緩解攻擊方法�、序列號(hào)提供方法及設(shè)備的制作方法
【專利摘要】本發(fā)明公開(kāi)了一種緩解攻擊方法��、序列號(hào)提供方法及設(shè)備��,屬于網(wǎng)絡(luò)安全領(lǐng)域�。所述方法包括:服務(wù)器接收TCP?SYN數(shù)據(jù)包,所述TCP?SYN數(shù)據(jù)包中包含初始序列號(hào)��;所述服務(wù)器判斷所述初始序列號(hào)是否為預(yù)先分配的預(yù)設(shè)序列號(hào)�;如果所述初始序列號(hào)是預(yù)設(shè)序列號(hào),則將所述TCP?SYN數(shù)據(jù)包存儲(chǔ)至高優(yōu)先級(jí)隊(duì)列���;如果所述初始序列號(hào)不是預(yù)設(shè)序列號(hào)���,則將所述TCP?SYN數(shù)據(jù)包存儲(chǔ)至低優(yōu)先級(jí)隊(duì)列。本發(fā)明通過(guò)對(duì)三次握手機(jī)制中的第一個(gè)TCP?SYN數(shù)據(jù)包的初始序列號(hào)采用預(yù)設(shè)序列號(hào)���,使得服務(wù)器可以對(duì)客戶端進(jìn)行正常訪問(wèn)的TCP?SYN數(shù)據(jù)包和拒絕服務(wù)攻擊進(jìn)行非正常訪問(wèn)的TCP?SYN數(shù)據(jù)包具有了一定程度的辨別能力����,結(jié)合優(yōu)先級(jí)隊(duì)列的處理方式����,達(dá)到了即便服務(wù)器承受高強(qiáng)度的TCP?SYN洪水攻擊時(shí)�����,也能夠?yàn)榭蛻舳颂峁┱5脑L問(wèn)服務(wù)的效果���。
【專利說(shuō)明】緩解攻擊方法、序列號(hào)提供方法及設(shè)備
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域�����,特別涉及ー種緩解攻擊方法���、序列號(hào)提供方法及設(shè)備�?�!颈尘凹夹g(shù)】
[0002]傳輸控制協(xié)議(英文全稱為Transmission Control Protocol,英文縮寫為TCP)是ー種面向連接的�、可靠的��、基于字節(jié)流的運(yùn)輸層(英文全稱為Transport layer)通信協(xié)議��,在簡(jiǎn)化的計(jì)算機(jī)網(wǎng)絡(luò)OSI模型中��,它完成第四層運(yùn)輸層所指定的功能。
[0003]請(qǐng)參考圖1��,其示出了現(xiàn)有技術(shù)中的ー種TCP連接建立方法的方法流程圖�。該TCP連接建立方法包括:第一,客戶端向服務(wù)器發(fā)送包含初始序列號(hào)為X的傳輸控制協(xié)議同步(英文全稱為 Transmission Control Protocol synchronize,英文縮寫為 TCP SYN)數(shù)據(jù)包��,該TCP SYN數(shù)據(jù)包中包含有該客戶端的識(shí)別信息�����,用于發(fā)起TCP請(qǐng)求����;第二,服務(wù)器接收到客戶端發(fā)送的該包含初始序列號(hào)為X的TCP SYN數(shù)據(jù)包后�,反饋ー個(gè)ACK+SYN數(shù)據(jù)包,所述ACK+SYN數(shù)據(jù)包是指ACK位和SYN位都置為I的TCP數(shù)據(jù)包����,所述ACK+SYN數(shù)據(jù)包是TCP規(guī)定的對(duì)TCP SYN數(shù)據(jù)包的相應(yīng),該ACK+SYN數(shù)據(jù)包中包含確認(rèn)序列號(hào)X+1和另ー個(gè)初始序列號(hào)Y ;第三����,客戶端接收到服務(wù)器發(fā)送的ACK+SYN數(shù)據(jù)包之后,反饋ー個(gè)確認(rèn)序列號(hào)為Y+1的ACK確認(rèn)數(shù)據(jù)包����。至此���,ー個(gè)TCP連接將被成功建立。其中��,序列號(hào)是32bit的無(wú)符號(hào)數(shù)�,取值范圍為“(T4294967295”。初始序列號(hào)X由客戶端隨機(jī)提供����,具體的提供方式為:客戶端啟動(dòng)時(shí)先隨機(jī)生成一個(gè)初始序號(hào)(英文全稱為Initial Sequence Number,英文縮寫為ISN)然后按照每4ms+l的方式累加并維護(hù)這個(gè)初始序號(hào),在需要發(fā)送TCP SYN數(shù)據(jù)包吋�����,使用當(dāng)前維護(hù)的初始序號(hào)作為該TCP SYN數(shù)據(jù)包中的初始序列號(hào)X�。客戶端的識(shí)別信息通常為IP地址和端口號(hào)����。上述過(guò)程也即常說(shuō)的“三次握手機(jī)制”
[0004]TCP SYN洪水攻擊(英文全稱為TCP SYN Flood)是ー種通過(guò)客戶端來(lái)向服務(wù)器頻繁發(fā)送大量包含偽識(shí)別信息的TCP SYN數(shù)據(jù)包���,使得服務(wù)器中的半連接資源被耗盡�,從而使用戶正常的連接請(qǐng)求無(wú)法得到服務(wù)的網(wǎng)絡(luò)攻擊。由于TCP SYN洪水攻擊簡(jiǎn)單有效��,是黑客常用的ー種手段����,已經(jīng)多次給大型門戶網(wǎng)站和商業(yè)網(wǎng)站帶來(lái)巨大損失。針對(duì)TCP SYN洪水攻擊����,現(xiàn)有技術(shù)中較為常用的緩解攻擊方法主要是:第一,預(yù)先在服務(wù)器和客戶端之間設(shè)置一防火墻��,由該防火墻來(lái)代理服務(wù)器接收客戶端的TCP請(qǐng)求���;第二����,防火墻與ー個(gè)客戶端成功建立TCP連接后����,再向服務(wù)器建立ー個(gè)TCP連接,然后防火墻將客戶端和服務(wù)器之間的數(shù)據(jù)進(jìn)行互相轉(zhuǎn)發(fā)����。顯然���,如果防火墻沒(méi)有與客戶端成功建立TCP連接,則不向服務(wù)器建立TCP連接�。
[0005]在實(shí)現(xiàn)本發(fā)明的過(guò)程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問(wèn)題:雖然由防火墻來(lái)代理服務(wù)器接收客戶端的TCP請(qǐng)求可以一定程度緩解TCP SYN洪水攻擊���,但是實(shí)質(zhì)上只是由防火墻來(lái)代替服務(wù)器承擔(dān)TCP SYN洪水攻擊����。當(dāng)TCP SYN洪水攻擊的攻擊カ度達(dá)到防火墻能夠承受的極限吋�,防火墻也會(huì)癱瘓,仍然不能解決TCP SYN洪水攻擊所帯來(lái)的問(wèn)題�����。
【發(fā)明內(nèi)容】
[0006]為了緩解TCP SYN洪水攻擊所帯來(lái)的問(wèn)題���,本發(fā)明實(shí)施例提供了一種緩解攻擊方法�����、數(shù)據(jù)包生成方法����、序列號(hào)提供方法及設(shè)備����。所述技術(shù)方案如下:
[0007]根據(jù)本發(fā)明的ー個(gè)方面,本發(fā)明實(shí)施例提供ー種緩解攻擊方法����,所述方法包括:
[0008]服務(wù)器接收傳輸控制協(xié)議同步TCP SYN數(shù)據(jù)包,所述TCP SYN數(shù)據(jù)包中包含初始序列號(hào)�����,所述TCP SYN數(shù)據(jù)包是針對(duì)統(tǒng)ー資源定位符的�,所述統(tǒng)ー資源定位符包括服務(wù)器信息和文件信息;
[0009]所述服務(wù)器確定所述初始序列號(hào)是否為預(yù)先分配的預(yù)設(shè)序列號(hào)���;
[0010]如果所述初始序列號(hào)是所述預(yù)設(shè)序列號(hào)����,則所述服務(wù)器將所述TCP SYN數(shù)據(jù)包存儲(chǔ)至高優(yōu)先級(jí)隊(duì)列�����;
[0011]如果所述初始序列號(hào)不是所述預(yù)設(shè)序列號(hào)�,則所述服務(wù)器將所述TCP SYN數(shù)據(jù)包存儲(chǔ)至低優(yōu)先級(jí)隊(duì)列���。
[0012]可選地,所述接收傳輸控制協(xié)議同步TCP SYN數(shù)據(jù)包之前�,所述方法還包括:
[0013]所述服務(wù)器為客戶端分配所述預(yù)設(shè)序列號(hào),以便所述客戶端發(fā)送攜帯所述預(yù)設(shè)序列號(hào)的TCP SYN數(shù)據(jù)包�����。
[0014]可選地��,所述為客戶端分配所述預(yù)設(shè)序列號(hào)�,具體包括:
[0015]所述服務(wù)器向所述客戶端發(fā)送攜帯所述預(yù)設(shè)序列號(hào)的網(wǎng)頁(yè)。
[0016]可選地�,所述為客戶端分配所述預(yù)設(shè)序列號(hào),具體包括:
[0017]向搜索引擎提供所述統(tǒng)ー資源定位符和所述預(yù)設(shè)序列號(hào)之間的對(duì)應(yīng)關(guān)系�����,以便所述搜索引擎確定所述客戶端捜索所述統(tǒng)ー資源定位符或所述統(tǒng)ー資源定位符對(duì)應(yīng)的資源吋�����,將對(duì)應(yīng)的所述預(yù)設(shè)序列號(hào)提供給所述客戶端�����。
[0018]根據(jù)本發(fā)明的另一方面,本發(fā)明實(shí)施例還提供ー種序列號(hào)提供方法�����,其包括:
[0019]接收用戶的搜索請(qǐng)求�;
[0020]根據(jù)所述搜索請(qǐng)求搜索與所述搜索請(qǐng)求對(duì)應(yīng)的統(tǒng)ー資源定位符��;
[0021]判斷是否存在與捜索到的統(tǒng)ー資源定位符對(duì)應(yīng)的預(yù)設(shè)序列號(hào)�����;
[0022]如果存在與捜索到的統(tǒng)ー資源定位符對(duì)應(yīng)的預(yù)設(shè)序列號(hào)�����,則將所述搜索到的統(tǒng)ー資源定位符和所述與所述搜索到的統(tǒng)ー資源定位符對(duì)應(yīng)的預(yù)設(shè)序列號(hào)同時(shí)進(jìn)行反饋���。
[0023]可選地���,所述接收用戶的搜索請(qǐng)求之前,所述方法還包括:
[0024]接收并存儲(chǔ)服務(wù)器提供的統(tǒng)ー資源定位符與預(yù)設(shè)序列號(hào)的對(duì)應(yīng)關(guān)系����。
[0025]根據(jù)本發(fā)明的再一方面�,本發(fā)明實(shí)施例還提供ー種緩解攻擊裝置�,所述裝置包括:
[0026]數(shù)據(jù)接收模塊,用于接收傳輸控制協(xié)議同步TCP SYN數(shù)據(jù)包�,所述TCP SYN數(shù)據(jù)包中包含初始序列號(hào),所述TCP SYN數(shù)據(jù)包是針對(duì)統(tǒng)ー資源定位符的���,所述統(tǒng)ー資源定位符包括服務(wù)器信息和文件信息��;
[0027]初始序列號(hào)判斷模塊����,用于判斷所述初始序列號(hào)是否為預(yù)先分配的預(yù)設(shè)序列號(hào)��;
[0028]數(shù)據(jù)保存模塊�,用于如果所述初始序列號(hào)判斷模塊判斷到所述初始序列號(hào)是所述預(yù)設(shè)序列號(hào),則將所述TCP SYN數(shù)據(jù)包存儲(chǔ)至高優(yōu)先級(jí)隊(duì)列���;
[0029]所述數(shù)據(jù)保存模塊�,還用于如果所述初始序列號(hào)判斷模塊判斷到所述初始序列號(hào)不是所述預(yù)設(shè)序列號(hào)����,則將所述TCP SYN數(shù)據(jù)包存儲(chǔ)至低優(yōu)先級(jí)隊(duì)列���。
[0030]可選地,所述緩解攻擊裝置����,還包括:[0031]序號(hào)提供ホ旲塊;
[0032]所述序號(hào)提供模塊��,用于為客戶端分配所述預(yù)設(shè)序列號(hào)����,以便所述客戶端發(fā)送攜帶所述預(yù)設(shè)序列號(hào)的TCP SYN數(shù)據(jù)包����。
[0033]可選地,所述序號(hào)提供模塊�,具體包括:
[0034]第一序號(hào)提供單元;
[0035]所述第一序號(hào)提供単元��,用于向所述客戶端發(fā)送攜帯所述預(yù)設(shè)序列號(hào)的網(wǎng)頁(yè)�����。
[0036]可選地�,所述序號(hào)提供模塊,具體包括:
[0037]第二序號(hào)提供單元;
[0038]所述第二序號(hào)提供単元�,用于向搜索引擎提供所述統(tǒng)ー資源定位符和所述預(yù)設(shè)序列號(hào)之間的對(duì)應(yīng)關(guān)系,以便所述搜索引擎確定所述客戶端捜索所述統(tǒng)ー資源定位符或所述統(tǒng)ー資源定位符對(duì)應(yīng)的資源時(shí)�����,將對(duì)應(yīng)的所述預(yù)設(shè)序列號(hào)提供給所述客戶端���。
[0039]根據(jù)本發(fā)明的又一方面����,本發(fā)明實(shí)施例還提供一種服務(wù)器�����,所述服務(wù)器包括上述緩解攻擊裝置���。
[0040]根據(jù)本發(fā)明的另一方面����,本發(fā)明實(shí)施例還提供ー種序列號(hào)提供裝置�����,其包括:
[0041]請(qǐng)求接收模塊,用于接收用戶的搜索請(qǐng)求����;
[0042]請(qǐng)求搜索模塊,用于根據(jù)所述搜索請(qǐng)求搜索與所述搜索請(qǐng)求對(duì)應(yīng)的統(tǒng)ー資源定位符;
[0043]捜索判斷模塊����,用于判斷是否存在與捜索到的統(tǒng)ー資源定位符對(duì)應(yīng)的預(yù)設(shè)序列號(hào);
[0044]結(jié)果反饋模塊,用于如果存在與捜索到的統(tǒng)ー資源定位符對(duì)應(yīng)的預(yù)設(shè)序列號(hào)�����,則將所述捜索到的統(tǒng)ー資源定位符和所述與所述搜索到的統(tǒng)ー資源定位符對(duì)應(yīng)的預(yù)設(shè)序列號(hào)同時(shí)進(jìn)行反饋����。
[0045]可選地��,所述序列號(hào)提供裝置����,還包括:關(guān)系存儲(chǔ)模塊;
[0046]所述關(guān)系存儲(chǔ)模塊��,用于接收并存儲(chǔ)服務(wù)器提供的統(tǒng)ー資源定位符與預(yù)設(shè)序列號(hào)的對(duì)應(yīng)關(guān)系�。
[0047]根據(jù)本發(fā)明的還一方面�,本發(fā)明實(shí)施例還提供ー種搜索引擎服務(wù)器�,所述搜索引擎服務(wù)器包括上述序列號(hào)提供裝置。
[0048]本發(fā)明實(shí)施例提供的技術(shù)方案帶來(lái)的有益效果是:
[0049]通過(guò)對(duì)三次握手機(jī)制中的第一個(gè)TCP SYN數(shù)據(jù)包的初始序列號(hào)采用預(yù)設(shè)序列號(hào)���,使得服務(wù)器可以對(duì)客戶端進(jìn)行正常訪問(wèn)的TCP SYN數(shù)據(jù)包和拒絕服務(wù)攻擊進(jìn)行非正常訪問(wèn)的TCP SYN數(shù)據(jù)包具有了一定程度的辨別能力�,結(jié)合優(yōu)先級(jí)隊(duì)列的處理方式�����,達(dá)到了即便服務(wù)器承受高強(qiáng)度的TCP SYN洪水攻擊時(shí)���,也能夠?yàn)榭蛻舳颂峁┱5脑L問(wèn)服務(wù)的效果���。
【專利附圖】
【附圖說(shuō)明】
[0050]為了更清楚地說(shuō)明本發(fā)明實(shí)施例中的技術(shù)方案,下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)單地介紹�,顯而易見(jiàn)地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例����,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下���,還可以根據(jù)這些附圖獲得其他的附圖��。
[0051]圖1是現(xiàn)有技術(shù)中的ー種TCP連接建立方法的方法流程圖��;[0052]圖2是本發(fā)明實(shí)施例一提供的緩解攻擊方法的方法流程圖���;
[0053]圖3是本發(fā)明實(shí)施例ニ提供的緩解攻擊方法的方法流程圖���;
[0054]圖4是本發(fā)明實(shí)施例ニ提供的緩解攻擊方法的實(shí)施示意圖;
[0055]圖5是本發(fā)明實(shí)施例三提供的數(shù)據(jù)生成方法的方法示意圖��;
[0056]圖6是本發(fā)明實(shí)施例四提供的序列號(hào)提供方法的方法流程圖�����;
[0057]圖7是本發(fā)明實(shí)施例四提供的序列號(hào)提供方法的實(shí)施示意圖����;
[0058]圖8是本發(fā)明實(shí)施例五提供的ー種緩解攻擊裝置的結(jié)構(gòu)方框圖;
[0059]圖9是本發(fā)明實(shí)施例五提供的另ー種緩解攻擊裝置的結(jié)構(gòu)方框圖���;
[0060]圖10是本發(fā)明實(shí)施例六提供的數(shù)據(jù)生成裝置的結(jié)構(gòu)方框圖;
[0061]圖11是本發(fā)明實(shí)施例七提供的ー種序列號(hào)提供裝置的結(jié)構(gòu)方框圖��;
[0062]圖12是本發(fā)明實(shí)施例七提供的另ー種序列號(hào)提供裝置的結(jié)構(gòu)方框圖���。
【具體實(shí)施方式】
[0063]為使本發(fā)明的目的�、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖對(duì)本發(fā)明實(shí)施方式作進(jìn)ー步地詳細(xì)描述�。
[0064]實(shí)施例一
[0065]請(qǐng)參考圖2,其示出了本發(fā)明實(shí)施例一提供的緩解攻擊方法的方法流程圖����。該緩解攻擊方法可以用于服務(wù)器中,該緩解攻擊方法可以包括以下內(nèi)容�。
[0066]步驟202,服務(wù)器接收傳輸控制協(xié)議同步(英文縮寫為TCP SYN)數(shù)據(jù)包�,該TCP SYN數(shù)據(jù)包中包含初始序列號(hào),該TCP SYN數(shù)據(jù)包是針對(duì)統(tǒng)ー資源定位符的�,統(tǒng)ー資源定位符包括服務(wù)器信息和文件信息;
[0067]服務(wù)器可以接收客戶端發(fā)送的TCP SYN數(shù)據(jù)包�����,該TCP SYN數(shù)據(jù)包中包含初始序列號(hào)��。該TCP SYN數(shù)據(jù)包用于請(qǐng)求訪問(wèn)統(tǒng)ー資源定位符(英文全稱為Uniform ResourceLocator�����,英文縮寫為URL)對(duì)應(yīng)的網(wǎng)頁(yè)或者資源�����,統(tǒng)ー資源定位符可以認(rèn)為是網(wǎng)頁(yè)地址,其包括服務(wù)器信息和文件信息�,服務(wù)器信息為服務(wù)器的域名,文件信息不能為空�����。比如�����,ー個(gè)統(tǒng)一資源定位符為 http://www.XXXXX.com/view/245485, htm,那么 www.XXXXX.com 為服務(wù)器信息�,245485.htm為文件信息。
[0068]步驟204�����,服務(wù)器判斷該初始序列號(hào)是否為預(yù)先分配的預(yù)設(shè)序列號(hào)����,如果是,則進(jìn)入步驟206 ;如果否���,則進(jìn)入步驟208 �;
[0069]服務(wù)器可以判斷該初始序列號(hào)是否為預(yù)設(shè)序列號(hào)��,該預(yù)設(shè)序列號(hào)可以是服務(wù)器預(yù)先分配給客戶端的序列號(hào)���,預(yù)設(shè)序列號(hào)的取值范圍可以是“(T4294967295”的子集�。
[0070]步驟206����,如果該初始序列號(hào)是預(yù)設(shè)序列號(hào),則將TCP SYN數(shù)據(jù)包存儲(chǔ)至高優(yōu)先級(jí)隊(duì)列�����;
[0071]服務(wù)器可以同時(shí)維護(hù)兩個(gè)隊(duì)列��,其中ー個(gè)是高優(yōu)先級(jí)隊(duì)列���、另ー個(gè)是低優(yōu)先級(jí)隊(duì)列�。服務(wù)器也可以同時(shí)維護(hù)兩個(gè)以上的隊(duì)列��,其中ー個(gè)是高優(yōu)先級(jí)隊(duì)列�����,優(yōu)先級(jí)低于所述高優(yōu)先級(jí)隊(duì)列的一個(gè)或多個(gè)隊(duì)列均可以被視為是低優(yōu)先級(jí)隊(duì)列。如果服務(wù)器判斷該初始序列號(hào)是預(yù)設(shè)序列號(hào)時(shí)�����,可以將該TCP SYN數(shù)據(jù)包存儲(chǔ)至高優(yōu)先級(jí)隊(duì)列���。
[0072]此后�����,服務(wù)器可以優(yōu)先處理高優(yōu)先級(jí)隊(duì)列中的TCP SYN數(shù)據(jù)包并建立連接�,該建立連接的過(guò)程包括服務(wù)器向客戶端發(fā)送ACK+SYN數(shù)據(jù)包的過(guò)程���,也包括接收客戶端發(fā)送的ACK確認(rèn)數(shù)據(jù)包的過(guò)程�����。
[0073]步驟208�,如果該初始序列號(hào)不是預(yù)設(shè)序列號(hào)����,則將TCP SYN數(shù)據(jù)包存儲(chǔ)至低優(yōu)先級(jí)隊(duì)列�。
[0074]如果服務(wù)器判斷該初始序列號(hào)不是預(yù)設(shè)序列號(hào)時(shí)���,可以將該TCP SYN數(shù)據(jù)包存儲(chǔ)至低優(yōu)先級(jí)隊(duì)列。
[0075]此后����,服務(wù)器可以等待空閑時(shí)間才處理或者不處理低優(yōu)先級(jí)隊(duì)列中的TCP SYN數(shù)據(jù)包,并且在低優(yōu)先級(jí)隊(duì)列存儲(chǔ)滿之后�����,丟棄初始序列號(hào)不是預(yù)設(shè)序列號(hào)的ー個(gè)或多個(gè)TCPSYN數(shù)據(jù)包�。
[0076]綜上所述,本發(fā)明實(shí)施例一提供的緩解攻擊方法通過(guò)對(duì)三次握手機(jī)制中的第一個(gè)TCP SYN數(shù)據(jù)包的初始序列號(hào)采用預(yù)設(shè)序列號(hào)����,使得服務(wù)器可以對(duì)客戶端進(jìn)行正常訪問(wèn)的TCP SYN數(shù)據(jù)包和拒絕服務(wù)攻擊進(jìn)行非正常訪問(wèn)的TCP SYN數(shù)據(jù)包具有了 一定程度的辨別能力,結(jié)合優(yōu)先級(jí)隊(duì)列的處理方式���,達(dá)到了即便服務(wù)器承受高強(qiáng)度的TCP SYN洪水攻擊吋��,也能夠?yàn)榭蛻舳颂峁┱5脑L問(wèn)服務(wù)的效果��。
[0077]實(shí)施例ニ
[0078]請(qǐng)參考圖3����,其示出了本發(fā)明實(shí)施例ニ提供的緩解攻擊方法的方法流程圖。該緩解攻擊方法可以用于服務(wù)器中�,也即本實(shí)施例主要以服務(wù)器ー側(cè)來(lái)描述,該緩解攻擊方法可以包括以下內(nèi)容�����。
[0079]步驟302�����,為客戶端分配預(yù)設(shè)序列號(hào)����,以便客戶端發(fā)送攜帯有預(yù)設(shè)序列號(hào)的TCPSYN數(shù)據(jù)包;
[0080]服務(wù)器可以向客戶端分配預(yù)設(shè)序列號(hào)��,以便客戶端發(fā)送攜帯有預(yù)設(shè)序列號(hào)的TCPSYN數(shù)據(jù)包����。
[0081]可選地,服務(wù)器向客戶端發(fā)送攜帯預(yù)設(shè)序列號(hào)的網(wǎng)頁(yè)�����,這樣便可以直接地將預(yù)設(shè)序列號(hào)分配給客戶端。這樣����,當(dāng)客戶端發(fā)送針對(duì)統(tǒng)ー資源定位符的TCP SYN數(shù)據(jù)包時(shí),就可以將獲取的預(yù)設(shè)序列號(hào)添加到待發(fā)送的TCP SYN數(shù)據(jù)包中�����。
[0082]為了提高有效性�����,服務(wù)器可以動(dòng)態(tài)提供預(yù)設(shè)序列號(hào)�,也即可以每隔預(yù)定時(shí)間間隔�����,隨機(jī)選取ー組序列號(hào)作為預(yù)設(shè)序列號(hào)���。
[0083]可選地�����,服務(wù)器也可以向搜索引擎提供統(tǒng)ー資源定位符和預(yù)設(shè)序列號(hào)之間的對(duì)應(yīng)關(guān)系�����,以便搜索引擎確定客戶端搜索所述統(tǒng)ー資源定位符或所述統(tǒng)ー資源定位符對(duì)應(yīng)的資源時(shí)���,將對(duì)應(yīng)的預(yù)設(shè)序列號(hào)提供給客戶端����。
[0084]步驟304����,接收TCP SYN數(shù)據(jù)包,該TCP SYN數(shù)據(jù)包中包含初始序列號(hào)���,該TCP SYN數(shù)據(jù)包是針對(duì)統(tǒng)ー資源定位符的����,統(tǒng)ー資源定位符包括服務(wù)器信息和文件信息�;
[0085]服務(wù)器可以接收到客戶端發(fā)送的TCP SYN數(shù)據(jù)包,該TCP SYN數(shù)據(jù)包都包含有初始序列號(hào)�。該TCP SYN數(shù)據(jù)包用于請(qǐng)求訪問(wèn)統(tǒng)ー資源定位符(英文全稱為Uniform ResourceLocator,英文縮寫為URL)對(duì)應(yīng)的網(wǎng)頁(yè)或者資源�����,統(tǒng)ー資源定位符可以認(rèn)為是網(wǎng)頁(yè)地址,其包括服務(wù)器信息和文件信息����,服務(wù)器信息為服務(wù)器的域名,文件信息不能為空����。比如,ー個(gè)統(tǒng)一資源定位符為 http://www.XXXXX.com/view/245485, htm,那么 www.XXXXX.com 為服務(wù)器信息����,245485.htm為文件信息�����。
[0086]如果該TCP SYN數(shù)據(jù)包是由正常用戶的客戶端發(fā)送而來(lái)����,其中的初始序列號(hào)應(yīng)當(dāng)是服務(wù)器提供的預(yù)設(shè)序列號(hào);如果是拒絕服務(wù)攻擊提供的TCP SYN數(shù)據(jù)包�,則其中的初始序列號(hào)一般都不是預(yù)設(shè)序列號(hào)。
[0087]步驟306���,判斷該初始序列號(hào)是否為預(yù)先分配的預(yù)設(shè)序列號(hào)�����,如果是��,則進(jìn)入步驟308 ;如果否����,則進(jìn)入步驟310 ;
[0088]服務(wù)器可以判斷接收到的TCP SYN數(shù)據(jù)包中的初始序列號(hào)是否為預(yù)先分配給客戶端的預(yù)設(shè)序列號(hào)�����。
[0089]步驟308�,如果該初始序列號(hào)是預(yù)設(shè)序列號(hào),則將TCP SYN數(shù)據(jù)包存儲(chǔ)至高優(yōu)先級(jí)隊(duì)列�����;
[0090]服務(wù)器可以同時(shí)維護(hù)兩個(gè)隊(duì)列��,其中ー個(gè)是高優(yōu)先級(jí)隊(duì)列、另ー個(gè)是低優(yōu)先級(jí)隊(duì)列。服務(wù)器也可以同時(shí)維護(hù)兩個(gè)以上的隊(duì)列��,其中ー個(gè)是高優(yōu)先級(jí)隊(duì)列,優(yōu)先級(jí)低于所述高優(yōu)先級(jí)隊(duì)列的一個(gè)或多個(gè)隊(duì)列均可以被視為是低優(yōu)先級(jí)隊(duì)列。如果服務(wù)器判斷接收到的TCP SYN數(shù)據(jù)包中的初始序列號(hào)是預(yù)設(shè)序列號(hào)時(shí)�,可以將該TCP SYN數(shù)據(jù)包存儲(chǔ)至高優(yōu)先級(jí)隊(duì)列�����。
[0091]當(dāng)然�����,在更為優(yōu)選的實(shí)施例中��,優(yōu)先級(jí)隊(duì)列可以不止兩個(gè)��,而是多個(gè)�。比如:優(yōu)先級(jí)隊(duì)列可以是四個(gè)�,分別是第一優(yōu)先級(jí)隊(duì)列、第二優(yōu)先級(jí)隊(duì)列����、第三優(yōu)先級(jí)隊(duì)列和第四優(yōu)先級(jí)隊(duì)列�,各個(gè)隊(duì)列的優(yōu)先級(jí)依次降低。服務(wù)器可以首先對(duì)TCP SYN數(shù)據(jù)包的來(lái)源IP進(jìn)行分類��,對(duì)于來(lái)自預(yù)定IP地址的TCP SYN數(shù)據(jù)包可以存儲(chǔ)入第一優(yōu)先級(jí)隊(duì)列和第二優(yōu)先級(jí)隊(duì)列�,對(duì)于來(lái)自非預(yù)定IP地址的TCP SYN數(shù)據(jù)包可以存儲(chǔ)入第三優(yōu)先級(jí)隊(duì)列和第四優(yōu)先級(jí)隊(duì)列。然后將TCP SYN數(shù)據(jù)包存儲(chǔ)入第一優(yōu)先級(jí)隊(duì)列和第二優(yōu)先級(jí)隊(duì)列,或者第三優(yōu)先級(jí)隊(duì)列和第四優(yōu)先級(jí)隊(duì)列時(shí)�,才按照TCP SYN數(shù)據(jù)包中的初始序列號(hào)進(jìn)行再次分類。其中����,假設(shè)服務(wù)器位于總公司,預(yù)定IP地址可以是子公司的IP地址�。
[0092]步驟310,如果該初始序列號(hào)不是預(yù)設(shè)序列號(hào)�����,則將TCP SYN數(shù)據(jù)包存儲(chǔ)至低優(yōu)先級(jí)隊(duì)列���;
[0093]如果服務(wù)器判斷接收到的TCP SYN數(shù)據(jù)包中的初始序列號(hào)不是預(yù)設(shè)序列號(hào)時(shí)����,可以將該TCP SYN數(shù)據(jù)包存儲(chǔ)至低優(yōu)先級(jí)隊(duì)列���。當(dāng)?shù)蛢?yōu)先級(jí)隊(duì)列存儲(chǔ)滿之后���,可以對(duì)其內(nèi)的TCP SYN數(shù)據(jù)包進(jìn)行丟棄處理。
[0094]步驟312���,優(yōu)先處理高優(yōu)先級(jí)隊(duì)列中的TCP SYN數(shù)據(jù)包并建立連接���。
[0095]服務(wù)器可以優(yōu)先處理高優(yōu)先級(jí)隊(duì)列中的TCP SYN數(shù)據(jù)包并建立連接�����,該建立連接的過(guò)程包括服務(wù)器向客戶端發(fā)送ACK+SYN確認(rèn)數(shù)據(jù)包的過(guò)程�,也包括接收客戶端發(fā)送的ACK確認(rèn)數(shù)據(jù)包的過(guò)程�����。然后�,服務(wù)器也可以在將高優(yōu)先級(jí)隊(duì)列中的TCP SYN數(shù)據(jù)包處理完畢后,再處理低優(yōu)先級(jí)隊(duì)列中的SYN數(shù)據(jù)包���。由于高優(yōu)先級(jí)隊(duì)列中的TCP SYN數(shù)據(jù)包通常都是客戶端進(jìn)行正常訪問(wèn)的TCP SYN數(shù)據(jù)包���,而低優(yōu)先級(jí)隊(duì)列中的SYN數(shù)據(jù)包通常都是拒絕服務(wù)攻擊進(jìn)行非正常訪問(wèn)的TCP SYN數(shù)據(jù)包,所以可以優(yōu)先保證客戶端的正常訪問(wèn)����,而TCP SYN洪水攻擊發(fā)送的大量TCP SYN數(shù)據(jù)包將會(huì)在低優(yōu)先級(jí)隊(duì)列中被丟棄�����。
[0096]綜上所述,本發(fā)明實(shí)施例ニ提供的緩解攻擊方法通過(guò)對(duì)三次握手機(jī)制中的第一個(gè)TCP SYN數(shù)據(jù)包的初始序列號(hào)采用預(yù)設(shè)序列號(hào)���,使得服務(wù)器可以對(duì)客戶端進(jìn)行正常訪問(wèn)的TCP SYN數(shù)據(jù)包和拒絕服務(wù)攻擊進(jìn)行非正常訪問(wèn)的TCP SYN數(shù)據(jù)包具有了 一定程度的辨別能力�����,結(jié)合優(yōu)先級(jí)隊(duì)列的處理方式��,達(dá)到了即便服務(wù)器承受高強(qiáng)度的TCP SYN洪水攻擊吋�,也能夠?yàn)榭蛻舳颂峁┱5脑L問(wèn)服務(wù)的效果����。
[0097]實(shí)施例三[0098]請(qǐng)參考圖5,其示出了本發(fā)明實(shí)施例三提供的數(shù)據(jù)包生成方法的方法流程圖����。該數(shù)據(jù)包生成方法可以用于圖4所示客戶端中,用于生成包含預(yù)設(shè)數(shù)據(jù)包的TCP SYN數(shù)據(jù)包����。該數(shù)據(jù)包生成方法包括:
[0099]步驟502,接收用戶為ー個(gè)統(tǒng)ー資源定位符輸入的預(yù)設(shè)序列號(hào)�;
[0100]用戶在使用客戶端訪問(wèn)ー個(gè)由服務(wù)器提供的URL時(shí)����,可以將服務(wù)器同時(shí)提供給的預(yù)設(shè)序列號(hào)輸入給客戶端����。客戶端可以接收到用戶為該URL輸入的預(yù)設(shè)序列號(hào)����。
[0101]步驟504,將預(yù)設(shè)序列號(hào)作為初始序列號(hào)以生成TCP SYN數(shù)據(jù)包�����,該TCP SYN數(shù)據(jù)包為請(qǐng)求連接該統(tǒng)ー資源定位符對(duì)應(yīng)的服務(wù)器的TCP SYN數(shù)據(jù)包����。
[0102]客戶端在接收到該預(yù)設(shè)序列號(hào)后,可以將該預(yù)設(shè)序列號(hào)作為初始序列號(hào)來(lái)生成一個(gè)TCPSYN數(shù)據(jù)包�,該TCP SYN數(shù)據(jù)包是用于請(qǐng)求連接上述URL對(duì)應(yīng)的服務(wù)器的TCP SYN數(shù)據(jù)包。
[0103]綜上所述���,本發(fā)明實(shí)施例三提供的數(shù)據(jù)包生成方法可以利用服務(wù)器提供的預(yù)設(shè)序列號(hào)來(lái)生成TCP SYN數(shù)據(jù)包���,使得客戶端向服務(wù)器發(fā)送的TCP SYN數(shù)據(jù)包具有了一定程度的可識(shí)別性,以便于服務(wù)器進(jìn)行后續(xù)處理����。
[0104]由于服務(wù)器提供至少ー個(gè)預(yù)設(shè)序列號(hào),以便客戶端根據(jù)預(yù)設(shè)序列號(hào)發(fā)送TCP SYN數(shù)據(jù)包也可以采用其它實(shí)現(xiàn)方式來(lái)實(shí)現(xiàn)�����,為此請(qǐng)繼續(xù)參考如下實(shí)施例�。
[0105]實(shí)施例四
[0106]請(qǐng)參考圖6,其示出了本發(fā)明實(shí)施例三提供的序列號(hào)提供方法的方法流程圖���。該序列號(hào)提供方法可以用于搜索引擎服務(wù)器中�����,該序列號(hào)提供方法可以包括以下內(nèi)容���。
[0107]步驟602,接收并存儲(chǔ)服務(wù)器提供的統(tǒng)ー資源定位符與預(yù)設(shè)序列號(hào)的對(duì)應(yīng)關(guān)系��;
[0108]服務(wù)器可以預(yù)先向搜索引擎服務(wù)器提供至少ー對(duì)自身提供的URL和預(yù)設(shè)序列號(hào)之間的對(duì)應(yīng)關(guān)系��,具體地講�����,服務(wù)器提供的每ー個(gè)URL都可以分別各自對(duì)應(yīng)ー個(gè)預(yù)設(shè)序列號(hào),這種對(duì)應(yīng)關(guān)系也即URL和預(yù)設(shè)序列號(hào)之間的對(duì)應(yīng)關(guān)系�。其中,“預(yù)先”的時(shí)刻可以是在服務(wù)器接收到拒絕服務(wù)攻擊時(shí)����;服務(wù)器提供的預(yù)設(shè)序列號(hào)也可以是動(dòng)態(tài)提供的。搜索引擎服務(wù)器可以接收到服務(wù)器提供的該URL與預(yù)設(shè)序列號(hào)的對(duì)應(yīng)關(guān)系����,然后搜索引擎服務(wù)器可以存儲(chǔ)該URL與預(yù)設(shè)序列號(hào)的對(duì)應(yīng)關(guān)系。
[0109]步驟604��,接收用戶的搜索請(qǐng)求�;
[0110]搜索引擎服務(wù)器可以接收用戶的搜索請(qǐng)求,比如用戶通過(guò)其使用的客戶端向捜索請(qǐng)求服務(wù)器發(fā)送一個(gè)有關(guān)服務(wù)器提供的內(nèi)容的搜索請(qǐng)求��。
[0111]步驟606�,根據(jù)該搜索請(qǐng)求搜索與所述搜索請(qǐng)求對(duì)應(yīng)的統(tǒng)ー資源定位符;
[0112]搜索引擎服務(wù)器在接收到用戶的搜索請(qǐng)求之后�����,可以根據(jù)該搜索請(qǐng)求搜索URL���。簡(jiǎn)單來(lái)講�����,就是搜索引擎服務(wù)器根據(jù)用戶的搜索請(qǐng)求��,捜索相關(guān)的網(wǎng)頁(yè)內(nèi)容��。通常�����,捜索引擎服務(wù)器可以搜索到很多相關(guān)URL���,這些URL —部分是有上述服務(wù)器來(lái)提供的。
[0113]步驟608���,判斷是否存在與捜索到的統(tǒng)ー資源定位符對(duì)應(yīng)的預(yù)設(shè)序列號(hào)���;
[0114]搜索引擎服務(wù)器可以判斷捜索到的每個(gè)URL是否存在對(duì)應(yīng)的預(yù)設(shè)序列號(hào)。具體地講�,如果搜索引擎服務(wù)器判斷的URL是由上述服務(wù)器提供的,則可以根據(jù)預(yù)先存儲(chǔ)的URL與預(yù)設(shè)序列號(hào)的對(duì)應(yīng)關(guān)系查找到相對(duì)應(yīng)的預(yù)設(shè)序列號(hào)�����。如果搜索引擎服務(wù)器判斷的URL不是由上述服務(wù)器提供的,則根據(jù)預(yù)先存儲(chǔ)的URL與預(yù)設(shè)序列號(hào)的對(duì)應(yīng)關(guān)系是無(wú)法查找到相對(duì)應(yīng)的預(yù)設(shè)序列號(hào)的�。[0115]步驟610,如果存在與捜索到的統(tǒng)ー資源定位符對(duì)應(yīng)的預(yù)設(shè)序列號(hào)��,則將搜索到的統(tǒng)ー資源定位符和與捜索到的統(tǒng)ー資源定位符對(duì)應(yīng)的預(yù)設(shè)序列號(hào)同時(shí)進(jìn)行反饋����。
[0116]如果搜索引擎服務(wù)器判斷到存在與捜索到的URL對(duì)應(yīng)的預(yù)設(shè)序列號(hào),則可以將該URL和預(yù)設(shè)序列號(hào)同時(shí)反饋�����,比如在ー個(gè)具體的示例中�����,搜索引擎服務(wù)器可以先將捜索到的URL按照列表方式提供給用戶使用的客戶端����,當(dāng)用戶的鼠標(biāo)點(diǎn)擊到上述服務(wù)器提供的URL時(shí),搜索引擎服務(wù)器可以彈出ー個(gè)加擾圖片和輸入框��。如圖7所示,該加擾圖片上顯示有簡(jiǎn)單的加法算式�,該加法算式的計(jì)算結(jié)果即為與這個(gè)URL相對(duì)應(yīng)的預(yù)設(shè)序列號(hào)。
[0117]然后客戶端可以利用該預(yù)設(shè)序列號(hào)生成TCP SYN數(shù)據(jù)包向服務(wù)器發(fā)起TCP請(qǐng)求��,相應(yīng)的步驟如上述實(shí)施例與步驟502和步驟504類似�。服務(wù)器接收到該TCP SYN數(shù)據(jù)包后,可以建立TCP連接��,相應(yīng)的步驟與上述實(shí)施例中步驟304和步驟312類似�。此處不再——贅述�����。
[0118]綜上所述�,本發(fā)明實(shí)施例四提供的序列號(hào)提供方法可以利用搜索引擎服務(wù)器來(lái)向客戶端提供預(yù)設(shè)序列號(hào),以便客戶端來(lái)生成包含預(yù)設(shè)序列號(hào)的TCP SYN數(shù)據(jù)包�����,使得客戶端向服務(wù)器發(fā)送的TCP SYN數(shù)據(jù)包具有了一定程度的可識(shí)別性����。同時(shí),本發(fā)明實(shí)施例四提供的序列號(hào)提供方法利用搜索引擎服務(wù)器來(lái)提供預(yù)設(shè)序列號(hào)�����,可以將提供預(yù)設(shè)序列號(hào)的過(guò)程和服務(wù)器處理TCP SYN數(shù)據(jù)包的過(guò)程互相分離,即便服務(wù)器此刻正在承受較強(qiáng)的TCP SYN洪水攻擊��,也能由搜索引擎服務(wù)器為客戶端正常地提供預(yù)設(shè)序列號(hào)���,達(dá)到了更好的抗攻擊效果�����。
[0119]實(shí)施例五
[0120]請(qǐng)參考圖8�,其示出了本發(fā)明實(shí)施例五提供的緩解攻擊裝置的結(jié)構(gòu)方框圖��。該緩解攻擊裝置可以用于服務(wù)器中����。該緩解攻擊裝置可以包括數(shù)據(jù)接收模塊820、初始序列號(hào)判斷模塊840和數(shù)據(jù)保存模塊860����。
[0121]數(shù)據(jù)接收模塊820用于接收傳輸控制協(xié)議TCP SYN數(shù)據(jù)包,該TCP SYN數(shù)據(jù)包中包含初始序列號(hào)�,TCP SYN數(shù)據(jù)包是針對(duì)統(tǒng)ー資源定位符的,統(tǒng)ー資源定位符包括服務(wù)器信息和文件信息�。
[0122]初始序列號(hào)判斷模塊840用于判斷數(shù)據(jù)接收模塊820接收到的初始序列號(hào)是否為預(yù)先分配的預(yù)設(shè)序列號(hào)�����。
[0123]數(shù)據(jù)保存模塊860用于如果初始序列號(hào)判斷模塊840判斷到該初始序列號(hào)是預(yù)設(shè)序列號(hào)����,則將TCP SYN數(shù)據(jù)包存儲(chǔ)至高優(yōu)先級(jí)隊(duì)列�。數(shù)據(jù)保存模塊860也用于如果初始序列號(hào)判斷模塊840判斷到初始序列號(hào)不是預(yù)設(shè)序列號(hào),則將TCP SYN數(shù)據(jù)包存儲(chǔ)至低優(yōu)先級(jí)隊(duì)列����。
[0124]更為優(yōu)選地,該緩解攻擊裝置還可以包括序號(hào)提供模塊810�,如圖9所示����。序號(hào)提供模塊810用于為客戶端分配預(yù)設(shè)序列號(hào),以便客戶端發(fā)送攜帯所述預(yù)設(shè)序列號(hào)的TCPSYN數(shù)據(jù)包�。序號(hào)提供模塊810可以包括第一序號(hào)提供単元812。其中����,第一序號(hào)提供単元812用于向客戶端發(fā)送攜帯預(yù)設(shè)序列號(hào)的網(wǎng)頁(yè)?���;蛘?����,序號(hào)提供模塊810可以包括第二序號(hào)提供単元814��,第二序號(hào)提供単元814用于向搜索引擎提供所述統(tǒng)ー資源定位符和所述預(yù)設(shè)序列號(hào)之間的對(duì)應(yīng)關(guān)系�,以便搜索引擎確定所述客戶端捜索所述統(tǒng)ー資源定位符或所述統(tǒng)ー資源定位符對(duì)應(yīng)的資源時(shí)���,將對(duì)應(yīng)的所述預(yù)設(shè)序列號(hào)提供給客戶端��。
[0125]綜上所述�����,本發(fā)明實(shí)施例五提供的緩解攻擊裝置通過(guò)對(duì)三次握手機(jī)制中的第一個(gè)TCP SYN數(shù)據(jù)包的初始序列號(hào)采用預(yù)設(shè)序列號(hào)��,使得服務(wù)器可以對(duì)客戶端進(jìn)行正常訪問(wèn)的TCP SYN數(shù)據(jù)包和拒絕服務(wù)攻擊進(jìn)行非正常訪問(wèn)的SYN數(shù)據(jù)包具有了一定程度的辨別能力���,結(jié)合優(yōu)先級(jí)隊(duì)列的處理方式,達(dá)到了即便服務(wù)器承受高強(qiáng)度的TCP洪水攻擊時(shí)�,也能夠?yàn)榭蛻舳颂峁┱5脑L問(wèn)服務(wù)的效果。
[0126]需要說(shuō)明的是:上述實(shí)施例提供的緩解攻擊裝置在緩解拒絕服務(wù)攻擊時(shí)��,僅以上述各功能模塊的劃分進(jìn)行舉例說(shuō)明,實(shí)際應(yīng)用中����,可以根據(jù)需要而將上述功能分配由不同的功能模塊完成,即將裝置的內(nèi)部結(jié)構(gòu)劃分成不同的功能模塊��,以完成以上描述的全部或者部分功能�。另外,上述實(shí)施例提供的緩解攻擊裝置與緩解攻擊方法實(shí)施例屬于同一構(gòu)思�����,其具體實(shí)現(xiàn)過(guò)程詳見(jiàn)方法實(shí)施例�����,這里不再贅述�。
[0127]實(shí)施例六
[0128]請(qǐng)參考圖10���,其示出了本發(fā)明實(shí)施例六提供的數(shù)據(jù)包生成裝置的結(jié)構(gòu)方框圖�����。該數(shù)據(jù)包生成裝置可以用于客戶端中�,該數(shù)據(jù)包生成裝置可以包括序號(hào)接收模塊1020和數(shù)據(jù)生成模塊1040。
[0129]序號(hào)接收模塊1020用于接收用戶為ー個(gè)統(tǒng)ー資源定位符輸入的預(yù)設(shè)序列號(hào)����。
[0130]數(shù)據(jù)生成模塊1040用于將序號(hào)接收模塊1020接收到的預(yù)設(shè)序列號(hào)作為初始序列號(hào)以生成TCP SYN數(shù)據(jù)包,該TCP SYN數(shù)據(jù)包為請(qǐng)求連接該統(tǒng)ー資源定位符對(duì)應(yīng)的服務(wù)器的TCP SYN數(shù)據(jù)包��。
[0131 ] 綜上所述�����,本發(fā)明實(shí)施例六提供的數(shù)據(jù)包生成裝置可以利用服務(wù)器提供的預(yù)設(shè)序列號(hào)來(lái)生成TCP SYN數(shù)據(jù)包�����,使得客戶端向服務(wù)器發(fā)送的TCP SYN數(shù)據(jù)包具有了一定程度的可識(shí)別性���,以便于服務(wù)器進(jìn)行后續(xù)處理��。
[0132]需要說(shuō)明的是:上述實(shí)施例提供的數(shù)據(jù)包生成裝置在生成TCP SYN數(shù)據(jù)包時(shí)��,僅以上述各功能模塊的劃分進(jìn)行舉例說(shuō)明��,實(shí)際應(yīng)用中����,可以根據(jù)需要而將上述功能分配由不同的功能模塊完成,即將裝置的內(nèi)部結(jié)構(gòu)劃分成不同的功能模塊����,以完成以上描述的全部或者部分功能。另外��,上述實(shí)施例提供的數(shù)據(jù)包生成裝置與數(shù)據(jù)包生成方法實(shí)施例屬于同一構(gòu)思��,其具體實(shí)現(xiàn)過(guò)程詳見(jiàn)方法實(shí)施例���,這里不再贅述�。
[0133]實(shí)施例七
[0134]請(qǐng)參考圖11���,其示出了本發(fā)明實(shí)施例七提供的序列號(hào)提供裝置的結(jié)構(gòu)方框圖�。該序列號(hào)提供裝置可以用于搜索引擎服務(wù)器中�����,該序列號(hào)提供裝置包括請(qǐng)求接收模塊1120��、請(qǐng)求搜索模塊1140�����、搜索判斷模塊1160和結(jié)果反饋模塊1180���。
[0135]請(qǐng)求接收模塊1120用于接收用戶的搜索請(qǐng)求�。
[0136]請(qǐng)求搜索模塊1140用于根據(jù)請(qǐng)求接收模塊1120接收到的搜索請(qǐng)求搜索與所述搜索請(qǐng)求對(duì)應(yīng)的統(tǒng)ー資源定位符�。
[0137]搜索判斷模塊1160用于判斷是否存在與請(qǐng)求搜索模塊1140搜索到的統(tǒng)ー資源定位符對(duì)應(yīng)的預(yù)設(shè)序列號(hào)。
[0138]結(jié)果反饋模塊1180用于如果搜索判斷模塊1160判斷到存在與請(qǐng)求搜索模塊1140捜索到的統(tǒng)ー資源定位符對(duì)應(yīng)的預(yù)設(shè)序列號(hào)�,則將所述搜索到的統(tǒng)ー資源定位符和所述與所述搜索到的統(tǒng)ー資源定位符對(duì)應(yīng)的預(yù)設(shè)序列號(hào)同時(shí)進(jìn)行反饋。
[0139]更為優(yōu)選地��,該序列號(hào)提供裝置還可以包括關(guān)系存儲(chǔ)模塊1110����,如圖12所示。關(guān)系存儲(chǔ)模塊1110用于接收并存儲(chǔ)服務(wù)器提供的統(tǒng)ー資源定位符與預(yù)設(shè)序列號(hào)的對(duì)應(yīng)關(guān)糸��。
[0140]綜上所述����,本發(fā)明實(shí)施例七提供的序列號(hào)提供裝置可以利用搜索引擎服務(wù)器來(lái)向客戶端提供預(yù)設(shè)序列號(hào),以便客戶端來(lái)生成包含預(yù)設(shè)序列號(hào)的TCP SYN數(shù)據(jù)包����,使得客戶端向服務(wù)器發(fā)送的TCP SYN數(shù)據(jù)包具有了一定程度的可識(shí)別性。同時(shí)����,本發(fā)明實(shí)施例七提供的序列號(hào)提供裝置利用搜索引擎服務(wù)器來(lái)提供預(yù)設(shè)序列號(hào)���,可以將提供預(yù)設(shè)序列號(hào)的過(guò)程和服務(wù)器處理TCP SYN數(shù)據(jù)包的過(guò)程互相分離,即便服務(wù)器此刻正在承受較強(qiáng)的TCP SYN洪水攻擊���,也能由搜索引擎服務(wù)器為客戶端正常地提供預(yù)設(shè)序列號(hào)�����,達(dá)到了更好的抗攻擊效果�。
[0141]需要說(shuō)明的是:上述實(shí)施例提供的序列號(hào)提供裝置在提供序列號(hào)時(shí)����,僅以上述各功能模塊的劃分進(jìn)行舉例說(shuō)明,實(shí)際應(yīng)用中����,可以根據(jù)需要而將上述功能分配由不同的功能模塊完成,即將裝置的內(nèi)部結(jié)構(gòu)劃分成不同的功能模塊�����,以完成以上描述的全部或者部分功能。另外��,上述實(shí)施例提供的序列號(hào)提供裝置與序列號(hào)提供方法實(shí)施例屬于同一構(gòu)思�����,其具體實(shí)現(xiàn)過(guò)程詳見(jiàn)方法實(shí)施例����,這里不再贅述���。
[0142]本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例的全部或部分步驟可以通過(guò)硬件來(lái)完成��,也可以通過(guò)程序來(lái)指令相關(guān)的硬件完成���,所述的程序可以存儲(chǔ)于ー種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中,上述提到的存儲(chǔ)介質(zhì)可以是只讀存儲(chǔ)器��,磁盤或光盤等���。
[0143]以上所述僅為本發(fā)明的較佳實(shí)施例����,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)���,所作的任何修改�、等同替換����、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)����。
【權(quán)利要求】
1.ー種緩解攻擊方法,其特征在于�����,所述方法包括: 服務(wù)器接收傳輸控制協(xié)議同步TCP SYN數(shù)據(jù)包��,所述TCP SYN數(shù)據(jù)包中包含初始序列號(hào)�����,所述TCP SYN數(shù)據(jù)包是針對(duì)統(tǒng)ー資源定位符的�,所述統(tǒng)ー資源定位符包括服務(wù)器信息和文件信息; 所述服務(wù)器確定所述初始序列號(hào)是否為預(yù)先分配的預(yù)設(shè)序列號(hào)�; 如果所述初始序列號(hào)是所述預(yù)設(shè)序列號(hào)���,則所述服務(wù)器將所述TCP SYN數(shù)據(jù)包存儲(chǔ)至高優(yōu)先級(jí)隊(duì)列; 如果所述初始序列號(hào)不是所述預(yù)設(shè)序列號(hào)�,則所述服務(wù)器將所述TCP SYN數(shù)據(jù)包存儲(chǔ)至低優(yōu)先級(jí)隊(duì)列。
2.根據(jù)權(quán)利要求1所述的緩解攻擊方法���,其特征在于,所述接收傳輸控制協(xié)議同步TCPSYN數(shù)據(jù)包之前,還包括: 所述服務(wù)器為客戶端分配所述預(yù)設(shè)序列號(hào)�,以便所述客戶端發(fā)送攜帯所述預(yù)設(shè)序列號(hào)的TCP SYN數(shù)據(jù)包。
3.根據(jù)權(quán)利要求2所述的緩解攻擊方法�,其特征在于,所述為客戶端分配所述預(yù)設(shè)序列號(hào)����,具體包括: 所述服務(wù)器向所述客戶端發(fā)送攜帯所述預(yù)設(shè)序列號(hào)的網(wǎng)頁(yè)。
4.根據(jù)權(quán)利要求2所述的緩解攻擊方法�,其特征在于,所述為客戶端分配所述預(yù)設(shè)序列號(hào)����,具體包括: 向搜索引擎提供所述統(tǒng)ー資源定位符和所述預(yù)設(shè)序列號(hào)之間的對(duì)應(yīng)關(guān)系,以便所述搜索引擎確定所述客戶端捜索所述統(tǒng)ー資源定位符或所述統(tǒng)ー資源定位符對(duì)應(yīng)的資源時(shí)�,將對(duì)應(yīng)的所述預(yù)設(shè)序列號(hào)提供給所述客戶端。
5.ー種序列號(hào)提供方法�,其特征在于�,其包括: 接收用戶的搜索請(qǐng)求���; 根據(jù)所述搜索請(qǐng)求搜索與所述搜索請(qǐng)求對(duì)應(yīng)的統(tǒng)ー資源定位符�����; 判斷是否存在與捜索到的統(tǒng)ー資源定位符對(duì)應(yīng)的預(yù)設(shè)序列號(hào)���; 如果存在與捜索到的統(tǒng)ー資源定位符對(duì)應(yīng)的預(yù)設(shè)序列號(hào),則將所述搜索到的統(tǒng)ー資源定位符和所述與所述搜索到的統(tǒng)ー資源定位符對(duì)應(yīng)的預(yù)設(shè)序列號(hào)同時(shí)進(jìn)行反饋���。
6.根據(jù)權(quán)利要求5所述的序列號(hào)提供方法��,其特征在干��,所述接收用戶的搜索請(qǐng)求之前�,還包括: 接收并存儲(chǔ)服務(wù)器提供的統(tǒng)ー資源定位符與預(yù)設(shè)序列號(hào)的對(duì)應(yīng)關(guān)系���。
7.ー種緩解攻擊裝置��,其特征在于��,所述裝置包括: 數(shù)據(jù)接收模塊���,用于接收傳輸控制協(xié)議同步TCP SYN數(shù)據(jù)包���,所述TCP SYN數(shù)據(jù)包中包含初始序列號(hào),所述TCP SYN數(shù)據(jù)包是針對(duì)統(tǒng)ー資源定位符的���,所述統(tǒng)ー資源定位符包括服務(wù)器信息和文件信息���; 初始序列號(hào)判斷模塊��,用于判斷所述初始序列號(hào)是否為預(yù)先分配的預(yù)設(shè)序列號(hào)�; 數(shù)據(jù)保存模塊,用于如果所述初始序列號(hào)判斷模塊判斷到所述初始序列號(hào)是所述預(yù)設(shè)序列號(hào)��,則將所述TCP SYN數(shù)據(jù)包存儲(chǔ)至高優(yōu)先級(jí)隊(duì)列���; 所述數(shù)據(jù)保存模塊�����,還用于如果所述初始序列號(hào)判斷模塊判斷到所述初始序列號(hào)不是所述預(yù)設(shè)序列號(hào)��,則將所述TCP SYN數(shù)據(jù)包存儲(chǔ)至低優(yōu)先級(jí)隊(duì)列�����。
8.根據(jù)權(quán)利要求7所述的緩解攻擊裝置����,其特征在于,所述緩解攻擊裝置���,還包括: 序號(hào)提供ホ吳塊��; 所述序號(hào)提供模塊��,用于為客戶端分配所述預(yù)設(shè)序列號(hào)��,以便所述客戶端發(fā)送攜帯所述預(yù)設(shè)序列號(hào)的TCP SYN數(shù)據(jù)包�。
9.根據(jù)權(quán)利要求8所述的緩解攻擊裝置���,其特征在于����,所述序號(hào)提供模塊����,具體包括: 第一序號(hào)提供単元���; 所述第一序號(hào)提供単元,用于向所述客戶端發(fā)送攜帯所述預(yù)設(shè)序列號(hào)的網(wǎng)頁(yè)����。
10.根據(jù)權(quán)利要求8所述的緩解攻擊裝置,其特征在于����,所述序號(hào)提供模塊,具體包括: 第二序號(hào)提供単元�; 所述第二序號(hào)提供単元,用于向搜索引擎提供所述統(tǒng)ー資源定位符和所述預(yù)設(shè)序列號(hào)之間的對(duì)應(yīng)關(guān)系��,以便所述搜索引擎確定所述客戶端捜索所述統(tǒng)ー資源定位符或所述統(tǒng)ー資源定位符對(duì)應(yīng)的資源時(shí)����,將對(duì)應(yīng)的所述預(yù)設(shè)序列號(hào)提供給所述客戶端��。
11.一種服務(wù)器����,其特征在于,所述服務(wù)器包括如權(quán)利要求7至10任一所述的緩解攻擊裝置��。
12.—種序列號(hào)提供裝置,其特征在于���,其包括: 請(qǐng)求接收模塊���,用于接收用戶的搜索請(qǐng)求;請(qǐng)求搜索模塊�����,用于根據(jù)所述搜索請(qǐng)求搜索與所述搜索請(qǐng)求對(duì)應(yīng)的統(tǒng)ー資源定位符�;捜索判斷模塊,用于判斷是否存在與捜索到的統(tǒng)ー資源定位符對(duì)應(yīng)的預(yù)設(shè)序列號(hào)�����;結(jié)果反饋模塊�����,用于如果存在與捜索到的統(tǒng)ー資源定位符對(duì)應(yīng)的預(yù)設(shè)序列號(hào)�����,則將所述搜索到的統(tǒng)ー資源定位符和所述與所述搜索到的統(tǒng)ー資源定位符對(duì)應(yīng)的預(yù)設(shè)序列號(hào)同時(shí)進(jìn)行反饋。
13.根據(jù)權(quán)利要求12所述的序列號(hào)提供裝置���,其特征在于�����,所述序列號(hào)提供裝置�����,還包括:關(guān)系存儲(chǔ)模塊���; 所述關(guān)系存儲(chǔ)模塊,用于接收并存儲(chǔ)服務(wù)器提供的統(tǒng)ー資源定位符與預(yù)設(shè)序列號(hào)的對(duì)應(yīng)關(guān)系�����。
14.ー種搜索引擎服務(wù)器���,其特征在于,所述搜索引擎服務(wù)器包括如權(quán)利要求12或13所述的序列號(hào)提供裝置���。
【文檔編號(hào)】H04L29/06GK103491061SQ201210195034
【公開(kāi)日】2014年1月1日 申請(qǐng)日期:2012年6月13日 優(yōu)先權(quán)日:2012年6月13日
【發(fā)明者】陳國(guó)海, 謝于明 申請(qǐng)人:華為技術(shù)有限公司