【技術實現步驟摘要】
本公開涉及網絡安全,具體地,涉及一種旁路阻斷方法、裝置、介質、電子設備及程序產品。
技術介紹
1、隨著計算機和網絡技術的不斷發展,網絡安全至關重要,旁路阻斷技術可以有效對超文本傳輸安全協議(hypertext?transfer?protocol?secure,https)訪問的惡意域名進行攔截。https旁路阻斷通常是通過分光鏡像交換機獲取https應用的客戶端問候(client?hello)報文,然后解析client?hello報文的服務器名稱指示(server?nameindication,sni)信息,從sni中提取出客戶端所請求的域名,若該域名為惡意域名,則向客戶端發送重置報文,以進行會話阻斷。通過瀏覽器訪問https的client?hello報文普遍存在跨包情況,相關技術中通過重組各分包來實現sni跨包解析,處理時延較大,導致客戶端發送重置報文延遲,通信連接的阻斷成功率降低。
技術實現思路
1、提供該
技術實現思路
部分以便以簡要的形式介紹構思,這些構思將在后面的具體實施方式部分被詳細描述。該
技術實現思路
部分并不旨在標識要求保護的技術方案的關鍵特征或必要特征,也不旨在用于限制所要求的保護的技術方案的范圍。
2、第一方面,本公開提供一種旁路阻斷方法,應用于旁路阻斷設備,所述方法包括:
3、響應于獲取到客戶端問候報文的多個分包,按照序列號的順序依次解析所述多個分包,直到獲取到完整的目標字段時為止,其中,所述客戶端問候報文被客戶端分成所述多個分包發送給服務器
4、從所述完整的目標字段中提取所述域名;
5、若所述域名屬于目標類型域名,則向所述服務器和/或所述客戶端發送重置報文,以阻斷所述服務器與所述客戶端之間的通信。
6、第二方面,本公開提供一種旁路阻斷裝置,應用于旁路阻斷設備,所述裝置包括:
7、解析模塊,用于響應于獲取到客戶端問候報文的多個分包,按照序列號的順序依次解析所述多個分包,直到獲取到完整的目標字段時為止,其中,所述客戶端問候報文被客戶端分成所述多個分包發送給服務器,在解析過程中,緩存當前解析到的分包的最后一個擴展字段的參考字段,以作為下一待解析分包的解析依據,所述參考字段包括類型子字段和長度子字段,所述目標字段用于指示所述客戶端向所述服務器所請求的域名;
8、域名提取模塊,用于從所述完整的目標字段中提取所述域名;
9、阻斷模塊,用于若所述域名屬于目標類型域名,則向所述服務器和/或所述客戶端發送重置報文,以阻斷所述服務器與所述客戶端之間的通信。
10、第三方面,本公開提供一種計算機可讀介質,其上存儲有計算機程序,該計算機程序被處理裝置執行時實現本公開第一方面提供的所述旁路阻斷方法的步驟。
11、第四方面,本公開提供一種電子設備,包括:
12、存儲裝置,其上存儲有計算機程序;
13、處理裝置,用于執行所述存儲裝置中的所述計算機程序,以實現本公開第一方面提供的所述旁路阻斷方法的步驟。
14、第五方面,本公開提供一種計算機程序產品,包括計算機程序,該計算機程序被處理器執行時實現本公開第一方面提供的所述旁路阻斷方法的步驟。
15、在上述技術方案中,旁路阻斷設備按照序列號的順序依次解析客戶端問候報文的多個分包,直到獲取到完整的目標字段時為止,其中,客戶端問候報文被客戶端分成多個分包發送給服務器,在解析過程中,緩存當前解析到的分包的最后一個擴展字段的參考字段,以作為下一待解析分包的解析依據,參考字段包括類型子字段和長度子字段,目標字段用于指示客戶端向服務器所請求的域名;之后,從完整的目標字段中提取域名;若該域名屬于目標類型域名,則向服務器和/或客戶端發送重置報文,以阻斷服務器與客戶端之間的通信。該旁路阻斷方案在順序解析客戶端問候報文的多個分包時,僅緩存所解析到的分包的最后一個擴展字段的參考字段,以用于下一待解析分包的解析,而無需進行分包重組操作,并且,一旦獲取到完整的目標字段,即停止解析,從而可以高效完成sni跨包解析,提高客戶端與服務器之間通信連接的阻斷成功率,極大提升公有云域名阻斷效果。
16、本公開的其他特征和優點將在隨后的具體實施方式部分予以詳細說明。
本文檔來自技高網...【技術保護點】
1.一種旁路阻斷方法,其特征在于,應用于旁路阻斷設備,所述方法包括:
2.根據權利要求1所述的方法,其特征在于,所述按照序列號的順序依次解析所述多個分包,直到獲取到完整的目標字段時為止,包括:
3.根據權利要求2所述的方法,其特征在于,所述按照序列號的順序依次解析所述多個分包,直到獲取到完整的目標字段時為止,還包括:
4.根據權利要求2所述的方法,其特征在于,所述按照序列號的順序依次解析所述多個分包,直到獲取到完整的目標字段時為止,還包括:
5.根據權利要求2所述的方法,其特征在于,所述按照序列號的順序依次解析所述多個分包,直到獲取到完整的目標字段時為止,還包括:
6.根據權利要求5所述的方法,其特征在于,所述按照序列號的順序依次解析所述多個分包,直到獲取到完整的目標字段時為止,還包括:
7.根據權利要求5所述的方法,其特征在于,所述確定所述第一分包中的目標字段是否完整,包括:
8.根據權利要求7所述的方法,其特征在于,所述確定所述第一分包中的目標字段是否完整,還包括:
9.根據權利要
10.根據權利要求1-9中任一項所述的方法,其特征在于,所述向所述服務器和/或所述客戶端發送重置報文,包括:
11.一種旁路阻斷裝置,其特征在于,應用于旁路阻斷設備,所述裝置包括:
12.一種計算機可讀介質,其上存儲有計算機程序,其特征在于,該計算機程序被處理裝置執行時實現權利要求1-10中任一項所述方法的步驟。
13.一種電子設備,其特征在于,包括:
14.一種計算機程序產品,包括計算機程序,其特征在于,該計算機程序被處理器執行時實現權利要求1-10中任一項所述的方法的步驟。
...【技術特征摘要】
1.一種旁路阻斷方法,其特征在于,應用于旁路阻斷設備,所述方法包括:
2.根據權利要求1所述的方法,其特征在于,所述按照序列號的順序依次解析所述多個分包,直到獲取到完整的目標字段時為止,包括:
3.根據權利要求2所述的方法,其特征在于,所述按照序列號的順序依次解析所述多個分包,直到獲取到完整的目標字段時為止,還包括:
4.根據權利要求2所述的方法,其特征在于,所述按照序列號的順序依次解析所述多個分包,直到獲取到完整的目標字段時為止,還包括:
5.根據權利要求2所述的方法,其特征在于,所述按照序列號的順序依次解析所述多個分包,直到獲取到完整的目標字段時為止,還包括:
6.根據權利要求5所述的方法,其特征在于,所述按照序列號的順序依次解析所述多個分包,直到獲取到完整的目標字段時為止,還包括:
7.根據權利要求5所述的方法,其特征在...
【專利技術屬性】
技術研發人員:朱助,解張鵬,關淞元,
申請(專利權)人:北京字跳網絡技術有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。