[发明专利]处理ACK洪泛攻击的方法和装置

权利要求书

1.一种处理ACK洪泛攻击的方法，其特征在于，包括：

防御设备从终端接收到第一ACK报文后，存储所述第一ACK报文的信息；

所述防御设备向所述终端发送用于指示重传的ACK报文；

所述防御设备根据所述第一ACK报文的信息，确定接收到的第二ACK报 文是否与所述第一ACK报文匹配；

当接收到的所述第二ACK报文与所述第一ACK报文匹配，所述防御设备 确定所述终端为合法用户；并将所述第二ACK报文发送给所述防御设备对应的 网络设备；和

当接收到来自所述合法用户的第三ACK报文时，将所述第三ACK报文发 送给所述防御设备对应的网络设备。

2.根据权利要求1所述的方法，其特征在于，所述第一ACK报文的信息 包括所述第一ACK报文的标识信息；

所述防御设备根据所述第一ACK报文的信息，确定接收到第二ACK报文 是否与所述第一ACK报文匹配，包括：

所述防御设备确定接收到的所述第二ACK报文的标识信息是否与所述第一 ACK报文的标识信息相同。

3.根据权利要求1所述的方法，其特征在于，所述第一ACK报文的信息 包括所述第一ACK报文的标识信息和接收所述第一ACK报文的时间；

所述防御设备根据所述第一ACK报文的信息，确定接收到第二ACK报文 是否与所述第一ACK报文匹配，包括：

所述防御设备确定接收到的所述第二ACK报文的标识信息是否与所述第一 ACK报文的标识信息相同，以及确定接收所述第二ACK报文的时间与接收所 述第一ACK报文的时间之差是否小于所述预定时间间隔。

4.根据权利要求2或3所述的方法，其特征在于，所述标识信息为五元组 信息；或者所述标识信息为五元组信息和序列号，SEQ。

5.根据权利要求1所述的方法，其特征在于，所述用于指示重传的ACK 报文为携带有所述第一ACK报文的SEQ的ACK报文，或者为使能了SACK选 项的ACK报文。

6.根据权利要求1所述的方法，其特征在于，所述防御设备确定所述终端 为合法用户包括：

所述防御设备根据所述第一ACK报文的信息，确定所述合法用户的标识； 将所述合法用户的标识添加到合法用户列表。

7.根据权利要求6所述的方法，其特征在于，所述合法用户的标识为所述 第一ACK报文的五元组信息，或者所述第一ACK报文的五元组信息中的源IP 地址。

8.根据权利要求1所述的方法，其特征在于，进一步包括：

当所述第一ACK报文的信息被存储的时间超过预定阈值时，删除所述第一 ACK报文的信息。

9.一种处理ACK洪泛攻击的装置，其特征在于，包括：

确定模块，用于从终端接收到第一ACK报文后，发送存储指令给存储模块， 发送重传指令给发送模块；根据所述第一ACK报文的信息，确定接收的第二 ACK报文是否与所述第一ACK报文匹配；当接收到的所述第二ACK报文与所 述第一ACK报文匹配，确定所述终端为合法用户，并将所述第二ACK报文发 送给所述发送模块；当接收到来自所述合法用户的第三ACK报文时，将所述第 三ACK报文发送给所述发送模块；

所述发送模块用于根据所述确定模块的重传指令，向所述终端发送用于指 示重传的ACK报文；将来自所述确定模块的所述第二ACK报文和所述第三 ACK报文发送给所述装置对应的网络设备；

所述存储模块用于根据所述确定模块的存储指令，存储所述第一ACK报文 的信息。

10.根据权利要求9所述的装置，其特征在于，所述第一ACK报文的信息 包括所述第一ACK报文的标识信息；

所述确定模块用于确定接收到的所述第二ACK报文的标识信息是否与所述 第一ACK报文的标识信息相同。