[发明专利]一种确定网络攻击的方法、装置及电子设备

说明书

本申请公开一种确定网络攻击的方法、装置及电子设备，该方法包括接收服务器发送的第一响应报文，基于确定出服务器发送的第二响应报文与第一响应报文之间的时间差处于预设时间段内，确定建立服务器与防护对象之间的TCP连接，然后，响应于服务器与防护对象建立TCP连接，防护设备根据服务器发送校正报文，确定服务器是否受到网络攻击。基于上述方法可以解决现有技术应用在TCP反射攻击场景下防护效果差的问题，达到节约计算资源、提升攻击防护效果。

技术领域

本申请涉及信息安全技术领域，尤其涉及一种确定网络攻击的方法、装置及电子设备。

背景技术

TCP(Transmission Control Protocol，传输控制协议)反射攻击是当前常见的一种DDOS(Distributed Denial of Service，分布式阻断服务)反射攻击方式。

攻击者在发起TCP反射攻击时，将伪造大量SYN(Synchronize Sequence Numbers，同步序列编号)报文发送至TCP服务器端口，并将这些SYN报文的源地址伪造为攻击目标的IP(Internet Protocol，互联网网络协议)地址，即当这些TCP服务器接收到SYN报文后，便会向攻击目标发送大量的响应报文，以此消耗或者长期占用攻击目标的大量资源，导致攻击目标无法响应正常的业务请求，从而达到攻击目标拒绝服务的目的。

当前，在服务端和客户端在建立TCP连接前，通常采用端口封禁的方式来阻止部分攻击报文；在服务端和客户端建立TCP连接后，通常采用报文限速的方式来降低攻击报文对客户端(攻击对象)的影响。但是，无论是端口封禁还是报文限速，在实际应用中都无法准确识别攻击报文，且容易影响正常业务报文的传输。

发明内容

本申请提供一种确定网络攻击的方法、装置及电子设备，用以在正常通信业务不受影响的前提下，通过相应的确定网络攻击的方法，验证服务器对TCP协议的实现程度，以及验证本次TCP会话的完整性，解决现有技术应用在TCP反射攻击场景下，存在防护效果差的问题。

第一方面，本申请提供了一种确定网络攻击的方法，所述方法包括：

接收服务器发送的第一响应报文；

基于服务器发送的第二响应报文与所述第一响应报文之间的时间差在预设时间段内，确定建立所述服务器与防护对象的TCP连接；其中，所述第二响应报文为所述服务器在发送第一响应报文之后发送的响应报文；和/或

响应于所述服务器与所述防护对象建立TCP连接，根据所述服务器发送校正报文，确定所述服务器是否受到网络攻击。

基于上述方法，能够在正常通信业务不受影响的前提下，通过相应的确定网络攻击的方法，验证服务器对TCP协议的实现程度，以及验证本次TCP会话的完整性，进而确定服务器是否受到网络攻击，解决现有技术在应用中存在无法准确识别攻击报文，且容易影响正常业务报文的传输的问题。

在一种可能的设计中，所述基于服务器发送的第二响应报文与所述第一响应报文之间的时间差在预设时间段内，确定建立所述服务器与防护对象的TCP连接，包括：丢弃所述第一响应报文，并向所述服务器发送重置会话报文；其中，所述第一响应报文为所述服务器响应于防护对象请求建立第一会话连接向所述防护对象发送的报文，所述重置会话报文为中断所述第一会话的报文；在发送所述重置会话报文后，接收所述服务器发送的第二响应报文；其中，所述第二响应报文为所述服务器响应于所述防护对象请求建立第二会话连接向所述防护对象发送的报文；计算接收所述第一响应报文与接收所述第二响应报文之间的时间差；响应于所述时间差在预设时间段内，建立所述服务器与防护对象之间的TCP连接。

基于上述方法，能够在正常通信业务不受影响的前提下，验证服务器对TCP协议的实现程度，达到节约计算资源、提高识别攻击准确性和提升防护效果的技术效果。