CN112055028B - 网络攻击防御方法、装置、电子设备及存储介质 - Google Patents

Abstract

本申请提供一种网络攻击防御方法、装置、电子设备及存储介质。该电子设备基于请求报文携带有第一认证信息与应答报文中携带的第二认证信息，将两者进行比较，判断该应答报文是否为攻击报文。由于，不需要发起网络连接对应答报文的发生设备进行验证，因此，能够避免网络通信所带来的时间消耗，达到提高对应答报文的验证效率。

Description

网络攻击防御方法、装置、电子设备及存储介质

技术领域

本申请涉及计算机领域，具体而言，涉及一种网络攻击防御方法、装置、电子设备及存储介质。

背景技术

SYN-ACK Flood攻击是DDoS(Distributed Denial of Service Attack，分布式拒绝服务攻击)的常见类型，具有攻击成本低，攻击效果好的特点。其中，SYN-ACK报文是TCP(Transmission Control Protocol，传输控制协议)三次握手过程中的第二个报文，用来对第一次握手的SYN报文进行确认。目前防御SYN-ACK Flood攻击主要是通过源认证的方式。即被攻击的网络设备通过向报文的源IP尝试建立一个TCP连接来确认源IP是否对应一真实存在的物理设备。

然而，该源认证的方式在大流量的SYN-ACK报文的情况下，因为源认证的方式需要较长的验证时间而不能满足清洗时效要求，导致还来不及验证就出现网络阻塞。

发明内容

为了克服现有技术中的至少一个不足，本申请的目的之一在于提供一种网络攻击防御方法，应用于与服务器通信连接的电子设备，所述服务器的网络数据需要经过所述电子设备，所述方法包括：

获取发送给所述服务器的应答报文，其中，所述应答报文用于响应所述服务器发送的请求报文，所述请求报文携带有第一认证信息，所述第一认证信息用于生成所述应答报文中的第二认证信息；

将所述第一认证信息与所述应答报文中的第二认证信息进行比较，检测所述应答报文是否为攻击报文。

可选地，所述方法还包括：

若所述应答报文为攻击报文，则丢弃该应答报文；

若所述应答报文不为攻击报文，则将所述应答报文发送给所述服务器。

可选地，所述获取发送给所述服务器的应答报文的步骤之前，所述方法还包括：

将所述请求报文转发至目标通信设备。

可选地，所述第一认证信息基于所述请求报文中的参考信息生成，所述应答报文携带有所述参考信息，所述将所述第一认证信息与所述应答报文中的第二认证信息进行比较，检测所述应答报文是否为攻击报文的步骤，包括：

根据所述参考信息生成所述第一认证信息；

将所述第一认证信息与所述第二认证信息进行比较，检测所述应答报文是否为攻击报文。

可选地，所述应答报文为TCP二次握手报文，所述参考信息为所述TCP二次握手报文中的网络参数，所述网络参数用于网络连接；

根据所述参考信息生成所述第一认证信息的步骤，包括：

根据所述网络参数生成所述第一认证信息。

可选地，所述网络参数为所述应答报文中的源网络地址、目的网络地址、源端口号以及目的端口号中的至少一种。

本申请实施例的目的而之二在于提供一种网络攻击防御装置，应用于与服务器通信连接的电子设备，所述服务器的网络数据需要经过所述电子设备，所述网络攻击防御装置包括：

输入模块，用于获取发送给所述服务器的应答报文，其中，所述应答报文用于响应所述服务器发送的请求报文，所述请求报文携带有第一认证信息，所述第一认证信息用于生成所述应答报文中的第二认证信息。

处理模块，用于将所述第一认证信息与所述应答报文中的第二认证信息进行比较，检测所述应答报文是否为攻击报文。

可选地，所述第一认证信息基于所述请求报文中的参考信息生成，所述应答报文携带有所述参考信息，所述处理模块具体用于：

根据所述参考信息生成所述第一认证信息；

将所述第一认证信息与所述第二认证信息进行比较，检测所述应答报文是否为攻击报文。

本申请实施例的目的而之三在于提供一种电子设备，所述电子设备包括存储器以及处理器，所述存储器存储有计算机可执行指令，所述计算机可执行指令被所述处理器执行时，实现该网络攻击防御方法。

本申请实施例的目的而之四在于提供一种存储介质，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时，实现该网络攻击防御方法。

相对于现有技术而言，本申请具有以下有益效果：

本申请实施例提供一种网络攻击防御方法、装置、电子设备及存储介质。该电子设备基于请求报文携带有第一认证信息与应答报文中携带的第二认证信息，将两者进行比较，判断该应答报文是否为攻击报文。由于，不需要发起网络连接对应答报文的发生设备进行验证，因此，能够避免网络通信所带来的时间消耗，达到提高对应答报文的验证效率。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的网络通信场景示意图之一；

图2为本申请实施例提供的TCP三次握手示意图；

图3为本申请实施例提供的网络通信场景示意图之二；

图4为本申请实施例提供的电子设备的结构示意图；

图5为本申请实施例提供的网络攻击防御方法的步骤流程示意图之一；

图6为本申请实施例提供的网络攻击防御方法的步骤流程示意图之二；

图7为本申请实施例提供的网络攻击防御方法的步骤流程示意图之三；

图8为本申请实施例提供的网络攻击防御装置的结构示意图。

图标：10-服务器；20-网络设备；100-电子设备；110-网络攻击防御装置；120-存储器；130-处理器；140-通信单元；1101-输入模块；1102-处理模块。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

在本申请的描述中，需要说明的是，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

在面对SYN-ACK Flood攻击时，常采用源认证的方式。然而，源认证的方式在大流量的SYN-ACK报文的情况下，因为源认证的方式需要较长的验证时间而不能满足清洗时效要求，导致还来不及验证就出现网络阻塞。

下面结合图1以及图2对源认证的方式进行是示例性说明。如图1所示，包括服务器10以及网络设备20，其中，服务器10通过网络与网络设备20建立网络连接。值得说明的是，上述网络设备20可以是任意能够提供网络服务的设备，例如，第三方服务器或者个人电脑等。服务器10在于网络设备20建立TCP类型的网络连接时，需要基于TCP协议进行三次握手，以确保网络连接的可靠性。

其中，基于TCP协议进行三次握手的流程示意图如图2所示。服务器10先向网络设备20发送SYN报文。其中，SYN报文包括SYN字段以及序列字段，SYN字段的内容为“1”，其序列字段中的序列号Seq为“X”。

网络设备20在接受到SYN报文后，需要向服务器10发送SYN-ACK报文。其中，该SYN-ACK报文包括SYN字段、ACK字段以及序列字段，SYN字段中内容为“1”，ACK字段的内容为“X+1”，序列字段的序列号Seq为“Y”。

服务器10在接受到SYN-ACK报文后，需要向网络设备20发送ACK报文。其中，该ACK报文包括ACK字段以及序列字段，ACK字段的内容为“Y+1”，序列字段的序列号Seq为“Z”。

服务器10在接受SYN-ACK报文时，若受到网络攻击，其接收的SYN-ACK报文不仅限于网络设备20发送的SYN-ACK报文，还包括其他攻击设备发送的恶意攻击SYN-ACK报文。恶意攻击SYN-ACK报文会使得服务器10花费大量的网络资源以及计算资源验证SYN-ACK报文的合法性，进而导致服务器10出现网络阻塞。

请参照图3，目前主要在服务器10的前端架设一电子设备100，所有发送给服务器10的网络报文需要经过该电子设备100。其中，该电子设备100可以是，但不限于，交换机、第三方服务器、个人电脑以及路由器等。

该电子设备100在接收到SYN-ACK报文后，提取出SYN-ACK报文中所携带的源IP地址，进行源认证。即该基于该IP地址尝试发起TCP网络连接，若连接成功，则说明SYN-ACK报文对应的设备为真实的物理设备，该SYN-ACK报文为有效报文，反之为攻击报文。

然而，基于从SYN-ACK报文中提取出的IP地址尝试发起TCP网络连接，整个验证过程需要较长的时间，因此，存在效率低下的问题。同时，在反射攻击的场景，即SYN-ACK报文为真实的物理肉鸡所发起时，上述源认证则无法检测该SYN-ACK报文是否为攻击报文。

鉴于此，本申请实施例提供一种网络攻击防御方法，应用于图3所示的电子设备100。该网络攻击防御方法基于SYN-ACK报文中的ACK字段的内容依赖于SYN报文中的序列号Seq这一个特性，基于特定的规则生成序列号Seq，用于进行验证，达到提高验证效率的目的。

关于该电子设备100，请参照图4所示的该电子设备100一种可能的结构示意图。该电子设备100包括网络攻击防御装置110、存储器120、处理器130、通信单元140。

存储器120、处理器130以及通信单元140各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。网络攻击防御装置110包括至少一个可以软件或固件(firmware)的形式存储于存储器120中或固化在电子设备100的操作系统(operating system，OS)中的软件功能模块。处理器130用于执行存储器120中存储的可执行模块，例如网络攻击防御装置110所包括的软件功能模块及计算机程序等。其中，网络攻击防御装置110中的计算机可执行指令被处理器执行时，实现上述网络攻击防御方法。

