[发明专利]流镜像模式下单inbound下TCP阻断方法

说明书

流镜像模式下单inbound下TCP阻断方法，在建立TCP的握手过程中利用TCP握手步骤阻断，在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接根据TCP三次握手建立连接的规则，根据TCP三次握手建立连接的规则，首先在镜像到第一次握手包时，伪造第二次握手包和客户端建立连接，使服务器发送的真正的第二次握手包失效，然后导致服务器发送序列号错误，最后服务器和客户端因序列号确认号错误，相互发送阻断包，使伪造的第二次握手包建立的连接断开，阻止了客户端和服务器之间TCP连接的建立，从而阻断了TCP通信。

技术领域

本发明涉属于数据传输领域，具体的说是一种流镜像模式下单 inbound下TCP阻断方法。

背景技术

在网络安全防护中，对存在安全隐患的计算机进行阻断，从网络上进行隔离。目前在安全领域常用的旁路阻断技术可分为三类：1、基于ARP欺骗的阻断2、通过网关型产品联动3、通过Tcp的rest包基于ARP欺骗的阻断，共有三种方式ARP欺骗、ARP投毒和ARP攻击。由于ARP欺骗的阻断方式技术实现较简单，被国内大部分厂商所采用。但arp阻断存在以下缺点，首先，采用ARP欺骗阻断方式对网络的负荷影响很大，其次，ARP欺骗阻断方式准入效果不可靠，最后， ARP欺骗阻断和真正的ARP欺骗难以区分，还有就是arp阻断的arp 包工作在二层，无法跨路由器。

通过与网关产品的联动方式主要是向防火墙发送临时规则，以及路由器或交换机发送临时ACL列表，阻断当前这个会话。该方式需要存在网关型的联动产品，在很多场合使用受限。

TCP Reset，旁路监听并通过TCP Reset进行阻断，发现一条非法得连接，向通信的两端各发送一个TCP RESET包，从而实现主动切断连接的目的，对于RESET包来说，发出的RESET包的前提是知道整个会话当前的序列号和确认号，否则这个RESET包将会被忽略。旁路监听获取的数据包通过交换机镜像数据获得，通过交换机获取镜像数据一般分为端口镜像(获取所有的通信数据)，流镜像(通过ACL 匹配)。

通过配置交换机对所有的端口数据进行镜像可以获取该交换机的所有的通信数据包，在现实应用中，如果该交换机是核心交换机且该交换机下挂载的网络比较大时，此时再采用端口镜像获取镜像数据时，由于通过该交换机的所有数据都需要镜像，会导致镜像到的数据异常庞大，会导致客户端出现大量的ESTABLISHED状态，此时再采用端口镜像已不满足使用。

发明内容

为了解决上述技术问题的不足，本发明提供了一种流镜像模式下单inbound下TCP阻断方法。本发明的阻断方法由于失效的序列号和确认号会让客户端服务器端相互发送RST阻断包，释放掉客户端的连接状态，该方式并不会导致客户端出现大量的ESTABLISHED状态。

为了实现上述目的，本发明采用的技术方案为:包括TCP握手和 TCP阻断两个步骤，在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接；TCP握手协议包括以下步骤：

第一次握手：建立连接时，客户端发送syn包(syn＝j)到服务器，并进入SYN_SEND状态，等待服务器确认。

第二次握手：服务器收到syn包，必须确认客户端的SYN (ack＝j+1)，同时自己发送一个SYN(syn＝k)包，即SYN+ACK包，此时服务器进入SYN_RECV状态，客户端收到此包进入ESTABLISHED 状态。

第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包(ack＝k+1)，服务器收到此包后，服务器进入ESTABLISHED状态，完成三次握手；