[发明专利]一种同步泛洪攻击的过滤方法及系统

说明书

技术领域

本发明涉及网络安全监控领域，具体涉及一种同步泛洪攻击的过滤方法及系统。 

背景技术

近年来，DDoS(分布式拒绝服务)攻击的频繁发生给重要信息系统以及运营网络的安全带来的严重影响，因此得到了社会各界的广泛关注。在DDoS攻击中，Syn Flood(同步泛洪)攻击是最为常见的一种攻击方式，它主要利用TCP(传输控制协议)协议栈为保存半连接状态而消耗内存这一设计上的漏洞来达到攻击的目的，攻击者往往通过向攻击目标发送大量TCP连接请求的方法，消耗系统内存以实现对目标系统的拒绝服务攻击。目前，针对Syn F1ood攻击的过滤、防御方法研究主要包括基于Syn Proxy(同步代理)、基于History-IP(历史网络协议)、基于Hop-Count(跳数)、以及基于标签等4类方法。 

一种为基于Syn Proxy(包括Syn Cookie)的方法。主要利用代替服务器进行TCP连接三次握手的方法来过滤攻击报文。该类方法的缺点是代替服务器进行三次握手需要消耗一定的系统资源，当攻击流量过大时，过滤系统自身容易崩溃。 

另一种为基于History-IP(包括黑、白名单)的方法。该类方法维护一个常见用户数据库或者列表，在攻击发生时，允许源地址在表中的数据包通过。该类方法的缺点是如果攻击地址采取了合法的IP地址，则过滤系统完全丧失了对目标系统的保护能力，而且合法用户的源地址如果不在常见用户表中，也会被阻止访问服务器，并且此方法需要一段时间的学习才能建立用户数据库或列表。 

另一种为基于Hop-Count的方法。该类方法维护一个常见用户的跳数数据库，在攻击发生时，检查数据包的跳数是否与数据库中相应记录的跳数相同，如果相同，则允许通过。该类方法的缺点是当合法用户的路由改变时，合法用户也会被禁止进入系统，并且该类方法需要一段时间的学习来建立跳数数据库。

另一种基于标签的方法。该类方法主要通过在边界路由器上对流出子网的Syn数据包加注基于源子网编号的标签的方法来辨别Syn包的真伪，从而过滤伪造源地址的Syn Flood攻击。该类方法的缺点是不能过滤真实源地址的SynFlood攻击，同时如果采取伪造子网源地址的攻击方式，该类方法也会丧失防御能力。 

发明内容

为了解决上述的技术问题，提供了一种同步泛洪攻击的过滤方法及系统，能够有效缓解、过滤和防御针对网络信息系统的大规模Syn Flood攻击。 

本发明公开了一种同步泛洪攻击的过滤方法，包括： 

步骤1，配置高低权重队列转发数据包的比例； 

步骤2，接收数据包，确定当前状态，判断所述当前状态是否为正常状态，如果是，则所述数据包进入高权重队列，否则，执行步骤3； 

步骤3，根据所述数据包的类型，用于记录连接的连接状态表和用于记录合法IP地址的合法地址表，判断所述数据包是否合法，如果是，则所述数据包进入所述高权重队列，否则，所述数据包进入低权重队列；并更新所述连接状态表和所述合法地址表； 

步骤4，在当前状态为正常状态时，转发所述高权重队列中数据包，在当前状态为攻击状态时，按所述高低权重队列转发数据包的比列转发所述低权重队列和所述高权重队列中的数据包。 

所述步骤1还包括，配置检测时隙，初始化计时器为0，初始化用于记录当前状态的当前状态变量为正常； 

所述步骤2中确定当前状态进一步为： 

步骤21，接收数据包后，判断所述计时器的值是否小于所述检测时隙，如果是，则确定当前状态为所述当前状态变量中记录的状态，否则，将所述计时器置为0，执行步骤22； 

所述步骤22，判断是否发生攻击，如果是，则更新所述当前状态变量为 攻击状态，确定所述当前状态为攻击状态，否则，更新所述当前状态变量为正常状态，确定所述当前状态为正常状态。 

所述步骤2还包括，在执行完步骤22，确定所述当前状态为正常状态时，将所述连接状态表和所述合法地址表清空。 

所述步骤1还包括配置同步数据包阈值； 

所述步骤22中判断是否发生攻击进一步为： 

步骤41，判断在所述计时器的计时时间内统计的同步包数量除以所述计时器的值所得值是否大于等于所述同步数据包阈值，如果是，则判定发生攻击，否则，判定为正常。 

所述步骤3进一步为， 

步骤51，在所述数据包为同步包时，确定所述数据包不合法，所述数据包进入低权重队列，并更新所述连接状态表；