[发明专利]TCP旁路阻断方法和装置

权利要求书

1.一种TCP旁路阻断方法，其特征在于，通过旁路干扰设备进行TCP阻断，其中，所述旁路干扰设备旁接在客户端和服务器之间，所述TCP旁路阻断方法包括：

所述旁路干扰设备获取来自所述客户端的第一次握手信号；

所述旁路干扰设备根据所述第一次握手信号生成第二次握手信号，得到来自旁路干扰设备的第二次握手信号；以及

所述旁路干扰设备在来自服务器的第二次握手信号到达所述客户端之前，发送所述来自旁路干扰设备的第二次握手信号至所述客户端，其中，所述客户端响应所述来自旁路干扰设备的第二次握手信号，所述服务器根据所述第一次握手信号生成所述来自服务器的第二次握手信号，所述来自服务器的第二次握手信号与所述来自旁路干扰设备的第二次握手信号不同。

2.根据权利要求1所述的TCP旁路阻断方法，其特征在于，所述旁路干扰设备配置有阻断策略，其中，所述阻断策略用于确定进行数据阻断的服务器和客户端，在所述旁路干扰设备获取来自所述客户端的第一次握手信号之前，所述TCP旁路阻断方法还包括：

所述旁路干扰设备获取来自所述客户端的数据包；

所述旁路干扰设备分析所述数据包，得到分析结果；

所述旁路干扰设备根据所述分析结果检测所述客户端是否与所述阻断策略相匹配；以及

所述旁路干扰设备如果判断出所述客户端与所述阻断策略匹配，则所述旁路干扰设备将所述数据包作为待获取的第一次握手信号的数据包。

3.根据权利要求2所述的TCP旁路阻断方法，其特征在于，

所述旁路干扰设备分析所述数据包，得到分析结果包括：所述旁路干扰设备分析所述数据包，得到所述数据包的源IP、目的IP、源端口、目的端口、所述第一次握手信号中的初始序号和所述数据包的SYN标记，

所述旁路干扰设备根据所述第一次握手信号生成第二次握手信号包括：添加ACK标记，保留SYN标记；根据所述第一次握手信号中的初始序号生成应答序号和来自旁路干扰设备的初始序号；交换所述源IP和所述目的IP，交换所述源端口和所述目的端口，得到交换数据包，并计算得到校验和；根据所述SYN标记、所述ACK标记、所述应答序号、所述来自旁路干扰设备的初始序号、所述交换数据包和所述校验和得到所述来自旁路干扰设备的第二次握手信号。

4.根据权利要求2所述的TCP旁路阻断方法，其特征在于，所述旁路干扰设备获取所述第一次握手信号的数据包包括：

所述旁路干扰设备获取来自客户端的数据包；

所述旁路干扰设备判断所述数据包是否有第一次握手信号；以及

所述旁路干扰设备如果判断出所述数据包有第一次握手信号，则获取所述数据包作为所述第一次握手信号的数据包。

5.根据权利要求1所述的TCP旁路阻断方法，其特征在于，所述TCP旁路阻断方法还包括：

所述服务器接收来自所述客户端的第三次握手信号，其中，所述第三次握手信号包括根据所述来自旁路干扰设备的第二次握手信号生成的应答序号；

所述服务器判断所述第三次握手信号中的应答序号与所述来自服务器的第二次握手信号中的应答序号是否匹配；以及

所述服务器如果判断出所述第三次握手信号中的应答序号与所述来自服务器的第二次握手信号中的应答序号不匹配，则所述服务器不响应所述第三次握手信号。

6.一种TCP旁路阻断装置，其特征在于，通过旁路干扰设备进行TCP阻断，其中，所述旁路干扰设备旁接在客户端和服务器之间，所述TCP旁路阻断装置包括：

第一获取单元，用于使得所述旁路干扰设备获取来自所述客户端的第一次握手信号；

第一生成单元，用于使得所述旁路干扰设备根据所述第一次握手信号生成第二次握手信号，得到来自旁路干扰设备的第二次握手信号；以及

发送单元，用于使得所述旁路干扰设备在来自服务器的第二次握手信号到达所述客户端之前，发送来自旁路干扰设备的第二次握手信号至所述客户端，其中，所述客户端响应所述来自旁路干扰设备的第二次握手信号，所述服务器根据所述第一次握手信号生成所述来自服务器的第二次握手信号，所述来自服务器的第二次握手信号与所述来自旁路干扰设备的第二次握手信号不同。