專利名稱:一種報(bào)文接收方法、深度包檢測(cè)設(shè)備及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,尤其涉及一種報(bào)文接收方法、深度包檢測(cè)設(shè)備及系統(tǒng)。
背景技術(shù):
隨著互聯(lián)網(wǎng)業(yè)務(wù)日漸成熟,業(yè)務(wù)種類逐漸增加,用戶終端可以訪問的網(wǎng)站,包括視頻網(wǎng)站,游戲網(wǎng)站等,這些網(wǎng)站既存在免費(fèi)的,也有根據(jù)運(yùn)營(yíng)商的需求進(jìn)行收費(fèi)的,用戶終端可以根據(jù)自己的需求選擇訪問。一般情況下,用戶想要訪問網(wǎng)站使用的業(yè)務(wù)服務(wù)器對(duì)應(yīng)著一個(gè)IP (InternetProtocol,網(wǎng)絡(luò)協(xié)議)地址,用戶可以通過發(fā)送攜帶有域名和需要訪問的網(wǎng)站相關(guān)信息的報(bào)文,通常情況下,DPI (Deep Packet Inspection,深度包檢測(cè))設(shè)備對(duì)報(bào)文信息進(jìn)行策略 匹配時(shí),需要使用包含有host字段的完整URL(Uniform Resource Location,統(tǒng)一資源定位符)信息,這與現(xiàn)有的業(yè)務(wù)服務(wù)器對(duì)報(bào)文的處理原則不同,會(huì)造成DPI設(shè)備檢測(cè)存在漏洞,如這種業(yè)務(wù)服務(wù)器僅檢測(cè)報(bào)文的URL中的路徑信息,而不檢測(cè)host字段,使得業(yè)務(wù)服務(wù)器可以根據(jù)路徑信息返回訪問結(jié)果,而不判斷該路徑信息是否與host字段提供的路徑一致,即無法判斷用戶是否篡改了 host字段。這樣會(huì)造成用戶通過篡改報(bào)文,達(dá)到成功訪問收費(fèi)業(yè)務(wù),但DPI設(shè)備無法識(shí)別用戶終端是否通過修改報(bào)文中的host字段而達(dá)到欺詐性的免費(fèi)訪問收費(fèi)網(wǎng)站的目的等。
發(fā)明內(nèi)容
本發(fā)明的實(shí)施例提供一種報(bào)文接收方法、深度包檢測(cè)設(shè)備及系統(tǒng),能夠提高深度包檢測(cè)設(shè)備對(duì)報(bào)文的辨識(shí)能力,防止由于辨識(shí)不足而出現(xiàn)漏洞。為達(dá)到上述目的,本發(fā)明的實(shí)施例采用如下技術(shù)方案一方面,提供一種報(bào)文接收方法,包括接收終端設(shè)備發(fā)送的業(yè)務(wù)請(qǐng)求的報(bào)文,所述報(bào)文攜帶有指示所述終端設(shè)備的終端域名和指示所述終端設(shè)備業(yè)務(wù)請(qǐng)求的業(yè)務(wù)服務(wù)器的服務(wù)器域名;解析接收的所述服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址;若解析的所述業(yè)務(wù)服務(wù)器IP地址不屬于接收的所述終端域名在預(yù)設(shè)列表中對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則對(duì)所述報(bào)文進(jìn)行丟包。一方面,提供一種深度包檢測(cè)DPI設(shè)備,包括接收單元,用于接收終端設(shè)備發(fā)送的業(yè)務(wù)請(qǐng)求的報(bào)文,所述報(bào)文攜帶有指示所述終端設(shè)備的終端域名和指示所述終端設(shè)備業(yè)務(wù)請(qǐng)求的業(yè)務(wù)服務(wù)器的服務(wù)器域名;解析單元,用于解析所述接收單元接收的所述服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址;處理單元,用于若所述解析單元解析的所述業(yè)務(wù)服務(wù)器IP地址不屬于所述接收單元接收的所述終端域名在預(yù)設(shè)列表中對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則對(duì)所述報(bào)文進(jìn)行丟包。
另一方面,提供一種系統(tǒng),包括上述的DPI設(shè)備;終端設(shè)備,用于向所述DPI設(shè)備發(fā)送業(yè)務(wù)請(qǐng)求的報(bào)文,所述報(bào)文攜帶有指示所述終端設(shè)備的終端域名和指示所述終端設(shè)備業(yè)務(wù)請(qǐng)求的業(yè)務(wù)服務(wù)器的服務(wù)器域名。本發(fā)明實(shí)施例提供的報(bào)文接收方法、DPI設(shè)備及系統(tǒng),DPI設(shè)備接收終端設(shè)備發(fā)送的業(yè)務(wù)請(qǐng)求的報(bào)文,報(bào)文攜帶有指示終端設(shè)備的終端域名和指示業(yè)務(wù)請(qǐng)求的業(yè)務(wù)服務(wù)器的服務(wù)器域名,解析服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址,若業(yè)務(wù)服務(wù)器IP地址不屬于終端域名在預(yù)設(shè)列表中對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則對(duì)報(bào)文進(jìn)行丟包。這樣一來,DPI設(shè)備能夠通過比較報(bào)文的業(yè)務(wù)服務(wù)器IP地址和預(yù)設(shè)表格中該終端設(shè)備的終端域名對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址是否吻合,判斷出該報(bào)文是正常報(bào)文還是異常報(bào)文,對(duì)異常報(bào)文進(jìn)行丟包,這樣提高DPI設(shè)備對(duì)報(bào)文的辨識(shí)能力,防止由于辨識(shí)不足,而導(dǎo)致服務(wù)器對(duì)異常報(bào)文進(jìn)行正常處理而出現(xiàn)漏洞。