传输控制协议流量过滤方法、装置、服务器及存储介质制造方法及图纸

本发明专利技术公开了一种传输控制协议流量过滤方法、装置、服务器及存储介质，属于网络安全领域。所述方法包括：当服务器受到黑洞挑战攻击时，基于服务器的源英特网协议地址信任列表，确定发送给服务器的传输控制协议报文的源英特网协议地址中的信任源英特网协议地址和非信任源英特网协议地址。将信任源英特网协议地址的传输控制协议报文发送给服务器。利用非信任源英特网协议地址的同步序列编号报文速率基线、传输控制协议报文长度基线和传输控制协议报文速率基线，判断是否对非信任源英特网协议地址的传输控制协议报文进行拦截。

【技术实现步骤摘要】
传输控制协议流量过滤方法、装置、服务器及存储介质
本专利技术涉及网络安全领域，特别涉及一种传输控制协议流量过滤方法、装置、服务器及存储介质。
技术介绍
分布式拒绝服务(DistributedDenialofService，DDoS)攻击，是指黑客通过控制分布在各处的僵死网络向目的服务器发起大量异常流量，服务器忙于处理异常流量，无法处理正常用户请求，甚至系统崩溃，造成拒绝服务。黑洞挑战(ChanllengeCollapsar，CC)攻击是一种非常常见的DDoS攻击手法。攻击端(例如，被控制的客户端)先与被攻击端(例如，被攻击服务器)建立传输控制协议(TransmissionControlProtocol，TCP)连接，然后向被攻击端发送大量的TCP垃圾报文，阻塞被攻击端带宽，导致业务瘫痪。传统CC攻击防护方案采用水印防护实现，在客户端向服务器发送上行TCP报文时，需要在TCP报文中携带通过事先约定的算法算出的水印字段。设置在客户端和服务器之间的防护端，通过验证该上行TCP报文中水印字段的合法性，从而判断是否将该TCP报文转发给服务器，实现对非法报文进行拦截。然而，这种防护方案需要对客户端的代码进行修改，接入成本和门槛较高；另外，携带水印字段的TCP报文长度增加，增加了上行流量成本。
技术实现思路
为了解决相关技术中存在的采用水印防护CC攻击时，客户端接入成本和门槛较高，同时增加了上行流量成本问题。本专利技术实施例提供了一种TCP流量过滤方法、装置、服务器及存储介质。所述技术方案如下：一方面，提供了一种TCP流量过滤方法，所述方法包括：当服务器受到CC攻击时，基于所述服务器的源IP地址信任列表，确定发送给所述服务器的TCP报文的源IP地址中的信任源IP地址和非信任源IP地址，所述信任源IP地址为处于源IP地址信任列表中的源IP地址，所述非信任源IP地址为不处于源IP地址信任列表中的源IP地址。将所述信任源IP地址的TCP报文发送给所述服务器。利用所述非信任源IP地址的SYN报文速率基线、TCP报文长度基线和TCP报文速率基线，判断是否对所述非信任源IP地址的TCP报文进行拦截。另一方面，还提供了一种TCP流量过滤装置，所述装置包括：判断模块，用于当服务器受到CC攻击时，基于所述服务器的源IP地址信任列表，确定发送给所述服务器的TCP报文的源IP地址中的信任源IP地址和非信任源IP地址，所述信任源IP地址为处于源IP地址信任列表中的源IP地址，所述非信任源IP地址为不处于源IP地址信任列表中的源IP地址。过滤模块，用于将所述信任源IP地址的TCP报文发送给所述服务器；利用所述非信任源IP地址的SYN报文速率基线、TCP报文长度基线和TCP报文速率基线，判断是否对所述非信任源IP地址的TCP报文进行拦截。另一方面，还提供了一种服务器，所述服务器包括处理器和存储器，所述存储器中存储有至少一条指令，所述指令由所述处理器加载并执行以实现如第一方面所述的TCP流量过滤方法。另一方面，还提供了一种计算机可读存储介质，所述存储介质中存储有至少一条指令，所述指令由处理器加载并执行以实现如第一方面所述的TCP流量过滤方法。