防SYN泛洪攻击的处理方法和装置

摘要

本发明公开了一种防SYN泛洪攻击的处理方法和装置。其中，防SYN泛洪攻击的处理方法包括：监测客户端与服务器之间的多个SYN数据包；判断多个SYN数据包中是否存在超过SYN代理预设上限值的数据包；以及在判断出多个SYN数据包中存在超过预设上限值的数据包的情况下，丢弃多个SYN数据包中超过预设上限值的数据包。通过本发明，解决了现有技术中防泛洪攻击的处理方式容易导致系统性能降低的问题，进而达到了提高系统性能、提升系统网速的效果。

说明书

技术领域

本发明涉及安全防护领域，具体而言，涉及一种防SYN泛洪攻击的处理方法和装 置。

背景技术

传统的防泛洪攻击（SYN flood）方法一般是通过SYN（Synchronize sequence  number）代理的方式，SYN是传输控制协议/网间协议（Transmission Control  Protocol/Internet Protocol，简称TCP/IP）建立连接时使用的握手信号。但是SYN代理 方式会导致系统实际性能较低，在实际使用中表现就是大幅度的性能损耗。

针对相关技术中防泛洪攻击的处理方式容易导致系统性能降低的问题，目前尚未 提出有效的解决方案。

发明内容

本发明的主要目的在于提供一种防SYN泛洪攻击的处理方法和装置，以解决现有 技术中防泛洪攻击的处理方式容易导致系统性能降低的问题。

为了实现上述目的，根据本发明的一个方面，提供了一种防SYN泛洪攻击的处理 方法，应用于客户端与服务器之间的通信连接，处理方法包括：监测客户端与服务器 之间的多个SYN数据包；判断多个SYN数据包中是否存在超过SYN代理预设上限值 的数据包；以及在判断出多个SYN数据包中存在超过预设上限值的数据包的情况下， 丢弃多个SYN数据包中超过预设上限值的数据包。

进一步地，通过以下方式判断多个SYN数据包中是否存在超过SYN代理预设上 限值的数据包：比较第一SYN数据包中目的IP地址的数量与1和第一预设值的大小， 其中，第一SYN数据包为多个SYN数据包中的任一数据包，第一预设值为服务器的 目的IP地址阈值的第一倍数；在比较出第一SYN数据包中目的IP地址的数量大于第 一预设值的情况下，确定第一SYN数据包为多个SYN数据包中超过预设上限值的数 据包，否则，确定第一SYN数据包为多个SYN数据包中未超过预设上限值的数据包； 在比较出第一SYN数据包中目的IP地址的数量大于或等于1，并且小于或等于第一 预设值的情况下，比较第一SYN数据包中源IP地址的数量与第二预设值的大小，其 中，第二预设值为服务器的目的IP地址阈值的第二倍数，第二倍数小于第一倍数；以 及在比较出第一SYN数据包中源IP地址的数量大于第二预设值的情况下，确定第一 SYN数据包为多个SYN数据包中存在超过预设上限值的数据包。

进一步地，在监测来自客户端的多个SYN数据包之后，并且在判断多个SYN数 据包中是否存在超过SYN代理预设上限值的数据包之前，处理方法还包括：判断多个 SYN数据包中是否存在安全数据包；以及在判断出多个SYN数据包中存在安全数据 包的情况下，跳过对安全数据包的SYN代理，其中，判断多个SYN数据包中是否存 在超过SYN代理预设上限值的数据包包括：判断非安全数据包中是否存在超过SYN 代理预设上限值的数据包，多个SYN数据包由安全数据包和非安全数据包组成。

进一步地，通过以下方式判断多个SYN数据包中是否存在安全数据包：判断第二 SYN数据包中源IP地址是否为预设IP地址库中的IP地址，其中，预设IP地址库为 经过SYN代理，并且与服务器建立连接的客户端的源IP地址的集合，第二SYN数据 包为多个SYN数据包中的任一数据包；以及在判断出第二SYN数据包中源IP地址为 预设IP地址库中的IP地址的情况下，确定第二SYN数据包为安全数据包，否则，确 定第二SYN数据包为非安全数据包。

进一步地，在丢弃多个SYN数据包中超过预设上限值的数据包之后，处理方法还 包括：查找状态连接表中与第三SYN数据包中TCP序列号对应的差值，其中，状态 连接表中存储有与不同TCP序列号对应的差值，第三SYN数据包为多个SYN数据包 中的任一数据包；根据查找到的差值修改对应第三SYN数据包的报文的SYN序号和 ACK序号；以及按照修改后的SYN序号和ACK序号转发第三SYN数据包。

