專利名稱:一種防止DDos攻擊的方法及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)字信息的傳輸技術(shù)領(lǐng)域����,尤其涉及一種網(wǎng)絡(luò)串接模塊式下 防止DDos攻擊的方法及i殳備。
背景技術(shù):
隨著lnternet (互聯(lián)網(wǎng)絡(luò))在日常生活��、商業(yè)活動中間的重要性越來越突 出���,網(wǎng)絡(luò)安全也隨之顯得異常重要。目前����,網(wǎng)絡(luò)攻擊特別是拒絕服務(wù) (DoS)式攻擊也在不斷增加。由于互聯(lián)網(wǎng)的廣泛共享和快速的信息交換���, 亦使得發(fā)動一次小規(guī)模甚至中大規(guī)模的DDoS (Distributed Denial of Service,分布式拒絕服務(wù))變得更加容易�����,例如��,可以輕易利用從網(wǎng)上下載 到的工具軟件發(fā)動起對合法網(wǎng)站的惡意攻擊����,使網(wǎng)絡(luò)用戶在享用網(wǎng)絡(luò)帶來的 便捷性的同時也要面臨網(wǎng)絡(luò)帶來的危險。目前����,S丫N Flood (同步洪水攻擊)作為當(dāng)前最流行的DoS與DDoS的 攻擊方式之一,主要是利用TCP (Transmission Control Protocal���,傳l俞控制 協(xié)議)協(xié)議缺陷�����,發(fā)送大量偽造的TCP連接請求給服務(wù)器��,使被攻擊服務(wù)器 資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)的攻擊方式����。TCP是目前廣泛應(yīng)用的一種網(wǎng)絡(luò)傳輸控制協(xié)議���,它是一種面向連接的協(xié) 議���。在實際網(wǎng)絡(luò)應(yīng)用中,TCP是通過三次握手方式完成用戶端(也稱客戶 端)與服務(wù)器端的連接認(rèn)證�����。 一般連接認(rèn)證的步驟分為三步第一步、用戶發(fā)送TCP連接請求SYN (同步)報文���,指明要連接的服務(wù) 器端口�����,以及初始序列號ISN;第二步�、服務(wù)器回應(yīng)用戶請求�,向用戶發(fā)送S丫N+ACK (同步確認(rèn))報 文,同時確i人序列號為ISN+1;第三步����、用戶端確認(rèn)服務(wù)器的回應(yīng)報文���,向服務(wù)器發(fā)送ACK (確認(rèn))報 文�,序列號為服務(wù)器回應(yīng)序列號增1�����。此時�����,即完成TCP接連的三次握手認(rèn)證。SYN Flood攻擊手段就是在上述連接認(rèn)證的第二步中服務(wù)器發(fā)送回應(yīng)報 文(SYN+ACK)后�,用戶端故意不發(fā)送第三步確認(rèn)報文,造成服務(wù)器端一 直等待第三步握手信息���,同時服務(wù)器又會反復(fù)地發(fā)送第二步回應(yīng)報文��,從而 導(dǎo)致服務(wù)器中大量資源被占用����,無法處理正常的業(yè)務(wù)���。目前可以采用的防御DDos攻擊實現(xiàn)方案包括采用在網(wǎng)絡(luò)設(shè)備中利用檢 測規(guī)則判斷網(wǎng)絡(luò)設(shè)備是否處于被攻擊狀態(tài)����,其檢測規(guī)則為(1 )系統(tǒng)中第一次握手的半連接隊列中的SYN報文數(shù)量超過正常值����;(2 )系統(tǒng)中第 一次握手的半連接隊列中的SYN報文超過了最大容量的95%;(3 )系統(tǒng)中第一次握手的半連接隊列中的SYN^艮文增長速度超過其極限值。