技術領域

本發明涉及通信領域，具體而言，涉及一種傳輸控制協議(Transfer?Control?Protocol，簡稱為TCP)資源的釋放方法及裝置。

背景技術

WEB認證在當前的無線局域網(Wireless?Local?Area?Network，簡稱為WLAN)寬帶接入中廣泛使用。如圖1所示，WEB認證主要的工作過程如下：

WLAN上網的用戶通過接入節點(Access?Node，簡稱為AN)接入寬帶網絡網關(Band?Net?Gate，簡稱為BNG)，先從BNG獲取IPv4地址，此時用戶尚未認證并沒有訪問互聯網的權限。

當用戶需要使用互聯網業務時，用戶通過超文本傳輸協議(Hypertext?Transfer?Protocol，簡稱為HTTP)訪問任意互聯網網頁，BNG截獲用戶的HTTP連接并將用戶訪問的頁面通過HTTP重定向到運營商提供的用戶認證WEB頁面。

用戶在運營商提供的用戶認證WEB頁面上輸入用戶名密碼，在運營商的Radius服務器*(即WEB認證服務器)認證通過后，BNG給該用戶打開訪問互聯網的權限，用戶可以正常訪問互聯網。

HTTP協議是基于傳輸控制協議(Transfer?Control?Protocol，簡稱為TCP)連接的應用層協議，在WEB認證中，當未認證的用戶訪問互聯網網頁時，BNG和用戶先通過TCP三次握手建立TCP連接，TCP連接建立后將用戶訪問網頁的任意HTTP請求重定向到運營商指定的頁面。

正常情況下，BNG給用戶重定向HTTP請求的過程：首先是TCP連接的建立過程，然后是HTTP重定向過程：1、WEB認證用戶首先向BNG發送TCP?SYN報文；2、BNG響應TCP?SYN?ACK；3、WEB認證用戶收到SYN?ACK后再次響應TCP?ACK，此時TCP連接建立；4、WEB認證用戶發送HTTP?GET請求到BNG，BNG響應WEB認證用戶HTTP重定向報文；5、WEB認證用戶訪問重定向后的WEB認證地址。

當前網絡廣泛存在著TCP拒絕服務攻擊，因此WEB認證這種基于TCP的交互過程也會很容易遭受到TCP拒絕服務攻擊。根據WEB認證過程，WEB認證過程中遭受到的拒絕服務攻擊分為TCP連接建立前的拒絕服務攻擊和TCP連接建立后的拒絕服務攻擊兩種：

TCP連接建立前的TCP拒絕服務攻擊會制造大量的無效的TCP半連接。TCP半連接意味著，TCP客戶端的永遠都不能響應最后一個TCP?ACK報文，此時服務器會一直等待TCP客戶端響應TCP?ACK，并保留這個TCP半連接狀態直到TCP半連接超時才釋放，這個超時時間可能長達十幾秒。如果是用戶惡意TCP攻擊，用戶會向服務器發送大量的TCP?SYN請求建立大量的TCP連接，然后永遠都不響應TCP?ACK，此時服務器會維持大量的TCP半連接而BNG的TCP連接資源是有限的，這體現在對于HTTP服務BNG支持的TCP連接建立速率和同時建立的TCP連接總數是有限的。TCP連接的拒絕服務攻擊通過建立大量無效的TCP半連接來消耗BNG的TCP連接數，BNG會一直維持這些無效的TCP半連接并占用有限的TCP連接數，當BNG的HTTP服務的TCP連接數都被TCP半連接消耗時，合法的TCP連接建立會失敗，進而影響正常的基于TCP的WEB認證業務。

目前，可以以下方式防御TCP拒絕服務攻擊：

1、采用限制同一用戶的TCP連接速率和連接數的方式來保護設備的TCP資源，從而使正常TCP連接不受影響；

2、縮短TCP半連接老化時間，以及時老化TCP半連接，釋放TCP資源。

由此可見，當前對TCP拒絕服務的攻擊的防御均為防御TCP的半連接攻擊，并無有效地對TCP連接已經建立后的HTTP連接異常時的TCP資源的保護。造成這種連接異常的原因可能是用戶惡意攻擊，或者是網絡故障造成用戶的HTTP報文無法送到BNG。