CN108881044A - 一种报文处理方法和装置 - Google Patents
一种报文处理方法和装置 Download PDFInfo
- Publication number
- CN108881044A CN108881044A CN201810500080.5A CN201810500080A CN108881044A CN 108881044 A CN108881044 A CN 108881044A CN 201810500080 A CN201810500080 A CN 201810500080A CN 108881044 A CN108881044 A CN 108881044A
- Authority
- CN
- China
- Prior art keywords
- message
- terminal
- address
- sent
- processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/23—Bit dropping
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/29—Flow control; Congestion control using a combination of thresholds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
- H04L47/323—Discarding or blocking control packets, e.g. ACK packets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种报文处理方法和装置,可以根据第一报文中携带的终端的IP地址,向该终端发送第一响应报文和结束对话报文,其中,第一响应报文和结束对话报文中携带有验证字符串,如果在发送结束对话报文后的预设时长内,未接收到该终端发送的携带有验证字符串的第二响应报文,则可以确定第一报文为恶意报文,并丢弃第一报文。基于上述处理,可以丢弃恶意报文,进而可以避免将恶意报文发送至对应的服务器,降低网络攻击对服务器工作效率的影响。
Description
技术领域
本申请涉及计算机网络技术领域,特别是涉及一种报文处理方法和装置。
背景技术
在计算机网络中,终端和服务器可以通过发送和接收报文进行通信。而服务器的攻击者往往会使用终端,向服务器发送大量无用的报文(可称为恶意报文),该报文可以为UDP INVITE(User Datagram Protocol INVITE,用户数据报协议邀请)报文。服务器接收到恶意报文后,需要分配系统资源响应恶意报文,进而无法响应用户使用终端发送的业务请求报文,导致服务器无法处理正常业务。
现有技术中,通常可以使用网络设备限制发送至服务器的报文的报文速率,以解决上述问题。该网络设备可以是路由器、防火墙设备或其他网关设备。当网络设备接收到的报文的报文速率大于预设阈值时,可以丢弃一部分报文。例如,预设阈值为50条/秒,如果当前时刻,网络设备接收到的报文的报文速率为60条/秒,网络设备可以丢弃接收到的部分报文,使得发送至服务器的报文的报文速率小于或者等于50条/秒。
然而,网络设备无法识别出恶意报文,进而有可能会将恶意报文发送至对应的服务器,降低服务器的工作效率。
发明内容
本申请实施例的目的在于提供一种报文处理方法和装置,以降低网络攻击对服务器工作效率的影响。具体技术方案如下:
第一方面,为了达到上述目的,本申请实施例公开了一种报文处理方法,所述方法包括:
接收终端发送的第一报文,其中,所述第一报文中携带有所述终端的IP地址;
根据所述终端的IP地址,向所述终端发送第一响应报文和结束对话报文,其中,所述第一响应报文和所述结束对话报文中携带有验证字符串;
判断在发送所述结束对话报文后的预设时长内,是否接收到所述终端发送的携带有所述验证字符串的第二响应报文;
如果在所述预设时长内,未接收到所述第二响应报文,丢弃所述第一报文。
可选的,在所述向所述终端发送第一响应报文和结束对话报文之前,所述方法还包括:
判断预设的终端的IP地址与处理动作的对应关系中,是否存在所述终端的IP地址;
如果所述对应关系中存在所述终端的IP地址,根据所述对应关系中与所述终端的IP地址对应的处理动作,对所述第一报文进行安全控制处理;
如果所述对应关系中不存在所述终端的IP地址,执行所述向所述终端发送第一响应报文和结束对话报文步骤。
可选的,在所述丢弃所述第一报文之后,所述方法还包括:
将所述终端的IP地址添加到预设的终端的IP地址与处理动作的对应关系中,并设置所述终端的IP地址对应的处理动作为丢弃报文。
可选的,所述方法还包括:
如果在所述预设时长内,接收到所述第二响应报文,将所述第一报文发送至响应所述第一报文的服务器。
可选的,在所述将所述第一报文发送至响应所述第一报文的服务器之后,所述方法还包括:
将所述终端的IP地址添加到预设的终端的IP地址与处理动作的对应关系中,并设置所述终端的IP地址对应的处理动作为转发报文。
可选的,在所述向所述终端发送第一响应报文和结束对话报文之前,所述方法还包括:
判断当前的报文速率是否大于预设阈值;
如果当前的报文速率大于所述预设阈值,执行所述向所述终端发送第一响应报文和结束对话报文步骤;
如果当前的报文速率小于所述预设阈值,将所述第一报文发送至响应所述第一报文的服务器。
第二方面,为达到上述目的,本申请实施例还公开了一种报文处理装置,所述装置包括:
接收模块,用于接收终端发送的第一报文,其中,所述第一报文中携带有所述终端的IP地址;
发送模块,用于根据所述终端的IP地址,向所述终端发送第一响应报文和结束对话报文,其中,所述第一响应报文和所述结束对话报文中携带有验证字符串;
第一判断模块,用于判断在发送所述结束对话报文后的预设时长内,是否接收到所述终端发送的携带有所述验证字符串的第二响应报文;
第一处理模块,用于如果在所述预设时长内未接收到所述第二响应报文,丢弃所述第一报文。
可选的,所述装置还包括:
第二判断模块,用于判断预设的终端的IP地址与处理动作的对应关系中,是否存在所述终端的IP地址;如果所述对应关系中存在所述终端的IP地址,触发第二处理模块,如果所述对应关系中不存在所述终端的IP地址,触发所述发送模块;
所述第二处理模块,用于根据所述对应关系中与所述终端的IP地址对应的处理动作,对所述第一报文进行安全控制处理。
可选的,所述装置还包括:
第一添加模块,用于将所述终端的IP地址添加到预设的终端的IP地址与处理动作的对应关系中,并设置所述终端的IP地址对应的处理动作为丢弃报文。
可选的,所述装置还包括:
第三处理模块,用于如果在所述预设时长内,接收到所述第二响应报文,将所述第一报文发送至响应所述第一报文的服务器。
可选的,所述装置还包括:
第二添加模块,用于将所述终端的IP地址添加到预设的终端的IP地址与处理动作的对应关系中,并设置所述终端的IP地址对应的处理动作为转发报文。
可选的,所述装置还包括:
第三判断模块,用于判断当前的报文速率是否大于预设阈值;如果当前的报文速率大于所述预设阈值,触发所述发送模块,如果当前的报文速率小于所述预设阈值,触发转发模块;
所述转发模块,用于将所述第一报文发送至响应所述第一报文的服务器。
第三方面,为达到上述目的,本申请实施例还公开了一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现第一方面所述的方法步骤。
第四方面,为达到上述目的,本申请实施例还公开了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现第一方面所述的方法步骤。
本申请实施例提供的一种报文处理方法和装置,可以根据终端发送的第一报文中携带的终端的IP地址,向该终端发送第一响应报文和结束对话报文,其中,第一响应报文和结束对话报文中携带有验证字符串,如果在发送结束对话报文后的预设时长内,未接收到终端发送的携带有验证字符串的第二响应报文,则丢弃第一报文。基于上述处理,可以确定出恶意报文,从而将发送该恶意报文的终端确定为恶意终端。然后,丢弃恶意报文,进而可以避免将恶意报文发送至对应的服务器,降低网络攻击对服务器工作效率的影响。当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种组网架构的框架图;
图2为本申请实施例提供的一种报文处理方法的流程图;
图3为本申请实施例提供的一种报文处理方法的示例的流程图;
图4为本申请实施例提供的一种UDP INVITE报文的结构图;
图5为本申请实施例提供的一种200OK报文的结构图;
图6为本申请实施例提供的一种BYE报文的结构图;
图7为本申请实施例提供的一种报文处理装置的结构图;
图8为本申请实施例提供的一种电子设备的结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供了一种报文处理方法和装置,可以应用于网络设备,该网络设备可以为路由器、防火墙设备或其他网关设备。参见图1,图1为本申请实施例提供的一种组网架构的框架图,为一种可能的应用场景。该组网包括:网络设备、服务器和多个终端。当终端需要访问服务器时,终端可以向服务器发送报文。网络设备则可以首先接收到终端发送的报文。针对接收到的每一报文,网络设备可以将该报文发送至服务器,以使服务器响应该报文。当网络设备接收到的报文的报文速率大于预设阈值时,网络设备也可以丢弃该报文,以降低服务器的负载。应当说明的是,图1所示的组网架构中,网络设备与终端之间可能具有其他设备,用于将终端发送的报文转发至网络设备。同样的,网络设备与服务器之间也可能具有其他设备,用于将网络设备发送的报文转发至响应该报文的服务器。
参见图2,图2为本申请实施例提供的一种报文处理方法的流程图,该方法可以包括以下步骤。
S201:接收终端发送的第一报文。
其中,第一报文中可以携带有该终端的IP(Internet Protocol,网际协议)地址,即第一报文中的源IP地址。第一报文中还可以携带有服务器的IP地址(即目的IP地址)。
在实施中,终端可以向服务器发送第一报文,以与服务器建立对话连接,具体的,第一报文可以为UDP INVITE报文。网络设备则可以首先接收到第一报文,解析第一报文,得到终端的IP地址(源IP地址)和服务器的IP地址(目的IP地址)。
S202:根据该终端的IP地址,向该终端发送第一响应报文和结束对话报文。
其中,第一响应报文和结束对话报文中可以携带有验证字符串,第一响应报文可以为200OK报文,结束对话报文可以为BYE报文,验证字符串可以为branch字段。branch字段的数值通常以“z9hG4bK”开头,若两个报文中branch字段的数值相同,则表明这两个报文属于同一个事务,通过branch字段的数值可以区分同一终端发起的不同事务的报文。
在实施中,网络设备可以根据第一报文的元组信息(例如:二元组、五元组、七元组等)、或第一报文的元组信息(例如:二元组、五元组、七元组等)和第一报文的发送时间,利用预设的验证字符串生成算法,生成第一响应报文和结束对话报文,并发送至该终端。具体的,解析第一报文后,网络设备可以首先根据第一报文中携带的源IP地址、目的IP地址,以及预设的验证字符串生成算法,生成验证字符串。例如,网络设备可以根据源IP地址、目的IP地址和接收到第一报文的时间,利用Hash(散列)算法,计算得到目标数值,将“z9hG4bK+目标数值”作为验证字符串。网络设备可以根据第一报文生成相应的200OK报文,并将生成的200OK报文中的branch字段,改写成“z9hG4bK+目标数值”,得到第一响应报文,将第一响应报文发送至终端。
网络设备还会生成branch字段为“z9hG4bK+目标数值”的BYE报文(即结束对话报文),并将结束对话报文发送至终端,以使终端可以响应该结束对话报文。
S203:判断在发送结束对话报文后的预设时长内,是否接收到该终端发送的携带有验证字符串的第二响应报文,如果在预设时长内未接收到第二响应报文,执行S204。
其中,预设时长可以由技术人员根据经验进行设置,第二响应报文可以是200OK报文。
在向终端发送结束对话报文时,网络设备可以开始计时,并判断在计时的时长达到预设时长的时间内,是否接收到该终端发送的200OK报文。具体如下。
当网络设备在发送结束对话报文后的预设时长内,未接收到该终端发送的200OK报文时,网络设备可以执行步骤S204。
或者,当网络设备在发送结束对话报文后的预设时长内,接收到该终端发送的200OK报文时,网络设备可以解析接收到的200OK报文,进一步判断该200OK报文中是否携带有验证字符串。当网络设备判定该200OK报文中未携带有验证字符串,即该200OK报文中的branch字段的数值,与网络设备发送至该终端的200OK报文中的branch字段的数值不相同时,网络设备可以执行步骤S204。
S204:丢弃第一报文。
在实施中,当网络设备在发送结束对话报文后的预设时长内,接收到该终端发送的200OK报文,但该200OK报文中的branch字段的数值,与网络设备发送至该终端的200OK报文中的branch字段的数值不相同时,或者,当网络设备在发送结束对话报文后的预设时长内,未接收到该终端发送的200OK报文时,网络设备可以确定第一报文为恶意报文,即确定发送第一报文的终端为恶意终端,网络设备可以丢弃第一报文。例如,网络设备可以确定出某一终端利用网络攻击发送的UDP INVITE报文,将该终端确定为恶意终端,丢弃该恶意终端发送的UDP INVITE报文。
如上可知,网络设备通过修改报文的branch字段的数值、以及通过比较返回报文的branch字段的数值来判断终端的真实性。若返回的第二响应报文中的branch字段的数值与第一响应报文、结束对话报文中的branch字段的数值相同,那么可以判定发送第一报文的终端为真实存在的终端;若不相同,则判定发送第一报文的终端为恶意终端或攻击终端。
可选的,网络设备不仅可以确定出恶意报文,还可以进行正常的业务处理。具体的,上述方法还可以包括以下步骤:如果在预设时长内,接收到第二响应报文,将第一报文发送至响应第一报文的服务器。
在实施中,当网络设备在发送结束对话报文后的预设时长内,接收到该终端发送的200OK报文,且接收到的该200OK报文中的branch字段的数值,与网络设备发送至该终端的200OK报文中的branch字段的数值相同时,网络设备可以确定第一报文为安全报文,即确定发送第一报文的终端为安全终端。网络设备可以根据第一报文中携带的目的IP地址,将第一报文发送至对应的服务器,以使该服务器响应第一报文。
可选的,网络设备本地还可以预先存储终端的IP地址与处理动作的对应关系,以提高报文处理的效率。具体的,在向终端发送第一响应报文和结束对话报文之前,上述方法还可以包括以下步骤:判断预设的终端的IP地址与处理动作的对应关系中,是否存在该终端的IP地址;如果对应关系中存在该终端的IP地址,根据对应关系中与该终端的IP地址对应的处理动作,对第一报文进行安全控制处理;如果对应关系中不存在该终端的IP地址,执行步骤S202。
其中,处理动作可以为丢弃报文或转发报文,相应的,对第一报文进行安全控制处理包括:丢弃第一报文或将第一报文发送至响应第一报文的服务器。预设的终端的IP地址与处理动作的对应关系可以是技术人员根据经验进行设置的,也可以是网络设备根据步骤S201-S204确定的。
另外,该对应关系中还可以包括终端的IP地址与老化时间的对应关系。当距离上一次接收到某一终端发送的报文的时长,达到对应关系中该终端的IP地址对应的老化时间时,网络设备可以将该终端的IP地址及对应的处理动作从对应关系中删除。老化时间可以由技术人员根据经验进行设置。例如,参见表(1)。
表(1)
表(1)中记录了终端的IP地址、处理动作和老化时间的对应关系。当网络设备接收到IP地址为IP1的终端(第一终端)发送的报文时,网络设备可以根据IP1对应的处理动作,丢弃第一终端发送的报文。当网络设备距离上一次接收到第一终端发送的报文的时长达到5分钟时,网络设备可以将IP1对应的表项从表(1)中删除,得到表(2)。
表(2)
终端的IP地址 | 处理动作 | 老化时间 |
IP2 | 转发报文 | 8分钟 |
IP3 | 丢弃报文 | 5分钟 |
IP4 | 转发报文 | 8分钟 |
另外,网络设备也可以根据处理动作的不同,分别记录表(1)包含的信息。相应的,对应于表(1),可以得到表(3)和表(4)。
表(3)
终端的IP地址 | 处理动作 | 老化时间 |
IP1 | 丢弃报文 | 5分钟 |
IP3 | 丢弃报文 | 5分钟 |
表(4)
终端的IP地址 | 处理动作 | 老化时间 |
IP2 | 转发报文 | 8分钟 |
IP4 | 转发报文 | 8分钟 |
其中,表(3)中记录处理动作为丢弃报文的终端的IP地址,以及对应的老化时间,表(4)中记录处理动作为转发报文的终端的IP地址,以及对应的老化时间。
在实施中,当网络设备接收到第一报文后,可以首先在本地的终端的IP地址与处理动作的对应关系中进行查询,判断对应关系中是否存在第一报文中携带的终端的IP地址。当网络设备判定对应关系中存在第一报文中携带的终端的IP地址时,网络设备可以根据对应关系中,与该终端的IP地址对应的处理动作,对第一报文进行安全控制处理。具体的,当对应关系中该终端的IP地址对应的处理动作为转发报文时,网络设备可以将第一报文发送至响应第一报文的服务器;当对应关系中该终端的IP地址对应的处理动作为丢弃报文时,网络设备可以直接丢弃第一报文。当网络设备判定对应关系中不存在第一报文中携带的终端的IP地址时,网络设备可以根据第一报文中携带的终端的IP地址,向该终端发送第一响应报文和结束对话报文。
可选的,在丢弃第一报文之后,网络设备还可以更新本地的终端的IP地址与处理动作的对应关系,以提高报文处理的效率。具体的,上述方法还可以包括以下步骤:将该终端的IP地址添加到预设的终端的IP地址与处理动作的对应关系中,并设置该终端的IP地址对应的处理动作为丢弃报文。
在实施中,当网络设备丢弃第一报文时,网络设备可以确定第一报文为恶意报文,也可以确定发送第一报文的终端为恶意终端。网络设备可以将该恶意终端的IP地址添加到本地的终端的IP地址与处理动作的对应关系中,同时,网络设备可以设置该恶意终端的IP地址对应的处理动作为丢弃报文,以使网络设备在下一次接收到该恶意终端发送的报文时,可以根据对应关系中该恶意终端的IP地址对应的处理动作,直接丢弃该恶意终端发送的报文。
可选的,在将第一报文发送至响应第一报文的服务器之后,网络设备也可以更新本地的终端的IP地址与处理动作的对应关系,以提高报文处理的效率。具体的,上述方法还可以包括以下步骤:将该终端的IP地址添加到预设的终端的IP地址与处理动作的对应关系中,并设置该终端的IP地址对应的处理动作为转发报文。
在实施中,当网络设备将第一报文发送至响应第一报文的服务器时,网络设备可以确定第一报文为安全报文,也可以确定发送第一报文的终端为安全终端。网络设备可以将该安全终端的IP地址添加到本地的终端的IP地址与处理动作的对应关系中,同时,网络设备可以设置该安全终端的IP地址对应的处理动作为转发报文,以使网络设备在下一次接收到该安全终端发送的报文时,可以根据对应关系中该安全终端的IP地址对应的处理动作,直接将该安全终端发送的报文发送至对应的服务器,以使该服务器响应该安全终端发送的报文。
可选的,网络设备还可以根据当前的报文速率,确定报文的处理方式。具体的,在向终端发送第一响应报文和结束对话报文之前,上述方法还包括以下步骤:判断当前的报文速率是否大于预设阈值;如果当前的报文速率大于预设阈值,执行步骤S202;如果当前的报文速率小于预设阈值,将第一报文发送至响应第一报文的服务器。
其中,预设阈值可以由技术人员根据经验进行设置,报文速率可以为网络设备在单位时间内接收到的报文的数目。
在实施中,网络设备可以实时获取当前的报文速率。在接收到第一报文后,网络设备可以判断当前的报文速率是否大于预设阈值。当网络设备判定当前的报文速率大于预设阈值时,网络设备可以根据第一报文中携带的终端的IP地址,向该终端发送第一响应报文和结束对话报文;当网络设备判定当前的报文速率小于或者等于预设阈值时,网络设备可以直接将第一报文发送至对应的服务器,以使该服务器响应第一报文。
参见图3,图3为本申请实施例提供的一种报文处理方法的示例的流程图,该方法可以应用于图1所示的组网中,其中,假设终端为SIP(Session Initiation Protocol,会话初始协议)终端,网络设备为防火墙,服务器为SIP服务器。图3所示的方法包括以下步骤。
S301:网络设备接收终端发送的第一报文:UDP INVITE报文。
其中,该UDP INVITE报文中可以携带有该终端的IP地址。参见图4,图4为本申请实施例提供的一种UDP INVITE报文的结构图。UDP INVITE报文可以包括消息方法、消息头域和消息体三部分。根据消息方法部分可以确定该UDP INVITE报文为request(请求)消息,该终端访问的服务器的IP地址为60.0.0.2。根据消息头域部分可以得到该终端的IP地址为1.1.1.2。
S302:网络设备判断当前的报文速率是否大于预设阈值,如果当前的报文速率小于或者等于预设阈值,执行S303,如果当前的报文速率大于预设阈值,执行S304。
S303:网络设备将该UDP INVITE报文发送至对应的服务器,以使该服务器响应该UDP INVITE报文。
S304:网络设备判断预设的终端的IP地址与处理动作的对应关系中,是否存在该终端的IP地址,如果预设的终端的IP地址与处理动作的对应关系中存在该终端的IP地址,执行S305,如果预设的终端的IP地址与处理动作的对应关系中不存在该终端的IP地址,执行S306。
S305:网络设备根据对应关系中该终端的IP地址对应的处理动作,对该UDPINVITE报文进行安全控制处理。
S306:网络设备根据该终端的IP地址,向该终端发送第一200OK报文(即第一响应报文)和BYE报文(即结束对话报文)。
其中,第一200OK报文和BYE报文中携带有验证字符串。
