緩解攻擊方法、序列號提供方法及設(shè)備的制作方法
【專利摘要】本發(fā)明公開了一種緩解攻擊方法�����、序列號提供方法及設(shè)備��,屬于網(wǎng)絡(luò)安全領(lǐng)域�����。所述方法包括:服務(wù)器接收TCP?SYN數(shù)據(jù)包,所述TCP?SYN數(shù)據(jù)包中包含初始序列號��;所述服務(wù)器判斷所述初始序列號是否為預(yù)先分配的預(yù)設(shè)序列號�;如果所述初始序列號是預(yù)設(shè)序列號,則將所述TCP?SYN數(shù)據(jù)包存儲至高優(yōu)先級隊列��;如果所述初始序列號不是預(yù)設(shè)序列號����,則將所述TCP?SYN數(shù)據(jù)包存儲至低優(yōu)先級隊列�。本發(fā)明通過對三次握手機(jī)制中的第一個TCP?SYN數(shù)據(jù)包的初始序列號采用預(yù)設(shè)序列號,使得服務(wù)器可以對客戶端進(jìn)行正常訪問的TCP?SYN數(shù)據(jù)包和拒絕服務(wù)攻擊進(jìn)行非正常訪問的TCP?SYN數(shù)據(jù)包具有了一定程度的辨別能力�,結(jié)合優(yōu)先級隊列的處理方式,達(dá)到了即便服務(wù)器承受高強(qiáng)度的TCP?SYN洪水攻擊時�����,也能夠?yàn)榭蛻舳颂峁┱5脑L問服務(wù)的效果���。
【專利說明】緩解攻擊方法��、序列號提供方法及設(shè)備
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域����,特別涉及ー種緩解攻擊方法、序列號提供方法及設(shè)備���?!颈尘凹夹g(shù)】
[0002]傳輸控制協(xié)議(英文全稱為Transmission Control Protocol,英文縮寫為TCP)是ー種面向連接的�、可靠的、基于字節(jié)流的運(yùn)輸層(英文全稱為Transport layer)通信協(xié)議���,在簡化的計算機(jī)網(wǎng)絡(luò)OSI模型中���,它完成第四層運(yùn)輸層所指定的功能。
[0003]請參考圖1�����,其示出了現(xiàn)有技術(shù)中的ー種TCP連接建立方法的方法流程圖�。該TCP連接建立方法包括:第一,客戶端向服務(wù)器發(fā)送包含初始序列號為X的傳輸控制協(xié)議同步(英文全稱為 Transmission Control Protocol synchronize,英文縮寫為 TCP SYN)數(shù)據(jù)包�,該TCP SYN數(shù)據(jù)包中包含有該客戶端的識別信息,用于發(fā)起TCP請求���;第二����,服務(wù)器接收到客戶端發(fā)送的該包含初始序列號為X的TCP SYN數(shù)據(jù)包后,反饋ー個ACK+SYN數(shù)據(jù)包���,所述ACK+SYN數(shù)據(jù)包是指ACK位和SYN位都置為I的TCP數(shù)據(jù)包�����,所述ACK+SYN數(shù)據(jù)包是TCP規(guī)定的對TCP SYN數(shù)據(jù)包的相應(yīng)��,該ACK+SYN數(shù)據(jù)包中包含確認(rèn)序列號X+1和另ー個初始序列號Y ;第三�,客戶端接收到服務(wù)器發(fā)送的ACK+SYN數(shù)據(jù)包之后�,反饋ー個確認(rèn)序列號為Y+1的ACK確認(rèn)數(shù)據(jù)包����。至此,ー個TCP連接將被成功建立���。其中��,序列號是32bit的無符號數(shù)�,取值范圍為“(T4294967295”�。初始序列號X由客戶端隨機(jī)提供�����,具體的提供方式為:客戶端啟動時先隨機(jī)生成一個初始序號(英文全稱為Initial Sequence Number,英文縮寫為ISN)然后按照每4ms+l的方式累加并維護(hù)這個初始序號���,在需要發(fā)送TCP SYN數(shù)據(jù)包吋,使用當(dāng)前維護(hù)的初始序號作為該TCP SYN數(shù)據(jù)包中的初始序列號X����。客戶端的識別信息通常為IP地址和端口號��。上述過程也即常說的“三次握手機(jī)制”
[0004]TCP SYN洪水攻擊(英文全稱為TCP SYN Flood)是ー種通過客戶端來向服務(wù)器頻繁發(fā)送大量包含偽識別信息的TCP SYN數(shù)據(jù)包�,使得服務(wù)器中的半連接資源被耗盡,從而使用戶正常的連接請求無法得到服務(wù)的網(wǎng)絡(luò)攻擊���。由于TCP SYN洪水攻擊簡單有效�,是黑客常用的ー種手段��,已經(jīng)多次給大型門戶網(wǎng)站和商業(yè)網(wǎng)站帶來巨大損失��。針對TCP SYN洪水攻擊�,現(xiàn)有技術(shù)中較為常用的緩解攻擊方法主要是:第一,預(yù)先在服務(wù)器和客戶端之間設(shè)置一防火墻,由該防火墻來代理服務(wù)器接收客戶端的TCP請求��;第二�,防火墻與ー個客戶端成功建立TCP連接后,再向服務(wù)器建立ー個TCP連接��,然后防火墻將客戶端和服務(wù)器之間的數(shù)據(jù)進(jìn)行互相轉(zhuǎn)發(fā)�����。顯然�����,如果防火墻沒有與客戶端成功建立TCP連接��,則不向服務(wù)器建立TCP連接����。
[0005]在實(shí)現(xiàn)本發(fā)明的過程中�����,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題:雖然由防火墻來代理服務(wù)器接收客戶端的TCP請求可以一定程度緩解TCP SYN洪水攻擊�����,但是實(shí)質(zhì)上只是由防火墻來代替服務(wù)器承擔(dān)TCP SYN洪水攻擊。當(dāng)TCP SYN洪水攻擊的攻擊カ度達(dá)到防火墻能夠承受的極限吋��,防火墻也會癱瘓�����,仍然不能解決TCP SYN洪水攻擊所帯來的問題�����。
【發(fā)明內(nèi)容】
[0006]為了緩解TCP SYN洪水攻擊所帯來的問題�����,本發(fā)明實(shí)施例提供了一種緩解攻擊方法�、數(shù)據(jù)包生成方法、序列號提供方法及設(shè)備����。所述技術(shù)方案如下:
[0007]根據(jù)本發(fā)明的ー個方面,本發(fā)明實(shí)施例提供ー種緩解攻擊方法���,所述方法包括:
[0008]服務(wù)器接收傳輸控制協(xié)議同步TCP SYN數(shù)據(jù)包�����,所述TCP SYN數(shù)據(jù)包中包含初始序列號��,所述TCP SYN數(shù)據(jù)包是針對統(tǒng)ー資源定位符的�,所述統(tǒng)ー資源定位符包括服務(wù)器信息和文件信息;
