一種惡意數(shù)據(jù)的攔截處理方法及裝置的制造方法
【專利摘要】本發(fā)明提供了一種惡意數(shù)據(jù)的攔截處理方法及裝置�����,該方法包括:接收響應數(shù)據(jù)報文���,響應數(shù)據(jù)報文中攜帶有終端的標識信息以及第一TTL值�;根據(jù)標識信息獲取與終端相關的第二TTL值�����,第二TTL值為所述終端的數(shù)據(jù)報文請求中攜帶的TTL值���;計算所述第一TTL值與第二TTL值的TTL差值��,將TTL差值與預設的閾值區(qū)間進行匹配���;若TTL差值不屬于所述閾值區(qū)間,則確定響應數(shù)據(jù)報文為惡意數(shù)據(jù)��,并對響應數(shù)據(jù)報文進行攔截��。本發(fā)明實施例有效地避免了惡意廠商在網(wǎng)關設備處進行web劫持所導致的泄密及插入惡意廣告的風險�,確保了用戶訪問網(wǎng)頁時可以正常瀏覽,提高瀏覽質量�,提升用戶體驗。
【專利說明】
一種惡意數(shù)據(jù)的攔截處理方法及裝置
技術領域
[0001]本發(fā)明涉及通信技術領域��,尤其涉及一種惡意數(shù)據(jù)的攔截處理方法及裝置��。
【背景技術】
[0002]在日常瀏覽網(wǎng)頁時���,用戶經(jīng)常會發(fā)現(xiàn)打開的頁面有廣告彈窗����,或者瀏覽內容被替換為其它無關內容�����,這是因為部分惡意廠商為了謀取利潤在網(wǎng)關設備處進行了 web劫持���,其原理是利用網(wǎng)關設備對穿過的流量進行修改�����,如修改網(wǎng)頁源碼�,插入惡意廣告,或者修改http報頭的響應碼���,通過重定向特征碼將流量重定向到廣告頁面來實現(xiàn)的���。
[0003]現(xiàn)有的實現(xiàn)惡意廣告的攔截方法,大多是基于瀏覽器實現(xiàn)����,如設置域名黑名單等,但是這種攔截方案需要依賴于瀏覽器功能實現(xiàn)�����,并沒有從根本是解決惡意設備的web劫持問題��。
【發(fā)明內容】
[0004]針對現(xiàn)有技術方案存在的問題和不足�,本發(fā)明提供了一種惡意數(shù)據(jù)的攔截處理方法及裝置,以避免惡意廠商在網(wǎng)關設備處進行web劫持所導致的泄密及插入惡意廣告的風險�。
[0005]根據(jù)本發(fā)明的一個方面,提供了一種惡意數(shù)據(jù)的攔截處理方法���,該方法包括:
[0006]接收響應數(shù)據(jù)報文�,所述響應數(shù)據(jù)報文中攜帶有終端的標識信息以及第一TTL值;
[0007]根據(jù)所述標識信息獲取與所述終端相關的第二TTL值�����,所述第二 TTL值為所述終端的數(shù)據(jù)報文請求中攜帶的TTL值����;
[0008]計算所述第一TTL值與第二 TTL值的TTL差值�,將所述TTL差值與預設的閾值區(qū)間進行匹配;
[0009]若所述TTL差值不屬于所述閾值區(qū)間��,則確定所述響應數(shù)據(jù)報文為惡意數(shù)據(jù)��,并對所述響應數(shù)據(jù)報文進行攔截��。
[0010]其中�,所述接收響應數(shù)據(jù)報文之前,還包括:
[0011]接收終端發(fā)送的數(shù)據(jù)報文請求���,所述數(shù)據(jù)報文請求中攜帶有標識信息以及第二TTL 值;
[0012]獲取所述標識信息以及第二TTL值����,并進行記錄�。
[0013]其中,所述第二TTL值為數(shù)據(jù)報文最多可經(jīng)過的路由器數(shù)量,當數(shù)據(jù)報文經(jīng)過一級路由器轉發(fā)后�����,所述第二 TTL值的計數(shù)器進行減I操作�。
[0014]其中,還包括:
[0015]若所述TTL差值屬于所述閾值區(qū)間�����,則將所述響應數(shù)據(jù)報文轉發(fā)到所述終端��。
[0016]其中�,所述根據(jù)所述標識信息獲取與所述終端相關的第二TTL值,包括:
[0017]根據(jù)所述標識信息查找預設的映射關系��,以獲取與所述終端相關的第二TTL值���,所述映射關系中包括有所述終端的標識信息與所述第二 TTL值之間的對應關系���。
[0018]根據(jù)本發(fā)明的另一方面,還提供了一種惡意數(shù)據(jù)的攔截處理裝置����,該裝置包括:
[0019]接收單元����,用于接收響應數(shù)據(jù)報文����,所述響應數(shù)據(jù)報文中攜帶有終端的標識信息以及第一 TTL值;
[0020]獲取單元�����,用于根據(jù)所述標識信息獲取與所述終端相關的第二TTL值�����,所述第二TTL值為所述終端的數(shù)據(jù)報文請求中攜帶的TTL值����;
[0021]匹配單元����,用于計算所述第一TTL值與第二 TTL值的TTL差值,將所述TTL差值與預設的閾值區(qū)間進行匹配��;
[0022]處理單元�����,用于若所述TTL差值不屬于所述閾值區(qū)間,則確定所述響應數(shù)據(jù)報文為惡意數(shù)據(jù)����,并對所述響應數(shù)據(jù)報文進行攔截。
[0023]其中�����,所述接收單元��,還用于在接收響應數(shù)據(jù)報文之前��,接收終端發(fā)送的數(shù)據(jù)報文請求�����,所述數(shù)據(jù)報文請求中攜帶有標識信息以及第二 TTL值��;
[0024]所述獲取單元�����,還用于獲取所述標識信息以及第二TTL值���,并進行記錄����。
[0025]其中,所述第二TTL值為數(shù)據(jù)報文最多可經(jīng)過的路由器數(shù)量��,當數(shù)據(jù)報文經(jīng)過一級路由器轉發(fā)后����,所述第二 TTL值的計數(shù)器進行減I操作。
[0026]其中���,所述裝置還包括:
[0027]發(fā)送單元,用于當所述匹配單元的匹配結果為TTL差值屬于所述閾值區(qū)間時���,將所述響應數(shù)據(jù)報文轉發(fā)到所述終端��。
[0028]其中�����,所述獲取單元����,具體用于根據(jù)所述標識信息查找預設的映射關系,以獲取與所述終端相關的第二 TTL值���,所述映射關系中包括有所述終端的標識信息與所述第二 TTL值之間的對應關系��。
[0029]本發(fā)明的有益效果為:
[0030]本發(fā)明提供的惡意數(shù)據(jù)的攔截處理方法及裝置�,通過對比響應數(shù)據(jù)報文與請求數(shù)據(jù)報文中的ttl值來進行數(shù)據(jù)流量的合法性確認���,有效地避免了惡意廠商在網(wǎng)關設備處進行web劫持所導致的泄密及插入惡意廣告的風險��,確保了用戶訪問網(wǎng)頁時可以正常瀏覽�����,提高瀏覽質量�����,提升用戶體驗�。
[0031]上述說明僅是本發(fā)明技術方案的概述�����,為了能夠更清楚了解本發(fā)明的技術手段���,而可依照說明書的內容予以實施���,并且為了讓本發(fā)明的上述和其它目的��、特征和優(yōu)點能夠更明顯易懂�����,以下特舉本發(fā)明的【具體實施方式】����。
【附圖說明】
[0032]通過閱讀下文優(yōu)選實施方式的詳細描述�,各種其他的優(yōu)點和益處對于本領域普通技術人員將變得清楚明了。附圖僅用于示出優(yōu)選實施方式的目的����,而并不認為是對本發(fā)明的限制�。而且在整個附圖中,用相同的參考符號表示相同的部件�。在附圖中:
[0033]圖1為本發(fā)明實施例提出的一種惡意數(shù)據(jù)的攔截處理方法的流程圖;
[0034]圖2為本發(fā)明實施例提出的一種惡意數(shù)據(jù)的攔截處理方法的應用場景示意圖�����;
[0035]圖3為本發(fā)明實施例提出的一種惡意數(shù)據(jù)的攔截處理裝置的結構示意圖。
【具體實施方式】
[0036]下面詳細描述本發(fā)明的實施例��,所述實施例的示例在附圖中示出�����,其中自始至終相同或類似的標號表示相同或類似的元件或具有相同或類似功能的元件����。下面通過參考附圖描述的實施例是示例性的,僅用于解釋本發(fā)明����,而不能解釋為對本發(fā)明的限制。
[0037]本技術領域技術人員可以理解���,除非特意聲明��,這里使用的單數(shù)形式“一”�����、“一個”�����、“所述”和“該”也可包括復數(shù)形式�。應該進一步理解的是,本發(fā)明的說明書中使用的措辭“包括”是指存在所述特征����、整數(shù)、步驟��、操作����、元件和/或組件,但是并不排除存在或添加一個或多個其他特征�、整數(shù)、步驟�、操作、元件��、組件和/或它們的組�����。
[0038]本技術領域技術人員可以理解�����,除非另外定義����,這里使用的所有術語(包括技術術語和科學術語),具有與本發(fā)明所屬領域中的普通技術人員的一般理解相同的意義����。還應該理解的是,諸如通用字典中定義的那些術語����,應該被理解為具有與現(xiàn)有技術的上下文中的意義一致的意義,并且除非被特定定義��,否則不會用理想化或過于正式的含義來解釋��。
[0039]圖1示出了本發(fā)明實施例的一種惡意數(shù)據(jù)的攔截處理方法的流程圖��。如圖1所示���,本發(fā)明實施例提出的惡意數(shù)據(jù)的攔截處理方法具體包括以下步驟:
[0040]步驟S11����、接收響應數(shù)據(jù)報文,所述響應數(shù)據(jù)報文中攜帶有終端的標識信息以及第一 TTL 值����;
[0041]步驟S12、根據(jù)所述標識信息獲取與所述終端相關的第二TTL值�,所述第二 TTL值為所述終端的數(shù)據(jù)報文請求中攜帶的TTL值;
[0042]步驟S13���、計算所述第一TTL值與第二 TTL值的TTL差值�����,將所述TTL差值與預設的閾值區(qū)間進行匹配���;
[0043]步驟S14、若所述TTL差值不屬于所述閾值區(qū)間���,則確定所述響應數(shù)據(jù)報文為惡意數(shù)據(jù)��,并對所述響應數(shù)據(jù)報文進行攔截���。
[0044]本發(fā)明實施例提供的惡意數(shù)據(jù)的攔截處理方法,通過將響應數(shù)據(jù)報文中的ttl值和請求數(shù)據(jù)報文中的ttl值的差值與預設的閾值區(qū)間進行比對����,來進行數(shù)據(jù)流量的合法性確認,有效地避免了惡意廠商在網(wǎng)關設備處進行web劫持所導致的泄密及插入惡意廣告的風險�����,確保了用戶訪問網(wǎng)頁時可以正常瀏覽���,提高瀏覽質量����,提升用戶體驗���。
[0045]在實際應用中����,正常打開一個網(wǎng)站時遵循如下順序���。
[0046]1��、個人電腦發(fā)起syn請求�����,報文經(jīng)過家庭企業(yè)網(wǎng)關設備轉發(fā)給運營商設備���,經(jīng)過多次路由轉發(fā)設備到達網(wǎng)站服務器
[0047]2���、網(wǎng)站服務器收到syn請求后回復syn+ack信號,經(jīng)過多次路由轉發(fā)��,到達運營商設備���,再轉發(fā)給家庭企業(yè)網(wǎng)關設備�,到達個人電腦
[0048]3�、個人電腦回復ack信號,報文經(jīng)過家庭企業(yè)網(wǎng)關設備轉發(fā)給運營商設備��,經(jīng)過多次路由轉發(fā)設備到達網(wǎng)站服務器
[0049]4�、個人電腦發(fā)起http get請求,包含要查看的頁面���,報文經(jīng)過家庭企業(yè)網(wǎng)關設備轉發(fā)給運營商設備����,經(jīng)過多次路由轉發(fā)設備到達網(wǎng)站服務器
[0050]5�、網(wǎng)站服務器收到get請求后發(fā)送頁面�,經(jīng)過運營商設備轉發(fā)給家庭企業(yè)網(wǎng)關設備��,到達個人電腦�����,瀏覽器展現(xiàn)�����。
[0051]但是���,當運營商劫持對web數(shù)據(jù)進行劫持時,應用場景如圖2所示�����,上述第5步會變更為如下步驟:
[0052]5’�����、運營商設備檢測到個人電腦的get報文后���,直接通過劫持服務器回復修改過的頁面給個人電腦�,由于劫持服務器一般與運營商網(wǎng)關為旁路部署,這樣含有惡意廣告的頁面會先于正常的頁面到達個人電腦��,結果是個人電腦打開的是被竄改含有惡意廣告的頁面�,正常頁面的報文到達后會被丟棄。
[0053]為此����,本發(fā)明實施例本發(fā)明通過記錄對比響應數(shù)據(jù)報文中的ttl值和請求數(shù)據(jù)報文中的tt I值,實現(xiàn)web流量的合法性檢驗����,從而提高web瀏覽的質量與體驗性。
[0054]在本發(fā)明的一個可選實施例中��,在上述實施例的步驟SII中的接收響應數(shù)據(jù)報文之前��,還包括以下步驟:
[0055]接收終端發(fā)送的數(shù)據(jù)報文請求���,所述數(shù)據(jù)報文請求中攜帶有標識信息以及第二TTL值;獲取所述標識信息以及第二 TTL值��,并進行記錄��。其中��,所述第二 TTL值為數(shù)據(jù)報文最多可經(jīng)過的路由器數(shù)量����,當數(shù)據(jù)報文經(jīng)過一級路由器轉發(fā)后,所述第二TTL值的計數(shù)器進行減I操作�。
[0056]進一步地,本發(fā)明實施例提供的惡意數(shù)據(jù)的攔截處理方法還包括以下步驟:若所述TTL差值屬于所述閾值區(qū)間���,則將所述響應數(shù)據(jù)報文轉發(fā)到所述終端��。
[0057]在本發(fā)明的一個可選實施例中,當通過計算得到第一TTL值與第二TTL值的TTL差值��,并將TTL差值與預設的閾值區(qū)間進行匹配后�����,若TTL差值不屬于所述閾值區(qū)間�,則確定所述響應數(shù)據(jù)報文為惡意數(shù)據(jù),若所述TTL差值屬于所述閾值區(qū)間����,則確定所述響應數(shù)據(jù)報文為網(wǎng)站服務器返回的正確數(shù)據(jù),則將所述響應數(shù)據(jù)報文轉發(fā)到所述終端�����,以確保了用戶在通過終端設備訪問網(wǎng)頁時可以實現(xiàn)正常瀏覽,提高瀏覽質量�,提升用戶體驗。
[0058]在本發(fā)明的一個可選實施例中����,上述實施例的步驟S12中的根據(jù)所述標識信息獲取與所述終端相關的第二 TTL值,進一步包括以下步驟:根據(jù)所述標識信息查找預設的映射關系�,以獲取與所述終端相關的第二 TTL值,所述映射關系中包括有所述終端的標識信息與所述第二 TTL值之間的對應關系��。
[0059]可理解的是�����,所述映射關系為預先設置的��,可通過關系表或關系數(shù)據(jù)庫實現(xiàn)�����。在一個具體示例中����,以關系表的方式實現(xiàn)網(wǎng)絡行為與待展示信息之間的對應關系。
[0060]具體應用中,本步驟中可通過查找映射關系����,獲得與所述終端相關的第二TTL值,以供計算單元計算第一 TTL值與第二 TTL值的TTL差值����,進而通過將TTL差值與預設的閾值區(qū)間進行比對,來進行數(shù)據(jù)流量的合法性確認�。
[0061 ]下面通過一個具體的實施例對本發(fā)明技術方案進行詳細清楚的說明。
[0062]操作系統(tǒng)在發(fā)出一個報文時會定義報文頭中的ttl值���,每經(jīng)過一此路由轉發(fā)�,轉發(fā)設備就會將該值減一����,當該值為O時就會被丟棄���,這樣做的目的是為了一條報文在網(wǎng)絡中被無限傳遞����,消耗網(wǎng)絡性能����。
[0063]如圖2中所示的用于場景�����,假設個人電腦的操作系統(tǒng)為windows����,那么操作系統(tǒng)會將第一步發(fā)起的syn報文中的值設為128����,家庭企業(yè)網(wǎng)關設備在收到報文后查找路由并決定轉發(fā)給運營商網(wǎng)關,在轉發(fā)時便會將ttl值改為127���,同理����,運營商網(wǎng)關在收到報文并轉發(fā)給其它設備時也會將ttl值減一 (126)再轉發(fā)�。
[0064]假設網(wǎng)站服務器最終收到的報文ttl值為100,那么網(wǎng)站服務器回復給個人電腦的報文值在到達運營商網(wǎng)關時的til值就會是102����,家庭企業(yè)網(wǎng)關收到的報文ttl值就是101,個人電腦收到的值就是100.
[0065]如果運營商的網(wǎng)關設備篡改了頁面���,并搶先回復給個人電腦��,那么這個被篡改報文的ttl值肯定不是正確的ttl值���,因為報文只經(jīng)過了運營商網(wǎng)關的轉發(fā)��,ttl值不會是101����,而應該是127��。
[0066]這樣家庭企業(yè)網(wǎng)關設備只需要記錄個人電腦發(fā)給服務器的請求數(shù)據(jù)報文在到達自身時的ttl值�,和服務器發(fā)給個人電腦的響應數(shù)據(jù)報文在到達自身時的ttl值,通過將響應數(shù)據(jù)報文中的ttl值和請求數(shù)據(jù)報文中的ttl值的差值與預設的閾值區(qū)間進行比對���,來進行數(shù)據(jù)流量的合法性確認��,當檢測到不合法的ttl值時�,對響應數(shù)據(jù)報文進行攔截并丟棄����,等待正確報文到達即可���。
[0067]對于方法實施例�����,為了簡單描述����,故將其都表述為一系列的動作組合,但是本領域技術人員應該知悉�����,本發(fā)明實施例并不受所描述的動作順序的限制�����,因為依據(jù)本發(fā)明實施例���,某些步驟可以采用其他順序或者同時進行����。其次�����,本領域技術人員也應該知悉,說明書中所描述的實施例均屬于優(yōu)選實施例�����,所涉及的動作并不一定是本發(fā)明實施例所必須的�。
[0068]圖3示出了本發(fā)明另一實施例提出的一種惡意數(shù)據(jù)的攔截處理裝置的結構示意圖。如圖3所示��,本發(fā)明實施例提出的惡意數(shù)據(jù)的攔截處理裝置包括接收單元301�����、獲取單元302�、匹配單元303和處理單元304,其中:接收單元301����,用于接收響應數(shù)據(jù)報文,所述響應數(shù)據(jù)報文中攜帶有終端的標識信息以及第一TTL值;獲取單元302�����,用于根據(jù)所述標識信息獲取與所述終端相關的第二 TTL值��,所述第二 TTL值為所述終端的數(shù)據(jù)報文請求中攜帶的TTL值;匹配單元303�����,用于計算所述第一TTL值與第二TTL值的TTL差值���,將所述TTL差值與預設的閾值區(qū)間進行匹配;處理單元304����,用于若所述TTL差值不屬于所述閾值區(qū)間�,則確定所述響應數(shù)據(jù)報文為惡意數(shù)據(jù),并對所述響應數(shù)據(jù)報文進行攔截��。
[0069]在本發(fā)明的一個可選實施例中�,所述接收單元301,還用于在接收響應數(shù)據(jù)報文之前�,接收終端發(fā)送的數(shù)據(jù)報文請求,所述數(shù)據(jù)報文請求中攜帶有標識信息以及第二 TTL值���;
[0070]進一步地��,獲取單元302���,還用于獲取所述標識信息以及第二 TTL值,并進行記錄����。
[0071]在本發(fā)明的一個可選實施例中�����,所述第二TTL值為數(shù)據(jù)報文最多可經(jīng)過的路由器數(shù)量�,當數(shù)據(jù)報文經(jīng)過一級路由器轉發(fā)后�����,所述第二 TTL值的計數(shù)器進行減I操作���。
[0072]在本發(fā)明的一個可選實施例中����,所述惡意數(shù)據(jù)的攔截處理裝置還包括附圖中未示出的發(fā)送單元�����,所述發(fā)送單元����,用于當所述匹配單元的匹配結果為TTL差值屬于所述閾值區(qū)間時,將所述響應數(shù)據(jù)報文轉發(fā)到所述終端��。
[0073]在本發(fā)明的一個可選實施例中,所述獲取單元302��,具體用于根據(jù)所述標識信息查找預設的映射關系�,以獲取與所述終端相關的第二 TTL值�,所述映射關系中包括有所述終端的標識信息與所述第二 TTL值之間的對應關系。
[0074]可理解的是�,所述映射關系為預先設置的,可通過關系表或關系數(shù)據(jù)庫實現(xiàn)�。在一個具體示例中,以關系表的方式實現(xiàn)網(wǎng)絡行為與待展示信息之間的對應關系�。
[0075]具體的,獲取單元302可通過查找映射關系���,獲得與所述終端相關的第二TTL值�����,以供計算單元計算第一 TTL值與第二 TTL值的TTL差值��,進而通過將TTL差值與預設的閾值區(qū)間進行比對����,來進行數(shù)據(jù)流量的合法性確認�。
[0076]對于裝置實施例而言�����,由于其與方法實施例基本相似�,所以描述的比較簡單��,相關之處參見方法實施例的部分說明即可���。
[0077]綜上�,本發(fā)明實施例提供的惡意數(shù)據(jù)的攔截處理方法及裝置���,本發(fā)明提供的惡意數(shù)據(jù)的攔截處理方法及裝置�����,通過對比響應數(shù)據(jù)報文與請求數(shù)據(jù)報文中的ttl值來進行數(shù)據(jù)流量的合法性確認���,有效地避免了惡意廠商在網(wǎng)關設備處進行web劫持所導致的泄密及插入惡意廣告的風險,確保了用戶訪問網(wǎng)頁時可以正常瀏覽���,提高瀏覽質量�,提升用戶體驗。
[0078]通過以上的實施方式的描述����,本領域的技術人員可以清楚地了解到本發(fā)明可以通過硬件實現(xiàn),也可以借助軟件加必要的通用硬件平臺的方式來實現(xiàn)�。基于這樣的理解���,本發(fā)明的技術方案可以以軟件產(chǎn)品的形式體現(xiàn)出來,該軟件產(chǎn)品可以存儲在一個非易失性存儲介質(可以是CD-R0M��,U盤����,移動硬盤等)中,包括若干指令用以使得一臺計算機設備(可以是個人計算機�,服務器,或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各個實施例所述的方法�。
[0079]本領域技術人員可以理解附圖只是一個優(yōu)選實施例的示意圖,附圖中的模塊或流程并不一定是實施本發(fā)明所必須的����。
[0080]本領域技術人員可以理解實施例中的裝置中的模塊可以按照實施例描述進行分布于實施例的裝置中,也可以進行相應變化位于不同于本實施例的一個或多個裝置中�。上述實施例的模塊可以合并為一個模塊,也可以進一步拆分成多個子模塊。
[0081]以上實施例僅用以說明本發(fā)明的技術方案��,而非對其限制����;盡管參照前述實施例對本發(fā)明進行了詳細的說明,本領域的普通技術人員應當理解:其依然可以對前述各實施例所記載的技術方案進行修改����,或者對其中部分技術特征進行等同替換;而這些修改或者替換,并不使相應技術方案的本質脫離本發(fā)明各實施例技術方案的精神和范圍�。
【主權項】
1.一種惡意數(shù)據(jù)的攔截處理方法,其特征在于�����,包括: 接收響應數(shù)據(jù)報文�����,所述響應數(shù)據(jù)報文中攜帶有終端的標識信息以及第一 TTL值�; 根據(jù)所述標識信息獲取與所述終端相關的第二 TTL值,所述第二 TTL值為所述終端的數(shù)據(jù)報文請求中攜帶的TTL值��; 計算所述第一 TTL值與第二 TTL值的TTL差值����,將所述TTL差值與預設的閾值區(qū)間進行匹配���; 若所述TTL差值不屬于所述閾值區(qū)間,則確定所述響應數(shù)據(jù)報文為惡意數(shù)據(jù)��,并對所述響應數(shù)據(jù)報文進行攔截��。2.根據(jù)權利要求1所述的方法�����,其特征在于�����,所述接收響應數(shù)據(jù)報文之前���,還包括: 接收終端發(fā)送的數(shù)據(jù)報文請求,所述數(shù)據(jù)報文請求中攜帶有標識信息以及第二 TTL值�; 獲取所述標識信息以及第二 TTL值,并進行記錄��。3.根據(jù)權利要求1或2所述的方法����,其特征在于�����,所述第二TTL值為數(shù)據(jù)報文最多可經(jīng)過的路由器數(shù)量�����,當數(shù)據(jù)報文經(jīng)過一級路由器轉發(fā)后�����,所述第二 TTL值的計數(shù)器進行減I操作��。4.根據(jù)權利要求3所述的方法����,其特征在于��,還包括: 若所述TTL差值屬于所述閾值區(qū)間���,則將所述響應數(shù)據(jù)報文轉發(fā)到所述終端���。5.根據(jù)權利要求1所述的方法�,其特征在于���,所述根據(jù)所述標識信息獲取與所述終端相關的第二 TTL值�����,包括: 根據(jù)所述標識信息查找預設的映射關系�,以獲取與所述終端相關的第二TTL值����,所述映射關系中包括有所述終端的標識信息與所述第二 TTL值之間的對應關系。6.一種惡意數(shù)據(jù)的攔截處理裝置�����,其特征在于�,包括: 接收單元�,用于接收響應數(shù)據(jù)報文,所述響應數(shù)據(jù)報文中攜帶有終端的標識信息以及第一 TTL值���; 獲取單元����,用于根據(jù)所述標識信息獲取與所述終端相關的第二 TTL值,所述第二 TTL值為所述終端的數(shù)據(jù)報文請求中攜帶的TTL值����; 匹配單元,用于計算所述第一 TTL值與第二 TTL值的TTL差值��,將所述TTL差值與預設的閾值區(qū)間進行匹配�; 處理單元,用于若所述TTL差值不屬于所述閾值區(qū)間��,則確定所述響應數(shù)據(jù)報文為惡意數(shù)據(jù)����,并對所述響應數(shù)據(jù)報文進行攔截。7.根據(jù)權利要求6所述的裝置�,其特征在于,所述接收單元���,還用于在接收響應數(shù)據(jù)報文之前���,接收終端發(fā)送的數(shù)據(jù)報文請求,所述數(shù)據(jù)報文請求中攜帶有標識信息以及第二 TTL值����; 所述獲取單元��,還用于獲取所述標識信息以及第二 TTL值���,并進行記錄。8.根據(jù)權利要求6或7所述的裝置���,其特征在于�����,所述第二TTL值為數(shù)據(jù)報文最多可經(jīng)過的路由器數(shù)量�,當數(shù)據(jù)報文經(jīng)過一級路由器轉發(fā)后�����,所述第二 TTL值的計數(shù)器進行減I操作�����。9.根據(jù)權利要求8所述的裝置�,其特征在于�����,所述裝置還包括: 發(fā)送單元,用于當所述匹配單元的匹配結果為TTL差值屬于所述閾值區(qū)間時�����,將所述響應數(shù)據(jù)報文轉發(fā)到所述終端�����。10.根據(jù)權利要求6所述的裝置�,其特征在于,所述獲取單元�����,具體用于根據(jù)所述標識信息查找預設的映射關系�����,以獲取與所述終端相關的第二TTL值�,所述映射關系中包括有所述 終端的標識信息與所述第二 TTL值之間的對應關系。
【文檔編號】H04L29/06GK106060023SQ201610343813
【公開日】2016年10月26日
【申請日】2016年5月20日
【發(fā)明人】周晨
【申請人】漢柏科技有限公司