在上述各規(guī)則中����,SYN報文數(shù)量的正常值為網(wǎng)絡(luò)設(shè)備日常處理中的平均 值�,其S丫N報文增長速度的極限值為網(wǎng)絡(luò)設(shè)備處理正常突發(fā)流量時每秒新增 TCP連接數(shù)最大值��。上述防御方法在防御10000次/秒左右攻擊時����,大約有 30%-50%的性能提升。在該實現(xiàn)方案中���,網(wǎng)絡(luò)設(shè)備依據(jù)上述檢測規(guī)則進(jìn)行檢測��,若網(wǎng)絡(luò)設(shè)備出 現(xiàn)上述狀況之一�����,便視為網(wǎng)絡(luò)設(shè)備受到攻擊���,此時,網(wǎng)絡(luò)設(shè)備執(zhí)行丟棄程 序��,將占用系統(tǒng)資源的攻擊性的停留時間超過1秒的SYN報文進(jìn)行丟棄�。由上所述��,可以發(fā)現(xiàn)現(xiàn)有技術(shù)存在至少以下問題1�����、當(dāng)攻擊性S丫N報文的數(shù)率達(dá)到網(wǎng)絡(luò)設(shè)備的防御峰值時,被保護(hù)的網(wǎng) 絡(luò)設(shè)備仍可能會出現(xiàn)大量資源被占用的情況���,因而也會導(dǎo)致網(wǎng)絡(luò)設(shè)備不能響 應(yīng)新服務(wù)或網(wǎng)絡(luò)設(shè)備存在當(dāng)機(jī)的風(fēng)險����;2���、要求用戶十分了解自身的網(wǎng)絡(luò)狀況��,并根據(jù)網(wǎng)絡(luò)現(xiàn)狀配置不同的檢測 規(guī)則參數(shù)���,這對普通網(wǎng)絡(luò)用戶來說比較復(fù)雜,而且要隨著網(wǎng)絡(luò)發(fā)展和應(yīng)用的 變化���,經(jīng)常修改檢測規(guī)則���,這將給用戶的使用帶來不便。發(fā)明內(nèi)容本發(fā)明實施例的目的是提供一種網(wǎng)絡(luò)串接模塊式下防止DDos攻擊的方法 及裝置��,從而給用戶提供安全、可靠的網(wǎng)絡(luò)服務(wù)�。本發(fā)明實施例提供一種防止DDos攻擊的方法,所述方法包括 接收TCP連接請求SYN報文�����;檢測所述TCP連接請求S丫N報文是否有效�,若是,將所述TCP連接請求 S丫N報文轉(zhuǎn)發(fā)給服務(wù)器端�,否則,丟棄所述TCP連接請求S丫N報文���。 本發(fā)明實施例還提供一種防止DDos攻擊的設(shè)備���,包括 接收模塊,用于接收TCP連接請求SYN報文��;處理模塊�����,用于判斷所述接收模塊接收的所述TCP連接請求S丫N報文是 否有效�,若有效,則發(fā)出通知���,否則�,丟棄所述接收模塊接收的TCP連接請 求SYN報文�;發(fā)送模塊,用于根據(jù)所述處理模塊發(fā)出的通知�����,向所述服務(wù)器端轉(zhuǎn)發(fā)所 述接收模塊接收的所述TCP連接請求S丫N報文�����。由上述技術(shù)方案可以看出�����,在本發(fā)明實施例中被保護(hù)網(wǎng)絡(luò)設(shè)備(即服務(wù) 器)接收TCP連接請求SYN報文之前���,需完成對TCP連接請求S丫N報文有效 性的驗證��,并且僅將合法有效的TCP連接請求SYN報文轉(zhuǎn)發(fā)給服務(wù)器端���,將 占用系統(tǒng)資源的攻擊性TCP連接請求SYN報文拋棄,使服務(wù)器不會承擔(dān)任何 由于TCP半連接造成系統(tǒng)資源耗盡的風(fēng)險���,從而實現(xiàn)了針對DDos對網(wǎng)絡(luò)設(shè)備 攻擊的方便��、有效的安全防御���,避免了因不能響應(yīng)新服務(wù)或因當(dāng)機(jī)而給用戶造成的影響���,并且由于操作簡單,便于技術(shù)的推廣應(yīng)用����。
圖1為本發(fā)明實施例的設(shè)備組網(wǎng)系統(tǒng)示意圖;圖2為本發(fā)明實施例的防止DDos攻擊的方法流程圖����;圖3為本發(fā)明的技術(shù)原理圖;圖4為本發(fā)明實施例一種防止DDos攻擊的裝置結(jié)構(gòu)示意圖����。
具體實施方式
本發(fā)明實施例在被保護(hù)網(wǎng)絡(luò)設(shè)備(即服務(wù)器端)接收TCP連接請求SYN 報文之前,需完成對TCP連接請求SYN報文有效性的驗證�,并且僅將合法有 效的TCP連接請求SYN報文轉(zhuǎn)發(fā)給服務(wù)器端,而將占用系統(tǒng)資源的攻擊性 TCP連接請求SYN報文拋棄�����,從而降低了服務(wù)器由于TCP半連接造成系統(tǒng)資 源耗盡所承擔(dān)的風(fēng)險。首先����,介紹如何驗證來自用戶端的TCP連接請求S丫N報文的有效性��,以 及如何實現(xiàn)將合法有效的TCP連接報文轉(zhuǎn)發(fā)給服務(wù)器端的過程���。在本發(fā)明實施例中���,當(dāng)用戶端向服務(wù)器端發(fā)送TCP連接請求SYN報文 時,即第一次握手請求時����,檢測TCP連接請求SYN報文對應(yīng)的用戶節(jié)點信息 是否為無效節(jié)點信息,如果檢測出為無效節(jié)點信息����,則直接拋棄TCP連接請 求SYN報文,并不轉(zhuǎn)給服務(wù)器端�����;否則�����,依據(jù)用戶的TCP連接請求信息,產(chǎn) 生第二次握手的TCP連接請求響應(yīng)報文SYN+ACK�,此時,如果用戶端回應(yīng) 第三次握手的TCP連接確認(rèn)報文ACK�,則認(rèn)為是該TCP連接請求是合法有效 的,并轉(zhuǎn)發(fā)后續(xù)用戶端與服務(wù)器端的連接數(shù)據(jù)����。在上述過程中,如果用戶端無第三次握手的TCP連接確認(rèn)報文ACK,即 未收到用戶端返回的TCP連接確認(rèn)�,則認(rèn)為是非法無效的TCP連接請求SYN報文,并將無效的TCP連接請求SYN報文對應(yīng)的無效節(jié)點信息更新至無效節(jié) 點信息隊列中�,并拋棄該TCP連接請求SYN報文。在上述處理過程中���,檢測TCP連接請求SYN報文對應(yīng)的用戶節(jié)點信息是 否為無效節(jié)點信息的方法可以為通過比對發(fā)出TCP連接請求SYN報文對應(yīng) 的用戶端的IP地址是否出現(xiàn)在無效節(jié)點信息的記錄隊列中�����,若是��,則認(rèn)為是 無效節(jié)點信息�����,并丟棄該TCP連接請求S丫N報文�����,否則�����,認(rèn)為該TCP連接請 求S YN報文是待確認(rèn)的連接請求���。其中,所述的用戶節(jié)點信息可以包括用戶端IP地址及用戶端端口信 息�;即在所述無效節(jié)點信息的記錄隊列中記錄著無效節(jié)點對應(yīng)的用戶端IP地 址及用戶端端口信息,且該無效節(jié)點信息可以為預(yù)先設(shè)置����,也可以為根據(jù)網(wǎng) 絡(luò)中針對TCP連接請求的有效性判斷結(jié)果生成或更新該無效節(jié)點信息。為了對本發(fā)明實施例的防DDos攻擊方法有進(jìn)一步了解�,下面結(jié)合圖1和 圖2,來說明本發(fā)明實施例防DDos攻擊的方法流程,具體步驟如下步驟21:接收用戶端發(fā)送的TCP連接請求SYN報文����;步驟22:檢測上述TCP連接請求SYN報文對應(yīng)的用戶節(jié)點信息是否為已 記錄的無效節(jié)點信息中,如果檢測出是已記錄的無效節(jié)點�����,則認(rèn)為TCP連接 請求SYN報文是無效的,并執(zhí)行步驟30;否則�,可認(rèn)為該TCP連接請求SYN 報文是待確認(rèn)的連接請求,并執(zhí)行步驟23;上述檢測規(guī)則可設(shè)置為通過比對發(fā)出TCP連接請求SYN報文的用戶端 IP地址是否出現(xiàn)在無效節(jié)點信息隊列中����。