[发明专利]网络连接攻击的防御方法及设备

说明书

本申请提供了网络连接攻击的防御方法及设备，其中，方法包括：服务端按照与客户端事先约定的获取方式，获取服务端的真实连接端口标识；获取多个攻击掩护端口标识；将服务端的真实连接端口标识与多个攻击掩护端口标识分别指示的端口，作为用于接收TCP连接请求的端口；客户端在需要向服务端发送TCP连接请求的情况下，按照与服务端事先约定的获取方式，获取服务端的真实连接端口标识；向真实连接端口标识指示的端口发送TCP连接请求，服务端将服务端的真实连接端口标识指示的端口上建立的TCP连接信息，发送到服务器的业务端口，并删除攻击掩护端口接收到的全部信息。本申请在保证用户的正常连接需求的情况下，可以对网络连接攻击起到防御的功能。

技术领域

本申请涉及网络安全领域，尤其涉及网络连接攻击的防御方法及设备。

背景技术

网络连接攻击，是一种从多个傀儡机，向服务器发起大量TCP连接，耗尽服务器资源的攻击方式。其中，在TCP连接三次握手完成之后，服务器的操作系统内核会为每个TCP连接分配相应的结构，保存TCP连接的相应控制信息，以及接收缓冲区和发送缓冲区，一个连接至少也需占用大概10K的内存。若攻击方发起总共200W个TCP连接，将占用至少2G的内存。更重要的是，大量的空连接占用的不只是内存，攻击者通常还会在建立后立即结束连接。每个TCP连接都需要维护状态。不断的发起和断开，服务器的操作系统将不断分配和释放资源，将会大大增加操作系统的负担。同时，上层应用也将在建立和断开连接上消耗大量的CPU，造成服务器瘫痪。

目前，对于攻击的防御方法主要两种，其中，第一种包括：用防火墙屏蔽端口、设置密码和增加验证等等手段。第二种包括：限制最大连接次数。但是，由于网络连接攻击是通过建立TCP连接完成的，而目前的第一种防御方法都是在建立连接后执行的防御操作，因此，第一种防御方法无法达到对网络连接攻击的防御效果。对于第二种方法，将导致正常用户无法连接，或者在连接队列中等待过长的时间。

因此，急需一种网络连接攻击的防御方案，既对网络连接攻击进行防御，又保证用户的正常连接需求。

发明内容

本申请提供了网络连接攻击的防御方法及设备，目的在于实现既对网络连接攻击进行防御，又保证用户的正常连接需求的网络连接攻击的防御方案。

为了实现上述目的，本申请提供了以下技术方案：

本申请提供了一种网络连接攻击的防御方法，应用于客户端，包括：

在需要向服务端发送TCP连接请求的情况下，按照与所述服务端事先约定的获取方式，获取所述服务端的真实连接端口标识；

向所述真实连接端口标识指示的端口发送TCP连接请求。

可选的，所述服务端的真实连接端口标识在预设时刻起的时间段序列中的同一时间段内取值相同，不同时间段内取值不同；并且，所述服务端的真实连接端口标识在不同时间段的取值变化情况无规律。

可选的，按照与所述服务端事先约定的获取方式，获取所述服务端的真实连接端口标识，包括：

按照预设方式对所述预设起始时刻与当前时刻进行计算，得到待加密对象；

按照预设加密方式，采用预设密钥对所述待加密对象进行加密，得到密文；

在所述密文为数字的情况下，将所述密文作为当前时刻所述服务端的真实连接端口标识。

可选的，还包括：

在所述密文为非数字形式的情况下，按照预设的转换方式，将非数字形式的密文转换为数字形式的密文。

可选的，所述按照预设方式对预设的起始时刻与当前时刻进行计算，得到待加密对象，包括：

计算当前时刻与所述预设起始时刻间的差值；

计算所述差值与预设的时间间隔的比值；