务。此时，服务器本身的性能受到严重影响，对于攻击者来说就已经超过了攻击的目的。

有鉴于此，本申请提供新建连接攻击的防护方法及相关设备，以尽可能解决现有技术中由于攻击报文(特别是大流量攻击报文)在被丢弃前已过度地消耗服务器资源而导致服务器性能下降进而无法提供正常服务的问题。

具体地，本申请是通过如下技术方案实现的：

一种新建连接攻击的防护方法，所述方法包括：

在一个新的防护周期，通知目标设备的硬件允许预定数量的新建连接请求报文进入所述目标设备；

统计在所述周期当前建立的连接数；

如果在所述周期当前建立的连接数大于或等于预定的阈值，通知所述目标设备的硬件阻止新建连接请求报文进入所述目标设备；

如果在所述周期当前建立的连接数小于预定的阈值，通知目标设备的硬件继续允许预定数量的新建连接请求报文进入所述目标设备。

可选的，在目标设备的硬件阻止新建连接请求报文进入所述目标设备之后，所述方法还包括：