技術領域

本發明涉及數據通信技術領域，尤其涉及一種傳輸控制協議TCP連接的建立方法、裝置及網絡設備。

背景技術

傳輸控制協議(Transmission?Control?Protocol，TCP)協議規定的TCP連接建立過程的三次握手(Three-way?Handshake)過程，如圖1所示，包括：

首先，請求端(客戶端)發送一個包含同步(Synchronize，SYN)標志的TCP報文，同步報文會指明客戶端使用的端口以及TCP連接的初始序號；

第二步，服務器在收到客戶端的SYN報文后，將響應一個同步確認(SYNACK)的報文，表示客戶端的請求被接受，同時TCP序號被加1。

第三步，客戶端收到服務端返回的SYNACK報文后，也返回一個確認報文(ACK)給服務器端，同樣TCP序列號被加1，到此一個TCP連接完成。

在TCP連接的三次握手中，假設一個客戶端向服務器發送了SYN報文后突然死機或掉線，那么服務器在發出SYNACK應答報文后是無法收到客戶端返回的ACK報文的(第三次握手無法完成)，這種情況下服務器端一般會重試(再次發送SYNACK給客戶端)并等待一段時間后丟棄這個未完成的連接(半連接)，如果有一個惡意的攻擊者大量模擬客戶端的這種情況，服務器端為了維護一個非常大的半連接列表消耗非常多的資源----數以萬計的半連接，即使是簡單的保存并遍歷也會消耗非常多的CPU時間和內存，如果服務器的TCP/IP棧不夠強大，最后的結果往往是堆棧溢出崩潰---即使服務器端的系統足夠強大，服務器端也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求，此時從正?？蛻舻慕嵌瓤磥?，服務器失去響應，這種情況被稱為服務器端受到了同步洪水(SYN?Flood)攻擊。

現有技術中通常采用SYN代理來避免上述SYN?Flood攻擊，如圖2所示，SYN代理安裝在保護服務器的防火墻上。SYN代理收到客戶端的SYN報文后，自己構造一個SYNACK報文回復給客戶端，創建并維護TCP連接記錄，當客戶端返回ACK報文，也就意味著客戶端的連接請求不是SYN?FLOOD攻擊，SYN代理把該ACK改造成SYN報文發給服務器，代替客戶端與服務器之間建立TCP連接，并緩存后續來自客戶端的ACK報文所攜帶的用戶數據。

SYN代理收到服務器的SYN?ACK報文后，把緩存的客戶端用戶數據封裝到用來確認服務器SYNACK報文的ACK報文中，發給服務器。

為了進一步避免在遭受SYN?Flood攻擊時，采用SYN代理的防火墻不會因為需要緩存大量的SYN報文而被迅速耗盡，現有技術還提出了輕量SYN代理的方案，輕量SYN代理并不緩存客戶端的SYN報文，而僅緩存客戶端SYN報文的TCP選項，如窗口擴展(Window-Scale)，選擇性應答允許(Sack-Permit)，最大報文段長度(Maximum?Segment?Size，MSS)選項等，與客戶機三次握手建立連接后，把客戶機完成三次握手的ACK報文添加上緩存的TCP選項，改造成SYN報文，發給服務器。

在輕量SYN代理把響應給客戶端的SYNACK報文的窗口(WINDOW)域(該WINDOW選項域表示該報文的發送方的接收緩存區的大小)的值置為1，也就是通知客戶端，輕量SYN的接收緩沖區只能容納一個字節，這就保證了在防火墻與客戶端三次握手完成建立連接TCP后，到與服務器建立TCP連接之前的這段時間，客戶端最多只會發來數據總量只有1個字節的報文。這樣，輕量SYN代理可以只需要緩存一個字節而不是整條報文，進一步節省了寶貴的防火墻系統內存。