[发明专利]阻止IP欺骗的防攻击方法、系统、模块

说明书

本发明公开了一种阻止IP欺骗的防攻击方法、系统、模块。阻止IP欺骗的防攻击方法包括：获取被保护设备接收的TCPACK报文和合法DUP报文，并将该类报文的源IP地址及对应的TTL值记录在第一列表中；获取被保护设备接收的非法TCP请求报文和非法DUP报文，并将该类报文的源IP地址记录在第二列表中；非法TCP请求报文为第一次TCP请求报文后连续接收到的TCP请求报文；截获来自第二列表中记录的源IP地址的信息，并提取信息中携带的TTL值；判断信息中携带的TTL值与第一列表中记录的该源IP地址对应的TTL值是否一致，并在判断结果为不一致的情况下，控制防火墙禁止来自该源IP地址且TTL值为信息中携带的TTL值的所有报文。采用本发明，可以有效保护机器免受带有IP欺骗的攻击。

技术领域

本发明涉及攻击防护技术领域，尤其涉及一种阻止IP欺骗的防攻击方法、系统、模块。

背景技术

黑名单机制是广泛使用在分布式存储服务器节点的服务程序中，用于保护自身服务进程免受DDOS攻击的影响的常用机制，其常用方式是将攻击者IP加入到黑名单列表中，拒绝来自黑名单列表中的地址的服务请求。这种方式的缺陷在于攻击者可以伪装自身的IP地址，甚至伪装成分布式存储服务器中的存储服务节点的IP。这样的话，就无法有效识别出攻击，导致存储服务器节点之间的服务中断。

发明内容

本发明实施例提供一种阻止IP欺骗的防攻击方法、系统、模块，用以解决现有技术中攻击者伪装成存储服务节点的IP实施攻击的问题。

根据本发明实施例的阻止IP欺骗的防攻击方法，包括：

获取被保护设备接收的TCPACK报文和合法DUP报文，并将该类报文的源IP地址及对应的TTL值记录在第一列表中；

获取所述被保护设备接收的非法TCP请求报文和非法DUP报文，并将该类报文的源IP地址记录在第二列表中；所述非法TCP请求报文为第一次TCP请求报文后连续接收到的TCP请求报文；

截获来自所述第二列表中记录的源IP地址的信息，并提取所述信息中携带的TTL值；

判断所述信息中携带的TTL值与所述第一列表中记录的该源IP地址对应的TTL值是否一致，并在判断结果为不一致的情况下，控制防火墙禁止来自该源IP地址且TTL值为所述信息中携带的TTL值的所有报文。

根据本发明的一些实施例，所述控制防火墙禁止来自该源IP地址且TTL值为所述信息中携带的TTL值的所有报文，包括：

在防火墙程序中增加丢弃规则，以使防火墙禁止来自该源IP地址且TTL值为所述信息中携带的TTL值的所有报文。

根据本发明的一些实施例，所述方法还包括：

在防火墙程序中增加丢弃规则之后，将所述丢弃原则对应的源IP地址从所述第二列表中删除。

根据本发明的一些实施例，所述方法还包括：

判断所述第一列表中记录的TTL值的记录时长是否大于预设时长，并在判断结果为是的情况下，更新所述第一列表中的TTL值。

根据本发明实施例的阻止IP欺骗的防攻击系统，包括：

第一监控单元，用于获取被保护设备接收的TCPACK报文和合法DUP报文，并将该类报文的源IP地址及对应的TTL值记录在第一列表中；

第二监控单元，用于获取所述被保护设备接收的非法TCP请求报文和非法DUP报文，并将该类报文的源IP地址记录在第二列表中；所述非法TCP请求报文为第一次TCP请求报文后连续接收到的TCP请求报文；

第三监控单元，与所述第二监控单元通信连接，所述第三监控单元用于截获来自所述第二列表中记录的源IP地址的信息，并提取所述信息中携带的TTL值；