[发明专利]异常TCP报文处理方法及装置

说明书

技术领域

本发明涉及互联网技术领域，特别涉及一种异常TCP报文处理方法及装置。

背景技术

现今利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击越来越多，用户需要对这些恶意攻击采取必要的防范措施。但是，现有的防御方案主要防止SYN Flood攻击、异常标志位组合攻击以及空标志位攻击等等。

其中，SYN Flood攻击是当前最流行的DoS（Denial of Service，拒绝服务攻击）与DdoS（Distributed Denial of Service，分布式拒绝服务攻击）的方式之一。SYN Flood是一种利用TCP协议缺陷，发送大量伪造的TCP（Transmission Control Protocol，传输控制协议）连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。对这种攻击方式的防御主要采取设置SYN Cookie、TCP反向探测以及TCP代理等方式进行检测和过滤。

异常标志位组合攻击时在异常集合中的标志位组合为恶意行为的攻击。对这种攻击方式的防御主要采取报文解析和协议分析结合，通过制定相关策略，过滤非法的TCP Flag组合（如SYN/FIN）以及NULL包的攻击。

但是上述防御方式存在以下缺点：未对特定标志位的TCP异常包进行检测，可能会造成由于目标操作系统对异常包处理不恰当进而系统崩溃。某些特殊的TCP标志位对于payload的长度有一般化的要求，如FIN包的payload一般为0。不同操作系统对于非常规的TCP标志位有不同的处理，如果攻击者针对某种操作系统大量发送长度过长的特殊TCP报文，轻则占用带宽和系统资源，造成拒绝服务攻击，重则造成协议栈内存溢出系统崩溃。因此这种攻击应当得到重视。

发明内容

本发明的目的旨在至少解决上述的技术缺陷之一。

为此，本发明的第一个目的在于提供一种异常TCP报文处理方法，该方法可以对异常长短TCP报文攻击进行有效地检测和过滤。本发明的第二个目的在于提供一种TCP报文处理装置。

为实现上述目的，本发明第一方面的实施例提供一种异常TCP报文处理方法，包括如下步骤：

检测TCP报文的标志位是否匹配；

如果所述标志位匹配，则获取所述标志位的包长度，并将所述包长度与预设长度门限进行比较；

根据长度比较结果和预设的数据丢弃条件，判断所述TCP报文是否异常；以及

如果异常，则丢弃所述TCP报文，否则转发所述TCP报文。

根据本发明实施例的异常TCP报文处理方法，可以实现对异常长度的TCP报文的检测和过滤功能，保护目标操作系统免受对这类非常规TCP报文处理不当引起的崩溃危险。在现有攻击检测防护设备的基础上，可以有效补充对异常长度TCP报文攻击的检测和过滤，使服务器更加安全和有效的工作。

在本发明的一个实施例中，利用Netfilter架构中的钩子函数对所述TCP报文的标志位进行匹配。

在本发明的一个实施例中，当所述包长度大于所述预设长度门限时，进一步判断所述预设的数据丢弃条件，如果所述预设的数据丢弃条件为所述包长度大于所述预设长度门限，则丢弃所述TCP报文，否则转发所述TCP报文。

在本发明的一个实施例中，当所述包长度小于或等于所述预设长度门限时，进一步判断所述预设的数据丢弃条件，如果所述预设的数据丢弃条件为所述包长度小于或等于所述预设长度门限，则丢弃所述TCP报文，否则转发所述TCP报文。

在本发明的一个实施例中，如果检测到的所述TCP报文的标志位不匹配，则转发所述TCP报文。

本发明第二方面的实施例提供一种异常TCP报文处理装置，包括：检测模块，用于检测TCP报文标志位是否匹配；比较模块，用于在所述标志位匹配时获取所述标志位的包长度，并将所述包长度与预设长度门限进行比较；异常判断模块，用于根据所述比较模块的长度比较结果和预设的数据丢弃条件，判断所述TCP报文是否异常；报文处理模块，用于在所述异常判断模块判断所述TCP报文异常时，丢弃所述TCP报文，否则转发所述TCP报文。

根据本发明实施例的异常TCP报文处理装置，可以实现对异常长度的TCP报文的检测和过滤功能，保护目标操作系统免受对这类非常规TCP报文处理不当引起的崩溃危险。在现有攻击检测防护设备的基础上，可以有效补充对异常长度TCP报文攻击的检测和过滤，使服务器更加安全和有效的工作。