一种防攻击的方法及装置与流程

本发明涉及网络技术领域，特别是涉及一种防攻击的方法及装置。

背景技术：

目前，网络上常采用DoS(Denial of Service，拒绝服务)攻击技术对网络进行攻击。例如，DoS攻击可以利用大量的攻击报文来占用NAT(Network Address Translation，网络地址转换)设备的会话表资源，从而使得正常报文无法获得会话表资源，使得正常报文无法获得网络服务。

针对上述现象，现有技术中常采用限定端口数或者限制会话数的方法减少会话表资源的占用。

但是，当私网IP地址数量较多时，上述方式仍会造成分配会造成分配的会话数量较多，同样会占用较多的会话表资源。

技术实现要素：

本发明实施例的目的在于提供一种防攻击的方法及装置，以降低会话表资源的占用。具体技术方案如下：

第一方面，本发明实施例提供了一种防攻击的方法，应用于网络地址转换NAT设备，包括：

获得目标报文；

确定存储的第一会话表中是否存在与所述目标报文的特征信息相匹配的会话；

若不存在，判断在预设时长内收到所述目标报文的次数是否达到预设阈值；

若达到，则在所述第一会话表中记录与所述目标报文匹配的第一会话。

第二方面，本发明实施例提供了一种防攻击的装置，应用于网络地址转换NAT设备，包括：

获得单元，用于获得目标报文；

第一确定单元，用于确定存储的第一会话表中是否存在与所述目标报文的特征信息相匹配的会话；

判断单元，用于当第一会话表中不存在与所述目标报文的特征信息相匹配的会话时，判断在预设时长内收到所述目标报文的次数是否达到预设阈值；

记录单元，用于当所述判断单元的判断结果为达到时，在所述第一会话表中记录与所述目标报文匹配的第一会话。

由于DoS攻击报文被发送至网络地址转换NAT设备的发送频率，相对于正常报文的发送频率要低，也就是说，正常报文常常会在很短间隔的时间内(远小于DoS攻击报文的发送间隔时间)被发送至NAT设备。

而在本发明实施例中，网络地址转换NAT设备在获得目标报文后，判断目标报文的特征信息是否与所存储的第一会话表中的会话相匹配，若不匹配，则判断在预设时长内收到所述目标报文的次数是否达到预设阈值，若达到，则在第一会话表中记录与所述目标报文匹配的第一会话。这样，当所述目标报文为正常报文时，则在预设时长内收到所述目标报文的次数可以达到预设阈值，则给该正常报文分配第一会话，减少攻击报文对会话表资源的占用。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种防攻击的方法流程图；

图2为本发明实施例提供的一种防攻击的装置示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了解决会话表资源被大量攻击报文占用问题，本发明实施例提供了一种防攻击的方法及装置。

下面结合图1和图2对本发明实施例提供的防攻击的方法进行说明。

需要说明的是，所述防攻击的方法的执行主体可以为NAT(Network Address Translation，网络地址转换)设备。所述NAT设备可以是装有NAT软件的路由器或交换机等设备。

如图1所示，本发明实施例提供的防攻击的方法可以包括如下步骤：

S101：获得目标报文；

其中，所述目标报文是指NAT设备负责转发的报文。具体地，所述目标报文可以是具有私网IP地址的主机发送给NAT设备的报文，也可以是具有公网IP地址的主机发送给所述NAT设备的报文。

S102：确定存储的第一会话表中是否存在与所述目标报文的特征信息相匹配的会话；

其中，所述第一会话表可以采用任意一种会话表的设定参数(例如老化时间等)进行设定，且所述第一会话表中记录有报文的特征信息。所述特征信息包括用于确定该报文的转发路径的信息，例如，转发该报文所需的源IP地址、源端口、目的IP地址，目的端口和传输层协议中的一个或多个。

若确定第一会话表中存在与所述目标报文的特征信息相匹配的会话时，利用匹配的会话对所述目标报文进行转发。

若确定存储的第一会话表中不存在与所述目标报文的特征信息相匹配的会话，执行步骤S103；其中，

S103：判断在预设时长内收到所述目标报文的次数是否达到预设阈值；

其中，当所述目标报文的特征信息与第一会话表中的会话不匹配时，获得在预设时长内接收到所述目标报文的次数，并判断所述次数是否到达预设阈值。也就是，可以通过监测所述目标报文的发送频率，来判断所述目标报文是否为攻击报文。

这是由于，在现有技术中，正常报文会在很短时间内，被连续发送到所述NAT设备，而攻击报文会每隔较长时间(因攻击报文的作用之一是防止会话表老化，因此发送报文的间隔远大于正常报文的发送时间间隔)被发送到所述NAT设备。因此，可以通过判断在预设时长内收到所述目标报文的次数是否达到预设阈值的方式，确定所述目标报文是否为正常报文。

若判断在预设时长内收到所述目标报文的次数达到预设阈值，执行步骤S104；其中，

S104：在所述第一会话表中记录与所述目标报文匹配的第一会话。

其中，当判断在预设时长内收到所述目标报文的次数达到预设阈值，说明所述目标报文为正常报文，则在所述第一会话表中，建立所述目标报文所对应的第一会话，以利用根据目标报文建立的第一会话对所述目标报文进行转发。

需要说明的是，所述第一会话中至少包括与所述目标报文的特征信息相匹配的信息。

在本发明实施例中，网络地址转换NAT设备在获得目标报文后，判断目标报文的特征信息是否与所存储的第一会话表中的会话相匹配，若不匹配，则判断在预设时长内收到所述目标报文的次数是否达到预设阈值，若达到，则在第一会话表中记录与所述目标报文匹配的第一会话。这样，当所述目标报文为正常报文时，则在预设时长内收到所述目标报文的次数可以达到预设阈值，则给该正常报文分配第一会话，减少攻击报文对会话表资源的占用。

为了实现判断在预设时长内收到所述目标报文的次数是否达到预设阈值，本发明实施例提供的防攻击的方法还可以包括如下步骤：

在所述判断在预设时长内收到所述目标报文的次数是否达到预设阈值之前，所述方法还可以包括：

确定设置的监控表中是否存在与所述目标报文的特征信息匹配的监控项；

若不存在与所述目标报文的特征信息匹配的监控项，则在所述监控表中建立与所述目标报文匹配的第一监控项。

其中，上述步骤可以应用于确定存储的第一会话表中不存在与所述目标报文的特征信息相匹配的会话之后进行，也可以先进行本实施例中的步骤后，再确定存储的第一会话表中不存在与所述目标报文的特征信息相匹配的会话。

可以理解的是，当所述目标报文经过第一会话表过滤后，即所述目标报文的特征信息与所述第一会话表的会话不匹配时，利用监控表对所述目标报文进行监控，以进一步确定所述目标报文是否为正常报文。具体地，

先判断所述目标报文的特征信息是否与预设的监控表中的任一监控项匹配，若不匹配，则在所述监控表中建立与所述目标报文匹配的第一监控项。

若匹配，则利用所述监控表，判断在预设时长内接收到与所述第一监控项匹配的目标报文的次数是否达到预设阈值；若达到预设阈值，表明所述目标报文为正常报文，将所述第一监控项作为第一会话记录于所述第一会话表中，并利用所述第一会话对所述目标报文进行转发，降低了攻击报文对会话表资源的占用。

需要说明的是，通过监控表监控在预设时长内接收到的所述目标报文的次数的一种实现方式可以为：在所述第一监控项中记录所述目标报文的特征信息、接收所述报文的次数和接收所述报文的时间间隔等信息，并通过所述第一监控项所记录的信息，确定在预设时长内收到所述目标报文的次数是否达到预设阈值。

在另一种实现方式中，设置所述监控表中任一监控项的老化时间小于所述第一会话表中任一会话的老化时间，使得监控项的老化时间很短，使得可以通过监控项对攻击报文进行过滤，从而不让攻击报文占用会话表资源。

例如，当所述NAT设备，在所述监控表的第一监控项(其中，第一监控项可以是NAT设备在前一时刻，根据目标报文的特征信息建立的)的老化时间内未再次收到所述目标报文，即在所述第一监控项的老化时间内收到所述目标报文的次数为1时，表明所述目标报文为攻击报文，删除所述第一监控项。

若在所述第一监控项的老化时间内再次收到所述目标报文，即在所述第一监控项的老化时间内收到所述目标报文的次数大于等于2，表明所述目标报文为正常报文，将所述第一监控项作为第一会话记录在所述第一会话表中。并利用所述第一会话表对所述目标报文进行转发。

可选地，本发明实施例提供的防攻击的方法可以结合现有技术中防止DoS攻击的方案使用。例如：结合背景技术中所提及的限制同一个私网IP地址的会话数的方案使用，即可以在限制同一个私网IP地址的会话数的同时，利用第一会话表对攻击报文进行过滤，降低了攻击报文对会话表资源的占用。

或者结合现有技术中限制同一个私网IP地址所分配的端口数的方案使用，使得通过限制该私网IP所占用的公网地址池资源的方式，限制对会话表资源的占用，同时可以利用第一会话表对攻击报文进行过滤，降低了攻击报文对会话表资源的占用。

可以理解的是，现有技术中防止DoS攻击的方案无法对DoS攻击打入大量的不同的报文的攻击方式进行有效地防攻击，而本发明实施例提供的防攻击的方法，则可以进行有效地防攻击。

这是由于本发明中引入第一会话表，且第一会话表是在预设时长内所接收的目标报文达到预设阈值的情况下转换得到的，因此，攻击报文无法占用第一会话表中的会话，降低了会话表资源的占用。

因此通过上述结合方案，可以更有效的防止DoS攻击。

相应于上述方法实施例，本发明实施例还提供了一种防攻击的装置，应用于网络地址转换NAT设备，如图2所示，所述装置可以包括：

获得单元201，用于获得目标报文；

第一确定单元202，用于确定存储的第一会话表中是否存在与所述目标报文的特征信息相匹配的会话；

判断单元203，用于当第一会话表中不存在与所述目标报文的特征信息相匹配的会话时，判断在预设时长内收到所述目标报文的次数是否达到预设阈值；

记录单元204，用于当所述判断单元的判断结果为达到时，在所述第一会话表中记录与所述目标报文匹配的第一会话。

可选地于，所述装置还可以包括：

第二确定单元，用于在所述判断在预设时长内收到所述目标报文的次数是否达到预设阈值之前，确定设置的监控表中是否存在与所述目标报文的特征信息匹配的监控项；

创建单元，用于当所述第二确定单元的确定结果为不存在时，在所述监控表中建立与所述目标报文匹配的第一监控项。

可选地，所述判断单元203具体用于：

利用所述监控表，判断在预设时长内接收到与所述第一监控项匹配的目标报文的次数是否达到预设阈值；

相应地，所述记录单元具体用于：

将所述第一监控项作为第一会话记录于所述第一会话表中。

可选地，在本发明实施例提供的防攻击的装置中，所述监控表中任一监控项的老化时间小于所述第一会话表中任一会话的老化时间。

可选地，本发明实施例提供的防攻击的装置，还可以包括：

转发单元，用于当确定所述第一会话表中存在与所述目标报文的特征信息匹配的会话时，利用匹配的第一会话对所述目标报文进行转发。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。