专利名称:一种防范syn洪泛攻击的方法及路由器设备的制作方法
技术领域:
本发明涉及一种在路由器设备上建立TCP连接时防范syn洪泛攻击 的方法,还涉及一种在路由器设备上建立TCP连接时防范syn洪泛攻击 的路由器设备。
背景技术:
随着宽带接入技术的不断发展,人们越来越离不开网络所带来的信息 以及服务平台,但是对网络的依赖性越大,对网络的安全性的要求也越高。在目前的情况下,拒绝服务攻击已经成为黑客攻击的主要手段,而这 种攻击的对象大多是www服务器,这种服务是基于TCP协议的,对于 TCP协议的服务,采取syn洪泛(syn flood)的攻击是很难防范的。目前 syn洪泛成了最流行的拒绝服务的攻击方式了 。一个正常的TCP连接需要三次握手,首先客户端要发一个包含syn 标志位的数据包,然后服务器返回一个syiAack应答包,表示客户端的请 求被接受,最后客户端再返回一个ack数据包表示连接完成。如图1所示,为TCP服务器遭受syn洪泛攻击示意图。syn洪泛攻击 主要是通过向服务器发送多个syn请求,但是在服务器返回一个syn\ack 应答包后,又不回应服务器发起的syn-ack请求,来达到消耗服务器资源 的目的,导致服务器资源耗尽,从而让服务器拒绝正常的服务请求。这样的攻击极大的影响的服务器对正常服务的相应,对企业和门户网 站的运作有严重的威胁。
发明内容
本发明要解决的技术问题是提供一种在建立TCP连接时防范syn洪 泛攻击方法以及路由器设备,实现代理服务器对客户机发起的TCP链接 的响应,大大的节省了资源,提高了资源的利用率,达到了提高设备安全 性的效果。为了解决上述问题,本发明提供了一种在建立TCP连接时防范syn 洪泛攻击方法,包括设置代理水线以及攻击水线;当半链接数超过代理 水线时,在路由器设备上用路由器代替服务器进行TCP连接的建立,建 立TCP连接后再代替客户机给服务器发起TCP连接;当半链接数增大至 攻击水线时,在收到一个syn报文后,对存在时间最长的半链接进行老化, 并缩短超时重传时间,直至将半链接数推出水线数目,则重新进入正常的 工作模式;进一步的,本发明所述的方法,其中,所述代理水线,为触发路由器 代替服务器建立TCP连接后产生的半链接数量的门限值,以保护服务器 免受攻击;进一步的,本发明所述的方法,其中,所述攻击水线,为启动对半链 接进行老化操作的半链接数量的门限值,用以保护路由器;进一步的,本发明所述的方法,其中,所述超时重传时间,第一次设 置为l秒,之后依次增加,重传若干次后,路由器还无法得到服务器或者 客户端的包,则认为该建链包为非法,将之丢弃;进一步的,本发明所述的方法,其中,包括以下步骤(1) 正常情况下处于监控模式,收到客户机发送的syn报文,直接 查找路由将其发送,并记录该TCP连接;(2) 如果发现半链接数超过代理水线,则进入拦截模式,由路由器 代理服务器进行建立TCP连接的操作;(3) 如果发现半链接数达到攻击水线,则进入攻击模式,删除冗余 的半链接条目;(4) 如果发现半链接数小于代理水线,则重新进入监控模式,正常
工作;本发明所述的方法,其中,所述步骤(2),当路由器收到一个TCP 连接请求时,进一步包括以下步骤(i) 生成TCP链接信息表,并代替服务器相应客户机发起的连接请求;(ii) 如果该请求是正常访问,客户机在收到路由器发的ack报文后 会发送确认报文来完成TCP连接的建立;此时,TCP存储记录的状态为 半连接状态;(iii) 利用所存储的外网主机发送过来的TCP连接请求报文,替代外 网主机,与内网受保护的服务器建立TCP连接;(iv) 当连接成功后,路由器保留TCP连接记录,此时修改TCP存 储记录的状态,将原来的半连接状态改成全连接状态;本发明所述的方法,其中,所述步骤(ii),进一步包括 如果该请求是非正常访问,为攻击报文,则不会将其发送服务器进行 下一步连接;进一步的,本发明所述的方法,其中,所述步骤(3),包括当发 现半链接数达到攻击水线,进入攻击模式,此时每收到一个客户机发起的 TCP连接请求,则路由器将存在时间最长的半链接条目删除,并缩短重传 时间,使攻击链接更快地被删除;为了解决上述问题,本发明还提供了 一种防范syn洪泛攻击的路由器 设备,包括外网终端、内网服务器以及作为内部网关的路由器,其特征 在于,所述路由器中,还包括一个syn代理模块,用于配置代理水线以及攻击水线;当半链接数超 过代理水线时,触发路由器代理服务器建立TCP连接;当半链接数增大 至攻击水线时,启动对存在时间最长的半链接项进行老化,并将缩短超时 重传时间;进一步的,本发明所述的方法,其中,所述代理水线,为触发路由器 代替服务器建立TCP连接后产生的半链接数量的门限值,以保护服务器
免受攻击;所述攻击水线,为启动对半链接进行老化操作的半链接数量的 门P艮值,用以保护路由器;所述超时重传时间,第一次设置为l秒,之后 依次增加,重传若干次后,路由器还无法得到服务器或者客户端的包,则 认为该建链包为非法,将之丢弃;进一步的,本发明所述的方法,其中,所述syn代理模块获取的信息, 包括TCP连接建立的源IP地址、目的IP地址、源端口号、目的端口号、 TCP连接存在的时间、超时的时间、最近1分钟TCP连接的建立数、当 前配置的资源是否受到了攻击、TCP连接的状态以及当前的配置;进一步的,本发明所述的方法,其中,syn代理模块支持在使用的过 程中更改超时时间、水线攻击的配置,而不改变当前的TCP连接;进一步的,本发明所述的方法,其中,syn代理模块提供给用户当前 的全链接数以及半链接数信息,为用户的配置和使用提供参考;进一步的,本发明所述的方法,其中,syn代理模块具有报警功能, 根据水线攻击的配置检测到当前的资源是否受到了攻击;并且自动给用户 报警,提醒用户资源受到了攻击;进一步的,本发明所述的方法,其中,syn代理模块根据当前受到攻 击而动态地缩短超时时间参数,使攻击链接更快地被删除。采用本发明所述方法,与现有技术相比,启动了syn代理功能后,于 为启动syn代理功能相比,由于本发明实现代理服务器对客户机发起的 TCP链接的响应,因此大大的节省了资源,提高了资源的利用率;即使在 大量syn洪泛攻击的情况下依然能正常的处理外网的服务,达到了提高设 备安全性的效果。
图1为TCP服务器遭受syn洪泛攻击示意图; 图2为本发明实施例中监控模式下工作示意图3为本发明实施例中拦截模式下与外网交互的工作示意图;图4为本发明实施例中拦截模式下与内网服务器交互的工作示意图;图5为本发明实施例中攻击模式下的工作示意图;图6为本发明实施例中防范syn洪泛攻击的路由器结构图。
具体实施方式
本发明为了解决传统技术方案存在的弊端,通过以下具体实施例进一 步阐述本发明所述的一种在建立TCP连接时防范syn洪泛攻击方法,以 下对具体实施方式
进行详细描述,但不作为对本发明的限定。本发明所述在路由器设备用路由器模拟服务器响应客户机的链接请 求,主要步骤如下第一步,如图2所示,为本发明实施例中监控模式下工作示意图;正 常情况下处于监控模式,收到客户机发送的syn报文直接查找路由,并将 其发送;第二步,当发现半链接数超过代理水线的时候进入拦截模式;在监控模式下,路由器为了达到最大的转发效率,在威胁较小的监控 模式下不代替服务器建立三次握手,仅仅是记录报文信息;但当半链接数 达到代理水线的时候,路由器就认为可能出于攻击之下了,为了保护服务 器,路由器就进入拦截模式了,代理服务器进行TCP三次握手;拦截模式的处理机制是A) 如图3所示,为本发明实施例中拦截模式下与外网交互的工作示 意图;当路由器收到一个TCP的链接请求时,并不立即发送给服务器, 而是生成一个TCP链接信息表,并代替服务器相应客户机发起的链接请 求,如果该请求是正常访问,客户机在收到路由器发的ack报文后会发送 确认报文来完成三次握手,攻击报文则不会;B) 如图4所示,为本发明实施例中拦截模式下与内网服务器交互的 工作示意图;如果客户机发起的是正常访问,在完成三次握手后路由器会
再利用存储的外网主机发送过来的TCP连接请求报文来替代外网主机和内网受保护服务器3次握手来建立TCP连接,至此,TCP存储记录的状 态为半连接状态;当连接成功后路由器仍保留TCP连接记录,只不过要 修改TCP存储记录的状态,将原来的半连接状态改成全连接状态;第三步,如图5所示,为本发明实施例中攻击模式下的工作示意图; 当发现半链接数达到攻击水线,则进入攻击模式,此时收到一个客户机发 起的TCP链接请求,路由器会将最老的半连接条目删除;代替服务器建立三次握手确实^艮好的保护了内网服务器,但是路由器 把自己暴露在了攻击之下,为了保护自己,本方案采取了一种攻击水线的 机制,当发现半链接数到达攻击水线,则进入攻击模式,收到TCP链接 请求的同时老化之前的半链接项;在拦截模式下,路由器会伪装成服务器或是客户端发出建链包,由于 IP层提供的是非保证服务,为此,路由器提供了建链包重传的机制;重传的规则是第一次重传时间为ls,以后依次是2s, 4s, 8s,重传 4次后,依然得不到客户端或是服务器的包,我们就认为这样的建链包为 非法包,将TCP的链接表项丢弃,这样就可以保证正常的建链包可以正 常的建立链接;由此,在上述对半链接项进行老化操作的同时,Syn代理可以根据当 前受到攻击而动态的调整超时时间参数为原来一半,使攻击的链接能够快 速的删除,服务器能得到更好的保护;第四步,当^r查发现半链接数小于代理水线则重新进入监控模式如图6所示,为本发明实施例中防范syn洪泛攻击的路由器结构图。 在由外网终端61、内网服务器62以及路由器63组成的系统中,其中路 由器63,包括夕卜网接口 631、本地接口 632、路由模块633以及Syn代 理模块634;Syn代理模块634,用于配置代理水线以及攻击水线;当半链接数超过代理水线时,触发路由器63代理服务器62进行TCP的三次握手;当 半链接数增大至攻击水线时,启动对存在时间最长的半链接项进行老化, 并将缩短超时重传时间;通过syn代理模块634可以获取的信息TCP链接建立的源IP地址、 目的IP地址、源端口号、目的端口号、TCP链接存在的时间、超时的时 间、最近1分钟TCP链接的建立数、当前配置的资源是否受到了攻击、 TCP链接的状态以及当前的配置;其配置更改灵活,可以在使用的过程中更改超时时间、水线攻击的配 置,而使当前的链接不受任何影响;可以提供给用户当前的全链接数,半 链接数等信息,为用户的配置和使用提供参考;并且具有报警功能,会根 据水线攻击的配置检测到当前的资源受到了攻击,其会自动给用户报警, 提醒用户当前需要保护的资源可能受到了攻击,使用户可以采取进一步积 极的措施;还可以根据当前受到攻击而动态的调整超时时间参数为原来一 半,使攻击的链接能够快速的删除,服务器能得到更好的保护。当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质 的情况下,熟悉本领域的技术人员可根据本发明做出各种相应的改变和变 形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范
权利要求
1、一种在建立TCP连接时防范syn洪泛攻击方法,其特征在于,设置代理水线以及攻击水线;当半链接数超过代理水线时,在路由器设备上用路由器代替服务器进行TCP连接的建立,建立TCP连接后再代替客户机给服务器发起TCP连接;当半链接数增大至攻击水线时,在收到一个syn报文后,对存在时间最长的半链接进行老化,并缩短超时重传时间,直至将半链接数推出水线数目,则重新进入正常的工作模式。
2、 如权利要求1所述的方法,其特征在于,所述代理水线,为触发 路由器代替服务器建立TCP连接后产生的半链接数量的门限值,以保护 服务器免受攻击。
3、 如权利要求1所述的方法,其特征在于,所述攻击水线,为启动 对半链接进行老化操作的半链接数量的门限值,用以保护路由器。
4、 如权利要求1所述的方法,其特征在于,所述超时重传时间,第 一次设置为l秒,之后依次增加,重传若干次后,路由器还无法得到服务 器或者客户端的包,则认为该建链包为非法,将之丢弃。
5、 如权利要求l所述的方法,其特征在于,包括以下步骤(1) 正常情况下处于监控模式,收到客户机发送的syn报文,直接 查找路由将其发送,并记录该TCP连接;(2) 如果发现半链接数超过代理水线,则进入拦截模式,由路由器 代理服务器进行建立TCP连接的操作;(3) 如果发现半链接数达到攻击水线,则进入攻击模式,删除冗余 的半链接条目;(4) 如果发现半链接数小于代理水线,则重新进入监控模式,正常工作。
6、 如权利要求5所述的方法,其特征在于,所述步骤(2),当路由 器收到一个TCP连接请求时,进一步包括以下步骤.(i)生成TCP链接信息表,并代替服务器相应客户机发起的连接请 求;(ii) 如果该请求是正常访问,客户机在收到路由器发的ack报文后 会发送确认报文来完成TCP连接的建立;此时,TCP存储记录的状态为 半连接状态;(iii) 利用所存储的外网主机发送过来的TCP连接请求报文,替代外 网主机,与内网受保护的服务器建立TCP连接;(iv) 当连接成功后,路由器保留TCP连接记录,此时修改TCP存 储记录的状态,将原来的半连接状态改成全连接状态。
7、 如权利要求6所述的方法,其特征在于,所述步骤(ii),进一步 包括如果该请求是非正常访问,为攻击报文,则不会将其发送服务器进行 下一步连接。
8、 如权利要求5所述的方法,其特征在于,所述步骤(3),包括当发现半链接数达到攻击水线,进入攻击模式,此时每收到一个客户 机发起的TCP连接请求,则路由器将存在时间最长的半链接条目删除, 并缩短重传时间,使攻击链接更快地被删除。
9、 一种防范syn洪泛攻击的路由器设备,包括外网终端、内网服 务器以及作为内部网关的路由器,其特征在于,所述路由器中,还包括一个syn代理模块,用于配置代理水线以及攻击水线;当半链接数超 过代理水线时,触发路由器代理服务器建立TCP连接;当半链接数增大 至攻击水线时,启动对存在时间最长的半链接项进行老化,并将缩短超时 重传时间。
10、 如权利要求9所述的设备,其特征在于,所述代理水线,为触发 路由器代替服务器建立TCP连接后产生的半链接数量的门限值,以保护 服务器免受攻击;所述攻击水线,为启动对半链接进行老化操作的半链接数量的门限 值,用以保护路由器; 所述超时重传时间,第一次设置为l秒,之后依次增加,重传若干次 后,路由器还无法得到服务器或者客户端的包,则认为该建链包为非法, 将之丟弃。
11、 如权利要求9所述的设备,其特征在于,所述syn代理模块获取 的4言息,包4舌TCP连接建立的源IP地址、目的IP地址、源端口号、目的端口号、 TCP连接存在的时间、超时的时间、最近1分钟TCP连接的建立数、当 前配置的资源是否受到了攻击、TCP连接的状态以及当前的配置。
12、 如权利要求10所述的设备,其特征在于,syn代理模块支持在使 用的过程中更改超时时间、水线攻击的配置,而不改变当前的TCP连接。
13、 如权利要求11所述的设备,其特征在于,syn代理模块提供给用 户当前的全链接数以及半链接数信息,为用户的配置和使用提供参考。
14、 如权利要求11所述的设备,其特征在于,syn代理模块具有报警 功能,根据水线攻击的配置检测到当前的资源是否受到了攻击;并且自动 给用户报警,提醒用户资源受到了攻击。
15、 如权利要求11所述的设备,其特征在于,syn代理模块根据当前 受到攻击而动态地缩短超时时间参数,使攻击链接更快地被删除。
全文摘要
本发明公开了一种在建立TCP连接时防范syn洪泛攻击的方法以及路由器设备,其中,所述方法包括设置代理水线以及攻击水线;当半链接数超过代理水线时,在路由器设备上用路由器代替服务器进行TCP连接的建立,建立TCP连接后再代替客户机给服务器发起TCP连接;当半链接数增大至攻击水线时,在收到一个syn报文后,对存在时间最长的半链接进行老化,并缩短超时重传时间,直至将半链接数推出水线数目,则重新进入正常的工作模式。本发明实现代理服务器对客户机发起的TCP链接的响应,大大的节省了资源,提高了资源的利用率,达到了提高设备安全性的效果。
文档编号H04L12/24GK101163041SQ20071014520
公开日2008年4月16日 申请日期2007年8月17日 优先权日2007年8月17日
发明者熙 郎, 顾颖杰 申请人:中兴通讯股份有限公司