[发明专利]防火墙设备、流控制传输协议SCTP报文的处理方法

说明书

涉及计算机通信技术领域，尤其涉及防火墙设备、流控制传输协议SCTP报文的处理方法，以解决SCTP建立请求洪水INIT flood攻击时连接资源被无效SCTP偶联占用的问题。防火墙设备，包括：接收模块，用于截获INIT报文；发送模块，用于透传INIT报文；处理模块，在接收模块截获INIT报文后，不申请连接资源；接收模块，还用于截获COOKIE ECHO报文；处理模块，还用于从COOKIE ECHO报文中获取验证SCTP报文所需的验证信息，并申请连接资源记录验证信息。由于在收到INIT报文后不申请资源，因此避免了面对SCTP INIT flood攻击的时候，连接资源被无效SCTP偶联占用的问题。

技术领域

本发明涉及计算机通信技术领域，尤其涉及一种防火墙设备、流控制传输协议(Stream Control Transmission Protocol，SCTP)报文的处理方法。

背景技术

传输控制协议(Transmission Control Protocol，TCP)是一种传输层协议，可用于在互联网协议(Internet Protocol，IP)网络中传输数据和信令。由于TCP 是面向连接的传输层协议，因此，IP网络中的两个网络节点之间建立了TCP 连接之后，才可以在这两个网络节点之间进行TCP报文的传输。

一个完整的TCP连接需要经过发送端和接收端之间三次握手才能完成，通常把完成三次握手之前的连接都称之为半连接。在TCP连接建立过程中，可能会受到同步(Synchronisation，SYN)洪水(Flood)攻击。恶意攻击者向一个网络节点发送大量SYN报文，发起TCP连接请求，但不会回复该网络节点发送的SYN+应答(Acknowledgement，ACK)报文。被攻击的网络节点需要维护一个庞大的半连接列表，消耗较多的中央处理器(CentralProcessing Unit，CPU)时间和内存资源，并且还要不断对这个半连接列表中记录的IP地址进行SYN+ACK报文的重试。该网络节点将忙于处理恶意攻击者伪造的TCP 连接请求，不会去处理正常的客户端的请求，此时从正常的客户端角度看来，服务器失去响应。

流控制传输协议(Stream Control Transmission Protocol，SCTP)也是一种传输层协议。在SCTP偶联(Association)建立的过程中，发起SCTP偶联的 SCTP端点发出偶联建立请求(INIT)报文，接收该INIT报文的SCTP端点不必保存任何状态信息或者分配任何资源，这样就可防范诸如上述SYN Flood等的服务拒绝(Denial of Service，DoS)攻击。

当发起SCTP偶联的SCTP端点和接收INIT报文的SCTP端点之间存在防火墙时，作为中间设备的防火墙，在收到INIT报文时需要申请连接资源以记录防火墙在验证后续SCTP报文时需要的验证信息。在面对SCTP INIT flood 攻击的时候，防火墙会申请大量的连接资源，导致防火墙的连接资源被大量无效的SCTP偶联占用，而影响IP网络的正常使用。

发明内容

本发明实施例提供一种防火墙设备、SCTP报文的处理方法，用以解决上述防火墙面对SCTP INIT flood攻击的时候，连接资源被大量无效的SCTP偶联占用，而影响IP网络的正常使用的问题。

第一方面，本发明实施例提供一种SCTP报文的处理方法。

该方法中，防火墙截获第一主机向第二主机发送的SCTP INIT报文后将截获的INIT报文透传给所述第二主机，且所述防火墙不针对所述SCTP偶联申请连接资源；当防火墙截获所述第一主机向所述第二主机发送的第一COOKIE ECHO报文后，从所述第一COOKIEECHO报文中获取用于验证所述SCTP偶联上传输的SCTP报文时所需的验证信息并申请所述连接资源，以记录从所述第一COOKIE ECHO报文中获取的验证信息。