本公開提供了攻擊防護(hù)方法、裝置、系統(tǒng)，涉及攻擊防御領(lǐng)域。該方法應(yīng)用于防護(hù)設(shè)備，包括：接收客戶端發(fā)送的帶有負(fù)載的第一報(bào)文，第一報(bào)文包括第一序列號、第一確認(rèn)號、負(fù)載長度和報(bào)文四元組；根據(jù)第一序列號和預(yù)設(shè)字符長度確定第二確認(rèn)號，根據(jù)第一確認(rèn)號確定第二序列號，其中預(yù)設(shè)字符長度為介于零和負(fù)載長度之間的正整數(shù)；根據(jù)第二序列號、第二確認(rèn)號和報(bào)文四元組形成反彈報(bào)文，并將反彈報(bào)文發(fā)送至客戶端；接收客戶端根據(jù)反彈報(bào)文發(fā)送的帶有負(fù)載的第二報(bào)文，在第二報(bào)文合法時(shí)，根據(jù)第二報(bào)文和預(yù)設(shè)字符長度的負(fù)載恢復(fù)第一報(bào)文，并將第一報(bào)文發(fā)送至服務(wù)器。本公開增加了攻擊者的攻擊成本，降低了誤殺率，并且最大限度降低了攻擊透傳。

技術(shù)領(lǐng)域

本公開涉及攻擊防護(hù)技術(shù)領(lǐng)域，具體而言，涉及一種攻擊防護(hù)方法、攻擊防護(hù)裝置、攻擊防護(hù)系統(tǒng)、計(jì)算機(jī)存儲介質(zhì)及電子設(shè)備。

背景技術(shù)

為了保障客戶端與服務(wù)器之間正常的數(shù)據(jù)傳輸，客戶端和服務(wù)器之間需要通過三次握手建立連接，在建立連接之后，客戶端和服務(wù)器就可以通過確認(rèn)報(bào)文(ACK報(bào)文)進(jìn)行數(shù)據(jù)傳輸。

但是，在數(shù)據(jù)傳輸時(shí)，并不是所有客戶端發(fā)送的ACK報(bào)文都是安全的，攻擊者通常會通過向服務(wù)器發(fā)送大量包含虛假源IP地址和虛假源端口的ACK報(bào)文，以達(dá)到攻擊服務(wù)器的目的。與ACK報(bào)文相關(guān)的攻擊稱為ACK Flood攻擊，為了避免服務(wù)器被攻擊，通常會在服務(wù)器接收到報(bào)文之前通過防護(hù)設(shè)備基于ACK防護(hù)算法對客戶端的合法性進(jìn)行檢測，傳統(tǒng)的ACKFlood防護(hù)算法通常采用會話學(xué)習(xí)或超時(shí)重傳來實(shí)現(xiàn)，但是會話學(xué)習(xí)需要提前牽引正常流量，浪費(fèi)防護(hù)設(shè)備大量CPU、內(nèi)存、帶寬資源，并且由于不同的業(yè)務(wù)，形態(tài)不一樣，提前多少時(shí)間很難把握，另外超時(shí)重傳雖然誤殺率低，但是攻擊者繞過成本低、透傳率高。

需要說明的是，在上述背景技術(shù)部分公開的信息僅用于加強(qiáng)對本公開的背景的理解，因此可以包括不構(gòu)成對本領(lǐng)域普通技術(shù)人員已知的現(xiàn)有技術(shù)的信息。

發(fā)明內(nèi)容

本公開的實(shí)施例提供了一種攻擊防護(hù)方法、攻擊防護(hù)裝置、計(jì)算機(jī)存儲介質(zhì)及電子設(shè)備，進(jìn)而至少在一定程度上可以增加攻擊者的攻擊成本，降低誤殺率和攻擊透傳。

本公開的其他特性和優(yōu)點(diǎn)將通過下面的詳細(xì)描述變得顯然，或部分地通過本公開的實(shí)踐而習(xí)得。

根據(jù)本公開實(shí)施例的一個(gè)方面，提供了一種攻擊防護(hù)方法，應(yīng)用于防護(hù)設(shè)備，所述方法包括：接收客戶端發(fā)送的帶有負(fù)載的第一報(bào)文，所述第一報(bào)文包括第一序列號、第一確認(rèn)號、負(fù)載長度和報(bào)文四元組；根據(jù)所述第一序列號和預(yù)設(shè)字符長度確定第二確認(rèn)號，根據(jù)所述第一確認(rèn)號確定第二序列號，其中所述預(yù)設(shè)字符長度為介于零和所述負(fù)載長度之間的正整數(shù)；根據(jù)所述第二序列號、所述第二確認(rèn)號和所述報(bào)文四元組形成反彈報(bào)文，并將所述反彈報(bào)文發(fā)送至所述客戶端；接收所述客戶端根據(jù)所述反彈報(bào)文發(fā)送的帶有負(fù)載的第二報(bào)文，在所述第二報(bào)文合法時(shí)，根據(jù)所述第二報(bào)文和所述預(yù)設(shè)字符長度的負(fù)載恢復(fù)所述第一報(bào)文，并將所述第一報(bào)文發(fā)送至服務(wù)器。

根據(jù)本公開實(shí)施例的一個(gè)方面，提供了一種攻擊防護(hù)裝置，應(yīng)用于防護(hù)設(shè)備，所述裝置包括：報(bào)文接收模塊，用于接收客戶端發(fā)送的帶有負(fù)載的第一報(bào)文，所述第一報(bào)文包括第一序列號、第一確認(rèn)號、負(fù)載長度和報(bào)文四元組；信息確定模塊，用于根據(jù)所述第一序列號和預(yù)設(shè)字符長度確定第二確認(rèn)號，根據(jù)所述第一確認(rèn)號確定第二序列號，其中所述預(yù)設(shè)字符長度為介于零和所述負(fù)載長度之間的正整數(shù)；報(bào)文生成模塊，用于根據(jù)所述第二序列號、所述第二確認(rèn)號和所述報(bào)文四元組形成反彈報(bào)文，并將所述反彈報(bào)文發(fā)送至所述客戶端；報(bào)文轉(zhuǎn)發(fā)模塊，用于接收所述客戶端根據(jù)所述反彈報(bào)文發(fā)送的帶有負(fù)載的第二報(bào)文，在所述第二報(bào)文合法時(shí)，根據(jù)所述第二報(bào)文和所述預(yù)設(shè)字符長度的負(fù)載恢復(fù)所述第一報(bào)文，并將所述第一報(bào)文發(fā)送至服務(wù)器。

在本公開的一些實(shí)施例中，基于前述方案，所述信息確定模塊配置為：將所述第一序列號與所述預(yù)設(shè)字符長度相加，并將相加后的結(jié)果作為所述第二確認(rèn)號；將所述第一確認(rèn)號作為所述第二序列號。