[0009]所述服務(wù)器確定所述初始序列號是否為預(yù)先分配的預(yù)設(shè)序列號��;
[0010]如果所述初始序列號是所述預(yù)設(shè)序列號�����,則所述服務(wù)器將所述TCP SYN數(shù)據(jù)包存儲至高優(yōu)先級隊列�����;
[0011]如果所述初始序列號不是所述預(yù)設(shè)序列號���,則所述服務(wù)器將所述TCP SYN數(shù)據(jù)包存儲至低優(yōu)先級隊列����。
[0012]可選地�����,所述接收傳輸控制協(xié)議同步TCP SYN數(shù)據(jù)包之前�,所述方法還包括:
[0013]所述服務(wù)器為客戶端分配所述預(yù)設(shè)序列號,以便所述客戶端發(fā)送攜帯所述預(yù)設(shè)序列號的TCP SYN數(shù)據(jù)包�����。
[0014]可選地�����,所述為客戶端分配所述預(yù)設(shè)序列號�����,具體包括:
[0015]所述服務(wù)器向所述客戶端發(fā)送攜帯所述預(yù)設(shè)序列號的網(wǎng)頁�����。
[0016]可選地��,所述為客戶端分配所述預(yù)設(shè)序列號�,具體包括:
[0017]向搜索引擎提供所述統(tǒng)ー資源定位符和所述預(yù)設(shè)序列號之間的對應(yīng)關(guān)系,以便所述搜索引擎確定所述客戶端捜索所述統(tǒng)ー資源定位符或所述統(tǒng)ー資源定位符對應(yīng)的資源吋�,將對應(yīng)的所述預(yù)設(shè)序列號提供給所述客戶端。
[0018]根據(jù)本發(fā)明的另一方面����,本發(fā)明實(shí)施例還提供ー種序列號提供方法�,其包括:
[0019]接收用戶的搜索請求����;
[0020]根據(jù)所述搜索請求搜索與所述搜索請求對應(yīng)的統(tǒng)ー資源定位符;
[0021]判斷是否存在與捜索到的統(tǒng)ー資源定位符對應(yīng)的預(yù)設(shè)序列號����;
[0022]如果存在與捜索到的統(tǒng)ー資源定位符對應(yīng)的預(yù)設(shè)序列號,則將所述搜索到的統(tǒng)ー資源定位符和所述與所述搜索到的統(tǒng)ー資源定位符對應(yīng)的預(yù)設(shè)序列號同時進(jìn)行反饋�。
[0023]可選地,所述接收用戶的搜索請求之前����,所述方法還包括:
[0024]接收并存儲服務(wù)器提供的統(tǒng)ー資源定位符與預(yù)設(shè)序列號的對應(yīng)關(guān)系。
[0025]根據(jù)本發(fā)明的再一方面��,本發(fā)明實(shí)施例還提供ー種緩解攻擊裝置����,所述裝置包括:
[0026]數(shù)據(jù)接收模塊,用于接收傳輸控制協(xié)議同步TCP SYN數(shù)據(jù)包�����,所述TCP SYN數(shù)據(jù)包中包含初始序列號,所述TCP SYN數(shù)據(jù)包是針對統(tǒng)ー資源定位符的�����,所述統(tǒng)ー資源定位符包括服務(wù)器信息和文件信息�����;
[0027]初始序列號判斷模塊��,用于判斷所述初始序列號是否為預(yù)先分配的預(yù)設(shè)序列號���;
[0028]數(shù)據(jù)保存模塊,用于如果所述初始序列號判斷模塊判斷到所述初始序列號是所述預(yù)設(shè)序列號�����,則將所述TCP SYN數(shù)據(jù)包存儲至高優(yōu)先級隊列�����;
[0029]所述數(shù)據(jù)保存模塊���,還用于如果所述初始序列號判斷模塊判斷到所述初始序列號不是所述預(yù)設(shè)序列號�����,則將所述TCP SYN數(shù)據(jù)包存儲至低優(yōu)先級隊列���。
[0030]可選地�����,所述緩解攻擊裝置�,還包括:[0031]序號提供ホ旲塊�����;
[0032]所述序號提供模塊����,用于為客戶端分配所述預(yù)設(shè)序列號,以便所述客戶端發(fā)送攜帶所述預(yù)設(shè)序列號的TCP SYN數(shù)據(jù)包��。
[0033]可選地�����,所述序號提供模塊,具體包括:
[0034]第一序號提供單元����;
[0035]所述第一序號提供単元,用于向所述客戶端發(fā)送攜帯所述預(yù)設(shè)序列號的網(wǎng)頁��。
[0036]可選地���,所述序號提供模塊,具體包括:
[0037]第二序號提供單元�����;
[0038]所述第二序號提供単元����,用于向搜索引擎提供所述統(tǒng)ー資源定位符和所述預(yù)設(shè)序列號之間的對應(yīng)關(guān)系,以便所述搜索引擎確定所述客戶端捜索所述統(tǒng)ー資源定位符或所述統(tǒng)ー資源定位符對應(yīng)的資源時����,將對應(yīng)的所述預(yù)設(shè)序列號提供給所述客戶端。
[0039]根據(jù)本發(fā)明的又一方面��,本發(fā)明實(shí)施例還提供一種服務(wù)器�����,所述服務(wù)器包括上述緩解攻擊裝置。
[0040]根據(jù)本發(fā)明的另一方面�����,本發(fā)明實(shí)施例還提供ー種序列號提供裝置���,其包括:
[0041]請求接收模塊��,用于接收用戶的搜索請求�;
[0042]請求搜索模塊�����,用于根據(jù)所述搜索請求搜索與所述搜索請求對應(yīng)的統(tǒng)ー資源定位符;
[0043]捜索判斷模塊�,用于判斷是否存在與捜索到的統(tǒng)ー資源定位符對應(yīng)的預(yù)設(shè)序列號;
[0044]結(jié)果反饋模塊,用于如果存在與捜索到的統(tǒng)ー資源定位符對應(yīng)的預(yù)設(shè)序列號��,則將所述捜索到的統(tǒng)ー資源定位符和所述與所述搜索到的統(tǒng)ー資源定位符對應(yīng)的預(yù)設(shè)序列號同時進(jìn)行反饋����。
[0045]可選地,所述序列號提供裝置�,還包括:關(guān)系存儲模塊;
[0046]所述關(guān)系存儲模塊,用于接收并存儲服務(wù)器提供的統(tǒng)ー資源定位符與預(yù)設(shè)序列號的對應(yīng)關(guān)系���。
[0047]根據(jù)本發(fā)明的還一方面�����,本發(fā)明實(shí)施例還提供ー種搜索引擎服務(wù)器���,所述搜索引擎服務(wù)器包括上述序列號提供裝置。
[0048]本發(fā)明實(shí)施例提供的技術(shù)方案帶來的有益效果是:
[0049]通過對三次握手機(jī)制中的第一個TCP SYN數(shù)據(jù)包的初始序列號采用預(yù)設(shè)序列號�����,使得服務(wù)器可以對客戶端進(jìn)行正常訪問的TCP SYN數(shù)據(jù)包和拒絕服務(wù)攻擊進(jìn)行非正常訪問的TCP SYN數(shù)據(jù)包具有了一定程度的辨別能力�,結(jié)合優(yōu)先級隊列的處理方式�,達(dá)到了即便服務(wù)器承受高強(qiáng)度的TCP SYN洪水攻擊時,也能夠?yàn)榭蛻舳颂峁┱5脑L問服務(wù)的效果����。
【專利附圖】
【附圖說明】
[0050]為了更清楚地說明本發(fā)明實(shí)施例中的技術(shù)方案,下面將對實(shí)施例描述中所需要使用的附圖作簡單地介紹��,顯而易見地�����,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講�,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖����。
[0051]圖1是現(xiàn)有技術(shù)中的ー種TCP連接建立方法的方法流程圖;[0052]圖2是本發(fā)明實(shí)施例一提供的緩解攻擊方法的方法流程圖���;
[0053]圖3是本發(fā)明實(shí)施例ニ提供的緩解攻擊方法的方法流程圖����;
[0054]圖4是本發(fā)明實(shí)施例ニ提供的緩解攻擊方法的實(shí)施示意圖����;
[0055]圖5是本發(fā)明實(shí)施例三提供的數(shù)據(jù)生成方法的方法示意圖;
[0056]圖6是本發(fā)明實(shí)施例四提供的序列號提供方法的方法流程圖����;
[0057]圖7是本發(fā)明實(shí)施例四提供的序列號提供方法的實(shí)施示意圖;
[0058]圖8是本發(fā)明實(shí)施例五提供的ー種緩解攻擊裝置的結(jié)構(gòu)方框圖�����;
[0059]圖9是本發(fā)明實(shí)施例五提供的另ー種緩解攻擊裝置的結(jié)構(gòu)方框圖;
[0060]圖10是本發(fā)明實(shí)施例六提供的數(shù)據(jù)生成裝置的結(jié)構(gòu)方框圖�;
[0061]圖11是本發(fā)明實(shí)施例七提供的ー種序列號提供裝置的結(jié)構(gòu)方框圖;
[0062]圖12是本發(fā)明實(shí)施例七提供的另ー種序列號提供裝置的結(jié)構(gòu)方框圖�����。
【具體實(shí)施方式】
[0063]為使本發(fā)明的目的����、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖對本發(fā)明實(shí)施方式作進(jìn)ー步地詳細(xì)描述�����。
[0064]實(shí)施例一
[0065]請參考圖2�,其示出了本發(fā)明實(shí)施例一提供的緩解攻擊方法的方法流程圖�。該緩解攻擊方法可以用于服務(wù)器中,該緩解攻擊方法可以包括以下內(nèi)容�。
[0066]步驟202,服務(wù)器接收傳輸控制協(xié)議同步(英文縮寫為TCP SYN)數(shù)據(jù)包��,該TCP SYN數(shù)據(jù)包中包含初始序列號���,該TCP SYN數(shù)據(jù)包是針對統(tǒng)ー資源定位符的�,統(tǒng)ー資源定位符包括服務(wù)器信息和文件信息;
[0067]服務(wù)器可以接收客戶端發(fā)送的TCP SYN數(shù)據(jù)包��,該TCP SYN數(shù)據(jù)包中包含初始序列號����。該TCP SYN數(shù)據(jù)包用于請求訪問統(tǒng)ー資源定位符(英文全稱為Uniform ResourceLocator,英文縮寫為URL)對應(yīng)的網(wǎng)頁或者資源�����,統(tǒng)ー資源定位符可以認(rèn)為是網(wǎng)頁地址����,其包括服務(wù)器信息和文件信息,服務(wù)器信息為服務(wù)器的域名��,文件信息不能為空�����。比如�,ー個統(tǒng)一資源定位符為 http://www.XXXXX.com/view/245485, htm,那么 www.XXXXX.com 為服務(wù)器信息,245485.htm為文件信息�。
[0068]步驟204,服務(wù)器判斷該初始序列號是否為預(yù)先分配的預(yù)設(shè)序列號��,如果是,則進(jìn)入步驟206 ;如果否��,則進(jìn)入步驟208 �;
[0069]服務(wù)器可以判斷該初始序列號是否為預(yù)設(shè)序列號,該預(yù)設(shè)序列號可以是服務(wù)器預(yù)先分配給客戶端的序列號�,預(yù)設(shè)序列號的取值范圍可以是“(T4294967295”的子集。
[0070]步驟206�����,如果該初始序列號是預(yù)設(shè)序列號�����,則將TCP SYN數(shù)據(jù)包存儲至高優(yōu)先級隊列��;
[0071]服務(wù)器可以同時維護(hù)兩個隊列����,其中ー個是高優(yōu)先級隊列�����、另ー個是低優(yōu)先級隊列�。服務(wù)器也可以同時維護(hù)兩個以上的隊列�����,其中ー個是高優(yōu)先級隊列�,優(yōu)先級低于所述高優(yōu)先級隊列的一個或多個隊列均可以被視為是低優(yōu)先級隊列�����。如果服務(wù)器判斷該初始序列號是預(yù)設(shè)序列號時���,可以將該TCP SYN數(shù)據(jù)包存儲至高優(yōu)先級隊列�。
[0072]此后��,服務(wù)器可以優(yōu)先處理高優(yōu)先級隊列中的TCP SYN數(shù)據(jù)包并建立連接����,該建立連接的過程包括服務(wù)器向客戶端發(fā)送ACK+SYN數(shù)據(jù)包的過程,也包括接收客戶端發(fā)送的ACK確認(rèn)數(shù)據(jù)包的過程���。
[0073]步驟208����,如果該初始序列號不是預(yù)設(shè)序列號����,則將TCP SYN數(shù)據(jù)包存儲至低優(yōu)先級隊列�。
[0074]如果服務(wù)器判斷該初始序列號不是預(yù)設(shè)序列號時���,可以將該TCP SYN數(shù)據(jù)包存儲至低優(yōu)先級隊列����。
[0075]此后�,服務(wù)器可以等待空閑時間才處理或者不處理低優(yōu)先級隊列中的TCP SYN數(shù)據(jù)包,并且在低優(yōu)先級隊列存儲滿之后��,丟棄初始序列號不是預(yù)設(shè)序列號的ー個或多個TCPSYN數(shù)據(jù)包����。
