[发明专利]一种识别SYN报文真实性的方法、装置及网络设备

权利要求书

1.一种识别SYN报文真实性的方法，其特征在于，应用于防火墙SYN Reset认证过程，包括如下步骤：

S1、防火墙接收未标定源IP的SYN请求，从该SYN报文中提取并记录路由及端口信息，所述路由及端口信息至少包括第一TTL值、源IP和源端口信息；

S2、生成Cookie，所述Cookie至少包含所述第一TTL值和校验位信息，所述校验位信息基于预设算法生成；

S3、防火墙向该SYN报文的源IP、源端口回应SYN-ACK报文，该SYN-ACK报文中确认序列号值为步骤S2中生成的Cookie；

S4、防火墙接收所述源IP的Reset报文，并从该Reset报文中至少提取出内容为Cookie的序列号值、源IP和第二TTL值；如果

所述序列号值包含的第一TTL值与所述第二TTL值一致，且根据所述预设算法校验该序列号值包含的所述校验位信息合法，则判定该源IP通过SYN Reset认证；否则判定该源IP未通过SYN Reset认证。

2.如权利要求1所述的识别SYN报文真实性的方法，其特征在于，所述未标定源IP包括既不在防火墙黑名单内，也不在防火墙白名单内的源IP。

3.如权利要求1所述的识别SYN报文真实性的方法，其特征在于，步骤S2中，生成的Cookie长度为32位，其中高8位为第一TTL值，低24位为校验位。

4.如权利要求1所述的识别SYN报文真实性的方法，其特征在于，步骤S2中，生成的Cookie长度为32位，其中高6位为第一TTL值，且该第一TTL值为基于原始TTL值经转换后的报文实际跳数；Cookie中其余26位为校验位。

5.如权利要求1所述的识别SYN报文真实性的方法，其特征在于，基于原始TTL值转换报文实际跳数的转换规则为：

1）若原始TTL字段的值TTL₁小于64，则报文实际跳数为64- TTL₁；

2）若原始TTL字段的值TTL₂大于等于64且小于128，则报文实际跳数为128-TTL₂；

3）若原始TTL字段的值TTL₃大于等于128且小于等于255，则报文实际跳数为255-TTL₃。

6.如权利要求1所述的识别SYN报文真实性的方法，其特征在于，步骤S2和S4中，基于预设算法计算校验位信息具体包括：

基于秘钥、源IP 、源端口和/或时间戳信息的全部或部分要素组合，进行设定计算后得到的计算结果的全部或部分位数值作为校验位信息。

7.如权利要求1-6任一项所述的识别SYN报文真实性的方法，其特征在于，还包括：

S5、若判定所述源IP通过SYN Reset认证，则将该源IP加入白名单，后续该源IP的报文可通过防火墙；若判定该源IP未通过SYN Reset认证，则将该源IP加入黑名单，后续该源IP的报文不能通过防火墙。