技術領域

本發明涉及網絡安全領域，特別涉及一種緩解攻擊方法、序列號提供方法及設備。

背景技術

傳輸控制協議（英文全稱為Transmission?Control?Protocol，英文縮寫為TCP）是一種面向連接的、可靠的、基于字節流的運輸層（英文全稱為Transport?layer）通信協議，在簡化的計算機網絡OSI模型中，它完成第四層運輸層所指定的功能。

請參考圖1，其示出了現有技術中的一種TCP連接建立方法的方法流程圖。該TCP連接建立方法包括：第一，客戶端向服務器發送包含初始序列號為X的傳輸控制協議同步（英文全稱為Transmission?Control?Protocol?synchronize，英文縮寫為TCP?SYN）數據包，該TCP?SYN數據包中包含有該客戶端的識別信息，用于發起TCP請求；第二，服務器接收到客戶端發送的該包含初始序列號為X的TCP?SYN數據包后，反饋一個ACK+SYN數據包，所述ACK+SYN數據包是指ACK位和SYN位都置為1的TCP數據包，所述ACK+SYN數據包是TCP規定的對TCP?SYN數據包的相應，該ACK+SYN數據包中包含確認序列號X+1和另一個初始序列號Y；第三，客戶端接收到服務器發送的ACK+SYN數據包之后，反饋一個確認序列號為Y+1的ACK確認數據包。至此，一個TCP連接將被成功建立。其中，序列號是32bit的無符號數，取值范圍為“0~4294967295”。初始序列號X由客戶端隨機提供，具體的提供方式為：客戶端啟動時先隨機生成一個初始序號（英文全稱為Initial?Sequence?Number，英文縮寫為ISN）然后按照每4ms+1的方式累加并維護這個初始序號，在需要發送TCP?SYN數據包時，使用當前維護的初始序號作為該TCP?SYN數據包中的初始序列號X。客戶端的識別信息通常為IP地址和端口號。上述過程也即常說的“三次握手機制”

TCP?SYN洪水攻擊（英文全稱為TCP?SYN?Flood）是一種通過客戶端來向服務器頻繁發送大量包含偽識別信息的TCP?SYN數據包，使得服務器中的半連接資源被耗盡，從而使用戶正常的連接請求無法得到服務的網絡攻擊。由于TCP?SYN洪水攻擊簡單有效，是黑客常用的一種手段，已經多次給大型門戶網站和商業網站帶來巨大損失。針對TCP?SYN洪水攻擊，現有技術中較為常用的緩解攻擊方法主要是：第一，預先在服務器和客戶端之間設置一防火墻，由該防火墻來代理服務器接收客戶端的TCP請求；第二，防火墻與一個客戶端成功建立TCP連接后，再向服務器建立一個TCP連接，然后防火墻將客戶端和服務器之間的數據進行互相轉發。顯然，如果防火墻沒有與客戶端成功建立TCP連接，則不向服務器建立TCP連接。

在實現本發明的過程中，發明人發現現有技術至少存在以下問題：雖然由防火墻來代理服務器接收客戶端的TCP請求可以一定程度緩解TCP?SYN洪水攻擊，但是實質上只是由防火墻來代替服務器承擔TCP?SYN洪水攻擊。當TCP?SYN洪水攻擊的攻擊力度達到防火墻能夠承受的極限時，防火墻也會癱瘓，仍然不能解決TCP?SYN洪水攻擊所帶來的問題。

發明內容

為了緩解TCP?SYN洪水攻擊所帶來的問題，本發明實施例提供了一種緩解攻擊方法、數據包生成方法、序列號提供方法及設備。所述技術方案如下：

根據本發明的一個方面，本發明實施例提供一種緩解攻擊方法，所述方法包括：

服務器接收傳輸控制協議同步TCP?SYN數據包，所述TCP?SYN數據包中包含初始序列號，所述TCP?SYN數據包是針對統一資源定位符的，所述統一資源定位符包括服務器信息和文件信息；

所述服務器確定所述初始序列號是否為預先分配的預設序列號；

如果所述初始序列號是所述預設序列號，則所述服務器將所述TCP?SYN數據包存儲至高優先級隊列；

如果所述初始序列號不是所述預設序列號，則所述服務器將所述TCP?SYN數據包存儲至低優先級隊列。

可選地，所述接收傳輸控制協議同步TCP?SYN數據包之前，所述方法還包括：

所述服務器為客戶端分配所述預設序列號，以便所述客戶端發送攜帶所述預設序列號的TCP?SYN數據包。

可選地，所述為客戶端分配所述預設序列號，具體包括：

所述服務器向所述客戶端發送攜帶所述預設序列號的網頁。

可選地，所述為客戶端分配所述預設序列號，具體包括：