技術領域

本發明涉及網絡通信中的安全防攻擊領域，尤其涉及安全防攻擊技術TCP(Transfer?Control?Protocol傳輸控制協議)攔截方法。

背景技術

隨著Internet的迅猛發展，其應用也越來越廣泛，網絡的安全問題也越來越多的受到人們的關注，因為針對網絡的攻擊行為日益猖獗，網絡的安全問題是制約因特網發展的重要瓶頸。不管是應用層軟件、操作系統、還是硬件本身都存在著安全漏洞。網絡協議本身也存在著安全隱患，這些都為網絡黑客攻擊網絡系統提供了可乘之機。DDOS(DistributedDenial?of?Service分布式拒絕服務攻擊)是近幾年比較流行的網絡攻擊手段，一旦被實施，攻擊網絡包就會猶如洪水般涌向受害主機，導致合法用戶無法正常訪問服務器的網絡資源。SYN?flood(在TCP報文中將SYN標志位置位的一種攻擊方式)攻擊就是其中的手段之一，主要表現為發送大量無法建立三次握手的TCP連接，由于主機對每次的TCP連接都設定一個定時器進行監控，一旦遭受SYN?flooding攻擊，在很短的時間內會有大量的半連接需要主機分配資源進行監控，從而導致主機的某種資源被耗盡而無法進行正常的工作。

目前針對這種SYN?flood攻擊，路由器上所采用的方法是TCP攔截。現有的設備生產廠家，在路由器系統上大都引入了該項功能，它是一種網絡安全保護機制。它工作在兩種模式下：攔截和監控。

在攔截模式下，當路由器收到外網向內部受保護的服務器發起的TCP連接請求時，路由器會攔截此報文并代替受保護的服務器響應外網發起的TCP連接請求。如果發起請求的外網主機是正常的訪問，就會在收到SYN-ACK報文后回應一個ACK報文來完成三次握手；如果是攻擊報文，則外網主機不可達，因此不會發送確認報文給路由器。這時路由器會四次重傳SYN-ACK報文給外網發起TCP請求的主機，如果還是沒有收到ACK報文則刪除該TCP記錄。這樣內網服務器不會有大量處于半連接狀態的TCP連接。當路由器處于攻擊狀態時，新請求的連接會導致最老的(或者隨即選擇)一個半連接刪除，而且初始超時重傳的時間會減小到0.5秒，這樣系統為其保存的整體超時時間將會減半。

在監控模式下，路由器會監控外網向內部服務器發起的TCP連接請求，但是并不攔截該請求，所以該請求能夠直接到達受保護的服務器，如若外部主機是合法的用戶，他們能夠建立正常的TCP連接。如果外部主機不可達則路由器會監控該半連接，如果超時了還沒有建立正常的TCP連接，則路由器會發送一份reset報文給受保護的服務器，然后刪除該半連接。

在TCP攔截這項技術中，路由器只能工作在一種模式下攔截或者監控，在攔截模式下雖然能夠比較好的保護內部的服務器，因為SYN-flood的攻擊報文無法達到內部服務器，路由器將該攻擊屏蔽掉了，但是由于要代替內部受保護的服務器與外網建立TCP連接，當外網合法用戶數量比較大的時候，系統的內存和CPU的開銷將非常大，而且初始會話的時延也會加大。如果路由器工作在監控模式下，它只需要監控半連接是否超時，不管內部的服務器是否遭受到SYN-flood攻擊，這時路由器系統的CPU和內存開銷都比較小。但是該模式下工作的路由器并沒有能夠起到真正保護內部服務器的作用，因為SYN-flood攻擊報文能夠到達內部的服務器。

因此，現有的TCP攔截技術存在如下的不足：工作模式單一，只能夠工作在這兩種模式中的一個。大部分情況下，路由器是工作在無攻擊環境中的，這時如果路由器的TCP攔截功能處于攔截模式，大量的合法客戶訪問內部服務器就會急劇增加內存和CPU開銷同時加大初始會話的時延。然而網絡黑客卻總是伺機而動，網絡環境并非安全，當網絡遭受攻擊時，如果路由器處于監控模式下，它并不能夠真正意義上保護內部的服務器，因為大量的洪泛報文瞬間到達服務器，會導致服務期資源很快耗盡從而拒絕服務。

發明內容

本發明所要解決的技術問題是提供一種TCP攔截模塊及其軟切換方法，使路由器能根據情況在攔截模式和監控模式間自由轉換，降低系統開銷，更有效的保護服務器。

為解決上述技術問題，本發明是通過以下技術方案實現的：

一種傳輸控制協議攔截模塊，包括監控模塊、攔截模塊、軟切換模塊；

所述監控模塊用于監控外部主機向內部服務器發起的傳輸控制協議TCP連接請求，判斷路由器是否遭受到外部網絡的TCP?SYN洪泛攻擊；