CN103200091A - 一种抗干扰方法 - Google Patents
一种抗干扰方法 Download PDFInfo
- Publication number
- CN103200091A CN103200091A CN2013101060749A CN201310106074A CN103200091A CN 103200091 A CN103200091 A CN 103200091A CN 2013101060749 A CN2013101060749 A CN 2013101060749A CN 201310106074 A CN201310106074 A CN 201310106074A CN 103200091 A CN103200091 A CN 103200091A
- Authority
- CN
- China
- Prior art keywords
- message
- interference
- receives
- ttl value
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及移动通信技术领域,尤其涉及一种抗干扰方法,用以解决网络数据传输过程中的干扰问题;本发明实施例通过判断接收到的服务器端与客户端之间的数据传输过程中的报文是否是会对客户端与服务器端传输的数据造成干扰的干扰报文,并在确定接收到的报文为干扰报文后,拦截所述干扰报文,从而可以有效解决当前网络数据传输中出现的干扰问题,维护网络数据的正常传输。
Description
技术领域
本发明涉及网络数据传输技术领域,尤其涉及一种抗干扰方法。
背景技术
目前,随着内容识别技术的普及,网络中充斥着越来越多的网络旁接数据分析设备,这些设备不仅可以对网络中传输的数据进行分析,还可以发送干扰数据,阻止或改变正常数据的传输。
传输控制协议(Transmission Control Protocol,TCP)建连时,客户端针对服务器端发送的同步确认(Synchronize/Acknowledgement,SYN/ACK)包响应了一个ACK包后,其后将基于SYN/ACK包中的序号回复ACK数据报文;无论在建连过程还是传输过程中,客户端或服务器端收到序号正确的复位(Reset the connection,RST)包时,连接会被强制断开。
当网络中存在的一些数据干扰设备想要阻止TCP/IP数据的正常通信时,会在某个网络核心节点监听数据,当发现数据需要被拦截时,同时向客户端与服务器端发送干扰数据,让客户端、服务器端认为对端不再需要自己,因此两边同时断开与对方的连接,整个连接将被中断;或者,干扰设备监听到客户端发送给服务器端的数据后,优先于服务器端向客户端提前响应如302跳转、404文件不存在、403无权访问、500内部服务器错误等非正常超文本传送协议(hypertext transport protocol,HTTP)应答信息,促使客户端改变下一步的处理机制。
针对以上网络数据传输过程中会遇到干扰的问题,现有技术还没有相关解决措施。
发明内容
本发明实施例提供一种抗干扰方法及装置,用以解决网络数据传输过程中的干扰问题。
本发明实施例提供的一种抗干扰方法,包括:
判断接收到的服务器端与客户端之间的数据传输过程中的报文是否是会对客户端与服务器端传输的数据造成干扰的干扰报文;
在确定接收到的报文为干扰报文后,拦截所述干扰报文。
较佳地,根据以下步骤判断接收到的报文是否是会对客户端与服务器端传输的数据造成干扰的干扰报文:
将接收的报文的生存时间TTL值与确定的标准TTL值进行比较,若接收的报文的TTL值与标准TTL值的差值的绝对值大于设定的阈值,则确定接收的报文为干扰报文。
较佳地,根据以下步骤确定所述标准TTL值:
将在服务器端与客户端建立连接后,接收的带SYN标记的报文的TTL值作为所述标准TTL值;
确定接收的报文为干扰报文,包括:
将所述连接断开前接收的报文的TTL值与所述标准TTL值进行比较,若接收的报文的TTL值与所述标准TTL值的差值的绝对值大于设定的阈值,则确定接收的报文为干扰报文。
较佳地,根据以下步骤确定所述标准TTL值:
将在服务器端与客户端之间建立的前N次连接中,接收的所有带SYN标记的报文的TTL值的平均值作为所述标准TTL值;N为不小于2的正整数;
确定接收的报文为干扰报文,包括:
将第N+1次及之后的连接中接收的报文的TTL值与所述标准TTL值进行比较,若后续接收的报文的TTL值与所述标准TTL值的差值的绝对值大于设定的阈值,则确定接收的报文为干扰报文。
较佳地,根据以下步骤判断接收到的报文是否是会对客户端与服务器端传输的数据造成干扰的干扰报文:
若接收的带SYN标记的报文中没有任意一个TCP选项,则确定该报文为干扰报文;或,
若接收的带SYN标记的报文中没有MSS选项和/或没有WSCALE选项,则确定该报文为干扰报文。
较佳地,根据以下步骤判断接收到的报文是否是会对客户端与服务器端传输的数据造成干扰的干扰报文:
若接收的报文的报文标记组合方式不属于设定的TCP报文标记组合方式,则确定该报文为干扰报文。
较佳地,根据以下步骤判断接收到的报文是否是会对客户端与服务器端传输的数据造成干扰的干扰报文:
若在服务器端与客户端之间建立连接之后,断开连接之前,相邻两次接收的报文的序号差的绝对值大于设定的阈值,则确定后接收的报文为干扰报文。
较佳地,根据以下步骤判断接收到的报文是否是会对客户端与服务器端传输的数据造成干扰的干扰报文:
确定服务器端与客户端之间正常传输数据时的往返时延RTT;
针对接收到的报文,确定对应该报文的反馈时间;所述反馈时间为在发送报文后,接收到对应发送报文的回复报文的时间;
若所述RTT与所述反馈时间之差的绝对值大于设定的阈值,则确定接收到的报文为干扰报文。
本发明实施例提供的一种抗干扰装置,包括:
判断模块,用于判断接收到的服务器端与客户端之间的数据传输过程中的报文是否是会对客户端与服务器端传输的数据造成干扰的干扰报文;
拦截模块,用于在判断模块确定接收到的报文为干扰报文后,拦截所述干扰报文。
本发明实施例通过判断接收到的服务器端与客户端之间的数据传输过程中的报文是否是干扰报文,并在确定接收到的报文为干扰报文后,拦截所述干扰报文,从而可以有效解决当前网络数据传输中出现的干扰问题,维护网络数据的正常传输。
附图说明
图1为本发明实施例提供的抗干扰方法流程图;
图2为本发明实施例提供的抗干扰装置结构图。
具体实施方式
本发明实施例通过判断接收到的服务器端与客户端之间的数据传输过程中的报文是否是干扰报文,并在确定接收到的报文为干扰报文后,拦截所述干扰报文,从而可以有效解决当前网络数据传输中出现的干扰问题,维护网络数据的正常传输。
下面结合说明书附图对本发明实施例作进一步详细描述。
如图1所示,为本发明实施例提供的抗干扰方法流程图,包括以下步骤:
S101:判断接收到的服务器端与客户端之间的数据传输过程中的报文是否是会对客户端与服务器端传输的数据造成干扰的干扰报文;
S102:在确定接收到的报文为干扰报文后,拦截干扰报文。
在具体实施过程中,本发明实施例的执行主体可以为客户端,也可以为服务器端;若执行主体为客户端,则客户端确定出的干扰报文为干扰设备发送给客户端的数据,即,干扰设备模拟服务器端,优先于服务器端向客户端发送错误数据;若执行主体为服务器端,则服务器端确定出的干扰报文为干扰设备模拟客户端,优先于客户端向服务器端发送的错误数据。
在目前的网络环境中,干扰设备可以在布置在客户端与服务器端的链路之间,读取客户端与服务器端之间传输的数据内容,并优先于客户端或服务器端发送反馈给服务器端或客户端的干扰数据,目前网络中存在的干扰主要有以下几种:
第一,TCP建连干扰;具体地,干扰设备在收到客户端发给服务器端的SYN包后,模拟服务器端的互联网协议(Internet Protocol,IP)地址、端口,向客户端优先发送RST包进行抢答,使客户端误认为服务器端不予响应,从而放弃建立连接的过程;同时,干扰设备在收到服务器端发给客户端的SYN/ACK包后,模拟客户端的IP、端口,向服务器端优先发送RST包进行抢答,使服务器端误认为客户端需要主动断开连接,从而放弃建立连接的过程。如此一来,TCP无法通过建连,握手失败,服务器端与客户端之间也就无法进行数据传输;或,
干扰设备在收到客户端发给服务器端的SYN包后,模拟服务器端的IP、端口,向客户端优先发送错误序号的SYN/ACK包进行抢答,使客户端以错误序号为基准回复ACK包;服务器端在收到客户端根据错误序号生成的ACK包和有效数据载荷后不予响应,继续等待正确的ACK握手报文;在多次等待无果后,服务器端放弃TCP握手过程。
第二,RST干扰;具体地,干扰设备模拟服务器端,向客户端发送RST数据,使客户端误认为服务器端主动断开连接,从而致使客户端断开连接;干扰设备同时模拟客户端,向服务器端发送RST数据,使服务器端误认为客户端主动断开连接,从而致使服务器端断开连接。
第三,结束标识(Finish,FIN)干扰;具体地,干扰设备分别模拟服务器端和客户端,向两边发送FIN数据,使客户端或服务器端误认为对端不会再向本端发送数据,从而本端TCP栈不再接收对端的真实数据,并促使本端收到数据后会发送RST而让对端断开连接。
第四,302跳转干扰;具体地,干扰设备监听客户端的超文本传送协议(HyperText Transport Protocol,HTTP)请求,发现敏感请求信息后优先于服务器给客户端返回一个302跳转,客户端收到302跳转后,立即访问新的页面,并在收到真实的服务器端发送的数据后,认为收到的数据是错误的,TCP层丢弃后来收到的数据。这种情况多出自于小型互联网服务提供商(Internet ServiceProvider,ISP),他们为了减少出口流量,在数据出口位置旁接或串接部署了缓存(cache)***,将静态内容缓存,他们往往为了减少出口流量而增大缓存时间,使用户下载到的数据与实际内容不符;另外,缓存服务器有可能会缓存不该被缓存的数据,这样会造成严重的安全问题,一旦缓存服务器出现数据泄露,客户的信息也会被泄露出去。
第五,404文件不存在、403无权访问、5xx服务器错误等拒绝服务干扰;具体地,干扰设备监听客户端的HTTP请求,发现敏感请求信息后优先于服务器端给客户端返回404文件不存在、403无权访问、5xx内部服务器错误等警告客户端错误的信息,促使客户端不再进行下一步正确的操作,从而在真实的数据到达后客户端不会再进行正确的处理;这里的5xx包括500、500.12、500.13、503等,表示服务器端由于遇到错误而不能完成接收的请求。
针对以上几种干扰情况,本发明实施例可以采用以下方式中的一种或多种来判断接收到的报文是否是会对客户端与服务器端传输的数据造成干扰的干扰报文:
判断方式一、TTL分析法;
较佳地,步骤S101中,判断接收到的报文是否是会对客户端与服务器端传输的数据造成干扰的干扰报文的步骤可以为:
将接收的报文的生存时间TTL值与确定的标准TTL值进行比较,若接收的报文的TTL值与标准TTL值的差值的绝对值大于设定的阈值,则确定接收的报文为干扰报文。
在具体实施过程中,可以对正常数据传输过程中的报文进行采样,确定出正常传输数据时的标准TTL值,在需要判断接收到的报文是否是干扰报文时,将接收的报文的TTL值与确定的标准TTL值进行比较,若接收的报文的TTL值与标准TTL值的差值的绝对值大于设置的阈值,则确定接收的报文为干扰报文。
较佳地,根据以下步骤确定标准TTL值:
将在服务器端与客户端建立连接后,接收的带SYN标记的报文的TTL值作为标准TTL值;
确定接收的报文为干扰报文,包括:
将此次连接断开前接收的报文的TTL值与标准TTL值进行比较,若接收的报文的TTL值与标准TTL值的差值的绝对值大于设定的阈值,则确定接收的报文为干扰报文。
在具体实施过程中,可以将TTL初始值作为标准TTL值,也即服务器端接收的客户端发送的SYN包的TTL值或客户端接收的服务器端发送的SYN/ACK包的TTL值;服务器端在与客户端建立连接后,记录下接收的报文的初始TTL值,也即接收的客户端发送的SYN包的TTL值,并将后续接收的报文的TTL值与本次连接中接收的初始TTL值进行比较,若后续接收的报文的TTL值与接收的初始TTL值的差值的绝对值大于设定的阈值,则确定此次接收的报文为干扰报文,之后,对接收的干扰报文执行拦截操作,也即丢弃该干扰报文,维护数据的正常传输;同理,客户端在与服务器端建立连接后,客户端记录下接收的报文的初始TTL值,也即接收的服务器端发送的SYN/ACK包的TTL值,客户端将后续接收的报文的TTL值与本次连接中接收的初始TTL值进行比较,若后续接收的报文的TTL值与初始TTL值的差值的绝对值大于设定的阈值,则确定此次接收的报文为干扰报文,之后,对接收的干扰报文执行拦截操作,也即丢弃该干扰报文,维护数据的正常传输;这里的阈值可以设置为2。
较佳地,根据以下步骤确定标准TTL值:
将在服务器端与客户端之间建立的前N次连接中,接收的所有带SYN标记的报文的TTL值的平均值作为标准TTL值;N为不小于2的正整数;
确定接收的报文为干扰报文,包括:
将第N+1次及之后的连接中接收的报文的TTL值与标准TTL值进行比较,若后续接收的报文的TTL值与标准TTL值的差值的绝对值大于设定的阈值,则确定接收的报文为干扰报文。
在具体实施过程中,还可以对多次连接中,接收的TTL初始值进行统计,确定多次连接中接收的报文的TTL初始值的平均值,将后续接收的报文的TTL值与确定的TTL平均值进行比较,若续接收的报文的TTL值与确定的TTL平均值的差值的绝对值大于设定的阈值,则确定接收的报文为干扰报文;这里的TTL平均值阈值可以设置为5;
在具体实施过程中,可以将以上两种利用标准TTL值识别干扰报文的方式结合使用,在接收到报文后,若该报文不是本次连接首次传输的报文,可以将该报文的TTL值同时与本次连接中首次传输的报文的TTL初始值及确定的前几次连接的TTL初始值的平均值进行比较,若两种比较的结果都将接收的报文识别为干扰报文,则确定接收的报文为干扰报文;若接收的报文的TTL值与确定的前几次连接的TTL初始值的平均值相同或相近,即接收的报文的TTL值与确定的TTL平均值之差的绝对值并未超过设置的阈值,则可以将接收的报文确认为正常传输的报文,而若,接收的报文的TTL值与本次连接中首次传输的报文的TTL初始值之差的绝对值超过设置的阈值,则说明本次连接中首次传输的报文的TTL初始值很有可能为干扰报文,该TTL初始值可以不被作为评判后续传输的报文是否为干扰报文的标准。当然,也可以将本次连接中首次接收的报文的TTL初始值与确定的前几次连接的TTL初始值的平均值进行比较,在确认本次连接中首次接收的报文不是干扰报文后,可以将本次连接的TTL初始值作为判断后续同一连接内传输的报文是否为干扰报文的标准。
判断方式二、SYN报文选项检验法;
较佳地,步骤S101中,判断接收到的报文是否是会对客户端与服务器端传输的数据造成干扰的干扰报文的步骤可以为:
若接收的带SYN标记的报文中没有任意一个TCP选项,则确定该报文为干扰报文;或,
若接收的带SYN标记的报文中没有MSS选项和/或没有WSCALE选项,则确定该报文为干扰报文。
这里的TCP选项包括MSS选项、WSCALE选项等,MSS表示TCP传输的最大块数据长度,WSCALE表示滑动窗口的滑动系数;
在具体实施过程中,可以根据想要排除干扰的不同程度设置不同的干扰识别方式;如,可以设置当接收的带SYN标记的报文中没有任意一个TCP选项,也即没有MSS选项,或没有WSCALE选项,或没有其它任何一个TCP选项时,就将该报文确认为干扰报文;也可以设置只有当接收的带SYN标记的报文中没有MSS选项或WSCALE选项时,才将接收的报文识别为干扰报文;还可以设置当接收的带SYN标记的报文中既没有MSS选项,也没有WSCALE选项时,才将接收的报文识别为干扰报文。
判断方式三、报文标记检测法;
较佳地,步骤S101中,判断接收到的报文是否是会对客户端与服务器端传输的数据造成干扰的干扰报文的步骤可以为:
若接收的报文的报文标记组合方式不属于设定的TCP报文标记组合方式,则确定该报文为干扰报文。
在具体实施过程中,可以对无干扰网络中TCP报文的状态组合进行统计,整理出合理的TCP报文标记组合方式,形成TCP报文组合白名单,利用此白名单对传输的TCP报文标记进行匹配,将不在该白名单中的TCP报文确认为干扰报文;比如,设置的TCP报文标记组合方式可以为SYN、ACK、SYN+ACK、ACK+推标识(Push,PSH)、FIN+ACK、FIN+ACK+PSH、RST、RST+ACK等。
判断方式四、报文序号检测法;
较佳地,步骤S101中,判断接收到的报文是否是会对客户端与服务器端传输的数据造成干扰的干扰报文的步骤可以为:
若在服务器端与客户端之间建立连接之后,断开连接之前,相邻两次接收的报文的序号差的绝对值大于设定的阈值,则确定后接收的报文为干扰报文。
在具体实施过程中,可以在服务器端与客户端之间建立连接后,针对此次连接中传输的报文进行报文序号连续性分析,若相邻两次接收的报文的序号差的绝对值大于设定的阈值,则确定在后接收的报文为干扰报文;这里,根据TCP协议规定,每个TCP报文都有自己的一个序号,而干扰报文的序号有可能是随机生成的,因此可以通过计算前后两次传输的报文的序号差来确认在后传输的报文的序号是否是伪造序号,比如,发现传输的第三号数据包和第四号数据包之间的序号相差9000000,这显然是有问题的,因为即便是网络数据传输过程中出现了丢包,也不能在两个数据包之间丢弃那么多数据,因此可以将第四号数据包中的数据视为干扰报文。
判断方式五、往返时延分析法;
较佳地,步骤S101中,判断接收到的报文是否是会对客户端与服务器端传输的数据造成干扰的干扰报文的步骤可以为:
确定服务器端与客户端之间正常传输数据时的往返时延(Round-Trip Time,RTT);
针对接收到的报文,确定对应该报文的反馈时间;所述反馈时间为在发送报文后,接收到对应发送报文的回复报文的时间;
若所述RTT与所述反馈时间之差的绝对值大于设定的阈值,则确定接收到的报文为干扰报文。
在具体实施过程中,如果数据发送端发送出数据报文后,接收到针对发送的报文的确认报文的反馈时间远小于正常传输数据时的RTT,则确认接收的报文为干扰报文;可以设置一个时间阈值,若反馈时间与确定的正常传输数据时的RTT之差的绝对值大于设置的阈值,则确定接收到的报文为干扰报文。
在具体实施过程中,可以根据实际需要,同时运用以上较佳的干扰识别方式中的一种或多种,在运用多种干扰识别方式时,有可能出现接收的报文在某些干扰识别方式下被确认为干扰报文,而在另外一些干扰识别方式下被确认为正常传输的报文,针对这种情况,可以为每种识别方式设置干扰分数,也即针对一种干扰识别方式,设定若在这种干扰识别方式下,接收的报文被确认为干扰报文,则该报文的干扰分数为多少,确定针对所有应用的干扰识别方式,接收的报文总的干扰分数,可以依经验设置一个干扰分数阈值,将该干扰分数与设定的干扰分数阈值进行比较,在接收的报文总的干扰分数达到或超过该阈值后,确定接收的报文为干扰报文。
较佳地,该抗干扰方法还包括:
在确定接收到的报文为干扰报文后,定位干扰源。
在具体实施过程中,在确定接收到的报文为干扰报文后,可以进一步定位干扰源,找到发送干扰数据的源头,以便于针对干扰源进行相应的处理。
本发明实施例定位干扰源的方式可以为以下方式中的一种或多种:
较佳地,可以根据以下步骤定位干扰源:
根据接收的干扰报文的TTL值与接收的带SYN标记的报文的TTL值之差,确定干扰源与发送该带SYN标记的报文的一端相隔的路由跳数;
根据确定的路由跳数,定位干扰源。
在具体实施过程中,由于传输的报文每经过一个路由器,其TTL值就会减1,而各种操作***的TTL初始值有64、128和255三种,因此可以根据接收到的报文的TTL值分析出干扰源与接收报文一端的对端,即发送上述带SYN标记的报文的一端中间相隔了多少个路由器,比如,服务器端接收到干扰报文的TTL值为TTL2,服务器端在本次连接中首次接收到的报文的TTL初始值,也即接收的带SYN标记的报文的TTL值为TTL1,则TTL2与TTL1的差值即为干扰源与客户端之间相隔的路由跳数,根据确定的路由跳数,可以进一步确定干扰源与哪个路由器处于同一个网络节点或机房。
较佳地,还可以根据以下步骤定位干扰源:
根据本端发送的带SYN标记的报文的TTL值与本端接收的干扰报文的TTL值的差值的一半,确定干扰源与本端相隔的路由跳数;
根据确定的路由跳数,定位干扰源。
这里,本端发送的带SYN标记的报文的TTL值与干扰源拦截的报文的TTL值之差即为本端与干扰源相隔的路由跳数,若干扰源发送的干扰报文是根据拦截的报文修改的,而干扰源对拦截的报文的TTL值没有修改,则本端发送的带SYN标记的报文的TTL值与本端接收的干扰报文的TTL值的差值为本端与干扰源之间相隔的路由跳数的两倍,即本端发送的带SYN标记的报文的TTL值与本端接收的干扰报文的TTL值的差值的一半为本端与干扰源之间相隔的路由跳数,根据确定的路由条数即可定位干扰源。
较佳地,还可以根据以下步骤定位干扰源:
确定服务器端与客户端之间正常传输数据时的往返时延RTT;
针对接收到的报文,确定对应该报文的反馈时间;所述反馈时间为在发送报文后,接收到对应发送的报文的回复报文的时间;
根据确定的正常传输数据时的RTT与对应接收到的报文的反馈时间的差值,定位干扰源。
在具体实施过程中,可以首先测算服务器端与客户端之间正常传输数据时的RTT,通过确定针对接收到的报文的反馈时间,测算干扰源更接近服务器端还是客户端;为了准确定位干扰源,可以将该定位干扰源的方式与上述通过确定路由跳数定位干扰源的方式结合运用。
在具体实施过程中,根据以上方式中的一种或几种判断出存在干扰报文后,可以通过在被干扰的链路两端部署的干扰识别过滤装置,拦截发向客户端或服务器端的干扰报文,以达到保护客户端和服务器端不受干扰的目的。
针对上述分析的干扰设备的第四种干扰方式:302跳转干扰,除了可以采用上述几种判断方式和干扰源定位方式来确认干扰报文和定位干扰源外,还可以采用以下抗干扰方式:
较佳地,该抗干扰方法还包括:
在确定接收的报文为干扰设备伪造服务器端发送的跳转请求报文后,将服务器端发送的HTTP报文返回头中的与缓存有关的信息设置为不可缓存。
在具体实施过程中,可以通过修改服务器端发出的HTTP报文返回头中的Cache-Control字段,使缓存服务器认为数据不可缓存;在HTTP协议中,网页的缓存是由HTTP报文返回头中的Cache-Control字段来控制的,常见的取值有private、no-cache、max-age、must-revalidate等,若要让浏览器、缓存服务器等不缓存页面,需要将Cache-Control字段设置成no-cache,具体的设置方式有:修改服务器的配置,使服务器发出的数据都是no-cache的;或,通过在服务器部署数据包匹配处理装置,在数据包发出前找到Cache-Control字段,将后面的内容替换为no-cache,重新计算数据包的校验和,然后继续发送数据。需要说明的是,本发明实施例不仅限于这两种设置方式,任何可以实现避免服务器发送的数据被缓存的方式都在本发明实施范围内。
基于同一发明构思,本发明实施例中还提供了一种与抗干扰方法对应的抗干扰装置,由于该装置解决问题的原理与本发明实施例抗干扰的方法相似,因此该装置的实施可以参见方法的实施,重复之处不再赘述。
如图2所示,为本发明实施例提供的抗干扰装置结构图,包括:
判断模块21,用于判断接收到的服务器端与客户端之间的数据传输过程中的报文是否是会对客户端与服务器端传输的数据造成干扰的干扰报文;
拦截模块22,用于在判断模块确定接收到的报文为干扰报文后,拦截确定的干扰报文。
较佳地,判断模块21具体用于:
将接收的报文的生存时间TTL值与确定的标准TTL值进行比较,若接收的报文的TTL值与标准TTL值的差值的绝对值大于设定的阈值,则确定接收的报文为干扰报文。
较佳地,判断模块21具体用于:
将在服务器端与客户端建立连接后,接收的带SYN标记的报文的TTL值作为标准TTL值;将连接断开前接收的报文的TTL值与标准TTL值进行比较,若接收的报文的TTL值与标准TTL值的差值的绝对值大于设定的阈值,则确定接收的报文为干扰报文。
较佳地,判断模块21具体用于:
将在服务器端与客户端之间建立的前N次连接中,接收的所有带SYN标记的报文的TTL值的平均值作为标准TTL值;N为不小于2的正整数;将第N+1次及之后的连接中接收的报文的TTL值与标准TTL值进行比较,若后续接收的报文的TTL值与标准TTL值的差值的绝对值大于设定的阈值,则确定接收的报文为干扰报文。
较佳地,判断模块21具体用于:
若接收的带SYN标记的报文中没有任意一个TCP选项,则确定该报文为干扰报文;或,若接收的带SYN标记的报文中没有MSS选项和/或没有WSCALE选项,则确定该报文为干扰报文。
较佳地,判断模块21具体用于:
若接收的报文的报文标记组合方式不属于设定的TCP报文标记组合方式,则确定该报文为干扰报文。
较佳地,判断模块21具体用于:
若在服务器端与客户端之间建立连接之后,断开连接之前,相邻两次接收的报文的序号差的绝对值大于设定的阈值,则确定后接收的报文为干扰报文。
较佳地,判断模块21具体用于:
确定服务器端与客户端之间正常传输数据时的往返时延RTT;针对接收到的报文,确定对应该报文的反馈时间;该反馈时间为在发送报文后,接收到对应发送报文的回复报文的时间;若确定的RTT与确定的反馈时间之差的绝对值大于设定的阈值,则确定接收到的报文为干扰报文。
较佳地,该装置还可以包括:
干扰源定位模块23,用于在判断模块确定出接收到的报文为干扰报文后,定位干扰源。
较佳地,干扰源定位模块23具体用于:
根据接收的干扰报文的TTL值与接收的带SYN标记的报文的TTL值之差,确定干扰源与发送带SYN标记的报文的一端相隔的路由跳数;根据确定的路由跳数,定位干扰源。
较佳地,干扰源定位模块23具体用于:
根据本端发送的带SYN标记的报文的TTL值与本端接收的干扰报文的TTL值的差值的一半,确定干扰源与本端相隔的路由跳数,并根据确定的所述路由跳数,定位干扰源。
较佳地,干扰源定位模块23具体用于:
确定服务器端与客户端之间正常传输数据时的往返时延RTT;针对接收到的报文,确定对应该报文的反馈时间;该反馈时间为在发送报文后,接收到对应发送的报文的回复报文的时间;根据确定的RTT与反馈时间的差值,定位干扰源。
较佳地,该抗干扰装置还可以包括:
设置模块24,用于在判断模块确定接收的报文为干扰设备伪造服务器端发送的跳转请求报文后,将服务器端发送的HTTP报文返回头中的与缓存有关的信息设置为不可缓存。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、装置(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (13)
1.一种抗干扰方法,其特征在于,该方法包括:
判断接收到的服务器端与客户端之间的数据传输过程中的报文是否是会对客户端与服务器端传输的数据造成干扰的干扰报文;
在确定接收到的报文为干扰报文后,拦截所述干扰报文。
2.如权利要求1所述的方法,其特征在于,根据以下步骤判断接收到的报文是否是会对客户端与服务器端传输的数据造成干扰的干扰报文:
将接收的报文的生存时间TTL值与确定的标准TTL值进行比较,若接收的报文的TTL值与标准TTL值的差值的绝对值大于设定的阈值,则确定接收的报文为干扰报文。
3.如权利要求2所述的方法,其特征在于,根据以下步骤确定所述标准TTL值:
将在服务器端与客户端建立连接后,接收的带SYN标记的报文的TTL值作为所述标准TTL值;
确定接收的报文为干扰报文,包括:
将所述连接断开前接收的报文的TTL值与所述标准TTL值进行比较,若接收的报文的TTL值与所述标准TTL值的差值的绝对值大于设定的阈值,则确定接收的报文为干扰报文。
4.如权利要求2述的方法,其特征在于,根据以下步骤确定所述标准TTL值:
将在服务器端与客户端之间建立的前N次连接中,接收的所有带SYN标记的报文的TTL值的平均值作为所述标准TTL值;N为不小于2的正整数;
确定接收的报文为干扰报文,包括:
将第N+1次及之后的连接中接收的报文的TTL值与所述标准TTL值进行比较,若后续接收的报文的TTL值与所述标准TTL值的差值的绝对值大于设定的阈值,则确定接收的报文为干扰报文。
5.如权利要求1所述的方法,其特征在于,根据以下步骤判断接收到的报文是否是会对客户端与服务器端传输的数据造成干扰的干扰报文:
若接收的带SYN标记的报文中没有任意一个TCP选项,则确定该报文为干扰报文;或,
若接收的带SYN标记的报文中没有MSS选项和/或没有WSCALE选项,则确定该报文为干扰报文。
6.如权利要求1所述的方法,其特征在于,根据以下步骤判断接收到的报文是否是会对客户端与服务器端传输的数据造成干扰的干扰报文:
若接收的报文的报文标记组合方式不属于设定的TCP报文标记组合方式,则确定该报文为干扰报文。
7.如权利要求1所述的方法,其特征在于,根据以下步骤判断接收到的报文是否是会对客户端与服务器端传输的数据造成干扰的干扰报文:
若在服务器端与客户端之间建立连接之后,断开连接之前,相邻两次接收的报文的序号差的绝对值大于设定的阈值,则确定后接收的报文为干扰报文。
8.如权利要求1所述的方法,其特征在于,根据以下步骤判断接收到的报文是否是会对客户端与服务器端传输的数据造成干扰的干扰报文:
确定服务器端与客户端之间正常传输数据时的往返时延RTT;
针对接收到的报文,确定对应该报文的反馈时间;所述反馈时间为在发送报文后,接收到对应发送报文的回复报文的时间;
若所述RTT与所述反馈时间之差的绝对值大于设定的阈值,则确定接收到的报文为干扰报文。
9.如权利要求1所述的方法,其特征在于,所述方法还包括:
在确定接收到的报文为干扰报文后,定位干扰源。
10.如权利要求9所述的方法,其特征在于,根据以下步骤定位干扰源:
根据接收的干扰报文的TTL值与接收的带SYN标记的报文的TTL值之差,确定干扰源与发送所述带SYN标记的报文的一端相隔的路由跳数;
根据确定的所述路由跳数,定位干扰源。
11.如权利要求9所述的方法,其特征在于,根据以下步骤定位干扰源:
根据本端发送的带SYN标记的报文的TTL值与本端接收的干扰报文的TTL值的差值的一半,确定干扰源与本端相隔的路由跳数;
根据确定的所述路由跳数,定位干扰源。
12.如权利要求9所述的方法,其特征在于,根据以下步骤定位干扰源:
确定服务器端与客户端之间正常传输数据时的往返时延RTT;
针对接收到的报文,确定对应该报文的反馈时间;所述反馈时间为在发送报文后,接收到对应发送的报文的回复报文的时间;
根据所述RTT与所述反馈时间的差值,定位干扰源。
13.如权利要求1所述的方法,其特征在于,所述方法还包括:
在确定接收的报文为干扰设备伪造服务器端发送的跳转请求报文后,将服务器端发送的HTTP报文返回头中的与缓存有关的信息设置为不可缓存。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013101060749A CN103200091A (zh) | 2013-03-29 | 2013-03-29 | 一种抗干扰方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013101060749A CN103200091A (zh) | 2013-03-29 | 2013-03-29 | 一种抗干扰方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103200091A true CN103200091A (zh) | 2013-07-10 |
Family
ID=48722455
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2013101060749A Pending CN103200091A (zh) | 2013-03-29 | 2013-03-29 | 一种抗干扰方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103200091A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103412898A (zh) * | 2013-07-26 | 2013-11-27 | 华为技术有限公司 | 一种网页优化的方法及装置 |
| CN104023036A (zh) * | 2014-06-25 | 2014-09-03 | 北京蓝汛通信技术有限责任公司 | Tcp旁路阻断方法和装置 |
| CN109587214A (zh) * | 2018-11-01 | 2019-04-05 | 广州海之光通信技术股份有限公司 | 一种透明缓存***及缓存方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101582833A (zh) * | 2008-05-15 | 2009-11-18 | 成都市华为赛门铁克科技有限公司 | 一种伪造ip数据包的处理方法及装置 |
| CN102469084A (zh) * | 2010-11-10 | 2012-05-23 | 厦门市美亚柏科信息股份有限公司 | 一种防止tcp***式拒绝服务攻击的方法和装置 |
| CN102655509A (zh) * | 2012-05-07 | 2012-09-05 | 福建星网锐捷网络有限公司 | 一种网络攻击识别方法及装置 |
| US20130031605A1 (en) * | 2011-07-28 | 2013-01-31 | Arbor Networks, Inc. | Method and Apparatus for Probabilistic Matching to Authenticate Hosts During Distributed Denial of Service Attack |
| US20130074183A1 (en) * | 2011-09-16 | 2013-03-21 | Electronics And Telecommunications Research Institute | Method and apparatus for defending distributed denial-of-service (ddos) attack through abnormally terminated session |
-
2013
- 2013-03-29 CN CN2013101060749A patent/CN103200091A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101582833A (zh) * | 2008-05-15 | 2009-11-18 | 成都市华为赛门铁克科技有限公司 | 一种伪造ip数据包的处理方法及装置 |
| CN102469084A (zh) * | 2010-11-10 | 2012-05-23 | 厦门市美亚柏科信息股份有限公司 | 一种防止tcp***式拒绝服务攻击的方法和装置 |
| US20130031605A1 (en) * | 2011-07-28 | 2013-01-31 | Arbor Networks, Inc. | Method and Apparatus for Probabilistic Matching to Authenticate Hosts During Distributed Denial of Service Attack |
| US20130074183A1 (en) * | 2011-09-16 | 2013-03-21 | Electronics And Telecommunications Research Institute | Method and apparatus for defending distributed denial-of-service (ddos) attack through abnormally terminated session |
| CN102655509A (zh) * | 2012-05-07 | 2012-09-05 | 福建星网锐捷网络有限公司 | 一种网络攻击识别方法及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103412898A (zh) * | 2013-07-26 | 2013-11-27 | 华为技术有限公司 | 一种网页优化的方法及装置 |
| CN103412898B (zh) * | 2013-07-26 | 2017-03-01 | 华为技术有限公司 | 一种网页优化的方法及装置 |
| CN104023036A (zh) * | 2014-06-25 | 2014-09-03 | 北京蓝汛通信技术有限责任公司 | Tcp旁路阻断方法和装置 |
| CN109587214A (zh) * | 2018-11-01 | 2019-04-05 | 广州海之光通信技术股份有限公司 | 一种透明缓存***及缓存方法 |
| CN109587214B (zh) * | 2018-11-01 | 2021-11-30 | 广州海之光通信技术股份有限公司 | 一种透明缓存***及缓存方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104170353B (zh) | Tcp链路配置方法、装置及设备 | |
| US11418405B2 (en) | Systems and methods for determining a topology of a network comprising a plurality of intermediary devices and paths | |
| CN103856934B (zh) | 建立多路径连接的方法和多归属设备 | |
| CN113411260B (zh) | 一种IPv6网络中数据报文的发送方法及装置 | |
| CN104836743A (zh) | 一种拥塞控制方法及装置 | |
| CN106411778A (zh) | 数据转发的方法及装置 | |
| CN104486361A (zh) | 建立网游连接的方法、游戏终端及*** | |
| US20170048124A1 (en) | Communication system, receiving-side apparatus and transmission-side apparatus | |
| CN103200091A (zh) | 一种抗干扰方法 | |
| US8593997B2 (en) | Full duplex/half duplex mismatch detecting method and full duplex/half duplex mismatch detecting apparatus applicable with the method | |
| Morton | Round-trip packet loss metrics | |
| CN104219168B (zh) | 基于udp传输的控制报文处理方法及装置 | |
| US9363696B2 (en) | Analyzing device, analyzing method, and analyzing program | |
| CN103036984B (zh) | 一种单向流量的检测方法及网络设备 | |
| CN105141476B (zh) | 一种tcp报文出错信息的获取方法和装置 | |
| CN105991629B (zh) | Tcp连接建立方法及装置 | |
| Liu et al. | Modeling multi-path TCP throughput with coupled congestion control and flow control | |
| US9455911B1 (en) | In-band centralized control with connection-oriented control protocols | |
| US9742819B2 (en) | System and method for reliable messaging between application sessions across volatile networking conditions | |
| US20180077065A1 (en) | Transmitting packet | |
| CN105515896B (zh) | 一种移动终端网络阻塞的判断方法和装置 | |
| CN110120956A (zh) | 基于虚拟防火墙的报文处理方法和装置 | |
| Weigel et al. | Hardware-assisted IEEE 802.15. 4 transmissions and why to avoid them | |
| EP3068079A1 (en) | Device and method for monitoring communication in network including a plurality of nodes | |
| WO2018113932A1 (en) | Device and method for execution of simulation of a traffic of a communication network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130710 |
|
| RJ01 | Rejection of invention patent application after publication |