[发明专利]动态切换数据包的转发方式的方法和设备

权利要求书

1.一种动态切换数据包的转发方式的方法，其特征在于，包括：

在虚拟服务器上按照单向转发方式转发接收到的针对虚拟服务的地址的数据包，所述单向转发方式用于只将来自客户端的数据包转发给后端服务器；

判断所述虚拟服务的地址是否受到同步泛洪攻击；

当判定所述虚拟服务的地址受到同步泛洪攻击时，在虚拟服务器上执行用于防御同步泛洪攻击的防御操作，并按照双向转发方式转发接收到的针对所述虚拟服务的地址的数据包，所述双向转发方式用于将来自客户端的数据包转发给后端服务器并将来自后端服务器的数据包转发给客户端；

判断同步泛洪攻击是否停止；以及

当判定同步泛洪攻击停止时，在虚拟服务器上停止执行防御操作并且恢复成按照所述单向转发方式转发接收到的针对所述虚拟服务的地址的数据包。

2.根据权利要求1所述的方法，其特征在于，所述判断虚拟服务的地址是否受到同步泛洪攻击的步骤包括：

获取与所述虚拟服务的地址处于半连接状态的半连接数目；

获取与所述虚拟服务的地址已建立连接的连接数目；以及

根据所述半连接数目和所述连接数目来判断所述虚拟服务的地址是否受到同步泛洪攻击。

3.根据权利要求2所述的方法，其特征在于，所述根据所述半连接数目和所述连接数目来判断所述虚拟服务的地址是否受到同步泛洪攻击的步骤包括：

当所述半连接数目与所述连接数目的比值大于第一阈值时，判定所述虚拟服务的地址受到同步泛洪攻击。

4.根据权利要求2所述的方法，其特征在于，当所述半连接数目与连接数目的比值连续大于第一阈值的次数超过第一预定数目时，判定所述虚拟服务的地址受到同步泛洪攻击。

5.根据权利要求1所述的方法，其特征在于，所述判断同步泛洪攻击是否停止的步骤包括：

获取在预定时间内接收到的针对所述虚拟服务的地址的数据包中的同步数据包的数目；

获取针对所述虚拟服务的地址在预定时间内的新建连接数目；以及

根据在预定时间内接收到的数据包中的同步数据包的数目和在预定时间内的新建连接数目来判断所述同步泛洪攻击是否停止。

6.根据权利要求5所述的方法，其特征在于，所述根据在预定时间内接收到的数据包中的同步数据包的数目和在预定时间内的新建连接数目来判断所述同步泛洪攻击是否停止的步骤包括：

当在预定时间内接收到的数据包中的同步数据包的数目与在预定时间内的新建连接数目的比值小于第二阈值时，判定所述同步泛洪攻击停止。

7.根据权利要求5所述的方法，其特征在于，当在预定时间内接收到的数据包中的同步数据包的数目与在预定时间内的新建连接数目的比值连续小于第二阈值的次数超过第二预定数目时，判定所述同步泛洪攻击停止。

8.根据权利要求1所述的方法，其特征在于，所述防御操作包括：

当从客户端接收到同步数据包时，虚拟服务器根据所述同步数据包的参数计算验证码，并向客户端返回包含所述验证码作为序列号的同步/确认数据包；以及

当从客户端接收到确认数据包时，根据所述确认数据包的序列号，确定是否针对所述同步数据包建立客户端与虚拟服务之间的连接。

9.一种动态切换数据包的转发方式的设备，其特征在于，包括：

单向转发装置，用于在虚拟服务器上按照单向转发方式转发接收到的针对虚拟服务的地址的数据包，所述单向转发方式用于只将来自客户端的数据包转发给后端服务器；

攻击判断装置，用于判断所述虚拟服务的地址是否受到同步泛洪攻击；

防御和双向转发装置，用于当判定所述虚拟服务的地址受到同步泛洪攻击时，在虚拟服务器上执行用于防御同步泛洪攻击的防御操作，并按照双向转发方式转发接收到的针对所述虚拟服务的地址的数据包，所述双向转发方式用于将来自客户端的数据包转发给后端服务器并将来自后端服务器的数据包转发给客户端；

攻击停止判断装置，用于判断所述同步泛洪攻击是否停止；以及

停止防御和恢复装置，用于当判定所述同步泛洪攻击停止时，在虚拟服务器上停止执行防御操作并且恢复成按照所述单向转发方式转发接收到的针对所述虚拟服务的地址的数据包。