CN117579383A - 一种主动http响应的检测及拦截方法、装置及设备 - Google Patents

一种主动http响应的检测及拦截方法、装置及设备 Download PDF

Info

Publication number
CN117579383A
CN117579383A CN202410056149.5A CN202410056149A CN117579383A CN 117579383 A CN117579383 A CN 117579383A CN 202410056149 A CN202410056149 A CN 202410056149A CN 117579383 A CN117579383 A CN 117579383A
Authority
CN
China
Prior art keywords
target
tcp
message
port
destination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202410056149.5A
Other languages
English (en)
Other versions
CN117579383B (zh
Inventor
梁世龙
张吉祥
程行峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Youyun Technology Co ltd
Original Assignee
Hangzhou Youyun Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Youyun Technology Co ltd filed Critical Hangzhou Youyun Technology Co ltd
Priority to CN202410056149.5A priority Critical patent/CN117579383B/zh
Publication of CN117579383A publication Critical patent/CN117579383A/zh
Application granted granted Critical
Publication of CN117579383B publication Critical patent/CN117579383B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种主动HTTP响应的检测及拦截方法、装置及设备,将客户端前往目标服务的报文镜像到保存有域名白名单的电子设备,若镜像报文是SYN报文且TCP表中不存在与其目的IP和目的端口对应的表项,则向TCP表添加表项;若镜像报文不是SYN报文且TCP表中存在与其对应的表项,则获取域名并在确认该域名不在域名白名单后,向客户端返回拦截页面及更新待检列表;对TCP表进行延时扫描,将其中超过第一预设时间还未接收HTTP请求报文的表项加入待检列表;依据待检列表中表项的目的IP和目的端口主动建立TCP连接,检测对应Web服务是否为主动HTTP响应,实现了精准检测违规客户端发送的请求并进行拦截。

