本发明专利技术提供一种流量异常原因通知方法、装置及网络设备。方法包括:防火墙检测到主机的行为异常后,拦截主机的流量;防火墙根据拦截的流量中的TCP连接建立请求,向主机返回TCP连接应答,以与主机建立连接;防火墙根据拦截的流量中发送给应用服务器的页面请求,仿造应用服务器向主机返回页面响应,页面响应包括拦截流量的原因,或者页面响应包括重定向服务器的地址信息,以使主机从重定向服务器获取拦截流量的原因。本发明专利技术技术方案可以在不增加用户主机负担的情况下,将主机流量被阻断的原因提供给主机。
【技术实现步骤摘要】
流量异常原因通知方法、装置及网络设备
本专利技术涉及网络通信技术,尤其涉及一种流量异常原因通知方法、装置及网络设备。
技术介绍
随着网络安全问题不断被强调,防火墙被广泛的采用。防火墙通过跟踪用户主机行为来发现异常,例如防火墙可以发现用户主机存在扫描行为(例如中了蠕虫病毒)、用户主机存在持续的未经授权的越级访问行为、用户主机成为僵尸主机而对网络发动攻击等。在上述各种情况下,防火墙识别出这些恶意主机后,会将这些恶意主机加入黑名单,并阻断这些主机的流量以阻止对其网络安全的进一步破坏。由于绝大部分情况下,用户主机的恶意行为都是由中毒导致的,用户主机往往不知情。所以,防火墙将用户主机的流量阻断后,用户主机会突然不能上网,但却不知道原因。为解决该问题,用户主机可以安装专门的客户端软件,由防火墙将阻断流量的原因推送给用户主机,但是该方法需要用户主机配合安装客户端软件,增加了用户主机的负担。
技术实现思路
本专利技术提供一种流量异常原因通知方法、装置及网络设备,用以在不增加用户主机负担的情况下,将主机流量被阻断的原因提供给主机。第一方面提供一种流量异常原因通知方法,包括:防火墙检测到主机的行为异常后,拦截所述主机的流量;所述防火墙根据所述拦截的流量中的传输控制协议TCP连接建立请求,向所述主机返回TCP连接应答,以与所述主机建立连接;所述防火墙根据所述拦截的流量中发送给应用服务器的页面请求,仿造所述应用服务器向所述主机返回页面响应,所述页面响应的源网际协议IP地址、目的IP地址、源端口和目的端口分别为所述页面请求的目的IP地址、源IP地址、目的端口和源端口,所述页面响应包括拦截流量的原因,或者所述页面响应包括重定向服务器的地址信息,以使所述主机从所述重定向服务器获取所述拦截流量的原因。第二方面提供一种流量异常原因通知装置,设置在防火墙设备中,所述装置包括:检测模块,用于检测主机的行为;拦截模块,用于在所述检测模块检测到所述主机的行为异常后,拦截所述主机的流量;连接建立模块,用于根据所述拦截的流量中的传输控制协议TCP连接建立请求,向所述主机返回TCP连接应答,以与所述主机建立连接;原因通知模块,用于根据所述拦截的流量中发送给应用服务器的页面请求,仿造所述应用服务器向所述主机返回页面响应,所述页面响应的源网际协议IP地址、目的IP地址、源端口和目的端口分别为所述页面请求的目的IP地址、源IP地址、目的端口和源端口,所述页面响应包括拦截流量的原因,或者所述页面响应包括重定向服务器的地址信息,以使所述主机从所述重定向服务器获取所述拦截流量的原因。第三方面提供一种网络设备,包括本专利技术第二方面提供的任一流量异常原因通知装置。本专利技术提供的流量异常原因通知方法、装置及网络设备,通过根据所拦截的主机的流量中的TCP连接建立请求,向主机返回TCP连接建立响应以与主机建立起TCP连接,这样主机就可以继续向应用服务器发送页面请求,再根据拦截到的页面请求仿造应用服务器向主机返回页面响应,通过该页面响应向主机返回拦截流量的原因或者是用于向主机发送拦截流量的原因的重定向服务器的地址信息,实现了向主机通知拦截流量的原因的目的,同时也不需要主机额外安装客户端软件,减轻了主机的负担。附图说明图1为本专利技术一实施例提供的流量异常原因通知方法的流程图;图2为本专利技术一实施例提供的流量异常原因通知装置的结构示意图。具体实施方式图1为本专利技术一实施例提供的流量异常原因通知方法的流程图。如图1所示,本实施例的方法包括:步骤101、防火墙检测到主机的行为异常后,拦截该主机的流量。步骤102、防火墙根据拦截的流量中的传输控制协议(TransmissionControlProtocol,简称为TCP)连接建立请求,向主机返回TCP连接应答,以与该主机建立连接。步骤103、防火墙根据拦截的流量中发送给应用服务器的页面请求,仿造该应用服务器向主机返回页面响应,该页面响应的源网际协议(InternetProtocol,简称为IP)地址、目的IP地址、源端口和目的端口分别为页面请求的目的IP地址、源IP地址、目的端口和源端口,并且该页面响应包括拦截流量的原因,或者该页面响应包括重定向服务器的地址信息,以使主机从重定向服务器获取拦截流量的原因。用户主机要访问应用服务器,必须先经过防火墙。防火墙监视主机的进出流量来检测主机的行为是否异常。例如,如果主机中了木马病毒,就会对应用服务器发动攻击,产生大量的连接,若不加以阻止将导致应用服务器资源的耗尽。因此,防火墙一旦发现主机产生此类异常行为,立即阻断来自该主机的所有流量,也就是说主机将无法访问应用服务器上的所有信息。为了向主机及时返回拦截流量的原因,防火墙根据所拦截的主机的流量中的TCP连接建立请求,向防火墙返回TCP连接建立响应,从而与主机之间建立起TCP连接;这样主机就会继续向应用服务器发送页面请求,该页面请求也属于防火墙所拦截的主机的流量,防火墙拦截该页面请求,并根据所拦截的页面请求,仿造应用服务器向主机返回页面响应。其中,页面请求的源IP地址和目的IP地址分别为主机的IP地址和应用服务器的IP地址,源端口为主机自身选定的端口,目的端口为应用服务器的Web服务端口。防火墙仿造应用服务器向主机返回页面响应具体为:防火墙将页面请求中的源IP地址和目的IP地址以及源端口和目的端口分别对调,作为页面响应报文的源IP地址、目的IP地址、源端口和目的端口。也就是说,页面响应的源IP地址和目的IP地址分别为应用服务器的IP地址和主机的IP地址,源端口为应用服务器的Web服务端口,目的端口为主机自身选定的端口。防火墙通过页面响应向主机返回拦截流量的原因。或者,防火墙通过页面响应向主机返回用于向主机发送拦截流量的原因的重定向服务器的地址信息。其中,拦截流量的原因可能是主机存在扫描行为(例如中了蠕虫病毒)、主机存在持续的未经授权的越级访问行为或主机成为僵尸主机(主机感染可被远程操控的木马病毒)而对网络发动攻击等。上述重定向服务器的地址信息可以是重定向服务器的统一资源定位符(Uniform/UniversalResourceLocator,简称为URL),也可以是重定向服务器的IP地址。在此说明,主机的流量被防火墙拦截之后,只要主机上的浏览器开着,就会不停的向外发送TCP连接建立请求,而在TCP连接建立后会不停的向应用服务器发送页面请求。上述的页面请求主要是URL页面请求,而页面响应主要是超文本传送协议(HypertextTransferProtocol,简称为HTTP)页面。在此说明,对于防火墙拦截到主机的流量,除其中的TCP连接建立请求以及页面请求之外,其他流量可以丢弃,以保持防火墙对该主机的流量阻断能力。可选的,上述页面响应还包括:拦截流量的时间信息。即防火墙除了通过页面响应向主机返回拦截流量的原因之外,还可以通过页面响应向主机返回拦截流量的时间信息,例如,某时某分某秒进行流浪拦截,有利于用户了解不能上网的时间,也便于用户了解主机发生异常的时间。可选的,上述页面响应还包括:针对主机的异常行为的建议措施。即防火墙还可以针对主机的异常行为给出建议措施,并通过页面响应将针对主机的异常行为给出的建议措施返回给主机,以便于主机根据该建议措施对异常行为进行解本文档来自技高网...
【技术保护点】
一种流量异常原因通知方法,其特征在于,包括:防火墙检测到主机的行为异常后,拦截所述主机的流量;所述防火墙根据所述拦截的流量中的传输控制协议TCP连接建立请求,向所述主机返回TCP连接应答,以与所述主机建立连接;所述防火墙根据所述拦截的流量中发送给应用服务器的页面请求,仿造所述应用服务器向所述主机返回页面响应,所述页面响应的源网际协议IP地址、目的IP地址、源端口和目的端口分别为所述页面请求的目的IP地址、源IP地址、目的端口和源端口,所述页面响应包括拦截流量的原因,或者所述页面响应包括重定向服务器的地址信息,以使所述主机从所述重定向服务器获取所述拦截流量的原因。
【技术特征摘要】
1.一种流量异常原因通知方法,其特征在于,包括:防火墙检测到主机的行为异常后,拦截所述主机的流量;所述防火墙根据所述拦截的流量中的传输控制协议TCP连接建立请求,向所述主机返回TCP连接应答,以与所述主机建立连接;所述防火墙根据所述拦截的流量中发送给应用服务器的页面请求,仿造所述应用服务器向所述主机返回页面响应,所述页面响应的源网际协议IP地址、目的IP地址、源端口和目的端口分别为所述页面请求的目的IP地址、源IP地址、目的端口和源端口,所述页面响应包括拦截流量的原因,或者所述页面响应包括重定向服务器的地址信息,以使所述主机从所述重定向服务器获取所述拦截流量的原因;所述拦截流量的原因为所述主机存在扫描行为、所述主机存在持续的未经授权的越级访问行为或所述主机成为僵尸主机而对网络发动攻击;所述页面响应还包括:针对所述主机的异常行为的建议措施。2.根据权利要求1所述的流量异常原因通知方法,其特征在于,所述页面响应还包括:拦截流量的时间信息。3.根据权利要求1或2所述的流量异常原因通知方法,其特征在于,所述重定向服务器内置在所述防火墙中。4.一种流量异常原因通知装置,设置在防火墙设备中,其特征在于,所述装置包括:检测模块,用于检测...
【专利技术属性】
技术研发人员:马云莺,
申请(专利权)人:北京星网锐捷网络技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。