技術領域

本發明涉及通信領域，尤其涉及一種防御DDoS攻擊的方法、裝置和系統。

背景技術

現有通過網絡對服務器進行遠程攻擊的方式中有一種為拒絕服務攻擊(Denial?of?Service，簡稱DoS)，攻擊者向服務器發送帶有虛假地址的請求，服務器發送回復報文到虛假地址，然后服務器一直等待所需的回復報文。拒絕服務攻擊會占據服務器過多的資源，從而使合法用戶無法得到服務器的響應。由于服務器的處理能力通常較高，利用單個計算機進行DoS攻擊往往無法達到預期的效果，因此出現了分布式拒絕服務攻擊(Distributed?Denial?of?Service，簡稱DDoS)。攻擊者首先控制大量的傀儡計算機，并將其中一部分傀儡計算機設置為主控端，然后攻擊者發送攻擊指令給各個主控端，并由主控端將指令發送給所有的傀儡計算機，最后傀儡計算機對指定的服務器進行DoS攻擊，從而造成服務器超載或者死機。

為了防御DDoS的攻擊，現有防御DDoS攻擊的方案主要有兩種：

一種為：在靠近服務器的位置部署檢測DDoS攻擊的設備。當檢測設備發現流量過載時，生成一個防御消息并廣播給各個靠近用戶的防御設備。防御設備收到防御消息后，首先對消息的有效性進行驗證，驗證通過后，對異常流量進行阻斷。

另一種為：在靠近服務器的地方部署一個防御DDoS攻擊的設備，由防御設備來代理用戶和服務器之間的數據交互過程。如果防御設備和用戶之間TCP三次握手能夠順利完成，則認為是合法的連接請求，否則就是無效的連接請求。

在實現上述防御DDoS攻擊的過程中，發明人發現現有技術中至少存在如下問題：第一種防御方案中，防御設備直接阻斷部分流量，會造成合法用戶無法訪問受攻擊的服務器。第二種防御方案中，當DDoS攻擊的流量很大時，會有大量的連接請求需要防御設備處理，此時防御設備本身會發生超載或者死機。

發明內容

本發明的實施例提供一種防御DDoS攻擊的方法、裝置、系統，能夠在流量過載時保證合法用戶訪問受攻擊的服務器并且降低防御設備本身的負載。

為達到上述目的，本發明的實施例采用如下技術方案：

一種防御DDoS攻擊的方法，包括：

接收用戶訪問目標服務器的連接請求；

判斷防御表中是否保存有所述連接請求中攜帶的目標服務器的標識；

當防御表中保存有所述連接請求中攜帶的目標服務器的標識時，將所述連接請求轉發到代理服務器，以使所述代理服務器代替目標服務器與用戶進行三次握手連接，并使所述代理服務器在與所述用戶建立連接成功后，代理所述用戶與目標服務器進行報文交互。

一種防御DDoS攻擊的方法，包括：

接收接入設備根據防御表轉發的用戶針對目標服務器的連接請求；

與所述用戶進行三次握手連接；

在與用戶三次握手連接成功后，與目標服務器進行三次握手連接；

在與目標服務器三次握手連接成功后，轉發用戶與目標服務器之間的報文。

一種接入設備，包括：

防御消息接收模塊，用于接收來自檢測設備的防御消息，將防御消息中的目標服務器標識添加到防御表中；

連接請求轉發模塊，用于將用戶對防御表中目標服務器的連接請求轉發到代理服務器，以使代理服務器代替目標服務器與用戶進行三次握手連接。

一種代理服務器，包括：

連接請求接收模塊，用于接收接入設備根據防御表轉發的用戶針對目標服務器的連接請求；

用戶連接模塊，用于與所述用戶進行三次握手連接；

目標服務器連接模塊，用于在與用戶三次握手連接成功后，與目標服務器進行三次握手連接；

報文轉發模塊，用于在與目標服務器三次握手連接成功后，轉發用戶與目標服務器之間的報文。

一種防御DDoS攻擊的系統，包括：

檢測設備，用于向攻擊源所在網段的接入設備發送防御消息，所述防御消息包含目標服務器標識；

接入設備，用于記錄目標服務器標識，并將用戶對目標服務器的連接請求轉發到代理服務器；

代理服務器，用于代替目標服務器與用戶三次握手連接，并完成用戶與目標服務器之間的報文轉發。

本發明實施例提供的防御DDoS攻擊的方法、裝置和系統，在目標服務器受到攻擊時，只針對攻擊源所在網段，通過代理服務器進行與用戶之間的握手連接，能夠在流量過載時保證合法用戶訪問受攻擊的服務器并且降低接入設備本身的負載。

附圖說明

圖1為本發明防御DDoS攻擊的方法的一個實施例的流程圖。