技術領域

本發明涉及防DoS攻擊領域，尤其涉及一種防止DoS攻擊的方法及防火墻。

背景技術

IKE(Internet Key Exchange)的協商過程包括主模式和野蠻模式，IKE協商中發起者事先不知道響應者的cookie值，在發往響應者的第一條消息中響應者的cookie值將被置為0，因此響應者就不可能知道這條消息是否是虛假交換請求，由于響應者在接收到第一條消息時即創建狀態，因此惡意攻擊者可以通過發大量的初始消息使響應者不停地創建狀態、耗費內存資源，最終導致內存耗盡、系統崩潰，因此IKE容易受到的損耗內存資源的DoS(Denial of Service)攻擊。另外，在野蠻模式中，IKE需要在第一次協商中通過Dffie-Hellman交換進行密鑰協商，其中的模冪運算會占用較大的計算資源。DoS攻擊者會通過IP欺騙的方法發起大量虛假交換請求，如果響應者不能分辨出這些偽造的請求，則不得不對偽造的請求進行大量模冪運算，導致消耗耗CPU資源的DoS攻擊。因此主模式和野蠻模式初始交換都會受到消耗內存資源的DoS攻擊，同時野蠻模式還會受到消耗CPU資源的DoS攻擊。

發明內容

本發明鑒于上述情況而作出，其目的是提供一種防止DoS攻擊的方法及防火墻，能夠有效地防止響應者在IKE協商過程中受到DoS攻擊。

根據本發明的一個方面，提供一種防止DoS攻擊的方法，包括以下步驟：

步驟S1，接收IKE報文。

步驟S2，檢查IKE報文中的cookie值是否完整。

步驟S3，如果所述cookie值完整并且IKE SA(Security Association)數據庫中有對應的值，則繼續IKE協商過程，否則將所述IKE報文丟棄。

步驟S4，如果所述cookie值中只有源cookie值，并且IKE SA數據庫中有對應的值，則再次發送回應報文。

步驟S5，如果所述cookie值中只有源cookie值，并且IKE SA數據庫中沒有對應的值，則根據是否開啟了防DoS功能，對所述IKE報文進行處理。

具體地，步驟S3中，所述cookie值完整是指所述cookie值中源cookie值和目的cookie值都存在。

進一步地，根據是否開啟了防DoS功能，對所述IKE報文進行處理包括步驟：

步驟S501，如果沒有開啟防DoS功能，則判斷整機最大半連接數是否達到上限，如果達到則將所述IKE報文丟棄，否則將半連接個數加1并創建與所述IKE報文對應的IKE SA連接結構體，并將所述IKE SA連接結構體存儲至IKE SA數據庫中，構造回應報文并發送。

步驟S502，如果開啟了防DoS功能，則對防DoS攻擊表進行檢索，如果防DoS攻擊表中存在與源cookie值相同的cookie值，則判斷整機最大半連接數是否達到上限，如果達到則丟棄所述IKE報文，否則將半連接個數加1并創建與所述IKE報文對應的IKE SA連接結構體，并將所述IKE SA連接結構體存儲至IKE SA數據庫中，構造回應報文并發送，清除防DoS攻擊表與源cookie值對應的表項。

步驟S503，如果開啟了防DoS功能，且防DoS攻擊表中不存在與源cookie值相同的cookie值，則判斷整機最大半連接數是否達防攻擊記錄邊界值，如果沒有達到則將半連接個數加1并創建與所述IKE報文對應的IKE SA連接結構體，并將所述IKE SA連接結構體存儲至IKE SA數據庫中，構造回應報文并發送；如果整機最大半連接數達到防攻擊記錄邊界值，則將源cookie值記錄到防DoS攻擊表中，并丟棄所述IKE報文。

其中，整機最大半連接數上限為4000，所述防攻擊記錄邊界值為1000。

進一步地，步驟S1之前還包括：開啟防DoS攻擊功能，配置防DoS攻擊的防攻擊記錄邊界值和整機最大半連接數的上限。

根據本發明的另一方面，提供一種防止DoS攻擊的防火墻，包括：

接收單元，用于接收IKE報文；

檢查單元，用于檢查IKE報文中的cookie值是否完整；

第一處理單元，用于在所述cookie值完整并且IKE SA數據庫中有對應的值時，繼續IKE協商過程，否則將所述IKE報文丟棄；

第二處理單元，用于在所述cookie值中只有源cookie值，并且IKE SA數據庫中有對應的值時，再次發送回應報文；