CN106899597B - 一种跟踪路由处理方法和装置 - Google Patents
一种跟踪路由处理方法和装置 Download PDFInfo
- Publication number
- CN106899597B CN106899597B CN201710120966.2A CN201710120966A CN106899597B CN 106899597 B CN106899597 B CN 106899597B CN 201710120966 A CN201710120966 A CN 201710120966A CN 106899597 B CN106899597 B CN 106899597B
- Authority
- CN
- China
- Prior art keywords
- type
- message
- verification data
- address
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种跟踪路由处理方法和装置,该方法包括:在接收到第一类报文时,根据所述第一类报文判断是否发生特定事件;如果是,若第一类报文携带验证数据,且第一类报文携带的验证数据与本设备存储的验证数据匹配,则向源设备发送携带本设备的地址的第二类报文,以使源设备根据所述第二类报文进行跟踪路由的处理;若第一类报文携带验证数据,且所述第一类报文携带的验证数据与本设备存储的验证数据不匹配,或第一类报文未携带验证数据,丢弃所述第一类报文。通过本申请的技术方案,针对不知道验证数据的非法用户,网络设备可以确定出其非法身份,且不向非法用户返回第二类报文,从而达到维护网络安全的目的,使非法用户无法对网络设备进行攻击。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种跟踪路由处理方法和装置。
背景技术
Traceroute(跟踪路由)的工作原理是:源设备发送TTL(Time to Live,存活时间)值为1的UDP(User Datagram Protocol,用户数据报协议)报文,第一个网络设备在收到UDP报文后,将TTL值减1,若修改后的TTL值为0,则表明UDP报文无法到达目的设备,丢弃UDP报文,向源设备发送ICMP(Internet Control Message Protocol,Internet控制报文协议)超时报文,该ICMP超时报文携带第一个网络设备的IP地址,源设备在收到ICMP超时报文后,记录第一个网络设备的IP地址,发送TTL值为2的UDP报文。第一个网络设备在收到UDP报文后,将TTL值减1,若修改后的TTL值不为0,则将UDP报文转发给第二个网络设备,第二个网络设备在收到UDP报文后,将TTL值减1,若修改后的TTL值为0,则表明UDP报文无法到达目的设备,丢弃UDP报文,向源设备发送ICMP超时报文,该ICMP超时报文携带第二个网络设备的IP地址,源设备在收到ICMP超时报文后,记录第二个网络设备的IP地址,并发送TTL值为3的UDP报文。以此类推,直到源设备发送的UDP报文可以到达目的设备,这样,源设备就可以记录源设备与目的设备之间的各网络设备的IP地址。
但是,在上述过程中,各网络设备会通过ICMP超时报文将本网络设备的IP地址发送给源设备,若源设备是一个攻击者,其可以通过Traceroute技术获取到各网络设备的IP地址,从而对网络设备进行攻击,给网络带来了安全隐患。
发明内容
本申请提供一种跟踪路由处理方法,应用于网络设备,所述方法包括:
在接收到第一类报文时,根据所述第一类报文判断是否发生特定事件;
如果是,若所述第一类报文携带验证数据,且所述第一类报文携带的验证数据与本设备存储的验证数据匹配,则向源设备发送携带本设备的地址的第二类报文,以使所述源设备根据所述第二类报文进行跟踪路由的处理;
若第一类报文携带验证数据,所述第一类报文携带的验证数据与本设备存储的验证数据不匹配,或第一类报文未携带验证数据,丢弃所述第一类报文。
本申请提供一种跟踪路由处理装置,应用于网络设备,所述装置包括:
接收模块,用于接收第一类报文;
判断模块,用于根据所述第一类报文判断是否发生特定事件;
处理模块,用于当发生特定事件时,若所述第一类报文携带验证数据,且所述第一类报文携带的验证数据与本设备存储的验证数据匹配,则向源设备发送携带本设备的地址的第二类报文,以使所述源设备根据所述第二类报文进行跟踪路由的处理;当发生特定事件时,若所述第一类报文携带验证数据,且所述第一类报文携带的验证数据与本设备存储的验证数据不匹配,或者,所述第一类报文未携带验证数据,则丢弃所述第一类报文。
基于上述技术方案,本申请实施例中,网络设备在收到第一类报文后,只有第一类报文携带验证数据,第一类报文携带的验证数据与本设备存储的验证数据匹配,才会发送第二类报文;若第一类报文携带验证数据,第一类报文携带的验证数据与本设备存储的验证数据不匹配,或者第一类报文未携带验证数据,则丢弃第一类报文。这样,针对知道验证数据的合法用户,网络设备可以确定出合法身份,并返回第二类报文,以使合法用户根据第二类报文进行跟踪路由的处理。针对不知道验证数据的非法用户,网络设备可以确定出其非法身份,不向非法用户返回第二类报文,从而达到维护网络安全的目的,使非法用户无法获知网络设备的关键信息(如IP地址),继而无法对网络设备进行攻击。
附图说明
为了更加清楚地说明本申请实施例或者现有技术中的技术方案,下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据本申请实施例的这些附图获得其他的附图。
图1是本申请一种实施方式中的跟踪路由处理方法的流程图;
图2是本申请一种实施方式中的应用场景示意图;
图3是本申请一种实施方式中的网络设备的硬件结构图;
图4是本申请一种实施方式中的跟踪路由处理装置的结构图。
具体实施方式
在本申请使用的术语仅仅是出于描述特定实施例的目的,而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本申请实施例中提出一种跟踪路由处理方法,该方法可以应用于网络设备(如路由器、交换机),参见图1所示,为该方法的流程图,该方法可以包括:
步骤101,在接收到第一类报文时,根据该第一类报文判断是否发生特定事件。如果是,则执行步骤102;如果否,则对第一类报文携带的TTL值减去预设数值(如1),并根据第一类报文的目的地址发送修改后的第一类报文。
在一个例子中,该第一类报文可以包括UDP报文,且第一类报文是源设备发出的用于实现跟踪路由的报文。而且,该第一类报文可以携带TTL值,在未发生特定事件时,可以对第一类报文携带的TTL值执行减去预设数值(如1)的处理,并根据第一类报文的目的地址继续发送修改后的第一类报文。
在一个例子中,该特定事件可以包括但不限于:超时事件、端口不可达事件。基于此,针对“根据该第一类报文判断是否发生特定事件”的过程,可以包括但不限于:若该第一类报文的目的地址是本设备的地址,则确定发生端口不可达事件。或者,若该第一类报文的目的地址不是本设备的地址,且该第一类报文携带的TTL值是特定标识(如数值1),则确定发生超时事件。或者,若该第一类报文的目的地址不是本设备的地址,且第一类报文携带的TTL值不是特定标识,则确定未发生超时事件和端口不可达事件,即未发生特定事件。
步骤102,判断该第一类报文是否携带验证数据。如果是,则执行步骤103;如果否,则执行步骤105。该验证数据可以是明文类型的验证数据(即没有经过加密的验证数据)或者密文类型的验证数据(即经过加密的验证数据)。
在一个例子中,第一类报文可以包括一个用于携带验证数据的数据字段。若该数据字段的内容为空,则本设备确定出该第一类报文没有携带验证数据。若该数据字段的内容不为空,则本设备确定出该第一类报文携带验证数据。
步骤103,比较该第一类报文携带的验证数据与本设备存储的验证数据是否匹配。如果匹配,则可以执行步骤104,如果不匹配,则可以执行步骤105。
在一个例子中,针对“比较该第一类报文携带的验证数据与本设备存储的验证数据是否匹配”的过程,可以包括但不限于如下方式:若该第一类报文携带明文类型的验证数据,则从第一类报文解析出所述明文类型的验证数据,并比较所述明文类型的验证数据与本设备存储的验证数据是否匹配。若该第一类报文携带密文类型的验证数据,则从第一类报文解析出所述密文类型的验证数据;然后,利用预设算法对所述密文类型的验证数据进行解密,得到解密后的验证数据,并比较所述解密后的验证数据与本设备存储的验证数据是否匹配。
其中,针对“从第一类报文解析出明文类型的验证数据/密文类型的验证数据”的过程,由于第一类报文可以包括用于携带验证数据的数据字段,因此,可以从该数据字段解析出明文类型的验证数据/密文类型的验证数据。
其中,可以在本设备预先存储验证数据,本设备存储的验证数据可以为明文类型的验证数据,这一验证数据与合法用户能够获知的验证数据匹配。基于此,在一个例子中,合法用户可以在源设备输入明文类型的验证数据,源设备可以将明文类型的验证数据添加到第一类报文,并发送第一类报文,这样,本设备在接收到第一类报文后,可以比较第一类报文携带的明文类型的验证数据与本设备存储的验证数据是否匹配。在另一个例子中,合法用户可以在源设备输入明文类型的验证数据,源设备可以采用预设算法对明文类型的验证数据进行加密处理,得到密文类型的验证数据,并将密文类型的验证数据添加到第一类报文,并发送第一类报文,这样,本设备在接收到第一类报文后,可以利用预设算法对第一类报文携带的密文类型的验证数据进行解密,得到解密后的验证数据,并比较解密后的验证数据与本设备存储的验证数据是否匹配。
其中,可以在源设备以及各网络设备配置相同的加解密算法,即上述预设算法,如可以为AES(Advanced Encryption Standard,高级加密标准)算法、DES(Data EncryptionStandard,数据加密标准)算法、MD5(Message Digest Algorithm 5,信息摘要算法版本5)、SHA(Secure Hash Algorithm,安全哈希算法)等,本申请实施例对此预设算法不做限制。基于此,在源设备使用预设算法对明文类型的验证数据进行加密处理时,本设备也可以利用相同的预设算法,对该第一类报文携带的密文类型的验证数据进行解密,得到解密后的验证数据,而解密后的验证数据也就是源设备得到的没有进行加密处理的明文类型的验证数据。也就是说,若合法用户能够获知的验证数据与本设备存储的验证数据匹配,本设备得到的解密后的验证数据会与本设备存储的验证数据匹配。
在一个例子中,由于非法用户无法获知本设备存储的验证数据,因此,非法用户不会在源设备输入验证数据,导致源设备发送未携带验证数据的第一类报文,或非法用户在源设备输入错误的验证数据,这样,虽然第一类报文携带验证数据,但第一类报文携带的验证数据与本设备存储的验证数据不匹配。
在上述过程中,第一类报文携带的验证数据与本设备存储的验证数据匹配,具体可以包括:第一类报文携带的验证数据与本设备存储的验证数据相同。此外,第一类报文携带的验证数据与本设备存储的验证数据不匹配,具体可以包括:第一类报文携带的验证数据与本设备存储的验证数据不同。
步骤104,向源设备发送携带本设备的地址(如IP地址)的第二类报文,以使源设备根据该第二类报文进行跟踪路由(即Traceroute)的处理。
在一个例子中,在发生超时事件时,第二类报文可以包括ICMP超时报文;在发生端口不可达事件时,第二类报文可以包括ICMP端口不可达报文。
步骤105,丢弃第一类报文,并拒绝向源设备发送第二类报文。
基于上述技术方案,本申请实施例中,网络设备在收到第一类报文后,只有第一类报文携带验证数据,第一类报文携带的验证数据与本设备存储的验证数据匹配,才会发送第二类报文;若第一类报文携带验证数据,第一类报文携带的验证数据与本设备存储的验证数据不匹配,或者第一类报文未携带验证数据,则丢弃第一类报文。这样,针对知道验证数据的合法用户,网络设备可以确定出其合法身份,并返回第二类报文,以使合法用户根据第二类报文进行跟踪路由的处理。针对不知道验证数据的非法用户,网络设备可以确定出其非法身份,且不向非法用户返回第二类报文,从而达到维护网络安全的目的,使非法用户无法获知网络设备的关键信息,继而无法对网络设备进行攻击。
以下结合图2所示的应用场景,对本申请实施例的上述技术方案进行详细说明。本应用场景下,源设备的IP地址为IP地址A,网络设备1的IP地址为IP地址1,网络设备2的IP地址为IP地址2,网络设备3的IP地址为IP地址3,网络设备3为目的设备。在上述应用场景下,跟踪路由处理方法可以包括:
步骤1、源设备发送TTL值为1的UDP报文1,UDP报文1的源IP地址为IP地址A,目的IP地址为IP地址3。若合法用户通过源设备发送UDP报文1,UDP报文1可以携带正确的验证数据123456。若非法用户通过源设备发送UDP报文1,则UDP报文1不会携带验证数据或携带错误的验证数据000000。
步骤2、网络设备1收到UDP报文1后,由于UDP报文1的目的地址不是本设备的地址,UDP报文1携带的TTL值是特定标识1,确定发生超时事件。
步骤3、假设UDP报文1携带验证数据123456,且UDP报文1携带的验证数据123456与本设备存储的验证数据123456匹配,则网络设备1向源设备发送ICMP超时报文1,该ICMP超时报文1携带网络设备1的IP地址1。或者,假设UDP报文1未携带验证数据,或UDP报文1携带验证数据000000,且UDP报文1携带的验证数据000000与本设备存储的验证数据123456不匹配,则网络设备1直接丢弃UDP报文1,不再向源设备发送ICMP超时报文。
步骤4、源设备在接收到ICMP超时报文1后,从ICMP超时报文1解析出网络设备1的IP地址1,并在跟踪路由的记录表中记录IP地址1。
步骤5、源设备发送TTL值为2的UDP报文2,UDP报文2的源IP地址为IP地址A,目的IP地址为IP地址3。若合法用户通过源设备发送UDP报文2,UDP报文2可以携带正确的验证数据123456。若非法用户通过源设备发送UDP报文2,则UDP报文2不会携带验证数据或携带错误的验证数据000000。
步骤6、网络设备1在收到UDP报文2后,由于UDP报文2的目的地址不是本设备的地址,UDP报文2携带的TTL值不是特定标识1,因此,网络设备1将UDP报文2的TTL值减1,并将修改后的UDP报文2发送给网络设备2。
步骤7、网络设备2收到UDP报文2后,由于UDP报文2的目的地址不是本设备的地址,UDP报文2携带的TTL值是特定标识1,确定发生超时事件。
步骤8、假设UDP报文2携带验证数据123456,且UDP报文2携带的验证数据123456与本设备存储的验证数据123456匹配,则网络设备2向源设备发送ICMP超时报文2,该ICMP超时报文2携带网络设备2的IP地址2。或者,假设UDP报文2未携带验证数据,或UDP报文2携带验证数据000000,且UDP报文2携带的验证数据000000与本设备存储的验证数据123456不匹配,则网络设备2直接丢弃UDP报文2,不再向源设备发送ICMP超时报文。
步骤9、源设备在接收到ICMP超时报文2后,从ICMP超时报文2解析出网络设备2的IP地址2,并在跟踪路由的记录表中记录IP地址2。
步骤10、源设备发送TTL值为3的UDP报文3,UDP报文3的源IP地址为IP地址A,目的IP地址为IP地址3。若合法用户通过源设备发送UDP报文3,则UDP报文3可以携带正确的验证数据123456。若非法用户通过源设备发送UDP报文3,UDP报文3不会携带验证数据或携带错误的验证数据000000。
步骤11、网络设备1在收到UDP报文3后,由于UDP报文3的目的地址不是本设备的地址,UDP报文3携带的TTL值不是特定标识1,因此,网络设备1将UDP报文3的TTL值减1,并将修改后的UDP报文3发送给网络设备2。
步骤12、网络设备2在收到UDP报文3后,由于UDP报文3的目的地址不是本设备的地址,UDP报文3携带的TTL值不是特定标识1,因此,网络设备2将UDP报文3的TTL值减1,并将修改后的UDP报文3发送给网络设备3。
步骤13、网络设备3在接收到UDP报文3后,由于该UDP报文3的目的地址(即IP地址3)是本设备的地址,因此,确定发生端口不可达事件。
步骤14、假设UDP报文3携带验证数据123456,且UDP报文3携带的验证数据123456与本设备存储的验证数据123456匹配,则网络设备3可以向源设备发送ICMP端口不可达报文1,该ICMP端口不可达报文1可以携带网络设备3的IP地址3,也可以不携带网络设备3的IP地址3。或者,假设UDP报文3未携带验证数据,或者UDP报文3携带验证数据000000,且UDP报文3携带的验证数据000000与本设备存储的验证数据123456不匹配,则网络设备3可以直接丢弃UDP报文3,而不再向源设备发送ICMP端口不可达报文。
步骤15、源设备在接收到ICMP端口不可达报文1后,确定已经探测到目的设备,并在跟踪路由的记录表中记录目的设备的IP地址,即IP地址3。
其中,若ICMP端口不可达报文1中携带网络设备3的IP地址3,则源设备可以从ICMP端口不可达报文1解析出网络设备3的IP地址3,并将IP地址3记录到记录表中。若ICMP端口不可达报文1中未携带网络设备3的IP地址3,则源设备还可以将需要探测的目的IP地址(即IP地址3)记录到记录表中。
经过上述处理,源设备维护的记录表可以包括IP地址1、IP地址2、IP地址3,即针对源设备与目的设备,经过的各网络设备的IP地址分别为IP地址1、IP地址2、IP地址3,上述记录表的维护过程也就是跟踪路由的处理过程。
基于与上述方法同样的申请构思,本申请实施例还提供一种跟踪路由处理装置,该跟踪路由处理装置应用在网络设备。该跟踪路由处理装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在的网络设备的处理器,读取非易失性存储器中对应的计算机程序指令形成的。从硬件层面而言,如图3所示,为本申请提出的跟踪路由处理装置所在的网络设备的一种硬件结构图,除了图3所示的处理器、非易失性存储器外,网络设备还可以包括其他硬件,如负责处理报文的转发芯片、网络接口、内存等;从硬件结构上来讲,该网络设备还可能是分布式设备,可能包括多个接口卡,以便在硬件层面进行报文处理的扩展。
如图4所示,为本申请提出的跟踪路由处理装置的结构图,该装置包括:
接收模块11,用于接收第一类报文;
判断模块12,用于根据所述第一类报文判断是否发生特定事件;
处理模块13,用于当发生特定事件时,若所述第一类报文携带验证数据,且所述第一类报文携带的验证数据与本设备存储的验证数据匹配,则向源设备发送携带本设备的地址的第二类报文,以使所述源设备根据所述第二类报文进行跟踪路由的处理;当发生特定事件时,若所述第一类报文携带验证数据,且所述第一类报文携带的验证数据与本设备存储的验证数据不匹配,或者,所述第一类报文未携带验证数据,则丢弃所述第一类报文。
在一个例子中,所述特定事件具体包括:超时事件、端口不可达事件;
所述判断模块12,具体用于在根据所述第一类报文判断是否发生特定事件的过程中,若所述第一类报文的目的地址是本设备的地址,则确定发生端口不可达事件;或者,若所述第一类报文的目的地址不是本设备的地址,且所述第一类报文携带的存活时间TTL值是特定标识,则确定发生超时事件;或者,若所述第一类报文的目的地址不是本设备的地址,且所述第一类报文携带的TTL值不是特定标识,则确定未发生超时事件和端口不可达事件。
在一个例子中,所述接收模块11接收的所述第一类报文包括用户数据报协议UDP报文;在发生超时事件时,所述处理模块13发送的所述第二类报文包括Internet控制报文协议ICMP超时报文;在发生端口不可达事件时,所述处理模块13发送的所述第二类报文包括ICMP端口不可达报文。
所述处理模块13,还用于当未发生特定事件时,对第一类报文携带的TTL值减去预设数值;根据所述第一类报文的目的地址发送修改后的第一类报文。
在一个例子中,所述处理模块13,具体用于在比较所述第一类报文携带的验证数据与本设备存储的验证数据是否匹配的过程中,若所述第一类报文携带明文类型的验证数据,则从所述第一类报文解析出明文类型的验证数据,比较所述明文类型的验证数据与本设备存储的验证数据是否匹配;若所述第一类报文携带密文类型的验证数据,则从所述第一类报文解析出密文类型的验证数据;利用预设算法对所述密文类型的验证数据进行解密,得到解密后的验证数据,并比较所述解密后的验证数据与本设备存储的验证数据是否匹配。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可以采用完全硬件实施例、完全软件实施例、或者结合软件和硬件方面的实施例的形式。而且,本申请可以采用在一个或者多个其中包含有计算机可用程序代码的计算机可用存储介质(可以包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种跟踪路由处理方法,应用于网络设备,其特征在于,该方法包括:
在接收到第一类报文时,根据所述第一类报文判断是否发生特定事件;
如果是,若所述第一类报文携带验证数据,且所述第一类报文携带的验证数据与本设备存储的验证数据匹配,则向源设备发送携带本设备的地址的第二类报文,以使所述源设备根据所述第二类报文进行跟踪路由的处理;
若第一类报文携带验证数据,所述第一类报文携带的验证数据与本设备存储的验证数据不匹配,或第一类报文未携带验证数据,丢弃所述第一类报文;
其中,验证数据是明文类型的验证数据或者密文类型的验证数据。
2.根据权利要求1所述的方法,其特征在于,
所述特定事件具体包括:超时事件、端口不可达事件;
所述根据所述第一类报文判断是否发生特定事件的过程,具体包括:
若所述第一类报文的目的地址是本设备的地址,确定发生端口不可达事件;
若所述第一类报文的目的地址不是本设备的地址,且所述第一类报文携带的存活时间TTL值是特定标识,则确定发生超时事件;
若所述第一类报文的目的地址不是本设备的地址,且所述第一类报文携带的TTL值不是特定标识,则确定未发生超时事件和端口不可达事件。
3.根据权利要求2所述的方法,其特征在于,
所述第一类报文包括用户数据报协议UDP报文;在发生超时事件时,所述第二类报文包括Internet控制报文协议ICMP超时报文;在发生端口不可达事件时,所述第二类报文包括ICMP端口不可达报文。
4.根据权利要求1或2所述的方法,其特征在于,
所述根据所述第一类报文判断是否发生特定事件之后,所述方法还包括:
若未发生特定事件,则对所述第一类报文携带的TTL值减去预设数值;
根据所述第一类报文的目的地址发送修改后的第一类报文。
5.根据权利要求1所述的方法,其特征在于,在比较所述第一类报文携带的验证数据与本设备存储的验证数据是否匹配的过程中,所述方法还包括:
若所述第一类报文携带明文类型的验证数据,从第一类报文解析出明文类型的验证数据,比较明文类型的验证数据与本设备存储的验证数据是否匹配;
若所述第一类报文携带密文类型的验证数据,则从第一类报文解析出密文类型的验证数据;利用预设算法对密文类型的验证数据进行解密,得到解密后的验证数据,并比较解密后的验证数据与本设备存储的验证数据是否匹配。
6.一种跟踪路由处理装置,应用于网络设备,其特征在于,该装置包括:
接收模块,用于接收第一类报文;
判断模块,用于根据所述第一类报文判断是否发生特定事件;
处理模块,用于当发生特定事件时,若所述第一类报文携带验证数据,且所述第一类报文携带的验证数据与本设备存储的验证数据匹配,则向源设备发送携带本设备的地址的第二类报文,以使所述源设备根据所述第二类报文进行跟踪路由的处理;当发生特定事件时,若所述第一类报文携带验证数据,且所述第一类报文携带的验证数据与本设备存储的验证数据不匹配,或者,所述第一类报文未携带验证数据,则丢弃所述第一类报文;
其中,验证数据是明文类型的验证数据或者密文类型的验证数据。
7.根据权利要求6所述的装置,其特征在于,
所述特定事件具体包括:超时事件、端口不可达事件;
所述判断模块,具体用于在根据所述第一类报文判断是否发生特定事件的过程中,若所述第一类报文的目的地址是本设备的地址,则确定发生端口不可达事件;或者,若所述第一类报文的目的地址不是本设备的地址,且所述第一类报文携带的存活时间TTL值是特定标识,则确定发生超时事件;或者,若所述第一类报文的目的地址不是本设备的地址,且所述第一类报文携带的TTL值不是特定标识,则确定未发生超时事件和端口不可达事件。
8.根据权利要求7所述的装置,其特征在于,
所述接收模块接收的所述第一类报文包括用户数据报协议UDP报文;
在发生超时事件时,所述处理模块发送的所述第二类报文包括Internet控制报文协议ICMP超时报文;在发生端口不可达事件时,所述处理模块发送的所述第二类报文包括ICMP端口不可达报文。
9.根据权利要求7或8所述的装置,其特征在于,所述处理模块,还用于当未发生特定事件时,对所述第一类报文携带的TTL值减去预设数值;根据所述第一类报文的目的地址发送修改后的第一类报文。
10.根据权利要求6所述的装置,其特征在于,所述处理模块,具体用于在比较所述第一类报文携带的验证数据与本设备存储的验证数据是否匹配的过程中,若所述第一类报文携带明文类型的验证数据,则从第一类报文解析出明文类型的验证数据,比较明文类型的验证数据与本设备存储的验证数据是否匹配;若所述第一类报文携带密文类型的验证数据,则从第一类报文解析出密文类型的验证数据;利用预设算法对密文类型的验证数据进行解密,得到解密后的验证数据,并比较解密后的验证数据与本设备存储的验证数据是否匹配。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710120966.2A CN106899597B (zh) | 2017-03-02 | 2017-03-02 | 一种跟踪路由处理方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710120966.2A CN106899597B (zh) | 2017-03-02 | 2017-03-02 | 一种跟踪路由处理方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106899597A CN106899597A (zh) | 2017-06-27 |
CN106899597B true CN106899597B (zh) | 2020-02-11 |
Family
ID=59185662
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710120966.2A Active CN106899597B (zh) | 2017-03-02 | 2017-03-02 | 一种跟踪路由处理方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106899597B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1926250B1 (en) * | 2006-11-29 | 2009-10-21 | Thomson Licensing, Inc. | Methods and a device for secure distance calculation in communicatio networks |
CN102340451A (zh) * | 2011-09-28 | 2012-02-01 | 中兴通讯股份有限公司 | 一种跟踪路由测试方法、系统、装置及设备 |
CN102624598A (zh) * | 2011-01-27 | 2012-08-01 | 中兴通讯股份有限公司 | 传输路径的信息获取方法、装置及系统 |
CN107005547A (zh) * | 2014-09-30 | 2017-08-01 | 思杰系统有限公司 | 用于由中间装置执行对于客户机的远程桌面会话的单点登录的系统和方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040196843A1 (en) * | 2003-02-20 | 2004-10-07 | Alcatel | Protection of network infrastructure and secure communication of control information thereto |
CN101335689B (zh) * | 2007-06-26 | 2011-11-02 | 华为技术有限公司 | 跟踪路由的实现方法及设备 |
CN101599902B (zh) * | 2009-06-15 | 2012-04-04 | 华为技术有限公司 | 一种获取业务信息的方法及装置 |
-
2017
- 2017-03-02 CN CN201710120966.2A patent/CN106899597B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1926250B1 (en) * | 2006-11-29 | 2009-10-21 | Thomson Licensing, Inc. | Methods and a device for secure distance calculation in communicatio networks |
CN102624598A (zh) * | 2011-01-27 | 2012-08-01 | 中兴通讯股份有限公司 | 传输路径的信息获取方法、装置及系统 |
CN102340451A (zh) * | 2011-09-28 | 2012-02-01 | 中兴通讯股份有限公司 | 一种跟踪路由测试方法、系统、装置及设备 |
CN107005547A (zh) * | 2014-09-30 | 2017-08-01 | 思杰系统有限公司 | 用于由中间装置执行对于客户机的远程桌面会话的单点登录的系统和方法 |
Also Published As
Publication number | Publication date |
---|---|
CN106899597A (zh) | 2017-06-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11637696B2 (en) | End-to-end communication security | |
US8307208B2 (en) | Confidential communication method | |
US10142297B2 (en) | Secure communication method and apparatus | |
US9794277B2 (en) | Monitoring traffic in a computer network | |
KR100940525B1 (ko) | 소켓 레벨 가상 사설망 통신 장치 및 방법 | |
CN111107087B (zh) | 报文检测方法及装置 | |
CN108616521B (zh) | 网络接入方法、装置、设备及可读存储介质 | |
KR101608815B1 (ko) | 폐쇄형 네트워크에서 암복호화 서비스 제공 시스템 및 방법 | |
US20150200972A1 (en) | Methods and systems for facilitating decoding of application defined or proprietary protocols in lawful intercepts | |
CN113992354A (zh) | 一种身份验证方法、装置、设备及机器可读存储介质 | |
CN111740943B (zh) | 一种防攻击方法、装置、设备及机器可读存储介质 | |
Yuan et al. | Bringing execution assurances of pattern matching in outsourced middleboxes | |
US20170244685A1 (en) | Multipath demultiplexed network encryption | |
CN106789963B (zh) | 非对称白盒密码加密方法和装置及设备 | |
US10491570B2 (en) | Method for transmitting data, method for receiving data, corresponding devices and programs | |
CN109451504B (zh) | 物联网模组鉴权方法及系统 | |
US20220038478A1 (en) | Confidential method for processing logs of a computer system | |
Alani | IoT lotto: Utilizing IoT devices in brute-force attacks | |
GB2488753A (en) | Encrypted communication | |
CN106899597B (zh) | 一种跟踪路由处理方法和装置 | |
US10764065B2 (en) | Admissions control of a device | |
EP3836478A1 (en) | Method and system of data encryption using cryptographic keys | |
CN109587134B (zh) | 接口总线的安全认证的方法、装置、设备和介质 | |
CN109246124B (zh) | 一种加密信息的主动防御方法 | |
KR101979157B1 (ko) | 넌어드레스 네트워크 장비 및 이를 이용한 통신 보안 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |