本公开提供一种报文处理方法、装置、设备及机器可读存储介质,该方法包括:接收上一跳设备分段发送的分段报文并转存入缓冲池,对分段报文进行安全处理;将经过安全处理后被认为是安全的关联于同一报文的分段报文排序后转存入报文池,以使在报文池中关联于同一报文的分段报文被虚拟分段重组并进行关联的业务处理;将报文池中关联于同一报文的分段报文按照关联的规则分段发送至下一跳设备。通过本公开,先将分段报文汇集转存入缓冲池进行相应的安全处理,从至少过滤一部分网络攻击,并进行分段报文重新排序以降低后续设备收到顺序混乱的分段报文,可从多接口接收不同上一跳设备发送的关联于同一报文的分段报文以进行相应的攻击防护。
【技术实现步骤摘要】
一种报文处理方法、装置、设备及机器可读存储介质
本公开涉及通信
,尤其是涉及一种报文处理方法、装置、设备及机器可读存储介质。
技术介绍
MTU(MaximumTransmissionUnit,最大传输单元)用来通知对方所能接受数据服务单元的最大尺寸,说明发送方能够接受的有效载荷大小。由于MTU的限制,IP报文需要经过分段处理,分段报文要在目的端才会进行重组。这种方式会带来不便,如,分段处理的方式会导致基于其特性的网络攻击DDOS,如TinyFragment攻击、OverlappingFragment、Fragment-Flood攻击等,这些网络攻击较难在传输中段进行防范;后片先到的情况会导致安全业务模块(IPSec、NAT、防火墙等)都需要进行复杂处理;为了提高网络的稳定性、业务不中断,重要网络安全设备如防火墙等多按照双机热备组网,分段报文可能被随机分流到不同网络安全设备,导致网络安全设备无法对分段报文进行攻击防护。综上,报文分段发送可能会导致基于这种报文发送方式的网络攻击,造成分段报文到达顺序混乱以增加处理资源消耗,并难以在多设备组网中进行攻击防护。
技术实现思路
有鉴于此,本公开提供一种报文处理方法、装置及电子设备、机器可读存储介质,以至少改善上述技术问题之一。具体地技术方案如下:本公开提供了一种报文处理方法,应用于网络设备,所述方法包括:接收上一跳设备分段发送的分段报文并转存入缓冲池,对分段报文进行安全处理;将经过安全处理后被认为是安全的关联于同一报文的分段报文排序后转存入报文池,以使在报文池中关联于同一报文的分段报文被虚拟分段重组并进行关联的业务处理;将报文池中关联于同一报文的分段报文按照关联的规则分段发送至下一跳设备。作为一种技术方案,所述接收上一跳设备分段发送的分段报文并转存入缓冲池,对分段报文进行安全处理,包括:若所述缓冲池中的分段报文的源地址匹配非信任列表,则丢弃该分段报文。作为一种技术方案,所述接收上一跳设备分段发送的分段报文并转存入缓冲池,对分段报文进行安全处理,包括:若所述缓冲池中的分段报文为首报文,则对该分段报文进行小片段流量清洗;若所述缓冲池中的分段报文为非首报文,则对该分段报文进行重叠片段流量清洗。作为一种技术方案,所述将报文池中关联于同一报文的分段报文按照关联的规则分段发送至下一跳设备,包括:根据报文信息,将关联于同一报文的分段报文从特定输出接口发送至下一跳设备。本公开同时提供了一种报文处理装置,应用于网络设备,所述装置包括:安全模块,用于接收上一跳设备分段发送的分段报文并转存入缓冲池,对分段报文进行安全处理;处理模块,用于将经过安全处理后被认为是安全的关联于同一报文的分段报文排序后转存入报文池,以使在报文池中关联于同一报文的分段报文被虚拟分段重组并进行关联的业务处理;发送模块,用于将报文池中关联于同一报文的分段报文按照关联的规则分段发送至下一跳设备。作为一种技术方案,所述接收上一跳设备分段发送的分段报文并转存入缓冲池,对分段报文进行安全处理,包括:若所述缓冲池中的分段报文的源地址匹配非信任列表,则丢弃该分段报文。作为一种技术方案,所述接收上一跳设备分段发送的分段报文并转存入缓冲池,对分段报文进行安全处理,包括:若所述缓冲池中的分段报文为首报文,则对该分段报文进行小片段流量清洗;若所述缓冲池中的分段报文为非首报文,则对该分段报文进行重叠片段流量清洗。作为一种技术方案,所述将报文池中关联于同一报文的分段报文按照关联的规则分段发送至下一跳设备,包括:根据报文信息,将关联于同一报文的分段报文从特定输出接口发送至下一跳设备。本公开同时提供了一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,处理器执行所述机器可执行指令以实现前述的报文处理方法。本公开同时提供了一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现前述的报文处理方法。本公开提供的上述技术方案至少带来了以下有益效果:在接收到分段发送的分段报文后,先将分段报文汇集转存入缓冲池,在缓冲池中集中对分段报文进行相应的安全处理,从至少过滤一部分网络攻击,并且在当前网络设备进行分段报文重新排序,以降低后续设备收到顺序混乱的分段报文,可从多接口接收不同上一跳设备发送的关联于同一报文的分段报文以进行相应的攻击防护。附图说明为了更加清楚地说明本公开实施方式或者现有技术中的技术方案,下面将对本公开实施方式或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开中记载的一些实施方式,对于本领域普通技术人员来讲,还可以根据本公开实施方式的这些附图获得其他的附图。图1是本公开一种实施方式中的报文处理方法的流程图;图2是本公开一种实施方式中的报文处理装置的结构图;图3是本公开一种实施方式中的电子设备的硬件结构图。具体实施方式在本公开实施方式使用的术语仅仅是出于描述特定实施方式的目的,而非限制本公开。本公开和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本公开实施方式可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。本公开提供一种报文处理方法、装置及电子设备、机器可读存储介质,以至少改善上述技术问题之一。具体地技术方案如后述。在一种实施方式中,本公开提供了一种报文处理方法,应用于网络设备,所述方法包括:接收上一跳设备分段发送的分段报文并转存入缓冲池,对分段报文进行安全处理;将经过安全处理后被认为是安全的关联于同一报文的分段报文排序后转存入报文池,以使在报文池中关联于同一报文的分段报文被虚拟分段重组并进行关联的业务处理;将报文池中关联于同一报文的分段报文按照关联的规则分段发送至下一跳设备。具体地,如图1,包括以下步骤:步骤S11,接收上一跳设备分段发送的分段报文并转存入缓冲池,对分段报文进行安全处理。这里的上一跳设备可以是一个上一跳设备,也可以是多个不同的上一跳设备,可以是从同一个接口获取关联于同一个报文的分段报文,也可以是从不同的多个接口获取关联于同一个报文的分段报文。步骤S12,将经过安全处理后被认为是安全的关联于同一报文的分段报文排序后转存入报文池,以使在报文池中关联于同一报文的分段报文被虚拟分段重组并进行关联的业本文档来自技高网...
【技术保护点】
1.一种报文处理方法,其特征在于,应用于网络设备,所述方法包括:/n接收上一跳设备分段发送的分段报文并转存入缓冲池,对分段报文进行安全处理;/n将经过安全处理后被认为是安全的关联于同一报文的分段报文排序后转存入报文池,以使在报文池中关联于同一报文的分段报文被虚拟分段重组并进行关联的业务处理;/n将报文池中关联于同一报文的分段报文按照关联的规则分段发送至下一跳设备。/n
【技术特征摘要】
1.一种报文处理方法,其特征在于,应用于网络设备,所述方法包括:
接收上一跳设备分段发送的分段报文并转存入缓冲池,对分段报文进行安全处理;
将经过安全处理后被认为是安全的关联于同一报文的分段报文排序后转存入报文池,以使在报文池中关联于同一报文的分段报文被虚拟分段重组并进行关联的业务处理;
将报文池中关联于同一报文的分段报文按照关联的规则分段发送至下一跳设备。
2.根据权利要求1所述的方法,其特征在于,所述接收上一跳设备分段发送的分段报文并转存入缓冲池,对分段报文进行安全处理,包括:
若所述缓冲池中的分段报文的源地址匹配非信任列表,则丢弃该分段报文。
3.根据权利要求1所述的方法,其特征在于,所述接收上一跳设备分段发送的分段报文并转存入缓冲池,对分段报文进行安全处理,包括:
若所述缓冲池中的分段报文为首报文,则对该分段报文进行小片段流量清洗;
若所述缓冲池中的分段报文为非首报文,则对该分段报文进行重叠片段流量清洗。
4.根据权利要求1所述的方法,其特征在于,所述将报文池中关联于同一报文的分段报文按照关联的规则分段发送至下一跳设备,包括:
根据报文信息,将关联于同一报文的分段报文从特定输出接口发送至下一跳设备。
5.一种报文处理装置,其特征在于,应用于网络设备,所述装置包括:
安全模块,用于接收上一跳设备分段发送的分段报文并转存入缓冲池,对分段报文进行安全处理;
处理模块,用于将经过安全处理后被认为是安全的关联于同一报文的...
【专利技术属性】
技术研发人员:谭春梅,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽;34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。