TCP旁路阻断的方法及装置制造方法及图纸

本申请提供一种传输控制协议TCP旁路阻断的方法及装置，所述方法包括：基于获取到的客户端与服务端之间传输的TCP握手报文获得协商最大分段长度MSS值；当监听到可疑报文时，根据所述可疑报文以及所述协商MSS值构造复位连接RST报文；分别向客户端和服务端发送所述RST报文以阻断所述可疑报文；当所述可疑报文为所述客户端发出的报文时，向所述客户端发送的所述RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文；当所述可疑报文为所述服务端发出的报文时，向所述服务端发出的RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文。本申请中，由于可以分别向客户端和服务端发送多个RST报文，因此，可以解决现有技术阻断成功率低的问题。

【技术实现步骤摘要】

本申请涉及通信
，特别涉及一种TCP(Transmission Control Protocol，传输控制协议)旁路阻断的方法及装置。
技术介绍
在相关技术中，服务端与客户端之间建立TCP连接之后，可以在服务端和客户端之间部署监听设备。当监听设备监听到可疑报文时，可以向客户端或服务端发送构造的阻断报文——RST(Reset，复位重连)报文。当客户端或服务端接收到构造的RST报文后，会将已经建立的TCP连接断开，从而达到阻断可疑报文攻击的目的。现有技术中，监听设备在监听到可疑报文时，会向客户端或者服务端发送构造的RST报文。由于RST报文很有可能晚于可疑报文发送至客户端或服务端，因此，客户端或服务端在接收到所述RST报文后，会因为它是“过时”的报文而不对其进行处理。因此，所述RST报文无法达到阻断可疑报文攻击的目的。故现有技术的阻断成功率低。
技术实现思路
有鉴于此，本申请提供一种TCP旁路阻断的方法及装置，来解决现有技术旁路阻断成功率低的问题。具体地，本申请是通过如下技术方案实现的：根据本申请实施例的第一方面，提供一种TCP旁路阻断的方法，所述方法应用于深度包检测DPI设备上，所述DPI设备在客户端与服务端之间，所述方
法包括：基于获取到的客户端与服务端之间传输的TCP握手报文获得协商最大分段长度MSS值；当监听到可疑报文时，根据所述可疑报文以及所述协商MSS值构造复位连接RST报文；分别向客户端和服务端发送所述RST报文以阻断所述可疑报文；当所述可疑报文为所述客户端发出的报文时，向所述客户端发送的所述RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文；当所述可疑报文为所述服务端发出的报文时，向所述服务端发出的RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文。根据本申请实施例的第二方面，提供一种TCP旁路阻断的装置，所述装置应用于深度包检测DPI设备上，所述DPI设备在客户端与服务端之间，所述装置包括：获取单元，用于基于获取到的客户端与服务端之间传输的TCP握手报文获得协商最大分段长度MSS值；构造单元，用于当监听到可疑报文时，根据所述可疑报文以及所述协商MSS值构造复位连接RST报文；阻断单元，用于分别向客户端和服务端发送所述RST报文以阻断所述可疑报文；发送单元，用于当所述可疑报文为所述客户端发出的报文时，向所述客户端发送的所述RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文；当所述可疑报文为所述服务端发出的报文时，向所述服务端发出的RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文。本申请提供TCP旁路阻断的方法及装置，获取到客户端和服务端之间传输的TCP握手报文后，可以从获取到的所述报文中获得协商MSS值。当监听到可疑报文时，可以根据所述协商MSS值和所述可疑报文构造RST报文，然后可以分别向客户端和服务端发送所述RST报文以阻断所述可疑报文。本申请中，由
于可以分别向客户端和服务端发送多个RST报文，因此，可以解决现有技术阻断成功率低的问题。附图说明图1是应用本申请实施例实现TCP旁路阻断的一个应用场景图；图2是本申请TCP旁路阻断的方法的一个实施例流程图；图3是本申请TCP旁路阻断的装置所在设备的一种硬件结构图；图4是本申请TCP旁路阻断的装置的一个实施例框图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。参见图1，为应用本申请实施例实现TCP旁路阻断的一个应用场景图。其中，DPI(Deep Packet Inspection，深度包检测)设备与客户端和服务端相连，
且位于客户端和服务端之间。所述DPI设备可以为一个旁路监听设备。当监听到客户端与服务端之间传输的可疑报文时，所述DPI设备可以构造阻断报文——RST报文，然后将构造的RST报文发送至客户端或服务端，从而达到阻断可疑报文攻击的目的。现有技术中，所述DPI设备监听到可疑报文后，会向客户端或者服务端发送RST报文。但是由于所述RST报文很有可能晚于可疑报文发送至客户端或服务端，因此所述客户端或服务端在接收到所述RST报文后，会因为它是“过时”的报文而不对其进行处理。因此，所述RST报文无法达到阻断可疑报文攻击的目的。故现有技术的阻断成功率低。在本申请中，客户端和服务端建立TCP连接时，所述DPI设备可以从客户端和服务端的握手报文中获取协商MSS值。当发现客户端与服务端之间传输的可疑报文时，所述DPI设备可以根据所述可疑报文和所述协商MSS值构造RST报文。所述RST报文构造成功后，所述DPI设备可以向客户端和服务端发送所述RST报文以阻断所述可疑报文。采用本申请，可以增大RST报文“不过时”的概率，从而达到提高阻断成功率的目的。参见图2，为本申请TCP旁路阻断的方法的一个实施例流程图，该实施例应用于DPI设备上，包括了以下步骤：步骤201：基于获取到的客户端与服务端之间传输的TCP握手报文获得协商最大分段长度MSS值。当客户端与服务端之间建立TCP连接时，所述DPI设备可以基于获取到的客户端与服务端之间传输的TCP握手报文获得协商MSS值。所述DPI设备可以在客户端与服务端进行三次握手时，监听所述握手报文。所述DPI设备可以从监听到的客户端发送至服务端的第一次握手报文SYN报文中获取第一MSS值，从监听到的服务端发送至客户端的第二次握手报文ACK报文中获取第二MSS值，然后所述DPI设备可以将第一MSS值和第二MSS值中较小或者较大的MSS值作为协商MSS值。在一个示例中，假设所述DPI设备从所述第一次握手报文中获取的第一
MSS值为1400，从所述第二次握手报文中获取的第二MSS值为1200。然后，所述DPI设备可以将所述第一MSS值与所述第二MSS值做比较，选择两者中较小或较大的那个作为协商MSS值。因此，所述DPI设备可以选择1200或1400作为协商MSS值。获取到协商MSS值后，所述DPI设备可以将所述协商MSS值存储到会话表中。所述会话表可以位于所述DPI设备上。所述会话表可以包含报文的五元组信息以及对应的协商MSS本文档来自技高网...

【技术保护点】
一种传输控制协议TCP旁路阻断的方法，其特征在于，所述方法应用于深度包检测DPI设备上，所述DPI设备在客户端与服务端之间，所述方法包括：基于获取到的客户端与服务端之间传输的TCP握手报文获得协商最大分段长度MSS值；当监听到可疑报文时，根据所述可疑报文以及所述协商MSS值构造复位连接RST报文；分别向客户端和服务端发送所述RST报文以阻断所述可疑报文；当所述可疑报文为所述客户端发出的报文时，向所述客户端发送的所述RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文；当所述可疑报文为所述服务端发出的报文时，向所述服务端发出的RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文。

【技术特征摘要】
1.一种传输控制协议TCP旁路阻断的方法，其特征在于，所述方法应用于深度包检测DPI设备上，所述DPI设备在客户端与服务端之间，所述方法包括：基于获取到的客户端与服务端之间传输的TCP握手报文获得协商最大分段长度MSS值；当监听到可疑报文时，根据所述可疑报文以及所述协商MSS值构造复位连接RST报文；分别向客户端和服务端发送所述RST报文以阻断所述可疑报文；当所述可疑报文为所述客户端发出的报文时，向所述客户端发送的所述RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文；当所述可疑报文为所述服务端发出的报文时，向所述服务端发出的RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文。2.根据权利要求1所述的方法，其特征在于，所述基于获取到的客户端与服务端之间传输的TCP握手报文获得协商MSS值，包括：从客户端发送至服务端的第一次握手报文SYN报文中获取第一MSS值；从服务端发送至客户端的第二次握手报文ACK报文中获取第二MSS值；将第一MSS值和第二MSS值中较小或者较大的MSS值作为协商MSS值。3.根据权利要求1所述的方法，其特征在于，所述RST报文的ACK位均置为0；RST位均置为1；所述根据所述可疑报文以及所述协商MSS值构造RST报文，包括：根据所述可疑报文以及所述协商MSS值分别构造向所述客户端以及所述服务端发送的RST报文；其中，当所述可疑报文为所述客户端发出的报文时，向所述客户端发送的RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文；向所述服务端发送的RST报文的SEQ值与所述可疑报文的ACK_SEQ值相同；当所述可疑报文为所述服务端发出的报文时，向所述客户端发送的RST报
\t文的SEQ值与所述可疑报文的ACK_SEQ值相同；向所述服务端发送的RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RST报文。4.根据权利要求3所述的方法，其特征在于，所述分别向客户端和服务端发送所述RST报文以阻断所述可疑报文，包括：当所述可疑报文为所述客户端发出的报文时，将构造完成的SEQ值依次递增至少一个所述协商MSS值的多个RST报文依次发送至所述客户端，以及将构造完成的SEQ值与所述可疑报文相同的RST报文发送至所述服务端；当所述可疑报文为所述服务端发出的报文时，将构造完成的SEQ值依次递增至少一个所述协商MSS值的多个RST报文依次发送至所述服务端，以及将构造完成的SEQ值与所述可疑报文相同的RST报文发送至所述客户端。5.根据权利要求3所述的方法，其特征在于，当发送的RST报文包括SEQ值依次递增至少一个所述协商MSS值的多个RS...

【专利技术属性】
技术研发人员：朱梁，
申请(专利权)人：杭州迪普科技有限公司，
类型：发明
国别省市：浙江;33