(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111350468.X (22)申请日 2021.11.15 (71)申请人 北京天地和兴科技有限公司 地址 100000 北京市海淀区东北旺西路8号 中关村软件园8号楼三层316室 (72)发明人 王小东　王玉涛　 (74)专利代理 机构 北京劲创知识产权代理事务 所(普通合伙) 11589 专利代理师 田亚飞 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/163(2022.01) H04L 69/22(2022.01) G06F 16/901(2019.01) G06F 16/903(2019.01) (54)发明名称 一种防御Syn洪水攻击的方法 (57)摘要 本发明提供一种syn洪水攻击的防御方法与 装置， 涉及数据处理技术领域， 接收到第一个Syn 报文时， 将该报文记录在一个hash表中， 同时把 报文信息记录在一个双向的链表中的尾部。 完成 记录中， 第一个报文不做转发。 当接收到第二个 重传的syn报 文时， 在hash表和链表中， 找到相关 节点， 并移除。 该报 文正常转发。 当链表和hash表 满的时候， 把双向链表的头部的节点清除， 其他 节点依次前移 。 同时， 引入老化机制， 在一定的时 间段， 要清除链表和hash表中记录的接收过的 syn报信息， 保证防护的实 效性和系统的健壮性。 该方法对变化源IP地址的Syn洪水攻击防护能力 提升显著， 而且操作、 配置灵活， 只需要适 当增加 流表的大小， 就可增强对Syn洪水攻击的抵御能 力。 权利要求书1页 说明书3页 附图1页 CN 115065490 A 2022.09.16 CN 115065490 A 1.一种防御Syn洪水攻击的方法， 其特征在于， 接收到第一个Syn报文时， 将该报文记录 在一个hash表中， 同时把报文信息记录在一个双向的链表中的尾部； 完成记录中， 第一个报 文不做转发； 当接收到第二个重传的syn报文时， 在hash表和链表中， 找到相关节点， 并移 除； 完成记录中， 第一个报文不做 转发， 当接收到第二个重传的syn报文时， 在hash表和链表 中， 找到相关节点， 并移除， 该报文正常转发。 2.根据权利要求1所述一种防御Syn洪水攻击的方法， 其特征在于， Syn报文处理流程， 含以下步骤： 收到syn报文， 从hash表中查询表中是否存在该节点； 如果存在， 则转发该报文， 并将hash表和链 表中该节点删除； 如果不存在， 则丢弃 该报文， 并在hash表中增 加节点， 在链 表的尾部增 加该节点。 3.根据权利要求1所述的防御Syn洪水攻击的方法， 其特征在于， 还包括资源回收流程： 设置超时机制， 在一段时间内， 删除超时节点。 4.根据权利要求1所述的防御Syn洪水攻击的方法， 其特征在于， 在一定的时间段， 要清 除链表和hash表中记录的接收过的syn报信息 。权　利　要　求　书 1/1 页 2 CN 115065490 A 2一种防御Syn洪水 攻击的方法 技术领域 [0001]本发明涉及网络安全领域 技术领域， 尤其涉及一种防御Syn洪水攻击的方法。 背景技术 [0002]Syn洪水攻击是一种常见 的DoS攻击， 通过发送大量的TCP的syn包， 在服务器返回 syn ack的响应后， 又不回应服务器的syn  ack请求， 从而达到消耗服务器的资源， 导致服务 器的资源耗尽， 而正常的请求却得不到服 务器的响应。 [0003]现有技术主要是基于SYN  Cookie的手段。 其原理是， 在服务器等设备收到客户端 的SYN包时， 返回SYN+ACK包， 并根据这个SYN包计算出一个cookie值返回去。 当再 收到该客 户端的ACK包时， 该设备根据已计算出的cookie值检查这个ACK包的合法性。 如果合法， 帮助 该客户端和服务端的设备建立TCP连接。 基于S YN Cookie方法的算法有很多种， 其避免了攻 击者伪造地址的可能性。 [0004]现有技术性能差。 攻击者构造一个伪造源地址和源端口的SYN欺骗包的开销极其 小。 而SYN  Cookie的方法， 需要计算Cookie、 构造SYN+A CK包、 查找反向路由、 计算TCP和IP的 校验和等等。 容易形成反射攻击。 当攻击者A伪造了自己的地址成B， 而网关按照其伪造的地 址B回了一个SYN +ACK。 当攻击者大量伪造地址B进行发包， 会导致B会收到并处理大量的SYN +ACK报文。 实质上 是攻击者A利用网关对B实施的一个Dos反射 攻击。 发明内容 [0005](一)发明目的 [0006]为解决背景技术中存在的技术问题， 本发明提供一种防御Syn洪 水攻击的方法， 能 够有效的防御 洪水攻击。 Syn洪水攻击通过变化IP地址， 伪造源地址和端口对目标发送大量 的TCP的Syn连接请求， 导致该目标设备占用大量资源处理这些伪造的SYN包， 直至系统资源 耗尽或者系统太忙无法 响应正常的请求， 从而形成拒绝 服务。 [0007](二)技术方案 [0008]本发明提出了一种syn洪水攻击的防御方法， 接收到第一个Syn报文时， 将该报文 记录在一个hash表中， 同时把报文信息记录在一个双向的链表中的尾部； 完成记录中， 第一 个报文不做 转发； 当接收到第二个重传的syn报文时， 在hash表和链表中， 找到相关节 点， 并 移除； 完成记录中， 第一个报文不做 转发， 当接收到第二个重传的syn报文时， 在hash表和链 表中， 找到相关节点， 并移除， 该报文正常转发。 [0009]优选地， Syn报文处 理流程， 含以下步骤： [0010]收到syn报文， 从hash表中查询表中是否存在该节点； [0011]如果存在， 则转发该报文， 并将hash表和链 表中该节点删除； [0012]如果不存在， 则丢弃 该报文， 并在hash表中增 加节点， 在链 表的尾部增 加该节点。 [0013]优选地， 还 包括资源回收流 程： 设置超时机制， 在一段时间内， 删除超时节点。 [0014]优选地， 在一定的时间段， 要清除链 表和hash表中记录的接收过的syn报信息 。说　明　书 1/3 页 3 CN 115065490 A 3