技術領域

本發明涉及網絡應用領域，特別涉及一種透傳時間戳的方法。

背景技術

SYN（TCP/IP建立連接時使用的握手信號）Flood（泛洪）是當前最流行的DoS（拒絕服務攻擊）與DdoS（分布式拒絕服務攻擊）的方式之一，這是一種利用TCP協議缺陷，發送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡（CPU滿負荷或內存不足）的攻擊方式。SYN?Cookie/SYN?Cache（防御SYN?Flood攻擊的兩種普遍使用的機制）機制可以有效地抵御SYN?Flood攻擊，在實際應用中比較常見。

在SYN?Cookie/SYN?Cache機制下，四層代理服務器收到客戶端SYN報文之后，不會立刻向后臺服務器發起請求，而是先和客戶端完成TCP的三次握手，然后再向后臺服務器端發起請求。這種情況會導致在客戶端和后臺服務器之間四層協議信息中的時間戳信息無法直接透傳，而是由代理服務器經過修改后才能正常通信。在轉發數據報文時修改報文中信息,不僅會影響系統性能，也增加了程序編寫的復雜度。在上述的現有技術中，客戶端與后臺服務器之間通信執行的基本步驟如下：

PCx(即上述PC1、PC2…)，用來表示代理服務器與客戶端通信時打上的時間戳，PSx（即上述PS1、PS2…）,用來表示代理服務器與后臺服務器端通信時打上的時間戳。在四層代理服務器與客戶端及后臺服務器等兩端通信時都需要分別處理兩端的時間戳，兩端的處理是獨立進行的，所有相關步驟中，四層代理服務器在轉發報文時都需要處理時間戳選項，這樣使得系統的傳輸性能下降，系統設計復雜，用戶對此要求改進。

發明內容

針對上述已有技術的不足，本發明的目的是提出一種透傳時間戳的方法，使得當四層代理服務器使用SYN?Cookie/SYN?Cache機制的情況下，不必處理TCP時間戳選項，直接透傳時間戳，并且不影響后續數據的傳輸。

為實現上述目的，本發明所采用的方法是：基于客戶端通過互聯網及四層代理服務器與后臺服務器相連構成的網絡系統，且所述系統運行在SYN?Cookie/SYN?Cache機制下，客戶端通過互聯網及四層代理服務器與后臺服務器在TCP連接握手過程中，設置TCP時間戳選項為零。其中設置TCP時間戳選項為零是由四層代理服務器分別與客戶端及后臺服務器之間進行TCP握手時給報文打上特殊時間戳值零方法實現的。進一步地，本發明的具體步驟如下：

步驟1，客戶端發SYN報文給四層代理服務器，客戶端給報文打上客戶端當前時間戳C1；

步驟2，四層代理服務器給客戶端回應SAK（SYN與ACK的合稱,是指發送SYN報文并對收到的SYN報文進行確認）報文，四層代理服務器給報文打上特殊時間戳值0；

步驟3,客戶端發送ACK(Acknowledgement，TCP數據包首部中的確認標志）包，客戶端給報文打上客戶端當前時間戳C2，隨后客戶端發送數據報文；

步驟4，四層代理服務器向后臺服務器端發送SYN報文，四層代理服務器給報文打上特殊時間戳值0；

步驟5，后臺服務器給四層代理服務器回應SAK報文，后臺服務器給報文打上后臺服務器當前時間戳S1；

步驟6，客戶端和后臺服務器之間正常數據通信。

本發明實施方式與現有技術相比，主要區別及其效果在于：提高了四層代理服務器的性能，簡化了四層代理服務器對時間戳選項支持的設計與實現。

附圖說明

圖1是本發明系統結構示意圖；

圖2是本發明方法步驟圖；

圖3是本發明時間戳格式示意圖。

具體實施方式

在以下的敘述中，為了使讀者更好地理解本申請而提出了許多技術細節。但是，本領域的普通技術人員可以理解，即使沒有這些技術細節和基于以下各實施方式的種種變化和修改，也可以實現本申請各權利要求所要求保護的技術方案。

為使本發明的目的、技術方案和優點更加清楚，下面將結合附圖對本發明的實施步驟及工作原理作進一步地詳細描述。