[发明专利]IP地址的校验方法和装置

说明书

技术领域

本发明涉及网络通信安全领域，具体而言，涉及一种IP地址的校验方法和装置。

背景技术

随着互联网技术的发展，网络上开始出现越来越多的通过伪造源IP的方式来实现一些针对网络服务器的攻击行为，其中分布式拒绝服务攻击影响越来越多。这些攻击都有一个共同特点，就是可以瞬间消耗服务器大量资源，造成大量服务器资源被占用，使得正常的用户无法访问。

如图1和图2所示，一次简单的四层包攻击行为，通过发送大量伪造数据包，如果没有保护就能造出非常严重的后果，服务器的传输控制块(TransmissionControlBlock，简称TCB)资源被耗尽，正常请求无法被响应，直接导致服务器拒绝服务。

现有技术中提供了一种使用SYNCookie来做源IP认证的方法，如图3所示：此种方法根据收到的SYN报文生成SYNCookie，并作为TCP序列号封装发送SYN_ACK报文给SYN报文发送源，待网络设备接收的ACK报文验证SYNCookie通过后，该SYN报文发送源的后续报文就会由网络设备透传给受到攻击的服务器(Victim)，图3中FW表示防火墙。

上述使用SYNCookie的方法时有一个非常明显的缺点就是：三次握手时相关的网络设备接管了，但是客户端(Clinet)并不知道这个接管过程，在完成三次握手之后Client就会发起针对服务器(server)的TCP(传输控制协议TransmissionControlProtocol，简称TCP)连接，可能是一次HTTP(超文本转移协议HypertextTransferProtocol，简称HTTP)获取请求(即，HTTPget请求)，但是后端的server也就是图3中的victim并没有三次握手信息，所以如果这时候Client直接请求是无法完成的，除非Client重新发起一次针对server的三次请求，但是这就需要网络防护设备来主动和client断开连接，可以发送TCP的RST包或者FIN包来结束，这样数据包的交互就比较复杂。

针对相关技术中IP地址的校验方法比较复杂的问题，目前尚未提出有效的解决方案。

发明内容

本申请的目的在于提供一种IP地址的校验方法和装置，以解决现有技术中IP地址的校验方法比较复杂的问题。

根据本申请的一个方面，提供了一种IP地址的校验方法，包括：接收客户端在与服务器建立连接之前发送的同步请求数据包；响应所述同步请求数据包生成同步响应数据包，其中，所述同步响应数据包中的同步字段的确认号等于所述同步请求数据包中的同步字段的序列号；发送所述同步响应数据包至所述客户端；接收来自所述客户端的响应所述同步响应数据包的重置数据包；以及根据所述重置数据包对所述IP地址进行校验。

进一步地，根据所述重置数据包对所述IP地址进行校验包括：获取所述重置数据包中的序列号；判断所述重置数据包中的序列号与所述同步请求数据包中的序列号或所述同步响应数据包中的确认号是否相等；以及在判断出所述重置数据包中的序列号与所述同步请求数据包中的序列号或所述同步响应数据包中的确认号相等的情况下，确定所述IP地址通过校验。

进一步地，在确定所述IP地址通过校验之后，所述校验方法还包括：标记所述IP地址的状态为第一状态，其中，所述第一状态表示所述IP地址通过校验。

进一步地，在接收客户端在与服务器建立连接之前发送的同步请求数据包之后，并且在发送所述同步响应数据包至所述客户端之前，所述校验方法还包括：标记所述IP地址的状态为第二状态，其中，所述第二状态表示未对所述IP地址进行校验。

进一步地，在发送所述同步响应数据包至所述客户端之后，并且在接收来自所述客户端的响应所述同步响应数据包的重置数据包之前，所述校验方法还包括：标记所述IP地址的状态为第三状态，其中，所述第三状态表示所述IP地址等待校验。

进一步地，在接收来自所述客户端的响应所述同步响应数据包的重置数据包之前，所述校验方法还包括：从发送出所述同步响应数据包开始计时；在计时时间达到预设时间时，判断是否接收到所述重置数据包；以及在判断出未接收到所述重置数据包的情况下，标记所述IP地址的状态为第四状态，其中，所述第四状态表示所述IP地址未通过校验。

进一步地，在对所述IP地址进行校验过程中，所述校验方法还包括：获取对所述IP地址进行校验所占用的总内存；获取预设超时周期和对所述预设超时周期进行粒度划分的单位时间；以及根据所述预设超时周期和所述单位时间对所述总内存进行清除。