WO2017088326A1 - Tcp连接的处理方法、装置及系统 - Google Patents

Abstract

本发明公开了一种TCP连接的处理方法、装置及系统。其中，该方法包括：接收客户端发送的用于与服务器端建立TCP连接的连接报文；判断接收到的连接报文的报文类型，其中，连接报文的报文类型至少包括：同步报文和应答报文；当连接报文的报文类型为应答报文时，利用连接校验信息对应答报文进行校验，其中，连接校验信息根据同步报文生成；当应答报文校验通过时，将应答报文转发至服务器端。本发明解决了由于在对客户端发送的TCP连接进行验证后需要重新建立连接，导致的防护性能低、连接响应延迟的技术问题。

Description

TCP连接的处理方法、装置及系统 技术领域

本发明涉及互联网领域，具体而言，涉及一种TCP连接的处理方法、装置及系统。

背景技术

SYN FLOOD攻击是DDoS分布式拒绝服务攻击中非常重要的一种手段。其拥有发动方法简单且效果明显等特点，能够快速消耗服务器的性能，导致服务器的服务不可用。

SYN FLOOD攻击利用了在建立TCP连接时的三次握手处理过程的协议脆弱的缺陷，发送大量伪造的TCP连接请求，使服务器维持大量的半开连接，从而使被攻击服务器的资源耗尽，影响正常连接的建立。

在正常的通过TCP建立连接的处理过程当中，服务器在每收到一个SYN同步包之后，会在内核协议栈中创建一个连接表项，等待该连接后续的报文并做进一步处理。攻击者往往通过伪造源IP，向服务器发起大量SYN同步包，每个SYN同步包都会使服务器创建一个处于SYN_RECV半连接状态的连接表项，由于没有后续的ACK报文，服务器无法完成TCP的三次握手，因此这些连接就会在一段时间内一直保持在SYN_RECV半连接状态。当处于半连接状态的连接数量达到一定程度之后，由于服务器为了维护一个非常庞大的半连接列表而消耗非常多的资源，因此，服务器对于正常连接的处理速度就变得很慢，甚至无法建立。

目前，在现有技术中常规的用于应对SYN FLOOD攻击的防护方法，包括基于SYN COOKIE验证的方式，在防护设备或者防护模块收到SYN同步包后，并不将SYN同步包交给服务器，而是先确认发送SYN同步包的源IP客户端是否能够通过三次握手建立正常的连接，然后再把该IP的报文转发给服务器。其具体的处理方式，一种是先回应SYN COOKIE，等后续的ACK验证通过之后，把该源IP加白名单并把当前连接断掉，由客户端重新发起连接，由于已经加了白名单，该IP后续的报文会被转发到服务器；另一种是做TCP代理，等SYN COOKIE验证通过之后，由防护设备向服务器作为客户端向服务器发起一个新的连接，并把客户端的请求通过该连接转到服务器。

上述现有的防护方法存在如下两个弊端：

1、在通过ACK验证之后利用白名单的方式，将使通过验证的正常的客户端连接中断并且需要客户端重新向服务器发起连接和请求，增大了响应时间，影响客户体验。

2、通过TCP代理的方式，防护设备需要同时维护大量处于连接状态中的连接信息，并且还需要对TCP连接进行转发，在对防护性能造成影响，也会增加响应延迟。

针对上述由于在对客户端发送的TCP连接进行验证后需要重新建立连接，导致的防护性能低、连接响应延迟的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种TCP连接的处理方法、装置及系统，以至少解决由于在对客户端发送的TCP连接进行验证后需要重新建立连接，导致的防护性能低、连接响应延迟的技术问题。

根据本发明实施例的一个方面，提供了一种TCP连接的处理系统，包括：防护设备，通过互联网与客户端建立通讯连接，用于接收客户端发送的用于与服务器端建立TCP连接的连接报文，并判断接收到的连接报文的报文类型，其中，当连接报文的报文类型为应答报文时，利用连接校验信息对应答报文进行校验，当应答报文校验通过时，将应答报文转发至服务器端设置的连接设备；连接设备，设置于服务器端，分别与客户端和防护设备建立通讯连接，用于接收防护设备转发的用于与服务器端建立TCP连接的连接报文，并判断接收到的连接报文的报文类型，其中，当连接报文的报文类型为应答报文时，按照预先设置的校验规则对应答报文进行校验，当应答报文校验通过时，利用应答报文与发送应答报文的客户端建立TCP连接。

根据本发明实施例的另一方面，还提供了一种TCP连接的处理方法，应用于防护设备，包括：接收客户端发送的用于与服务器端建立TCP连接的连接报文；判断接收到的连接报文的报文类型，其中，连接报文的报文类型至少包括：同步报文和应答报文；当连接报文的报文类型为应答报文时，利用连接校验信息对应答报文进行校验，其中，连接校验信息根据同步报文生成；当应答报文校验通过时，将应答报文转发至服务器端。

