本申請實施例供一種新建連接攻擊的防護方法。在一個新的防護周期，通知目標設備的硬件允許預定數(shù)量的新建連接請求報文進入所述目標設備；統(tǒng)計在所述周期當前建立的連接數(shù)；如果在所述周期當前建立的連接數(shù)大于或等于預定的閾值，通知所述目標設備的硬件阻止新建連接請求報文進入所述目標設備；如果在所述周期當前建立的連接數(shù)小于預定的閾值，通知目標設備的硬件繼續(xù)允許預定數(shù)量的新建連接請求報文進入所述目標設備。根據(jù)本申請實施例的方案，通過軟件進行新建連接計數(shù)以及攻擊判定，硬件進行報文限制，阻止大流量攻擊報文在經(jīng)過報文安全性檢查以及報文轉發(fā)前的預處理流程空耗設備性能的情況發(fā)生，使設備在能夠實現(xiàn)防護的同時仍保持高性能狀態(tài)。

技術領域

本申請涉及網(wǎng)絡安全領域，特別涉及新建連接攻擊的防護方法及相關設備。

背景技術

一方面，隨著各種DDoS(分布式拒絕服務，Distributed Denial of Service)攻擊工具的問世、工具的獲取容易及其操作簡單，此外，現(xiàn)在的DDoS攻擊服務也非常廉價；另一方面，服務器的網(wǎng)絡連接數(shù)又是有限制的；因此導致新建連接攻擊能夠輕易實現(xiàn)。攻擊者通過攻擊工具或者僵尸網(wǎng)絡發(fā)起大量的新建連接請求，以耗盡服務器的新建連接資源，從而導致正常的連接請求建立失敗。

新建連接攻擊常見有以下兩種情況：一種是在很短的時間內(nèi)以高速率與攻擊目標(如，服務器)建立網(wǎng)絡連接以使新建連接數(shù)超過攻擊目標的上限。一般情況下，利用已有的攻擊工具再加上僵尸網(wǎng)絡，很容易超過攻擊目標的新建連接數(shù)上限。另一種是每秒鐘內(nèi)與攻擊目標建立的連接數(shù)正常，即在一段連續(xù)時間內(nèi)均以一定的速率與攻擊目標建立網(wǎng)絡連接，但從不釋放已建立成功的連接，從而使新建連接數(shù)超過攻擊目標的上限。通常，攻擊工具或者僵尸網(wǎng)絡與攻擊目標建立完連接后，不傳輸任何數(shù)據(jù)，因為一旦傳輸錯誤的數(shù)據(jù)，攻擊目標會自動斷開連接。因此，當攻擊目標的新建連接資源被攻擊者或者僵尸網(wǎng)絡使用完后，當有正常的連接請求到達時則無法提供響應。

發(fā)明內(nèi)容

針對新建連接攻擊，相關的現(xiàn)有技術方案是在進入報文轉發(fā)流程之前，設置新建連接攻擊的防護流程，并在該流程中先判斷當前建立的連接數(shù)是否已超過設定的閾值，若已超過設定的閾值則直接丟棄連接請求報文，若未超過設定的閾值則該連接請求報文進入到后面的報文轉發(fā)流程，建立連接。

但是本申請的發(fā)明人在研究中發(fā)現(xiàn)，雖然超過閾值的連接請求報文被丟棄了，但同時也消耗了服務器的大量資源。因為連接請求報文在進入報文轉發(fā)流程前，會先進入到很多有關報文安全性檢查的防護流程以及報文轉發(fā)前的預處理流程中。對于這一系列流程，也會消耗服務器不小的資源。如果是處理小流量的攻擊報文時，服務器的性能基本沒有什么變化，而在處理大流量的攻擊報文時，雖然連接數(shù)控制在了閾值范圍內(nèi)，但是服務器的大部分資源用來處理經(jīng)過這一系列流程的大流量攻擊報文，從而對其他的功能無法提供正常服務。此時，服務器本身的性能受到嚴重影響，對于攻擊者來說就已經(jīng)超過了攻擊的目的。

有鑒于此，本申請?zhí)峁┬陆ㄟB接攻擊的防護方法及相關設備，以盡可能解決現(xiàn)有技術中由于攻擊報文(特別是大流量攻擊報文)在被丟棄前已過度地消耗服務器資源而導致服務器性能下降進而無法提供正常服務的問題。

具體地，本申請是通過如下技術方案實現(xiàn)的：

一種新建連接攻擊的防護方法，所述方法包括：

在一個新的防護周期，通知目標設備的硬件允許預定數(shù)量的新建連接請求報文進入所述目標設備；

統(tǒng)計在所述周期當前建立的連接數(shù)；

如果在所述周期當前建立的連接數(shù)大于或等于預定的閾值，通知所述目標設備的硬件阻止新建連接請求報文進入所述目標設備；

如果在所述周期當前建立的連接數(shù)小于預定的閾值，通知目標設備的硬件繼續(xù)允許預定數(shù)量的新建連接請求報文進入所述目標設備。

可選的，在目標設備的硬件阻止新建連接請求報文進入所述目標設備之后，所述方法還包括：