[发明专利]TCP连接的处理方法、系统及SYN代理设备

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种TCP连接的处理方法、系统及SYN代理设备。

背景技术

随着互联网带宽的增加和黑客工具的不断发布，分布式拒绝服务

(Distributed Denial of Service，简称DDOS)攻击的事件越来越多，给网络服务器以及客户带来了极大的困扰。同步洪水攻击(synchronous flood，简称SYN FLOOD)为DDOS攻击中较为常见器且作为有效的一种，其实施的具体方式为：利用传输控制协议(Transmission Control Protocol，简称TCP)连接建立过程中必须的三次握手信息的交互，模拟客户端发送用于请求建立TCP连接的TCP连接请求给服务器，而在服务器返回响应包后，却并不返回作为应答的确认信息为服务器，从而使得服务器对该条TCP连接的建立始终处于半连接的状态，不断发送重复的响应包给客户端。而当这样的伪造的TCP连接请求的数据量很大时，将会导致服务器的缓存资源被耗尽或者忙于发送回应包而造成拒绝服务，即导致服务器的失效。

为了解决上述问题，现有技术中提出了一种在服务器的防火墙上设置SYN代理，以对客户端发送的TCP连接请求进行过滤及检测的方案。在该方案中，SYN代理在接收到客户端发送的TCP连接请求后，模拟服务器发送响应包给客户端，并将该TCP连接请求进行缓存，且只有在接收到客户端根据该响应包返回的确认信息后，才再将之前缓存的TCP连接请求发送给服务器，以最终建立与服务器之间的TCP连接。通过SYN代理对TCP连接请求的过滤，只有能够返回确认信息的TCP连接才能最终被发送至服务器，从而保证了到达服务器的连接都是合法的连接，能够有效地防御SYN FLOOD的攻击。

但是发明人在实现本发明的过程中发现：上述解决方案虽然在一定程度上能够对SYN FLOOD的攻击进行有效的防御，但是，当服务器遭到其他类型的DDOS攻击，例如TCP全连接攻击时，现有的SYN代理便无法起到很好的防范作用。具体地，在TCP全连接攻击中，攻击者会控制大量的“僵尸主机”不断发送TCP连接请求给服务器，并且在接收到服务器发送的响应包后，也会返回确认信息，以此正常地建立与服务器之间的TCP连接。但是，在建立了TCP连接之后，攻击者并不发送具体的应用请求(具体指WEB资源访问请求)给服务器，从而使得服务器在与客户端建立了TCP连接后，在没有接收到应用请求时不能断开该TCP连接，释放掉用于维持该TCP连接所必需的资源。如此一来，即使在服务器与客户端之间设置SYN代理，也无法避免恶意的TCP全连接的攻击，服务器在大量的TCP全连接攻击下同样会因为需要维持大量的TCP连接，而导致资源被耗尽而被拖垮，从而造成拒绝服务。

发明内容

本发明实施例提供一种TCP连接的处理方法、系统及SYN代理设备，用以解决现有技术中，通过SYN代理控制TCP连接的建立的方案，虽然能够在一定程度上有效地防御SYN洪水的攻击，但是却无法对TCP全连接攻击进行有效防御的问题，实现一种更好的保WEB服务器遭受DDOS攻击的方法。

为实现上述目的，本发明实施例提供一种TCP连接的处理方法，包括：

接收到客户终端发送的、用于请求建立与服务器之间的第一TCP连接的第一同步报文后，与所述客户终端建立第二TCP连接；

若接收到所述客户终端发送给所述服务器的访问请求消息，则控制建立所述客户终端与所述服务器之间的所述第一TCP连接，并将所述访问请求消息转发给所述服务器。

为实现上述目的，本发明实施例还提供一种SYN代理设备，包括：

第一TCP连接建立模块，用于接收到客户终端发送的、用于请求建立与服务器之间的第一TCP连接的第一同步报文后，与所述客户终端建立第二TCP连接；

第二TCP连接建立模块，用于若接收到所述客户终端发送给所述服务器的访问请求消息，则控制建立所述客户终端与所述服务器之间的所述第一TCP连接，并将所述访问请求消息转发给所述服务器。

为实现上述目的，本发明实施例还提供一种TCP连接的处理系统，包括：上述的SYN代理设备，以及与所述SYN代理设备连接的客户终端和服务器。