一种用于防止TCP攻击的连接管理方法技术

技术编号:11738285 阅读:861 留言:0更新日期:2015-07-15 20:15
本发明专利技术公开了一种用于防止TCP攻击的连接管理方法。该方法包括:获取TCP连接中原始数据包的连接状态和五元组信息,基于原始数据包的五元组信息生成第一层流表的链表;基于第一层流表选择TCP连接中连接状态为第三次握手的原始数据包之后的数据包作为安全数据包;根据安全数据包的五元组信息和负载数据生成第二层流表的链表。该方法通过第一层流表来过滤TCP攻击报文,在第二层流表中缓存安全数据流的负载数据,不仅能防止TCP攻击,还能实时更新服务器的缓存,及时释放僵死连接,高效管理服务器端的缓存资源。

【技术实现步骤摘要】

本专利技术涉及网络
,具体地说,涉及一种用于防止TCP攻击的连接管理方法
技术介绍
现有技术中,高性能的报文处理设备需要随时处理海量网络报文,并且需要对每一个到达的TCP连接分配相关的存储资源,用于维持TCP连接、完成TCP统计及应用层报文分析。因此,TCP数据及连接状态的高效存储是决定设备性能的重要方面。在实际的网络环境中,除了正常流量报文外,还存在着大量的网络攻击报文。特别是诸如TCP同步洪泛(TCP SYN Flood)攻击的TCP报文攻击,其利用TCP协议的缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽。即采用伪造的海量地址在短时间向同一网络地址和端口请求建立TCP连接。目标是快速耗尽服务端的物理资源,使得正常的TCP连接因服务端缺少资源而无法建立。正常的TCP连接过程如图1a所示。首先进行第一次握手,客户端发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文指明客户端使用的端口以及TCP连接的原始序号J。然后进行第二次握手,服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号J被加一,ACK即确认(Acknowledgement)。最后完成第三次握手,客户端返回一个确认报文ACK给服务器端,同样TCP序列号K被加一,到此一个TCP连接完成。以上的连接过程在TCP协议中被称为三次握手(Three-way Handshake)。TCP SYN Flood攻击的过程如图1b所示。客户端伪造大量网络地址向服务器发送包含SYN标志的TCP报文(第一次握手报文)。服务器在发出SYN+ACK应答报文后,做为攻击方的客户端并不做出任何应答,客户端并不发送ACK报文,因此第三次握手无法完成。这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。在这种情况下,服务器端为了维护一个非常大的半连接列表而消耗非常多的资源,服务器端将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求,此时从正常客户的角度看来,服务器失去响应。因此,亟需一种能够防止TCP攻击的连接管理方法。
技术实现思路
本专利技术所要解决的技术问题在于防止现有技术中在进行TCP连接时出现的TCP报文攻击。本专利技术提供一种用于防止TCP攻击的连接管理方法,包括:获取TCP连接中原始数据包的连接状态和五元组信息,基于原始数据包的五元组信息生成第一层流表的链表,所述第一层流表的链表包括第一 HASH索引节点和第一用户节点,将原始数据包的五元组信息和连接状态记录在第一用户节点中;基于第一层流表选择TCP连接中连接状态为第三次握手的原始数据包之后的数据包作为安全数据包;根据安全数据包的五元组信息和负载数据生成第二层流表的链表,所述第二层流表的链表包括第二 HASH索引节点、第二用户节点和数据节点,将安全数据包的五元组信息存储在第二用户节点中,将安全数据包的负载数据存储在数据节点中。在一个实施例中,当接收到安全数据包的FIN报文时,根据FIN报文中携带的五元组信息删除第一层流表的第一用户节点,并且删除第二层流表的第二用户节点和数据节点。在一个实施例中,当TCP连接中原始数据包的连接状态发生改变时,更新第一层流表的第一用户节点中记录的连接状态,其中,所述连接状态为第一次握手、第二次握手或者第三次握手。在一个实施例中,还包括:为原始数据包创建第一时间戳,在第一层流表的第一 HASH索引节点和第一用户节点中记录第一时间戳;当原始数据包的连接状态或者负载数据发生改变时,更新第一时间戳。在一个实施例中,在第一层流表的链表全部占用的情况下,根据第一时间戳删除第一层流表中创建时间超过淘汰时间阈值的链表。在一个实施例中,还包括:为安全数据包创建第二时间戳,在第二层流表的第二 HASH索引节点、第二用户节点和数据节点中记录第二时间戳;当安全数据包的负载数据发生改变时,更新第二时间戳。在一个实施例中,遍历第一层流表和第二层流表,根据第一时间戳删除第一层流表中创建时间超过超时时间阈值的链表的第一用户节点,以及根据第二时间戳删除第二层流表中创建时间超过超时时间阈值的链表的第二用户节点和数据节点。在一个实施例中,第一层流表的链表的首节点为第一 HASH索引节点,第一 HASH索引节点具有指向首个第一用户节点的地址指针,且第一用户节点具有指向下一第一用户节点的地址指针,从而构成第一用户节点链。在一个实施例中,第二层流表的链表的首节点为第二 HASH索引节点,第二 HASH索引节点具有指向首个第二用户节点的地址指针,第二用户节点具有指向下一第二用户节点的地址指针,从而构成第二用户节点链;第二用户节点具有指向数据节点的地址指针,属于同一第二用户节点的数据节点构成数据节点链。在一个实施例中,所述将安全数据包的五元组信息存储在第二用户节点中的步骤包括:判断安全数据包的五元组信息是否已保存在第二层流表的第二用户节点中;若未保存,则分配第二用户节点用于存储所述五元组信息,使新分配的第二用户节点作为尾节点加入第二用户节点链中;若已保存,则修改第二用户节点的第二时间戳。在一个实施例中,其特征在于,所述将安全数据包的负载数据存储在数据节点的步骤包括:为安全数据包的负载数据分配至少一个数据节点,用于存储负载数据;在数据节点为一个的情况下,使数据节点链接至与安全数据包的五元组信息对应的第二用户节点;在数据节点为多个的情况下,使数据节点构成数据节点链,并链接至与安全数据包的五元组信息对应的第二用户节点。在一个实施例中,第一层流表的第一 HASH索引节点用于存储由原始数据包的五元组信息按照第一哈希算法计算的哈希值;第二层流表的第二 HASH索引节点用于存储由安全数据包的五元组信息按照第二哈希算法计算的哈希值。本专利技术实施例通过第一层流表来过滤TCP攻击报文,在第二层流表中缓存安全数据流的负载数据,不仅能防止TCP攻击,还能实时更新服务器的缓存,及时释放僵死连接,高效管理服务器端的缓存资源。本专利技术的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本专利技术而了解。本专利技术的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。【附图说明】附图用来提供对本专利技术的进一步理解,并且构成说明书的一部分,与本专利技术的实施例共同用于解释本专利技术,并不构成对本专利技术的限制。在附图中:图1a是现有技术中正常的TCP连接过程的原理性示意图;图1b是现有技术中TCP同步洪泛攻击的原理性示意图;图2是根据本专利技术实施例的两层流表结构的示意图;图3是根据本专利技术实施例的第一层流表的结构示意图;图4是根据本专利技术实施例的第二层流表的结构示意图;图5是根据本专利技术实施例的用于防止TCP攻击的连接管理方法的步骤流程图。【具体实施方式】为使本专利技术的目的、技术方案和优点更加清楚,以下结合附图对本专利技术作进一步地详细说明。本专利技术实施例提供的用于防止TCP攻击的连接管理方法可以是在服务器中安装的软件模块、硬件或者固件,或者三者的任意组合。本专利技术的实施例采用两层流表结构,如图2所示,第一层流表用于记录TCP连接中原始数据包的连接状态,选择已经正常本文档来自技高网
...
一种用于防止TCP攻击的连接管理方法

【技术保护点】
一种用于防止TCP攻击的连接管理方法,其特征在于,包括:获取TCP连接中原始数据包的连接状态和五元组信息,基于原始数据包的五元组信息生成第一层流表的链表,所述第一层流表的链表包括第一HASH索引节点和第一用户节点,将原始数据包的五元组信息和连接状态记录在第一用户节点中;基于第一层流表选择TCP连接中连接状态为第三次握手的原始数据包之后的数据包作为安全数据包;根据安全数据包的五元组信息和负载数据生成第二层流表的链表,所述第二层流表的链表包括第二HASH索引节点、第二用户节点和数据节点,将安全数据包的五元组信息存储在第二用户节点中,将安全数据包的负载数据存储在数据节点中。

【技术特征摘要】

【专利技术属性】
技术研发人员:吴志刚李楠宁何跃鹰罗浩朱海龙林绅文常为领张树壮杜雄杰李应博刘成房婧
申请(专利权)人:北京邮电大学国家计算机网络与信息安全管理中心
类型:发明
国别省市:北京;11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1