技術(shù)領(lǐng)域

本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域，特別涉及一種異常TCP報文處理方法及裝置。

背景技術(shù)

現(xiàn)今利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進(jìn)行的攻擊越來越多，用戶需要對這些惡意攻擊采取必要的防范措施。但是，現(xiàn)有的防御方案主要防止SYN?Flood攻擊、異常標(biāo)志位組合攻擊以及空標(biāo)志位攻擊等等。

其中，SYN?Flood攻擊是當(dāng)前最流行的DoS（Denial?of?Service，拒絕服務(wù)攻擊）與DdoS（Distributed?Denial?of?Service，分布式拒絕服務(wù)攻擊）的方式之一。SYN?Flood是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP（Transmission?Control?Protocol，傳輸控制協(xié)議）連接請求，從而使得被攻擊方資源耗盡（CPU滿負(fù)荷或內(nèi)存不足）的攻擊方式。對這種攻擊方式的防御主要采取設(shè)置SYN?Cookie、TCP反向探測以及TCP代理等方式進(jìn)行檢測和過濾。

異常標(biāo)志位組合攻擊時在異常集合中的標(biāo)志位組合為惡意行為的攻擊。對這種攻擊方式的防御主要采取報文解析和協(xié)議分析結(jié)合，通過制定相關(guān)策略，過濾非法的TCP?Flag組合（如SYN/FIN）以及NULL包的攻擊。

但是上述防御方式存在以下缺點：未對特定標(biāo)志位的TCP異常包進(jìn)行檢測，可能會造成由于目標(biāo)操作系統(tǒng)對異常包處理不恰當(dāng)進(jìn)而系統(tǒng)崩潰。某些特殊的TCP標(biāo)志位對于payload的長度有一般化的要求，如FIN包的payload一般為0。不同操作系統(tǒng)對于非常規(guī)的TCP標(biāo)志位有不同的處理，如果攻擊者針對某種操作系統(tǒng)大量發(fā)送長度過長的特殊TCP報文，輕則占用帶寬和系統(tǒng)資源，造成拒絕服務(wù)攻擊，重則造成協(xié)議棧內(nèi)存溢出系統(tǒng)崩潰。因此這種攻擊應(yīng)當(dāng)?shù)玫街匾暋?/p>

發(fā)明內(nèi)容

本發(fā)明的目的旨在至少解決上述的技術(shù)缺陷之一。

為此，本發(fā)明的第一個目的在于提供一種異常TCP報文處理方法，該方法可以對異常長短TCP報文攻擊進(jìn)行有效地檢測和過濾。本發(fā)明的第二個目的在于提供一種TCP報文處理裝置。

為實現(xiàn)上述目的，本發(fā)明第一方面的實施例提供一種異常TCP報文處理方法，包括如下步驟：

檢測TCP報文的標(biāo)志位是否匹配；

如果所述標(biāo)志位匹配，則獲取所述標(biāo)志位的包長度，并將所述包長度與預(yù)設(shè)長度門限進(jìn)行比較；

根據(jù)長度比較結(jié)果和預(yù)設(shè)的數(shù)據(jù)丟棄條件，判斷所述TCP報文是否異常；以及

如果異常，則丟棄所述TCP報文，否則轉(zhuǎn)發(fā)所述TCP報文。

根據(jù)本發(fā)明實施例的異常TCP報文處理方法，可以實現(xiàn)對異常長度的TCP報文的檢測和過濾功能，保護(hù)目標(biāo)操作系統(tǒng)免受對這類非常規(guī)TCP報文處理不當(dāng)引起的崩潰危險。在現(xiàn)有攻擊檢測防護(hù)設(shè)備的基礎(chǔ)上，可以有效補(bǔ)充對異常長度TCP報文攻擊的檢測和過濾，使服務(wù)器更加安全和有效的工作。

在本發(fā)明的一個實施例中，利用Netfilter架構(gòu)中的鉤子函數(shù)對所述TCP報文的標(biāo)志位進(jìn)行匹配。

在本發(fā)明的一個實施例中，當(dāng)所述包長度大于所述預(yù)設(shè)長度門限時，進(jìn)一步判斷所述預(yù)設(shè)的數(shù)據(jù)丟棄條件，如果所述預(yù)設(shè)的數(shù)據(jù)丟棄條件為所述包長度大于所述預(yù)設(shè)長度門限，則丟棄所述TCP報文，否則轉(zhuǎn)發(fā)所述TCP報文。

在本發(fā)明的一個實施例中，當(dāng)所述包長度小于或等于所述預(yù)設(shè)長度門限時，進(jìn)一步判斷所述預(yù)設(shè)的數(shù)據(jù)丟棄條件，如果所述預(yù)設(shè)的數(shù)據(jù)丟棄條件為所述包長度小于或等于所述預(yù)設(shè)長度門限，則丟棄所述TCP報文，否則轉(zhuǎn)發(fā)所述TCP報文。

在本發(fā)明的一個實施例中，如果檢測到的所述TCP報文的標(biāo)志位不匹配，則轉(zhuǎn)發(fā)所述TCP報文。

本發(fā)明第二方面的實施例提供一種異常TCP報文處理裝置，包括：檢測模塊，用于檢測TCP報文標(biāo)志位是否匹配；比較模塊，用于在所述標(biāo)志位匹配時獲取所述標(biāo)志位的包長度，并將所述包長度與預(yù)設(shè)長度門限進(jìn)行比較；異常判斷模塊，用于根據(jù)所述比較模塊的長度比較結(jié)果和預(yù)設(shè)的數(shù)據(jù)丟棄條件，判斷所述TCP報文是否異常；報文處理模塊，用于在所述異常判斷模塊判斷所述TCP報文異常時，丟棄所述TCP報文，否則轉(zhuǎn)發(fā)所述TCP報文。

根據(jù)本發(fā)明實施例的異常TCP報文處理裝置，可以實現(xiàn)對異常長度的TCP報文的檢測和過濾功能，保護(hù)目標(biāo)操作系統(tǒng)免受對這類非常規(guī)TCP報文處理不當(dāng)引起的崩潰危險。在現(xiàn)有攻擊檢測防護(hù)設(shè)備的基礎(chǔ)上，可以有效補(bǔ)充對異常長度TCP報文攻擊的檢測和過濾，使服務(wù)器更加安全和有效的工作。