WO2014000303A1 - 一种报文接收方法、深度包检测设备及系统 - Google Patents

Abstract

提供一种报文接收方法、深度包检测设备及系统，该报文接收方法包括：接收终端设备发送的业务请求的报文，所述报文携带有指示所述终端设备的终端域名和指示所述终端设备业务请求的业务服务器的服务器域名（S101）；解析接收的所述服务器域名得到业务服务器网络协议IP地址（S102）；若解析的所述业务服务器IP地址不属于接收的所述终端域名在预设列表中对应的预设业务服务器IP地址，则对所述报文进行丢包（S103）。该方法、设备及系统能够提高深度包检测设备对报文的辨识能力，防止由于辨识不足而出现漏洞。

Description

一种报文接收方法、 深度包检测设备及系统 技术领域

本发明涉及通信领域， 尤其涉及一种报文接收方法、 深度包检 测设备及系统。

背景技术

随着互联网业务日渐成熟， 业务种类逐渐增加， 用户终端可以 访问的网站， 包括视频网站， 游戏网站等， 这些网站既存在免费的， 也有根据运营商的需求进行收费的， 用户终端可以根据自 己的需求 选择访问。

一般情况下， 用户想要访问网站使用的业务服务器对应着一个

IP (Internet Protocol , 网络协议）地址， 用户可以通过发送携带有域 名和需要访问的网站相关信息的 4艮文， 通常情况下， DPI ( Deep Packet Inspection, 深度包检测） 设备对报文信息进行策略匹配时， 需要使用 包含有 host字段的完整 URL(Uniform Resource Location , 统一资源 定位符）信息， 这与现有的业务服务器对报文的处理原则不同， 会造 成 DPI设备检测存在漏洞， 如这种业务服务器仅检测报文的 URL中 的路径信息， 而不检测 host字段， 使得业务服务器可以根据路径信 息返回访问结果， 而不判断该路径信息是否与 host字段提供的路径 一致， 即无法判断用户是否篡改了 host字段。 这样会造成用户通过 篡改报文， 达到成功访问收费业务， 但 DPI设备无法识别用户终端 是否通过修改报文中的 host字段而达到欺诈性的免费访问收费网站 的目 的等。

发明内容

本发明的实施例提供一种报文接收方法、 深度包检测设备及系 统， 能够提高深度包检测设备对报文的辨识能力， 防止由于辨识不 足而出现漏洞。

为达到上述目 的， 本发明的实施例采用如下技术方案： 一方面， 提供一种报文接收方法， 包括：

接收终端设备发送的业务请求的报文， 所述报文携带有指示所 述终端设备的终端域名和指示所述终端设备业务请求的业务服务器 的服务器域名；

解析接收的所述服务器域名得到业务服务器网络协议 IP地址； 若解析的所述业务服务器 IP 地址不属于接收的所述终端域名 在预设列表中对应的预设业务服务器 IP地址， 则对所述报文进行丟 包。

一方面， 提供一种深度包检测 DPI设备， 包括：

接收单元， 用于接收终端设备发送的业务请求的报文， 所述报 文携带有指示所述终端设备的终端域名和指示所述终端设备业务请 求的业务服务器的服务器域名；

解析单元， 用于解析所述接收单元接收的所述服务器域名得到 业务服务器网络协议 IP地址；

处理单元，用于若所述解析单元解析的所述业务服务器 IP地址 不属于所述接收单元接收的所述终端域名在预设列表中对应的预设 业务服务器 IP地址， 则对所述报文进行丟包。

另一方面， 提供一种系统， 包括：

上述的 DPI设备；

终端设备， 用于向所述 DPI设备发送业务请求的报文， 所述报文携带 有指示所述终端设备的终端域名和指示所述终端设备业务请求的业务服务 器的服务器域名。

本发明实施例提供的报文接收方法、 DPI设备及系统， DPI设备接 收终端设备发送的业务请求的报文， 报文携带有指示终端设备的终端域名 和指示业务请求的业务服务器的服务器域名， 解析服务器域名得到业务服 务器网络协议 IP地址， 若业务服务器 IP地址不属于终端域名在预设列表 中对应的预设业务服务器 IP地址， 则对报文进行丟包。 这样一来， DPI设 备能够通过比较报文的业务服务器 IP地址和预设表格中该终端设备的终 端域名对应的预设业务服务器 IP地址是否吻合，判断出该报文是正常报文 还是异常报文， 对异常报文进行丟包， 这样提高 DPI设备对报文的辨识 能力， 防止由于辨识不足， 而导致服务器对异常报文进行正常处理 而出现漏洞。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案， 下 面将对实施例或现有技术描述中所需要使用的附图作简单地介绍， 显而易见地， 下面描述中的附图仅仅是本发明的一些实施例， 对于 本领域普通技术人员来讲， 在不付出创造性劳动的前提下， 还可以 根据这些附图获得其他的附图。

图 1 为本发明实施例提供的报文接收方法流程示意图；

图 2为本发明实施例提供的真实报文和被篡改报文对比图； 图 3为发明另一实施例提供的报文接收方法流程示意图；

图 4为本发明实施例提供的 DPI设备的结构示意图；

图 5为本发明另一实施例提供的 DPI设备的结构示意图；

图 6为本发明实施例提供的系统结构示意图。

具体实施方式

下面将结合本发明实施例中的附图， 对本发明实施例中的技术 方案进行清楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明 一部分实施例， 而不是全部的实施例。 基于本发明中的实施例， 本 领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例， 都属于本发明保护的范围。 本发明实施例提供的报文接收方法，如图 1所示，该方法步骤包括： S 101、 DPI 设备接收终端设备发送的业务请求的报文， 报文携 带有指示终端设备的终端域名和指示终端设备业务请求的业务服务 器的服务器域名。

需要说 明 的 是 ， 本 实 施例 适用 的 网 络可 以 是是基 于 TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制十办 议 /因特网互联协议）进行通信和连接的， 在这样的网络中， 每一个与 网络相连接的终端设备和业务服务器都有一个唯一的标识， 以区别 在网络上成千上万个终端设备和业务服务器等。 一般情况下， 这个 唯一的标识可以为字符型地址， 即域名。 由于每个终端设备和业务 服务器都有自 己独一无二的域名， 因此终端设备在向 DPI设备请求 服务的时候， 仅需要告知 DPI设备自 己的域名， 记作终端域名， DPI 设备就可以通过终端域名找到这个终端设备， 并向终端设备转发或 提供该终端设备所需的服务， 此外， 终端设备可以通过在报文中写 入业务服务器的域名， 记作服务器域名， 来实现对业务请求所需要 的业务服务器的访问。

示例性的， 终端设备需要访问网络上可用的资源， 如超文本标 记语言文档、 图像、 视频片段、 程序等， 由于支持不同网站的业务 服务器， 都可以通过服务器域名作为唯一的标识进行识别， 因此当 终端设备根据需要访问网站时， 需要发送一个写入了该网站对应的 业务服务器的服务器域名的 URL报文， 其中， 服务器域名为终端设 备需要访问网站的业务服务器的字符型地址， 如当用户需要使用终 端设备访问 A公司的网站时， URL可以写为 www.A.com等。

5102、 DPI设备解析接收的服务器域名得到业务服务器 IP地址。 进一步的， DPI 设备对服务器域名进行 DNS ( Domain Name

Server,域名服务） 解析， 如通过本地查询、 緩存查询和迭代查询等 方 式进行解析 ， 这样就 可 以 将用 户 易 于 熟 记 的 域名 ， 如 www.baidu.com , www.google.com等转换为机器可 i只另 ll ό IP地址, 如 1. 1. 1. 10、 2.2.2.2等， 并记作业务服务器 IP地址， 进而使得 DPI 设备通过业务服务器 IP地址帮助终端设备访问到业务服务器， 以使 得业务服务器为终端设备提供服务。

5103、若 DPI设备解析的业务服务器 IP地址不属于接收的终端 域名在预设列表中对应的预设业务服务器 IP地址， 则对报文进行丟 包。

需要说明的是， DPI 设备中预先设置有一个预设列表， 如表 1 所示， 该预设列表中每个终端设备的终端域名对应设置有该终端设 备的访问权限下的可访问业务服务器 IP地址， 记作预设业务服务器 IP地址， 一个终端设备可以对应多个预设业务服务器 IP地址

表 1

示例 性的 ， 如表 1 所示 ， 终端设备 A 的 终端域名 为 www.huawei.com, 终端设备 A只能访问 1.1.1.1和 2.2.2.20两个预设 业务服务器， 假设这两个预设业务服务器都是不计费服务的， 而终 端设备 B 的终端域名为 www.google.com, 终端设备 B 可以访问 2.2.2.2, 该 IP地址对应的预设业务服务器是计费的。 如图 2所示， 假设 www.huawei.com对应的 IP地址为 1.1.1.1, www.google.com对 应的 IP 地址为 2.2.2.2, 也就是说终端设备 A 只能访问免费的 www.huawei.com的预设业务月良务器，但不可以访问 www.google.com 的预设业务服务器，但是由于现有技术中，对报文中的 URL处理时， 业务服务器仅只关注 GET请求之后的路径， 而不检测 host字段， 将 访问的结果按照 GET 后的路径返回， 而不判断该路径信息是否与 host字段提供的路径一致， 业务服务器对 host之后的地址仅读取然 后访问， 但不检查 host之后的字段是否是正确的免费访问的网站的 字段， 就使得如果终端终端设备 A 将 host 之后 的域名 从 www.google.com 改为 www.huawei.com, ^^么终端设备 A可以、不计 费 的访问 www.google.com , 而访问 结果可以通过 GET 后 的 www.huawei.com返回终端设备 A, 这样一来， 终端设备通过篡改报 文， 达到成功访问收费业务， 但 DPI设备无法识别终端设备是否通 过修改报文中的 host 字段而达到欺诈性的免费访问收费网站的目 的。

所以本发明实施例提供的 DPI 设备将终端设备 A 的终端域名 www.huawei.com与其可访问的业务服务器， 记作预设业务服务器， 设置在预设列表中， 如果对终端设备 A解析得到的服务器域名对应 的业务服务器 IP 地址不属于表一中的终端域名 www.huawei.com , 即终端设备 A对应的预设业务服务器 IP地址，如服务器域名解析得 到 2.2.2.2 , 既不是 1. 1.1 .1 也不是 2.2.2.20 , 则认为这个才艮文出现异 常， 对这个异常的报文进行丟包， 以防止终端设备 A通过篡改报文， 达到成功访问收费业务， 如果服务器域名解析得到 2.2.2.20 , 属于 1.1 .1 .1和 2.2.2.20 , 可以认为这个报文是正常的， 则根据报文请求的 业务请求对终端设备 A和 IP地址为 2.2.2.20的业务服务器进行连接， 使得业务服务器为终端设备 A提供业务请求的服务。

本发明实施例提供的报文接收方法， DPI 设备接收终端设备发 送的业务请求的报文， 报文携带有指示终端设备的终端域名和指示 业务请求的业务服务器的服务器域名， 解析服务器域名得到业务服 务器网络协议 IP地址， 若业务服务器 IP 地址不属于终端域名在预 设列表中对应的预设业务服务器 IP地址， 则对报文进行丟包。 这样 一来， DPI设备能够通过比较报文的业务服务器 IP地址和预设表格 中该终端设备的终端域名对应的预设业务服务器 IP地址是否吻合， 判断出该报文是正常报文还是异常报文， 对异常报文进行丟包， 这 样提高 DPI设备对报文的辨识能力， 防止由于辨识不足， 而导致 DPI 设备对异常 文进行正常处理而出现漏洞。

本发明另一实施例提供的报文接收方法，以具有 DNS解析功能的 网关设备举例说明， 其他具有 DNS解析功能的设备也在保护范围之内， 如 图 3所示， 该方法步骤包括：

S201、 网关设备接收终端设备发送的 DNS 才艮文， DNS 才艮文携 带有指示终端设备的终端域名及终端域名对应的至少一个可访问业 务服务器的真实域名。

值得指出的是， 网关设备可以在较为空闲的时间向终端设备发 送 DNS查询请求， 以使得各个终端设备向网关设备发送 DNS报文， 也可以不发送这个查询请求， 而在接收到终端设备的 DNS报文时， 获得 D N S报文携带的指示终端设备的终端域名及终端域名对应的至 少一个可访问业务服务器的真实域名。 S 202、 网关设备解析接收的真实域名得到至少一个可访问业务 服务器 IP地址。

需要说明的是， 网关设备解析真实域名得到终端设备有权限访 问的服务器 IP地址， 如可以免费访问的 IP地址等。

5203、 网关设备将解析的至少一个可访问业务服务器 IP地址作 为预设业务服务器 IP地址， 与终端域名对应设置在预设列表中。

示例性的， 网关设备将解析的终端设备 A的可访问业务服务器 IP地址， 如 2.2.2.20和 1. 1.1 .1对应终端域名 HTTP/ 1. l\r\n设置在预 设列表中， 其中， 可访问业务服务器 IP地址记作预设业务服务器 IP 地址， 将解析的终端设备 B的可访问业务服务器 IP地址， 如 2.2.2.2 对应终端域名 HTTP/1.2\r\n设置在预设列表中， 其中， 可访问业务 服务器 IP 地址记作预设业务服务器 IP 地址， 以此类推， 建立一个 预设列表， 以使得网关设备可以根据列表中终端域名对应的预设业 务服务器 I P地址判断后续接收到的该终端域名对应的终端设备 A或 终端设备 B等请求的业务服务器是否在可访问范围内。

需要说明的， S201、 S202和 S203与 S204和 S205没有顺序关 系， S201、 S202和 S203只需在 S206、 S207或 S208之前执行即可。

5204、 网关设备接收终端设备发送的业务请求的报文， 报文携 带有指示终端设备的终端域名和指示终端设备业务请求的业务服务 器的服务器域名。

5205、 网关设备解析接收的服务器域名得到业务服务器网络协 议 IP地址。

需要说明的是， S205 之后， 若解析的业务服务器 IP 地址不属 于接收的终端域名在预设列表中对应的预设业务服务器 IP地址， 则 执行步骤 S206 ,若解析的业务服务器 IP地址属于接收的终端域名在 预设列表中对应的预设业务服务器 IP地址， 则根据网关设备的需求 执行步骤 S207或 S208„

S206、 网关设备对 4艮文进行丟包。

由于解析的业务服务器 IP 地址不属于接收的终端域名在预设 列表中对应的预设业务服务器 IP地址， 网关设备可以确定该报文是 恶意欺诈的报文或异常报文， 对该报文进行丟包， 方法在上述实施 例中已经展开， 在此不再贅述。

5207、 网关设备使终端设备与业务服务器 IP地址对应的业务服 务器建立连接， 以使得业务服务器向终端设备提供针对终端设备的 业务请求的服务。

需要说明的是， 由于解析的业务服务器 IP地址属于接收的终端 域名在预设列表中对应的预设业务服务器 IP地址， 也就是说终端设 备只是需要正常访问可访问业务服务器， 那么网关设备就可以使得 终端设备与业务服务器建立连接， 以使得业务服务器为终端设备提 供视频数据或者音频数据等终端设备请求的服务。

5208、 网关设备根据终端设备的终端域名确定业务请求的业务 类型。

示例性的， 若网关设备的需求是识别终端设备发送的加密的业 务类型， 或者识别 IP地址不断变化的终端设备的业务类型， 可以通 过比对预设列表中的终端域名与预设业务服务器 IP地址获得业务类 型。 即： 如果终端设备的业务请求是加密的， 比如某一下载工具是 加密的， 或者某一邮件工具是加密的， 此时网关设备无法对于这些 加密类应用通过解析 URL等特征获取到具体的业务应用类型， 但又 需要对所有的下载工具进行下载限制， 这时， 网关设备可以在判断 了预设列表中的预设业务服务器 IP地址与终端设备的业务服务器 IP 地址相同后， 根据预设列表中的该终端设备的终端域名 自动配出业 务类型， 这时如果终端设备 A的业务类型是加密的下载工具， 终端 设备 B 的业务类型是加密的邮件工具， 则可以识别并对终端设备 A 的下载进行限制。 这样一来， 就可以避免解析中遇见反识别软件使 无法获取业务类型， 无法对加密的业务类型进行操作的情况。

另外， 如果上述终端设备 B的业务类型为邮件下载加密， 且业 务类型没有明显特征和特定 IP地址， 即 IP地址一直处于变化状态， 这时可以通过本发明实施例中提供的预设列表， 在判断了预设列表 中的预设业务服务器 IP 地址与终端设备的业务服务器 IP 地址相同 后，根据预设列表中的该终端设备 B的终端域名获取到终端设备 B , 进而识别出具体业务类型， 如在网关设备上配置域名和业务类型的 对应关系， 如配置 www.gmail.com域名， 对应的业务类型为邮件， 就可以根据终端域名 www.gmail.com获取到终端设备 B的业务类型 为邮件。

需要说明的是， 步骤 S207和 S208 可以根据网关设备所需的处 理方式不同而选择一个步骤执行， 如需要判断报文正常且需要将终 端设备与业务服务器建立连接时， 执行 S207 , 若需要得知业务类型 时， 则执行 S208。

本发明实施例提供的报文接收方法， 网关设备接收终端设备发 送的业务请求的报文， 报文携带有指示终端设备的终端域名和指示 业务请求的业务服务器的服务器域名， 解析服务器域名得到业务服 务器网络协议 IP地址， 若业务服务器 IP 地址不属于终端域名在预 设列表中对应的预设业务服务器 IP地址， 则对报文进行丟包。 这样 一来， 网关设备能够通过比较报文的业务服务器 IP地址和预设表格 中该终端设备的终端域名对应的预设业务服务器 IP地址是否吻合， 判断出该报文是正常报文还是异常报文， 对异常报文进行丟包， 这 样提高服务器对报文的辨识能力， 防止由于辨识不足， 而导致网关 设备对异常 文进行正常处理而出现漏洞。

本发明实施例提供的 DPI设备 30 , 如图 4所示， 包括： 接收单元 301 , 用于接收终端设备 40发送的业务请求的报文， 报文携带有指示终端设备 40 的终端域名和指示终端设备 40业务请 求的业务服务器的服务器域名。

需要说明的是， DPI设备 30可以通过接收单元 301接收到的终 端域名和服务器域名对终端设备 40和该终端设备 40所需的业务服 务器建立连接， 以使得终端设备 40得到业务请求所需的服务， 在此 不再赘述。

解析单元 302 , 用于解析接收单元 301 接收的服务器域名得到 业务服务器网络协议 IP地址。

需要说明的是， 解析单元 302 可以实现将用户易记忆的域名和 机器易识别的 IP地址之间相互的转换。

处理单元 303 , 用于若解析单元 302解析的业务服务器 IP地址 不属于接收单元 301 接收的终端域名在预设列表中对应的预设业务 服务器 IP地址， 则对报文进行丟包。

需要说明的是， 如果接收单元 301接收的终端域名在预设列表 中对应的不是该终端域名应该对应的、 可访问的业务服务器， 即预 设列表中记作预设业务服务器时， 说明这个访问的报文存在异常， 可能是恶意欺诈， 避过网络计费等， 所以对该报文进行丟包。

处理单元 303 , 还用于若解析单元 302解析的业务服务器 IP地 址属于接收单元 301 接收的终端域名在预设列表中对应的预设业务 服务器 IP地址， 则对终端设备 40与业务服务器 IP地址对应的业务 服务器建立连接， 以使得业务服务器向终端设备 40提供针对终端设 备的业务请求的服务。 或者， 若解析单元 302解析的业务服务器 IP 地址属于接收单元 301 接收的终端域名在预设列表中对应的预设业 务服务器 IP地址， 则根据终端设备 40 的终端域名确定业务请求的 业务类型。

进一步的， DPI设备 30 , 如图 5所示， 还包括：

发送单元， 用于向终端设备 40发送 DNS查询请求， 以使得终 端设备 40发送 DNS报文。

其中， 接收单元 301 , 还用于接收终端设备 40发送的 DNS报 文， DNS 文携带有终端域名及终端域名对应的至少一个可访问业 务服务器的真实域名。

解析单元 302 , 还用于解析接收单元 301 接收的真实域名得到 至少一个可访问业务服务器 _IP地址。 此时， 处理单元 303将解析单元 302解析的至少一个可访问业 务服务器 IP地址作为预设业务服务器 IP地址， 与接收单元 301 接 收的终端域名对应设置在预设列表中， 以使得后续接收单元 301 接 收到业务请求的报文时， 根据终端域名在预设列表中比对， 防止报 文要访问的业务服务器 IP地址不对应预设列表中终端域名对应的预 设业务服务器 IP地址时对该报文进行正常处理。 上述 DPI设备 30对应上述方法实施例，该 DPI设备 30可以用于上 述方法实施例的步骤中， 其具体各个步骤中的应用可以参照上述方法实 施例， 在此不再贅述。

本发明实施例提供的 DPI设备 30 , DPI设备 30接收终端设备 40 发送的业务请求的报文， 报文携带有指示终端设备 40 的终端域 名和指示业务请求的业务服务器的服务器域名， 解析服务器域名得 到业务服务器网络协议 IP 地址， 若业务服务器 IP 地址不属于终端 域名在预设列表中对应的预设业务服务器 IP地址， 则对报文进行丟 包。 这样一来， DPI设备 30 能够通过比较报文的业务服务器 IP地 址和预设表格中该终端设备 40 的终端域名对应的预设业务服务器 IP地址是否吻合， 判断出该报文是正常报文还是异常报文， 对异常 报文进行丟包， 这样提高 DPI设备 30对报文的辨识能力， 防止由于 辨识不足， 而导致 DPI设备对异常报文进行正常处理而出现漏洞。 本发明实施例提供的系统， 如图 6所示， 包括：

DPI设备 30 , 用于接收终端设备 40 发送的业务请求的报文， 报文携带有指示终端设备 40 的终端域名和指示终端设备 40业务请 求的业务服务器的服务器域名； 解析接收的服务器域名得到业务服 务器网络协议 IP地址； 若解析的业务服务器 IP 地址不属于接收的 终端域名在预设列表中对应的预设业务服务器 I P地址， 则对报文进 行丟包。

终端设备 40 , 用于向 DPI设备 30发送业务请求的^艮文。 上述 DPI设备 30和终端设备 40对应上述方法实施例， 该 DPI设 备 30和终端设备 40可以用于上述方法实施例的步骤中，其具体各个步 骤中的应用可以参照上述方法实施例。 其中， DPI设备 30 的具体结构 与上述实施例中提供的终端和 DPI设备的结构相同， 在此不再贅述。

本发明实施例提供的系统， DPI设备 30接收终端设备 40发送 的业务请求的报文， 报文携带有指示终端设备 40的终端域名和指示 业务请求的目标 DPI设备的服务器域名， 解析服务器域名得到业务 服务器网络协议 IP 地址， 若业务服务器 IP 地址不属于终端域名在 预设列表中对应的预设业务服务器 IP地址， 则对报文进行丟包。 这 样一来， 服务器 30 能够通过比较报文的业务服务器 IP地址和预设 表格中该终端设备 40 的终端域名对应的预设业务服务器 IP地址是 否吻合， 判断出该报文是正常报文还是异常报文， 对异常报文进行 丟包，这样提高 DPI设备 30对报文的辨识能力，防止由于辨识不足， 而导致 DPI设备对异常 文进行正常处理而出现漏洞。

以上所述， 仅为本发明的具体实施方式， 但本发明的保护范围 并不局限于此， 任何熟悉本技术领域的技术人员在本发明揭露的技 术范围内， 可轻易想到变化或替换， 都应涵盖在本发明的保护范围 之内。 因此， 本发明的保护范围应所述以权利要求的保护范围为准。

Claims

权 利 要 求 书

1、 一种报文接收方法， 其特征在于， 包括：

接收终端设备发送的业务请求的报文，所述报文携带有指示所述 终端设备的终端域名和指示所述终端设备业务请求的业务服务器的 服务器域名；

解析接收的所述服务器域名得到业务服务器网络协议 IP地址； 若解析的所述业务服务器 IP地址不属于接收的所述终端域名在 预设列表中对应的预设业务服务器 IP地址， 则对所述报文进行丟包。

2、 根据权利要求 1 所述的方法， 其特征在于， 若解析的所述业 务服务器 IP 地址不属于接收的所述终端域名在预设列表中对应的预 设业务服务器 IP地址， 则对所述报文进行丟包之前， 还包括：

接收终端设备发送的域名系统 DNS报文， 所述 DNS报文携带有 所述终端域名及所述终端域名对应的至少一个可访问业务服务器的 真实域名；

解析接收的所述真实域名得到至少一个可访问业务服务器 IP地 址；

将解析的所述至少一个可访问业务服务器 IP地址作为所述预设 业务服务器 IP地址， 与所述终端域名对应设置在所述预设列表中。

3、 根据权利要求 2所述的方法， 其特征在于， 所述接收终端设 备发送的域名系统 DNS报文之前， 还包括：

向所述终端设备发送 DNS 查询请求， 以使得所述终端设备发送 所述 DNS报文。

4、 根据权利要求 1 至 3任一所述的方法， 其特征在于， 所述解 析所述服务器域名得到业务服务器网络协议 IP地址之后， 还包括： 若解析的所述业务服务器 IP地址属于接收的所述终端域名在所 述预设列表中对应的预设业务服务器 IP 地址， 则对所述终端设备与 所述业务服务器 IP 地址对应的业务服务器建立连接， 以使得所述业 务服务器向所述终端设备提供针对所述终端设备的业务请求的服务。

5、 根据权利要求 1 至 3任一所述的方法， 其特征在于， 所述解 析所述服务器域名得到业务服务器网络协议 IP地址之后， 还包括： 若解析的所述业务服务器 IP地址属于接收的所述终端域名在所 述预设列表中对应的预设业务服务器 IP 地址， 则根据所述终端设备 的终端域名确定所述业务请求的业务类型。

6、 一种深度包检测 DPI设备， 其特征在于， 包括：

接收单元， 用于接收终端设备发送的业务请求的报文， 所述报文 携带有指示所述终端设备的终端域名和指示所述终端设备业务请求 的业务服务器的服务器域名；

解析单元，用于解析所述接收单元接收的所述服务器域名得到业 务服务器网络协议 IP地址；

处理单元， 用于若所述解析单元解析的所述业务服务器 IP地址 不属于所述接收单元接收的所述终端域名在预设列表中对应的预设 业务服务器 IP地址， 则对所述报文进行丟包。

7、 根据权利要求 6所述的 DPI设备， 其特征在于，

所述接收单元，还用于接收终端设备发送的域名系统 DNS报文， 所述 DNS 报文携带有所述终端域名及所述终端域名对应的至少一个 可访问业务服务器的真实域名；

所述解析单元，还用于解析所述接收单元接收的所述真实域名得 到至少一个可访问业务服务器 IP地址；

所述处理单元，还用于将所述解析单元解析的所述至少一个可访 问业务服务器 IP地址作为所述预设业务服务器 IP地址， 与所述终端 域名对应设置在所述预设列表中。

8、 根据权利要求 7所述的 DPI设备， 其特征在于， 还包括： 发送单元， 用于向所述终端设备发送 DNS 查询请求， 以使得所 述终端设备发送所述 DNS报文。

9、 根据权利要求 6至 8任一所述的 DPI设备， 其特征在于， 所述处理单元， 还用于若所述解析单元解析的所述业务服务器 IP 地址属于所述接收单元接收的所述终端域名在所述预设列表中对 应的预设业务服务器 IP 地址， 则对所述终端设备与所述业务服务器 IP地址对应的业务服务器建立连接，以使得所述业务服务器向所述终 端设备提供针对所述终端设备的业务请求的服务。

10、 根据权利要求 6或 8任一所述的 DPI设备， 其特征在于， 所述处理单元， 还用于若所述解析单元解析的所述业务服务器

IP 地址属于所述接收单元接收的所述终端域名在预设列表中对应的 预设业务服务器 IP 地址， 则根据所述终端设备的终端域名确定所述 业务请求的业务类型。

11、 一种系统， 其特征在于， 包括：

权利要求 6- 10任一项所述的 DPI设备；

终端设备， 用于向所述 DPI设备发送业务请求的报文， 所述报文携 带有指示所述终端设备的终端域名和指示所述终端设备业务请求的 业务服务器的服务器域名。