步驟23:向用戶端發(fā)出TCP連接請求響應(yīng)報文SYN+ACK,然后�,執(zhí)行 步驟24;步驟24:檢測是否接收到用戶端發(fā)出的TCP連接確認(rèn)報文ACK。如果用 戶端發(fā)出TCP連接確認(rèn)報文ACK��,則認(rèn)為TCP接連請求SYN報文是有效的���, 并執(zhí)行步驟25���,否則該TCP連接請求SYN報文為無效的,并執(zhí)行步驟29;步驟25:向服務(wù)器端發(fā)出TCP連接請求SYN報文�,然后執(zhí)行步驟26; 步驟26: 服務(wù)器端發(fā)送TCP連接請求響應(yīng)報文SYN+ACK,并執(zhí)行步驟27;步驟27:將用戶端的TCP連接確認(rèn)報文ACK轉(zhuǎn)發(fā)至服務(wù)器端�����,然后執(zhí)行 步驟28;步驟28:轉(zhuǎn)發(fā)后續(xù)的用戶端與服務(wù)器端的TCP請求和數(shù)據(jù)報文�����; 步驟29: 更新無效節(jié)點信息隊列,將新的無效節(jié)點信息添加至無效節(jié)點 信息隊列中�����,然后執(zhí)行步驟30;步驟30:丟棄無效節(jié)點TCP連接請求SYN報文����;由上述技術(shù)方案可知,在本發(fā)明實施例中被保護(hù)網(wǎng)絡(luò)設(shè)備(即服務(wù)器) 接收TCP連接請求SYN報文之前����,需完成TCP連接請求SYN報文有效性的驗 證�,并且僅將合法有效的TCP連接請求S丫N報文轉(zhuǎn)發(fā)給服務(wù)器端,將占用系 統(tǒng)資源的攻擊性TCP第一次握手請求報文拋棄���,使服務(wù)器不會承擔(dān)任何由于 TCP半連接造成系統(tǒng)資源耗盡的風(fēng)險��,從而實現(xiàn)了針對DDos對網(wǎng)絡(luò)設(shè)備攻擊 的方便���、有效的安全防御,避免了因不能響應(yīng)新來服務(wù)或因當(dāng)機(jī)給用戶造成 的影響�,并且技術(shù)方案操作筒單��,便于扶術(shù)的推廣應(yīng)用����。由于上述所有的方法實施例都可以通過裝置來實現(xiàn)����,所以,本發(fā)明還提 供了幾個裝置實施例�����。下面再介紹本發(fā)明實施例的設(shè)備組網(wǎng)系統(tǒng)示意圖����,系統(tǒng)組成如圖3所 示,圖中系統(tǒng)包括用戶端�、服務(wù)器端以及防御層,其中�����,防御層設(shè)置于在用戶端和服務(wù)器端之間��,從而驗證從用戶端發(fā)往服務(wù)器 端的TCP連接請求S丫N報文的有效性,并僅將合法有效的TCP連接請求SYN 報文轉(zhuǎn)發(fā)給服務(wù)器端�����。上述防御層可以是單獨的一個設(shè)備�����,也可以為設(shè)置在用戶端�,或服務(wù)器 端中的裝置,為了便于安裝以及盡可能少的改造現(xiàn)有網(wǎng)絡(luò)設(shè)備��,在本發(fā)明實施例中���,將防御層設(shè)置為一獨立設(shè)備�,稱為防御設(shè)備���。然而,作為本發(fā)明所 屬技術(shù)領(lǐng)域的技術(shù)人員來說��,可以根據(jù)本發(fā)明實施例提供的技術(shù)方案將防御 層設(shè)置在用戶端或者服務(wù)器端中�。