[发明专利]报文检测方法及装置

说明书

本公开提供了一种报文检测方法，该方法包括：接收待处理报文；解析所述待处理报文，获取源IP地址以及原始生存时间值；所述原始生存时间值用于表示所述待处理报文中的互联网协议IP数据包在网络中实际转发的跳数；根据路由信息库获取最小生存时间值；所述最小生存时间值用于表示所述待处理报文中的IP数据包从源IP地址转发到目标服务器的私网IP地址的最小跳数；根据所述原始生存时间值与所述最小生存时间值的大小关系，确定所述待处理报文是否为攻击报文；若是攻击报文，则将所述源IP加入黑名单；否则，则对所述源IP进行源认证。采用本方法能够在网络拥塞的情况下，减少源认证时回复的报文数量，进而减轻网络负载。

技术领域

本公开涉及计算机技术领域，尤其涉及一种报文检测方法、装置、电子设备及可读存储介质。

背景技术

分布式拒绝服务(Distributed Denial of Service，简称DDoS)将多台计算机联合起来作为攻击平台，通过远程连接利用恶意程序，对一个或多个目标发起DDoS攻击，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机的攻击，即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。

相关技术中，针对DDoS攻击，网络限速时最常用的防御手段，但是网络限速很容易造成正常访问流量被丢弃，因此通过源认证技术进行网络防御，对于通过认证的客户端，会将其加入到相应的白名单中，之后匹配到该白名单的报文可以直接转发，不需要再次认证。但是对于大量的泛洪flood类型的DDoS攻击来说，仅仅采用单一的源认证防御方法是不够的，因为在网络拥塞的情况下，源认证也会产生新的流量，使得原本拥塞的网络环境更加恶劣。

综上，在网络拥塞的情况下，如何减轻源认证产生的报文造成网络拥塞情况加剧是当前亟需解决的问题。

发明内容

为了解决上述技术问题或者至少部分地解决上述技术问题，本公开提供了一种报文检测方法，解决了在网络拥塞的情况下，源认证产生的报文造成网络拥塞情况加剧的问题。

为了实现上述目的，本公开实施例提供技术方案如下：

第一方面，本公开的实施例提供一种报文检测方法，所述方法包括：

接收待处理报文；

解析所述待处理报文，获取源IP地址以及原始生存时间值；所述原始生存时间值用于表示所述待处理报文中的互联网协议IP数据包在网络中实际转发的跳数；

根据路由信息库获取最小生存时间值；所述最小生存时间值用于表示所述待处理报文中的IP数据包从源IP地址转发到目标服务器的私网IP地址的最小跳数；所述路由信息库包括各地区的公网IP地址、各公网IP地址对应的实际地理位置以及各地区之间的最小生存时间值；

根据所述原始生存时间值与所述最小生存时间值的大小关系，确定所述待处理报文是否为攻击报文；

若所述待处理报文是攻击报文，则将所述源IP加入黑名单；

否则，对所述源IP进行源认证。

作为本公开实施例一种可选的实施方式，在解析所述待处理报文，获取源IP地址以及原始生存时间值之前，所述方法还包括：

查询网络入口流量；所述网络入口流量用于表示单位时间内防御设备接收到的待处理报文的流量之和；

根据所述网络入口流量与预设阈值流量的大小关系，确定是否根据路由信息库获取最小生存时间值。

作为本公开实施例一种可选的实施方式，所述根据所述网络入口流量与预设阈值流量的大小关系，确定是否根据路由信息库获取最小生存时间值，包括：