[发明专利]降低TCP洪泛攻击同时节省无线网络带宽的装置、方法和计算机程序产品

权利要求书

1.一种操作防火墙的方法，包括：

响应于接收到从第二节点向第一节点发送的包括序列值(“seq”)的TCP SYN请求分组，向所述第二节点发送SYN|ACK分组，所述SYN|ACK分组包括seq和ack_sequence值(“ack_seq”)，其中所述SYN|ACK分组的ack_seq不等于所述TCP SYN请求分组的seq+1；以及

响应于从所述第二节点接收到TCP RST分组，检验所述TCPRST分组中的seq是否与所述SYN|ACK分组的ack_seq匹配，并且如果匹配，则指定与所述第二节点的连接作为授权的连接。

2.根据权利要求1所述的方法，其中所述SYN|ACK分组的ack_seq由利用所述防火墙已知的秘密值的函数、IP地址的串接和HASH函数来确定。

3.根据权利要求1所述的方法，其中所述SYN|ACK分组的ack_seq由下式确定：

ack_seq＝make32(HASH(LK|IP|TCP))，

其中LK是所述防火墙已知的秘密，IP是指在所述SYN分组中发现的源IP地址和目的地IP地址串接的结果，TCP是指TCP端口号串接的结果，并且函数make32采用由HASH函数产生的字符串并且生成32-比特数。

4.根据权利要求1所述的方法，还包括：

向所述第二节点发送额外的TCP分组，其中所述额外的TCP分组不具有SYN或ACK标记，但包括等于所述TCP SYN请求分组的seq的序列值(“seq”)；

在指定与所述第二节点的连接作为授权的连接之后，使用额外接收的TCP RST分组的seq以构造类似于初始TCP SYN请求分组的SYN分组；并且

向所述第一节点发送构造的SYN分组以进一步支持安全连接。

5.一种防火墙，包括：

响应于接收到从第二节点向第一节点发送的包括序列值(“seq”)的TCP SYN请求分组，用于向所述第二节点发送SYN|ACK分组的装置，所述SYN|ACK分组包括seq和ack_sequence值(“ack_seq”)，其中所述SYN|ACK分组的ack_seq不等于所述TCP SYN请求分组的seq+1；以及

响应于从所述第二节点接收到TCP RST分组，用于检验所述TCP RST分组中的seq是否与所述SYN|ACK分组的ack_seq匹配，并且如果匹配，则指定与所述第二节点的连接作为授权的连接的装置。

6.根据权利要求5所述的防火墙，其中所述SYN|ACK分组的ack_seq由利用所述防火墙已知的秘密值的函数、IP地址的串接和HASH函数来确定。

7.根据权利要求5所述的防火墙，其中所述SYN|ACK分组的所述ack_seq由下式确定：

ack_seq＝make32(HASH(LK|IP|TCP))，

其中LK是所述防火墙已知的秘密，IP是指在所述SYN分组中发现的源IP地址和目的地IP地址串接的结果，TCP是指TCP端口号串接的结果，并且函数make32采用由HASH函数产生的字符串并且生成32-比特数。

8.根据权利要求5所述的防火墙，还包括：

响应于接收到所述TCP SYN请求，用于向所述第二节点发送额外的TCP分组的装置，其中所述额外的TCP分组不具有SYN或ACK标记，但包括等于所述TCP SYN请求分组的seq的序列值(“seq”)；

在指定与所述第二节点的连接作为授权的连接之后，使用额外接收的TCP RST分组的seq以构造类似于初始TCP SYN请求分组的SYN分组；以及

向所述第一节点发送构造的SYN分组以进一步支持安全连接。