为了实现上述目的，根据本发明的另一方面，提供了一种防SYN泛洪攻击的处理 装置，该处理装置用于执行本发明上述内容所提供的任意一种防SYN泛洪攻击的处理 方法。

为了实现上述目的，根据本发明的另一方面，提供了一种防SYN泛洪攻击的处理 装置，处理装置应用于客户端与服务器之间的通信连接，处理装置包括：监测单元， 用于监测客户端与服务器之间的多个SYN数据包；第一判断单元，用于判断多个SYN 数据包中是否存在超过SYN代理预设上限值的数据包；以及第一处理单元，用于在第 一判断单元判断出多个SYN数据包中存在超过预设上限值的数据包的情况下，丢弃多 个SYN数据包中超过预设上限值的数据包。

进一步地，第一判断单元包括：第一比较模块，用于比较第一SYN数据包中目的 IP地址的数量与1和第一预设值的大小，其中，第一SYN数据包为多个SYN数据包 中的任一数据包，第一预设值为服务器的目的IP地址阈值的第一倍数；第一确定模块， 用于在第一比较模块比较出第一SYN数据包中目的IP地址的数量大于第一预设值的 情况下，确定第一SYN数据包为多个SYN数据包中超过预设上限值的数据包，否则， 确定第一SYN数据包为多个SYN数据包中未超过预设上限值的数据包；第二比较模 块，用于在第一比较模块比较出第一SYN数据包中目的IP地址的数量大于或等于1， 并且小于或等于第一预设值的情况下，比较第一SYN数据包中源IP地址的数量与第 二预设值的大小，其中，第二预设值为服务器的目的IP地址阈值的第二倍数，第二倍 数小于第一倍数；以及第二确定模块，用于在第二比较模块比较出第一SYN数据包中 源IP地址的数量大于第二预设值的情况下，确定第一SYN数据包为多个SYN数据包 中存在超过预设上限值的数据包。

进一步地，处理装置还包括：第二判断单元，用于判断多个SYN数据包中是否存 在安全数据包；以及第二处理单元，用于在第二判断单元判断出多个SYN数据包中存 在安全数据包的情况下，跳过对安全数据包的SYN代理，其中，第一判断单元用于判 断非安全数据包中是否存在超过SYN代理预设上限值的数据包，多个SYN数据包由 安全数据包和非安全数据包组成。

进一步地，第二判断单元包括：判断模块，用于判断第二SYN数据包中源IP地 址是否为预设IP地址库中的IP地址，其中，预设IP地址库为经过SYN代理，并且 与服务器建立连接的客户端的源IP地址的集合，第二SYN数据包为多个SYN数据包 中的任一数据包；以及第三确定模块，用于在判断模块判断出第二SYN数据包中源IP 地址为预设IP地址库中的IP地址的情况下，确定第二SYN数据包为安全数据包，否 则，确定第二SYN数据包为非安全数据包。

进一步地，处理装置还包括：查找单元，用于查找状态连接表中与第三SYN数据 包中TCP序列号对应的差值，其中，状态连接表中存储有与不同TCP序列号对应的 差值，第三SYN数据包为多个SYN数据包中的任一数据包；修改单元，用于根据查 找到的差值修改对应第三SYN数据包的报文的SYN序号和ACK序号；以及转发单 元，用于按照修改后的SYN序号和ACK序号转发第三SYN数据包。

本发明采用监测客户端与服务器之间的多个SYN数据包；判断多个SYN数据包 中是否存在超过SYN代理预设上限值的数据包；以及在判断出多个SYN数据包中存 在超过预设上限值的数据包的情况下，丢弃多个SYN数据包中超过预设上限值的数据 包。通过预先设置SYN代理的上限值，在SYN数据包的数量超过预设上限值的情况 下，将超过预设上限值部分的数据包丢弃，实现了避免出现SYN代理每单位时间内处 理的SYN数据包数量上不封顶的弊端，进而避免了数据包大量传输造成的内存资源的 消耗，通过对数据传输量进行限制，释放了系统内存，解决了现有技术中防泛洪攻击 的处理方式容易导致系统性能降低的问题，进而达到了提高系统性能、提升系统网速 的效果。

附图说明

构成本申请的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实 施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的防SYN泛洪攻击的处理装置的示意图；以及

图2是根据本发明实施例的防SYN泛洪攻击的处理方法的流程图。

具体实施方式

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相 互组合。下面将参考附图并结合实施例来详细说明本发明。

本发明实施例提供了一种防SYN泛洪攻击的处理装置，该处理装置主要应用于客 户端与服务器之间的通信连接，以下对本发明实施例所提供的防SYN泛洪攻击的处理 装置进行具体介绍：

图1是根据本发明实施例的防SYN泛洪攻击的处理装置的示意图，如图1所示， 该实施例的防SYN泛洪攻击的处理装置主要包括监测单元10、第一判断单元20和第 一处理单元30，其中：

监测单元10用于监测客户端与服务器之间的多个SYN数据包，具体地，SYN数 据包是客户端与服务器建立连接过程中所使用的握手信号，主要是指建立传输控制协 议/网间协议（Transmission Control Protocol/Internet Protocol，简称TCP/IP）连接过程 中使用的信号。

第一判断单元20用于判断多个SYN数据包中是否存在超过SYN代理预设上限值 的数据包，具体地，可以设置SYN代理预设上限值为满足一下条件的预设值：大于系 统配置的SYN泛洪阈值。

第一处理单元30用于在第一判断单元判断出多个SYN数据包中存在超过预设上 限值的数据包的情况下，丢弃多个SYN数据包中超过预设上限值的数据包，即，将超 过预设上限值部分的SYN数据包直接丢弃，后续不再对其进行SYN代理。

本发明实施例的防SYN泛洪攻击的处理装置，通过预先设置SYN代理的上限值， 在SYN数据包的数量超过预设上限值的情况下，将超过预设上限值部分的数据包丢 弃，实现了避免出现SYN代理每单位时间内处理的SYN数据包数量上不封顶的弊端， 进而避免了数据包大量传输造成的内存资源的消耗，通过对数据传输量进行限制，释 放了系统内存，解决了现有技术中防泛洪攻击的处理方式容易导致系统性能降低的问 题，进而达到了提高系统性能、提升系统网速的效果。

进一步地，第一判断单元主要包括第一比较模块、第一确定模块、第二比较模块 和第二确定模块，以第一SYN数据包为例来说明第一判断单元判断多个SYN数据包 中是否存在超过SYN代理预设上限值的数据包的具体原理，其中，第一SYN数据包 为多个SYN数据包中的任一数据包，判断第一SYN数据包是否为多个SYN数据包中 超过预设上限值的数据包的具体原理为：

第一比较模块比较第一SYN数据包中目的IP地址的数量与1和第一预设值的大 小，其中，第一预设值为服务器的目的IP地址阈值的第一倍数，可以将第一预设值设 置为服务器的目的IP地址阈值的2^N倍，在本发明实施例中，可以将N设置为2，即 将第一预设值设置为服务器的目的IP地址阈值的4倍，还可以根据系统的实际需要将 第一预设值设置为目的IP地址阈值的其它倍数。

第一确定模块在第一比较模块比较出第一SYN数据包中目的IP地址的数量大于 第一预设值的情况下，确定第一SYN数据包为多个SYN数据包中超过预设上限值的 数据包，否则，确定第一SYN数据包为多个SYN数据包中未超过预设上限值的数据 包。

第二比较模块在第一比较模块比较出第一SYN数据包中目的IP地址的数量大于 或等于1，并且小于或等于第一预设值的情况下，比较第一SYN数据包中源IP地址 的数量与第二预设值的大小，其中，第二预设值为服务器的目的IP地址阈值的第二倍 数，第二倍数小于第一倍数，在本发明实施例中，可以将第二预设值设置为服务器的 目的IP地址阈值的1/4倍，还可以根据系统的实际需要将第一预设值设置为目的IP 地址阈值的其它倍数。

第二确定模块在第二比较模块比较出第一SYN数据包中源IP地址的数量大于第 二预设值的情况下，确定第一SYN数据包为多个SYN数据包中存在超过预设上限值 的数据包。

优选地，本发明实施例的处理装置还包括第二判断单元和第二处理单元，其中：

第二判断单元用于判断多个SYN数据包中是否存在安全数据包，具体地，第二判 断单元主要包括判断模块和第三确定模块，以第二SYN数据包为例来说明第二判断单 元判断多个SYN数据包中是否存在安全数据包的具体原理，其中，第二SYN数据包 为多个SYN数据包中的任一数据包，判断第二SYN数据包是否为安全数据包的具体 原理为：

判断模块判断第二SYN数据包中源IP地址是否为预设IP地址库中的IP地址， 其中，预设IP地址库为经过SYN代理，并且与服务器建立连接的客户端的源IP地址 的集合，即，预设IP地址库为SYN代理处理过的安全IP的集合，在本发明实施例中， 可以将SYN代理处理过的安全IP记录白名单（trust）标志，对应具有白名单标志IP 的数据包，后续就不用做SYN代理了。

第三确定模块在判断模块判断出第二SYN数据包中源IP地址为预设IP地址库中 的IP地址的情况下，确定第二SYN数据包为安全数据包，否则，确定第二SYN数据 包为非安全数据包。

第二处理单元用于在第二判断单元判断出多个SYN数据包中存在安全数据包的 情况下，跳过对安全数据包的SYN代理。

其中，对于具有第二判断单元和第二处理单元的防SYN泛洪攻击的处理装置而 言，该防SYN泛洪攻击的处理装置中的第一判断单元用于判断非安全数据包中是否存 在超过SYN代理预设上限值的数据包，多个SYN数据包由安全数据包和非安全数据 包组成。

通过在防SYN泛洪攻击的处理装置设置第二判断单元和第二处理单元，实现了对 SYN代理处理过的安全IP进行筛选，以直接跳过利用安全IP建立连接的SYN数据包 的处理，进一步减少了数据包的传输数量，以更多的释放了系统内存，进一步提高了 系统性能和系统网速。

进一步优选地，本发明实施例的防SYN泛洪攻击的处理装置还包括查找单元、修 改单元和转发单元，以第三SYN数据包为例来说明该优选实施例的防SYN泛洪攻击 的处理装置进行SYN数据包处理的具体原理，其中，第三SYN数据包为多个SYN数 据包中的任一数据包，通过查找单元、修改单元和转发单元进行防SYN泛洪攻击的具 体原理为：

查找单元查找状态连接表中与第三SYN数据包中TCP（传输控制协议 Transmission Control Protocol，简称TCP）序列号对应的差值，其中，状态连接表中存 储有与不同TCP序列号对应的差值。

修改单元根据查找到的差值修改对应第三SYN数据包的报文的SYN序号和ACK （ACKnowledge Character）序号，ACK是TCP数据包首部中的确认标志，表示对已 接收到的TCP报文进行确认。。

转发单元按照修改后的SYN序号和ACK序号转发第三SYN数据包。

通过设置状态连接表来存储与不同TCP序列号对应的差值，并通过序列号查找的 方式查找与SYN数据包中TCP序列号对应的差值，进而基于查找的差值修改SYN序 号和ACK序号，实现了在代理客户端和服务器之间的连接过程中，无需占用系统资 源来计算SYN序号和ACK序号，进一步缩小了系统内存的占用，从而使系统性能和 系统网速进一步得到提高。

本发明实施例还提供了一种防SYN泛洪攻击的处理方法，该防SYN泛洪攻击的 处理方法主要应用于客户端与服务器之间的通信连接，以下对本发明实施例所提供的 防SYN泛洪攻击的处理方法进行具体介绍：

图2是根据本发明实施例的防SYN泛洪攻击的处理方法的流程图，如图2所示， 该方法包括如下的步骤S202至步骤S206：

S202：监测客户端与服务器之间的多个SYN数据包，具体地，SYN数据包是客 户端与服务器建立连接过程中所使用的握手信号，主要是指建立传输控制协议/网间协 议（Transmission Control Protocol/Internet Protocol，简称TCP/IP）连接过程中使用的信 号。

S204：判断多个SYN数据包中是否存在超过SYN代理预设上限值的数据包，具 体地，可以设置SYN代理预设上限值为满足一下条件的预设值：大于系统配置的SYN 泛洪阈值。

S206：在判断出多个SYN数据包中存在超过预设上限值的数据包的情况下，丢弃 多个SYN数据包中超过预设上限值的数据包，即，将超过预设上限值部分的SYN数 据包直接丢弃，后续不再对其进行SYN代理。

本发明实施例的防SYN泛洪攻击的处理方法，通过预先设置SYN代理的上限值， 在SYN数据包的数量超过预设上限值的情况下，将超过预设上限值部分的数据包丢 弃，实现了避免出现SYN代理每单位时间内处理的SYN数据包数量上不封顶的弊端， 进而避免了数据包大量传输造成的内存资源的消耗，通过对数据传输量进行限制，释 放了系统内存，解决了现有技术中防泛洪攻击的处理方式容易导致系统性能降低的问 题，进而达到了提高系统性能、提升系统网速的效果。

进一步地，以第一SYN数据包为例来说明判断多个SYN数据包中是否存在超过 SYN代理预设上限值的数据包的具体原理，其中，第一SYN数据包为多个SYN数据 包中的任一数据包，判断第一SYN数据包是否为多个SYN数据包中超过预设上限值 的数据包的具体原理为：

比较第一SYN数据包中目的IP地址的数量与1和第一预设值的大小，其中，第 一预设值为服务器的目的IP地址阈值的第一倍数，可以将第一预设值设置为服务器的 目的IP地址阈值的2^N倍，在本发明实施例中，可以将N设置为2，即将第一预设值 设置为服务器的目的IP地址阈值的4倍，还可以根据系统的实际需要将第一预设值设 置为目的IP地址阈值的其它倍数。

在比较出第一SYN数据包中目的IP地址的数量大于第一预设值的情况下，确定 第一SYN数据包为多个SYN数据包中超过预设上限值的数据包，否则，确定第一SYN 数据包为多个SYN数据包中未超过预设上限值的数据包。

在比较出第一SYN数据包中目的IP地址的数量大于或等于1，并且小于或等于 第一预设值的情况下，比较第一SYN数据包中源IP地址的数量与第二预设值的大小， 其中，第二预设值为服务器的目的IP地址阈值的第二倍数，第二倍数小于第一倍数， 在本发明实施例中，可以将第二预设值设置为服务器的目的IP地址阈值的1/4倍，还 可以根据系统的实际需要将第一预设值设置为目的IP地址阈值的其它倍数。

在比较出第一SYN数据包中源IP地址的数量大于第二预设值的情况下，确定第 一SYN数据包为多个SYN数据包中存在超过预设上限值的数据包。

优选地，在监测来自客户端的多个SYN数据包之后，并且在判断多个SYN数据 包中是否存在超过SYN代理预设上限值的数据包之前，本发明实施例的防SYN泛洪 攻击的处理方法还包括：判断多个SYN数据包中是否存在安全数据包，并在判断出多 个SYN数据包中存在安全数据包的情况下，跳过对安全数据包的SYN代理，相应地， 判断多个SYN数据包中是否存在超过SYN代理预设上限值的数据包则具体为：判断 非安全数据包中是否存在超过SYN代理预设上限值的数据包，多个SYN数据包由安 全数据包和非安全数据包组成。

其中，以第二SYN数据包为例来说明判断多个SYN数据包中是否存在安全数据 包的具体原理，其中，第二SYN数据包为多个SYN数据包中的任一数据包，判断第 二SYN数据包是否为安全数据包的具体原理为：

判断第二SYN数据包中源IP地址是否为预设IP地址库中的IP地址，其中，预 设IP地址库为经过SYN代理，并且与服务器建立连接的客户端的源IP地址的集合， 即，预设IP地址库为SYN代理处理过的安全IP的集合，在本发明实施例中，可以将 SYN代理处理过的安全IP记录白名单（trust）标志，对应具有白名单标志IP的数据 包，后续就不用做SYN代理了。

在判断出第二SYN数据包中源IP地址为预设IP地址库中的IP地址的情况下， 确定第二SYN数据包为安全数据包，否则，确定第二SYN数据包为非安全数据包。

通过判断多个SYN数据包中是否存在安全数据包，并在判断出多个SYN数据包 中存在安全数据包的情况下，跳过对安全数据包的SYN代理，实现了对SYN代理处 理过的安全IP进行筛选，以直接跳过利用安全IP建立连接的SYN数据包的处理，进 一步减少了数据包的传输数量，以更多的释放了系统内存，进一步提高了系统性能和 系统网速。

进一步优选地，在判断出所述多个SYN数据包中存在超过所述预设上限值的数据 包的情况下，丢弃多个SYN数据包中超过预设上限值的数据包之后，本发明实施例的 防SYN泛洪攻击的处理方法还包括如下步骤：

首先，查找状态连接表中与第三SYN数据包中TCP序列号对应的差值，其中， 状态连接表中存储有与不同TCP序列号对应的差值，第三SYN数据包为多个SYN数 据包中的任一数据包；

其次，根据查找到的差值修改对应第三SYN数据包的报文的SYN序号和ACK 序号；

然后，按照修改后的SYN序号和ACK序号转发第三SYN数据包。

通过设置状态连接表来存储与不同TCP序列号对应的差值，并通过序列号查找的 方式查找与SYN数据包中TCP序列号对应的差值，进而基于查找的差值修改SYN序 号和ACK序号，实现了在代理客户端和服务器之间的连接过程中，无需占用系统资 源来计算SYN序号和ACK序号，进一步缩小了系统内存的占用，从而使系统性能和 系统网速进一步得到提高。

从以上的描述中，可以看出，本发明实现了释放了系统内存，提高系统性能、提 升系统网速的效果。

需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的 计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可 以以不同于此处的顺序执行所示出或描述的步骤。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用 的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所 组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以 将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模 块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明 不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技 术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的 任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。