[0076]綜上所述,本發(fā)明實(shí)施例一提供的緩解攻擊方法通過對三次握手機(jī)制中的第一個TCP SYN數(shù)據(jù)包的初始序列號采用預(yù)設(shè)序列號���,使得服務(wù)器可以對客戶端進(jìn)行正常訪問的TCP SYN數(shù)據(jù)包和拒絕服務(wù)攻擊進(jìn)行非正常訪問的TCP SYN數(shù)據(jù)包具有了 一定程度的辨別能力���,結(jié)合優(yōu)先級隊列的處理方式,達(dá)到了即便服務(wù)器承受高強(qiáng)度的TCP SYN洪水攻擊吋�����,也能夠?yàn)榭蛻舳颂峁┱5脑L問服務(wù)的效果�����。
[0077]實(shí)施例ニ
[0078]請參考圖3����,其示出了本發(fā)明實(shí)施例ニ提供的緩解攻擊方法的方法流程圖。該緩解攻擊方法可以用于服務(wù)器中��,也即本實(shí)施例主要以服務(wù)器ー側(cè)來描述�,該緩解攻擊方法可以包括以下內(nèi)容。
[0079]步驟302�,為客戶端分配預(yù)設(shè)序列號,以便客戶端發(fā)送攜帯有預(yù)設(shè)序列號的TCPSYN數(shù)據(jù)包�����;
[0080]服務(wù)器可以向客戶端分配預(yù)設(shè)序列號����,以便客戶端發(fā)送攜帯有預(yù)設(shè)序列號的TCPSYN數(shù)據(jù)包。
[0081]可選地�����,服務(wù)器向客戶端發(fā)送攜帯預(yù)設(shè)序列號的網(wǎng)頁,這樣便可以直接地將預(yù)設(shè)序列號分配給客戶端���。這樣��,當(dāng)客戶端發(fā)送針對統(tǒng)ー資源定位符的TCP SYN數(shù)據(jù)包時���,就可以將獲取的預(yù)設(shè)序列號添加到待發(fā)送的TCP SYN數(shù)據(jù)包中。
[0082]為了提高有效性�����,服務(wù)器可以動態(tài)提供預(yù)設(shè)序列號��,也即可以每隔預(yù)定時間間隔��,隨機(jī)選取ー組序列號作為預(yù)設(shè)序列號�。
[0083]可選地,服務(wù)器也可以向搜索引擎提供統(tǒng)ー資源定位符和預(yù)設(shè)序列號之間的對應(yīng)關(guān)系�,以便搜索引擎確定客戶端搜索所述統(tǒng)ー資源定位符或所述統(tǒng)ー資源定位符對應(yīng)的資源時,將對應(yīng)的預(yù)設(shè)序列號提供給客戶端���。
[0084]步驟304���,接收TCP SYN數(shù)據(jù)包��,該TCP SYN數(shù)據(jù)包中包含初始序列號����,該TCP SYN數(shù)據(jù)包是針對統(tǒng)ー資源定位符的���,統(tǒng)ー資源定位符包括服務(wù)器信息和文件信息;
[0085]服務(wù)器可以接收到客戶端發(fā)送的TCP SYN數(shù)據(jù)包�,該TCP SYN數(shù)據(jù)包都包含有初始序列號。該TCP SYN數(shù)據(jù)包用于請求訪問統(tǒng)ー資源定位符(英文全稱為Uniform ResourceLocator����,英文縮寫為URL)對應(yīng)的網(wǎng)頁或者資源,統(tǒng)ー資源定位符可以認(rèn)為是網(wǎng)頁地址��,其包括服務(wù)器信息和文件信息���,服務(wù)器信息為服務(wù)器的域名�����,文件信息不能為空���。比如���,ー個統(tǒng)一資源定位符為 http://www.XXXXX.com/view/245485, htm,那么 www.XXXXX.com 為服務(wù)器信息,245485.htm為文件信息��。
[0086]如果該TCP SYN數(shù)據(jù)包是由正常用戶的客戶端發(fā)送而來��,其中的初始序列號應(yīng)當(dāng)是服務(wù)器提供的預(yù)設(shè)序列號�����;如果是拒絕服務(wù)攻擊提供的TCP SYN數(shù)據(jù)包�,則其中的初始序列號一般都不是預(yù)設(shè)序列號。
[0087]步驟306�,判斷該初始序列號是否為預(yù)先分配的預(yù)設(shè)序列號,如果是��,則進(jìn)入步驟308 ;如果否��,則進(jìn)入步驟310 ��;
[0088]服務(wù)器可以判斷接收到的TCP SYN數(shù)據(jù)包中的初始序列號是否為預(yù)先分配給客戶端的預(yù)設(shè)序列號��。
[0089]步驟308�,如果該初始序列號是預(yù)設(shè)序列號����,則將TCP SYN數(shù)據(jù)包存儲至高優(yōu)先級隊列�;
[0090]服務(wù)器可以同時維護(hù)兩個隊列,其中ー個是高優(yōu)先級隊列�����、另ー個是低優(yōu)先級隊列�。服務(wù)器也可以同時維護(hù)兩個以上的隊列����,其中ー個是高優(yōu)先級隊列,優(yōu)先級低于所述高優(yōu)先級隊列的一個或多個隊列均可以被視為是低優(yōu)先級隊列�。如果服務(wù)器判斷接收到的TCP SYN數(shù)據(jù)包中的初始序列號是預(yù)設(shè)序列號時,可以將該TCP SYN數(shù)據(jù)包存儲至高優(yōu)先級隊列��。
[0091]當(dāng)然���,在更為優(yōu)選的實(shí)施例中��,優(yōu)先級隊列可以不止兩個�,而是多個�����。比如:優(yōu)先級隊列可以是四個,分別是第一優(yōu)先級隊列��、第二優(yōu)先級隊列����、第三優(yōu)先級隊列和第四優(yōu)先級隊列,各個隊列的優(yōu)先級依次降低���。服務(wù)器可以首先對TCP SYN數(shù)據(jù)包的來源IP進(jìn)行分類��,對于來自預(yù)定IP地址的TCP SYN數(shù)據(jù)包可以存儲入第一優(yōu)先級隊列和第二優(yōu)先級隊列����,對于來自非預(yù)定IP地址的TCP SYN數(shù)據(jù)包可以存儲入第三優(yōu)先級隊列和第四優(yōu)先級隊列���。然后將TCP SYN數(shù)據(jù)包存儲入第一優(yōu)先級隊列和第二優(yōu)先級隊列�����,或者第三優(yōu)先級隊列和第四優(yōu)先級隊列時��,才按照TCP SYN數(shù)據(jù)包中的初始序列號進(jìn)行再次分類��。其中���,假設(shè)服務(wù)器位于總公司��,預(yù)定IP地址可以是子公司的IP地址�。
[0092]步驟310��,如果該初始序列號不是預(yù)設(shè)序列號����,則將TCP SYN數(shù)據(jù)包存儲至低優(yōu)先級隊列�;
[0093]如果服務(wù)器判斷接收到的TCP SYN數(shù)據(jù)包中的初始序列號不是預(yù)設(shè)序列號時,可以將該TCP SYN數(shù)據(jù)包存儲至低優(yōu)先級隊列�����。當(dāng)?shù)蛢?yōu)先級隊列存儲滿之后��,可以對其內(nèi)的TCP SYN數(shù)據(jù)包進(jìn)行丟棄處理����。
[0094]步驟312,優(yōu)先處理高優(yōu)先級隊列中的TCP SYN數(shù)據(jù)包并建立連接���。
[0095]服務(wù)器可以優(yōu)先處理高優(yōu)先級隊列中的TCP SYN數(shù)據(jù)包并建立連接�,該建立連接的過程包括服務(wù)器向客戶端發(fā)送ACK+SYN確認(rèn)數(shù)據(jù)包的過程,也包括接收客戶端發(fā)送的ACK確認(rèn)數(shù)據(jù)包的過程����。然后,服務(wù)器也可以在將高優(yōu)先級隊列中的TCP SYN數(shù)據(jù)包處理完畢后�,再處理低優(yōu)先級隊列中的SYN數(shù)據(jù)包。由于高優(yōu)先級隊列中的TCP SYN數(shù)據(jù)包通常都是客戶端進(jìn)行正常訪問的TCP SYN數(shù)據(jù)包��,而低優(yōu)先級隊列中的SYN數(shù)據(jù)包通常都是拒絕服務(wù)攻擊進(jìn)行非正常訪問的TCP SYN數(shù)據(jù)包��,所以可以優(yōu)先保證客戶端的正常訪問����,而TCP SYN洪水攻擊發(fā)送的大量TCP SYN數(shù)據(jù)包將會在低優(yōu)先級隊列中被丟棄。
[0096]綜上所述���,本發(fā)明實(shí)施例ニ提供的緩解攻擊方法通過對三次握手機(jī)制中的第一個TCP SYN數(shù)據(jù)包的初始序列號采用預(yù)設(shè)序列號�,使得服務(wù)器可以對客戶端進(jìn)行正常訪問的TCP SYN數(shù)據(jù)包和拒絕服務(wù)攻擊進(jìn)行非正常訪問的TCP SYN數(shù)據(jù)包具有了 一定程度的辨別能力����,結(jié)合優(yōu)先級隊列的處理方式,達(dá)到了即便服務(wù)器承受高強(qiáng)度的TCP SYN洪水攻擊吋����,也能夠?yàn)榭蛻舳颂峁┱5脑L問服務(wù)的效果����。
[0097]實(shí)施例三[0098]請參考圖5��,其示出了本發(fā)明實(shí)施例三提供的數(shù)據(jù)包生成方法的方法流程圖��。該數(shù)據(jù)包生成方法可以用于圖4所示客戶端中�,用于生成包含預(yù)設(shè)數(shù)據(jù)包的TCP SYN數(shù)據(jù)包。該數(shù)據(jù)包生成方法包括:
[0099]步驟502���,接收用戶為ー個統(tǒng)ー資源定位符輸入的預(yù)設(shè)序列號����;
[0100]用戶在使用客戶端訪問ー個由服務(wù)器提供的URL時��,可以將服務(wù)器同時提供給的預(yù)設(shè)序列號輸入給客戶端���。客戶端可以接收到用戶為該URL輸入的預(yù)設(shè)序列號��。
[0101]步驟504��,將預(yù)設(shè)序列號作為初始序列號以生成TCP SYN數(shù)據(jù)包,該TCP SYN數(shù)據(jù)包為請求連接該統(tǒng)ー資源定位符對應(yīng)的服務(wù)器的TCP SYN數(shù)據(jù)包���。
[0102]客戶端在接收到該預(yù)設(shè)序列號后���,可以將該預(yù)設(shè)序列號作為初始序列號來生成一個TCPSYN數(shù)據(jù)包,該TCP SYN數(shù)據(jù)包是用于請求連接上述URL對應(yīng)的服務(wù)器的TCP SYN數(shù)據(jù)包��。
[0103]綜上所述����,本發(fā)明實(shí)施例三提供的數(shù)據(jù)包生成方法可以利用服務(wù)器提供的預(yù)設(shè)序列號來生成TCP SYN數(shù)據(jù)包,使得客戶端向服務(wù)器發(fā)送的TCP SYN數(shù)據(jù)包具有了一定程度的可識別性��,以便于服務(wù)器進(jìn)行后續(xù)處理�。
[0104]由于服務(wù)器提供至少ー個預(yù)設(shè)序列號,以便客戶端根據(jù)預(yù)設(shè)序列號發(fā)送TCP SYN數(shù)據(jù)包也可以采用其它實(shí)現(xiàn)方式來實(shí)現(xiàn)��,為此請繼續(xù)參考如下實(shí)施例���。
[0105]實(shí)施例四
[0106]請參考圖6�,其示出了本發(fā)明實(shí)施例三提供的序列號提供方法的方法流程圖��。該序列號提供方法可以用于搜索引擎服務(wù)器中,該序列號提供方法可以包括以下內(nèi)容���。
[0107]步驟602��,接收并存儲服務(wù)器提供的統(tǒng)ー資源定位符與預(yù)設(shè)序列號的對應(yīng)關(guān)系��;
[0108]服務(wù)器可以預(yù)先向搜索引擎服務(wù)器提供至少ー對自身提供的URL和預(yù)設(shè)序列號之間的對應(yīng)關(guān)系�,具體地講�����,服務(wù)器提供的每ー個URL都可以分別各自對應(yīng)ー個預(yù)設(shè)序列號�����,這種對應(yīng)關(guān)系也即URL和預(yù)設(shè)序列號之間的對應(yīng)關(guān)系����。其中,“預(yù)先”的時刻可以是在服務(wù)器接收到拒絕服務(wù)攻擊時��;服務(wù)器提供的預(yù)設(shè)序列號也可以是動態(tài)提供的���。搜索引擎服務(wù)器可以接收到服務(wù)器提供的該URL與預(yù)設(shè)序列號的對應(yīng)關(guān)系,然后搜索引擎服務(wù)器可以存儲該URL與預(yù)設(shè)序列號的對應(yīng)關(guān)系。
[0109]步驟604�����,接收用戶的搜索請求���;
[0110]搜索引擎服務(wù)器可以接收用戶的搜索請求��,比如用戶通過其使用的客戶端向捜索請求服務(wù)器發(fā)送一個有關(guān)服務(wù)器提供的內(nèi)容的搜索請求����。
[0111]步驟606���,根據(jù)該搜索請求搜索與所述搜索請求對應(yīng)的統(tǒng)ー資源定位符����;
[0112]搜索引擎服務(wù)器在接收到用戶的搜索請求之后�,可以根據(jù)該搜索請求搜索URL。簡單來講���,就是搜索引擎服務(wù)器根據(jù)用戶的搜索請求�����,捜索相關(guān)的網(wǎng)頁內(nèi)容���。通常���,捜索引擎服務(wù)器可以搜索到很多相關(guān)URL,這些URL —部分是有上述服務(wù)器來提供的�����。
[0113]步驟608���,判斷是否存在與捜索到的統(tǒng)ー資源定位符對應(yīng)的預(yù)設(shè)序列號���;
[0114]搜索引擎服務(wù)器可以判斷捜索到的每個URL是否存在對應(yīng)的預(yù)設(shè)序列號。具體地講����,如果搜索引擎服務(wù)器判斷的URL是由上述服務(wù)器提供的,則可以根據(jù)預(yù)先存儲的URL與預(yù)設(shè)序列號的對應(yīng)關(guān)系查找到相對應(yīng)的預(yù)設(shè)序列號����。如果搜索引擎服務(wù)器判斷的URL不是由上述服務(wù)器提供的,則根據(jù)預(yù)先存儲的URL與預(yù)設(shè)序列號的對應(yīng)關(guān)系是無法查找到相對應(yīng)的預(yù)設(shè)序列號的���。[0115]步驟610�����,如果存在與捜索到的統(tǒng)ー資源定位符對應(yīng)的預(yù)設(shè)序列號�,則將搜索到的統(tǒng)ー資源定位符和與捜索到的統(tǒng)ー資源定位符對應(yīng)的預(yù)設(shè)序列號同時進(jìn)行反饋�。
[0116]如果搜索引擎服務(wù)器判斷到存在與捜索到的URL對應(yīng)的預(yù)設(shè)序列號,則可以將該URL和預(yù)設(shè)序列號同時反饋�,比如在ー個具體的示例中,搜索引擎服務(wù)器可以先將捜索到的URL按照列表方式提供給用戶使用的客戶端����,當(dāng)用戶的鼠標(biāo)點(diǎn)擊到上述服務(wù)器提供的URL時,搜索引擎服務(wù)器可以彈出ー個加擾圖片和輸入框�����。如圖7所示����,該加擾圖片上顯示有簡單的加法算式,該加法算式的計算結(jié)果即為與這個URL相對應(yīng)的預(yù)設(shè)序列號�����。
[0117]然后客戶端可以利用該預(yù)設(shè)序列號生成TCP SYN數(shù)據(jù)包向服務(wù)器發(fā)起TCP請求,相應(yīng)的步驟如上述實(shí)施例與步驟502和步驟504類似����。服務(wù)器接收到該TCP SYN數(shù)據(jù)包后,可以建立TCP連接����,相應(yīng)的步驟與上述實(shí)施例中步驟304和步驟312類似。此處不再——贅述��。
[0118]綜上所述���,本發(fā)明實(shí)施例四提供的序列號提供方法可以利用搜索引擎服務(wù)器來向客戶端提供預(yù)設(shè)序列號���,以便客戶端來生成包含預(yù)設(shè)序列號的TCP SYN數(shù)據(jù)包,使得客戶端向服務(wù)器發(fā)送的TCP SYN數(shù)據(jù)包具有了一定程度的可識別性��。同時��,本發(fā)明實(shí)施例四提供的序列號提供方法利用搜索引擎服務(wù)器來提供預(yù)設(shè)序列號����,可以將提供預(yù)設(shè)序列號的過程和服務(wù)器處理TCP SYN數(shù)據(jù)包的過程互相分離,即便服務(wù)器此刻正在承受較強(qiáng)的TCP SYN洪水攻擊�����,也能由搜索引擎服務(wù)器為客戶端正常地提供預(yù)設(shè)序列號,達(dá)到了更好的抗攻擊效果���。
[0119]實(shí)施例五
[0120]請參考圖8,其示出了本發(fā)明實(shí)施例五提供的緩解攻擊裝置的結(jié)構(gòu)方框圖�。該緩解攻擊裝置可以用于服務(wù)器中。該緩解攻擊裝置可以包括數(shù)據(jù)接收模塊820����、初始序列號判斷模塊840和數(shù)據(jù)保存模塊860。
[0121]數(shù)據(jù)接收模塊820用于接收傳輸控制協(xié)議TCP SYN數(shù)據(jù)包�,該TCP SYN數(shù)據(jù)包中包含初始序列號,TCP SYN數(shù)據(jù)包是針對統(tǒng)ー資源定位符的����,統(tǒng)ー資源定位符包括服務(wù)器信息和文件信息。
[0122]初始序列號判斷模塊840用于判斷數(shù)據(jù)接收模塊820接收到的初始序列號是否為預(yù)先分配的預(yù)設(shè)序列號��。
[0123]數(shù)據(jù)保存模塊860用于如果初始序列號判斷模塊840判斷到該初始序列號是預(yù)設(shè)序列號��,則將TCP SYN數(shù)據(jù)包存儲至高優(yōu)先級隊列�����。數(shù)據(jù)保存模塊860也用于如果初始序列號判斷模塊840判斷到初始序列號不是預(yù)設(shè)序列號,則將TCP SYN數(shù)據(jù)包存儲至低優(yōu)先級隊列�����。
[0124]更為優(yōu)選地���,該緩解攻擊裝置還可以包括序號提供模塊810�,如圖9所示���。序號提供模塊810用于為客戶端分配預(yù)設(shè)序列號��,以便客戶端發(fā)送攜帯所述預(yù)設(shè)序列號的TCPSYN數(shù)據(jù)包���。序號提供模塊810可以包括第一序號提供単元812。其中�,第一序號提供単元812用于向客戶端發(fā)送攜帯預(yù)設(shè)序列號的網(wǎng)頁?;蛘撸蛱柼峁┠K810可以包括第二序號提供単元814���,第二序號提供単元814用于向搜索引擎提供所述統(tǒng)ー資源定位符和所述預(yù)設(shè)序列號之間的對應(yīng)關(guān)系�����,以便搜索引擎確定所述客戶端捜索所述統(tǒng)ー資源定位符或所述統(tǒng)ー資源定位符對應(yīng)的資源時���,將對應(yīng)的所述預(yù)設(shè)序列號提供給客戶端�。
[0125]綜上所述�����,本發(fā)明實(shí)施例五提供的緩解攻擊裝置通過對三次握手機(jī)制中的第一個TCP SYN數(shù)據(jù)包的初始序列號采用預(yù)設(shè)序列號����,使得服務(wù)器可以對客戶端進(jìn)行正常訪問的TCP SYN數(shù)據(jù)包和拒絕服務(wù)攻擊進(jìn)行非正常訪問的SYN數(shù)據(jù)包具有了一定程度的辨別能力�,結(jié)合優(yōu)先級隊列的處理方式,達(dá)到了即便服務(wù)器承受高強(qiáng)度的TCP洪水攻擊時�,也能夠?yàn)榭蛻舳颂峁┱5脑L問服務(wù)的效果。