用戶端,可為連接在網(wǎng)絡(luò)中計算機(jī)����,可發(fā)送TCP連接請求SYN報文����,并 接收來自防御設(shè)備和服務(wù)器端的TCP連接請求響應(yīng)����;服務(wù)器端,也就是被保護(hù)設(shè)備���,可接收防御設(shè)備轉(zhuǎn)發(fā)的TCP連接請求 SYN報文�,并發(fā)送TCP連接請求報文響應(yīng)SYN+ACK給防御層�;在本發(fā)明實施例中,可在防止DDos攻擊設(shè)備中可設(shè)置兩塊網(wǎng)卡����,分別為 第一網(wǎng)卡和第二網(wǎng)卡2,將第一網(wǎng)卡與用戶端(即internet公網(wǎng)端)連接��,負(fù) 責(zé)與TCP連接請求SYN報文發(fā)送端之間的雙向通信�����;將第二網(wǎng)卡與服務(wù)器端 (即被保護(hù)設(shè)備)連接�,負(fù)責(zé)與服務(wù)器之間的雙向通信。上述防御設(shè)備中可包括,接收模塊���,處理模塊以及發(fā)送模塊�,如圖4所 示�����,為本發(fā)明實施例一種防止DDos攻擊的設(shè)備結(jié)構(gòu)示意圖��,具體結(jié)構(gòu)如下 (1 )接收模塊���,用于接收來自用戶端的TCP連接請求S丫N報文���;(2) 處理模塊,用于判斷接收模塊接收的TCP連接請求SYN報文是否 有效����,若有效,則發(fā)出通知���,否則,丟棄所述接收模塊接收的TCP連接請求 S丫N報文����;上述處理模塊具體可以包括確認(rèn)報文接收模塊�,用于在發(fā)送TCP連接請求響應(yīng)報文后等待接收TCP 連接請求確認(rèn)報文�����;判斷處理模塊�����,用于判斷確認(rèn)報文接收模塊是否接收到TCP連接請求確 認(rèn)報文�����,若收到��,則發(fā)出通知�,否則,丟棄接收模塊接收的TCP連接請求 SYN報文�。(3) 發(fā)送模塊,用于根據(jù)所述處理模塊發(fā)出的通知��,向服務(wù)器端轉(zhuǎn)發(fā) 接收模塊接收的TCP連接請求SYN報文��。'可選的�,在上述防-鄉(xiāng)設(shè)備中�,還可以包括存儲模塊�����,用于預(yù)先設(shè)置無效節(jié)點信息�,其中,所述的無效節(jié)點信息可 以包括網(wǎng)絡(luò)中非法用戶的IP地址��,以及端口信息�����,或者���,也可以為其他節(jié) 點識別信息��;無效節(jié)點識別處理模塊�,用于根據(jù)存儲模塊中存儲的無效節(jié)點信息�,識 別接收模塊接收到的TCP連接請求SYN報文是否來自于無效節(jié)點,若是���,則 丟棄該報文����,否則��,通知處理模塊�。可選的�,在上述防御設(shè)備中,還可以包括無效節(jié)點信息更新模塊�,用于 在無效節(jié)點識別處理模塊識別收到的報文來自于無效節(jié)點后,將該無效節(jié)點 添加到存儲模塊中�����。在本發(fā)明實施例中�����,防御設(shè)備中的接收模塊通過第一網(wǎng)卡實現(xiàn)�,該第一 網(wǎng)卡具體可以負(fù)責(zé)與TCP連接請求SYN報文發(fā)送端之間的雙向通信;所述的 發(fā)送模塊通過第二網(wǎng)卡實現(xiàn)�,該第二網(wǎng)卡具體可以負(fù)責(zé)與服務(wù)器之間的雙向 通信。在本發(fā)明實施例中���,當(dāng)用戶端向服務(wù)器端發(fā)送TCP連接請求SYN報文 時��,通過檢測模塊來檢測上述TCP連接請求SYN報文對應(yīng)的用戶請求節(jié)點信 息是否為存儲模塊中存儲的無效節(jié)點信息�,如果是無效信息,則直接拋棄 TCP連接請求S丫N報文����;如果是無記錄的新TCP連接,則防御設(shè)備向用戶端 發(fā)送TCP連接請求響應(yīng)報文SYN + ACK����,然后通過處理模塊檢測防御設(shè)備是 否接收到TCP連接確認(rèn)報文ACK,如果防御設(shè)備接收到,則認(rèn)為是合法有效 的TCP連接���,將轉(zhuǎn)發(fā)后續(xù)用戶端與服務(wù)器端的連接數(shù)據(jù)�����;否則認(rèn)為是非法無 效的TCP連接請求�,并將上述TCP連接請求報文SYN對應(yīng)的用戶節(jié)點信息更 新至無效節(jié)點信息隊列�,并拋棄此報文。由上述技術(shù)方案可知��,將防御設(shè)備設(shè)置在被保護(hù)服務(wù)器的網(wǎng)絡(luò)中���,通過 該防御設(shè)備對向用戶端發(fā)送的TCP連接請求SYN才艮文進(jìn)行驗證�,僅將合法有效的TCP連接請求SYN報文轉(zhuǎn)發(fā)給服務(wù)器端��,從而可以有效的降低DDos攻擊 服務(wù)器的風(fēng)險,避免了因惡意攻而占用服務(wù)器大量的資源����,使服務(wù)器不會承 擔(dān)任何由于TCP半連接造成資源耗盡的風(fēng)險�,提高了網(wǎng)絡(luò)的安全性能。以上所述����,僅為本發(fā)明較佳的具體實施方式
,但本發(fā)明的保護(hù)范圍并不 局限于此���,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)�����,可 輕易想到的變化或替換�,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)�����。因此��,本發(fā)明 的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)��。
權(quán)利要求
1. 一種防止DDos攻擊的方法,其特征在于�,所述方法包括接收TCP連接請求SYN報文;檢測所述TCP連接請求SYN報文是否有效�����,若是�����,將所述TCP連接請求SYN報文轉(zhuǎn)發(fā)給服務(wù)器端���,否則����,丟棄所述TCP連接請求SYN報文����。
2、 根據(jù)權(quán)利要求1所述的防止DDos攻擊的方法�����,其特征在于,所述檢 測所述TCP連接請求SYN報文是否有效的方法為在向所述用戶端發(fā)送TCP連接請求響應(yīng)報文之后�����,檢測是否接收到所述 用戶端發(fā)送的TCP連接確認(rèn)報文ACK,若收到����,則確認(rèn)所述TCP連接請求 SYN報文有效,否則����,確認(rèn)所述TCP連接請求SYN報文無效�。
3、 根據(jù)權(quán)利要求2所述的防止DDos攻擊的方法�����,其特征在于���,還包括 設(shè)置無效節(jié)點信息的步驟���,且所述向所述用戶端發(fā)送TCP連接請求響應(yīng)報文 的步驟包括檢測所述TCP連接請求SYN報文是否為所述無效節(jié)點信息,若是��,則丟 棄所述TCP連接請求S丫N報文,否則�����,向所述用戶端發(fā)送TCP連接請求響應(yīng) 報文�����。
4��、 根據(jù)權(quán)利要求3所述的防止DDos攻擊的方法��,其特征在于���,若檢測 所述TCP連接請求SYN報文為所述無效節(jié)點信息���,所述方法進(jìn)一步包括將所述TCP連接請求SYN報文對應(yīng)的用戶節(jié)點信息更新至所述無效節(jié)點信息中。
5���、 根據(jù)權(quán)利要求3或4所述的防止DDos攻擊的方法�����,其特征在于��,所述 無效節(jié)點信息包括用戶端IP地址及端口信息���。
