【技术实现步骤摘要】
传输控制协议流量过滤方法、装置、服务器及存储介质
本专利技术涉及网络安全领域,特别涉及一种传输控制协议流量过滤方法、装置、服务器及存储介质。
技术介绍
分布式拒绝服务(DistributedDenialofService,DDoS)攻击,是指黑客通过控制分布在各处的僵死网络向目的服务器发起大量异常流量,服务器忙于处理异常流量,无法处理正常用户请求,甚至系统崩溃,造成拒绝服务。黑洞挑战(ChanllengeCollapsar,CC)攻击是一种非常常见的DDoS攻击手法。攻击端(例如,被控制的客户端)先与被攻击端(例如,被攻击服务器)建立传输控制协议(TransmissionControlProtocol,TCP)连接,然后向被攻击端发送大量的TCP垃圾报文,阻塞被攻击端带宽,导致业务瘫痪。传统CC攻击防护方案采用水印防护实现,在客户端向服务器发送上行TCP报文时,需要在TCP报文中携带通过事先约定的算法算出的水印字段。设置在客户端和服务器之间的防护端,通过验证该上行TCP报文中水印字段的合法性,从而判断是否将该TCP报文转发给服务器,实现对非法报文进行拦截。然而,这种防护方案需要对客户端的代码进行修改,接入成本和门槛较高;另外,携带水印字段的TCP报文长度增加,增加了上行流量成本。
技术实现思路
为了解决相关技术中存在的采用水印防护CC攻击时,客户端接入成本和门槛较高,同时增加了上行流量成本问题。本专利技术实施例提供了一种TCP流量过滤方法、装置、服务器及存储介质。所述技术方案如下:一方面,提供了一种TCP流量过滤方法,所述方法包括:当服务器受到CC攻击时,基于 ...
【技术保护点】
1.一种传输控制协议流量过滤方法,其特征在于,所述方法包括:当服务器受到黑洞挑战攻击时,基于所述服务器的源英特网协议地址信任列表,确定发送给所述服务器的传输控制协议报文的源英特网协议地址中的信任源英特网协议地址和非信任源英特网协议地址,所述信任源英特网协议地址为处于源英特网协议地址信任列表中的源英特网协议地址,所述非信任源英特网协议地址为不处于源英特网协议地址信任列表中的源英特网协议地址;将所述信任源英特网协议地址的传输控制协议报文发送给所述服务器;利用所述非信任源英特网协议地址的同步序列编号报文速率基线、传输控制协议报文长度基线和传输控制协议报文速率基线,判断是否对所述非信任源英特网协议地址的传输控制协议报文进行拦截。
【技术特征摘要】
1.一种传输控制协议流量过滤方法,其特征在于,所述方法包括:当服务器受到黑洞挑战攻击时,基于所述服务器的源英特网协议地址信任列表,确定发送给所述服务器的传输控制协议报文的源英特网协议地址中的信任源英特网协议地址和非信任源英特网协议地址,所述信任源英特网协议地址为处于源英特网协议地址信任列表中的源英特网协议地址,所述非信任源英特网协议地址为不处于源英特网协议地址信任列表中的源英特网协议地址;将所述信任源英特网协议地址的传输控制协议报文发送给所述服务器;利用所述非信任源英特网协议地址的同步序列编号报文速率基线、传输控制协议报文长度基线和传输控制协议报文速率基线,判断是否对所述非信任源英特网协议地址的传输控制协议报文进行拦截。2.根据权利要求1所述的方法,其特征在于,所述判断是否对所述非信任源英特网协议地址的传输控制协议报文进行拦截,包括:判断所述非信任源英特网协议地址的同步序列编号报文的传输速率是否超过同步序列编号报文速率基线;当所述非信任源英特网协议地址的同步序列编号报文的传输速率超过同步序列编号报文速率基线时,拦截所述非信任源英特网协议地址的传输控制协议报文;当所述非信任源英特网协议地址的同步序列编号报文的传输速率未超过同步序列编号报文速率基线时,判断所述非信任源英特网协议地址的传输控制协议报文中是否存在报文长度超过传输控制协议报文长度基线且速率超过传输控制协议报文速率基线的报文;如果存在报文长度超过传输控制协议报文长度基线且速率超过传输控制协议报文速率基线的报文,则拦截所述非信任源英特网协议地址的传输控制协议报文,如果不存在报文长度超过传输控制协议报文长度基线且速率超过传输控制协议报文速率基线的报文,则将所述非信任源英特网协议地址的传输控制协议报文发送给所述服务器。3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:对所述服务器的传输控制协议报文进行学习,得到所述源英特网协议地址信任列表、同步序列编号报文速率基线、传输控制协议报文长度基线和传输控制协议报文速率基线;保存所述源英特网协议地址信任列表、同步序列编号报文速率基线、传输控制协议报文长度基线和传输控制协议报文速率基线。4.根据权利要求3所述的方法,其特征在于,对所述服务器的传输控制协议报文进行学习,得到所述源英特网协议地址信任列表,包括:记录向所述服务器发送的传输控制协议报文的源英特网协议地址;将所述服务器受到黑洞挑战攻击时记录的源英特网协议地址删除;选取在连续N个周期中的至少M个周期出现过的源英特网协议地址,生成所述源英特网协议地址信任列表,N和M为整数,且N≥M>1。5.根据权利要求3所述的方法,其特征在于,对所述服务器的传输控制协议报文进行学习,得到所述同步序列编号报文速率基线、传输控制协议报文长度基线和传输控制协议报文速率基线,包括:获取所述服务器的传输控制协议报文中同步序列编号报文速率、传输控制协议报文长度和传输控制协议报文速率;将所述服务器受到黑洞挑战攻击时获取到的同步序列编号报文速率、传输控制协议报文长度和传输控制协议报文速率删...
【专利技术属性】
技术研发人员:陈国,杨磊,罗喜军,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。