[发明专利]在传输控制协议TCP下防止攻击的方法和装置

说明书

技术领域

本发明涉及通信技术领域，更具体来说，涉及一种在传输控制协议TCP下防止攻击的方法和装置。

背景技术

随着通信技术领域的发展，电信数据业务量也随之激增。毋庸置疑，网络同时也会面临各种各样的安全上的挑战，SYN Flood流量的攻击便是其中典型的一种。这种攻击通过使用大量的数据包来攻击目标系统，消耗目标系统资源来使合法用户无法正常使用网络服务。

为了保护网络设备后面的服务器，一般会采用TCP Proxy方案，也就是说，在网络设备上面采用先与代理服务器建立连接，在真正的数据报文到来时，才和真正的服务器建立连接。

目前，现有的TCP Proxy方案主要是首先客户端向代理服务器发送请求对话的报文；其次，代理服务器在收到请求报文后，便建立用于表征客户端与服务器的对应关系的会话表，并向客户端回复确认报文；紧接着，客户端向代理服务器发送确认报文和数据报文；接下来，代理服务器收到确认报文后，便和真正的服务器建立三次交互，将数据发送到真正的服务器。

但是，采用上述现有技术，在大量SYN Flood攻击的情况下，由于在接收到攻击方发出的每个SYN报文时，代理服务器均需要建立会话表，所以会消耗掉代理服务器的会话表资源，导致正常用户无法与服务器连接。

发明内容

本发明旨在提供一种在传输控制协议TCP下防止攻击的方法和装置。

在本发明的一个实施例中，提供了一种在传输控制协议TCP下的防止攻击的方法，该方法包括以下步骤：接收客户端发来的请求与服务器建立对话的请求同步报文；向客户端发送第一确认报文；接收客户端发来的第二确认报文；基于所述第二确认报文来判断所述请求同步报文是否属于攻击报文；如果判定所述请求同步报文属于攻击报文，则舍弃所述请求同步报文；如果判定所述请求同步报文属于合法报文，则建立客户端与服务器之间的会话表。

在本发明的另一个实施例中，提供了一种在传输控制协议TCP下的防止攻击的装置。该装置包括：接收发送单元，被配置成接收客户端发来的请求与服务器建立对话的请求同步报文；向客户端发送第一确认报文；接收客户端发来的第二确认报文；判断单元，被配置成基于所述第二确认报文来判断所述请求同步报文是否属于攻击报文；如果判定所述请求同步报文属于攻击报文，则舍弃所述请求同步报文；如果判定所述请求同步报文属于合法报文，则建立客户端与服务器之间的会话表。

可以看出，采用本发明实施例的方法和装置，在大量SYN Flood攻击的情况下，也能有效的防止攻击，保证正常用户与服务器的连接，以提升业务体验。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例中在传输控制协议TCP下防止攻击的方法的流程框图；

图2是本发明实施例中在传输控制协议TCP下防止攻击的方法的信息交互的示意图；

图3是本发明实施例中在传输控制协议TCP下防止攻击的装置的结构框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述；显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例中提供了一种在传输控制协议TCP协议下的防止攻击的方法，如图1所示，该方法包括：

S110：从客户端接收请求发起对话的请求同步报文；

S120：向客户端发送确认报文；

S130：从客户端接收客户端确认报文；

S140：基于所述客户端确认报文来判断所述请求同步报文是否属于攻击报文；

S150：如果判定所述请求同步报文属于攻击报文，则舍弃所述请求同步报文；

S160：如果判定所述请求同步报文属于合法报文，则建立会话表并实现客户端与服务器之间的交互。

通过以上这种方式，不必针对每个请求同步报文来建立会话表，而仅在判定请求同步报文不属于攻击报文的情况下才建立会话表。由此，可以有效地防止来自网络的攻击避免不必要的会话表资源的消耗。