CN115834256A - 一种基于并接网络的quic流量封堵方法 - Google Patents
一种基于并接网络的quic流量封堵方法 Download PDFInfo
- Publication number
- CN115834256A CN115834256A CN202310130197.XA CN202310130197A CN115834256A CN 115834256 A CN115834256 A CN 115834256A CN 202310130197 A CN202310130197 A CN 202310130197A CN 115834256 A CN115834256 A CN 115834256A
- Authority
- CN
- China
- Prior art keywords
- blocking
- message
- quic
- flow
- method based
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于并接网络的QUIC流量封堵方法,包括有与交换机并接的封堵***,所述封堵***获取交换机接收的访问业务流量,识别访问业务流量判断是否给出封堵报文并回注至终端客户端。本发明由于将封堵***并接接入到链路中,且只对镜像的访问业务流量进行操作,使得封堵***内的任何操作都不会影响业务链路的正常运行,访问业务流量和反馈业务流量的正常传输,可以灵活的对***进行维护升级、扩容负载等操作。整个封堵过程中,交换机不参与链路流量的识别、解析、匹配等操作;由于封堵***单独对镜像流量进行操作,因此反馈业务流量不会产生延迟,提高反馈业务流量的反馈速度。
Description
技术领域
本发明涉及流量封堵技术领域,具体涉及一种基于并接网络的QUIC流量封堵方法。
背景技术
QUIC(Quick UDP Internet Connection):谷歌制定的一种基于UDP的低时延的互联网传输层协议,解决了当今传输层和应用层面临的各种需求,包括处理更多的连接,安全性,和低延迟,融合了包括TCP,TLS,HTTP/2等协议的特性,HTTP3.0将以QUIC协议替代TCP作为传输层,具备stream多路复用、握手0RTT、连接迁移以及用户态拥塞算法诸多优势。
Retry Packet:重试数据包,QUIC连接建立过程中的可选流程,由服务端发起,服务器发送重试数据包以要求客户端使用服务器选择的连接ID值进行连接。
现有基于串接网络的流量封堵方法:通过中间服务器获取终端客户端的流量,并进行域名匹配,对匹配上的流量进行丢弃处理不再转发给目标服务器,从而达到流量封堵效果;对未匹配上的流量上传至目标服务器,目标服务器给出流量反馈,流量反馈通过中间服务器反馈给终端客户端,实现流量的正常反馈。
但基于串接网络的封堵方案对链路影响大,封堵***的任何问题都将影响到链路导致链路故障。基于串接网络的封堵方案,需要将所有流量进行识别、解析、匹配操作,最后再将流量进行转发,会导致业务流量的延迟增加。
发明内容
有鉴于此,本发明要解决的问题是提供一种基于并接网络的QUIC流量封堵方法,能够不影响业务链路的正常运行,且不增加业务流量的延迟,以便灵活的对链路***进行维护升级、扩容负载等操作。
为解决上述技术问题,本发明采用的技术方案是:
一种基于并接网络的QUIC流量封堵方法,包括有与交换机并接的封堵***,所述封堵***获取交换机接收的访问业务流量,识别访问业务流量判断是否给出封堵报文并回注至交换机。
进一步的,所述封堵***通过镜像以获取交换机传输的访问业务流量。
进一步的,所述封堵报文为异常的Retry Packet报文。
进一步的,所述封堵***通过颠倒IP、端口信息构造出异常的Retry Packet报文。
进一步的,所述封堵报文通过交换机将封堵报文回注至终端客户端。
进一步的,所述访问业务流量的判断过程为:判断是否为QUIC协议且为QUICInitial报文,否,结束判断,是,判断是否解析出QUIC Initial报文的域名,否,结束判断,是,判断是否与封堵***的域名黑名单进行匹配,否,结束判断,是,构造出封堵报文。
进一步的,所述交换机分别与终端客户端和目标服务器数据互通。
本发明具有的优点和积极效果是:
通过交换机并接封堵***,交换机传输访问业务流量,同时将访问业务流量的副本(镜像流量)传输至封堵***,封堵***识别镜像流量的域名,并与封堵***内的域名黑名单进行对比,若域名在域名黑名单内,封堵***反馈出异常的Retry Packet报文,并回注至对应的终端用户端,终端用户端通过异常的Retry Packet报文进行重新访问,由于异常的Retry Packet报文无法被正确识别,终端用户端只能放弃访问。由于封堵***并接接入到链路中,且只对镜像流量进行操作,因此***内的任何操作都不会影响业务链路的正常运行(访问业务流量和反馈业务流量的正常传输),可以灵活的对***进行维护升级、扩容负载等操作。交换机不参与链路流量的识别、解析、匹配等操作,由封堵***单独对镜像流量进行操作,不会产生业务流量的延迟,提高了反馈业务流量的反馈速度。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是本发明的一种基于并接网络的QUIC流量封堵方法的并接封堵QUIC握手时序图;
图2是本发明的一种基于并接网络的QUIC流量封堵方法内封堵***的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,当组件被称为“固定于”另一个组件,它可以直接在另一个组件上或者也可以存在居中的组件。当一个组件被认为是“连接”另一个组件,它可以是直接连接到另一个组件或者可能同时存在居中组件。当一个组件被认为是“设置于”另一个组件,它可以是直接设置在另一个组件上或者可能同时存在居中组件。本文所使用的术语“垂直的”、 “ 水平的”、“ 左”、“ 右”以及类似的表述只是为了说明的目的。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。
本发明提供一种基于并接网络的QUIC流量封堵方法,如图1所示,其***包括有终端客户端、交换机和目标服务器,交换机分别与终端客户端和目标服务器数据互通。终端客户端通过交换机将访问业务流量(图1中的QUIC Initial(Client Hello))传输至目标服务器,目标服务器通过交换机将反馈业务流量(图1中的QUIC Initial(Server Hello))传输至终端客户端,完成终端客户端与目标服务器之间的信息交互。
交换机并接有封堵***,封堵***获取来自交换机的镜像流量(相当于备份的访问业务流量),封堵***的运行过程为:获取将访问业务流量的镜像流量,并识别出镜像流量的域名信息。相应的,封堵***内存储有域名黑名单,将域名信息与域名黑名单进行比对以判断域名信息是否在域名黑名单内,否,封堵***不给出反馈,是,封堵***模拟目标服务器构造封堵报文,并回注至对应的终端客户端。
封堵报文为异常的Retry Packet报文,终端客户端接收到Retry Packet报文后,需依据Retry Packet报文重新访问。但异常的Retry Packet报文,终端客户端无法识别,导致终端客户端无法完成访问,进而放弃本次连接的建立。
封堵***通过交换机将封堵报文回注至终端客户端,因为相较于位于公网中的目标服务器通信而言,封堵***回注的Retry Packet报文将会比真实目标服务器返回的报文先到达终端客户端(现网已实测,且实现了良好的QUIC封堵效果)。
如图2所示,封堵***的实际运行过程为:接收终端客户端的镜像流量(图1中的镜像QUIC Initial(Client Hello),相当于复制了一份QUIC Initial(Client Hello)),识别并判断是否为QUIC协议且为QUIC Initial报文,否,封堵***结束动作,是,判断是否解析出QUIC Initial报文的域名,否,封堵***结束动作,是,判断域名是否匹配上域名黑名单,否,封堵***结束动作,是,封堵***颠倒IP、端口信息,以构造出异常的Retry Packet报文(图2中的异常封堵Retry Packet),并将异常的Retry Packet报文回注至交换机,交换机将异常的Retry Packet报文传输至对应的终端用户端,终端客户端接收到构造的RetryPacket报文后对该报文进行解析识别,由于构造的报文无法被正确识别而会放弃本次连接的建立流程,达到封堵QUIC连接的效果。
以上对本发明的实施例进行了详细说明,但所述内容仅为本发明的较佳实施例,不能被认为用于限定本发明的实施范围。凡依本发明范围所作的均等变化与改进等,均应仍归属于本专利涵盖范围之内。
Claims (7)
1.一种基于并接网络的QUIC流量封堵方法,其特征在于,包括有与交换机并接的封堵***,所述封堵***获取交换机接收的访问业务流量,识别访问业务流量判断是否给出封堵报文并回注至交换机。
2.根据权利要求1所述的一种基于并接网络的QUIC流量封堵方法,其特征在于,所述封堵***通过镜像以获取交换机传输的访问业务流量。
3.根据权利要求1所述的一种基于并接网络的QUIC流量封堵方法,其特征在于,所述封堵报文为异常的RetryPacket报文。
4. 根据权利要求3所述的一种基于并接网络的QUIC流量封堵方法,其特征在于,所述封堵***通过颠倒IP、端口信息构造出异常的Retry Packet报文。
5.根据权利要求1所述的一种基于并接网络的QUIC流量封堵方法,其特征在于,所述封堵报文通过交换机将封堵报文回注至终端客户端。
6. 根据权利要求1所述的一种基于并接网络的QUIC流量封堵方法,其特征在于,所述访问业务流量的判断过程为:判断是否为QUIC协议且为QUIC Initial报文,否,结束判断,是,判断是否解析出QUIC Initial报文的域名,否,结束判断,是,判断是否与封堵***的域名黑名单进行匹配,否,结束判断,是,构造出封堵报文。
7.根据权利要求1所述的一种基于并接网络的QUIC流量封堵方法,其特征在于,所述交换机分别与终端客户端和目标服务器数据互通。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310130197.XA CN115834256A (zh) | 2023-02-17 | 2023-02-17 | 一种基于并接网络的quic流量封堵方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310130197.XA CN115834256A (zh) | 2023-02-17 | 2023-02-17 | 一种基于并接网络的quic流量封堵方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115834256A true CN115834256A (zh) | 2023-03-21 |
Family
ID=85521790
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310130197.XA Pending CN115834256A (zh) | 2023-02-17 | 2023-02-17 | 一种基于并接网络的quic流量封堵方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115834256A (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110572380A (zh) * | 2019-08-30 | 2019-12-13 | 北京亚鸿世纪科技发展有限公司 | 一种tcp回注封堵的方法及装置 |
| CN113873057A (zh) * | 2021-09-28 | 2021-12-31 | 奇安信科技集团股份有限公司 | 数据处理方法和装置 |
| CN115037537A (zh) * | 2022-06-06 | 2022-09-09 | 恒安嘉新(北京)科技股份公司 | 异常流量拦截、异常域名识别方法、装置、设备及介质 |
-
2023
- 2023-02-17 CN CN202310130197.XA patent/CN115834256A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110572380A (zh) * | 2019-08-30 | 2019-12-13 | 北京亚鸿世纪科技发展有限公司 | 一种tcp回注封堵的方法及装置 |
| CN113873057A (zh) * | 2021-09-28 | 2021-12-31 | 奇安信科技集团股份有限公司 | 数据处理方法和装置 |
| CN115037537A (zh) * | 2022-06-06 | 2022-09-09 | 恒安嘉新(北京)科技股份公司 | 异常流量拦截、异常域名识别方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7693045B2 (en) | Verifying network connectivity | |
| CN100479415C (zh) | 一种实现数据通讯的***及其方法 | |
| US20130138819A1 (en) | File server device | |
| JP2006262193A (ja) | 制御装置、パケット転送方法およびパケット処理装置 | |
| CN105610888A (zh) | 基于安卓的利用socket推送消息的方法和*** | |
| US20130054828A1 (en) | Information processing device, computer-readable recording medium, and control method | |
| US6654350B1 (en) | Method and apparatus for tracking a transaction across a multi-hop network | |
| US20220046028A1 (en) | Method and system for determining a state of an account in a network device running a light client protocol of a distributed ledger technology network | |
| JP2017028616A (ja) | パケット取得方法、分析装置、中継装置及びプログラム | |
| CN112003943A (zh) | 语音数据同步方法和装置 | |
| US9699139B2 (en) | Communications system | |
| CN109743758B (zh) | 多链路通信方法、通信装置及通信*** | |
| EP3917086A1 (en) | Network topology discovery method, device, and system | |
| US20240106708A1 (en) | Fabric availability and synchronization | |
| US9893979B2 (en) | Network topology discovery by resolving loops | |
| CN112134744B (zh) | 一种分布式管理***中节点的管理方法 | |
| CN115834256A (zh) | 一种基于并接网络的quic流量封堵方法 | |
| US10148515B2 (en) | Determining connections of non-external network facing ports | |
| CN113691591B (zh) | 数据传输方法、装置及计算机可读存储介质 | |
| KR102145579B1 (ko) | 서버와 클라이언트간 데이터 전송 시스템 | |
| CN113556291A (zh) | 流量跟踪方法、装置、设备及计算机可读介质 | |
| JP3529636B2 (ja) | 通信制御方法および通信制御装置 | |
| CN116192755B (zh) | 基于建立虚拟交换机的拥塞处理方法及其*** | |
| CN115883256B (zh) | 基于加密隧道的数据传输方法、装置及存储介质 | |
| CN110677471B (zh) | 门禁***的数据链路构建方法、装置、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |