CN109088878A - 一种抗拒绝云防护系统的报文处理方法 - Google Patents

一种抗拒绝云防护系统的报文处理方法 Download PDF

Info

Publication number
CN109088878A
CN109088878A CN201811019837.5A CN201811019837A CN109088878A CN 109088878 A CN109088878 A CN 109088878A CN 201811019837 A CN201811019837 A CN 201811019837A CN 109088878 A CN109088878 A CN 109088878A
Authority
CN
China
Prior art keywords
message
cloud
cip
nip
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201811019837.5A
Other languages
English (en)
Inventor
朱静轩
朱鹏飞
孟彦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Network Information Security Ltd By Share Ltd
Original Assignee
China Network Information Security Ltd By Share Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Network Information Security Ltd By Share Ltd filed Critical China Network Information Security Ltd By Share Ltd
Priority to CN201811019837.5A priority Critical patent/CN109088878A/zh
Publication of CN109088878A publication Critical patent/CN109088878A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及网络云安全防护技术领域,具体涉及一种抗拒绝云防护系统的报文处理方法,包括云防护设备接受客户端报文处理、端设备接受云防护设备报文处理、端设备接受服务器报文处理、云防护设备接受端设备报文处理步骤。本发明的有益效果:清洗后的流量由云端转发给服务器,到达服务器之前,经过端设备处理再给服务器,服务器回应的报文首先经过端设备处理发送给云端,从云端清洗后在发送给客户,实现云防护设备与端设备共同进行防御,用户服务器无须任何修改即可实现防御的平滑过度,支持IPv4/IPv6协议族,支持所有TCP/IP协议防护。

