CN105939325A - Tcp旁路阻断的方法及装置 - Google Patents

Tcp旁路阻断的方法及装置 Download PDF

Info

Publication number
CN105939325A
CN105939325A CN201610018371.1A CN201610018371A CN105939325A CN 105939325 A CN105939325 A CN 105939325A CN 201610018371 A CN201610018371 A CN 201610018371A CN 105939325 A CN105939325 A CN 105939325A
Authority
CN
China
Prior art keywords
message
rst
value
client
service end
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610018371.1A
Other languages
English (en)
Inventor
朱梁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN201610018371.1A priority Critical patent/CN105939325A/zh
Publication of CN105939325A publication Critical patent/CN105939325A/zh
Priority to US15/403,037 priority patent/US10348750B2/en
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/143Termination or inactivation of sessions, e.g. event-controlled end of session
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本申请提供一种传输控制协议TCP旁路阻断的方法及装置,所述方法包括:基于获取到的客户端与服务端之间传输的TCP握手报文获得协商最大分段长度MSS值;当监听到可疑报文时,根据所述可疑报文以及所述协商MSS值构造复位连接RST报文;分别向客户端和服务端发送所述RST报文以阻断所述可疑报文;当所述可疑报文为所述客户端发出的报文时,向所述客户端发送的所述RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文;当所述可疑报文为所述服务端发出的报文时,向所述服务端发出的RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文。本申请中,由于可以分别向客户端和服务端发送多个RST报文,因此,可以解决现有技术阻断成功率低的问题。

Description

TCP旁路阻断的方法及装置
技术领域
本申请涉及通信技术领域,特别涉及一种TCP(Transmission Control Protocol,传输控制协议)旁路阻断的方法及装置。
背景技术
在相关技术中,服务端与客户端之间建立TCP连接之后,可以在服务端和客户端之间部署监听设备。当监听设备监听到可疑报文时,可以向客户端或服务端发送构造的阻断报文——RST(Reset,复位重连)报文。当客户端或服务端接收到构造的RST报文后,会将已经建立的TCP连接断开,从而达到阻断可疑报文攻击的目的。
现有技术中,监听设备在监听到可疑报文时,会向客户端或者服务端发送构造的RST报文。由于RST报文很有可能晚于可疑报文发送至客户端或服务端,因此,客户端或服务端在接收到所述RST报文后,会因为它是“过时”的报文而不对其进行处理。因此,所述RST报文无法达到阻断可疑报文攻击的目的。故现有技术的阻断成功率低。
发明内容
有鉴于此,本申请提供一种TCP旁路阻断的方法及装置,来解决现有技术旁路阻断成功率低的问题。
具体地,本申请是通过如下技术方案实现的:
根据本申请实施例的第一方面,提供一种TCP旁路阻断的方法,所述方法应用于深度包检测DPI设备上,所述DPI设备在客户端与服务端之间,所述方法包括:
基于获取到的客户端与服务端之间传输的TCP握手报文获得协商最大分段长度MSS值;
当监听到可疑报文时,根据所述可疑报文以及所述协商MSS值构造复位连接RST报文;
分别向客户端和服务端发送所述RST报文以阻断所述可疑报文;
当所述可疑报文为所述客户端发出的报文时,向所述客户端发送的所述RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文;当所述可疑报文为所述服务端发出的报文时,向所述服务端发出的RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文。
根据本申请实施例的第二方面,提供一种TCP旁路阻断的装置,所述装置应用于深度包检测DPI设备上,所述DPI设备在客户端与服务端之间,所述装置包括:
获取单元,用于基于获取到的客户端与服务端之间传输的TCP握手报文获得协商最大分段长度MSS值;
构造单元,用于当监听到可疑报文时,根据所述可疑报文以及所述协商MSS值构造复位连接RST报文;
阻断单元,用于分别向客户端和服务端发送所述RST报文以阻断所述可疑报文;
发送单元,用于当所述可疑报文为所述客户端发出的报文时,向所述客户端发送的所述RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文;当所述可疑报文为所述服务端发出的报文时,向所述服务端发出的RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文。
本申请提供TCP旁路阻断的方法及装置,获取到客户端和服务端之间传输的TCP握手报文后,可以从获取到的所述报文中获得协商MSS值。当监听到可疑报文时,可以根据所述协商MSS值和所述可疑报文构造RST报文,然后可以分别向客户端和服务端发送所述RST报文以阻断所述可疑报文。本申请中,由于可以分别向客户端和服务端发送多个RST报文,因此,可以解决现有技术阻断成功率低的问题。
附图说明
图1是应用本申请实施例实现TCP旁路阻断的一个应用场景图;
图2是本申请TCP旁路阻断的方法的一个实施例流程图;
图3是本申请TCP旁路阻断的装置所在设备的一种硬件结构图;
图4是本申请TCP旁路阻断的装置的一个实施例框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
参见图1,为应用本申请实施例实现TCP旁路阻断的一个应用场景图。其中,DPI(Deep Packet Inspection,深度包检测)设备与客户端和服务端相连,且位于客户端和服务端之间。所述DPI设备可以为一个旁路监听设备。当监听到客户端与服务端之间传输的可疑报文时,所述DPI设备可以构造阻断报文——RST报文,然后将构造的RST报文发送至客户端或服务端,从而达到阻断可疑报文攻击的目的。
现有技术中,所述DPI设备监听到可疑报文后,会向客户端或者服务端发送RST报文。但是由于所述RST报文很有可能晚于可疑报文发送至客户端或服务端,因此所述客户端或服务端在接收到所述RST报文后,会因为它是“过时”的报文而不对其进行处理。因此,所述RST报文无法达到阻断可疑报文攻击的目的。故现有技术的阻断成功率低。
在本申请中,客户端和服务端建立TCP连接时,所述DPI设备可以从客户端和服务端的握手报文中获取协商MSS值。当发现客户端与服务端之间传输的可疑报文时,所述DPI设备可以根据所述可疑报文和所述协商MSS值构造RST报文。所述RST报文构造成功后,所述DPI设备可以向客户端和服务端发送所述RST报文以阻断所述可疑报文。采用本申请,可以增大RST报文“不过时”的概率,从而达到提高阻断成功率的目的。
参见图2,为本申请TCP旁路阻断的方法的一个实施例流程图,该实施例应用于DPI设备上,包括了以下步骤:
步骤201:基于获取到的客户端与服务端之间传输的TCP握手报文获得协商最大分段长度MSS值。
当客户端与服务端之间建立TCP连接时,所述DPI设备可以基于获取到的客户端与服务端之间传输的TCP握手报文获得协商MSS值。所述DPI设备可以在客户端与服务端进行三次握手时,监听所述握手报文。所述DPI设备可以从监听到的客户端发送至服务端的第一次握手报文SYN报文中获取第一MSS值,从监听到的服务端发送至客户端的第二次握手报文ACK报文中获取第二MSS值,然后所述DPI设备可以将第一MSS值和第二MSS值中较小或者较大的MSS值作为协商MSS值。
在一个示例中,假设所述DPI设备从所述第一次握手报文中获取的第一MSS值为1400,从所述第二次握手报文中获取的第二MSS值为1200。然后,所述DPI设备可以将所述第一MSS值与所述第二MSS值做比较,选择两者中较小或较大的那个作为协商MSS值。因此,所述DPI设备可以选择1200或1400作为协商MSS值。
获取到协商MSS值后,所述DPI设备可以将所述协商MSS值存储到会话表中。所述会话表可以位于所述DPI设备上。所述会话表可以包含报文的五元组信息以及对应的协商MSS值。
在一个示例中,假设所述会话表可以如下表1所示(表1仅展示出部分所述会话表的信息):
源IP地址 目的IP地址 源端口 目的端口 协议 协商MSS值
1.1.1.2 3.2.1.4 30 50 TCP 1200
1.2.1.2 2.2.4.1 20 60 TCP 1000
1.2.3.5 3.2.1.5 15 75 TCP 1400
表1
步骤202:当监听到可疑报文时,根据所述可疑报文以及所述协商MSS值构造复位连接RST报文。
客户端和服务端建立TCP连接后,所述DPI设备可以监听客户端和服务端之间传输的数据报文。当DPI设备监听到可疑报文时,可以根据所述可疑报文以及所述协商MSS值构造RST报文,所述RST报文可以用于阻断所述可疑报文。
在一个示例中,当客户端或服务端接收到RST报文时,可以先检查所述RST报文的ACK位。当所述RST报文的ACK位不为0时,客户端或者服务端需要继续检查所述RST报文的ACK_SEQ值;当所述RST报文的ACK位为0时,客户端或者服务端在检查了所述RST报文的ACK位之后,可以不再检查所述RST报文的ACK_SEQ值。
由上述示例可知,在构造所述RST报文时,可以将所述RST报文的ACK位置0。由于所述RST报文可以用于阻断所述可疑报文,因此可以将所述RST报文的RST位置1。
然后,可以根据所述可疑报文以及所述协商MSS值分别构造向所述客户端以及所述服务端发送的RST报文。
所述RST报文可以具体分为两种:源方向RST报文和目的方向RST报文。其中,源方向RST报文为报文接收端与可疑报文接收端相同的RST报文,例如,当客户端向服务端发送可疑报文时,由DPI设备发送至服务端的RST报文可以称为源方向RST报文;目的方向RST报文为报文接收端与可疑报文接收端不同的RST报文,例如,当客户端向服务端发送可疑报文时,由DPI设备发送至客户端的RST报文可以称为目的方向RST报文。所述源方向RST报文与目的方向RST报文的构造过程略有不同,下面将分别进行介绍:
当所述可疑报文的接收端与需要构造的RST报文的接收端相同时,可以根据所述可疑报文以及所述协商MSS值构造源方向RST报文。构造所述源方向RST报文时,可以首先将所述源方向RST报文的ACK位置0,RST位置1。然后,可以将所述源方向RST报文的数据序号SEQ值设置为与所述可疑报文的ACK_SEQ值相等。所述源方向RST报文的以上部分设置完成后,可以将其他部分设置为与所述可疑报文相同。
当所述可疑报文的接收端与需要构造的RST报文的接收端不同时,可以根据所述可疑报文以及所述协商MSS值构造目的方向RST报文,其中,目的方向RST报文可以包括数据序号SEQ值依次递增至少一个所述协商MSS值的多个RST报文。构造所述目的方向RST报文时,可以先将所述目的方向RST报文的所有RST报文的ACK位都置0,RST位都置1。然后,可以将所述目的方向RST报文的第一个RST报文的SEQ值设置为所述可疑报文的ACK_SEQ值与所述可疑报文的TCP负载长度值之和;可以将所述目的方向RST报文的第二个RST报文设置为所述目的方向RST报文的第一个RST报文的SEQ值与至少一个所述协商MSS值之和;可以将所述目的方向RST报文的第三个RST报文设置为所述目的方向RST报文的第二个RST报文的SEQ值与至少一个所述协商MSS值之和,以此类推,所述目的方向RST报文的每个RST报文的SEQ值都比其前一个RST报文至少多一个所述协商MSS值。所述目的方向RST报文的所有RST报文的SEQ值设置完成后,可以将所有RST报文的其他部分设置为与所述可疑报文相同。
当然,所述目的方向RST报文的每个RST报文的SEQ值可以是线性递增的。
在一个优化的示例中,所述目的方向RST报文的每个RST报文的SEQ值可以线性递增一个所述协商MSS值。
由上述过程可知,在一个示例中,当所述可疑报文为所述客户端发出的报文时,可以向所述客户端发送的RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文,以及可以向所述服务端发送的RST报文的SEQ值与所述可疑报文的ACK_SEQ值相同。
在另一个示例中,当所述可疑报文为所述服务端发出的报文时,可以向所述客户端发送的RST报文的SEQ值与所述可疑报文的ACK_SEQ值相同,以及可以向所述服务端发送的RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文。
步骤203:分别向客户端和服务端发送所述RST报文以阻断所述可疑报文。
步骤204:当所述可疑报文为所述客户端发出的报文时,向所述客户端发送的所述RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文;当所述可疑报文为所述服务端发出的报文时,向所述服务端发出的RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文。
根据所述可疑报文以及所述协商MSS值构造RST报文之后,可以分别向客户端和服务端发送所述RST文以阻断所述可疑报文。
其中,当所述可疑报文为正向报文时,可以分别向客户端和服务端发送第一目的方向RST报文和第一源方向RST报文,其中,所述正向报文为客户端发送至服务端的报文。
当所述可疑报文为反向报文时,可以分别向客户端和服务端发送第二源方向RST报文和第二目的方向RST报文,其中,所述反向报文为服务端发送至客户端的报文,所述第二目的方向RST报文的RST报文数量可以多于第一目的方向RST报文的RST报文数量。
在一个示例中,根据工程经验值,所述第一目的方向RST报文可以包括3个RST报文,且每个RST报文的SEQ值都比其前一个RST报文至少多一个所述协商MSS值;所述第二目的方向RST报文可以包括5个RST报文,且每个RST报文的SEQ值都比其前一个RST报文至少多一个所述协商MSS值。
本申请提供TCP旁路阻断的方法及装置,获取到客户端和服务端之间传输的TCP握手报文后,可以从获取到的所述报文中获得协商MSS值。当监听到可疑报文时,可以根据所述协商MSS值和所述可疑报文构造RST报文,然后可以分别向客户端和服务端发送所述RST报文以阻断所述可疑报文。本申请中,因为可以分别向客户端和服务端发送多个RST报文,因此,可以解决现有技术阻断成功率低的问题。
下面通过具体实施例对以上实施例进行详细说明:
当客户端和服务端之间建立TCP连接时,DPI设备可以根据客户端发送至服务端的SYN报文获取第一MSS值,然后可以根据服务端发送至客户端的ACK报文获取第二MSS值。获取到第一MSS值和第二MSS值后,所述DPI设备可以选择两者中较大或者较小的那个作为协商MSS值。
DPI设备确定协商MSS值后,可以将所述协商MSS值存储到其上预设的会话表中。当需要使用所述协商MSS值时,可以从所述会话表中获取。关于所述会话表的具体信息可以见上表1。
当监听到可疑报文时,可以先根据所述可疑报文的报文信息,如五元组信息等,从上述会话表中获得对应的协商MSS值。
获取到协商MSS值后,所述DPI设备可以根据所述可疑报文和所述协商MSS值构造RST报文以阻断所述可疑报文。
下面详细介绍所述RST报文的构造过程:
RST报文可以包括源方向RST报文和目的方向RST报文。其中,源方向RST报文可以是报文接收端与所述可疑报文接收端相同的RST报文;目的方向RST报文可以是报文接收端与所述可疑报文接收端不同的RST报文。需要说明的是,目的方向RST报文可以包括数据序号SEQ值依次递增至少一个所述协商MSS值的多个RST报文。
在构造源方向RST报文时,为了使所述源方向RST报文可以较快地被客户端或服务端识别并发挥其阻断可疑报文的作用,所述DPI设备可以先将所述源方向RST报文的ACK为可以置0,RST位置1。然后从接收到的所述可疑报文中获取ACK_SEQ值,然后将源方向RST报文的SEQ值设置为与所述可疑报文的ACK_SEQ值相等。设置成功后,将所述源方向RST报文的其他内容保持与所述可疑报文一致。
在构造目的方向RST报文时,为了使所述目的方向RST报文可以较快地被客户端或服务端识别并发挥其阻断可疑报文的作用,所述DPI设备同样可以先将所述目的方向RST报文的ACK为可以置0,RST位置1。然后可以从接收到的所述可疑报文中获取ACK_SEQ值,并将目的方向RST报文的第一个RST报文的SEQ值设置为与所述可疑报文的ACK_SEQ值和所述可疑报文的TCP负载长度之和相等。设置成功后,可以将所述目的方向RST报文的第一个RST报文的其他内容保持与所述可疑报文一致。
在将所述目的方向RST报文的第一个RST报文设置成功后,可以设置所述目的RST报文的第二个RST报文。所述DPI设备可以将目的方向RST报文的第二个RST报文的SEQ值设置为与目的方向RST报文的第一个RST报文的SEQ值与至少一个所述协商MSS值之和相等。设置成功后,所述目的方向RST报文的第二个RST报文的ACK为可以置0,然后将其他内容保持与所述可疑报文一致。在将所述目的方向RST报文的第二个RST报文设置成功后,可以设置所述目的RST报文的第三个RST报文。同样地,所述目的RST报文的第三个RST报文的SEQ值比所述目的RST报文的第二个RST报文的SEQ值增加了至少一个所述协商MSS值,其余内容可以与所述目的RST报文的第二个RST报文保持一致。
需要说明的是,所述目的方向RST报文的每个RST报文的SEQ值可以是线性递增的。当所述目的方向RST报文的每个RST报文的SEQ值线性递增一个所述协商MSS值时,可以视为一个优化的示例。
所述目的报文的RST报文可以包括多个RST报文,例如,可以包括3个。
RST报文构造完成后,可以分别向客户端和服务端发送所述RST报文以阻断所述可疑报文。但是,由于所述可疑报文可以包括正向报文和反向报文,因此,所述RST报文在发送时可以根据可疑报文的具体情况而有所改变。
在一个示例中,所述可疑报文可以为由客户端发送至服务端的正向报文。此时,DPI设备在构造了RST报文后,可以向客户端发送第一目的方向RST报文,向服务端发送第一源方向RST报文。其中,根据工程经验值,第一源方向RST报文可以包括3个RST报文。
在另一个示例中,所述可疑报文可以为由服务端发送至客户端的反向报文。此时,DPI设备在构造了RST报文后,可以向客户端发送第二目的方向RST报文,向服务端发送第二源方向RST报文。其中,第二源方向RST报文的RST报文数量可以比第一源方向RST报文多,例如,根据工程经验值,第二源方向RST报文可以包括5个RST报文。
本申请提供TCP旁路阻断的方法及装置,获取到客户端和服务端之间传输的TCP握手报文后,可以从获取到的所述报文中获得协商MSS值。当监听到可疑报文时,可以根据所述协商MSS值和所述可疑报文构造RST报文,然后可以分别向客户端和服务端发送所述RST报文以阻断所述可疑报文。本申请中,因为可以分别向客户端和服务端发送多个RST报文,因此,可以解决现有技术阻断成功率低的问题。
与前述TCP旁路阻断的方法的实施例相对应,本申请还提供了TCP旁路阻断的装置的实施例。
本申请TCP旁路阻断的装置的实施例可以应用在DPI设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理端将非易失性存储端中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图3所示,为本申请TCP旁路阻断的装置所在设备的一种硬件结构图,除了图3所示的处理端、内存、网络接口、以及非易失性存储端之外,实施例中装置所在的设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。
请参考图4,为本申请TCP旁路阻断的装置的一个实施例框图:
该装置可以包括:获取单元410、构造单元420、阻断单元430以及发送单元440。
获取单元410,用于基于获取到的客户端与服务端之间传输的TCP握手报文获得协商最大分段长度MSS值;
构造单元420,用于当监听到可疑报文时,根据所述可疑报文以及所述协商MSS值构造复位连接RST报文;
阻断单元430,用于分别向客户端和服务端发送所述RST报文以阻断所述可疑报文;
发送单元440,用于当所述可疑报文为所述客户端发出的报文时,向所述客户端发送的所述RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文;当所述可疑报文为所述服务端发出的报文时,向所述服务端发出的RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文。
在一个可选的实现方式中,所述获取单元410可以具体用于:
从客户端发送至服务端的第一次握手报文SYN报文中获取第一MSS值;
从服务端发送至客户端的第二次握手报文ACK报文中获取第二MSS值;
将第一MSS值和第二MSS值中较小或者较大的MSS值作为协商MSS值。
在一个可选的实现方式中,所述RST报文的ACK位均置为0;RST位均置为1;
所述构造单元420可以具体用于:
根据所述可疑报文以及所述协商MSS值分别构造向所述客户端以及所述服务端发送的RST报文;
其中,当所述可疑报文为所述客户端发出的报文时,向所述客户端发送的RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文;向所述服务端发送的RST报文的SEQ值与所述可疑报文的ACK_SEQ值相同;
当所述可疑报文为所述服务端发出的报文时,向所述客户端发送的RST报文的SEQ值与所述可疑报文的ACK_SEQ值相同;向所述服务端发送的RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文。
在一个可选的实现方式中,所述阻断单元430可以具体用于:
当所述可疑报文为所述客户端发出的报文时,将构造完成的SEQ值依次递增至少一个所述协商MSS值的多个RST报文依次发送至所述客户端,以及将构造完成的SEQ值与所述可疑报文相同的RST报文发送至所述服务端;
当所述可疑报文为所述服务端发出的报文时,将构造完成的SEQ值依次递增至少一个所述协商MSS值的多个RST报文依次发送至所述服务端,以及将构造完成的SEQ值与所述可疑报文相同的RST报文发送至所述客户端。
在一个可选的实现方式中,当发送的RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文时,所述多个RST报文的SEQ值线性递增。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本申请提供TCP旁路阻断的方法及装置,获取到客户端和服务端之间传输的TCP握手报文后,可以从获取到的所述报文中获得协商MSS值。当监听到可疑报文时,可以根据所述协商MSS值和所述可疑报文构造RST报文,然后可以分别向客户端和服务端发送所述RST报文以阻断所述可疑报文。本申请中,因为可以分别向客户端和服务端发送多个RST报文,因此,可以解决现有技术阻断成功率低的问题。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种传输控制协议TCP旁路阻断的方法,其特征在于,所述方法应用于深度包检测DPI设备上,所述DPI设备在客户端与服务端之间,所述方法包括:
基于获取到的客户端与服务端之间传输的TCP握手报文获得协商最大分段长度MSS值;
当监听到可疑报文时,根据所述可疑报文以及所述协商MSS值构造复位连接RST报文;
分别向客户端和服务端发送所述RST报文以阻断所述可疑报文;
当所述可疑报文为所述客户端发出的报文时,向所述客户端发送的所述RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文;当所述可疑报文为所述服务端发出的报文时,向所述服务端发出的RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文。
2.根据权利要求1所述的方法,其特征在于,所述基于获取到的客户端与服务端之间传输的TCP握手报文获得协商MSS值,包括:
从客户端发送至服务端的第一次握手报文SYN报文中获取第一MSS值;
从服务端发送至客户端的第二次握手报文ACK报文中获取第二MSS值;
将第一MSS值和第二MSS值中较小或者较大的MSS值作为协商MSS值。
3.根据权利要求1所述的方法,其特征在于,所述RST报文的ACK位均置为0;RST位均置为1;
所述根据所述可疑报文以及所述协商MSS值构造RST报文,包括:
根据所述可疑报文以及所述协商MSS值分别构造向所述客户端以及所述服务端发送的RST报文;
其中,当所述可疑报文为所述客户端发出的报文时,向所述客户端发送的RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文;向所述服务端发送的RST报文的SEQ值与所述可疑报文的ACK_SEQ值相同;
当所述可疑报文为所述服务端发出的报文时,向所述客户端发送的RST报文的SEQ值与所述可疑报文的ACK_SEQ值相同;向所述服务端发送的RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文。
4.根据权利要求3所述的方法,其特征在于,所述分别向客户端和服务端发送所述RST报文以阻断所述可疑报文,包括:
当所述可疑报文为所述客户端发出的报文时,将构造完成的SEQ值依次递增至少一个所述协商MSS值的多个RST报文依次发送至所述客户端,以及将构造完成的SEQ值与所述可疑报文相同的RST报文发送至所述服务端;
当所述可疑报文为所述服务端发出的报文时,将构造完成的SEQ值依次递增至少一个所述协商MSS值的多个RST报文依次发送至所述服务端,以及将构造完成的SEQ值与所述可疑报文相同的RST报文发送至所述客户端。
5.根据权利要求3所述的方法,其特征在于,当发送的RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文时,所述多个RST报文的SEQ值线性递增。
6.一种传输控制协议TCP旁路阻断的装置,其特征在于,所述装置应用于深度包检测DPI设备上,所述DPI设备在客户端与服务端之间,所述装置包括:
获取单元,用于基于获取到的客户端与服务端之间传输的TCP握手报文获得协商最大分段长度MSS值;
构造单元,用于当监听到可疑报文时,根据所述可疑报文以及所述协商MSS值构造复位连接RST报文;
阻断单元,用于分别向客户端和服务端发送所述RST报文以阻断所述可疑报文;
发送单元,用于当所述可疑报文为所述客户端发出的报文时,向所述客户端发送的所述RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文;当所述可疑报文为所述服务端发出的报文时,向所述服务端发出的RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文。
7.根据权利要求6所述的装置,其特征在于,所述获取单元具体用于:
从客户端发送至服务端的第一次握手报文SYN报文中获取第一MSS值;
从服务端发送至客户端的第二次握手报文ACK报文中获取第二MSS值;
将第一MSS值和第二MSS值中较小或者较大的MSS值作为协商MSS值。
8.根据权利要求6所述的装置,其特征在于,所述RST报文的ACK位均置为0;RST位均置为1;
所述构造单元具体用于:
根据所述可疑报文以及所述协商MSS值分别构造向所述客户端以及所述服务端发送的RST报文;
其中,当所述可疑报文为所述客户端发出的报文时,向所述客户端发送的RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文;向所述服务端发送的RST报文的SEQ值与所述可疑报文的ACK_SEQ值相同;
当所述可疑报文为所述服务端发出的报文时,向所述客户端发送的RST报文的SEQ值与所述可疑报文的ACK_SEQ值相同;向所述服务端发送的RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文。
9.根据权利要求8所述的装置,其特征在于,所述阻断单元具体用于:
当所述可疑报文为所述客户端发出的报文时,将构造完成的SEQ值依次递增至少一个所述协商MSS值的多个RST报文依次发送至所述客户端,以及将构造完成的SEQ值与所述可疑报文相同的RST报文发送至所述服务端;
当所述可疑报文为所述服务端发出的报文时,将构造完成的SEQ值依次递增至少一个所述协商MSS值的多个RST报文依次发送至所述服务端,以及将构造完成的SEQ值与所述可疑报文相同的RST报文发送至所述客户端。
10.根据权利要求8所述的装置,其特征在于,当发送的RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文时,所述多个RST报文的SEQ值线性递增。
CN201610018371.1A 2016-01-12 2016-01-12 Tcp旁路阻断的方法及装置 Pending CN105939325A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201610018371.1A CN105939325A (zh) 2016-01-12 2016-01-12 Tcp旁路阻断的方法及装置
US15/403,037 US10348750B2 (en) 2016-01-12 2017-01-10 TCP bypass interdiction method and device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610018371.1A CN105939325A (zh) 2016-01-12 2016-01-12 Tcp旁路阻断的方法及装置

Publications (1)

Publication Number Publication Date
CN105939325A true CN105939325A (zh) 2016-09-14

Family

ID=57152953

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610018371.1A Pending CN105939325A (zh) 2016-01-12 2016-01-12 Tcp旁路阻断的方法及装置

Country Status (2)

Country Link
US (1) US10348750B2 (zh)
CN (1) CN105939325A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110049022A (zh) * 2019-03-27 2019-07-23 深圳市腾讯计算机系统有限公司 一种域名访问控制方法、装置和计算机可读存储介质
CN110691063A (zh) * 2018-07-06 2020-01-14 山东华软金盾软件股份有限公司 流镜像模式下单inbound下TCP阻断方法
CN112532610A (zh) * 2020-11-24 2021-03-19 杭州迪普科技股份有限公司 一种基于tcp分段的入侵防御检测方法及装置
CN113890769A (zh) * 2021-11-30 2022-01-04 南京开博信达科技有限公司 一种tcp阻断方法
CN115052004A (zh) * 2022-06-13 2022-09-13 北京天融信网络安全技术有限公司 网络访问旁路监控方法及电子设备

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109413058A (zh) * 2018-10-17 2019-03-01 山东渔翁信息技术股份有限公司 一种服务器与终端设备的信息通信方法、装置及相关设备
CN115022252B (zh) * 2022-05-31 2024-04-09 青岛海信移动通信技术有限公司 一种配置传输数据包最大长度的方法及设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101902440A (zh) * 2009-05-27 2010-12-01 北京启明星辰信息技术股份有限公司 一种阻断tcp连接的方法和装置
CN101986648A (zh) * 2010-11-24 2011-03-16 北京星网锐捷网络技术有限公司 一种tcp选项的协商方法、装置及网络设备

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7979694B2 (en) * 2003-03-03 2011-07-12 Cisco Technology, Inc. Using TCP to authenticate IP source addresses
US7404210B2 (en) * 2003-08-25 2008-07-22 Lucent Technologies Inc. Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs
EP1847093A1 (en) * 2005-02-04 2007-10-24 Nokia Corporation Apparatus, method and computer program product to reduce tcp flooding attacks while conserving wireless network bandwidth
CN101729513B (zh) * 2008-10-27 2014-02-19 华为数字技术(成都)有限公司 网络认证方法和装置
US9288227B2 (en) * 2012-11-28 2016-03-15 Verisign, Inc. Systems and methods for transparently monitoring network traffic for denial of service attacks

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101902440A (zh) * 2009-05-27 2010-12-01 北京启明星辰信息技术股份有限公司 一种阻断tcp连接的方法和装置
CN101986648A (zh) * 2010-11-24 2011-03-16 北京星网锐捷网络技术有限公司 一种tcp选项的协商方法、装置及网络设备

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110691063A (zh) * 2018-07-06 2020-01-14 山东华软金盾软件股份有限公司 流镜像模式下单inbound下TCP阻断方法
CN110049022A (zh) * 2019-03-27 2019-07-23 深圳市腾讯计算机系统有限公司 一种域名访问控制方法、装置和计算机可读存储介质
CN110049022B (zh) * 2019-03-27 2021-10-08 深圳市腾讯计算机系统有限公司 一种域名访问控制方法、装置和计算机可读存储介质
CN112532610A (zh) * 2020-11-24 2021-03-19 杭州迪普科技股份有限公司 一种基于tcp分段的入侵防御检测方法及装置
CN112532610B (zh) * 2020-11-24 2022-07-01 杭州迪普科技股份有限公司 一种基于tcp分段的入侵防御检测方法及装置
CN113890769A (zh) * 2021-11-30 2022-01-04 南京开博信达科技有限公司 一种tcp阻断方法
CN115052004A (zh) * 2022-06-13 2022-09-13 北京天融信网络安全技术有限公司 网络访问旁路监控方法及电子设备

Also Published As

Publication number Publication date
US10348750B2 (en) 2019-07-09
US20170201544A1 (en) 2017-07-13

Similar Documents

Publication Publication Date Title
CN105939325A (zh) Tcp旁路阻断的方法及装置
EP2018015B1 (de) Verfahren und Vorrichtung für eine anonyme verschlüsselte mobile Daten- und Sprachkommunikation
CN107948076B (zh) 一种转发报文的方法及装置
EP3145131B1 (en) Data packet processing method, service node and delivery node
CN111654406B (zh) 一种双向转发检测方法和装置
CN104185192B (zh) 一种管理设备的访问方法及相关设备
EP3135016B1 (en) Managing sequence values with added headers in computing devices
CN110324159B (zh) 链路配置方法、控制器和存储介质
US8539089B2 (en) System and method for vertical perimeter protection
US11212205B2 (en) System and method for soft failovers for proxy servers
CN110120897A (zh) 链路探测方法、装置、电子设备及机器可读存储介质
EP4094421A2 (en) Pce controlled network reliability
CN102201996B (zh) 网络地址转换环境中报文转发的方法及设备
CN102158422B (zh) 一种用于二层环网中的报文转发的方法和设备
CN111064742A (zh) 一种基于网络代理实现内网访问的方法、装置及相关设备
CN101909011B (zh) 报文传输方法、系统、客户端和代理网关
US8589570B2 (en) Dynamic handler for SIP max-size error
WO2020103423A1 (zh) 带宽测试方法及装置、存储介质
CN103067304A (zh) 报文保序的方法及装置
CN105939220A (zh) 远程端口镜像的实现方法及装置
CN105227467B (zh) 报文转发方法及装置
CN114584262B (zh) 数据传输方法和相关设备
KR102664820B1 (ko) 데이터 전송 방법 및 이를 수행하기 위한 장치
CN106921656A (zh) 多路复用传输报文的方法及装置
CN106060155A (zh) P2p资源共享的方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building

Applicant after: Hangzhou Dipu Polytron Technologies Inc

Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building

Applicant before: Hangzhou Dipu Technology Co., Ltd.

CB02 Change of applicant information
RJ01 Rejection of invention patent application after publication

Application publication date: 20160914

RJ01 Rejection of invention patent application after publication