The invention discloses a protection method and device under DR mode, belonging to the technical field of network security. The method includes: judging the type of the data message when receiving the data message requested by the target; replying to the SYN_ACK message carrying the target SEQ value if the type of the message is SYN message; judging the validity of the ACK message based on the target SEQ value if the type of the message is ACK message; and judging the validity of the ACK message if the ACK message is valid, then the subsequent PUSH_A_ACK message is valid. The preset field is marked in the CK message, and the PUSH_ACK message is forwarded to the service server so that the service server can process the target request based on the PUSH_ACK message marked by the preset field. The invention can improve the protection quality of load balancing equipment under DR mode.
【技术实现步骤摘要】
一种DR模式下的防护方法和装置
本专利技术涉及网络安全
,特别涉及一种DR模式下的防护方法和装置。
技术介绍
随着网络访问请求的爆发式增长,CDN(ContentDeliveryNetwork,内容分发网络)系统面临着极大的分发压力。CDN系统可以通过负载均衡设备,将这些海量的网络访问请求,均衡的分发给用于处理网络访问请求的业务服务器。现有的负载均衡设备通常部署有LVS(LinuxVirtualServer,Linux虚拟服务器)服务,其可以将各个网络访问请求的访问地址修改为Linux虚拟服务器的IP地址,然后基于各个业务服务器的负载情况,将Linux虚拟服务器接收到的大量网络访问请求均衡地分发给各个业务服务器进行处理。负载均衡设备通常采用DR(DirectRouting,直接路由)分发模式,即通过将各个网络访问请求的请求报文中的MAC(MediaAccessControl,媒体访问控制)地址修改为业务服务器所在机房的路由MAC地址,以将请求报文直接分发到业务服务器所在机房的路由设备,然后由路由设备传输给相应的业务服务器进行处理。另外,由于采用DR分发模式的...
【技术保护点】
1.一种DR模式下的防护方法,其特征在于,所述方法包括:当接收到目标请求的数据报文时,判断所述数据报文的报文类型;如果所述报文类型为SYN报文,则回复携带有目标SEQ值的SYN_ACK报文;如果所述报文类型为ACK报文,则基于所述目标SEQ值判断所述ACK报文是否合法;如果所述ACK报文合法,则在后续的PUSH_ACK报文中对预设字段进行标记,并将所述PUSH_ACK报文转发至业务服务器,以使所述业务服务器基于所述预设字段已标记的所述PUSH_ACK报文,对所述目标请求进行处理。
【技术特征摘要】
1.一种DR模式下的防护方法,其特征在于,所述方法包括:当接收到目标请求的数据报文时,判断所述数据报文的报文类型;如果所述报文类型为SYN报文,则回复携带有目标SEQ值的SYN_ACK报文;如果所述报文类型为ACK报文,则基于所述目标SEQ值判断所述ACK报文是否合法;如果所述ACK报文合法,则在后续的PUSH_ACK报文中对预设字段进行标记,并将所述PUSH_ACK报文转发至业务服务器,以使所述业务服务器基于所述预设字段已标记的所述PUSH_ACK报文,对所述目标请求进行处理。2.根据权利要求1所述的方法,其特征在于,所述如果所述报文类型为SYN报文,则回复携带有目标SEQ值的SYN_ACK报文,包括:如果所述报文类型为SYN报文,则对所述SYN报文的报文内容进行加密以生成目标SEQ值,并回复携带有目标SEQ值的SYN_ACK报文,其中,所述SYN报文的报文内容至少包括四元组信息以及TCP_OPTION选项内容。3.根据权利要求1所述的方法,其特征在于,所述如果所述报文类型为ACK报文,则基于所述目标SEQ值判断所述ACK报文是否合法,包括:如果所述报文类型为ACK报文,则对所述ACK报文的报文内容进行加密以生成目标ACK值,并判断所述ACK报文中的ACK值、目标ACK值以及所述目标SEQ值是否一致,其中,所述ACK报文的报文内容至少包括四元组信息;如果一致,则判断所述ACK报文合法,否则判断所述ACK报文非法。4.根据权利要求3所述的方法,其特征在于,所述判断所述ACK报文中的ACK值、目标ACK值以及所述目标SEQ值是否一致,包括:如果所述ACK报文中的ACK值与所述目标SEQ值加一后的值相同,且所述目标SEQ值与所述目标ACK值一致,则判断所述ACK报文中的ACK值、目标ACK值以及所述目标SEQ值一致,否则判断所述ACK报文中的ACK值、目标ACK值以及所述目标SEQ值不一致。5.根据权利要求1所述的方法,其特征在于,所述在后续的PUSH_ACK报文中对预设字段进行标记,包括:如果所述PUSH_ACK报文的协议类型为ipv4,则对所述PUSH_ACK报文的ipv4预设字段进行标记;如果所述PUSH_ACK报文的协议类型为ipv6,则对所述PUSH_ACK报文的ipv6预设字段进行标记。6.一种DR模式下的防护方法,其特征在于,所述方法包括:接收预设字段已标记的PUSH_ACK报文;提取所述预设字段已标记的所述PUSH_ACK报文中的ACK值,并基于提取的所述ACK值得到目标SEQ值;对所述目标SEQ值进行解密,得到TCP_OPTION选项内容,并基于所述TCP_OPTION选项内容对所述预设字段已标记的所述PUSH_ACK报文所属的目标请求进行处理。7.根据权利要求6所述的方法,其特征在于,所述基于所述TCP_OPTION选项内容对所述预设字段已标记的所述PUSH_ACK报文所属的目标请求进行处理,包括:如果所述目标请求的连接已建立,则基于所述TCP_OPTION选项内容对所述目标请求的连接表项进行更新,并基于更新后的所述连接表项对所述目标请求进行处理;如果所述目标请求的连接未建立,则基于所述TCP_OPTION选项内容创建所述目标请求的连接表项,并基于创建的所述连接表项对所述目标请求进行处理。8.一种DR模式下的防护装置,其特征在于,所述防护装置包括:第一判断模块,用于当接收到目标请求的数据报文时,判断所述数据报文的报文类型;回复模块,用于如...
【专利技术属性】
技术研发人员:杨光,马涛,
申请(专利权)人:网宿科技股份有限公司,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。