亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種tcp連接的建立方法、裝置及網(wǎng)絡(luò)設(shè)備的制作方法

文檔序號:7896333閱讀:226來源:國知局
專利名稱:一種tcp連接的建立方法、裝置及網(wǎng)絡(luò)設(shè)備的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及數(shù)據(jù)通信技術(shù)領(lǐng)域,尤其涉及一種傳輸控制協(xié)議TCP連接的建立方 法、裝置及網(wǎng)絡(luò)設(shè)備。
背景技術(shù)
傳輸控制協(xié)議(Transmission Control Protocol, TCP)協(xié)議規(guī)定的TCP連接建立過 程的三次握手(Three-way Handshake)過程,如圖1所示,包括首先,請求端(客戶端)發(fā)送一個包含同步(Synchronize,SYN)標(biāo)志的TCP報
文,同步報文會指明客戶端使用的端口以及TCP連接的初始序號;第二步,服務(wù)器在收到客戶端的SYN報文后,將響應(yīng)一個同步確認(rèn)(SYNACK) 的報文,表示客戶端的請求被接受,同時TCP序號被加1。第三步,客戶端收到服務(wù)端返回的SYNACK報文后,也返回一個確認(rèn)報文 (ACK)給服務(wù)器端,同樣TCP序列號被加1,到此一個TCP連接完成。在TCP連接的三次握手中,假設(shè)一個客戶端向服務(wù)器發(fā)送了 SYN報文后突然死 機(jī)或掉線,那么服務(wù)器在發(fā)出SYNACK應(yīng)答報文后是無法收到客戶端返回的ACK報文 的(第三次握手無法完成),這種情況下服務(wù)器端一般會重試(再次發(fā)送SYNACK給客 戶端)并等待一段時間后丟棄這個未完成的連接(半連接),如果有一個惡意的攻擊者大 量模擬客戶端的這種情況,服務(wù)器端為了維護(hù)一個非常大的半連接列表消耗非常多的資 源一一數(shù)以萬計的半連接,即使是簡單的保存并遍歷也會消耗非常多的CPU時間和內(nèi) 存,如果服務(wù)器的TCP/IP棧不夠強(qiáng)大,最后的結(jié)果往往是堆棧溢出崩潰---即使服務(wù)器 端的系統(tǒng)足夠強(qiáng)大,服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶 的正常請求,此時從正常客戶的角度看來,服務(wù)器失去響應(yīng),這種情況被稱為服務(wù)器端 受到了同步洪水(SYNFlood)攻擊?,F(xiàn)有技術(shù)中通常采用SYN代理來避免上述SYN Flood攻擊,如圖2所示,SYN
代理安裝在保護(hù)服務(wù)器的防火墻上。SYN代理收到客戶端的SYN報文后,自己構(gòu)造一個 SYNACK報文回復(fù)給客戶端,創(chuàng)建并維護(hù)TCP連接記錄,當(dāng)客戶端返回ACK報文,也就 意味著客戶端的連接請求不是SYN FLOOD攻擊,SYN代理把該ACK改造成SYN報文 發(fā)給服務(wù)器,代替客戶端與服務(wù)器之間建立TCP連接,并緩存后續(xù)來自客戶端的ACK報 文所攜帶的用戶數(shù)據(jù)。SYN代理收到服務(wù)器的SYN ACK報文后,把緩存的客戶端用戶數(shù)據(jù)封裝到用來 確認(rèn)服務(wù)器SYNACK報文的ACK報文中,發(fā)給服務(wù)器。為了進(jìn)一步避免在遭受SYN Flood攻擊時,采用SYN代理的防火墻不會因為 需要緩存大量的SYN報文而被迅速耗盡,現(xiàn)有技術(shù)還提出了輕量SYN代理的方案,輕 量SYN代理并不緩存客戶端的SYN報文,而僅緩存客戶端SYN報文的TCP選項,如 窗口擴(kuò)展(Window-Scale),選擇性應(yīng)答允許(Sack-Permit),最大報文段長度(Maximum Segment Size, MSS)選項等,與客戶機(jī)三次握手建立連接后,把客戶機(jī)完成三次握手的
4ACK報文添加上緩存的TCP選項,改造成SYN報文,發(fā)給服務(wù)器。在輕量SYN代理把響應(yīng)給客戶端的SYNACK報文的窗口(WINDOW)域(該
WINDOW選項域表示該報文的發(fā)送方的接收緩存區(qū)的大小)的值置為1,也就是通知客 戶端,輕量SYN的接收緩沖區(qū)只能容納一個字節(jié),這就保證了在防火墻與客戶端三次握 手完成建立連接TCP后,到與服務(wù)器建立TCP連接之前的這段時間,客戶端最多只會發(fā) 來數(shù)據(jù)總量只有1個字節(jié)的報文。這樣,輕量SYN代理可以只需要緩存一個字節(jié)而不是 整條報文,進(jìn)一步節(jié)省了寶貴的防火墻系統(tǒng)內(nèi)存。在服務(wù)器端作為虛擬專用網(wǎng)(Virtual Private Network, VPN)網(wǎng)關(guān)的情況下,在客
戶端與輕量SYN之間完成三次握手后,會接著發(fā)送攜帶VPN連接請求的ACK報文,由 于之前收到輕量SYN代理返回的SYNACK報文中的WINDOW域的大小為1個字節(jié),因 此VPN連接請求必須分片,因此攜帶VPN連接請求的ACK報文并不是不完整的VPN連 接請求,總體大小只有1個字節(jié),輕量SYN在與服務(wù)器之間三次握手過程中響應(yīng)服務(wù)器 發(fā)送的SYNACK報文時,基于該SYNACK報文改造生成ACK報文,并且在生成的ACK 報文中附帶上緩存的客戶端之前發(fā)送的1個字節(jié)的數(shù)據(jù)內(nèi)容(即VPN連接請求的片段) 發(fā)送給服務(wù)器。在某些安全增強(qiáng)型VPN網(wǎng)關(guān)的服務(wù)器接收緩沖區(qū)空間足夠大的情況下, 這種VPN網(wǎng)關(guān)要求請求建立VPN連接的首報文必須是信息完整的,必須是滿足協(xié)議規(guī)定 的格式的完整的VPN連接請求,那么,對于有這種要求的VPN網(wǎng)關(guān)來說,上述輕量SYN 代理發(fā)送給它的附帶有客戶端發(fā)送的1個字節(jié)的VPN連接請求片段的ACK報文,由于該 首報文不是完整的VPN連接請求,將不被認(rèn)為是合法的報文,導(dǎo)致合法客戶端無法建立 VPN連接。

發(fā)明內(nèi)容
本發(fā)明實施例提供了一種TCP連接的建立方法、裝置即網(wǎng)絡(luò)設(shè)備,用以解決現(xiàn) 有服務(wù)器作為VPN網(wǎng)關(guān)的情況下,在輕量SYN代理與服務(wù)器三次握手過程中,服務(wù)器將 輕量SYN代理的發(fā)送的攜帶有客戶端VPN請求報文片段的ACK報文作為非法報文導(dǎo)致 客戶端無法建立VPN連接的問題。本發(fā)明實施例提供的一種傳輸控制協(xié)議TCP連接的建立方法,包括在完成與客戶端的三次握手過程且向作為虛擬專用網(wǎng)VPN網(wǎng)關(guān)的服務(wù)器發(fā)送同 步SYN報文后,接收服務(wù)器返回的同步確認(rèn)SYNACK報文;在判斷緩存有客戶端發(fā)送的VPN連接請求報文的片段時,向客戶端返回ACK 報文,所述ACK報文中的窗口 WINDOW域值等于所述服務(wù)器返回的SYNACK報文中 WINDOW 域值;接收客戶端返回的攜帶有所述VPN連接請求的剩余片段的TCP報文;根據(jù)緩存的VPN連接請求的片段和客戶端返回的該VPN連接請求的剩余片段, 生成攜帶完整VPN連接請求的ACK報文返回至所述服務(wù)器。本發(fā)明實施例提供的一種傳輸控制協(xié)議TCP連接的建立裝置,包括接收單元,用于在完成與客戶端的三次握手過程且向作為虛擬專用網(wǎng)VPN網(wǎng)關(guān) 的服務(wù)器發(fā)送同步SYN報文后,接收服務(wù)器返回的同步確認(rèn)SYNACK報文;以及接收客 戶端返回的攜帶有VPN連接請求的剩余片段的TCP報文;
判斷單元,用于在接收單元接收服務(wù)器返回的SYNACK報文之后,判斷是否緩 存有客戶端發(fā)送的VPN連接請求報文的片段;報文生成單元,用于在判斷單元判斷結(jié)果為是時,生成返回給客戶端的ACK 報文,所述ACK報文中的窗口 WINDOW域值等于所述服務(wù)器返回的SYNACK報文中 WINDOW域值;以及根據(jù)緩存的VPN連接請求的片段和客戶端返回的該VPN連接請求 的剩余片段,生成攜帶完整VPN連接請求的ACK報文;發(fā)送單元,用于在判斷單元判斷結(jié)果為是時,將報文生成單元生成的ACK報文 返回給客戶端;以及將攜帶完整VPN連接請求的ACK報文返回至所述服務(wù)器。本發(fā)明實施例提供一種網(wǎng)絡(luò)設(shè)備,該網(wǎng)絡(luò)設(shè)備包括本發(fā)明實施例提供的TCP連
接的建立裝置。本發(fā)明實施例的有益效果包括本發(fā)明實施例提供的上述TCP連接的建立方法及裝置,輕量SYN代理在完成與 客戶端之間的三次握手過程以及接收到作為VPN網(wǎng)關(guān)的服務(wù)器發(fā)送的SYNACK報文之 后,在本地緩存有VPN連接請求片段的情況下,將服務(wù)器發(fā)送的SYNACK報文改造成返 回給客戶端的ACK報文,由于該ACK報文的WINDOW域值等于服務(wù)器接收緩沖空間的 大小,遠(yuǎn)大于緩存VPN連接請求所需容量大小,使得客戶端能夠根據(jù)服務(wù)器接收緩沖空 間的大小,將VPN連接請求的剩余片段通過TCP報文發(fā)送回輕量SYN代理,輕量SYN 代理將緩存的VPN連接請求的片段以及客戶端通過TCP報文發(fā)送的VPN連接請求的剩 余部分合并成完整的VPN連接請求,這樣可以保證發(fā)給服務(wù)器的VPN連接請求的首報文 攜帶有完整的VPN連接請求的所有信息,避免現(xiàn)有技術(shù)在輕量SYN代理與服務(wù)器三次握 手過程中,服務(wù)器將輕量SYN代理的發(fā)送的攜帶有客戶端VPN請求報文片段的ACK報 文作為非法報文導(dǎo)致客戶端無法建立VPN連接的問題。


圖1為現(xiàn)有技術(shù)中TCP協(xié)議中客戶端和服務(wù)器之間的三次握手過程流程圖;圖2為現(xiàn)有技術(shù)中有SYN代理參與的客戶端和服務(wù)器的三次握手過程的流程 圖;圖3為本發(fā)明實施例提供的TCP連接的建立方法的流程圖;圖4為本發(fā)明實施例提供的TCP連接的建立裝置的結(jié)構(gòu)示意圖。
具體實施例方式下面結(jié)合附圖,對本發(fā)明實施例提供的一種TCP連接的建立方法、裝置和網(wǎng)絡(luò) 設(shè)備的具體實施方式
進(jìn)行詳細(xì)地說明。本發(fā)明實施例提供的TCP連接的建立方法,對現(xiàn)有技術(shù)中輕量SYN代理與客戶 端和服務(wù)器之間的交互流程進(jìn)行了改進(jìn),具體流程圖如圖3所示,包括S301、客戶端向輕量SYN代理發(fā)送SYN報文;S302、輕量SYN代理向客戶端返回SYNACK報文;在本步驟S302中,為了節(jié)約防火墻的有限的緩存,輕量SYN代理將發(fā)送給 SYNACK報文中設(shè)定WINDOW域的值為一個很小的值例如為1個字節(jié)。
S303、客戶端向輕量SYN代理返回SYNACK報文對應(yīng)的ACK報文。上述步驟S301 S303的實施方法與現(xiàn)有技術(shù)相同,輕量SYN代理和客戶端之 間完成了三次握手過程。在步驟S303后,客戶端如果需要向作為VPN網(wǎng)關(guān)的服務(wù)器發(fā)起VPN請求,則 執(zhí)行下述步驟S304 ;S304、客戶端根據(jù)輕量SYN代理返回的SYNACK報文中的WINDOW域值的大 小,對VPN連接請求進(jìn)行分片,向輕量SYN代理發(fā)送ACK報文,該報文總長度等于步 驟S302中SYNACK報文的WINDOW域值的大小。S305、輕量SYN代理在完成與客戶端的三次握手過程之后,向作為VPN網(wǎng)關(guān)的 服務(wù)器發(fā)送SYN報文;S306、服務(wù)器接收到輕量SYN代理發(fā)送的SYN報文后,向其返回SYNACK報 文;需要說明的是,上述步驟S304與上述步驟S305以及S306之間相互獨(dú)立,并沒 有嚴(yán)格的時間順序,步驟S304有可能在步驟S306之前執(zhí)行,也有可能在S306之后執(zhí) 行。S307、輕量SYN代理判斷是否本地緩存有VPN連接請求的片段;若緩存有,執(zhí) 行步驟S308,若沒有緩存VPN連接請求的片段,執(zhí)行步驟S311;如果步驟S304在步驟S306之前執(zhí)行,那么輕量SYN代理在本步驟中將緩存 VPN連接請求片段,反之則不會緩存VPN連接請求的片段。S308、輕量SYN代理將服務(wù)器發(fā)送的SYNACK報文改造成ACK報文,該ACK 報文的WINDOW域值等于服務(wù)器發(fā)送的SYNACK報文中WINDOW域值;S309、客戶端向輕量SYN代理發(fā)送TCP報文,該TCP報文中攜帶有VPN連接
請求的剩余片段;在上述步驟S308中,輕量SYN代理發(fā)送的ACK報文中的WINDOW域值等于 服務(wù)器發(fā)送的SYNACK報文的WINDOW域值,由于服務(wù)器WINDOW域值意味著服務(wù)器 的接收緩沖區(qū)的大小,一般都會遠(yuǎn)大于VPN連接請求(包含完整的VPN連接請求的相關(guān) 信息)的大小,也就是說服務(wù)器的接收緩沖區(qū)的大小足夠容納完整的VPN連接請求的大 小,不至于對客戶端發(fā)送的VPN連接請求造成限制;因此,在本步驟S309中,客戶端根據(jù)輕量SYN代理在步驟S308中發(fā)送的ACK 報文中的WINDOW域值的大小,接著將之前因接收方接收緩沖限制而延遲待發(fā)的VPN 連接請求的剩余片段發(fā)送至輕量SYN代理。對于客戶端來說,輕量SYN代理是透明的,它根據(jù)接收的報文中的WINDOW 域值的大小決定是否將VPN連接請求分片發(fā)送。S310、輕量SYN代理根據(jù)緩存的VPN連接請求的片段和客戶端返回的該VPN 連接請求的剩余片段,生成攜帶完整VPN連接請求的ACK報文返回至服務(wù)器;在本步驟S310中,輕量SYN代理將客戶端返回的TCP報文中插入緩存的VPN 連接請求的片段,將緩存的VPN連接請求的片段和VPN連接請求的剩余片段合并為完整 的VPN連接請求; 然后輕量SYN代理重新計算該TCP報文的IP和校驗和,將其改造成返回給服務(wù)器的ACK報文。S311、輕量SYN代理直接將服務(wù)器發(fā)送的SYNACK報文改造成ACK報文返回
給服務(wù)器。本步驟S311中,輕量SYN代理發(fā)送給服務(wù)器的ACK報文的過程與現(xiàn)有技術(shù)中 SYN與服務(wù)器之間三次握手過程中發(fā)送的ACK報文的過程相同,在此不再詳述。經(jīng)過上述過程,輕量SYN代理在完成與作為VPN網(wǎng)關(guān)的服務(wù)器之間的三次握手 過程中,將完整的VPN連接請求發(fā)送至服務(wù)器,避免了現(xiàn)有技術(shù)中在輕量SYN代理與服 務(wù)器三次握手過程中,服務(wù)器將輕量SYN代理的發(fā)送的攜帶有客戶端VPN請求報文片段 的ACK報文作為非法報文導(dǎo)致客戶端無法建立VPN連接的問題?;谕话l(fā)明構(gòu)思,本發(fā)明實施例還提供了一種TCP連接的建立裝置及網(wǎng)絡(luò)設(shè) 備,由于該裝置及設(shè)備解決問題的原理與前述一種TCP連接的建立方法相似,因此該裝 置和網(wǎng)絡(luò)設(shè)備的實施可以參見方法的實施,重復(fù)之處不再贅還。本發(fā)明實施例提供的上述TCP連接的建立裝置及網(wǎng)絡(luò)設(shè)備,如圖4所示,包 括接收單元401,用于在完成與客戶端的三次握手過程且向作為VPN網(wǎng)關(guān)的服務(wù) 器發(fā)送同步SYN報文后,接收服務(wù)器返回的同步確認(rèn)SYNACK報文;以及接收客戶端返 回的攜帶有VPN連接請求的剩余片段的TCP報文;判斷單元402,用于在接收單元接收服務(wù)器返回的SYNACK報文之后,判斷是 否緩存有客戶端發(fā)送的VPN連接請求報文的片段;報文生成單元403,用于在判斷單元402的判斷結(jié)果為是時,生成返回給客戶端 的ACK報文,所述ACK報文中的窗口 WINDOW域值等于所述服務(wù)器返回的SYNACK 報文中WINDOW域值;以及根據(jù)緩存的VPN連接請求的片段和客戶端返回的該VPN連 接請求的剩余片段,生成攜帶完整VPN連接請求的ACK報文;發(fā)送單元404,用于在判斷單元402的判斷結(jié)果為是時,將報文生成單元生成 的ACK報文返回給客戶端;以及將攜帶完整VPN連接請求的ACK報文返回至所述服務(wù)器。進(jìn)一步地,上述報文生成單元403,具體用于通過改造服務(wù)器返回的SYNACK 報文,生成返回給客戶端的ACK報文,所述生成的ACK報文中的WINDOW域值等于所 述SYNACK報文報頭中的WINDOW域值。進(jìn)一步地,上述報文生成單元403,具體用于將客戶端返回的TCP報文中插入緩 存的VPN連接請求的片段,將所述緩存的VPN連接請求的片段和所述VPN連接請求的 剩余片段合并為完整的VPN連接請求;重新計算所述TCP報文的IP和校驗和,改造成 返回給服務(wù)器的ACK報文。進(jìn)一步地,所述報文生成單元403,還用于在判斷單元402判斷未緩存有客戶端 發(fā)送的VPN連接請求報文的片段之后,將服務(wù)器返回的SYNACK報文改造成發(fā)送給服務(wù) 器的ACK報文;所述發(fā)送單元404,還用于在判斷單元402判斷未緩存有客戶端發(fā)送的VPN連接 請求報文的片段之后,將所述報文生成單元改造后的ACK報文發(fā)送至服務(wù)器。本發(fā)明實施例還提供了一種網(wǎng)絡(luò)設(shè)備,該網(wǎng)絡(luò)設(shè)備包含本發(fā)明實施例提供的上述TCP連接的建立裝置。較佳地,上述TCP連接的建立裝置設(shè)置于該網(wǎng)絡(luò)設(shè)備的防火墻中。本發(fā)明實施例提供的上述TCP連接的建立方法及裝置,輕量SYN代理在完成與 客戶端之間的三次握手過程以及接收到作為VPN網(wǎng)關(guān)的服務(wù)器發(fā)送的SYNACK報文之 后,在本地緩存有VPN連接請求片段的情況下,將服務(wù)器發(fā)送的SYNACK報文改造成返 回給客戶端的ACK報文,由于該ACK報文的WINDOW域值等于服務(wù)器接收緩沖空間的 大小,遠(yuǎn)大于緩存VPN連接請求所需容量大小,使得客戶端能夠根據(jù)服務(wù)器接收緩沖空 間的大小,將VPN連接請求的剩余片段通過TCP報文發(fā)送回輕量SYN代理,輕量SYN 代理將緩存的VPN連接請求的片段以及客戶端通過TCP報文發(fā)送的VPN連接請求的剩 余部分合并成完整的VPN連接請求,這樣可以保證發(fā)給服務(wù)器的VPN連接請求的首報文 攜帶有完整的VPN連接請求的所有信息,避免現(xiàn)有技術(shù)在輕量SYN代理與服務(wù)器三次握 手過程中,服務(wù)器將輕量SYN代理的發(fā)送的攜帶有客戶端VPN請求報文片段的ACK報 文作為非法報文導(dǎo)致客戶端無法建立VPN連接的問題。顯然,本領(lǐng)域的技術(shù)人員可以對本發(fā)明進(jìn)行各種改動和變型而不脫離本發(fā)明的 精神和范圍。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的 范圍之內(nèi),則本發(fā)明也意圖包含這些改動和變型在內(nèi)。
權(quán)利要求
1.一種傳輸控制協(xié)議TCP連接的建立方法,其特征在于,包括在完成與客戶端的三次握手過程且向作為虛擬專用網(wǎng)VPN網(wǎng)關(guān)的服務(wù)器發(fā)送同步 SYN報文后,接收服務(wù)器返回的同步確認(rèn)SYNACK報文;在判斷緩存有客戶端發(fā)送的VPN連接請求報文的片段時,向客戶端返回ACK報文, 所述ACK報文中的窗口 WINDOW域值等于所述服務(wù)器返回的SYNACK報文中WINDOW 域值;接收客戶端返回的攜帶有所述VPN連接請求的剩余片段的TCP報文;根據(jù)緩存的VPN連接請求的片段和客戶端返回的該VPN連接請求的剩余片段,生成 攜帶完整VPN連接請求的ACK報文返回至所述服務(wù)器。
2.如權(quán)利要求1所述的方法,其特征在于,所述向客戶端返回的ACK報文,具體通 過下述方式生成通過改造服務(wù)器返回的SYNACK報文,生成ACK報文。
3.如權(quán)利要求1所述的方法,其特征在于,生成攜帶完整VPN連接請求的ACK報 文,具體包括將客戶端返回的TCP報文中插入緩存的VPN連接請求的片段,將所述緩存的VPN連 接請求的片段和所述VPN連接請求的剩余片段合并為完整的VPN連接請求;重新計算所述TCP報文的IP和校驗和,改造成返回給服務(wù)器的ACK報文。
4.如權(quán)利要求1-3任一項所述的方法,其特征在于,在判斷未緩存有客戶端發(fā)送的 VPN連接請求報文的片段之后,還包括將服務(wù)器返回的SYNACK報文改造成發(fā)送給服務(wù)器的ACK報文并發(fā)送至所述服務(wù)
5.—種傳輸控制協(xié)議TCP連接的建立裝置,其特征在于,包括接收單元,用于在完成與客戶端的三次握手過程且向作為虛擬專用網(wǎng)VPN網(wǎng)關(guān)的服 務(wù)器發(fā)送同步SYN報文后,接收服務(wù)器返回的同步確認(rèn)SYNACK報文;以及接收客戶端 返回的攜帶有VPN連接請求的剩余片段的TCP報文;判斷單元,用于在接收單元接收服務(wù)器返回的SYNACK報文之后,判斷是否緩存有 客戶端發(fā)送的VPN連接請求報文的片段;報文生成單元,用于在判斷單元判斷結(jié)果為是時,生成返回給客戶端的ACK報文, 所述ACK報文中的窗口 WINDOW域值等于所述服務(wù)器返回的SYNACK報文中WINDOW 域值;以及根據(jù)緩存的VPN連接請求的片段和客戶端返回的該VPN連接請求的剩余片 段,生成攜帶完整VPN連接請求的ACK報文;發(fā)送單元,用于在判斷單元判斷結(jié)果為是時,將報文生成單元生成的ACK報文返回 給客戶端;以及將攜帶完整VPN連接請求的ACK報文返回至所述服務(wù)器。
6.如權(quán)利要求5所述的裝置,其特征在于,所述報文生成單元,具體用于通過改造服 務(wù)器返回的SYNACK報文,生成返回給客戶端的ACK報文。
7.如權(quán)利要求5所述的裝置,其特征在于,所述報文生成單元,具體用于將客戶端返 回的TCP報文中插入緩存的VPN連接請求的片段,將所述緩存的VPN連接請求的片段 和所述VPN連接請求的剩余片段合并為完整的VPN連接請求;重新計算所述TCP報文 的IP和校驗和,改造成返回給服務(wù)器的ACK報文。
8.如權(quán)利要求5所述的裝置,其特征在于,所述報文生成單元,還用于在判斷單元判 斷未緩存有客戶端發(fā)送的VPN連接請求報文的片段之后,將服務(wù)器返回的SYNACK報文 改造成發(fā)送給服務(wù)器的ACK報文;所述發(fā)送單元,還用于在判斷單元判斷未緩存有客戶端發(fā)送的VPN連接請求報文的 片段之后,將所述報文生成單元改造后的ACK報文發(fā)送至服務(wù)器。
9.一種網(wǎng)絡(luò)設(shè)備,其特征在于,該網(wǎng)絡(luò)設(shè)備包括如權(quán)利要求5-8任一項所述的傳輸控 制協(xié)議TCP連接的建立裝置。
10.如權(quán)利要求9所述的網(wǎng)絡(luò)設(shè)備,其特征在于,所述傳輸控制協(xié)議TCP連接的建立 裝置設(shè)置于所述網(wǎng)絡(luò)設(shè)備的防火墻中。
全文摘要
本發(fā)明公開了一種TCP連接的建立方法、裝置及網(wǎng)絡(luò)設(shè)備,該方法包括在完成與客戶端的三次握手過程且向作為VPN網(wǎng)關(guān)的服務(wù)器發(fā)送SYN報文后,接收服務(wù)器返回的SYNACK報文;判斷緩存有客戶端發(fā)送的VPN連接請求報文的片段時,則向客戶端返回ACK報文,其中WINDOW域值等于服務(wù)器返回的SYNACK報文中WINDOW域值;接收客戶端返回的攜帶有VPN連接請求的剩余片段的TCP報文;根據(jù)緩存的VPN連接請求的片段和VPN連接請求的剩余片段,生成攜帶完整VPN連接請求的ACK報文返回至服務(wù)器。本發(fā)明避免了服務(wù)器將攜帶有客戶端VPN請求報文片段的ACK報文作為非法報文導(dǎo)致客戶端無法建立VPN連接的問題。
文檔編號H04L29/06GK102025746SQ20101059920
公開日2011年4月20日 申請日期2010年12月21日 優(yōu)先權(quán)日2010年12月21日
發(fā)明者黃凱明 申請人:北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1