收藏
下载资源 加入会员免费下载

流量异常原因通知方法、装置及网络设备.pdf

上传人:1520****312 文档编号:4332623 上传时间:2018-09-14 格式:PDF 页数:8 大小:2.81MB
返回 下载 相关 举报
摘要
申请专利号:

CN201210377834.5

 申请日:

2012.10.08
公开号:

CN102882728A

 公开日:

2013.01.16
当前法律状态:

授权

 有效性:

有权
法律详情:

授权|||实质审查的生效IPC(主分类):H04L 12/24申请日:20121008|||公开
IPC分类号:

H04L12/24; H04L12/801(2013.01)I; H04L29/06

 主分类号:

H04L12/24
申请人:

北京星网锐捷网络技术有限公司
发明人:

马云莺
地址:

100036 北京市海淀区复兴路29号中意鹏奥酒店东塔A座12层
优先权:

专利代理机构:

北京同立钧成知识产权代理有限公司 11205

 代理人:

马爽
PDF下载: PDF下载
内容摘要

本发明提供一种流量异常原因通知方法、装置及网络设备。方法包括:防火墙检测到主机的行为异常后,拦截主机的流量;防火墙根据拦截的流量中的TCP连接建立请求,向主机返回TCP连接应答,以与主机建立连接;防火墙根据拦截的流量中发送给应用服务器的页面请求,仿造应用服务器向主机返回页面响应,页面响应包括拦截流量的原因,或者页面响应包括重定向服务器的地址信息,以使主机从重定向服务器获取拦截流量的原因。本发明技术方案可以在不增加用户主机负担的情况下,将主机流量被阻断的原因提供给主机。

权利要求书

权利要求书一种流量异常原因通知方法,其特征在于,包括:防火墙检测到主机的行为异常后,拦截所述主机的流量;所述防火墙根据所述拦截的流量中的传输控制协议TCP连接建立请求,向所述主机返回TCP连接应答,以与所述主机建立连接;所述防火墙根据所述拦截的流量中发送给应用服务器的页面请求,仿造所述应用服务器向所述主机返回页面响应,所述页面响应的源网际协议IP地址、目的IP地址、源端口和目的端口分别为所述页面请求的目的IP地址、源IP地址、目的端口和源端口,所述页面响应包括拦截流量的原因,或者所述页面响应包括重定向服务器的地址信息,以使所述主机从所述重定向服务器获取所述拦截流量的原因。根据权利要求1所述的流量异常原因通知方法,其特征在于,所述页面响应还包括:拦截流量的时间信息。根据权利要求1或2所述的流量异常原因通知方法,其特征在于,所述页面响应还包括:针对所述主机的异常行为的建议措施。根据权利要求1或2所述的流量异常原因通知方法,其特征在于,所述重定向服务器内置在所述防火墙中。一种流量异常原因通知装置,设置在防火墙设备中,其特征在于,所述装置包括:检测模块,用于检测主机的行为;拦截模块,用于在所述检测模块检测到所述主机的行为异常后,拦截所述主机的流量;连接建立模块,用于根据所述拦截的流量中的传输控制协议TCP连接建立请求,向所述主机返回TCP连接应答,以与所述主机建立连接;原因通知模块,用于根据所述拦截的流量中发送给应用服务器的页面请求,仿造所述应用服务器向所述主机返回页面响应,所述页面响应的源网际协议IP地址、目的IP地址、源端口和目的端口分别为所述页面请求的目的IP地址、源IP地址、目的端口和源端口,所述页面响应包括拦截流量的原因,或者所述页面响应包括重定向服务器的地址信息,以使所述主机从所述重定向服务器获取所述拦截流量的原因。根据权利要求5所述的流量异常原因通知装置,其特征在于,所述页面响应还包括:拦截流量的时间信息。根据权利要求5或6所述的流量异常原因通知装置,其特征在于,所述页面响应还包括:针对所述主机的异常行为的建议措施。根据权利要求5或6所述的流量异常原因通知装置,其特征在于,所述重定向服务器内置在所述防火墙设备中。一种网络设备,其特征在于,包括:权利要求5‑8任一项所述的流量异常原因通知装置。

说明书

说明书流量异常原因通知方法、装置及网络设备
技术领域
本发明涉及网络通信技术,尤其涉及一种流量异常原因通知方法、装置及网络设备。
背景技术
随着网络安全问题不断被强调,防火墙被广泛的采用。防火墙通过跟踪用户主机行为来发现异常,例如防火墙可以发现用户主机存在扫描行为(例如中了蠕虫病毒)、用户主机存在持续的未经授权的越级访问行为、用户主机成为僵尸主机而对网络发动攻击等。在上述各种情况下,防火墙识别出这些恶意主机后,会将这些恶意主机加入黑名单,并阻断这些主机的流量以阻止对其网络安全的进一步破坏。
由于绝大部分情况下,用户主机的恶意行为都是由中毒导致的,用户主机往往不知情。所以,防火墙将用户主机的流量阻断后,用户主机会突然不能上网,但却不知道原因。为解决该问题,用户主机可以安装专门的客户端软件,由防火墙将阻断流量的原因推送给用户主机,但是该方法需要用户主机配合安装客户端软件,增加了用户主机的负担。
发明内容
本发明提供一种流量异常原因通知方法、装置及网络设备,用以在不增加用户主机负担的情况下,将主机流量被阻断的原因提供给主机。
第一方面提供一种流量异常原因通知方法,包括:防火墙检测到主机的行为异常后,拦截所述主机的流量;
所述防火墙根据所述拦截的流量中的传输控制协议TCP连接建立请求,向所述主机返回TCP连接应答,以与所述主机建立连接;
所述防火墙根据所述拦截的流量中发送给应用服务器的页面请求,仿造所述应用服务器向所述主机返回页面响应,所述页面响应的源网际协议IP地址、目的IP地址、源端口和目的端口分别为所述页面请求的目的IP地址、源IP地址、目的端口和源端口,所述页面响应包括拦截流量的原因,或者所述页面响应包括重定向服务器的地址信息,以使所述主机从所述重定向服务器获取所述拦截流量的原因。
第二方面提供一种流量异常原因通知装置,设置在防火墙设备中,所述装置包括:
检测模块,用于检测主机的行为;
拦截模块,用于在所述检测模块检测到所述主机的行为异常后,拦截所述主机的流量;
连接建立模块,用于根据所述拦截的流量中的传输控制协议TCP连接建立请求,向所述主机返回TCP连接应答,以与所述主机建立连接;
原因通知模块,用于根据所述拦截的流量中发送给应用服务器的页面请求,仿造所述应用服务器向所述主机返回页面响应,所述页面响应的源网际协议IP地址、目的IP地址、源端口和目的端口分别为所述页面请求的目的IP地址、源IP地址、目的端口和源端口,所述页面响应包括拦截流量的原因,或者所述页面响应包括重定向服务器的地址信息,以使所述主机从所述重定向服务器获取所述拦截流量的原因。
第三方面提供一种网络设备,包括本发明第二方面提供的任一流量异常原因通知装置。
本发明提供的流量异常原因通知方法、装置及网络设备,通过根据所拦截的主机的流量中的TCP连接建立请求,向主机返回TCP连接建立响应以与主机建立起TCP连接,这样主机就可以继续向应用服务器发送页面请求,再根据拦截到的页面请求仿造应用服务器向主机返回页面响应,通过该页面响应向主机返回拦截流量的原因或者是用于向主机发送拦截流量的原因的重定向服务器的地址信息,实现了向主机通知拦截流量的原因的目的,同时也不需要主机额外安装客户端软件,减轻了主机的负担。
附图说明
图1为本发明一实施例提供的流量异常原因通知方法的流程图;
图2为本发明一实施例提供的流量异常原因通知装置的结构示意图。
具体实施方式
图1为本发明一实施例提供的流量异常原因通知方法的流程图。如图1所示,本实施例的方法包括:
步骤101、防火墙检测到主机的行为异常后,拦截该主机的流量。
步骤102、防火墙根据拦截的流量中的传输控制协议(Transmission Control Protocol,简称为TCP)连接建立请求,向主机返回TCP连接应答,以与该主机建立连接。
步骤103、防火墙根据拦截的流量中发送给应用服务器的页面请求,仿造该应用服务器向主机返回页面响应,该页面响应的源网际协议(Internet Protocol,简称为IP)地址、目的IP地址、源端口和目的端口分别为页面请求的目的IP地址、源IP地址、目的端口和源端口,并且该页面响应包括拦截流量的原因,或者该页面响应包括重定向服务器的地址信息,以使主机从重定向服务器获取拦截流量的原因。
用户主机要访问应用服务器,必须先经过防火墙。防火墙监视主机的进出流量来检测主机的行为是否异常。例如,如果主机中了木马病毒,就会对应用服务器发动攻击,产生大量的连接,若不加以阻止将导致应用服务器资源的耗尽。因此,防火墙一旦发现主机产生此类异常行为,立即阻断来自该主机的所有流量,也就是说主机将无法访问应用服务器上的所有信息。
为了向主机及时返回拦截流量的原因,防火墙根据所拦截的主机的流量中的TCP连接建立请求,向防火墙返回TCP连接建立响应,从而与主机之间建立起TCP连接;这样主机就会继续向应用服务器发送页面请求,该页面请求也属于防火墙所拦截的主机的流量,防火墙拦截该页面请求,并根据所拦截的页面请求,仿造应用服务器向主机返回页面响应。其中,页面请求的源IP地址和目的IP地址分别为主机的IP地址和应用服务器的IP地址,源端口为主机自身选定的端口,目的端口为应用服务器的Web服务端口。防火墙仿造应用服务器向主机返回页面响应具体为:防火墙将页面请求中的源IP地址和目的IP地址以及源端口和目的端口分别对调,作为页面响应报文的源IP地址、目的IP地址、源端口和目的端口。也就是说,页面响应的源IP地址和目的IP地址分别为应用服务器的IP地址和主机的IP地址,源端口为应用服务器的Web服务端口,目的端口为主机自身选定的端口。防火墙通过页面响应向主机返回拦截流量的原因。或者,防火墙通过页面响应向主机返回用于向主机发送拦截流量的原因的重定向服务器的地址信息。其中,拦截流量的原因可能是主机存在扫描行为(例如中了蠕虫病毒)、主机存在持续的未经授权的越级访问行为或主机成为僵尸主机(主机感染可被远程操控的木马病毒)而对网络发动攻击等。上述重定向服务器的地址信息可以是重定向服务器的统一资源定位符(Uniform/Universal Resource Locator,简称为URL),也可以是重定向服务器的IP地址。
在此说明,主机的流量被防火墙拦截之后,只要主机上的浏览器开着,就会不停的向外发送TCP连接建立请求,而在TCP连接建立后会不停的向应用服务器发送页面请求。上述的页面请求主要是URL页面请求,而页面响应主要是超文本传送协议(Hypertext Transfer Protocol,简称为HTTP)页面。
在此说明,对于防火墙拦截到主机的流量,除其中的TCP连接建立请求以及页面请求之外,其他流量可以丢弃,以保持防火墙对该主机的流量阻断能力。
可选的,上述页面响应还包括:拦截流量的时间信息。即防火墙除了通过页面响应向主机返回拦截流量的原因之外,还可以通过页面响应向主机返回拦截流量的时间信息,例如,某时某分某秒进行流浪拦截,有利于用户了解不能上网的时间,也便于用户了解主机发生异常的时间。
可选的,上述页面响应还包括:针对主机的异常行为的建议措施。即防火墙还可以针对主机的异常行为给出建议措施,并通过页面响应将针对主机的异常行为给出的建议措施返回给主机,以便于主机根据该建议措施对异常行为进行解决。
可选的,如果防火墙通过页面响应返回的是重定向服务器的地址信息,则该重定向服务器可以是独立于防火墙的重定向服务器,也可以是内置于防火墙的虚拟服务器。其中,从效率以及防御攻击考虑,优选重定向服务器为内置在防火墙中的可以抵御攻击的高效率的虚拟web服务器。
基于上述,主机收到重定向服务器的地址信息后,根据重定向服务器的地址信息,向重定向服务器发起TCP连接建立请求,接收重定向服务器返回的TCP连接建立响应,从而与重定向服务器建立起TCP连接;然后,向重定向服务器发动页面请求,重定向服务器向主机返回页面响应,在页面响应中携带拦截流量的原因。其中,无论重定向服务器是独立于防火墙实现,还是内置在防火墙中实现,该重定向服务器都能获知防火墙拦截主机的流量的原因。
在本实施例中,防火墙通过根据所拦截的主机的流量中的TCP连接建立请求,向主机返回TCP连接建立响应以与主机建立起TCP连接,这样主机就可以继续向应用服务器发送页面请求,再根据拦截到的页面请求仿造应用服务器向主机返回页面响应,通过该页面响应向主机返回拦截流量的原因或者是用于向主机发送拦截流量的原因的重定向服务器的地址信息,实现了向主机通知拦截流量的原因的目的,同时也不需要主机额外安装客户端软件,减轻了主机的负担。
图2为本发明一实施例提供的流量异常原因通知装置的结构示意图。本实施例的装置设置在防火墙中实现,但不限于此。例如,该装置也可以独立于防火墙,但与防火墙连接。如图2所示,本实施例的装置包括:检测模块21、拦截模块22、连接建立模块23和原因通知模块24。
其中,检测模块21,用于检测主机的行为。
拦截模块22,与检测模块21连接,用于在检测模块21检测到主机的行为异常后,拦截主机的流量。
连接建立模块23,与拦截模块22连接,用于根据拦截模块22所拦截的流量中的TCP连接建立请求,向主机返回TCP连接应答,以与主机建立连接。
原因通知模块24,与拦截模块22连接,用于根据拦截模块22所拦截的流量中发送给应用服务器的页面请求,仿造该应用服务器向主机返回页面响应,该页面响应的源IP地址、目的IP地址、源端口和目的端口分别为该页面请求的目的IP地址、源IP地址、目的端口和源端口,该页面响应包括拦截流量的原因,或者该页面响应包括重定向服务器的地址信息,以使主机从重定向服务器获取拦截流量的原因。
可选的,页面响应还可以包括:拦截流量的时间信息,有利于用户了解不能上网的时间,也便于用户了解主机发生异常的时间。
可选的,页面响应还包括:针对主机的异常行为的建议措施,有利于主机根据该建议措施对异常行为进行解决。
可选的,上述重定向服务器可以内置在防火墙设备中实现,可以抵御攻击并提高流量拦截的原因的通知效率。
本实施例提供的流量异常原因通知装置的各功能模块可用于执行上述方法实施例提供的流程,其工作原理不再赘述,详见方法实施例的描述。
本实施例提供的流量异常原因通知装置,通过根据所拦截的主机的流量中的TCP连接建立请求,向主机返回TCP连接建立响应以与主机建立起TCP连接,这样主机就可以继续向应用服务器发送页面请求,再根据拦截到的页面请求仿造应用服务器向主机返回页面响应,通过该页面响应向主机返回拦截流量的原因或者是用于向主机发送拦截流量的原因的重定向服务器的地址信息,实现了向主机通知拦截流量的原因的目的,同时也不需要主机额外安装客户端软件,减轻了主机的负担。
本发明一实施例提供一种网络设备,包括上述实施例提供的流量异常原因通知装置。本实施例的网络设备可以是防火墙设备,但不限于此。
本实施例提供的网络设备包括流量异常原因通知装置,同样可用于执行上述实施例提供的流量异常原因通知方法的流程,因此,也可以在实现向主机通知拦截流量的原因的目的同时,不需要主机额外安装客户端软件,减轻了主机的负担。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

流量异常原因通知方法、装置及网络设备.pdf_第1页
第1页 / 共8页
流量异常原因通知方法、装置及网络设备.pdf_第2页
第2页 / 共8页
流量异常原因通知方法、装置及网络设备.pdf_第3页
第3页 / 共8页
点击查看更多>>
资源描述

《流量异常原因通知方法、装置及网络设备.pdf》由会员分享,可在线阅读,更多相关《流量异常原因通知方法、装置及网络设备.pdf(8页珍藏版)》请在专利查询网上搜索。

1、(10)申请公布号 CN 102882728 A (43)申请公布日 2013.01.16 C N 1 0 2 8 8 2 7 2 8 A *CN102882728A* (21)申请号 201210377834.5 (22)申请日 2012.10.08 H04L 12/24(2006.01) H04L 12/801(2013.01) H04L 29/06(2006.01) (71)申请人北京星网锐捷网络技术有限公司 地址 100036 北京市海淀区复兴路29号中 意鹏奥酒店东塔A座12层 (72)发明人马云莺 (74)专利代理机构北京同立钧成知识产权代理 有限公司 11205 代理人马爽 (5。

2、4) 发明名称 流量异常原因通知方法、装置及网络设备 (57) 摘要 本发明提供一种流量异常原因通知方法、装 置及网络设备。方法包括:防火墙检测到主机的 行为异常后,拦截主机的流量;防火墙根据拦截 的流量中的TCP连接建立请求,向主机返回TCP连 接应答,以与主机建立连接;防火墙根据拦截的 流量中发送给应用服务器的页面请求,仿造应用 服务器向主机返回页面响应,页面响应包括拦截 流量的原因,或者页面响应包括重定向服务器的 地址信息,以使主机从重定向服务器获取拦截流 量的原因。本发明技术方案可以在不增加用户主 机负担的情况下,将主机流量被阻断的原因提供 给主机。 (51)Int.Cl. 权利要求书。

3、1页 说明书5页 附图1页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书 1 页 说明书 5 页 附图 1 页 1/1页 2 1.一种流量异常原因通知方法,其特征在于,包括: 防火墙检测到主机的行为异常后,拦截所述主机的流量; 所述防火墙根据所述拦截的流量中的传输控制协议TCP连接建立请求,向所述主机返 回TCP连接应答,以与所述主机建立连接; 所述防火墙根据所述拦截的流量中发送给应用服务器的页面请求,仿造所述应用服务 器向所述主机返回页面响应,所述页面响应的源网际协议IP地址、目的IP地址、源端口和 目的端口分别为所述页面请求的目的IP地址、源IP地址、目的端口和源。

4、端口,所述页面响 应包括拦截流量的原因,或者所述页面响应包括重定向服务器的地址信息,以使所述主机 从所述重定向服务器获取所述拦截流量的原因。 2.根据权利要求1所述的流量异常原因通知方法,其特征在于,所述页面响应还包括: 拦截流量的时间信息。 3.根据权利要求1或2所述的流量异常原因通知方法,其特征在于,所述页面响应还包 括:针对所述主机的异常行为的建议措施。 4.根据权利要求1或2所述的流量异常原因通知方法,其特征在于,所述重定向服务器 内置在所述防火墙中。 5.一种流量异常原因通知装置,设置在防火墙设备中,其特征在于,所述装置包括: 检测模块,用于检测主机的行为; 拦截模块,用于在所述检测。

5、模块检测到所述主机的行为异常后,拦截所述主机的流 量; 连接建立模块,用于根据所述拦截的流量中的传输控制协议TCP连接建立请求,向所 述主机返回TCP连接应答,以与所述主机建立连接; 原因通知模块,用于根据所述拦截的流量中发送给应用服务器的页面请求,仿造所述 应用服务器向所述主机返回页面响应,所述页面响应的源网际协议IP地址、目的IP地址、 源端口和目的端口分别为所述页面请求的目的IP地址、源IP地址、目的端口和源端口,所 述页面响应包括拦截流量的原因,或者所述页面响应包括重定向服务器的地址信息,以使 所述主机从所述重定向服务器获取所述拦截流量的原因。 6.根据权利要求5所述的流量异常原因通知。

6、装置,其特征在于,所述页面响应还包括: 拦截流量的时间信息。 7.根据权利要求5或6所述的流量异常原因通知装置,其特征在于,所述页面响应还包 括:针对所述主机的异常行为的建议措施。 8.根据权利要求5或6所述的流量异常原因通知装置,其特征在于,所述重定向服务器 内置在所述防火墙设备中。 9.一种网络设备,其特征在于,包括:权利要求5-8任一项所述的流量异常原因通知装 置。 权 利 要 求 书CN 102882728 A 1/5页 3 流量异常原因通知方法、 装置及网络设备 技术领域 0001 本发明涉及网络通信技术,尤其涉及一种流量异常原因通知方法、装置及网络设 备。 背景技术 0002 随着。

7、网络安全问题不断被强调,防火墙被广泛的采用。防火墙通过跟踪用户主机 行为来发现异常,例如防火墙可以发现用户主机存在扫描行为(例如中了蠕虫病毒)、用户 主机存在持续的未经授权的越级访问行为、用户主机成为僵尸主机而对网络发动攻击等。 在上述各种情况下,防火墙识别出这些恶意主机后,会将这些恶意主机加入黑名单,并阻断 这些主机的流量以阻止对其网络安全的进一步破坏。 0003 由于绝大部分情况下,用户主机的恶意行为都是由中毒导致的,用户主机往往不 知情。所以,防火墙将用户主机的流量阻断后,用户主机会突然不能上网,但却不知道原因。 为解决该问题,用户主机可以安装专门的客户端软件,由防火墙将阻断流量的原因推。

8、送给 用户主机,但是该方法需要用户主机配合安装客户端软件,增加了用户主机的负担。 发明内容 0004 本发明提供一种流量异常原因通知方法、装置及网络设备,用以在不增加用户主 机负担的情况下,将主机流量被阻断的原因提供给主机。 0005 第一方面提供一种流量异常原因通知方法,包括:防火墙检测到主机的行为异常 后,拦截所述主机的流量; 0006 所述防火墙根据所述拦截的流量中的传输控制协议TCP连接建立请求,向所述主 机返回TCP连接应答,以与所述主机建立连接; 0007 所述防火墙根据所述拦截的流量中发送给应用服务器的页面请求,仿造所述应用 服务器向所述主机返回页面响应,所述页面响应的源网际协议。

9、IP地址、目的IP地址、源端 口和目的端口分别为所述页面请求的目的IP地址、源IP地址、目的端口和源端口,所述页 面响应包括拦截流量的原因,或者所述页面响应包括重定向服务器的地址信息,以使所述 主机从所述重定向服务器获取所述拦截流量的原因。 0008 第二方面提供一种流量异常原因通知装置,设置在防火墙设备中,所述装置包 括: 0009 检测模块,用于检测主机的行为; 0010 拦截模块,用于在所述检测模块检测到所述主机的行为异常后,拦截所述主机的 流量; 0011 连接建立模块,用于根据所述拦截的流量中的传输控制协议TCP连接建立请求, 向所述主机返回TCP连接应答,以与所述主机建立连接; 0。

10、012 原因通知模块,用于根据所述拦截的流量中发送给应用服务器的页面请求,仿造 所述应用服务器向所述主机返回页面响应,所述页面响应的源网际协议IP地址、目的IP地 说 明 书CN 102882728 A 2/5页 4 址、源端口和目的端口分别为所述页面请求的目的IP地址、源IP地址、目的端口和源端口, 所述页面响应包括拦截流量的原因,或者所述页面响应包括重定向服务器的地址信息,以 使所述主机从所述重定向服务器获取所述拦截流量的原因。 0013 第三方面提供一种网络设备,包括本发明第二方面提供的任一流量异常原因通知 装置。 0014 本发明提供的流量异常原因通知方法、装置及网络设备,通过根据所拦。

11、截的主机 的流量中的TCP连接建立请求,向主机返回TCP连接建立响应以与主机建立起TCP连接,这 样主机就可以继续向应用服务器发送页面请求,再根据拦截到的页面请求仿造应用服务器 向主机返回页面响应,通过该页面响应向主机返回拦截流量的原因或者是用于向主机发送 拦截流量的原因的重定向服务器的地址信息,实现了向主机通知拦截流量的原因的目的, 同时也不需要主机额外安装客户端软件,减轻了主机的负担。 附图说明 0015 图1为本发明一实施例提供的流量异常原因通知方法的流程图; 0016 图2为本发明一实施例提供的流量异常原因通知装置的结构示意图。 具体实施方式 0017 图1为本发明一实施例提供的流量异。

12、常原因通知方法的流程图。如图1所示,本 实施例的方法包括: 0018 步骤101、防火墙检测到主机的行为异常后,拦截该主机的流量。 0019 步骤102、防火墙根据拦截的流量中的传输控制协议(Transmission Control Protocol,简称为TCP)连接建立请求,向主机返回TCP连接应答,以与该主机建立连接。 0020 步骤103、防火墙根据拦截的流量中发送给应用服务器的页面请求,仿造该应用服 务器向主机返回页面响应,该页面响应的源网际协议(Internet Protocol,简称为IP)地 址、目的IP地址、源端口和目的端口分别为页面请求的目的IP地址、源IP地址、目的端口 。

13、和源端口,并且该页面响应包括拦截流量的原因,或者该页面响应包括重定向服务器的地 址信息,以使主机从重定向服务器获取拦截流量的原因。 0021 用户主机要访问应用服务器,必须先经过防火墙。防火墙监视主机的进出流量来 检测主机的行为是否异常。例如,如果主机中了木马病毒,就会对应用服务器发动攻击,产 生大量的连接,若不加以阻止将导致应用服务器资源的耗尽。因此,防火墙一旦发现主机产 生此类异常行为,立即阻断来自该主机的所有流量,也就是说主机将无法访问应用服务器 上的所有信息。 0022 为了向主机及时返回拦截流量的原因,防火墙根据所拦截的主机的流量中的TCP 连接建立请求,向防火墙返回TCP连接建立响。

14、应,从而与主机之间建立起TCP连接;这样主 机就会继续向应用服务器发送页面请求,该页面请求也属于防火墙所拦截的主机的流量, 防火墙拦截该页面请求,并根据所拦截的页面请求,仿造应用服务器向主机返回页面响应。 其中,页面请求的源IP地址和目的IP地址分别为主机的IP地址和应用服务器的IP地址, 源端口为主机自身选定的端口,目的端口为应用服务器的Web服务端口。防火墙仿造应用 服务器向主机返回页面响应具体为:防火墙将页面请求中的源IP地址和目的IP地址以及 说 明 书CN 102882728 A 3/5页 5 源端口和目的端口分别对调,作为页面响应报文的源IP地址、目的IP地址、源端口和目的 端口。。

15、也就是说,页面响应的源IP地址和目的IP地址分别为应用服务器的IP地址和主 机的IP地址,源端口为应用服务器的Web服务端口,目的端口为主机自身选定的端口。防 火墙通过页面响应向主机返回拦截流量的原因。或者,防火墙通过页面响应向主机返回用 于向主机发送拦截流量的原因的重定向服务器的地址信息。其中,拦截流量的原因可能是 主机存在扫描行为(例如中了蠕虫病毒)、主机存在持续的未经授权的越级访问行为或主机 成为僵尸主机(主机感染可被远程操控的木马病毒)而对网络发动攻击等。上述重定向服 务器的地址信息可以是重定向服务器的统一资源定位符(Uniform/Universal Resource Locator。

16、,简称为URL),也可以是重定向服务器的IP地址。 0023 在此说明,主机的流量被防火墙拦截之后,只要主机上的浏览器开着,就会不停 的向外发送TCP连接建立请求,而在TCP连接建立后会不停的向应用服务器发送页面请 求。上述的页面请求主要是URL页面请求,而页面响应主要是超文本传送协议(Hypertext Transfer Protocol,简称为HTTP)页面。 0024 在此说明,对于防火墙拦截到主机的流量,除其中的TCP连接建立请求以及页面 请求之外,其他流量可以丢弃,以保持防火墙对该主机的流量阻断能力。 0025 可选的,上述页面响应还包括:拦截流量的时间信息。即防火墙除了通过页面响应。

17、 向主机返回拦截流量的原因之外,还可以通过页面响应向主机返回拦截流量的时间信息, 例如,某时某分某秒进行流浪拦截,有利于用户了解不能上网的时间,也便于用户了解主机 发生异常的时间。 0026 可选的,上述页面响应还包括:针对主机的异常行为的建议措施。即防火墙还可以 针对主机的异常行为给出建议措施,并通过页面响应将针对主机的异常行为给出的建议措 施返回给主机,以便于主机根据该建议措施对异常行为进行解决。 0027 可选的,如果防火墙通过页面响应返回的是重定向服务器的地址信息,则该重定 向服务器可以是独立于防火墙的重定向服务器,也可以是内置于防火墙的虚拟服务器。其 中,从效率以及防御攻击考虑,优选。

18、重定向服务器为内置在防火墙中的可以抵御攻击的高 效率的虚拟web服务器。 0028 基于上述,主机收到重定向服务器的地址信息后,根据重定向服务器的地址信息, 向重定向服务器发起TCP连接建立请求,接收重定向服务器返回的TCP连接建立响应,从而 与重定向服务器建立起TCP连接;然后,向重定向服务器发动页面请求,重定向服务器向主 机返回页面响应,在页面响应中携带拦截流量的原因。其中,无论重定向服务器是独立于防 火墙实现,还是内置在防火墙中实现,该重定向服务器都能获知防火墙拦截主机的流量的 原因。 0029 在本实施例中,防火墙通过根据所拦截的主机的流量中的TCP连接建立请求,向 主机返回TCP连接。

19、建立响应以与主机建立起TCP连接,这样主机就可以继续向应用服务器 发送页面请求,再根据拦截到的页面请求仿造应用服务器向主机返回页面响应,通过该页 面响应向主机返回拦截流量的原因或者是用于向主机发送拦截流量的原因的重定向服务 器的地址信息,实现了向主机通知拦截流量的原因的目的,同时也不需要主机额外安装客 户端软件,减轻了主机的负担。 0030 图2为本发明一实施例提供的流量异常原因通知装置的结构示意图。本实施例的 说 明 书CN 102882728 A 4/5页 6 装置设置在防火墙中实现,但不限于此。例如,该装置也可以独立于防火墙,但与防火墙连 接。如图2所示,本实施例的装置包括:检测模块21。

20、、拦截模块22、连接建立模块23和原因 通知模块24。 0031 其中,检测模块21,用于检测主机的行为。 0032 拦截模块22,与检测模块21连接,用于在检测模块21检测到主机的行为异常后, 拦截主机的流量。 0033 连接建立模块23,与拦截模块22连接,用于根据拦截模块22所拦截的流量中的 TCP连接建立请求,向主机返回TCP连接应答,以与主机建立连接。 0034 原因通知模块24,与拦截模块22连接,用于根据拦截模块22所拦截的流量中发送 给应用服务器的页面请求,仿造该应用服务器向主机返回页面响应,该页面响应的源IP地 址、目的IP地址、源端口和目的端口分别为该页面请求的目的IP地址。

21、、源IP地址、目的端 口和源端口,该页面响应包括拦截流量的原因,或者该页面响应包括重定向服务器的地址 信息,以使主机从重定向服务器获取拦截流量的原因。 0035 可选的,页面响应还可以包括:拦截流量的时间信息,有利于用户了解不能上网的 时间,也便于用户了解主机发生异常的时间。 0036 可选的,页面响应还包括:针对主机的异常行为的建议措施,有利于主机根据该建 议措施对异常行为进行解决。 0037 可选的,上述重定向服务器可以内置在防火墙设备中实现,可以抵御攻击并提高 流量拦截的原因的通知效率。 0038 本实施例提供的流量异常原因通知装置的各功能模块可用于执行上述方法实施 例提供的流程,其工作。

22、原理不再赘述,详见方法实施例的描述。 0039 本实施例提供的流量异常原因通知装置,通过根据所拦截的主机的流量中的TCP 连接建立请求,向主机返回TCP连接建立响应以与主机建立起TCP连接,这样主机就可以继 续向应用服务器发送页面请求,再根据拦截到的页面请求仿造应用服务器向主机返回页面 响应,通过该页面响应向主机返回拦截流量的原因或者是用于向主机发送拦截流量的原因 的重定向服务器的地址信息,实现了向主机通知拦截流量的原因的目的,同时也不需要主 机额外安装客户端软件,减轻了主机的负担。 0040 本发明一实施例提供一种网络设备,包括上述实施例提供的流量异常原因通知装 置。本实施例的网络设备可以是。

23、防火墙设备,但不限于此。 0041 本实施例提供的网络设备包括流量异常原因通知装置,同样可用于执行上述实施 例提供的流量异常原因通知方法的流程,因此,也可以在实现向主机通知拦截流量的原因 的目的同时,不需要主机额外安装客户端软件,减轻了主机的负担。 0042 本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通 过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程 序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟 或者光盘等各种可以存储程序代码的介质。 0043 最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制; 尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其 依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征 说 明 书CN 102882728 A 5/5页 7 进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技 术方案的范围。 说 明 书CN 102882728 A 1/1页 8 图1 图2 说 明 书 附 图CN 102882728 A 。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 电学 > 电通信技术


copyright@ 2017-2020 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备2021068784号-1