Description

一种主动HTTP响应的检测及拦截方法、装置及设备
技术领域
本申请涉及Web服务领域,尤其涉及一种主动HTTP响应的检测及拦截方法、装置及设备。
背景技术
目前,违规网络Web服务提供者采用主动超文本传输协议HTTP(HypertextTransfer Protocol)响应法可以有效地绕过厂商的域名白名单检测,从而向客户端或浏览器提供违规Web服务。该主动HTTP响应法通过在服务端部署传输控制协议TCP(Transmission Control Protocol)连接监听程序,当TCP连接监听程序监听到服务端与客户端或浏览器完成TCP连接后,不需要接收客户端或浏览器发送的HTTP请求报文,便可主动向客户端或浏览器发送违规的HTTP响应报文。
相关技术采用主动检测301跳转技术,即将浏览器发送的HTTP请求报文携带的域名记录后,向该域名主动发起TCP连接,判断是否为主动返回301跳转,若发现是主动返回301跳转,则直接将对应的网际互连协议IP(Internet Protocol)与端口添加至黑名单并进行拦截。
然而违规客户端只对服务端进行TCP连接,不进行HTTP请求报文的发送,因此上述相关技术只能拦截浏览器主动301跳转这一种情况,无法检测拦截违规客户端的访问和除主动301跳转以外的其他主动HTTP响应。
发明内容
有鉴于此,本申请提供一种主动HTTP响应的检测及拦截方法、装置及设备。
在本申请的第一方面,提供一种主动HTTP响应的检测及拦截方法,该方法应用于保存有域名白名单的电子设备,所述电子设备用于接收客户端向服务端请求目标服务时发送的镜像报文,包括:
解析所述镜像报文,若发现所述镜像报文是同步SYN报文且存储在所述电子设备中的TCP表中不存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项,则向所述TCP表中添加目标TCP表项,所述目标TCP表项至少包括所述镜像报文的目的IP和目的端口、第一标记位以及添加时间戳,所述第一标记位被置为第一数值,用于标识所述目标TCP表项中的目的IP和目的端口未接收HTTP请求报文;
若发现所述镜像报文不是SYN报文且所述TCP表中存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项,则判断是否能成功获取所述镜像报文携带的域名;若能获取所述域名,则设置所述目标TCP表项中的第一标记位为第二数值,所述第二数值用于标识所述目标TCP表项中的目的IP和目的端口已接收HTTP请求报文;在所述域名不在所述域名白名单的情况下,向所述客户端返回拦截页面,将所述目标TCP表项中的目的IP和目的端口加入待检列表;
间隔第一预设时间扫描所述TCP表,若发现任一目标TCP表项中的第一标记位被置为所述第一数值且扫描时间戳与该目标TCP表项中的添加时间戳的差值大于等于所述第一预设时间,则将该目标TCP表项中的目的IP和目的端口加入所述待检列表;
依据所述待检列表中任一表项的目的IP和目的端口与所述服务端中的目标服务建立TCP连接,若在第二预设时间内接收到所述目标服务发送的HTTP响应报文,则确定所述目标服务为主动HTTP响应。
在本申请的第二方面,提供一种主动HTTP响应的检测及拦截装置,该装置应用于保存有域名白名单的电子设备,所述电子设备用于接收客户端向服务端请求目标服务时发送的镜像报文,包括:
处理单元,用于解析所述镜像报文,若发现所述镜像报文是同步SYN报文且存储在所述电子设备中的TCP表中不存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项,则向所述TCP表中添加目标TCP表项,所述目标TCP表项至少包括所述镜像报文的目的IP和目的端口、第一标记位以及添加时间戳,所述第一标记位被置为第一数值,用于标识所述目标TCP表项中的目的IP和目的端口未接收HTTP请求报文;
若发现所述镜像报文不是SYN报文且所述TCP表中存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项,则判断是否能成功获取所述镜像报文携带的域名;若能获取所述域名,则设置所述目标TCP表项中的第一标记位为第二数值,所述第二数值用于标识所述目标TCP表项中的目的IP和目的端口已接收HTTP请求报文;在所述域名不在所述域名白名单的情况下,向所述客户端返回拦截页面,将所述目标TCP表项中的目的IP和目的端口加入待检列表;
扫描单元,用于间隔第一预设时间扫描所述TCP表,若发现任一目标TCP表项中的第一标记位被置为所述第一数值且扫描时间戳与该目标TCP表项中的添加时间戳的差值大于等于所述第一预设时间,则将该目标TCP表项中的目的IP和目的端口加入所述待检列表;
主动检测单元,用于依据所述待检列表中任一表项的目的IP和目的端口与所述服务端中的目标服务建立TCP连接,若在第二预设时间内接收到所述目标服务发送的HTTP响应报文,则确定所述目标服务为主动HTTP响应。
在本申请的第三方面,提供一种电子设备,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器用于执行机器可执行指令,以实现第一方面提供的任一方法。
在本申请的第四方面,提供一种机器可读存储介质,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令被处理器执行时实现第一方面提供的任一方法。
由以上技术方案可见,本申请将客户端向服务端请求目标服务时发送的报文镜像到保存有域名白名单的电子设备,若上述镜像报文是SYN报文且TCP表中不存在与该镜像报文的目的IP和目的端口对应的目标TCP表项,则向TCP表中添加目标TCP表项;若镜像报文不是SYN报文且TCP表中存在与该镜像报文的目的IP和目的端口对应的目标TCP表项,则在成功获取域名并确认该域名不在域名白名单后,向客户端返回拦截页面,将该TCP表项中的目的IP和目的端口加入待检列表;对TCP表进行延时扫描,将TCP表中超过第一预设时间还未接收HTTP请求报文的TCP表项中的目的IP和目的端口加入待检列表;依据待检列表中任一表项的目的IP和目的端口主动建立TCP连接,判断对应Web服务是否为主动HTTP响应,实现了精准检测违规客户端发送的请求并进行拦截。
附图说明
图1是本申请一实施例提供的一种主动HTTP响应的检测及拦截方法的流程图;
图2是本申请一实施例提供的一种镜像报文的处理流程图;
图3是本申请一实施例提供的一种针对TCP表的定时巡检流程图;
图4是本申请一实施例提供的一种针对待检列表的主动检测流程图;
图5是本申请一实施例提供的一种主动HTTP响应的检测及拦截装置的结构示意图;
图6是本申请一实施例提供的一种电子设备的硬件结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
为了使本领域技术人员更好地理解本申请实施例提供的技术方案,并使本申请实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本申请实施例中技术方案作进一步详细的说明。
需要说明的是,本申请实施例中各步骤的序号大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
请参见图1,为本申请实施例提供的一种主动HTTP响应的检测及拦截方法的流程示意图,该方法应用于保存有域名白名单的电子设备,域名白名单指的是通过域名备案的域名列表,其用于控制网络流量,确保客户端或浏览器只能请求授权的流量。示例性的,电子设备与存储介质中保存域名白名单,上述存储介质可以是带电可擦可编程只读存储器EEPROM (Electrically Erasable Programmable read only memory)、非式闪存存储器Nor Flash等,本申请的实施例并不具体限定。
在本申请的实施例中,所述电子设备用于接收客户端向服务端请求目标服务时发送的镜像报文。
示例性的,交换机从第一端口接收客户端向服务端请求目标服务时发送的报文如同步SYN(Synchronize)报文、HTTP请求报文等,并从第二端口将上述报文转发至服务端。在本申请的实施例中,上述交换机被配置为镜像模式,在镜像模式下交换机还会将从第一端口接收的上述报文进行镜像,产生一份完全相同的镜像报文,并将上述镜像报文从第三端口转发至上述电子设备。
如图1所示,本申请实施例提供的一种主动HTTP响应的检测及拦截方法可以包括以下步骤:
步骤101:解析所述镜像报文,若发现所述镜像报文是同步SYN报文且存储在所述电子设备中的TCP表中不存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项,则向所述TCP表中添加目标TCP表项,所述目标TCP表项至少包括所述镜像报文的目的IP和目的端口、第一标记位以及添加时间戳,所述第一标记位被置为第一数值,用于标识所述目标TCP表项中的目的IP和目的端口未接收HTTP请求报文。
示例性的,保存有域名白名单的电子设备在接收客户端向服务端请求目标服务时发送的任一镜像报文后,通过解析该镜像报文的互联网协议IP层,获取该镜像报文在IP层携带的目的IP,通过解析该镜像报文的传输控制协议TCP层,获取该镜像报文在TCP层携带的目的端口、Flags标记和数据长度。
示例性的,在按照以上方式获取所述镜像报文的Flags标记和数据长度后,若上述Flags标记中有且仅有SYN标记被置1,并且所述镜像报文的数据长度为0,则表明所述镜像报文是客户端与服务端建立TCP连接的第一个报文,也即确定所述镜像报文是SYN报文;否则,确定所述镜像报文不是SYN报文。
示例性的,保存有域名白名单的电子设备在存储介质中创建并维护一张TCP表,上述存储介质可以是电子设备中的随机存取存储器RAM。
示例性的,上述TCP表用于记录TCP连接信息,任一TCP表项记录的TCP连接信息至少包括目的IP、目的端口、第一标记位和添加时间戳。通过TCP表记录二元组信息(目的IP、目的端口),相比记录TCP连接的四元组信息(源IP、目的IP、源端口、目的端口),可以减少每一TCP表项的内存消耗,节约内存资源。
其中,上述目的IP和目的端口用于表明各TCP表项对应的目的IP和目的端口已被请求建立TCP连接。
其中,上述第一标记位用于标识各TCP表项中的目的IP和目的端口是否接收HTTP请求报文。当第一标记位为第一数值时,例如第一数值可以为0,表明该TCP表项中的目的IP和目的端口未接收HTTP请求报文;当第一标记位为第二数值时,例如第二数值可以为1,表明该TCP表项中的目的IP和目的端口已接收HTTP请求报文。当上述TCP表被新增目标TCP表项时,上述第一标记位默认被置为第一数值。
其中,上述添加时间戳用于表示保存有域名白名单的电子设备向TCP表中添加该目标TCP表项时对应的时间戳,在后续的主动HTTP响应检测过程中,上述添加时间戳会在检测过程中得到更新,下文会举例描述,这里暂不赘述。
示例性的,若发现上述镜像报文是SYN报文后,判断上述TCP表中是否存在与该镜像报文的目的IP和目的端口对应的目标TCP表项。
若发现TCP表中不存在与该镜像报文的目的IP和目的端口对应的目标TCP表项,则表明客户端第一次请求与上述目的IP和目的端口建立TCP连接,此时向TCP表中添加目标TCP表项,上述目标TCP表项包括该镜像报文的目的IP和目的端口、第一标记位和添加时间戳,上述第一标记位被置为第一数值,上述添加时间戳被设置为向TCP表中添加该目标TCP表项时对应的时间戳。
若发现TCP表中存在与该镜像报文的目的IP和目的端口对应的目标TCP表项,则表明客户端已经向上述目的IP和目的端口发送过建立TCP连接的第一个报文,并已在TCP表中完成对应目标TCP表项的添加,此时结束对该镜像报文的处理。
示例性的,上述TCP表中的任一TCP表项还记录第二标记位,上述第二标记位用于标识目标TCP表项中的目的IP和目的端口是否为主动HTTP响应。当上述镜像报文是SYN报文且TCP表中不存在与上述镜像报文的目的IP和目的端口对应的目标TCP表项,向TCP表中添加目标TCP表项时,还会将目标TCP表项中的第二标记位置为第三数值,例如,第三数值也可以为0,上述第二标记位的第三数值用于标识目标TCP表项中的目的IP和目的端口是非主动HTTP响应。
其中,当第二标记位为第三数值时,例如第三数值也可以为0,表明目标TCP表项中的目的IP和目的端口是非主动HTTP响应;当第二标记位为第四数值时,例如第四数值也可以为1,表明目标TCP表项中的目的IP和目的端口是主动HTTP响应。当上述TCP表被新增目标TCP表项时,上述第二标记位默认被置为第三数值。
步骤102:若发现所述镜像报文不是SYN报文且所述TCP表中存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项,则判断是否能成功获取所述镜像报文携带的域名;若能获取所述域名,则设置所述目标TCP表项中的第一标记位为第二数值,所述第二数值用于标识所述目标TCP表项中的目的IP和目的端口已接收HTTP请求报文;在所述域名不在所述域名白名单的情况下,向所述客户端返回拦截页面,将所述目标TCP表项中的目的IP和目的端口加入待检列表。
示例性的,如图2所示,若发现所述镜像报文不是SYN报文,则先判断TCP表中是否存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项。
其中,若发现TCP表中不存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项,则表明客户端与上述目的IP和目的端口还未建立TCP连接,客户端就像上述目的IP和目的端口发送如HTTP请求报文之类的报文,该情况显然为异常情况,此时结束对所述镜像报文的处理。
其中,若发现TCP表中存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项,则继续判断目标TCP表项中的第二标记位的数值。
其中,当目标TCP表项中的第二标记位为第四数值,表明目标TCP表项中的目的IP和目的端口已经被保存有域名白名单的电子设备确认为主动HTTP响应,此时由保存有域名白名单的电子设备创建拦截页面并在服务端之前向客户端返回上述拦截页面,实现了有效拦截主动HTTP响应并通过柔和的拦截方式给与客户端错误提示。至于目标TCP表项中的第二标记位何时被置为第四数值,下文会举例描述,这里暂不赘述。
其中,当目标TCP表项中的第二标记位为第三数值,则表明目标TCP表项刚加入TCP表,保存有域名白名单的电子设备还未对目标TCP表项中的目的IP和目的端口进行过主动HTTP响应检测或保存有域名白名单的电子设备已经对目标TCP表项中的目的IP和目的端口进行过主动HTTP响应检测并确定其为非主动HTTP响应,此时继续判断是否能成功获取镜像报文携带的域名。
其中,若不能成功获取所述镜像报文携带的域名,则表明所述镜像报文可能不是由HTTP协议发送的数据或所述镜像报文在传输过程中被修改或破坏不再符合HTTP协议的标准格式等,该情况显然为异常情况,此时结束对所述镜像报文的处理。
其中,若能成功获取所述镜像报文携带的域名,则将与所述镜像报文的目的IP和目的端口对应的目标TCP表项中的第一标记位置为第二数值后,继续判断所述镜像报文携带的域名是否在域名白名单中。
其中,若发现所述镜像报文携带的域名在域名白名单中,则表明所述镜像报文请求的Web服务是经过授权的和合法的,此时结束对所述镜像报文的处理。
