CN116633633A - 数据传输方法、装置、电子设备及存储介质 - Google Patents
数据传输方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116633633A CN116633633A CN202310609479.8A CN202310609479A CN116633633A CN 116633633 A CN116633633 A CN 116633633A CN 202310609479 A CN202310609479 A CN 202310609479A CN 116633633 A CN116633633 A CN 116633633A
- Authority
- CN
- China
- Prior art keywords
- address
- data packet
- preset
- routing
- hop
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 230000005540 biological transmission Effects 0.000 title claims abstract description 53
- 238000012545 processing Methods 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 13
- 230000007123 defense Effects 0.000 abstract description 11
- 238000010586 diagram Methods 0.000 description 10
- 230000007246 mechanism Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/25—Routing or path finding in a switch fabric
- H04L49/252—Store and forward routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种数据传输方法、装置、电子设备及存储介质。涉及网络安全技术领域,方法包括:接收数据包;将数据包的来源地址信息和目的地址信息中的至少一者,与黑名单中的预设地址进行匹配,得到匹配结果;根据匹配结果和预配置的路由策略,确定数据包的下一跳地址,以对数据包进行丢弃或者发送。采用本发明实施例提供的数据传输方法,可以实现基于路由策略的动态路由防御,本发明可以结合黑名单定义的预配置的路由策略和数据包的来源地址以及目的地址,动态的将恶意数据包导向黑洞路由(无效路由地址),以丢弃恶意数据包,并将合法数据包导向安全下一跳地址,从而确保能够及时阻拦攻击、保障网络的安全、并维持合法数据包的正常发送。
Description
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种数据传输方法、装置、电子设备及存储介质。
背景技术
随着互联网技术的日益发展,网络上存在的流量数据良莠不齐,且存在带有攻击性的恶意流量和病毒,因此,为了维护网络安全,需要对恶意流量进行隔离,以及对合法流量进行引导,相关技术中,通常采用的技术方案为:采用网管软件对网络路由流量进行分析,检测网络中的异常或恶意流量,再由网管人员在网络中手动实施各种路由策略,以便将恶意流量从网络中隔离出来,并将合法流量引导到安全的位置。
这种方案必须由网管人员对网络状况进行实时监测,并手动实施路由策略,以便将恶意流量从网络中隔离出来,无法动态且实时的弹性调整路由策略,无法达到动态路由防御的目的。
由此可见,目前亟需一种数据传输方法,以对数据包发送方向进行引导,实现动态路由防御。
发明内容
本发明实施例提供一种数据传输方法、装置、电子设备及存储介质,,以对数据包发送方向进行引导,实现动态路由防御。
本发明实施例第一方面提供了一种数据传输方法,应用于交换机,所述方法包括:
接收数据包,所述数据包至少携带来源地址信息和目的地址信息;
将所述数据包的来源地址信息和目的地址信息中的至少一者,与黑名单中的预设地址进行匹配,得到匹配结果;所述黑名单中包括至少一个预设地址,所述预设地址为存在恶意流量的地址;
根据所述匹配结果和预配置的路由策略,确定所述数据包的下一跳地址,以对所述数据包进行丢弃或者发送。
可选地,根据所述匹配结果和预配置的路由策略,确定所述数据包的下一跳地址,包括:
将来源端地址与任一预设地址相匹配的数据包视为恶意数据包;
