[发明专利]网络攻击的防御方法及装置、系统、存储介质、电子设备

说明书

本公开公开了一种网络攻击的防御方法及装置、系统、存储介质、电子设备，属于通信领域。其中，该方法包括：在第三次握手过程中接收客户端发送的握手确认消息，其中，所述握手确认消息携带鉴权字段，所述鉴权字段基于第二次握手过程中所述服务器向所述客户端发送的握手消息生成；判断所述鉴权字段与预设字段是否匹配；若所述鉴权字段与预设字段不匹配，断开所述服务器与所述客户端之间的网络连接。通过本公开，解决了相关技术防御DoS攻击的能力差的技术问题，提高了客户端与服务器之间网络连接的安全性，提高了服务器的稳定性和鲁棒性。

技术领域

本公开涉及通信领域，具体而言，涉及一种网络攻击的防御方法及装置、系统、存储介质、电子设备。

背景技术

相关技术中，使用AAA(验证、授权和记账，Authentication、Authorization、Accounting)服务器进行认证的通信系统，包括但不限于WLAN(无线局域网，WirelessLocal Area Network)、使用https(超文本传输安全协议，Hyper Text Transfer Protocolover SecureSocket Layer)协议通信的网站、使用SSH(安全外壳协议，Secure Shell)方式通信的系统、使用了TLS(Transport Layer Security，传输层安全)/SSL(Secure SocketsLayer安全套接字协议)加密协议的通信系统等，通过握手协议过程中加入随机数，设计了防重放攻击功能。TLS/SSL三次握手协议产生不同的随机数，第三次握手产生的是pre_master_secret(预先主密钥),但实际上黑客仍然可以使用事先保存好的或者使用过的pre_master_secret，发起大量的连接请求，利用认证服务器解密pre_master_secret密文需要耗费大量中央处理器(CPU，Central Processing Unit)处理能力的原理，进行拒绝服务(Denial of Service，DoS)攻击。

发明内容

相关技术中，根据RFC 5246(TLS)协议，pre_master_secret由2个字节的客户端协议版本号和46个字节由客户端生成的随机数组成。客户端使用服务端发过来的非对称加密的公钥，对pre_master_secret进行非对称加密，加密后发给服务端，防止被“中间人”获取。攻击者可以采用预先生成一组pre_master_secret，在攻击过程中重复使用这组pre_master_secret的方法，同时产生大量连接请求，利用服务器解密pre_master_secret需要消耗大量CPU处理能力的原理，且只要pre_master_secret可以被正常解密，服务器则默认连接是合法的，攻击者通过同一pre_master_secret发起相同的连接，可以达到DoS攻击AAA服务器的目的。

本公开实施例提供了一种网络攻击的防御方法及装置、系统、存储介质、电子设备，以解决相关技术防御DoS攻击的能力差的技术问题。

根据本公开实施例的一个方面，提供了一种网络攻击的防御方法，应用在服务器，包括：在第三次握手过程中接收客户端发送的握手确认消息，其中，上述握手确认消息携带鉴权字段，上述鉴权字段基于第二次握手过程中上述服务器向上述客户端发送的握手消息生成；判断上述鉴权字段与预设字段是否匹配；若上述鉴权字段与预设字段不匹配，断开上述服务器与上述客户端之间的网络连接。

进一步，上述握手确认消息的消息内容为密文，在上述判断上述鉴权字段与预设字段是否匹配之前，上述方法还包括：对上述握手确认消息的消息内容进行解密，得到明文字段；在上述明文字段的预设位置提取上述鉴权字段。

进一步，上述判断上述鉴权字段与预设字段是否匹配包括：在本地读取上述握手消息中的预设字段；判断上述鉴权字段与上述预设字段的字节内容是否一致；若上述鉴权字段与上述预设字段的字节内容一致，则上述鉴权字段匹配；若上述鉴权字段与上述预设字段的字节内容不一致，则上述鉴权字段不匹配。