其中，存储器120可以是，但不限于，随机存取存储器(Random Access Memory，RAM)，只读存储器(Read Only Memory，ROM)，可编程只读存储器(Programmable Read-OnlyMemory，PROM)，可擦除只读存储器(Erasable Programmable Read-Only Memory，EPROM)，电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory，EEPROM)等。其中，存储器120用于存储程序，处理器130在接收到执行指令后，执行程序。通信单元140用于通过网络建立通信连接，并用于通过网络收发数据。

处理器130可能是一种集成电路芯片，具有信号的处理能力。上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，简称CPU)、网络处理器(NetworkProcessor，简称NP)等；还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

关于该网络攻击防御方法，请参照图5所示是步骤流程示意图。下面就该网络攻击防御方法的各步骤进行详细说明。

步骤S100，获取发送给服务器10的应答报文，其中，应答报文用于响应服务器10发送的请求报文，请求报文携带有第一认证信息，第一认证信息用于生成应答报文中的第二认证信息。

步骤S110，将第一认证信息与应答报文中的第二认证信息进行比较，检测应答报文是否为攻击报文。

通过上述步骤，该电子设备100基于请求报文携带有第一认证信息与应答报文中携带的第二认证信息，将两者进行比较，判断该应答报文是否为攻击报文。由于，不需要发起网络连接对应答报文的发生设备进行验证，因此，能够避免网络通信所带来的时间消耗，达到提高对应答报文的验证效率。

考虑到应答报文若是攻击报文时，需要做相应的处理，使得服务器10不直接参与到对攻击报文的筛选，提高对具体业务的响应效率。因此，请参照图6，步骤S110之后，该网络攻击方法还包括：

步骤S120，若应答报文为攻击报文，则丢弃该应答报文。

步骤S130，若应答报文不为攻击报文，则将应答报文发送给服务器10。

即本申请示例中，该服务器10并不直接对应答报文进行筛选处理，而是交由通信连接的电子设备100进行筛选处理。值得说明的是，该电子设备100对网络数据的处理能力远大于该服务器10，能够承受一定程度的网络攻击。

值得说明的，在步骤S100之前，该网络攻击防御方法还包括：

步骤S90，将请求报文转发至目标通信设备。

即由于服务器10的网络数据需要经过电子设备100，因此，该服务所发送的请求报文，需要经过该电子设备100转发才能发送至目标通信设备。

考虑到当电子设备100服务的服务器10较多时，该电子设备100需消耗大量的资源维护第一认证信息与第二认证信息之间的对应关系。即基于该对应关系，电子设备100在获取到不同的应答报文时，才能知道各应答报文中的第二认证信息具体对应的第一认证信息。

鉴于此，第一认证信息基于请求报文中的参考信息生成，应答报文携带有参考信息。请参照图7，步骤S110，具体包括：

步骤S110-1，根据参考信息生成第一认证信息。

步骤S110-2，将第一认证信息与第二认证信息进行比较，检测应答报文是否为攻击报文。

即通过上述步骤，由于第一认证信息与第二认证信息基于参考信息，因此，该电子设备100不需要消耗大量的资源用于记录第一认证信息与第二认证信息之间的对应关系，进一步，提高对响应报文的验证效率。

可选地，作为一种可能的实现方式，该应答报文为TCP二次握手报文，该参考信息为TCP二次握手报文中的网络参数，网络参数用于建立网络连接。因此，步骤S100包括：

步骤S100-1，根据网络参数生成第一认证信息。

可选地，网络参数为应答报文中的源网络地址、目的网络地址、源端口号以及目的端口号中的至少一种。

下面以TCP连接以及包括源网络地址、目的网络地址、源端口号以及目的端口号的网络参数为例，对上述网络攻击防御方法进行示例性说明。

服务器10在发起TCP网络连接时，获取源网络地址、目的网络地址、源端口号以及目的端口号的第一哈希值，将第一哈希值作为SYN报文中的序列号Seq。该电子设备100将服务器10发送的SYN报文。

基于TCP协议，该SYN报文的响应报文(SYN-ACK报文)中的序列号Seq为在上述第一哈希值的基础上加一。因此，该电子设备100在获取到SYN-ACK报文后，获取其中的网络地址、源端口号以及目的端口号，并计算其第二哈希值，以及SYN-ACK报文中序列号Seq。该电子设备100将第二哈希值加一后，与SYN-ACK报文中序列号Seq进行比较。若相同，则响应报文为正常响应报文。若不相同，则该响应报文为攻击报文。

应理解的是，通常的攻击报文中的源地址、端口号以及序列号为随机伪造的结果，因此，其对应的哈希值通常则无法满足上述要求。

本申请实施例的目的而之二在于提供一种网络攻击防御装置110，应用于与服务器10通信连接的电子设备100。服务器10的网络数据需要经过电子设备100。网络攻击防御装置110包括至少一个可以软件形式存储于存储器120中的功能模块。请参照图8，从功能上划分，该网络攻击防御装置110可以包括：

输入模块1101，用于获取发送给服务器10的应答报文，其中，应答报文用于响应服务器10发送的请求报文，请求报文携带有第一认证信息，第一认证信息用于生成应答报文中的第二认证信息。

在本申请实施例中，该输入模块1101用于执行图5中的步骤S100，关于该输入模块1101的详细描述，可以参考步骤S100的详细描述。

处理模块1102，用于将第一认证信息与应答报文中的第二认证信息进行比较，检测应答报文是否为攻击报文。

在本申请实施例中，该处理模块1102用于执行图5中的步骤S110，关于该处理模块1102的详细描述，可以参考步骤S110的详细描述。

可选地，第一认证信息基于请求报文中的参考信息生成，应答报文携带有参考信息，处理模块具体用于：

根据参考信息生成第一认证信息；

将第一认证信息与第二认证信息进行比较，检测应答报文是否为攻击报文。

本申请实施例的目的而之三在于提供一种电子设备100，电子设备100包括存储器120以及处理器130，存储器120存储有计算机可执行指令，计算机可执行指令被处理器130执行时，实现该网络攻击防御方法。

本申请实施例的目的而之四在于提供一种存储介质，存储介质存储有计算机程序，计算机程序被处理器130执行时，实现该网络攻击防御方法。

综上所述，本申请实施例提供一种网络攻击防御方法、装置、电子设备及存储介质。该电子设备基于请求报文携带有第一认证信息与应答报文中携带的第二认证信息，将两者进行比较，判断该应答报文是否为攻击报文。由于，不需要发起网络连接对应答报文的发生设备进行验证，因此，能够避免网络通信所带来的时间消耗，达到提高对应答报文的验证效率。

在本申请所提供的实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述，仅为本申请的各种实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。

Claims (7)

1.一种网络攻击防御方法，其特征在于，应用于与服务器通信连接的电子设备，所述服务器的网络数据需要经过所述电子设备，所述方法包括：

获取发送给所述服务器的SYN-ACK报文，其中，所述SYN-ACK报文用于响应所述服务器发送的SYN报文，所述SYN报文中的序列号通过所述SYN报文中的网络参数生成；

所述SYN-ACK报文中的序列号通过所述SYN报文中的序列号生成，所述SYN-ACK报文携带有所述网络参数；

根据所述SYN-ACK报文中携带的所述网络参数生成所述SYN报文中的序列号；

将所述SYN报文中的序列号与所述SYN-ACK报文中的序列号进行比较，检测所述SYN-ACK报文是否为攻击报文。

2.根据权利要求1所述的网络攻击防御方法，其特征在于，所述方法还包括：

若所述SYN-ACK报文为攻击报文，则丢弃该SYN-ACK报文；

若所述SYN-ACK报文不为攻击报文，则将所述SYN-ACK报文发送给所述服务器。

3.根据权利要求1所述的网络攻击防御方法，其特征在于，所述获取发送给所述服务器的SYN-ACK报文的步骤之前，所述方法还包括：

将所述SYN报文转发至目标通信设备。

4.根据权利要求1所述的网络攻击防御方法，其特征在于，所述网络参数为所述SYN-ACK报文中的源网络地址、目的网络地址、源端口号以及目的端口号中的至少一种。

5.一种网络攻击防御装置，其特征在于，应用于与服务器通信连接的电子设备，所述服务器的网络数据需要经过所述电子设备，所述网络攻击防御装置包括：

输入模块，用于获取发送给所述服务器的SYN-ACK报文，其中，所述SYN-ACK报文用于响应所述服务器发送的SYN报文，所述SYN报文中的序列号通过所述SYN报文中的网络参数生成；

所述SYN-ACK报文中序列号通过所述SYN报文中的序列号生成，所述SYN-ACK报文携带有所述网络参数；

处理模块，用于根据所述SYN-ACK报文中携带的所述网络参数生成所述SYN报文中的序列号；将所述SYN报文中的序列号与所述SYN-ACK报文中序列号进行比较，检测所述SYN-ACK报文是否为攻击报文。

6.一种电子设备，其特征在于，所述电子设备包括存储器以及处理器，所述存储器存储有计算机可执行指令，所述计算机可执行指令被所述处理器执行时，实现如权利要求1-4任意一项所述的网络攻击防御方法。

7.一种存储介质，其特征在于，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时，实现如权利要求1-4任意一项所述的网络攻击防御方法。