本发明专利技术提供了一种信息处理方法及装置、存储介质、电子装置,其中,该方法包括:接收传输控制协议TCP数据包;通过前置流表检测所述TCP数据包是否满足预设规则;当所述TCP数据包满足预设规则时,将所述TCP数据包发送至主流表。通过本发明专利技术,解决了相关技术中不能过滤syn攻击的技术问题,提高了系统的安全性和稳定性。
【技术实现步骤摘要】
信息处理方法及装置、存储介质、电子装置
本专利技术涉及通信领域,具体而言,涉及一种信息处理方法及装置、存储介质、电子装置。
技术介绍
相关技术中的流表在安全系统中的应用时,是重要的流跟踪设施,能够有效的防止流误杀。但是流表也是脆弱的,很容易被攻击。流表作为一个清洗系统的组件存在的时候,对流表的性能没有太高的要求,但是对流表的安全性有极高的要求,流表一定不能被打爆是第一要求,例如Linux虚拟服务器的流表,收到一个syn就进行入表操作,流表对于syn攻击毫无抵抗能力。针对相关技术中存在的上述问题,目前尚未发现有效的解决方案。
技术实现思路
本专利技术实施例提供了一种信息处理方法及装置、存储介质、电子装置。根据本专利技术的一个实施例,提供了一种信息处理方法,包括:接收传输控制协议(TransmissionControlProtocol,TCP)数据包;通过前置流表检测所述TCP数据包是否满足预设规则;当所述TCP数据包满足预设规则时,将所述TCP数据包发送至主流表。根据本专利技术的另一个实施例,提供了一种信息处理装置,包括:接收模块,用于接收传输控制协议TCP数据包;检测模块,用于通过前置流表检测所述TCP数据包是否满足预设规则;发送模块,用于当所述TCP数据包满足预设规则时,将所述TCP数据包发送至主流表。根据本专利技术的又一个实施例,还提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。根据本专利技术的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。通过本专利技术,通过设置前置流表检测TCP数据包,在主流表之前加入了单独的过滤模块,解决了相关技术中不能过滤TCP数据包攻击的技术问题,提高了系统的安全性和稳定性。附图说明此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:图1是根据本专利技术实施例的信息处理方法的流程图;图2是根据本专利技术实施例的信息处理装置的结构框图。具体实施方式下文中将参考附图并结合实施例来详细说明本专利技术。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。需要说明的是,本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。一实施例在本实施例中提供了一种检测数据包的方法,图1是根据本专利技术实施例的信息处理方法的流程图,如图1所示,该流程包括如下步骤:步骤S102,接收传输控制协议TCP数据包;步骤S104,通过前置流表检测TCP数据包是否满足预设规则;步骤S106,当TCP数据包满足预设规则时,将TCP数据包发送至主流表。通过上述步骤,通过设置前置流表检测TCP数据包,在主流表之前加入了单独的过滤模块,解决了相关技术中不能过滤TCP数据包攻击的技术问题,提高了系统的安全性和稳定性。可选的,前置流表为哈希表,TCP数据包包括:syn包,ack包和data(数据)包;或者,TCP数据包包括:syn包,ack+数据包。在本实施方式中,在TCP握手的三次握手过程中,先收到客户端的syn,再收到客户端的ack,再收到客户端的数据,一共是三个数据包。在其他实施方式中,在fast-tcp的情况下,只会收到syn和ack+data两个数据包,此时视ack+data这个数据包为两个数据包。本实施例通过设置一个本身能防御syn攻击的前置流表,而对于流表来说,可以首先经过syn防御算法,再经过流表的流跟踪算法,使得流跟踪的功能依赖于syn防御算法的防御能力。由于syn防御算法是可以单独开关的,所以用于安全的主流表也仍然需要一个syn攻击基础的过滤模块,即前置流表。当syn攻击到达的时候,可以不依赖主流表本身来容纳syn流量,而使用额外的前置流表来处理,流表的特点是表大且相对稳定,一个连接通常持续的时间是远远长于连接建立的时间的。可选地,上述步骤的执行主体可以为网络侧服务器等,但不限于此。可选地,在通过前置流表检测TCP数据包是否满足预设规则之后,方法还包括:在检测不通过的情况下,拒绝将TCP数据包发送至主流表。可选地,通过前置流表检测TCP数据包是否满足预设规则包括:S11,通过哈希表确定TCP数据包的状态和TCP数据包中seq数据域的序列号;其中,seq数据域是指tcp数据包中的seq数据域,代表已经发送的字节数,每一个TCP包都会携带,通过确定seq数据域中数值的连续性确定接收到的TCP数据包是同一个连接下的三次握手信号数据包;TCP数据包的状态包括syn接收状态和syn确定状态。S12,当TCP数据包的状态表征接收到syn包和已经建立连接,以及seq数据域的序列号连续时,确定满足预设规则。本实施例的方案可以用于流表的入表操作,用于流跟踪,同时使得主流表在攻击来临的时候不会急速膨胀导致遍历性能的快速下降。在流表的前面添加前置流表,前置流表与linux环境中的前置流表的机制类似,其中一个区别是linux内核里的前置流表在每一个syn到达的时候会分配大量的内存给一个连接,如此在syn攻击到达的时候会快速耗尽内存。而本实施例的前置流表的目的是辅助于正常的流表跟踪的需求,流表可以不需要存储五元组(源IP地址、源端口、目的IP地址、目的端口、传输层协议),只需要存储一个五元组哈希过的RSS(接收信号强度)值,这个RSS值对应前置哈希表的一个2个字节的条目,一个字节用于状态跟踪和后续扩展,一个字节用于seq的序列号跟踪,这个序列号可以不使用全量的,如只使用最后8位,就可以确定这个顺序是否是连续的。前置流表的单项相对于linux内核的设计成倍的节省了内存,而且,前置流表可以做到比较快速的老化,可以限制的很小,因为linux内核的前置流表需要完全的符合rfc规定的标准,而流跟踪需求的前置流表用于安全防御,是可以接受一定程度的误杀的,所以可以忽略掉很多特殊情况。在使用前置流表进行状态跟踪时,只需要跟踪syn_recv(syn接收状态),established(syn确定状态)两个状态,一共一位。Syn_recv的时候,状态为位0,established的时候状态为位1。一次是在接收到握手的ack包的时候检查是否存在syn包,一次检查是在接收到数据包的时候检查是否已经建立连接。当接收到ack握手包时,检查是否存在这个条目,当接收到数据包时,检查状态位是否位1。1个字节包括8位2进制数,2位用于后续扩展,在一个示例中,把用于后续扩展的2个位也用于时间戳,可以实现一个流多停留在表中一段时间。可选地,所述哈希表还携带syn时间戳,其中,所述syn时间戳用于描述所述哈希表内条目的有效性。在一个示例中,时间戳占5位,即32s,使用时间戳可以实现滚动删除的老化方式,32s的时间周期内每次都删除某些时间计数器装置即将到达的值对应的所有条目,比如3s的时候删除5-8s对应的所有条目。哈希表包括两个字节,其中第一字节用于TCP数据包的状态跟踪和扩展,第二字节用于TCP数据包的seq数据域的序列号跟踪,第本文档来自技高网...
【技术保护点】
1.一种信息处理方法,其特征在于,包括:接收传输控制协议TCP数据包;通过前置流表检测所述TCP数据包是否满足预设规则;当所述TCP数据包满足预设规则时,将所述TCP数据包发送至主流表。
【技术特征摘要】
1.一种信息处理方法,其特征在于,包括:接收传输控制协议TCP数据包;通过前置流表检测所述TCP数据包是否满足预设规则;当所述TCP数据包满足预设规则时,将所述TCP数据包发送至主流表。2.根据权利要求1所述的方法,其特征在于,所述前置流表为哈希表,所述TCP数据包包括:syn包、ack包和data包。3.根据权利要求2所述的方法,其特征在于,所述通过前置流表检测所述TCP数据包是否满足预设规则包括:通过所述哈希表确定所述TCP数据包的状态和所述TCP数据包中seq数据域的序列号;当所述TCP数据包的状态表征接收到syn包和已经建立连接,以及所述seq数据域的序列号连续时,确定满足所述预设规则。4.根据权利要求3所述的方法,其特征在于,根据接收到的syn包在所述前置流表中建立对应的关键字,根据接收到的与syn包对应的ack包设置所述关键字的值为预设数值,所述TCP数据包的状态表征接收到syn包和已经建立连接包括:根据接收到的所述ack包查询到对应的所述关键字时,确定接收到所述syn包;根据接收到的所述data包查询到对应的所述关键字的值为所述预设数值时,确定已经建立连接。5.根据权利要求3所述的方法,其特征在于,通过所述哈希表确定所述TCP数据包中seq数据域的序列号包括:依次获取所述TCP数据包中多个包的seq数据域;确定所述seq数据域的序列号是否连续。6.根据权利要求2所述的方法,其特征在于,所述哈希表还携带syn时间戳,其中,所述syn时间戳用于描述所述哈希...
【专利技术属性】
技术研发人员:刘京洋,
申请(专利权)人:网易杭州网络有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。