CN102884764A - 一种报文接收方法、深度包检测设备及系统 - Google Patents
一种报文接收方法、深度包检测设备及系统 Download PDFInfo
- Publication number
- CN102884764A CN102884764A CN2012800009128A CN201280000912A CN102884764A CN 102884764 A CN102884764 A CN 102884764A CN 2012800009128 A CN2012800009128 A CN 2012800009128A CN 201280000912 A CN201280000912 A CN 201280000912A CN 102884764 A CN102884764 A CN 102884764A
- Authority
- CN
- China
- Prior art keywords
- domain name
- service server
- address
- message
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种报文接收方法、深度包检测设备及系统,涉及通信领域,该方法、设备及系统能够提高深度包检测设备对报文的辨识能力,防止由于辨识不足而出现漏洞,该报文接收方法包括:接收终端设备发送的业务请求的报文,所述报文携带有指示所述终端设备的终端域名和指示所述终端设备业务请求的业务服务器的服务器域名;解析接收的所述服务器域名得到业务服务器网络协议IP地址;若解析的所述业务服务器IP地址不属于接收的所述终端域名在预设列表中对应的预设业务服务器IP地址,则对所述报文进行丢包。本发明实施例用于报文的处理。
Description
技术领域
本发明涉及通信领域,尤其涉及一种报文接收方法、深度包检测设备及系统。
背景技术
随着互联网业务日渐成熟,业务种类逐渐增加,用户终端可以访问的网站,包括视频网站,游戏网站等,这些网站既存在免费的,也有根据运营商的需求进行收费的,用户终端可以根据自己的需求选择访问。
一般情况下,用户想要访问网站使用的业务服务器对应着一个IP(Internet Protocol,网络协议)地址,用户可以通过发送携带有域名和需要访问的网站相关信息的报文,通常情况下,DPI(Deep PacketInspection,深度包检测)设备对报文信息进行策略匹配时,需要使用包含有host字段的完整URL(Uniform Resource Location,统一资源定位符)信息,这与现有的业务服务器对报文的处理原则不同,会造成DPI设备检测存在漏洞,如这种业务服务器仅检测报文的URL中的路径信息,而不检测host字段,使得业务服务器可以根据路径信息返回访问结果,而不判断该路径信息是否与host字段提供的路径一致,即无法判断用户是否篡改了host字段。这样会造成用户通过篡改报文,达到成功访问收费业务,但DPI设备无法识别用户终端是否通过修改报文中的host字段而达到欺诈性的免费访问收费网站的目的等。
发明内容
本发明的实施例提供一种报文接收方法、深度包检测设备及系统,能够提高深度包检测设备对报文的辨识能力,防止由于辨识不足而出现漏洞。
为达到上述目的,本发明的实施例采用如下技术方案:
一方面,提供一种报文接收方法,包括:
接收终端设备发送的业务请求的报文,所述报文携带有指示所述终端设备的终端域名和指示所述终端设备业务请求的业务服务器的服务器域名;
解析接收的所述服务器域名得到业务服务器网络协议IP地址;
若解析的所述业务服务器IP地址不属于接收的所述终端域名在预设列表中对应的预设业务服务器IP地址,则对所述报文进行丢包。
一方面,提供一种深度包检测DPI设备,包括:
接收单元,用于接收终端设备发送的业务请求的报文,所述报文携带有指示所述终端设备的终端域名和指示所述终端设备业务请求的业务服务器的服务器域名;
解析单元,用于解析所述接收单元接收的所述服务器域名得到业务服务器网络协议IP地址;
处理单元,用于若所述解析单元解析的所述业务服务器IP地址不属于所述接收单元接收的所述终端域名在预设列表中对应的预设业务服务器IP地址,则对所述报文进行丢包。
另一方面,提供一种系统,包括:
上述的DPI设备;
终端设备,用于向所述DPI设备发送业务请求的报文,所述报文携带有指示所述终端设备的终端域名和指示所述终端设备业务请求的业务服务器的服务器域名。
本发明实施例提供的报文接收方法、DPI设备及系统,DPI设备接收终端设备发送的业务请求的报文,报文携带有指示终端设备的终端域名和指示业务请求的业务服务器的服务器域名,解析服务器域名得到业务服务器网络协议IP地址,若业务服务器IP地址不属于终端域名在预设列表中对应的预设业务服务器IP地址,则对报文进行丢包。这样一来,DPI设备能够通过比较报文的业务服务器IP地址和预设表格中该终端设备的终端域名对应的预设业务服务器IP地址是否吻合,判断出该报文是正常报文还是异常报文,对异常报文进行丢包,这样提高DPI设备对报文的辨识能力,防止由于辨识不足,而导致服务器对异常报文进行正常处理而出现漏洞。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的报文接收方法流程示意图;
图2为本发明实施例提供的真实报文和被篡改报文对比图;
图3为发明另一实施例提供的报文接收方法流程示意图;
图4为本发明实施例提供的DPI设备的结构示意图;
图5为本发明另一实施例提供的DPI设备的结构示意图;
图6为本发明实施例提供的系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供的报文接收方法,如图1所示,该方法步骤包括:
S101、DPI设备接收终端设备发送的业务请求的报文,报文携带有指示终端设备的终端域名和指示终端设备业务请求的业务服务器的服务器域名。
需要说明的是,本实施例适用的网络可以是是基于TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/因特网互联协议)进行通信和连接的,在这样的网络中,每一个与网络相连接的终端设备和业务服务器都有一个唯一的标识,以区别在网络上成千上万个终端设备和业务服务器等。一般情况下,这个唯一的标识可以为字符型地址,即域名。由于每个终端设备和业务服务器都有自己独一无二的域名,因此终端设备在向DPI设备请求服务的时候,仅需要告知DPI设备自己的域名,记作终端域名,DPI设备就可以通过终端域名找到这个终端设备,并向终端设备转发或提供该终端设备所需的服务,此外,终端设备可以通过在报文中写入业务服务器的域名,记作服务器域名,来实现对业务请求所需要的业务服务器的访问。
示例性的,终端设备需要访问网络上可用的资源,如超文本标记语言文档、图像、视频片段、程序等,由于支持不同网站的业务服务器,都可以通过服务器域名作为唯一的标识进行识别,因此当终端设备根据需要访问网站时,需要发送一个写入了该网站对应的业务服务器的服务器域名的URL报文,其中,服务器域名为终端设备需要访问网站的业务服务器的字符型地址,如当用户需要使用终端设备访问A公司的网站时,URL可以写为www.A.com等。
S102、DPI设备解析接收的服务器域名得到业务服务器IP地址。
进一步的,DPI设备对服务器域名进行DNS(Domain Name Server,域名服务)解析,如通过本地查询、缓存查询和迭代查询等方式进行解析,这样就可以将用户易于熟记的域名,如www.baidu.com、www.google.com等转换为机器可识别的IP地址,如1.1.1.10、2.2.2.2等,并记作业务服务器IP地址,进而使得DPI设备通过业务服务器IP地址帮助终端设备访问到业务服务器,以使得业务服务器为终端设备提供服务。
S103、若DPI设备解析的业务服务器IP地址不属于接收的终端域名在预设列表中对应的预设业务服务器IP地址,则对报文进行丢包。
需要说明的是,DPI设备中预先设置有一个预设列表,如表1所示,该预设列表中每个终端设备的终端域名对应设置有该终端设备的访问权限下的可访问业务服务器IP地址,记作预设业务服务器IP地址,一个终端设备可以对应多个预设业务服务器IP地址。
表1
示例性的,如表1所示,终端设备A的终端域名为www.huawei.com,终端设备A只能访问1.1.1.1和2.2.2.20两个预设业务服务器,假设这两个预设业务服务器都是不计费服务的,而终端设备B的终端域名为www.google.com,终端设备B可以访问2.2.2.2,该IP地址对应的预设业务服务器是计费的。如图2所示,假设www.huawei.com对应的IP地址为1.1.1.1,www.google.com对应的IP地址为2.2.2.2,也就是说终端设备A只能访问免费的www.huawei.com的预设业务服务器,但不可以访问www.google.com的预设业务服务器,但是由于现有技术中,对报文中的URL处理时,业务服务器仅只关注GET请求之后的路径,而不检测host字段,将访问的结果按照GET后的路径返回,而不判断该路径信息是否与host字段提供的路径一致,业务服务器对host之后的地址仅读取然后访问,但不检查host之后的字段是否是正确的免费访问的网站的字段,就使得如果终端终端设备A将host之后的域名从www.google.com改为www.huawei.com,那么终端设备A可以不计费的访问www.google.com,而访问结果可以通过GET后的www.huawei.com返回终端设备A,这样一来,终端设备通过篡改报文,达到成功访问收费业务,但DPI设备无法识别终端设备是否通过修改报文中的host字段而达到欺诈性的免费访问收费网站的目的。
所以本发明实施例提供的DPI设备将终端设备A的终端域名www.huawei.com与其可访问的业务服务器,记作预设业务服务器,设置在预设列表中,如果对终端设备A解析得到的服务器域名对应的业务服务器IP地址不属于表一中的终端域名www.huawei.com,即终端设备A对应的预设业务服务器IP地址,如服务器域名解析得到2.2.2.2,既不是1.1.1.1也不是2.2.2.20,则认为这个报文出现异常,对这个异常的报文进行丢包,以防止终端设备A通过篡改报文,达到成功访问收费业务,如果服务器域名解析得到2.2.2.20,属于1.1.1.1和2.2.2.20,可以认为这个报文是正常的,则根据报文请求的业务请求对终端设备A和IP地址为2.2.2.20的业务服务器进行连接,使得业务服务器为终端设备A提供业务请求的服务。
本发明实施例提供的报文接收方法,DPI设备接收终端设备发送的业务请求的报文,报文携带有指示终端设备的终端域名和指示业务请求的业务服务器的服务器域名,解析服务器域名得到业务服务器网络协议IP地址,若业务服务器IP地址不属于终端域名在预设列表中对应的预设业务服务器IP地址,则对报文进行丢包。这样一来,DPI设备能够通过比较报文的业务服务器IP地址和预设表格中该终端设备的终端域名对应的预设业务服务器IP地址是否吻合,判断出该报文是正常报文还是异常报文,对异常报文进行丢包,这样提高DPI设备对报文的辨识能力,防止由于辨识不足,而导致DPI设备对异常报文进行正常处理而出现漏洞。
本发明另一实施例提供的报文接收方法,以具有DNS解析功能的网关设备举例说明,其他具有DNS解析功能的设备也在保护范围之内,如图3所示,该方法步骤包括:
S201、网关设备接收终端设备发送的DNS报文,DNS报文携带有指示终端设备的终端域名及终端域名对应的至少一个可访问业务服务器的真实域名。
值得指出的是,网关设备可以在较为空闲的时间向终端设备发送DNS查询请求,以使得各个终端设备向网关设备发送DNS报文,也可以不发送这个查询请求,而在接收到终端设备的DNS报文时,获得DNS报文携带的指示终端设备的终端域名及终端域名对应的至少一个可访问业务服务器的真实域名。
S202、网关设备解析接收的真实域名得到至少一个可访问业务服务器IP地址。
需要说明的是,网关设备解析真实域名得到终端设备有权限访问的服务器IP地址,如可以免费访问的IP地址等。
S203、网关设备将解析的至少一个可访问业务服务器IP地址作为预设业务服务器IP地址,与终端域名对应设置在预设列表中。
示例性的,网关设备将解析的终端设备A的可访问业务服务器IP地址,如2.2.2.20和1.1.1.1对应终端域名HTTP/1.1\r\n设置在预设列表中,其中,可访问业务服务器IP地址记作预设业务服务器IP地址,将解析的终端设备B的可访问业务服务器IP地址,如2.2.2.2对应终端域名HTTP/1.2\r\n设置在预设列表中,其中,可访问业务服务器IP地址记作预设业务服务器IP地址,以此类推,建立一个预设列表,以使得网关设备可以根据列表中终端域名对应的预设业务服务器IP地址判断后续接收到的该终端域名对应的终端设备A或终端设备B等请求的业务服务器是否在可访问范围内。
需要说明的,S201、S202和S203与S204和S205没有顺序关系,S201、S202和S203只需在S206、S207或S208之前执行即可。
S204、网关设备接收终端设备发送的业务请求的报文,报文携带有指示终端设备的终端域名和指示终端设备业务请求的业务服务器的服务器域名。
S205、网关设备解析接收的服务器域名得到业务服务器网络协议IP地址。
需要说明的是,S205之后,若解析的业务服务器IP地址不属于接收的终端域名在预设列表中对应的预设业务服务器IP地址,则执行步骤S206,若解析的业务服务器IP地址属于接收的终端域名在预设列表中对应的预设业务服务器IP地址,则根据网关设备的需求执行步骤S207或S208。
S206、网关设备对报文进行丢包。
由于解析的业务服务器IP地址不属于接收的终端域名在预设列表中对应的预设业务服务器IP地址,网关设备可以确定该报文是恶意欺诈的报文或异常报文,对该报文进行丢包,方法在上述实施例中已经展开,在此不再赘述。
S207、网关设备使终端设备与业务服务器IP地址对应的业务服务器建立连接,以使得业务服务器向终端设备提供针对终端设备的业务请求的服务。
需要说明的是,由于解析的业务服务器IP地址属于接收的终端域名在预设列表中对应的预设业务服务器IP地址,也就是说终端设备只是需要正常访问可访问业务服务器,那么网关设备就可以使得终端设备与业务服务器建立连接,以使得业务服务器为终端设备提供视频数据或者音频数据等终端设备请求的服务。
S208、网关设备根据终端设备的终端域名确定业务请求的业务类型。
示例性的,若网关设备的需求是识别终端设备发送的加密的业务类型,或者识别IP地址不断变化的终端设备的业务类型,可以通过比对预设列表中的终端域名与预设业务服务器IP地址获得业务类型。即:如果终端设备的业务请求是加密的,比如某一下载工具是加密的,或者某一邮件工具是加密的,此时网关设备无法对于这些加密类应用通过解析URL等特征获取到具体的业务应用类型,但又需要对所有的下载工具进行下载限制,这时,网关设备可以在判断了预设列表中的预设业务服务器IP地址与终端设备的业务服务器IP地址相同后,根据预设列表中的该终端设备的终端域名自动配出业务类型,这时如果终端设备A的业务类型是加密的下载工具,终端设备B的业务类型是加密的邮件工具,则可以识别并对终端设备A的下载进行限制。这样一来,就可以避免解析中遇见反识别软件使无法获取业务类型,无法对加密的业务类型进行操作的情况。
另外,如果上述终端设备B的业务类型为邮件下载加密,且业务类型没有明显特征和特定IP地址,即IP地址一直处于变化状态,这时可以通过本发明实施例中提供的预设列表,在判断了预设列表中的预设业务服务器IP地址与终端设备的业务服务器IP地址相同后,根据预设列表中的该终端设备B的终端域名获取到终端设备B,进而识别出具体业务类型,如在网关设备上配置域名和业务类型的对应关系,如配置www.gmail.com域名,对应的业务类型为邮件,就可以根据终端域名www.gmail.com获取到终端设备B的业务类型为邮件。
需要说明的是,步骤S207和S208可以根据网关设备所需的处理方式不同而选择一个步骤执行,如需要判断报文正常且需要将终端设备与业务服务器建立连接时,执行S207,若需要得知业务类型时,则执行S208。
本发明实施例提供的报文接收方法,网关设备接收终端设备发送的业务请求的报文,报文携带有指示终端设备的终端域名和指示业务请求的业务服务器的服务器域名,解析服务器域名得到业务服务器网络协议IP地址,若业务服务器IP地址不属于终端域名在预设列表中对应的预设业务服务器IP地址,则对报文进行丢包。这样一来,网关设备能够通过比较报文的业务服务器IP地址和预设表格中该终端设备的终端域名对应的预设业务服务器IP地址是否吻合,判断出该报文是正常报文还是异常报文,对异常报文进行丢包,这样提高服务器对报文的辨识能力,防止由于辨识不足,而导致网关设备对异常报文进行正常处理而出现漏洞。
本发明实施例提供的DPI设备30,如图4所示,包括:
接收单元301,用于接收终端设备40发送的业务请求的报文,报文携带有指示终端设备40的终端域名和指示终端设备40业务请求的业务服务器的服务器域名。
需要说明的是,DPI设备30可以通过接收单元301接收到的终端域名和服务器域名对终端设备40和该终端设备40所需的业务服务器建立连接,以使得终端设备40得到业务请求所需的服务,在此不再赘述。
解析单元302,用于解析接收单元301接收的服务器域名得到业务服务器网络协议IP地址。
需要说明的是,解析单元302可以实现将用户易记忆的域名和机器易识别的IP地址之间相互的转换。
处理单元303,用于若解析单元302解析的业务服务器IP地址不属于接收单元301接收的终端域名在预设列表中对应的预设业务服务器IP地址,则对报文进行丢包。
需要说明的是,如果接收单元301接收的终端域名在预设列表中对应的不是该终端域名应该对应的、可访问的业务服务器,即预设列表中记作预设业务服务器时,说明这个访问的报文存在异常,可能是恶意欺诈,避过网络计费等,所以对该报文进行丢包。
处理单元303,还用于若解析单元302解析的业务服务器IP地址属于接收单元301接收的终端域名在预设列表中对应的预设业务服务器IP地址,则对终端设备40与业务服务器IP地址对应的业务服务器建立连接,以使得业务服务器向终端设备40提供针对终端设备的业务请求的服务。或者,若解析单元302解析的业务服务器IP地址属于接收单元301接收的终端域名在预设列表中对应的预设业务服务器IP地址,则根据终端设备40的终端域名确定业务请求的业务类型。
进一步的,DPI设备30,如图5所示,还包括:
发送单元,用于向终端设备40发送DNS查询请求,以使得终端设备40发送DNS报文。
其中,接收单元301,还用于接收终端设备40发送的DNS报文,DNS报文携带有终端域名及终端域名对应的至少一个可访问业务服务器的真实域名。
解析单元302,还用于解析接收单元301接收的真实域名得到至少一个可访问业务服务器IP地址。
此时,处理单元303将解析单元302解析的至少一个可访问业务服务器IP地址作为预设业务服务器IP地址,与接收单元301接收的终端域名对应设置在预设列表中,以使得后续接收单元301接收到业务请求的报文时,根据终端域名在预设列表中比对,防止报文要访问的业务服务器IP地址不对应预设列表中终端域名对应的预设业务服务器IP地址时对该报文进行正常处理。
上述DPI设备30对应上述方法实施例,该DPI设备30可以用于上述方法实施例的步骤中,其具体各个步骤中的应用可以参照上述方法实施例,在此不再赘述。
本发明实施例提供的DPI设备30,DPI设备30接收终端设备40发送的业务请求的报文,报文携带有指示终端设备40的终端域名和指示业务请求的业务服务器的服务器域名,解析服务器域名得到业务服务器网络协议IP地址,若业务服务器IP地址不属于终端域名在预设列表中对应的预设业务服务器IP地址,则对报文进行丢包。这样一来,DPI设备30能够通过比较报文的业务服务器IP地址和预设表格中该终端设备40的终端域名对应的预设业务服务器IP地址是否吻合,判断出该报文是正常报文还是异常报文,对异常报文进行丢包,这样提高DPI设备30对报文的辨识能力,防止由于辨识不足,而导致DPI设备对异常报文进行正常处理而出现漏洞。
本发明实施例提供的系统,如图6所示,包括:
DPI设备30,用于接收终端设备40发送的业务请求的报文,报文携带有指示终端设备40的终端域名和指示终端设备40业务请求的业务服务器的服务器域名;解析接收的服务器域名得到业务服务器网络协议IP地址;若解析的业务服务器IP地址不属于接收的终端域名在预设列表中对应的预设业务服务器IP地址,则对报文进行丢包。
终端设备40,用于向DPI设备30发送业务请求的报文。
上述DPI设备30和终端设备40对应上述方法实施例,该DPI设备30和终端设备40可以用于上述方法实施例的步骤中,其具体各个步骤中的应用可以参照上述方法实施例。其中,DPI设备30的具体结构与上述实施例中提供的终端和DPI设备的结构相同,在此不再赘述。
本发明实施例提供的系统,DPI设备30接收终端设备40发送的业务请求的报文,报文携带有指示终端设备40的终端域名和指示业务请求的目标DPI设备的服务器域名,解析服务器域名得到业务服务器网络协议IP地址,若业务服务器IP地址不属于终端域名在预设列表中对应的预设业务服务器IP地址,则对报文进行丢包。这样一来,服务器30能够通过比较报文的业务服务器IP地址和预设表格中该终端设备40的终端域名对应的预设业务服务器IP地址是否吻合,判断出该报文是正常报文还是异常报文,对异常报文进行丢包,这样提高DPI设备30对报文的辨识能力,防止由于辨识不足,而导致DPI设备对异常报文进行正常处理而出现漏洞。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (11)
1.一种报文接收方法,其特征在于,包括:
接收终端设备发送的业务请求的报文,所述报文携带有指示所述终端设备的终端域名和指示所述终端设备业务请求的业务服务器的服务器域名;
解析接收的所述服务器域名得到业务服务器网络协议IP地址;
若解析的所述业务服务器IP地址不属于接收的所述终端域名在预设列表中对应的预设业务服务器IP地址,则对所述报文进行丢包。
2.根据权利要求1所述的方法,其特征在于,若解析的所述业务服务器IP地址不属于接收的所述终端域名在预设列表中对应的预设业务服务器IP地址,则对所述报文进行丢包之前,还包括:
接收终端设备发送的域名系统DNS报文,所述DNS报文携带有所述终端域名及所述终端域名对应的至少一个可访问业务服务器的真实域名;
解析接收的所述真实域名得到至少一个可访问业务服务器IP地址;
将解析的所述至少一个可访问业务服务器IP地址作为所述预设业务服务器IP地址,与所述终端域名对应设置在所述预设列表中。
3.根据权利要求2所述的方法,其特征在于,所述接收终端设备发送的域名系统DNS报文之前,还包括:
向所述终端设备发送DNS查询请求,以使得所述终端设备发送所述DNS报文。
4.根据权利要求1至3任一所述的方法,其特征在于,所述解析所述服务器域名得到业务服务器网络协议IP地址之后,还包括:
若解析的所述业务服务器IP地址属于接收的所述终端域名在所述预设列表中对应的预设业务服务器IP地址,则对所述终端设备与所述业务服务器IP地址对应的业务服务器建立连接,以使得所述业务服务器向所述终端设备提供针对所述终端设备的业务请求的服务。
5.根据权利要求1至3任一所述的方法,其特征在于,所述解析所述服务器域名得到业务服务器网络协议IP地址之后,还包括:
若解析的所述业务服务器IP地址属于接收的所述终端域名在所述预设列表中对应的预设业务服务器IP地址,则根据所述终端设备的终端域名确定所述业务请求的业务类型。
6.一种深度包检测DPI设备,其特征在于,包括:
接收单元,用于接收终端设备发送的业务请求的报文,所述报文携带有指示所述终端设备的终端域名和指示所述终端设备业务请求的业务服务器的服务器域名;
解析单元,用于解析所述接收单元接收的所述服务器域名得到业务服务器网络协议IP地址;
处理单元,用于若所述解析单元解析的所述业务服务器IP地址不属于所述接收单元接收的所述终端域名在预设列表中对应的预设业务服务器IP地址,则对所述报文进行丢包。
7.根据权利要求6所述的DPI设备,其特征在于,
所述接收单元,还用于接收终端设备发送的域名系统DNS报文,所述DNS报文携带有所述终端域名及所述终端域名对应的至少一个可访问业务服务器的真实域名;
所述解析单元,还用于解析所述接收单元接收的所述真实域名得到至少一个可访问业务服务器IP地址;
所述处理单元,还用于将所述解析单元解析的所述至少一个可访问业务服务器IP地址作为所述预设业务服务器IP地址,与所述终端域名对应设置在所述预设列表中。
8.根据权利要求7所述的DPI设备,其特征在于,还包括:
发送单元,用于向所述终端设备发送DNS查询请求,以使得所述终端设备发送所述DNS报文。
9.根据权利要求6至8任一所述的DPI设备,其特征在于,
所述处理单元,还用于若所述解析单元解析的所述业务服务器IP地址属于所述接收单元接收的所述终端域名在所述预设列表中对应的预设业务服务器IP地址,则对所述终端设备与所述业务服务器IP地址对应的业务服务器建立连接,以使得所述业务服务器向所述终端设备提供针对所述终端设备的业务请求的服务。
10.根据权利要求6或8任一所述的DPI设备,其特征在于,
所述处理单元,还用于若所述解析单元解析的所述业务服务器IP地址属于所述接收单元接收的所述终端域名在预设列表中对应的预设业务服务器IP地址,则根据所述终端设备的终端域名确定所述业务请求的业务类型。
11.一种系统,其特征在于,包括:
权利要求6-10任一项所述的DPI设备;
终端设备,用于向所述DPI设备发送业务请求的报文,所述报文携带有指示所述终端设备的终端域名和指示所述终端设备业务请求的业务服务器的服务器域名。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2012/077994 WO2014000303A1 (zh) | 2012-06-30 | 2012-06-30 | 一种报文接收方法、深度包检测设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102884764A true CN102884764A (zh) | 2013-01-16 |
| CN102884764B CN102884764B (zh) | 2015-05-27 |
Family
ID=47484676
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280000912.8A Expired - Fee Related CN102884764B (zh) | 2012-06-30 | 2012-06-30 | 一种报文接收方法、深度包检测设备及系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9578040B2 (zh) |
| EP (1) | EP2869508A4 (zh) |
| JP (1) | JP6007458B2 (zh) |
| CN (1) | CN102884764B (zh) |
| WO (1) | WO2014000303A1 (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103634314A (zh) * | 2013-11-28 | 2014-03-12 | 杭州华三通信技术有限公司 | 一种基于虚拟路由器vsr的服务访问控制方法及设备 |
| CN103973506A (zh) * | 2013-01-30 | 2014-08-06 | 腾讯科技(深圳)有限公司 | 一种域名校验方法、装置及系统 |
| CN104601573A (zh) * | 2015-01-15 | 2015-05-06 | 国家计算机网络与信息安全管理中心 | 一种Android平台URL访问结果验证方法及装置 |
| CN105991627A (zh) * | 2015-03-13 | 2016-10-05 | 杭州迪普科技有限公司 | 数据连接建立方法及装置 |
| CN106210160A (zh) * | 2016-06-17 | 2016-12-07 | 乐视控股(北京)有限公司 | 一种域名设置方法及装置 |
| CN109246256A (zh) * | 2017-07-10 | 2019-01-18 | 中国电信股份有限公司 | 域名解析方法和系统、授信域名系统服务器 |
| CN109688100A (zh) * | 2018-09-07 | 2019-04-26 | 平安科技(深圳)有限公司 | Nat穿透方法、装置、设备及存储介质 |
| CN110519750A (zh) * | 2018-05-21 | 2019-11-29 | 华为技术有限公司 | 报文处理方法、设备及系统 |
| CN111314197A (zh) * | 2020-02-03 | 2020-06-19 | 杭州迪普科技股份有限公司 | 域名资源管理装置及域名资源管理方法 |
| CN113395367A (zh) * | 2020-03-13 | 2021-09-14 | 中国移动通信集团山东有限公司 | Https业务识别方法、装置、存储介质及电子设备 |
| CN113726689A (zh) * | 2021-07-27 | 2021-11-30 | 新华三信息安全技术有限公司 | 一种安全业务处理方法以及装置 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106230775B (zh) * | 2016-07-13 | 2020-01-03 | 新华三技术有限公司 | 防止攻击url规则库的方法以及装置 |
| JP6493426B2 (ja) * | 2017-02-02 | 2019-04-03 | 日本電気株式会社 | 通信システム、通信制御方法および通信プログラム |
| JP6493475B1 (ja) | 2017-09-28 | 2019-04-03 | 日本電気株式会社 | 通信装置、通信システム、通信制御方法、通信プログラムおよびデバイス接続制御プログラム |
| CN110784467B (zh) * | 2019-10-29 | 2021-10-26 | 维沃移动通信有限公司 | 一种消息中的网络链接处理方法、电子设备 |
| CN111163184B (zh) * | 2019-12-25 | 2022-07-01 | 杭州迪普科技股份有限公司 | 一种报文特征的提取方法和装置 |
| TW202241091A (zh) * | 2021-04-07 | 2022-10-16 | 聚騰科技股份有限公司 | 網路連線的服務類型的辨識方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101068253A (zh) * | 2006-05-05 | 2007-11-07 | 美国博通公司 | 通信架构、中间路由节点及其执行的方法 |
| CN101141396A (zh) * | 2007-09-18 | 2008-03-12 | 华为技术有限公司 | 报文处理方法和网络设备 |
| CN101945053A (zh) * | 2010-10-12 | 2011-01-12 | 杭州华三通信技术有限公司 | 一种报文的发送方法和装置 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6108330A (en) * | 1997-09-26 | 2000-08-22 | 3Com Corporation | Apparatus and methods for use therein for an ISDN LAN modem that selects among a plurality of DNS servers for responding to a DNS query |
| US6256671B1 (en) * | 1998-06-24 | 2001-07-03 | Nortel Networks Limited | Method and apparatus for providing network access control using a domain name system |
| JP3758482B2 (ja) * | 2000-08-28 | 2006-03-22 | 富士通株式会社 | ネットワーク間通信セキュリティプログラムを記録した媒体および装置 |
| US6961783B1 (en) * | 2001-12-21 | 2005-11-01 | Networks Associates Technology, Inc. | DNS server access control system and method |
| US7228359B1 (en) * | 2002-02-12 | 2007-06-05 | Cisco Technology, Inc. | Methods and apparatus for providing domain name service based on a client identifier |
| US6950660B1 (en) * | 2002-05-10 | 2005-09-27 | Qualcomm, Incorporated | Provisioning a mobile device in a wireless communication system |
| JP2004180159A (ja) * | 2002-11-28 | 2004-06-24 | Ntt Docomo Inc | 通信制御装置、パケットフィルタリング方法、及びプログラム |
| US7372809B2 (en) * | 2004-05-18 | 2008-05-13 | Time Warner Cable, Inc. | Thwarting denial of service attacks originating in a DOCSIS-compliant cable network |
| JP4489676B2 (ja) * | 2005-09-28 | 2010-06-23 | 富士通株式会社 | 通信システム |
| US7730187B2 (en) * | 2006-10-05 | 2010-06-01 | Limelight Networks, Inc. | Remote domain name service |
| US8274985B2 (en) * | 2005-12-30 | 2012-09-25 | United States Cellular Corporation | Control of cellular data access |
| US8275895B1 (en) * | 2006-12-21 | 2012-09-25 | Crimson Corporation | Systems and methods for establishing a trusted dynamic host configuration protocol connection |
| US8397057B2 (en) * | 2007-08-13 | 2013-03-12 | Sap Ag | Generic hub to increase security when accessing business systems |
| CN101399749B (zh) * | 2007-09-27 | 2012-04-04 | 华为技术有限公司 | 一种报文过滤的方法、系统和设备 |
| JP2009272659A (ja) * | 2008-03-03 | 2009-11-19 | Nec Corp | 通信制御装置、通信制御方法および通信システム |
| JP4592789B2 (ja) * | 2008-07-29 | 2010-12-08 | 日本電信電話株式会社 | 通信制御装置、通信制御方法および通信制御処理プログラム |
| US9225794B2 (en) * | 2009-03-31 | 2015-12-29 | Google Inc. | Adaptive DNS pre-resolution |
| US9270646B2 (en) * | 2009-04-20 | 2016-02-23 | Citrix Systems, Inc. | Systems and methods for generating a DNS query to improve resistance against a DNS attack |
| CN102004789A (zh) | 2010-12-07 | 2011-04-06 | 苏州迈科网络安全技术股份有限公司 | Url过滤系统的应用方法 |
| CN102572014B (zh) * | 2012-03-07 | 2015-12-02 | 华为终端有限公司 | 消息处理方法、装置和系统 |
| JP6171445B2 (ja) * | 2013-03-21 | 2017-08-02 | 富士通株式会社 | 割当装置及び割当プログラム |
| CN104796883B (zh) * | 2015-03-19 | 2018-08-03 | 深信服网络科技(深圳)有限公司 | 通信方法、无线接入点、无线控制器及通信系统 |
-
2012
- 2012-06-30 CN CN201280000912.8A patent/CN102884764B/zh not_active Expired - Fee Related
- 2012-06-30 JP JP2015518769A patent/JP6007458B2/ja not_active Expired - Fee Related
- 2012-06-30 EP EP12880164.4A patent/EP2869508A4/en not_active Withdrawn
- 2012-06-30 WO PCT/CN2012/077994 patent/WO2014000303A1/zh active Application Filing
-
2014
- 2014-12-16 US US14/572,514 patent/US9578040B2/en active Active - Reinstated
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101068253A (zh) * | 2006-05-05 | 2007-11-07 | 美国博通公司 | 通信架构、中间路由节点及其执行的方法 |
| CN101141396A (zh) * | 2007-09-18 | 2008-03-12 | 华为技术有限公司 | 报文处理方法和网络设备 |
| CN101945053A (zh) * | 2010-10-12 | 2011-01-12 | 杭州华三通信技术有限公司 | 一种报文的发送方法和装置 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103973506A (zh) * | 2013-01-30 | 2014-08-06 | 腾讯科技(深圳)有限公司 | 一种域名校验方法、装置及系统 |
| CN103973506B (zh) * | 2013-01-30 | 2016-10-12 | 腾讯科技(深圳)有限公司 | 一种域名校验方法、装置及系统 |
| CN103634314A (zh) * | 2013-11-28 | 2014-03-12 | 杭州华三通信技术有限公司 | 一种基于虚拟路由器vsr的服务访问控制方法及设备 |
| CN103634314B (zh) * | 2013-11-28 | 2017-06-16 | 新华三技术有限公司 | 一种基于虚拟路由器vsr的服务访问控制方法及设备 |
| CN104601573A (zh) * | 2015-01-15 | 2015-05-06 | 国家计算机网络与信息安全管理中心 | 一种Android平台URL访问结果验证方法及装置 |
| CN104601573B (zh) * | 2015-01-15 | 2018-04-06 | 国家计算机网络与信息安全管理中心 | 一种Android平台URL访问结果验证方法及装置 |
| CN105991627A (zh) * | 2015-03-13 | 2016-10-05 | 杭州迪普科技有限公司 | 数据连接建立方法及装置 |
| CN106210160A (zh) * | 2016-06-17 | 2016-12-07 | 乐视控股(北京)有限公司 | 一种域名设置方法及装置 |
| CN109246256A (zh) * | 2017-07-10 | 2019-01-18 | 中国电信股份有限公司 | 域名解析方法和系统、授信域名系统服务器 |
| CN110519750A (zh) * | 2018-05-21 | 2019-11-29 | 华为技术有限公司 | 报文处理方法、设备及系统 |
| CN109688100A (zh) * | 2018-09-07 | 2019-04-26 | 平安科技(深圳)有限公司 | Nat穿透方法、装置、设备及存储介质 |
| CN109688100B (zh) * | 2018-09-07 | 2022-06-17 | 平安科技(深圳)有限公司 | Nat穿透方法、装置、设备及存储介质 |
| CN111314197A (zh) * | 2020-02-03 | 2020-06-19 | 杭州迪普科技股份有限公司 | 域名资源管理装置及域名资源管理方法 |
| CN111314197B (zh) * | 2020-02-03 | 2021-06-29 | 杭州迪普科技股份有限公司 | 域名资源管理装置及域名资源管理方法 |
| CN113395367A (zh) * | 2020-03-13 | 2021-09-14 | 中国移动通信集团山东有限公司 | Https业务识别方法、装置、存储介质及电子设备 |
| CN113395367B (zh) * | 2020-03-13 | 2023-04-28 | 中国移动通信集团山东有限公司 | Https业务识别方法、装置、存储介质及电子设备 |
| CN113726689A (zh) * | 2021-07-27 | 2021-11-30 | 新华三信息安全技术有限公司 | 一种安全业务处理方法以及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9578040B2 (en) | 2017-02-21 |
| EP2869508A4 (en) | 2015-07-08 |
| JP2015525991A (ja) | 2015-09-07 |
| CN102884764B (zh) | 2015-05-27 |
| EP2869508A1 (en) | 2015-05-06 |
| WO2014000303A1 (zh) | 2014-01-03 |
| US20150103688A1 (en) | 2015-04-16 |
| JP6007458B2 (ja) | 2016-10-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102884764B (zh) | 一种报文接收方法、深度包检测设备及系统 | |
| CN110677405B (zh) | 一种数据处理方法、装置、电子设备及存储介质 | |
| CN103825895B (zh) | 一种信息处理方法及电子设备 | |
| JP6074781B2 (ja) | 許可されていないサービスアクセスを防止する方法および装置 | |
| EP2769307B1 (en) | Answer augmentation system for authoritative dns servers | |
| CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
| CN104168339A (zh) | 防止域名劫持的方法及设备 | |
| CN103167044A (zh) | 域名系统dns的智能解析的方法、拨测装置和系统 | |
| CN108063833B (zh) | Http dns解析报文处理方法及装置 | |
| CN108429739B (zh) | 一种识别蜜罐的方法、系统及终端设备 | |
| US20070274274A1 (en) | Open wireless access point detection and identification | |
| CN103856436A (zh) | 用户设备选择网络层协议的方法、家庭网关和互联网网络 | |
| CN108712428A (zh) | 一种对终端进行设备类型识别的方法及装置 | |
| CN102752411A (zh) | 重定向方法及设备 | |
| CN104079683A (zh) | 一种授权域名服务器直接响应的域名解析方法及系统 | |
| CN103581351A (zh) | 网络访问的方法和装置 | |
| KR101682513B1 (ko) | 다중-코어 플랫폼들을 위한 dns 프록시 서비스 | |
| CN103812965A (zh) | 基于路由器的域名分类处理方法和装置 | |
| CN105657055A (zh) | 一种面向web网页的局域网设备发现方法及装置 | |
| CN106411819A (zh) | 一种识别代理互联网协议地址的方法及装置 | |
| CN102891851A (zh) | 虚拟桌面访问控制方法、设备及系统 | |
| CN102469069A (zh) | 防止入口认证攻击的方法及装置 | |
| CN109309907B (zh) | 用于流量计费的方法、装置及其相关设备 | |
| CN111225038A (zh) | 服务器访问方法及装置 | |
| WO2015160437A1 (en) | System for identifying current internet protocol address for a remote comuting device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150527 Termination date: 20190630 |