技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)據(jù)處理技術(shù)領(lǐng)域，特別涉及一種SYN洪水攻擊(SYN Flood)的防御方法和裝置。

背景技術(shù)

拒絕服務(wù)(DOS，Denial?of?Service)攻擊是現(xiàn)有互聯(lián)網(wǎng)上對(duì)服務(wù)器、網(wǎng) 關(guān)等設(shè)備的一種攻擊手段，這種攻擊針對(duì)現(xiàn)有服務(wù)器的缺陷或薄弱點(diǎn)，讓設(shè) 備崩潰，停止工作，以達(dá)到影響設(shè)備正常業(yè)務(wù)的目的。Flood攻擊(也叫洪水 攻擊，屬于拒絕服務(wù)攻擊的一種)就是一種典型的DOS攻擊，其采用短時(shí)間 內(nèi)發(fā)送大量報(bào)文的形式，去耗竭設(shè)備內(nèi)存資源，耗竭設(shè)備CPU資源，達(dá)到 攻擊的目的。這種攻擊具有很強(qiáng)的破壞力，并且包含多種形式，如SYN洪 水攻擊(SYN?Flood，Synchronize?sequence?numbers?Flood)就是其中一種形 式。

通常，一臺(tái)計(jì)算機(jī)在網(wǎng)絡(luò)中通訊前首先需要建立傳輸控制協(xié)議(TCP， Transmission?Control?Protocol)握手，標(biāo)準(zhǔn)的TCP握手需要三次包交換來(lái)建 立，即一臺(tái)服務(wù)器一旦接收到客戶機(jī)的連接請(qǐng)求數(shù)據(jù)包SYN后必須回應(yīng)一 個(gè)請(qǐng)求響應(yīng)數(shù)據(jù)包SYN+ACK，然后等待該客戶機(jī)回應(yīng)給它一個(gè)響應(yīng)數(shù)據(jù)包 ACK(Acknowledgment?field?significant)來(lái)確認(rèn)，至此才真正建立起連接。

SYN?Flood攻擊的原理主要是向被攻擊設(shè)備發(fā)送大量偽造源IP地址和源 端口的TCP連接請(qǐng)求數(shù)據(jù)包，導(dǎo)致該設(shè)備緩存資源因處理這些偽造的SYN 包被耗盡或因忙于發(fā)送回應(yīng)包，直至系統(tǒng)資源耗盡，從而形成拒絕服務(wù)。其 基本過程是，發(fā)送大量偽造源IP地址和源端口的TCP連接請(qǐng)求數(shù)據(jù)包 SYN，而不發(fā)送確認(rèn)服務(wù)器的響應(yīng)數(shù)據(jù)包ACK，這樣會(huì)導(dǎo)致服務(wù)器一直等 待響應(yīng)數(shù)據(jù)包ACK。由于服務(wù)器在有限的時(shí)間內(nèi)只能響應(yīng)有限數(shù)量的連 接，這就會(huì)導(dǎo)致服務(wù)器一直等待回應(yīng)而無(wú)法響應(yīng)其它計(jì)算機(jī)進(jìn)行的連接請(qǐng) 求。

現(xiàn)有的防御SYN洪水攻擊的方法，主要是基于SYN?Cookie的手段。其 原理是，在服務(wù)器等設(shè)備收到客戶端的SYN包時(shí)，返回SYN+ACK包，并 根據(jù)這個(gè)SYN包計(jì)算出一個(gè)cookie值返回去。當(dāng)再收到該客戶端的ACK包 時(shí)，該設(shè)備根據(jù)已計(jì)算出的cookie值檢查這個(gè)ACK包的合法性。如果合 法，幫助該客戶端和服務(wù)端的設(shè)備建立TCP連接。基于SYN?Cookie方法的 算法有很多種，其避免了攻擊者偽造地址的可能性，但至少存在以下缺點(diǎn)：

1、性能差。攻擊者構(gòu)造一個(gè)偽造源地址和源端口的SYN欺騙包的開銷 極其小。而SYN?Cookie的方法，需要計(jì)算Cookie、構(gòu)造SYN+ACK包、查 找反向路由、計(jì)算TCP和IP的校驗(yàn)和等等。現(xiàn)實(shí)情況中，同樣硬件配置的 單獨(dú)攻擊者和防御設(shè)備相比，攻擊者產(chǎn)生SYN洪水攻擊的能力，遠(yuǎn)比防御 者處理能力強(qiáng)，也就是攻擊者仍然可以讓服務(wù)器等設(shè)備的處理能力超負(fù)荷， 而拒絕服務(wù)的攻擊目的仍然生效。

2、容易形成反射攻擊。當(dāng)攻擊者A偽造了自己的地址成B，而網(wǎng)關(guān)按 照其偽造的地址B回了一個(gè)SYN+ACK。當(dāng)攻擊者大量偽造地址B進(jìn)行發(fā) 包，會(huì)導(dǎo)致B會(huì)收到并處理大量的SYN+ACK報(bào)文。實(shí)質(zhì)上是攻擊者A利 用網(wǎng)關(guān)對(duì)B實(shí)施的一個(gè)Dos反射攻擊。

發(fā)明內(nèi)容

本發(fā)明在于提供一種防御洪水攻擊的方法和裝置，能夠有效的防御洪水 攻擊。

為了實(shí)現(xiàn)上述目的，本發(fā)明實(shí)施例提供了如下技術(shù)方案：

一種SYN洪水攻擊的防御方法，確定目的地址的設(shè)備處于被SYN洪水 攻擊狀態(tài)后，所述防御方法包括：

對(duì)于接收到的SYN包，

判斷該SYN包的源IP地址在第一預(yù)設(shè)時(shí)間段內(nèi)是第一次發(fā)包，還是重 發(fā)包，若是第一次發(fā)包，則丟棄該SYN包；

若是重發(fā)包，則繼續(xù)后續(xù)正常處理。

其中，在確定是重發(fā)包后，繼續(xù)后續(xù)正常處理之前，還包括：

采用SYN-Cookie值方式驗(yàn)證接收到的所述SYN包的源IP地址是否合 法，若合法，則再繼續(xù)后續(xù)正常處理，否則丟棄所述SYN包。

其中，在采用SYN-Cookie值方式驗(yàn)證接收到的所述SYN包的源IP地 址是否合法時(shí)，進(jìn)一步包括：判斷對(duì)某個(gè)客戶端的針對(duì)SYN-Cookie的 SYN+ACK包返回速率是否超越正常閾值，若是，則停止對(duì)該源IP地址的 SYN+ACK包返回，否則再正常處理。