本發明公開了一種傳輸控制協議流量過濾方法、裝置、服務器及存儲介質，屬于網絡安全領域。所述方法包括：當服務器受到黑洞挑戰攻擊時，基于服務器的源英特網協議地址信任列表，確定發送給服務器的傳輸控制協議報文的源英特網協議地址中的信任源英特網協議地址和非信任源英特網協議地址。將信任源英特網協議地址的傳輸控制協議報文發送給服務器。利用非信任源英特網協議地址的同步序列編號報文速率基線、傳輸控制協議報文長度基線和傳輸控制協議報文速率基線，判斷是否對非信任源英特網協議地址的傳輸控制協議報文進行攔截。

技術領域

本發明涉及網絡安全領域，特別涉及一種傳輸控制協議流量過濾方法、裝置、服務器及存儲介質。

背景技術

分布式拒絕服務(Distributed Denial of Service，DDoS)攻擊，是指黑客通過控制分布在各處的僵死網絡向目的服務器發起大量異常流量，服務器忙于處理異常流量，無法處理正常用戶請求，甚至系統崩潰，造成拒絕服務。

黑洞挑戰(Chanllenge Collapsar，CC)攻擊是一種非常常見的DDoS攻擊手法。攻擊端(例如，被控制的客戶端)先與被攻擊端(例如，被攻擊服務器)建立傳輸控制協議(Transmission Control Protocol，TCP)連接，然后向被攻擊端發送大量的TCP垃圾報文，阻塞被攻擊端帶寬，導致業務癱瘓。

傳統CC攻擊防護方案采用水印防護實現，在客戶端向服務器發送上行TCP報文時，需要在TCP報文中攜帶通過事先約定的算法算出的水印字段。設置在客戶端和服務器之間的防護端，通過驗證該上行TCP報文中水印字段的合法性，從而判斷是否將該TCP報文轉發給服務器，實現對非法報文進行攔截。然而，這種防護方案需要對客戶端的代碼進行修改，接入成本和門檻較高；另外，攜帶水印字段的TCP報文長度增加，增加了上行流量成本。

發明內容

為了解決相關技術中存在的采用水印防護CC攻擊時，客戶端接入成本和門檻較高，同時增加了上行流量成本問題。本發明實施例提供了一種TCP流量過濾方法、裝置、服務器及存儲介質。所述技術方案如下：

一方面，提供了一種TCP流量過濾方法，所述方法包括：

當服務器受到CC攻擊時，基于所述服務器的源IP地址信任列表，確定發送給所述服務器的TCP報文的源IP地址中的信任源IP地址和非信任源IP地址，所述信任源IP地址為處于源IP地址信任列表中的源IP地址，所述非信任源IP地址為不處于源IP地址信任列表中的源IP地址。將所述信任源IP地址的TCP報文發送給所述服務器。利用所述非信任源IP地址的SYN報文速率基線、TCP報文長度基線和TCP報文速率基線，判斷是否對所述非信任源IP地址的TCP報文進行攔截。

另一方面，還提供了一種TCP流量過濾裝置，所述裝置包括：

判斷模塊，用于當服務器受到CC攻擊時，基于所述服務器的源IP地址信任列表，確定發送給所述服務器的TCP報文的源IP地址中的信任源IP地址和非信任源IP地址，所述信任源IP地址為處于源IP地址信任列表中的源IP地址，所述非信任源IP地址為不處于源IP地址信任列表中的源IP地址。過濾模塊，用于將所述信任源IP地址的TCP報文發送給所述服務器；利用所述非信任源IP地址的SYN報文速率基線、TCP報文長度基線和TCP報文速率基線，判斷是否對所述非信任源IP地址的TCP報文進行攔截。

另一方面，還提供了一種服務器，所述服務器包括處理器和存儲器，所述存儲器中存儲有至少一條指令，所述指令由所述處理器加載并執行以實現如第一方面所述的TCP流量過濾方法。

另一方面，還提供了一種計算機可讀存儲介質，所述存儲介質中存儲有至少一條指令，所述指令由處理器加載并執行以實現如第一方面所述的TCP流量過濾方法。

本發明實施例提供的技術方案帶來的有益效果是：