[发明专利]一种识别SYN攻击行为中统计SYN包数量的方法及装置

说明书

本申请提供一种识别SYN攻击行为中统计SYN包数量的方法，应用于网络设备，所述网络设备包括用于统计接收到的SYN包的总数量的FPGA；以及，与所述FPGA连接的高速硬件存储器；该方法包括：周期性遍历所述高速硬件存储器中的各计数表项，老化处理当前时间与遍历的任一计数表项的创建时间之间的时间差达到预设老化时长的计数表项，并获取第一SYN包数量，以及，第二SYN包数量；根据所述第一SYN包数量与所述第二SYN包数量相加的结果更新所述FPGA统计的接收到的SYN包的总数量。

技术领域

本申请涉及计算机技术领域，尤其涉及一种识别SYN攻击行为中统计SYN包数量的方法及装置。

背景技术

当今通信领域中，客户端与服务端间通常使用TCP协议(面向连接的、可靠的、基于字节流的传输层通信协议)进行数据交互。客户端与服务端建立TCP连接时会进行三次握手，首先，客户端发送SYN包至服务端，完成客户端与服务端的第一次握手；服务端响应于上述SYN包，向上述客户端返回SYN包和ACK包，完成客户端与服务端的第二次握手；上述服务端在完成向上述客户端返回SYN包和ACK包后将一直处于等待状态，直至接收到上述客户端发送的ACK包，完成客户端与服务端的第三次握手。当客户端与服务端完成上述三次握手后，可以相互传输数据。

现实中，许多黑客在短时期内伪造大量不存在的IP，并将上述IP封装至客户端向服务端发送的SYN包中。当服务端接收到客户端发送的上述SYN包后，将向客户端返回SYN包和ACK包(第二次握手)，并等待客户端之后发送的ACK包，但是，由于上述SYN包中的源IP是不存在的，因此，服务端发出SYN包和ACK包后将不会得到任何客户端响应，从而导致服务端一种处于等待状态，不能正常工作，引起网络堵塞和服务端系统瘫痪(以下简称SYN攻击)。

目前，为了防止服务端遭受SYN攻击，服务端通常将连接能够识别SYN攻击的网络设备。如果上述网络设备确定自身当前正在遭受到SYN攻击时，则停止向与自身连接的服务端转发客户端发送的SYN包，以使服务端避免遭受SYN攻击。

实际应用中，为了识别SYN攻击行为，上述网络设备通常判断在一段间隔时长(例如，周期性启动老化机制的时间间隔)内经过该网络设备的SYN包的数量是否达到预设阈值，并当上述网络设备确定在一段间隔时长内经过该网络设备的SYN包的数量突破预设阈值时，确定自身正在遭受SYN攻击。

由上可见，在上述网络设备中，需要一种记录SYN包数量的方法，以使网络设备能够识别服务端是否遭受SYN攻击。

发明内容

有鉴于此，本申请提供一种识别SYN攻击行为中统计SYN包数量的方法，应用于网络设备，上述网络设备包括用于统计接收到的SYN包的总数量的FPGA；以及，与上述FPGA连接的高速硬件存储器；其中，上述高速硬件存储器存储了与接收到的SYN包的源IP对应的若干计数表项；上述计数表项包括表项创建时间、源IP和接收到的与上述源IP对应的SYN包的累计数量；上述方法包括：

周期性遍历上述高速硬件存储器中的各计数表项，老化处理当前时间与遍历的任一计数表项的创建时间之间的时间差达到预设老化时长的计数表项，并获取第一SYN包数量，以及，第二SYN包数量；其中，上述第一SYN包数量，为遍历到的当前时间与上述创建时间之间的时间差未达到预设老化时长的各计数表项的上述累计数量的和；上述第二SYN包数量，为在本轮遍历周期内各计数表项在被遍历的过程中以及在被遍历完成之后的上述累计数量的增加值的和；

根据上述第一SYN包数量与上述第二SYN包数量相加的结果更新上述FPGA统计的接收到的SYN包的总数量。

在示出的一实施例中，上述获取第一SYN包数量，包括：

确定当前时间与遍历的计数表项的创建时间之间的时间差是否达到预设老化时长；