技術領域

本發明涉及網絡安全技術領域，特別涉及一種攻擊的防御方法。

背景技術

在網絡通信中，客戶端與服務器建立TCP連接的標準過程為：第一步，客戶端發送一個包含同步（Synchronize，SYN）標志的TCP?SYN報文，同步報文會指明客戶端使用的端口以及TCP連接的初始序號；第二步，服務器在收到客戶端的TCP?SYN報文后，返回一個SYN/ACK報文，表示客戶端的請求被接受，同時TCP序號被加一，ACK即確認（Acknowledgment）；第三步，客戶端也返回一個ACK確認報文給服務器，同樣TCP序列號被加一，到此就完成了一個TCP連接。以上的連接過程在TCP協議中被稱為三次握手。當客戶端與服務器之間存在網絡安全設備時，客戶端發送的TCP?SYN報文和ACK報文會經由網絡安全設備轉發給服務器，服務器發送的SYN/ACK報文同樣也會經由網絡安全設備轉發給客戶端。在TCP連接的三次握手中，假設一個用戶向服務器發送了SYN報文后突然死機或掉線，那么服務器在發出SYN/ACK應答報文后是無法收到客戶端的ACK報文的，這種情況下服務器一般會重試（再次發送SYN/ACK報文給客戶端）并等待一段時間后丟棄這個未完成的連接，這段時間稱為SYN?Timeout。

SYN?Flood是當前最流行的DDoS（分布式拒絕服務攻擊）的方式之一，是一種利用TCP協議缺陷，發送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡的攻擊方式。如果有一個惡意的攻擊者大量模擬SYN?Timeout的情況，服務器將為了維護一個非常大的半連接列表而消耗非常多的資源，因為數以萬計的半連接，即使是簡單的保存并遍歷也會消耗非常多的CPU時間和內存，且服務器還要不斷對這個列表中的IP進行SYN/ACK重試。如果服務器的TCP/IP棧不夠強大，最后的結果往往是堆棧溢出崩潰；即使服務器的系統足夠強大，服務器也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求，此時從正常客戶的角度看來，服務器失去了響應。這種情況便被稱作：服務器受到了SYN?Flood攻擊（即SYN洪水攻擊）。

現有的TCP連接方式使得服務器無法有效識別并防御SYN?Flood攻擊，因此，有必要提出一種有效防止服務器受到SYN?Flood攻擊的方法。

發明內容

（一）所要解決的技術問題

本發明的目的在于提供一種攻擊的防御方法，能夠利用網絡安全設備有效識別SYN?Flood攻擊，避免服務器受到SYN?Flood攻擊。

（二）技術方案

為了解決上述技術問題，本發明提出了一種攻擊的防御方法，所述方法包括以下步驟：

網絡安全設備接收到客戶端發送給服務器的TCP?SYN報文時，計算出cookie值，并將所述cookie值添加到SYN/ACK報文中，然后將所述SYN/ACK報文回送給所述客戶端；

所述客戶端接收到所述SYN/ACK報文后，向所述網絡安全設備發送ACK報文；

所述網絡安全設備接收到所述ACK報文后，利用所述cookie值對所述ACK報文進行校驗，若校驗成功，則將所述ACK報文的源IP地址標記為合法用戶，所述網絡安全設備與所述客戶端建立第一TCP連接，并代理所述客戶端與所述服務器建立第二TCP連接，否則將所述ACK報文的源IP地址標記為攻擊方。

可選的，所述計算出cookie值具體包括：

根據所述TCP?SYN報文的TCP首部信息，利用加密算法計算出所述cookie值。

可選的，所述TCP?SYN報文的TCP首部信息包括源IP地址、源端口號和本地時間中的任意一個或多個。

可選的，所述加密算法為md5算法。

可選的，所述計算出cookie值具體包括：

將預設值作為所述cookie值。

可選的，將所述cookie值添加到SYN/ACK報文中具體包括：

將所述cookie值添加為所述SYN/ACK報文的TCP首部中的序列號。

可選的，利用所述cookie值對所述ACK報文進行校驗具體包括：

將所述ACK報文的TCP首部中的序列號與所述cookie值進行校驗，若兩者互相匹配，則判定為校驗成功。

可選的，將所述ACK報文的源IP地址標記為攻擊方之后還包括步驟：

丟棄所述ACK報文；