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖I為本發(fā)明實(shí)施例提供的報(bào)文接收方法流程示意圖;圖2為本發(fā)明實(shí)施例提供的真實(shí)報(bào)文和被篡改報(bào)文對(duì)比圖;圖3為發(fā)明另一實(shí)施例提供的報(bào)文接收方法流程示意圖;圖4為本發(fā)明實(shí)施例提供的DPI設(shè)備的結(jié)構(gòu)示意圖;圖5為本發(fā)明另一實(shí)施例提供的DPI設(shè)備的結(jié)構(gòu)示意圖;圖6為本發(fā)明實(shí)施例提供的系統(tǒng)結(jié)構(gòu)示意圖。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。本發(fā)明實(shí)施例提供的報(bào)文接收方法,如圖I所示,該方法步驟包括S10UDPI設(shè)備接收終端設(shè)備發(fā)送的業(yè)務(wù)請(qǐng)求的報(bào)文,報(bào)文攜帶有指示終端設(shè)備的終端域名和指示終端設(shè)備業(yè)務(wù)請(qǐng)求的業(yè)務(wù)服務(wù)器的服務(wù)器域名。需要說明的是,本實(shí)施例適用的網(wǎng)絡(luò)可以是是基于TCP/IP (TransmissionControl Protocol/Internet Protocol,傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議)進(jìn)行通信和連接的,在這樣的網(wǎng)絡(luò)中,每一個(gè)與網(wǎng)絡(luò)相連接的終端設(shè)備和業(yè)務(wù)服務(wù)器都有一個(gè)唯一的標(biāo)識(shí),以區(qū)別在網(wǎng)絡(luò)上成千上萬個(gè)終端設(shè)備和業(yè)務(wù)服務(wù)器等。一般情況下,這個(gè)唯一的標(biāo)識(shí)可以為字符型地址,即域名。由于每個(gè)終端設(shè)備和業(yè)務(wù)服務(wù)器都有自己獨(dú)一無二的域名,因此終端設(shè)備在向DPI設(shè)備請(qǐng)求服務(wù)的時(shí)候,僅需要告知DPI設(shè)備自己的域名,記作終端域名,DPI設(shè)備就可以通過終端域名找到這個(gè)終端設(shè)備,并向終端設(shè)備轉(zhuǎn)發(fā)或提供該終端設(shè)備所需的服務(wù),此外,終端設(shè)備可以通過在報(bào)文中寫入業(yè)務(wù)服務(wù)器的域名,記作服務(wù)器域名,來實(shí)現(xiàn)對(duì)業(yè)務(wù)請(qǐng)求所需要的業(yè)務(wù)服務(wù)器的訪問。示例性的,終端設(shè)備需要訪問網(wǎng)絡(luò)上可用的資源,如超文本標(biāo)記語言文檔、圖像、視頻片段、程序等,由于支持不同網(wǎng)站的業(yè)務(wù)服務(wù)器,都可以通過服務(wù)器域名作為唯一的標(biāo)識(shí)進(jìn)行識(shí)別,因此當(dāng)終端設(shè)備根據(jù)需要訪問網(wǎng)站時(shí),需要發(fā)送一個(gè)寫入了該網(wǎng)站對(duì)應(yīng)的業(yè)務(wù)服務(wù)器的服務(wù)器域名的URL報(bào)文,其中,服務(wù)器域名為終端設(shè)備需要訪問網(wǎng)站的業(yè)務(wù)服務(wù)器的字符型地址,如當(dāng)用戶需要使用終端設(shè)備訪問A公司的網(wǎng)站時(shí),URL可以寫為
A. com 等。
S102、DPI設(shè)備解析接收的服務(wù)器域名得到業(yè)務(wù)服務(wù)器IP地址。進(jìn)一步的,DPI設(shè)備對(duì)服務(wù)器域名進(jìn)行DNS (Domain Name Server,域名服務(wù))解析,如通過本地查詢、緩存查詢和迭代查詢等方式進(jìn)行解析,這樣就可以將用戶易于熟記的域名,如WWW. baidu. com、www. google, com等轉(zhuǎn)換為機(jī)器可識(shí)別的IP地址,如I. I. I. 10、2. 2. 2. 2等,并記作業(yè)務(wù)服務(wù)器IP地址,進(jìn)而使得DPI設(shè)備通過業(yè)務(wù)服務(wù)器IP地址幫助終端設(shè)備訪問到業(yè)務(wù)服務(wù)器,以使得業(yè)務(wù)服務(wù)器為終端設(shè)備提供服務(wù)。S103、若DPI設(shè)備解析的業(yè)務(wù)服務(wù)器IP地址不屬于接收的終端域名在預(yù)設(shè)列表中對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則對(duì)報(bào)文進(jìn)行丟包。需要說明的是,DPI設(shè)備中預(yù)先設(shè)置有一個(gè)預(yù)設(shè)列表,如表I所示,該預(yù)設(shè)列表中每個(gè)終端設(shè)備的終端域名對(duì)應(yīng)設(shè)置有該終端設(shè)備的訪問權(quán)限下的可訪問業(yè)務(wù)服務(wù)器IP地址,記作預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,一個(gè)終端設(shè)備可以對(duì)應(yīng)多個(gè)預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址。