参见图5,图5为本申请实施例提供的一种200OK报文的结构图。网络设备可以根据UDP INVITE报文生成第一200OK报文。具体的,网络设备将接收到的UDP INVITE报文的消息方法修改为200OK,并将消息头域中的branch字段的数值修改为验证字符串,然后根据SIP协议中200OK的报文结构填充消息头域和消息体,生成第一200OK报文。网络设备可以根据生成的第一200OK报文,生成branch字段的数值为验证字符串的BYE报文。如图6所示,图6为本申请实施例提供的一种BYE报文的结构图。
S307:网络设备判断在发送BYE报文后的预设时长内,是否接收到该终端发送的携带有验证字符串的第二200OK报文(即第二响应报文),如果在发送BYE报文后的预设时长内,接收到携带有验证字符串的第二200OK报文,执行S308-S309,如果在发送BYE报文后的预设时长内,未接收到携带有验证字符串的第二200OK报文,执行S3010-S3011。
S308:网络设备将该UDP INVITE报文发送至响应该UDP INVITE报文的服务器。
S309:网络设备将该终端的IP地址添加到预设的终端的IP地址与处理动作的对应关系中,并设置该终端的IP地址对应的处理动作为转发报文。
S3010:网络设备丢弃该UDP INVITE报文。
S3011:网络设备将该终端的IP地址添加到预设的终端的IP地址与处理动作的对应关系中,并设置该终端的IP地址对应的处理动作为丢弃报文。
如上可知,本申请实施例中网络设备通过修改报文的branch字段的数值、以及通过比较返回报文的branch字段的数值来判断终端的真实性。若返回的第二响应报文中的branch字段的数值与第一响应报文、结束对话报文中的branch字段的数值相同,那么可以判定发送第一报文的终端为真实存在的终端;若不相同,则判定发送第一报文的终端为恶意终端或攻击终端。
故,本申请实施例可以实现当服务器遭受到SIP flood(泛洪)攻击时,通过网络设备对SIP终端进行上述S301-3011的验证过程,可以识别出真实存在的SIP终端和SIP Flood的攻击终端,并且可以正确放行真实存在的SIP终端的连接报文,阻止攻击终端的报文。
由以上可见,基于本申请实施例的报文处理方法,可以根据终端发送的第一报文中携带的终端的IP地址,向该终端发送第一响应报文和结束对话报文,如果在发送结束对话报文后的预设时长内,未接收到该终端发送的携带有验证字符串的第二响应报文,则丢弃第一报文。基于上述处理,可以确定出恶意报文,将发送该恶意报文的终端确定为恶意终端。然后,网络设备可以丢弃恶意报文,进而可以避免将恶意报文发送至对应的服务器,降低网络攻击对服务器工作效率的影响。
与图2的方法实施例相对应,参见图7,图7为本申请实施例提供的一种报文处理装置的结构图,该装置可以包括:
接收模块701,用于接收终端发送的第一报文,其中,所述第一报文中携带有所述终端的IP地址;
发送模块702,用于根据所述终端的IP地址,向所述终端发送第一响应报文和结束对话报文,其中,所述第一响应报文和所述结束对话报文中携带有验证字符串;
第一判断模块703,用于判断在发送所述结束对话报文后的预设时长内,是否接收到所述终端发送的携带有所述验证字符串的第二响应报文;
第一处理模块704,用于如果在所述预设时长内未接收到所述第二响应报文,丢弃所述第一报文。
可选的,所述装置还包括:
第二判断模块,用于判断预设的终端的IP地址与处理动作的对应关系中,是否存在所述终端的IP地址;如果所述对应关系中存在所述终端的IP地址,触发第二处理模块,如果所述对应关系中不存在所述终端的IP地址,触发所述发送模块702;
所述第二处理模块,用于根据所述对应关系中与所述终端的IP地址对应的处理动作,对所述第一报文进行安全控制处理。
可选的,所述装置还包括:
第一添加模块,用于将所述终端的IP地址添加到预设的终端的IP地址与处理动作的对应关系中,并设置所述终端的IP地址对应的处理动作为丢弃报文。
可选的,所述装置还包括:
第三处理模块,用于如果在所述预设时长内,接收到所述第二响应报文,将所述第一报文发送至响应所述第一报文的服务器。
可选的,所述装置还包括:
第二添加模块,用于将所述终端的IP地址添加到预设的终端的IP地址与处理动作的对应关系中,并设置所述终端的IP地址对应的处理动作为转发报文。
可选的,所述装置还包括:
第三判断模块,用于判断当前的报文速率是否大于预设阈值;如果当前的报文速率大于所述预设阈值,触发所述发送模块702,如果当前的报文速率小于所述预设阈值,触发转发模块;
所述转发模块,用于将所述第一报文发送至响应所述第一报文的服务器。
由以上可见,基于本申请实施例的报文处理装置,可以根据终端发送的第一报文中携带的终端的IP地址,向该终端发送第一响应报文和结束对话报文,如果在发送结束对话报文后的预设时长内,未接收到该终端发送的携带有验证字符串的第二响应报文,则丢弃第一报文。基于上述处理,可以确定出恶意报文,从而将发送该恶意报文的终端确定为恶意终端。然后,丢弃恶意报文,进而可以避免将恶意报文发送至对应的服务器,降低网络攻击对服务器工作效率的影响。
如上可知,网络设备通过修改报文的branch字段的数值、以及通过比较返回报文的branch字段的数值来判断终端的真实性。若返回的第二响应报文中的branch字段的数值与第一响应报文、结束对话报文中的branch字段的数值相同,那么可以判定发送第一报文的终端为真实存在的终端;若不相同,则判定发送第一报文的终端为恶意终端或攻击终端。
本申请实施例还提供了一种电子设备,如图8所示,包括处理器801、通信接口802、存储器803和通信总线804,其中,处理器801,通信接口802,存储器803通过通信总线804完成相互间的通信,
存储器803,用于存放计算机程序;
处理器801,用于执行存储器803上所存放的程序时,以使电子设备执行如下步骤,该步骤包括:
接收终端发送的第一报文,其中,所述第一报文中携带有所述终端的IP地址;
根据所述终端的IP地址,向所述终端发送第一响应报文和结束对话报文,其中,所述第一响应报文和所述结束对话报文中携带有验证字符串;
判断在发送所述结束对话报文后的预设时长内,是否接收到所述终端发送的携带有所述验证字符串的第二响应报文;
如果在所述预设时长内,未接收到所述第二响应报文,丢弃所述第一报文。
可选的,在所述向所述终端发送第一响应报文和结束对话报文之前,上述步骤还包括:
判断预设的终端的IP地址与处理动作的对应关系中,是否存在所述终端的IP地址;
如果所述对应关系中存在所述终端的IP地址,根据所述对应关系中与所述终端的IP地址对应的处理动作,对所述第一报文进行安全控制处理;
如果所述对应关系中不存在所述终端的IP地址,执行所述向所述终端发送第一响应报文和结束对话报文步骤。
可选的,在所述丢弃所述第一报文之后,上述步骤还包括:
将所述终端的IP地址添加到预设的终端的IP地址与处理动作的对应关系中,并设置所述终端的IP地址对应的处理动作为丢弃报文。
可选的,上述步骤还包括:
如果在所述预设时长内,接收到所述第二响应报文,将所述第一报文发送至响应所述第一报文的服务器。
可选的,在所述将所述第一报文发送至响应所述第一报文的服务器之后,上述步骤还包括:
将所述终端的IP地址添加到预设的终端的IP地址与处理动作的对应关系中,并设置所述终端的IP地址对应的处理动作为转发报文。
可选的,在所述向所述终端发送第一响应报文和结束对话报文之前,上述步骤还包括:
判断当前的报文速率是否大于预设阈值;
如果当前的报文速率大于所述预设阈值,执行所述向所述终端发送第一响应报文和结束对话报文步骤;
如果当前的报文速率小于所述预设阈值,将所述第一报文发送至响应所述第一报文的服务器。
机器可读存储介质可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。另外,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
由以上可见,在本申请实施例中,可以根据终端发送的第一报文中携带的终端的IP地址,向该终端发送第一响应报文和结束对话报文,如果在发送结束对话报文后的预设时长内,未接收到终端发送的携带有验证字符串的第二响应报文,则丢弃第一报文。基于上述处理,可以确定出恶意报文,将发送该恶意报文的终端确定为恶意终端。然后,丢弃恶意报文,进而可以避免将恶意报文发送至对应的服务器,降低网络攻击对服务器工作效率的影响。
如上可知,网络设备通过修改报文的branch字段的数值、以及通过比较返回报文的branch字段的数值来判断终端的真实性。若返回的第二响应报文中的branch字段的数值与第一响应报文、结束对话报文中的branch字段的数值相同,那么可以判定发送第一报文的终端为真实存在的终端;若不相同,则判定发送第一报文的终端为恶意终端或攻击终端。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、电子设备、机器可读存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (10)
1.一种报文处理方法,其特征在于,所述方法包括:
接收终端发送的第一报文,其中,所述第一报文中携带有所述终端的网际协议IP地址;
根据所述终端的IP地址,向所述终端发送第一响应报文和结束对话报文,其中,所述第一响应报文和所述结束对话报文中携带有验证字符串;
判断在发送所述结束对话报文后的预设时长内,是否接收到所述终端发送的携带有所述验证字符串的第二响应报文;
如果在所述预设时长内,未接收到所述第二响应报文,丢弃所述第一报文。
2.根据权利要求1所述的方法,其特征在于,在所述向所述终端发送第一响应报文和结束对话报文之前,所述方法还包括:
判断预设的终端的IP地址与处理动作的对应关系中,是否存在所述终端的IP地址;
如果所述对应关系中存在所述终端的IP地址,根据所述对应关系中与所述终端的IP地址对应的处理动作,对所述第一报文进行安全控制处理;
如果所述对应关系中不存在所述终端的IP地址,执行所述向所述终端发送第一响应报文和结束对话报文步骤。
3.根据权利要求1所述的方法,其特征在于,在所述丢弃所述第一报文之后,所述方法还包括:
将所述终端的IP地址添加到预设的终端的IP地址与处理动作的对应关系中,并设置所述终端的IP地址对应的处理动作为丢弃报文。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果在所述预设时长内,接收到所述第二响应报文,将所述第一报文发送至响应所述第一报文的服务器。
5.根据权利要求4所述的方法,其特征在于,在所述将所述第一报文发送至响应所述第一报文的服务器之后,所述方法还包括:
将所述终端的IP地址添加到预设的终端的IP地址与处理动作的对应关系中,并设置所述终端的IP地址对应的处理动作为转发报文。
6.根据权利要求1所述的方法,其特征在于,在所述向所述终端发送第一响应报文和结束对话报文之前,所述方法还包括:
判断当前的报文速率是否大于预设阈值;
如果当前的报文速率大于所述预设阈值,执行所述向所述终端发送第一响应报文和结束对话报文步骤;
如果当前的报文速率小于所述预设阈值,将所述第一报文发送至响应所述第一报文的服务器。
7.一种报文处理装置,其特征在于,所述装置包括:
接收模块,用于接收终端发送的第一报文,其中,所述第一报文中携带有所述终端的IP地址;
发送模块,用于根据所述终端的IP地址,向所述终端发送第一响应报文和结束对话报文,其中,所述第一响应报文和所述结束对话报文中携带有验证字符串;
第一判断模块,用于判断在发送所述结束对话报文后的预设时长内,是否接收到所述终端发送的携带有所述验证字符串的第二响应报文;
第一处理模块,用于如果在所述预设时长内未接收到所述第二响应报文,丢弃所述第一报文。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第二判断模块,用于判断预设的终端的IP地址与处理动作的对应关系中,是否存在所述终端的IP地址;如果所述对应关系中存在所述终端的IP地址,触发第二处理模块,如果所述对应关系中不存在所述终端的IP地址,触发所述发送模块;
所述第二处理模块,用于根据所述对应关系中与所述终端的IP地址对应的处理动作,对所述第一报文进行安全控制处理。
9.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第一添加模块,用于将所述终端的IP地址添加到预设的终端的IP地址与处理动作的对应关系中,并设置所述终端的IP地址对应的处理动作为丢弃报文。
10.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第三处理模块,用于如果在所述预设时长内,接收到所述第二响应报文,将所述第一报文发送至响应所述第一报文的服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810500080.5A CN108881044A (zh) | 2018-05-23 | 2018-05-23 | 一种报文处理方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810500080.5A CN108881044A (zh) | 2018-05-23 | 2018-05-23 | 一种报文处理方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108881044A true CN108881044A (zh) | 2018-11-23 |
Family
ID=64333542
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810500080.5A Pending CN108881044A (zh) | 2018-05-23 | 2018-05-23 | 一种报文处理方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108881044A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117412083A (zh) * | 2023-11-07 | 2024-01-16 | 南月(广州)机器人科技有限公司 | 一种用于竞技产品教学的物联网视频传输方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101594269A (zh) * | 2009-06-29 | 2009-12-02 | 成都市华为赛门铁克科技有限公司 | 一种异常连接的检测方法、装置及网关设备 |
CN102891828A (zh) * | 2011-07-18 | 2013-01-23 | 华为软件技术有限公司 | Ims用户验证方法、设备和系统 |
US20150007314A1 (en) * | 2013-06-27 | 2015-01-01 | Cellco Partnership D/B/A Verizon Wireless | Denial of service (dos) attack detection systems and methods |
CN104980920A (zh) * | 2015-05-20 | 2015-10-14 | 小米科技有限责任公司 | 智能终端建立通信连接的方法及装置 |
CN106790310A (zh) * | 2017-03-31 | 2017-05-31 | 网宿科技股份有限公司 | 分布式拒绝服务攻击防护与负载均衡一体化的方法和系统 |
-
2018
- 2018-05-23 CN CN201810500080.5A patent/CN108881044A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101594269A (zh) * | 2009-06-29 | 2009-12-02 | 成都市华为赛门铁克科技有限公司 | 一种异常连接的检测方法、装置及网关设备 |
CN102891828A (zh) * | 2011-07-18 | 2013-01-23 | 华为软件技术有限公司 | Ims用户验证方法、设备和系统 |
US20150007314A1 (en) * | 2013-06-27 | 2015-01-01 | Cellco Partnership D/B/A Verizon Wireless | Denial of service (dos) attack detection systems and methods |
CN104980920A (zh) * | 2015-05-20 | 2015-10-14 | 小米科技有限责任公司 | 智能终端建立通信连接的方法及装置 |
CN106790310A (zh) * | 2017-03-31 | 2017-05-31 | 网宿科技股份有限公司 | 分布式拒绝服务攻击防护与负载均衡一体化的方法和系统 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117412083A (zh) * | 2023-11-07 | 2024-01-16 | 南月(广州)机器人科技有限公司 | 一种用于竞技产品教学的物联网视频传输方法 |
CN117412083B (zh) * | 2023-11-07 | 2024-05-14 | 南月(广州)机器人科技有限公司 | 一种用于竞技产品教学的物联网视频传输方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8365284B2 (en) | Method for protecting a packet-based network from attacks, and security border node | |
US8191119B2 (en) | Method for protecting against denial of service attacks | |
US9641561B2 (en) | Method and system for managing a SIP server | |
Simpson et al. | An inter-domain collaboration scheme to remedy DDoS attacks in computer networks | |
CN107124402A (zh) | 一种报文过滤的方法和装置 | |
EP3338396A1 (en) | Device and method for establishing connection in load-balancing system | |
Gondim et al. | Mirror saturation in amplified reflection Distributed Denial of Service: A case of study using SNMP, SSDP, NTP and DNS protocols | |
Ormazabal et al. | Secure sip: A scalable prevention mechanism for dos attacks on sip based voip systems | |
CN105577669B (zh) | 一种识别虚假源攻击的方法及装置 | |
CN107547559A (zh) | 一种报文处理方法及装置 | |
WO2017114200A1 (zh) | 报文清洗方法及装置 | |
CN113746788A (zh) | 一种数据处理方法及装置 | |
US9037729B2 (en) | SIP server overload control | |
CN110266650A (zh) | Conpot工控蜜罐的识别方法 | |
CN107454065A (zh) | 一种UDP Flood攻击的防护方法及装置 | |
Zhang et al. | Blocking attacks on SIP VoIP proxies caused by external processing | |
Furfaro et al. | A simulation model for the analysis of DDOS amplification attacks | |
Lemos et al. | A selective defense for mitigating coordinated call attacks | |
CN108881044A (zh) | 一种报文处理方法和装置 | |
Tas et al. | Novel session initiation protocol-based distributed denial-of-service attacks and effective defense strategies | |
Dantas et al. | Formal specification and verification of a selective defense for TDoS attacks | |
CN104202297B (zh) | 一种动态地适应服务器性能的防攻击方法和设备 | |
Djalaliev et al. | Sentinel: hardware-accelerated mitigation of bot-based DDoS attacks | |
RU2680038C1 (ru) | Способ защиты вычислительных сетей | |
RU2686023C1 (ru) | Способ защиты вычислительных сетей |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181123 |