技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)認(rèn)證方法、裝置和系統(tǒng)。?

背景技術(shù)

網(wǎng)絡(luò)上出現(xiàn)了大量的DDOS(Distributed?Denial?of?Service，分布式拒絕服務(wù))攻擊，俗稱洪水攻擊，被攻擊主機(jī)或服務(wù)器上有大量等待的TCP(Transmission?Control?Protocol)連接網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包，攻擊者通過制造高流量無用數(shù)據(jù)，利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請(qǐng)求，使受害主機(jī)無法及時(shí)處理所有正常請(qǐng)求，造成網(wǎng)絡(luò)擁塞，嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)。SYN?Flood是DDoS的主要攻擊手段之一，SYN?Flood利用了TCP/IP(Internet?Protocol)協(xié)議的固有漏洞，面向連接的TCP三次握手是SYN?Flood存在的基礎(chǔ)。假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了SYN(同步，synchronize)報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出SYN_ACK(synchronize?acknowledge)應(yīng)答數(shù)據(jù)包后是無法收到客戶端的確認(rèn)ACK(acknowledge)數(shù)據(jù)包的(第三次握手無法完成)，這種情況下服務(wù)器端一般會(huì)重試(再次發(fā)送SYN_ACK數(shù)據(jù)包給客戶端)并等待一段時(shí)間后丟棄這個(gè)未完成的連接，這段時(shí)間的長(zhǎng)度我們稱為SYN?Timeout，一般來說這個(gè)時(shí)間是分鐘的數(shù)量級(jí)(大約為30秒-2分鐘)；一個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待1分鐘并不是什么很大的問題，但如果有一個(gè)惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源，即使是簡(jiǎn)單的保存并遍歷也會(huì)消耗非常多的CPU時(shí)間和內(nèi)存，何況還要不斷對(duì)這個(gè)列表中的IP進(jìn)行SYN_ACK的重試。實(shí)際?上如果服務(wù)器的TCP/IP棧不夠強(qiáng)大，最后的結(jié)果往往是堆棧溢出崩潰。即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請(qǐng)求而無暇理睬客戶的正常請(qǐng)求(畢竟客戶端的正常請(qǐng)求比率非常之小)，此時(shí)從正常客戶的角度看來，服務(wù)器失去響應(yīng)，這種情況稱作服務(wù)器端受到了SYN?Flood攻擊(SYN洪水攻擊)。?

如圖1所示，現(xiàn)有技術(shù)一提供了一種防止DDOS攻擊的認(rèn)證方法，該方法利用網(wǎng)關(guān)進(jìn)行認(rèn)證防護(hù)，網(wǎng)關(guān)設(shè)備收到SYN數(shù)據(jù)包后，向客戶端發(fā)送SYC-ACK數(shù)據(jù)包，SYN_ACK數(shù)據(jù)包內(nèi)的順序號(hào)SEQ(sequence?number)是網(wǎng)關(guān)根據(jù)客戶端的IP等信息構(gòu)造的。客戶端收到SYN_ACK數(shù)據(jù)包后會(huì)回應(yīng)一個(gè)其應(yīng)答SEQ為SYN_ACK數(shù)據(jù)包的SEQ加1的ACK數(shù)據(jù)包。當(dāng)網(wǎng)關(guān)收到這個(gè)ACK數(shù)據(jù)包，則把客戶端的源IP記入白名單中，并發(fā)送一個(gè)RST數(shù)據(jù)包給客戶端，客戶端收到后則斷開連接。當(dāng)客戶端在一定時(shí)間內(nèi)再次發(fā)送SYN數(shù)據(jù)包請(qǐng)求連接的時(shí)候，只要在白名單的老化時(shí)間之內(nèi)，則可以直接訪問受保護(hù)的服務(wù)器。現(xiàn)有技術(shù)一雖然一定程度上可以保護(hù)服務(wù)器，但防護(hù)設(shè)備必須發(fā)兩次回包，浪費(fèi)資源。?

現(xiàn)有技術(shù)二提出了一種防火墻降低洪水攻擊的方法，防火墻接收到客戶端發(fā)送的包括順序號(hào)(“SEQ”)的SYN數(shù)據(jù)包，向客戶端發(fā)送SYN_ACK數(shù)據(jù)包，所述SYN_ACK數(shù)據(jù)包包括順序號(hào)SEQ和確認(rèn)順序號(hào)ACK_SEQUENCE值(“ACK”)，其中SYN_ACK分組的ACK不等于SYN數(shù)據(jù)包的SEQ+1；客戶端接收到包含錯(cuò)誤的ACK的SYN_ACK數(shù)據(jù)包后，按照TCP/IP協(xié)議規(guī)定，會(huì)向防火墻發(fā)送RST數(shù)據(jù)包，正常情況下RST數(shù)據(jù)包的SEQ與SYN_ACK數(shù)據(jù)包的ACK一致。防火墻檢驗(yàn)RST數(shù)據(jù)包中的SEQ是否與SYN_ACK數(shù)據(jù)包的ACK匹配，并且如果匹配，則指定與服務(wù)器的連接作為授權(quán)的連接。該方法防火墻只需要向客戶端發(fā)送一次包就可以實(shí)現(xiàn)認(rèn)證。?

發(fā)明人在實(shí)現(xiàn)本發(fā)明的過程中發(fā)現(xiàn)，現(xiàn)有技術(shù)二至少存在如下的缺陷：?

防火墻通過檢驗(yàn)RST數(shù)據(jù)包中的SEQ是否與SYN_ACK數(shù)據(jù)包的ACK?匹配進(jìn)行認(rèn)證，那么防火墻需要在發(fā)送SYN_ACK數(shù)據(jù)包之后存儲(chǔ)SYN_ACK數(shù)據(jù)包中的ACK值。一旦網(wǎng)絡(luò)異常或受到洪水攻擊時(shí)，網(wǎng)絡(luò)中存在大量的半連接，防火墻需要保存并維護(hù)大量的ACK值，占用了存儲(chǔ)資源。?

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供了一種網(wǎng)絡(luò)認(rèn)證方法和裝置，可以減少網(wǎng)絡(luò)認(rèn)證時(shí)占用的存儲(chǔ)資源。?

一種網(wǎng)絡(luò)認(rèn)證方法，包括：?

接收客戶端發(fā)送的同步數(shù)據(jù)SYN數(shù)據(jù)，所述SYN數(shù)據(jù)包括順序號(hào)SEQ1和網(wǎng)絡(luò)參數(shù)，其中，所述網(wǎng)絡(luò)參數(shù)包括IP數(shù)據(jù)包首部中的標(biāo)識(shí)ID；?