[发明专利]TCP连接的处理方法、装置及系统

说明书

本发明公开了一种TCP连接的处理方法、装置及系统。其中，该方法包括：接收客户端发送的用于与服务器端建立TCP连接的连接报文；判断接收到的连接报文的报文类型，其中，连接报文的报文类型至少包括：同步报文和应答报文；当连接报文的报文类型为应答报文时，利用连接校验信息对应答报文进行校验，其中，连接校验信息根据同步报文生成；当应答报文校验通过时，将应答报文转发至服务器端。本发明解决了由于在对客户端发送的TCP连接进行验证后需要重新建立连接，导致的防护性能低、连接响应延迟的技术问题。

技术领域

本发明涉及互联网领域，具体而言，涉及一种TCP连接的处理方法、装置及系统。

背景技术

SYN FLOOD攻击是DDoS分布式拒绝服务攻击中非常重要的一种手段。其拥有发动方法简单且效果明显等特点，能够快速消耗服务器的性能，导致服务器的服务不可用。

SYN FLOOD攻击利用了在建立TCP连接时的三次握手处理过程的协议脆弱的缺陷，发送大量伪造的TCP连接请求，使服务器维持大量的半开连接，从而使被攻击服务器的资源耗尽，影响正常连接的建立。

在正常的通过TCP建立连接的处理过程当中，服务器在每收到一个SYN同步包之后，会在内核协议栈中创建一个连接表项，等待该连接后续的报文并做进一步处理。攻击者往往通过伪造源IP，向服务器发起大量SYN同步包，每个SYN同步包都会使服务器创建一个处于SYN_RECV半连接状态的连接表项，由于没有后续的ACK报文，服务器无法完成TCP的三次握手，因此这些连接就会在一段时间内一直保持在SYN_RECV半连接状态。当处于半连接状态的连接数量达到一定程度之后，由于服务器为了维护一个非常庞大的半连接列表而消耗非常多的资源，因此，服务器对于正常连接的处理速度就变得很慢，甚至无法建立。

目前，在现有技术中常规的用于应对SYN FLOOD攻击的防护方法，包括基于SYNCOOKIE验证的方式，在防护设备或者防护模块收到SYN同步包后，并不将SYN同步包交给服务器，而是先确认发送SYN同步包的源IP客户端是否能够通过三次握手建立正常的连接，然后再把该IP的报文转发给服务器。其具体的处理方式，一种是先回应SYN COOKIE，等后续的ACK验证通过之后，把该源IP加白名单并把当前连接断掉，由客户端重新发起连接，由于已经加了白名单，该IP后续的报文会被转发到服务器；另一种是做TCP代理，等SYN COOKIE验证通过之后，由防护设备向服务器作为客户端向服务器发起一个新的连接，并把客户端的请求通过该连接转到服务器。

上述现有的防护方法存在如下两个弊端：

1、在通过ACK验证之后利用白名单的方式，将使通过验证的正常的客户端连接中断并且需要客户端重新向服务器发起连接和请求，增大了响应时间，影响客户体验。

2、通过TCP代理的方式，防护设备需要同时维护大量处于连接状态中的连接信息，并且还需要对TCP连接进行转发，在对防护性能造成影响，也会增加响应延迟。

针对上述由于在对客户端发送的TCP连接进行验证后需要重新建立连接，导致的防护性能低、连接响应延迟的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种TCP连接的处理方法、装置及系统，以至少解决由于在对客户端发送的TCP连接进行验证后需要重新建立连接，导致的防护性能低、连接响应延迟的技术问题。