CN110198290A - 一种信息处理方法、设备、装置及存储介质 - Google Patents
一种信息处理方法、设备、装置及存储介质 Download PDFInfo
- Publication number
- CN110198290A CN110198290A CN201810208316.8A CN201810208316A CN110198290A CN 110198290 A CN110198290 A CN 110198290A CN 201810208316 A CN201810208316 A CN 201810208316A CN 110198290 A CN110198290 A CN 110198290A
- Authority
- CN
- China
- Prior art keywords
- fragment
- record
- transport layer
- information table
- layer data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种信息处理方法、设备、装置及存储介质。该方法包括:从终端接收业务报文;如果确定业务报文为传输层数据的第一分片,则在预先创建的第一分片信息表中建立第一分片记录,其中,第一分片记录包括传输层数据的标识以及表征第一分片是否合法的标记,传输层数据包括第一分片和至少一个第二分片;及,如果确定业务报文为传输层数据的第二分片,则根据传输层数据的标识从第一分片信息表中获取第一分片记录,基于第一分片记录中的标记确定是否将第二分片转发给服务器。利用这些技术方案,既可以有效拦截攻击报文,又不误杀任何正常的业务报文,提高了服务器的资源利用率。
Description
技术领域
本申请涉及计算机网络通信技术领域,尤其涉及一种信息处理方法、设备、装置及存储介质。
背景技术
在计算机网络中,当终端和服务器进行互联通信时,黑客可以通过控制分布在互联网中的僵尸网络对服务器发起分布式的拒绝服务攻击(DDoS),使得服务器在攻击过程中带宽阻塞或者忙于处理垃圾请求而无法响应正常用户的请求,导致拒绝正常的服务。
在这种分布式的拒绝服务攻击中,由于用户数据报(UDP)协议是面向无连接的,UDP淹没(flood)攻击为DDoS攻击中最为常见的攻击手法。现有的UDP报文防护方案通常采用报文丢弃策略或者限速策略,即对被攻击的目标服务器拦截所有的UDP报文,或者对被攻击的目标服务器的UDP协议流量做限流,超过限流的报文做拦截。
由于现有方法是对UDP报文做无差别的丢弃或者拦截,会导致用户的正常UDP流量被误杀。因此,既可以防护UDP报文攻击,又可以避免误杀正常的UDP报文,成为解决DDoS防护的一个重点和难点问题。
发明内容
有鉴于此,本发明提供了一种信息处理方法、设备、装置及存储介质,能够在有效拦截攻击报文的同时,不误杀任何正常的业务报文,提高了服务器的资源利用率。
本发明的技术方案是这样实现的:
本发明提供了一种信息处理方法,包括:
从终端接收业务报文;
如果确定所述业务报文为传输层数据的第一分片,则在预先创建的第一分片信息表中建立第一分片记录,其中,所述第一分片记录包括所述传输层数据的标识以及表征所述第一分片是否合法的标记,所述传输层数据包括所述第一分片和至少一个第二分片;及,
如果确定所述业务报文为所述传输层数据的第二分片,则根据所述传输层数据的标识从所述第一分片信息表中获取所述第一分片记录,基于所述第一分片记录中的标记确定是否将所述第二分片转发给服务器。
本发明还提供了一种信息处理设备,包括处理器和存储器,所述存储器中存储可被所述处理器执行的指令,当执行所述指令时,所述处理器用于:
从终端接收业务报文;
如果确定所述业务报文为传输层数据的第一分片,则在预先创建的第一分片信息表中建立第一分片记录,其中,所述第一分片记录包括所述传输层数据的标识以及表征所述第一分片是否合法的标记,所述传输层数据包括所述第一分片和至少一个第二分片;
如果确定所述业务报文为所述传输层数据的第二分片,则根据所述传输层数据的标识从所述第一分片信息表中获取所述第一分片记录;及,
基于所述第一分片记录中的标记确定是否将所述第二分片转发给服务器。
此外,本发明还提供了一种信息处理装置,用于执行本申请实施例中所述的方法。
此外,本发明还提供了一种计算机可读存储介质,存储有计算机可读指令,可以使至少一个处理器执行本申请实施例中所述的方法。
与现有技术相比,本发明实施例在使用UDP分片进行攻击的场景下,既可以有效拦截攻击(即非法)分片报文,又不误杀任何正常(即合法)的分片报文,从而达到了对攻击流量的清洗效果,有效保障了UDP业务的稳定性,提高了针对UDP淹没攻击的防护效果,使得服务器免受黑客的攻击,得以正常运行,从而提高了服务器的资源利用率。
附图说明
为了更清楚的说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来说,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。其中,
图1为本发明一实施例的信息处理系统的结构示意图;
图2为依据本发明一实施例的信息处理方法的示例性流程图;
图3为依据本发明一实施例的在网络层进行分片的示例性流程图;
图4为依据本发明另一实施例的信息处理方法的示例性流程图;
图5为依据本发明又一实施例的信息处理方法的示例性流程图;
图6为依据本发明一实施例的信息处理装置的结构示意图;
图7为依据本发明另一实施例的信息处理装置的结构示意图;
图8为依据本发明又一实施例的信息处理设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明一实施例的信息处理系统的结构示意图。如图1所示,信息处理系统100包括攻击防护系统110、路由器120、服务器130、网络140、终端150-1~150-N以及用户160-1~160-N。其中,路由器120经由网络140接收到终端150-1~150-N发来的业务报文。这些业务报文中包括由攻击者作为用户发送的攻击报文。这些业务报文构成的总流量包括非法流量(或者称为攻击流量)和合法流量(或者称为正常流量)。
路由器120通过分光把镜像流量转发到攻击防护系统110。攻击防护系统110从镜像流量中检测到攻击之后,产生告警,通过与路由器120建立的边界网关协议(BGP)关系,向路由器120发布被攻击服务器的牵引路由,将攻击流量牵引到防护系统110。
根据本发明的实施例,攻击防护系统110对接收到的镜像流量进行分析和过滤,把镜像流量中的攻击流量清洗掉,并把合法流量返回给路由器120。然后,路由器120将合法流量转发给服务器。
实际应用中,网络120可以为无线或有线的形式将路由器120和终端150-1~150-N相连。例如,网络120为互联网服务提供商(ISP)网络。终端150-1~150-N为任意一种可进行网络通信的终端设备,包括智能手机、平板电脑、膝上型便携计算机等。用户160-1~160-N中包括正常用户和黑客。
图2为依据本发明一实施例的信息处理方法的示例性流程图。如图2所示,该方法可包括如下步骤:
步骤201,从终端接收业务报文。
本申请实施例中,终端和服务器之间的数据传输遵循分层的互联网络协议,包括应用层、传输层和网络层。本步骤中的业务报文是指遵循网络层协议(如IP协议)的数据。传输层采用UDP协议。
现有的很多正常UDP业务,例如语音、日志数据等流量,由于应用层报文的数据量较大,经常会在网络层被分片,产生正常业务的UDP分片报文。而攻击者(如黑客)为了达到阻塞目标服务器带宽阻塞的目的,通常会在应用层写入大量数据,这样就导致了UDP淹没攻击过程中经常伴随UDP分片攻击报文。
图3为依据本发明一实施例的在网络层进行分片的示例性流程图。如图3所示,应用层数据进入传输层后,由于传输层所遵循的UDP协议没有分段功能,认为网络层可以传输无限长的数据。当传输层向网络层发送数据时,不考虑应用层数据的长度,仅在其头部添加UDP首部组成传输层数据(即UDP报文),然后直接交给网络层。而实际上,网络层接收到UDP报文后,由于该UDP报文超过了最大传输单元(MTU),在网络层对其进行分片处理,将该UDP报文分为第一分片和至少一个第二分片,在每个分片(即UDP分片)前加上IP头部构成一个业务报文。其中,第一分片也被称为首分片,第二分片也被称为后续分片。如图3所示,一共有N个业务报文,其中第二分片有N-1个。
可见,在传输网络上看到的并不是一个完整的UDP报文,而是被拆分成的多个UDP分片。其中,N的数值受限于应用层数据的长度以及MTU的数值。例如,应用层数据为2000字节,MTU是1500字节,由于受到MTU的限制,将2000字节的应用层数据拆分成长度为1472字节和528字节的两个分片,即N=2,然后将包含这两个分片的业务报文发送给服务器。
步骤202,如果确定业务报文为传输层数据的第一分片,则在预先创建的第一分片信息表中建立第一分片记录。
本步骤中,传输层数据包括第一分片和至少一个第二分片,如图3所示。服务器接收到一个业务报文后,首先判断该业务报文是第一分片还是第二分片。判断的依据是根据业务报文的IP头部中标志(flag)字段以及片偏移(offset)字段,来确定业务报文是否为传输层数据的第一分片。其中,标志(flag)字段用于标记该业务报文是否为分片、后面是否还有分片(是否是最后一个分片)。片偏移(offset)字段是指当前分片在传输层数据中的相对位置。例如,对于第一分片,flags=0x01,fragment offset=0;对于第二分片,flags=0x01,fragment offset!=0(即不等于0)。
本申请实施例中,用于攻击防护的信息处理设备预先创建并维护第一分片信息表,该第一分片信息表是针对第一分片创建的信息记录表,其中包括了多个第一分片记录。第一分片记录包括传输层数据的标识以及表征第一分片是否合法的标记。传输层数据作为第一分片和第二分片所对应的分片前的完整数据,传输层数据的标识即是第一分片的标识,也是第二分片的标识。在具体应用时,传输层数据的标识可以从接收到的业务报文的IP头部中读出。
表1为依据本发明一实施例的第一分片信息表。该第一分片信息表的长度为M,即总共包括M个第一分片记录。每个第一分片记录包括:第一分片的标识、传输层数据的标识以及是否合法的标记,而传输层数据的标识是由一个四元组“源IP地址+目的IP地址+协议+IPid”来表示。其中,第一分片的标识取值为1到M;IPid是指IP头部中的标识(identification)字段,用来标识是否是同一个udp报文的分片;是否合法的标记取值为1和0,其中,“1”表示合法,“0”表示非法。
表1第一分片信息表示例
本申请实施例中,判断第一分片是否合法,可以根据UDP报文的载荷特征过滤、恶意端口判别、指纹学习等方式,例如,判断第一分片的载荷中是否包含某些特定的恶意字符串或载荷是否存在恶意集聚,来确定第一分片是否合法。当判断出第一分片合法时,将第一分片转发给服务器;当判断出第一分片非法时,将第一分片丢弃。
步骤203,如果确定业务报文为传输层数据的第二分片,则根据传输层数据的标识从第一分片信息表中获取第一分片记录,基于第一分片记录中的标记确定是否将第二分片转发给服务器。
本步骤中,若判断出业务报文不是传输层数据的第一分片,则可以确定出该业务报文为传输层数据的第二分片。从业务报文的IP头部中读出传输层数据的标识后,根据传输层数据的标识从第一分片信息表中获取第一分片记录,基于第一分片记录中的标记是合法或者非法来确定是否将第二分片转发给服务器。即第一分片和第二分片的合法性是一致的。
具体的,若标记是“1”,即第一分片是合法的,那么此时将第二分片转发给服务器;否则,若标记是“0”,即第一分片是非法的,那么此时将第二分片丢弃。
由此可见,第一分片记录中表征是否合法的标记,不仅可以用于指示将第一分片转发还是丢弃,也用于指示将与第一分片对应的第二分片转发还是丢弃。
根据本实施例,通过在预先创建的第一分片信息表中建立第一分片记录,当确定业务报文为传输层数据的第二分片时,根据传输层数据的标识从第一分片信息表中获取第一分片记录,基于第一分片记录中的标记确定是否将第二分片转发给服务器,考虑到了在第一分片到达之后第二分片陆续到达的场景,第一分片记录通过传输层数据的标识将第一分片和其他的第二分片关联起来,第一分片记录中表征是否合法的标记可以用于指示对第一分片以及第二分片如何进行处理,因此,以上这种实施方式能够在使用UDP分片进行攻击的场景下,既可以有效拦截攻击(即非法)分片报文,又不误杀任何正常(即合法)的分片报文,从而达到了对攻击流量的清洗效果,有效保障了UDP业务的稳定性,提高了针对UDP淹没攻击的防护效果,使得服务器免受黑客的攻击,得以正常运行,从而提高了服务器的资源利用率。
图4为依据本发明另一实施例的信息处理方法的示例性流程图。如图4所示,该方法可包括如下步骤:
步骤401,从终端接收业务报文。
步骤402,判断业务报文是否为传输层数据的第一分片。若是,则执行步骤403;否则,执行步骤404。
步骤403,如果确定业务报文为传输层数据的第一分片,则在预先创建的第一分片信息表中建立第一分片记录。
此步骤与上述步骤202的描述相同,在此不再赘述。
步骤404,如果确定业务报文为传输层数据的第二分片,则根据传输层数据的标识判断第一分片信息表中是否存在第二分片对应的第一分片记录。若是,则执行步骤405;否则,执行步骤406。
该步骤是用于确定在接收到该第二分片之前是否接收到了第一分片。
步骤405,基于第一分片记录中的标记确定是否将第二分片转发给服务器。
当在第一分片信息表中查找到了第二分片对应的第一分片记录时,说明在接收到该第二分片之前接收到了第一分片,那么此时基于第一分片记录中的标记确定是否将第二分片转发给服务器。具体而言,当该标记指示第一分片合法时,确定将第二分片转发给服务器。当该标记指示第一分片非法时,确定将第二分片丢弃。
步骤406,缓存第二分片,在预先创建的第二分片信息表中建立与第二分片对应的第二分片记录。
本实施实施例中,用于攻击防护的信息处理设备预先创建并维护第二分片信息表,该第二分片信息表是针对第二分片创建的信息记录表,其中包括了至少一个第二分片记录。
本步骤中,当确定第一分片信息表中存在第二分片对应的第一分片记录时,首先在内存中缓存第二分片,同时,在预先创建的第二分片信息表中建立与第二分片对应的第二分片记录。其中,第二分片记录包括传输层数据的标识。
在一实施例中,在第二分片信息表中建立第二分片记录之前,判断第二分片信息表是否还有剩余空间,即第二分片信息表是否耗尽。第二分片信息表的长度跟信息处理设备的内存有关,长度越长,占用的内存越多。
当确定第二分片信息表还有剩余空间时,在第二分片信息表中创建第二分片记录;当确定第二分片信息表没有剩余空间时,丢弃第二分片。
步骤407,根据传输层数据的标识,从第二分片信息表中获取传输层数据对应的至少一个第二分片记录。
此步骤是在第二分片信息表中确定出与同一传输层数据对应的所有第二分片记录。也就是说,针对同一传输层数据,在未接收到第一分片时,依次接收到多个第二分片,每接收到一个第二分片就缓存并建立第二分片记录,同时确定出第二分片信息表中已记录出的所有相关的第二分片记录。
步骤408,判断在接收到第二分片之后的第一有效时长之内,是否接收到传输层数据的第一分片。若是,则执行步骤409;否则,执行步骤412。
本申请实施例中,第二分片记录还包括接收到第二分片的当前时间戳。根据当前时间戳和第一有效时长来限定的时间段内,判断是否接收到第一分片。
步骤409,如果在接收到第二分片之后的第一有效时长之内接收到传输层数据的第一分片,则判断第一分片是否合法。若是,则执行步骤410;否则,执行步骤411。
步骤410,当确定第一分片合法时,将第一分片和至少一个第二分片记录中每个第二分片记录对应的第二分片转发给服务器。
步骤411,当确定第一分片非法时,将第一分片和至少一个第二分片记录中每个第二分片记录对应的第二分片丢弃。
步骤412,如果在接收到第二分片之后的第一有效时长之内未接收到传输层数据的第一分片,将至少一个第二分片记录中每个第二分片记录对应的第二分片丢弃,并在第二分片信息表中删除至少一个第二分片记录。
若在第一有效时长之内未接收到第一分片,则认为第二分片无效,将其丢弃,并且在第二分片信息表中删除相应的记录。可见,第一有效时长体现了第二分片信息表中第二分片记录的老化时间。
具体应用时,第一有效时长可以基于现有互联网的实际运行情况来设定。例如,同一个传输层数据的不同分片之间的时间间隔不会超过3秒,那么可以考虑将第一有效时长设置为3秒。
通过上述实施例,如果确定业务报文为传输层数据的第二分片,并且判断出第一分片信息表中不存在第二分片对应的第一分片记录,则缓存第二分片,在预先创建的第二分片信息表中建立与第二分片对应的第二分片记录,考虑到了第一分片在一个或多个第二分片之后到达的场景,通过这个第二分片信息表对第一分片到来之前的第二分片进行记录,然后在接收到第一分片后根据第一分片的合法性对所有记录的第二分片进行转发或者丢弃,保证了所有合法的分片不会被误杀,同时又可以保证非法分片被拦截。
图5为依据本发明又一实施例的信息处理方法的示例性流程图。在该方法中,用于攻击防护的信息处理设备预先创建3个表:第一分片信息表、第二分片信息表以及黑名单信息表。如图5所示,该方法可包括如下步骤:
步骤501,从终端接收业务报文。
步骤502,判断业务报文是否为传输层数据的第一分片。若是,则执行步骤503;否则,执行步骤506。
步骤503,判断第一分片信息表是否还有剩余空间。若是,则执行步骤504;否则,执行步骤505。
本步骤中,在的第一分片信息表中建立第一分片记录之前,判断第一分片信息表是否还有剩余空间,即第一分片信息表是否耗尽。第一分片信息表的长度跟信息处理设备的内存有关,长度越长,占用的内存越多。
步骤504,当确定第一分片信息表还有剩余空间时,在预先创建的第一分片信息表中建立第一分片记录。
步骤505,当确定第一分片信息表没有剩余空间时,丢弃第一分片,并根据第一分片中的源IP地址,统计同一源IP的被丢弃次数。
当该被丢弃次数超于预设次数阈值时,在预先创建的黑名单信息表中建立黑名单信息记录,并对来自该源终端的所有分片进行丢弃。
例如,该预设次数阈值为每秒3次。若来自同一源IP地址的第一分片在一秒钟内被丢弃3次以上,将该源终端加入黑名单信息表,建立的黑名单信息记录包括一个三元组标识“源IP地址+目的IP地址+协议”以及当前时间戳。根据当前时间戳,可以在预设的第三有效时长(如15分钟)之后删除黑名单信息记录。
步骤506,如果确定业务报文不是传输层数据的第一分片,即是第二分片,则根据传输层数据的标识判断第一分片信息表中是否存在第二分片对应的第一分片记录。若是,则执行步骤507;否则,执行步骤503,之后执行步骤510和步骤511。
步骤507,如果在第一分片信息表中查找到第一分片记录,则进一步判断是否是在接收到第一分片之后的第二有效时长之内接收到第二分片。若是,则执行步骤508;否则,执行步骤509。
本申请实施例中,第一分片记录还包括接收到第一分片的当前时间戳。根据当前时间戳和第二有效时长来限定的时间段内,判断是否接收到第二分片。第二有效时长的数值可以和第一有效时长的数值相同或者不同。
步骤508,如果是在接收到第一分片之后的第二有效时长之内接收到第二分片,则基于第一分片记录中的标记确定是否将第二分片转发给服务器;
步骤509,如果在第二有效时长之内未接收到业务报文,则在第一分片信息表中删除第一分片记录。
可见,第二有效时长体现了第一分片信息表中第一分片记录的老化时间。通过这种老化时间,可以对分片信息表内的记录进行维护和更新。
当步骤506中判断出第一分片信息表中不存在第二分片对应的第一分片记录时,进一步执行步骤503:判断第一分片信息表是否还有剩余空间,即判断第一分片信息表是否被耗尽。若是,则执行步骤510;否则,执行步骤511。
步骤510,如果在第一分片信息表中未获取到第一分片记录,并且确定第一分片信息表没有剩余空间,则丢弃第二分片。
结合步骤505可知,当第一分片信息表被耗尽时,丢弃接收到的任何分片,包括第一分片和第二分片,直到第一分片信息表根据第二有效时长的判断清除掉一些老化的第一分片记录,有了剩余空间。
步骤511,如果在第一分片信息表中未获取到第一分片记录,并且确定第一分片信息表还有剩余空间,则缓存第二分片,在预先创建的第二分片信息表中建立与第二分片对应的第二分片记录,并等待接收第一分片。同时,还可以进一步执行上述步骤407-412所述的处理。
通过上述实施例,信息处理设备通过设置第一分片信息表,对第一分片的合法性进行标记,用于对第一分片以及在第二有效时长之内接收到的第二分片进行相应的转发或丢弃处理;通过设置第二分片信息表,对在第一有效时长内接收到第一分片之前接收到的第二分片进行缓存记录,来保证对这些第二分片进行相应的处理;通过设置黑名单信息表对多次丢弃的源IP进行拦截,可以降低第一分片信息表和第二分片信息表被耗尽的风险。可见,通过设置这3个表,可以对乱序接收到的第一分片或者第二分片进行准确的处理,即合法的进行转发,非法的进行拦截,达到了有效清洗流量的效果。
图6为依据本发明一实施例的信息处理装置的结构示意图。如图6所示,信息处理装置600包括:
接收模块610,用于从终端接收业务报文;
第一记录建立模块620,用于如果确定接收模块610接收到的业务报文为传输层数据的第一分片,则在预先创建的第一分片信息表中建立第一分片记录,其中,第一分片记录包括传输层数据的标识以及表征第一分片是否合法的标记,传输层数据包括第一分片和至少一个第二分片;
第一获取模块630,用于如果确定接收模块610接收到的业务报文为传输层数据的第二分片,则根据传输层数据的标识从第一分片信息表中获取第一分片记录;及,
确定模块640,用于基于第一获取模块630得到的第一分片记录中的标记确定是否将第二分片转发给服务器。
图7为依据本发明一实施例的信息处理装置的结构示意图。如图7所示,信息处理装置700,在信息处理装置600包括的模块610-640基础之上,还包括:
缓存模块710,用于当第一获取模块630在第一分片信息表中未获取到第一分片记录时,缓存第二分片。
在一实施例中,信息处理装置700还包括:
第二记录建立模块720,用于如果确定接收模块610接收到的业务报文为传输层数据的第二分片,则在预先创建的第二分片信息表中建立与第二分片对应的第二分片记录,第二分片记录包括传输层数据的标识;
第二获取模块730,用于如果确定接收模块610接收到的业务报文为传输层数据的第二分片,根据传输层数据的标识,从第二分片信息表中获取传输层数据对应的至少一个第二分片记录;
转发模块740,用于如果接收模块610在接收到第二分片之后的第一有效时长之内接收到传输层数据的第一分片,则当确定第一分片合法时,将第一分片和第二获取模块730获取到的至少一个第二分片记录中每个第二分片记录对应的第二分片转发给服务器。
在一实施例中,第一记录建立模块620用于,当确定第一分片信息表还有剩余空间时,建立第一分片记录;
信息处理装置700还包括:
丢弃模块750,用于当确定第一分片信息表没有剩余空间时,丢弃接收模块610接收到的第一分片。
在一实施例中,确定模块640用于,如果接收模块610在接收到第一分片之后的第二有效时长之内接收到第二分片,则基于标记确定是否将第二分片转发给服务器;
信息处理装置700还包括:
记录删除模块760,用于如果接收模块610在第二有效时长之内未接收到业务报文,则在第一分片信息表中删除第一记录建立模块620建立的第一分片记录。
在一实施例中,信息处理装置700还包括:
丢弃模块750,用于如果第一获取模块630在第一分片信息表中未获取到第一分片记录,并且确定第一分片信息表没有剩余空间,则丢弃接收模块610接收到的第二分片。
图8为依据本发明一实施例的信息处理设备的结构示意图。如图8所示,装置800可包括:处理器810、存储器820、端口830以及总线840。处理器810和存储器820通过总线840互联。处理器810可通过端口830接收和发送数据。其中,
处理器810用于执行存储器820存储的机器可读指令模块。
存储器820存储有处理器810可执行的机器可读指令模块。处理器810可执行的指令模块包括:接收模块821、第一记录建立模块822、第一获取模块823和确定模块824。其中,
接收模块821被处理器810执行时可以为:从终端接收业务报文;
第一记录建立模块822被处理器810执行时可以为:如果确定接收模块821接收到的业务报文为传输层数据的第一分片,则在预先创建的第一分片信息表中建立第一分片记录,其中,第一分片记录包括传输层数据的标识以及表征第一分片是否合法的标记,传输层数据包括第一分片和至少一个第二分片;
第一获取模块823被处理器810执行时可以为:如果确定接收模块821接收到的业务报文为传输层数据的第二分片,则根据传输层数据的标识从第一分片信息表中获取第一分片记录;
确定模块824被处理器810执行时可以为:基于第一获取模块823得到的第一分片记录中的标记确定是否将第二分片转发给服务器。
在一实施例中,处理器810可执行的指令模块还包括:
缓存模块825被处理器810执行时可以为:当第一获取模块823在第一分片信息表中未获取到第一分片记录时,缓存第二分片。
在一实施例中,处理器810可执行的指令模块还包括:
第二记录建立模块826被处理器810执行时可以为:如果确定接收模块821接收到的业务报文为传输层数据的第二分片,则在预先创建的第二分片信息表中建立与第二分片对应的第二分片记录,第二分片记录包括传输层数据的标识;
第二获取模块827被处理器810执行时可以为:如果确定接收模块821接收到的业务报文为传输层数据的第二分片,根据传输层数据的标识,从第二分片信息表中获取传输层数据对应的至少一个第二分片记录;
转发模块828被处理器810执行时可以为:如果接收模块821在接收到第二分片之后的第一有效时长之内接收到传输层数据的第一分片,则当确定第一分片合法时,将第一分片和第二获取模块827获取到的至少一个第二分片记录中每个第二分片记录对应的第二分片转发给服务器。
在一实施例中,第一记录建立模块822用于,当确定第一分片信息表还有剩余空间时,建立第一分片记录;
处理器810可执行的指令模块还包括:
丢弃模块829被处理器810执行时可以为:当确定第一分片信息表没有剩余空间时,丢弃接收模块821接收到的第一分片。
在一实施例中,确定模块824被处理器810执行时可以为:如果接收模块821在接收到第一分片之后的第二有效时长之内接收到第二分片,则基于标记确定是否将第二分片转发给服务器;
处理器810可执行的指令模块还包括:
记录删除模块801被处理器810执行时可以为:如果接收模块821在第二有效时长之内未接收到业务报文,则在第一分片信息表中删除第一记录建立模块822建立的第一分片记录。
在一实施例中,处理器810可执行的指令模块还包括:
丢弃模块829被处理器810执行时可以为:如果第一获取模块823在第一分片信息表中未获取到第一分片记录,并且确定第一分片信息表没有剩余空间,则丢弃接收模块610接收到的第二分片。
由此可以看出,当存储在存储器820中的指令模块被处理器810执行时,可实现前述各个实施例中接收模块、第一记录建立模块、第一获取模块、确定模块、缓存模块、第二记录建立模块、第二获取模块、转发模块、丢弃模块和记录删除模块的各种功能。
上述装置和系统实施例中,各个模块及单元实现自身功能的具体方法在方法实施例中均有描述,这里不再赘述。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
另外,本发明的每一个实施例可以通过由数据处理设备如计算机执行的数据处理程序来实现。显然,数据处理程序构成了本发明。此外,通常存储在一个存储介质中的数据处理程序通过直接将程序读取出存储介质或者通过将程序安装或复制到数据处理设备的存储设备(如硬盘和或内存)中执行。因此,这样的存储介质也构成了本发明。存储介质可以使用任何类型的记录方式,例如纸张存储介质(如纸带等)、磁存储介质(如软盘、硬盘、闪存等)、光存储介质(如CD-ROM等)、磁光存储介质(如MO等)等。
因此,本发明还公开了一种存储介质,其中存储有数据处理程序,该数据处理程序用于执行本发明上述方法的任何一种实施例。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (15)
1.一种信息处理方法,其特征在于,包括:
从终端接收业务报文;
如果确定所述业务报文为传输层数据的第一分片,则在预先创建的第一分片信息表中建立第一分片记录,其中,所述第一分片记录包括所述传输层数据的标识以及表征所述第一分片是否合法的标记,所述传输层数据包括所述第一分片和至少一个第二分片;及,
如果确定所述业务报文为所述传输层数据的第二分片,则根据所述传输层数据的标识从所述第一分片信息表中获取所述第一分片记录,基于所述第一分片记录中的标记确定是否将所述第二分片转发给服务器。
2.根据权利要求1所述的方法,还包括:
当在所述第一分片信息表中未获取到所述第一分片记录时,缓存所述第二分片。
3.根据权利要求2所述的方法,还包括:
在预先创建的第二分片信息表中建立与所述第二分片对应的第二分片记录,所述第二分片记录包括所述传输层数据的标识;
根据所述传输层数据的标识,从所述第二分片信息表中获取所述传输层数据对应的至少一个第二分片记录;
如果在接收到所述第二分片之后的第一有效时长之内接收到所述传输层数据的第一分片,则当确定所述第一分片合法时,将所述第一分片和所述至少一个第二分片记录中每个第二分片记录对应的第二分片转发给所述服务器。
4.根据权利要求3所述的方法,还包括:
如果在接收到所述第二分片之后的第一有效时长之内未接收到所述传输层数据的第一分片,则将所述至少一个第二分片记录中每个第二分片记录对应的第二分片丢弃,并在所述第二分片信息表中删除所述至少一个第二分片记录。
5.根据权利要求3或者4所述的方法,其中,所述在预先创建的第二分片信息表中建立与所述第二分片对应的第二分片记录包括:
当确定所述第二分片信息表还有剩余空间时,在所述第二分片信息表中创建所述第二分片记录;
所述方法还包括:
当确定所述第二分片信息表没有剩余空间时,丢弃所述第二分片。
6.根据权利要求1所述的方法,其中,所述在预先创建的第一分片信息表中建立第一分片记录包括:
当确定所述第一分片信息表还有剩余空间时,建立所述第一分片记录;
所述方法还包括:
当确定所述第一分片信息表没有剩余空间时,丢弃所述第一分片。
7.根据权利要求1所述的方法,其中,所述基于所述第一分片记录中的标记确定是否将所述第二分片转发给服务器包括:
如果在接收到所述第一分片之后的第二有效时长之内接收到所述第二分片,则基于所述标记确定是否将所述第二分片转发给服务器;
所述方法还包括:
如果在所述第二有效时长之内未接收到所述业务报文,则在所述第一分片信息表中删除所述第一分片记录。
8.根据权利要求1所述的方法,还包括:
如果在所述第一分片信息表中未获取到所述第一分片记录,并且确定所述第一分片信息表没有剩余空间,则丢弃所述第二分片。
9.一种信息处理设备,其特征在于,包括处理器和存储器,所述存储器中存储可被所述处理器执行的指令,当执行所述指令时,所述处理器用于:
从终端接收业务报文;
如果确定所述业务报文为传输层数据的第一分片,则在预先创建的第一分片信息表中建立第一分片记录,其中,所述第一分片记录包括所述传输层数据的标识以及表征所述第一分片是否合法的标记,所述传输层数据包括所述第一分片和至少一个第二分片;
如果确定所述业务报文为所述传输层数据的第二分片,则根据所述传输层数据的标识从所述第一分片信息表中获取所述第一分片记录;及,
基于所述第一分片记录中的标记确定是否将所述第二分片转发给服务器。
10.根据权利要求9所述的设备,其特征在于,当执行所述指令时,所述处理器进一步用于:
当在所述第一分片信息表中未获取到所述第一分片记录时,缓存所述第二分片。
11.根据权利要求9所述的设备,其特征在于,当执行所述指令时,所述处理器进一步用于:
如果确定所述业务报文为所述传输层数据的第二分片,则在预先创建的第二分片信息表中建立与所述第二分片对应的第二分片记录,所述第二分片记录包括所述传输层数据的标识;
如果确定所述业务报文为所述传输层数据的第二分片,根据所述传输层数据的标识,从所述第二分片信息表中获取所述传输层数据对应的至少一个第二分片记录;
如果在接收到所述第二分片之后的第一有效时长之内接收到所述传输层数据的第一分片,则当确定所述第一分片合法时,将所述第一分片和所述至少一个第二分片记录中每个第二分片记录对应的第二分片转发给所述服务器。
12.根据权利要求9所述的设备,其特征在于,当执行所述指令时,所述处理器进一步用于:
当确定所述第一分片信息表还有剩余空间时,建立所述第一分片记录;
当确定所述第一分片信息表没有剩余空间时,丢弃所述第一分片。
13.根据权利要求9至12中任一项所述的设备,其特征在于,当执行所述指令时,所述处理器进一步用于:
如果在接收到所述第一分片之后的第二有效时长之内接收到所述第二分片,则基于所述标记确定是否将所述第二分片转发给服务器;
如果在所述第二有效时长之内未接收到所述业务报文,则在所述第一分片信息表中删除所述第一分片记录。
14.一种信息处理装置,其特征在于,用于执行如权利要求1至8中任一项所述的方法。
15.一种计算机可读存储介质,其特征在于,存储有计算机可读指令,可以使至少一个处理器执行如权利要求1至8中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810208316.8A CN110198290B (zh) | 2018-03-14 | 2018-03-14 | 一种信息处理方法、设备、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810208316.8A CN110198290B (zh) | 2018-03-14 | 2018-03-14 | 一种信息处理方法、设备、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110198290A true CN110198290A (zh) | 2019-09-03 |
| CN110198290B CN110198290B (zh) | 2021-11-19 |
Family
ID=67751069
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810208316.8A Active CN110198290B (zh) | 2018-03-14 | 2018-03-14 | 一种信息处理方法、设备、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110198290B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111211890A (zh) * | 2019-12-31 | 2020-05-29 | 江苏省未来网络创新研究院 | 一种基于sdn的网络安全防御系统及其工作方法 |
| CN112511516A (zh) * | 2020-11-20 | 2021-03-16 | 杭州迪普科技股份有限公司 | 一种防护攻击的方法及装置 |
| CN113055433A (zh) * | 2021-02-02 | 2021-06-29 | 新华三信息技术有限公司 | 一种文件传输方法、装置、设备及机器可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1411218A (zh) * | 2002-04-23 | 2003-04-16 | 华为技术有限公司 | 分片报文的网络访问控制方法 |
| CN1921477A (zh) * | 2006-09-01 | 2007-02-28 | 华为数字技术有限公司 | 一种对分片报文进行复杂流分类的方法及系统 |
| CN101247281A (zh) * | 2008-03-21 | 2008-08-20 | 华为技术有限公司 | 一种协议报文的检测方法、系统及设备 |
| US20100220611A1 (en) * | 2009-02-27 | 2010-09-02 | Lida Zhang | Packet fragment reassembly |
| CN104869062A (zh) * | 2014-02-21 | 2015-08-26 | 华为技术有限公司 | 一种数据包转发方法及设备 |
| CN105515921A (zh) * | 2016-01-25 | 2016-04-20 | 盛科网络(苏州)有限公司 | 实现网络分片报文流量实时监测的方法和装置 |
-
2018
- 2018-03-14 CN CN201810208316.8A patent/CN110198290B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1411218A (zh) * | 2002-04-23 | 2003-04-16 | 华为技术有限公司 | 分片报文的网络访问控制方法 |
| CN1921477A (zh) * | 2006-09-01 | 2007-02-28 | 华为数字技术有限公司 | 一种对分片报文进行复杂流分类的方法及系统 |
| CN101247281A (zh) * | 2008-03-21 | 2008-08-20 | 华为技术有限公司 | 一种协议报文的检测方法、系统及设备 |
| US20100220611A1 (en) * | 2009-02-27 | 2010-09-02 | Lida Zhang | Packet fragment reassembly |
| CN104869062A (zh) * | 2014-02-21 | 2015-08-26 | 华为技术有限公司 | 一种数据包转发方法及设备 |
| CN105515921A (zh) * | 2016-01-25 | 2016-04-20 | 盛科网络(苏州)有限公司 | 实现网络分片报文流量实时监测的方法和装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111211890A (zh) * | 2019-12-31 | 2020-05-29 | 江苏省未来网络创新研究院 | 一种基于sdn的网络安全防御系统及其工作方法 |
| CN112511516A (zh) * | 2020-11-20 | 2021-03-16 | 杭州迪普科技股份有限公司 | 一种防护攻击的方法及装置 |
| CN112511516B (zh) * | 2020-11-20 | 2022-07-01 | 杭州迪普科技股份有限公司 | 一种防护攻击的方法及装置 |
| CN113055433A (zh) * | 2021-02-02 | 2021-06-29 | 新华三信息技术有限公司 | 一种文件传输方法、装置、设备及机器可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110198290B (zh) | 2021-11-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Liu et al. | Efficient DDoS attacks mitigation for stateful forwarding in Internet of Things | |
| US7373663B2 (en) | Secret hashing for TCP SYN/FIN correspondence | |
| US6973040B1 (en) | Method of maintaining lists of network characteristics | |
| US7478429B2 (en) | Network overload detection and mitigation system and method | |
| JP4545647B2 (ja) | 攻撃検知・防御システム | |
| CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
| EP1433076B1 (en) | Protecting against distributed denial of service attacks | |
| US7562390B1 (en) | System and method for ARP anti-spoofing security | |
| US20050278779A1 (en) | System and method for identifying the source of a denial-of-service attack | |
| CN108737447B (zh) | 用户数据报协议流量过滤方法、装置、服务器及存储介质 | |
| US7818795B1 (en) | Per-port protection against denial-of-service and distributed denial-of-service attacks | |
| JP5947838B2 (ja) | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム | |
| CN110166480B (zh) | 一种数据包的分析方法及装置 | |
| EP2009864A1 (en) | Method and apparatus for attack prevention | |
| WO2008131658A1 (fr) | Procédé et dispositif pour fureter le dhcp | |
| CN110198290A (zh) | 一种信息处理方法、设备、装置及存储介质 | |
| KR101209214B1 (ko) | 세션 상태 추적을 통한 서비스 거부 공격 방어 장치 및 방법 | |
| WO2019096104A1 (zh) | 攻击防范 | |
| Al-Duwairi et al. | A novel packet marking scheme for IP traceback | |
| WO2009018769A1 (fr) | Procédé et dispositif réseau de défense contre une attaque par message invalide | |
| CN114745142B (zh) | 一种异常流量处理方法、装置、计算机设备及存储介质 | |
| JP2004266483A (ja) | 不正アクセス防止方法、装置、プログラム | |
| US20050147037A1 (en) | Scan detection | |
| Bellaïche et al. | SYN flooding attack detection by TCP handshake anomalies | |
| JP6228262B2 (ja) | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |