[发明专利]传输控制协议资源的释放方法及装置

说明书

技术领域

本发明涉及通信领域，具体而言，涉及一种传输控制协议(Transfer Control Protocol，简称为TCP)资源的释放方法及装置。

背景技术

WEB认证在当前的无线局域网(Wireless Local Area Network，简称为WLAN)宽带接入中广泛使用。如图1所示，WEB认证主要的工作过程如下：

WLAN上网的用户通过接入节点(Access Node，简称为AN)接入宽带网络网关(Band Net Gate，简称为BNG)，先从BNG获取IPv4地址，此时用户尚未认证并没有访问互联网的权限。

当用户需要使用互联网业务时，用户通过超文本传输协议(Hypertext Transfer Protocol，简称为HTTP)访问任意互联网网页，BNG截获用户的HTTP连接并将用户访问的页面通过HTTP重定向到运营商提供的用户认证WEB页面。

用户在运营商提供的用户认证WEB页面上输入用户名密码，在运营商的Radius服务器*(即WEB认证服务器)认证通过后，BNG给该用户打开访问互联网的权限，用户可以正常访问互联网。

HTTP协议是基于传输控制协议(Transfer Control Protocol，简称为TCP)连接的应用层协议，在WEB认证中，当未认证的用户访问互联网网页时，BNG和用户先通过TCP三次握手建立TCP连接，TCP连接建立后将用户访问网页的任意HTTP请求重定向到运营商指定的页面。

正常情况下，BNG给用户重定向HTTP请求的过程：首先是TCP连接的建立过程，然后是HTTP重定向过程：1、WEB认证用户首先向BNG发送TCP SYN报文；2、BNG响应TCP SYN ACK；3、WEB认证用户收到SYN ACK后再次响应TCP ACK，此时TCP连接建立；4、WEB认证用户发送HTTP GET请求到BNG，BNG响应WEB认证用户HTTP重定向报文；5、WEB认证用户访问重定向后的WEB认证地址。

当前网络广泛存在着TCP拒绝服务攻击，因此WEB认证这种基于TCP的交互过程也会很容易遭受到TCP拒绝服务攻击。根据WEB认证过程，WEB认证过程中遭受到的拒绝服务攻击分为TCP连接建立前的拒绝服务攻击和TCP连接建立后的拒绝服务攻击两种：

TCP连接建立前的TCP拒绝服务攻击会制造大量的无效的TCP半连接。TCP半连接意味着，TCP客户端的永远都不能响应最后一个TCP ACK报文，此时服务器会一直等待TCP客户端响应TCP ACK，并保留这个TCP半连接状态直到TCP半连接超时才释放，这个超时时间可能长达十几秒。如果是用户恶意TCP攻击，用户会向服务器发送大量的TCP SYN请求建立大量的TCP连接，然后永远都不响应TCP ACK，此时服务器会维持大量的TCP半连接而BNG的TCP连接资源是有限的，这体现在对于HTTP服务BNG支持的TCP连接建立速率和同时建立的TCP连接总数是有限的。TCP连接的拒绝服务攻击通过建立大量无效的TCP半连接来消耗BNG的TCP连接数，BNG会一直维持这些无效的TCP半连接并占用有限的TCP连接数，当BNG的HTTP服务的TCP连接数都被TCP半连接消耗时，合法的TCP连接建立会失败，进而影响正常的基于TCP的WEB认证业务。

目前，可以以下方式防御TCP拒绝服务攻击：

1、采用限制同一用户的TCP连接速率和连接数的方式来保护设备的TCP资源，从而使正常TCP连接不受影响；

2、缩短TCP半连接老化时间，以及时老化TCP半连接，释放TCP资源。

由此可见，当前对TCP拒绝服务的攻击的防御均为防御TCP的半连接攻击，并无有效地对TCP连接已经建立后的HTTP连接异常时的TCP资源的保护。造成这种连接异常的原因可能是用户恶意攻击，或者是网络故障造成用户的HTTP报文无法送到BNG。