进一步地，当连接报文的报文类型为同步报文时，在判断接收到的连接报文的报文类型之后，方法还包括：统计在预先设置的预定时间内，接收到同步报文的报文数量；判断报文数量是否大于等于预先设置的阈值；当报文数量大于或等于阈值时，根据同步报文生成连接校验信息；当报文数量小于阈值时，将同步报文转发至服务器端。

进一步地，在当应答报文校验通过之后，方法还包括：获取发送应答报文的客户 端的第一客户端地址；将第一客户端地址保存至预先创建的客户端地址表。

进一步地，在利用连接校验信息对应答报文进行校验之后，方法还包括：当应答报文校验未通过时，获取发送应答报文的客户端的第二客户端地址；将第二客户端地址与客户端地址表进行匹配；当第二客户端地址与客户端地址表中的地址匹配时，将应答报文转发至服务器端；当第二客户端地址与客户端地址表中的地址不匹配时，丢弃应答报文。

根据本发明实施例的另一方面，还提供了一种TCP连接的处理装置，包括：应用于防护设备，包括：第一接收模块，用于接收客户端发送的用于与服务器端建立TCP连接的连接报文；第一判断模块，用于判断接收到的连接报文的报文类型，其中，连接报文的报文类型至少包括：同步报文和应答报文；第一校验模块，用于当连接报文的报文类型为应答报文时，利用连接校验信息对应答报文进行校验，其中，连接校验信息根据同步报文生成；第一转发模块，用于当应答报文校验通过时，将应答报文转发至服务器端。

进一步地，装置还包括：统计模块，用于统计在预先设置的预定时间内，接收到同步报文的报文数量；第二判断模块，用于判断报文数量是否大于等于预先设置的阈值；生成模块，用于当报文数量大于或等于阈值时，根据同步报文生成连接校验信息；第二转发模块，用于当报文数量小于阈值时，将同步报文转发至服务器端。

进一步地，装置还包括：第一获取模块，用于获取发送应答报文的客户端的第一客户端地址；存储模块，用于将第一客户端地址保存至预先创建的客户端地址表。

进一步地，装置还包括：第二获取模块，用于当应答报文校验未通过时，获取发送应答报文的客户端的第二客户端地址；匹配模块，用于将第二客户端地址与客户端地址表进行匹配；第三转发模块，用于当第二客户端地址与客户端地址表中的地址匹配时，将应答报文转发至服务器端；丢弃模块，用于当第二客户端地址与客户端地址表中的地址不匹配时，丢弃应答报文。

根据本发明实施例的另一方面，还提供了一种TCP连接的处理方法，应用于服务器端，包括：接收防护设备转发的用于与服务器端建立TCP连接的连接报文；判断接收到的连接报文的报文类型，其中，连接报文的报文类型至少包括：同步报文和应答报文；当连接报文的报文类型为应答报文时，按照预先设置的校验规则对应答报文进行校验；当应答报文校验通过时，利用应答报文与发送应答报文的客户端建立TCP连接。

根据本发明实施例的另一方面，还提供了一种TCP连接的处理装置，包括：应用 于服务器端，包括：第二接收模块，用于接收防护设备转发的用于与服务器端建立TCP连接的连接报文；第三判断模块，用于判断接收到的连接报文的报文类型，其中，连接报文的报文类型至少包括：同步报文和应答报文；第二校验模块，用于当连接报文的报文类型为应答报文时，按照预先设置的校验规则对应答报文进行校验；第一连接模块，用于当应答报文校验通过时，利用应答报文与发送应答报文的客户端建立TCP连接。

在本发明实施例中，采用接收客户端发送的用于与服务器端建立TCP连接的连接报文；判断接收到的连接报文的报文类型，其中，连接报文的报文类型至少包括：同步报文和应答报文；当连接报文的报文类型为应答报文时，利用连接校验信息对应答报文进行校验，其中，连接校验信息根据同步报文生成；当应答报文校验通过时，将应答报文转发至服务器端的方式，达到了对SYN FLOOD攻击进行防护的目的，从而实现了提升对SYN FLOOD攻击进行防护的防护性能的技术效果，进而解决了由于在对客户端发送的TCP连接进行验证后需要重新建立连接，导致的防护性能低、连接响应延迟的技术问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本申请实施例的TCP连接的处理系统结构示意图；

图2是现有技术中的TCP连接的流程示意图；

图3是根据本申请实施例的TCP连接的处理系统的处理流程示意图；

图4是根据本申请实施例的TCP连接的处理方法的流程示意图；

图5是基于本申请实施例的TCP连接的处理方法的处理流程示意图；

图6是根据本申请实施例的TCP连接的处理装置的示意图；

图7是根据本申请实施例的TCP连接的处理方法的流程示意图；

图8是基于本申请实施例的TCP连接的处理方法的处理流程示意图；以及

图9是根据本申请实施例的TCP连接的处理装置的示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

实施例1：

在描述本申请的各实施例的进一步细节之前，将参考图1来描述可用于实现本申请的原理的一个合适的计算体系结构。在以下描述中，除非另外指明，否则将参考由一个或多个计算机执行的动作和操作的符号表示来描述本申请的各实施例。由此，可以理解，有时被称为计算机执行的这类动作和操作包括计算机的处理单元对以结构化形式表示数据的电信号的操纵。这一操纵转换了数据或在计算机的存储器系统中的位置上维护它，这以本领域的技术人员都理解的方式重配置或改变了计算机的操作。维护数据的数据结构是具有数据的格式所定义的特定属性的存储器的物理位置。然而，尽管在上述上下文中描述本申请，但它并不意味着限制性的，如本领域的技术人员所理解的，后文所描述的动作和操作的各方面也可用硬件来实现。

在其最基本的配置中，图1是根据本申请实施例的TCP连接的处理系统结构示意图。出于描述的目的，所绘的体系结构仅为合适环境的一个示例，并非对本申请的使用范围或功能提出任何局限。也不应将该计算系统解释为对图1所示的任一组件或其组合具有任何依赖或需求。

如图1所示，本申请提供的TCP连接的处理系统可以包括：防护设备10和连接设备30。

其中，防护设备10，通过互联网与客户端建立通讯连接，用于接收客户端发送的用于与服务器端建立TCP连接的连接报文，并判断接收到的连接报文的报文类型，其 中，当连接报文的报文类型为应答报文时，利用连接校验信息对应答报文进行校验，当应答报文校验通过时，将应答报文转发至服务器端设置的连接设备；连接设备30，设置于服务器端，分别与客户端和防护设备建立通讯连接，用于接收防护设备转发的用于与服务器端建立TCP连接的连接报文，并判断接收到的连接报文的报文类型，其中，当连接报文的报文类型为应答报文时，按照预先设置的校验规则对应答报文进行校验，当应答报文校验通过时，利用应答报文与发送应答报文的客户端建立TCP连接。

具体的，如图2所示，为了在客户端与服务器端之间传输TCP数据，需要首先建立一个虚拟电路，即TCP连接。而在建立TCP连接时，首先由客户端发送一个包含SYN同步标志的TCP报文，即SYN同步报文。然后服务器端在接收到客户端发送的同步报文后，将返回一个SYN/ACK同步应答报文，表示由客户端发送的TCP连接请求已被服务器端接收。最后，客户端会根据SYN/ACK同步应答报文，返回ACK应答报文至服务器端。至此，客户端与服务器端之间完成一个TCP连接。

如图3所示，在建立TCP连接时，服务器端至少会接收到客户端发送的SYN同步报文和ACK应答报文。设置于服务器侧的防护设备，通过上述防护设备10和连接设备30，在接收到客户端发送的用于与服务器端建立TCP连接的连接报文后，根据连接报文的报文类型对连接报文进行处理。当接收到的报文类型为ACK应答报文时，对ACK应答报文进行校验。当ACK应答报文通过校验时，将其转发至设置于服务器端的连接设备，通过连接设备在客户端和服务器端之间建立通讯连接。达到了对SYN FLOOD攻击进行防护的目的，从而实现了提升对SYN FLOOD攻击进行防护的防护性能的技术效果，进而解决了由于在对客户端发送的TCP连接进行验证后需要重新建立连接，导致的防护性能低、连接响应延迟的技术问题。

进一步的，防护设备10当接收到的报文类型为SYN同步报文时，防护设备对接收到的SYN同步报文进行计数处理。并且统计在预先设置的时间内接收到的同步报文的报文数量。当在预设时间内接收到的报文数量超过预先设置的阈值时，有可能发生SYN FLOOD攻击。因此，对发送的SYN同步报文进行验证。当在预设时间内接收到的报文数量小于超过预先设置的阈值时，则认为没有发生SYN FLOOD攻击，将SYN同步报文直接转发至连接设备，并由设置于服务器中的连接设备与客户端直接建立TCP连接。

进一步的，当应答报文校验通过，可以确认发送该应答报文的客户端为正常访问的合法客户端，因此，可以通过防护设备10获取该客户端的客户端地址，并将该客户端地址加入预先设置的客户端地址表当中。其中，客户端地址表用于记录合法客户端的地址信息。

进一步的，当应答报文校验未通过时，通过防护设备10对发送该应答报文的客户端的第二客户端地址进行获取，并将第二客户端地址与预先设置的客户端地址表中的地址信息进行匹配。如果第二客户端地址与客户端地址表中的地址信息匹配时，说明该报文为合法客户端发送的。因此，可以将该报文信息转发至连接设备。如果第二客户端地址与客户端地址表中的地址信息不匹配时，认为该客户端为非法客户端，并将该客户端发送的应答报文丢弃。

进一步的，通过连接设备30，在接收到防护设备转发的连接报文后，对连接报文的类型进行判断。当连接报文的报文类型为ACK应答报文时，对ACK应答报文按照预先设置的校验规则进行校验。当对应答报文校验通过时，利用ACK应答报文与客户端建立TCP连接；当对应答报文校验未通过时，直接将ACK应答报文丢弃。其中，校验规则与防护设备中的校验规则一致，可以通过SYN COOKIE的校验方式，对ACK应答报文进行验证，具体验证方法此处不做赘述。

进一步的，当连接报文的报文类型为SYN同步报文时，通过连接设备30，利用SYN同步报文由连接设备直接与客户端建立TCP连接。

上述TCP连接的处理系统通过防护设备与连接设备协同工作、共同配合，可以高效完成SYN FLOOD防护过程中的校验及连接处理。

其中，防护设备负责对SYN FLOOD进行检测和校验，将通过SYN COOKIE校验的ACK应答报文转发至连接设备；获取发送没有通过SYN COOKIE校验的ACK应答报文的客户端地址，并根据在客户端地址表中查找的结果做相应处理。

具体的，上述防护设备在完成SYN同步报文的检查和校验工作后，根据接收到的SYN同步报文向客户端发送SYN/ACK同步应答报文，并对接收到的ACK应答报文进行验证。

连接设备负责在接收到防护设备转发的连接报文后，再做一次检查和校验。当校验通过时，则在内核协议栈中创建连接表项。对于该连接的后续通讯请求，直接转发至服务器中的接收器，由接收器送入内核协议栈进行处理。通过连接设备的处理，可以快速在服务器上创建通讯连接，避免了连接中断或者有防护设备进行TCP代理带来的问题。

具体的，上述连接设备的主要功能是负责接收防护设备转发过来的连接报文进行验证，并对通过验证的连接报文，根据连接报文的报文类型在内核创建相应的连接表项。对于不带COOKIE内容的报文，及SYN同步报文，交由内核协议栈进行处理。

综上所述，本系统为了解决SYN FLOOD防护过程过于复杂从而导致的性能问题 和响应延迟的问题，针对当前常规SYN FLOOD防护的两个弊端，提出对于SYN FLOOD防护的改进方案，上述主要解决了：

(1)目前常规的TCP连接的处理方法在对SYN COOKIE进行验证后，由于第一次连接用于验证，需要断开该次连接或者通过TCP代理服务器进行代理，从而导致响应延迟。

(2)目前现有验证方式，在对ACK应答报文进行SYN COOKIE验证后，利用白名单或者通过TCP代理会带来防护设备的性能的损耗。

由采用上述TCP连接的处理方法的防护设备，代替服务器与客户端建立TCP连接的握手过程，完成对SYN报文的验证。由防护设备将正常客户端发送的用于TCP连接的ACK应答报文转发至连接设备，连接设备可以根据ACK应答报文中的信息，创建TCP连接。在一个完整的TCP连接建立过程，由防护设备与连接设备共同完成，客户端不会感知到该过程，从而在SYN FLOOD防护过程中高效完成了验证和TCP连接建立，保障了客户体验。

实施例2

根据本发明实施例，还提供了一种TCP连接的处理方法，该方法应用于防护设备。图4是根据本申请实施例的TCP连接的处理方法的流程示意图。

如图4所示，上述TCP连接的处理方法包括如下步骤：

步骤S102，接收客户端发送的用于与服务器端建立TCP连接的连接报文。

步骤S104，判断接收到的连接报文的报文类型，其中，连接报文的报文类型至少包括：同步报文和应答报文。

步骤S106，当连接报文的报文类型为应答报文时，利用连接校验信息对应答报文进行校验，其中，连接校验信息根据同步报文生成。

步骤S108，当应答报文校验通过时，将应答报文转发至服务器端。

具体的，如图2所示，为了在客户端与服务器端之间传输TCP数据，需要首先建立一个虚拟电路，即TCP连接。而在建立TCP连接时，首先由客户端发送一个包含SYN同步标志的TCP报文，即SYN同步报文。然后服务器端在接收到客户端发送的同步报文后，将返回一个SYN/ACK同步应答报文，表示由客户端发送的TCP连接请求已被服务器端接收。最后，客户端会根据SYN/ACK同步应答报文，返回ACK应答报文至服务器端。至此，客户端与服务器端之间完成一个TCP连接。

因此，如图3所示，在建立TCP连接时，服务器端至少会接收到客户端发送的SYN同步报文和ACK应答报文。设置于服务器侧的防护设备，通过上述步骤S102至步骤S108，在接收到客户端发送的用于与服务器端建立TCP连接的连接报文后，根据连接报文的报文类型对连接报文进行处理。当接收到的报文类型为ACK应答报文时，对ACK应答报文进行校验。当ACK应答报文通过校验时，将其转发至设置于服务器端的连接设备，通过连接设备在客户端和服务器端之间建立通讯连接。达到了对SYN FLOOD攻击进行防护的目的，从而实现了提升对SYN FLOOD攻击进行防护的防护性能的技术效果，进而解决了由于在对客户端发送的TCP连接进行验证后需要重新建立连接，导致的防护性能低、连接响应延迟的技术问题。

由采用上述TCP连接的处理方法的防护设备，代替服务器与客户端建立TCP连接的握手过程，完成对SYN报文的验证。由防护设备将正常客户端发送的用于TCP连接的ACK报文转发至连接设备，连接设备可以根据ACK报文中的信息，创建TCP连接。在一个完整的TCP连接建立过程，由防护设备与连接设备共同完成，客户端不会感知到该过程，从而在SYN FLOOD防护过程中高效完成了验证和TCP连接建立，保障了客户体验。

作为一种可选的实施方式，当连接报文的报文类型为同步报文时，在步骤S104判断接收到的连接报文的报文类型之后，方法还包括：

步骤S51，统计在预先设置的预定时间内，接收到同步报文的报文数量。

步骤S53，判断报文数量是否大于等于预先设置的阈值。

步骤S55，当报文数量大于或等于阈值时，根据同步报文生成连接校验信息。

步骤S57，当报文数量小于阈值时，将同步报文转发至服务器端。

具体的，通过步骤S51至步骤S57，当接收到的报文类型为SYN同步报文时，防护设备对接收到的SYN同步报文进行计数处理。并且统计在预先设置的时间内接收到的同步报文的报文数量。当在预设时间内接收到的报文数量超过预先设置的阈值时，有可能发生SYN FLOOD攻击。因此，对发送的SYN同步报文进行验证。当在预设时间内接收到的报文数量小于超过预先设置的阈值时，则认为没有发生SYN FLOOD攻击，将SYN同步报文直接转发至连接设备，并由设置于服务器中的连接设备与客户端直接建立TCP连接。

在实际应用当中，用于判断是否收到SYN FLOOD攻击的阈值，可以根据服务器日常的平均访问量以及服务器的处理能力进行设置。用于统计报文数量的预定时间。在进行设置时，为了及时发现攻击，可以将统计报文数量的预定时间设置为1秒或者 几秒。

作为一种可选的实施方式，在步骤S108当应答报文校验通过之后，方法还包括：

步骤S109，获取发送应答报文的客户端的第一客户端地址。

步骤S110，将第一客户端地址保存至预先创建的客户端地址表。

具体的，当应答报文校验通过，可以确认发送该应答报文的客户端为正常访问的合法客户端，因此，可以通过步骤S109至步骤S110获取该客户端的客户端地址，并将该客户端地址加入预先设置的第一客户端地址表当中。其中，客户端地址表用于记录合法客户端的地址信息。

作为一种可选的实施方式，在步骤S106利用连接校验信息对应答报文进行校验之后，上述方法还包括：

步骤S71，当应答报文校验未通过时，获取发送应答报文的客户端的第二客户端地址。

步骤S73，将第二客户端地址与客户端地址表进行匹配。

步骤S75，当第二客户端地址与客户端地址表中的地址匹配时，将应答报文转发至服务器端。

步骤S77，当第二客户端地址与客户端地址表中的地址不匹配时，丢弃应答报文。

具体的，当应答报文校验未通过时，通过步骤S71至步骤S77对发送该应答报文的客户端的第二客户端地址进行获取，并将第二客户端地址与预先设置的客户端地址表中的地址信息进行匹配。如果第二客户端地址与客户端地址表中的地址信息匹配时，说明该报文为合法客户端发送的。因此，可以将该报文信息转发至连接设备。如果第二客户端地址与客户端地址表中的地址信息不匹配时，认为该客户端为非法客户端，并将该客户端发送的应答报文丢弃。

作为一种可选的实施方式，客户端地址表也可以记录非法客户端的地址信息。在当第二客户端地址与客户端地址表中的地址不匹配时，将第二客户端地址加入预先设置的用于记录非法客户端地址信息的地址表中。进一步的，在防护设备每次接收到客户端发送的连接报文时，获取发送连接报文的客户端的地址信息，根据上述地址表和上述地址信息，即可直接对客户端的合法性进行判断。

作为一种可选的实施方式，如图5所示，在实际应用当中，在防护设备中执行上述方法的步骤可以包括：

步骤1，接收客户端发送的连接报文。

步骤2，连接报文若是SYN同步报文，统计每秒接收到的SYN同步报文的报文数量。当报文数量超过预先设置设定的阈值时开始进行防护，通过防护装置向客户端回应SYN COOKIE；否则将SYN同步报文转发至连接设备。

步骤3，连接报文若是ACK应答报文，则对ACK应答报文进行SYN COOKIE校验。当校验通过时，将ACK应答报文转发至连接设备；当校验不通过时，获取发送ACK应答报文的地址信息，并查询该地址信息是否存在客户端地址表中，如果该地址信息不在于客户端地址表中时，将该ACK应答报文丢弃。

