Tcp旁路阻斷的方法及裝置的制造方法
【專利摘要】本申請?zhí)峁┮环N傳輸控制協(xié)議TCP旁路阻斷的方法及裝置��,所述方法包括:基于獲取到的客戶端與服務端之間傳輸的TCP握手報文獲得協(xié)商最大分段長度MSS值��;當監(jiān)聽到可疑報文時����,根據所述可疑報文以及所述協(xié)商MSS值構造復位連接RST報文;分別向客戶端和服務端發(fā)送所述RST報文以阻斷所述可疑報文�����;當所述可疑報文為所述客戶端發(fā)出的報文時����,向所述客戶端發(fā)送的所述RST報文包括SEQ值依次遞增至少一個所述協(xié)商MSS值的多個RST報文��;當所述可疑報文為所述服務端發(fā)出的報文時����,向所述服務端發(fā)出的RST報文包括SEQ值依次遞增至少一個所述協(xié)商MSS值的多個RST報文��。本申請中�����,由于可以分別向客戶端和服務端發(fā)送多個RST報文���,因此���,可以解決現(xiàn)有技術阻斷成功率低的問題。
【專利說明】
TCP旁路阻斷的方法及裝置
技術領域
[0001 ] 本申請設及通信技術領域��,特別設及一種TCPdYansmission Control Protocol, 傳輸控制協(xié)議)旁路阻斷的方法及裝置����。
【背景技術】
[0002] 在相關技術中,服務端與客戶端之間建立TCP連接之后,可W在服務端和客戶端之 間部署監(jiān)聽設備����。當監(jiān)聽設備監(jiān)聽到可疑報文時�����,可W向客戶端或服務端發(fā)送構造的阻斷 報文一一RST(Reset�����,復位重連)報文�。當客戶端或服務端接收到構造的RS巧良文后,會將已 經建立的TCP連接斷開��,從而達到阻斷可疑報文攻擊的目的�。
[0003] 現(xiàn)有技術中,監(jiān)聽設備在監(jiān)聽到可疑報文時�����,會向客戶端或者服務端發(fā)送構造的 RS巧良文��。由于RS巧良文很有可能晚于可疑報文發(fā)送至客戶端或服務端���,因此�����,客戶端或服務 端在接收到所述RS巧良文后�,會因為它是"過時"的報文而不對其進行處理。因此���,所述RS巧良 文無法達到阻斷可疑報文攻擊的目的����。故現(xiàn)有技術的阻斷成功率低�����。
【發(fā)明內容】
[0004] 有鑒于此��,本申請?zhí)峁┮环NTCP旁路阻斷的方法及裝置����,來解決現(xiàn)有技術旁路阻斷 成功率低的問題。
[0005] 具體地��,本申請是通過如下技術方案實現(xiàn)的:
[0006] 根據本申請實施例的第一方面����,提供一種TCP旁路阻斷的方法��,所述方法應用于深 度包檢測DPI設備上�,所述DPI設備在客戶端與服務端之間��,所述方法包括:
[0007] 基于獲取到的客戶端與服務端之間傳輸的TCP握手報文獲得協(xié)商最大分段長度 MSS 值���;
[000引當監(jiān)聽到可疑報文時,根據所述可疑報文W及所述協(xié)商MSS值構造復位連接RS巧良 文����;
[0009] 分別向客戶端和服務端發(fā)送所述RS巧良文W阻斷所述可疑報文;
[0010] 當所述可疑報文為所述客戶端發(fā)出的報文時����,向所述客戶端發(fā)送的所述RS巧良文 包括SEQ值依次遞增至少一個所述協(xié)商MSS值的多個RS巧良文;當所述可疑報文為所述服務 端發(fā)出的報文時�����,向所述服務端發(fā)出的RS巧良文包括SEQ值依次遞增至少一個所述協(xié)商MSS 值的多個RS巧良文���。
[0011] 根據本申請實施例的第二方面����,提供一種TCP旁路阻斷的裝置,所述裝置應用于深 度包檢測DPI設備上�����,所述DPI設備在客戶端與服務端之間�,所述裝置包括:
[0012] 獲取單元,用于基于獲取到的客戶端與服務端之間傳輸的TCP握手報文獲得協(xié)商 最大分段長度MSS值�����;
[0013] 構造單元��,用于當監(jiān)聽到可疑報文時���,根據所述可疑報文W及所述協(xié)商MSS值構造 復位連接RS巧良文����;
[0014] 阻斷單元�����,用于分別向客戶端和服務端發(fā)送所述RS巧良文W阻斷所述可疑報文��;
[0015] 發(fā)送單元,用于當所述可疑報文為所述客戶端發(fā)出的報文時�����,向所述客戶端發(fā)送 的所述RS巧良文包括SEQ值依次遞增至少一個所述協(xié)商MSS值的多個RS巧良文�����;當所述可疑報 文為所述服務端發(fā)出的報文時����,向所述服務端發(fā)出的RS巧良文包括SEQ值依次遞增至少一個 所述協(xié)商MSS值的多個RS巧良文。
[0016] 本申請?zhí)峁㏕CP旁路阻斷的方法及裝置����,獲取到客戶端和服務端之間傳輸的TCP握 手報文后�����,可W從獲取到的所述報文中獲得協(xié)商MSS值�。當監(jiān)聽到可疑報文時,可W根據所 述協(xié)商MSS值和所述可疑報文構造 RS巧良文�����,然后可W分別向客戶端和服務端發(fā)送所述RST 報文W阻斷所述可疑報文。本申請中�����,由于可W分別向客戶端和服務端發(fā)送多個RS巧良文����, 因此,可W解決現(xiàn)有技術阻斷成功率低的問題��。
【附圖說明】
[0017] 圖1是應用本申請實施例實現(xiàn)TCP旁路阻斷的一個應用場景圖��;
[0018] 圖2是本申請TCP旁路阻斷的方法的一個實施例流程圖�;
[0019] 圖3是本申請TCP旁路阻斷的裝置所在設備的一種硬件結構圖;
[0020] 圖4是本申請TCP旁路阻斷的裝置的一個實施例框圖����。
【具體實施方式】
[0021] 運里將詳細地對示例性實施例進行說明,其示例表示在附圖中���。下面的描述設及 附圖時���,除非另有表示,不同附圖中的相同數字表示相同或相似的要素�。W下示例性實施例 中所描述的實施方式并不代表與本申請相一致的所有實施方式�。相反��,它們僅是與如所附 權利要求書中所詳述的��、本申請的一些方面相一致的裝置和方法的例子��。
[0022] 在本申請使用的術語是僅僅出于描述特定實施例的目的���,而非旨在限制本申請����。 在本申請和所附權利要求書中所使用的單數形式的"一種"���、"所述"和"該"也旨在包括多數 形式����,除非上下文清楚地表示其他含義����。還應當理解�,本文中使用的術語"和/或"是指并包 含一個或多個相關聯(lián)的列出項目的任何或所有可能組合。
[0023] 應當理解����,盡管在本申請可能采用術語第一���、第二、第=等來描述各種信息����,但運 些信息不應限于運些術語。運些術語僅用來將同一類型的信息彼此區(qū)分開��。例如�,在不脫離 本申請范圍的情況下,第一信息也可W被稱為第二信息���,類似地�,第二信息也可W被稱為第 一信息��。取決于語境����,如在此所使用的詞語"如果"可W被解釋成為"在……時"或"當…… 時"或"響應于確定"。
[0024] 參見圖1���,為應用本申請實施例實現(xiàn)TCP旁路阻斷的一個應用場景圖�。其中,DPI (De邱化Cket Inspection,深度包檢測)設備與客戶端和服務端相連����,且位于客戶端和服 務端之間。所述DPI設備可W為一個旁路監(jiān)聽設備�。當監(jiān)聽到客戶端與服務端之間傳輸的可 疑報文時,所述DPI設備可W構造阻斷報文一一RS巧良文�����,然后將構造的RS巧良文發(fā)送至客戶 端或服務端���,從而達到阻斷可疑報文攻擊的目的��。
[0025] 現(xiàn)有技術中�,所述DPI設備監(jiān)聽到可疑報文后�,會向客戶端或者服務端發(fā)送RS巧良 文。但是由于所述RS巧良文很有可能晚于可疑報文發(fā)送至客戶端或服務端�,因此所述客戶端 或服務端在接收到所述RS巧良文后,會因為它是"過時"的報文而不對其進行處理����。因此�����,所 述RS巧良文無法達到阻斷可疑報文攻擊的目的。故現(xiàn)有技術的阻斷成功率低�����。
[0026] 在本申請中���,客戶端和服務端建立TCP連接時����,所述DPI設備可W從客戶端和服務 端的握手報文中獲取協(xié)商MSS值����。當發(fā)現(xiàn)客戶端與服務端之間傳輸的可疑報文時,所述DPI 設備可W根據所述可疑報文和所述協(xié)商MSS值構造 RS巧良文��。所述RS巧良文構造成功后���,所述 DPI設備可W向客戶端和服務端發(fā)送所述RS巧良文W阻斷所述可疑報文����。采用本申請,可W 增大RS巧良文"不過時"的概率����,從而達到提高阻斷成功率的目的。
[0027] 參見圖2,為本申請TCP旁路阻斷的方法的一個實施例流程圖�����,該實施例應用于DPI 設備上���,包括了 W下步驟:
[00%]步驟201:基于獲取到的客戶端與服務端之間傳輸的TCP握手報文獲得協(xié)商最大分 段長度MSS值�����。
[0029] 當客戶端與服務端之間建立TCP連接時���,所述DPI設備可W基于獲取到的客戶端與 服務端之間傳輸的TCP握手報文獲得協(xié)商MSS值。所述DPI設備可W在客戶端與服務端進行 S次握手時��,監(jiān)聽所述握手報文�。所述DPI設備可W從監(jiān)聽到的客戶端發(fā)送至服務端的第一 次握手報文SYN報文中獲取第一 MSS值,從監(jiān)聽到的服務端發(fā)送至客戶端的第二次握手報文 ACK報文中獲取第二MSS值��,然后所述DPI設備可W將第一 MSS值和第二MSS值中較小或者較 大的MSS值作為協(xié)商MSS值��。
[0030] 在一個示例中,假設所述DPI設備從所述第一次握手報文中獲取的第一MSS值為 1400,從所述第二次握手報文中獲取的第二MSS值為1200����。然后����,所述DPI設備可W將所述第 一 MSS值與所述第二MSS值做比較,選擇兩者中較小或較大的那個作為協(xié)商MSS值��。因此����,所 述DPI設備可W選擇1200或1400作為協(xié)商MSS值。
[0031] 獲取到協(xié)商MSS值后�����,所述DPI設備可W將所述協(xié)商MSS值存儲到會話表中�����。所述會 話表可W位于所述DPI設備上�。所述會話表可W包含報文的五元組信息W及對應的協(xié)商MSS 值。
[0032] 在一個示例中�����,假設所述會話表可W如下表1所示(表1僅展示出部分所述會話表 的信息): r00331 L0034J 表 1
[0035] 步驟202:當監(jiān)聽到可疑報文時,根據所述可疑報文W及所述協(xié)商MSS值構造復位 連接RS巧良文�����。
[0036] 客戶端和服務端建立TCP連接后��,所述DPI設備可W監(jiān)聽客戶端和服務端之間傳輸 的數據報文�。當DPI設備監(jiān)聽到可疑報文時,可W根據所述可疑報文W及所述協(xié)商MSS值構 造 RS巧良文�,所述RS巧良文可W用于阻斷所述可疑報文。
[0037] 在一個示例中���,當客戶端或服務端接收到RS巧良文時��,可W先檢查所述RS巧良文的 ACK位���。當所述RS巧良文的ACK位不為0時,客戶端或者服務端需要繼續(xù)檢查所述RS巧良文的 ACK_SEQ值���;當所述RS巧良文的ACK位為加寸�,客戶端或者服務端在檢查了所述RS巧良文的ACK 位之后�����,可W不再檢查所述RS巧良文的ACK_SEQ值。
[003引由上述示例可知�,在構造所述RS巧良文時,可W將所述RS巧良文的ACK位置O�����。由于所 述RS巧良文可W用于阻斷所述可疑報文����,因此可W將所述RS巧良文的RST位置1���。
[0039] 然后�����,可W根據所述可疑報文W及所述協(xié)商MSS值分別構造向所述客戶端W及所 述服務端發(fā)送的RS巧良文�����。
[0040] 所述RS巧良文可W具體分為兩種:源方向RS巧良文和目的方向RS巧良文���。其中��,源方 向RS巧良文為報文接收端與可疑報文接收端相同的RS巧良文�����,例如��,當客戶端向服務端發(fā)送 可疑報文時����,由DPI設備發(fā)送至服務端的RS巧良文可W稱為源方向RS巧良文��;目的方向RS巧良 文為報文接收端與可疑報文接收端不同的RS巧良文���,例如�����,當客戶端向服務端發(fā)送可疑報文 時�����,由DPI設備發(fā)送至客戶端的RS巧良文可W稱為目的方向RS巧良文�。所述源方向RS巧良文與 目的方向RS巧良文的構造過程略有不同����,下面將分別進行介紹:
[0041] 當所述可疑報文的接收端與需要構造的RS巧良文的接收端相同時��,可W根據所述 可疑報文W及所述協(xié)商MSS值構造源方向RS巧良文��。構造所述源方向RS巧良文時����,可W首先將 所述源方向RS巧良文的ACK位置0�����,RST位置1���。然后,可W將所述源方向RS巧良文的數據序號 SEQ值設置為與所述可疑報文的ACK_SEQ值相等���。所述源方向RS巧良文的W上部分設置完成 后���,可W將其他部分設置為與所述可疑報文相同。
[0042] 當所述可疑報文的接收端與需要構造的RS巧良文的接收端不同時�,可W根據所述 可疑報文W及所述協(xié)商MSS值構造目的方向RS巧良文,其中����,目的方向RS巧良文可W包括數據 序號SEQ值依次遞增至少一個所述協(xié)商MSS值的多個RS巧良文�。構造所述目的方向RS巧良文 時��,可W先將所述目的方向RS巧良文的所有RS巧良文的ACK位都置0��,RST位都置1�����。然后����,可W 將所述目的方向RS巧良文的第一個RS巧良文的SEQ值設置為所述可疑報文的ACK_SEQ值與所 述可疑報文的TCP負載長度值之和;可W將所述目的方向RS巧良文的第二個RS巧良文設置為 所述目的方向RS巧良文的第一個RS巧良文的沈Q值與至少一個所述協(xié)商MSS值之和;可W將所 述目的方向RS巧良文的第S個RS巧良文設置為所述目的方向RS巧良文的第二個RS巧良文的SEQ 值與至少一個所述協(xié)商MSS值之和���,W此類推��,所述目的方向RS巧良文的每個RS巧良文的SEQ 值都比其前一個RS巧良文至少多一個所述協(xié)商MSS值���。所述目的方向RS巧良文的所有RS巧良文 的SEQ值設置完成后,可W將所有RS巧良文的其他部分設置為與所述可疑報文相同��。
[0043] 當然����,所述目的方向RS巧良文的每個RS巧良文的SEQ值可W是線性遞增的��。
[0044] 在一個優(yōu)化的示例中����,所述目的方向RS巧良文的每個RS巧良文的SEQ值可W線性遞 增一個所述協(xié)商MSS值���。
[0045] 由上述過程可知�����,在一個示例中,當所述可疑報文為所述客戶端發(fā)出的報文時��,可 W向所述客戶端發(fā)送的RS巧良文包括SEQ值依次遞增至少一個所述協(xié)商MSS值的多個RS巧良 文���,W及可W向所述服務端發(fā)送的RS巧良文的SEQ值與所述可疑報文的ACK_SEQ值相同��。
[0046] 在另一個示例中�,當所述可疑報文為所述服務端發(fā)出的報文時�����,可W向所述客戶 端發(fā)送的RS巧良文的SEQ值與所述可疑報文的ACK_SEQ值相同,W及可W向所述服務端發(fā)送 的RS巧良文包括SEQ值依次遞增至少一個所述協(xié)商MSS值的多個RS巧良文���。
[0047] 步驟203:分別向客戶端和服務端發(fā)送所述RS巧良文W阻斷所述可疑報文�����。
[0048] 步驟204:當所述可疑報文為所述客戶端發(fā)出的報文時�����,向所述客戶端發(fā)送的所述 RS巧良文包括SEQ值依次遞增至少一個所述協(xié)商MSS值的多個RS巧良文����;當所述可疑報文為所 述服務端發(fā)出的報文時��,向所述服務端發(fā)出的RS巧良文包括SEQ值依次遞增至少一個所述協(xié) 商MSS值的多個RS巧良文�����。
[0049] 根據所述可疑報文W及所述協(xié)商MSS值構造 RS巧良文之后���,可W分別向客戶端和服 務端發(fā)送所述RST文W阻斷所述可疑報文���。
[0050] 其中����,當所述可疑報文為正向報文時�����,可W分別向客戶端和服務端發(fā)送第一目的 方向RS巧良文和第一源方向RS巧良文�,其中,所述正向報文為客戶端發(fā)送至服務端的報文����。
[0051] 當所述可疑報文為反向報文時,可W分別向客戶端和服務端發(fā)送第二源方向RST 報文和第二目的方向RS巧良文����,其中,所述反向報文為服務端發(fā)送至客戶端的報文���,所述第 二目的方向RS巧良文的RS巧良文數量可W多于第一目的方向RS巧良文的RS巧良文數量。
[0052] 在一個示例中�,根據工程經驗值,所述第一目的方向RS巧良文可W包括3個RS巧良 文�,且每個RS巧良文的SEQ值都比其前一個RS巧良文至少多一個所述協(xié)商MSS值;所述第二目 的方向RS巧良文可W包括5個RS巧良文,且每個RS巧良文的SEQ值都比其前一個RS巧良文至少多 一個所述協(xié)商MSS值。
[0053] 本申請?zhí)峁㏕CP旁路阻斷的方法及裝置����,獲取到客戶端和服務端之間傳輸的TCP握 手報文后,可W從獲取到的所述報文中獲得協(xié)商MSS值��。當監(jiān)聽到可疑報文時����,可W根據所 述協(xié)商MSS值和所述可疑報文構造 RS巧良文,然后可W分別向客戶端和服務端發(fā)送所述RST 報文W阻斷所述可疑報文���。本申請中���,因為可W分別向客戶端和服務端發(fā)送多個RS巧良文, 因此�����,可W解決現(xiàn)有技術阻斷成功率低的問題����。
[0054] 下面通過具體實施例對W上實施例進行詳細說明:
[0055] 當客戶端和服務端之間建立TCP連接時,DPI設備可W根據客戶端發(fā)送至服務端的 SYN報文獲取第一MSS值�����,然后可W根據服務端發(fā)送至客戶端的ACK報文獲取第二MSS值。獲 取到第一 MSS值和第二MSS值后���,所述DPI設備可W選擇兩者中較大或者較小的那個作為協(xié) 商MSS值����。
[0056] DPI設備確定協(xié)商MSS值后���,可W將所述協(xié)商MSS值存儲到其上預設的會話表中����。當 需要使用所述協(xié)商MSS值時���,可W從所述會話表中獲取�。關于所述會話表的具體信息可W見 上表1���。
[0057] 當監(jiān)聽到可疑報文時����,可W先根據所述可疑報文的報文信息�,如五元組信息等,從 上述會話表中獲得對應的協(xié)商MSS值���。
[0058] 獲取到協(xié)商MSS值后���,所述DPI設備可W根據所述可疑報文和所述協(xié)商MSS值構造 RS巧良文W阻斷所述可疑報文。
[0059] 下面詳細介紹所述RS巧良文的構造過程:
[0060] RS巧良文可W包括源方向RS巧良文和目的方向RS巧良文�。其中,源方向RS巧良文可W 是報文接收端與所述可疑報文接收端相同的RS巧良文��;目的方向RS巧良文可W是報文接收端 與所述可疑報文接收端不同的RS巧良文����。需要說明的是,目的方向RS巧良文可W包括數據序 號SEQ值依次遞增至少一個所述協(xié)商MSS值的多個RS巧良文�����。
[0061] 在構造源方向RS巧良文時����,為了使所述源方向RS巧良文可W較快地被客戶端或服務 端識別并發(fā)揮其阻斷可疑報文的作用,所述DPI設備可W先將所述源方向RS巧良文的ACK為 可W置0���,RST位置1�。然后從接收到的所述可疑報文中獲取ACK_SEQ值,然后將源方向RS巧良 文的SEQ值設置為與所述可疑報文的ACK_SEQ值相等����。設置成功后,將所述源方向RS巧良文的 其他內容保持與所述可疑報文一致����。
[0062] 在構造目的方向RS巧良文時,為了使所述目的方向RS巧良文可W較快地被客戶端或 服務端識別并發(fā)揮其阻斷可疑報文的作用�����,所述DPI設備同樣可W先將所述目的方向RS巧良 文的ACK為可W置0���,RST位置1��。然后可W從接收到的所述可疑報文中獲取ACK_SEQ值����,并將 目的方向RS巧良文的第一個RS巧良文的SEQ值設置為與所述可疑報文的ACK_SEQ值和所述可 疑報文的TCP負載長度之和相等�����。設置成功后��,可W將所述目的方向RS巧良文的第一個RS巧良 文的其他內容保持與所述可疑報文一致。
[0063] 在將所述目的方向RS巧良文的第一個RS巧良文設置成功后�,可W設置所述目的RST 報文的第二個RS巧良文����。所述DPI設備可W將目的方向RS巧良文的第二個RS巧良文的SEQ值設 置為與目的方向RS巧良文的第一個RS巧良文的SEQ值與至少一個所述協(xié)商MSS值之和相等。設 置成功后��,所述目的方向RS巧良文的第二個RS巧良文的ACK為可W置0,然后將其他內容保持 與所述可疑報文一致���。在將所述目的方向RS巧良文的第二個RS巧良文設置成功后���,可W設置 所述目的RS巧良文的第=個RS巧良文。同樣地�����,所述目的RS巧良文的第=個RS巧良文的SEQ值比 所述目的RS巧良文的第二個RS巧良文的SEQ值增加了至少一個所述協(xié)商MSS值���,其余內容可W 與所述目的RS巧良文的第二個RS巧良文保持一致��。
[0064] 需要說明的是���,所述目的方向RS巧良文的每個RS巧良文的SEQ值可W是線性遞增的�����。 當所述目的方向RS巧良文的每個RS巧良文的SEQ值線性遞增一個所述協(xié)商MSS值時��,可W視為 一個優(yōu)化的示例�。
[0065] 所述目的報文的RS巧良文可W包括多個RS巧良文����,例如,可W包括3個�。
[0066] RS巧良文構造完成后,可W分別向客戶端和服務端發(fā)送所述RS巧良文W阻斷所述可 疑報文����。但是,由于所述可疑報文可W包括正向報文和反向報文��,因此���,所述RS巧良文在發(fā)送 時可W根據可疑報文的具體情況而有所改變���。
[0067] 在一個示例中,所述可疑報文可W為由客戶端發(fā)送至服務端的正向報文。此時���, DPI設備在構造了RS巧良文后��,可W向客戶端發(fā)送第一目的方向RS巧良文��,向服務端發(fā)送第一 源方向RS巧良文。其中���,根據工程經驗值���,第一源方向RS巧良文可W包括3個RS巧良文。
[0068] 在另一個示例中��,所述可疑報文可W為由服務端發(fā)送至客戶端的反向報文����。此時, DPI設備在構造了RS巧良文后�����,可W向客戶端發(fā)送第二目的方向RS巧良文�����,向服務端發(fā)送第二 源方向RS巧良文。其中���,第二源方向RS巧良文的RS巧良文數量可W比第一源方向RS巧良文多�,例 如���,根據工程經驗值���,第二源方向RS巧良文可W包括5個RS巧良文。
[0069] 本申請?zhí)峁㏕CP旁路阻斷的方法及裝置����,獲取到客戶端和服務端之間傳輸的TCP握 手報文后,可W從獲取到的所述報文中獲得協(xié)商MSS值��。當監(jiān)聽到可疑報文時����,可W根據所 述協(xié)商MSS值和所述可疑報文構造 RS巧良文,然后可W分別向客戶端和服務端發(fā)送所述RST 報文W阻斷所述可疑報文����。本申請中,因為可W分別向客戶端和服務端發(fā)送多個RS巧良文, 因此�,可W解決現(xiàn)有技術阻斷成功率低的問題。
[0070] 與前述TCP旁路阻斷的方法的實施例相對應����,本申請還提供了 TCP旁路阻斷的裝置 的實施例。
[0071] 本申請TCP旁路阻斷的裝置的實施例可W應用在DPI設備上����。裝置實施例可W通過 軟件實現(xiàn),也可W通過硬件或者軟硬件結合的方式實現(xiàn)��。W軟件實現(xiàn)為例�����,作為一個邏輯意 義上的裝置�����,是通過其所在設備的處理端將非易失性存儲端中對應的計算機程序指令讀取 到內存中運行形成的�����。從硬件層面而言��,如圖3所示����,為本申請TCP旁路阻斷的裝置所在設備 的一種硬件結構圖,除了圖3所示的處理端�����、內存��、網絡接口��、W及非易失性存儲端之外�,實 施例中裝置所在的設備通常還可W包括其他硬件,如負責處理報文的轉發(fā)忍片等等��。
[0072] 請參考圖4,為本申請TCP旁路阻斷的裝置的一個實施例框圖:
[0073] 該裝置可W包括:獲取單元410���、構造單元420�、阻斷單元430 W及發(fā)送單元440�。
[0074] 獲取單元410,用于基于獲取到的客戶端與服務端之間傳輸的TCP握手報文獲得協(xié) 商最大分段長度MSS值;
[0075] 構造單元420,用于當監(jiān)聽到可疑報文時�����,根據所述可疑報文W及所述協(xié)商MSS值 構造復位連接RS巧良文;
[0076] 阻斷單元430,用于分別向客戶端和服務端發(fā)送所述RS巧良文W阻斷所述可疑報 文����;
[0077] 發(fā)送單元440,用于當所述可疑報文為所述客戶端發(fā)出的報文時,向所述客戶端發(fā) 送的所述RS巧良文包括SEQ值依次遞增至少一個所述協(xié)商MSS值的多個RS巧良文��;當所述可疑 報文為所述服務端發(fā)出的報文時�,向所述服務端發(fā)出的RS巧良文包括SEQ值依次遞增至少一 個所述協(xié)商MSS值的多個RS巧良文。
[0078] 在一個可選的實現(xiàn)方式中�����,所述獲取單元410可W具體用于:
[0079] 從客戶端發(fā)送至服務端的第一次握手報文SYN報文中獲取第一 MSS值����;
[0080] 從服務端發(fā)送至客戶端的第二次握手報文AO(報文中獲取第二MSS值�����;
[0081 ] 將第一 MSS值和第二MSS值中較小或者較大的MSS值作為協(xié)商MSS值����。
[0082] 在一個可選的實現(xiàn)方式中,所述RS巧良文的ACK位均置為0;RST位均置為1;
[0083] 所述構造單元420可W具體用于:
[0084] 根據所述可疑報文W及所述協(xié)商MSS值分別構造向所述客戶端W及所述服務端發(fā) 送的RS巧良文�;
[0085] 其中����,當所述可疑報文為所述客戶端發(fā)出的報文時�,向所述客戶端發(fā)送的RS巧良文 包括SEQ值依次遞增至少一個所述協(xié)商MSS值的多個RS巧良文;向所述服務端發(fā)送的RS巧良文 的SEQ值與所述可疑報文的ACK_SEQ值相同�����;
[0086] 當所述可疑報文為所述服務端發(fā)出的報文時��,向所述客戶端發(fā)送的RS巧良文的SEQ 值與所述可疑報文的ACK_SEQ值相同���;向所述服務端發(fā)送的RS巧良文包括SEQ值依次遞增至 少一個所述協(xié)商MSS值的多個RS巧良文����。
[0087] 在一個可選的實現(xiàn)方式中��,所述阻斷單元430可W具體用于:
[0088] 當所述可疑報文為所述客戶端發(fā)出的報文時�,將構造完成的SEQ值依次遞增至少 一個所述協(xié)商MSS值的多個RS巧良文依次發(fā)送至所述客戶端,W及將構造完成的SEQ值與所 述可疑報文相同的RS巧良文發(fā)送至所述服務端�;
[0089] 當所述可疑報文為所述服務端發(fā)出的報文時,將構造完成的SEQ值依次遞增至少 一個所述協(xié)商MSS值的多個RS巧良文依次發(fā)送至所述服務端�����,W及將構造完成的SEQ值與所 述可疑報文相同的RS巧良文發(fā)送至所述客戶端。
[0090] 在一個可選的實現(xiàn)方式中�����,當發(fā)送的RS巧良文包括SEQ值依次遞增至少一個所述協(xié) 商MSS值的多個RS巧良文時�,所述多個RS巧良文的SEQ值線性遞增。
[0091] 上述裝置中各個單元的功能和作用的實現(xiàn)過程具體詳見上述方法中對應步驟的 實現(xiàn)過程��,在此不再寶述�。
[0092] 對于裝置實施例而言,由于其基本對應于方法實施例����,所W相關之處參見方法實 施例的部分說明即可。W上所描述的裝置實施例僅僅是示意性的����,其中所述作為分離部件 說明的單元可W是或者也可W不是物理上分開的,作為單元顯示的部件可W是或者也可W 不是物理單元����,即可W位于一個地方����,或者也可W分布到多個網絡單元上����?�?蒞根據實際的 需要選擇其中的部分或者全部模塊來實現(xiàn)本申請方案的目的�。本領域普通技術人員在不付 出創(chuàng)造性勞動的情況下,即可W理解并實施���。
[0093] 本申請?zhí)峁㏕CP旁路阻斷的方法及裝置����,獲取到客戶端和服務端之間傳輸的TCP握 手報文后����,可W從獲取到的所述報文中獲得協(xié)商MSS值。當監(jiān)聽到可疑報文時���,可W根據所 述協(xié)商MSS值和所述可疑報文構造 RS巧良文�,然后可W分別向客戶端和服務端發(fā)送所述RST 報文W阻斷所述可疑報文���。本申請中�,因為可W分別向客戶端和服務端發(fā)送多個RS巧良文����, 因此�,可W解決現(xiàn)有技術阻斷成功率低的問題�。
[0094] W上所述僅為本申請的較佳實施例而已,并不用W限制本申請���,凡在本申請的精 神和原則之內���,所做的任何修改、等同替換��、改進等���,均應包含在本申請保護的范圍之內���。
【主權項】
1. 一種傳輸控制協(xié)議TCP旁路阻斷的方法,其特征在于�����,所述方法應用于深度包檢測 DPI設備上�����,所述DPI設備在客戶端與服務端之間�����,所述方法包括: 基于獲取到的客戶端與服務端之間傳輸的TCP握手報文獲得協(xié)商最大分段長度MSS值�����; 當監(jiān)聽到可疑報文時��,根據所述可疑報文以及所述協(xié)商MSS值構造復位連接RST報文�����; 分別向客戶端和服務端發(fā)送所述RST報文以阻斷所述可疑報文��; 當所述可疑報文為所述客戶端發(fā)出的報文時���,向所述客戶端發(fā)送的所述RST報文包括 SEQ值依次遞增至少一個所述協(xié)商MSS值的多個RST報文���;當所述可疑報文為所述服務端發(fā) 出的報文時,向所述服務端發(fā)出的RST報文包括SEQ值依次遞增至少一個所述協(xié)商MSS值的 多個RST報文�����。2. 根據權利要求1所述的方法,其特征在于����,所述基于獲取到的客戶端與服務端之間傳 輸的TCP握手報文獲得協(xié)商MSS值,包括: 從客戶端發(fā)送至服務端的第一次握手報文SYN報文中獲取第一 MSS值�; 從服務端發(fā)送至客戶端的第二次握手報文ACK報文中獲取第二MSS值; 將第一 MSS值和第二MSS值中較小或者較大的MSS值作為協(xié)商MSS值�。3. 根據權利要求1所述的方法,其特征在于��,所述RST報文的ACK位均置為0;RST位均置 為1; 所述根據所述可疑報文以及所述協(xié)商MSS值構造 RST報文��,包括: 根據所述可疑報文以及所述協(xié)商MSS值分別構造向所述客戶端以及所述服務端發(fā)送的 RST報文�; 其中,當所述可疑報文為所述客戶端發(fā)出的報文時����,向所述客戶端發(fā)送的RST報文包括 SEQ值依次遞增至少一個所述協(xié)商MSS值的多個RST報文;向所述服務端發(fā)送的RST報文的 SEQ值與所述可疑報文的ACK_SEQ值相同�; 當所述可疑報文為所述服務端發(fā)出的報文時,向所述客戶端發(fā)送的RST報文的SEQ值與 所述可疑報文的ACK_SEQ值相同��;向所述服務端發(fā)送的RST報文包括SEQ值依次遞增至少一 個所述協(xié)商MSS值的多個RST報文����。4. 根據權利要求3所述的方法����,其特征在于�����,所述分別向客戶端和服務端發(fā)送所述RST 報文以阻斷所述可疑報文��,包括: 當所述可疑報文為所述客戶端發(fā)出的報文時��,將構造完成的SEQ值依次遞增至少一個 所述協(xié)商MSS值的多個RST報文依次發(fā)送至所述客戶端���,以及將構造完成的SEQ值與所述可 疑報文相同的RST報文發(fā)送至所述服務端; 當所述可疑報文為所述服務端發(fā)出的報文時���,將構造完成的SEQ值依次遞增至少一個 所述協(xié)商MSS值的多個RST報文依次發(fā)送至所述服務端��,以及將構造完成的SEQ值與所述可 疑報文相同的RST報文發(fā)送至所述客戶端���。5. 根據權利要求3所述的方法,其特征在于����,當發(fā)送的RST報文包括SEQ值依次遞增至少 一個所述協(xié)商MSS值的多個RST報文時�����,所述多個RST報文的SEQ值線性遞增��。6. -種傳輸控制協(xié)議TCP旁路阻斷的裝置���,其特征在于,所述裝置應用于深度包檢測 DPI設備上���,所述DPI設備在客戶端與服務端之間�����,所述裝置包括: 獲取單元�,用于基于獲取到的客戶端與服務端之間傳輸的TCP握手報文獲得協(xié)商最大 分段長度MSS值�; 構造單元,用于當監(jiān)聽到可疑報文時���,根據所述可疑報文以及所述協(xié)商MSS值構造復位 連接RST報文����; 阻斷單元,用于分別向客戶端和服務端發(fā)送所述RST報文以阻斷所述可疑報文�; 發(fā)送單元,用于當所述可疑報文為所述客戶端發(fā)出的報文時����,向所述客戶端發(fā)送的所 述RST報文包括SEQ值依次遞增至少一個所述協(xié)商MSS值的多個RST報文;當所述可疑報文為 所述服務端發(fā)出的報文時���,向所述服務端發(fā)出的RST報文包括SEQ值依次遞增至少一個所述 協(xié)商MSS值的多個RST報文。7. 根據權利要求6所述的裝置��,其特征在于�����,所述獲取單元具體用于: 從客戶端發(fā)送至服務端的第一次握手報文SYN報文中獲取第一 MSS值����; 從服務端發(fā)送至客戶端的第二次握手報文ACK報文中獲取第二MSS值; 將第一 MSS值和第二MSS值中較小或者較大的MSS值作為協(xié)商MSS值�。8. 根據權利要求6所述的裝置,其特征在于�,所述RST報文的ACK位均置為0 ; RST位均置 為1; 所述構造單元具體用于: 根據所述可疑報文以及所述協(xié)商MSS值分別構造向所述客戶端以及所述服務端發(fā)送的 RST報文; 其中�����,當所述可疑報文為所述客戶端發(fā)出的報文時,向所述客戶端發(fā)送的RST報文包括 SEQ值依次遞增至少一個所述協(xié)商MSS值的多個RST報文���;向所述服務端發(fā)送的RST報文的 SEQ值與所述可疑報文的ACK_SEQ值相同����; 當所述可疑報文為所述服務端發(fā)出的報文時�,向所述客戶端發(fā)送的RST報文的SEQ值與 所述可疑報文的ACK_SEQ值相同;向所述服務端發(fā)送的RST報文包括SEQ值依次遞增至少一 個所述協(xié)商MSS值的多個RST報文���。9. 根據權利要求8所述的裝置�,其特征在于���,所述阻斷單元具體用于: 當所述可疑報文為所述客戶端發(fā)出的報文時��,將構造完成的SEQ值依次遞增至少一個 所述協(xié)商MSS值的多個RST報文依次發(fā)送至所述客戶端��,以及將構造完成的SEQ值與所述可 疑報文相同的RST報文發(fā)送至所述服務端��; 當所述可疑報文為所述服務端發(fā)出的報文時�,將構造完成的SEQ值依次遞增至少一個 所述協(xié)商MSS值的多個RST報文依次發(fā)送至所述服務端����,以及將構造完成的SEQ值與所述可 疑報文相同的RST報文發(fā)送至所述客戶端���。10. 根據權利要求8所述的裝置����,其特征在于�����,當發(fā)送的RST報文包括SEQ值依次遞增至 少一個所述協(xié)商MSS值的多個RST報文時�����,所述多個RST報文的SEQ值線性遞增���。
【文檔編號】H04L29/08GK105939325SQ201610018371
【公開日】2016年9月14日
【申請日】2016年1月12日
【發(fā)明人】朱梁
【申請人】杭州迪普科技有限公司