本发明涉及数据传输领域,具体涉及一种一种防攻击数据传输方法及装置。
背景技术:
目前,在现有技术中,常见的通信攻击方式包括以下两种:
1、syn攻击,攻击原理如下:syn攻击属于dos攻击的一种,它利用tcp协议缺陷,通过发送大量的半连接请求,耗费cpu和内存资源。syn攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统,事实上syn攻击并不管目标是什么系统,只要这些系统打开tcp服务就可以实施。服务器接收到连接请求(syn=j),将此信息加入未连接队列,并发送请求包给客户(syn=k,ack=j+1),此时进入syn_recv状态。当服务器未收到客户端的确认包时,重发请求包,一直到超时,才将此条目从未连接队列删除。配合ip欺骗,syn攻击能达到很好的效果,通常,客户端在短时间内伪造大量不存在的ip地址,向服务器不断地发送syn包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直至超时,这些伪造的syn包将长时间占用未连接队列,正常的syn请求被丢弃,目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪。
2、ack攻击,攻击原理如下:在tcp连接建立之后,所有的数据传输tcp报文都是带有ack标志位的,主机在接收到一个带有ack标志位的数据包的时候,需要检查该数据包所表示的连接四元组是否存在,如果存在则检查该数据包所表示的状态是否合法,然后再向应用层传递该数据包。如果在检查中发现该数据包不合法,例如该数据包所指向的目的端口在本机并未开放,则主机操作系统协议栈会回应rst包告诉对方此端口不存在。通常状态检测防火墙所做的事情与此类似,只不过防火墙只拦截非法的数据包,而不主动回应。
对比主机以及防火墙在接收到ack报文和syn报文时所做动作的复杂程度,显然ack报文带来的负载要小得多。所以在实际环境中,只有当攻击程序每秒钟发送ack报文的速率达到一定的程度,才能使主机和防火墙的负载有大的变化。当发包速率很大的时候,主机操作系统将耗费大量的精力接收报文、判断状态,同时要主动回应rst报文,正常的数据包就可能无法得到及时的处理。这时候客户端(以ie为例)的表现就是访问页面反应很慢,丢包率较高。但是状态检测的防火墙通过判断ack报文的状态是否合法,借助其强大的硬件能力可以较为有效的过滤攻击报文。当然如果攻击流量非常大,由于需要维护很大的连接状态表同时要检查数量巨大的ack报文的状态,防火墙也会不堪重负导致全网瘫痪。
为了解决上述问题,目前常用的处理方式是:宽带流量清洗。通过宽带流量清洗的方式,以减轻来自于攻击流量对网络和服务器造成的压力。其中,宽带流量清洗解决方案主要分为三个步骤:第一步,利用专用的检测设备对用户业务流量进行分析监控。第二步,当服务器遭受到攻击时,检测设备上报给专用的业务管理平台生成清洗任务,将用户流量牵引到流量清洗中心;第三步,流量清洗中心对牵引过来的用户流量进行清洗,并将清洗后的用户合法流量回注到服务器。但是在现有的清洗方案中,由于通讯协议各有不同,均采用流量清洗的方式来御防攻击,则很有可能会造成误伤,即将正常的数据流量当成攻击流量进行过滤。针对上述的问题,目前尚未提出有效的解决方案。
技术实现要素:
根据本发明实施例的一个方面,提供了一种防攻击数据传输方法,包括:获取待传输的通信协议报文;对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理,生成处理信息;将上述处理信息保存在上述通信协议报文在上述报文头部中的扩展位上,得到转换后的通信协议报文,其中,上述通信协议报文的上述报文头部包括上述信息位和上述扩展位;发送上述转换后的通信协议报文至接收设备;
可选地,对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理包括以下至少之一:调整上述信息位上的数据的顺序;或者对上述信息位上的数据进行整体或局部的压缩,并填充字符到压缩后的空闲位置;或者对上述信息位上的数据进行整体或局部的加密;或者对上述信息位上的数据进行整体或局部的签名。
可选地,在对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理之前,还包括:将上述通信协议报文中位于上述报文头部的部分字节设置为上述扩展位。
可选地,将上述通信协议报文中位于报文头部的部分字节设置为扩展位包括:将上述报文头部中的序列号和/或确认号中的部分字节设置为上述扩展位。
可选地,在发送上述转换后的通信协议报文至接收设备之前,还包括:判断当前上述通信协议报文的数据流量是否大于预定阈值;若上述数据流量大于上述预定阈值,则在到达上述接收设备之前的传输链路中配置网关型网络设备,以使上述网关型网络设备代理上述接收设备将上述转换后的通信协议报文转发给第三方设备处理。
可选地,对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理的装置包括以下至少之一:网卡驱动、虚拟网卡或本地网关。
根据本发明实施例的另一方面,还提供了一种防攻击数据传输方法,包括:接收经防攻击预处理后得到的转换后的通信协议报文;根据上述转换后的通信协议报文中位于报文头部的扩展位所指示的上述防攻击预处理的处理信息解析上述转换后的通信协议报文;获取上述转换后的通信协议报文中位于上述报文头部的信息位上的数据,其中,上述通信协议报文的上述报文头部包括上述信息位和上述扩展位。
可选地,根据上述转换后的通信协议报文中位于报文头部的扩展位所指示的上述防攻击预处理的处理信息解析上述转换后的通信协议报文的装置包括以下至少之一:网卡驱动、虚拟网卡或本地网关。
根据本发明实施例的又一方面,还提供了一种防攻击数据传输装置,位于发送设备中,上述装置包括:获取单元,用于获取待传输的通信协议报文;防攻击预处理单元,用于对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理,生成处理信息;保存单元,用于将上述处理信息保存在上述通信协议报文在上述报文头部中的扩展位上,得到转换后的通信协议报文,其中,上述通信协议报文的上述报文头部包括上述信息位和上述扩展位;发送单元,用于发送上述转换后的通信协议报文至接收设备。
可选地,上述防攻击预处理单元包括以下至少之一:调整模块,用于调整上述信息位上的数据的顺序;或者压缩模块,用于对上述信息位上的数据进行整体或局部的压缩,并填充字符到压缩后的空闲位置;或者加密模块,用于对上述信息位上的数据进行整体或局部的加密;或者签名模块,用于对上述信息位上的数据进行整体或局部的签名。
可选地,上述装置还包括:设置单元,用于在对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理之前,将上述通信协议报文中位于上述报文头部的部分字节设置为上述扩展位。
可选地,上述设置单元包括:设置模块,用于将上述报文头部中的序列号和/或确认号中的部分字节设置为上述扩展位。
可选地,上述装置还包括:判断单元,用于在发送上述转换后的通信协议报文至接收设备之前判断当前上述通信协议报文的数据流量是否大于预定阈值;配置单元,用于在上述数据流量大于上述预定阈值时,在到达上述接收设备之前的传输链路中配置网关型网络设备,以使上述网关型网络设备代理上述接收设备将上述转换后的通信协议报文转发给第三方设备处理。
可选地,上述防攻击预处理单元包括以下至少之一:网卡驱动、虚拟网卡或本地网关。
根据本发明实施例的又一方面,还提供了一种防攻击数据传输装置,位于接收设备中,上述装置包括:接收单元,用于接收经防攻击预处理后得到的转换后的通信协议报文;解析单元,用于根据上述转换后的通信协议报文中位于报文头部的扩展位所指示的上述防攻击预处理的处理信息解析上述转换后的通信协议报文;获取单元,用于获取上述转换后的通信协议报文中位于上述报文头部的信息位上的数据,其中,上述通信协议报文的上述报文头部包括上述信息位和上述扩展位。
可选地,上述解析单元包括以下至少之一:网卡驱动、虚拟网卡或本地网关。
在本发明实施例中,通过在发送设备上直接对待传输的通信协议报文信息位上的数据进行防攻击预处理,并将防攻击预处理的处理信息存储在原有的通信协议报文中新设置的扩展位上,进一步,将转换后的通信协议报文发送至接收设备。也就是说,发送设备通过向接收设备发送对报文头部的信息位上的数据进行过防攻击预处理的通信协议报文,以实现将正常数据流量与异常数据流量进行区分,便于接收设备获取通过正确解析得到的通信协议报文,并过滤掉无法正确解析的异常报文,从而在不影响正常通信的情况下,达到准确御防通信过程中出现的攻击行为的目的,进而避免现有的防攻击方式所导致的误伤正常传输的数据流量的问题。
进一步,在本实施例中,仅对报文头部中的信息位上的数据进行防攻击预处理,以实现对传输链路的透明化,避免转换后的通信协议报文被破译,进一步提高数据传输过程中的安全性。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
根据本发明实施例的一个方面,提供了一种防攻击数据传输方法,包括:获取待传输的通信协议报文;对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理,生成处理信息;将上述处理信息保存在上述通信协议报文在上述报文头部中的扩展位上,得到转换后的通信协议报文,其中,上述通信协议报文的上述报文头部包括上述信息位和上述扩展位;发送上述转换后的通信协议报文至接收设备;
可选地,对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理包括以下至少之一:调整上述信息位上的数据的顺序;或者对上述信息位上的数据进行整体或局部的压缩,并填充字符到压缩后的空闲位置;或者对上述信息位上的数据进行整体或局部的加密;或者对上述信息位上的数据进行整体或局部的签名。
可选地,在对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理之前,还包括:将上述通信协议报文中位于上述报文头部的部分字节设置为上述扩展位。
可选地,将上述通信协议报文中位于报文头部的部分字节设置为扩展位包括:将上述报文头部中的序列号和/或确认号中的部分字节设置为上述扩展位。
可选地,在发送上述转换后的通信协议报文至接收设备之前,还包括:判断当前上述通信协议报文的数据流量是否大于预定阈值;若上述数据流量大于上述预定阈值,则在到达上述接收设备之前的传输链路中配置网关型网络设备,以使上述网关型网络设备代理上述接收设备将上述转换后的通信协议报文转发给第三方设备处理。
可选地,对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理的装置包括以下至少之一:网卡驱动、虚拟网卡或本地网关。
根据本发明实施例的另一方面,还提供了一种防攻击数据传输方法,包括:接收经防攻击预处理后得到的转换后的通信协议报文;根据上述转换后的通信协议报文中位于报文头部的扩展位所指示的上述防攻击预处理的处理信息解析上述转换后的通信协议报文;获取上述转换后的通信协议报文中位于上述报文头部的信息位上的数据,其中,上述通信协议报文的上述报文头部包括上述信息位和上述扩展位。
可选地,根据上述转换后的通信协议报文中位于报文头部的扩展位所指示的上述防攻击预处理的处理信息解析上述转换后的通信协议报文的装置包括以下至少之一:网卡驱动、虚拟网卡或本地网关。
根据本发明实施例的又一方面,还提供了一种防攻击数据传输装置,位于发送设备中,上述装置包括:获取单元,用于获取待传输的通信协议报文;防攻击预处理单元,用于对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理,生成处理信息;保存单元,用于将上述处理信息保存在上述通信协议报文在上述报文头部中的扩展位上,得到转换后的通信协议报文,其中,上述通信协议报文的上述报文头部包括上述信息位和上述扩展位;发送单元,用于发送上述转换后的通信协议报文至接收设备。
可选地,上述防攻击预处理单元包括以下至少之一:调整模块,用于调整上述信息位上的数据的顺序;或者压缩模块,用于对上述信息位上的数据进行整体或局部的压缩,并填充字符到压缩后的空闲位置;或者加密模块,用于对上述信息位上的数据进行整体或局部的加密;或者签名模块,用于对上述信息位上的数据进行整体或局部的签名。
可选地,上述装置还包括:设置单元,用于在对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理之前,将上述通信协议报文中位于上述报文头部的部分字节设置为上述扩展位。
可选地,上述设置单元包括:设置模块,用于将上述报文头部中的序列号和/或确认号中的部分字节设置为上述扩展位。
可选地,上述装置还包括:判断单元,用于在发送上述转换后的通信协议报文至接收设备之前判断当前上述通信协议报文的数据流量是否大于预定阈值;配置单元,用于在上述数据流量大于上述预定阈值时,在到达上述接收设备之前的传输链路中配置网关型网络设备,以使上述网关型网络设备代理上述接收设备将上述转换后的通信协议报文转发给第三方设备处理。
可选地,上述防攻击预处理单元包括以下至少之一:网卡驱动、虚拟网卡或本地网关。
根据本发明实施例的又一方面,还提供了一种防攻击数据传输装置,位于接收设备中,上述装置包括:接收单元,用于接收经防攻击预处理后得到的转换后的通信协议报文;解析单元,用于根据上述转换后的通信协议报文中位于报文头部的扩展位所指示的上述防攻击预处理的处理信息解析上述转换后的通信协议报文;获取单元,用于获取上述转换后的通信协议报文中位于上述报文头部的信息位上的数据,其中,上述通信协议报文的上述报文头部包括上述信息位和上述扩展位。
可选地,上述解析单元包括以下至少之一:网卡驱动、虚拟网卡或本地网关。
在本发明实施例中,通过在发送设备上直接对待传输的通信协议报文信息位上的数据进行防攻击预处理,并将防攻击预处理的处理信息存储在原有的通信协议报文中新设置的扩展位上,进一步,将转换后的通信协议报文发送至接收设备。也就是说,发送设备通过向接收设备发送对报文头部的信息位上的数据进行过防攻击预处理的通信协议报文,以实现将正常数据流量与异常数据流量进行区分,便于接收设备获取通过正确解析得到的通信协议报文,并过滤掉无法正确解析的异常报文,从而在不影响正常通信的情况下,达到准确御防通信过程中出现的攻击行为的目的,进而避免现有的防攻击方式所导致的误伤正常传输的数据流量的问题。
进一步,在本实施例中,仅对报文头部中的信息位上的数据进行防攻击预处理,以实现对传输链路的透明化,避免转换后的通信协议报文被破译,进一步提高数据传输过程中的安全性。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何属于本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围。