[发明专利]一种防御攻击的方法及装置

权利要求书

1.一种防御攻击的方法，其特征在于，所述方法应用于终端与服务器之间的防火墙，所述方法包括：

接收第一报文；

若确定与所述服务器已建立的连接数大于连接阈值，则判断所述第一报文是否为慢攻击报文；

若所述第一报文为慢攻击报文，且已接收的与所述第一报文具有相同源IP地址的慢攻击报文数大于攻击阈值，则丢弃与所述第一报文具有相同源IP地址的报文；

所述判断所述第一报文是否为慢攻击报文，包括：

判断所述第一报文是否包含结束符；

若所述第一报文不包含结束符，则所述第一报文为慢攻击报文；

若所述第一报文包含结束符，则判断所述第一报文的标识载荷长度是否大于长度阈值，且所述第一报文的实际载荷长度是否小于所述长度阈值；

若所述第一报文的标识载荷长度大于所述长度阈值，且所述第一报文的实际载荷长度小于所述长度阈值，则所述第一报文为慢攻击报文；

若所述第一报文的标识载荷长度小于所述长度阈值，或所述第一报文的实际载荷长度大于所述长度阈值，则所述第一报文不是慢攻击报文。

2.根据权利要求1所述的方法，其特征在于，在判断所述第一报文是否为慢攻击报文之后，所述方法还包括：

若所述第一报文为慢攻击报文，则获取所述第一报文的源IP地址；

判断攻击列表是否包括所述源IP地址；

若所述攻击列表包括所述源IP地址，则将所述源IP地址对应的攻击报文数加1；

若所述攻击列表不包括所述源IP地址，则将所述源IP地址加入所述攻击列表，并记录所述源IP地址对应的攻击报文数。

3.根据权利要求1所述的方法，其特征在于，所述若所述第一报文为慢攻击报文，且已接收的与所述第一报文具有相同源IP地址的慢攻击报文数大于攻击阈值，则丢弃与所述第一报文具有相同IP地址的报文，包括：

若所述第一报文为慢攻击报文，且已接收的与第一报文具有相同源IP地址的慢攻击报文数大于攻击阈值，则将会话表项列表中包含所述源IP地址的会话表项删除，并将所述源IP地址加入拦截列表，所述会话表项列表包括用于所述防火墙对报文进行转发的会话表项；

当接收到的报文的源IP地址与所述拦截列表中的IP地址相同时，丢弃报文。

4.根据权利要求2所述的方法，其特征在于，所述方法还包括：

当所述攻击列表中的所述源IP地址对应的攻击报文数小于所述攻击阈值时，将所述源IP地址从所述攻击列表中删除。

5.一种防御攻击的装置，其特征在于，所述装置应用于终端与服务器之间的防火墙，所述装置包括：

接收模块，用于接收第一报文；

判断模块，用于若确定与所述服务器已建立的连接数大于连接阈值，则判断所述第一报文是否为慢攻击报文；

丢弃模块，用于若所述判断模块确定所述第一报文为慢攻击报文，且所述接入模块已接收的与所述第一报文具有相同源IP地址的慢攻击报文数大于攻击阈值，则丢弃与所述第一报文具有相同源IP地址的报文；

所述判断模块，具体用于：

判断所述第一报文是否包含结束符；

若所述第一报文不包含结束符，则所述第一报文为慢攻击报文；

若所述第一报文包含结束符，则判断所述第一报文的标识载荷长度是否大于长度阈值，且所述第一报文的实际载荷长度是否小于所述长度阈值；

若所述第一报文的标识载荷长度大于所述长度阈值，且所述第一报文的实际载荷长度小于所述长度阈值，则所述第一报文为慢攻击报文；

若所述第一报文的标识载荷长度小于所述长度阈值，或所述第一报文的实际载荷长度大于所述长度阈值，则所述第一报文不是慢攻击报文。