CN112153001A - 基于waf的网络通信方法、系统、电子装置和存储介质 - Google Patents
基于waf的网络通信方法、系统、电子装置和存储介质 Download PDFInfo
- Publication number
- CN112153001A CN112153001A CN202010848099.6A CN202010848099A CN112153001A CN 112153001 A CN112153001 A CN 112153001A CN 202010848099 A CN202010848099 A CN 202010848099A CN 112153001 A CN112153001 A CN 112153001A
- Authority
- CN
- China
- Prior art keywords
- request information
- waf
- http request
- http
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种基于WAF的网络通信方法、系统、电子装置和存储介质,其中,该基于WAF的网络通信方法包括:接收TCP代理客户端发送的HTTP请求信息;提取HTTP请求信息中的攻击报文,并对攻击报文进行丢弃处理;将丢弃处理后的HTTP请求信息通过UDP代理发送至服务器。通过本申请,解决了针对相关技术中,由于WAF与服务器之间的TCP三次握手、四次挥手导致端口占用完毕和拒绝服务的问题。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及一种基于WAF的网络通信方法、系统、电子装置和存储介质。
背景技术
随着网络技术的发展,HTTP的应用也越来越普遍。现有的WAF部署在服务器之前,与用户网络串行连接,并通过HTTP协议和WAF实现用户网络与服务器的通信。若不采用代理协议承载HTTP协议,则无法为用户网络与服务器的通信提供足够的安全防护。
在相关技术中,在WAF与服务器之间,使用TCP协议承载HTTP协议,从而可以为用户网络与服务器的通信提供足够的安全防护,这种方法得到了广泛的应用。然而,由于WAF与服务器之间的TCP三次握手、四次挥手会引起网络延迟高、网络性能低、端口释放慢等问题,从而导致端口占用完毕和拒绝服务。
目前针对相关技术中,由于WAF与服务器之间的TCP三次握手、四次挥手导致端口占用完毕和拒绝服务的问题,尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种基于WAF的网络通信方法、系统、电子装置和存储介质,以至少解决针对相关技术中,由于WAF与服务器之间的TCP三次握手、四次挥手导致端口占用完毕和拒绝服务的问题。
第一方面,本申请实施例提供了一种基于WAF的网络通信方法,包括:
接收TCP代理客户端发送的HTTP请求信息;
提取所述HTTP请求信息中的攻击报文,并对所述攻击报文进行丢弃处理;
将丢弃处理后的HTTP请求信息通过UDP代理发送至服务器。
在其中一些实施例中,所述接收TCP代理客户端发送的HTTP请求信息包括:
基于与TCP代理客户端建立的源TCP代理会话,接收TCP代理客户端发送的HTTP请求信息。
在其中一些实施例中,所述将丢弃处理后的HTTP请求信息通过UDP代理发送至服务器包括:
从丢弃处理后的HTTP请求信息中提取目标请求信息,并根据所述目标请求信息,计算得到丢弃处理后HTTP请求信息对应的UUID;
记录所述源TCP代理会话与所述UUID之间的对应关系;
将丢弃处理后的HTTP请求信息以及对应的UUID通过UDP代理发送至所述服务器。
在其中一些实施例中,所述目标请求信息包括源IP、源端口、目的IP、目的端口和请求报文。
在其中一些实施例中,所述根据所述目标请求信息,计算得到丢弃处理后HTTP请求信息对应的UUID包括:
将所述源IP、所述源端口、所述目的IP、所述目的端口和所述请求报文写入至临时文件;
计算所述临时文件的消息摘要;
根据所述消息摘要,计算得到丢弃处理后HTTP请求信息对应的UUID。
在其中一些实施例中,所述方法包括:
接收UDP代理所述服务器发送的HTTP响应数据包;
将所述HTTP响应数据包通过TCP代理发送至所述客户端。
在其中一些实施例中,所述将所述HTTP响应数据包通过TCP代理发送至所述客户端包括:
从所述HTTP响应数据包中提取HTTP响应信息以及所述HTTP响应信息对应的UUID;
根据所述UUID查找对应的源TCP代理会话;
将所述HTTP响应信息通过所述源TCP代理会话发送至所述客户端。
第二方面,本申请实施例提供了一种基于WAF的网络通信系统,包括:客户端、服务器以及WAF,其中:
所述客户端与所述WAF通过TCP连接,用于通过TCP代理将HTTP请求信息发送至所述WAF;
所述WAF与所述服务器通过UDP连接,用于接收所述HTTP请求信息,并通过UDP代理将所述HTTP请求信息发送至所述服务器。
在其中一些实施例中,所述WAF还用于接收所述服务器发送的HTTP响应数据包,并将所述HTTP响应数据包通过TCP代理发送至所述客户端。
第三方面,本申请实施例提供了一种电子装置,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的基于WAF的网络通信方法。
第四方面,本申请实施例提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的基于WAF的网络通信方法。
相比于相关技术,本申请实施例提供的基于WAF的网络通信方法、系统、电子装置和存储介质,通过接收TCP代理客户端发送的HTTP请求信息;提取HTTP请求信息中的攻击报文,并对攻击报文进行丢弃处理;将丢弃处理后的HTTP请求信息通过UDP代理发送至服务器,解决了针对相关技术中,由于WAF与服务器之间的TCP三次握手、四次挥手导致端口占用完毕和拒绝服务的问题。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例的基于WAF的网络通信方法的流程图;
图2为本申请实施例中构建客户端与WAF之间的TCP连接的示意图;
图3为本申请实施例中将丢弃处理后的HTTP请求信息发送至服务器的流程图;
图4为本申请实施例中根据目标请求信息,计算丢弃处理后HTTP请求信息对应的UUID的流程图;
图5为本申请实施例中将HTTP响应数据包发送至客户端的流程图;
图6为本申请具体实施例的基于WAF的网络通信方法的流程图;
图7为本申请实施例的基于WAF的网络通信系统的结构示意图;
图8为本申请实施例的基于WAF的网络通信方法的终端的硬件结构框图;
图9为本申请实施例的基于WAF的网络通信装置的结构框图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指大于或者等于两个。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本申请所描述的各种技术,可以但不仅限于应用于各种网络通信设备和系统。
图1为本申请实施例的基于WAF的网络通信方法的流程图,如图1所示,该流程包括如下步骤:
步骤S110,接收TCP代理客户端发送的HTTP请求信息。
TCP(Transmission Control Protocol,传输控制协议)是一种面向连接的、可靠的、基于字节流的传输层(Transport layer)通信协议。
以构建客户端与WAF之间的TCP连接为例,对TCP传输方式作进一步说明。图2为本申请实施例中构建客户端与WAF之间的TCP连接的示意图,如图2所示,客户端发送SYN报文至WAF;WAF接收到SYN报文后,发送SYN-ACK报文至客户端;客户端接收到SYN-ACK报文后,发送ACK报文至WAF,完成客户端与WAF之间的TCP连接的构建。
步骤S120,提取HTTP请求信息中的攻击报文,并对攻击报文进行丢弃处理。
步骤S130,将丢弃处理后的HTTP请求信息通过UDP代理发送至服务器。
UDP(User Datagram Protocol,用户数据报协议)是一种无连接的传输层协议,具有延迟小和数据传输效率高的优点。
在本实施例中,在客户端与WAF之间使用TCP协议承载HTTP协议;在服务器与WAF之间使用UDP协议承载HTTP协议。其中,TCP协议和UDP协议属于传输层协议,HTTP协议属于应用层协议。
WAF(Web Application Firewall,网站应用级入侵防御系统)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。WAF通过对来自Web应用程序客户端的各类请求进行内容检测和验证,来确保其安全性与合法性,对非法的请求予以实时阻断,从而实现对各类网站站点进行有效防护。
具体地,WAF设置在客户端与服务器之间,通过接收TCP代理客户端发送的HTTP请求信息,对接收到的HTTP请求信息进行攻击检测,以从HTTP请求信息中提取出攻击报文,并对提取出的攻击报文进行丢弃处理。从而将丢弃处理后的HTTP请求信息通过UDP代理发送至服务器,可以有效的提高网络通信过程中数据传输的安全性,从而实现对服务器的安全防护。
通过上述步骤S110至步骤S130,接收TCP代理客户端发送的HTTP请求信息;提取HTTP请求信息中的攻击报文,并对攻击报文进行丢弃处理;将丢弃处理后的HTTP请求信息通过UDP代理发送至服务器。本申请通过在服务器与WAF之间使用UDP协议承载HTTP协议,继承了UDP协议网络延迟低、吞吐效率高以及端口可随意复用的优点,解决了针对相关技术中,由于WAF与服务器之间的TCP三次握手、四次挥手导致端口占用完毕和拒绝服务的问题。同时,在WAF与客户端之间仍使用TCP协议承载HTTP协议,由于现有的WEB浏览器都使用TCP发送HTTP流量,因此不需要对客户端作任何修改就可以直接使用,适用性更强。
在其中一些实施例中,基于与TCP代理客户端建立的源TCP代理会话,接收TCP代理客户端发送的HTTP请求信息。
需要说明的是,WAF与客户端通过三次握手建立源TCP代理会话,并通过源TCP代理会话将HTTP请求信息从客户端发送至WAF。
在其中一些实施例中,图3为本申请实施例中将丢弃处理后的HTTP请求信息发送至服务器的流程图,如图3所示,该流程包括如下步骤:
步骤S310,从丢弃处理后的HTTP请求信息中提取目标请求信息,并根据目标请求信息,计算得到丢弃处理后HTTP请求信息对应的UUID。
UUID(Universally Unique Identifier,通用唯一识别码)是由一组32位数的16进制数字所构成,其标准型式包含32个16进制数字,以连字号分为五段,形式为8-4-4-4-12的32个字符。例如,550e8400-e29b-41d4-a716-446655440000。
步骤S320,记录源TCP代理会话与UUID之间的对应关系。
步骤S330,将丢弃处理后的HTTP请求信息以及对应的UUID通过UDP代理发送至服务器。
通过上述步骤S310至步骤S330,计算HTTP请求信息对应的UUID,从而根据UUID对HTTP请求信息进行标识。通过记录源TCP代理会话与UUID之间的对应关系,并将HTTP请求信息以及对应的UUID通过UDP代理发送至服务器,以便于后续根据UUID查找到对应的源TCP代理会话,可以有效避免数据包丢失的情况,提高网络通信过程中信息传输服务的可靠性。
在其中一些实施例中,目标请求信息包括源IP、源端口、目的IP、目的端口和请求报文。
在其中一些实施例中,图4为本申请实施例中根据目标请求信息,计算丢弃处理后HTTP请求信息对应的UUID的流程图,如图4所示,该流程包括如下步骤:
步骤S410,将源IP、源端口、目的IP、目的端口和请求报文写入至临时文件。
步骤S420,计算临时文件的消息摘要。
消息摘要(Message Digest)又称为数字摘要(Digital Digest)。它是一个唯一对应一个消息或文本的固定长度的值,它由一个单向Hash加密函数对消息进行作用而产生。
可以采用MD5算法(Message-Digest Algorithm 5,消息摘要算法5)计算临时文件的消息摘要,也可以采用SHA-1算法计算临时文件的消息摘要,本实施例不限制消息摘要算法的类型。
步骤S430,根据消息摘要,计算得到丢弃处理后HTTP请求信息对应的UUID。
在其中一些实施例中,可以采用MD5算法计算临时文件的MD5值,并根据MD5值,计算得到丢弃处理后HTTP请求信息对应的UUID。
通过MD5算法可以产生出一个128位(16字节)的散列值,可以将MD5值作为UUID函数的输入参数,从而计算得到丢弃处理后HTTP请求信息对应的UUID。其中,UUID函数的输入参数包括当前时间戳、随机数和机器MAC地址。
例如,将MD5值作为随机数,从而根据UUID函数可以计算得到丢弃处理后HTTP请求信息对应的UUID,即Calc_uuidV1(timestap,rand_MD5,mac_address)。其中,timestap表示当前时间戳,rand_表示随机数,mac_address表示机器MAC地址,uuidV1表示丢弃处理后HTTP请求信息对应的UUID。
通过上述步骤S410至步骤S430,将源IP、源端口、目的IP、目的端口和请求报文写入至临时文件;计算临时文件的消息摘要;根据消息摘要,计算得到丢弃处理后HTTP请求信息对应的UUID。本实施例通过计算临时文件的消息摘要,从而可以根据消息摘要,唯一确定的HTTP请求信息对应的UUID,以便于后续根据UUID快速、准确地查找到对应的源TCP代理会话,进一步提高网络通信过程中信息传输服务的可靠性。
在其中一些实施例中,客户端接收HTTP请求信息以及HTTP请求信息对应的UUID,并对UUID进行记录;根据HTTP请求信息生成HTTP响应信息;将HTTP响应信息以及对应的UUID通过UDP代理发送至WAF。
在其中一些实施例中,在步骤S130之后,该基于WAF的网络通信方法还包括步骤S140和步骤S150,其中:
步骤S140,接收UDP代理服务器发送的HTTP响应数据包。
步骤S150,将HTTP响应数据包通过TCP代理发送至客户端。
在其中一些实施例中,图5为本申请实施例中将HTTP响应数据包发送至客户端的流程图,如图5所示,该流程包括如下步骤:
步骤S510,从HTTP响应数据包中提取HTTP响应信息以及HTTP响应信息对应的UUID。
步骤S520,根据UUID查找对应的源TCP代理会话。
具体地,获取预先记录的源TCP代理会话与UUID之间的对应关系,并根据UUID和该对应关系,确定与UUID对应的源TCP代理会话。
步骤S530,将HTTP响应信息通过源TCP代理会话发送至客户端。
通过上述步骤S510至步骤S530,从HTTP响应数据包中提取HTTP响应信息以及HTTP响应信息对应的UUID;根据UUID查找对应的源TCP代理会话;将HTTP响应信息通过源TCP代理会话发送至客户端。本实施例通过根据UUID查找对应的源TCP代理会话,并将HTTP响应信息通过源TCP代理会话发送至客户端,实现将HTTP响应信息传输到对应的客户端,可以有效避免当网络通信系统中存在多个客户端时,错误的将HTTP响应信息将其他客户端的情况,进一步提高网络通信过程中信息传输服务的可靠性。
在其中一些实施例中,当接收UDP代理服务器发送的HTTP响应数据包后,对HTTP响应数据包进行攻击检测,并将攻击检测后的HTTP响应数据包通过TCP代理发送至客户端。例如,HTTP响应信息中可能含有整治敏感词之类的威胁数据,可以对相关威胁数据进行屏蔽处理。
下面通过具体实施例对本申请实施例进行描述和说明。
图6为本申请具体实施例的基于WAF的网络通信方法的流程图,如图5所示,该基于WAF的网络通信方法包括如下步骤:
步骤S610,接收TCP代理客户端发送的HTTP请求信息。
步骤S620,提取所述HTTP请求信息中的攻击报文,并对所述攻击报文进行丢弃处理。
步骤S630,将丢弃处理后的HTTP请求信息通过UDP代理发送至服务器。
步骤S640,接收UDP代理所述服务器发送的HTTP响应数据包。
步骤S650,将所述HTTP响应数据包通过TCP代理发送至所述客户端。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图7为本申请实施例的基于WAF的网络通信系统的结构示意图,如图7所示,该基于WAF的网络通信系统700包括:客户端710、服务器720以及WAF730,其中:
客户端710与WAF730通过TCP连接,用于通过TCP代理将HTTP请求信息发送至WAF730;
WAF730与服务器720通过UDP连接,用于接收HTTP请求信息,并通过UDP代理将HTTP请求信息发送至服务器720。
在其中一些实施例中,WAF730还用于接收服务器720发送的HTTP响应数据包,并将HTTP响应数据包通过TCP代理发送至客户端710。
在其中一些实施例中,WAF730还用于接收TCP代理客户端710发送的HTTP请求信息;提取所述HTTP请求信息中的攻击报文,并对所述攻击报文进行丢弃处理;将丢弃处理后的HTTP请求信息通过UDP代理发送至服务器720。
在其中一些实施例中,WAF730还用于基于与TCP代理客户端710建立的源TCP代理会话,接收TCP代理客户端710发送的HTTP请求信息。
在其中一些实施例中,WAF730还用于从丢弃处理后的HTTP请求信息中提取目标请求信息,并根据所述目标请求信息,计算得到丢弃处理后HTTP请求信息对应的UUID;记录所述源TCP代理会话与所述UUID之间的对应关系;将丢弃处理后的HTTP请求信息以及对应的UUID通过UDP代理发送至所述服务器720。
在其中一些实施例中,WAF730还用于将所述源IP、所述源端口、所述目的IP、所述目的端口和所述请求报文写入至临时文件;计算所述临时文件的MD5值消息摘要;根据所述MD5值消息摘要,计算得到丢弃处理后HTTP请求信息对应的UUID。
在其中一些实施例中,WAF730还用于接收UDP代理所述服务器720发送的HTTP响应数据包;将所述HTTP响应数据包通过TCP代理发送至所述客户端710。
在其中一些实施例中,客户端710还用于接收HTTP请求信息以及HTTP请求信息对应的UUID,并对UUID进行记录;根据HTTP请求信息生成HTTP响应信息;将HTTP响应信息以及对应的UUID通过UDP代理发送至WAF730。
本实施例提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。以运行在终端上为例,图8为本申请实施例的基于WAF的网络通信方法的终端的硬件结构框图。如图8所示,终端80可以包括一个或多个(图8中仅示出一个)处理器802(处理器802可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器804,可选地,上述终端还可以包括用于通信功能的传输设备806以及输入输出设备808。本领域普通技术人员可以理解,图8所示的结构仅为示意,其并不对上述终端的结构造成限定。例如,终端80还可包括比图8中所示更多或者更少的组件,或者具有与图8所示不同的配置。
存储器804可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本申请实施例中的基于WAF的网络通信方法对应的计算机程序,处理器802通过运行存储在存储器804内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器804可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器804可进一步包括相对于处理器802远程设置的存储器,这些远程存储器可以通过网络连接至终端80。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备806用于经由一个网络接收或者发送数据。上述的网络具体实例可包括终端80的通信供应商提供的无线网络。在一个实例中,传输设备806包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备806可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
本实施例还提供了一种基于WAF的网络通信装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图9为本申请实施例的基于WAF的网络通信装置的结构框图,如图7所示,该基于WAF的网络通信装置900包括:
数据接收模块910,用于接收TCP代理客户端发送的HTTP请求信息;
攻击检测模块920,用于提取HTTP请求信息中的攻击报文,并对攻击报文进行丢弃处理;
数据传输模块930,用于将丢弃处理后的HTTP请求信息通过UDP代理发送至服务器。
在其中一些实施例中,数据接收模块910还用于基于与TCP代理客户端建立的源TCP代理会话,接收TCP代理客户端发送的HTTP请求信息。
在其中一些实施例中,数据传输模块930包括第一提取单元、计算单元、记录单元和第一传输单元,其中:
第一提取单元,用于从丢弃处理后的HTTP请求信息中提取目标请求信息。
计算单元,用于根据目标请求信息,计算得到丢弃处理后HTTP请求信息对应的UUID。
记录单元,用于记录源TCP代理会话与UUID之间的对应关系。
第一传输单元,用于将丢弃处理后的HTTP请求信息以及对应的UUID通过UDP代理发送至服务器。
在其中一些实施例中,目标请求信息包括源IP、源端口、目的IP、目的端口和请求报文。
在其中一些实施例中,计算单元包括数据写入子单元、第一计算子单元和第二计算子单元,其中:
数据写入子单元,用于将源IP、源端口、目的IP、目的端口和请求报文写入至临时文件。
第一计算子单元,用于计算临时文件的消息摘要。
第二计算子单元,用于根据消息摘要,计算得到丢弃处理后HTTP请求信息对应的UUID。
在其中一些实施例中,数据接收模块910还用于接收UDP代理服务器发送的HTTP响应数据包;
数据传输模块930还用于将HTTP响应数据包通过TCP代理发送至客户端。
在其中一些实施例中,数据传输模块930还包括第二提取单元、查找单元和第二传输单元,其中:
第二提取单元,用于从HTTP响应数据包中提取HTTP响应信息以及HTTP响应信息对应的UUID。
查找单元,用于根据UUID查找对应的源TCP代理会话。
第二传输单元,用于将HTTP响应信息通过源TCP代理会话发送至客户端。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
本实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,接收TCP代理客户端发送的HTTP请求信息。
S2,提取HTTP请求信息中的攻击报文,并对攻击报文进行丢弃处理。
S3,将丢弃处理后的HTTP请求信息通过UDP代理发送至服务器。
需要说明的是,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
另外,结合上述实施例中的基于WAF的网络通信方法,本申请实施例可提供一种存储介质来实现。该存储介质上存储有计算机程序;该计算机程序被处理器执行时实现上述实施例中的任意一种基于WAF的网络通信方法。
本领域的技术人员应该明白,以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (11)
1.一种基于WAF的网络通信方法,其特征在于,包括:
接收TCP代理客户端发送的HTTP请求信息;
提取所述HTTP请求信息中的攻击报文,并对所述攻击报文进行丢弃处理;
将丢弃处理后的HTTP请求信息通过UDP代理发送至服务器。
2.根据权利要求1所述的方法,其特征在于,所述接收TCP代理客户端发送的HTTP请求信息包括:
基于与TCP代理客户端建立的源TCP代理会话,接收TCP代理客户端发送的HTTP请求信息。
3.根据权利要求2所述的方法,其特征在于,所述将丢弃处理后的HTTP请求信息通过UDP代理发送至服务器包括:
从丢弃处理后的HTTP请求信息中提取目标请求信息,并根据所述目标请求信息,计算得到丢弃处理后HTTP请求信息对应的UUID;
记录所述源TCP代理会话与所述UUID之间的对应关系;
将丢弃处理后的HTTP请求信息以及对应的UUID通过UDP代理发送至所述服务器。
4.根据权利要求3所述的方法,其特征在于,所述目标请求信息包括源IP、源端口、目的IP、目的端口和请求报文。
5.根据权利要求4所述的方法,其特征在于,所述根据所述目标请求信息,计算得到丢弃处理后HTTP请求信息对应的UUID包括:
将所述源IP、所述源端口、所述目的IP、所述目的端口和所述请求报文写入至临时文件;
计算所述临时文件的消息摘要;
根据所述消息摘要,计算得到丢弃处理后HTTP请求信息对应的UUID。
6.根据权利要求1所述的方法,其特征在于,所述方法包括:
接收UDP代理所述服务器发送的HTTP响应数据包;
将所述HTTP响应数据包通过TCP代理发送至所述客户端。
7.根据权利要求6所述的方法,其特征在于,所述将所述HTTP响应数据包通过TCP代理发送至所述客户端包括:
从所述HTTP响应数据包中提取HTTP响应信息以及所述HTTP响应信息对应的UUID;
根据所述UUID查找对应的源TCP代理会话;
将所述HTTP响应信息通过所述源TCP代理会话发送至所述客户端。
8.一种基于WAF的网络通信系统,其特征在于,包括:客户端、服务器以及WAF,其中:
所述客户端与所述WAF通过TCP连接,用于通过TCP代理将HTTP请求信息发送至所述WAF;
所述WAF与所述服务器通过UDP连接,用于接收所述HTTP请求信息,并通过UDP代理将所述HTTP请求信息发送至所述服务器。
9.根据权利要求8所述的系统,其特征在于,所述WAF还用于接收所述服务器发送的HTTP响应数据包,并将所述HTTP响应数据包通过TCP代理发送至所述客户端。
10.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至7中任一项所述的基于WAF的网络通信方法。
11.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至7中任一项所述的基于WAF的网络通信方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010848099.6A CN112153001B (zh) | 2020-08-21 | 2020-08-21 | 基于waf的网络通信方法、系统、电子装置和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010848099.6A CN112153001B (zh) | 2020-08-21 | 2020-08-21 | 基于waf的网络通信方法、系统、电子装置和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112153001A true CN112153001A (zh) | 2020-12-29 |
CN112153001B CN112153001B (zh) | 2023-06-23 |
Family
ID=73888232
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010848099.6A Active CN112153001B (zh) | 2020-08-21 | 2020-08-21 | 基于waf的网络通信方法、系统、电子装置和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112153001B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114285835A (zh) * | 2021-12-30 | 2022-04-05 | 北京天融信网络安全技术有限公司 | 一种http请求数据的处理方法及系统 |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070266426A1 (en) * | 2006-05-12 | 2007-11-15 | International Business Machines Corporation | Method and system for protecting against denial of service attacks using trust, quality of service, personalization, and hide port messages |
CN101175013A (zh) * | 2006-11-03 | 2008-05-07 | 飞塔信息科技(北京)有限公司 | 一种拒绝服务攻击防护方法、网络系统和代理服务器 |
CN101247261A (zh) * | 2007-07-18 | 2008-08-20 | 北京高信达网络科技有限公司 | 一种防止DDos攻击的方法及设备 |
CN101478387A (zh) * | 2008-12-31 | 2009-07-08 | 成都市华为赛门铁克科技有限公司 | 超文本传输协议攻击防御方法、装置和系统 |
US20100199345A1 (en) * | 2009-02-04 | 2010-08-05 | Breach Security, Inc. | Method and System for Providing Remote Protection of Web Servers |
WO2010134984A1 (en) * | 2009-05-20 | 2010-11-25 | Creative Ad Technology Proprietary Limited | Methods and systems for delivering media to client device |
CN105100084A (zh) * | 2015-07-07 | 2015-11-25 | 中国科学院计算技术研究所 | 一种防止跨站请求伪造攻击的方法及系统 |
CN105939361A (zh) * | 2016-06-23 | 2016-09-14 | 杭州迪普科技有限公司 | 防御cc攻击的方法及装置 |
US9578055B1 (en) * | 2008-01-25 | 2017-02-21 | F5 Networks, Inc. | Thwarting drone-waged denial of service attacks on a network |
CN106470214A (zh) * | 2016-10-21 | 2017-03-01 | 杭州迪普科技股份有限公司 | 攻击检测方法和装置 |
WO2017124837A1 (zh) * | 2016-01-19 | 2017-07-27 | 深圳前海达闼云端智能科技有限公司 | 一种sslvpn的代理方法、服务器以及客户端及其处理方法 |
WO2017219733A1 (zh) * | 2016-06-21 | 2017-12-28 | 中兴通讯股份有限公司 | 请求的响应方法及装置 |
US20180351986A1 (en) * | 2017-06-06 | 2018-12-06 | Sap Se | Cross-site request forgery (csrf) vulnerability detection |
US20180359265A1 (en) * | 2017-06-08 | 2018-12-13 | Entit Software Llc | Detection of cross-site attacks using runtime analysis |
-
2020
- 2020-08-21 CN CN202010848099.6A patent/CN112153001B/zh active Active
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070266426A1 (en) * | 2006-05-12 | 2007-11-15 | International Business Machines Corporation | Method and system for protecting against denial of service attacks using trust, quality of service, personalization, and hide port messages |
CN101175013A (zh) * | 2006-11-03 | 2008-05-07 | 飞塔信息科技(北京)有限公司 | 一种拒绝服务攻击防护方法、网络系统和代理服务器 |
CN101247261A (zh) * | 2007-07-18 | 2008-08-20 | 北京高信达网络科技有限公司 | 一种防止DDos攻击的方法及设备 |
US9578055B1 (en) * | 2008-01-25 | 2017-02-21 | F5 Networks, Inc. | Thwarting drone-waged denial of service attacks on a network |
CN101478387A (zh) * | 2008-12-31 | 2009-07-08 | 成都市华为赛门铁克科技有限公司 | 超文本传输协议攻击防御方法、装置和系统 |
US20100199345A1 (en) * | 2009-02-04 | 2010-08-05 | Breach Security, Inc. | Method and System for Providing Remote Protection of Web Servers |
WO2010134984A1 (en) * | 2009-05-20 | 2010-11-25 | Creative Ad Technology Proprietary Limited | Methods and systems for delivering media to client device |
CN105100084A (zh) * | 2015-07-07 | 2015-11-25 | 中国科学院计算技术研究所 | 一种防止跨站请求伪造攻击的方法及系统 |
WO2017124837A1 (zh) * | 2016-01-19 | 2017-07-27 | 深圳前海达闼云端智能科技有限公司 | 一种sslvpn的代理方法、服务器以及客户端及其处理方法 |
WO2017219733A1 (zh) * | 2016-06-21 | 2017-12-28 | 中兴通讯股份有限公司 | 请求的响应方法及装置 |
CN105939361A (zh) * | 2016-06-23 | 2016-09-14 | 杭州迪普科技有限公司 | 防御cc攻击的方法及装置 |
CN106470214A (zh) * | 2016-10-21 | 2017-03-01 | 杭州迪普科技股份有限公司 | 攻击检测方法和装置 |
US20180351986A1 (en) * | 2017-06-06 | 2018-12-06 | Sap Se | Cross-site request forgery (csrf) vulnerability detection |
US20180359265A1 (en) * | 2017-06-08 | 2018-12-13 | Entit Software Llc | Detection of cross-site attacks using runtime analysis |
Non-Patent Citations (2)
Title |
---|
傅玥: ""Socket网络编程-基于TCP协议或UDP协议"", 《万方数据库》 * |
孙利娟等: "常见网络拒绝服务攻击及防范对策", 《黄河水利职业技术学院学报》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114285835A (zh) * | 2021-12-30 | 2022-04-05 | 北京天融信网络安全技术有限公司 | 一种http请求数据的处理方法及系统 |
CN114285835B (zh) * | 2021-12-30 | 2024-04-19 | 北京天融信网络安全技术有限公司 | 一种http请求数据的处理方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN112153001B (zh) | 2023-06-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9628441B2 (en) | Attack defense method and device | |
US8499146B2 (en) | Method and device for preventing network attacks | |
US8224976B2 (en) | Using a server's capability profile to establish a connection | |
CN110198293B (zh) | 服务器的攻击防护方法、装置、存储介质和电子装置 | |
US7412600B2 (en) | Approaches for automatically switching message authentication keys | |
CN112468518B (zh) | 访问数据处理方法、装置、存储介质及计算机设备 | |
US10218733B1 (en) | System and method for detecting a malicious activity in a computing environment | |
US20050216954A1 (en) | Preventing network reset denial of service attacks using embedded authentication information | |
CN107104929B (zh) | 防御网络攻击的方法、装置和系统 | |
CN110417717B (zh) | 登录行为的识别方法及装置 | |
EP3343871A1 (en) | Method and system for detecting and mitigating denial-of-service attacks | |
CN107181605B (zh) | 报文检测方法及系统、内容提取装置、流量匹配装置 | |
JP2009525708A (ja) | プロトコルリンクレイヤ | |
US20220263823A1 (en) | Packet Processing Method and Apparatus, Device, and Computer-Readable Storage Medium | |
WO2011029357A1 (zh) | 认证通信流量的方法、通信系统和防护装置 | |
EP3442195B1 (en) | Reliable and secure parsing of packets | |
Zuquete | Improving the functionality of SYN cookies | |
CN112165447A (zh) | 基于waf设备的网络安全监测方法、系统和电子装置 | |
CN114938312B (zh) | 一种数据传输方法和装置 | |
Cao et al. | 0-rtt attack and defense of quic protocol | |
CN108418844B (zh) | 一种应用层攻击的防护方法及攻击防护端 | |
CN112153001B (zh) | 基于waf的网络通信方法、系统、电子装置和存储介质 | |
CN111431942B (zh) | 一种cc攻击的检测方法、装置及网络设备 | |
Smyslov | Internet Key Exchange Protocol Version 2 (IKEv2) Message Fragmentation | |
CN113225298A (zh) | 一种报文验证方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |