[发明专利]一种分片包检测方法、检测装置、存储介质和电子设备

说明书

本发明提供一种分片包检测方法，应用于多核处理器，多核处理器包括转发处理器和检测处理器，当所述转发处理器接收到分片包时，将所述分片包存储到存储池中，并将所述分片包的索引发送到正向缓冲队列中；检测处理器从所述正向缓冲队列获取所述分片包的索引，并根据所述分片包的索引从所述存储池中获取所述分片包；所述检测处理器根据分片包的分片偏移量和分片长度对所述分片包进行合法性检测，并将合法性检测通过的所述分片包的索引通过所述反向缓存队列发送给所述转发处理器。本发明有效的降低了检测过程中对CPU以及内存的消耗，同时避免了因再次分包转发过程中对连通性的影响；提高了检测结果的准确性和检查方法的可用性。

技术领域

本发明涉及互联网领域，特别是涉及一种分片包的检测方法、检测装置、存储介质和电子设备。

背景技术

IP分片是指当数据包比链路最大传输单元大时，就可以被分解为很多的足够小片段，以便能够在其上进行传输，它被广泛的运用在数据传输中；而TCP/IP协议对IP分片的设计存在安全漏洞，经常被黑客用来发起拒绝服务攻击。其中分片超长和分片重叠是黑客经常利用的攻击方法。因此，相对应的，现有的网络安全产品中，通常采用重组分片的方式来判断是否存在攻击行为，在分片包数量不多时，能够较好地起到安全防御作用，但随着日前日益加大的数据流量，凸显出很多技术问题：

分片重组需要将各个分片重新组合成为一个完整的数据包，因此存在多次的数据拷贝动作，特别是在涉及多核处理的过程中重组数据包需要加锁解锁，CPU开销较大；当出现分片洪水攻击时，分片包的重组处理将会消耗大量的CPU比重，导致正常的流量得不到处理。

发明内容

为了解决现有技术中对IP分片攻击检测时CPU大部分消耗在分片包处理上，导致正常流量得不到处理的问题，本发明提供了一种分片包检测方法，以解决现有技术中的问题。

根据本发明的一个方面，提供了一种分片包的检测方法，所述方法应用于多核处理器，所述多核处理器包括转发处理器和检测处理器，所述方法包括：

当所述转发处理器接收到分片包时，将所述分片包存储到存储池中，并将所述分片包的索引发送到正向缓冲队列中，所述存储池、所述正向缓冲队列、反向缓存队列是共享内存中的数据结构，可同时被所述转发处理器和所述检测处理器访问；

所述检测处理器从所述正向缓冲队列获取所述分片包的索引，并根据所述分片包的索引从所述存储池中获取所述分片包；

所述检测处理器对所述分片包进行合法性检测，并将合法性检测通过的所述分片包的索引通过所述反向缓存队列发送给所述转发处理器。

进一步的，所述检测处理器对所述分片包进行合法性检测，包括：

根据所述分片包的五元组信息及分片标识获取所述分片包的分片偏移量及分片长度；

判断所述分片包的分片偏移量与分片长度的和是否大于预定数值；

若所述分片包的分片偏移量与分片长度的和大于该预定数值，则确定所述分片包未通过所述合法性检测。

进一步的，若所述分片包的分片偏移量与分片长度的和小于或等于预定数值，则判断哈希表下的链表中是否存储所述分片包对应的节点；所述哈希表中的每个节点对应一个链表，每个链表中的各节点记录有对应分片包的分片偏移量与分片长度；

若所述哈希表下的链表中未存储所述分片包对应的节点，则根据所述分片包的分片偏移量和分片长度创建第一节点，并确定所述分片包通过所述合法性检测。

进一步的，若所述哈希表下的链表中存储所述分片包对应的节点，则根据所述分片包的分片偏移量和分片长度创建第二节点，根据所述分片包的分片偏移量的大小将所述第二节点顺序插入所述链表中；

通过插入所述链表中第二节点的左节点和/或右节点检测所述分片包是否合法。