专利名称:一种tcp连接淘汰方法
技术领域:
本发明属于网络安全领域。具体涉及一种TCP连接淘汰方法。
背景技术:
随着网络的飞速发展,网络环境越来越复杂,在网络中传输的数据越难保证其原始顺序,为了能对上层应用进行有效的分析,同时保证响应主干网上数据流的速度,TCP卸载技术日益普及。由于系统资源的限制,如物理内存等。支持的TCP并发连接数也有限,在高速的网络环境下,必然存在着较大的TCP并发连接数,也就存在着TCP连接的淘汰问题。 TCP连接的淘汰主要包含两个步骤,TCP连接的淘汰策略和检索。其中检索占有主要的时间复杂度,传统的方法是对TCP连接按照建立的顺序进行存储,检索时对所有链接进行遍历。 在并发连接较大的情况下,顺序检索效率很低,时间复杂读为0(n),η为TCP并发连接的长度。因此,为了提高效率,并发连接数较大的系统,一般采用hash链表进行存储,每个hash 项连接一个冲突链,进行检索时可以采用hash方法,时间复杂度为冲突链长度。在这种机制行。淘汰策略一般使用最久未使用的淘汰的方法。专利号CN200580011566. 3 (提供协议以实现使用拆分式TCP连接的无线TCP会话的方法和装置)公开了一种方法和系统,该系统根据该方法操作用以经由无线网络和因特网在MS与端点目的地之间设立TCP会话。该方法包括将拆分式TCP连接请求从该MS发送到位于该网络中的PEP,其中该拆分式TCP连接请求包括用于对该MS的网络地址和该端点目的地的网络地址进行标识的信息。该方法还包括响应于从该MS接收该拆分式TCP连接请求,建立拆分式TCP连接,该拆分式TCP连接包括在该MS与该PEP之间的无线TCP (WTCP) 连接和在该PEP与该端点目的地之间的至少部分途中的TCP连接。在一个实施例中,该端点目的地是耦合到因特网的应用服务器,而该TCP连接在该PEP与该应用服务器之间建立。 在另一实施例中,该端点目的地是在第二无线网络中耦合到第二 PEP的第二 MS,而该TCP 连接至少建立到该第二 PEP,然后从该第二 PEP到该第二 MS为WTCP连接。专利号CN200610066008. 3 ( 一种TCP连接的合并方法)公开了一种TCP连接的合并方法,其特征包括:A、第一、第二从设备分别向主设备发出建立TCP连接请求,主设备采用哄骗方式立即发送确认消息给第一、第二从设备,在主设备不启动TCP处理流程情况下, 第一、第二从设备分别与主设备建立TCP连接TCP I,TCP II ;B、在主设备上建立该两个TCP 连接TCP I, TCP II的对应关系;C、第一、第二从设备通过主设备转发进行数据传输。采用本发明的TCP连接的合并方法,由于中间节点不用处理复杂的TCP协议和状态机,大大降低中间节点的处理负荷。可采用网络处理器或硬件逻辑实现高速转发,将两条以上TCP连接的合并从而实现端到端的可靠传输。现有技术的缺点是采用最久没使用的方法淘汰TCP连接,有可能淘汰前段非常活跃,但由于网络原因数据隔了一段时间没有到达的连接。同时在synfIood攻击时,很容易把有效的TCP连接淘汰掉。
发明内容
本发明克服现有技术不足,通过调整TCP连接的淘汰策略,保证活跃节点被保持, 删最少,最久没有使用的连接节点,一定程度上能防止synflood攻击。本发明提供一种TCP连接淘汰方法,通过使用hash高效的存储和检索,建立有效的TCP连接淘汰机制,始终淘汰访问次数最少,最久没有使用的TCP连接。本发明提供的TCP连接淘汰方法,包括如下步骤1)初始化并发连接表;2)接收syn,reset数据包,根据四元组查找并发链接表,转步骤5 ;3)接收syn ack或ack数据包,转步骤8 ;4)接收fin或fin ack数据包,转步骤9 ;5)查找成功,则为重传的syn包,丢弃;查找失败,则查看最大并发连接数是否大于阈值,小于则转步骤6,否则转步骤7。6)查找调用次数最少,最久没访问的连接节点进行淘汰;7)新建并发连接项,调用次数置1,把节点移动到调用次数为1的节点首,转步骤 10 ;8)查找节点,成功,则增加调用次数,把节点移动到相同调用次数节点首,失败则非连接数据则丢弃;转步骤10 ;9)关闭对应的连接。10) 一个数据包处理结束,下一个数据包到来转步骤2,3,4之一。与现有技术相比,本发明的有益效果在于本发明这种TCP连接淘汰策略,保证访问比较频繁的活跃节点被保持,淘汰访问次数少,且最久没有访问的节点。此方法一定程度上能防止synflood攻击。
图1是一种TCP连接淘汰方法的流程图。
具体实施例方式
本发明方案的详细步骤如下1.初始化并发连接表;2.接收syn, reset数据包,根据四元组杳找并发链接表,转步骤5 ;3.接收syn ack或ack数据包,转步骤84.接收fin或fin ack数据包,转步骤9 ;5.查找成功,则为重传的syn包,丢弃;查找失败,则查看最大并发连接数是否大于阈值,小于则转步骤6,否则转步骤7。6.查找调用次数最少,最久没访问的连接节点进行淘汰;7.新建并发连接项,调用次数置1,把节点移动到调用次数为1的节点首,转步骤 10 ;8.查找节点,成功,则增加调用次数,把节点移动到相同调用次数节点首,失败则非连接数据则丢弃;转步骤10 ;9.关闭对应的连接。10.直到系统关闭,否则转步骤2。
以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所述领域的普通技术人员应当理解依然可以对本发明的具体实施方式
进行修改或者同等替换,而未脱离本发明精神和范围的任何修改或者等同替换, 其均应涵盖在本发明的权利要求范围当中。
权利要求
1.一种TCP连接淘汰方法,其特征在于,通过使用hash高效的存储和检索,建立有效的 TCP连接淘汰机制,始终淘汰访问次数最少,最久没有使用的TCP连接。
2.根据权利要求1所述的方法,其特征在于,1)初始化并发连接表;2)接收syn,reset数据包,根据四元组查找并发链接表,转步骤5;3)接收synack或ack数据包,转步骤84)接收fin或finack数据包,转步骤9 ;5)查找成功,则为重传的syn包,丢弃;查找失败,则查看最大并发连接数是否大于阈值,小于则转步骤6,否则转步骤7。6)查找调用次数最少,最久没访问的连接节点进行淘汰;7)新建并发连接项,调用次数置1,把节点移动到调用次数为1的节点首,转步骤10;8)查找节点,成功,则增加调用次数,把节点移动到相同调用次数节点首,失败则非连接数据则丢弃;转步骤10 ;9)关闭对应的连接。10)一个数据包处理结束,下一个数据包到来转步骤2,3,4之一。
全文摘要
本发明提供一种TCP连接淘汰方法,其特征在于,通过使用hash高效的存储和检索;有效的TCP连接淘汰机制,始终淘汰访问次数最少,最久没有使用(LRU)的TCP连接。与现有技术相比,本发明的有益效果在于本发明实现了一种TCP连接淘汰策略,保证访问比较频繁的活跃节点被保持,淘汰访问次数少,且最久没有访问的节点。此方法保留了活跃的连接,一定程度上能防止synflood攻击。
文档编号H04L29/06GK102546394SQ20111041348
公开日2012年7月4日 申请日期2011年12月13日 优先权日2011年12月13日
发明者刘朝辉, 刘灿, 李锋伟, 窦晓光, 邵宗有 申请人:曙光信息产业(北京)有限公司