[发明专利]一种防御攻击的方法和设备

说明书

技术领域

本发明涉及通信领域，尤其涉及一种防御攻击的方法和设备。

背景技术

近年来，针对安全套接层(Secure Sockets Layer，SSL)的拒绝服务(Denial of Service，DoS)攻击越来越多，由于在SSL协议中，SSL的握手协议对于服务器来说计算量很大，服务器要进行私钥解密操作，其计算复杂度通常可以达到客户端的计算复杂度的指数倍。因此，SSL DoS攻击正是利用SSL协议的特点，通过一台普通电脑与数字用户线路(Digital Subscriber Line，DSL)连接，通过在短时间内频繁对加密密钥进行重新请求来消耗SSL服务器的CPU资源，对SSL服务器发起攻击。

具体而言，客户端可以不断的向服务器发起密钥协商请求ClientHello消息，在客户端向服务器发起的ClientHello消息中包含了会话标识(Session Identity，SessionID)，其中，该SessionID是可以复用的，若服务器的本地SessionID表中存在客户端发送的ClientHello消息中的SessionID，则服务器就向客户端发送包括该SessionID的密钥协商响应SeverHello消息，而当服务器自身的SessionID列表中不存在客户端所发送的SessionID时，服务器会随机产生一个新的SessionID发送至客户端，这样，客户端和服务器双方会继续完成SSL密钥协商过程，这种情况下，当客户端可以不断的向服务器发起ClientHello消息，不断的与服务器进行SSL密钥协商时，就很容易使得服务器资源耗尽，从而导致服务器对正常的业务无法访问。目前还没有有效的方法可以对SSL DoS攻击行为进行防范。

发明内容

本发明的实施例提供一种防御攻击的方法和设备，能够有效地对SSL DoS攻击行为进行防范。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，本发明的实施例提供一种防御攻击的方法，包括：

在与客户端建立传输控制协议TCP连接后，接收所述客户端发送的密钥协商请求消息，所述密钥协商请求消息包括所述客户端的源IP地址、用户名和会话标识；

根据所述客户端的源IP地址和用户名判断是否存在所述客户端的会话监控表，所述会话监控表用于记录已进行密钥协商的客户端的源IP地址、用户名及会话标识信息；

若存在所述客户端的会话监控表，则判断所述客户端的会话监控表中是否存在所述会话标识；

若所述会话监控表中不存在所述会话标识，则在所述会话监控表中记录所述会话标识；

判断所述客户端的会话标识数是否大于第一预设值；

若所述客户端的会话标识数大于所述第一预设值，则断开所述TCP连接。

结合第一方面，在第一种可能实现的方式中，所述方法还包括：

获取单位时间内所述客户端的会话标识数的增量；

判断在所述单位时间内所述客户端的会话标识数的增量是否大于第二预设值；

若在所述单位时间内所述客户端的会话标识数的增量大于所述第二预设值，则断开所述TCP连接。

结合第一方面或第一方面的第一种可能实现的方式，在第二种可能实现的方式中，所述方法还包括：

若不存在所述客户端的会话监控表，则根据所述客户端的源IP地址、用户名和会话标识创建所述会话监控表，并在所述会话监控表中记录所述会话标识。

结合第一方面或第一方面的第一种可能实现的方式或第一方面的第二种可能实现的方式，在第三种可能实现的方式中，还包括：

若所述会话监控表中存在所述会话标识或所述客户端的会话标识数不大于所述第一预设值，则向所述客户端发送包括所述会话标识的密钥协商响应消息。

结合第一方面或第一方面的第一种可能实现的方式或第一方面的第二种可能实现的方式，在第四种可能实现的方式中，所述断开所述TCP连接之后，还包括：

在所述会话监控表中删除所述会话标识信息。

结合第一方面的第一种可能实现的方式，在第五种可能实现的方式中，还包括：

若在所述单位时间内所述客户端的会话标识数的增量大于所述第二预设值，将所述客户端加入黑名单。

第二方面，提供一种防御攻击设备，包括：

接收单元，用于在与客户端建立传输控制协议TCP连接后，接收所述客户端发送的密钥协商请求消息，所述密钥协商请求消息包括所述客户端的源IP地址、用户名和会话标识；