[发明专利]抵御拒绝服务攻击的方法

权利要求书

1.一种抵御拒绝服务攻击的方法，其中在客户端与服务器之间的网关中设置一个抵御拒绝服务攻击的装置，该装置执行以下步骤：

(1)拦截客户端向服务器发送的包含源IP、源端口、目的IP、目的端口、TCP序列号的syn数据包的syn连接请求；

(2)针对所述syn连接请求，利用一个本地密钥，生成一个与所述syn连接请求关联的代理TCP序列号x；

(3)向客户端返回包含代理TCP序列号x的syn/ack数据包；

(4)接收客户端收到所述syn/ack数据包后回应的包含x+1序列号的ack数据包；

(5)利用所述代理TCP序列号x验证ack数据包中的x+1序列号；

(6)当通过验证时，利用所收到的ack数据包所含有的源IP、源端口、目的IP、目的端口和密钥以及x+1序列号构造与步骤(1)中的syn数据包相同的syn数据包，然后以客户端身份向服务器发送包含所构造的syn数据包的syn连接请求，以便以后服务器经由网关向客户端发送syn/ack数据包和客户端经由网关向服务器发送ack数据包，完成客户端与服务器之间的连接；

(7)当验证未通过时，不向服务器发送连接请求。

2.根据权利要求1所述的方法，其中在所述步骤(6)中，抵御拒绝服务攻击的装置还检查所构造的syn数据包是否符合netfilter规则。

3.根据权利要求2所述的方法，其中当检查确认所构造的syn数据包符合netfilter规则时，将用于该syn连接的连接表项插入连接表中。

4.根据权利要求3所述的方法，其中所述连接表项包含源IP、源端口、目的IP、目的端口、客户端TCP序列号和服务器端TCP序列号。

5.根据权利要求1所述的方法，其中当通过步骤(5)所述的验证时，抵御拒绝服务攻击的装置还将客户端地址即源IP地址添加到白名单地址列表中。

6.根据权利要求5所述的方法，还包括以下步骤：

当抵御拒绝服务攻击的装置拦截客户端发起的syn连接请求时，首先检查syn数据包中的源IP地址是否在白名单地址列表中，

如果在白名单地址列表中，则直接利用收到的syn数据包向服务器发起连接请求；

如果不在白名单地址列表中，则执行步骤(2)至(7)。

7.根据权利要求1所述的方法，其中所述抵御拒绝服务攻击的装置是syn-cookie模块。

8.根据权利要求7所述的方法，其中所述代理TCP序列号x是根据syn数据包的源IP、源端口、目的IP、目的端口、TCP序列号和密钥，利用md5散列算法算出的一个cookie。

9.根据权利要求8所述的方法，其中所述syn-cookie模块拦截服务器响应网关发送的syn数据包而返回的syn/ack数据包，将该数据包中的序列号设为cookie+1后，把该syn/ack数据包转发给客户端。