[发明专利]一种传输控制协议拦截模块及其软切换方法

说明书

技术领域

本发明涉及网络通信中的安全防攻击领域，尤其涉及安全防攻击技术TCP(Transfer Control Protocol传输控制协议)拦截方法。

背景技术

随着Internet的迅猛发展，其应用也越来越广泛，网络的安全问题也越来越多的受到人们的关注，因为针对网络的攻击行为日益猖獗，网络的安全问题是制约因特网发展的重要瓶颈。不管是应用层软件、操作系统、还是硬件本身都存在着安全漏洞。网络协议本身也存在着安全隐患，这些都为网络黑客攻击网络系统提供了可乘之机。DDOS(DistributedDenial of Service分布式拒绝服务攻击)是近几年比较流行的网络攻击手段，一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，导致合法用户无法正常访问服务器的网络资源。SYN flood(在TCP报文中将SYN标志位置位的一种攻击方式)攻击就是其中的手段之一，主要表现为发送大量无法建立三次握手的TCP连接，由于主机对每次的TCP连接都设定一个定时器进行监控，一旦遭受SYN flooding攻击，在很短的时间内会有大量的半连接需要主机分配资源进行监控，从而导致主机的某种资源被耗尽而无法进行正常的工作。

目前针对这种SYN flood攻击，路由器上所采用的方法是TCP拦截。现有的设备生产厂家，在路由器系统上大都引入了该项功能，它是一种网络安全保护机制。它工作在两种模式下：拦截和监控。

在拦截模式下，当路由器收到外网向内部受保护的服务器发起的TCP连接请求时，路由器会拦截此报文并代替受保护的服务器响应外网发起的TCP连接请求。如果发起请求的外网主机是正常的访问，就会在收到SYN-ACK报文后回应一个ACK报文来完成三次握手；如果是攻击报文，则外网主机不可达，因此不会发送确认报文给路由器。这时路由器会四次重传SYN-ACK报文给外网发起TCP请求的主机，如果还是没有收到ACK报文则删除该TCP记录。这样内网服务器不会有大量处于半连接状态的TCP连接。当路由器处于攻击状态时，新请求的连接会导致最老的(或者随即选择)一个半连接删除，而且初始超时重传的时间会减小到0.5秒，这样系统为其保存的整体超时时间将会减半。

在监控模式下，路由器会监控外网向内部服务器发起的TCP连接请求，但是并不拦截该请求，所以该请求能够直接到达受保护的服务器，如若外部主机是合法的用户，他们能够建立正常的TCP连接。如果外部主机不可达则路由器会监控该半连接，如果超时了还没有建立正常的TCP连接，则路由器会发送一份reset报文给受保护的服务器，然后删除该半连接。

在TCP拦截这项技术中，路由器只能工作在一种模式下拦截或者监控，在拦截模式下虽然能够比较好的保护内部的服务器，因为SYN-flood的攻击报文无法达到内部服务器，路由器将该攻击屏蔽掉了，但是由于要代替内部受保护的服务器与外网建立TCP连接，当外网合法用户数量比较大的时候，系统的内存和CPU的开销将非常大，而且初始会话的时延也会加大。如果路由器工作在监控模式下，它只需要监控半连接是否超时，不管内部的服务器是否遭受到SYN-flood攻击，这时路由器系统的CPU和内存开销都比较小。但是该模式下工作的路由器并没有能够起到真正保护内部服务器的作用，因为SYN-flood攻击报文能够到达内部的服务器。

因此，现有的TCP拦截技术存在如下的不足：工作模式单一，只能够工作在这两种模式中的一个。大部分情况下，路由器是工作在无攻击环境中的，这时如果路由器的TCP拦截功能处于拦截模式，大量的合法客户访问内部服务器就会急剧增加内存和CPU开销同时加大初始会话的时延。然而网络黑客却总是伺机而动，网络环境并非安全，当网络遭受攻击时，如果路由器处于监控模式下，它并不能够真正意义上保护内部的服务器，因为大量的洪泛报文瞬间到达服务器，会导致服务期资源很快耗尽从而拒绝服务。

发明内容

本发明所要解决的技术问题是提供一种TCP拦截模块及其软切换方法，使路由器能根据情况在拦截模式和监控模式间自由转换，降低系统开销，更有效的保护服务器。

为解决上述技术问题，本发明是通过以下技术方案实现的：

一种传输控制协议拦截模块，包括监控模块、拦截模块、软切换模块；

所述监控模块用于监控外部主机向内部服务器发起的传输控制协议TCP连接请求，判断路由器是否遭受到外部网络的TCP SYN洪泛攻击；