其中，对于通过SYN COOKIE校验的连接报文，可以有多种方式通知连接设备该连接报文为已通过校验的连接报文，均在该专利范围之内，此处不做具体限定。

实施例3：

根据本发明实施例，还提供了一种TCP连接的处理装置，该装置应用于防护设备。图6是根据本申请实施例的TCP连接的处理装置的示意图。

如图6所示，该装置可以包括：第一接收模块12、第一判断模块14、第一校验模块16和第一转发模块18。

其中，第一接收模块12，用于接收客户端发送的用于与服务器端建立TCP连接的连接报文；第一判断模块14，用于判断接收到的连接报文的报文类型，其中，连接报文的报文类型至少包括：同步报文和应答报文；第一校验模块16，用于当连接报文的报文类型为应答报文时，利用连接校验信息对应答报文进行校验，其中，连接校验信息根据同步报文生成；第一转发模块18，用于当应答报文校验通过时，将应答报文转发至服务器端。

在建立TCP连接时，服务器端至少会接收到客户端发送的SYN同步报文和ACK应答报文。设置于服务器侧的防护设备，通过上述第一接收模块12、第一判断模块14、第一校验模块16和第一转发模块18，在接收到客户端发送的用于与服务器端建立TCP连接的连接报文后，根据连接报文的报文类型对连接报文进行处理。当接收到的报文类型为ACK应答报文时，对ACK应答报文进行校验。当ACK应答报文通过校验时，将其转发至设置于服务器端的连接设备，通过连接设备在客户端和服务器端之间建立通讯连接。达到了对SYN FLOOD攻击进行防护的目的，从而实现了提升对SYN FLOOD攻击进行防护的防护性能的技术效果，进而解决了由于在对客户端发送的TCP连接进行验证后需要重新建立连接，导致的防护性能低、连接响应延迟的技术问题。

由采用上述TCP连接的处理方法的防护设备，代替服务器与客户端建立TCP连接的握手过程，完成对SYN报文的验证。由防护设备将正常客户端发送的用于TCP连接的ACK报文转发至连接设备，连接设备可以根据ACK报文中的信息，创建TCP连接。在一个完整的TCP连接建立过程，由防护设备与连接设备共同完成，客户端不会感知到该过程，从而在SYN FLOOD防护过程中高效完成了验证和TCP连接建立，保障了客户体验。

作为一种可选的实施方式，上述装置还可以包括：统计模块51、第二判断模块53、生成模块55和第二转发模块57。

其中，统计模块51，用于统计在预先设置的预定时间内，接收到同步报文的报文数量；第二判断模块53，用于判断报文数量是否大于等于预先设置的阈值；生成模块55，用于当报文数量大于或等于阈值时，根据同步报文生成连接校验信息；第二转发模块57，用于当报文数量小于阈值时，将同步报文转发至服务器端。

具体的，通过上述统计模块51、第二判断模块53、生成模块55和第二转发模块57，当接收到的报文类型为SYN同步报文时，防护设备对接收到的SYN同步报文进行计数处理。并且统计在预先设置的时间内接收到的同步报文的报文数量。当在预设时间内接收到的报文数量超过预先设置的阈值时，有可能发生SYN FLOOD攻击。因此，对发送的SYN同步报文进行验证。当在预设时间内接收到的报文数量小于超过预先设置的阈值时，则认为没有发生SYN FLOOD攻击，将SYN同步报文直接转发至连接设备，并由设置于服务器中的连接设备与客户端直接建立TCP连接。

作为一种可选的实施方式，上述装置还可以包括：第一获取模块19和存储模块20。

其中，第一获取模块19，用于获取发送应答报文的客户端的第一客户端地址；存储模块20，用于将第一客户端地址保存至预先创建的客户端地址表。

具体的，当应答报文校验通过，可以确认发送该应答报文的客户端为正常访问的合法客户端，因此，可以通过上述第一获取模块19和存储模块20获取该客户端的客户端地址，并将该客户端地址加入预先设置的第一客户端地址表当中。其中，客户端地址表用于记录合法客户端的地址信息。

作为一种可选的实施方式，上述装置还可以包括：第二获取模块71、匹配模块73、第三转发模块75和丢弃模块77。

其中，第二获取模块71，用于当应答报文校验未通过时，获取发送应答报文的客户端的第二客户端地址；匹配模块73，用于将第二客户端地址与客户端地址表进行匹 配；第三转发模块75，用于当第二客户端地址与客户端地址表中的地址匹配时，将应答报文转发至服务器端；丢弃模块77，用于当第二客户端地址与客户端地址表中的地址不匹配时，丢弃应答报文。

具体的，当应答报文校验未通过时，通过上述第二获取模块71、匹配模块73、第三转发模块75和丢弃模块77对发送该应答报文的客户端的第二客户端地址进行获取，并将第二客户端地址与预先设置的客户端地址表中的地址信息进行匹配。如果第二客户端地址与客户端地址表中的地址信息匹配时，说明该报文为合法客户端发送的。因此，可以将该报文信息转发至连接设备。如果第二客户端地址与客户端地址表中的地址信息不匹配时，认为该客户端为非法客户端，并将该客户端发送的应答报文丢弃。

实施例4

根据本发明实施例，还提供了一种TCP连接的处理方法，该方法应用于连接设备。图7是根据本申请实施例的TCP连接的处理方法的流程图。

如图7所示，上述TCP连接的处理方法包括如下步骤：

步骤S201，接收防护设备转发的用于与服务器端建立TCP连接的连接报文。

步骤S203，判断接收到的连接报文的报文类型，其中，连接报文的报文类型至少包括：同步报文和应答报文。

步骤S205，当连接报文的报文类型为应答报文时，按照预先设置的校验规则对应答报文进行校验。

步骤S207，当应答报文校验通过时，利用应答报文与发送应答报文的客户端建立TCP连接。

具体的，通过步骤S201至步骤S207，连接设备在接收到防护设备转发的连接报文后，对连接报文的类型进行判断。当连接报文的报文类型为ACK应答报文时，对ACK应答报文按照预先设置的校验规则进行校验。当对应答报文校验通过时，利用ACK应答报文与客户端建立TCP连接；当对应答报文校验未通过时，将ACK应答报文发送至内核协议栈，由内核协议栈做进一步处理。其中，校验规则与防护设备中的校验规则一致，可以通过SYN COOKIE的校验方式，对ACK应答报文进行验证，具体验证方法此处不做赘述。

作为一种可选的实施方式，当连接报文的报文类型为同步报文时，在步骤S203判断接收到的连接报文的报文类型之后，上述方法还可以包括：

步骤S204，根据同步报文与客户端建立TCP连接。

具体的，当连接报文的报文类型为SYN同步报文时，通过步骤S204，利用SYN同步报文由连接设备直接与客户端建立TCP连接。

作为一种可选的实施方式，如图8所示，在实际应用当中，在连接设备中执行上述方法的步骤可以包括：

步骤1，接收防护设备转发的连接报文。

步骤2，连接报文若是SYN同步报文，直接将SYN同步报文交由内核协议栈进行TCP连接处理。

步骤3，连接报文若是ACK应答报文，按照与防护设备约定的校验方式，对ACK应答报文进行SYN COOKIE校验。当校验通过时，则在内核协议栈中创建连接表项，从而根据ACK应答报文与客户端建立连接；当校验未通过时，将该ACK应答报文交由内核协议栈进行TCP连接处理。

实施例5：

根据本发明实施例，还提供了一种TCP连接的处理装置，该装置应用于连接设备。图9是根据本申请实施例的TCP连接的处理装置的示意图。

如图9所示，该装置可以包括：第二接收模块21、第三判断模块23、第二校验模块25和第一连接模块27。

其中，第二接收模块21，用于接收防护设备转发的用于与服务器端建立TCP连接的连接报文；第三判断模块23，用于判断接收到的连接报文的报文类型，其中，连接报文的报文类型至少包括：同步报文和应答报文；第二校验模块25，用于当连接报文的报文类型为应答报文时，按照预先设置的校验规则对应答报文进行校验；第一连接模块27，用于当应答报文校验通过时，利用应答报文与发送应答报文的客户端建立TCP连接。

具体的，通过上述第二接收模块21、第三判断模块23、第二校验模块25和第一连接模块27，连接设备在接收到防护设备转发的连接报文后，对连接报文的类型进行判断。当连接报文的报文类型为ACK应答报文时，对ACK应答报文按照预先设置的校验规则进行校验。当对应答报文校验通过时，利用ACK应答报文与客户端建立TCP连接；当对应答报文的校验未通过时，将ACK应答报文发送至内核协议栈，由内核协议栈做进一步处理。其中，校验规则与防护设备中的校验规则一致，可以通过SYN COOKIE的校验方式，对ACK应答报文进行验证，具体验证方法此处不做赘述。

作为一种可选的实施方式，上述装置还可以包括：第二连接模块24。其中，第二连接模块24，用于根据同步报文与客户端建立TCP连接。

具体的，当连接报文的报文类型为SYN同步报文时，通过第二连接模块24，利用SYN同步报文由连接设备直接与客户端建立TCP连接。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，可以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (11)

1. 一种TCP连接的处理方法，应用于防护设备，其特征在于，包括：

   接收客户端发送的用于与服务器端建立TCP连接的连接报文；

   判断接收到的所述连接报文的报文类型，其中，所述连接报文的报文类型至少包括：同步报文和应答报文；

   当所述连接报文的报文类型为所述应答报文时，利用连接校验信息对所述应答报文进行校验，其中，所述连接校验信息根据所述同步报文生成；

   当所述应答报文校验通过时，将所述应答报文转发至所述服务器端。
2. 根据权利要求1所述的方法，其特征在于，当所述连接报文的报文类型为所述同步报文时，在判断接收到的所述连接报文的报文类型之后，所述方法还包括：

