[发明专利]一种攻击防护方法、装置、设备及存储介质

说明书

本发明公开了一种攻击防护方法、装置、设备及存储介质，方法包括：在收到泛洪攻击报文时，基于泛洪攻击报文的目的地址和源地址判断是否需要创建丢包会话；若需要，则根据泛洪攻击报文的五元组创建丢包会话，在接收到匹配丢包会话的第二泛洪攻击报文时，丢弃第二泛洪攻击报文。通过为泛洪攻击报文创建丢包会话，使得后续收到泛洪攻击报文可以直接匹配丢包会话后丢弃，可以减少报文的无关处理流程，从而减少设备性能损耗，进而突破防火墙设备上使用泛洪攻击局限性。通过将泛洪攻击报文的目的地址和源地址这两项信息，作为创建丢包会话的条件，可以避免创建大量的丢包会话，而耗费太多的设备内存的同时，还可以达到精细化的防御目的，从而减少误判。

技术领域

本发明涉及攻击防御技术领域，具体涉及一种攻击防护方法、装置、设备及存储介质。

背景技术

随着网络技术发展，各种类型网络攻击接连不断，泛洪攻击尤为突出，泛洪攻击包括SYN(Synchronize Sequence Numbers，同步序列编号)泛洪攻击、ICMP(InternetControl Message Protocol，Internet控制报文协议)泛洪攻击、UDP(User DatagramProtocol，用户数据报协议)泛洪攻击等，其特点是在短时间内向目标服务器发送大量的虚假请求，导致目标服务器疲于应付无用信息，从而无法为合法用户提供正常服务，即发生拒绝服务。

在相关技术中，使用防火墙设备来对泛洪攻击进行防御，即当防火墙设备收到大量的泛洪攻击报文时，基于被攻击的目的服务器的IP地址进行攻击速率统计，若攻击速率大于阈值，则直接丢包并上报，或者触发客户端验证策略。然而，由于防火墙设备要处理大量泛洪攻击报文，导致设备的性能损耗比较大，因此对于泛洪攻击的防御在防火墙设备使用上存在局限性。

发明内容

本发明的目的是针对上述现有技术的不足提出的一种攻击防护方法、装置、设备及存储介质，该目的是通过以下技术方案实现的。

本发明的第一方面提出了一种攻击防护方法，所述方法包括：

在收到第一泛洪攻击报文时，基于所述第一泛洪攻击报文的目的地址和源地址判断是否需要创建丢包会话；

若需要，则根据所述第一泛洪攻击报文的五元组信息创建丢包会话；

接收第二泛洪攻击报文；

若所述第二泛洪攻击报文匹配到所述丢包会话，则丢弃所述第二泛洪攻击报文。

在本申请的一些实施例中，所述基于所述泛洪攻击报文的目的地址和源地址判断是否需要创建丢包会话，包括：

确定包含所述目的地址的泛洪攻击报文的第一接收速率；若所述第一接收速率大于第一阈值，则确定包含所述源地址的泛洪攻击报文的第二接收速率；若所述第二接收速率大于第二阈值，则确定需要创建丢包会话；若所述第一接收速率不大于第一阈值或所述第二接收速率不大于第二阈值，则确定不需要创建丢包会话。

在本申请的一些实施例中，在确定包含所述源地址的泛洪攻击报文的第二接收速率之前，所述方法还包括：

对发送所述第一泛洪攻击报文的客户端进行验证；若验证通过，则执行确定包含所述源地址的泛洪攻击报文的第二接收速率的步骤；若验证失败，则丢弃所述第一泛洪攻击报文。

在本申请的一些实施例中，在根据所述第一泛洪攻击报文的五元组创建丢包会话之后，所述方法还包括：

若存在硬件转发模块，则将所述丢包会话下发至所述硬件转发模块，以使所述硬件转发模块丢弃匹配到所述丢包会话的第二泛洪攻击报文。

在本申请的一些实施例中，在根据所述第一泛洪攻击报文的五元组信息创建丢包会话之后，包括：