本發(fā)明公開了一種ACK Flood攻擊的防護(hù)方法及裝置，用以解決在不斷開客戶端和服務(wù)器之間的連接的前提下，提高識(shí)別非法客戶端的精確度的問題。該方法包括：中間防護(hù)設(shè)備針對攔截的每一客戶端發(fā)送的ACK報(bào)文，基于在客戶端發(fā)送ACK報(bào)文之前中間防護(hù)設(shè)備返回給客戶端的ACK響應(yīng)報(bào)文中的一段報(bào)文段，生成探測報(bào)文；丟棄ACK報(bào)文，將探測報(bào)文返回客戶端；當(dāng)確定客戶端返回探測響應(yīng)報(bào)文時(shí)，檢測其中是否包含SACK選項(xiàng)；如果是，則根據(jù)SACK信息判定客戶端是否為合法客戶端；當(dāng)確定客戶端為合法客戶端時(shí)，將客戶端重傳的ACK報(bào)文發(fā)送至相應(yīng)的目標(biāo)服務(wù)器；否則，將重傳的ACK報(bào)文丟棄；如果否，則將客戶端重傳的ACK報(bào)文丟棄。

技術(shù)領(lǐng)域

本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其涉及一種ACK Flood攻擊的防護(hù)方法及裝置。

背景技術(shù)

在使用TCP(Transmission Control Protocol，傳輸控制協(xié)議)傳輸數(shù)據(jù)時(shí)，客戶端和服務(wù)器需要先通過三次握手建立TCP連接，在建立TCP連接后，客戶端和服務(wù)器就可以通過確認(rèn)(Acknowledgement，ACK)報(bào)文(即：帶確認(rèn)標(biāo)志位的傳輸控制協(xié)議報(bào)文)進(jìn)行數(shù)據(jù)傳輸。服務(wù)器接收到客戶端發(fā)送的ACK報(bào)文后，判斷該ACK報(bào)文中攜帶的源IP(InternetProtocol，互聯(lián)網(wǎng)協(xié)議)地址和源端口是否保存在本地會(huì)話列表中，如果未保存在本地會(huì)話列表中，則判定該ACK報(bào)文是非法報(bào)文，并將其丟棄。

一般情況下，攻擊者通過向服務(wù)器發(fā)送大量攜帶有虛假源IP地址和端口的ACK報(bào)文，向服務(wù)器發(fā)起攻擊，這種攻擊即為ACK Flood攻擊(即：帶確認(rèn)標(biāo)志位的傳輸控制協(xié)議報(bào)文泛洪攻擊)，ACK Flood攻擊是最常用的DDoS(Distributed denial of service attack，分布式拒絕服務(wù)攻擊)方式之一，服務(wù)器在接收到這些攜帶有虛假源IP地址和端口的ACK報(bào)文后，查詢本地會(huì)話列表時(shí)需要耗費(fèi)大量處理資源，這樣，不僅影響服務(wù)器對合法ACK報(bào)文的處理，還可能導(dǎo)致服務(wù)器癱瘓。

為了防御ACK Flood攻擊，當(dāng)前主流的防護(hù)方法有以下二種：

(1)中間防護(hù)設(shè)備在啟動(dòng)ACK Flood防護(hù)之后，丟棄其接收到的所有ACK報(bào)文，無論這些ACK報(bào)文是來自合法的客戶端還是來自非法的客戶端，這樣，丟棄ACK報(bào)文的次數(shù)大于預(yù)設(shè)的重傳次數(shù)后，會(huì)導(dǎo)致客戶端斷開與服務(wù)器的TCP連接，各個(gè)客戶端會(huì)重新與服務(wù)器建立TCP連接，通過驗(yàn)證TCP三次握手來識(shí)別合法客戶端。然而，這種方法雖然能夠通過針對SYN(Synchronize Sequence Numbers，同步序列編號(hào))報(bào)文的防護(hù)來識(shí)別非法客戶端，但是其中斷了合法客戶端和服務(wù)器的連接，而當(dāng)前很多合法客戶端尤其是游戲業(yè)務(wù)和移動(dòng)客戶端等存在這樣的協(xié)議行為：對于建立起的TCP連接，當(dāng)連接斷開后不再重連，進(jìn)而，影響了合法客戶端的業(yè)務(wù)。

(2)利用TCP的重傳機(jī)制：中間防護(hù)設(shè)備丟棄其接收到的所有ACK報(bào)文后，合法客戶端在固定時(shí)間段內(nèi)未接收到相應(yīng)的ACK響應(yīng)報(bào)文時(shí)，會(huì)重傳該ACK報(bào)文，而非法客戶端可能無法在固定時(shí)間段內(nèi)進(jìn)行重傳，從而就可以識(shí)別出非法客戶端。然而，此方法比較容易被突破，如果非法客戶端碰巧在固定時(shí)間段內(nèi)重傳了ACK報(bào)文，那么中間防護(hù)設(shè)備就會(huì)將其誤識(shí)別為合法客戶端，從而影響了中間防護(hù)設(shè)備識(shí)別非法客戶端的準(zhǔn)確度。

因此，如何在不斷開客戶端和服務(wù)器之間的連接的前提下，提高識(shí)別非法客戶端的精確度，是現(xiàn)有技術(shù)亟待解決的技術(shù)問題之一。

發(fā)明內(nèi)容

為了解決在不斷開客戶端和服務(wù)器之間的連接的前提下，提高識(shí)別非法客戶端的精確度的問題，本發(fā)明實(shí)施例提供了一種ACK Flood攻擊的防護(hù)方法及裝置。

第一方面，本發(fā)明實(shí)施例提供了一種ACK Flood攻擊的防護(hù)方法，包括：