Description

一种抗拒绝云防护系统的报文处理方法
技术领域
本发明涉及网络云安全防护技术领域,具体涉及一种抗拒绝云防护系统的报文处理方法。
背景技术
传统的DDOS安全防护设备放在服务器前进行网络流量清洗,网络带宽和防护的压力都集中在服务器线路和防护设备上,使用云防护可以及时清洗掉攻击流量而减少服务器线路带宽。而目前的云方案中大部分只支持HTTP/HTTPS,或者有支持其他的协议的云防护方案,但不保证服务器能获取到真实的源地址而都是云端地址,服务器无法区分不同的客户端。
发明内容
本发明的目的在于克服现有技术中存在的问题,提供一种抗拒绝云防护系统的报文处理方法,它可以实现云防护设备与端设备共同防御的方式,用户服务器无须任何修改即可完成平滑的云防御过度。支持IPv4/IPv6协议族,支持所有TCP/IP协议防护。
为实现上述技术目的,达到上述技术效果,本发明是通过以下技术方案实现的:
一种抗拒绝云防护系统的报文处理方法,支持IPv4/IPv6协议报文处理,防
护所有TCP/UDP协议,并针对TCP三次握手的SYN报文进行特殊处理,其
包括如下步骤:
步骤1、云防护设备接受客户端报文处理,具体包括如下步骤:
步骤1.1、客户端访问服务器:其中源地址为客户端地址CIP,目的地址为云地址NIP;
步骤1.2、云防护设备收到客户端的报文:将攻击流量全部清洗;
步骤1.3、SNAT操作:将报文的源地址CIP转换为NIP;
步骤1.4、DNAT操作:将报文的目的地址NIP转为服务器地址SIP;
步骤1.5、附加CIP数据操作,将CIP信息加密后添加到报文末尾;
步骤1.6、修改报文的长度、三四层校验和计算,转换后报文源地址为NIP,目的地址为SIP,将报文发送给端设备;
步骤2、端设备接受云防护设备报文处理,具体包括如下步骤:
步骤2.1、端设备收到云防护设备过来的报文,从报文的数据部分解析出CIP;
步骤2.2、SNAT操作,将CIP替换掉报文的源地址NIP;
步骤2.3、保存CIP、NIP、SIP、源目的端口的对应关系;
步骤2.4、修改报文的长度、三四层校验和计算,转换后的报文源地址为CIP,目的地址为SIP,将报文发送给服务器;
步骤3、端设备接受服务器报文处理,具体包括如下步骤:
步骤3.1、端设备收到服务器的回应报文,根据CIP、SIP、源目的端口的对应关系找到NIP信息;
步骤3.2、DNAT操作:将NIP替换掉报文的目的地址CIP;
步骤3.3、附加CIP数据操作:将CIP信息加密后添加到报文末尾;
步骤3.4、修改报文的长度、三四层校验和计算,转换后报文源地址为SIP,目的地址为NIP,将报文发送给云防护设备;
步骤4、云防护设备接受端设备报文处理,具体包括如下步骤:
步骤4.1、云防护设备收到服务器过来的报文,从报文的数据部分解析出CIP;
步骤4.2、SNAT操作:将报文的源地址SIP转换为NIP;
步骤4.3、DNAT操作:将报文的目的地址NIP转为CIP;
步骤4.4、修改报文的长度、三四层校验和计算,转换后报文源地址为NIP,目的地址为CIP,将报文发送给客户端。
进一步地,所述步骤1.5及所述步骤3.3中附加CIP数据操作时,针对SYN报文的特殊处理,将CIP的信息按照一定格式填充到TCP头选项末尾。
本发明的有益效果:用户请求报文目的地址为分配给服务器的云端地址,经过网络传输到达各个区域的云防护设备,清洗后流量经过报文转换发送到达服务器之前先到端设备,端设备经过报文转换处理再发送给服务器,服务器收到的报文源地址为真实用户地址。服务器回应的报文首先经过端设备处理发送给云端,从云端清洗后在发送给客户,实现云防护设备与端设备共同进行防御,实现防御的平滑过度,即,实现提高云防护设备对客户端的防护效率,使云防护设备更好地对客户端进行防护。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种抗拒绝云防护系统的报文处理方法的流程示意图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
TCP是主机对主机层的传输控制协议,提供可靠的连接服务,采用三次握手确认建立一个连接:位码即tcp标志位,有6种标示:SYN建立联机、ACK确认、PSH传送、FIN结束、RST重置、URG紧急、Sequence number顺序号码、Acknowledge number确认号码,第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认;SYN:同步序列编号;第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_RECV状态;第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED(TCP连接成功)状态,完成三次握手。
如图1所示的一种抗拒绝云防护系统的报文处理方法,防护所有TCP协议,并针对TCP三次握手的SYN报文进行特殊处理,其包括如下步骤:
步骤1、云防护设备接受客户端报文处理,具体包括如下步骤:
步骤1.1、客户端访问服务器:其中源地址为客户端地址CIP,目的地址为云地址NIP,所述NIP为DNS解析出的地址或者客户端软件设置的服务器地址;
步骤1.2、云防护设备收到客户端的报文:将攻击流量全部清洗;
步骤1.3、SNAT操作:将报文的源地址CIP转换为NIP;
步骤1.4、DNAT操作:将报文的目的地址NIP转为服务器地址SIP;
步骤1.5、附加CIP数据操作,将CIP信息加密后添加到报文末尾;
步骤1.6、修改报文的长度、三四层校验和计算,转换后报文源地址为NIP,目的地址为SIP,将报文发送给端设备;
步骤2、端设备接受云防护设备报文处理,具体包括如下步骤:
步骤2.1、端设备收到云防护设备过来的报文,从报文的数据部分解析出CIP;
步骤2.2、SNAT操作,将CIP替换掉报文的源地址NIP;
步骤2.3、保存CIP、NIP、SIP、源目的端口的对应关系;
步骤2.4、修改报文的长度、三四层校验和计算,转换后报文源地址为CIP,目的地址为SIP,将报文发送给服务器;
步骤3、端设备接受服务器报文处理,具体包括如下步骤:
步骤3.1、端设备收到服务器的回应报文,根据CIP、SIP、源目的端口的对应关系找到NIP信息;
步骤3.2、DNAT操作:将NIP替换掉报文的目的地址CIP;
步骤3.3、附加CIP数据操作:将CIP信息加密后添加到报文末尾;
步骤3.4、修改报文的长度、三四层校验和计算,转换后报文源地址为SIP,目的地址为NIP,将报文发送给云防护设备;
步骤4、云防护设备接受端设备报文处理,具体包括如下步骤:
步骤4.1、云防护设备收到端设备发送过来的报文,从报文的数据部分解析出CIP;
步骤4.2、SNAT操作:将报文的源地址SIP转换为NIP;
步骤4.3、DNAT操作:将报文的目的地址NIP转为CIP;
步骤4.4、修改报文的长度、三四层校验和计算,转换后报文源地址为NIP,目的地址为CIP,将报文发送给客户端。
所述步骤1.5及所述步骤3.3中附加CIP数据操作时,SYN报文的特殊处理,将CIP的信息按照一定格式填充到TCP头选项末尾,在云防护设备和端设备中间网络中,可能会存在其他安全产品丢弃携带数据的syn包,因此云防护设备和端设备在附加CIP数据操作的时候,并不和其他TCP报文一样,将附加信息追加到报文负载的末尾,TCP协议规定TCP头首部长度占用4字节,表示了TCP头最大长度为60字节,其中有20字节的固定长度,剩余40字节为可变长的选项部分,将CIP的信息按照一定格式填充到选项末尾,并保证选项部分能被网络中所有设备正常解析。TCP在三次握手建立连接过程中,会在SYN报文中使用MSS选项功能,协商交互双方能够接收的最大段长MSS值,云防护设备和端设备交互中,都会在报文末尾附加CIP数据信息,报文长度增加,修改SYN报文MSS,防止分片可能存在的情况,其中MSS是传输层TCP协议范畴内的概念,标识TCP能够承载的最大的应用数据段长度。
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。

Claims (2)

1.一种抗拒绝云防护系统的报文处理方法,支持IPv4/IPv6协议报文处理,
防护所有TCP/UDP协议,并针对TCP三次握手的SYN报文进行特殊处理,
其特征在于,其包括如下步骤:
步骤1、云防护设备接受客户端报文处理,具体包括如下步骤:
步骤1.1、客户端访问服务器:其中源地址为客户端地址CIP,目的地址为云地址NIP;
步骤1.2、云防护设备收到客户端的报文:将攻击流量全部清洗;
步骤1.3、SNAT操作:将报文的源地址CIP转换为NIP;
步骤1.4、DNAT操作:将报文的目的地址NIP转为服务器地址SIP;
步骤1.5、附加CIP数据操作,将CIP信息加密后添加到报文末尾;
步骤1.6、修改报文的长度、三四层校验和计算,转换后报文源地址为NIP,目的地址为SIP,将报文发送给端设备;
步骤2、端设备接受云防护设备报文处理,具体包括如下步骤:
步骤2.1、端设备收到云防护设备过来的报文,从报文的数据部分解析出CIP;
步骤2.2、SNAT操作,将CIP替换掉报文的源地址NIP;
步骤2.3、保存CIP、NIP、SIP、源目的端口的对应关系;
步骤2.4、修改报文的长度、三四层校验和计算,转换后报文源地址为CIP,目的地址为SIP,将报文发送给服务器;
步骤3、端设备接受服务器报文处理,具体包括如下步骤:
步骤3.1、端设备收到服务器的回应报文,根据CIP、SIP、源目的端口的对应关系找到NIP信息;
步骤3.2、DNAT操作:将NIP替换掉报文的目的地址CIP;
步骤3.3、附加CIP数据操作:将CIP信息加密后添加到报文末尾;
步骤3.4、修改报文的长度、三四层校验和计算,转换后报文源地址为SIP,目的地址为NIP,将报文发送给云防护设备;
步骤4、云防护设备接受端设备报文处理,具体包括如下步骤:
步骤4.1、云防护设备收到服务器过来的报文,从报文的数据部分解析出CIP;
步骤4.2、SNAT操作:将报文的源地址SIP转换为NIP;
步骤4.3、DNAT操作:将报文的目的地址NIP转为CIP;
步骤4.4、修改报文的长度、三四层校验和计算、转换后报文源地址为NIP,目的地址为CIP,将报文发送给客户端。
2.根据权利要求1所述的一种抗拒绝云防护系统的报文处理方法,针对SYN报文的特殊处理,所述步骤1.5及所述步骤3.3中附加CIP数据操作时,将CIP的信息按照一定格式填充到SYN报文TCP头选项末尾。
CN201811019837.5A 2018-09-03 2018-09-03 一种抗拒绝云防护系统的报文处理方法 Pending CN109088878A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811019837.5A CN109088878A (zh) 2018-09-03 2018-09-03 一种抗拒绝云防护系统的报文处理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811019837.5A CN109088878A (zh) 2018-09-03 2018-09-03 一种抗拒绝云防护系统的报文处理方法

Publications (1)

Publication Number Publication Date
CN109088878A true CN109088878A (zh) 2018-12-25

Family

ID=64840607

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811019837.5A Pending CN109088878A (zh) 2018-09-03 2018-09-03 一种抗拒绝云防护系统的报文处理方法

Country Status (1)

Country Link
CN (1) CN109088878A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109688242A (zh) * 2018-12-27 2019-04-26 深信服科技股份有限公司 一种云防护系统及方法
CN109922144A (zh) * 2019-02-28 2019-06-21 北京百度网讯科技有限公司 用于处理数据的方法和装置
CN110535879A (zh) * 2019-09-23 2019-12-03 中星科源(北京)信息技术有限公司 一种原始地址传输方法、系统、存储介质和处理器
CN111107178A (zh) * 2019-12-29 2020-05-05 苏州浪潮智能科技有限公司 一种指定报文使用本地地址的方法和设备
CN112532702A (zh) * 2020-11-19 2021-03-19 深圳市利谱信息技术有限公司 云服务平台和用户端的安全通信方法和云隔离安全系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060256815A1 (en) * 1999-06-15 2006-11-16 Ssh Communications Security Ltd Method and arrangement for providing security through network address translations using tunneling and compensations
CN1905553A (zh) * 2005-07-28 2007-01-31 易星 在dos攻击或者设备过载时保障所选用户访问的方法
CN103023942A (zh) * 2011-09-27 2013-04-03 奇智软件(北京)有限公司 一种服务器负载均衡方法、装置及系统
CN105554065A (zh) * 2015-12-03 2016-05-04 华为技术有限公司 处理报文的方法、转换单元和应用单元
CN106411910A (zh) * 2016-10-18 2017-02-15 上海优刻得信息科技有限公司 一种分布式拒绝服务攻击的防御方法与系统
CN106657035A (zh) * 2016-12-06 2017-05-10 北京东土军悦科技有限公司 一种网络报文传输方法及装置
CN106936684A (zh) * 2017-01-18 2017-07-07 北京华夏创新科技有限公司 一种透明模式下无ip地址建立隧道的方法及系统
CN107995324A (zh) * 2017-12-04 2018-05-04 北京奇安信科技有限公司 一种基于隧道模式的云防护方法及装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060256815A1 (en) * 1999-06-15 2006-11-16 Ssh Communications Security Ltd Method and arrangement for providing security through network address translations using tunneling and compensations
CN1905553A (zh) * 2005-07-28 2007-01-31 易星 在dos攻击或者设备过载时保障所选用户访问的方法
CN103023942A (zh) * 2011-09-27 2013-04-03 奇智软件(北京)有限公司 一种服务器负载均衡方法、装置及系统
CN105554065A (zh) * 2015-12-03 2016-05-04 华为技术有限公司 处理报文的方法、转换单元和应用单元
CN106411910A (zh) * 2016-10-18 2017-02-15 上海优刻得信息科技有限公司 一种分布式拒绝服务攻击的防御方法与系统
CN106657035A (zh) * 2016-12-06 2017-05-10 北京东土军悦科技有限公司 一种网络报文传输方法及装置
CN106936684A (zh) * 2017-01-18 2017-07-07 北京华夏创新科技有限公司 一种透明模式下无ip地址建立隧道的方法及系统
CN107995324A (zh) * 2017-12-04 2018-05-04 北京奇安信科技有限公司 一种基于隧道模式的云防护方法及装置

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109688242A (zh) * 2018-12-27 2019-04-26 深信服科技股份有限公司 一种云防护系统及方法
CN109688242B (zh) * 2018-12-27 2022-03-22 深信服科技股份有限公司 一种云防护系统及方法
CN109922144A (zh) * 2019-02-28 2019-06-21 北京百度网讯科技有限公司 用于处理数据的方法和装置
US11689564B2 (en) 2019-02-28 2023-06-27 Beijing Baidu Netcom Science And Technology Co., Ltd. Method and apparatus for processing data in cleaning device
CN110535879A (zh) * 2019-09-23 2019-12-03 中星科源(北京)信息技术有限公司 一种原始地址传输方法、系统、存储介质和处理器
CN111107178A (zh) * 2019-12-29 2020-05-05 苏州浪潮智能科技有限公司 一种指定报文使用本地地址的方法和设备
CN112532702A (zh) * 2020-11-19 2021-03-19 深圳市利谱信息技术有限公司 云服务平台和用户端的安全通信方法和云隔离安全系统
CN112532702B (zh) * 2020-11-19 2023-07-28 深圳市利谱信息技术有限公司 云服务平台和用户端的安全通信方法和云隔离安全系统

Similar Documents

Publication Publication Date Title
CN109088878A (zh) 一种抗拒绝云防护系统的报文处理方法
US10432522B2 (en) Network packet flow controller with extended session management
US9985872B2 (en) Router with bilateral TCP session monitoring
US9438702B2 (en) Techniques for protecting against denial of service attacks
US20230327984A1 (en) Reverse forwarding information base enforcement
US10298616B2 (en) Apparatus and method of securing network communications
CN109155757A (zh) 混合接入网络中的多路径tcp
WO2017209923A1 (en) Detecting source network address translation in a communication system
CN102812685A (zh) 防火墙后面的安全连接发起主机
JP6444988B2 (ja) Httpを利用する通信システム
JP2017118545A5 (zh)
Simpson TCP cookie transactions (TCPCT)
JP2008537421A (ja) 通信システム内の接続を確立する方法
JP5664320B2 (ja) 中継装置、パケット中継方法、及び通信システム
JP2009055418A (ja) 通信システム、中継装置、端末、及び中継処理方法並びにそのプログラム
CN113261259A (zh) 用于透明会话切换的系统和方法
JP2006279771A (ja) パケット伝送方式およびパケット伝送プログラム
JP3648211B2 (ja) パケット中継プログラム、パケット中継装置および記録媒体
JP5992348B2 (ja) 負荷分散システム、負荷分散方法
CN116074368B (zh) 网络切换装置、方法、电子设备及存储介质
JP2016062572A (ja) 負荷分散装置、サーバ、負荷分散システム、負荷分散プログラム
Simpson RFC 6013: TCP Cookie Transactions (TCPCT)
TWI242964B (en) Information security service system
Siddiqui et al. Stream Control Transmission Protocol (SCTP)

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20181225