[发明专利]防御半连接攻击的方法和半连接攻击防御平台

说明书

技术领域

本发明涉及计算机广域网领域，尤其涉及一种防御半连接攻击的方法和半连接攻击防御平台。

背景技术

随着互联网的高速发展，网络安全也显得尤为重要。现有技术中，传输控制协议(Transmission Control Protocol，TCP)同步洪水(SYN Flood)攻击作为最流行的拒绝服务(Denial of Service，DoS)和分布式拒绝服务(Distributed Denial of Service，DDoS)的攻击方式之一，主要利用TCP协议的缺陷向服务器发送大量伪造的TCP连接请求，使被攻击服务器的资源耗尽，即采用伪造的大量地址在短时间内向同一网络地址和端口请求建立TCP连接，目的是快速耗尽服务器的物力资源，使得正常的TCP连接因服务器缺少资源而无法建立。

正常的TCP连接过程如图1A所示。首先，进行第一次握手，客户端发送一个包含SYN标志的TCP报文，SYN即同步(Synchronize)，同步报文指明客户端使用的端口以及TCP连接的原始序号J；接着，进行第二次握手，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号J被加一，ACK即确认(Acknowledgement)。最后完成第三次握手，客户端返回一个确认报文ACK给服务器，同样TCP序列号K被加一，到此一个TCP连接完成。以上的连接过程在TCP协议中被称为三次握手(Three-way Handshake)。

TCP SYN Flood攻击的过程如图1B所示。客户端伪造大量网络地址向服务器发送包含SYN标志的TCP报文(第一次握手报文)，服务器在发出SYN+ACK应答报文后，作为攻击方的客户端并不做出任何应答，客户端并不发送ACK报文，因此，第三次握手无法完成。在这种情况下，服务器一般会重试(即再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。

在这种情况下，服务器为了维护一个非常大的半连接列表而消耗大量资源，服务器将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户端的正常请求，此时，从正常客户端的角度看，服务器失去响应。

因此，亟需一种能够防御TCP半连接攻击的方法。

发明内容

有鉴于此，本发明实施例提供一种防御半连接攻击的方法和半连接攻击防御平台，能够防御TCP半连接攻击。

本发明的一个方面提供一种防御半连接攻击的方法，该方法包括：接收客户端发送的传输控制协议连接请求，该传输控制协议连接请求包括客户端的IP地址；获取与客户端的IP地址相关的至少一个关键性能指标；以及将至少一个关键性能指标与至少一个关键性能指标对应的预设值进行比对，并基于比对结果对半连接攻击进行防御。

在本发明的一个实施例中，在接收客户端发送的传输控制协议连接请求之前，该方法还包括：域名解析服务器接收客户端发送的查询请求，查询请求用于请求查询目标站点的IP地址；域名解析服务器根据查询请求确定目标站点的域名；以及域名解析服务器向客户端发送域名解析调度系统的IP地址，域名解析调度系统用于对目标站点的域名进行解析。

在本发明的一个实施例中，在域名解析服务器向客户端发送域名解析调度系统的IP地址之后，该方法还包括：域名解析调度系统接收客户端发送的查询请求，查询请求用于请求查询目标站点的IP地址；域名解析调度系统根据至少一个带宽指标为客户端分配半连接攻击防御系统；以及域名解析调度系统向客户端发送半连接攻击防御系统的IP地址。

在本发明的一个实施例中，将至少一个关键性能指标与至少一个关键性能指标对应的预设值进行比对，并基于比对结果对半连接攻击进行防御，包括：将至少一个关键性能指标与至少一个关键性能指标对应的预设值进行比对，并基于比对结果确定至少一个关键性能指标是否满足至少一个关键性能指标对应的预设值；以及如果至少一个关键性能指标不满足至少一个关键性能指标对应的预设值，则断开客户端的IP地址的所有连接，并禁止客户端的IP地址在预设时间段内访问。

在本发明的一个实施例中，至少一个关键性能指标包括同一IP的总连接数、同一IP的活跃连接数和同一IP的平均连接时长中的至少一个。

本发明的另一个方面提供一种半连接攻击防御平台，该半连接攻击防御平台接收客户端发送的传输控制协议连接请求，该传输控制协议连接请求包括客户端的IP地址，获取与客户端的IP地址相关的至少一个关键性能指标；以及将至少一个关键性能指标与至少一个关键性能指标对应的预设值进行比对，并基于比对结果对半连接攻击进行防御。