技術領域

本發明一般地涉及計算機網絡。更具體而言，本發明涉及防止網絡中的TCP重置攻擊。

背景技術

這一部分中描述的方法可以實現，但是并不一定是先前已察覺或已實現的方法。因此，除非這里另有指明，否則這一部分中描述的方法并不是本申請中權利要求的現有技術，也不應當因為被包括在這一部分中而被當作現有技術。

網絡已經變為企業和消費者等的重要工具，許多企業和消費者當前依賴于諸如郵件服務器、網站和內容服務器之類的網絡資源的恒定可用性。隨著網絡使用的增加，保護網絡免受惡意實體通過拒絕服務(“DoS”)攻擊進行的破壞變得更加重要。DoS攻擊剝奪了合法用戶對網絡服務的訪問權限，并且已被成功地用來破壞合法用戶對諸如Yahoo！和CNN之類的因特網站點的訪問。

一種類型的DoS攻擊利用了傳輸控制協議(“TCP”)的基本設計，TCP是因特網的基礎協議之一，如因特網工程任務組(IETF)請求注解(RFC)793中所定義的。這類DoS攻擊被稱為TCP重置或RST攻擊，其利用了這樣的事實：即，在遵從RFC?793的TCP的實現方式中，TCP連接可以響應于從遠程節點接收到設置了頭部中的重置位(“RST位”)的TCP分組而被適當地終止。

TCP重置攻擊試圖通過將欺騙性片段插入到活動TCP連接中來關斷合法TCP會話，該欺騙性片段設置了重置(RST)標志并且包含落在接收節點允許的有效序列值范圍內的分組序列值。一般來說，攻擊者首先確定或猜測兩個端點的IP地址和端點用于進行TCP連接或更高級協議的端口號。成功的攻擊者還猜測落在允許的范圍或窗口內的序列號。發送設置了RST標志、具有正確IP地址和端口號并且序列號落在TCP連接窗口內的任何TCP片段都可以使得根據RFC?793適當地實現TCP的接收節點關斷TCP連接。

TCP?SYN攻擊以類似的方式進行。根據RFC?793，如果攻擊者發送在頭部中設置了SYN位的TCP分組，并且序列值落在允許的序列值的窗口內，則接收節點關閉TCP連接并發送TCP?RST分組。RFC?793規定該過程，是為了使非同步主機能夠關閉連接并重新同步，但是在當前實踐中，該過程使得安全性脆弱。

邊界網關協議(BGP)、超文本傳送協議(HTTP)、某些語音協議、多協議標簽交換(MPLS)和其他協議使用TCP連接，并且是這些攻擊的目標。后果可能是嚴重的。例如，當路由器的BGP會話被通過關閉相關聯的TCP連接而破壞時，路由器將會丟棄其已創建的所有BGP路由，從而實質上導致BGP過程發生故障。結果，BGP過程必須使其自身和網絡中的對等路由器之間重新同步，并且在重新同步時段期間，故障路由器不能轉發任何流量。因此，本領域中的研究者的興趣在于：創建某些方式來阻止TCP重置攻擊，而不會從根本上改變RFC?793中指定的TCP的操作。

在一種方法中，研究者認為通過分配32位偽隨機值作為新的TCP連接的初始序列號(ISN)，則攻擊者無法以任何實際可行的方式猜測正確的序列號，這是因為可能正確的值的數目是2³²或近似40億，從而使得這種攻擊實質上是不可能的。該原理在攻擊者嘗試將數據段插入現有TCP連接中的情況下可能是正確的。

然而，如果片段的序列號落在可接受值的窗口或范圍內，則即使該序列號與下一期望序列號不是精確匹配，遵從RFC?793的傳統TCP實現方式也會接受RST片段或SYN分組。該方法用來補償分組可能丟失的可能性。在TCP的某些實現方式中，允許的序列值的范圍可能大到16,000到多于50,000個值。不幸的是，其后果是攻擊者不需要正確地生成所有32位的序列號以提供接收節點將會接受的號，即使在使用了真隨機或偽隨機ISN時也是如此。如果允許的序列值的范圍足夠大，則攻擊者可以在實際可行的時間量中通過隨機或強力選擇猜測出正確序列值的機會大大增加。接收節點建立的窗口越大，黑客執行該攻擊就越容易。

從而，僅僅檢查已建立連接的新到達RST分組或SYN分組以確定序列號是否在給定窗口內并且如果在的話則拆掉連接的TCP實現方式并不適合于防止試圖過早終止連接的黑客的攻擊。