[发明专利]一种识别SYN报文真实性的方法、装置及网络设备

说明书

本发明提供了一种识别SYN报文真实性的方法、装置及网络设备，基于如下原理进行：防火墙在进行SYN Reset认证时，通过将SYN报文中的TTL信息记录到Cookie中；防火墙接收Reset报文，通过从Cookie中获取的TTL信息与Reset报文中获取的TTL信息进行校验，识别该Reset报文与之前的SYN报文是否由同一个发送者发送；当TTL校验不通过时，可认定该Reset报文与之前的SYN报文不是由同一个发送者发送，则认为该源IP无法通过SYN Reset认证。本发明可极大的降低攻击者伪造互联网上真实活跃IP绕过防火墙SYN Reset认证的概率，提高防火墙对伪造源IP的识别准确率。

技术领域

本发明涉及网络安全技术领域，具体涉及一种识别SYN报文真实性的方法、装置及网络设备。

背景技术

缩略语及关键术语定义：

TCP(Transmission Control Protocol，传输控制协议)，是为了在不可靠的互联网络上提供可靠的端到端字节流而专门设计的一个传输协议。TCP通信时需要先进行三次握手（SYN，SYN-ACK，ACK三个报文），建立TCP连接以后才可以发送数据包。

防火墙，是指一套对网络攻击进行检测、告警、防护的网络安全设备。通常部署在IDC机房入口，对进入的流量进行实时检测，及时发现包括DDoS攻击在内的异常流量，在不影响正常业务的前提下清洗掉异常的攻击流量，保障机房内的服务器不受攻击，业务正常稳定运行。

TTL（Time To Live，生存时间值），是指该IP报文被路由器丢弃之前允许转发的最大跳数。其初始值通常为64、128或255，不同操作系统初始值可能不一样，其由报文发送者设置，报文每经过一个路由器其TTL值都会被减1后再转发。如果IP报文在到达目的IP之前其TTL减少到0时，则报文会被丢弃。通过报文中的TTL值可以计算出该报文从源发出后经过转发的跳数，如接收到报文中的TTL为230，则该报文从源设备发送后经过25跳后到达接收设备。

发明背景：

SYN Flood攻击，又称半开式连接攻击。每当我们进行一次标准的TCP连接，都会有一个三次握手的过程，而SYN Flood在它的实现过程中只有前两个步骤。这样，服务方会在一定时间处于等待接收请求方ACK消息的状态。由于一台服务器可用的TCP连接是有限的，如果恶意攻击方伪造大量源IP地址，快速连续地发送此类连接请求，则服务器可用TCP连接队列很快将会阻塞，系统资源和可用带宽急剧下降，无法提供正常的网络服务，从而造成拒绝服务。

防御SYN Flood攻击的核心技术为识别攻击者伪造的SYN报文并将其进行拦截，同时识别真实客户端的SYN报文并将其放行。

现有技术中，牵引式(旁路式)防火墙通常采用SYN Reset认证方式识别伪造的SYN报文。

当客户端发送SYN报文新建TCP连接时，防火墙先拦截该报文，并模拟服务器向客户端回应一个SYN-ACK报文，该报文中的确认序列号(ack number)未按协议规定生成，而是通过特定算法计算出的Cookie值，该值与客户端的期望值不一致。

正常请求的客户端在接受到这个SYN-ACK报文时，发现确认序列号与期望值不一致，从而会向服务器回应一个序列号为Cookie的Reset报文终止连接。防火墙获取这个Reset报文中的Cookie信息，并与预先记录的Cookie信息进行校验，如果校验通过，则认为该Reset报文是可信的，该连接也是可信的 ，然后记录该客户端IP到设备白名单中，该客户端IP的后续报文都可直接通过，其实现原理如附图1所示。

由于攻击者伪造源IP时无法收到防火墙发送的SYN-ACK报文，无法回复准确Cookie值的Reset报文，也就无法通过SYN Reset认证，从而无法与服务器建立连接造成攻击。其实现原理如附图2所示。