[发明专利]防范泛洪攻击的方法、装置、负载均衡设备和存储介质

说明书

本发明实施例提供了一种防范泛洪攻击的方法、装置、负载均衡设备和存储介质。其中，该防范泛洪攻击的方法应用于工作在直接路由模式下的负载均衡设备。该防范泛洪攻击的方法包括：接收客户端向服务器发送的第一同步报文，并基于第一同步报文生成第一同步认证信息值；向客户端发送包括第一同步认证信息值的同步确认报文；接收客户端发送的确认报文，从确认报文中提取第二同步认证信息值；其中，第二同步认证信息值由客户端基于第一同步认证信息值生成；将第二与第一同步认证信息值进行匹配；如果匹配失败，则停止向服务器发送第二同步报文。由此，本发明实施例解决了如何使工作在直接路由模式下的负载均衡设备防范泛洪攻击的技术问题。

技术领域

本发明涉及网络安全技术领域，特别是涉及一种防范泛洪攻击的方法、装置、负载均衡设备和存储介质。

背景技术

目前，随着网络应用越来越广泛，访问量和数据流量日益增多，相应地，要求服务器的处理能力和计算强度也越来越高，使得单一的服务器设备无法承担相应的网络需求。所以，云计算通常采用部署集群的方式来分担业务处理的负载，同时为了提高各个业务服务器的利用率，不使其过载使用，并且最大程度地发挥各业务服务器的各个业务处理能力，例如，可以通过工作在传输层的负载均衡设备的数据转发功能，来实现业务负载在多个业务服务器上均衡分配。

具体的，在负载均衡设备实现数据转发之前，负载均衡设备需要分别与客户端和各个业务服务器建立TCP(Transmission Control Protocol，传输控制协议)连接。其中，TCP连接的建立需要三次握手过程。以在负载均衡设备与客户端之间建立TCP连接为例，三次握手过程为：第一次握手过程是客户端向负载均衡设备发送同步报文；第二次握手过程是负载均衡设备收到该同步报文后，向客户端返回同步确认报文；第三次握手过程是客户端接收到同步确认报文后，向负载均衡设备返回确认报文。其中，在第二次握手过程中，TCP协议规定：如果业务服务器作为发送同步确认报文的一方没有接收到来自客户端的确认报文，则要一直处于等待接收确认报文的状态，并将客户端的IP(互联网协议)地址加入等待队列，且向客户端重发同步确认报文，之后，业务服务器还为TCP连接的建立预分配存储空间。

在实际应用中，网络攻击者会利用上述TCP协议的规定，向负载均衡设备实施SYNFlood攻击(泛洪攻击)。举例来说，网络攻击者会伪装成客户端，使用虚假的IP(InternetProtocol，互联网协议)地址，向负载均衡设备发送大量伪造的同步报文，该负载均衡设备将伪造的同步报文转发至业务服务器，业务服务器接收到伪造的同步报文后，再向负载均衡设备反馈同步确认报文，然后，负载均衡设备再将该同步确认报文发送至伪装的客户端。

此时，该伪装的客户端不再向负载均衡设备反馈确认报文，从而也就使得负载均衡设备不再向业务服务器发送确认报文，致使业务服务器始终处于等待接收确认报文的状态并始终保留预分配的存储空间。由于网络攻击者伪造了大量的伪造同步报文，所以，这会使得业务服务器所维护的等待接收确认报文的状态数量超过极限值，由此使得业务服务器拒绝新的TCP连接的建立请求，从而导致真实的客户端无法访问业务服务器。

上述负载均衡设备可以工作于直接路由模式、反向代理模式和透传模式。目前，针对工作在反向代理模式和透传模式下的负载均衡设备存在防范泛洪攻击的措施，但针对工作在DR模式(direct routing，直接路由模式)下的负载均衡设备受到泛洪攻击时，没有相应的防范措施。

发明内容

本发明实施例的目的在于提供一种防范泛洪攻击的方法、装置、负载均衡设备和存储介质，以实现工作在直接路由模式下的负载均衡设备能够防范泛洪攻击。

为了实现上述目的，第一方面，提供了以下技术方案：

一种防范泛洪攻击的方法，应用于工作在直接路由模式下的负载均衡设备；

所述方法包括：