技術領域

本發明涉及計算機網絡領域，具體涉及一種防止分布式拒絕服務攻擊的方法和裝置。

背景技術

分布式拒絕服務（Distributed?Denial?of?Service，DDoS）攻擊指借助于客戶端/裝置（Client/Server，C/S）技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上，在一個設定的時間內，DDoS主控程序將與大量代理程序通訊，代理程序已經被安裝在Internet上的許多計算機上。代理程序收到指令時就發動攻擊。利用C/S技術，DDoS主控程序能夠在幾秒鐘內激活成百上千次代理程序的運行。簡言之，DDoS攻擊的核心思想就是使得被攻擊的裝置一直忙于處理大量的攻擊包，從而導致正常業務不能正常運行，甚至出現死機。

現有技術提供的一種防止DDoS攻擊的方法是由linux內核本身的syncookies模塊來處理，其基本原理包括：裝置（server）端在收到SYN包時，直接在TCP層根據syncookies算法生成新的ISN序列號，然后再以這個ISN作為server的SYN包回送給客戶端（client）。在上述過程中，裝置端建立TCP連接分為兩段，即server端接收client的SYN包為第一段，server端向client反饋SYN+ACK包為第二段，其中，第二段不需要為第一段保存任何數據，兩段之間沒有明顯的關聯，即，裝置端在收到第一個SYN包時，不用為它存儲任何數據，包括建立socket和TCP選項等。如此，裝置端經過syncookies處理后，其收到SYN包時所做的主要事情就減少了很重要的一步，即減少了進入TCP層建立新的socket并儲存，從而可以減少內存的使用,提高系統的抗DDoS攻擊能力。

然而，從開放式系統互聯（OSI，Open?System?Interconnection）參考模型來看，在接收數據包的方向，syncookies模塊對數據包的處理是在TCP層對數據包的處理（在接收數據包的方向，TCP層數據處理位于IP層數據處理之后）之后進行。因此，基本上每一個攻擊包都要經過前面相當長的流程處理后才會進入syncookies模塊，這對于DDoS這種本來就是以耗盡裝置的中央處理器（Central?Processing?Unit，CPU）資源為目的的攻擊方式而言，就成為致命的弱點。

發明內容

本發明實施例提供一種防止分布式拒絕服務攻擊的方法和裝置，以大幅提高裝置防護DDoS攻擊的能力。

本發明實施例提供一種防止分布式拒絕服務攻擊的方法，所述方法包括：

在網絡協議低層對請求建立傳輸控制協議TCP連接的客戶端的合法性進行初步驗證；

若初步驗證所述請求建立TCP連接的客戶端是合法客戶端，則將所述請求建立TCP連接的客戶端返回的確認ACK包傳遞至網絡協議高層處理，否則，拒絕所述請求建立傳輸控制協議TCP連接的客戶端的連接請求；

在所述網絡協議高層進行syncookie處理，以與所述初步驗證為合法客戶端的所述請求建立TCP連接的客戶端建立TCP連接。

本發明另一實施例提供一種防止分布式拒絕服務攻擊的裝置，所述裝置包括：

第一syncookie處理模塊，用于在網絡協議低層對請求建立傳輸控制協議TCP連接的客戶端的合法性進行初步驗證；

請求處理模塊，用于若初步驗證所述請求建立TCP連接的客戶端是合法客戶端，則將所述請求建立TCP連接的客戶端返回的確認ACK包傳遞至網絡協議高層處理，否則，拒絕所述請求建立傳輸控制協議TCP連接的客戶端的連接請求；

第二syncookie處理模塊，用于在所述網絡協議高層進行syncookie處理，以與所述初步驗證為合法客戶端的所述請求建立TCP連接的客戶端建立TCP連接。

從上述本發明實施例可知，由于對請求建立TCP連接的客戶端的合法性的初步驗證已經在網絡協議低層進行，經驗證不是合法客戶端后直接拒絕所述請求建立TCP連接的客戶端的連接請求，只有經驗證是合法客戶端后才讓后續網絡協議高層進行處理。因此，與現有技術提供的防止DDoS攻擊的方法相比，本發明實施例提供的防止DDoS攻擊的方法可以在網絡協議低層就可以識別非法攻擊，提前拒絕非法的連接請求，有效防止在最后才識別出攻擊包時該攻擊包對資源的持續消耗，從而增強了抵御DDoS攻擊的能力，提升了對正常數據包的處理速度。

附圖說明