Nothing Special   »   [go: up one dir, main page]

CN109922144B - 用于处理数据的方法和装置 - Google Patents

用于处理数据的方法和装置 Download PDF

Info

Publication number
CN109922144B
CN109922144B CN201910149251.9A CN201910149251A CN109922144B CN 109922144 B CN109922144 B CN 109922144B CN 201910149251 A CN201910149251 A CN 201910149251A CN 109922144 B CN109922144 B CN 109922144B
Authority
CN
China
Prior art keywords
message
session
syn
quadruple
received
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910149251.9A
Other languages
English (en)
Other versions
CN109922144A (zh
Inventor
周清志
王少岩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Baidu Netcom Science and Technology Co Ltd
Original Assignee
Beijing Baidu Netcom Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Baidu Netcom Science and Technology Co Ltd filed Critical Beijing Baidu Netcom Science and Technology Co Ltd
Priority to CN201910149251.9A priority Critical patent/CN109922144B/zh
Publication of CN109922144A publication Critical patent/CN109922144A/zh
Priority to US16/677,026 priority patent/US11689564B2/en
Priority to SG10201910426VA priority patent/SG10201910426VA/en
Application granted granted Critical
Publication of CN109922144B publication Critical patent/CN109922144B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L5/00Arrangements affording multiple use of the transmission path
    • H04L5/003Arrangements for allocating sub-channels of the transmission path
    • H04L5/0053Allocation of signaling, i.e. of overhead other than pilot signals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开的实施例公开了用于处理数据的方法和装置。该方法的一具体实施方式包括:接收目的地址为目标IP的SYN报文;根据TCP报文的四元组建立会话;将TCP报文转发给目标IP对应的服务器。该实施方式对TCP标志位DDoS(Distributed Denial of Service,分布式拒绝服务攻击)攻击达到更好的清洗效果。

Description

用于处理数据的方法和装置
技术领域
本公开的实施例涉及计算机技术领域,具体涉及用于处理数据的方法和装置。
背景技术
基于TCP(Transmission Control Protocol,传输控制协议)标志位的DDoS攻击在网络上越来越多。为了不影响业务,厂商的做法通常都是进行旁路清洗,即,如果发现某IP遭受攻击,则把攻击流量引流到清洗设备,清洗后重新注入回原来的服务。而服务器所响应的流量则无需通过清洗设备,直接送回给对端。这样的话,清洗设备处理的都是单向的流量,即清洗设备只能看到入向的报文,看不到出向的报文,从而无法使用TCP协议栈的状态去判断报文的合法性,所以通常的旁路清洗设备,都是依靠限速这样粗暴的手段来实现针对TCP标志位DDoS攻击的清洗。通常的清洗方法都是丢包及限制速度,比如收到的TCP ACK报文的数目达到一定速度比如100万PPS(packet per scecond,包每秒)的时候,则丢弃所有的ACK(acknowledge,确认)报文。这样的方案虽然抵挡住了DDoS攻击,也会把正常业务的ACK报文丢弃,从而使正常业务受到影响。
发明内容
本公开的实施例提出了用于处理数据的方法和装置。
第一方面,本公开的实施例提供了一种用于处理数据的方法,其中,该方法包括:接收目的地址为目标IP的SYN(synchronization,同步)报文;根据SYN报文的四元组建立会话;将SYN报文转发给目标IP对应的服务器。
在一些实施例中,该方法还包括:响应于接收到目的地址为目标IP的SYN之外的报文,确定是否存在与SYN之外的报文的四元组有关的会话;若存在,则将SYN之外的报文转发给目标IP对应的服务器。
在一些实施例中,该方法还包括:若不存在,则丢弃SYN之外的报文。
在一些实施例中,该方法还包括:若在建立会话之后的第一预定时间内未收到与所述会话有关的ACK报文,删除会话。
在一些实施例中,该方法还包括:若在建立会话之后的第一预定时间内接收到响应SYN报文的ACK报文,且存在与ACK报文的四元组有关的会话,将ACK报文转发给目标IP对应的服务器;若在建立会话之后的第一预定时间内接收到响应SYN报文的ACK报文之后的第二预定时间内未收到与ACK报文的四元组有关的会话相关的TCP报文,删除与ACK报文的四元组有关的会话。
在一些实施例中,该方法还包括:若接收到FIN(finish,完成)报文,且存在与FIN报文的四元组有关的会话,将FIN报文转发给目标IP对应的服务器;若在接收到FIN报文之后的第三预定时间内未收到与FIN报文的四元组有关的会话相关的TCP报文,删除FIN报文的四元组有关的会话。
在一些实施例中,该方法还包括:若接收到RST(reset,复位)报文,且存在与RST报文的四元组有关的会话,将RST报文转发给目标IP对应的服务器以及立即删除与RST报文的四元组有关的会话。
第二方面,本公开的实施例提供了一种用于处理数据的装置,其中,该装置包括:接收单元,被配置成接收目的地址为目标IP的SYN报文;建立单元,被配置成根据SYN报文的四元组建立会话;发送单元,被配置成将SYN报文转发给目标IP对应的服务器。
在一些实施例中,该装置还包括判断单元,被配置成:响应于接收到目的地址为目标IP的SYN之外的报文,确定是否存在与SYN之外的报文的四元组有关的会话;若存在,则将SYN之外的报文转发给目标IP对应的服务器。
在一些实施例中,判断单元进一步被配置成:若不存在,则丢弃SYN之外的报文。
在一些实施例中,该装置还包括删除单元,被配置成:若在建立会话之后的第一预定时间内未收到与所述会话有关的ACK报文,删除会话。
在一些实施例中,删除单元进一步被配置成:若在建立会话之后的第一预定时间内接收到响应SYN报文的ACK报文,且存在与ACK报文的四元组有关的会话,将ACK报文转发给目标IP对应的服务器;若在建立会话之后的第一预定时间内接收到响应SYN报文的ACK报文之后的第二预定时间内未收到与ACK报文的四元组有关的会话相关的TCP报文,删除与ACK报文的四元组有关的会话。
在一些实施例中,删除单元进一步被配置成:若接收到FIN报文,且存在与FIN报文的四元组有关的会话,将FIN报文转发给目标IP对应的服务器;若在接收到FIN报文之后的第三预定时间内未收到与FIN报文的四元组有关的会话相关的TCP报文,删除FIN报文的四元组有关的会话。
在一些实施例中,删除单元进一步被配置成:若接收到RST报文,且存在与RST报文的四元组有关的会话,将RST报文转发给目标IP对应的服务器以及立即删除与RST报文的四元组有关的会话。
第三方面,本公开的实施例提供了一种电子设备,包括:一个或多个处理器;存储装置,其上存储有一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如第一方面中任一的方法。
第四方面,本公开的实施例提供了一种计算机可读介质,其上存储有计算机程序,其中,程序被处理器执行时实现如第一方面中任一的方法。
本公开的实施例提供的用于处理数据的方法和装置,通过清洗设备维护简单的TCP会话,接收到SYN报文时建立会话,清洗掉未建立会话的ACK报文,保留正常ACK报文。从而在抵挡DDoS攻击的同时,不影响正常业务。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本公开的其它特征、目的和优点将会变得更明显:
图1是本公开的一个实施例可以应用于其中的示例性系统架构图;
图2是根据本公开的用于处理数据的方法的一个实施例的流程图;
图3是根据本公开的用于处理数据的方法的一个应用场景的示意图;
图4是根据本公开的用于处理数据的方法的又一个实施例的流程图;
图5是根据本公开的用于处理数据的装置的一个实施例的结构示意图;
图6是适于用来实现本公开的实施例的电子设备的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本公开作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。
图1示出了可以应用本公开的用于处理数据的方法或用于处理数据的装置的实施例的示例性系统架构100。
如图1所示,系统架构100可以包括路由器101、清洗设备102和服务器103。网络用以在路由器101、清洗设备102和服务器103之间提供通信链路的介质。网络可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
路由器101可以将攻击流量引流到清洗设备102,经清洗设备102清洗后重新注入回源站IP对应的服务器。
清洗设备102用于过滤访问目标域名的数据,将过滤后的正常流量返回给源站IP。清洗设备102可通过设置高防IP的方式进行数据清洗。高防IP是针对互联网服务器在遭受大流量的DDoS攻击后导致服务不可用的情况下,推出的付费增值服务,用户可以通过配置高防IP,将攻击流量引流到高防IP,确保源站的稳定可靠。用户购买高防IP,把域名解析到高防IP上。同时在高防上设置转发规则。所有公网流量都会走高防机房中的清洗设备,通过端口协议转发的方式将用户的访问通过高防IP转发到源站IP,同时将恶意攻击流量在高防IP上进行清洗过滤后将正常流量返回给源站IP,从而确保源站IP稳定访问的防护服务。
服务器103是被DDoS攻击的服务器。服务器103所响应的流量则无需通过清洗设备,直接送回给对端。这样的话,清洗设备处理的都是单向的流量,即清洗设备只能看到入向的报文,看不到出向的报文。在没有攻击的时候,网络流量的方向依次是,入1→入4→出1→出2。当被攻击的时候,所有流量会被牵引到清洗设备,然后回注,所以网络流量的方向依次是,入1→入2→入3→入4→出1→出2。清洗设备只会把入向的流量,即网络中的客户到服务器的流量牵引到清洗设备,而服务器到网络的流量不会牵引到清洗设备,这样会导致在清洗设备在清洗的时候,无法使用TCP的状态机机制来判断当前的报文是否有效。
需要说明的是,清洗设备可以是硬件,也可以是软件。当清洗设备为硬件时,可以实现成多个服务器组成的分布式服务器集群,也可以实现成单个服务器。当清洗设备为软件时,可以实现成多个软件或软件模块(例如用来提供分布式服务的多个软件或软件模块),也可以实现成单个软件或软件模块。在此不做具体限定。
需要说明的是,本公开的实施例所提供的用于处理数据的方法一般由清洗设备102执行,相应地,用于处理数据的装置一般设置于清洗设备102中。
应该理解,图1中的路由器、清洗设备和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的路由器、清洗设备和服务器。
继续参考图2,示出了根据本公开的用于处理数据的方法的一个实施例的流程200。该用于处理数据的方法,包括以下步骤:
步骤201,接收目的地址为目标IP的SYN报文。
在本实施例中,用于处理数据的方法的执行主体(例如图1所示的清洗设备)可以通过有线连接方式或者无线连接方式从路由器接收目的地址为目标IP的待清洗的TCP报文。清洗设备是基于IP进行数据清洗的,路由器可将目的地址为被攻击的服务器的IP的数据牵引到清洗设备中。若待清洗的TCP报文为SYN报文,则执行步骤202-203。SYN(synchronization,同步):表示同步序号,用来建立连接。SYN标志位和ACK(acknowledge,确认)标志位搭配使用,当客户端请求连接时,SYN=1,ACK=0;连接被服务器响应的时候,SYN=1,ACK=1。这个标志的数据包经常被用来进行端口扫描,扫描者发送一个只有SYN的数据包,如果对方主机响应了一个数据包回来,就表明这台主机存在这个端口。但是由于这种扫描方式只是进行TCP三次握手的第一次握手,因此这种扫描的成功表示被扫描的机器不很安全,一台安全的主机将会强制要求一个连接严格的进行TCP的三次握手。
步骤202,根据SYN报文的四元组建立会话。
在本实施例中,清洗设备在接收到SYN报文之后就建立会话,而不用等待服务器回复ACK。因为服务器回复的ACK报文不经过清洗设备,因此在清洗设备中无法通过正常的TCP状态机来维护会话。在清洗设备中使用简单会话方案。清洗设备的TCP的状态机如图3所示。清洗设备中维护的会话不是真正的TCP会话,真正的TCP会话由服务器自行维护。服务器需要经过三次握手才能建立会话。同一个会话的报文具有相同的四元组:源IP目的IP|源TCP端口目的TCP端口,称为一个socket。同一个会话如果“|”前后的值对调也属于一个会话,只是来自不同方向。同一个会话可分配同一个会话ID,会话ID中可包括四元组信息。每次接收到的报文中的四元组信息与已经存在的会话ID做比较就可确定该报文相关会话是否建立。
步骤203,将SYN报文转发给目标IP对应的服务器。
在本实施例中,清洗设备不对SYN报文进行清洗,而直接转发给目标IP对应的服务器。
在本实施例的一些可选的实现方式中,若在建立会话之后的第一预定时间内未收到与会话有关的ACK报文,删除会话。第一预定时间可设置为3秒。当清洗设备接收到的ACK报文的四元组与已经根据SYN四元组建立的会话的四元组一致时,认为接收到了与会话有关的ACK报文,然后转发给服务器,由服务器完成三次握手。若未收到ACK报文,则服务器无法完成三次握手,没法建立真正的TCP会话。
在本实施例的一些可选的实现方式中,若在建立会话之后的第一预定时间内接收到响应SYN报文的ACK报文,且存在与ACK报文的四元组有关的会话,将ACK报文转发给目标IP对应的服务器。若在建立会话之后的第一预定时间内接收到响应SYN报文的ACK报文之后的第二预定时间内未收到与ACK报文的四元组有关的会话相关的TCP报文,删除与ACK报文的四元组有关的会话。若接收到了ACK报文,转发给服务器后,服务器可以直接向客户端反馈ACK,建立真正的会话。如果在建立会话之后的第一预定时间内接收到响应SYN报文的ACK报文之后第二预定时间内未收到与该会话有关的TCP报文,则删除该会话,同时删除了会话ID。正常情况下TCP中有保活机制,会持续给服务器发TCP报文,如果第二预定时间内未收到与会话相关的报文,说明该会话的客户端可能是攻击端,因此删除会话后,攻击端发送的报文都会被清洗设备丢弃,不再转发给服务器。第二预定时间可以设置成90秒。
在本实施例的一些可选的实现方式中,响应于接收到目的地址为目标IP的SYN之外的报文,确定是否存在与SYN之外的报文的四元组有关的会话。若存在,则将SYN之外的报文转发给目标IP对应的服务器。有了上面提到的会话后,清洗标志位的攻击则变成了很简单的事情,当清洗设备收到一个SYN报文时,则建立一个新会话,收到SYN以外的报文后,则在内存中通过会话ID查找会话,找不到会话则直接清洗掉这个报文,找到则放过这个报文。这样就不会误清洗到正常的业务报文。
在本实施例的一些可选的实现方式中,若接收到RST报文,且存在与RST报文的四元组有关的会话,将RST报文转发给目标IP对应的服务器以及立即删除与RST报文的四元组有关的会话。RST(reset,复位):表示连接复位请求。用来复位那些产生错误的连接,也被用来拒绝错误和非法的数据包。接收到RST报文之后立即删除,因为RST报文不重传,不用考虑删除后由于重传时找不到会话而被丢弃的情况。
继续参见图3,图3是根据本实施例的用于处理数据的方法的应用场景的一个示意图。在图3的应用场景中,清洗设备在未接收到任何数据前的状态为INIT(初始状态)。当清洗设备接收到SYN报文后状态转为SYN_RECV(SYN接收状态,连接请求已经到达,等待确认)并将SYN报文转发给服务器。此时清洗设备根据SYN报文的四元组建立会话,但该会话的时效很短,3秒内如果接收不到ACK报文则会被删除。当接收到响应SYN报文的ACK报文时查找到会话已经建立才进入ESTABLISHED(会话建立)状态,并将ACK报文转发给服务器。如果收到了ACK报文,根据该ACK报文的TCP四元组找不到相应的会话,则丢弃该ACK报文。如果在ESTABLISHED状态接收到RST报文,则立即删除会话,清洗设备进入INIT状态,并将RST报文转发到服务器。如果在ESTABLISHED状态接收到FIN报文,则进入CLOSE_WAIT(连接关闭等待)状态,并将FIN报文转发给服务器。CLOSE_WAIT状态设置了超时,如果到达超时时间或接收到RST报文则删除会话。
本公开的上述实施例提供的方法通过在清洗设备中维护简单的TCP会话,可以放行正常的TCP报文不会误清洗到正常的业务报文。
进一步参考图4,其示出了用于处理数据的方法的又一个实施例的流程400。该用于处理数据的方法的流程400,包括以下步骤:
步骤401,接收目的地址为目标IP的SYN报文。
步骤402,根据SYN报文的四元组建立会话。
步骤403,将SYN报文转发给目标IP对应的服务器。
步骤401-403与步骤201-203基本相同,因此不再赘述。
步骤404,接收到目的地址为目标IP的FIN报文。
在本实施例中,清洗设备从路由器接收到目的地址为目标IP的TCP报文。根据TCP报文中的标志位判断出该报文为FIN报文。FIN(finish,完成):表示发送端已经达到数据末尾,也就是说双方的数据传送完成,没有数据可以传送了,发送FIN标志位的TCP数据包后,连接将被断开。这个标志的数据包也经常被用于进行端口扫描。
步骤405,确定是否存在与FIN报文的四元组有关的会话。
在本实施例中,将FIN报文的四元组与已有的会话ID进行匹配,如果匹配成功说明存在与FIN报文的四元组有关的会话。如果匹配失败,则说明不存在与FIN报文的四元组有关的会话。
步骤406,若存在,则将FIN报文转发给目标IP对应的服务器。
在本实施例中,将已经建立会话的FIN报文放行,这样就不会误清洗到正常的业务报文。
步骤407,若在接收到FIN报文之后的第一预定时间内未收到与FIN报文的四元组有关的会话相关的TCP报文,删除FIN报文的四元组有关的会话。
在本实施例中,FIN报文有可能因为服务器收不到而重传,因此设置第一预定时间。第一预定时间与重传时间有关,可设置为1秒。二次收到FIN报文不影响更新状态机的状态。延迟一段时间再删除会话可避免重传的FIN因为会话删除而无法转发给服务器。
步骤408,若不存在,则丢弃FIN报文。
在本实施例中,如果接收到的FIN报文没有相应的会话,则可认为它是攻击端发送的攻击数据,做丢弃处理。
从图4中可以看出,与图2对应的实施例相比,本实施例中的用于处理数据的方法的流程400体现了对会话进行删除的步骤。由此,本实施例描述的方案可以避免各种TCP标志位的DDoS攻击。完善了清洗设备的功能。
进一步参考图5,作为对上述各图所示方法的实现,本公开提供了一种用于处理数据的装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图5所示,本实施例的用于处理数据的装置500包括:接收单元501、建立单元502和发送单元503。其中,接收单元501,被配置成接收目的地址为目标IP的SYN报文。建立单元502,被配置成根据SYN报文的四元组建立会话。发送单元503,被配置成将SYN报文转发给目标IP对应的服务器。
在本实施例中,用于处理数据的装置500的接收单元501、建立单元502和发送单元503的具体处理可以参考图2对应实施例中的步骤201、步骤202、步骤203。
在本实施例的一些可选的实现方式中,装置500还包括判断单元504,被配置成:响应于接收到目的地址为目标IP的SYN之外的报文,确定是否存在与SYN之外的报文的四元组有关的会话。若存在,则将SYN之外的报文转发给目标IP对应的服务器。
在本实施例的一些可选的实现方式中,判断单元504进一步被配置成:若不存在,则丢弃SYN之外的报文。
在本实施例的一些可选的实现方式中,装置500还包括删除单元505,被配置成:若在建立会话之后的第一预定时间内未收到与会话有关的ACK报文,删除会话。
在本实施例的一些可选的实现方式中,删除单元505进一步被配置成:若在建立会话之后的第一预定时间内接收到响应SYN报文的ACK报文,且存在与ACK报文的四元组有关的会话,将ACK报文转发给目标IP对应的服务器;若在建立会话之后的第一预定时间内接收到ACK报文之后的第二预定时间内未收到与ACK报文的四元组有关的会话相关的TCP报文,删除与ACK报文的四元组有关的会话。
在本实施例的一些可选的实现方式中,删除单元505进一步被配置成:若接收到FIN报文,且存在与FIN报文的四元组有关的会话,将FIN报文转发给目标IP对应的服务器;若在接收到FIN报文之后的第三预定时间内未收到与FIN报文的四元组有关的会话相关的TCP报文,删除FIN报文的四元组有关的会话。
在本实施例的一些可选的实现方式中,删除单元505进一步被配置成:若接收到RST报文,且存在与RST报文的四元组有关的会话,将RST报文转发给目标IP对应的服务器以及立即删除与RST报文的四元组有关的会话。
下面参考图6,其示出了适于用来实现本公开的实施例的电子设备(例如图1中的清洗设备)600的结构示意图。图6示出的清洗设备仅仅是一个示例,不应对本公开的实施例的功能和使用范围带来任何限制。
如图6所示,电子设备600可以包括处理装置(例如中央处理器、图形处理器等)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储装置608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM 603中,还存储有电子设备600操作所需的各种程序和数据。处理装置601、ROM 602以及RAM603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
通常,以下装置可以连接至I/O接口605:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置606;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置607;包括例如磁带、硬盘等的存储装置608;以及通信装置609。通信装置609可以允许电子设备600与其他设备进行无线或有线通信以交换数据。虽然图6示出了具有各种装置的电子设备600,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。图6中示出的每个方框可以代表一个装置,也可以根据需要代表多个装置。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置609从网络上被下载和安装,或者从存储装置608被安装,或者从ROM 602被安装。在该计算机程序被处理装置601执行时,执行本公开的实施例的方法中限定的上述功能。需要说明的是,本公开的实施例所述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开的实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开的实施例中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:接收目的地址为目标IP的SYN报文;根据TCP报文的四元组建立会话;将TCP报文转发给目标IP对应的服务器。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的实施例的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开的实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括接收单元、建立单元和发送单元。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定,例如,接收单元还可以被描述为“接收目的地址为目标IP的SYN报文的单元”。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims (12)

1.一种用于处理数据的方法,其中,所述方法包括:
接收目的地址为目标IP的SYN报文,其中,所述SYN报文为TCP报文,SYN=1,ACK=0;
不用等待服务器回复ACK,根据所述SYN报文的四元组建立会话,其中,所述会话为不经过三次握手的简单会话;
将所述SYN报文转发给所述目标IP对应的服务器;
若在建立会话之后的第一预定时间内未收到与所述会话有关的ACK报文,删除所述会话;
若在建立会话之后的第一预定时间内接收到响应SYN报文的ACK报文,且存在与所述ACK报文的四元组有关的会话,将所述ACK报文转发给所述目标IP对应的服务器;
若在建立会话之后的第一预定时间内接收到所述ACK报文之后的第二预定时间内未收到与所述ACK报文的四元组有关的会话相关的TCP报文,删除与所述ACK报文的四元组有关的会话。
2.根据权利要求1所述的方法,其中,所述方法还包括:
响应于接收到目的地址为所述目标IP的SYN之外的报文,确定是否存在与所述SYN之外的报文的四元组有关的会话;
若存在,则将所述SYN之外的报文转发给所述目标IP对应的服务器。
3.根据权利要求2所述的方法,其中,所述方法还包括:
若不存在,则丢弃所述SYN之外的报文。
4.根据权利要求1所述的方法,其中,所述方法还包括:
若接收到FIN报文,且存在与所述FIN报文的四元组有关的会话,将所述FIN报文转发给所述目标IP对应的服务器;
若在接收到FIN报文之后的第三预定时间内未收到与所述FIN报文的四元组有关的会话相关的TCP报文,删除所述FIN报文的四元组有关的会话。
5.根据权利要求1所述的方法,其中,所述方法还包括:
若接收到RST报文,且存在与所述RST报文的四元组有关的会话,将所述RST报文转发给所述目标IP对应的服务器以及立即删除与所述RST报文的四元组有关的会话。
6.一种用于处理数据的装置,其中,所述装置包括:
接收单元,被配置成接收目的地址为目标IP的SYN报文,其中,所述SYN报文为TCP报文,SYN=1,ACK=0;
建立单元,被配置成不用等待服务器回复ACK,根据所述SYN报文的四元组建立会话,其中,所述会话为不经过三次握手的简单会话;
发送单元,被配置成将所述SYN报文转发给所述目标IP对应的服务器;
删除单元,被配置成若在建立会话之后的第一预定时间内未收到与所述会话有关的ACK报文,删除所述会话;
所述删除单元进一步被配置成:
若在建立会话之后的第一预定时间内接收到响应SYN报文的ACK报文,且存在与所述ACK报文的四元组有关的会话,将所述ACK报文转发给所述目标IP对应的服务器;
若在建立会话之后的第一预定时间内接收到所述ACK报文之后的第二预定时间内未收到与所述ACK报文的四元组有关的会话相关的TCP报文,删除与所述ACK报文的四元组有关的会话。
7.根据权利要求6所述的装置,其中,所述装置还包括判断单元,被配置成:
响应于接收到目的地址为所述目标IP的SYN之外的报文,确定是否存在与所述SYN之外的报文的四元组有关的会话;
若存在,则将所述SYN之外的报文转发给所述目标IP对应的服务器。
8.根据权利要求7所述的装置,其中,所述判断单元进一步被配置成:
若不存在,则丢弃所述SYN之外的报文。
9.根据权利要求6所述的装置,其中,所述删除单元进一步被配置成:
若接收到FIN报文,且存在与所述FIN报文的四元组有关的会话,将所述FIN报文转发给所述目标IP对应的服务器;
若在接收到FIN报文之后的第三预定时间内未收到与所述FIN报文的四元组有关的会话相关的TCP报文,删除所述FIN报文的四元组有关的会话。
10.根据权利要求6所述的装置,其中,所述删除单元进一步被配置成:
若接收到RST报文,且存在与所述RST报文的四元组有关的会话,将所述RST报文转发给所述目标IP对应的服务器以及立即删除与所述RST报文的四元组有关的会话。
11.一种电子设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-5中任一所述的方法。
12.一种计算机可读介质,其上存储有计算机程序,其中,所述程序被处理器执行时实现如权利要求1-5中任一所述的方法。
CN201910149251.9A 2019-02-28 2019-02-28 用于处理数据的方法和装置 Active CN109922144B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201910149251.9A CN109922144B (zh) 2019-02-28 2019-02-28 用于处理数据的方法和装置
US16/677,026 US11689564B2 (en) 2019-02-28 2019-11-07 Method and apparatus for processing data in cleaning device
SG10201910426VA SG10201910426VA (en) 2019-02-28 2019-11-07 Method and apparatus for processing data

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910149251.9A CN109922144B (zh) 2019-02-28 2019-02-28 用于处理数据的方法和装置

Publications (2)

Publication Number Publication Date
CN109922144A CN109922144A (zh) 2019-06-21
CN109922144B true CN109922144B (zh) 2022-09-16

Family

ID=66962664

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910149251.9A Active CN109922144B (zh) 2019-02-28 2019-02-28 用于处理数据的方法和装置

Country Status (3)

Country Link
US (1) US11689564B2 (zh)
CN (1) CN109922144B (zh)
SG (1) SG10201910426VA (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112887213B (zh) * 2019-11-29 2023-04-18 北京百度网讯科技有限公司 报文清洗方法和装置
CN112600809A (zh) * 2020-12-08 2021-04-02 阿米华晟数据科技(江苏)有限公司 会话资源的管理方法、装置、设备及存储介质
CN112804263A (zh) * 2021-03-30 2021-05-14 北京安信天行科技有限公司 一种面向物联网的漏洞扫描方法、系统及设备
CN115242858B (zh) * 2022-07-21 2024-02-09 山石网科通信技术股份有限公司 报文处理方法、装置、电子设备及计算机可读存储介质
CN115314544B (zh) * 2022-08-05 2023-12-15 成都卫士通信息产业股份有限公司 一种tcp数据单向传输方法、装置、设备及介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101594359A (zh) * 2009-07-01 2009-12-02 杭州华三通信技术有限公司 防御传输控制协议同步洪泛攻击方法及传输控制协议代理
CN106357666A (zh) * 2016-10-09 2017-01-25 广东睿江云计算股份有限公司 一种syn flood攻击的清洗方法及系统
CN106453373A (zh) * 2016-11-03 2017-02-22 北京知道未来信息技术有限公司 一种高效的SYN Flood攻击识别及处置方法
CN107547511A (zh) * 2017-07-11 2018-01-05 新华三信息安全技术有限公司 一种报文处理方法及装置
CN107547503A (zh) * 2017-06-12 2018-01-05 新华三信息安全技术有限公司 一种会话表项处理方法及装置
CN109194638A (zh) * 2018-08-23 2019-01-11 新华三技术有限公司合肥分公司 报文处理方法、装置、交换设备及计算机可读存储介质

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6006268A (en) * 1997-07-31 1999-12-21 Cisco Technology, Inc. Method and apparatus for reducing overhead on a proxied connection
US6381638B1 (en) * 1999-02-24 2002-04-30 3Com Corporation System and method for options based address reuse
US20050267965A1 (en) * 2004-05-13 2005-12-01 Ixi Mobile (R&D) Ltd. Mobile router graceful shutdown system and method
CN101127744B (zh) * 2007-09-29 2010-10-13 杭州华三通信技术有限公司 对非法客户端进行隔离提示的方法和系统以及网关设备
CN101316271B (zh) * 2008-07-04 2011-11-02 成都市华为赛门铁克科技有限公司 实现信息备份的方法、防火墙和网络系统
CN102333080A (zh) * 2011-08-02 2012-01-25 杭州迪普科技有限公司 一种防范报文攻击的方法及装置
US9197362B2 (en) * 2013-03-15 2015-11-24 Mehdi Mahvi Global state synchronization for securely managed asymmetric network communication
US9729682B2 (en) * 2015-05-18 2017-08-08 128 Technology, Inc. Network device and method for processing a session using a packet signature
CN105429957A (zh) * 2015-11-02 2016-03-23 芦斌 一种基于sdn构架下的ip地址跳变安全通信方法
CN108076003B (zh) * 2016-11-07 2020-10-30 阿里巴巴集团控股有限公司 会话劫持的检测方法及装置
CN109246057B (zh) * 2017-07-10 2021-01-08 东软集团股份有限公司 报文转发方法、装置、转发系统、存储介质及电子设备
CN108833097B (zh) * 2018-06-27 2021-07-30 长安大学 一种基于密钥分配中心的车联网rfid安全认证方法
CN109088878A (zh) * 2018-09-03 2018-12-25 中新网络信息安全股份有限公司 一种抗拒绝云防护系统的报文处理方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101594359A (zh) * 2009-07-01 2009-12-02 杭州华三通信技术有限公司 防御传输控制协议同步洪泛攻击方法及传输控制协议代理
CN106357666A (zh) * 2016-10-09 2017-01-25 广东睿江云计算股份有限公司 一种syn flood攻击的清洗方法及系统
CN106453373A (zh) * 2016-11-03 2017-02-22 北京知道未来信息技术有限公司 一种高效的SYN Flood攻击识别及处置方法
CN107547503A (zh) * 2017-06-12 2018-01-05 新华三信息安全技术有限公司 一种会话表项处理方法及装置
CN107547511A (zh) * 2017-07-11 2018-01-05 新华三信息安全技术有限公司 一种报文处理方法及装置
CN109194638A (zh) * 2018-08-23 2019-01-11 新华三技术有限公司合肥分公司 报文处理方法、装置、交换设备及计算机可读存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"IPv6下DoS/DDoS SYN Flood入侵和攻击的检测";张彦军等;《兰州理工大学学报》;20080624;第34卷(第2期);全文 *
"Traceback-Based Bloomfilter IPS in Defending SYN Flooding Attack";Huan-rong Tang等;《2009 5th International Conference on Wireless Communications, Networking and Mobile Computing》;20091030;全文 *

Also Published As

Publication number Publication date
SG10201910426VA (en) 2020-09-29
US20200280580A1 (en) 2020-09-03
CN109922144A (zh) 2019-06-21
US11689564B2 (en) 2023-06-27

Similar Documents

Publication Publication Date Title
CN109922144B (zh) 用于处理数据的方法和装置
US9154512B2 (en) Transparently proxying transport protocol connections using an external server
KR101054705B1 (ko) 위조 발생지 어드레스를 가진 포트 스캔을 탐지하기 위한 방법 및 장치
US8811397B2 (en) System and method for data communication between a user terminal and a gateway via a network node
US8694651B2 (en) Method and system for implementing network proxy
CN110266678B (zh) 安全攻击检测方法、装置、计算机设备及存储介质
KR20020079426A (ko) 피어 투 피어 네트워크 환경내에서 피어의 신뢰성 상태를검증하는 시스템 및 방법
JP2018528679A (ja) 負荷平衡システムにおいて接続を確立するデバイス及び方法
WO2011109786A1 (en) Network firewall and nat traversal for tcp and related protocols
US11677585B2 (en) Transparent TCP connection tunneling with IP packet filtering
JP2014160942A (ja) 認証方法、転送装置及び認証サーバ
US7114181B2 (en) Preventing network data injection attacks
CN112152880A (zh) 一种链路健康检测方法及装置
WO2024103716A1 (zh) 一种链路中子网管理的方法、装置、设备及可读介质
WO2022100001A1 (zh) 网络安全防护方法以及防护设备
WO2017148419A1 (zh) 数据传输方法及服务器
CN111385068B (zh) 数据传输方法、装置、电子设备及通信系统
EP3884449A1 (en) Method and system for a network device to obtain a trusted state representation of the state of the distributed ledger technology network
US9059968B2 (en) Stateless transmission control protocol rendezvous solution for border gateway function
CN108737413B (zh) 传输层的数据处理方法、装置及计算机可读存储介质
CN110198298B (zh) 一种信息处理方法、装置及存储介质
CN110381007B (zh) Tcp加速方法及装置
US11228657B2 (en) Hybrid proxying with user space hold
CN110035041B (zh) 一种识别应用攻击源的方法和设备
CN114124489B (zh) 防止流量攻击的方法、清洗装置、设备和介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant