[发明专利]TCP旁路阻断方法和装置

说明书

技术领域

本发明涉及通信领域，具体而言，涉及一种TCP旁路阻断方法和装置。

背景技术

众所周知，在客户端与服务器之间部署监听设备，在利用传输控制协议(Transmission Control Protocol，简称TCP)建立客户端和服务器之间的连接后，伪造RST(TCP首部中六个标记比特之一，表示重置连接、复位连接)数据向客户端或者服务器发送RST报文使客户端和服务器的连接断开，从而达到阻断客户端与服务器进行通信的目的。

现有的TCP阻断方法，是利用TCP在客户端和服务器之间建立连接后传输数据时伪造RST的方式实现的数据阻断，但是这种方法很容易被破解而造成阻断失效。

针对现有技术中阻断客户端与服务器之间数据包的传输不稳定问题，目前尚未提出有效的解决方案。

发明内容

本发明的主要目的在于提供一种TCP旁路阻断方法和装置，以解决现有技术中阻断客户端与服务器之间数据包的传输容易失效的问题。

为了实现上述目的，根据本发明的一个方面，提供了一种TCP旁路阻断方法。根据本发明的TCP旁路阻断方法包括：通过旁路干扰设备进行TCP阻断，其中，旁路干扰设备旁接在客户端和服务器之间，TCP旁路阻断方法包括：旁路干扰设备获取来自客户端的第一次握手信号；旁路干扰设备根据第一次握手信号生成第二次握手信号，得到来自旁路干扰设备的第二次握手信号；以及旁路干扰设备在来自服务器的第二次握手信号到达客户端之前，发送来自旁路干扰设备的第二次握手信号至客户端，其中，服务器根据第一次握手信号生成来自服务器的第二次握手信号，来自服务器的第二次握手信号与来自旁路干扰设备的第二次握手信号不同。

进一步地，旁路干扰设备配置有阻断策略，其中，阻断策略用于确定进行数据阻断的服务器和客户端，在旁路干扰设备获取来自客户端的第一次握手信号之前，TCP旁路阻断方法还包括：旁路干扰设备获取来自客户端的数据包；旁路干扰设备分析数据包，得到分析结果；旁路干扰设备根据分析结果检测客户端是否与阻断策略相匹配；以及旁路干扰设备如果判断出客户端与阻断策略匹配，则旁路干扰设备将数据包作为待获取的第一次握手信号的数据包。

进一步地，旁路干扰设备分析数据包，得到分析结果包括：旁路干扰设备分析数据包，得到数据包的源IP、目的IP、源端口、目的端口、第一次握手信号中的初始序号和数据包的SYN标记，旁路干扰设备根据第一次握手信号生成第二次握手信号包括：添加ACK标记，保留SYN标记；根据第一次握手信号中的初始序号生成应答序号和来自旁路干扰设备的初始序号；交换源IP和目的IP，交换源端口和目的端口，得到交换数据包，并计算得到校验和；根据SYN标记、ACK标记、应答序号、来自旁路干扰设备的初始序号、交换数据包和校验和得到来自旁路干扰设备的第二次握手信号。

进一步地，旁路干扰设备获取第一次握手信号的数据包包括：旁路干扰设备获取来自客户端的数据包；旁路干扰设备判断数据包是否有第一次握手信号；以及旁路干扰设备如果判断出数据包有第一次握手信号，则获取数据包作为第一次握手信号的数据包。

进一步地，TCP旁路阻断方法还包括：服务器接收来自客户端的第三次握手信号，其中，第三次握手信号包括根据来自旁路干扰设备的第二次握手信号生成的应答序号；服务器判断第三次握手信号中的应答序号与来自服务器的第二次握手信号中的应答序号是否匹配；以及服务器如果判断出第三次握手信号中的应答序号与来自服务器的第二次握手信号中的应答序号不匹配，则服务器不响应第三次握手信号。

为了实现上述目的，根据本发明的另一方面，提供了一种TCP旁路阻断装置。根据本发明的TCP旁路阻断装置包括：通过旁路干扰设备进行TCP阻断，其中，旁路干扰设备旁接在客户端和服务器之间，TCP旁路阻断装置包括：第一获取单元，用于使得旁路干扰设备获取来自客户端的第一次握手信号；第一生成单元，用于使得旁路干扰设备根据第一次握手信号生成第二次握手信号，得到来自旁路干扰设备的第二次握手信号；以及发送单元，用于使得旁路干扰设备在来自服务器的第二次握手信号到达客户端之前，发送来自旁路干扰设备的第二次握手信号至客户端，其中，服务器根据第一次握手信号生成来自服务器的第二次握手信号，来自服务器的第二次握手信号与来自旁路干扰设备的第二次握手信号不同。