一种传输控制协议选项的处理方法及装置制造方法及图纸

本发明专利技术公开了一种传输控制协议选项的处理方法及装置，所述方法包括：接收客户端发送的握手报文，所述握手报文携带TCP选项请求信息；根据所述握手报文判断流入流量管理设备的流量类型，所述流量类型包括代理流量和非代理流量；若所述流量类型为代理流量，则向所述客户端回送支持所述TCP选项的握手报文；若所述流量类型为非代理流量，则向所述客户端回送支持所述TCP选项的握手报文，并向目标服务器协商是否支持所述TCP选项，若所述目标服务器不支持所述TCP选项，则向所述客户端反馈协商结果。本发明专利技术能够实现流量管理设备在防护SYN Flood攻击过程中对TCP选项进行合理处理，从而提升网络传输的效率和质量，提升用户体验。

Method and device for processing transmission control protocol option

The invention discloses a processing method and device for transmission control protocol options, the method includes: receiving a handshake message sent by the client, the handshake message carrying a TCP option to request information; determine the type of flow of traffic management equipment according to the handshake message, the traffic types including agency and non agency traffic flow; if the flow type flow to the proxy, the client handshake message loopback supports the TCP option; if the flow type is non agent flow to the handshake message the client loopback supports the TCP option, and to negotiate whether to support the target server TCP option, if the the target server does not support the TCP option, the client to the negotiation result feedback. The invention can realize traffic management equipment in the protection of SYN during a Flood attack on TCP option reasonable processing, so as to enhance the efficiency and quality of network transmission, enhance the user experience.

【技术实现步骤摘要】
一种传输控制协议选项的处理方法及装置
本专利技术涉及互联网
，尤其涉及一种传输控制协议选项的处理方法及装置。
技术介绍
TCP(TransmissionControlProtocol，传输控制协议)选项作为TCP通信中一种可选的功能，一般出现在TCP连接建立阶段。在客户端和服务器建立TCP连接时，若客户端向服务器发送的SYN(Synchronize，同步)包中携带TCP选项信息，则还要与服务器协商是否支持该TCP选项。常见的TCP选项包括SACK(SelectiveAcknowledgment，选择性确认)选项、窗口扩大选项、时间戳选项等，这些TCP选项使得TCP连接能够适应复杂的网络环境，改善网络传输的效率和质量。TCP协议作为一种常用的网络协议，有自身的弱点。现有技术中，为了防护TCP连接建立过程中的SYNFlood(SYN洪水)攻击，可以在客户端和服务器中间增加一个流量管理设备来进行安全防护。流量管理设备通常采用SYNCookie(一种专门防范SYNFlood攻击的手段)方法来有效地防护SYNFlood攻击，通过将接收到的客户端发送的SYN报文进行统一处理然后丢弃，可以以一种统一的方式来防护代理流量、转发流量和本地流量三种流量类型下的SYNFlood攻击，有效地提高了防护性能。然而，在此过程中，流量管理设备并未对SYN报文携带的TCP选项进行处理，因而不能获知服务器所支持的TCP选项信息，导致在防护SYNFlood攻击时，客户端和目标服务器经由流量管理设备所建立的连接遗漏或不支持某些TCP优化选项，从而影响了网络传输的效率和质量，降低了用户体验。
技术实现思路
本专利技术的主要目的在于提出一种传输控制协议选项的处理方法及装置，旨在实现流量管理设备在防护SYNFlood攻击过程中对TCP选项进行合理处理，从而提升网络传输的效率和质量，提升用户体验。为实现上述目的，本专利技术提供一种传输控制协议选项的处理方法，所述方法包括如下步骤：接收客户端发送的握手报文，所述握手报文携带TCP选项请求信息；根据所述握手报文判断流入流量管理设备的流量类型，所述流量类型包括代理流量和非代理流量；若所述流量类型为代理流量，则向所述客户端回送支持所述TCP选项的握手报文；若所述流量类型为非代理流量，则向所述客户端回送支持所述TCP选项的握手报文，并向目标服务器协商是否支持所述TCP选项，若所述目标服务器不支持所述TCP选项，则向所述客户端反馈协商结果。可选地，所述根据所述握手报文判断流入流量管理设备的流量类型的步骤之前，还包括：检测预设时长内接收到的所述客户端发送的握手报文的数量是否超过预设阈值；若是，则基于cookie校验机制，校验所述客户端是否合法；若所述客户端不合法，则丢弃所述客户端发送的握手报文；若所述客户端合法，则执行根据所述握手报文判断流入流量管理设备的流量类型的步骤。可选地，所述向所述客户端反馈协商结果的步骤包括：在后续接收到所述客户端发送的非代理流量类型的握手报文时，向所述客户端回送不支持所述TCP选项的握手报文。可选地，若所述目标服务器支持所述TCP选项，则在所述客户端与所述目标服务器经由所述流量管理设备进行通信时，对应调整通信数据包中所述TCP选项的序列号，并完成所述数据包的转发。可选地，所述在所述客户端与所述目标服务器经由所述流量管理设备进行通信时，对应调整通信数据包中所述TCP选项的序列号的步骤包括：计算所述目标服务器与所述客户端序列号的差值；当接收到所述客户端向所述目标服务器转发的第一数据包时，将所述第一数据包中TCP选项的序列号加上所述差值；当接收到所述目标服务器向所述客户端转发的第二数据包时，将所述第二数据包中TCP选项的序列号减去所述差值。可选地，所述TCP选项包括SACK选项和时间戳选项，所述向所述客户端回送支持所述TCP选项的握手报文的步骤包括：将支持所述SACK选项的信息编码进所述时间戳选项的时间戳值中，并将所述时间戳值添加到回送给所述客户端的握手报文中进行回送。此外，为实现上述目的，本专利技术还提供一种传输控制协议选项的处理装置，所述装置包括：接收模块，用于接收客户端发送的握手报文，所述握手报文携带TCP选项请求信息；判断模块，用于根据所述握手报文判断流入流量管理设备的流量类型，所述流量类型包括代理流量和非代理流量；第一处理模块，用于若所述流量类型为代理流量，则向所述客户端回送支持所述TCP选项的握手报文；第二处理模块，用于若所述流量类型为非代理流量，则向所述客户端回送支持所述TCP选项的握手报文，并向目标服务器协商是否支持所述TCP选项，若所述目标服务器不支持所述TCP选项，则向所述客户端反馈协商结果。可选地，所述装置还包括：检测模块，用于检测预设时长内接收到的所述客户端发送的握手报文的数量是否超过预设阈值；校验模块，用于若预设时长内接收到的所述客户端发送的握手报文的数量超过预设阈值，则基于cookie校验机制，校验所述客户端是否合法；若所述客户端不合法，则丢弃所述客户端发送的握手报文；若所述客户端合法，则判断模块根据所述握手报文判断流入流量管理设备的流量类型。可选地，所述第二处理模块还用于：在后续接收到所述客户端发送的非代理流量类型的握手报文时，向所述客户端回送不支持所述TCP选项的握手报文。可选地，所述第二处理模块还用于：若所述目标服务器支持所述TCP选项，则在所述客户端与所述目标服务器经由所述流量管理设备进行通信时，对应调整通信数据包中所述TCP选项的序列号，并完成所述数据包的转发。可选地，所述第二处理模块还包括：计算单元，用于计算所述目标服务器与所述客户端序列号的差值；第一处理单元，用于当接收到所述客户端向所述目标服务器转发的第一数据包时，将所述第一数据包中TCP选项的序列号加上所述差值；第二处理单元，用于当接收到所述目标服务器向所述客户端转发的第二数据包时，将所述第二数据包中TCP选项的序列号减去所述差值。可选地，所述TCP选项包括SACK选项和时间戳选项，所述第一处理模块和所述第二处理模块还用于：将支持所述SACK选项的信息编码进所述时间戳选项的时间戳值中，并将所述时间戳值添加到回送给所述客户端的握手报文中进行回送。本专利技术流量管理设备接收客户端发送的握手报文，所述握手报文携带TCP选项请求信息；根据所述握手报文判断流入流量管理设备的流量类型，所述流量类型包括代理流量和非代理流量；若所述流量类型为代理流量，则向所述客户端回送支持所述TCP选项的握手报文；若所述流量类型为非代理流量，则向所述客户端回送支持所述TCP选项的握手报文，并向目标服务器协商是否支持所述TCP选项，若所述目标服务器不支持所述TCP选项，则向所述客户端反馈协商结果。通过上述方式，在防护SYNFlood攻击过程中，流量管理设备在接收到客户端发送的TCP选项请求信息时，首先统一回复支持TCP选项，若流入流量管理设备的流量为非代理流量，则流量管理设备还要以探测的方式与目标服务器协商TCP选项，并向客户端进行相应反馈，以使得客户端调整其后续发送的握手报文。本专利技术能够实现流量管理设备在防护SYNFlood攻击过程中对TCP选项进行合理处理，从而能够提升网络传输的效率和质量，提升用户体验。附图说明图1为本专利技术传输本文档来自技高网...

【技术保护点】
一种传输控制协议选项的处理方法，其特征在于，所述方法包括如下步骤：接收客户端发送的握手报文，所述握手报文携带TCP选项请求信息；根据所述握手报文判断流入流量管理设备的流量类型，所述流量类型包括代理流量和非代理流量；若所述流量类型为代理流量，则向所述客户端回送支持所述TCP选项的握手报文；若所述流量类型为非代理流量，则向所述客户端回送支持所述TCP选项的握手报文，并向目标服务器协商是否支持所述TCP选项，若所述目标服务器不支持所述TCP选项，则向所述客户端反馈协商结果。

【技术特征摘要】
1.一种传输控制协议选项的处理方法，其特征在于，所述方法包括如下步骤：接收客户端发送的握手报文，所述握手报文携带TCP选项请求信息；根据所述握手报文判断流入流量管理设备的流量类型，所述流量类型包括代理流量和非代理流量；若所述流量类型为代理流量，则向所述客户端回送支持所述TCP选项的握手报文；若所述流量类型为非代理流量，则向所述客户端回送支持所述TCP选项的握手报文，并向目标服务器协商是否支持所述TCP选项，若所述目标服务器不支持所述TCP选项，则向所述客户端反馈协商结果。2.如权利要求1所述的方法，其特征在于，所述根据所述握手报文判断流入流量管理设备的流量类型的步骤之前，还包括：检测预设时长内接收到的所述客户端发送的握手报文的数量是否超过预设阈值；若是，则基于cookie校验机制，校验所述客户端是否合法；若所述客户端不合法，则丢弃所述客户端发送的握手报文；若所述客户端合法，则执行根据所述握手报文判断流入流量管理设备的流量类型的步骤。3.如权利要求1所述的方法，其特征在于，所述向所述客户端反馈协商结果的步骤包括：在后续接收到所述客户端发送的非代理流量类型的握手报文时，向所述客户端回送不支持所述TCP选项的握手报文。4.如权利要求1所述的方法，其特征在于，所述向目标服务器协商是否支持所述TCP选项的步骤之后，还包括：若所述目标服务器支持所述TCP选项，则在所述客户端与所述目标服务器经由所述流量管理设备进行通信时，对应调整通信数据包中所述TCP选项的序列号，并完成所述数据包的转发。5.如权利要求4所述的方法，其特征在于，所述在所述客户端与所述目标服务器经由所述流量管理设备进行通信时，对应调整通信数据包中所述TCP选项的序列号的步骤包括：计算所述目标服务器与所述客户端序列号的差值；当接收到所述客户端向所述目标服务器转发的第一数据包时，将所述第一数据包中TCP选项的序列号加上所述差值；当接收到所述目标服务器向所述客户端转发的第二数据包时，将所述第二数据包中TCP选项的序列号减去所述差值。6.如权利要求1至5中任一项所述的方法，其特征在于，所述TCP选项包括SACK选项和时间戳选项，所述向所述客户端回送支持所述TCP选项的握手报文的步骤包括：将支持所述SACK选项的信息编码进所述时间戳选项的时间戳值中，并将所述时间戳值添加到回送给所述客户端的握手报文中...

【专利技术属性】
技术研发人员：邓安良，辛智敏，
申请(专利权)人：深圳市深信服电子科技有限公司，
类型：发明
国别省市：广东,44