一种报文处理方法、装置、设备及机器可读存储介质与流程

1.本公开涉及通信技术领域，尤其是涉及一种报文处理方法、装置、设备及机器可读存储介质。


背景技术：

2.ddos(distributed denial of service，分布式拒绝服务)攻击是一类利用分布在互联网中的主机或服务器发起的攻击行为，旨在暂时性或永久性地瘫痪目标的网络服务能力。
3.udp flood攻击是指，攻击者在短时间内向特定目标发送大量的udp报文，占用目标主机的带宽，致使目标主机不能处理正常的业务。
4.ddos攻击通常表现为来源不同的报文泛洪，这些恶意报文会挤占攻击目标的网络资源，造成其网络拥塞，加重其处理器的负担，从而使正常用户的请求得不到有效响应。
5.ddos攻击的分布式特性使其拥有比传统dos(denial of service，拒绝服务)攻击更大的攻击流量以及更强的隐蔽性，因此检测与防范ddos攻击将更加困难。
6.目前的安全设备的安全业务都需要上送cpu进行处理，非法ip报文将对安全设备cpu产生冲击，影响正常业务。


技术实现要素：

7.有鉴于此，本公开提供一种报文处理方法、装置及电子设备、机器可读存储介质，以改善上述安全设备cpu收到冲击影响正常业务的问题。
8.具体地技术方案如下：
9.本公开提供了一种报文处理方法，应用于网络设备，所述方法包括：接收客户端设备发送的待转发报文；检查待转发报文的ip option字段是否具有cookie信息，提取ip option字段具有cookie信息的待转发报文的cookie信息；检查提取到的cookie信息的合法性，并向安全设备的cpu转发cookie信息合法的待转发报文；丢弃ip option字段未具有cookie信息的报文，丢弃ip option字段的cookie信息不合法的报文。
10.作为一种技术方案，所述cookie信息是安全管理设备响应于客户端设备的请求，生成并下发至网络设备、客户端设备，并由客户端设备填充至待转发报文的ip option字段的。
11.本公开同时提供了一种报文处理方法，应用于客户端设备，所述方法包括：向安全管理设备请求并获取cookie信息；在待转发报文的ip option字段中填充cookie信息；向网络设备发送待转发报文；所述网络设备用于接收客户端设备发送的待转发报文，并在检查ip option字段的cookie信息合法后，向安全设备的cpu转发该待转发报文。
12.作为一种技术方案，所述cookie信息是安全设备响应于客户端设备的请求生成并下发至网络设备、客户端设备的。
13.本公开同时提供了一种报文处理装置，应用于网络设备，所述装置包括：接收模
块，用于接收客户端设备发送的待转发报文；检查模块，用于检查待转发报文的ip option字段是否具有cookie信息，提取ip option字段具有cookie信息的待转发报文的cookie信息；处理模块，用于检查提取到的cookie信息的合法性，并向安全设备的cpu转发cookie信息合法的待转发报文；丢弃模块，用于丢弃ip option字段未具有cookie信息的报文，丢弃ip option字段的cookie信息不合法的报文。
14.作为一种技术方案，所述cookie信息是安全管理设备响应于客户端设备的请求，生成并下发至网络设备、客户端设备，并由客户端设备填充至待转发报文的ip option字段的。
15.本公开同时提供了一种报文处理装置，应用于客户端设备，所述装置包括：请求模块，用于向安全管理设备请求并获取cookie信息；填充模块，用于在待转发报文的ip option字段中填充cookie信息；发送模块，用于向网络设备发送待转发报文；所述网络设备用于接收客户端设备发送的待转发报文，并在检查ip option字段的cookie信息合法后，向安全设备的cpu转发该待转发报文。
16.作为一种技术方案，所述cookie信息是安全设备响应于客户端设备的请求生成并下发至网络设备、客户端设备的。
17.本公开同时提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，处理器执行所述机器可执行指令以实现前述的报文处理方法。
18.本公开同时提供了一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现前述的报文处理方法。
19.本公开提供的上述技术方案至少带来了以下有益效果：
20.在网络设备如交换机等接收到待转发报文后首先检查ip option字段中是否携带合法的cookie信息，然后向安全设备的cpu上送且仅上送带有合法cookie信息的待转发报文，从而过滤掉很大一部分未经认证或非法的报文，减少各种攻击、杂包或因路由配置错误等原因上送到安全设备的cpu处理的报文，提高安全设备的稳定性，降低安全设备cpu的突发冲击和负载，避免影响其他业务。
附图说明
21.为了更加清楚地说明本公开实施方式或者现有技术中的技术方案，下面将对本公开实施方式或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开中记载的一些实施方式，对于本领域普通技术人员来讲，还可以根据本公开实施方式的这些附图获得其他的附图。
22.图1是本公开一种实施方式中的报文处理方法的流程图；
23.图2是本公开一种实施方式中的报文处理方法的流程图；
24.图3是本公开一种实施方式中的报文处理装置的结构图；
25.图4是本公开一种实施方式中的报文处理装置的结构图；
26.图5是本公开一种实施方式中的电子设备的硬件结构图。
具体实施方式
27.在本公开实施方式使用的术语仅仅是出于描述特定实施方式的目的，而非限制本公开。本公开和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
28.应当理解，尽管在本公开实施方式可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
29.大部分flood攻击检测都是基于源ip或者目的ip阈值检测，基于源ip统计的泛洪攻击防范：此方式监测源自某ip地址的报文速率，当该速率持续达到或超过了指定的触发阈值时，即认为有服务器受到了攻击，设备随即进入攻击防范状态，并根据配置启动相应的防范措施(输出告警日志或对后续报文进行丢弃处理)。此后，当设备监测到源自该ip地址的报文速率低于恢复阈值时，即认为攻击结束，设备由攻击防范状态恢复为攻击检测状态，并停止执行防范措施。基于目的ip统计的泛洪攻击防范：此方式监测向某服务器发送报文的速率，当该速率持续达到或超过了指定的触发阈值时，即认为该服务器受到了攻击，设备随即进入攻击防范状态，并根据配置启动相应的防范措施(输出告警日志、对后续报文进行丢弃处理或者进行客户端验证)。此后，当设备监测到向该服务器发送报文的速率低于恢复阈值时，即认为攻击结束，设备由攻击防范状态恢复为攻击检测状态，并停止执行防范措施。
30.ddos攻击拦截基于阈值或者根据报文的finger来检测，无论是基于阈值还是finger来识别，报文都会上送cpu，消耗cpu资源；这种是以消耗服务器前端安全设备资源的方式来保护服务器；但是在ddos攻击非常大或者ddos攻击完全随机无法根据传统的阈值或者finger识别时，会造成服务器前置安全设备宕机造成内部服务器也难以向外提供服务。安全设备的安全策略、acl、ddos拦截业务一般都是需要上送cpu处理；当设备上收到大量非本机需要处理的报文时，设备cpu会因为处理这些业务导致繁忙影响正常业务处理。
31.有鉴于此，本公开提供一种报文处理方法、装置及电子设备、机器可读存储介质，以改善上述安全设备cpu收到冲击影响正常业务的问题。
32.具体地，技术方案如后述。
33.在一种实施方式中，本公开提供了一种报文处理方法，应用于网络设备，所述方法包括：接收客户端设备发送的待转发报文；检查待转发报文的ip option字段是否具有cookie信息，提取ip option字段具有cookie信息的待转发报文的cookie信息；检查提取到的cookie信息的合法性，并向安全设备的cpu转发cookie信息合法的待转发报文；丢弃ip option字段未具有cookie信息的报文，丢弃ip option字段的cookie信息不合法的报文。
34.具体地，如图1，包括以下步骤：
35.步骤s11，接收客户端设备发送的待转发报文；
36.步骤s12，检查待转发报文的ip option字段是否具有cookie信息，提取ip option字段具有cookie信息的待转发报文的cookie信息；
37.步骤s13，检查提取到的cookie信息的合法性，并向安全设备的cpu转发cookie信息合法的待转发报文；
38.步骤s14，丢弃ip option字段未具有cookie信息的报文，丢弃ip option字段的cookie信息不合法的报文。
39.在网络设备如交换机等接收到待转发报文后首先检查ip option字段中是否携带合法的cookie信息，然后向安全设备的cpu上送且仅上送带有合法cookie信息的待转发报文，从而过滤掉很大一部分未经认证或非法的报文，减少各种攻击、杂包或因路由配置错误等原因上送到安全设备的cpu处理的报文，提高安全设备的稳定性，降低安全设备cpu的突发冲击和负载，避免影响其他业务。
40.在一种实施方式中，所述cookie信息是安全管理设备响应于客户端设备的请求，生成并下发至网络设备、客户端设备，并由客户端设备填充至待转发报文的ip option字段的。
41.在一种实施方式中，本公开同时提供了一种报文处理方法，应用于客户端设备，所述方法包括：向安全管理设备请求并获取cookie信息；在待转发报文的ip option字段中填充cookie信息；向网络设备发送待转发报文；所述网络设备用于接收客户端设备发送的待转发报文，并在检查ip option字段的cookie信息合法后，向安全设备的cpu转发该待转发报文。
42.具体地，如图2，包括以下步骤：
43.步骤s21，向安全管理设备请求并获取cookie信息；
44.步骤s22，在待转发报文的ip option字段中填充cookie信息；
45.步骤s23，向网络设备发送待转发报文。
46.在网络设备如交换机等接收到待转发报文后首先检查ip option字段中是否携带合法的cookie信息，然后向安全设备的cpu上送且仅上送带有合法cookie信息的待转发报文，从而过滤掉很大一部分未经认证或非法的报文，减少各种攻击、杂包或因路由配置错误等原因上送到安全设备的cpu处理的报文，提高安全设备的稳定性，降低安全设备cpu的突发冲击和负载，避免影响其他业务。
47.在一种实施方式中，所述cookie信息是安全设备响应于客户端设备的请求生成并下发至网络设备、客户端设备的。
48.在一种实施方式中，在pc侧安装客户端软件，当pc向服务器发起连接时，首先向安全认证中心获取cookie，并将cookie填充到ip option字段中；当服务器侧安全设备fw收到报文时，首先使用交换芯片提取ip option字段和安全认证中心的cookie进行对比，进行报文合法性验证；cookie一致则放行上送cpu做其他业务，不一致丢弃。
49.在一种实施方式中，本公开同时提供了一种报文处理装置，如图3，应用于网络设备，所述装置包括：接收模块31，用于接收客户端设备发送的待转发报文；检查模块32，用于检查待转发报文的ip option字段是否具有cookie信息，提取ip option字段具有cookie信息的待转发报文的cookie信息；处理模块33，用于检查提取到的cookie信息的合法性，并向安全设备的cpu转发cookie信息合法的待转发报文；丢弃模块34，用于丢弃ip option字段未具有cookie信息的报文，丢弃ip option字段的cookie信息不合法的报文。
50.在一种实施方式中，所述cookie信息是安全管理设备响应于客户端设备的请求，
生成并下发至网络设备、客户端设备，并由客户端设备填充至待转发报文的ip option字段的。
51.在一种实施方式中，本公开同时提供了一种报文处理装置，如图4，应用于客户端设备，所述装置包括：请求模块41，用于向安全管理设备请求并获取cookie信息；填充模块42，用于在待转发报文的ip option字段中填充cookie信息；发送模块43，用于向网络设备发送待转发报文；所述网络设备用于接收客户端设备发送的待转发报文，并在检查ip option字段的cookie信息合法后，向安全设备的cpu转发该待转发报文。
52.在一种实施方式中，所述cookie信息是安全设备响应于客户端设备的请求生成并下发至网络设备、客户端设备的。
53.装置实施方式与对应的方法实施方式相同或相似，在此不再赘述。
54.在一种实施方式中，本公开提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，处理器执行所述机器可执行指令以实现前述的报文处理方法，从硬件层面而言，硬件架构示意图可以参见图5所示。
55.在一种实施方式中，本公开提供了一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现前述的报文处理方法。
56.这里，机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：ram(radom access memory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等)，或者类似的存储介质，或者它们的组合。
57.上述实施方式阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
58.为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本公开时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
59.本领域内的技术人员应明白，本公开的实施方式可提供为方法、系统、或计算机程序产品。因此，本公开可采用完全硬件实施方式、完全软件实施方式、或结合软件和硬件方面的实施方式的形式。而且，本公开实施方式可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
60.本公开是参照根据本公开实施方式的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用
于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
61.而且，这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
62.这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上，使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
63.本领域技术人员应明白，本公开的实施方式可提供为方法、系统或计算机程序产品。因此，本公开可以采用完全硬件实施方式、完全软件实施方式、或者结合软件和硬件方面的实施方式的形式。而且，本公开可以采用在一个或者多个其中包含有计算机可用程序代码的计算机可用存储介质(可以包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
64.以上所述仅为本公开的实施方式而已，并不用于限制本公开。对于本领域技术人员来说，本公开可以有各种更改和变化。凡在本公开的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本公开的权利要求范围之内。