CP SYN報(bào)文和異常TCP SYN報(bào) 文��,將正常TCP SYN報(bào)文從檢測(cè)隊(duì)列移送至上送隊(duì)列以執(zhí)行上送CPU處理��,并刪除檢測(cè)隊(duì)列 中的異常TCP SYN報(bào)文����。2. 根據(jù)權(quán)利要求1所述的方法,其特征在于��, 在接口上檢測(cè)到TCP SYN FLOOD攻擊之前����,進(jìn)一步包括:將在該接口接收到的TCP SYN 報(bào)文加入上送隊(duì)列以執(zhí)行上送CPU處理; 檢測(cè)是否在接口上發(fā)生TCP SYN FLOOD攻擊的方法為:如果上送隊(duì)列的上送速率超過(guò) 預(yù)設(shè)上送速率門限����,則確定該接口上發(fā)生了 TCP SYN FLOOD攻擊,否則����,確定該接口上未發(fā) 生 TCP SYN FLOOD 攻擊����。3. 根據(jù)權(quán)利要求2所述方法��,其特征在于���, 對(duì)加入檢測(cè)隊(duì)列的TCP SYN報(bào)文進(jìn)行識(shí)別�����,確定正常TCP SYN報(bào)文和異常TCP SYN報(bào) 文����,包括: 在第一預(yù)設(shè)時(shí)長(zhǎng)內(nèi)對(duì)檢測(cè)隊(duì)列中的TCP SYN報(bào)文進(jìn)行記錄��,包括:每一類型報(bào)文的數(shù) 量���、最近一次接收該類型報(bào)文的時(shí)間�、最近兩次接收該類型報(bào)文的時(shí)間差�����; 所述第一預(yù)設(shè)時(shí)長(zhǎng)結(jié)束時(shí)����,如果記錄的該類型報(bào)文的數(shù)量為1,則將該類型報(bào)文作為待 定報(bào)文在下一個(gè)第一預(yù)設(shè)時(shí)長(zhǎng)內(nèi)進(jìn)行記錄��;如果記錄的該類型報(bào)文的數(shù)量大于1�����、且不大 于預(yù)設(shè)的TCP SYN報(bào)文最大重傳次數(shù)����、且最近兩次接收該類型報(bào)文的時(shí)間差符合預(yù)設(shè)的TCP SYN報(bào)文重傳時(shí)間間隔,則確定該類型報(bào)文為正常TCP SYN報(bào)文�����;如果記錄的該類型報(bào)文的 數(shù)量大于預(yù)設(shè)的TCP SYN報(bào)文最大重傳次數(shù)���,或者記錄的該類型報(bào)文的數(shù)量大于1����、且不大 于預(yù)設(shè)的TCP SYN報(bào)文最大重傳次數(shù)��、且最近兩次接收該類型報(bào)文的時(shí)間差不符合預(yù)設(shè)的 TCP SYN報(bào)文重傳時(shí)間間隔�����,則確定該類型報(bào)文為異常TCP SYN報(bào)文; 其中���,具有相同源IP地址��、源端口��、目的IP地址�����、目的端口的TCP SYN報(bào)文屬于同一類 型報(bào)文�����。4. 根據(jù)權(quán)利要求3所述的方法��,其特征在于����, 所述確定該類型報(bào)文為正常TCP SYN報(bào)文后�,進(jìn)一步包括:在該接口下發(fā)第一 ACL,該 第一 ACL包括:該類型報(bào)文的源IP地址��、源端口、目的IP地址���、目的端口�����; 所述確定該類型報(bào)文為異常TCP SYN報(bào)文后,進(jìn)一步包括:在該接口下發(fā)第二ACL�����,該 第二ACL包括:該類型報(bào)文的源IP地址��、源端口���、目的IP地址�����、目的端口���; 在接口上檢測(cè)到TCP SYN FLOOD攻擊之后,進(jìn)一步包括:如果在該接口接收到的TCP SYN報(bào)文符合第一 ACL���,則將該TCP SYN報(bào)文加入上送隊(duì)列以執(zhí)行上送CPU處理��,如果在該 接口接收到的TCP SYN報(bào)文符合第二ACL�,則丟棄該TCP SYN報(bào)文,否則�����,將在該接口接收到 的TCP SYN報(bào)文加入檢測(cè)隊(duì)列�。5. 根據(jù)權(quán)利要求4所述的方法,其特征在于���, 在接口上檢測(cè)到TCP SYN FLOOD攻擊之后���,進(jìn)一步包括:計(jì)算該接口在每個(gè)第一預(yù)設(shè)時(shí) 長(zhǎng)內(nèi)接收TCP SYN報(bào)文的速率,如果該接口在連續(xù)N個(gè)第一預(yù)設(shè)時(shí)長(zhǎng)內(nèi)接收TCP SYN報(bào)文 的速率均小于所述預(yù)設(shè)最大上送速率門限�,則刪除所述第一 ACL和所述第二ACL,并將檢測(cè) 隊(duì)列中的所有TCP SYN報(bào)文移送至上送隊(duì)列以執(zhí)行上送CPU處理�;其中,N為一預(yù)設(shè)值����。6. -種用于TCP SYN FLOOD的防攻擊裝置,其特征在于,該裝置包括:檢測(cè)單元���、接收 單元�、處理單元����; 所述檢測(cè)單元,用于檢測(cè)是否在接口上發(fā)生了 TCP SYN FLOOD攻擊��; 所述接收單元�����,用于檢測(cè)單元在接口上檢測(cè)到TCP SYN FLOOD攻擊后����,將在該接口接收 到的TCP SYN報(bào)文加入檢測(cè)隊(duì)列���; 所述處理單元�,用于加入檢測(cè)隊(duì)列的TCP SYN報(bào)文進(jìn)行識(shí)別����,確定正常TCP SYN報(bào)文和 異常TCP SYN報(bào)文,將正常TCP SYN報(bào)文從檢測(cè)隊(duì)列移送至上送隊(duì)列以執(zhí)行上送CPU處理, 并刪除檢測(cè)隊(duì)列中的異常TCP SYN報(bào)文����。7. 根據(jù)權(quán)利要求6所述的裝置,其特征在于����, 所述接收單元,在檢測(cè)單元在接口上檢測(cè)到TCP SYN FLOOD攻擊之前���,進(jìn)一步用于:將 在該接口接收到的TCP SYN報(bào)文加入上送隊(duì)列以執(zhí)行上送CPU處理����; 所述檢測(cè)單元檢測(cè)接口上是否發(fā)生TCP SYN FLOOD攻擊時(shí)��,用于:如果上送隊(duì)列的上送 速率超過(guò)預(yù)設(shè)上送速率門限�����,則確定該接口上發(fā)生了 TCP SYN FLOOD攻擊��,否則�,確定該接 口上未發(fā)生TCP SYN FLOOD攻擊。8. 根據(jù)權(quán)利要求7所述裝置��,其特征在于, 所述處理單元對(duì)加入檢測(cè)隊(duì)列的TCP SYN報(bào)文進(jìn)行識(shí)別����,確定正常TCP SYN報(bào)文和異 常TCP SYN報(bào)文,包括: 在第一預(yù)設(shè)時(shí)長(zhǎng)內(nèi)對(duì)檢測(cè)隊(duì)列中的TCP SYN報(bào)文進(jìn)行記錄����,包括:每一類型報(bào)文的數(shù) 量、最近一次接收該類型報(bào)文的時(shí)間����、最近兩次接收該類型報(bào)文的時(shí)間差; 所述第一預(yù)設(shè)時(shí)長(zhǎng)結(jié)束時(shí)����,如果記錄的該類型報(bào)文的數(shù)量為1��,則將該類型報(bào)文作為待 定報(bào)文在下一個(gè)第一預(yù)設(shè)時(shí)長(zhǎng)內(nèi)進(jìn)行記錄�;如果記錄的該類型報(bào)文的數(shù)量大于1、且不大 于預(yù)設(shè)的TCP SYN報(bào)文最大重傳次數(shù)����、且最近兩次接收該類型報(bào)文的時(shí)間差符合預(yù)設(shè)的TCP SYN報(bào)文重傳時(shí)間間隔,則確定該類型報(bào)文為正常TCP SYN報(bào)文����;如果記錄的該類型報(bào)文的 數(shù)量大于預(yù)設(shè)的TCP SYN報(bào)文最大重傳次數(shù)��,或者記錄的該類型報(bào)文的數(shù)量大于1����、且不大 于預(yù)設(shè)的TCP SYN報(bào)文最大重傳次數(shù)�、且最近兩次接收該類型報(bào)文的時(shí)間差不符合預(yù)設(shè)的 TCP SYN報(bào)文重傳時(shí)間間隔,則確定該類型報(bào)文為異常TCP SYN報(bào)文��;其中��,具有相同源IP 地址��、源端口�����、目的IP地址���、目的端口的TCP SYN報(bào)文屬于同一類型報(bào)文����。9. 根據(jù)權(quán)利要求8所述的裝置����,其特征在于���, 所述處理單元,確定該類型報(bào)文為正常TCP SYN報(bào)文后�����,進(jìn)一步用于:在該接口下發(fā)第 一 ACL���,該第一 ACL包括:該類型報(bào)文的源IP地址�����、源端口�����、目的IP地址、目的端口�����; 所述處理單元�����,確定該類型報(bào)文為異常TCP SYN報(bào)文后,進(jìn)一步用于:在該接口下發(fā)第 二ACL���,該第二ACL包括:該類型報(bào)文的源IP地址���、源端口、目的IP地址����、目的端口; 所述接收單元�����,在檢測(cè)單元在接口上檢測(cè)到TCP SYN FLOOD攻擊之后�,進(jìn)一步用于:如 果在該接口接收到的TCP SYN報(bào)文符合第一 ACL,則將該TCP SYN報(bào)文加入上送隊(duì)列以執(zhí)行 上送CPU處理����,如果在該接口接收到的TCP SYN報(bào)文符合第二ACL規(guī)則,則丟棄該TCP SYN 報(bào)文�,否則,將在該接口接收到的TCP SYN報(bào)文加入檢測(cè)隊(duì)列�。10. 根據(jù)權(quán)利要求9所述的裝置�,其特征在于�, 所述處理單元,在檢測(cè)單元在接口上檢測(cè)到TCP SYN FLOOD攻擊之后�����,進(jìn)一步用于:計(jì) 算該接口在每個(gè)第一預(yù)設(shè)時(shí)長(zhǎng)內(nèi)接收TCP SYN報(bào)文的速率�����,如果該接口在連續(xù)N個(gè)第一預(yù) 設(shè)時(shí)長(zhǎng)內(nèi)接收TCP SYN報(bào)文的速率均小于所述預(yù)設(shè)最大上送速率門限�,則刪除所述第一 ACL和第二ACL,并將當(dāng)前檢測(cè)隊(duì)列中的所有TCP SYN報(bào)文移送至上送隊(duì)列以執(zhí)行上送CPU 處理��;其中�����,N為一預(yù)設(shè)值�。
【專利摘要】本發(fā)明提供了一種用于TCP?SYN���?FLOOD的防攻擊方法和裝置,技術(shù)方案為:在接口上檢測(cè)到TCP���?SYN���?FLOOD攻擊后��,將在該接口接收到的TCP����?SYN報(bào)文加入檢測(cè)隊(duì)列進(jìn)行識(shí)別���,確定正常TCP��?SYN報(bào)文和異常TCP�?SYN報(bào)文�,將正常TCP?SYN報(bào)文上送到CPU處理�,丟棄異常TCP?SYN報(bào)文����。本發(fā)明可以有效防御TCP?SYN��?FLOOD攻擊�����。
【IPC分類】H04L29/06
【公開(kāi)號(hào)】CN105592055
【申請(qǐng)?zhí)枴緾N201510598259
【發(fā)明人】吳文
【申請(qǐng)人】杭州華三通信技術(shù)有限公司
【公開(kāi)日】2016年5月18日
【申請(qǐng)日】2015年9月18日