具体实施方式
为使本发明的目的、技术方案、及优点更加清楚明白,以下参照附图并举实施例,对本发明进一步详细说明。
在陈述本发明的实施例之前,先简要介绍ping数据包的报文格式:
ping数据包的报文格式如下:
如果是Ping回显请求数据包,则[类型]字段为8,如果是Ping回显应答数据包,则[类型]字段为0;[代码]字段在两种情况下都为0;报文中的[标识符]、[序号]字段由发送端(Client)任意选择设定,这些值在应答中将被返回,这样,发送端就可以把回显应答数据包与回显请求数据包进行匹配;[选项数据]字段可以有,也可以没有,也是由发送端(Client)任意设定,接收端(Server)必须将[选项数据]字段原样返回。
本发明中保护网络安全的方法的实施例可以包括但不限于以下几种:
保护网络安全的方法的实施例一:
如图1所示,保护网络安全的方法步骤包括:
步骤101:网络安全保护设备接收原始ping数据包。
所述原始ping数据包是指网络安全保护设备还未加入验证值的ping数据包,原始ping数据包可以是来自内网的原始ping回显请求数据包或者来自外网的原始ping回显应答数据包,下同。
步骤102:网络安全保护设备获取验证值,在所述原始ping数据包的选项数据字段加入验证值。
步骤103:网络安全保护设备对加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包。
步骤104:网络安全保护设备向外网发送所述ping回显请求数据包。
步骤105:网络安全保护设备验证来自外网的ping回显应答数据包的选项数据字段是否包含有与所述验证值匹配的值。
所述匹配是指:ping回显应答数据包的选项数据字段中包括有与在所述原始ping数据包的选项数据字段加入的验证值相同的值,或者指利用特定算法对提取的ping回显应答数据包的特性数据进行计算,得到的值与ping回显应答数据包的选项数据字段带有的验证值是相同的等多种情况,本实施例对此不作限制。
步骤106:当选项数据字段包含有与所述验证值匹配的值时,网络安全保护设备对所述ping回显应答数据包进行解码。
步骤107:网络安全保护设备向内网发送解码后的ping回显应答数据包。
从本实施例可知,利用ping数据包的选项数据字段由发送端(Client)设定,接收端(Server)必须将选项数据字段原样返回的原理,网络安全保护设备在对ping回显请求数据包的选项数据字段加入验证值,网络安全保护设备对在单向或双向的数据流环境下接收到的ping回显应答数据包中的选项数据字段是否包含有与所述验证值匹配的值进行验证,由于不用在网络安全保护设备的内存中记录通过的原始ping数据包的完整内容,所以可以少占用或不占用网络安全保护设备内存,就能实现对ping数据包的监控及有效地防范ping flood攻击。
由于在选项数据字段中加入了验证值,因而必须进行适应性的编码,以便对加入了验证值的数据包进行正常的发送与接收。编码方式将在下文中举例加以说明。
保护网络安全的方法的实施例二(以预先设定好的固定值作为验证值):
如图2所示,保护网络安全的方法步骤包括:
步骤101-1包括:网络安全保护设备接收原始ping数据包。
步骤102-1包括:网络安全保护设备获取预先设定的固定值,网络安全保护设备在原始ping数据包的选项数据字段加入所述固定值作为验证值。
步骤103-1包括:网络安全保护设备对加入了所述固定值的原始ping数据包进行编码,得到ping回显请求数据包。
步骤104-1包括:网络安全保护设备向外网发送所述ping回显请求数据包。
步骤105-1包括:网络安全保护设备验证ping回显应答数据包的选项数据字段是否含有所述固定值。
步骤106-1包括:当所述选项数据字段含有所述固定值时,网络安全保护设备对所述ping回显应答数据包进行解码。
步骤107-1包括:网络安全保护设备向内网发送解码后的ping回显应答数据包。
所述固定值的数量不限,可以是一个,也可以是多个,所述固定值的获取方式可以是用户在网络安全保护设备上保存的固定的值,也可以是网络安全设备随机计算的值。
使用固定值作为验证值,优点在于简便易行,不用在网络安全设备上保存原始ping数据包的完整内容,只需要在网络安全保护设备保存固定值,对于经过的原始ping数据包只需打上固定值的印迹,出于安全考虑要进行检查时,网络安全保护设备检查接收的ping回显应答数据包是否有匹配的固定值即可。这种方法相对于保存原始ping数据包的完整内容来说,只保存固定值即可以达到节约网络安全保护设备的内存资源的目的。
保护网络安全的方法的实施例三(通过特定算法计算特性数据得到的验证值):
如图3所示,保护网络安全的方法步骤包括:
步骤101-2包括:网络安全保护设备接收原始ping数据包。
步骤102-2包括:网络安全保护设备根据接收到的原始ping数据包携带的特性数据以特定算法进行运算得到验证值;在所述原始ping数据包的选项数据字段中加入所述验证值。
步骤103-2包括:网络安全保护设备对加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包。
步骤104-2包括:网络安全保护设备向外网发送所述ping回显请求数据包。
步骤105-2包括:网络安全保护设备当ping回显应答数据包的选项数据字段含有所述验证值时,利用所述特定算法根据ping回显应答数据包携带的特性数据进行运算得到值,验证所述值是否与所述验证值相同。
步骤106-2包括:当利用所述特定算法根据ping回显应答数据包携带的特性数据进行运算,得到的值与所述验证值相同时,网络安全保护设备对所述ping回显应答数据包进行解码。
步骤107-2包括:网络安全保护设备向内网发送解码后的ping回显应答数据包。
使用根据原始ping数据包携带的特性数据以特定算法进行运算得到验证值的方法,优点在于:当即使欲通过网络安全保护设备进入内网,进行攻击活动的恶意的数据包能在选项数据字段伪造与加入原始ping数据包的验证值相同的值,但是,由于数据包自身的特性数据往往是特定的,也即是数据包如果被篡改成或原来就是恶意的数据包,它的特性数据也会发生变化或者与安全的数据包的特性数据不一样,利用这种不一样的特性数据进行计算,得到的值往往与恶意的数据包在选项数据字段伪造的值是不一样的,因而无法通过验证,根据特定的特性数据计算而得的验证值具有较高的安全性。
与“第一种方式:以用户事先设定好的固定值作为验证值”相比,更优的是,在网络安全保护设备上不用保存验证值,对于经过的原始ping数据包只需打上验证值的印迹,出于安全考虑要进行检查时,网络安全保护设备利用特定算法对接收的ping回显应答数据包携带的特性数据进行计算得到一个值,当这个值与在ping回显应答数据包选项数据字段呈现的所述验证值一致时,判定ping回显应答数据包是安全的。这种方法相对于保存原始ping数据包的完整内容来说,可以达到节约网络安全保护设备的内存资源的目的。
保护网络安全的方法的实施例四(通过特定算法计算特性数据与固定值得到的验证值):
如图4所示,保护网络安全的方法步骤包括:
步骤101-3包括:网络安全保护设备接收原始ping数据包。
步骤102-3包括:网络安全保护设备根据预先设定的固定值和原始ping数据包携带的特性数据以特定算法进行运算得到验证值;在所述原始ping数据包的选项数据字段中加入所述验证值。
步骤103-3包括:网络安全保护设备对加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包。
步骤104-3包括:网络安全保护设备向外网发送所述ping回显请求数据包。
步骤105-3包括:网络安全保护设备当接收的ping回显应答数据包的选项数据字段含有所述验证值时,利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算得到值,验证所述值是否与所述验证值相同。
步骤106-3包括:当利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算,得到的值与所述验证值相同时,网络安全保护设备对所述ping回显应答数据包进行解码。
步骤107-3包括:网络安全保护设备向内网发送解码后的ping回显应答数据包。
在验证值的计算中加入固定值的因素,由于该固定值是由网络安全保护设备所掌握,外网无法得知固定值,可以使得计算的复杂性增加,成功伪装并通过验证的机率下降,增加了攻击者进行数据包伪造的难度。这种方法需要在网络安全保护设备上保存固定值,相对于保存原始ping数据包的完整内容来说,可以达到节约网络安全保护设备的内存资源的目的。
保护网络安全的方法的实施例五(通过特定算法计算特性数据与固定值得到的第一验证值并且在选项数据字段中加入所述第一验证值和固定值作为验证值):
如图5所示,保护网络安全的方法步骤包括:
步骤101-4包括:网络安全保护设备接收原始ping数据包。
步骤102-4包括:网络安全保护设备根据预先设定的固定值和原始ping数据包携带的特性数据以特定算法进行运算得到第一验证值;在所述原始ping数据包的选项数据字段中加入所述第一验证值和所述固定值作为验证值。
步骤103-4包括:网络安全保护设备对加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包。
步骤104-4包括:网络安全保护设备向外网发送所述ping回显请求数据包;
步骤105-4包括:网络安全保护设备当ping回显应答数据包的选项数据字段含有所述固定值且当所述选项数据字段含有所述第一验证值时,利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算得到值,验证所述值是否与所述第一验证值相同。
步骤106-4包括:网络安全保护设备当利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算,得到的值与所述第一验证值相同时,对所述ping回显应答数据包进行解码。
步骤107-4包括:网络安全保护设备向内网发送解码后的ping回显应答数据包。
在选项数据字段中加入固定值和第一验证值作为验证值,先对是否是正确的固定值进行验证,再对是否是有匹配的第一验证值进行验证,可以对接收的ping回显应答数据包进行两次验证,这种方法除了具有“第三种方式”的优点即相对于保存原始ping数据包的完整内容来说,可以达到节约网络安全保护设备的内存资源的目的之外,还具有更好的防范效果。
以上四种方式中的原始ping数据包如前所述,可以是来自外网的原始ping回显应答数据包或来自内网的原始ping回显请求数据包。
上述特定算法可以是哈希算法。哈希算法是一种单向函数,运算该原理,可将任意长度的二进制值映射为固定长度的较小二进制值,这个小的二进制值就称为哈希值。哈希值是一段数据的数值表示形式。举例,当将一段纯文本进行哈希运算后,得到一个哈希值,即使只更改该段纯文本中的一个字母,得到的哈希值都几乎不一样。即是要找到经过哈希运算后得到相同哈希值的数据,在计算上是不太可行的。进而,可以得到这样的结论:当对一个数据包提取其特征数据进行哈希运算后得到的哈希值与数据包在选项数据字段呈现的哈希值相同时,说明该数据包的数据未被篡改,即是原来的数据。
例如,
当所述原始ping数据包是来自外网的原始ping回显应答数据包时,哈希算法利用的所述特征数据可以是:源IP地址,目的IP地址,所述原始ping回显应答数据包的数据包生存时间。
当所述原始ping数据包是来自内网的原始ping回显请求数据包时,哈希算法利用的所述特征数据可以是:源IP地址,目的IP地址。
例如,在选项数据后加入2字节的固定值FLAG和2字节的哈希值H,共4个字节,H的计算方法如下:
H=Hash(FLAG,SIP,DIP,TTL),
其中,SIP为客户的IP地址,DIP为服务器的IP地址,TTL为IP包生存期。FLAG值相对固定,可以由预先设定在网络安全保护设备中,可以用于区别是否是经过编码的Ping请求应答报文。
FLAG和H值的长度可根据需要进行扩展,比如各占4个字节。
使用哈希算法可以有相当大的弹性去控制验证值的复杂程度,实现更优地防止ping恶意攻击。
当然,哈希算法只是特定算法中的一种,该例并不构成对特定算法的限定,只要是能达到本发明的目的的特定算法都在此列。
现举例说明单向环境下对哈希算法的利用:
如图6所示,步骤1:外网向网络安全保护设备发送原始ping回显应答数据包。
步骤2:网络安全保护设备构造验证值,在所述原始ping回显应答数据包的选项数据字段中加入验证值,网络安全保护设备向外网发送所述编码构造的ping回显请求数据包,如前所述,将类型字段从0变到8,就可以将所述原始ping回显应答数据包的类型改变为ping回显请求数据包,再对所述原始ping回显应答数据包的网络协议(IP,Internet Protocol)头的源IP地址与目的IP地址交换,重新计算并修改原始ping回显应答数据包的网络控制信息协议ICMP报文校验和与IP头校验和字段,修改所述IP头的长度字段,编码构造出ping回显请求数据包,该步骤中的从将类型字段从0变到8,直到修改所述IP头的长度字段这一部分内容即是前文提到的编码,这是由于在选项数据字段中加入了验证值,进而数据包会自行地改变数据包一些用于安全检查之用的数据如校验和字段的值,为了能对数据包进行顺利的发送,在这个环节需要进行对前述的多种字段进行交换或修改,对于通过了验证的数据包,就需要进行过程相对应的解码步骤,才能得到能对之进行顺利发送的数据包。
步骤3:外网向网络安全保护设备发送ping回显应答数据包。
步骤4:对于通过验证的ping回显应答数据包,网络安全保护设备经过解码后,向内网发送解码后的ping回显应答数据包。
步骤5:对于未通过验证的ping回显应答数据包,网络安全保护设备丢弃。
对于来自外网的原始ping回显应答数据包,采取在网络安全保护设备中构建验证值和将原始ping回显应答数据包构建成一个已经通过网络安全保护设备的ping回显请求数据包,并向外网发送所述ping回显请求数据包的方案,由于现有的大部分ping攻击包的有一个共性,就是采用这种方案后,就不会再次回来要求进入内网,因此,可以减少ping攻击包的进攻。
现举例说明双向环境下对哈希算法的利用:
如图7所示,步骤01:内网的用户设备向网络安全保护设备发送原始ping回显请求数据包。
步骤02:网络安全保护设备构造验证值,在所述原始ping回显请求数据包的选项数据字段中加入验证值,类型字段不变,重新计算并修改原始ping回显请求数据包的网络控制信息协议ICMP报文校验和与IP头校验和字段,修改所述IP头的长度字段,编码构造出ping回显请求数据包,网络安全保护设备向外网发送ping回显请求数据包。
步骤03:外网向网络安全保护设备发送ping回显应答数据包。
步骤04:对于通过验证的ping回显应答数据包,网络安全保护设备经过解码后,向内网发送解码后的ping回显应答数据包。
步骤05:对于未通过验证的ping回显应答数据包,网络安全保护设备丢弃。
本发明实施例还提供网络安全保护设备,网络安全保护设备的实施例可以包括但不限于以下几种:
网络安全保护设备的实施例一:
如图8所示,该网络安全保护设备包括:
接收单元201,用于接收原始ping数据包以及来自外网的ping回显应答数据包。
验证设置单元202,用于获取验证值,在所述接收单元201接收的所述原始ping数据包的选项数据字段加入验证值。
验证单元204,用于验证来自外网的ping回显应答数据包的选项数据字段是否包含有与所述验证值匹配的值。
编解码单元205,用于对加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包,当所述验证单元204验证所述选项数据字段包含有与所述验证值匹配的值时,对所述ping回显应答数据包进行解码。
发送单元203,用于向外网发送所述编解码单元205编码得到的ping回显请求数据包以及向内网发送所述编解码单元解码后的ping回显应答数据包。
从本实施例可知,由于利用了ping数据包的选项数据字段由发送端(Client)设定,接收端(Server)必须将选项数据字段原样返回的原理,网络安全保护设备在对ping回显请求数据包的选项数据字段加入验证值,网络安全保护设备对在单向或双向的数据流环境下接收到的ping回显应答数据包中的选项数据字段是否匹配进行验证,能有效地防范ping flood攻击,并且由于不用在网络安全保护设备的内存中记录通过的原始ping数据包的完整内容,所以可以少占用或不占用网络安全保护设备较多内存就能实现对ping数据包的监控。
如图9所示网络安全保护设备的实施例一的具体结构包括:
接收单元201包括:原始接收单元201-01与外网接收单元201-02。原始接收单元201-01用于接收原始ping数据包;外网接收单元201-02用于接收来自外网的ping回显应答数据包。
验证设置单元202包括:获取单元202-01和设置单元202-02。获取单元202-01用于获取验证值;设置单元202-02用于在所述原始接收单元201-01接收的原始ping数据包的选项数据字段加入验证值。
验证单元204-0用于验证来自外网的ping回显应答数据包的选项数据字段是否包含有与所述验证值匹配的值。
编解码单元205包括:编码单元205-01和解码单元205-02。编码单元205-01用于对所述设置单元202-02加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包;解码单元205-02用于当所述验证单元204-0验证所述选项数据字段包含有与所述验证值匹配的值时,对所述ping回显应答数据包进行解码。
发送单元203包括:向外发送单元203-01和向内发送单元203-02。向外发送单元203-01用于向外网发送所述编码单元205-01编码得到的ping回显请求数据包;向内发送单元203-02用于向内网发送所述解码单元205-02解码后的ping回显应答数据包。
网络安全保护设备的实施例二(以预先设定好的固定值作为验证值):
网络安全保护设备的实施例二的具体结构示意图与图9相同,该网络安全保护设备包括:
所述原始接收单元201-01用于接收原始ping数据包。
所述外网接收单元201-02用于接收来自外网的ping回显应答数据包。
所述获取单元202-01用于获取预先设定的固定值作为验证值。
所述设置单元202-02用于在所述原始接收单元201-01接收的原始ping数据包的选项数据字段加入所述固定值。
所述编码单元205-01用于对加入了所述固定值的原始ping数据包进行编码,得到ping回显请求数据包。
所述验证单元204-0用于验证所述外网接收单元201-02接收的来自外网的ping回显应答数据包的选项数据字段是否含与所述固定值相同的值。
所述解码单元205-02用于当所述验证单元204-0验证所述选项数据字段含有与所述固定值相同的值时,对所述ping回显应答数据包进行解码。
所述向外发送单元203-01用于向外网发送所述编码单元205-01编码得到的ping回显请求数据包。
所述向内发送单元203-02用于向内网发送所述解码单元205-02解码后的ping回显应答数据包。
使用固定值作为验证值,优点在于简便易行,不用在网络安全设备上保存经过的原始ping数据包的完整内容,只需要在网络安全保护设备保存固定值,对于经过的原始ping数据包只需打上固定值的印迹,出于安全考虑要进行检查时,网络安全保护设备只检查经过的ping回显应答数据包是否有匹配的固定值即可。这种网络安全保护设备相对于保存原始ping数据包的完整内容来说,只保存固定值是可以达到节约网络安全保护设备的内存资源的目的的。
网络安全保护设备的实施例三(通过特定算法计算特性数据得到验证值):
网络安全保护设备的实施例三的具体结构示意图与图9相同,该网络安全保护设备包括:
所述原始接收单元201-01用于接收原始ping数据包。
所述外网接收单元201-02用于接收来自外网的ping回显应答数据包。
所述获取单元202-01用于根据所述原始接收单元201-01接收的原始ping数据包携带的特性数据以特定算法进行运算得到验证值。
所述设置单元202-02用于在所述原始接收单元201-01接收的原始ping数据包的的选项数据字段中加入运算得到的所述验证值。
所述编码单元205-01用于对加入了运算得到的所述验证值的原始ping数据包进行编码,得到ping回显请求数据包。
所述验证单元204-0用于当所述外网接收单元201-02接收的来自外网的ping回显应答数据包的选项数据字段含有所述验证值时,利用所述特定算法根据ping回显应答数据包携带的特性数据进行运算以验证运算得到的值是否与所述验证值相同。
所述解码单元205-02用于当所述验证单元204-0验证利用所述特定算法根据ping回显应答数据包携带的特性数据进行运算得到的值与所述验证值相同时,对所述ping回显应答数据包进行解码。
所述向外发送单元203-01用于向外网发送所述编码单元205-01编码得到的ping回显请求数据包。
所述向内发送单元203-02用于向内网发送所述解码单元205-02解码后的ping回显应答数据包。
使用根据原始ping数据包携带的特性数据以特定算法进行运算得到验证值的方法,优点在于:当即使欲通过网络安全保护设备进入内网,进行攻击活动的恶意的数据包能在选项数据字段伪造与加入原始ping数据包的验证值相同的值,但是,由于数据包自身的特性数据往往是特定的,也即是数据包如果被篡改成或原来就是恶意的数据包,它的特性数据也会发生变化或者与安全的数据包的特性数据不一样,利用这种不一样的特性数据进行计算是往往无法通过验证的,因而,根据特定的特性数据计算而得的验证值具有较高的安全性。
与“第一种方式”相比,第二种方式更优的是,在网络安全保护设备上不用保存验证值,对于经过的原始ping数据包只需打上验证值的印迹,出于安全考虑要进行检查时,网络安全保护设备利用特定算法对接收的ping回显应答数据包携带的特性数据进行计算得到一个值,当这个值与在ping回显应答数据包选项数据字段呈现的验证值一致时,判定ping回显应答数据包是安全的。这种网络安全保护设备相对于保存原始ping数据包的完整内容来说或第二种方式来说,可以达到节约网络安全保护设备的内存资源的目的。
网络安全保护设备的实施例四(通过特定算法计算特性数据与固定值得到验证值):
网络安全保护设备的实施例四的具体结构示意图与图9相同,该网络安全保护设备包括:
所述原始接收单元201-01用于接收原始ping数据包。
所述外网接收单元201-02用于接收来自外网的ping回显应答数据包。
所述获取单元202-01用于根据预先设定的固定值和所述原始接收单元201-01接收的原始ping数据包携带的特性数据以特定算法进行运算得到验证值。
所述设置单元202-02用于在所述原始接收单元201-01接收的原始ping数据包的选项数据字段中加入运算得到的所述验证值。
所述编码单元205-01用于对加入了运算得到的所述验证值的原始ping数据包进行编码,得到ping回显请求数据包。
所述验证单元204-0用于当所述外网接收单元201-02接收的来自外网的ping回显应答数据包的选项数据字段含有所述验证值时,利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算以验证运算得到的值是否与所述验证值相同。
所述解码单元205-02用于当所述验证单元204-0验证利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算得到的值与所述验证值相同时,对所述ping回显应答数据包进行解码。
所述向外发送单元203-01用于向外网发送所述编码单元205-01编码得到的ping回显请求数据包。
所述向内发送单元203-02用于向内网发送所述解码单元205-02解码后的ping回显应答数据包。
在验证值的计算中加入固定值的因素,由于该固定值是由网络安全保护设备所掌握,外网无法得知固定值,可以使得计算的复杂性增加,成功伪装并通过验证的机率下降,增加了攻击者进行数据包伪造的难度。这种网络安全保护设备需要保存固定值,相对于保存原始ping数据包的完整内容来说,可以达到节约网络安全保护设备的内存资源的目的。
网络安全保护设备的实施例五(通过特定算法计算特性数据与固定值得到第一验证值,在选项数据字段中加入固定值和第一验证值作为验证值):
网络安全保护设备的实施例五的具体结构示意图与图9相同,该网络安全保护设备包括:
所述原始接收单元201-01用于接收原始ping数据包。
所述外网接收单元201-02用于接收来自外网的ping回显应答数据包。
所述获取单元202-01用于根据预先设定的固定值和原始ping数据包携带的特性数据以特定算法进行运算得到第一验证值。
所述设置单元202-02用于在所述原始接收单元201-01接收的原始ping数据包的选项数据字段中加入所述第一验证值和所述固定值作为验证值。
所述编码单元205-01用于对加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包。
所述验证单元204-0用于当所述外网接收单元201-02接收的来自外网的ping回显应答数据包的选项数据字段含有所述固定值且当所述选项数据字段含有所述第一验证值时,利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算以验证运算得到的值是否与所述第一验证值相同。
所述解码单元205-02用于当所述验证单元204-0验证利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算得到的值与所述第一验证值相同时,对所述ping回显应答数据包进行解码。
所述向外发送单元203-01用于向外网发送所述编码单元205-01编码得到的ping回显请求数据包。
所述向内发送单元203-02用于向内网发送所述解码单元205-02解码后的ping回显应答数据包。
在选项数据字段中加入固定值和第一验证值,先对是否是正确的固定值进行验证,再对是否是有匹配的第一验证值进行验证,可以对接收的ping回显应答数据包进行两次验证,这种网络安全保护设备除了具有“第三种方式”的优点,即相对于保存原始ping数据包的完整内容来说,可以达到节约网络安全保护设备的内存资源的目的之外,还具有更好的防范效果。
以上四种网络安全保护设备的方式中,提及的特定算法和对数据包的编解码与保护网络安全的方法中的论述内容相同。
另外,在有些保密性要求较高的网络环境中,由于选项数据字段可以被利用来传输秘密数据,当对选项数据字段进行编码后,就对获取秘密数据加大了难度,这可以有效地阻断通过建立“ping通道(Ping Tunnel)”进行秘密数据的传输。
由于网络安全保护设备利用ping数据包中的选项数据字段往返不变的特性,对在单向或双向的数据流环境下接收到的ping回显应答数据包中的选项数据字段与所获取的验证值是否匹配进行验证,能有效地防范ping flood攻击,并且能少占用或不占用网络安全保护设备较多内存就能实现对ping数据包的监控。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,所述存储介质可以是只读存储器,磁盘或光盘等。
以上对本发明实施例所提供的一种保护网络安全的方法和网络安全保护设备进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。