确定数据包的下一跳地址为无效路由地址,以对所述恶意数据包进行丢弃。
可选地,根据所述匹配结果和预配置的路由策略,确定所述数据包的下一跳地址,包括:
将来源端地址与所有预设地址均不匹配的数据包视为合法数据包;
根据所述合法数据包的目的地址,从所述交换机的路由表中匹配出第一路由条目,确定所述第一路由条目对应的第一下一跳地址,在所述第一下一跳地址与所有预设地址均不匹配的情况下,将所述第一下一跳地址作为安全下一跳地址;
将所述合法数据包发送至所述安全下一跳地址。
可选地,根据所述匹配结果和预配置的路由策略,确定所述数据包的下一跳地址,还包括:
在所述第一下一跳地址与任一预设地址匹配成功的情况下,排除所述第一下一跳地址对应的第一路由条目,重新从所述交换机的路由表中匹配第二路由条目,确定所述第二路由条目对应的第二下一跳地址,直至所述第二下一跳地址与所有预设地址均不匹配,将所述第二下一跳地址作为安全下一跳地址。
可选地,所述方法还包括:
按照预设周期,获取第三方网络监控软件确定的黑名单。
可选地,所述方法还包括:
收集网络流量信息,所述网络流量信息包括:数据包来源地址、数据包目标地址、协议、端口和流量大小;
将所述网络流量信息发送至第三方网络监控软件,以使第三方网络监控软件对所述网络流量信息进行分析,得到黑名单。
本发明实施例第二方面提供了一种数据传输装置,应用于交换机,所述装置包括:
接收模块,用于接收数据包,所述数据包至少携带来源地址信息和目的地址信息;
匹配模块,用于将所述数据包的来源地址信息和目的地址信息中的至少一者,与黑名单中的预设地址进行匹配,得到匹配结果;所述黑名单中包括至少一个预设地址,所述预设地址为存在恶意流量的地址;
数据包处理模块,用于根据所述匹配结果和预配置的路由策略,确定所述数据包的下一跳地址,以对所述数据包进行丢弃或者发送。
可选地,所述数据包处理模块,具体用于:
将来源端地址与任一预设地址相匹配的数据包视为恶意数据包;
确定数据包的下一跳地址为无效路由地址,以对所述恶意数据包进行丢弃。
可选地,所述数据包处理模块,具体用于:
将来源端地址与所有预设地址均不匹配的数据包视为合法数据包;
根据所述合法数据包的目的地址,从所述交换机的路由表中匹配出第一路由条目,确定所述第一路由条目对应的第一下一跳地址,在所述第一下一跳地址与所有预设地址均不匹配的情况下,将所述第一下一跳地址作为安全下一跳地址;
将所述合法数据包发送至所述安全下一跳地址。
可选地,所述数据包处理模块,还用于:
在所述第一下一跳地址与任一预设地址匹配成功的情况下,排除所述第一下一跳地址对应的第一路由条目,重新从所述交换机的路由表中匹配第二路由条目,确定所述第二路由条目对应的第二下一跳地址,直至所述第二下一跳地址与所有预设地址均不匹配,将所述第二下一跳地址作为安全下一跳地址。
可选地,所述装置还包括:
获取模块,用于按照预设周期,获取第三方网络监控软件确定的黑名单。
可选地,所述装置还包括:
收集模块,用于收集网络流量信息,所述网络流量信息包括:数据包来源地址、数据包目标地址、协议、端口和流量大小;
发送模块,用于将所述网络流量信息发送至第三方网络监控软件,以使第三方网络监控软件对所述网络流量信息进行分析,得到黑名单。
本发明实施例第三方面提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如本发明第一方面所述的数据传输方法的步骤。
本发明实施例第四方面提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本发明第一方面所述的数据传输方法的步骤。
采用本发明实施例提供的数据传输方法,可以实现基于路由策略的动态路由防御,具体的,本发明实施例可以结合黑名单定义的预配置的路由策略和数据包的来源地址以及目的地址,动态的将恶意数据包导向黑洞路由(无效路由地址),以丢弃恶意数据包,并将合法数据包导向安全下一跳地址,从而确保能够及时阻拦攻击、保障网络的安全、并维持合法数据包的正常发送。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例的一种数据传输方法的流程图;
图2是本发明实施例的另一种数据传输方法的流程图;
图3是本发明实施例的另一种数据传输方法的流程图;
图4是本发明实施例的一种数据传输方法的执行流程示意图;
图5是本发明实施例的一种数据传输装置的结构框图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
具体的,参照图1,示出了本发明实施例的一种数据传输方法的流程图,本发明实施例的一种数据传输方法,应用于交换机,具体的,本发明实施例所提供的数据传输方法可以包括以下步骤:
S101,接收数据包,所述数据包至少携带来源地址信息和目的地址信息。
本发明实施例中,网络交换机接收到的数据包至少携带来源地址信息和目的地址信息,从而网络交换机可以根据数据包的来源地址信息以及目的地址信息判断其来源或者目的是否为恶意地址。
S102,将所述数据包的来源地址信息和目的地址信息中的至少一者,与黑名单中的预设地址进行匹配,得到匹配结果。
具体的,所述黑名单中包括至少一个预设地址,所述预设地址为存在恶意流量的地址。
本发明实施例中,网络交换机可以实时从第三方网络监控软件(例如:NetFlow)获取恶意流量的地址的黑名单,也可以在本地维护包含了恶意流量的地址的黑名单。
具体的,NetFlow是一种网络使用分析工具,可以帮助管理员收集和分析网络流量数据。通过NetFlow,管理员可以收集关于数据包来源地址、目标地址、协议、端口和流量大小等详细信息,并将收集到的信息回传给NetFlow Server用于分析,以确定出疑似恶意流量的地址。
本发明实施例中,还可以根据相关技术中任意可行其他监控套件或监控方法,确定出黑名单,进而使网络监控与判断更有弹性、更加准确快速。
具体的恶意流量的地址可以包括:产生大量重复数据包的地址,发送过量数据包发送至某端口的地址,同时发送数据包给大量不同的目的地址的地址等。
S103,根据所述匹配结果和预配置的路由策略,确定所述数据包的下一跳地址,以对所述数据包进行丢弃或者发送。
本发明实施例中,交换机可以基于来源地址信息和目的地址信息中的至少一者,结合黑名单定义的特定的路由策略,确定出数据包的下一跳地址,以将恶意数据包丢弃,将所述合法数据包重定向到安全下一跳地址。
本发明实施例中,恶意数据包指的是来源端地址与黑名单中的任一预设地址相匹配的数据包;合法数据包指的是来源端地址与黑名单中的任一预设地址均不匹配的数据包。
本发明实施例中,安全下一跳地址指的是根据所述合法数据包的目的端地址匹配到的不存在于所述黑名单中的下一跳地址。
本发明实施例中,预配置的路由策略可以解释为:
来源端防御策略,用于将恶意数据包导向无效路由地址;
目的端防御策略,用于根据所述合法数据包的目的地址从网络交换机的路由表中匹配出与黑名单中的任一预设地址均不匹配的下一跳地址。
本发明实施例中,基于路由策略的动态路由防御,可以结合黑名单、预配置的路由策略,动态的将恶意数据包导向黑洞路由(无效路由地址),以丢弃恶意数据包,并将合法数据包导向安全下一跳地址,从而确保能够及时阻拦攻击、保障网络的安全、并维持合法数据包的正常发送。
参照图2,示出了本发明实施例的另一种数据传输方法的流程图,本发明实施例的另一种数据传输方法,应用于交换机。具体的,本发明实施例所提供的数据传输方法可以包括以下步骤:
S201,接收数据包,所述数据包至少携带来源地址信息和目的地址信息。
S202,将所述数据包的来源地址信息和目的地址信息中的至少一者,与黑名单中的预设地址进行匹配,得到匹配结果。
步骤S201-S202与上述步骤S101-S101类似,在此不再赘述。
S203,将来源端地址与任一预设地址相匹配的数据包视为恶意数据包。
本发明实施例中,来源端地址与任一预设地址相匹配的数据包,即可视为该数据包来源于黑名单中记录的存在恶意流量的地址,则将该数据包视为恶意数据包。
S204,确定数据包的下一跳地址为无效路由地址,以对所述恶意数据包进行丢弃。
本发明实施例中,网络交换机在确定数据包为恶意数据包的情况下,直接将恶意数据包的下一跳地址确定为无效路由地址,将该恶意数据包导向黑洞路由,丢弃该数据包。从而,本发明实施例可以完成恶意数据包的丢弃,避免恶意数据包在网络中传输,危害网络安全。
S205,将来源端地址与所有预设地址均不匹配的数据包视为合法数据包。
本发明实施例中,通过数据包携带的来源地址信息判断该数据包是否来源于黑名单中记录的预设地址。如果数据包不是来源于黑名单中记录的预设地址,则可以将该数据包视为合法数据包。
S206,根据所述合法数据包的目的地址,从所述交换机的路由表中匹配出第一路由条目,确定所述第一路由条目对应的第一下一跳地址,在所述第一下一跳地址与所有预设地址均不匹配的情况下,将所述第一下一跳地址作为安全下一跳地址。
本发明实施例中,可以采用相关技术中常用的匹配机制(例如:最长前缀匹配机制),为合法数据包确定第一路由条目,并确定第一下一跳地址。
最长前缀匹配机制(Longest Prefix Match Algorithm,LPM)是目前行业内几乎所有路由器都采用的一种路由查询机制,当路由器收到一个IP数据包时,它会将数据包的目的IP地址与自己本地路由表中的所有路由表项进行逐位(Bit-By-Bit)比对,直到找到匹配长度最长的路由条目,作为目标路由条目(即本发明实施例中的第一路由条目)。
具体的,本发明实施例中,可以采用匹配机制,确定交换机的路由表中记载的路由条目中、与所述合法数据包的目的地址相匹配的多个路由条目,以及多个路由条目的优先级顺序,该优先级顺序可以由匹配程度决定。
示例地,以最长前缀匹配机制为例,可以将路由表中记载的路由条目与数据包目的IP地址对比,将目的IP地址与路由条目的网络掩码进行“逻辑与”运算,确定出相匹配的多个路由条目,再根据最长匹配原则,将匹配度更长的路由条目作为第一路由条目。
具体的,在确定第一路由条目之后,可以根据第一路由条目确定出所述合法数据包对应的第一下一跳地址。
进而,本发明实施例中,可以对该第一下一跳地址进行判断,判断数据包的目的端是否为存在恶意流量的地址,以避免合法流量无法正常发送。
具体的,将所述第一下一跳地址与所述黑名单中记录的预设地址相匹配,在所述第一下一跳地址与黑名单中记录的所有预设地址均不匹配的情况下,将该第一下一跳地址作为安全下一跳地址。
S207,将所述合法数据包发送至所述安全下一跳地址。
本发明实施例中,通过对下一跳地址的判断,可以将合法数据包发送至安全下一跳地址,避免合法数据包被恶意地址破坏。
S208,在所述第一下一跳地址与任一预设地址匹配成功的情况下,排除所述第一下一跳地址对应的第一路由条目,重新从所述交换机的路由表中匹配第二路由条目,确定所述第二路由条目对应的第二下一跳地址,直至所述第二下一跳地址与所有预设地址均不匹配,将所述第二下一跳地址作为安全下一跳地址。
本发明实施例中,在所述第一下一跳地址与任一预设地址匹配成功的情况下,确定该第一下一跳地址为存在恶意流量的地址,应该对所述合法数据包进行重定向,避免合法数据包发送至该第一下一跳地址。
具体的,本发明实施例中,可以在排除所述第一下一跳地址对应的第一路由条目的情况下,重新从所述交换机的路由表中匹配第二路由条目,并继续对所述第二路由条目对应的第二下一跳地址进行判断,直至所述第二下一跳地址与所有预设地址均不匹配,将所述第二下一跳地址作为安全下一跳地址。
具体的,本发明实施例中,可以按照步骤S206中确定出的与所述合法数据包的目的地址相匹配的多个路由条目的优先级顺序,顺次选择第二路由目录。
在网络系统中的交换机均采用本发明实施例提供的数据传输方法的情况下,针对合法数据包,可以避免该合法数据包的传输路径涉及到黑名单中记录的存在恶意流量的地址。从而实现合法数据包的安全传输。
参照图3,示出了本发明实施例的另一种数据传输方法的流程图,本发明实施例的另一种数据传输方法,应用于交换机。具体的,本发明实施例所提供的数据传输方法可以包括以下步骤:
S301,收集网络流量信息,所述网络流量信息包括:数据包来源地址、数据包目标地址、协议、端口和流量大小。
本发明实施例中,交换机可以收集数据包来源地址、数据包目标地址、协议、端口和流量大小等网络流量信息,以对网络安全状况进行分析与监控。
S302,将所述网络流量信息发送至第三方网络监控软件,以使第三方网络监控软件对所述网络流量信息进行分析,得到黑名单。
具体的,本发明实施例中,所述第三方网络监控软件可以为NetFlow,交换机可以把收集到的网络流量信息发送给NetFlow,以使NetFlow根据该网络流量信息分析出疑似存在恶意流量的地址,并将该地址记录到黑名单中。
S303,按照预设周期,获取第三方网络监控软件确定的黑名单。
本发明实施例中,交换机可以按照预设周期,获取第三方网络监控软件实施确定的黑名单。
具体的,本发明实施例中,交换机也可以按照预设周期收集网络流量信息,将网络流量信息发送给第三方网络监控软件,第三方网络监控软件按照周期更新的网络流量信息,得到周期更新的黑名单,从而交换机也可以按照预设周期从第三方网络监控软件获取到周期更新实时的黑名单,以保持信息的实时性,确定能够及时阻拦恶意流量的攻击。
S304,接收数据包,所述数据包至少携带来源地址信息和目的地址信息。
S305,将所述数据包的来源地址信息和目的地址信息中的至少一者,与黑名单中的预设地址进行匹配,得到匹配结果;所述黑名单中包括至少一个预设地址,所述预设地址为存在恶意流量的地址。
S306,根据所述匹配结果和预配置的路由策略,确定所述数据包的下一跳地址,以对所述数据包进行丢弃或者发送。
所述步骤S304-S306与上述步骤S101-S103类似,在此不再赘述。
参照图4,示出了本发明实施例的一种数据传输方法的执行流程示意图。具体的,本发实施例可以由Switch PoE执行。执行流程包括:
S1,从NetFlow取得恶意流量的黑名单。
S2,配置PBR,[规则:匹配源Ip和黑名单IPs][执行:确定下一跳地址为无效路由地址(丢弃数据包)]。
PBR(Policy-Based Routing),即基于策略的路由,是一种可以根据特定的策略和条件选择不同路由路径的技术。在网络中,当数据包进入路由器时,路由器会根据路由表选择下一跳,而PBR可以通过匹配不同的条件(例如源IP地址、目的IP地址、协议类型等),并根据匹配结果选择特定的路由路径,从而实现更加灵活的流量转发。
本发明实施例中,基于步骤S2,可以实现来源端防御策略,具体可以将所有源地址与黑名单中记录的地址相匹配的数据包的下一跳地址导向无效路由地址。
具体的,确定所有来源IP地址与黑名单匹配的数据包对,并将这些数据包的下一跳地址指定为无效路由地址(提前配置的黑洞路由的地址),丢弃这部分来源于存在恶意流量的地址的数据包。
S3,使用最长前缀匹配算法从路由表中匹配数据包的目的地址,确定路由条目。
本发明实施例中,可以使用最长前缀匹配算法将路由表中记载的路由条目与数据包的目的IP地址进行对比,将目的IP地址与路由条目的网络掩码进行“逻辑与”运算,确定出相匹配的多个路由条目,再根据最长匹配原则,将匹配度更长的路由条目作为第一路由条目。
S4,判断是否匹配到路由条目,在未匹配到路由条目的情况下,执行步骤S5,在匹配到的情况下,执行步骤S6。
S5,结束该数据包的数据发送流程,等待预设周期的时长后,重新执行步骤S1。
S6,判断匹配的路由条目的下一跳地址是否与黑名单中的任一预设地址相匹配;在匹配的情况下,执行S7,在不匹配的情况下,执行S8。
S7,排除S6中确定的路由条目,重新确定匹配的路由条目,返回步骤S3。
S8,配置BPR[规则:匹配目的IP和黑名单IPs][执行:确定下一跳地址为安全下一跳地址(将数据包重定向到安全下一跳)]。并转步骤S5。
本发明实施例中,基于步骤S8,可以实现目的端防御策略,具体可以根据合法数据包的目的地址从网络交换机的路由表中匹配出与黑名单中的任一预设地址均不匹配的下一跳地址,并将所述合法数据包的下一跳地址重定向为安全下一条地址,避免合法数据包受到恶意流量的攻击。
本发明实施例中,可以实现基于策略路由的动态路由防御,具体可以通过定期向NetFlow获取黑名单,准确地确定出可能存在恶意流量的地址,并通过LPM匹配和下发PBR路由,动态的将恶意数据包导向黑洞路由地址(无效路由地址),并将合法数据包导向安全下一跳地址,从而确保能够及时阻拦攻击保障网络的安全,并且,通过对合法数据包的重定向,还可以预防合法数据包受到黑名单中记录的地址的攻击,进一步保障网络的安全。
基于同一发明构思,本发明实施例提供一种数据传输装置,应用于交换机,图5是本发明实施例提供的数据传输装置的示意图,如图5所示,所述装置包括:
接收模块501,用于接收数据包,所述数据包至少携带来源地址信息和目的地址信息;
匹配模块502,用于将所述数据包的来源地址信息和目的地址信息中的至少一者,与黑名单中的预设地址进行匹配,得到匹配结果;所述黑名单中包括至少一个预设地址,所述预设地址为存在恶意流量的地址;
数据包处理模块503,用于根据所述匹配结果和预配置的路由策略,确定所述数据包的下一跳地址,以对所述数据包进行丢弃或者发送。
可选地,所述数据包处理模块503,具体用于:
将来源端地址与任一预设地址相匹配的数据包视为恶意数据包;
确定数据包的下一跳地址为无效路由地址,以对所述恶意数据包进行丢弃。
可选地,所述数据包处理模块503,具体用于:
将来源端地址与所有预设地址均不匹配的数据包视为合法数据包;
根据所述合法数据包的目的地址,从所述交换机的路由表中匹配出第一路由条目,确定所述第一路由条目对应的第一下一跳地址,在所述第一下一跳地址与所有预设地址均不匹配的情况下,将所述第一下一跳地址作为安全下一跳地址;
将所述合法数据包发送至所述安全下一跳地址。
可选地,所述数据包处理模块503,还用于:
在所述第一下一跳地址与任一预设地址匹配成功的情况下,排除所述第一下一跳地址对应的第一路由条目,重新从所述交换机的路由表中匹配第二路由条目,确定所述第二路由条目对应的第二下一跳地址,直至所述第二下一跳地址与所有预设地址均不匹配,将所述第二下一跳地址作为安全下一跳地址。
可选地,所述装置还包括:
获取模块,用于按照预设周期,获取第三方网络监控软件确定的黑名单。
可选地,所述装置还包括:
收集模块,用于收集网络流量信息,所述网络流量信息包括:数据包来源地址、数据包目标地址、协议、端口和流量大小;
发送模块,用于将所述网络流量信息发送至第三方网络监控软件,以使第三方网络监控软件对所述网络流量信息进行分析,得到黑名单。
基于同一发明构思,本发明实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如本发明上述任一实施例所述的数据传输方法的步骤。
基于同一发明构思,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本发明上述任一实施例所述的数据传输方法的步骤。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种数据传输方法、装置、电子设备及存储介质,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种数据传输方法,其特征在于,应用于交换机,所述方法包括:
接收数据包,所述数据包至少携带来源地址信息和目的地址信息;
将所述数据包的来源地址信息和目的地址信息中的至少一者,与黑名单中的预设地址进行匹配,得到匹配结果;所述黑名单中包括至少一个预设地址,所述预设地址为存在恶意流量的地址;
根据所述匹配结果和预配置的路由策略,确定所述数据包的下一跳地址,以对所述数据包进行丢弃或者发送。
2.根据权利要求1所述的数据传输方法,其特征在于,根据所述匹配结果和预配置的路由策略,确定所述数据包的下一跳地址,包括:
将来源端地址与任一预设地址相匹配的数据包视为恶意数据包;
确定数据包的下一跳地址为无效路由地址,以对所述恶意数据包进行丢弃。
3.根据权利要求1或2所述的数据传输方法,其特征在于,根据所述匹配结果和预配置的路由策略,确定所述数据包的下一跳地址,包括:
将来源端地址与所有预设地址均不匹配的数据包视为合法数据包;
根据所述合法数据包的目的地址,从所述交换机的路由表中匹配出第一路由条目,确定所述第一路由条目对应的第一下一跳地址,在所述第一下一跳地址与所有预设地址均不匹配的情况下,将所述第一下一跳地址作为安全下一跳地址;
将所述合法数据包发送至所述安全下一跳地址。
4.根据权利要求3所述的数据传输方法,其特征在于,根据所述匹配结果和预配置的路由策略,确定所述数据包的下一跳地址,还包括:
在所述第一下一跳地址与任一预设地址匹配成功的情况下,排除所述第一下一跳地址对应的第一路由条目,重新从所述交换机的路由表中匹配第二路由条目,确定所述第二路由条目对应的第二下一跳地址,直至所述第二下一跳地址与所有预设地址均不匹配,将所述第二下一跳地址作为安全下一跳地址。
5.根据权利要求1所述的数据传输方法,其特征在于,所述方法还包括:
按照预设周期,获取第三方网络监控软件确定的黑名单。
6.根据权利要求5所述的数据传输方法,其特征在于,所述方法还包括:
收集网络流量信息,所述网络流量信息包括:数据包来源地址、数据包目标地址、协议、端口和流量大小;
将所述网络流量信息发送至第三方网络监控软件,以使第三方网络监控软件对所述网络流量信息进行分析,得到黑名单。
7.一种数据传输装置,其特征在于,应用于交换机,所述装置包括:
接收模块,用于接收数据包,所述数据包至少携带来源地址信息和目的地址信息;
匹配模块,用于将所述数据包的来源地址信息和目的地址信息中的至少一者,与黑名单中的预设地址进行匹配,得到匹配结果;所述黑名单中包括至少一个预设地址,所述预设地址为存在恶意流量的地址;
数据包处理模块,用于根据所述匹配结果和预配置的路由策略,确定所述数据包的下一跳地址,以对所述数据包进行丢弃或者发送。
8.根据权利要求7所述的数据传输装置,其特征在于,所述数据包处理模块,具体用于:
将来源端地址与任一预设地址相匹配的数据包视为恶意数据包;
确定数据包的下一跳地址为无效路由地址,以对所述恶意数据包进行丢弃。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1-6任一项所述的数据传输方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-6任一项所述的数据传输方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310609479.8A CN116633633A (zh) | 2023-05-26 | 2023-05-26 | 数据传输方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310609479.8A CN116633633A (zh) | 2023-05-26 | 2023-05-26 | 数据传输方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116633633A true CN116633633A (zh) | 2023-08-22 |
Family
ID=87641324
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310609479.8A Pending CN116633633A (zh) | 2023-05-26 | 2023-05-26 | 数据传输方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116633633A (zh) |
-
2023
- 2023-05-26 CN CN202310609479.8A patent/CN116633633A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7409712B1 (en) | Methods and apparatus for network message traffic redirection | |
US7565426B2 (en) | Mechanism for tracing back anonymous network flows in autonomous systems | |
US7415018B2 (en) | IP Time to Live (TTL) field used as a covert channel | |
US8949459B1 (en) | Methods and apparatus for distributed backbone internet DDOS mitigation via transit providers | |
US20070055789A1 (en) | Method and apparatus for managing routing of data elements | |
KR101217647B1 (ko) | 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치 | |
US10708298B2 (en) | Methods and apparatus for system having denial of services (DOS) resistant multicast | |
US20050278779A1 (en) | System and method for identifying the source of a denial-of-service attack | |
CN108737447B (zh) | 用户数据报协议流量过滤方法、装置、服务器及存储介质 | |
WO2009135396A1 (zh) | 网络攻击处理方法、处理装置及网络分析监控中心 | |
US20100153537A1 (en) | Method and apparatus for providing detection of internet protocol address hijacking | |
JP2007201966A (ja) | トラフィック制御方式、装置及びシステム | |
US8161555B2 (en) | Progressive wiretap | |
CN112995040B (zh) | 一种基于设备标识计算的报文路径溯源方法及装置 | |
US12021836B2 (en) | Dynamic filter generation and distribution within computer networks | |
CN107690004B (zh) | 地址解析协议报文的处理方法及装置 | |
CN111756713B (zh) | 网络攻击识别方法、装置、计算机设备及介质 | |
CN106059939B (zh) | 一种报文转发方法及装置 | |
JP4279324B2 (ja) | ネットワーク制御方法 | |
CN116633633A (zh) | 数据传输方法、装置、电子设备及存储介质 | |
CN102546387B (zh) | 一种数据报文的处理方法、装置及系统 | |
JP2004328307A (ja) | 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法 | |
JP4167866B2 (ja) | データ伝送方法、データ伝送システム及びデータ伝送装置 | |
JP2006325091A (ja) | ネットワーク攻撃防御システム | |
JP6746541B2 (ja) | 転送システム、情報処理装置、転送方法及び情報処理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |