一种网络攻击的防护方法、装置及存储介质制造方法及图纸

本发明专利技术实施例公开了网络攻击的防护方法、装置及存储介质，应用于信息处理技术领域。防护系统会在接收到终端的首次请求报文后，直接返回错误响应报文，并通过终端根据错误响应报文的反馈来确定终端是否为具有可信网络协议地址的终端，以进行网络攻击的防护。这样，当终端发出了首次请求报文后，如果在终端开启“防火墙”功能的情况下，防护系统也会继续等待终端在未接收到任何响应时的反馈，并根据反馈判断终端是否为具有可信网络协议地址的终端，从而不会对这种类型的终端误杀，使得容错性更高。

Protection method, device and storage medium for network attack

The embodiment of the invention discloses a network attack protection method, a device and a storage medium, which are applied to the field of information processing technology. After receiving the terminal's first request message, the protection system will return the error response message directly, and determine whether the terminal is a terminal with a trusted network protocol address by the feedback of the error response message. In this way, when the terminal sends out the first request message, if the terminal turns on the \firewall\ function, the defense system will continue to wait for feedback when the terminal does not receive any response, and judge whether the terminal is a terminal with a trusted network protocol address based on the feedback, thus not for this type of terminal. Terminal manslaughter makes fault tolerance even higher.

【技术实现步骤摘要】
一种网络攻击的防护方法、装置及存储介质
本专利技术涉及通信
，特别涉及一种网络攻击的防护方法、装置及存储介质。
技术介绍
分布式拒绝服务攻击(DistributedDenialofService，DDoS)等一类的攻击通常都是通过僵尸网络发起的，因僵尸网络分布于互联网各处，故这类攻击称为分布式DoS攻击。同步洪水(SYNFLOOD)攻击是最典型的DDoS攻击手法，直到现在仍为最主要的DDoS攻击威胁。SYNFLOOD就是通过控制分布在互联网各处的肉鸡向目的服务器同时发送大量的同步(Synchronize，简称syn)报文，被攻击服务器接收到syn报文后，会进行如下操作：(1)产生大量syn半连接，连接数被撑满，无法建立新的网络连接；(2)忙于处理syn报文，处理器内存等资源被耗尽，最终，被攻击服务器无法响应正常用户请求，造成拒绝服务。现有SYNFLOOD防护主要依赖反向探测算法进行防护，通过反向探测算法，可以识别伪造网络协议(InternetProtocol，IP)和真实IP，从而对SYNFLOOD做清洗。具体地，一种情况下，防护系统会接收用户请求，并向用户请求的终端返回错误的响应，对于具有真实IP的终端会拒绝本次连接，并发出拒绝连接请求，当防护系统收到拒绝连接请求后，确定该终端具有真实IP；而具有伪造IP的肉鸡，则不会进行任何操作。但是有些终端开启了“防火墙”功能，会丢弃该错误的响应，从而使得这种类型的终端无法通过防护系统的验证，导致误杀。
技术实现思路
本专利技术实施例提供一种网络攻击的防护方法、装置及存储介质，实现了通过终端根据错误响应报文发出的重传请求报文，确定终端是否为具有可信网络协议地址的终端。本专利技术实施例第一方面提供一种网络攻击的防护方法，包括：接收终端的首次请求报文；根据所述首次请求报文，向所述终端返回错误响应报文；当接收到所述终端根据所述错误响应报文发出的重传请求报文，向所述终端返回正确响应报文；当接收到所述终端根据所述正确响应报文发出的网络连接请求，确定所述终端为具有可信网络协议地址的终端，以进行网络攻击的防护。本专利技术实施例第二方面提供一种网络攻击的防护装置，包括：报文接收单元，反馈单元，及终端确定单元，其中：所述报文接收单元，用于接收终端的首次请求报文；所述反馈单元，用于根据所述首次请求报文，向所述终端返回错误响应报文；所述反馈单元，还用于当接收到所述终端根据所述错误响应报文发出的重传请求报文，向所述终端返回正确响应报文；所述终端确定单元，用于当接收到所述终端根据所述正确响应报文发出的网络连接请求，确定所述终端为具有可信网络协议地址的终端，以进行网络攻击的防护。本专利技术实施例第三方面提供一种存储介质，所述存储介质储存多条指令，所述指令适于由处理器加载并执行如本专利技术实施例第一方面所述的网络攻击的防护方法。本专利技术实施例第四方面提供一种服务器，包括处理器和存储介质，所述处理器，用于实现各个指令；所述存储介质用于储存多条指令，所述指令用于由处理器加载并执行如本专利技术实施例第一方面所述的网络攻击的防护方法。可见，在本实施例的方法中，防护系统会在接收到终端的首次请求报文后，直接返回错误响应报文，并通过终端根据错误响应报文的反馈来确定终端是否为具有可信网络协议地址的终端，以进行网络攻击的防护。这样，当终端发出了首次请求报文后，如果在终端开启“防火墙”功能的情况下，防护系统也会继续等待终端在未接收到任何响应时的反馈，并根据反馈判断终端是否为具有可信网络协议地址的终端，从而不会对这种类型的终端误杀，使得容错性更高。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术实施例提供的一种网络攻击的防护方法所应用于的系统的结构示意图；图2是本专利技术一个实施例提供的一种网络攻击的防护方法的流程图；图3是本专利技术应用实施例中防护系统的结构示意图；图4是本专利技术应用实施例提供的网络攻击的防护方法的流程图；图5是本专利技术应用实施例提供的同步混合算法的示意图；图6是本专利技术应用实施例提供的重传验证算法的示意图；图7是本专利技术另一应用实施例中网络攻击的防护方法所应用于的场景的示意图；图8是本专利技术实施例提供的一种网络攻击的防护装置的结构示意图；图9是本专利技术实施例提供的另一种网络攻击的防护装置的结构示意图；图10是本专利技术实施例提供的一种服务器的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本专利技术的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排它的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。本专利技术实施例提供一种网络攻击的防护方法，主要可以应用于如图1所示的系统中，在该系统中包括终端，防护系统和服务器，其中：终端发送给服务器的数据要先经过防护系统，该终端包括正常用户请求的终端，也包括僵尸网络中发送数据的终端(称为肉鸡)。防护系统用于对发送给服务器的数据实施数据的防护措施，即对终端发送给服务器的数据进行清洗，具体地，当根据终端发送的报文确定该终端属于具有可信网络协议地址的终端时，将该终端后续发送的报文都转发给服务器，当该终端属于具有伪造网络协议地址的终端时，会丢弃该终端后续发送的报文。在本实施例中，防护系统可以根据如下方法实现网络攻击的防护：接收终端的首次请求报文；根据所述首次请求报文，向所述终端返回错误响应报文；当接收到所述终端根据所述错误响应报文发出的重传请求报文，向所述终端返回正确响应报文；当接收到所述终端根据所述正确响应报文发出的网络连接请求，确定所述终端为具有可信网络协议地址的终端，以进行网络攻击的防护。这样，当终端发出了首次请求报文后，如果在终端开启“防火墙”功能的情况下，防护系统也会继续等待终端在未接收到任何响应时的反馈，并根据反馈判断终端是否为具有可信网络协议地址的终端，从而不会对这种类型的终端误杀，使得容错性更高。本专利技术实施例提供一种网络攻击的防护方法，主要是防护系统所执行的方法，流程图如图2所示，包括：步骤101，接收终端的首次请求报文。可以理解，一种情况下，可以在任一服务器上电后，即可发起本实施例的防护流程，以对发送给该服务器的数据进行清洗。另一种情况下，防护系统可以先对发送给服务器的数据的特征信息进行统计，如果统计的特征信息满足预置条件，则发本文档来自技高网...

【技术保护点】
1.一种网络攻击的防护方法，其特征在于，包括：接收终端的首次请求报文；根据所述首次请求报文，向所述终端返回错误响应报文；当接收到所述终端根据所述错误响应报文发出的重传请求报文，向所述终端返回正确响应报文；当接收到所述终端根据所述正确响应报文发出的网络连接请求，确定所述终端为具有可信网络协议地址的终端，以进行网络攻击的防护。

【技术特征摘要】
1.一种网络攻击的防护方法，其特征在于，包括：接收终端的首次请求报文；根据所述首次请求报文，向所述终端返回错误响应报文；当接收到所述终端根据所述错误响应报文发出的重传请求报文，向所述终端返回正确响应报文；当接收到所述终端根据所述正确响应报文发出的网络连接请求，确定所述终端为具有可信网络协议地址的终端，以进行网络攻击的防护。2.如权利要求1所述的方法，其特征在于，所述向所述终端返回错误响应报文之后，还包括：当接收到所述终端根据所述错误响应报文发出的拒绝连接请求报文，确定所述终端为具有可信网络协议地址的终端。3.如权利要求1所述的方法，其特征在于，所述接收终端的首次请求报文之后，所述方法还包括：根据所述首次请求报文确定所述终端的可信度级别；如果所述可信度级别为低级，执行所述根据所述首次请求报文，向所述终端返回错误响应报文的步骤。4.如权利要求3所述的方法，其特征在于，所述首次请求报文中包括所述终端的信息，则所述根据所述首次请求报文确定所述终端的可信度级别，具体包括：如果所述终端的信息在预置的黑名单中或不在预置的可信终端数据库中，确定所述终端的可信度级别为高级；如果所述终端的信息不在预置的黑名单中或在预置的可信终端数据库中，确定所述终端的可信度级别为低级。5.如权利要求3所述的方法，其特征在于，所述方法还包括：如果所述可信度级别为高级，丢弃所述首次请求报文；当接收到所述终端发出的重传请求报文，确定所述终端为具有可信网络协议地址的终端。6.如权利要求1至4任一项所述的方法，其特征在于，所述方法还包括：将所述终端的信息加入到预置的可信度终端数据库中。7.如权利要求1至5任一项所述的方法，其特征在于，所述方法还包括：当接收到所述终端发送的非首次请求报文，将所述非首次请求报文转发给对应的服...

【专利技术属性】
技术研发人员：陈国，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东,44