本发明专利技术公开了一种基于TCP协议的串接设备的快速阻断方法,包括初始化串接阻断设备,接收客户端发送的请求建立TCP连接的数据包,将该数据包源IP与串接阻断设备中预设的数据表比对,丢弃请求报文的同时根据比对结果进行标记或应答。本发明专利技术具有将静默式的封堵变为用户可以立即感知的回应式阻断,提升了用户体验。
【技术实现步骤摘要】
一种基于TCP协议的串接设备的快速阻断方法
本专利技术属于互联网通讯
,具体涉及一种基于TCP协议的串接设备的快速阻断方法。
技术介绍
在经济全球化的今天,我国已经加快推进了信息化的进程,据统计我国的网络用户大约有八成受到过不同程度的病毒感染,如果这种情况持续下去,将会给人们的生产生活带来不同程序的影响。伴随着科技发展,计算机广泛应用到了社会事务和生活的各个方面,用户借助网络信息的共享性改变了传统事务的处理方式,提高了工作效率,由于网络本身所具有的开放特征,使得我们在享受便利的同时,还要承受一定的风险和威胁。网络信息安全技术的提高可以减少信息的泄露和数据破坏等事件的发生。随着科技的进步,网络时代的信息传播更加的迅速和民主,网络信息的接收和传播人群也十分广泛。虽然网络信息传播有众多的优点,但是其安全问题也困扰着大众。对于一些较敏感或者有管控需要的信息传播时,较为传统的做法是在网络中部署串接阻断设备,串接阻断设备通过一些关键字或者ip地址信息过滤,过滤的方法是采用静默式封堵即直接丢弃该类数据报文,使得这些数据报文无法在互联网传输,但是这种方式是依靠连接超时,用户体验较差。故提出新的过滤方法,即将静默式的封堵变为用户可以立即感知的回应式阻断。
技术实现思路
本专利技术所要解决的技术问题是针对上述现有技术的不足,提供一种简单可靠的基于TCP协议的串接设备的快速阻断方法。为实现上述技术目的,本专利技术采取的技术方案为:一种基于TCP协议的串接设备的快速阻断方法,包括以下步骤:步骤一:初始化串接阻断设备,创建一个包含key和result的数据表,其中key为数据报文的源ip,result包含标志位和已回应次数,标志位默认置0,每当同一个IP回应阻断过一次,已回应次数加1,当已回应次数超过串接阻断设备设置的单个IP回应上限值时,串接阻断设备会通过syslog或者网管的方式发出告警,然后将标志位置1,表明已经发出过syslog或者网管告警;步骤二:接收客户端发送的请求建立TCP连接的数据包,将该数据包源IP与串接阻断设备中数据表比对,若数据包源IP未记录在数据表中,则丢弃请求建立TCP连接的数据包并模拟应答服务器向客户端回复报文,同时将请求建立TCP连接的数据包的源IP当做key记录在数据表中,然后将该key对应的result中的已回应次数置1,标志位置0;若数据包源IP记录在数据表中,则进一步判断将此源IP当做key所对应的result中的标志位,若对应的标志位为1,则表明该流已经发出过告警,出于对接收告警服务器设备的保护,防止重复接收相同的告警,所以一条流只发送一次告警,故直接丢弃该请求报文;若对应的标志位为0,则丢弃该请求报文并模拟应答服务器向客户端回复报文,同时将对应的已回应次数加1,若此时已回应次数超过串接阻断设备设置的单个IP回应上限值,则将result中的标志位置1,并通过syslog或者网管的方式发出告警,告警内容包含sip信息。为优化上述技术方案,采取的具体措施还包括:上述的数据包为带有SYN标志的SYN包(ACK为0)或ACK包(TCP头部标识域SYN为0,ACK位置为1且TCP载荷大于0的报文);当数据包为带有SYN标志的SYN包(ACK为0)时,向客户端回复SYN+ACK报文,其中回复的SYN+ACK报文中seqnumber为0,acknumber为之前请求建立TCP连接的带有SYN标志的SYN包的seqnumber加1,回复的SYN+ACK报文的源和目的IP、MAC地址、端口号为之前请求建立TCP连接的源和目的IP、MAC地址、端口号对调后的结果,然后重新计算回复的SYN+ACK报文的校验和,回复的SYN+ACK报文的TTL在设置的上限和下限范围内随机选择,TCP头部其他内容不变,从来向链路对应的接口输出;当数据包为ACK包(TCP头部标识域SYN为0,ACK位置为1且TCP载荷大于0的报文)时,回复RESET报文,其中回复的RESET报文中seqnumber为1,acknumber为0,回复的RESET报文的源和目的IP、源和目的MAC地址、源和目的端口号为之前请求建立TCP连接ACK包的源和目的IP、源和目的MAC地址、源和目的端口号对调后的结果,然后重新计算回复的RESET报文的校验和,回复的RESET报文的TTL在设置的上限和下限范围内随机选择,TCP头部其他内容不变,从来向链路对应的接口输出。上述的串接阻断设备采用命中刷新老化的方式老化数据表的数据,在老化时间内重复学习即重新计算老化时间,当达到老化时间,并且在该时间段没有流量命中刷新,则自动删除该条信息。本专利技术具有以下有益效果:本专利技术作为一种基于TCP协议的串接设备的快速阻断方法,接收到客户端发送的请求建立TCP连接的数据包后,将该数据包源IP与串接阻断设备中预设的数据表比对,丢弃请求报文的同时还可根据比对结果进行标记或应答。将静默式的封堵变为用户可以立即感知的回应式阻断,提升了用户体验。附图说明图1是本专利技术的流程示意图。具体实施方式以下结合附图对本专利技术的实施例作进一步详细描述。本专利技术的一种基于TCP协议的串接设备的快速阻断方法,包括以下步骤:步骤一:初始化串接阻断设备,创建一个包含key和result的数据表,其中key为数据报文的源ip,result包含标志位和已回应次数,标志位默认置0,每当同一个IP回应阻断过一次,已回应次数加1,当已回应次数超过串接阻断设备设置的单个IP回应上限值时,串接阻断设备会通过syslog或者网管的方式发出告警,然后将标志位置1,表明已经发出过syslog或者网管告警;步骤二:接收客户端发送的请求建立TCP连接的数据包,将该数据包源IP与串接阻断设备中数据表比对,若数据包源IP未记录在数据表中,则丢弃请求建立TCP连接的数据包并模拟应答服务器向客户端回复报文,同时将请求建立TCP连接的数据包的源IP当做key记录在数据表中,然后将该key对应的result中的已回应次数置1,标志位置0;若数据包源IP记录在数据表中,则进一步判断将此源IP当做key所对应的result中的标志位,若对应的标志位为1,则表明该流已经发出过告警,出于对接收告警服务器设备的保护,防止重复接收相同的告警,所以一条流只发送一次告警,故直接丢弃该请求报文;若对应的标志位为0,则丢弃该请求报文并模拟应答服务器向客户端回复报文,同时将对应的已回应次数加1,若此时已回应次数超过串接阻断设备设置的单个IP回应上限值,则将result中的标志位置1,并通过syslog或者网管的方式发出告警,告警内容包含sip信息。实施例中,数据包为带有SYN标志的SYN包(ACK为0)或ACK包(TCP头部标识域SYN为0,ACK位置为1且TCP载荷大于0的报文);当数据包为带有SYN标志的SYN包(ACK为0)时,向客户端回复SYN+ACK报文,其中回复的SYN+ACK报文中seqnumber为0,acknumber为之前请求建立TCP连接的带有SYN标志的SYN包的seqnumber加1,回复的SYN+ACK报文的源和目的IP、MAC地址、端口号为之前请求建立TCP连接的源和目的IP、MAC地址、端口号对调后的结果,然后重新计算回复的SYN+A本文档来自技高网...
【技术保护点】
1.一种基于TCP协议的串接设备的快速阻断方法,其特征是:包括以下步骤:步骤一:初始化串接阻断设备,创建一个包含key和result的数据表,其中key为数据报文的源ip,result包含标志位和已回应次数,标志位默认置0,每当同一个IP回应阻断过一次,已回应次数加1,当已回应次数超过串接阻断设备设置的单个IP回应上限值时,串接阻断设备会通过syslog或者网管的方式发出告警,然后将标志位置1,表明已经发出过syslog或者网管告警;步骤二:接收客户端发送的请求建立TCP连接的数据包,将该数据包源IP与串接阻断设备中数据表比对,若数据包源IP未记录在数据表中,则丢弃请求建立TCP连接的数据包并模拟应答服务器向客户端回复报文,同时将请求建立TCP连接的数据包的源IP当做key记录在数据表中,然后将该key对应的result中的已回应次数置1,标志位置0;若数据包源IP记录在数据表中,则进一步判断将此源IP当做key所对应的result中的标志位,若对应的标志位为1,则表明该流已经发出过告警,出于对接收告警服务器设备的保护,防止重复接收相同的告警,所以一条流只发送一次告警,故直接丢弃该请求报文;若对应的标志位为0,则丢弃该请求报文并模拟应答服务器向客户端回复报文,同时将对应的已回应次数加1,若此时已回应次数超过串接阻断设备设置的单个IP回应上限值,则将result中的标志位置1,并通过syslog或者网管的方式发出告警,告警内容包含sip信息。...
【技术特征摘要】
1.一种基于TCP协议的串接设备的快速阻断方法,其特征是:包括以下步骤:步骤一:初始化串接阻断设备,创建一个包含key和result的数据表,其中key为数据报文的源ip,result包含标志位和已回应次数,标志位默认置0,每当同一个IP回应阻断过一次,已回应次数加1,当已回应次数超过串接阻断设备设置的单个IP回应上限值时,串接阻断设备会通过syslog或者网管的方式发出告警,然后将标志位置1,表明已经发出过syslog或者网管告警;步骤二:接收客户端发送的请求建立TCP连接的数据包,将该数据包源IP与串接阻断设备中数据表比对,若数据包源IP未记录在数据表中,则丢弃请求建立TCP连接的数据包并模拟应答服务器向客户端回复报文,同时将请求建立TCP连接的数据包的源IP当做key记录在数据表中,然后将该key对应的result中的已回应次数置1,标志位置0;若数据包源IP记录在数据表中,则进一步判断将此源IP当做key所对应的result中的标志位,若对应的标志位为1,则表明该流已经发出过告警,出于对接收告警服务器设备的保护,防止重复接收相同的告警,所以一条流只发送一次告警,故直接丢弃该请求报文;若对应的标志位为0,则丢弃该请求报文并模拟应答服务器向客户端回复报文,同时将对应的已回应次数加1,若此时已回应次数超过串接阻断设备设置的单个IP回应上限值,则将result中的标志位置1,并通过syslog或者网管的方式发出告警,告警内容包含sip信息。2.根据权利要求1所述的一种基于TCP协议的串接设备的快速阻断方法,其特征是:步骤一所述的数据包为带有SYN标志的SY...
【专利技术属性】
技术研发人员:吴有庆,马红兵,王乾,
申请(专利权)人:南京贝伦思网络科技股份有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。