[发明专利]一种确定网络攻击的方法、装置及电子设备

权利要求书

1.一种确定网络攻击的方法，其特征在于，所述方法包括：

接收服务器发送的第一响应报文；

基于服务器发送的第二响应报文与所述第一响应报文之间的时间差在预设时间段内，确定建立所述服务器与防护对象的TCP连接；其中，所述第二响应报文为所述服务器在发送第一响应报文之后发送的响应报文；和/或

响应于所述服务器与所述防护对象建立TCP连接，根据所述服务器发送校正报文，确定所述服务器是否受到网络攻击。

2.如权利要求1所述的方法，其特征在于，所述基于服务器发送的第二响应报文与所述第一响应报文之间的时间差在预设时间段内，确定建立所述服务器与防护对象的TCP连接，包括：

丢弃所述第一响应报文，并向所述服务器发送重置会话报文；其中，所述第一响应报文为所述服务器响应于防护对象请求建立第一会话连接向所述防护对象发送的报文，所述重置会话报文为中断所述第一会话的报文；

在发送所述重置会话报文后，接收所述服务器发送的第二响应报文；其中，所述第二响应报文为所述服务器响应于所述防护对象请求建立第二会话连接向所述防护对象发送的报文；

计算接收所述第一响应报文与接收所述第二响应报文之间的时间差；

响应于所述时间差在预设时间段内，建立所述服务器与防护对象之间的TCP连接。

3.如权利要求2所述的方法，其特征在于，所述丢弃所述第一响应报文，并向所述服务器发送重置会话报文，包括：

确定所述第一响应报文的源IP地址；

响应于白名单中存在所述源IP地址，判定所述服务器未受到网络攻击；

响应于黑名单中存在所述源IP地址，判定所述服务器受到网络攻击；

响应于所述白名单和所述黑名单中都不存在所述源IP地址，丢弃所述第一响应报文，并向所述服务器发送重置会话报文。

4.如权利要求2所述的方法，其特征在于，在所述计算接收所述第一响应报文与接收所述第二响应报文之间的时间差之后，还包括：

响应于所述时间差不在预设时间段内，判定所述服务器受到网络攻击；

确定所述服务器的源IP地址，并将所述源IP地址加入黑名单中；其中，所述黑名单为预设周期更新的存储受到网络攻击的源IP地址的数据库。

5.如权利要求1所述的方法，其特征在于，所述响应于所述服务器与所述防护对象建立TCP连接，根据所述服务器发送校正报文，确定所述服务器是否受到网络攻击，包括：

响应于服务器与防护对象建立TCP连接，接收所述服务器发送的首个携带数据的数据报文；

丢弃接收的首个数据报文，并向所述服务器发送探测报文；其中，所述探测报文为不携带正确序列号的报文；

在发送所述探测报文后，接收所述服务器发送的校正报文；其中，所述校正报文为携带校正序列号的报文；

响应于所述校正序列号加上指定数值与所述正确序列号一致，确定所述服务器未受到网络攻击。

6.如权利要求5所述的方法，其特征在于，在所述接收所述服务器发送的校正报文之后，还包括：

响应于所述校正序列号加上指定数值与所述正确序列号不一致，判定所述服务器受到网络攻击；

确定所述服务器的源IP地址，并将所述源IP地址加入黑名单中；其中，所述黑名单为预设周期更新的存储受到网络攻击的源IP地址的数据库。

7.如权利要求5所述的方法，其特征在于，在所述确定所述服务器未受到网络攻击之后，还包括：

确定所述服务器的源IP地址，并将所述源IP地址加入白名单中；其中，所述白名单为预设周期更新的存储未受到网络攻击的源IP地址的数据库。