[发明专利]一种CC攻击的检测方法、装置及网络设备

权利要求书

1.一种CC攻击的检测方法，其特征在于，所述方法应用于网络设备，包括：

针对服务器的每一请求事件，基于所述网络设备接收到的与该请求事件对应的请求报文和响应报文，确定该服务器响应该请求事件的响应时延；其中，所述请求报文和响应报文为基于传输层协议的报文；

基于所述服务器响应各请求事件的响应时延，确定所述服务器的平均响应时延；

若所述平均响应时延大于或等于预设阈值，则确定所述服务器遭受CC攻击；

所述基于所述网络设备接收到的与该请求事件对应的请求报文和响应报文，确定该服务器响应该请求事件的响应时延，包括：

在接收与该请求事件对应的请求报文时，若该请求报文是非重传请求报文，则将已记录的该请求事件对应的请求接收时刻变量的取值，更新为该请求报文的接收时刻，若该请求报文是重传请求报文，则维持已记录的请求接收时刻变量；所述非重传请求报文包括：首个非重传请求报文或非首个非重传请求报文；

在接收到与该请求事件对应的响应报文时，若该响应报文是首个非重传响应报文，则将该请求事件对应的响应接收时刻变量的取值，更新为该响应报文的接收时刻；若该响应报文是重传响应报文，或者是非首个非重传响应报文，则维持已记录的响应接收时刻；

在对响应接收时刻变量进行更新后，将当前记录的请求接收时刻变量的取值作为第一时刻，将当前记录的响应接收时刻变量的取值作为第二时刻；

基于所述第一时刻、所述第二时刻，确定所述服务器响应该请求事件的响应时延；

所述请求报文的类型通过如下方式确定：

若该请求报文的序列号范围不在已记录的、且与该请求事件对应的请求序列号范围内或者所述请求报文未携带序列号、并且预配置的交互标志为第一值，则确定所述请求报文为首个非重传请求报文；所述第一值表示未开始所述请求事件的报文交互；

若该请求报文的序列号范围不在已记录的所述请求序列号范围内或者所述请求报文未携带序列号、并且预配置的交互标志为第二值，则确定所述请求报文为非首个非重传请求报文；所述第二值表示已开始所述请求事件的报文交互；

若该请求报文的序列号范围在已记录的所述请求序列号范围内，则确定所述请求报文为重传报文。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

在确定所述请求报文为首个非重传请求报文后，将该交互标志更新为第二值，并在该请求报文携带序列号时，将该请求报文的序列号范围合并到已记录的请求序列号范围中；

在确定所述请求报文为非首个非重传请求报文后，维持该交互标志，并在该请求报文携带序列号时，将该请求报文的序列号范围合并到已记录的请求序列号范围中；

在确定所述请求报文为重传请求报文后，维持该交互标志以及已记录的请求序列号范围。

3.根据权利要求1所述的方法，其特征在于，所述响应报文的类型通过如下方式确定：

若所述响应报文序列号范围在已记录的，且与该响应报文对应的响应序列号范围内，则确定所述响应报文为重传响应报文；

若所述响应报文序列号范围不在所述响应序列号范围内或者所述响应报文未携带序列号、且预配置的交互标志为第二值，则确定所述响应报文为首个非重传响应报文；

若所述响应报文序列号范围不在所述响应序列号范围内或者所述响应报文未携带序列号、且预配置的交互标志为第一值，则确定该响应报文为非首个非重传响应报文。

4.根据权利要求3所述的方法，其特征在于，所述方法还包括：

若确定所述响应报文为首个非重传响应报文，则将所述交互标志更新为第一值，以及在该响应报文携带序列号时，将该响应报文的序列号范围合并到已记录的响应序列号范围中；

若确定所述响应报文为非首个非重传响应报文，则维持该交互标志，以及在该响应报文携带序列号时，将该响应报文的序列号范围合并到已记录的响应序列号范围中；

若确定所述响应报文为重传响应报文，则维持该交互标志、以及已记录的响应序列号范围。