其中,若发现所述镜像报文携带的域名不在域名白名单中,则表明所述镜像报文请求的Web服务是违规Web服务,此时由保存有域名白名单的电子设备创建拦截页面并在服务端之前向客户端返回上述拦截页面。具体的,保存有域名白名单的电子设备创建拦截页面并向客户端返回拦截之后,将与所述镜像报文的目的IP和目的端口对应的目标TCP表项中的目的IP和目的端口加入待检列表中。
至此,完成如图2所示的对镜像报文的处理流程。
步骤103:间隔第一预设时间扫描所述TCP表,若发现任一TCP表项中的第一标记位被置为所述第一数值且扫描时间戳与该TCP表项中的添加时间戳的差值大于等于所述第一预设时间,则将该TCP表项中的目的IP和目的端口加入所述待检列表。
示例性的,考虑到正常情况下,例如浏览器,会在建立TCP连接之后马上向服务端发送HTTP请求报文,如果存在网络抖动等情况,一般也是在建立TCP连接之后的5秒内发送HTTP请求报文,因此,优选的,上述第一预设时间可以是5秒。
示例性的,如图3所示,保存有域名白名单的电子设备间隔第一预设时间扫描TCP表项中的任一TCP表项,先判断目标TCP表项中的第一标记位的数值。
其中,若目标TCP表项中的第一标记位为第二数值,则表明该目标TCP表项中的目的IP和目的端口与客户端建立TCP连接后,已接收到HTTP请求报文,此时跳过该目标TCP表项,不将其加入待检列表节点。
其中,若目标TCP表项中的第一标记位为第一数值,则表明该目标TCP表项中的目的IP和目的端口与客户端建立TCP连接后,还没有接收到HTTP请求报文,继续判断扫描时间戳与该目标TCP表项中的添加时间戳之间的差值,上述扫描时间戳为保存有域名白名单的电子设备扫描该目标TCP表项对应的时间戳。
其中,若扫描时间戳与该目标TCP表项中的添加时间戳之间的差值大于等于上述第一预设时间,则表明该目标TCP表项中的目的IP和目的端口与客户端建立TCP连接后,长时间没有接收到HTTP请求报文,显然此情况为异常情况,上述客户端可能为违规客户端,因此将该目标TCP表项中的目的IP和目的端口添加至待检列表。
其中,若扫描时间戳与该目标TCP表项中的添加时间戳之间的差值小于上述第一预设时间,则表明该目标TCP表项中的目的IP和目的端口与客户端建立TCP连接后,短时间内没有接收到HTTP请求报文,此情况可能是网络波动等外界因素导致的,因此跳过该目标TCP表项,不将其加入待检列表节点,等待第一预设时间之后的下一次扫描继续进行上述延时扫描判断。实现了进行延时扫描判断,精准检测违规客户端发送的请求并进行拦截。
至此,完成如图3所示的定时巡检流程,也即延时扫描判断流程。
步骤104:依据所述待检列表中任一表项的目的IP和目的端口与所述服务端中的目标服务建立TCP连接,若在第二预设时间内接收到所述目标服务发送的HTTP响应报文,则确定所述目标服务为主动HTTP响应。
示例性的,如图4所示,保存有域名白名单的电子设备循环遍历待检列表中的任一表项,所述待检列表中的任一表项包括目标IP和目标端口;获取所述待检列表中任一表项的目的IP和目的端口后,判断TCP表中是否存在与上述表项中的目的IP和目的端口对应的目标TCP表项。
其中,若确认所述TCP表中不存在与上述表项中的目的IP和目的端口对应的目标TCP表项,该情况显然为异常情况,此时将上述表项移出待检列表,继续对所述待检列表中的下一表项进行检测。
其中,若确认所述TCP表中存在与上述表项中的目的IP和目的端口对应的目标TCP表项,则继续进行冷却时间判断,上述冷却时间判断指的是:判断当前时间戳是否大于等于与上述表项中的目的IP和目的端口对应的目标TCP表项中的添加时间戳,其中,当前时间戳为确认所述TCP表中存在与上述表项中的目的IP和目的端口对应的目标TCP表项时的时间戳。
其中,若当前时间戳小于与上述表项中的目的IP和目的端口对应的目标TCP表项中的添加时间戳,则表明上述表项中的目的IP和目的端口在近期已经进行过主动HTTP响应检测,与上述表项中的目的IP和目的端口对应的目标TCP表项中的添加时间戳已经被增加过第三预设时间,此时将上述表项移出待检列表,继续对待检列表中的下一表项进行检测。
其中,若当前时间戳大于等于与上述表项中的目的IP和目的端口对应的目标TCP表项中的添加时间戳,则表明上述表项中的目的IP和目的端口还未进行过主动HTTP响应检测或在经过上一次主动HTTP响应检测后长时间未进行主动HTTP响应检测,在该情况下,依据待检列表中的上述表项中的目的IP和目的端口与服务端中的目标服务建立TCP连接,并继续判断是否在第二预设时间内接收到目标服务发送的数据。
其中,若在第二预设时间内没有接收到所述目标服务发送的数据,则表明上述目标服务并非主动HTTP响应,即不会在客户端只对服务端进行TCP连接不进行HTTP请求报文发送的情况下,主动向客户端发送违规Web服务资源。在该情况下,可以将与上述表项中的目的IP和目的端口对应的目标TCP表项中的添加时间戳增加第三预设时间得到新的添加时间戳,将上述表项移出待检列表,继续对待检列表中的下一表项进行检测。
其中,若在第二预设时间内接收到所述目标服务发送的数据,则继续判断目标服务发送的数据是否为HTTP响应报文。
其中,若发现目标服务发送的数据不是HTTP响应报文,则认为该目标服务并非本申请实施例想要检测拦截的主动HTTP响应,在该情况下,可以将与上述表项中的目的IP和目的端口对应的目标TCP表项中的添加时间戳增加第三预设时间得到新的添加时间戳,将上述表项移出待检列表,继续对待检列表中的下一表项进行检测。
其中,若发现目标服务发送的数据是HTTP响应报文,则将与上述表项中的目的IP和目的端口对应的目标TCP表项中的第二标记位置为第四数值,所述第二标记位的第四数值用于标识与上述表项中的目的IP和目的端口对应的目标TCP表项中的目的IP和目的端口是主动HTTP响应;将目标服务对应的目的IP和目的端口发送至指定联系人,使厂商能够快速获悉具体目的IP和目的端口情况,通知违规Web服务提供者停止提供违规Web服务;将与上述表项中的目的IP和目的端口对应的目标TCP表项中的添加时间戳增加第三预设时间得到新的添加时间戳,将上述表项移出待检列表,继续对待检列表中的下一表项进行检测。实现了通过镜像报文中的目的IP和目的端口主动与目标服务建立TCP连接,精准判断对应Web服务是否为主动HTTP响应。
更为具体的是,考虑到上述表项在被移出待检列表后,短时间内可能还会再次进入待检列表,因此上述第三预设时间(也即冷却时间)可以为36800秒。将上述表项移出待检列表后,将与上述表项中的目的IP和目的端口对应的目标TCP表项中的添加时间戳增加第三预设时间得到新的添加时间戳进行冷却,通过进行上述冷却时间判断,如果当前时间戳大于等于与上述表项中的目的IP和目的端口对应的目标TCP表项中的添加时间戳,则表明上述表项中的目的IP和目的端口还未进行过主动HTTP响应检测或在经过上一次主动HTTP响应检测后长时间未进行主动HTTP响应检测,此时可以实现重新触发主动HTTP响应检测,避免开始为非主动HTTP响应后续为主动HTTP响应的情况,避免遗漏;如果当前时间戳小于与上述表项中的目的IP和目的端口对应的目标TCP表项中的添加时间戳,则表明上述表项中的目的IP和目的端口在近期已经进行过主动HTTP响应检测,可以实现减少对相同目的IP和目的端口进行重复主动HTTP响应检测,减少系统开销和网络流量。
至此,完成图4所示的针对待检列表的主动HTTP检测流程。
至此,完成图1所示的一种主动HTTP响应的检测及拦截方法的流程图。
上述实施例至少具有如下有益效果:
第一,通过TCP表记录二元组信息(目的IP、目的端口),相比记录TCP连接的四元组信息(源IP、目的IP、源端口、目的端口),可以减少每一TCP表项的内存消耗,节约内存资源;
第二,对TCP表中的任一目标TCP表项进行定时巡检,也即延时扫描判断,实现了精准检测违规客户端发送的请求并进行拦截;
第三,依据待检列表中表项中的目的IP和目的端口与目标服务建立TCP连接,实现了精准判断对应Web服务是否为主动HTTP响应;
第四、预先设置第三预设时间(也即冷却时间)为恰当的数值,如36800秒,将与上述表项中的目的IP和目的端口对应的目标TCP表项中的添加时间戳增加第三预设时间得到新的添加时间戳进行冷却,将上述表项移出待检列表,实现了重新触发主动HTTP响应检测,避免开始为非主动HTTP响应后续为主动HTTP响应的情况,避免遗漏,还进一步实现了减少对相同目的IP和目的端口进行重复主动HTTP响应检测,减少系统开销和网络流量。
以上内容对本申请提供的方法进行了描述。下面对本申请提供的装置进行描述:
请参见图5,为本申请实施例提供的一种主动HTTP响应的检测及拦截装置的结构示意图。
如图5所示,该装置可以包括:
处理单元501,用于解析所述镜像报文,若发现所述镜像报文是同步SYN报文且存储在所述电子设备中的TCP表中不存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项,则向所述TCP表中添加目标TCP表项,所述目标TCP表项至少包括所述镜像报文的目的IP和目的端口、第一标记位以及添加时间戳,所述第一标记位被置为第一数值,用于标识所述目标TCP表项中的目的IP和目的端口未接收HTTP请求报文;
若发现所述镜像报文不是SYN报文且所述TCP表中存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项,则判断是否能成功获取所述镜像报文携带的域名;若能获取所述域名,则设置所述目标TCP表项中的第一标记位为第二数值,所述第二数值用于标识所述目标TCP表项中的目的IP和目的端口已接收HTTP请求报文;在所述域名不在所述域名白名单的情况下,向所述客户端返回拦截页面,将所述目标TCP表项中的目的IP和目的端口加入待检列表。
扫描单元502,用于间隔第一预设时间扫描所述TCP表,若发现任一目标TCP表项中的第一标记位被置为所述第一数值且扫描时间戳与该目标TCP表项中的添加时间戳的差值大于等于所述第一预设时间,则将该目标TCP表项中的目的IP和目的端口加入所述待检列表。
主动检测单元503,用于依据所述待检列表中任一表项的目的IP和目的端口与所述服务端中的目标服务建立TCP连接,若在第二预设时间内接收到所述目标服务发送的HTTP响应报文,则确定所述目标服务为主动HTTP响应。
在一些实施例中,所述处理单元501,具体用于,通过以下方式解析所述镜像报文:
解析所述镜像报文的IP层,获取所述镜像报文在IP层携带的目的IP;
解析所述镜像报文的TCP层,获取所述镜像报文在TCP层携带的目的端口、Flags标记和数据长度;
所述处理单元501,具体用于,通过以下方式确认所述镜像报文是否为SYN报文:
若发现所述镜像报文的所述Flags标记中有且仅有SYN标记被置1,且所述数据长度为0,则确定所述镜像报文是SYN报文;否则,确定所述镜像报文不是SYN报文。
在一些实施例中,所述目标TCP表项还包括第二标记位,在所述镜像报文是同步SYN报文且所述TCP表中不存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项的情况下,将所述目标TCP表项中的第二标记位被置为第三数值,用于标识所述目标TCP表项中的目的IP和目的端口是非主动HTTP响应;
若在第二预设时间内接收到所述目标服务发送的HTTP响应报文,则确定所述目标服务为主动HTTP响应之后,还包括:将与所述待检列表中表项的目的IP和目的端口对应的目标TCP表项中的第二标记位置为第四数值,所述第二标记位的第四数值用于标识所述目标TCP表项中的目的IP和目的端口是主动HTTP响应。
在一些实施例中,若发现所述镜像报文不是SYN报文且所述TCP表中存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项之后,所述处理单元501,还用于:
判断所述目标TCP表项中的第二标记位的数值;
若所述目标TCP表项中的第二标记位为所述第三数值,则判断是否能成功获取所述镜像报文携带的域名;
若所述目标TCP表项中的第二标记位为所述第四数值,则向所述客户端返回拦截页面。
在一些实施例中,若发现所述镜像报文是SYN报文且所述TCP表中存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项、若发现所述镜像报文不是SYN报文且所述TCP表中不存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项、不能成功获取所述镜像报文携带的域名或所述域名在所述域名白名单的情况下,则结束对所述镜像报文的处理。
在一些实施例中,依据所述待检列表中任一表项的目的IP和目的端口与所述服务端中的目标服务建立TCP连接之前,所述主动检测单元503,还用于:
获取所述待检列表中任一表项的目的IP和目的端口;
在所述TCP表中查询是否存在与所述表项中的目的IP和目的端口对应的目标TCP表项;若确认所述TCP表中不存在与所述表项中的目的IP和目的端口对应的目标TCP表项,则将所述表项移出所述待检列表,继续对所述待检列表中的下一表项进行检测;
若确认所述TCP表中存在与所述表项中的目的IP和目的端口对应的目标TCP表项,则判断当前时间戳是否大于等于与所述表项中的目的IP和目的端口对应的目标TCP表项中的添加时间戳,所述当前时间戳为确认所述TCP表中存在与所述表项中的目的IP和目的端口对应的目标TCP表项时的时间戳;若所述当前时间戳大于等于与所述表项中的目的IP和目的端口对应的目标TCP表项中的添加时间戳,则依据所述待检列表中所述表项中的目的IP和目的端口与所述服务端中的目标服务建立TCP连接;否则,将所述表项移出所述待检列表,继续对所述待检列表中的下一表项进行检测。
在一些实施例中,若在第二预设时间内没有接收到所述目标服务发送的数据,所述主动检测单元503,还用于:
将与所述表项中的目的IP和目的端口对应的目标TCP表项中的添加时间戳增加第三预设时间得到新的添加时间戳;
将所述表项移出所述待检列表,并继续对所述待检列表中的下一表项进行检测;
和/或,
若在第二预设时间内接收到所述目标服务发送的数据,则判断所述目标服务发送的数据是否为HTTP响应报文;若所述目标服务发送的数据为HTTP响应报文,则确定所述目标服务为主动HTTP响应;
在确定所述目标服务为主动HTTP响应之后,将所述目标服务对应的目的IP和目的端口发送至指定联系人;将与所述表项中的目的IP和目的端口对应的目标TCP表项中的添加时间戳增加第三预设时间得到新的添加时间戳;将所述表项移出所述待检列表,并继续对所述待检列表中的下一表项进行检测。
本申请实施例还提供了一种硬件结构。参见图6,图6为本申请实施例提供的电子设备结构图。如图6所示,该硬件结构可包括:处理器和机器可读存储介质,机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器用于执行机器可执行指令,以实现本申请上述示例公开的方法。
基于与上述方法同样的申请构思,本申请实施例还提供一种机器可读存储介质,所述机器可读存储介质上存储有若干计算机指令,所述计算机指令被处理器执行时,能够实现本申请上述示例公开的方法。
示例性的,上述机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
需要说明的是,在本文中,诸如目标和目标等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (17)

1.一种主动HTTP响应的检测及拦截方法,其特征在于,该方法应用于保存有域名白名单的电子设备,所述电子设备用于接收客户端向服务端请求目标服务时发送的镜像报文;该方法包括:
解析所述镜像报文,若发现所述镜像报文是同步SYN报文且存储在所述电子设备中的TCP表中不存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项,则向所述TCP表中添加目标TCP表项,所述目标TCP表项至少包括所述镜像报文的目的IP和目的端口、第一标记位以及添加时间戳,所述第一标记位被置为第一数值,用于标识所述目标TCP表项中的目的IP和目的端口未接收HTTP请求报文;
若发现所述镜像报文不是SYN报文且所述TCP表中存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项,则判断是否能成功获取所述镜像报文携带的域名;若能获取所述域名,则设置所述目标TCP表项中的第一标记位为第二数值,所述第二数值用于标识所述目标TCP表项中的目的IP和目的端口已接收HTTP请求报文;在所述域名不在所述域名白名单的情况下,向所述客户端返回拦截页面,将所述目标TCP表项中的目的IP和目的端口加入待检列表;
间隔第一预设时间扫描所述TCP表,若发现任一目标TCP表项中的第一标记位被置为所述第一数值且扫描时间戳与该目标TCP表项中的添加时间戳的差值大于等于所述第一预设时间,则将该目标TCP表项中的目的IP和目的端口加入所述待检列表;
依据所述待检列表中任一表项的目的IP和目的端口与所述服务端中的目标服务建立TCP连接,若在第二预设时间内接收到所述目标服务发送的HTTP响应报文,则确定所述目标服务为主动HTTP响应。
2.根据权利要求1所述的方法,其特征在于,解析所述镜像报文,包括:
解析所述镜像报文的IP层,获取所述镜像报文在IP层携带的目的IP;
解析所述镜像报文的TCP层,获取所述镜像报文在TCP层携带的目的端口、Flags标记和数据长度;
确认所述镜像报文是否为SYN报文,包括:
若发现所述镜像报文的所述Flags标记中有且仅有SYN标记被置1,且所述数据长度为0,则确定所述镜像报文是SYN报文;否则,确定所述镜像报文不是SYN报文。
3.根据权利要求1所述的方法,其特征在于,所述目标TCP表项还包括第二标记位,在所述镜像报文是同步SYN报文且所述TCP表中不存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项的情况下,还包括:将所述目标TCP表项中的第二标记位置为第三数值,所述第二标记位的第三数值用于标识所述目标TCP表项中的目的IP和目的端口是非主动HTTP响应;
若在第二预设时间内接收到所述目标服务发送的HTTP响应报文,则确定所述目标服务为主动HTTP响应之后,还包括:将与所述待检列表中表项的目的IP和目的端口对应的目标TCP表项中的第二标记位置为第四数值,所述第二标记位的第四数值用于标识所述目标TCP表项中的目的IP和目的端口是主动HTTP响应。
4.根据权利要求3所述的方法,其特征在于,若发现所述镜像报文不是SYN报文且所述TCP表中存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项之后,还包括:
判断所述目标TCP表项中的第二标记位的数值;
若所述目标TCP表项中的第二标记位为所述第三数值,则判断是否能成功获取所述镜像报文携带的域名;
若所述目标TCP表项中的第二标记位为所述第四数值,则向所述客户端返回拦截页面。
5.根据权利要求1所述的方法,其特征在于,若发现所述镜像报文是SYN报文且所述TCP表中存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项、若发现所述镜像报文不是SYN报文且所述TCP表中不存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项、不能成功获取所述镜像报文携带的域名或所述域名在所述域名白名单的情况下,则结束对所述镜像报文的处理。
6.根据权利要求1所述的方法,其特征在于,依据所述待检列表中任一表项的目的IP和目的端口与所述服务端中的目标服务建立TCP连接之前,还包括:
获取所述待检列表中任一表项的目的IP和目的端口;
在所述TCP表中查询是否存在与所述表项中的目的IP和目的端口对应的目标TCP表项;若确认所述TCP表中不存在与所述表项中的目的IP和目的端口对应的目标TCP表项,则将所述表项移出所述待检列表,继续对所述待检列表中的下一表项进行检测;
若确认所述TCP表中存在与所述表项中的目的IP和目的端口对应的目标TCP表项,则判断当前时间戳是否大于等于与所述表项中的目的IP和目的端口对应的目标TCP表项中的添加时间戳,所述当前时间戳为确认所述TCP表中存在与所述表项中的目的IP和目的端口对应的目标TCP表项时的时间戳;若所述当前时间戳大于等于与所述表项中的目的IP和目的端口对应的目标TCP表项中的添加时间戳,则依据所述待检列表中所述表项中的目的IP和目的端口与所述服务端中的目标服务建立TCP连接;否则,将所述表项移出所述待检列表,继续对所述待检列表中的下一表项进行检测。
7.根据权利要求1所述的方法,其特征在于,若在第二预设时间内没有接收到所述目标服务发送的数据,还包括:
将与所述表项中的目的IP和目的端口对应的目标TCP表项中的添加时间戳增加第三预设时间得到新的添加时间戳;
将所述表项移出所述待检列表,并继续对所述待检列表中的下一表项进行检测。
8.根据权利要求1所述的方法,其特征在于,若在第二预设时间内接收到所述目标服务发送的HTTP响应报文,则确定所述目标服务为主动HTTP响应,还包括:
若在第二预设时间内接收到所述目标服务发送的数据,则判断所述目标服务发送的数据是否为HTTP响应报文;若所述目标服务发送的数据为HTTP响应报文,则确定所述目标服务为主动HTTP响应;
在确定所述目标服务为主动HTTP响应之后,将所述目标服务对应的目的IP和目的端口发送至指定联系人;将与所述表项中的目的IP和目的端口对应的目标TCP表项中的添加时间戳增加第三预设时间得到新的添加时间戳;将所述表项移出所述待检列表,并继续对所述待检列表中的下一表项进行检测。
9.一种主动HTTP响应的检测及拦截装置,其特征在于,该装置应用于保存有域名白名单的电子设备,所述电子设备用于接收客户端向服务端请求目标服务时发送的镜像报文;该装置包括:
处理单元,用于解析所述镜像报文,若发现所述镜像报文是同步SYN报文且存储在所述电子设备中的TCP表中不存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项,则向所述TCP表中添加目标TCP表项,所述目标TCP表项至少包括所述镜像报文的目的IP和目的端口、第一标记位以及添加时间戳,所述第一标记位被置为第一数值,用于标识所述目标TCP表项中的目的IP和目的端口未接收HTTP请求报文;
