[发明专利]网络攻击的处理方法和装置

说明书

技术领域

本发明涉及计算机应用技术领域，具体而言，涉及一种网络攻击的处理方法和装 置。

背景技术

随着互联网的发展，在互联网方便民众生活的同时，网络攻击和网络安全成为了 互联网时代的一个典型特点，其中，洪泛DOSFlood攻击是拒绝服务攻击中的一种， 攻击原理简单，成本低，危害大，难于防范，可以短时间对网络的安全带来严重的破 坏。常见的DOSFlood攻击有握手信号洪泛攻击(SynchronousFlood，简称SYNFlood)， 复位连接洪泛攻击(RestTheconectionFlood，简称RSTFlood)，关闭连接洪泛攻击 (FinishFlood，简称FINFlood)，确认信号洪泛攻击ACKFlood，用户数据包协议洪 泛攻击(UserDertagramProtocol，简称UDPFlood)，控制报文协议洪泛攻击(Internet ControlMessageProtocol，简称ICMPFlood)。

攻击者首先攻破大量电脑，移动终端等设备作为攻击者的“肉鸡”，通过大量“肉 鸡”发起Flood攻击，使攻击流量和正常流量混杂在一起，也可以通过伪造源IP地址 发起Flood攻击，耗尽目标系统的资源，造成目标系统的瘫痪而无法正常响应服务。 由于Flood攻击流量大特征不明显，和正常流量混杂在一起,很难检测到攻击，即使能 够检测到，也很难做到阻断异常流的情况下对正常流量没有影响。因此当下对于Flood 攻击的检测及缓解主要存在以下问题：1，在不同网络环境下，无法在没有人为干预的 情况下、快速准确的检测到攻击。2，在检测到攻击后，无法精确定位到异常流量，也 无法准确的缓解攻击。3，对于伪造IP地址的Flood攻击即使检测出来，也很难做到 缓解攻击的同时对被伪造IP的真实正常流量“误伤”小。

相关技术在解决上述洪泛攻击的过程中主要有以下方案：

方案一，目前大多数的网络安全设备或防攻击软件都是通过对被保护系统设定资 源访问的门限值，超出门限值则认为有异常，例如SYNFlood攻击的检测办法就是设 置1分钟内访问被保护系统的SYN包个数不能超过5000个。即，设置被保护系统单 位时间内SYN包的上限，当单位时间内访问被保护系统的SYN包个数超过门限值后， 认为已经发生SYNFlood攻击，并通过概率的丢弃SYN包，来缓解攻击。但是无规则 的丢弃SYN包，会造成严重的“误伤”，阻断异常流量的同时正常流量同样被阻断，这 样所有访问者都会发生随机的TCP连接请求失败的情况，方案一的缓解的方法是不可 以接受的。基于此方法，为了提高缓解的精度，有的安全厂商不惜牺牲巨大的内存资 源，来做基于源IP的统计，即统计单位时间内每个源IP访问被保护资源的SYN包个 数，虽然检测到攻击后可以基于源IP来丢弃SYN包，缓解范围较上面的方法准确了 些，但无法区分源IP的攻击流量和正常流量，这样对于正常流量依然会“误伤”，同时 检测本身消耗巨大的内存资源和系统性能。

方案一的缺陷在于检测方法单一，不适应不同网络环境，也无法解决不同周期内 门限值不同的情况，更无法对检测出来的攻击做智能的“清洗”，而是简单的根据源IP 地址丢弃包，结果是异常流量和正常流量都被阻断，这种缓解的方法本身也是拒绝服 务。

方案二，当下针对SYNFlood攻击最常见的防范手段是开启SYNCookie功能。 它的原理是在TCP服务器端收到SYN包时，并不及时为其分配资源，而是根据这个 SYN包计算出一个Cookie值，通过验证ACK包的确认号来判断ACK的合法性。如 果合法，则容许此TCP连接建立，否则丢弃SYN包请求。即，SYNCookies是根据 时间戳、MSS(MaximumSegmentSize)、IP地址以及端口号等信息依照一定规则编码 生成初始序号，作为服务器响应的SYN+ACK包的序号，根据TCP规范，当客户端 发回TCPACK包给服务器以响应服务器的SYN+ACK包时，客户端必须使用由服 务器发送的初始序号加1作为数据包中的确认号。服务器接着从确认号中减去1，以 便还原向客户端发送的原始SYNCookie。