專利名稱:一種報文接收方法��、深度包檢測設(shè)備及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域�,尤其涉及一種報文接收方法���、深度包檢測設(shè)備及系統(tǒng)��。
背景技術(shù):
隨著互聯(lián)網(wǎng)業(yè)務(wù)日漸成熟���,業(yè)務(wù)種類逐漸增加�,用戶終端可以訪問的網(wǎng)站�,包括視頻網(wǎng)站��,游戲網(wǎng)站等�����,這些網(wǎng)站既存在免費的�����,也有根據(jù)運營商的需求進行收費的��,用戶終端可以根據(jù)自己的需求選擇訪問����。一般情況下����,用戶想要訪問網(wǎng)站使用的業(yè)務(wù)服務(wù)器對應(yīng)著一個IP (InternetProtocol,網(wǎng)絡(luò)協(xié)議)地址���,用戶可以通過發(fā)送攜帶有域名和需要訪問的網(wǎng)站相關(guān)信息的報文,通常情況下����,DPI (Deep Packet Inspection,深度包檢測)設(shè)備對報文信息進行策略 匹配時����,需要使用包含有host字段的完整URL(Uniform Resource Location,統(tǒng)一資源定位符)信息�����,這與現(xiàn)有的業(yè)務(wù)服務(wù)器對報文的處理原則不同���,會造成DPI設(shè)備檢測存在漏洞�����,如這種業(yè)務(wù)服務(wù)器僅檢測報文的URL中的路徑信息�,而不檢測host字段�����,使得業(yè)務(wù)服務(wù)器可以根據(jù)路徑信息返回訪問結(jié)果����,而不判斷該路徑信息是否與host字段提供的路徑一致,即無法判斷用戶是否篡改了 host字段��。這樣會造成用戶通過篡改報文��,達到成功訪問收費業(yè)務(wù),但DPI設(shè)備無法識別用戶終端是否通過修改報文中的host字段而達到欺詐性的免費訪問收費網(wǎng)站的目的等�����。
發(fā)明內(nèi)容
本發(fā)明的實施例提供一種報文接收方法���、深度包檢測設(shè)備及系統(tǒng)����,能夠提高深度包檢測設(shè)備對報文的辨識能力�����,防止由于辨識不足而出現(xiàn)漏洞�����。為達到上述目的�����,本發(fā)明的實施例采用如下技術(shù)方案一方面���,提供一種報文接收方法��,包括接收終端設(shè)備發(fā)送的業(yè)務(wù)請求的報文�,所述報文攜帶有指示所述終端設(shè)備的終端域名和指示所述終端設(shè)備業(yè)務(wù)請求的業(yè)務(wù)服務(wù)器的服務(wù)器域名��;解析接收的所述服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址�����;若解析的所述業(yè)務(wù)服務(wù)器IP地址不屬于接收的所述終端域名在預(yù)設(shè)列表中對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址�,則對所述報文進行丟包。一方面��,提供一種深度包檢測DPI設(shè)備�,包括接收單元,用于接收終端設(shè)備發(fā)送的業(yè)務(wù)請求的報文����,所述報文攜帶有指示所述終端設(shè)備的終端域名和指示所述終端設(shè)備業(yè)務(wù)請求的業(yè)務(wù)服務(wù)器的服務(wù)器域名;解析單元�,用于解析所述接收單元接收的所述服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址;處理單元����,用于若所述解析單元解析的所述業(yè)務(wù)服務(wù)器IP地址不屬于所述接收單元接收的所述終端域名在預(yù)設(shè)列表中對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則對所述報文進行丟包���。
另一方面�����,提供一種系統(tǒng)�,包括上述的DPI設(shè)備;終端設(shè)備�,用于向所述DPI設(shè)備發(fā)送業(yè)務(wù)請求的報文,所述報文攜帶有指示所述終端設(shè)備的終端域名和指示所述終端設(shè)備業(yè)務(wù)請求的業(yè)務(wù)服務(wù)器的服務(wù)器域名���。本發(fā)明實施例提供的報文接收方法��、DPI設(shè)備及系統(tǒng)����,DPI設(shè)備接收終端設(shè)備發(fā)送的業(yè)務(wù)請求的報文��,報文攜帶有指示終端設(shè)備的終端域名和指示業(yè)務(wù)請求的業(yè)務(wù)服務(wù)器的服務(wù)器域名��,解析服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址�����,若業(yè)務(wù)服務(wù)器IP地址不屬于終端域名在預(yù)設(shè)列表中對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則對報文進行丟包�����。這樣一來����,DPI設(shè)備能夠通過比較報文的業(yè)務(wù)服務(wù)器IP地址和預(yù)設(shè)表格中該終端設(shè)備的終端域名對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址是否吻合�,判斷出該報文是正常報文還是異常報文,對異常報文進行丟包�����,這樣提高DPI設(shè)備對報文的辨識能力�����,防止由于辨識不足����,而導(dǎo)致服務(wù)器對異常報文進行正常處理而出現(xiàn)漏洞。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案����,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例�����,對于本領(lǐng)域普通技術(shù)人員來講�����,在不付出創(chuàng)造性勞動的前提下���,還可以根據(jù)這些附圖獲得其他的附圖����。圖I為本發(fā)明實施例提供的報文接收方法流程示意圖��;圖2為本發(fā)明實施例提供的真實報文和被篡改報文對比圖�����;圖3為發(fā)明另一實施例提供的報文接收方法流程示意圖����;圖4為本發(fā)明實施例提供的DPI設(shè)備的結(jié)構(gòu)示意圖;圖5為本發(fā)明另一實施例提供的DPI設(shè)備的結(jié)構(gòu)示意圖�����;圖6為本發(fā)明實施例提供的系統(tǒng)結(jié)構(gòu)示意圖。
具體實施例方式下面將結(jié)合本發(fā)明實施例中的附圖��,對本發(fā)明實施例中的技術(shù)方案進行清楚����、完整地描述���,顯然���,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例�。基于本發(fā)明中的實施例����,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍����。本發(fā)明實施例提供的報文接收方法,如圖I所示��,該方法步驟包括S10UDPI設(shè)備接收終端設(shè)備發(fā)送的業(yè)務(wù)請求的報文,報文攜帶有指示終端設(shè)備的終端域名和指示終端設(shè)備業(yè)務(wù)請求的業(yè)務(wù)服務(wù)器的服務(wù)器域名���。需要說明的是���,本實施例適用的網(wǎng)絡(luò)可以是是基于TCP/IP (TransmissionControl Protocol/Internet Protocol,傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議)進行通信和連接的,在這樣的網(wǎng)絡(luò)中���,每一個與網(wǎng)絡(luò)相連接的終端設(shè)備和業(yè)務(wù)服務(wù)器都有一個唯一的標(biāo)識�����,以區(qū)別在網(wǎng)絡(luò)上成千上萬個終端設(shè)備和業(yè)務(wù)服務(wù)器等����。一般情況下����,這個唯一的標(biāo)識可以為字符型地址,即域名����。由于每個終端設(shè)備和業(yè)務(wù)服務(wù)器都有自己獨一無二的域名,因此終端設(shè)備在向DPI設(shè)備請求服務(wù)的時候��,僅需要告知DPI設(shè)備自己的域名,記作終端域名���,DPI設(shè)備就可以通過終端域名找到這個終端設(shè)備����,并向終端設(shè)備轉(zhuǎn)發(fā)或提供該終端設(shè)備所需的服務(wù)��,此外�,終端設(shè)備可以通過在報文中寫入業(yè)務(wù)服務(wù)器的域名,記作服務(wù)器域名����,來實現(xiàn)對業(yè)務(wù)請求所需要的業(yè)務(wù)服務(wù)器的訪問�����。示例性的����,終端設(shè)備需要訪問網(wǎng)絡(luò)上可用的資源,如超文本標(biāo)記語言文檔�����、圖像、視頻片段�、程序等,由于支持不同網(wǎng)站的業(yè)務(wù)服務(wù)器�����,都可以通過服務(wù)器域名作為唯一的標(biāo)識進行識別��,因此當(dāng)終端設(shè)備根據(jù)需要訪問網(wǎng)站時�,需要發(fā)送一個寫入了該網(wǎng)站對應(yīng)的業(yè)務(wù)服務(wù)器的服務(wù)器域名的URL報文,其中����,服務(wù)器域名為終端設(shè)備需要訪問網(wǎng)站的業(yè)務(wù)服務(wù)器的字符型地址,如當(dāng)用戶需要使用終端設(shè)備訪問A公司的網(wǎng)站時�,URL可以寫為
A. com 等。
S102�、DPI設(shè)備解析接收的服務(wù)器域名得到業(yè)務(wù)服務(wù)器IP地址。進一步的���,DPI設(shè)備對服務(wù)器域名進行DNS (Domain Name Server,域名服務(wù))解析���,如通過本地查詢、緩存查詢和迭代查詢等方式進行解析���,這樣就可以將用戶易于熟記的域名���,如WWW. baidu. com�、www. google, com等轉(zhuǎn)換為機器可識別的IP地址�,如I. I. I. 10、2. 2. 2. 2等�,并記作業(yè)務(wù)服務(wù)器IP地址,進而使得DPI設(shè)備通過業(yè)務(wù)服務(wù)器IP地址幫助終端設(shè)備訪問到業(yè)務(wù)服務(wù)器�,以使得業(yè)務(wù)服務(wù)器為終端設(shè)備提供服務(wù)。S103�、若DPI設(shè)備解析的業(yè)務(wù)服務(wù)器IP地址不屬于接收的終端域名在預(yù)設(shè)列表中對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則對報文進行丟包����。需要說明的是�����,DPI設(shè)備中預(yù)先設(shè)置有一個預(yù)設(shè)列表�����,如表I所示��,該預(yù)設(shè)列表中每個終端設(shè)備的終端域名對應(yīng)設(shè)置有該終端設(shè)備的訪問權(quán)限下的可訪問業(yè)務(wù)服務(wù)器IP地址,記作預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址����,一個終端設(shè)備可以對應(yīng)多個預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址。
f貞設(shè)業(yè)務(wù)服務(wù)器IP終端域名地址
www.huawei.com1.1.1.1
「 2.2.2.20
www.google.com2.2.2.2表I示例性的,如表I所示�,終端設(shè)備A的終端域名為www. huawei. com,終端設(shè)備A只能訪問I. I. I. I和2. 2. 2. 20兩個預(yù)設(shè)業(yè)務(wù)服務(wù)器,假設(shè)這兩個預(yù)設(shè)業(yè)務(wù)服務(wù)器都是不計費服務(wù)的�,而終端設(shè)備B的終端域名為www. google, com,終端設(shè)備B可以訪問2. 2. 2. 2,該IP地址對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器是計費的。如圖2所示,假設(shè)www. huawei. com對應(yīng)的IP地址為I. I. I. 1�,www. google, com對應(yīng)的IP地址為2. 2. 2. 2,也就是說終端設(shè)備A只能訪問免費的WWW. huawei. com的預(yù)設(shè)業(yè)務(wù)服務(wù)器,但不可以訪問www. google, com的預(yù)設(shè)業(yè)務(wù)服務(wù)器�,但是由于現(xiàn)有技術(shù)中,對報文中的URL處理時�,業(yè)務(wù)服務(wù)器僅只關(guān)注GET請求之后的路徑,而不檢測host字段����,將訪問的結(jié)果按照GET后的路徑返回,而不判斷該路徑信息是否與host字段提供的路徑一致���,業(yè)務(wù)服務(wù)器對host之后的地址僅讀取然后訪問���,但不檢查host之后的字段是否是正確的免費訪問的網(wǎng)站的字段,就使得如果終端終端設(shè)備A將host之后的域名從www. google, com改為www. huawei. com,那么終端設(shè)備A可以不計費的訪問www.google, com,而訪問結(jié)果可以通過GET后的www. huawei. com返回終端設(shè)備A,這樣一來,終端設(shè)備通過篡改報文���,達到成功訪問收費業(yè)務(wù)��,但DPI設(shè)備無法識別終端設(shè)備是否通過修改報文中的host字段而達到欺詐性的免費訪問收費網(wǎng)站的目的��。所以本發(fā)明實施例提供的DPI設(shè)備將終端設(shè)備A的終端域名www. huawei. com與其可訪問的業(yè)務(wù)服務(wù)器�����,記作預(yù)設(shè)業(yè)務(wù)服務(wù)器�,設(shè)置在預(yù)設(shè)列表中,如果對終端設(shè)備A解析得到的服務(wù)器域名對應(yīng)的業(yè)務(wù)服務(wù)器IP地址不屬于表一中的終端域名www. huawei. com,即終端設(shè)備A對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址�����,如服務(wù)器域名解析得到2. 2. 2. 2��,既不是
1.I. I. I也不是2. 2. 2. 20����,則認為這個報文出現(xiàn)異常��,對這個異常的報文進行丟包����,以防止終端設(shè)備A通過篡改報文��,達到成功訪問收費業(yè)務(wù)�,如果服務(wù)器域名解析得到2. 2. 2. 20���,屬于I. I. I. I和2. 2. 2. 20����,可以認為這個報文是正常的����,則根據(jù)報文請求的業(yè)務(wù)請求對終端設(shè)備A和IP地址為2. 2. 2. 20的業(yè)務(wù)服務(wù)器進行連接,使得業(yè)務(wù)服務(wù)器為終端設(shè)備A提供業(yè)務(wù)請求的服務(wù)����。·本發(fā)明實施例提供的報文接收方法���,DPI設(shè)備接收終端設(shè)備發(fā)送的業(yè)務(wù)請求的報文��,報文攜帶有指示終端設(shè)備的終端域名和指示業(yè)務(wù)請求的業(yè)務(wù)服務(wù)器的服務(wù)器域名���,解析服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址,若業(yè)務(wù)服務(wù)器IP地址不屬于終端域名在預(yù)設(shè)列表中對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則對報文進行丟包��。這樣一來����,DPI設(shè)備能夠通過比較報文的業(yè)務(wù)服務(wù)器IP地址和預(yù)設(shè)表格中該終端設(shè)備的終端域名對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址是否吻合,判斷出該報文是正常報文還是異常報文�,對異常報文進行丟包,這樣提高DPI設(shè)備對報文的辨識能力��,防止由于辨識不足��,而導(dǎo)致DPI設(shè)備對異常報文進行正常處理而出現(xiàn)漏洞�。本發(fā)明另一實施例提供的報文接收方法,以具有DNS解析功能的網(wǎng)關(guān)設(shè)備舉例說明�,其他具有DNS解析功能的設(shè)備也在保護范圍之內(nèi),如圖3所示��,該方法步驟包括S201���、網(wǎng)關(guān)設(shè)備接收終端設(shè)備發(fā)送的DNS報文���,DNS報文攜帶有指示終端設(shè)備的終端域名及終端域名對應(yīng)的至少一個可訪問業(yè)務(wù)服務(wù)器的真實域名。值得指出的是����,網(wǎng)關(guān)設(shè)備可以在較為空閑的時間向終端設(shè)備發(fā)送DNS查詢請求,以使得各個終端設(shè)備向網(wǎng)關(guān)設(shè)備發(fā)送DNS報文�,也可以不發(fā)送這個查詢請求,而在接收到終端設(shè)備的DNS報文時����,獲得DNS報文攜帶的指示終端設(shè)備的終端域名及終端域名對應(yīng)的至少一個可訪問業(yè)務(wù)服務(wù)器的真實域名。S202���、網(wǎng)關(guān)設(shè)備解析接收的真實域名得到至少一個可訪問業(yè)務(wù)服務(wù)器IP地址���。需要說明的是,網(wǎng)關(guān)設(shè)備解析真實域名得到終端設(shè)備有權(quán)限訪問的服務(wù)器IP地址,如可以免費訪問的IP地址等�����。S203�、網(wǎng)關(guān)設(shè)備將解析的至少一個可訪問業(yè)務(wù)服務(wù)器IP地址作為預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,與終端域名對應(yīng)設(shè)置在預(yù)設(shè)列表中�����。示例性的���,網(wǎng)關(guān)設(shè)備將解析的終端設(shè)備A的可訪問業(yè)務(wù)服務(wù)器IP地址�����,如
2.2. 2. 20和I. I. I. I對應(yīng)終端域名HTTP/1. l\r\n設(shè)置在預(yù)設(shè)列表中�,其中,可訪問業(yè)務(wù)服務(wù)器IP地址記作預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址���,將解析的終端設(shè)備B的可訪問業(yè)務(wù)服務(wù)器IP地址�,如2. 2. 2. 2對應(yīng)終端域名HTTP/1. 2\r\n設(shè)置在預(yù)設(shè)列表中��,其中����,可訪問業(yè)務(wù)服務(wù)器IP地址記作預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,以此類推��,建立一個預(yù)設(shè)列表����,以使得網(wǎng)關(guān)設(shè)備可以根據(jù)列表中終端域名對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址判斷后續(xù)接收到的該終端域名對應(yīng)的終端設(shè)備A或終端設(shè)備B等請求的業(yè)務(wù)服務(wù)器是否在可訪問范圍內(nèi)。需要說明的�,S201、S202和S203與S204和S205沒有順序關(guān)系��,S201、S202和S203只需在S206���、S207或S208之前執(zhí)行即可。S204�����、網(wǎng)關(guān)設(shè)備接收終端設(shè)備發(fā)送的業(yè)務(wù)請求的報文���,報文攜帶有指示終端設(shè)備的終端域名和指示終端設(shè)備業(yè)務(wù)請求的業(yè)務(wù)服務(wù)器的服務(wù)器域名���。S205、網(wǎng)關(guān)設(shè)備解析接收的服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址�。需要說明的是,S205之后���,若解析的業(yè)務(wù)服務(wù)器IP地址不屬于接收的終端域名在預(yù)設(shè)列表中對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址�����,則執(zhí)行步驟S206����,若解析的業(yè)務(wù)服務(wù)器IP地址 屬于接收的終端域名在預(yù)設(shè)列表中對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則根據(jù)網(wǎng)關(guān)設(shè)備的需求執(zhí)行步驟S207或S208��。S206��、網(wǎng)關(guān)設(shè)備對報文進行丟包�����。由于解析的業(yè)務(wù)服務(wù)器IP地址不屬于接收的終端域名在預(yù)設(shè)列表中對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址�����,網(wǎng)關(guān)設(shè)備可以確定該報文是惡意欺詐的報文或異常報文�,對該報文進行丟包,方法在上述實施例中已經(jīng)展開�����,在此不再贅述���。S207�����、網(wǎng)關(guān)設(shè)備使終端設(shè)備與業(yè)務(wù)服務(wù)器IP地址對應(yīng)的業(yè)務(wù)服務(wù)器建立連接����,以使得業(yè)務(wù)服務(wù)器向終端設(shè)備提供針對終端設(shè)備的業(yè)務(wù)請求的服務(wù)。需要說明的是����,由于解析的業(yè)務(wù)服務(wù)器IP地址屬于接收的終端域名在預(yù)設(shè)列表中對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,也就是說終端設(shè)備只是需要正常訪問可訪問業(yè)務(wù)服務(wù)器�,那么網(wǎng)關(guān)設(shè)備就可以使得終端設(shè)備與業(yè)務(wù)服務(wù)器建立連接�,以使得業(yè)務(wù)服務(wù)器為終端設(shè)備提供視頻數(shù)據(jù)或者音頻數(shù)據(jù)等終端設(shè)備請求的服務(wù)。S208��、網(wǎng)關(guān)設(shè)備根據(jù)終端設(shè)備的終端域名確定業(yè)務(wù)請求的業(yè)務(wù)類型�����。示例性的�,若網(wǎng)關(guān)設(shè)備的需求是識別終端設(shè)備發(fā)送的加密的業(yè)務(wù)類型,或者識別IP地址不斷變化的終端設(shè)備的業(yè)務(wù)類型���,可以通過比對預(yù)設(shè)列表中的終端域名與預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址獲得業(yè)務(wù)類型�����。即如果終端設(shè)備的業(yè)務(wù)請求是加密的�����,比如某一下載工具是加密的��,或者某一郵件工具是加密的����,此時網(wǎng)關(guān)設(shè)備無法對于這些加密類應(yīng)用通過解析URL等特征獲取到具體的業(yè)務(wù)應(yīng)用類型,但又需要對所有的下載工具進行下載限制�,這時,網(wǎng)關(guān)設(shè)備可以在判斷了預(yù)設(shè)列表中的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址與終端設(shè)備的業(yè)務(wù)服務(wù)器IP地址相同后�����,根據(jù)預(yù)設(shè)列表中的該終端設(shè)備的終端域名自動配出業(yè)務(wù)類型�����,這時如果終端設(shè)備A的業(yè)務(wù)類型是加密的下載工具�,終端設(shè)備B的業(yè)務(wù)類型是加密的郵件工具,則可以識別并對終端設(shè)備A的下載進行限制��。這樣一來��,就可以避免解析中遇見反識別軟件使無法獲取業(yè)務(wù)類型�����,無法對加密的業(yè)務(wù)類型進行操作的情況。另外���,如果上述終端設(shè)備B的業(yè)務(wù)類型為郵件下載加密��,且業(yè)務(wù)類型沒有明顯特征和特定IP地址����,即IP地址一直處于變化狀態(tài)����,這時可以通過本發(fā)明實施例中提供的預(yù)設(shè)列表���,在判斷了預(yù)設(shè)列表中的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址與終端設(shè)備的業(yè)務(wù)服務(wù)器IP地址相同后�����,根據(jù)預(yù)設(shè)列表中的該終端設(shè)備B的終端域名獲取到終端設(shè)備B���,進而識別出具體業(yè)務(wù)類型,如在網(wǎng)關(guān)設(shè)備上配置域名和業(yè)務(wù)類型的對應(yīng)關(guān)系���,如配置www. gmail. com域名����,對應(yīng)的業(yè)務(wù)類型為郵件,就可以根據(jù)終端域名www. gmail. com獲取到終端設(shè)備B的業(yè)務(wù)類型為郵件��。
需要說明的是�����,步驟S207和S208可以根據(jù)網(wǎng)關(guān)設(shè)備所需的處理方式不同而選擇一個步驟執(zhí)行��,如需要判斷報文正常且需要將終端設(shè)備與業(yè)務(wù)服務(wù)器建立連接時���,執(zhí)行S207���,若需要得知業(yè)務(wù)類型時,則執(zhí)行S208���。本發(fā)明實施例提供的報文接收方法���,網(wǎng)關(guān)設(shè)備接收終端設(shè)備發(fā)送的業(yè)務(wù)請求的報文,報文攜帶有指示終端設(shè)備的終端域名和指示業(yè)務(wù)請求的業(yè)務(wù)服務(wù)器的服務(wù)器域名,解析服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址��,若業(yè)務(wù)服務(wù)器IP地址不屬于終端域名在預(yù)設(shè)列表中對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址�,則對報文進行丟包。這樣一來���,網(wǎng)關(guān)設(shè)備能夠通過比較報文的業(yè)務(wù)服務(wù)器IP地址和預(yù)設(shè)表格中該終端設(shè)備的終端域名對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址是否吻合���,判斷出該報文是正常報文還是異常報文,對異常報文進行丟包����,這樣提高服務(wù)器對報文的辨識能力,防止由于辨識不足�����,而導(dǎo)致網(wǎng)關(guān)設(shè)備對異常報文進行正常處理而出現(xiàn)漏洞��。本發(fā)明實施例提供的DPI設(shè)備30�����,如圖4所示����,包括接收單元301,用于接收終端設(shè)備40發(fā)送的業(yè)務(wù)請求的報文�����,報文攜帶有指示終·端設(shè)備40的終端域名和指示終端設(shè)備40業(yè)務(wù)請求的業(yè)務(wù)服務(wù)器的服務(wù)器域名��。需要說明的是�,DPI設(shè)備30可以通過接收單元301接收到的終端域名和服務(wù)器域名對終端設(shè)備40和該終端設(shè)備40所需的業(yè)務(wù)服務(wù)器建立連接,以使得終端設(shè)備40得到業(yè)務(wù)請求所需的服務(wù)�����,在此不再贅述���。解析單元302����,用于解析接收單元301接收的服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址��。需要說明的是���,解析單元302可以實現(xiàn)將用戶易記憶的域名和機器易識別的IP地址之間相互的轉(zhuǎn)換���。處理單元303�,用于若解析單元302解析的業(yè)務(wù)服務(wù)器IP地址不屬于接收單元301接收的終端域名在預(yù)設(shè)列表中對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址�����,則對報文進行丟包�����。需要說明的是����,如果接收單元301接收的終端域名在預(yù)設(shè)列表中對應(yīng)的不是該終端域名應(yīng)該對應(yīng)的、可訪問的業(yè)務(wù)服務(wù)器�����,即預(yù)設(shè)列表中記作預(yù)設(shè)業(yè)務(wù)服務(wù)器時��,說明這個訪問的報文存在異常��,可能是惡意欺詐����,避過網(wǎng)絡(luò)計費等,所以對該報文進行丟包��。處理單元303�����,還用于若解析單元302解析的業(yè)務(wù)服務(wù)器IP地址屬于接收單元301接收的終端域名在預(yù)設(shè)列表中對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址�,則對終端設(shè)備40與業(yè)務(wù)服務(wù)器IP地址對應(yīng)的業(yè)務(wù)服務(wù)器建立連接,以使得業(yè)務(wù)服務(wù)器向終端設(shè)備40提供針對終端設(shè)備的業(yè)務(wù)請求的服務(wù)���?;蛘?,若解析單元302解析的業(yè)務(wù)服務(wù)器IP地址屬于接收單元301接收的終端域名在預(yù)設(shè)列表中對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則根據(jù)終端設(shè)備40的終端域名確定業(yè)務(wù)請求的業(yè)務(wù)類型��。進一步的���,DPI設(shè)備30,如圖5所示,還包括發(fā)送單元�,用于向終端設(shè)備40發(fā)送DNS查詢請求�����,以使得終端設(shè)備40發(fā)送DNS報文��。其中,接收單元301����,還用于接收終端設(shè)備40發(fā)送的DNS報文,DNS報文攜帶有終端域名及終端域名對應(yīng)的至少一個可訪問業(yè)務(wù)服務(wù)器的真實域名�����。解析單元302�,還用于解析接收單元301接收的真實域名得到至少一個可訪問業(yè)務(wù)服務(wù)器IP地址。
此時���,處理單元303將解析單元302解析的至少一個可訪問業(yè)務(wù)服務(wù)器IP地址作為預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址��,與接收單元301接收的終端域名對應(yīng)設(shè)置在預(yù)設(shè)列表中�,以使得后續(xù)接收單元301接收到業(yè)務(wù)請求的報文時���,根據(jù)終端域名在預(yù)設(shè)列表中比對�,防止報文要訪問的業(yè)務(wù)服務(wù)器IP地址不對應(yīng)預(yù)設(shè)列表中終端域名對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址時對該報文進行正常處理���。上述DPI設(shè)備30對應(yīng)上述方法實施例�����,該DPI設(shè)備30可以用于上述方法實施例的步驟中��,其具體各個步驟中的應(yīng)用可以參照上述方法實施例���,在此不再贅述。本發(fā)明實施例提供的DPI設(shè)備30��,DPI設(shè)備30接收終端設(shè)備40發(fā)送的業(yè)務(wù)請求的報文��,報文攜帶有指示終端設(shè)備40的終端域名和指示業(yè)務(wù)請求的業(yè)務(wù)服務(wù)器的服務(wù)器域名�,解析服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址,若業(yè)務(wù)服務(wù)器IP地址不屬于終端域名在預(yù)設(shè)列表中對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址�����,則對報文進行丟包�。這樣一來,DPI設(shè)備30能夠通過比較報文的業(yè)務(wù)服務(wù)器IP地址和預(yù)設(shè)表格中該終端設(shè)備40的終端域名對 應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址是否吻合�,判斷出該報文是正常報文還是異常報文,對異常報文進行丟包�,這樣提高DPI設(shè)備30對報文的辨識能力,防止由于辨識不足�,而導(dǎo)致DPI設(shè)備對異常報文進行正常處理而出現(xiàn)漏洞。本發(fā)明實施例提供的系統(tǒng)����,如圖6所示��,包括DPI設(shè)備30����,用于接收終端設(shè)備40發(fā)送的業(yè)務(wù)請求的報文�,報文攜帶有指示終端設(shè)備40的終端域名和指示終端設(shè)備40業(yè)務(wù)請求的業(yè)務(wù)服務(wù)器的服務(wù)器域名;解析接收的服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址���;若解析的業(yè)務(wù)服務(wù)器IP地址不屬于接收的終端域名在預(yù)設(shè)列表中對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址�����,則對報文進行丟包���。終端設(shè)備40,用于向DPI設(shè)備30發(fā)送業(yè)務(wù)請求的報文��。上述DPI設(shè)備30和終端設(shè)備40對應(yīng)上述方法實施例���,該DPI設(shè)備30和終端設(shè)備40可以用于上述方法實施例的步驟中�����,其具體各個步驟中的應(yīng)用可以參照上述方法實施例����。其中��,DPI設(shè)備30的具體結(jié)構(gòu)與上述實施例中提供的終端和DPI設(shè)備的結(jié)構(gòu)相同��,在此不再贅述����。本發(fā)明實施例提供的系統(tǒng),DPI設(shè)備30接收終端設(shè)備40發(fā)送的業(yè)務(wù)請求的報文�����,報文攜帶有指示終端設(shè)備40的終端域名和指示業(yè)務(wù)請求的目標(biāo)DPI設(shè)備的服務(wù)器域名�����,解析服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址��,若業(yè)務(wù)服務(wù)器IP地址不屬于終端域名在預(yù)設(shè)列表中對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址�,則對報文進行丟包�����。這樣一來,服務(wù)器30能夠通過比較報文的業(yè)務(wù)服務(wù)器IP地址和預(yù)設(shè)表格中該終端設(shè)備40的終端域名對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址是否吻合��,判斷出該報文是正常報文還是異常報文�����,對異常報文進行丟包�����,這樣提高DPI設(shè)備30對報文的辨識能力�����,防止由于辨識不足����,而導(dǎo)致DPI設(shè)備對異常報文進行正常處理而出現(xiàn)漏洞。以上所述��,僅為本發(fā)明的具體實施方式
�,但本發(fā)明的保護范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到變化或替換�����,都應(yīng)涵蓋在本發(fā)明的保護范圍之內(nèi)�。因此,本發(fā)明的保護范圍應(yīng)以所述權(quán)利要求的保護范圍為準(zhǔn)�。
權(quán)利要求
1.一種報文接收方法,其特征在于�����,包括 接收終端設(shè)備發(fā)送的業(yè)務(wù)請求的報文�,所述報文攜帶有指示所述終端設(shè)備的終端域名和指示所述終端設(shè)備業(yè)務(wù)請求的業(yè)務(wù)服務(wù)器的服務(wù)器域名�����; 解析接收的所述服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址���; 若解析的所述業(yè)務(wù)服務(wù)器IP地址不屬于接收的所述終端域名在預(yù)設(shè)列表中對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址��,則對所述報文進行丟包�。
2.根據(jù)權(quán)利要求I所述的方法����,其特征在于�,若解析的所述業(yè)務(wù)服務(wù)器IP地址不屬于接收的所述終端域名在預(yù)設(shè)列表中對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址��,則對所述報文進行丟包之前�����,還包括 接收終端設(shè)備發(fā)送的域名系統(tǒng)DNS報文���,所述DNS報文攜帶有所述終端域名及所述終 端域名對應(yīng)的至少一個可訪問業(yè)務(wù)服務(wù)器的真實域名; 解析接收的所述真實域名得到至少一個可訪問業(yè)務(wù)服務(wù)器IP地址����; 將解析的所述至少一個可訪問業(yè)務(wù)服務(wù)器IP地址作為所述預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,與所述終端域名對應(yīng)設(shè)置在所述預(yù)設(shè)列表中�。
3.根據(jù)權(quán)利要求2所述的方法��,其特征在于��,所述接收終端設(shè)備發(fā)送的域名系統(tǒng)DNS報文之前�����,還包括 向所述終端設(shè)備發(fā)送DNS查詢請求����,以使得所述終端設(shè)備發(fā)送所述DNS報文。
4.根據(jù)權(quán)利要求I至3任一所述的方法�����,其特征在于�,所述解析所述服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址之后�����,還包括 若解析的所述業(yè)務(wù)服務(wù)器IP地址屬于接收的所述終端域名在所述預(yù)設(shè)列表中對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則對所述終端設(shè)備與所述業(yè)務(wù)服務(wù)器IP地址對應(yīng)的業(yè)務(wù)服務(wù)器建立連接�����,以使得所述業(yè)務(wù)服務(wù)器向所述終端設(shè)備提供針對所述終端設(shè)備的業(yè)務(wù)請求的服務(wù)��。
5.根據(jù)權(quán)利要求I至3任一所述的方法�,其特征在于�,所述解析所述服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址之后��,還包括 若解析的所述業(yè)務(wù)服務(wù)器IP地址屬于接收的所述終端域名在所述預(yù)設(shè)列表中對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址���,則根據(jù)所述終端設(shè)備的終端域名確定所述業(yè)務(wù)請求的業(yè)務(wù)類型。
6.一種深度包檢測DPI設(shè)備�����,其特征在于�,包括 接收單元,用于接收終端設(shè)備發(fā)送的業(yè)務(wù)請求的報文��,所述報文攜帶有指示所述終端設(shè)備的終端域名和指示所述終端設(shè)備業(yè)務(wù)請求的業(yè)務(wù)服務(wù)器的服務(wù)器域名�; 解析單元,用于解析所述接收單元接收的所述服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址���; 處理單元�,用于若所述解析單元解析的所述業(yè)務(wù)服務(wù)器IP地址不屬于所述接收單元接收的所述終端域名在預(yù)設(shè)列表中對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址���,則對所述報文進行丟包��。
7.根據(jù)權(quán)利要求6所述的DPI設(shè)備��,其特征在于�, 所述接收單元,還用于接收終端設(shè)備發(fā)送的域名系統(tǒng)DNS報文����,所述DNS報文攜帶有所述終端域名及所述終端域名對應(yīng)的至少一個可訪問業(yè)務(wù)服務(wù)器的真實域名; 所述解析單元����,還用于解析所述接收單元接收的所述真實域名得到至少一個可訪問業(yè)務(wù)服務(wù)器IP地址; 所述處理單元�,還用于將所述解析單元解析的所述至少一個可訪問業(yè)務(wù)服務(wù)器IP地址作為所述預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址�,與所述終端域名對應(yīng)設(shè)置在所述預(yù)設(shè)列表中。
8.根據(jù)權(quán)利要求7所述的DPI設(shè)備����,其特征在于,還包括 發(fā)送單元�,用于向所述終端設(shè)備發(fā)送DNS查詢請求,以使得所述終端設(shè)備發(fā)送所述DNS報文��。
9.根據(jù)權(quán)利要求6至8任一所述的DPI設(shè)備�����,其特征在于����, 所述處理單元,還用于若所述解析單元解析的所述業(yè)務(wù)服務(wù)器IP地址屬于所述接收單元接收的所述終端域名在所述預(yù)設(shè)列表中對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址����,則對所述終端設(shè)備與所述業(yè)務(wù)服務(wù)器IP地址對應(yīng)的業(yè)務(wù)服務(wù)器建立連接,以使得所述業(yè)務(wù)服務(wù)器向所述終端設(shè)備提供針對所述終端設(shè)備的業(yè)務(wù)請求的服務(wù)��。
10.根據(jù)權(quán)利要求6或8任一所述的DPI設(shè)備�,其特征在于, 所述處理單元��,還用于若所述解析單元解析的所述業(yè)務(wù)服務(wù)器IP地址屬于所述接收單元接收的所述終端域名在預(yù)設(shè)列表中對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址�,則根據(jù)所述終端設(shè)備的終端域名確定所述業(yè)務(wù)請求的業(yè)務(wù)類型。
11.一種系統(tǒng)�����,其特征在于�����,包括 權(quán)利要求6-10任一項所述的DPI設(shè)備�; 終端設(shè)備,用于向所述DPI設(shè)備發(fā)送業(yè)務(wù)請求的報文���,所述報文攜帶有指示所述終端設(shè)備的終端域名和指示所述終端設(shè)備業(yè)務(wù)請求的業(yè)務(wù)服務(wù)器的服務(wù)器域名�����。
全文摘要
本發(fā)明實施例提供一種報文接收方法�����、深度包檢測設(shè)備及系統(tǒng)��,涉及通信領(lǐng)域�,該方法、設(shè)備及系統(tǒng)能夠提高深度包檢測設(shè)備對報文的辨識能力�����,防止由于辨識不足而出現(xiàn)漏洞���,該報文接收方法包括接收終端設(shè)備發(fā)送的業(yè)務(wù)請求的報文����,所述報文攜帶有指示所述終端設(shè)備的終端域名和指示所述終端設(shè)備業(yè)務(wù)請求的業(yè)務(wù)服務(wù)器的服務(wù)器域名��;解析接收的所述服務(wù)器域名得到業(yè)務(wù)服務(wù)器網(wǎng)絡(luò)協(xié)議IP地址����;若解析的所述業(yè)務(wù)服務(wù)器IP地址不屬于接收的所述終端域名在預(yù)設(shè)列表中對應(yīng)的預(yù)設(shè)業(yè)務(wù)服務(wù)器IP地址,則對所述報文進行丟包�����。本發(fā)明實施例用于報文的處理�����。
文檔編號H04L29/12GK102884764SQ201280000912
公開日2013年1月16日 申請日期2012年6月30日 優(yōu)先權(quán)日2012年6月30日
發(fā)明者郭建成, 尤正剛 申請人:華為技術(shù)有限公司