本發明涉及一種無協議棧模式下針對TCP的中間人處理方法，包括：截取發送端向接收端發送的TCP數據包后，對TCP數據包進行TCP/IP重組；然后修改該TCP數據包的載荷長度；修改TCP數據包的TCP首部信息，至少包括序列號、確認號；最后對TCP數據包進行緩存，并向接收端轉發。

技術領域

本發明涉及網絡通信領域，特別涉及一種無協議棧模式下針對TCP的中間人處理方法。

背景技術

隨著互聯網的發展，網絡傳輸媒體日益多樣化，網絡安全問題也逐漸受到人們的重視。作為網絡攻擊的一種，中間人攻擊具有很強的隱蔽性，威脅巨大。攻擊者使自己位于信息發送者和接收者之間，對雙方交互的信息進行處理。但在某些特定情況下，中間人技術也有可取之處。例如中間人技術可以在一定程度上對網絡犯罪進行監測、對網絡中非法暴力色情信息進行屏蔽。

現有的TCP中間人處理方法都是工作在正常TCP/IP協議棧模式下，中間人采用與兩端分別建立兩個連接的方法，監聽兩端的交互報文。這種方法的優點是實現簡單。由于該方法工作在正常TCP/IP協議棧模式下，因此每當收到數據包時，需要將數據包先后提交到網絡層(IP協議棧)、傳輸層(TCP協議棧)、應用層進行處理；之后再經過應用層、傳輸層(TCP)、網絡層(IP)進行封裝；最后將數據包進行轉發。顯然現有TCP中間人處理方法的實時性較差，會對網絡吞吐量造成影響。另外，該方法也會對兩端的正常交互造成影響。

發明內容

本發明的目的在于克服現有技術中的TCP中間人處理方法實時性差、會對客戶端與服務端的正常交互造成影響的缺陷，從而提供一種實時性高、對發送端與接收端透明的TCP中間人處理方法。

為了實現上述目的，本發明提供了一種無協議棧模式下針對TCP的中間人處理方法，包括：

截取發送端向接收端發送的TCP數據包后，對TCP數據包進行TCP/IP重組；然后修改該TCP數據包的載荷長度；修改TCP數據包的TCP首部信息，至少包括序列號、確認號；最后對TCP數據包進行緩存，并向接收端轉發。

上述技術方案中，該方法進一步包括：

步驟S101、收到一個TCP數據包；

步驟S102、對該TCP數據包進行TCP/IP重組；

步驟S103、通過TCP重組的信息判斷該TCP數據包是否為重傳包，若是，則轉到重傳包處理流程S108，否則，轉到正常包處理流程S104；

步驟S104、按照需求修改該數據包的載荷長度，載荷長度變化值記為offset，轉步驟S105；

步驟S105、檢查該TCP數據包是否捎帶了確認號，若是，則轉步驟S106，否則，轉步驟S107；

步驟S106、提取該TCP數據包的五元組，進行反向哈希查找，對反向的TCP流進行確認，在反向緩存隊列中刪除已經確認過的TCP數據包，并修改TCP首部的確認號，轉步驟S107；

步驟S107、以TCP數據包的五元組進行正向哈希查找，修改TCP首部的序列號，將該包插入正向緩存隊列的隊尾，并向前轉發，轉步驟S111；

步驟S108、確定該TCP數據包為重傳包，判斷該重傳包是否已經被TCP中間人處理模塊確認，若是，則轉步驟S109，否則，轉步驟S110；

步驟S109、以該TCP數據包的五元組進行反向哈希查找，找到反向緩存隊列中對應的TCP數據包，將緩存隊列中對應的TCP數據包向后轉發，丟棄原TCP數據包，轉步驟S111；

步驟S110、以該TCP數據包的五元組進行正向哈希查找，找到正向緩存隊列中對應的TCP數據包，將緩存隊列中對應的TCP數據包向前轉發，丟棄原TCP數據包，轉步驟S111；