当前位置: 首页 > 专利查询>高伟红专利>正文

一种防攻击数据传输方法及装置制造方法及图纸

技术编号:17784104 阅读:24 留言:0更新日期:2018-04-22 15:28
本发明专利技术公开了一种防攻击数据传输方法及装置,解决现有技术中无法解决防攻击的问题,本申请通过获取待传输的通信协议报文;对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理,生成处理信息;将上述处理信息保存在上述通信协议报文在上述报文头部中的扩展位上,得到转换后的通信协议报文,其中,上述通信协议报文的上述报文头部包括上述信息位和上述扩展位;发送上述转换后的通信协议报文至接收设备;本申请适用于数据防攻击领域。

【技术实现步骤摘要】
一种防攻击数据传输方法及装置
本专利技术涉及数据传输领域,具体涉及一种一种防攻击数据传输方法及装置。
技术介绍
目前,在现有技术中,常见的通信攻击方式包括以下两种:1、SYN攻击,攻击原理如下:SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。SYN攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统,事实上SYN攻击并不管目标是什么系统,只要这些系统打开TCP服务就可以实施。服务器接收到连接请求(syn=j),将此信息加入未连接队列,并发送请求包给客户(syn=k,ack=j+1),此时进入SYN_RECV状态。当服务器未收到客户端的确认包时,重发请求包,一直到超时,才将此条目从未连接队列删除。配合IP欺骗,SYN攻击能达到很好的效果,通常,客户端在短时间内伪造大量不存在的IP地址,向服务器不断地发送syn包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直至超时,这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪。2、ACK攻击,攻击原理如下:在TCP连接建立之后,所有的数据传输TCP报文都是带有ACK标志位的,主机在接收到一个带有ACK标志位的数据包的时候,需要检查该数据包所表示的连接四元组是否存在,如果存在则检查该数据包所表示的状态是否合法,然后再向应用层传递该数据包。如果在检查中发现该数据包不合法,例如该数据包所指向的目的端口在本机并未开放,则主机操作系统协议栈会回应RST包告诉对方此端口不存在。通常状态检测防火墙所做的事情与此类似,只不过防火墙只拦截非法的数据包,而不主动回应。对比主机以及防火墙在接收到ACK报文和SYN报文时所做动作的复杂程度,显然ACK报文带来的负载要小得多。所以在实际环境中,只有当攻击程序每秒钟发送ACK报文的速率达到一定的程度,才能使主机和防火墙的负载有大的变化。当发包速率很大的时候,主机操作系统将耗费大量的精力接收报文、判断状态,同时要主动回应RST报文,正常的数据包就可能无法得到及时的处理。这时候客户端(以IE为例)的表现就是访问页面反应很慢,丢包率较高。但是状态检测的防火墙通过判断ACK报文的状态是否合法,借助其强大的硬件能力可以较为有效的过滤攻击报文。当然如果攻击流量非常大,由于需要维护很大的连接状态表同时要检查数量巨大的ACK报文的状态,防火墙也会不堪重负导致全网瘫痪。为了解决上述问题,目前常用的处理方式是:宽带流量清洗。通过宽带流量清洗的方式,以减轻来自于攻击流量对网络和服务器造成的压力。其中,宽带流量清洗解决方案主要分为三个步骤:第一步,利用专用的检测设备对用户业务流量进行分析监控。第二步,当服务器遭受到攻击时,检测设备上报给专用的业务管理平台生成清洗任务,将用户流量牵引到流量清洗中心;第三步,流量清洗中心对牵引过来的用户流量进行清洗,并将清洗后的用户合法流量回注到服务器。但是在现有的清洗方案中,由于通讯协议各有不同,均采用流量清洗的方式来御防攻击,则很有可能会造成误伤,即将正常的数据流量当成攻击流量进行过滤。针对上述的问题,目前尚未提出有效的解决方案。
技术实现思路
根据本专利技术实施例的一个方面,提供了一种防攻击数据传输方法,包括:获取待传输的通信协议报文;对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理,生成处理信息;将上述处理信息保存在上述通信协议报文在上述报文头部中的扩展位上,得到转换后的通信协议报文,其中,上述通信协议报文的上述报文头部包括上述信息位和上述扩展位;发送上述转换后的通信协议报文至接收设备;可选地,对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理包括以下至少之一:调整上述信息位上的数据的顺序;或者对上述信息位上的数据进行整体或局部的压缩,并填充字符到压缩后的空闲位置;或者对上述信息位上的数据进行整体或局部的加密;或者对上述信息位上的数据进行整体或局部的签名。可选地,在对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理之前,还包括:将上述通信协议报文中位于上述报文头部的部分字节设置为上述扩展位。可选地,将上述通信协议报文中位于报文头部的部分字节设置为扩展位包括:将上述报文头部中的序列号和/或确认号中的部分字节设置为上述扩展位。可选地,在发送上述转换后的通信协议报文至接收设备之前,还包括:判断当前上述通信协议报文的数据流量是否大于预定阈值;若上述数据流量大于上述预定阈值,则在到达上述接收设备之前的传输链路中配置网关型网络设备,以使上述网关型网络设备代理上述接收设备将上述转换后的通信协议报文转发给第三方设备处理。可选地,对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理的装置包括以下至少之一:网卡驱动、虚拟网卡或本地网关。根据本专利技术实施例的另一方面,还提供了一种防攻击数据传输方法,包括:接收经防攻击预处理后得到的转换后的通信协议报文;根据上述转换后的通信协议报文中位于报文头部的扩展位所指示的上述防攻击预处理的处理信息解析上述转换后的通信协议报文;获取上述转换后的通信协议报文中位于上述报文头部的信息位上的数据,其中,上述通信协议报文的上述报文头部包括上述信息位和上述扩展位。可选地,根据上述转换后的通信协议报文中位于报文头部的扩展位所指示的上述防攻击预处理的处理信息解析上述转换后的通信协议报文的装置包括以下至少之一:网卡驱动、虚拟网卡或本地网关。根据本专利技术实施例的又一方面,还提供了一种防攻击数据传输装置,位于发送设备中,上述装置包括:获取单元,用于获取待传输的通信协议报文;防攻击预处理单元,用于对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理,生成处理信息;保存单元,用于将上述处理信息保存在上述通信协议报文在上述报文头部中的扩展位上,得到转换后的通信协议报文,其中,上述通信协议报文的上述报文头部包括上述信息位和上述扩展位;发送单元,用于发送上述转换后的通信协议报文至接收设备。可选地,上述防攻击预处理单元包括以下至少之一:调整模块,用于调整上述信息位上的数据的顺序;或者压缩模块,用于对上述信息位上的数据进行整体或局部的压缩,并填充字符到压缩后的空闲位置;或者加密模块,用于对上述信息位上的数据进行整体或局部的加密;或者签名模块,用于对上述信息位上的数据进行整体或局部的签名。可选地,上述装置还包括:设置单元,用于在对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理之前,将上述通信协议报文中位于上述报文头部的部分字节设置为上述扩展位。可选地,上述设置单元包括:设置模块,用于将上述报文头部中的序列号和/或确认号中的部分字节设置为上述扩展位。可选地,上述装置还包括:判断单元,用于在发送上述转换后的通信协议报文至接收设备之前判断当前上述通信协议报文的数据流量是否大于预定阈值;配置单元,用于在上述数据流量大于上述预定阈值时,在到达上述接收设备之前的传输链路中配置网关型网络设备,以使上述网关型网络设备代理上述接收设备将上述转换后的通信协议报文转发给第三方设备处理。可选地,上述防攻击预处理单元包括以下至少之一:网卡驱动本文档来自技高网
...

【技术保护点】
一种防攻击数据传输方法,其特征在于,包括:获取待传输的通信协议报文;对所述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理,生成处理信息;将所述处理信息保存在所述通信协议报文在所述报文头部中的扩展位上,得到转换后的通信协议报文,其中,所述通信协议报文的所述报文头部包括所述信息位和所述扩展位;发送所述转换后的通信协议报文至接收设备。

【技术特征摘要】
1.一种防攻击数据传输方法,其特征在于,包括:获取待传输的通信协议报文;对所述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理,生成处理信息;将所述处理信息保存在所述通信协议报文在所述报文头部中的扩展位上,得到转换后的通信协议报文,其中,所述通信协议报文的所述报文头部包括所述信息位和所述扩展位;发送所述转换后的通信协议报文至接收设备。2.根据权利要求1所述的方法,其特征在于,对所述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理包括以下至少之一:调整所述信息位上的数据的顺序;或者对所述信息位上的数据进行整体或局部的压缩,并填充字符到压缩后的空闲位置;或者对所述信息位上的数据进行整体或局部的加密;或者对所述信息位上的数据进行整体或局部的签名。3.根据权利要求1所述的方法,其特征在于,在对所述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理之前,还包括:将所述通信协议报文中位于所述报文头部的部分字节设置为所述扩展位。4.根据权利要求3所述的方法,其特征在于,将所述通信协议报文中位于报文头部的部分字节设置为扩展位包括:将所述报文头部中的序列号和/或确认号中的部分字节设置为所述扩展位。5.根据权利要求1所述的方法,其特征在于,在发送所述转换后的通信协议报文至接收设备之前,还包括:判断当前所述通信协议报文的数据流量是否大于预定阈值;若所述数据流量大于所述预定阈值,则在到达所述接收设备之前的传输链路中配置网关型网络设备,以使所述网关型网络设备代理所述接收设备将所述转换后的通信协议报文转发给第三方设备处理。6.根据权利要求1所述的方法,其特征在于,对所述通信协议报文中位...

【专利技术属性】
技术研发人员:高伟红
申请(专利权)人:高伟红
类型:发明
国别省市:四川,51

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1