f貞設(shè)業(yè)務(wù)服務(wù)器IP終端域名地址
www.huawei.com1.1.1.1
「 2.2.2.20
www.google.com2.2.2.2表I示例性的,如表I所示,終端設(shè)備A的終端域名為www. huawei. com,終端設(shè)備A只能訪問I. I. I. I和2. 2. 2. 20兩個(gè)預(yù)設(shè)業(yè)務(wù)服務(wù)器,假設(shè)這兩個(gè)預(yù)設(shè)業(yè)務(wù)服務(wù)器都是不計(jì)費(fèi)服務(wù)的,而終端設(shè)備B的終端域名為www. google, com,終端設(shè)備B可以訪問2. 2. 2. 2,該IP地址對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器是計(jì)費(fèi)的。如圖2所示,假設(shè)www. huawei. com對(duì)應(yīng)的IP地址為I. I. I. 1,www. google, com對(duì)應(yīng)的IP地址為2. 2. 2. 2,也就是說終端設(shè)備A只能訪問免費(fèi)的WWW. huawei. com的預(yù)設(shè)業(yè)務(wù)服務(wù)器,但不可以訪問www. google, com的預(yù)設(shè)業(yè)務(wù)服務(wù)器,但是由于現(xiàn)有技術(shù)中,對(duì)報(bào)文中的URL處理時(shí),業(yè)務(wù)服務(wù)器僅只關(guān)注GET請(qǐng)求之后的路徑,而不檢測(cè)host字段,將訪問的結(jié)果按照GET后的路徑返回,而不判斷該路徑信息是否與host字段提供的路徑一致,業(yè)務(wù)服務(wù)器對(duì)host之后的地址僅讀取然后訪問,但不檢查host之后的字段是否是正確的免費(fèi)訪問的網(wǎng)站的字段,就使得如果終端終端設(shè)備A將host之后的域名從www. google, com改為www. huawei. com,那么終端設(shè)備A可以不計(jì)費(fèi)的訪問www.google, com,而訪問結(jié)果可以通過GET后的www. huawei. com返回終端設(shè)備A,這樣一來,終端設(shè)備通過篡改報(bào)文,達(dá)到成功訪問收費(fèi)業(yè)務(wù),但DPI設(shè)備無法識(shí)別終端設(shè)備是否通過修改報(bào)文中的host字段而達(dá)到欺詐性的免費(fèi)訪問收費(fèi)網(wǎng)站的目的。所以本發(fā)明實(shí)施例提供的DPI設(shè)備將終端設(shè)備A的終端域名www. huawei. com與其可訪問的業(yè)務(wù)服務(wù)器,記作預(yù)設(shè)業(yè)務(wù)服務(wù)器,設(shè)置在預(yù)設(shè)列表中,如果對(duì)終端設(shè)備A解析得到的服務(wù)器域名對(duì)應(yīng)的業(yè)務(wù)服務(wù)器IP地址不屬于表一中的終端域名www. huawei. com,即終端設(shè)備A對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,如服務(wù)器域名解析得到2. 2. 2. 2,既不是
1.I. I. I也不是2. 2. 2. 20,則認(rèn)為這個(gè)報(bào)文出現(xiàn)異常,對(duì)這個(gè)異常的報(bào)文進(jìn)行丟包,以防止終端設(shè)備A通過篡改報(bào)文,達(dá)到成功訪問收費(fèi)業(yè)務(wù),如果服務(wù)器域名解析得到2. 2. 2. 20,屬于I. I. I. I和2. 2. 2. 20,可以認(rèn)為這個(gè)報(bào)文是正常的,則根據(jù)報(bào)文請(qǐng)求的業(yè)務(wù)請(qǐng)求對(duì)終端設(shè)備A和IP地址為2. 2. 2. 20的業(yè)務(wù)服務(wù)器進(jìn)行連接,使得業(yè)務(wù)服務(wù)器為終端設(shè)備A提供業(yè)務(wù)請(qǐng)求的服務(wù)?!け景l(fā)明實(shí)施例提供的報(bào)文接收方法,DPI設(shè)備接收終端設(shè)備發(fā)送的業(yè)務(wù)請(qǐng)求的報(bào)文,報(bào)文攜帶有指示終端設(shè)備的終端域名和指示業(yè)務(wù)請(qǐng)求的業(yè)務(wù)服務(wù)器的服務(wù)器域名,解析服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址,若業(yè)務(wù)服務(wù)器IP地址不屬于終端域名在預(yù)設(shè)列表中對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則對(duì)報(bào)文進(jìn)行丟包。這樣一來,DPI設(shè)備能夠通過比較報(bào)文的業(yè)務(wù)服務(wù)器IP地址和預(yù)設(shè)表格中該終端設(shè)備的終端域名對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址是否吻合,判斷出該報(bào)文是正常報(bào)文還是異常報(bào)文,對(duì)異常報(bào)文進(jìn)行丟包,這樣提高DPI設(shè)備對(duì)報(bào)文的辨識(shí)能力,防止由于辨識(shí)不足,而導(dǎo)致DPI設(shè)備對(duì)異常報(bào)文進(jìn)行正常處理而出現(xiàn)漏洞。本發(fā)明另一實(shí)施例提供的報(bào)文接收方法,以具有DNS解析功能的網(wǎng)關(guān)設(shè)備舉例說明,其他具有DNS解析功能的設(shè)備也在保護(hù)范圍之內(nèi),如圖3所示,該方法步驟包括S201、網(wǎng)關(guān)設(shè)備接收終端設(shè)備發(fā)送的DNS報(bào)文,DNS報(bào)文攜帶有指示終端設(shè)備的終端域名及終端域名對(duì)應(yīng)的至少一個(gè)可訪問業(yè)務(wù)服務(wù)器的真實(shí)域名。值得指出的是,網(wǎng)關(guān)設(shè)備可以在較為空閑的時(shí)間向終端設(shè)備發(fā)送DNS查詢請(qǐng)求,以使得各個(gè)終端設(shè)備向網(wǎng)關(guān)設(shè)備發(fā)送DNS報(bào)文,也可以不發(fā)送這個(gè)查詢請(qǐng)求,而在接收到終端設(shè)備的DNS報(bào)文時(shí),獲得DNS報(bào)文攜帶的指示終端設(shè)備的終端域名及終端域名對(duì)應(yīng)的至少一個(gè)可訪問業(yè)務(wù)服務(wù)器的真實(shí)域名。S202、網(wǎng)關(guān)設(shè)備解析接收的真實(shí)域名得到至少一個(gè)可訪問業(yè)務(wù)服務(wù)器IP地址。需要說明的是,網(wǎng)關(guān)設(shè)備解析真實(shí)域名得到終端設(shè)備有權(quán)限訪問的服務(wù)器IP地址,如可以免費(fèi)訪問的IP地址等。S203、網(wǎng)關(guān)設(shè)備將解析的至少一個(gè)可訪問業(yè)務(wù)服務(wù)器IP地址作為預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,與終端域名對(duì)應(yīng)設(shè)置在預(yù)設(shè)列表中。示例性的,網(wǎng)關(guān)設(shè)備將解析的終端設(shè)備A的可訪問業(yè)務(wù)服務(wù)器IP地址,如
2.2. 2. 20和I. I. I. I對(duì)應(yīng)終端域名HTTP/1. l\r\n設(shè)置在預(yù)設(shè)列表中,其中,可訪問業(yè)務(wù)服務(wù)器IP地址記作預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,將解析的終端設(shè)備B的可訪問業(yè)務(wù)服務(wù)器IP地址,如2. 2. 2. 2對(duì)應(yīng)終端域名HTTP/1. 2\r\n設(shè)置在預(yù)設(shè)列表中,其中,可訪問業(yè)務(wù)服務(wù)器IP地址記作預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,以此類推,建立一個(gè)預(yù)設(shè)列表,以使得網(wǎng)關(guān)設(shè)備可以根據(jù)列表中終端域名對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址判斷后續(xù)接收到的該終端域名對(duì)應(yīng)的終端設(shè)備A或終端設(shè)備B等請(qǐng)求的業(yè)務(wù)服務(wù)器是否在可訪問范圍內(nèi)。需要說明的,S201、S202和S203與S204和S205沒有順序關(guān)系,S201、S202和S203只需在S206、S207或S208之前執(zhí)行即可。S204、網(wǎng)關(guān)設(shè)備接收終端設(shè)備發(fā)送的業(yè)務(wù)請(qǐng)求的報(bào)文,報(bào)文攜帶有指示終端設(shè)備的終端域名和指示終端設(shè)備業(yè)務(wù)請(qǐng)求的業(yè)務(wù)服務(wù)器的服務(wù)器域名。S205、網(wǎng)關(guān)設(shè)備解析接收的服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址。需要說明的是,S205之后,若解析的業(yè)務(wù)服務(wù)器IP地址不屬于接收的終端域名在預(yù)設(shè)列表中對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則執(zhí)行步驟S206,若解析的業(yè)務(wù)服務(wù)器IP地址 屬于接收的終端域名在預(yù)設(shè)列表中對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則根據(jù)網(wǎng)關(guān)設(shè)備的需求執(zhí)行步驟S207或S208。S206、網(wǎng)關(guān)設(shè)備對(duì)報(bào)文進(jìn)行丟包。由于解析的業(yè)務(wù)服務(wù)器IP地址不屬于接收的終端域名在預(yù)設(shè)列表中對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,網(wǎng)關(guān)設(shè)備可以確定該報(bào)文是惡意欺詐的報(bào)文或異常報(bào)文,對(duì)該報(bào)文進(jìn)行丟包,方法在上述實(shí)施例中已經(jīng)展開,在此不再贅述。S207、網(wǎng)關(guān)設(shè)備使終端設(shè)備與業(yè)務(wù)服務(wù)器IP地址對(duì)應(yīng)的業(yè)務(wù)服務(wù)器建立連接,以使得業(yè)務(wù)服務(wù)器向終端設(shè)備提供針對(duì)終端設(shè)備的業(yè)務(wù)請(qǐng)求的服務(wù)。需要說明的是,由于解析的業(yè)務(wù)服務(wù)器IP地址屬于接收的終端域名在預(yù)設(shè)列表中對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,也就是說終端設(shè)備只是需要正常訪問可訪問業(yè)務(wù)服務(wù)器,那么網(wǎng)關(guān)設(shè)備就可以使得終端設(shè)備與業(yè)務(wù)服務(wù)器建立連接,以使得業(yè)務(wù)服務(wù)器為終端設(shè)備提供視頻數(shù)據(jù)或者音頻數(shù)據(jù)等終端設(shè)備請(qǐng)求的服務(wù)。