[发明专利]一种报文防攻击方法及装置

说明书

本发明实施例公开了一种报文防攻击方法及装置，应用于宽带接入服务器BRAS中的转发芯片，该报文防攻击方法包括：BRAS的转发芯片接收建立联机报文；转发芯片确定建立联机报文的源地址未通过认证且建立联机报文的目的地址属于未认证用户不允许访问的地址范围且建立联机报文的TCP端口对应超文本传输协议；转发芯片生成并发送代答建立联机确认报文。该方法能够避免处理单元为未通过portal认证的设备建立超文本传输协议的传输控制协议连接，防止portal入口攻击。

技术领域

本发明涉及信息安全领域，特别涉及一种报文防攻击方法及装置。

背景技术

在WLAN(Wireless Local Area Networks，无线局域网)，如果在完成对终端的Portal认证之前，终端的多种工具软件发出大量请求进行网页脚本攻击，会对WLAN内的BRAS(Broadband Remote Access Server，宽带接入服务器)设备造成报文冲击，影响其他终端的正常使用。

目前，宽带接入服务器BRAS设备采用的portal(入口)防攻击方法包括TCP(Transmission Control Protocol，传输控制协议)报文限速以及HTTP(Hyper TextTransfer Protocol，超文本传输协议)报文限速，将TCP报文以及HTTP报文发往CPU进行识别，从而丢弃符合portal攻击报文特征的TCP报文以及HTTP报文。

发明内容

本发明实施例公开了一种报文防攻击方法及装置，以避免大量攻击报文占用通道资源与CPU资源，影响正常用户的正常报文进行重定向，进而影响正常用户进行后续的认证。具体方案如下：

一方面，本发明实施例提供了一种报文防攻击方法，应用于宽带接入服务器BRAS的转发芯片，方法包括：转发芯片接收第一建立联机报文；转发芯片确定第一建立联机报文的源地址未通过认证且第一建立联机报文的目的地址属于未认证用户不允许访问的地址范围且第一建立联机报文的TCP端口号对应超文本传输协议；转发芯片生成并发送代答建立联机确认报文。

另一方面，本发明实施例提供了一种报文防攻击装置，应用于宽带接入服务器BRAS的转发芯片，装置包括：接收模块，用于接收第一建立联机报文；解析模块，用于确定第一建立联机报文的源地址未通过认证且第一建立联机报文的目的地址属于未认证用户不允许访问的地址范围且第一建立联机报文的TCP端口对应超文本传输协议，则生成代答建立联机确认报文；发送模块，用于发送代答建立联机确认报文。

本发明实施例中，BRAS设备的转发芯片通过解析收到的SYN报文，如果收到的SYN报文来自未认证用户，且需要访问不允许访问的地址并建立用于HTTP的TCP连接，BRAS设备的转发芯片则认为符合攻击报文的特征，直接发送建立联机确认报文，(SYN ACK，Synchronous acknowledgement)报文，避免将符合攻击报文特征的SYN报文建立HTTP的TCP连接以及避免将攻击报文特征的SYN报文发往处理单元，例如CPU，而导致的处理单元的报文处理资源被占用。当然，实施本发明的任一产品或方法必不一定需要同时达到以上所述的所有优点。

附图说明

图1为本发明实施例提供的一种报文防攻击方法的流程示意图；

图2为本发明实施例提供的宽带接入服务器的报文防攻击处理方式的示意图；

图3为本发明实施例提供的宽带接入服务器的另一报文防攻击处理方式的示意图；

图4为本发明实施例提供的宽带接入服务器的结构示意图。

具体实施方式