本發(fā)明實(shí)施例提供了一種防范泛洪攻擊的方法、裝置、負(fù)載均衡設(shè)備和存儲(chǔ)介質(zhì)。其中，該防范泛洪攻擊的方法應(yīng)用于工作在直接路由模式下的負(fù)載均衡設(shè)備。該防范泛洪攻擊的方法包括：接收客戶端向服務(wù)器發(fā)送的第一同步報(bào)文，并基于第一同步報(bào)文生成第一同步認(rèn)證信息值；向客戶端發(fā)送包括第一同步認(rèn)證信息值的同步確認(rèn)報(bào)文；接收客戶端發(fā)送的確認(rèn)報(bào)文，從確認(rèn)報(bào)文中提取第二同步認(rèn)證信息值；其中，第二同步認(rèn)證信息值由客戶端基于第一同步認(rèn)證信息值生成；將第二與第一同步認(rèn)證信息值進(jìn)行匹配；如果匹配失敗，則停止向服務(wù)器發(fā)送第二同步報(bào)文。由此，本發(fā)明實(shí)施例解決了如何使工作在直接路由模式下的負(fù)載均衡設(shè)備防范泛洪攻擊的技術(shù)問題。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別是涉及一種防范泛洪攻擊的方法、裝置、負(fù)載均衡設(shè)備和存儲(chǔ)介質(zhì)。

背景技術(shù)

目前，隨著網(wǎng)絡(luò)應(yīng)用越來越廣泛，訪問量和數(shù)據(jù)流量日益增多，相應(yīng)地，要求服務(wù)器的處理能力和計(jì)算強(qiáng)度也越來越高，使得單一的服務(wù)器設(shè)備無法承擔(dān)相應(yīng)的網(wǎng)絡(luò)需求。所以，云計(jì)算通常采用部署集群的方式來分擔(dān)業(yè)務(wù)處理的負(fù)載，同時(shí)為了提高各個(gè)業(yè)務(wù)服務(wù)器的利用率，不使其過載使用，并且最大程度地發(fā)揮各業(yè)務(wù)服務(wù)器的各個(gè)業(yè)務(wù)處理能力，例如，可以通過工作在傳輸層的負(fù)載均衡設(shè)備的數(shù)據(jù)轉(zhuǎn)發(fā)功能，來實(shí)現(xiàn)業(yè)務(wù)負(fù)載在多個(gè)業(yè)務(wù)服務(wù)器上均衡分配。

具體的，在負(fù)載均衡設(shè)備實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)之前，負(fù)載均衡設(shè)備需要分別與客戶端和各個(gè)業(yè)務(wù)服務(wù)器建立TCP(Transmission Control Protocol，傳輸控制協(xié)議)連接。其中，TCP連接的建立需要三次握手過程。以在負(fù)載均衡設(shè)備與客戶端之間建立TCP連接為例，三次握手過程為：第一次握手過程是客戶端向負(fù)載均衡設(shè)備發(fā)送同步報(bào)文；第二次握手過程是負(fù)載均衡設(shè)備收到該同步報(bào)文后，向客戶端返回同步確認(rèn)報(bào)文；第三次握手過程是客戶端接收到同步確認(rèn)報(bào)文后，向負(fù)載均衡設(shè)備返回確認(rèn)報(bào)文。其中，在第二次握手過程中，TCP協(xié)議規(guī)定：如果業(yè)務(wù)服務(wù)器作為發(fā)送同步確認(rèn)報(bào)文的一方?jīng)]有接收到來自客戶端的確認(rèn)報(bào)文，則要一直處于等待接收確認(rèn)報(bào)文的狀態(tài)，并將客戶端的IP(互聯(lián)網(wǎng)協(xié)議)地址加入等待隊(duì)列，且向客戶端重發(fā)同步確認(rèn)報(bào)文，之后，業(yè)務(wù)服務(wù)器還為TCP連接的建立預(yù)分配存儲(chǔ)空間。

在實(shí)際應(yīng)用中，網(wǎng)絡(luò)攻擊者會(huì)利用上述TCP協(xié)議的規(guī)定，向負(fù)載均衡設(shè)備實(shí)施SYNFlood攻擊(泛洪攻擊)。舉例來說，網(wǎng)絡(luò)攻擊者會(huì)偽裝成客戶端，使用虛假的IP(InternetProtocol，互聯(lián)網(wǎng)協(xié)議)地址，向負(fù)載均衡設(shè)備發(fā)送大量偽造的同步報(bào)文，該負(fù)載均衡設(shè)備將偽造的同步報(bào)文轉(zhuǎn)發(fā)至業(yè)務(wù)服務(wù)器，業(yè)務(wù)服務(wù)器接收到偽造的同步報(bào)文后，再向負(fù)載均衡設(shè)備反饋同步確認(rèn)報(bào)文，然后，負(fù)載均衡設(shè)備再將該同步確認(rèn)報(bào)文發(fā)送至偽裝的客戶端。

此時(shí)，該偽裝的客戶端不再向負(fù)載均衡設(shè)備反饋確認(rèn)報(bào)文，從而也就使得負(fù)載均衡設(shè)備不再向業(yè)務(wù)服務(wù)器發(fā)送確認(rèn)報(bào)文，致使業(yè)務(wù)服務(wù)器始終處于等待接收確認(rèn)報(bào)文的狀態(tài)并始終保留預(yù)分配的存儲(chǔ)空間。由于網(wǎng)絡(luò)攻擊者偽造了大量的偽造同步報(bào)文，所以，這會(huì)使得業(yè)務(wù)服務(wù)器所維護(hù)的等待接收確認(rèn)報(bào)文的狀態(tài)數(shù)量超過極限值，由此使得業(yè)務(wù)服務(wù)器拒絕新的TCP連接的建立請(qǐng)求，從而導(dǎo)致真實(shí)的客戶端無法訪問業(yè)務(wù)服務(wù)器。

上述負(fù)載均衡設(shè)備可以工作于直接路由模式、反向代理模式和透?jìng)髂Ｊ健Ｄ壳埃槍?duì)工作在反向代理模式和透?jìng)髂Ｊ较碌呢?fù)載均衡設(shè)備存在防范泛洪攻擊的措施，但針對(duì)工作在DR模式(direct routing，直接路由模式)下的負(fù)載均衡設(shè)備受到泛洪攻擊時(shí)，沒有相應(yīng)的防范措施。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例的目的在于提供一種防范泛洪攻擊的方法、裝置、負(fù)載均衡設(shè)備和存儲(chǔ)介質(zhì)，以實(shí)現(xiàn)工作在直接路由模式下的負(fù)載均衡設(shè)備能夠防范泛洪攻擊。

為了實(shí)現(xiàn)上述目的，第一方面，提供了以下技術(shù)方案：

一種防范泛洪攻擊的方法，應(yīng)用于工作在直接路由模式下的負(fù)載均衡設(shè)備；

所述方法包括：