[发明专利]一种SYN洪水攻击的防御方法和装置

说明书

技术领域

本发明涉及数据处理技术领域，特别涉及一种SYN洪水攻击(SYN Flood)的防御方法和装置。

背景技术

拒绝服务(DOS，Denial of Service)攻击是现有互联网上对服务器、网 关等设备的一种攻击手段，这种攻击针对现有服务器的缺陷或薄弱点，让设 备崩溃，停止工作，以达到影响设备正常业务的目的。Flood攻击(也叫洪水 攻击，属于拒绝服务攻击的一种)就是一种典型的DOS攻击，其采用短时间 内发送大量报文的形式，去耗竭设备内存资源，耗竭设备CPU资源，达到 攻击的目的。这种攻击具有很强的破坏力，并且包含多种形式，如SYN洪 水攻击(SYN Flood，Synchronize sequence numbers Flood)就是其中一种形 式。

通常，一台计算机在网络中通讯前首先需要建立传输控制协议(TCP， Transmission Control Protocol)握手，标准的TCP握手需要三次包交换来建 立，即一台服务器一旦接收到客户机的连接请求数据包SYN后必须回应一 个请求响应数据包SYN+ACK，然后等待该客户机回应给它一个响应数据包 ACK(Acknowledgment field significant)来确认，至此才真正建立起连接。

SYN Flood攻击的原理主要是向被攻击设备发送大量伪造源IP地址和源 端口的TCP连接请求数据包，导致该设备缓存资源因处理这些伪造的SYN 包被耗尽或因忙于发送回应包，直至系统资源耗尽，从而形成拒绝服务。其 基本过程是，发送大量伪造源IP地址和源端口的TCP连接请求数据包 SYN，而不发送确认服务器的响应数据包ACK，这样会导致服务器一直等 待响应数据包ACK。由于服务器在有限的时间内只能响应有限数量的连 接，这就会导致服务器一直等待回应而无法响应其它计算机进行的连接请 求。

现有的防御SYN洪水攻击的方法，主要是基于SYN Cookie的手段。其 原理是，在服务器等设备收到客户端的SYN包时，返回SYN+ACK包，并 根据这个SYN包计算出一个cookie值返回去。当再收到该客户端的ACK包 时，该设备根据已计算出的cookie值检查这个ACK包的合法性。如果合 法，帮助该客户端和服务端的设备建立TCP连接。基于SYN Cookie方法的 算法有很多种，其避免了攻击者伪造地址的可能性，但至少存在以下缺点：

1、性能差。攻击者构造一个伪造源地址和源端口的SYN欺骗包的开销 极其小。而SYN Cookie的方法，需要计算Cookie、构造SYN+ACK包、查 找反向路由、计算TCP和IP的校验和等等。现实情况中，同样硬件配置的 单独攻击者和防御设备相比，攻击者产生SYN洪水攻击的能力，远比防御 者处理能力强，也就是攻击者仍然可以让服务器等设备的处理能力超负荷， 而拒绝服务的攻击目的仍然生效。

2、容易形成反射攻击。当攻击者A伪造了自己的地址成B，而网关按 照其伪造的地址B回了一个SYN+ACK。当攻击者大量伪造地址B进行发 包，会导致B会收到并处理大量的SYN+ACK报文。实质上是攻击者A利 用网关对B实施的一个Dos反射攻击。

发明内容

本发明在于提供一种防御洪水攻击的方法和装置，能够有效的防御洪水 攻击。

为了实现上述目的，本发明实施例提供了如下技术方案：

一种SYN洪水攻击的防御方法，确定目的地址的设备处于被SYN洪水 攻击状态后，所述防御方法包括：

对于接收到的SYN包，

判断该SYN包的源IP地址在第一预设时间段内是第一次发包，还是重 发包，若是第一次发包，则丢弃该SYN包；

若是重发包，则继续后续正常处理。

其中，在确定是重发包后，继续后续正常处理之前，还包括：

采用SYN-Cookie值方式验证接收到的所述SYN包的源IP地址是否合 法，若合法，则再继续后续正常处理，否则丢弃所述SYN包。

其中，在采用SYN-Cookie值方式验证接收到的所述SYN包的源IP地 址是否合法时，进一步包括：判断对某个客户端的针对SYN-Cookie的 SYN+ACK包返回速率是否超越正常阈值，若是，则停止对该源IP地址的 SYN+ACK包返回，否则再正常处理。