[发明专利]一种TCP连接的建立方法、装置及网络设备

说明书

技术领域

本发明涉及数据通信技术领域，尤其涉及一种传输控制协议TCP连接的建立方法、装置及网络设备。

背景技术

传输控制协议(Transmission Control Protocol，TCP)协议规定的TCP连接建立过程的三次握手(Three-way Handshake)过程，如图1所示，包括：

首先，请求端(客户端)发送一个包含同步(Synchronize，SYN)标志的TCP报文，同步报文会指明客户端使用的端口以及TCP连接的初始序号；

第二步，服务器在收到客户端的SYN报文后，将响应一个同步确认(SYNACK)的报文，表示客户端的请求被接受，同时TCP序号被加1。

第三步，客户端收到服务端返回的SYNACK报文后，也返回一个确认报文(ACK)给服务器端，同样TCP序列号被加1，到此一个TCP连接完成。

在TCP连接的三次握手中，假设一个客户端向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYNACK应答报文后是无法收到客户端返回的ACK报文的(第三次握手无法完成)，这种情况下服务器端一般会重试(再次发送SYNACK给客户端)并等待一段时间后丢弃这个未完成的连接(半连接)，如果有一个恶意的攻击者大量模拟客户端的这种情况，服务器端为了维护一个非常大的半连接列表消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求，此时从正常客户的角度看来，服务器失去响应，这种情况被称为服务器端受到了同步洪水(SYN Flood)攻击。

现有技术中通常采用SYN代理来避免上述SYN Flood攻击，如图2所示，SYN代理安装在保护服务器的防火墙上。SYN代理收到客户端的SYN报文后，自己构造一个SYNACK报文回复给客户端，创建并维护TCP连接记录，当客户端返回ACK报文，也就意味着客户端的连接请求不是SYN FLOOD攻击，SYN代理把该ACK改造成SYN报文发给服务器，代替客户端与服务器之间建立TCP连接，并缓存后续来自客户端的ACK报文所携带的用户数据。

SYN代理收到服务器的SYN ACK报文后，把缓存的客户端用户数据封装到用来确认服务器SYNACK报文的ACK报文中，发给服务器。

为了进一步避免在遭受SYN Flood攻击时，采用SYN代理的防火墙不会因为需要缓存大量的SYN报文而被迅速耗尽，现有技术还提出了轻量SYN代理的方案，轻量SYN代理并不缓存客户端的SYN报文，而仅缓存客户端SYN报文的TCP选项，如窗口扩展(Window-Scale)，选择性应答允许(Sack-Permit)，最大报文段长度(Maximum Segment Size，MSS)选项等，与客户机三次握手建立连接后，把客户机完成三次握手的ACK报文添加上缓存的TCP选项，改造成SYN报文，发给服务器。

在轻量SYN代理把响应给客户端的SYNACK报文的窗口(WINDOW)域(该WINDOW选项域表示该报文的发送方的接收缓存区的大小)的值置为1，也就是通知客户端，轻量SYN的接收缓冲区只能容纳一个字节，这就保证了在防火墙与客户端三次握手完成建立连接TCP后，到与服务器建立TCP连接之前的这段时间，客户端最多只会发来数据总量只有1个字节的报文。这样，轻量SYN代理可以只需要缓存一个字节而不是整条报文，进一步节省了宝贵的防火墙系统内存。