本申请涉及一种IP分片报文的安全防护方法及装置。该方法包括:发送端为待发送的IP分片报文分别设置报文头;将设置报文头的IP分片报文分别发送至接收端;接收端获取所述IP分片报文;基于所述IP分片报文的报文头更新分片链表;根据所述分片链表提取所述IP分片报文的五元组信息;根据所述五元组信息对所述IP分片报文进行安全防护。本申请涉及的IP分片报文的安全防护方法及装置,能够实现防护分片攻击的目的,不需要强制等待虚拟重组完成再完成转发,而是只要首片到达,即可完成转发,提高安全防护效率。护效率。护效率。
【技术实现步骤摘要】
IP分片报文的安全防护方法及装置
[0001]本公开涉及计算机信息处理领域,具体而言,涉及一种IP分片报文的安全防护方法及装置。
技术介绍
[0002]在网络安全硬件子市场中,防火墙是体量最大的单品,具有最广泛的应用场景。即便是今日在云化大潮下,防火墙依然占有体量第一的首要位置。防火墙大量的部署在网络边界,随着互联网越来越繁荣,网络应用的类型和数量大大增加,上网人数急剧增多,带宽也大大增加,与此同时,网络应用也变得日益复杂起来,边界的安全防护功能越来越复杂,往往需要FW、IPS、WAF、审计、清洗设备集合组成边界安全防护,多个安全设备串行在边界以实现多种安全防护业务,但此种部署对网络的维护和故障率带来了非常大的挑战,在此种大环境下,下一代防火墙应运而生,下一代墙可实现基础网络设备的路由交换功能的同时,继承了传统防火墙功能,又新增了丰富的应用层防护功能,实现了在边界只部署一台下一代防火墙即可实现丰富安全防护功能的边界安全池。
[0003]随着网络的蓬勃发展,各类型网络协议和各类型网络功能的日益增多,数据量也是与日俱增多,多媒体流、视频监控流、超大帧业务等网络报文也在出现在越来越多的网络中,网络设备的MTU值一般依然沿用默认1500,但这些报文往往以大包的形式传输,网络设备会将其分片然后转发,所以网络中会存在不同种类的分片报文,网络设备为了适应该情况,网络设备普遍均支持分片报文的转发,同时,由于IP分片报文的特殊性,网络设备都是将分片报文优先虚拟重组,待所有分片到达完成虚拟重组后,按照首片的数据进行继续转发。下一代防火墙设备现已大量部署在网络边界,可以实现对攻击性行为进行防御的目的,网络黑客利用分片虚拟重组转发的特性,将攻击性行为数据隐藏在分片的中间片或尾片以达到绕过下一代防火墙设备安全防御的业务进而攻击内网,下一代防火墙设备针对此种分片攻击报文(ip分片藏攻击)需要一种新的转发方式以实现对该类型攻击的防御。
[0004]在所述
技术介绍
部分公开的上述信息仅用于加强对本申请的背景的理解,因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现思路
[0005]有鉴于此,本申请提供一种IP分片报文的安全防护方法及装置,能够实现防护分片攻击的目的,不需要强制等待虚拟重组完成再完成转发,而是只要首片到达,即可完成转发,提高安全防护效率。
[0006]本申请的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本申请的实践而习得。
[0007]根据本申请的一方面,提出一种IP分片报文的安全防护方法,该方法包括:发送端为待发送的IP分片报文分别设置报文头;将设置报文头的IP分片报文分别发送至接收端;接收端获取所述IP分片报文;基于所述IP分片报文的报文头更新分片链表;根据所述分片
链表提取所述IP分片报文的五元组信息;根据所述五元组信息对所述IP分片报文进行安全防护。
[0008]在本申请的一种示例性实施例中,发送端为待发送的IP分片报文分别设置报文头,包括:发送端为待发送的IP分片报文的首片设置四层头及预留位信息、是否允许分片信息、是否还有后续分片信息;发送端为待发送的IP分片报文的中间片设置是否允许分片信息、是否还有后续分片信息;发送端为待发送的IP分片报文的尾片设置四层头及预留位信息、是否允许分片信息、是否还有后续分片信息。
[0009]在本申请的一种示例性实施例中,接收端获取所述IP分片报文之前,还包括:接收端基于HASH表结构建立分片链表;分片链表中每一个key均为双向链表;所述双向链表的每个节点储存一个分片组信息。
[0010]在本申请的一种示例性实施例中,基于所述IP分片报文的报文头更新分片链表,包括:基于所述IP分片报文的报文头确定所述IP分片报文的位置顺序;根据所述位置顺序为所述IP分片报文建立分片组信息;通过所述分片组信息更新所述分片链表。
[0011]在本申请的一种示例性实施例中,根据所述位置顺序为所述IP分片报文建立分片组信息,包括:在所述IP分片报文为首片且不存在对应的分片组信息时,创建分片组信息;由所述IP分片报文的报文头中提取五元组信息;将所述五元组信息储存在分片组信息中。
[0012]在本申请的一种示例性实施例中,根据所述位置顺序为所述IP分片报文建立分片组信息,还包括:在所述IP分片报文为首片且存在对应的分片组信息时,由所述IP分片报文的报文头中提取五元组信息;基于所述五元组信息更新所述创建分片组信息。
[0013]在本申请的一种示例性实施例中,根据所述位置顺序为所述IP分片报文建立分片组信息,包括:在所述IP分片报文不为首片时,由所述IP分片报文的报文头中提取五元组信息;基于所述五元组信息在分片链表中进行匹配;在未匹配到一致信息时,创建分片组信息。
[0014]在本申请的一种示例性实施例中,根据所述位置顺序为所述IP分片报文建立分片组信息,还包括:在匹配到一致信息时,确定分片组信息中是否有五元组信息;在已有五元组信息时,将所述IP分片报文进行转发;在未有五元组信息时,将所述IP分片报文储存在虚拟分片重组段。
[0015]在本申请的一种示例性实施例中,根据所述五元组信息对所述IP分片报文进行安全防护,包括:根据所述五元组信息对所述IP分片报文进行路由交换、报文过滤、安全检测。
[0016]根据本申请的一方面,提出一种IP分片报文的安全防护装置,该装置包括:设置模块,用于发送端为待发送的IP分片报文分别设置报文头;发送模块,用于将设置报文头的IP分片报文分别发送至接收端;获取模块,用于接收端获取所述IP分片报文;更新模块,用于基于所述IP分片报文的报文头更新分片链表;提取模块,用于根据所述分片链表提取所述IP分片报文的五元组信息;防护模块,用于根据所述五元组信息对所述IP分片报文进行安全防护。
[0017]根据本申请的一方面,提出一种电子设备,该电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序;当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如上文的方法。
[0018]根据本申请的一方面,提出一种计算机可读介质,其上存储有计算机程序,该程序
被处理器执行时实现如上文中的方法。
[0019]根据本申请的IP分片报文的安全防护方法及装置,通过发送端为待发送的IP分片报文分别设置报文头;将设置报文头的IP分片报文分别发送至接收端;接收端获取所述IP分片报文;基于所述IP分片报文的报文头更新分片链表;根据所述分片链表提取所述IP分片报文的五元组信息;根据所述五元组信息对所述IP分片报文进行安全防护的方式,能够实现防护分片攻击的目的,不需要强制等待虚拟重组完成再完成转发,而是只要首片到达,即可完成转发,提高安全防护效率。
[0020]应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本申请。
附图说明
[0021]通过参照附图详细描述其示例实施例,本申请的上述和其它目标、特征及优点将变得更加显本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种IP分片报文的安全防护方法,其特征在于,包括:发送端为待发送的IP分片报文分别设置报文头;将设置报文头的IP分片报文分别发送至接收端;接收端获取所述IP分片报文;基于所述IP分片报文的报文头更新分片链表;根据所述分片链表提取所述IP分片报文的五元组信息;根据所述五元组信息对所述IP分片报文进行安全防护。2.如权利要求1所述的方法,其特征在于,发送端为待发送的IP分片报文分别设置报文头,包括:发送端为待发送的IP分片报文的首片设置四层头及预留位信息、是否允许分片信息、是否还有后续分片信息;发送端为待发送的IP分片报文的中间片设置是否允许分片信息、是否还有后续分片信息;发送端为待发送的IP分片报文的尾片设置四层头及预留位信息、是否允许分片信息、是否还有后续分片信息。3.如权利要求1所述的方法,其特征在于,接收端获取所述IP分片报文之前,还包括:接收端基于HASH表结构建立分片链表;分片链表中每一个key均为双向链表;所述双向链表的每个节点储存一个分片组信息。4.如权利要求1所述的方法,其特征在于,基于所述IP分片报文的报文头更新分片链表,包括:基于所述IP分片报文的报文头确定所述IP分片报文的位置顺序;根据所述位置顺序为所述IP分片报文建立分片组信息;通过所述分片组信息更新所述分片链表。5.如权利要求4所述的方法,其特征在于,根据所述位置顺序为所述IP分片报文建立分片组信息,包括:在所述IP分片报文为首片且不存在对应的分片组信息时,创建分片组信息;由所述IP分片报文的报文头中提取五元组信息;将所述五元组信息储存在分片...
【专利技术属性】
技术研发人员:郑磊,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。