本申請實施例公開了用于防御攻擊的方法、裝置和系統。該方法的一具體實施方式包括：攔截來自目標源地址的請求數據包；在預存的狀態表中，查找目標源地址的當前狀態，確定目標源地址的當前狀態是否為目標狀態；響應于確定目標源地址的當前狀態不是目標狀態，對請求數據包進行修改，生成驗證數據包，以及向目標源地址發送驗證數據包；響應于攔截到來自目標源地址的復位數據包，確定復位數據包是否與驗證數據包相對應；響應于確定復位數據包與驗證數據包相對應，將狀態表中目標源地址的當前狀態修改為目標狀態。該實施方式在有效防御攻擊的同時，可以減少對正常請求處理的影響。

技術領域

本申請實施例涉及計算機技術領域，具體涉及用于防御攻擊的方法、裝置和系統。

背景技術

隨著公有云服務技術的日益成熟和規模的快速擴大，大量的個人和企業將其服務部署到云端。而云端的防范技術和安全意識的相對滯后，容易被不法分子發起DDoS(Distributed Denial of Service，分布式拒絕服務)攻擊。

DDoS攻擊形式多變，常見的攻擊形式有SYN FLOOD，SYN ACK FLOOD，ACK FLOOD，ICMP FLOOD等。其中，以SYN FLOOD最為常見，且危害較大。

發明內容

本申請實施例提出了用于防御攻擊的方法、裝置和系統。

第一方面，本申請實施例提出了一種用于防御攻擊的方法，包括：攔截來自目標源地址的請求數據包，其中，請求數據包中包括源地址、源端口、目的地址和目的端口；在預存的狀態表中，查找目標源地址的當前狀態，確定目標源地址的當前狀態是否為目標狀態，其中，狀態表用于描述源地址的狀態信息；響應于確定目標源地址的當前狀態不是目標狀態，對請求數據包進行修改，生成驗證數據包，以及向目標源地址發送驗證數據包，其中，驗證數據包與請求數據包具有相反的源地址和目的地址、源端口和目的端口；響應于攔截到來自目標源地址的復位數據包，確定復位數據包是否與驗證數據包相對應；響應于確定復位數據包與驗證數據包相對應，將狀態表中目標源地址的當前狀態修改為目標狀態。

在一些實施例中，該方法還包括：響應于確定目標源地址的當前狀態是目標狀態，向請求數據包中的目的地址發送請求數據包。

在一些實施例中，對請求數據包進行修改，生成驗證數據包，包括：分配與請求數據包對應的新的序列號，將該請求數據包中的序列號替換為新的序列號，以及將該請求數據包中的源地址與目的地址、源端口與目的端口進行互換，生成驗證數據包。

在一些實施例中，狀態表中的狀態信息包括初始狀態、驗證中狀態和安全狀態，其中，目標狀態為安全狀態；以及響應于確定目標源地址的當前狀態不是目標狀態，對請求數據包進行修改，生成驗證數據包，以及向目標源地址發送驗證數據包，包括：若目標源地址的當前狀態為初始狀態，對請求數據包進行修改，生成驗證數據包，向目標源地址發送驗證數據包；以及將狀態表中目標源地址的當前狀態修改為驗證中狀態，且記錄驗證數據包中的序列號。

在一些實施例中，響應于確定目標源地址的當前狀態不是目標狀態，對請求數據包進行修改，生成驗證數據包，以及向目標源地址發送驗證數據包，包括：若目標源地址的當前狀態為驗證中狀態，對請求數據包進行修改，生成驗證數據包，向目標源地址發送驗證數據包；以及保持狀態表中目標源地址的當前狀態，且更新所記錄的驗證數據包中的序列號。

在一些實施例中，確定復位數據包是否與驗證數據包相對應，包括：統計復位數據包中的確認號與當前記錄的驗證數據包中的序列號是否相差預設值；若復位數據包中的確認號與當前記錄的序列號相差預設值，則確定復位數據包與當前記錄的序列號所指示的驗證數據包相對應。