專利名稱:一種處理ip分片報(bào)文的方法、裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域的網(wǎng)絡(luò)技術(shù),具體指一種處理I P分片報(bào)文的方法、裝置及系統(tǒng)。
背景技術(shù):
隨著互聯(lián)網(wǎng)應(yīng)用普及,產(chǎn)生了各種各樣的安全問題,例如網(wǎng)絡(luò)中的蠕蟲、病毒及垃 圾郵件,木馬,分布式拒絕服務(wù)DDoS攻擊等越來越常見,攻擊行為時(shí)刻都在發(fā)生。網(wǎng)絡(luò)安全 作為一個(gè)無法回避的問題呈現(xiàn)在人們面前。目前,針對網(wǎng)絡(luò)入侵檢測系統(tǒng)NIDS和網(wǎng)絡(luò)入侵 保護(hù)系統(tǒng)NIPS作為一種積極主動(dòng)的安全防護(hù)系統(tǒng),主要通過入侵檢測技術(shù)將攻擊數(shù)據(jù)包 從合法數(shù)據(jù)包中區(qū)分出來。 NIDS/NIPS中的入侵檢測技術(shù)主要一類是誤用檢測。在誤用檢測模式中,首先將 所有入侵行為及其變種,表達(dá)為確定的模式或特征,建立一個(gè)入侵模式庫。檢測時(shí),為了提 高IP分片重組效率,通過使用更多的CPU計(jì)算資源盡力滿足IP分片重組系統(tǒng),使得IP分 片重組系統(tǒng)對接收到的IP分片進(jìn)行重組,對IP分片重組后的IP數(shù)據(jù)包進(jìn)行檢測,通過判 別網(wǎng)絡(luò)中所檢測到的IP數(shù)據(jù)包的數(shù)據(jù)特征是否在所收集到的入侵模式庫中出現(xiàn)而斷定是 否是入侵行為。 發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中的上述方法至少存在如下問題 由于NIDS/NIPS在進(jìn)行入侵檢測防護(hù)時(shí)試圖提高I P分片重組效率,需要使用更 多的CPU計(jì)算資源(多個(gè)IP分片重組線程)盡力滿足IP分片重組,實(shí)際上分片重組攻擊 最容易耗盡的是存儲(chǔ)資源,在IP分片的存儲(chǔ)資源滿負(fù)荷時(shí),許多分片攻擊是故意不發(fā)送部 分分片,耗盡存儲(chǔ)資源,或者,許多分片攻擊隨機(jī)發(fā)送各個(gè)類型的IP分片數(shù)據(jù)包,使得被攻 擊系統(tǒng)忙于這些分片的重組,這使得分片重組的效率大大降低,增加了系統(tǒng)開銷,造成性能 瓶頸。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明實(shí)施例的主要目的在于提供一種處理I P分片報(bào)文的方法、裝置
及系統(tǒng),通過快速準(zhǔn)確地識(shí)別出IP分片中的攻擊分片報(bào)文,解決因IP分片攻擊造成的性
能瓶頸的問題,減輕了 NIDS/NIPS系統(tǒng)的存儲(chǔ)資源和CPU計(jì)算資源壓力,從而提高了 NIDS/
NIPS系統(tǒng)的處理能力和IP分片重組的效率。 為實(shí)現(xiàn)上述目的,本發(fā)明實(shí)施例提供如下的技術(shù)方案 —種處理IP分片報(bào)文的方法,所述方法包括 接收網(wǎng)絡(luò)設(shè)備發(fā)送的IP分片報(bào)文; 當(dāng)所述IP分片報(bào)文所屬IP數(shù)據(jù)包記錄有完整的特征信息時(shí),檢測所述IP分片報(bào) 文所屬IP數(shù)據(jù)包的TCP連接是否已經(jīng)建立,其中所述特征信息包括源IP地址,目的IP地 址,源端口,目的端口,協(xié)議號(hào); 若所述IP數(shù)據(jù)包的TCP連接沒有建立,則對所述IP數(shù)據(jù)包的IP分片報(bào)文進(jìn)行丟棄處理或者統(tǒng)計(jì)處理。
—種處理IP分片報(bào)文裝置,所述裝置包括 接收模塊用于接收網(wǎng)絡(luò)設(shè)備發(fā)送的IP分片報(bào)文; 檢測模塊用于當(dāng)所述IP分片報(bào)文所屬IP數(shù)據(jù)包記錄有完整的特征信息時(shí),檢測 所述IP分片報(bào)文所屬IP數(shù)據(jù)包的TCP連接是否已經(jīng)建立; 處理模塊用于根據(jù)所述檢測模塊檢測到所述IP數(shù)據(jù)包的TCP連接沒有建立,則 對所述IP數(shù)據(jù)包的IP分片報(bào)文進(jìn)行丟棄處理或者統(tǒng)計(jì)處理。
—種處理IP分片報(bào)文系統(tǒng),所述系統(tǒng)包括
接收模塊,用于接收網(wǎng)絡(luò)設(shè)備發(fā)送的IP分片報(bào)文; 第一檢測模塊,用于檢測IP分片報(bào)文所屬IP數(shù)據(jù)包記錄的特征信息是否完整;
第二檢測模塊,用于當(dāng)所述檢測子模塊檢測到所述IP分片報(bào)文所屬IP數(shù)據(jù)包記 錄有完整的特征信息時(shí),檢測所述IP分片報(bào)文所屬IP數(shù)據(jù)包的TCP連接是否已經(jīng)建立;
處理模塊,用于根據(jù)所述檢測模塊檢測到所述IP數(shù)據(jù)包的TCP連接沒有建立,則 對所述IP數(shù)據(jù)包的IP分片報(bào)文進(jìn)行丟棄處理或者統(tǒng)計(jì)處理。 本發(fā)明實(shí)施方式通過接收網(wǎng)絡(luò)設(shè)備發(fā)送的IP分片報(bào)文;當(dāng)所述IP分片報(bào)文所屬 IP數(shù)據(jù)包記錄有完整的特征信息時(shí),檢測所述IP分片報(bào)文所屬IP數(shù)據(jù)包的TCP連接是否 已經(jīng)建立,其中所述特征信息包括源IP地址,目的IP地址,源端口,目的端口,協(xié)議號(hào);若 所述IP數(shù)據(jù)包的TCP連接沒有建立,則對所述IP數(shù)據(jù)包的IP分片報(bào)文進(jìn)行丟棄處理或者 統(tǒng)計(jì)處理,從而解決了因IP分片攻擊造成的性能瓶頸的問題,減輕了NIDS/NIPS系統(tǒng)的存 儲(chǔ)資源和CPU資源壓力,從而提高了 NIDS/NIPS系統(tǒng)的處理能力和IP分片重組的效率。
圖1為本發(fā)明實(shí)施方式中提《 圖2為本發(fā)明實(shí)施方式中的- 圖3為本發(fā)明實(shí)施方式中的- 圖4為本發(fā)明實(shí)施方式中的- 圖5為本發(fā)明實(shí)施方式中的- 圖6為本發(fā)明實(shí)施方式中的3
的一種處理IP分片報(bào)文的方法流程圖; 種處理IP分片報(bào)文的具體實(shí)現(xiàn)方法流程圖 種處理IP分片報(bào)文裝置的組成結(jié)構(gòu)示意圖 種處理IP分片報(bào)文系統(tǒng)的組成結(jié)構(gòu)示意圖 種處理IP分片報(bào)文系統(tǒng)的應(yīng)用場景圖; 一種處理IP分片報(bào)文系統(tǒng)的應(yīng)用場景圖。
具體實(shí)施例方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖對本發(fā)明的實(shí)施 例作進(jìn)一步地詳細(xì)描述。 應(yīng)當(dāng)明確,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例。基 于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其 他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。 如圖1所示,本發(fā)明的實(shí)施例中的一種處理IP分片報(bào)文的方法,包括
S100、接收網(wǎng)絡(luò)設(shè)備發(fā)送的IP分片報(bào)文。 具體為處理IP分片報(bào)文裝置接收網(wǎng)絡(luò)設(shè)備發(fā)送的IP分片報(bào)文,所述網(wǎng)絡(luò)設(shè)備可 以為路由器等網(wǎng)絡(luò)設(shè)備,所述處理IP分片報(bào)文裝置接收路由器發(fā)送的IP分片報(bào)文后,通過交換機(jī)發(fā)送給用戶設(shè)備;也可以為交換機(jī)接收路由器發(fā)送的IP分片報(bào)文后,將所述報(bào)文鏡 像給處理IP分片報(bào)文裝置;同時(shí)對用戶發(fā)送的報(bào)文也進(jìn)行相同的處理。 S102、當(dāng)所述IP分片報(bào)文所屬IP數(shù)據(jù)包記錄有完整的特征信息時(shí),檢測所述IP 分片報(bào)文所屬IP數(shù)據(jù)包的TCP連接是否已經(jīng)建立,其中所述特征信息包括源IP地址,目 的IP地址,源端口,目的端口,協(xié)議號(hào)。 處理IP分片報(bào)文裝置對接收的IP分片報(bào)文所屬IP數(shù)據(jù)包進(jìn)行檢測的具體過程 為首先檢測所述IP數(shù)據(jù)包記錄的特征信息是否完整,即所述I P數(shù)據(jù)包是否記錄了源IP 地址,目的IP地址,源端口 ,目的端口 ,協(xié)議號(hào)信息,如果所述特征信息完整,則檢測所述IP 分片報(bào)文所屬IP數(shù)據(jù)包的TCP連接是否已經(jīng)建立;若檢測出所述IP數(shù)據(jù)包記錄的特征信 息不完整,則等待接收所述IP數(shù)據(jù)包的下一個(gè)IP分片,直到所述IP數(shù)據(jù)包記錄有完整的 特征信息后,再檢測所述IP數(shù)據(jù)包的TCP連接是否已經(jīng)建立。 具體檢測所述IP數(shù)據(jù)包的TCP連接是否已經(jīng)建立的過程為獲取流表中與所述 IP數(shù)據(jù)包的特征信息相匹配的TCP連接狀態(tài),所述流表為所述IP數(shù)據(jù)包的特征信息和所述 IP數(shù)據(jù)包的連接狀態(tài)的對應(yīng)關(guān)系;根據(jù)所述流表中的IP數(shù)據(jù)包的連接狀態(tài),確定所述IP 數(shù)據(jù)是否已經(jīng)建立連接。所述流表存儲(chǔ)在處理IP分片報(bào)文的裝置中,所述處理IP分片報(bào) 文的裝置應(yīng)用于NIDS或者NIPS中。 所述流表為接收IP數(shù)據(jù)包時(shí),根據(jù)IP數(shù)據(jù)包的特征信息及TCP連接狀態(tài)動(dòng)態(tài)建 立的,并存儲(chǔ)在處理IP分片報(bào)文的裝置,。所述流表表項(xiàng)具體包括源IP地址,目的IP地 址,源端口 ,目的端口 ,協(xié)議號(hào)、TCP連接狀態(tài);具體連接狀態(tài)信息為已經(jīng)建立TCP連接或者 未建立TCP連接。 通過對已經(jīng)建立連接的IP分片報(bào)文進(jìn)行IP重組,快速區(qū)分出分片重組攻擊的報(bào) 文,減輕了 IDS/IPS系統(tǒng)的存儲(chǔ)資源和CPU資源壓力,提高了NIDS/NIPS的處理能力。S104、 若所述IP數(shù)據(jù)包的TCP連接沒有建立,則對所述IP數(shù)據(jù)包的IP分片報(bào)文進(jìn)行丟棄處理或 者記錄統(tǒng)計(jì)處理。 所述丟棄處理為釋放IP分片占用的存儲(chǔ)資源;所述統(tǒng)計(jì)處理為對IP分片提取關(guān) 鍵信息并且進(jìn)行記錄和統(tǒng)計(jì),同時(shí)釋放IP分片占用的存儲(chǔ)資源。 若所屬IP數(shù)據(jù)包的TCP連接已經(jīng)建立,則執(zhí)行S106,對所述到達(dá)的IP分片報(bào)文進(jìn) 行分片重組(這里S106與現(xiàn)有重組方法一樣,就不再詳細(xì)描述)。 請參見圖2,圖2為本發(fā)明實(shí)施方式中的一種處理IP分片報(bào)文的具體實(shí)現(xiàn)方法流 程圖。 步驟S202,接收網(wǎng)絡(luò)設(shè)備發(fā)送的IP分片報(bào)文。 具體為處理IP分片報(bào)文裝置接收網(wǎng)絡(luò)設(shè)備發(fā)送的IP分片報(bào)文,所述網(wǎng)絡(luò)設(shè)備可 以為路由器等網(wǎng)絡(luò)設(shè)備,所述處理IP分片報(bào)文裝置接收路由器發(fā)送的IP分片報(bào)文后,通過 交換機(jī)發(fā)送給用戶設(shè)備;也可以為交換機(jī)接收路由器發(fā)送的IP分片報(bào)文后,將所述報(bào)文鏡 像給處理IP分片報(bào)文裝置;同時(shí)對用戶發(fā)送的報(bào)文也進(jìn)行相同的處理。
步驟S204中,檢測所述IP數(shù)據(jù)包記錄的特征信息是否完整。 如果所述特征信息完整,則繼續(xù)執(zhí)行步驟S206,否則,等待接收所述IP數(shù)據(jù)包的 下一個(gè)IP分片,即執(zhí)行步驟S202,直到所述IP數(shù)據(jù)包記錄有完整的特征信息后,再執(zhí)行步 驟S206。
檢測所述IP數(shù)據(jù)包記錄的特征信息是否完整,即所述IP數(shù)據(jù)包是否記錄了源IP 地址,目的IP地址,源端口 ,目的端口 ,協(xié)議號(hào)信息。 步驟S206中,檢測所述IP分片報(bào)文所屬IP數(shù)據(jù)包的TCP連接是否已經(jīng)建立。
若所述IP數(shù)據(jù)包的TCP連接是已經(jīng)建立,則執(zhí)行步驟S210 ;若沒有建立,則執(zhí)行 步驟S208。 具體檢測所述IP數(shù)據(jù)包的TCP連接是否已經(jīng)建立的過程為獲取流表中與所述 IP數(shù)據(jù)包的特征信息相匹配的TCP連接狀態(tài),所述流表為所述IP數(shù)據(jù)包的特征信息和所述 IP數(shù)據(jù)包的連接狀態(tài)的對應(yīng)關(guān)系;根據(jù)所述流表中的IP數(shù)據(jù)包的連接狀態(tài),確定所述IP 數(shù)據(jù)是否已經(jīng)建立連接。所述流表存儲(chǔ)在處理IP分片報(bào)文的裝置中,所述處理IP分片報(bào) 文的裝置應(yīng)用于NIDS或者NIPS中。 所述流表為接收IP數(shù)據(jù)包時(shí),根據(jù)IP數(shù)據(jù)包的特征信息及TCP連接狀態(tài)動(dòng)態(tài)建 立的,并存儲(chǔ)在處理IP分片報(bào)文的裝置,。所述流表表項(xiàng)具體包括源IP地址,目的IP地 址,源端口 ,目的端口 ,協(xié)議號(hào)、TCP連接狀態(tài);具體連接狀態(tài)信息為已經(jīng)建立TCP連接或者 未建立TCP連接。 通過對已經(jīng)建立連接的IP分片報(bào)文進(jìn)行IP重組,快速區(qū)分出分片重組攻擊的報(bào) 文,減輕了 IDS/IPS系統(tǒng)的存儲(chǔ)資源和CPU資源壓力,提高了 NIDS/NIPS的處理能力。
步驟S208中,所述IP數(shù)據(jù)包的TCP連接沒有建立,則對所述IP數(shù)據(jù)包的IP分片 報(bào)文進(jìn)行丟棄處理或者統(tǒng)計(jì)處理。 所述丟棄處理為釋放IP分片包占用的存儲(chǔ)資源;所述統(tǒng)計(jì)處理為所述統(tǒng)計(jì)處理 為對IP分片提取關(guān)鍵信息并且進(jìn)行記錄和統(tǒng)計(jì),同時(shí)釋放IP分片占用的存儲(chǔ)資源。
步驟S210中,若所屬IP數(shù)據(jù)包的TCP連接已經(jīng)建立,則對所述到達(dá)的IP分片報(bào) 文進(jìn)行分片重組。 由上述本發(fā)明的實(shí)施例提供的具體實(shí)施方案可以看出,通過接收網(wǎng)絡(luò)設(shè)備發(fā)送的 IP分片報(bào)文;當(dāng)所述IP分片報(bào)文所屬IP數(shù)據(jù)包記錄有完整的特征信息時(shí),檢測所述IP分 片報(bào)文所屬IP數(shù)據(jù)包的TCP連接是否已經(jīng)建立,其中所述特征信息包括源IP地址,目的 IP地址,源端口 ,目的端口 ,協(xié)議號(hào);若所述IP數(shù)據(jù)包的TCP連接沒有建立,則對所述IP數(shù) 據(jù)包的IP分片報(bào)文進(jìn)行丟棄處理或者記錄統(tǒng)計(jì)處理,快速識(shí)別出IP分片攻擊報(bào)文,從而解 決了因IP分片攻擊造成的性能瓶頸的問題,減輕了 NIDS/NIPS系統(tǒng)的存儲(chǔ)資源和CPU資源 壓力,從而提高了 NIDS/NIPS系統(tǒng)的處理能力和IP分片重組的效率。 請參見圖3,圖3為本發(fā)明實(shí)施方式中的一種處理IP分片重組裝置的組成結(jié)構(gòu)示 意圖。 —種處理IP分片報(bào)文裝置包括接收模塊300、檢測模塊302、處理模塊304,所述
IP分片報(bào)文裝置應(yīng)用于NIDS或者NIPS系統(tǒng)中具體為 接收模塊300 :用于接收網(wǎng)絡(luò)設(shè)備發(fā)送的IP分片報(bào)文。 具體為處理IP分片報(bào)文裝置接收網(wǎng)絡(luò)設(shè)備發(fā)送的IP分片報(bào)文,所述網(wǎng)絡(luò)設(shè)備可 以為路由器等網(wǎng)絡(luò)設(shè)備,所述處理IP分片報(bào)文裝置接收路由器發(fā)送的IP分片報(bào)文后,通過 交換機(jī)發(fā)送給用戶設(shè)備;也可以為交換機(jī)接收路由器發(fā)送的IP分片報(bào)文后,將所述報(bào)文鏡 像給處理IP分片報(bào)文裝置后,發(fā)送給接收模塊300 ;同時(shí)對用戶發(fā)送的報(bào)文也進(jìn)行相同的 處理。
檢測模塊302 :用于當(dāng)接收模塊300接收的IP分片報(bào)文所屬IP數(shù)據(jù)包記錄有完 整的特征信息時(shí),檢測所述IP分片報(bào)文所屬IP數(shù)據(jù)包的TCP連接是否已經(jīng)建立。
其中,所述特征信息包括源IP地址,目的IP地址,源端口 ,目的端口 ,協(xié)議號(hào)。
具體檢測所述IP數(shù)據(jù)包的TCP連接是否已經(jīng)建立的過程為獲取流表中與所述 IP數(shù)據(jù)包的特征信息相匹配的TCP連接狀態(tài),所述流表為所述IP數(shù)據(jù)包的特征信息和所述 IP數(shù)據(jù)包的連接狀態(tài)的對應(yīng)關(guān)系;根據(jù)所述流表中的IP數(shù)據(jù)包的連接狀態(tài),確定所述IP 數(shù)據(jù)是否已經(jīng)建立連接。所述流表存儲(chǔ)在處理IP分片報(bào)文的裝置中,所述處理IP分片報(bào) 文的裝置應(yīng)用于NIDS或者NIPS中。 所述流表為接收IP數(shù)據(jù)包時(shí),根據(jù)IP數(shù)據(jù)包的特征信息及TCP連接狀態(tài)動(dòng)態(tài)建 立的,并存儲(chǔ)在處理IP分片報(bào)文的裝置,。所述流表表項(xiàng)具體包括源IP地址,目的IP地 址,源端口 ,目的端口 ,協(xié)議號(hào)、TCP連接狀態(tài);具體連接狀態(tài)信息為已經(jīng)建立TCP連接或者 未建立TCP連接。 通過對已經(jīng)建立連接的IP分片報(bào)文進(jìn)行IP重組,快速區(qū)分出分片重組攻擊的報(bào)
文,減輕了 IDS/IPS系統(tǒng)的存儲(chǔ)資源和CPU資源壓力,提高了 NIDS/NIPS的處理能力。 處理模塊304 :用于根據(jù)所述檢測模塊302檢測到所述IP數(shù)據(jù)包的TCP連接沒有
建立,則對所述IP數(shù)據(jù)包的IP分片報(bào)文進(jìn)行丟棄處理或者記錄統(tǒng)計(jì)處理。 所述丟棄處理為釋放IP分片包占用的存儲(chǔ)資源;所述統(tǒng)計(jì)處理為對IP分片包提
取關(guān)鍵信息并且進(jìn)行記錄并統(tǒng)計(jì),同時(shí)釋放IP分片包占用的存儲(chǔ)資源。 通過上述技術(shù)方案的描述可知,本發(fā)明實(shí)施方式通過處理IP分片報(bào)文裝置,檢測
所述IP分片報(bào)文所屬IP數(shù)據(jù)包的TCP連接是否已經(jīng)建立;若所述IP數(shù)據(jù)包的TCP連接沒
有建立,則對所述IP數(shù)據(jù)包的IP分片報(bào)文進(jìn)行丟棄處理或者統(tǒng)計(jì)處理,從而解決了因IP
分片攻擊造成的性能瓶頸的問題,減輕了 NIDS/NIPS系統(tǒng)的存儲(chǔ)資源和CPU資源壓力,從而
提高了 NIDS/NIPS系統(tǒng)的處理能力和IP分片重組的效率。 請參見圖4,圖4為本發(fā)明實(shí)施方式中的一種處理IP分片報(bào)文系統(tǒng)的組成結(jié)構(gòu)示 意圖。 —種處理IP分片報(bào)文裝置系統(tǒng),所述系統(tǒng)包括接收模塊400、第一檢測模塊402、 第二檢測模塊404、處理模塊406,具體各模塊完成的功能如下
接收模塊400,用于接收網(wǎng)絡(luò)設(shè)備發(fā)送的IP分片報(bào)文。 具體為接收網(wǎng)絡(luò)設(shè)備發(fā)送的IP分片報(bào)文,所述網(wǎng)絡(luò)設(shè)備可以為路由器等網(wǎng)絡(luò)設(shè)
備,處理IP分片報(bào)文裝置接收網(wǎng)絡(luò)設(shè)備發(fā)送的IP分片報(bào)文,所述網(wǎng)絡(luò)設(shè)備可以為路由器等
網(wǎng)絡(luò)設(shè)備,所述處理IP分片報(bào)文裝置接收路由器發(fā)送的IP分片報(bào)文后,通過交換機(jī)發(fā)送給
用戶設(shè)備;也可以為交換機(jī)接收路由器發(fā)送的IP分片報(bào)文后,將所述報(bào)文鏡像給處理IP分
片報(bào)文裝置后發(fā)送給接收模塊400 ;同時(shí)對用戶發(fā)送的報(bào)文也進(jìn)行相同的處理。 第一檢測模塊402,用于檢測IP分片報(bào)文所屬IP數(shù)據(jù)包記錄的特征信息是否完整。 檢測所述IP數(shù)據(jù)包記錄的特征信息是否完整,即所述IP數(shù)據(jù)包是否記錄了源IP 地址,目的IP地址,源端口 ,目的端口 ,協(xié)議號(hào)信息。 如果所述特征信息完整,則將所述特征信息發(fā)送給第二檢測模塊404處理,否則, 所述第一檢測模塊402還用于當(dāng)所述當(dāng)前IP分片所屬IP數(shù)據(jù)包記錄的特征信息不完整,則等待接收所述IP數(shù)據(jù)包的下一個(gè)IP分片,直到所述IP數(shù)據(jù)包記錄有完整的特征信息。
第二檢測模塊404,用于當(dāng)所述檢測子模塊檢測到所述IP分片報(bào)文所屬IP數(shù)據(jù)包 記錄有完整的特征信息時(shí),檢測所述IP分片報(bào)文所屬IP數(shù)據(jù)包的TCP連接是否已經(jīng)建立, 并將檢測結(jié)果發(fā)送給處理模塊406處理。 第二檢測模塊404具體包括緩存模塊4042、提取模塊4044、比較模塊4046和匹 配處理模塊4048。 緩存模塊4042,用于動(dòng)態(tài)生成并緩存所述IP數(shù)據(jù)包的流表,所述流表為所述IP數(shù) 據(jù)包的特征信息和所述IP數(shù)據(jù)包的連接狀態(tài)的對應(yīng)關(guān)系。 獲取模塊4044,用于當(dāng)獲取流表中與所述IP數(shù)據(jù)包的特征信息相匹配的TCP連接 狀態(tài)。 匹配處理模塊4046,用于根據(jù)所述流表中的IP數(shù)據(jù)包的連接狀態(tài),確定所述IP數(shù) 據(jù)是否已經(jīng)建立連接,并將所述確定后的結(jié)果發(fā)給處理模塊406處理。。
所述流表為接收IP數(shù)據(jù)包時(shí),根據(jù)IP數(shù)據(jù)包的特征信息及TCP連接狀態(tài)動(dòng)態(tài)建 立的,并存儲(chǔ)在處理IP分片報(bào)文的裝置。所述流表表項(xiàng)具體包括源IP地址,目的IP地 址,源端口 ,目的端口 ,協(xié)議號(hào)、TCP連接狀態(tài);具體連接狀態(tài)信息為已經(jīng)建立TCP連接或者 未建立TCP連接。 處理模塊406,用于根據(jù)所述檢測模塊檢測到所述IP數(shù)據(jù)包的TCP連接沒有建立, 則對所述IP數(shù)據(jù)包的IP分片報(bào)文進(jìn)行丟棄處理或者統(tǒng)計(jì)處理。 所述丟棄處理為釋放IP分片包占用的存儲(chǔ)資源;所述統(tǒng)計(jì)處理為對IP分片包提 取關(guān)鍵信息并且進(jìn)行記錄統(tǒng)計(jì),同時(shí)釋放IP分片包占用的存儲(chǔ)資源。 處理模塊406,還用于當(dāng)所屬IP數(shù)據(jù)包的TCP連接已經(jīng)建立,則對所述到達(dá)的IP 分片報(bào)文進(jìn)行分片重組。 通過上述技術(shù)方案的描述可知,本發(fā)明實(shí)施方式通過處理IP分片報(bào)文裝置系統(tǒng) 檢測所述IP分片報(bào)文所屬IP數(shù)據(jù)包的TCP連接是否已經(jīng)建立;若所述IP數(shù)據(jù)包的TCP連 接沒有建立,則對所述IP數(shù)據(jù)包的IP分片報(bào)文進(jìn)行丟棄處理或者記錄統(tǒng)計(jì)處理,從而解決 了因IP分片攻擊造成的性能瓶頸的問題,減輕了 NIDS/NIPS系統(tǒng)的存儲(chǔ)資源和CPU資源壓 力,從而提高了 NIDS/NIPS系統(tǒng)的處理能力和IP分片重組的效率。 請參閱圖5,圖5為本發(fā)明實(shí)施方式中的一種處理IP分片報(bào)文系統(tǒng)的應(yīng)用場景圖。
所述處理IP分片報(bào)文系統(tǒng)內(nèi)置于NIDS/NIPS中,分別與路由器和交換機(jī)相連接, 所述交換機(jī)與用戶和該處理IP分片報(bào)文系統(tǒng)相連,具體連接關(guān)系見圖5所示。路由器完成 數(shù)據(jù)包的轉(zhuǎn)發(fā)、路由,將目標(biāo)地址為內(nèi)網(wǎng)用戶的數(shù)據(jù)包轉(zhuǎn)發(fā)給所述處理IP分片報(bào)文系統(tǒng), 同時(shí)將目標(biāo)地址是外網(wǎng)用戶的數(shù)據(jù)包轉(zhuǎn)發(fā)出去。處理IP分片報(bào)文系統(tǒng)檢查分析所有IP分 片,當(dāng)所述IP分片報(bào)文所屬IP數(shù)據(jù)包記錄有完整的特征信息時(shí),檢測所述IP分片報(bào)文所 屬IP數(shù)據(jù)包的TCP連接是否已經(jīng)建立,其中所述特征信息包括源IP地址,目的IP地址, 源端口 ,目的端口 ,協(xié)議號(hào);若所述IP數(shù)據(jù)包的TCP連接沒有建立,則對所述IP數(shù)據(jù)包的 IP分片報(bào)文進(jìn)行丟棄處理或者記錄統(tǒng)計(jì)處理,并且將處理結(jié)果報(bào)告給網(wǎng)絡(luò)管理系統(tǒng),網(wǎng)絡(luò) 管理系統(tǒng)根據(jù)檢測結(jié)果對處理IP分片報(bào)文系統(tǒng)、路由器和用戶進(jìn)行配置和調(diào)整,同時(shí)所述 處理IP分片報(bào)文系統(tǒng)也可以接收用戶發(fā)送的IP報(bào)文,并進(jìn)行相同的處理流程。
請參閱圖6,圖6本發(fā)明實(shí)施方式中的另一種處理IP分片報(bào)文系統(tǒng)的應(yīng)用場景圖。
處理IP分片報(bào)文系統(tǒng)內(nèi)置于NIDS/NIPS中,分別與交換和網(wǎng)絡(luò)管理系統(tǒng)相連接, 交換機(jī)分別與用戶和路由器相連,具體連接關(guān)系見圖6所示。交換機(jī)將路由器發(fā)送的流量, 通過流量鏡像(或者分光)給處理IP分片報(bào)文系統(tǒng),處理IP分片報(bào)文系統(tǒng)檢查分析所述 IP分片,當(dāng)所述IP分片報(bào)文所屬IP數(shù)據(jù)包記錄有完整的特征信息時(shí),檢測所述IP分片報(bào) 文所屬IP數(shù)據(jù)包的TCP連接是否已經(jīng)建立,其中所述特征信息包括源IP地址,目的IP地 址,源端口 ,目的端口 ,協(xié)議號(hào);若所述IP數(shù)據(jù)包的TCP連接沒有建立,則對所述IP數(shù)據(jù)包 的IP分片報(bào)文進(jìn)行丟棄處理或者記錄統(tǒng)計(jì)處理,并將處理結(jié)果報(bào)告給網(wǎng)絡(luò)管理系統(tǒng),網(wǎng)絡(luò) 管理系統(tǒng)根據(jù)檢測結(jié)果對處理IP分片報(bào)文系統(tǒng)、路由器和用戶進(jìn)行配置和調(diào)整,也可以當(dāng) 所述IP數(shù)據(jù)包的TCP連接沒有建立時(shí),直接將所述未建立連接的結(jié)果上報(bào)給網(wǎng)絡(luò)管理系統(tǒng) 進(jìn)行處理,同時(shí)所述處理IP分片報(bào)文系統(tǒng)也可以接收用戶發(fā)送的IP報(bào)文,并進(jìn)行相同的處 理流程。 以上所述,僅為本發(fā)明較佳的具體實(shí)施方式
,但本發(fā)明的保護(hù)范圍并不局限于此, 任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換, 都應(yīng)該涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范 圍為準(zhǔn)。
權(quán)利要求
一種處理IP分片報(bào)文的方法,其特征在于,包括接收網(wǎng)絡(luò)設(shè)備發(fā)送的IP分片報(bào)文;當(dāng)所述IP分片報(bào)文所屬IP數(shù)據(jù)包記錄有完整的特征信息時(shí),檢測所述IP分片報(bào)文所屬IP數(shù)據(jù)包的TCP連接是否已經(jīng)建立,其中所述特征信息包括源IP地址,目的IP地址,源端口,目的端口,協(xié)議號(hào);若所述IP數(shù)據(jù)包的TCP連接沒有建立,則對所述IP數(shù)據(jù)包的IP分片報(bào)文進(jìn)行丟棄處理或者統(tǒng)計(jì)處理。
2. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述IP分片報(bào)文所屬IP數(shù)據(jù)包記錄有完 整的特征信息之前還包括檢測IP分片報(bào)文所屬IP數(shù)據(jù)包記錄的特征信息是否完整。
3. 根據(jù)權(quán)利要求2所述的方法,其特征在于,所述方法進(jìn)一步包括當(dāng)所述當(dāng)前IP分片報(bào)文所屬IP數(shù)據(jù)包記錄的特征信息不完整時(shí),則等待接收所述IP 數(shù)據(jù)包的下一個(gè)IP分片報(bào)文,直到所述IP數(shù)據(jù)包記錄有完整的特征信息。
4. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述檢測所述IP分片報(bào)文所屬IP數(shù)據(jù)包 的TCP連接是否已經(jīng)建立的步驟具體包括獲取流表中與所述IP數(shù)據(jù)包的特征信息相匹配的TCP連接狀態(tài),所述流表為所述IP 數(shù)據(jù)包的特征信息和所述IP數(shù)據(jù)包的連接狀態(tài)的對應(yīng)關(guān)系;根據(jù)所述流表中的IP數(shù)據(jù)包的連接狀態(tài),確定所述IP數(shù)據(jù)是否已經(jīng)建立連接。
5. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法進(jìn)一步包括若所屬IP數(shù)據(jù)包的TCP連接已經(jīng)建立,則對所述到達(dá)的IP分片報(bào)文進(jìn)行分片重組。
6. —種處理IP分片報(bào)文的裝置,其特征在于,所述裝置包括 接收模塊用于接收網(wǎng)絡(luò)設(shè)備發(fā)送的IP分片報(bào)文;檢測模塊用于當(dāng)所述IP分片報(bào)文所屬IP數(shù)據(jù)包記錄有完整的特征信息時(shí),檢測所述 IP分片報(bào)文所屬IP數(shù)據(jù)包的TCP連接是否已經(jīng)建立;處理模塊用于根據(jù)所述檢測模塊檢測到所述IP數(shù)據(jù)包的TCP連接沒有建立,則對所 述IP數(shù)據(jù)包的IP分片報(bào)文進(jìn)行丟棄處理或者統(tǒng)計(jì)處理。
7. —種處理IP分片報(bào)文系統(tǒng),其特征在于,所述系統(tǒng)包括 接收模塊,用于接收網(wǎng)絡(luò)設(shè)備發(fā)送的IP分片報(bào)文;第一檢測模塊,用于檢測IP分片報(bào)文所屬IP數(shù)據(jù)包記錄的特征信息是否完整; 第二檢測模塊,用于當(dāng)所述檢測子模塊檢測到所述IP分片報(bào)文所屬IP數(shù)據(jù)包記錄有完整的特征信息時(shí),檢測所述IP分片報(bào)文所屬IP數(shù)據(jù)包的TCP連接是否已經(jīng)建立;處理模塊,用于根據(jù)所述檢測模塊檢測到所述IP數(shù)據(jù)包的TCP連接沒有建立,則對所述IP數(shù)據(jù)包的IP分片報(bào)文進(jìn)行丟棄處理或者統(tǒng)計(jì)處理。
8 . 根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于,所述第一檢測模塊還用于當(dāng)所述當(dāng)前IP 分片所屬IP數(shù)據(jù)包記錄的特征信息不完整時(shí),等待接收所述IP數(shù)據(jù)包的下一個(gè)IP分片報(bào) 文,直到所述IP數(shù)據(jù)包記錄有完整的特征信息。
9. 根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于,所述第二檢測模塊具體包括 緩存模塊,用于緩存所述IP數(shù)據(jù)包的流表,所述流表為所述IP數(shù)據(jù)包的特征信息和所述IP數(shù)據(jù)包的連接狀態(tài)的對應(yīng)關(guān)系;獲取模塊,用于當(dāng)獲取流表中與所述IP數(shù)據(jù)包的特征信息相匹配的TCP連接狀態(tài); 匹配處理模塊,用于根據(jù)所述流表中的IP數(shù)據(jù)包的連接狀態(tài),確定所述IP數(shù)據(jù)是否已 經(jīng)建立連接。
10.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于,所述處理模塊還用于當(dāng)所屬IP數(shù)據(jù)包的 TCP連接已經(jīng)建立時(shí),對所述到達(dá)的IP分片報(bào)文進(jìn)行分片重組。
全文摘要
本發(fā)明提供了一種處理IP分片報(bào)文的方法、裝置及系統(tǒng)。本發(fā)明所述方法包括接收網(wǎng)絡(luò)設(shè)備發(fā)送的IP分片報(bào)文;當(dāng)所述IP分片報(bào)文所屬IP數(shù)據(jù)包記錄有完整的特征信息時(shí),檢測所述IP分片報(bào)文所屬IP數(shù)據(jù)包的TCP連接是否已經(jīng)建立,其中所述特征信息包括源IP地址,目的IP地址,源端口,目的端口,協(xié)議號(hào);若所述IP數(shù)據(jù)包的TCP連接沒有建立,則對所述IP數(shù)據(jù)包的IP分片報(bào)文進(jìn)行丟棄處理或者記錄統(tǒng)計(jì)處理。本發(fā)明通過快速準(zhǔn)確地識(shí)別出IP分片攻擊報(bào)文,解決了因IP分片攻擊造成的性能瓶頸的問題,減輕了NIDS/NIPS系統(tǒng)的存儲(chǔ)資源和CPU計(jì)算資源壓力,從而提高了NIDS/NIPS系統(tǒng)的處理能力和IP分片重組的效率。
文檔編號(hào)H04L12/26GK101771575SQ20081024196
公開日2010年7月7日 申請日期2008年12月29日 優(yōu)先權(quán)日2008年12月29日
發(fā)明者張波, 王勇, 趙玉超, 陳國海 申請人:華為技術(shù)有限公司