[发明专利]一种适用于防火墙的syn端口扫描防御方法

说明书

本发明提供一种适用于防火墙的syn端口扫描防御方法，涉及网络安全技术领域，所述方法包括：防火墙在转发报文的时候，每收到一个rst报文，基于目的地址进行统计计数，如果一段时间内，这个目的地址收到的rst报文超出阈值，则认为此目的地址在进行syn端口扫描，把此目的地址加入黑名单一段时间，期间拒绝其进行网络通讯。等惩罚时间过后，将其从黑名单和统计列表中移除，实现了在防火墙上，对需要防护的网络和主机，实现有效的tcp syn端口扫描防御功能。

技术领域

本发明涉及网络安全技术领域，具体为一种适用于防火墙的syn端口扫描防御方法。

背景技术

目前网络攻击行为日益增长，每年都给企业或者个人带来重大的经济损失，而实施网络攻击的第一步就是对网络中的主机进行端口扫描，获取主机运行的服务程序和开放的端口，然后针对这些服务发起攻击，计算机上绝大部分的服务程序都是基于TCP协议的，由于TCP开放的协议特性，很多主机自身无法防御基于TCP syn的端口扫描，基本所有的企业都会使用硬件防火墙。

Syn扫描特点为，攻击主机针对目标主机的1-65535范围内的端口，依次发起一个tcp syn请求，如果收到了rst报文，则认为此端口关闭，没有运行tcp服务。通常一个主机上，绝大部分的端口都是关闭的，故如果进行syn端口扫描，则收到的绝大部分报文都是rst报文。该技术并不能100％的防御syn端口扫描，如果攻击主机发起的前几个扫描端口，正好是目标主机开放的端口，则这几个端口还是会被扫描出来。

发明内容

(一)解决的技术问题

针对现有技术的不足，本发明希望找到一种适用于防火墙的syn端口扫描防御方法方法，在防火墙上，对需要防护的网络和主机，实现有效的tcp syn端口扫描防御功能。

(二)技术方案

为实现以上目的，本发明通过以下技术方案予以实现：一种适用于防火墙的syn端口扫描防御方法，所述方法包括：

防火墙设置阈值N和惩罚时间M；

防火墙每转发一个报文，创建并维护一个记录，统计此IP地址每秒收到的RST报文个数。

优选地，如果单位时间内超过N个RST报文，则对此IP地址设置惩罚时间M，惩罚期间不允许再发起网络请求。

优选地，如果在惩罚时间内，此IP没有再发起tcp连接请求，则在惩罚时间后，将其从黑名单中移除，恢复其上网资格。

优选地，如果在惩罚时间内，此IP继续发起TCP连接请求，则从发起连接的时间算起，惩罚时间向后延续。

优选地，TCP可用端口为1-65535。

优选地，每秒阈值为3个和惩罚时间为1分钟。

本发明还提供一种计算机可读存储介质，所述计算机可读存介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器所执行时执行如前任一所述的一种适用于防火墙的syn端口扫描防御方法。

(三)有益效果

本发明提供了一种适用于防火墙的syn端口扫描防御方法。

具备以下有益效果：

本发明防火墙在转发报文的时候，每收到一个rst报文，基于目的地址进行统计计数，如果一段时间内，这个目的地址收到的rst报文超出阈值，则认为此目的地址在进行syn端口扫描，把此目的地址加入黑名单一段时间，期间拒绝其进行网络通讯。等惩罚时间过后，将其从黑名单和统计列表中移除。通过上述方案，可对需要防护的网络和主机，实现有效的tcp syn端口扫描防御功能，对正常连接的主机和网络攻击行为正确区分。

附图说明