6����、 一種防止DDos攻擊的設(shè)備����,其特征在于,包括 接收模塊��,用于接收TCP連接請求SYN報文���;處理模塊,用于判斷所述接收模塊接收的所述TCP連接請求SYN報文是 否有效���,若有效��,則發(fā)出通知����,否則����,丟棄所述接收模塊接收的TCP連接請 求SYN報文��;發(fā)送模塊����,用于根據(jù)所述處理模塊發(fā)出的通知�,向所述服務(wù)器端轉(zhuǎn)發(fā)所 述接收模塊接收的所述TCP連接請求SYN報文。
7�����、根據(jù)權(quán)利要求6所述的防止DDos攻擊的設(shè)備����,其特征在于,所述設(shè) 備還包括存儲模塊�,用于預(yù)先設(shè)置無效節(jié)點信息;無效節(jié)點識別處理模塊��,用于根據(jù)所述存儲模塊中存儲的無效節(jié)點信 息��,識別所述接收模塊接收到的TCP連接請求SYN報文是否來自于無效節(jié) 點�����,若是,則丟棄所述TCP連接請求SYN報文�����,否則���,通知所述處理模塊丟 棄所述接收模塊接收的TCP連接請求SYN報文�。
8����、 根據(jù)權(quán)利要求7所述的防止DDos攻擊的設(shè)備,其特征在于�����,所述設(shè) 備還包括無效節(jié)點信息更新模塊��,用于在所述無效節(jié)點識別處理模塊識別收 到的所述TCP連接請求SYN報文來自于所述無效節(jié)點后�,將所述無效節(jié)點對 應(yīng)的無效節(jié)點信息添加到所述存儲模塊中��。
9���、 根據(jù)權(quán)利要求6���、 7或8所述的防止DDos攻擊的設(shè)備���,其特征在于, 所述的處理模塊具體包括確認(rèn)報文接收模塊�,用于在發(fā)送所述TCP連接請求響應(yīng)報文后等待接收 所述TCP連接請求確認(rèn)報文;判斷處理模塊�,用于判斷所述確認(rèn)報文接收模塊是否接收到所述TCP連 接請求確認(rèn)報文,若收到���,則發(fā)出通知����,否則����,丟棄所述接收模塊接收的 TCP連接請求SYN報文。
10�、 根據(jù)權(quán)利要求6、 7或8所述的防止DDos攻擊的設(shè)備���,其特征在于��, 所述的接收模塊通過第一網(wǎng)卡實現(xiàn)���,且所述第一網(wǎng)卡負(fù)責(zé)與TCP連接請求 SYN報文發(fā)送端之間的雙向通信���;所述的發(fā)送模塊通過第二網(wǎng)卡實現(xiàn),且所 述第二網(wǎng)卡負(fù)責(zé)與所述服務(wù)器端之間的雙向通信�。
全文摘要
本發(fā)明提供了一種防止DDos攻擊的方法及設(shè)備,屬于數(shù)字信息的傳輸技術(shù)領(lǐng)域���,該方法包括被保護(hù)網(wǎng)絡(luò)設(shè)備(即服務(wù)器)接收TCP連接請求SYN報文之前����,需完成對TCP連接請求SYN報文有效性的驗證����,并且僅將合法有效的TCP連接請求SYN報文轉(zhuǎn)發(fā)給服務(wù)器端,將占用系統(tǒng)資源的攻擊性TCP連接請求SYN報文拋棄����,使服務(wù)器不會承擔(dān)任何由于TCP半連接造成系統(tǒng)資源耗盡的風(fēng)險,從而實現(xiàn)了針對DDos對網(wǎng)絡(luò)設(shè)備攻擊的方便����、有效的安全防御���,避免了因不能響應(yīng)新服務(wù)或因宕機(jī)而給用戶造成的影響�,并且由于操作簡單,便于技術(shù)的推廣應(yīng)用���。
文檔編號H04L12/56GK101247261SQ20071011923
公開日2008年8月20日 申請日期2007年7月18日 優(yōu)先權(quán)日2007年7月18日
發(fā)明者唐文亮 申請人:北京高信達(dá)網(wǎng)絡(luò)科技有限公司