专利名称:报文处理方法、装置及系统的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种报文处理方法、报文处理装置及报文处 理系统。
背景技术:
目前,为了保证网络通信安全,可以通过安全装置对网络报文进行过滤,将过滤出 的非法报文直接抛弃,透传其他合法报文。示例性的,如,在国内的网络(如因特网)和国 际的网络之间,设置一个安全装置,该安全装置对来自国际网络的报文进行过滤,阻断来自 国际网络的非法报文进入国内网络,其他合法报文则顺利进入国内网络。在实现本发明过程中,发明人发现现有技术中至少存在如下问题由于网络流量复杂以及安全装置抛弃非法报文,当在国内的网络中检测到丢包现 象时,很难确定是由于安全装置抛弃非法报文引起的,还是其他原因所导致的合法报文丢 包。
发明内容
本发明的实施例提供了一种报文处理方法、报文处理装置及报文处理系统,实现 由报文处理装置的下游网络设备抛弃报文。一方面,本发明实施例提供了一种报文处理方法,包括报文处理装置接收上游网络设备发送的第一报文,所述上游网络设备设置在第一 网络中;判断所述第一报文是否为非法报文;当所述第一报文为非法报文时,所述报文处 理装置修改所述第一报文的敏感字段,得到第二报文,并将所述第二报文发送至下游网络 设备,以使所述下游网络设备抛弃所述第二报文,所述下游网络设备设置在第二网络中。另一方面,本发明实施例提供了一种报文处理装置,包括接收单元,用于接收上游网络设备发送的第一报文,所述上游网络设备设置在第 一网络中;判断单元,用于判断所述第一报文是否为非法报文;处理单元,用于当所述第一报文为非法报文时,修改所述第一报文的敏感字段,得 到第二报文;发送单元,用于向下游网络设备发送所述第二报文,以使所述下游网络设备抛弃 所述第二报文,所述下游网络设备设置在第二网络中。另一方面,本发明实施例提供了一种报文处理系统,包括设置在第一网络中的上 游网络设备、设置在第二网络中的下游网络设备,以及设置在所述上游网络设备和所述下 游网络设备之间的报文处理装置,其中所述报文处理装置,用于接收所述上游网络设备发送的第一报文,当确定所述第 一报文为非法报文时,修改所述第一报文的敏感字段的得到第二报文,并将第二报文发送 给所述下游网络设备,以使所述下游网络设备抛弃所述第二报文;
所述下游网络设备,用于抛弃接收到的第二报文。由上述本发明的实施例提供的技术方案可以看出,报文处理装置确定上游网络 设备发送的第一报文为非法报文时,报文处理装置不再直接抛弃该第一报文,而是修改该 第一报文,将得到的第二报文发送给下游网络设备,以使下游网络设备抛弃该第二报文,因 此,当网络出现丢包现象时,下游网络设备可以方便的确定出是下游网络设备抛弃报文还 是其他合法报文丢包。
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用 的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本 领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他 的附图。图1为本发明一实施例报文处理方法的流程示意图;图2为本发明一实施例的一个具体示例示意图;图3、3a和北为本发明一实施例报文处理装置的示意图;图4为本发明一实施例报文处理系统的示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。如图1所示,本发明实施例提供一种报文处理方法,包括10、报文处理装置接收上游网络设备发送的第一报文,所述上游网络设备设置在 第一网络中;11、报文处理装置判断上述第一报文是否为非法报文;12、当上述第一报文为非法报文时,报文处理装置修改上述第一报文的敏感字段, 得到第二报文,并将第二报文发送至下游网络设备,以使所述下游网络设备抛弃该第二报 文,所述下游网络设备设置在第二网络中。在本发明的实施例中,上述报文处理装置设置在上述上游网络设备和上述下游网 络设备之间。可选的,上述报文处理装置可以设置在第一网络中,并与第二网络耦合连接;或 者,上述报文处理装置也可以设置在第二网络中,并与第一网络耦合连接;或者,上述报文 处理装置也可以设置在上述第一网络和第二网络之外的其他网络中,并与上述第一网络和 上述第二网络耦合连接。可选的,本发明的实施例中,上述上游网络设备以及下游网络设备,可以是路由器 或其他报文转发设备。例如,上游网络设备可以为设置在国际网络中的路由器(以下简称 为国际路由器),下游网络设备可以为设置在国内网络中的路由器(以下简称为国内路由 器),在本示例性场景中,上述报文处理装置可以设置在国际路由器和国内路由器之间。
可选的,本发明的实施例中,上述报文处理装置判断上述第一报文是否为非法报 文,具体的实现方式可以包括报文处理装置判断上游网络设备发送的第一报文是否符合ACUAccessControl List,访问控制列表)的匹配条件,进而确定该第一报文是否为非法报文;或者,报文处理装置判断上游网络设备发送的第一报文是否符合UCL^ser Control List,用户控制列表)的匹配条件,进而确定该第一报文是否为非法报文;或者,报文处理装置判断上游网络设备发送的第一报文是否符合DPI (De印 Packet Inspection,深度包检测)的匹配条件,进而确定该第一报文是否为非法报文;或者,报文处理装置通过接入认证技术确定上游网络设备发送的第一报文是否为 非法报文,例如,通过密钥对上游网络设备发送的第一报文进行鉴权认证;或者,报文处理装置判断上游网络设备发送的第一报文是否符合行为检测规则的 匹配条件,进而确定该第一报文是否为非法报文,行为检测规则属于多包检测,通过判断多 个报文是否符合匹配条件,确定多个报文中是否存在非法报文。可选的,在本发明的实施例中,敏感字段包括CRCKyclicRedundancy Check,循 环冗余码校验)字段、TTL(Time to Live,生存时间)字段或其他影响报文合法性的字段。 因此,当上述第一报文为非法报文时,报文处理装置修改上述第一报文的敏感字段,具体的 实现方式可以包括修改上述第一报文的CRC字段。在这个示例性的场景中,所述下游网络设备接收 到第二报文后,根据第二报文携带的CRC对第二报文进行验证。由于第二报文是报文处理 装置修改第一报文的CRC字段得到的,因此,第二报文中的CRC字段是错误的,下游网络设 备根据第二报文携带的CRC对第二报文进行验证后,就会抛弃所述第二报文。或者,修改上述第一报文的TTL字段等于1。在这个示例性的场景中,所述下游网 络设备接收到第二报文后,将第二报文的TTL减1。由于第二报文是报文处理装置修改第 一报文的TTL字段为1得到的,因此,下游网络设备将第二报文的TTL减1后,第二报文的 TTL字段即为0,下游网络设备就会抛弃所述第二报文。或者,修改影响报文合法性的字段。在本发明的实施例中,影响报文合法性的字段 可以是RFC (Request For Comments,请求注解)文档中所规定的协议报文中可以对报文合 法性产生影响的字段。例如,当第一报文为IPv4协议Qnternet Protocol version 4,网际协议版本 4)报文时,修改第一报文的IP version字段不等于4 ;当第一报文为IPv6协议Qnternet Protocol version 6,网际协议版本6)报文时,修改第一报文的IP version不等于6 ; 修改第一报文的目的IP为E类地址(保留为以后使用的地址);对第一报文进行截取, 使得得到的第二报文不完整;以太网络中,修改第一报文的SMAC(S0urce Media Access Control,源媒体接入控制)的第40个bit位为1 ;构造第一报文的SMAC为组播MAC (Media AccessControl,媒体接入控制);修改第一报文的IP Header Length (IP报文首部长度)字 段小于5字节;修改第一报文的Fragment (分片)标记和TotalLength (总长度)字段,使 得得到的第二报文为一个小于68字节的超小分片;修改第一报文的Src_ip (Source IP,源 IP)为一个240字节的多播地址;修改第一报文的src_ip = dst_ip (Destination IP,目的 IP),使得第二报文为一个Land攻击包(登陆攻击包)。
以上对影响报文合法性的字段的任意一种修改,都能使得下游网络设备在收到第 二报文后,将第二报文抛弃。可选的,本发明实施例报文处理方法,还可以包括下游网络设备对抛弃的报文进行计数。下面以ACL为例,对本发明实施例的一种具体实现做详细介绍。参见图2,在本示 例中,报文处理装置接收到国际路由器发送的报文后,判断接收到报文是否符合ACL中的 匹配条件。根据ACL中的不同匹配条件,判断报文是合法报文还是非法报文,然后根据相应 的匹配动作,对报文进行处理。其中,ACL中匹配条件可以预先设置。具体的,匹配条件可以包括地址匹配条件, 或者基于时间的ACL匹配条件,或者其他ACL匹配条件等。地址匹配条件中的地址可以包 括报文的源地址、目的地址或端口号信息中的一个或者多个。ACL中的匹配动作也可以预 先设置。具体的,匹配动作可以包括修改报文的CRC字段,或者修改报文的TTL字段为1, 或者修改影响报文合法性的字段等。为便于说明,本示例中,ACL的匹配条件为报文的源地址,匹配动作为通过(允许 转发),或者修改TTL字段为1。见下表。表 1
匹配条件报文源地址匹配动作A. B. C. ★通过A. B. D. ★修改TTL为1,然后通过例如,当接收到的报文的源地址为A. B. D. 1时,与匹配条件中的第二条相匹配,此 时,确定该报文为非法报文,根据相对应的匹配动作,将该报文的TTL字段修改为1,得到第 二报文,并将第二报文发送给下游网络设备,从而在下游网络设备,该修改后的非法报文被 抛弃。当接收到的报文的源地址为A. B. C. 1时,与匹配条件中的第一条相匹配,此时,确 定该报文为合法报文,根据相对应的匹配动作,将该报文被直接转发给国内路由器。在本发明的实施例中,由于报文处理装置在确定第一报文为非法报文时,并不直 接将其抛弃,而是修改第一报文的敏感字段,将得到的第二报文发送给下游网络设备,从 而,当第二网络中出现丢包现象时,下游网络设备可以方便的确定出是下游网络设备抛弃 报文还是网络中其他合法报文丢包。如图3所示,本发明实施例提供一种报文处理装置,包括接收单元30,用于接收上游网络设备发送的第一报文,上游网络设备设置在第一 网络中。判断单元31,用于判断上述第一报文是否为非法报文;处理单元32,用于当第一报文为非法报文时,修改第一报文的敏感字段,得到第二 报文;发送单元33,用于向下游网络设备发送第二报文,以使所述下游网络设备抛弃第二报文,所述下游网络设备设置在第二网络中。本发明实施例报文处理装置可以设置在上游网络设备和下游网络设备之间。可选的,如图3a所示,上述判断单元31,可以包括以下子单元中的至少一个第一判断子单元(311),用于根据ACL的匹配条件,判断所述第一报文是否为非法 报文;第二判断子单元(312),用于根据UCL的匹配条件,判断所述第一报文是否为非法 报文;第三判断子单元(313),用于根据DPI的匹配条件,判断所述第一报文是否为非法 报文;第四判断子单元(314),用于通过接入认证,判断所述第一报文是否为非法报文;第五判断子单元(315),用于根据行为检测规则的匹配条件,判断所述第一报文是 否为非法报文。为便于说明,图3a中将上述子单元同时示出,但是,在实际的应用中,判断单元31 可以只包括上述子单元中的任意一个或多个。可选的,如图3b所示,上述处理单元32,可以包括以下子单元中的至少一个第一处理子单元(321),用于修改第一报文的循环冗余校验码CRC字段;第二处理子单元(322),用于修改第一报文的TTL生存时间字段等于1 ;第三处理子单元(323),用于修改影响报文合法性的字段。具体的,影响报文合法 性的字段与报文处理方法实施例中介绍的相类似,此处不再赘述。类似的,图北中将上述子单元同时示出,但是,在实际的应用中,处理单元32可以 只包括上述子单元中的任意一个或多个。由上述本发明的实施例提供的技术方案可以看出,报文处理装置确定上游网络设 备发送的第一报文为非法报文时,报文处理装置不再直接抛弃该第一报文,而是修改该第 一报文的敏感字段,将得到的第二报文发送给下游网络设备,从而,当第二网络中出现丢包 现象时,下游网络设备可以方便的确定出是下游网络设备抛弃报文还是网络中其他合法报 文丢包。如图4所示,本发明实施例提供一种报文处理系统,包括设置在第一网络的上游 网络设备41、设置在第二网络的下游网络设备42,以及设置在上游网络设备41和下游网络 设备42之间的报文处理装置43 其中,报文处理装置43,用于接收上游网络设备41发送的第一报文,当确定第一报文为 非法报文时,修改第一报文的敏感字段得到第二报文,并将第二报文发送给下游网络设备, 以使下游网络设备42抛弃所述第二报文。下游网络设备42,用于抛弃接收到的第二报文。可选的,下游网络设备42,还用于对抛弃的报文数量进行计数。可选的,本发明的实施例中,上述上游网络设备以及下游网络设备,可以是路由器 或其他报文转发设备。例如,上游网络设备可以为国际路由器,下游网络设备可以为国内路 由器,在本示例性场景中,上述报文处理装置可以设置在国际路由器和国内路由器之间。由上述本发明的实施例提供的技术方案可以看出,报文处理装置确定第一报文为 非法报文时,报文处理装置不再直接抛弃该第一报文,而是修改该第一报文,将得到的第二报文发送给下游网络设备,以使下游网络设备抛弃该第二报文,因此,当网络出现丢包现象 时,下游网络设备可以方便的确定出是下游网络设备抛弃报文还是网络中其他合法报文丢 包。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以 通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质 中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁 碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random Access Memory, RAM)等。以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此, 任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换, 都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围 为准。
权利要求
1.一种报文处理方法,其特征在于,包括报文处理装置接收上游网络设备发送的第一报文,所述上游网络设备设置在第一网络中;报文处理装置判断所述第一报文是否为非法报文;当所述第一报文为非法报文时,所述报文处理装置修改所述第一报文的敏感字段,得 到第二报文,并将所述第二报文发送至下游网络设备,以使所述下游网络设备抛弃所述第 二报文,所述下游网络设备设置在第二网络中。
2.根据权利要求1所述的方法,其特征在于,所述报文的敏感字段包括CRC循环冗余 校验字段、TTL生存时间字段或影响报文合法性的字段。
3.根据权利要求2所述的方法,其特征在于,所述报文处理装置修改所述第一报文的 敏感字段,包括修改所述第一报文的CRC字段;或者 修改所述第一报文的TTL字段为1 ;或者 修改所述第一报文中影响报文合法性的字段。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述判断所述第一报文是否 为非法报文,包括所述报文处理装置根据访问控制列表ACL的匹配条件,判断所述第一报文是否为非法 报文;或者,所述报文处理装置根据用户控制列表UCL的匹配条件,判断所述第一报文是否 为非法报文;或者,所述报文处理装置根据深度包检测DPI的匹配条件,判断所述第一报文是否为 非法报文;或者,所述报文处理装置通过接入认证,判断所述第一报文是否为非法报文; 或者,所述报文处理装置根据行为检测规则的匹配条件,判断所述报文是否为非法报文。
5.一种报文处理装置,其特征在于,包括接收单元,用于接收上游网络设备发送的第一报文,所述上游网络设备设置在第一网 络中;判断单元,用于判断所述第一报文是否为非法报文;处理单元,用于当所述第一报文为非法报文时,修改所述第一报文的敏感字段,得到第 二报文;发送单元,用于向下游网络设备发送所述第二报文,以使所述下游网络设备抛弃所述 第二报文,所述下游网络设备设置在第二网络中。
6.根据权利要求5所述的装置,其特征在于,所述处理单元,包括第一处理子单元、第 二处理子单元以及第三处理子单元中的一个或多个,其中第一处理子单元,用于修改所述第一报文的循环冗余校验CRC字段; 第二处理子单元,用于修改所述第一报文的生存时间TTL字段等于1 ; 第三处理子单元,用于修改所述第一报文中影响报文合法性的字段。
7.根据权利要求5或6所述的装置,其特征在于,所述判断单元包括第一判断子单元、第二判断子单元、第三判断子单元、第四判断子单元以及第五判断子单元中的一个或多个, 其中第一判断子单元,用于根据访问控制列表ACL的匹配条件,判断所述第一报文是否为 非法报文;第二判断子单元,用于根据用户控制列表UCL的匹配条件,判断所述第一报文是否为 非法报文;第三判断子单元,用于根据深度包检测DPI的匹配条件,判断所述第一报文是否为非 法报文;第四判断子单元,用于通过接入认证,判断所述第一报文是否为非法报文;第五判断子单元,用于根据行为检测规则的匹配条件,判断所述第一报文是否为非法 报文。
8.一种报文处理系统,其特征在于,包括设置在第一网络中的上游网络设备、设置在第 二网络中的下游网络设备,以及设置在所述上游网络设备和所述下游网络设备之间的报文 处理装置,其中所述报文处理装置,用于接收所述上游网络设备发送的第一报文,当确定所述第一报 文为非法报文时,修改所述第一报文的敏感字段的得到第二报文,并将第二报文发送给所 述下游网络设备,以使所述下游网络设备抛弃所述第二报文;所述下游网络设备,用于抛弃接收到的第二报文。
9.根据权利要求8所述的系统,其特征在于,所述下游网络设备,还用于对抛弃的报文 的数量进行计数。
全文摘要
本发明实施例涉及一种报文处理方法、报文处理装置及报文处理系统,其中,报文处理方法包括报文处理装置接收上游网络设备发送的第一报文,所述上游网络设备设置在第一网络中;判断所述第一报文是否为非法报文;当所述第一报文为非法报文时,所述报文处理装置修改所述第一报文的敏感字段,得到第二报文,并将所述第二报文发送至下游网络设备,以使所述下游网络设备抛弃所述第二报文,所述下游网络设备设置在第二网络中。本发明实施例报文处理方法、装置及系统,可以方便的确定出是下游网络设备抛弃报文还是网络中其他合法报文丢包。
文档编号H04L12/26GK102143009SQ20101022724
公开日2011年8月3日 申请日期2010年7月7日 优先权日2010年7月7日
发明者云长江, 朴成浩, 李军辉, 王立业, 石佳, 陆春华, 雷新 申请人:华为数字技术有限公司