[发明专利]在传输控制协议TCP下防止攻击的方法和装置

权利要求书

1.一种在代理端实现的传输控制协议TCP下的防止攻击的方法，其特征在于，包括：

接收客户端发来的请求与服务器建立对话的请求同步报文；

向客户端发送第一确认报文；

接收客户端发来的第二确认报文；

基于所述第二确认报文来判断所述请求同步报文是否属于攻击报文；

如果判定所述请求同步报文属于攻击报文，则舍弃所述请求同步报文；

如果判定所述请求同步报文属于合法报文，则建立客户端与服务器之间的会话表。

2.根据权利要求1所述的在传输控制协议TCP下的防止攻击的方法，其中，向客户端发送第一确认报文的处理还包括：根据所述请求同步报文来设置所述第一确认报文的序列号。

3.根据权利要求2所述的在传输控制协议TCP下的防止攻击的方法，其特征在于，根据所述请求同步报文来设置所述第一确认报文的序列号的处理包括：

根据所述请求同步报文的序列号和代理端的时间信息来生成所述第一确认报文的序列号。

4.根据权利要求2所述的在传输控制协议TCP下的防止攻击的方法，其特征在于，根据所述请求同步报文来设置所述第一确认报文的序列号的处理包括：根据所述请求同步报文的序列号、所述请求同步报文的目的地址、所述请求同步报文的源地址、所述请求同步报文的目的端口、所述请求同步报文的源端口、代理端的时间信息以及与所述请求同步报文对应的干扰因子来设置所述第一确认报文的序列号。

5.根据权利要求3或4所述的在传输控制协议TCP下的防止攻击的方法，其特征在于，基于所述第二确认报文来判断所述请求同步报文是否属于攻击报文的处理包括：

根据所述第二确认报文来计算与所述第二确认报文对应的时间信息；

将计算出的与所述第二确认报文对应的时间信息与用于生成所述第一确认报文的序列号的时间信息进行比较；

如果计算出的与所述第二确认报文对应的时间信息与用于生成所述第一确认报文的序列号的时间信息之间的差超过阈值，则判定为攻击报文；

如果计算出的与所述第二确认报文对应的时间信息与用于生成所述第一确认报文的序列号的时间信息之间的差没有超过阈值，则判定为合法报文。

6.根据权利要求5所述的在传输控制协议TCP下的防止攻击的方法，其特征在于，根据所述第二确认报文来计算与所述第二确认报文对应的时间信息的处理包括：

根据所述第二确认报文的序列号、所述第二确认报文的目的地址、所述第二确认报文的源地址、所述第二确认报文的目的端口、所述第二确认报文的源端口以及与所述第二确认报文对应的干扰因子来计算与所述第二确认报文对应的时间信息。

7.一种在代理端实现的传输控制协议TCP下的防止攻击的装置，其特征在于，所述装置包括：

接收发送单元，被配置成接收客户端发来的请求与服务器建立对话的请求同步报文；向客户端发送第一确认报文；接收客户端发来的第二确认报文；

判断单元，被配置成基于所述第二确认报文来判断所述请求同步报文是否属于攻击报文；如果判定所述请求同步报文属于攻击报文，则舍弃所述请求同步报文；如果判定所述请求同步报文属于合法报文，则建立客户端与服务器之间的会话表。

8.根据权利要求7所述的在传输控制协议TCP下的防止攻击的装置，其特征在于，所述接收发送单元还被配置成根据所述请求同步报文来设置所述第一确认报文的序列号。

9.根据权利要求8所述的在传输控制协议TCP下的防止攻击的装置，其特征在于，所述接收发送单元被进一步配置成：根据所述请求同步报文的序列号和代理端的时间信息来生成所述第一确认报文的序列号。

10.根据权利要求8所述的在传输控制协议TCP下的防止攻击的装置，其特征在于，所述接收发送单元还进一步被配置成：根据所述请求同步报文的序列号、所述请求同步报文的目的地址、所述请求同步报文的源地址、所述请求同步报文的目的端口、所述请求同步报文的源端口、代理端的时间信息以及与所述请求同步报文对应的干扰因子来设置所述第一确认报文的序列号。