本發(fā)明公開了一種動態(tài)地適應(yīng)服務(wù)器性能的防攻擊方法和設(shè)備，該方法包括：網(wǎng)絡(luò)設(shè)備計算連接會話數(shù)量和半連接率；當連接會話數(shù)量大于預(yù)設(shè)第一閾值，半連接率不大于預(yù)設(shè)第二閾值時，網(wǎng)絡(luò)設(shè)備調(diào)整預(yù)設(shè)第一閾值為當前預(yù)設(shè)第一閾值與M之和，并設(shè)置服務(wù)器的狀態(tài)為正常狀態(tài)；當連接會話數(shù)量大于預(yù)設(shè)第一閾值，半連接率大于預(yù)設(shè)第二閾值時，網(wǎng)絡(luò)設(shè)備調(diào)整預(yù)設(shè)第一閾值為當前預(yù)設(shè)第一閾值與N之差，并設(shè)置服務(wù)器的狀態(tài)為攻擊狀態(tài)；網(wǎng)絡(luò)設(shè)備在服務(wù)器的狀態(tài)為正常狀態(tài)時，允許向服務(wù)器發(fā)送報文；在服務(wù)器的狀態(tài)為攻擊狀態(tài)時，丟棄向服務(wù)器發(fā)送的報文。本發(fā)明實施例中，可以得每個服務(wù)器都響應(yīng)正常的連接會話，并且可以承受一定的DOS攻擊。

技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其是涉及了一種動態(tài)地適應(yīng)服務(wù)器性能的防攻擊方法和設(shè)備。

背景技術(shù)

DOS(Deny Of Service，拒絕服務(wù))攻擊是指：攻擊者使用大量數(shù)據(jù)包堵塞服務(wù)器對外提供的服務(wù)，使服務(wù)器無法接受正常用戶的請求。例如，攻擊者利用協(xié)議棧向服務(wù)器發(fā)送大量半連接報文，這些半連接報文會導(dǎo)致服務(wù)器維護大量半連接會話，這些半連接會話會消耗服務(wù)器的大量資源，導(dǎo)致正常用戶無法訪問服務(wù)器，直到半連接會話超時被刪除，服務(wù)器的資源才被釋放。

如圖1所示，為DOS攻擊網(wǎng)絡(luò)的組網(wǎng)示意圖，防火墻設(shè)備所保護的私網(wǎng)內(nèi)下掛了多個受保護的服務(wù)器。為了避免DOS攻擊，防火墻設(shè)備會為每個服務(wù)器配置相同的閾值，當向某個服務(wù)器發(fā)送報文的速率超過配置的閾值時，則防火墻設(shè)備將丟棄向該服務(wù)器發(fā)送的報文；當向該服務(wù)器發(fā)送報文的速率未超過配置的閾值時，則防火墻設(shè)備將允許向該服務(wù)器發(fā)送的報文通過。

但是，由于多個受保護的服務(wù)器的性能可能并不一樣，因此，如果上述配置的閾值很低，則會導(dǎo)致性能高的服務(wù)器不能發(fā)揮其高性能的特性；進一步的，如果上述配置的閾值很高，則會導(dǎo)致性能低的服務(wù)器的負載過重。

發(fā)明內(nèi)容

本發(fā)明實施例提供一種動態(tài)地適應(yīng)服務(wù)器性能的防攻擊方法，所述方法包括以下步驟：

網(wǎng)絡(luò)設(shè)備統(tǒng)計服務(wù)器對應(yīng)的全連接會話數(shù)量和半連接會話數(shù)量，并利用所述全連接會話數(shù)量和所述半連接會話數(shù)量計算連接會話數(shù)量和半連接率；

當所述連接會話數(shù)量大于預(yù)設(shè)第一閾值，并且所述半連接率不大于預(yù)設(shè)第二閾值時，所述網(wǎng)絡(luò)設(shè)備調(diào)整預(yù)設(shè)第一閾值為當前預(yù)設(shè)第一閾值與M之和，并設(shè)置所述服務(wù)器的狀態(tài)為正常狀態(tài)；其中，所述M為正整數(shù)；

當所述連接會話數(shù)量大于預(yù)設(shè)第一閾值，并且所述半連接率大于預(yù)設(shè)第二閾值時，所述網(wǎng)絡(luò)設(shè)備調(diào)整預(yù)設(shè)第一閾值為當前預(yù)設(shè)第一閾值與N之差，并設(shè)置所述服務(wù)器的狀態(tài)為攻擊狀態(tài)；其中，所述N為正整數(shù)；

所述網(wǎng)絡(luò)設(shè)備在所述服務(wù)器的狀態(tài)為正常狀態(tài)時，允許向所述服務(wù)器發(fā)送報文；在所述服務(wù)器的狀態(tài)為攻擊狀態(tài)時，丟棄向所述服務(wù)器發(fā)送的報文。

所述網(wǎng)絡(luò)設(shè)備利用所述全連接會話數(shù)量和所述半連接會話數(shù)量計算連接會話數(shù)量和半連接率，具體包括：

所述網(wǎng)絡(luò)設(shè)備計算所述連接會話數(shù)量為全連接會話數(shù)量與半連接會話數(shù)量之和，并計算所述半連接率為半連接會話數(shù)量除以所述連接會話數(shù)量。

所述方法進一步包括：

在調(diào)整預(yù)設(shè)第一閾值為當前預(yù)設(shè)第一閾值與N之差時，如果當前預(yù)設(shè)第一閾值與N之差小于所述服務(wù)器對應(yīng)的初始連接配置限制值，則所述網(wǎng)絡(luò)設(shè)備調(diào)整預(yù)設(shè)第一閾值為所述服務(wù)器對應(yīng)的初始連接配置限制值。

所述方法進一步包括：

所述網(wǎng)絡(luò)設(shè)備為服務(wù)器維護統(tǒng)計節(jié)點表項，所述統(tǒng)計節(jié)點表項中記錄有所述服務(wù)器對應(yīng)的IP地址、預(yù)設(shè)第一閾值、連接會話數(shù)量、半連接率、狀態(tài)。

所述網(wǎng)絡(luò)設(shè)備具體包括防火墻設(shè)備，所述防火墻設(shè)備所保護的私網(wǎng)內(nèi)下掛一個或者多個受保護的服務(wù)器。