TCP旁路阻斷的方法及裝置制造方法及圖紙

本申請提供一種傳輸控制協議TCP旁路阻斷的方法及裝置，所述方法包括：基于獲取到的客戶端與服務端之間傳輸的TCP握手報文獲得協商最大分段長度MSS值；當監聽到可疑報文時，根據所述可疑報文以及所述協商MSS值構造復位連接RST報文；分別向客戶端和服務端發送所述RST報文以阻斷所述可疑報文；當所述可疑報文為所述客戶端發出的報文時，向所述客戶端發送的所述RST報文包括SEQ值依次遞增至少一個所述協商MSS值的多個RST報文；當所述可疑報文為所述服務端發出的報文時，向所述服務端發出的RST報文包括SEQ值依次遞增至少一個所述協商MSS值的多個RST報文。本申請中，由于可以分別向客戶端和服務端發送多個RST報文，因此，可以解決現有技術阻斷成功率低的問題。

【技術實現步驟摘要】

本申請涉及通信
，特別涉及一種TCP(Transmission Control Protocol，傳輸控制協議)旁路阻斷的方法及裝置。
技術介紹
在相關技術中，服務端與客戶端之間建立TCP連接之后，可以在服務端和客戶端之間部署監聽設備。當監聽設備監聽到可疑報文時，可以向客戶端或服務端發送構造的阻斷報文——RST(Reset，復位重連)報文。當客戶端或服務端接收到構造的RST報文后，會將已經建立的TCP連接斷開，從而達到阻斷可疑報文攻擊的目的。現有技術中，監聽設備在監聽到可疑報文時，會向客戶端或者服務端發送構造的RST報文。由于RST報文很有可能晚于可疑報文發送至客戶端或服務端，因此，客戶端或服務端在接收到所述RST報文后，會因為它是“過時”的報文而不對其進行處理。因此，所述RST報文無法達到阻斷可疑報文攻擊的目的。故現有技術的阻斷成功率低。
技術實現思路
有鑒于此，本申請提供一種TCP旁路阻斷的方法及裝置，來解決現有技術旁路阻斷成功率低的問題。具體地，本申請是通過如下技術方案實現的：根據本申請實施例的第一方面，提供一種TCP旁路阻斷的方法，所述方法應用于深度包檢測DPI設備上，所述DPI設備在客戶端與服務端之間，所述方
法包括：基于獲取到的客戶端與服務端之間傳輸的TCP握手報文獲得協商最大分段長度MSS值；當監聽到可疑報文時，根據所述可疑報文以及所述協商MSS值構造復位連接RST報文；分別向客戶端和服務端發送所述RST報文以阻斷所述可疑報文；當所述可疑報文為所述客戶端發出的報文時，向所述客戶端發送的所述RST報文包括SEQ值依次遞增至少一個所述協商MSS值的多個RST報文；當所述可疑報文為所述服務端發出的報文時，向所述服務端發出的RST報文包括SEQ值依次遞增至少一個所述協商MSS值的多個RST報文。根據本申請實施例的第二方面，提供一種TCP旁路阻斷的裝置，所述裝置應用于深度包檢測DPI設備上，所述DPI設備在客戶端與服務端之間，所述裝置包括：獲取單元，用于基于獲取到的客戶端與服務端之間傳輸的TCP握手報文獲得協商最大分段長度MSS值；構造單元，用于當監聽到可疑報文時，根據所述可疑報文以及所述協商MSS值構造復位連接RST報文；阻斷單元，用于分別向客戶端和服務端發送所述RST報文以阻斷所述可疑報文；發送單元，用于當所述可疑報文為所述客戶端發出的報文時，向所述客戶端發送的所述RST報文包括SEQ值依次遞增至少一個所述協商MSS值的多個RST報文；當所述可疑報文為所述服務端發出的報文時，向所述服務端發出的RST報文包括SEQ值依次遞增至少一個所述協商MSS值的多個RST報文。本申請提供TCP旁路阻斷的方法及裝置，獲取到客戶端和服務端之間傳輸的TCP握手報文后，可以從獲取到的所述報文中獲得協商MSS值。當監聽到可疑報文時，可以根據所述協商MSS值和所述可疑報文構造RST報文，然后可以分別向客戶端和服務端發送所述RST報文以阻斷所述可疑報文。本申請中，由
于可以分別向客戶端和服務端發送多個RST報文，因此，可以解決現有技術阻斷成功率低的問題。附圖說明圖1是應用本申請實施例實現TCP旁路阻斷的一個應用場景圖；圖2是本申請TCP旁路阻斷的方法的一個實施例流程圖；圖3是本申請TCP旁路阻斷的裝置所在設備的一種硬件結構圖；圖4是本申請TCP旁路阻斷的裝置的一個實施例框圖。具體實施方式這里將詳細地對示例性實施例進行說明，其示例表示在附圖中。下面的描述涉及附圖時，除非另有表示，不同附圖中的相同數字表示相同或相似的要素。以下示例性實施例中所描述的實施方式并不代表與本申請相一致的所有實施方式。相反，它們僅是與如所附權利要求書中所詳述的、本申請的一些方面相一致的裝置和方法的例子。在本申請使用的術語是僅僅出于描述特定實施例的目的，而非旨在限制本申請。在本申請和所附權利要求書中所使用的單數形式的“一種”、“所述”和“該”也旨在包括多數形式，除非上下文清楚地表示其他含義。還應當理解，本文中使用的術語“和/或”是指并包含一個或多個相關聯的列出項目的任何或所有可能組合。應當理解，盡管在本申請可能采用術語第一、第二、第三等來描述各種信息，但這些信息不應限于這些術語。這些術語僅用來將同一類型的信息彼此區分開。例如，在不脫離本申請范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語境，如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當……時”或“響應于確定”。參見圖1，為應用本申請實施例實現TCP旁路阻斷的一個應用場景圖。其中，DPI(Deep Packet Inspection，深度包檢測)設備與客戶端和服務端相連，
且位于客戶端和服務端之間。所述DPI設備可以為一個旁路監聽設備。當監聽到客戶端與服務端之間傳輸的可疑報文時，所述DPI設備可以構造阻斷報文——RST報文，然后將構造的RST報文發送至客戶端或服務端，從而達到阻斷可疑報文攻擊的目的。現有技術中，所述DPI設備監聽到可疑報文后，會向客戶端或者服務端發送RST報文。但是由于所述RST報文很有可能晚于可疑報文發送至客戶端或服務端，因此所述客戶端或服務端在接收到所述RST報文后，會因為它是“過時”的報文而不對其進行處理。因此，所述RST報文無法達到阻斷可疑報文攻擊的目的。故現有技術的阻斷成功率低。在本申請中，客戶端和服務端建立TCP連接時，所述DPI設備可以從客戶端和服務端的握手報文中獲取協商MSS值。當發現客戶端與服務端之間傳輸的可疑報文時，所述DPI設備可以根據所述可疑報文和所述協商MSS值構造RST報文。所述RST報文構造成功后，所述DPI設備可以向客戶端和服務端發送所述RST報文以阻斷所述可疑報文。采用本申請，可以增大RST報文“不過時”的概率，從而達到提高阻斷成功率的目的。參見圖2，為本申請TCP旁路阻斷的方法的一個實施例流程圖，該實施例應用于DPI設備上，包括了以下步驟：步驟201：基于獲取到的客戶端與服務端之間傳輸的TCP握手報文獲得協商最大分段長度MSS值。當客戶端與服務端之間建立TCP連接時，所述DPI設備可以基于獲取到的客戶端與服務端之間傳輸的TCP握手報文獲得協商MSS值。所述DPI設備可以在客戶端與服務端進行三次握手時，監聽所述握手報文。所述DPI設備可以從監聽到的客戶端發送至服務端的第一次握手報文SYN報文中獲取第一MSS值，從監聽到的服務端發送至客戶端的第二次握手報文ACK報文中獲取第二MSS值，然后所述DPI設備可以將第一MSS值和第二MSS值中較小或者較大的MSS值作為協商MSS值。在一個示例中，假設所述DPI設備從所述第一次握手報文中獲取的第一
MSS值為1400，從所述第二次握手報文中獲取的第二MSS值為1200。然后，所述DPI設備可以將所述第一MSS值與所述第二MSS值做比較，選擇兩者中較小或較大的那個作為協商MSS值。因此，所述DPI設備可以選擇1200或1400作為協商MSS值。獲取到協商MSS值后，所述DPI設備可以將所述協商MSS值存儲到會話表中。所述會話表可以位于所述DPI設備上。所述會話表可以包含報文的五元組信息以及對應的協商MSS本文檔來自技高網...

【技術保護點】
一種傳輸控制協議TCP旁路阻斷的方法，其特征在于，所述方法應用于深度包檢測DPI設備上，所述DPI設備在客戶端與服務端之間，所述方法包括：基于獲取到的客戶端與服務端之間傳輸的TCP握手報文獲得協商最大分段長度MSS值；當監聽到可疑報文時，根據所述可疑報文以及所述協商MSS值構造復位連接RST報文；分別向客戶端和服務端發送所述RST報文以阻斷所述可疑報文；當所述可疑報文為所述客戶端發出的報文時，向所述客戶端發送的所述RST報文包括SEQ值依次遞增至少一個所述協商MSS值的多個RST報文；當所述可疑報文為所述服務端發出的報文時，向所述服務端發出的RST報文包括SEQ值依次遞增至少一個所述協商MSS值的多個RST報文。

【技術特征摘要】
1.一種傳輸控制協議TCP旁路阻斷的方法，其特征在于，所述方法應用于深度包檢測DPI設備上，所述DPI設備在客戶端與服務端之間，所述方法包括：基于獲取到的客戶端與服務端之間傳輸的TCP握手報文獲得協商最大分段長度MSS值；當監聽到可疑報文時，根據所述可疑報文以及所述協商MSS值構造復位連接RST報文；分別向客戶端和服務端發送所述RST報文以阻斷所述可疑報文；當所述可疑報文為所述客戶端發出的報文時，向所述客戶端發送的所述RST報文包括SEQ值依次遞增至少一個所述協商MSS值的多個RST報文；當所述可疑報文為所述服務端發出的報文時，向所述服務端發出的RST報文包括SEQ值依次遞增至少一個所述協商MSS值的多個RST報文。2.根據權利要求1所述的方法，其特征在于，所述基于獲取到的客戶端與服務端之間傳輸的TCP握手報文獲得協商MSS值，包括：從客戶端發送至服務端的第一次握手報文SYN報文中獲取第一MSS值；從服務端發送至客戶端的第二次握手報文ACK報文中獲取第二MSS值；將第一MSS值和第二MSS值中較小或者較大的MSS值作為協商MSS值。3.根據權利要求1所述的方法，其特征在于，所述RST報文的ACK位均置為0；RST位均置為1；所述根據所述可疑報文以及所述協商MSS值構造RST報文，包括：根據所述可疑報文以及所述協商MSS值分別構造向所述客戶端以及所述服務端發送的RST報文；其中，當所述可疑報文為所述客戶端發出的報文時，向所述客戶端發送的RST報文包括SEQ值依次遞增至少一個所述協商MSS值的多個RST報文；向所述服務端發送的RST報文的SEQ值與所述可疑報文的ACK_SEQ值相同；當所述可疑報文為所述服務端發出的報文時，向所述客戶端發送的RST報
\t文的SEQ值與所述可疑報文的ACK_SEQ值相同；向所述服務端發送的RST報文包括SEQ值依次遞增至少一個所述協商MSS值的多個RST報文。4.根據權利要求3所述的方法，其特征在于，所述分別向客戶端和服務端發送所述RST報文以阻斷所述可疑報文，包括：當所述可疑報文為所述客戶端發出的報文時，將構造完成的SEQ值依次遞增至少一個所述協商MSS值的多個RST報文依次發送至所述客戶端，以及將構造完成的SEQ值與所述可疑報文相同的RST報文發送至所述服務端；當所述可疑報文為所述服務端發出的報文時，將構造完成的SEQ值依次遞增至少一個所述協商MSS值的多個RST報文依次發送至所述服務端，以及將構造完成的SEQ值與所述可疑報文相同的RST報文發送至所述客戶端。5.根據權利要求3所述的方法，其特征在于，當發送的RST報文包括SEQ值依次遞增至少一個所述協商MSS值的多個RS...

【專利技術屬性】
技術研發人員：朱梁，
申請(專利權)人：杭州迪普科技有限公司，
類型：發明
國別省市：浙江;33