(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211131663.8 (22)申请日 2022.09.15 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 李伟晨　王海燚　林燕飞　沈军　 刘国荣　 (74)专利代理 机构 北京律智知识产权代理有限 公司 11438 专利代理师 孙宝海 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 防御攻击方法及装置、 存 储介质及电子设备 (57)摘要 本公开提供了一种防御攻击方法及装置、 存 储介质及电子设备， 涉及网络通信技术领域。 接 收用户端发送的SYN报文； 记 录所述SYN报文的报 文地址和端口信息； 将所述SYN报文对应的所述 报文地址、 所述端口信息和防护方法发送至源认 证代理设备； 发送源地址集合到所述源认证代理 设备， 以使所述源认证代理设备根据所述源地址 集合和对应的报文地址、 端口信息和防护方法生 成认证报文， 并发送所述认证报文给所述用户 端； 接收所述用户端的回复报文， 确定所述用户 端为合法用户； 将所述合法用户的IP地址加入白 名单， 接收所述白名单中合法用户的后续报文。 实现减少上行链路网络带宽的占用， 更加灵活地 实现对攻击的防御。 权利要求书2页 说明书12页 附图12页 CN 115499216 A 2022.12.20 CN 115499216 A 1.一种攻击防御方法， 其特 征在于， 应用于清洗设备， 包括： 接收用户端发送的SYN报文； 记录所述SYN报文的报文地址和端口信息； 将所述SYN报文对应的所述报文地址、 所述端口信息和防护方法发送至源认证代理设 备； 发送源地址集合到所述源认证代理设备， 以使所述源认证代理设备根据 所述源地址集 合和对应的报文地址、 端口信息和防护方法生成认证报文， 并发送所述认证报文给所述用 户端； 接收所述用户端的回复报文， 确定所述用户端为 合法用户； 将所述合法用户的IP地址加入白名单， 接收所述白名单中合法用户的后续报文。 2.根据权利要求1所述的攻击防御方法， 其特 征在于， 还 包括： 如果超过预定时间未收到所述用户端的回复报文， 则确定所述用户端为非法用户， 将 所述非法用户加入黑名单。 3.根据权利要求1所述的攻击防御方法， 其特征在于， 所述接收用户端发送 的SYN报文 步骤之前， 还 包括： 当异常流量检测设备检测到攻击流量时， 发布BGP路由牵引所述攻击流量进行流量清 洗。 4.根据权利要求1所述的攻击防御方法， 其特 征在于， 所述方法还 包括： 接收所述白名单中合法用户的后 续报文后， 将所述后 续报文通过策略路由发送至服务 器端。 5.根据权利要求1所述的攻击防御方法， 其特征在于， 所述记录所述SYN报文的报文地 址和端口信息， 包括： 确定所述SYN报文的防护方法； 根据所述防护方法确定需要记录的报文地址和端口信息 。 6.根据权利要求5所述的攻击防御方法， 其特征在于， 所述防护方法包括： 代理握手方 式和错误确认号ACK  NUM方式； 所述根据所述防护方法确定需要记录的报文地址和端口信息， 包括： 若所述防护方法为代理握 手方式， 则记录源地址、 端口号和序列号； 若所述防护方法为 错误ACK NUM方式， 则记录源地址和端口号。 7.根据权利要求1所述的攻击防御 方法， 其特征在于， 所述发送源地址集合到所述源认 证代理设备， 以使所述源认证代理设备根据所述源地址集合和对应的报文地址、 端口信息 和防护方法生成认证报文， 并发送所述认证报文给 所述用户端， 包括： 若接收到的SYN报文累计数据对应的MTU值在 预设MTU值区间内， 则将所述接收到的SYN 报文合成第一源地址集 合， 并将所述第一源地址集 合发送至所述源认证代理设备； 或者 若接收到的SYN报文请求超过预设时间， 则将超过所述预设时间的报文合成第二源地 址集合， 并将所述第二源地址集 合发送至所述源认证代理设备。 8.一种攻击防御方法， 其特 征在于， 应用于源认证代理设备， 包括： 接收清洗设备发送的报文地址、 端口信息和防护方法； 接收所述清洗设备发送的源地址集 合；权　利　要　求　书 1/2 页 2 CN 115499216 A 2对所述防护方法和所述报文数据集 合进行解析生成认证报文； 将所述认证报文发送至用户端。 9.一种攻击防御装置， 其特 征在于， 包括： 报文接收模块， 用于 接收用户端发送的SYN报文； 信息记录模块， 用于记录所述SYN报文的报文地址和端口信息； 第一发送模块， 用于将所述SYN报文对应的报文地址、 端口信息和防护方法发送至源认 证代理设备； 第二发送模块， 用于发送源地址集合到所述源认证代理设备， 以使所述源认证代理设 备根据所述源地址集合和对应的报文地址、 端口信息和防护方法生成认证报文， 并发送所 述认证报文给 所述用户端； 回复接收模块， 用于 接收所述用户端的回复报文， 确定所述用户端为 合法用户； 白名单添加模块， 用于将所述合法用户的IP地址加入白名单， 接收所述白名单中合法 用户的后续报文。 10.一种攻击防御装置， 其特 征在于， 包括： 第一接收模块， 用于 接收清洗设备发送的报文地址、 端口信息和防护方法； 第二接收模块， 用于 接收所述清洗设备发送的报文数据集 合； 报文解析模块， 用于对所述防护方法和所述报文数据集 合进行解析生成认证报文； 报文发送模块将所述认证报文发送至用户端。 11.一种电子设备， 其特 征在于， 包括： 处理器； 以及 存储器， 用于存 储所述处 理器的可 执行指令； 其中， 所述处理器配置为经由执行所述可执行指令来执行权利要求1～8中任意一项所 述攻击防御方法。 12.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现权利要求1～8中任意 一项所述的攻击防御方法。权　利　要　求　书 2/2 页 3 CN 115499216 A 3