S208、網(wǎng)關(guān)設(shè)備根據(jù)終端設(shè)備的終端域名確定業(yè)務(wù)請(qǐng)求的業(yè)務(wù)類型。示例性的,若網(wǎng)關(guān)設(shè)備的需求是識(shí)別終端設(shè)備發(fā)送的加密的業(yè)務(wù)類型,或者識(shí)別IP地址不斷變化的終端設(shè)備的業(yè)務(wù)類型,可以通過比對(duì)預(yù)設(shè)列表中的終端域名與預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址獲得業(yè)務(wù)類型。即如果終端設(shè)備的業(yè)務(wù)請(qǐng)求是加密的,比如某一下載工具是加密的,或者某一郵件工具是加密的,此時(shí)網(wǎng)關(guān)設(shè)備無法對(duì)于這些加密類應(yīng)用通過解析URL等特征獲取到具體的業(yè)務(wù)應(yīng)用類型,但又需要對(duì)所有的下載工具進(jìn)行下載限制,這時(shí),網(wǎng)關(guān)設(shè)備可以在判斷了預(yù)設(shè)列表中的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址與終端設(shè)備的業(yè)務(wù)服務(wù)器IP地址相同后,根據(jù)預(yù)設(shè)列表中的該終端設(shè)備的終端域名自動(dòng)配出業(yè)務(wù)類型,這時(shí)如果終端設(shè)備A的業(yè)務(wù)類型是加密的下載工具,終端設(shè)備B的業(yè)務(wù)類型是加密的郵件工具,則可以識(shí)別并對(duì)終端設(shè)備A的下載進(jìn)行限制。這樣一來,就可以避免解析中遇見反識(shí)別軟件使無法獲取業(yè)務(wù)類型,無法對(duì)加密的業(yè)務(wù)類型進(jìn)行操作的情況。另外,如果上述終端設(shè)備B的業(yè)務(wù)類型為郵件下載加密,且業(yè)務(wù)類型沒有明顯特征和特定IP地址,即IP地址一直處于變化狀態(tài),這時(shí)可以通過本發(fā)明實(shí)施例中提供的預(yù)設(shè)列表,在判斷了預(yù)設(shè)列表中的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址與終端設(shè)備的業(yè)務(wù)服務(wù)器IP地址相同后,根據(jù)預(yù)設(shè)列表中的該終端設(shè)備B的終端域名獲取到終端設(shè)備B,進(jìn)而識(shí)別出具體業(yè)務(wù)類型,如在網(wǎng)關(guān)設(shè)備上配置域名和業(yè)務(wù)類型的對(duì)應(yīng)關(guān)系,如配置www. gmail. com域名,對(duì)應(yīng)的業(yè)務(wù)類型為郵件,就可以根據(jù)終端域名www. gmail. com獲取到終端設(shè)備B的業(yè)務(wù)類型為郵件。
需要說明的是,步驟S207和S208可以根據(jù)網(wǎng)關(guān)設(shè)備所需的處理方式不同而選擇一個(gè)步驟執(zhí)行,如需要判斷報(bào)文正常且需要將終端設(shè)備與業(yè)務(wù)服務(wù)器建立連接時(shí),執(zhí)行S207,若需要得知業(yè)務(wù)類型時(shí),則執(zhí)行S208。本發(fā)明實(shí)施例提供的報(bào)文接收方法,網(wǎng)關(guān)設(shè)備接收終端設(shè)備發(fā)送的業(yè)務(wù)請(qǐng)求的報(bào)文,報(bào)文攜帶有指示終端設(shè)備的終端域名和指示業(yè)務(wù)請(qǐng)求的業(yè)務(wù)服務(wù)器的服務(wù)器域名,解析服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址,若業(yè)務(wù)服務(wù)器IP地址不屬于終端域名在預(yù)設(shè)列表中對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則對(duì)報(bào)文進(jìn)行丟包。這樣一來,網(wǎng)關(guān)設(shè)備能夠通過比較報(bào)文的業(yè)務(wù)服務(wù)器IP地址和預(yù)設(shè)表格中該終端設(shè)備的終端域名對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址是否吻合,判斷出該報(bào)文是正常報(bào)文還是異常報(bào)文,對(duì)異常報(bào)文進(jìn)行丟包,這樣提高服務(wù)器對(duì)報(bào)文的辨識(shí)能力,防止由于辨識(shí)不足,而導(dǎo)致網(wǎng)關(guān)設(shè)備對(duì)異常報(bào)文進(jìn)行正常處理而出現(xiàn)漏洞。本發(fā)明實(shí)施例提供的DPI設(shè)備30,如圖4所示,包括接收單元301,用于接收終端設(shè)備40發(fā)送的業(yè)務(wù)請(qǐng)求的報(bào)文,報(bào)文攜帶有指示終·端設(shè)備40的終端域名和指示終端設(shè)備40業(yè)務(wù)請(qǐng)求的業(yè)務(wù)服務(wù)器的服務(wù)器域名。需要說明的是,DPI設(shè)備30可以通過接收單元301接收到的終端域名和服務(wù)器域名對(duì)終端設(shè)備40和該終端設(shè)備40所需的業(yè)務(wù)服務(wù)器建立連接,以使得終端設(shè)備40得到業(yè)務(wù)請(qǐng)求所需的服務(wù),在此不再贅述。解析單元302,用于解析接收單元301接收的服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址。需要說明的是,解析單元302可以實(shí)現(xiàn)將用戶易記憶的域名和機(jī)器易識(shí)別的IP地址之間相互的轉(zhuǎn)換。處理單元303,用于若解析單元302解析的業(yè)務(wù)服務(wù)器IP地址不屬于接收單元301接收的終端域名在預(yù)設(shè)列表中對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則對(duì)報(bào)文進(jìn)行丟包。需要說明的是,如果接收單元301接收的終端域名在預(yù)設(shè)列表中對(duì)應(yīng)的不是該終端域名應(yīng)該對(duì)應(yīng)的、可訪問的業(yè)務(wù)服務(wù)器,即預(yù)設(shè)列表中記作預(yù)設(shè)業(yè)務(wù)服務(wù)器時(shí),說明這個(gè)訪問的報(bào)文存在異常,可能是惡意欺詐,避過網(wǎng)絡(luò)計(jì)費(fèi)等,所以對(duì)該報(bào)文進(jìn)行丟包。處理單元303,還用于若解析單元302解析的業(yè)務(wù)服務(wù)器IP地址屬于接收單元301接收的終端域名在預(yù)設(shè)列表中對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則對(duì)終端設(shè)備40與業(yè)務(wù)服務(wù)器IP地址對(duì)應(yīng)的業(yè)務(wù)服務(wù)器建立連接,以使得業(yè)務(wù)服務(wù)器向終端設(shè)備40提供針對(duì)終端設(shè)備的業(yè)務(wù)請(qǐng)求的服務(wù)。或者,若解析單元302解析的業(yè)務(wù)服務(wù)器IP地址屬于接收單元301接收的終端域名在預(yù)設(shè)列表中對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則根據(jù)終端設(shè)備40的終端域名確定業(yè)務(wù)請(qǐng)求的業(yè)務(wù)類型。進(jìn)一步的,DPI設(shè)備30,如圖5所示,還包括發(fā)送單元,用于向終端設(shè)備40發(fā)送DNS查詢請(qǐng)求,以使得終端設(shè)備40發(fā)送DNS報(bào)文。其中,接收單元301,還用于接收終端設(shè)備40發(fā)送的DNS報(bào)文,DNS報(bào)文攜帶有終端域名及終端域名對(duì)應(yīng)的至少一個(gè)可訪問業(yè)務(wù)服務(wù)器的真實(shí)域名。解析單元302,還用于解析接收單元301接收的真實(shí)域名得到至少一個(gè)可訪問業(yè)務(wù)服務(wù)器IP地址。
此時(shí),處理單元303將解析單元302解析的至少一個(gè)可訪問業(yè)務(wù)服務(wù)器IP地址作為預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,與接收單元301接收的終端域名對(duì)應(yīng)設(shè)置在預(yù)設(shè)列表中,以使得后續(xù)接收單元301接收到業(yè)務(wù)請(qǐng)求的報(bào)文時(shí),根據(jù)終端域名在預(yù)設(shè)列表中比對(duì),防止報(bào)文要訪問的業(yè)務(wù)服務(wù)器IP地址不對(duì)應(yīng)預(yù)設(shè)列表中終端域名對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址時(shí)對(duì)該報(bào)文進(jìn)行正常處理。上述DPI設(shè)備30對(duì)應(yīng)上述方法實(shí)施例,該DPI設(shè)備30可以用于上述方法實(shí)施例的步驟中,其具體各個(gè)步驟中的應(yīng)用可以參照上述方法實(shí)施例,在此不再贅述。本發(fā)明實(shí)施例提供的DPI設(shè)備30,DPI設(shè)備30接收終端設(shè)備40發(fā)送的業(yè)務(wù)請(qǐng)求的報(bào)文,報(bào)文攜帶有指示終端設(shè)備40的終端域名和指示業(yè)務(wù)請(qǐng)求的業(yè)務(wù)服務(wù)器的服務(wù)器域名,解析服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址,若業(yè)務(wù)服務(wù)器IP地址不屬于終端域名在預(yù)設(shè)列表中對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則對(duì)報(bào)文進(jìn)行丟包。這樣一來,DPI設(shè)備30能夠通過比較報(bào)文的業(yè)務(wù)服務(wù)器IP地址和預(yù)設(shè)表格中該終端設(shè)備40的終端域名對(duì) 應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址是否吻合,判斷出該報(bào)文是正常報(bào)文還是異常報(bào)文,對(duì)異常報(bào)文進(jìn)行丟包,這樣提高DPI設(shè)備30對(duì)報(bào)文的辨識(shí)能力,防止由于辨識(shí)不足,而導(dǎo)致DPI設(shè)備對(duì)異常報(bào)文進(jìn)行正常處理而出現(xiàn)漏洞。本發(fā)明實(shí)施例提供的系統(tǒng),如圖6所示,包括DPI設(shè)備30,用于接收終端設(shè)備40發(fā)送的業(yè)務(wù)請(qǐng)求的報(bào)文,報(bào)文攜帶有指示終端設(shè)備40的終端域名和指示終端設(shè)備40業(yè)務(wù)請(qǐng)求的業(yè)務(wù)服務(wù)器的服務(wù)器域名;解析接收的服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址;若解析的業(yè)務(wù)服務(wù)器IP地址不屬于接收的終端域名在預(yù)設(shè)列表中對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則對(duì)報(bào)文進(jìn)行丟包。終端設(shè)備40,用于向DPI設(shè)備30發(fā)送業(yè)務(wù)請(qǐng)求的報(bào)文。上述DPI設(shè)備30和終端設(shè)備40對(duì)應(yīng)上述方法實(shí)施例,該DPI設(shè)備30和終端設(shè)備40可以用于上述方法實(shí)施例的步驟中,其具體各個(gè)步驟中的應(yīng)用可以參照上述方法實(shí)施例。其中,DPI設(shè)備30的具體結(jié)構(gòu)與上述實(shí)施例中提供的終端和DPI設(shè)備的結(jié)構(gòu)相同,在此不再贅述。本發(fā)明實(shí)施例提供的系統(tǒng),DPI設(shè)備30接收終端設(shè)備40發(fā)送的業(yè)務(wù)請(qǐng)求的報(bào)文,報(bào)文攜帶有指示終端設(shè)備40的終端域名和指示業(yè)務(wù)請(qǐng)求的目標(biāo)DPI設(shè)備的服務(wù)器域名,解析服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址,若業(yè)務(wù)服務(wù)器IP地址不屬于終端域名在預(yù)設(shè)列表中對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則對(duì)報(bào)文進(jìn)行丟包。這樣一來,服務(wù)器30能夠通過比較報(bào)文的業(yè)務(wù)服務(wù)器IP地址和預(yù)設(shè)表格中該終端設(shè)備40的終端域名對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址是否吻合,判斷出該報(bào)文是正常報(bào)文還是異常報(bào)文,對(duì)異常報(bào)文進(jìn)行丟包,這樣提高DPI設(shè)備30對(duì)報(bào)文的辨識(shí)能力,防止由于辨識(shí)不足,而導(dǎo)致DPI設(shè)備對(duì)異常報(bào)文進(jìn)行正常處理而出現(xiàn)漏洞。以上所述,僅為本發(fā)明的具體實(shí)施方式
,但本發(fā)明的保護(hù)范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)以所述權(quán)利要求的保護(hù)范圍為準(zhǔn)。
權(quán)利要求
1.一種報(bào)文接收方法,其特征在于,包括 接收終端設(shè)備發(fā)送的業(yè)務(wù)請(qǐng)求的報(bào)文,所述報(bào)文攜帶有指示所述終端設(shè)備的終端域名和指示所述終端設(shè)備業(yè)務(wù)請(qǐng)求的業(yè)務(wù)服務(wù)器的服務(wù)器域名; 解析接收的所述服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址; 若解析的所述業(yè)務(wù)服務(wù)器IP地址不屬于接收的所述終端域名在預(yù)設(shè)列表中對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則對(duì)所述報(bào)文進(jìn)行丟包。
2.根據(jù)權(quán)利要求I所述的方法,其特征在于,若解析的所述業(yè)務(wù)服務(wù)器IP地址不屬于接收的所述終端域名在預(yù)設(shè)列表中對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則對(duì)所述報(bào)文進(jìn)行丟包之前,還包括 接收終端設(shè)備發(fā)送的域名系統(tǒng)DNS報(bào)文,所述DNS報(bào)文攜帶有所述終端域名及所述終 端域名對(duì)應(yīng)的至少一個(gè)可訪問業(yè)務(wù)服務(wù)器的真實(shí)域名; 解析接收的所述真實(shí)域名得到至少一個(gè)可訪問業(yè)務(wù)服務(wù)器IP地址; 將解析的所述至少一個(gè)可訪問業(yè)務(wù)服務(wù)器IP地址作為所述預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,與所述終端域名對(duì)應(yīng)設(shè)置在所述預(yù)設(shè)列表中。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述接收終端設(shè)備發(fā)送的域名系統(tǒng)DNS報(bào)文之前,還包括 向所述終端設(shè)備發(fā)送DNS查詢請(qǐng)求,以使得所述終端設(shè)備發(fā)送所述DNS報(bào)文。
4.根據(jù)權(quán)利要求I至3任一所述的方法,其特征在于,所述解析所述服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址之后,還包括 若解析的所述業(yè)務(wù)服務(wù)器IP地址屬于接收的所述終端域名在所述預(yù)設(shè)列表中對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則對(duì)所述終端設(shè)備與所述業(yè)務(wù)服務(wù)器IP地址對(duì)應(yīng)的業(yè)務(wù)服務(wù)器建立連接,以使得所述業(yè)務(wù)服務(wù)器向所述終端設(shè)備提供針對(duì)所述終端設(shè)備的業(yè)務(wù)請(qǐng)求的服務(wù)。
5.根據(jù)權(quán)利要求I至3任一所述的方法,其特征在于,所述解析所述服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址之后,還包括 若解析的所述業(yè)務(wù)服務(wù)器IP地址屬于接收的所述終端域名在所述預(yù)設(shè)列表中對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則根據(jù)所述終端設(shè)備的終端域名確定所述業(yè)務(wù)請(qǐng)求的業(yè)務(wù)類型。
6.一種深度包檢測(cè)DPI設(shè)備,其特征在于,包括 接收單元,用于接收終端設(shè)備發(fā)送的業(yè)務(wù)請(qǐng)求的報(bào)文,所述報(bào)文攜帶有指示所述終端設(shè)備的終端域名和指示所述終端設(shè)備業(yè)務(wù)請(qǐng)求的業(yè)務(wù)服務(wù)器的服務(wù)器域名; 解析單元,用于解析所述接收單元接收的所述服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址; 處理單元,用于若所述解析單元解析的所述業(yè)務(wù)服務(wù)器IP地址不屬于所述接收單元接收的所述終端域名在預(yù)設(shè)列表中對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則對(duì)所述報(bào)文進(jìn)行丟包。
7.根據(jù)權(quán)利要求6所述的DPI設(shè)備,其特征在于, 所述接收單元,還用于接收終端設(shè)備發(fā)送的域名系統(tǒng)DNS報(bào)文,所述DNS報(bào)文攜帶有所述終端域名及所述終端域名對(duì)應(yīng)的至少一個(gè)可訪問業(yè)務(wù)服務(wù)器的真實(shí)域名; 所述解析單元,還用于解析所述接收單元接收的所述真實(shí)域名得到至少一個(gè)可訪問業(yè)務(wù)服務(wù)器IP地址; 所述處理單元,還用于將所述解析單元解析的所述至少一個(gè)可訪問業(yè)務(wù)服務(wù)器IP地址作為所述預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,與所述終端域名對(duì)應(yīng)設(shè)置在所述預(yù)設(shè)列表中。
8.根據(jù)權(quán)利要求7所述的DPI設(shè)備,其特征在于,還包括 發(fā)送單元,用于向所述終端設(shè)備發(fā)送DNS查詢請(qǐng)求,以使得所述終端設(shè)備發(fā)送所述DNS報(bào)文。
9.根據(jù)權(quán)利要求6至8任一所述的DPI設(shè)備,其特征在于, 所述處理單元,還用于若所述解析單元解析的所述業(yè)務(wù)服務(wù)器IP地址屬于所述接收單元接收的所述終端域名在所述預(yù)設(shè)列表中對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則對(duì)所述終端設(shè)備與所述業(yè)務(wù)服務(wù)器IP地址對(duì)應(yīng)的業(yè)務(wù)服務(wù)器建立連接,以使得所述業(yè)務(wù)服務(wù)器向所述終端設(shè)備提供針對(duì)所述終端設(shè)備的業(yè)務(wù)請(qǐng)求的服務(wù)。
10.根據(jù)權(quán)利要求6或8任一所述的DPI設(shè)備,其特征在于, 所述處理單元,還用于若所述解析單元解析的所述業(yè)務(wù)服務(wù)器IP地址屬于所述接收單元接收的所述終端域名在預(yù)設(shè)列表中對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則根據(jù)所述終端設(shè)備的終端域名確定所述業(yè)務(wù)請(qǐng)求的業(yè)務(wù)類型。
11.一種系統(tǒng),其特征在于,包括 權(quán)利要求6-10任一項(xiàng)所述的DPI設(shè)備; 終端設(shè)備,用于向所述DPI設(shè)備發(fā)送業(yè)務(wù)請(qǐng)求的報(bào)文,所述報(bào)文攜帶有指示所述終端設(shè)備的終端域名和指示所述終端設(shè)備業(yè)務(wù)請(qǐng)求的業(yè)務(wù)服務(wù)器的服務(wù)器域名。
全文摘要
本發(fā)明實(shí)施例提供一種報(bào)文接收方法、深度包檢測(cè)設(shè)備及系統(tǒng),涉及通信領(lǐng)域,該方法、設(shè)備及系統(tǒng)能夠提高深度包檢測(cè)設(shè)備對(duì)報(bào)文的辨識(shí)能力,防止由于辨識(shí)不足而出現(xiàn)漏洞,該報(bào)文接收方法包括接收終端設(shè)備發(fā)送的業(yè)務(wù)請(qǐng)求的報(bào)文,所述報(bào)文攜帶有指示所述終端設(shè)備的終端域名和指示所述終端設(shè)備業(yè)務(wù)請(qǐng)求的業(yè)務(wù)服務(wù)器的服務(wù)器域名;解析接收的所述服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址;若解析的所述業(yè)務(wù)服務(wù)器IP地址不屬于接收的所述終端域名在預(yù)設(shè)列表中對(duì)應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則對(duì)所述報(bào)文進(jìn)行丟包。本發(fā)明實(shí)施例用于報(bào)文的處理。
文檔編號(hào)H04L29/12GK102884764SQ201280000912
公開日2013年1月16日 申請(qǐng)日期2012年6月30日 優(yōu)先權(quán)日2012年6月30日
發(fā)明者郭建成, 尤正剛 申請(qǐng)人:華為技術(shù)有限公司