[发明专利]一种针对分布式synflood攻击可以快速防护的方法

说明书

本发明公开了一种针对分布式synflood攻击可以快速防护的方法，IP地址是一个32位的二进制数，通常被分割为4个“8位二进制数”(也就是4个字节)，IP地址通常用“点分十进制”表示成(a.b.c.d)的形式。该针对分布式synflood攻击可以快速防护的方法可以运行在网络安全设备上，也可以运行在服务器上，针对分布式synflood的清洗是非常高效的。

技术领域

本发明涉及一种高效的针对分布式synflood的防护方法技术领域，具体为一种针对分布式synflood攻击可以快速防护的方法。

背景技术

随着宽带提速等云时代的网络发展，DDoS攻击升级到百G时代，更加容易塞满入口带宽、冲击转发丢包、耗尽应用连接等。

SYNFlood是一种广为人知的DoS(拒绝服务攻击)是DDoS(分布式拒绝服务攻击)的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式，最终导致系统或服务器宕机。

攻击报文中的源IP地址均为黑客伪造，为了防止被检测到，或者被防火墙拦截，源IP地址一般采用随机生成的方式。也就是说每个syn报文中的源IP地址和源端口均是随机生成，很难和正常的syn报文区分。所以，SYNFlood是当前最流行的、最难防护的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)方式之一。

传统的synflood防护方法中，比如：缩短服务器SYNTimeout时间或者设置SYNCookie。缩短SYN的超时时间，无法防护synflood，仅仅可以缓解服务器的压力。同时还会对正常的请求造成一定的影响。而设置SYNCookie，仅针对攻击源IP地址是真实的场景下，然而实际攻击中，黑客不会使用真实的源IP做为攻击源IP。所以以上两种方式，在实际的synflood中，毫无用武之地。

因此需要有一种更加完善和高效的synflood防护方法，能够在实际的攻击场景下，针对synflood做出快速的清洗，且不会阻断正常请求中的syn报文。

发明内容

本发明的目的在于提供一种针对分布式synflood攻击可以快速防护的方法，以解决上述背景技术中提出的传统的synflood防护方法中，比如：缩短服务器SYNTimeout时间或者设置SYNCookie。缩短SYN的超时时间，无法防护synflood，仅仅可以缓解服务器的压力。同时还会对正常的请求造成一定的影响。而设置SYNCookie，仅针对攻击源IP地址是真实的场景下，然而实际攻击中，黑客不会使用真实的源IP做为攻击源IP。所以以上两种方式，在实际的synflood中，毫无用武之地的问题。

为实现上述目的，本发明提供如下技术方案：一种针对分布式synflood攻击可以快速防护的方法，IP地址是一个32位的二进制数，通常被分割为4个“8位二进制数”(也就是4个字节)。IP地址通常用“点分十进制”表示成(a.b.c.d)的形式，其中，a，b，c，d都是0～255之间的十进制整数。例：点分十进IP地址(100.4.5.6)，实际上是32位二进制数(01100100.00000100.00000101.00000110)。如果用一个位图(bitmap)来表示所有的IP地址，也就是说每一个IP地址是1bit，需要512M字节大小的位图。

优选的，首先将位图的每一位都置为0，当收到一个syn报文时，根据源IP地址对应的数字，在位图中找到相应的位，判断该位等于0还是1。如果等于0，丢弃该syn报文，且将该位置为1。相反，如果该位等于1，则该syn报文直接放行。