   统计在预先设置的预定时间内，接收到所述同步报文的报文数量；

   判断所述报文数量是否大于等于预先设置的阈值；

   当所述报文数量大于或等于所述阈值时，根据所述同步报文生成所述连接校验信息；

   当所述报文数量小于所述阈值时，将所述同步报文转发至所述服务器端。
3. 根据权利要求1所述的方法，其特征在于，在当所述应答报文校验通过之后，所述方法还包括：

   获取发送所述应答报文的所述客户端的第一客户端地址；

   将所述第一客户端地址保存至预先创建的客户端地址表。
4. 根据权利要求3所述的方法，其特征在于，在利用连接校验信息对所述应答报文进行校验之后，所述方法还包括：

   当所述应答报文校验未通过时，获取发送所述应答报文的所述客户端的第二客户端地址；

   将所述第二客户端地址与所述客户端地址表进行匹配；

   当所述第二客户端地址与所述客户端地址表中的地址匹配时，将所述应答报文转发至所述服务器端；

   当所述第二客户端地址与所述客户端地址表中的地址不匹配时，丢弃所述应答报文。
5. 一种TCP连接的处理装置，应用于防护设备，其特征在于，包括：

   第一接收模块，用于接收客户端发送的用于与服务器端建立TCP连接的连接报文；

   第一判断模块，用于判断接收到的所述连接报文的报文类型，其中，所述连接报文的报文类型至少包括：同步报文和应答报文；

   第一校验模块，用于当所述连接报文的报文类型为所述应答报文时，利用连接校验信息对所述应答报文进行校验，其中，所述连接校验信息根据所述同步报文生成；

   第一转发模块，用于当所述应答报文校验通过时，将所述应答报文转发至所述服务器端。
6. 根据权利要求5所述的装置，所述装置还包括：

   统计模块，用于统计在预先设置的预定时间内，接收到所述同步报文的报文数量；

   第二判断模块，用于判断所述报文数量是否大于等于预先设置的阈值；

   生成模块，用于当所述报文数量大于或等于所述阈值时，根据所述同步报文生成所述连接校验信息；

   第二转发模块，用于当所述报文数量小于所述阈值时，将所述同步报文转发至所述服务器端。
7. 根据权利要求5所述的装置，其特征在于，所述装置还包括：

   第一获取模块，用于获取发送所述应答报文的所述客户端的第一客户端地址；

   存储模块，用于将所述第一客户端地址保存至预先创建的客户端地址表。
8. 根据权利要求7所述的装置，其特征在于，所述装置还包括：

   第二获取模块，用于当所述应答报文校验未通过时，获取发送所述应答报文的所述客户端的第二客户端地址；

   匹配模块，用于将所述第二客户端地址与所述客户端地址表进行匹配；

   第三转发模块，用于当所述第二客户端地址与所述客户端地址表中的地址匹配时，将所述应答报文转发至所述服务器端；

   丢弃模块，用于当所述第二客户端地址与所述客户端地址表中的地址不匹配时，丢弃所述应答报文。
9. 一种TCP连接的处理方法，应用于服务器端，其特征在于，包括：

   接收防护设备转发的用于与所述服务器端建立TCP连接的连接报文；

   判断接收到的所述连接报文的报文类型，其中，所述连接报文的报文类型至少包括：同步报文和应答报文；

   当所述连接报文的报文类型为所述应答报文时，按照预先设置的校验规则对所述应答报文进行校验；

   当所述应答报文校验通过时，利用所述应答报文与发送所述应答报文的客户端建立TCP连接。
10. 一种TCP连接的处理装置，应用于服务器端，其特征在于，包括：

    第二接收模块，用于接收防护设备转发的用于与所述服务器端建立TCP连接的连接报文；

    第三判断模块，用于判断接收到的所述连接报文的报文类型，其中，所述连接报文的报文类型至少包括：同步报文和应答报文；

    第二校验模块，用于当所述连接报文的报文类型为所述应答报文时，按照预先设置的校验规则对所述应答报文进行校验；

    第一连接模块，用于当所述应答报文校验通过时，利用所述应答报文与发送所述应答报文的客户端建立TCP连接。
11. 一种TCP连接的处理系统，其特征在于，包括：

    防护设备，通过互联网与客户端建立通讯连接，用于接收所述客户端发送的用于与服务器端建立TCP连接的连接报文，并判断接收到的所述连接报文的报文类型，其中，当所述连接报文的报文类型为应答报文时，利用连接校验信息对所述应答报文进行校验，当所述应答报文校验通过时，将所述应答报文转发至所述服务器端设置的连接设备；

    所述连接设备，设置于所述服务器端，分别与所述客户端和所述防护设备建 立通讯连接，用于接收所述防护设备转发的用于与所述服务器端建立TCP连接的连接报文，并判断接收到的所述连接报文的报文类型，其中，当所述连接报文的报文类型为所述应答报文时，按照预先设置的校验规则对所述应答报文进行校验，当所述应答报文校验通过时，利用所述应答报文与发送所述应答报文的客户端建立TCP连接。

Images