技術領域

本發明涉及網絡安全領域，特別是涉及一種拒絕服務攻擊防護方法、網絡系統和代理服務器。

背景技術

隨著寬帶網絡的進一步普及，很多政府網站、信息服務提供商(InternetServer?Provider，ISP)、托管機房、商業站點、游戲服務器、聊天網站等網絡服務商被拒絕服務(Denial?of?Service，DOS)攻擊或者分布式拒絕服務(Distributed?Denial?of?Service，DDOS)所困擾，DOS、DDOS攻擊的主要影響是網絡數據庫無法正常使用，服務器被入侵、機密資料丟失、以及一些連帶問題，嚴重時甚至會使得一些大型網站全面癱瘓。

DOS是Denial?Of?Service的簡稱，即拒絕服務，造成DOS的攻擊行為被稱為DOS攻擊，其目的是使計算機或網絡無法提供正常的服務。最常見的DOS攻擊有計算機網絡帶寬攻擊和連通性攻擊。帶寬攻擊是指以極大的通信量沖擊網絡，使得所有可用網絡資源都被消耗殆盡，最后導致合法的用戶請求無法通過。連通性攻擊指用大量的連接請求沖擊計算機，使得所有可用的操作系統資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。

DDOS攻擊是指借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或者多個目標發動DOS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者將DDOS主控程序安裝在一個計算機上，在一個設定的時間內，主控程序將與已經被安裝在國際互聯網(Internet)上的許多計算機上的大量代理程序通訊，代理程序在收到指令時就發動攻擊，主控程序能在幾秒鐘內激活成百上千次代理程序的運行。

被DDOS攻擊時的現象有：被攻擊主機上有大量等待的TCP(TransmissionControl?Protocol，傳輸控制協議)連接；網絡中充斥著大量的無用的數據包，源地址為假；制造高流量無用數據，造成網絡擁塞，使受害主機無法正常和外界通訊；利用受害主機提供的服務或傳輸協議上的缺陷，反復高速地發出特定的服務請求，使受害主機無法及時處理所有正常請求，嚴重時會造成系統死機。

DDOS攻擊中最典型的攻擊模式是SYN/ACK?Flood(SYN風暴)攻擊，其原理主要是向被攻擊主機發送大量偽造源IP和源端口的TCP連接請求數據包，導致主機緩存資源因處理這些欺騙請求包被耗盡或因忙于發送回應包，直至系統資源耗盡，從而形成拒絕服務。其基本過程是，一臺計算機在網絡中通訊時首先需要建立TCP握手，標準的TCP握手需要三次包交換來建立。一臺服務器一旦接收到客戶機的連接請求數據包SYN(Synchronize?sequencenumbers)后必須回應一個請求響應數據包SYN/ACK，然后等待該客戶機回應給它一個響應數據包ACK(Acknowledgment?field?significant)來確認，才真正建立連接。然而，如果只發送初始化的連接請求數據包SYN，而不發送確認服務器的響應數據包ACK會導致服務器一直等待響應數據包ACK。由于服務器在有限的時間內只能響應有限數量的連接，這就會導致服務器一直等待回應而無法響應其它計算機進行的連接請求，

抵御拒絕服務攻擊通常有兩種解決方案：一種是使用專門的防拒絕服務攻擊設備，另一種方案是使用防火墻上自帶的防拒絕服務攻擊功能。

但使用現有的防拒絕服務攻擊設備，只能防護其后的網絡，但不能防護針對自身的拒絕服務攻擊。因此通常采用透明模式，因為在透明模式下設備不具備IP地址，所以自身不會受到拒絕服務攻擊。如果使用者已經配備了網關/防火墻/邊緣路由，為了使網關/防火墻/邊緣路由免受拒絕服務攻擊，則需要在其之前加裝反拒絕服務系統。這種傳統的模式可以在一定程度上緩解拒絕服務攻擊，但缺點是需要增加額外的串行網絡設備，降低了網絡的可靠程度，同時成本增加。

對另一種自帶的具有防拒絕服務攻擊的防火墻，可以防護外網對防火墻自身的拒絕服務攻擊，但其缺點是不能防護位于其后的網絡，因此這種解決方案并不能真正的防御拒絕服務攻擊。

發明內容

本發明所要解決的問題是克服現有技術的缺陷，提供一種拒絕服務攻擊防護方法、網絡系統和代理服務器，其完成對本地和遠程服務器的一體化防護。

為實現本發明目的而提供的一種拒絕服務攻擊防護方法，包括下列步驟：

步驟A，對連接請求數據包，代理目的端響應客戶端請求，過濾掉拒絕服務攻擊，再根據合法的連接請求的響應數據包，判斷目的端地址，代理客戶端與目的端建立連接。

所述步驟A之前還包括下列步驟：