若发现所述镜像报文不是SYN报文且所述TCP表中存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项,则判断是否能成功获取所述镜像报文携带的域名;若能获取所述域名,则设置所述目标TCP表项中的第一标记位为第二数值,所述第二数值用于标识所述目标TCP表项中的目的IP和目的端口已接收HTTP请求报文;在所述域名不在所述域名白名单的情况下,向所述客户端返回拦截页面,将所述目标TCP表项中的目的IP和目的端口加入待检列表;
扫描单元,用于间隔第一预设时间扫描所述TCP表,若发现任一目标TCP表项中的第一标记位被置为所述第一数值且扫描时间戳与该目标TCP表项中的添加时间戳的差值大于等于所述第一预设时间,则将该目标TCP表项中的目的IP和目的端口加入所述待检列表;
主动检测单元,用于依据所述待检列表中任一表项的目的IP和目的端口与所述服务端中的目标服务建立TCP连接,若在第二预设时间内接收到所述目标服务发送的HTTP响应报文,则确定所述目标服务为主动HTTP响应。
10.根据权利要求9所述的装置,其特征在于,所述处理单元,具体用于,通过以下方式解析所述镜像报文:
解析所述镜像报文的IP层,获取所述镜像报文在IP层携带的目的IP;
解析所述镜像报文的TCP层,获取所述镜像报文在TCP层携带的目的端口、Flags标记和数据长度;
所述处理单元,具体用于,通过以下方式确认所述镜像报文是否为SYN报文:
若发现所述镜像报文的所述Flags标记中有且仅有SYN标记被置1,且所述数据长度为0,则确定所述镜像报文是SYN报文;否则,确定所述镜像报文不是SYN报文。
11.根据权利要求9所述的装置,其特征在于,所述目标TCP表项还包括第二标记位,在所述镜像报文是同步SYN报文且所述TCP表中不存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项的情况下,还包括:将所述目标TCP表项中的第二标记位置为第三数值,所述第二标记位的第三数值用于标识所述目标TCP表项中的目的IP和目的端口是非主动HTTP响应;
若在第二预设时间内接收到所述目标服务发送的HTTP响应报文,则确定所述目标服务为主动HTTP响应之后,还包括:将与所述待检列表中表项的目的IP和目的端口对应的目标TCP表项中的第二标记位置为第四数值,所述第二标记位的第四数值用于标识所述目标TCP表项中的目的IP和目的端口是主动HTTP响应。
12.根据权利要求11所述的装置,其特征在于,若发现所述镜像报文不是SYN报文且所述TCP表中存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项之后,所述处理单元,还用于:
判断所述目标TCP表项中的第二标记位的数值;
若所述目标TCP表项中的第二标记位为所述第三数值,则判断是否能成功获取所述镜像报文携带的域名;
若所述目标TCP表项中的第二标记位为所述第四数值,则向所述客户端返回拦截页面。
13.根据权利要求9所述的装置,其特征在于,若发现所述镜像报文是SYN报文且所述TCP表中存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项、若发现所述镜像报文不是SYN报文且所述TCP表中不存在与所述镜像报文的目的IP和目的端口对应的目标TCP表项、不能成功获取所述镜像报文携带的域名或所述域名在所述域名白名单的情况下,则结束对所述镜像报文的处理。
14.根据权利要求9所述的装置,其特征在于,依据所述待检列表中任一表项的目的IP和目的端口与所述服务端中的目标服务建立TCP连接之前,所述主动检测单元,还用于:
获取所述待检列表中任一表项的目的IP和目的端口;
在所述TCP表中查询是否存在与所述表项中的目的IP和目的端口对应的目标TCP表项;若确认所述TCP表中不存在与所述表项中的目的IP和目的端口对应的目标TCP表项,则将所述表项移出所述待检列表,继续对所述待检列表中的下一表项进行检测;
若确认所述TCP表中存在与所述表项中的目的IP和目的端口对应的目标TCP表项,则判断当前时间戳是否大于等于与所述表项中的目的IP和目的端口对应的目标TCP表项中的添加时间戳,所述当前时间戳为确认所述TCP表中存在与所述表项中的目的IP和目的端口对应的目标TCP表项时的时间戳;若所述当前时间戳大于等于与所述表项中的目的IP和目的端口对应的目标TCP表项中的添加时间戳,则依据所述待检列表中所述表项中的目的IP和目的端口与所述服务端中的目标服务建立TCP连接;否则,将所述表项移出所述待检列表,继续对所述待检列表中的下一表项进行检测。
15.根据权利要求9所述的装置,其特征在于,若在第二预设时间内没有接收到所述目标服务发送的数据,所述主动检测单元,还用于:
将与所述表项中的目的IP和目的端口对应的目标TCP表项中的添加时间戳增加第三预设时间得到新的添加时间戳;
将所述表项移出所述待检列表,并继续对所述待检列表中的下一表项进行检测;
和/或,
若在第二预设时间内接收到所述目标服务发送的HTTP响应报文,则确定所述目标服务为主动HTTP响应,所述主动检测单元,还用于:
若在第二预设时间内接收到所述目标服务发送的数据,则判断所述目标服务发送的数据是否为HTTP响应报文;若所述目标服务发送的数据为HTTP响应报文,则确定所述目标服务为主动HTTP响应;
在确定所述目标服务为主动HTTP响应之后,将所述目标服务对应的目的IP和目的端口发送至指定联系人;将与所述表项中的目的IP和目的端口对应的目标TCP表项中的添加时间戳增加第三预设时间得到新的添加时间戳;将所述表项移出所述待检列表,并继续对所述待检列表中的下一表项进行检测。
16.一种电子设备,其特征在于,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器用于执行机器可执行指令,以实现如权利要求1-8任一项所述的方法。
17.一种机器可读存储介质,其特征在于,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令被处理器执行时实现如权利要求1-8任一项所述的方法。
CN202410056149.5A 2024-01-15 2024-01-15 一种主动http响应的检测及拦截方法、装置及设备 Active CN117579383B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410056149.5A CN117579383B (zh) 2024-01-15 2024-01-15 一种主动http响应的检测及拦截方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410056149.5A CN117579383B (zh) 2024-01-15 2024-01-15 一种主动http响应的检测及拦截方法、装置及设备

Publications (2)

Publication Number Publication Date
CN117579383A true CN117579383A (zh) 2024-02-20
CN117579383B CN117579383B (zh) 2024-03-22

Family

ID=89888516

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410056149.5A Active CN117579383B (zh) 2024-01-15 2024-01-15 一种主动http响应的检测及拦截方法、装置及设备

Country Status (1)

Country Link
CN (1) CN117579383B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140068411A1 (en) * 2012-08-31 2014-03-06 Scott Ross Methods and apparatus to monitor usage of internet advertising networks
US20140337464A1 (en) * 2013-05-10 2014-11-13 Alcatel-Lucent Canada Inc. System and method for inline http notification
CN106060023A (zh) * 2016-05-20 2016-10-26 汉柏科技有限公司 一种恶意数据的拦截处理方法及装置
WO2016195344A1 (ko) * 2015-06-02 2016-12-08 주식회사 수산아이앤티 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법
CN107241344A (zh) * 2017-06-30 2017-10-10 北京知道创宇信息技术有限公司 拦截客户端对恶意网络服务器的访问的方法、设备和系统
CN110336812A (zh) * 2019-07-03 2019-10-15 深圳市珍爱捷云信息技术有限公司 资源拦截处理方法、装置、计算机设备和存储介质
CN111786990A (zh) * 2020-06-29 2020-10-16 杭州优云科技有限公司 一种针对web主动推送跳转页面的防御方法和系统
WO2021196568A1 (zh) * 2020-03-30 2021-10-07 厦门网宿有限公司 流量代理方法、服务器及存储介质
CN113872921A (zh) * 2020-06-30 2021-12-31 腾讯科技(深圳)有限公司 网页检测方法、装置、设备及计算机可读存储介质
CN113905275A (zh) * 2021-09-23 2022-01-07 海信电子科技(深圳)有限公司 一种网页过滤方法及智能设备

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140068411A1 (en) * 2012-08-31 2014-03-06 Scott Ross Methods and apparatus to monitor usage of internet advertising networks
US20140337464A1 (en) * 2013-05-10 2014-11-13 Alcatel-Lucent Canada Inc. System and method for inline http notification
WO2016195344A1 (ko) * 2015-06-02 2016-12-08 주식회사 수산아이앤티 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법
CN106060023A (zh) * 2016-05-20 2016-10-26 汉柏科技有限公司 一种恶意数据的拦截处理方法及装置
CN107241344A (zh) * 2017-06-30 2017-10-10 北京知道创宇信息技术有限公司 拦截客户端对恶意网络服务器的访问的方法、设备和系统
CN110336812A (zh) * 2019-07-03 2019-10-15 深圳市珍爱捷云信息技术有限公司 资源拦截处理方法、装置、计算机设备和存储介质
WO2021196568A1 (zh) * 2020-03-30 2021-10-07 厦门网宿有限公司 流量代理方法、服务器及存储介质
CN111786990A (zh) * 2020-06-29 2020-10-16 杭州优云科技有限公司 一种针对web主动推送跳转页面的防御方法和系统
CN113872921A (zh) * 2020-06-30 2021-12-31 腾讯科技(深圳)有限公司 网页检测方法、装置、设备及计算机可读存储介质
CN113905275A (zh) * 2021-09-23 2022-01-07 海信电子科技(深圳)有限公司 一种网页过滤方法及智能设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
杨小国;周华春;孙道平;: "基于域名重定向的可疑域名拦截技术", 电脑知识与技术, no. 05, 15 February 2011 (2011-02-15) *

Also Published As

Publication number Publication date
CN117579383B (zh) 2024-03-22

Similar Documents

Publication Publication Date Title
CN101834911B (zh) 域名劫持的防御方法和网络出口设备
RU2610827C2 (ru) Способ и устройство для основанного на маршрутизаторе управления работой в сети
KR20140131523A (ko) 보안 프로토콜의 동적 선택 기법
CN108076003B (zh) 会话劫持的检测方法及装置
CN111818073B (zh) 一种失陷主机检测方法、装置、设备及介质
CN111106983B (zh) 一种检测网络连通性的方法及装置
CN113301155B (zh) 数据路由方法、装置、设备和存储介质
CN113473576A (zh) 漫游连网处理方法、装置、移动终端及可读存储介质
CN111131484A (zh) 节点挂载方法、装置、网络节点及存储介质
CN117579383B (zh) 一种主动http响应的检测及拦截方法、装置及设备
CN111064821A (zh) 边缘节点的ip地址的确定方法和装置
CN110784364B (zh) 一种数据监测方法、装置、存储介质及终端
RU2008121872A (ru) Ближайший узел для соединений распределенных служб
CN112311724B (zh) 一种定位http劫持的方法、装置、介质及设备
CN112152993A (zh) 网页劫持的检测方法、装置、计算机设备以及存储介质
CN114697201A (zh) 一种基于应用客户端代理请求的数据处理方法及装置
KR20140092337A (ko) 대상을 획득하는 방법, 장치, 및 시스템
CN113691648A (zh) 一种检测网络地址转换设备的方法及相关装置
CN110445670B (zh) 一种服务器加速服务效果的测试方法及系统
CN114640878A (zh) 视频获取方法、标识服务器及地址服务器
CN118055095B (zh) 权威域名服务器的确定方法、装置、电子设备及存储介质
CN117061247B (zh) 基于dns的溯源定位方法、装置、电子设备及存储介质
EP3236364B1 (en) Web tracking method and system
CN117240612B (zh) 基于多模过滤的失陷物联网设备安全检测方法及装置
CN112509296B (zh) 报警推送方法、装置、电子设备及机器可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant