CN104270364A - 一种超文本传输协议报文处理方法和装置 - Google Patents
一种超文本传输协议报文处理方法和装置 Download PDFInfo
- Publication number
- CN104270364A CN104270364A CN201410519945.4A CN201410519945A CN104270364A CN 104270364 A CN104270364 A CN 104270364A CN 201410519945 A CN201410519945 A CN 201410519945A CN 104270364 A CN104270364 A CN 104270364A
- Authority
- CN
- China
- Prior art keywords
- address
- http message
- silence
- list item
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
Abstract
本发明提供了一种超文本传输协议(HTTP)报文处理方法,所述方法包括:接入设备接收到HTTP报文时,若确定该HTTP报文的目的IP地址不为Portal服务器的IP地址,且不存在该HTTP报文的源IP地址对应的允许转发表项,则确定是否存在该HTTP报文的目的IP地址和源IP地址对应的静默表项,如果是,丢弃该HTTP报文;否则,使用该HTTP报文进行Portal认证,并根据该HTTP报文的目的IP地址和源IP地址下发静默表项。基于同样的发明构思,本申请还提出一种超文本传输协议报文处理装置,能够保护接入设备的CPU免受大量HTTP报文的攻击。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种超文本传输协议报文处理方法和装置。
背景技术
入口(Portal)认证通常也称为网页(Web)认证,即通过Web页面接受用户输入的用户名和密码,对用户进行身份认证,以达到对用户访问进行控制的目的。
Portal接入设备在收到超文本传输协议(Hypertext transfer protocol,HTTP)报文后,使用该HTTP报文的目的IP地址在本地的Portal表中查找,如果不存在对应的Portal表项,就会把该HTTP报文上送CPU去做Portal认证。
而实际应用中Portal认证网络中的接入设备下面会挂接大量终端,而这些终端,如PC、手机,由于安装了大量软件,在开机后就会自动向软件服务器发送请求交互,即发送HTTP报文,而这些请求用户是感知不到的,但是接入设备都会将这些报文走Portal认证的流程,而此时由于用户没有输入用户名和密码进行认证,因此,这些攻击会一直存在,在大量终端开机的情况下,进行Portal认证的终端就不能及时认证成功或者认证超时失败。
发明内容
有鉴于此,本申请提供一种报文处理方法和装置,以解决大量的正常HTTP报文供给接入设备的问题。
为解决上述技术问题,本申请的技术方案是这样实现的:
一种报文处理方法,应用于入口Portal认证网络中的接入设备上,该方法包括:
该接入设备接收到超文本传输协议HTTP报文时,若确定该HTTP报文的目的因特网协议IP地址不为Portal服务器的IP地址,且不存在该HTTP报文的源IP地址对应的允许转发表项,则确定是否存在该HTTP报文的目的IP地址和源IP地址对应的静默表项,如果是,丢弃该HTTP报文;否则,使用该HTTP报文进行Portal认证,并根据该HTTP报文的目的IP地址和源IP地址下发静默表项。
一种报文处理装置,应用于入口Portal认证网络中的接入设备上,该装置包括:接收单元、确定单元、处理单元和生成单元;
接收单元,用于接收超文本传输协议HTTP报文
确定单元,用于当接收单元接收到HTTP报文时,若确定该HTTP报文的目的因特网协议IP地址不为Portal服务器的IP地址,且不存在该HTTP报文的源IP地址对应的允许转发表项,则确定是否存在该HTTP报文的目的IP地址和源IP地址对应的静默表项;
处理单元,用于当确定单元确定存在该HTTP报文的目的IP地址和源IP地址对应的静默表项时,丢弃该HTTP报文;否则,使用该HTTP报文进行Portal认证;
生成单元,用于当确定单元确定不存在该HTTP报文的目的IP地址和源IP地址对应的静默表项时,根据该HTTP报文的目的IP地址和源IP地址下发静默表项。
综上所述,本申请在接收到目的IP地址不为Portal服务器的IP地址,且源IP地址未通过Portal认证的HTTP报文时,若存在该HTTP报文对应的静默表项时,直接丢弃该HTTP报文;否则,使用该HTTP报文进行Portal认证,并根据该HTTP报文的源IP地址和目的IP地址下发静默表项,能够保护接入设备的CPU免受大量HTTP报文的攻击。
附图说明
图1为本申请实施例中HTTP报文处理流程示意图;
图2为本申请具体实施例中接入设备处理HTTP报文的流程示意图;
图3为本申请具体实施例中应用于上述技术的装置结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,下面结合附图并据实施例,对本发明的技术方案进行详细说明。
本申请实施例中提供一种超文本传输协议报文处理方法,应用于Portal认证网络中的接入设备上,该接入设备在接收到HTTP报文时,通过本申请提供的技术方案进行处理,接收到其他报文时,同现有实现,进行丢弃处理。
参见图1,图1为本申请实施例中HTTP报文处理流程示意图。具体步骤为:
步骤101,接入设备接收到HTTP报文。
步骤102,该接入设备若确定该HTTP报文的目的IP地址不为Portal服务器的IP地址,且不存在该HTTP报文的源IP地址对应的允许转发表项,则确定是否存在该HTTP报文的目的IP地址和源IP地址对应的静默表项,如果是,执行步骤103;否则,执行步骤104。
步骤103,该接入设备丢弃该HTTP报文,结束本流程。
步骤104,该接入设备使用该HTTP报文进行Portal认证,并根据该HTTP报文的目的IP地址和源IP地址下发静默表项。
当认证成功时,该接入设备下发该HTTP报文的源IP地址对应的允许转发表项,并删除该HTTP报文的源IP地址对应的静默表项。
下面结合附图,详细说明本申请具体实施例中如下实现HTTP报文的处理流程。
参见图2,图2为本申请具体实施例中接入设备处理HTTP报文的流程示意图。具体步骤为:
步骤201,接入设备接收到HTTP报文。
步骤202,该接入设备确定该HTTP报文的目的IP地址是否为Portal服务器的IP地址,如果是,执行步骤203;否则,执行步骤204。
本步骤中确定该HTTP报文的目的IP地址是否为Portal服务器的IP地址,即确定该HTTP报文是否是发往Portal服务器的。
步骤203,该接入设备将该HTTP报文发送给Portal服务器,执行步骤211。
步骤204,该接入设备确定是否存在该HTTP报文的源IP地址对应的允许转发表项,如果是,执行步骤205;否则,执行步骤206。
步骤205,该接入设备根据该HTTP报文的目的IP地址将该HTTP报文转发,执行步骤211。
到此,本申请具体实施例的实现同现有实现,在确定不存在该HTTP报文的源IP地址对应的允许转发表项时,现有实现则使用该HTTP报文进行Portal认证,而本申请的具体实现时引入了静默表项,因此,在确定不存在该HTTP报文的源IP地址对应的允许转发表项时,执行步骤206。
步骤206,该接入设备确定是否存在该HTTP报文的源IP地址和目的IP地址对应的静默表项,如果是,执行步骤207;否则,执行步骤208。
步骤207,该接入设备丢弃该HTTP报文,执行步骤211。
步骤208,该接入设备使用该HTTP报文进行Portal认证,并根据该HTTP报文的源IP地址和目的IP地址下发静默表项。
本申请具体实施例中根据该HTTP报文的源IP地址和目的IP地址下发的静默表项,用来防止未进行Portal认证的终端发送的HTTP报文对应接入设备的攻击。
假设当前接收到的HTTP报文的源IP地址为10.1.1.2,目的IP地址为20.1.1.2,则针对该HTTP报文下发的静默表项参见表1。
| 源IP地址 | 目的IP地址 | 老化时间 |
| 10.1.1.2 | 20.1.1.2 | 0.9T |
表1
表1中,还为该条静默表项分配了老化时间。当老化时间到时,删除该静默表项。
在具体实现时,考虑到如果我们用一个固定的静默时间T,在同时大量用户发起http攻击报文,接入设备CPU会同时下发很多静默表项,静默时间都是T,等T周期过去后又会同时受到很多http攻击,再次触发大量静默表项的建立,这样CPU会长期处于一种周期性的繁忙状态。本申请具体实施例中对老化时间T进行优化处理。
接入设备配置一个静默表项的最大老化时间T,在0到T之间随机选择一个数值为当前下发的静默表项分配老化时间,其中,T大于0。这样可以很好的错开大量的静默表项的老化周期,把CPU的压力均匀分担至整个周期T内,起到更好的保护接入CPU的作用。
步骤209,该接入设备确定Portal认证是否成功,如果是,执行步骤210;否则,执行步骤211。
步骤210,该接入设备下发该HTTP报文的源IP地址对应的允许转发表项,并删除该HTTP报文的源IP地址对应的静默表项。
假设接入设备当前下发并存储的静默表包含的内容参见表2。
| 源IP地址 | 目的IP地址 | 老化时间 |
| 10.1.1.2 | 20.1.1.2 | 0.9T |
| 10.1.1.2 | 30.1.1.2 | 0.8T |
| 10.1.1.3 | 40.1.1.1 | 0.5T |
表2
本步骤中该接入设备下发该HTTP报文的源IP地址(10.1.1.2)对应的允许转发表项后,需要在静默表中查找是否存在该源IP地址对应的静默表项。
由表2可见,存在两条该源IP地址(10.1.1.2)对应的静默表项,则将这两条静默表项删除。经过删除处理后,该接入设备当前存储的静默表包含的内容参见表3。
| 源IP地址 | 目的IP地址 | 老化时间 |
| 10.1.1.3 | 40.1.1.1 | 0.5T |
表3
步骤211,结束本流程。
图2中给出的是本申请提供的一个较佳实施例,在具体实施时,也可以在该接入设备确定该HTTP报文的目的IP地址不为Portal服务器的IP地址时,先执行步骤206中的确定是否存在与该HTTP报文的源IP地址和目的IP地址对应的静默表项,如果是,丢弃该HTTP报文;否则,再执行步骤204中的确定是否存在该HTTP报文的源IP地址对应的允许转发表项。
当该接入设备确定存在该HTTP报文的源IP地址对应的允许转发表项时,执行步骤205;否则,执行步骤208。
由于本申请具体实现时,对于同一终端其IP地址对应的静默表项和允许转发表项不可能同时存在,因此先确定是否存在对应的静默表项,还是先确定是否存在对应的允许转发表项,都不影响本申请的处理结果。
基于同样的发明构思,本申请还提出一种报文处理装置,应用于Portal认证网络中的接入设备上。参见图3,图3为本申请具体实施例中应用于上述技术的装置结构示意图。该装置包括:接收单元301、确定单元302、处理单元303和生成单元304。
接收单元301,用于接收超文本传输协议HTTP报文
确定单元302,用于当接收单元301接收到HTTP报文时,若确定该HTTP报文的目的因特网协议IP地址不为Portal服务器的IP地址,且不存在该HTTP报文的源IP地址对应的允许转发表项,则确定生成单元304中是否存在该HTTP报文的目的IP地址和源IP地址对应的静默表项;
处理单元303,用于当确定单元302确定存在该HTTP报文的目的IP地址和源IP地址对应的静默表项时,丢弃该HTTP报文;否则,使用该HTTP报文进行Portal认证;
生成单元304,用于当确定单元302确定不存在该HTTP报文的目的IP地址和源IP地址对应的静默表项时,根据该HTTP报文的目的IP地址和源IP地址下发静默表项。
较佳地,
生成单元304,进一步用于当处理单元303确定认证成功时,下发该HTTP报文的源IP地址对应的允许转发表项,并删除该HTTP报文的源IP地址对应的静默表项。
较佳地,
生成单元304,进一步用于在下发静默表项时,为该静默表项下发老化时间;当老化时间到时,删除该静默表项。
较佳地,
生成单元304为该静默表项下发的老化时间为,在0到T之间随机选择的一个数值,其中,T大于0。
上述实施例的单元可以集成于一体,也可以分离部署;可以合并为一个单元,也可以进一步拆分成多个子单元。
综上所述,本申请具体实施例中在接收到目的IP地址不为Portal服务器的IP地址,且源IP地址未通过Portal认证的HTTP报文时,若存在该HTTP报文对应的静默表项时,直接丢弃该HTTP报文;否则,使用该HTTP报文进行Portal认证,并根据该HTTP报文的源IP地址和目的IP地址下发静默表项,能够保护接入设备的CPU免受大量HTTP报文的攻击
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (8)
1.一种超文本传输协议HTTP报文处理方法,应用于入口Portal认证网络中的接入设备上,其特征在于,所述方法包括:
该接入设备接收到HTTP报文时,若确定该HTTP报文的目的因特网协议IP地址不为Portal服务器的IP地址,且不存在该HTTP报文的源IP地址对应的允许转发表项,则确定是否存在该HTTP报文的目的IP地址和源IP地址对应的静默表项,如果是,丢弃该HTTP报文;否则,使用该HTTP报文进行Portal认证,并根据该HTTP报文的目的IP地址和源IP地址下发静默表项。
2.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:
当确定认证成功时,该接入设备下发该HTTP报文的源IP地址对应的允许转发表项,并删除该HTTP报文的源IP地址对应的静默表项。
3.根据权利要求1或2所述的方法,其特征在于,所述方法进一步包括:
该接入设备在下发静默表项时,为该静默表项下发老化时间;
当老化时间到时,删除该静默表项。
4.根据权利要求3所述的方法,其特征在于,
该接入设备为该静默表项下发的老化时间为,在0到T之间随机选择一个数值,其中,T大于0。
5.一种超文本传输协议HTTP报文处理装置,应用于入口Portal认证网络中的接入设备上,其特征在于,所述装置包括:接收单元、确定单元、处理单元和生成单元;
所述接收单元,用于接收HTTP报文
所述确定单元,用于当所述接收单元接收到HTTP报文时,若确定该HTTP报文的目的因特网协议IP地址不为Portal服务器的IP地址,且不存在该HTTP报文的源IP地址对应的允许转发表项,则确定所述生成单元中是否存在该HTTP报文的目的IP地址和源IP地址对应的静默表项;
所述处理单元,用于当所述确定单元确定存在该HTTP报文的目的IP地址和源IP地址对应的静默表项时,丢弃该HTTP报文;否则,使用该HTTP报文进行Portal认证;
所述生成单元,用于当所述确定单元确定不存在该HTTP报文的目的IP地址和源IP地址对应的静默表项时,根据该HTTP报文的目的IP地址和源IP地址下发静默表项。
6.根据权利要求5所述的装置,其特征在于,
所述生成单元,进一步用于当所述处理单元确定认证成功时,下发该HTTP报文的源IP地址对应的允许转发表项,并删除该HTTP报文的源IP地址对应的静默表项。
7.根据权利要求5或6所述的装置,其特征在于,
所述生成单元,进一步用于在下发静默表项时,为该静默表项下发老化时间;当老化时间到时,删除该静默表项。
8.根据权利要求7所述的装置,其特征在于,
所述生成单元为该静默表项下发的老化时间为,在0到T之间随机选择的一个数值,其中,T大于0。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410519945.4A CN104270364B (zh) | 2014-09-30 | 2014-09-30 | 一种超文本传输协议报文处理方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410519945.4A CN104270364B (zh) | 2014-09-30 | 2014-09-30 | 一种超文本传输协议报文处理方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104270364A true CN104270364A (zh) | 2015-01-07 |
| CN104270364B CN104270364B (zh) | 2018-01-12 |
Family
ID=52161854
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410519945.4A Active CN104270364B (zh) | 2014-09-30 | 2014-09-30 | 一种超文本传输协议报文处理方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104270364B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108243115A (zh) * | 2016-12-26 | 2018-07-03 | 新华三技术有限公司 | 报文处理方法及装置 |
| CN110572407A (zh) * | 2019-09-16 | 2019-12-13 | 杭州迪普科技股份有限公司 | 报文处理方法和装置 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1538706A (zh) * | 2003-10-23 | 2004-10-20 | 港湾网络有限公司 | 一种用于web认证的http重定向方法 |
| CN1874303A (zh) * | 2006-03-04 | 2006-12-06 | 华为技术有限公司 | 一种黑名单实现的方法 |
| CN101179515A (zh) * | 2007-12-24 | 2008-05-14 | 杭州华三通信技术有限公司 | 一种抑制黑洞路由的方法和装置 |
| CN101188612A (zh) * | 2007-12-10 | 2008-05-28 | 中兴通讯股份有限公司 | 一种黑名单实时管理的方法及其装置 |
| CN101227467A (zh) * | 2008-01-08 | 2008-07-23 | 中兴通讯股份有限公司 | 黑名单管理方法和装置 |
| CN101873329A (zh) * | 2010-06-29 | 2010-10-27 | 迈普通信技术股份有限公司 | 一种Portal强制认证方法以及接入设备 |
| CN102624729A (zh) * | 2012-03-12 | 2012-08-01 | 北京星网锐捷网络技术有限公司 | 一种web认证的方法、装置及系统 |
| CN102916949A (zh) * | 2012-10-11 | 2013-02-06 | 北京东土科技股份有限公司 | 一种Web认证方法及装置 |
| WO2013039278A1 (ko) * | 2011-09-16 | 2013-03-21 | 주식회사 케이티 | AC와 AP의 연동 기반의 WiFi 로밍에서의 웹 리다이렉트 인증 방법 및 장치 |
| CN103442358A (zh) * | 2013-08-30 | 2013-12-11 | 杭州华三通信技术有限公司 | 一种集中认证本地转发的方法及控制装置 |
-
2014
- 2014-09-30 CN CN201410519945.4A patent/CN104270364B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1538706A (zh) * | 2003-10-23 | 2004-10-20 | 港湾网络有限公司 | 一种用于web认证的http重定向方法 |
| CN1874303A (zh) * | 2006-03-04 | 2006-12-06 | 华为技术有限公司 | 一种黑名单实现的方法 |
| CN101188612A (zh) * | 2007-12-10 | 2008-05-28 | 中兴通讯股份有限公司 | 一种黑名单实时管理的方法及其装置 |
| CN101179515A (zh) * | 2007-12-24 | 2008-05-14 | 杭州华三通信技术有限公司 | 一种抑制黑洞路由的方法和装置 |
| CN101227467A (zh) * | 2008-01-08 | 2008-07-23 | 中兴通讯股份有限公司 | 黑名单管理方法和装置 |
| CN101873329A (zh) * | 2010-06-29 | 2010-10-27 | 迈普通信技术股份有限公司 | 一种Portal强制认证方法以及接入设备 |
| WO2013039278A1 (ko) * | 2011-09-16 | 2013-03-21 | 주식회사 케이티 | AC와 AP의 연동 기반의 WiFi 로밍에서의 웹 리다이렉트 인증 방법 및 장치 |
| CN102624729A (zh) * | 2012-03-12 | 2012-08-01 | 北京星网锐捷网络技术有限公司 | 一种web认证的方法、装置及系统 |
| CN102916949A (zh) * | 2012-10-11 | 2013-02-06 | 北京东土科技股份有限公司 | 一种Web认证方法及装置 |
| CN103442358A (zh) * | 2013-08-30 | 2013-12-11 | 杭州华三通信技术有限公司 | 一种集中认证本地转发的方法及控制装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108243115A (zh) * | 2016-12-26 | 2018-07-03 | 新华三技术有限公司 | 报文处理方法及装置 |
| WO2018121528A1 (zh) * | 2016-12-26 | 2018-07-05 | 新华三技术有限公司 | 报文处理 |
| US10992584B2 (en) | 2016-12-26 | 2021-04-27 | New H3C Technologies Co., Ltd. | Processing packet |
| CN108243115B (zh) * | 2016-12-26 | 2021-06-29 | 新华三技术有限公司 | 报文处理方法及装置 |
| CN110572407A (zh) * | 2019-09-16 | 2019-12-13 | 杭州迪普科技股份有限公司 | 报文处理方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104270364B (zh) | 2018-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104184832B (zh) | 网络应用中的数据提交方法及装置 | |
| CN103024740B (zh) | 移动终端访问互联网的方法及系统 | |
| CN102394880B (zh) | 内容分发网络中的跳转响应处理方法和设备 | |
| CN102143177B (zh) | 一种Portal认证方法、装置、设备及系统 | |
| CN103905497A (zh) | 实现第三方应用业务网站登录的方法、装置及应用平台 | |
| RU2013143020A (ru) | Система связи, база данных, устройство управления, способ связи и программа | |
| CN104539721A (zh) | 一种联系人信息的管理方法、装置及终端 | |
| CN104580177B (zh) | 资源提供方法、装置和系统 | |
| CN102624687A (zh) | 基于移动终端的联网程序用户验证方法 | |
| MY184724A (en) | Method and system for conducting resource transfer using a social networking application | |
| CN101217512B (zh) | 客户端状态维护方法、系统及应用服务器 | |
| CN105956143A (zh) | 数据库访问方法及数据库代理节点 | |
| CN107239308A (zh) | 一种浏览器的调用功能实现方法及系统 | |
| CN103701779A (zh) | 一种二次访问网站的方法、装置及防火墙设备 | |
| CN104618388A (zh) | 快速注册登录方法及对应的重置服务器、信息服务器 | |
| CN101557403A (zh) | 一种登录网站的方法、装置和系统 | |
| CN104270364A (zh) | 一种超文本传输协议报文处理方法和装置 | |
| CN103986793B (zh) | 一种提升Portal认证用户IP地址使用效率的方法及系统 | |
| JP6074550B2 (ja) | ウェブページプッシュ方法及び装置、並びに端末 | |
| CN107087011B (zh) | 一种远程访问的实现方法、装置和系统 | |
| CN105656768B (zh) | 一种提高Alljoyn网关的资源利用率的方法和Alljoyn网关 | |
| US10666614B2 (en) | Multicast security control method and device based on DNS | |
| CN103428171A (zh) | 一种session的处理方法、应用服务器及系统 | |
| CN103533001A (zh) | 基于http多重代理的通信方法和系统、中间代理服务器 | |
| CN103051722A (zh) | 一种确定页面是否被劫持的方法及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |