一种攻击检测方法、装置、电子设备及存储介质制造方法及图纸

本申请公开了一种攻击检测方法、装置、电子设备及存储介质。所述攻击检测方法，包括：当接收到与客户端进行TCP三次握手过程中所述客户端在第三次握手时发送的ACK确认报文时，将所述ACK确认报文丢弃，不向目标服务器发起TCP连接请求，所述ACK确认报文携带有序列号信息和确认序列号信息；当接收到所述客户端发送的数据请求时，根据所述序列号信息和所述确认序列号信息，对所述数据请求进行校验，获得校验结果；当确定所述校验结果为校验成功时，则向目标服务器发起TCP连接建立请求以建立TCP连接，并将所述数据请求发送至所述目标服务器；当确定所述校验结果为校验失败时，则直接将所述数据请求丢弃。述数据请求丢弃。述数据请求丢弃。

【技术实现步骤摘要】
一种攻击检测方法、装置、电子设备及存储介质


[0001]本申请涉及网络安全
，尤其涉及一种攻击检测方法、装置、电子设备及存储介质。

技术介绍

[0002]空连接攻击是被攻击的客户端在与目标服务器完成三次握手建立TCP(Transmission Control Protocol，传输控制协议)连接后，不发送数据或者发送非正常业务数据，从而导致连接资源一直被占用无法被释放的一种攻击，当目标服务器的资源被耗尽之后，就无法对客户端的正常请求进行响应。
[0003]目前，在客户端与目标服务器之间通常设有安全防御设备或反向代理服务器，安全防御设备或反向代理服务器对于空连接攻击的处理方法通常是：客户端与安全防御设备或反向代理服务器完成三次握手后建立TCP连接，再对客户端发送的数据请求进行分析，然而，空连接攻击属于应用层攻击，其能够自动与安全防御设备或反向代理服务器完成三次握手并建立TCP连接后而不再发送数据或者发送非正常业务数据，从而占用目标服务器的资源，当目标服务器的资源被耗尽之后，就无法对客户端的正常请求进行响应。

技术实现思路

[0004]为了解决现有的针对空连接攻击的处理方法会占用目标服务器资源，当目标服务器的资源被耗尽之后无法对客户端的正常请求进行响应的问题，本申请实施例提供了一种攻击检测方法、装置、电子设备及存储介质。
[0005]第一方面，本申请实施例提供了一种安全防御设备侧(或反向代理服务器侧)实施的攻击检测方法，包括：
[0006]当接收到与客户端进行TCP三次握手过程中所述客户端在第三次握手时发送的ACK确认报文时，将所述ACK确认报文丢弃，不向目标服务器发起TCP连接请求，所述ACK确认报文携带有序列号信息和确认序列号信息；
[0007]当接收到所述客户端发送的数据请求时，根据所述序列号信息和所述确认序列号信息，对所述数据请求进行校验，获得校验结果；
[0008]当确定所述校验结果为校验成功时，则向目标服务器发起TCP连接建立请求以建立TCP连接，并将所述数据请求发送至所述目标服务器；当确定所述校验结果为校验失败时，则直接将所述数据请求丢弃。
[0009]在一种可能的实施方式中，通过以下方式与所述客户端进行TCP三次握手：
[0010]接收客户端发送的SYN同步报文，所述SYN报文携带有第一序列号信息、第一确认序列号信息和所述客户端信息，所述客户端信息包括所述客户端的IP信息和端口号信息；
[0011]对所述客户端的IP信息、端口号信息和当前时间戳信息进行哈希计算获得哈希值，将所述哈希值确定为第二序列号信息，并向所述客户端返回携带有所述第二序列号信息和第二确认序列号信息的SYN
‑
ACK响应报文；
[0012]接收所述客户端发送的所述ACK确认报文。
[0013]在一种可能的实施方式中，所述数据请求中包括第三序列号信息、第三确认序列号信息和请求的数据长度信息；
[0014]根据所述序列号信息和所述确认序列号信息，对所述数据请求进行校验，获得校验结果，具体包括：
[0015]校验所述第三序列号是否与所述序列号相同，以及校验所述第三确认序列号是否与所述确认序列号相同；
[0016]若所述第三序列号与所述序列号相同，且所述第三确认序列号与所述确认序列号相同，且所述数据长度信息不为零，则确定校验通过；
[0017]若所述第三序列号与所述序列号不同，且所述第三确认序列号与所述确认序列号不同，或者所述数据长度信息为零，则确认校验失败。
[0018]在一种可能的实施方式中，向目标服务器发起TCP连接建立请求以建立TCP连接，具体包括：
[0019]向所述目标服务器发送第一SYN同步报文；
[0020]接收所述目标服务器返回的第一SYN
‑
ACK响应报文，与所述目标服务器建立TCP连接，并建立连接表。
[0021]第二方面，本申请实施例提供了一种安全防御设备侧(或反向代理服务器侧)实施的攻击检测装置，包括：
[0022]丢弃单元，用于当接收到与客户端进行TCP三次握手过程中所述客户端在第三次握手时发送的ACK确认报文时，将所述ACK确认报文丢弃，不向目标服务器发起TCP连接请求，所述ACK确认报文携带有序列号信息和确认序列号信息；
[0023]校验单元，用于当接收到所述客户端发送的数据请求时，根据所述序列号信息和所述确认序列号信息，对所述数据请求进行校验，获得校验结果；
[0024]处理单元，用于当确定所述校验结果为校验成功时，则向目标服务器发起TCP连接建立请求以建立TCP连接，并将所述数据请求发送至所述目标服务器；当确定所述校验结果为校验失败时，则直接将所述数据请求丢弃。
[0025]在一种可能的实施方式中，所述丢弃单元，具体用于通过以下方式与所述客户端进行TCP三次握手：
[0026]接收客户端发送的SYN同步报文，所述SYN报文携带有第一序列号信息、第一确认序列号信息和所述客户端信息，所述客户端信息包括所述客户端的IP信息和端口号信息；
[0027]对所述客户端的IP信息、端口号信息和当前时间戳信息进行哈希计算获得哈希值，将所述哈希值确定为第二序列号信息，并向所述客户端返回携带有所述第二序列号信息和第二确认序列号信息的SYN
‑
ACK响应报文；
[0028]接收所述客户端发送的所述ACK确认报文。
[0029]在一种可能的实施方式中，所述数据请求中包括第三序列号信息、第三确认序列号信息和请求的数据长度信息；
[0030]所述校验单元，具体用于：
[0031]校验所述第三序列号是否与所述序列号相同，以及校验所述第三确认序列号是否与所述确认序列号相同；
[0032]若所述第三序列号与所述序列号相同，且所述第三确认序列号与所述确认序列号相同，且所述数据长度信息不为零，则确定校验通过；
[0033]若所述第三序列号与所述序列号不同，且所述第三确认序列号与所述确认序列号不同，或者所述数据长度信息为零，则确认校验失败。
[0034]在一种可能的实施方式中，所述处理单元，具体用于：
[0035]向所述目标服务器发送第一SYN同步报文；
[0036]接收所述目标服务器返回的第一SYN
‑
ACK响应报文，与所述目标服务器建立TCP连接，并建立连接表。
[0037]第三方面，本申请实施例提供了一种客户端侧实施的攻击检测方法，包括：
[0038]在与安全防御设备进行TCP三次握手过程中，在第三次握手时向所述安全防御设备发送ACK确认报文，所述ACK确认报文携带有序列号信息和确认序列号信息；
[0039]向所述安全防御设备发送数据请求，以使所述安全防御设备根据所述序列号信息和所述确认号信息对所述数据请求进行校验，以及当确定校验成功时，由所述安全防御设备向目标服务器发起TCP连接建立请求以建立TCP本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种攻击检测方法，其特征在于，包括：当接收到与客户端进行TCP三次握手过程中所述客户端在第三次握手时发送的ACK确认报文时，将所述ACK确认报文丢弃，不向目标服务器发起TCP连接请求，所述ACK确认报文携带有序列号信息和确认序列号信息；当接收到所述客户端发送的数据请求时，根据所述序列号信息和所述确认序列号信息，对所述数据请求进行校验，获得校验结果；当确定所述校验结果为校验成功时，则向目标服务器发起TCP连接建立请求以建立TCP连接，并将所述数据请求发送至所述目标服务器；当确定所述校验结果为校验失败时，则直接将所述数据请求丢弃。2.如权利要求1所述的方法，其特征在于，通过以下方式与所述客户端进行TCP三次握手：接收客户端发送的SYN同步报文，所述SYN报文携带有第一序列号信息、第一确认序列号信息和所述客户端信息，所述客户端信息包括所述客户端的IP信息和端口号信息；对所述客户端的IP信息、端口号信息和当前时间戳信息进行哈希计算获得哈希值，将所述哈希值确定为第二序列号信息，并向所述客户端返回携带有所述第二序列号信息和第二确认序列号信息的SYN
‑
ACK响应报文；接收所述客户端发送的所述ACK确认报文。3.如权利要求2所述的方法，其特征在于，所述数据请求中包括第三序列号信息、第三确认序列号信息和请求的数据长度信息；根据所述序列号信息和所述确认序列号信息，对所述数据请求进行校验，获得校验结果，具体包括：校验所述第三序列号是否与所述序列号相同，以及校验所述第三确认序列号是否与所述确认序列号相同；若所述第三序列号与所述序列号相同，且所述第三确认序列号与所述确认序列号相同，且所述数据长度信息不为零，则确定校验通过；若所述第三序列号与所述序列号不同，且所述第三确认序列号与所述确认序列号不同，或者所述数据长度信息为零，则确认校验失败。4.如权利要求2所述的方法，其特征在于，向目标服务器发起TCP连接建立请求以建立TCP连接，具体包括：向所述目标服务器发送第一SYN同步报文；接收所述目标服务器返回的第一SYN
‑
ACK响应报文，与所述目标服务器建立TCP连接，并建立连接表。5.一种攻击检测方法，其特征在于，包括：在与安全防御设备进行TCP三次握手过程中，在第三次握手时向所述安全防御设备发送ACK确认报文，所述ACK确认报文携带有序列号信息和确认序列号信息；向所述安全防御设备发送数据请求，以使所述安全防御设备根据所述序列号信息和所述确认号信息对所述数据请求进行校验，以及当确定校验成功时...

【专利技术属性】
技术研发人员：陈善武，杨旭，
申请(专利权)人：神州绿盟成都科技有限公司，
类型：发明
国别省市：