本专利技术实施例提供的技术方案带来的有益效果是：通过在服务器受到CC攻击时，先判断发送的服务器的TCP报文的每个源IP地址是否为信任源IP地址，如果是，则直接转发该信任源IP地址的TCP报文，不会影响正常客户端的TCP业务。如果不是，则利用SYN报文速率基线、TCP报文长度基线和TCP报文速率基线对非信任源IP地址进行判断，判断该非信任源IP地址的TCP报文是否异常，进而确定是丢弃该非信任源IP地址的TCP报文，还是转发该非信任源IP地址的TCP报文。采用这种方式，无需在上行TCP报文中携带水印字段，因此无需对客户端的代码进行修改，成本低、门槛低，且适用于云服务场景。同时TCP报文长度不变，节省了上行流量成本。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是一种CC攻击的流程示意图；图2是本专利技术实施例提供的一种TCP流量过滤系统的拓扑示意图；图3是本专利技术实施例提供的一种TCP流量过滤方法的流程图；图4是本专利技术实施例提供的另一种TCP流量过滤方法的流程图；图5是本专利技术实施例提供的一种TCP流量过滤装置的结构示意图；图6是本专利技术实施例提供的一种服务器的结构示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚，下面将结合附图对本专利技术实施方式作进一步地详细描述。为便于对本专利技术实施例提供的技术方案的理解，下面对现有CC攻击防护方案所存在的问题进行说明：图1是一种CC攻击的流程示意图，这里的CC攻击为四层CC攻击，其中四层是指开放式系统互联(OpenSystemInterconnection，OSI)中的第四层，其具体过程参见图1，攻击端先与被攻击端(被攻击服务器)通过3次握手建立TCP连接。如图1所示，攻击端先向被攻击端发送同步序列编号(SynchronizeSequenceNumbers，SYN)报文，被攻击端返回SYN确认(SYNAcknowledgement，SYNACK)报文，然后攻击端向被攻击端发送ACK报文，完成3次握手。建立TCP连接后，攻击端向被攻击端发送大量的TCP垃圾报文，阻塞被攻击端带宽，导致业务瘫痪。传统CC攻击防护方案采用水印防护实现，客户端在上行TCP报文传输时，需要在TCP报文中携带通过事先约定的算法算出的水印字段。设置在客户端(攻击端)和服务器(被攻击端)之间的防护端，通过验证该上行TCP报文中水印字段的合法性，从而判断是否将该TCP报文转发给服务器，实现对非法报文进行拦截。如图1所示，防护端检测TCP报文中的水印字段是否正确，由于TCP垃圾报文由攻击端发送，其中并未携带正确的水印字段，因此，防护端会丢弃该TCP垃圾报文。然而，这种防护方案需要对客户端的代码进行修改，费时费力，接入成本高，同时，这种方案也导致接入门槛较高。另外，携带水印字段的TCP报文长度增加，增加了上行流量成本。为了解决上述问题，本专利技术实施例提供了一种TCP流量过滤方法。在介绍本申请的TCP流量过滤方法前，先对TCP流量过滤系统(也即前述防护端)的架构进行简单说明。图2是本专利技术实施例提供的一种TCP流量过滤系统的拓扑示意图，参见图2，该TCP流量过滤系统10连接路由器20，该路由器20通常为网络中的核心路由器，路由器20连接运营商网络30，路由器20通过交换机40连接服务器50，从而实现服务器50与网络其他设备的连通。其中，路由器20可以连接多个交换机40，该交换机40可以为核心交换机，每个交换机40可以连接一个或多个服务器50。TCP流量过滤系统10包括检测学习子系统101、防护子系统102和控制子系统103，三个子系统既可以分别采用独立的设备(如服务器)实现，也可以其中两个或者三个全部集成在一个设备上。路由器20在传输发送给服务器50的流量时，会产生镜像流量，并将镜像流量发送给检测学习子系统101。检测学习子本文档来自技高网...

【技术保护点】
1.一种传输控制协议流量过滤方法，其特征在于，所述方法包括：当服务器受到黑洞挑战攻击时，基于所述服务器的源英特网协议地址信任列表，确定发送给所述服务器的传输控制协议报文的源英特网协议地址中的信任源英特网协议地址和非信任源英特网协议地址，所述信任源英特网协议地址为处于源英特网协议地址信任列表中的源英特网协议地址，所述非信任源英特网协议地址为不处于源英特网协议地址信任列表中的源英特网协议地址；将所述信任源英特网协议地址的传输控制协议报文发送给所述服务器；利用所述非信任源英特网协议地址的同步序列编号报文速率基线、传输控制协议报文长度基线和传输控制协议报文速率基线，判断是否对所述非信任源英特网协议地址的传输控制协议报文进行拦截。

【技术特征摘要】
1.一种传输控制协议流量过滤方法，其特征在于，所述方法包括：当服务器受到黑洞挑战攻击时，基于所述服务器的源英特网协议地址信任列表，确定发送给所述服务器的传输控制协议报文的源英特网协议地址中的信任源英特网协议地址和非信任源英特网协议地址，所述信任源英特网协议地址为处于源英特网协议地址信任列表中的源英特网协议地址，所述非信任源英特网协议地址为不处于源英特网协议地址信任列表中的源英特网协议地址；将所述信任源英特网协议地址的传输控制协议报文发送给所述服务器；利用所述非信任源英特网协议地址的同步序列编号报文速率基线、传输控制协议报文长度基线和传输控制协议报文速率基线，判断是否对所述非信任源英特网协议地址的传输控制协议报文进行拦截。2.根据权利要求1所述的方法，其特征在于，所述判断是否对所述非信任源英特网协议地址的传输控制协议报文进行拦截，包括：判断所述非信任源英特网协议地址的同步序列编号报文的传输速率是否超过同步序列编号报文速率基线；当所述非信任源英特网协议地址的同步序列编号报文的传输速率超过同步序列编号报文速率基线时，拦截所述非信任源英特网协议地址的传输控制协议报文；当所述非信任源英特网协议地址的同步序列编号报文的传输速率未超过同步序列编号报文速率基线时，判断所述非信任源英特网协议地址的传输控制协议报文中是否存在报文长度超过传输控制协议报文长度基线且速率超过传输控制协议报文速率基线的报文；如果存在报文长度超过传输控制协议报文长度基线且速率超过传输控制协议报文速率基线的报文，则拦截所述非信任源英特网协议地址的传输控制协议报文，如果不存在报文长度超过传输控制协议报文长度基线且速率超过传输控制协议报文速率基线的报文，则将所述非信任源英特网协议地址的传输控制协议报文发送给所述服务器。3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：对所述服务器的传输控制协议报文进行学习，得到所述源英特网协议地址信任列表、同步序列编号报文速率基线、传输控制协议报文长度基线和传输控制协议报文速率基线；保存所述源英特网协议地址信任列表、同步序列编号报文速率基线、传输控制协议报文长度基线和传输控制协议报文速率基线。4.根据权利要求3所述的方法，其特征在于，对所述服务器的传输控制协议报文进行学习，得到所述源英特网协议地址信任列表，包括：记录向所述服务器发送的传输控制协议报文的源英特网协议地址；将所述服务器受到黑洞挑战攻击时记录的源英特网协议地址删除；选取在连续N个周期中的至少M个周期出现过的源英特网协议地址，生成所述源英特网协议地址信任列表，N和M为整数，且N≥M＞1。5.根据权利要求3所述的方法，其特征在于，对所述服务器的传输控制协议报文进行学习，得到所述同步序列编号报文速率基线、传输控制协议报文长度基线和传输控制协议报文速率基线，包括：获取所述服务器的传输控制协议报文中同步序列编号报文速率、传输控制协议报文长度和传输控制协议报文速率；将所述服务器受到黑洞挑战攻击时获取到的同步序列编号报文速率、传输控制协议报文长度和传输控制协议报文速率删...

【专利技术属性】
技术研发人员：陈国，杨磊，罗喜军，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东,44