[0126]需要說明的是:上述實(shí)施例提供的緩解攻擊裝置在緩解拒絕服務(wù)攻擊時����,僅以上述各功能模塊的劃分進(jìn)行舉例說明,實(shí)際應(yīng)用中��,可以根據(jù)需要而將上述功能分配由不同的功能模塊完成�����,即將裝置的內(nèi)部結(jié)構(gòu)劃分成不同的功能模塊,以完成以上描述的全部或者部分功能��。另外���,上述實(shí)施例提供的緩解攻擊裝置與緩解攻擊方法實(shí)施例屬于同一構(gòu)思�����,其具體實(shí)現(xiàn)過程詳見方法實(shí)施例��,這里不再贅述�����。
[0127]實(shí)施例六
[0128]請參考圖10�,其示出了本發(fā)明實(shí)施例六提供的數(shù)據(jù)包生成裝置的結(jié)構(gòu)方框圖�����。該數(shù)據(jù)包生成裝置可以用于客戶端中�����,該數(shù)據(jù)包生成裝置可以包括序號接收模塊1020和數(shù)據(jù)生成模塊1040。
[0129]序號接收模塊1020用于接收用戶為ー個統(tǒng)ー資源定位符輸入的預(yù)設(shè)序列號�。
[0130]數(shù)據(jù)生成模塊1040用于將序號接收模塊1020接收到的預(yù)設(shè)序列號作為初始序列號以生成TCP SYN數(shù)據(jù)包,該TCP SYN數(shù)據(jù)包為請求連接該統(tǒng)ー資源定位符對應(yīng)的服務(wù)器的TCP SYN數(shù)據(jù)包��。
[0131 ] 綜上所述�����,本發(fā)明實(shí)施例六提供的數(shù)據(jù)包生成裝置可以利用服務(wù)器提供的預(yù)設(shè)序列號來生成TCP SYN數(shù)據(jù)包����,使得客戶端向服務(wù)器發(fā)送的TCP SYN數(shù)據(jù)包具有了一定程度的可識別性,以便于服務(wù)器進(jìn)行后續(xù)處理��。
[0132]需要說明的是:上述實(shí)施例提供的數(shù)據(jù)包生成裝置在生成TCP SYN數(shù)據(jù)包時��,僅以上述各功能模塊的劃分進(jìn)行舉例說明��,實(shí)際應(yīng)用中���,可以根據(jù)需要而將上述功能分配由不同的功能模塊完成,即將裝置的內(nèi)部結(jié)構(gòu)劃分成不同的功能模塊�����,以完成以上描述的全部或者部分功能。另外����,上述實(shí)施例提供的數(shù)據(jù)包生成裝置與數(shù)據(jù)包生成方法實(shí)施例屬于同一構(gòu)思,其具體實(shí)現(xiàn)過程詳見方法實(shí)施例�,這里不再贅述。
[0133]實(shí)施例七
[0134]請參考圖11���,其示出了本發(fā)明實(shí)施例七提供的序列號提供裝置的結(jié)構(gòu)方框圖��。該序列號提供裝置可以用于搜索引擎服務(wù)器中�����,該序列號提供裝置包括請求接收模塊1120����、請求搜索模塊1140���、搜索判斷模塊1160和結(jié)果反饋模塊1180�。
[0135]請求接收模塊1120用于接收用戶的搜索請求��。
[0136]請求搜索模塊1140用于根據(jù)請求接收模塊1120接收到的搜索請求搜索與所述搜索請求對應(yīng)的統(tǒng)ー資源定位符�。
[0137]搜索判斷模塊1160用于判斷是否存在與請求搜索模塊1140搜索到的統(tǒng)ー資源定位符對應(yīng)的預(yù)設(shè)序列號����。
[0138]結(jié)果反饋模塊1180用于如果搜索判斷模塊1160判斷到存在與請求搜索模塊1140捜索到的統(tǒng)ー資源定位符對應(yīng)的預(yù)設(shè)序列號��,則將所述搜索到的統(tǒng)ー資源定位符和所述與所述搜索到的統(tǒng)ー資源定位符對應(yīng)的預(yù)設(shè)序列號同時進(jìn)行反饋�。
[0139]更為優(yōu)選地,該序列號提供裝置還可以包括關(guān)系存儲模塊1110���,如圖12所示�����。關(guān)系存儲模塊1110用于接收并存儲服務(wù)器提供的統(tǒng)ー資源定位符與預(yù)設(shè)序列號的對應(yīng)關(guān)糸���。
[0140]綜上所述,本發(fā)明實(shí)施例七提供的序列號提供裝置可以利用搜索引擎服務(wù)器來向客戶端提供預(yù)設(shè)序列號�,以便客戶端來生成包含預(yù)設(shè)序列號的TCP SYN數(shù)據(jù)包,使得客戶端向服務(wù)器發(fā)送的TCP SYN數(shù)據(jù)包具有了一定程度的可識別性�。同時����,本發(fā)明實(shí)施例七提供的序列號提供裝置利用搜索引擎服務(wù)器來提供預(yù)設(shè)序列號,可以將提供預(yù)設(shè)序列號的過程和服務(wù)器處理TCP SYN數(shù)據(jù)包的過程互相分離�����,即便服務(wù)器此刻正在承受較強(qiáng)的TCP SYN洪水攻擊,也能由搜索引擎服務(wù)器為客戶端正常地提供預(yù)設(shè)序列號���,達(dá)到了更好的抗攻擊效果�。
[0141]需要說明的是:上述實(shí)施例提供的序列號提供裝置在提供序列號時�����,僅以上述各功能模塊的劃分進(jìn)行舉例說明���,實(shí)際應(yīng)用中����,可以根據(jù)需要而將上述功能分配由不同的功能模塊完成���,即將裝置的內(nèi)部結(jié)構(gòu)劃分成不同的功能模塊��,以完成以上描述的全部或者部分功能�����。另外�,上述實(shí)施例提供的序列號提供裝置與序列號提供方法實(shí)施例屬于同一構(gòu)思,其具體實(shí)現(xiàn)過程詳見方法實(shí)施例����,這里不再贅述。
[0142]本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例的全部或部分步驟可以通過硬件來完成����,也可以通過程序來指令相關(guān)的硬件完成,所述的程序可以存儲于ー種計算機(jī)可讀存儲介質(zhì)中�����,上述提到的存儲介質(zhì)可以是只讀存儲器����,磁盤或光盤等。
[0143]以上所述僅為本發(fā)明的較佳實(shí)施例����,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)�,所作的任何修改、等同替換�、改進(jìn)等�,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)���。
【權(quán)利要求】
1.ー種緩解攻擊方法,其特征在于�����,所述方法包括: 服務(wù)器接收傳輸控制協(xié)議同步TCP SYN數(shù)據(jù)包��,所述TCP SYN數(shù)據(jù)包中包含初始序列號���,所述TCP SYN數(shù)據(jù)包是針對統(tǒng)ー資源定位符的��,所述統(tǒng)ー資源定位符包括服務(wù)器信息和文件信息�; 所述服務(wù)器確定所述初始序列號是否為預(yù)先分配的預(yù)設(shè)序列號�����; 如果所述初始序列號是所述預(yù)設(shè)序列號���,則所述服務(wù)器將所述TCP SYN數(shù)據(jù)包存儲至高優(yōu)先級隊列��; 如果所述初始序列號不是所述預(yù)設(shè)序列號�,則所述服務(wù)器將所述TCP SYN數(shù)據(jù)包存儲至低優(yōu)先級隊列���。
2.根據(jù)權(quán)利要求1所述的緩解攻擊方法����,其特征在于,所述接收傳輸控制協(xié)議同步TCPSYN數(shù)據(jù)包之前,還包括: 所述服務(wù)器為客戶端分配所述預(yù)設(shè)序列號����,以便所述客戶端發(fā)送攜帯所述預(yù)設(shè)序列號的TCP SYN數(shù)據(jù)包。
3.根據(jù)權(quán)利要求2所述的緩解攻擊方法���,其特征在于�����,所述為客戶端分配所述預(yù)設(shè)序列號��,具體包括: 所述服務(wù)器向所述客戶端發(fā)送攜帯所述預(yù)設(shè)序列號的網(wǎng)頁��。
4.根據(jù)權(quán)利要求2所述的緩解攻擊方法�����,其特征在于���,所述為客戶端分配所述預(yù)設(shè)序列號����,具體包括: 向搜索引擎提供所述統(tǒng)ー資源定位符和所述預(yù)設(shè)序列號之間的對應(yīng)關(guān)系���,以便所述搜索引擎確定所述客戶端捜索所述統(tǒng)ー資源定位符或所述統(tǒng)ー資源定位符對應(yīng)的資源時,將對應(yīng)的所述預(yù)設(shè)序列號提供給所述客戶端���。
5.ー種序列號提供方法�����,其特征在于�����,其包括: 接收用戶的搜索請求��; 根據(jù)所述搜索請求搜索與所述搜索請求對應(yīng)的統(tǒng)ー資源定位符����; 判斷是否存在與捜索到的統(tǒng)ー資源定位符對應(yīng)的預(yù)設(shè)序列號����; 如果存在與捜索到的統(tǒng)ー資源定位符對應(yīng)的預(yù)設(shè)序列號����,則將所述搜索到的統(tǒng)ー資源定位符和所述與所述搜索到的統(tǒng)ー資源定位符對應(yīng)的預(yù)設(shè)序列號同時進(jìn)行反饋�����。
6.根據(jù)權(quán)利要求5所述的序列號提供方法��,其特征在干��,所述接收用戶的搜索請求之前����,還包括: 接收并存儲服務(wù)器提供的統(tǒng)ー資源定位符與預(yù)設(shè)序列號的對應(yīng)關(guān)系。
7.ー種緩解攻擊裝置���,其特征在于��,所述裝置包括: 數(shù)據(jù)接收模塊���,用于接收傳輸控制協(xié)議同步TCP SYN數(shù)據(jù)包,所述TCP SYN數(shù)據(jù)包中包含初始序列號�,所述TCP SYN數(shù)據(jù)包是針對統(tǒng)ー資源定位符的,所述統(tǒng)ー資源定位符包括服務(wù)器信息和文件信息; 初始序列號判斷模塊�,用于判斷所述初始序列號是否為預(yù)先分配的預(yù)設(shè)序列號; 數(shù)據(jù)保存模塊��,用于如果所述初始序列號判斷模塊判斷到所述初始序列號是所述預(yù)設(shè)序列號����,則將所述TCP SYN數(shù)據(jù)包存儲至高優(yōu)先級隊列�; 所述數(shù)據(jù)保存模塊,還用于如果所述初始序列號判斷模塊判斷到所述初始序列號不是所述預(yù)設(shè)序列號�,則將所述TCP SYN數(shù)據(jù)包存儲至低優(yōu)先級隊列。
8.根據(jù)權(quán)利要求7所述的緩解攻擊裝置�,其特征在于,所述緩解攻擊裝置���,還包括: 序號提供ホ吳塊��; 所述序號提供模塊����,用于為客戶端分配所述預(yù)設(shè)序列號���,以便所述客戶端發(fā)送攜帯所述預(yù)設(shè)序列號的TCP SYN數(shù)據(jù)包����。
9.根據(jù)權(quán)利要求8所述的緩解攻擊裝置,其特征在于����,所述序號提供模塊,具體包括: 第一序號提供単元��; 所述第一序號提供単元�,用于向所述客戶端發(fā)送攜帯所述預(yù)設(shè)序列號的網(wǎng)頁。
10.根據(jù)權(quán)利要求8所述的緩解攻擊裝置��,其特征在于���,所述序號提供模塊����,具體包括: 第二序號提供単元��; 所述第二序號提供単元�����,用于向搜索引擎提供所述統(tǒng)ー資源定位符和所述預(yù)設(shè)序列號之間的對應(yīng)關(guān)系���,以便所述搜索引擎確定所述客戶端捜索所述統(tǒng)ー資源定位符或所述統(tǒng)ー資源定位符對應(yīng)的資源時�,將對應(yīng)的所述預(yù)設(shè)序列號提供給所述客戶端。
11.一種服務(wù)器��,其特征在于��,所述服務(wù)器包括如權(quán)利要求7至10任一所述的緩解攻擊裝置���。
12.—種序列號提供裝置���,其特征在于�����,其包括: 請求接收模塊�,用于接收用戶的搜索請求;請求搜索模塊�,用于根據(jù)所述搜索請求搜索與所述搜索請求對應(yīng)的統(tǒng)ー資源定位符;捜索判斷模塊�����,用于判斷是否存在與捜索到的統(tǒng)ー資源定位符對應(yīng)的預(yù)設(shè)序列號�;結(jié)果反饋模塊��,用于如果存在與捜索到的統(tǒng)ー資源定位符對應(yīng)的預(yù)設(shè)序列號�����,則將所述搜索到的統(tǒng)ー資源定位符和所述與所述搜索到的統(tǒng)ー資源定位符對應(yīng)的預(yù)設(shè)序列號同時進(jìn)行反饋�。
13.根據(jù)權(quán)利要求12所述的序列號提供裝置���,其特征在于����,所述序列號提供裝置�,還包括:關(guān)系存儲模塊; 所述關(guān)系存儲模塊�,用于接收并存儲服務(wù)器提供的統(tǒng)ー資源定位符與預(yù)設(shè)序列號的對應(yīng)關(guān)系。
14.ー種搜索引擎服務(wù)器����,其特征在于,所述搜索引擎服務(wù)器包括如權(quán)利要求12或13所述的序列號提供裝置���。
【文檔編號】H04L29/06GK103491061SQ201210195034
【公開日】2014年1月1日 申請日期:2012年6月13日 優(yōu)先權(quán)日:2012年6月13日
【發(fā)明者】陳國海, 謝于明 申請人:華為技術(shù)有限公司