CN112272164B - 报文处理方法及装置 - Google Patents
报文处理方法及装置 Download PDFInfo
- Publication number
- CN112272164B CN112272164B CN202011054970.1A CN202011054970A CN112272164B CN 112272164 B CN112272164 B CN 112272164B CN 202011054970 A CN202011054970 A CN 202011054970A CN 112272164 B CN112272164 B CN 112272164B
- Authority
- CN
- China
- Prior art keywords
- address information
- attack
- network service
- address
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种报文处理方法及装置,所述方法应用于网络设备,所述方法包括:接收网络业务报文,所述网络业务报文包括生成所述网络业务报文的首个源端的第一地址信息;判断所述第一地址信息是否已存在于本地地址信誉库包括的攻击列表中;若所述第一地址信息未存在于所述攻击列表中,则判断所述网络业务报文是否为攻击报文;若所述网络业务报文不为攻击报文,则获取所述网络业务报文包括的第二地址信息,所述第二地址信息为所述网络业务报文的网络地址;将所述第二地址信息存储至所述本地地址信誉库包括的信任列表中。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种报文处理方法及装置。
背景技术
内容分发网络(英文:Content Delivery Network,简称:CDN)是指通过在现有的网络(Internet)中增加一新的网络架构技术,其将用户终端访问的网站内容发布至最接近用户终端的网络“边缘”,用户终端可就近获取所需的内容,提高用户终端访问网站的响应速度。
CDN从技术上全面解决了由于网络带宽小、用户终端访问量大、网点分布不均等原因,造成的用户终端访问网站的响应速度慢的问题。
在用户终端访问网站的过程中,用户终端并非直接访问网站的服务器,而是通过CDN代理访问网站的服务器。目前,服务器可通过IP信誉防护功能可对请求访问报文进行攻击识别。对请求访问报文头部包括的源IP地址或目的IP地址进行判断,进而识别出攻击的请求访问报文。
但,若请求访问报文经过CDN代理时,该源IP地址或目的IP地址可能为CDN代理的IP地址,而并非是生成该请求访问报文的首个发送方的真实源IP地址。此时,若攻击者通过CDN代理等手段伪装攻击源,则将突破IP信誉防护功能。
发明内容
有鉴于此,本申请提供了一种报文处理方法及装置,用以解决现有技术中由于在识别攻击报文时,仅通过请求访问报文头部包括的IP地址进行识别,在攻击者通过CDN代理等手段伪装攻击源时,则突破IP信誉防护功能的问题。
第一方面,本申请提供了一种报文处理方法,所述方法应用于网络设备,所述方法包括:
接收网络业务报文,所述网络业务报文包括生成所述网络业务报文的首个源端的第一地址信息;
判断所述第一地址信息是否已存在于本地地址信誉库包括的攻击列表中;
若所述第一地址信息未存在于所述攻击列表中,则判断所述网络业务报文是否为攻击报文;
若所述网络业务报文不为攻击报文,则获取所述网络业务报文包括的第二地址信息,所述第二地址信息为所述网络业务报文的网络地址;
将所述第二地址信息存储至所述本地地址信誉库包括的信任列表中。
第二方面,本申请提供了一种报文处理装置,所述方法应用于网络设备,所述装置包括:
接收单元,用于接收网络业务报文,所述网络业务报文包括生成所述网络业务报文的首个源端的第一地址信息;
第一判断单元,用于判断所述第一地址信息是否已存在于本地地址信誉库包括的攻击列表中;
第二判断单元,用于若所述第一地址信息未存在于所述攻击列表中,则判断所述网络业务报文是否为攻击报文;
获取单元,用于若所述网络业务报文不为攻击报文,则获取所述网络业务报文包括的第二地址信息,所述第二地址信息为所述网络业务报文的网络地址;
存储单元,用于将所述第二地址信息存储至所述本地地址信誉库包括的信任列表中。
第三方面,本申请提供了一种网络设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令,处理器被机器可执行指令促使执行本申请第一方面所提供的方法。
因此,通过应用本申请提供的报文处理方法及装置,网络设备接收网络业务报文,该网络业务报文包括生成该网络业务报文的首个源端的第一地址信息。网络设备判断第一地址信息是否已存在于本地地址信誉库包括的攻击列表中。若第一地址信息未存在于攻击列表中,则网络设备判断网络业务报文是否为攻击报文。若网络业务报文不为攻击报文,则网络设备获取网络业务报文包括的第二地址信息,该第二地址信息为网络业务报文的网络地址。网络设备将第二地址信息存储至本地地址信誉库包括的信任列表中。
通过对网络业务报文中的首个源端的地址信息进行识别,解决了现有技术中由于在识别攻击报文时,仅通过请求访问报文头部包括的IP地址进行识别,在攻击者通过CDN代理等手段伪装攻击源时,则突破IP信誉防护功能的问题,同时,提高了攻击源的识别准确率,也进一步壮大IP信誉防护功能。
附图说明
图1为本申请实施例提供的报文处理方法的流程图;
图2为本申请实施例提供的报文处理装置结构图;
图3为本申请实施例提供的一种网络设备硬件结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施例并不代表与本申请相一致的所有实施例。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
下面对本申请实施例提供的报文处理方法进行详细地说明。参见图1,图1为本申请实施例提供的报文处理方法的流程图。该方法应用于网络设备,本申请实施例提供的报文处理方法可包括如下所示步骤。
步骤110、接收网络业务报文,所述网络业务报文包括生成所述网络业务报文的首个源端的第一地址信息。
具体地,网络设备接收上一跳节点发送的网络业务报文。该网络业务报文包括生成该网络业务报文的首个源端的第一地址信息。
可以理解的是,生成该网络业务报文的首个源端可具体是指生成该网络业务报文的用户终端。第一地址信息也即是该用户终端的地址信息,例如,用户终端的源IP地址。
在本申请实施例中,该上一跳节点可具体为用户终端,或者CDN代理。网络设备可具体为路由器、服务器等。
用户终端生成网络业务报文后,当网络业务报文需经过CDN代理转发时,CDN代理通常将该用户终端的真实源地址信息(例如,用户终端的IP地址)存储至网络业务报文包括的X-Forwarded-For字段,或者X-Real-IP字段,或者Cdn-Src-IP字段中。
其中,X-Forwarded-For字段用于记录发送网络业务报文的用户终端信息(即,用户终端的IP地址)以及每经过一层级CDN代理信息(即,CDN代理的IP地址)。在一个例子中,来自上一级CDN代理(IP地址为4.4.4.4)的网络业务报文头部包括X-Forwarded-For字段,该X-Forwarded-For字段携带多个IP地址,分别为1.1.1.1、2.2.2.2、3.3.3.3、4.4.4.4。上述多个IP地址表示该请求报文从用户终端(IP地址为1.1.1.1)发出,分别经过了IP地址为2.2.2.2、IP地址为3.3.3.3以及IP地址为4.4.4.4的三层级CDN代理。
X-Real-IP字段用于记录发送网络业务报文的用户终端信息(即,用户终端的IP地址),根据前述示例,X-Real-IP字段携带IP地址1.1.1.1。
Cdn-Src-IP字段也用于记录发送网络业务报文的用户终端信息(即,用户终端的IP地址),根据前述示例,X-Real-IP字段携带IP地址1.1.1.1。
当然,在现有CDN代理中,部分CDN代理也可通过在网络业务报文包括的tcp-option字段中携带用户终端信息(即,用户终端的IP地址)。
进一步地,在本申请实施例中,网络设备接收到网络业务报文后,从网络业务报文包括的X-Forwarded-For字段,或者X-Real-IP字段,或者Cdn-Src-IP字段中提取用户终端的源IP地址。
步骤120、判断所述第一地址信息是否已存在于本地地址信誉库包括的攻击列表中。
具体地,网络设备获取到用户终端的源IP地址后,判断该源IP地址是否已存在于本地地址信誉库包括的攻击列表中。
如果该源IP地址未存在于本地地址信誉库包括的攻击列表中,则网络设备执行步骤130。
如果该源IP地址已存在于本地地址信誉库包括的攻击列表中,则网络设备从网络业务报文中获取第二地址信息。网络设备将第二地址信息存储至攻击列表中。
进一步地,第二地址信息为网络业务报文的网络地址,也即是,发送网络业务报文的上一跳节点的地址信息,例如,上一跳节点的IP地址。
在本申请实施例中,如果该源IP地址已存在于本地地址信誉库包括的攻击列表,则网络设备确定生成该网络业务报文的用户终端为攻击源,同时,网络设备确定该源IP地址归属的攻击分类。根据该源IP地址归属的攻击分类,网络设备将上一跳节点的IP地址也存储至与该源IP地址属于同一攻击分类的攻击列表中。
需要说明的是,若网络业务报文经过多层级CDN代理,则可将获取的多层级CDN代理的IP地址一同存储至与该源IP地址属于同一攻击分类的攻击列表中。
本地地址信誉库中包括攻击列表以及信任列表。攻击列表中存储攻击源的IP地址,以及该IP地址的老化时间。攻击列表可归属于某一攻击分类,例如,僵尸攻击、蠕虫攻击等等。信任列表中存储非攻击源的IP地址,也可称为存储正常进行业务请求的用户终端的IP地址。
步骤130、若所述第一地址信息未存在于所述攻击列表中,则判断所述网络业务报文是否为攻击报文。
具体地,根据步骤120的判断,如果该源IP地址未存在于本地地址信誉库包括的攻击列表中,则网络设备确定生成该网络业务报文的用户终端当前为非攻击源,同时,网络设备判断网络业务报文是否为攻击报文。
如果网络业务报文不为攻击报文,则网络设备执行步骤140。
如果网络业务报文为攻击报文,则网络设备确定生成该网络业务报文的用户终端为攻击源。网络设备获取第二地址信息。网络设备将第二地址信息存储至攻击列表中,或者,网络设备将第二地址信息存储至黑名单中。
在一种情况中,攻击源通过代理技术将攻击源的IP地址伪装为上一跳节点的IP地址,此时,由于上一跳节点的IP地址未存在于本地地址信誉库包括的攻击列表中,但网络设备包括的业务模块检测出该网络业务报文为攻击报文时,网络设备确定生成该网络业务报文的用户终端为攻击源。网络设备理获取第二地址信息,并将第二地址信息存储至攻击列表中,或者,网络设备将第二地址信息存储至黑名单中。
进一步地,网络设备包括的业务模块检测出该网络业务报文为攻击报文后,网络设备还确定该攻击报文的攻击分类。根据该攻击报文的攻击分类,网络设备将上一跳节点的IP地址也存储至与该攻击报文属于同一攻击分类的攻击列表中。
步骤140、若所述网络业务报文不为攻击报文,则获取所述网络业务报文包括的第二地址信息,所述第二地址信息为所述网络业务报文的网络地址。
具体地,根据步骤130的判断,如果该网络业务报文不为攻击报文,则网络设备确定生成该网络业务报文的用户终端为非攻击源,也即是生成该网络业务报文的用户终端为正常进行业务请求的用户终端。此时,网络设备获取第二地址信息。
步骤150、将所述第二地址信息存储至所述本地地址信誉库包括的信任列表中。
具体地,网络设备获取到第二地址信息后,将第二地址信息存储至本地地址信誉库包括的信任列表中。
在一个例子中,本地地址信誉库中的攻击列表中存储一攻击源的IP地址,该IP地址为172.32.128.90。攻击源通过代理技术将攻击源的IP地址伪装为某一CDN代理(例如,第一CDN代理)的IP地址进行攻击,该IP地址为1.1.1.1。
攻击源向第一CDN代理发送网络业务报文,该网络业务报文的X-Real-IP字段携带攻击源的IP地址。
第一CDN代理将自身的IP地址封装在网络业务报文的外层,也即是网络业务报文的网络地址为第一CDN代理的IP地址。第一CDN代理向服务器发送网络业务报文。
服务器接收到第一CDN代理发送的网络业务报文后,若根据现有方式,服务器仅对第一CDN代理的IP地址进行判断,则会放行该网络业务报文,也等于是放行该攻击源的攻击。
在本申请实施例中,服务器从X-Real-IP字段中提取攻击源的IP地址。然后,服务器判断该攻击源的IP地址是否已存在于本地地址信誉库包括的攻击列表中。如果该攻击源的IP地址已存在于攻击列表中,且该攻击源的IP地址归属于的攻击分类为僵尸攻击,则服务器将第一CDN代理的IP地址也存储至该攻击列表中。
如果该攻击源的IP地址未存在于攻击列表中,则服务器判断网络业务报文是否为攻击报文。如果服务器包括的业务模块检测出该网络业务报文为攻击报文,则服务器确定该网络业务报文的攻击分类。根据该攻击分类,服务器将第一CDN代理的IP地址也存储至与该攻击报文属于同一攻击分类的攻击列表中。服务器后续接收到具有相同网络地址的网络业务报文时,服务器可直接通过攻击列表阻断攻击报文,从一定程度上,提高了服务器识别攻击源的性能。
可以理解的是,如果网络业务报文不为攻击报文,则服务器确定生成该网络业务报文的用户终端(例如,该用户终端的IP地址为192.168.100.100)为非攻击源,也即是生成该网络业务报文的用户终端为正常进行业务请求的用户终端。此时,服务器获取第一CDN代理的IP地址,并将第一CDN代理的IP地址存储至可信列表中。如此,服务器后续接收到具有相同网络地址的网络业务报文时,服务器可直接通过可信列表的匹配对网络业务报文放行,避免匹配本地地址信誉库中存储的全部IP地址。
因此,通过应用本申请提供的报文处理方法及装置,网络设备接收网络业务报文,该网络业务报文包括生成该网络业务报文的首个源端的第一地址信息。网络设备判断第一地址信息是否已存在于本地地址信誉库包括的攻击列表中。若第一地址信息未存在于攻击列表中,则网络设备判断网络业务报文是否为攻击报文。若网络业务报文不为攻击报文,则网络设备获取网络业务报文包括的第二地址信息,该第二地址信息为网络业务报文的网络地址。网络设备将第二地址信息存储至本地地址信誉库包括的信任列表中。
通过对网络业务报文中的首个源端的地址信息进行识别,解决了现有技术中由于在识别攻击报文时,仅通过请求访问报文头部包括的IP地址进行识别,在攻击者通过CDN代理等手段伪装攻击源时,则突破IP信誉防护功能的问题,同时,提高了攻击源的识别准确率,也进一步壮大IP信誉防护功能。
基于同一发明构思,本申请实施例还提供了与上述报文处理方法对应的报文处理装置。参见图2,图2为本申请实施例提供的报文处理装置结构图,所述装置应用于网络设备,所述装置包括:
接收单元210,用于接收网络业务报文,所述网络业务报文包括生成所述网络业务报文的首个源端的第一地址信息;
第一判断单元220,用于判断所述第一地址信息是否已存在于本地地址信誉库包括的攻击列表中;
第二判断单元230,用于若所述第一地址信息未存在于所述攻击列表中,则判断所述网络业务报文是否为攻击报文;
获取单元240,用于若所述网络业务报文不为攻击报文,则获取所述网络业务报文包括的第二地址信息,所述第二地址信息为所述网络业务报文的网络地址;
存储单元250,用于将所述第二地址信息存储至所述本地地址信誉库包括的信任列表中。
可选地,所述获取单元240还用于,若所述第一地址信息已存在于所述攻击列表中,则获取所述第二地址信息;
所述存储单元250还用于,将所述第二地址信息存储至所述攻击列表中。
可选地,所述获取单元240还用于,若所述网络业务报文为攻击报文,则获取所述第二地址信息;
所述存储单元250还用于,将所述第二地址信息存储至所述攻击列表中,或者,将所述第二地址信息存储至黑名单中。
可选地,所述网络业务报文包括X-Forwarded-For字段,所述X-Forwarded-For字段携带所述第一地址信息;
或者;
所述网络业务报文包括X-Real-IP字段,所述X-Real-IP字段携带所述第一地址信息;
或者;所述网络业务报文包括Cdn-Src-IP字段,所述Cdn-Src-IP字段携带所述第一地址信息。
可选地,所述存储单元250具体用于,根据所述第一地址信息归属的攻击分类,将所述第二地址信息存储至与所述第一地址信息属于同一攻击分类的攻击列表中。
可选地,所述存储单元250具体用于,根据所述网络业务报文归属的攻击分类,将所述第二地址信息存储至与所述网络业务报文属于同一攻击分类的攻击列表中。
因此,通过应用本申请提供的报文处理装置,该装置接收网络业务报文,该网络业务报文包括生成该网络业务报文的首个源端的第一地址信息。该装置判断第一地址信息是否已存在于本地地址信誉库包括的攻击列表中。若第一地址信息未存在于攻击列表中,则该装置判断网络业务报文是否为攻击报文。若网络业务报文不为攻击报文,则该装置获取网络业务报文包括的第二地址信息,该第二地址信息为网络业务报文的网络地址。该装置将第二地址信息存储至本地地址信誉库包括的信任列表中。
通过对网络业务报文中的首个源端的地址信息进行识别,解决了现有技术中由于在识别攻击报文时,仅通过请求访问报文头部包括的IP地址进行识别,在攻击者通过CDN代理等手段伪装攻击源时,则突破IP信誉防护功能的问题,同时,提高了攻击源的识别准确率,也进一步壮大IP信誉防护功能。
基于同一发明构思,本申请实施例还提供了一种网络设备,如图3所示,包括处理器310、收发器320和机器可读存储介质330,机器可读存储介质330存储有能够被处理器310执行的机器可执行指令,处理器310被机器可执行指令促使执行本申请实施例所提供的报文处理方法。前述图2所示的报文处理装置,可采用如图3所示的网络设备硬件结构实现。
上述计算机可读存储介质330可以包括随机存取存储器(英文:Random AccessMemory,简称:RAM),也可以包括非易失性存储器(英文:Non-volatile Memory,简称:NVM),例如至少一个磁盘存储器。可选的,计算机可读存储介质330还可以是至少一个位于远离前述处理器310的存储装置。
上述处理器310可以是通用处理器,包括中央处理器(英文:Central ProcessingUnit,简称:CPU)、网络处理器(英文:Network Processor,简称:NP)等;还可以是数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:ApplicationSpecific Integrated Circuit,简称:ASIC)、现场可编程门阵列(英文:Field-Programmable Gate Array,简称:FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本申请实施例中,处理器310通过读取机器可读存储介质330中存储的机器可执行指令,被机器可执行指令促使能够实现处理器310自身以及调用收发器320执行前述本申请实施例描述的报文处理方法。
另外,本申请实施例提供了一种机器可读存储介质330,机器可读存储介质330存储有机器可执行指令,在被处理器310调用和执行时,机器可执行指令促使处理器310自身以及调用收发器320执行前述本申请实施例描述的报文处理方法。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
对于报文处理装置以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (12)
1.一种报文处理方法,其特征在于,所述方法应用于网络设备,所述方法包括:
接收网络业务报文,所述网络业务报文包括生成所述网络业务报文的首个源端的第一地址信息;
判断所述第一地址信息是否已存在于本地地址信誉库包括的攻击列表中;
若所述第一地址信息未存在于所述攻击列表中,则判断所述网络业务报文是否为攻击报文;
若所述网络业务报文不为攻击报文,则获取所述网络业务报文包括的第二地址信息,所述第二地址信息为所述网络业务报文的网络地址,所述第二地址信息为发送所述网络业务报文的上一跳节点的地址信息;
将所述第二地址信息存储至所述本地地址信誉库包括的信任列表中。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述第一地址信息已存在于所述攻击列表中,则获取所述第二地址信息;
将所述第二地址信息存储至所述攻击列表中。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述网络业务报文为攻击报文,则获取所述第二地址信息;
将所述第二地址信息存储至所述攻击列表中,或者,将所述第二地址信息存储至黑名单中。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述网络业务报文包括X-Forwarded-For字段,所述X-Forwarded-For字段携带所述第一地址信息;
或者;
所述网络业务报文包括X-Real-IP字段,所述X-Real-IP字段携带所述第一地址信息;
或者;所述网络业务报文包括Cdn-Src-IP字段,所述Cdn-Src-IP字段携带所述第一地址信息。
5.根据权利要求2所述的方法,其特征在于,所述将所述第二地址信息存储至所述攻击列表中具体包括:
根据所述第一地址信息归属的攻击分类,将所述第二地址信息存储至与所述第一地址信息属于同一攻击分类的攻击列表中。
6.根据权利要求3所述的方法,其特征在于,所述将所述第二地址信息存储至所述攻击列表中具体包括:
根据所述网络业务报文归属的攻击分类,将所述第二地址信息存储至与所述网络业务报文属于同一攻击分类的攻击列表中。
7.一种报文处理装置,其特征在于,所述装置应用于网络设备,所述装置包括:
接收单元,用于接收网络业务报文,所述网络业务报文包括生成所述网络业务报文的首个源端的第一地址信息;
第一判断单元,用于判断所述第一地址信息是否已存在于本地地址信誉库包括的攻击列表中;
第二判断单元,用于若所述第一地址信息未存在于所述攻击列表中,则判断所述网络业务报文是否为攻击报文;
获取单元,用于若所述网络业务报文不为攻击报文,则获取所述网络业务报文包括的第二地址信息,所述第二地址信息为所述网络业务报文的网络地址,所述第二地址信息为发送所述网络业务报文的上一跳节点的地址信息;
存储单元,用于将所述第二地址信息存储至所述本地地址信誉库包括的信任列表中。
8.根据权利要求7所述的装置,其特征在于,所述获取单元还用于,若所述第一地址信息已存在于所述攻击列表中,则获取所述第二地址信息;
所述存储单元还用于,将所述第二地址信息存储至所述攻击列表中。
9.根据权利要求7所述的装置,其特征在于,所述获取单元还用于,若所述网络业务报文为攻击报文,则获取所述第二地址信息;
所述存储单元还用于,将所述第二地址信息存储至所述攻击列表中,或者,将所述第二地址信息存储至黑名单中。
10.根据权利要求7-9任一项所述的装置,其特征在于,所述网络业务报文包括X-Forwarded-For字段,所述X-Forwarded-For字段携带所述第一地址信息;
或者;
所述网络业务报文包括X-Real-IP字段,所述X-Real-IP字段携带所述第一地址信息;
或者;所述网络业务报文包括Cdn-Src-IP字段,所述Cdn-Src-IP字段携带所述第一地址信息。
11.根据权利要求8所述的装置,其特征在于,所述存储单元具体用于,根据所述第一地址信息归属的攻击分类,将所述第二地址信息存储至与所述第一地址信息属于同一攻击分类的攻击列表中。
12.根据权利要求9所述的装置,其特征在于,所述存储单元具体用于,根据所述网络业务报文归属的攻击分类,将所述第二地址信息存储至与所述网络业务报文属于同一攻击分类的攻击列表中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011054970.1A CN112272164B (zh) | 2020-09-30 | 2020-09-30 | 报文处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011054970.1A CN112272164B (zh) | 2020-09-30 | 2020-09-30 | 报文处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112272164A CN112272164A (zh) | 2021-01-26 |
| CN112272164B true CN112272164B (zh) | 2022-07-12 |
Family
ID=74337730
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011054970.1A Active CN112272164B (zh) | 2020-09-30 | 2020-09-30 | 报文处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112272164B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113542211B (zh) * | 2021-05-17 | 2023-10-20 | 新华三信息安全技术有限公司 | 一种信息处理方法及装置 |
| CN113794692B (zh) * | 2021-08-24 | 2023-06-27 | 杭州迪普科技股份有限公司 | 攻击溯源装置、方法与系统及代理链路表学习装置和方法 |
| CN113949581A (zh) * | 2021-10-22 | 2022-01-18 | 中国建设银行股份有限公司 | 地址封禁方法、装置及系统、存储介质及电子设备 |
| CN115065527B (zh) * | 2022-06-13 | 2023-08-29 | 北京天融信网络安全技术有限公司 | 抽样攻击检测方法、装置、电子设备及存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9674145B2 (en) * | 2005-09-06 | 2017-06-06 | Daniel Chien | Evaluating a questionable network communication |
| CN101378395B (zh) * | 2008-10-10 | 2011-04-06 | 福建星网锐捷网络有限公司 | 一种防止拒绝访问攻击的方法及装置 |
| CN102075365B (zh) * | 2011-02-15 | 2012-12-26 | 中国工商银行股份有限公司 | 一种网络攻击源定位及防护的方法、装置 |
| CN108400955B (zh) * | 2017-02-06 | 2020-12-22 | 腾讯科技(深圳)有限公司 | 一种网络攻击的防护方法及系统 |
| EP3422659A1 (en) * | 2017-06-30 | 2019-01-02 | Thomson Licensing | Method of blocking distributed denial of service attacks and corresponding apparatus |
| CN110519265B (zh) * | 2019-08-27 | 2022-02-25 | 新华三信息安全技术有限公司 | 一种防御攻击的方法及装置 |
| CN111083157B (zh) * | 2019-12-25 | 2022-01-25 | 杭州迪普科技股份有限公司 | 报文过滤规则的处理方法和装置 |
-
2020
- 2020-09-30 CN CN202011054970.1A patent/CN112272164B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112272164A (zh) | 2021-01-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112272164B (zh) | 报文处理方法及装置 | |
| US11722509B2 (en) | Malware detection for proxy server networks | |
| US9654494B2 (en) | Detecting and marking client devices | |
| US8904524B1 (en) | Detection of fast flux networks | |
| US10469532B2 (en) | Preventing DNS cache poisoning | |
| CN107360184B (zh) | 终端设备认证方法和装置 | |
| CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
| CN110519265B (zh) | 一种防御攻击的方法及装置 | |
| US11658995B1 (en) | Methods for dynamically mitigating network attacks and devices thereof | |
| CN105939347B (zh) | 防御域名攻击的方法及装置 | |
| WO2014000303A1 (zh) | 一种报文接收方法、深度包检测设备及系统 | |
| CN111431871B (zh) | Tcp半透明代理的处理方法和装置 | |
| WO2018214853A1 (zh) | 一种减小dns报文长度的方法、装置、介质及设备 | |
| WO2020037781A1 (zh) | 一种实现服务器防攻击方法及装置 | |
| US11729171B1 (en) | Preventing leakage of cookie data | |
| CN111935123B (zh) | 一种检测dns欺骗攻击的方法、设备、存储介质 | |
| US11811806B2 (en) | System and apparatus for internet traffic inspection via localized DNS caching | |
| US8001243B2 (en) | Distributed denial of service deterrence using outbound packet rewriting | |
| CN109818912B (zh) | 防范泛洪攻击的方法、装置、负载均衡设备和存储介质 | |
| CN114785876A (zh) | 报文检测方法及装置 | |
| CN112202776A (zh) | 源站防护方法和网络设备 | |
| US8640236B2 (en) | Performing a defensive procedure in response to certain path advertisements | |
| CN113676540B (zh) | 一种连接建立方法及装置 | |
| CN115001742B (zh) | Dns的ecs服务黑名单防护方法、系统及存储介质 | |
| CN111314503B (zh) | IPoE用户表的恢复方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |