[发明专利]一种低延迟的TCP跨报文防火墙检测方法

说明书

本发明属于防火墙检测技术领域，公开了一种低延迟的TCP跨报文防火墙检测方法，其特征在于：当有N个报文检测时，首先在缓冲区对报文2‑N备份，然后发送将其给数据接收端；在缓冲区对报文1‑报文N组装和检测；若检测到攻击，进行阻断处理；若未检测到攻击；发送报文1到数据接收端，清空缓冲区，完成检测。本发明的有益效果是：本发明能够有效是的跨报文检测；本发明有效的降低在检测过程中的延迟。

技术领域

本发明涉及防火墙检测技术领域，具体的说，是一种低延迟的TCP跨报文防火墙检测方法。

背景技术

跨报文的攻击，是指攻击的数据横跨两个或多个IP报文。在单报文攻击中，攻击数据在一个IP报文中是完整的，这样防火墙检测一个报文就可以识别出攻击。在跨报文攻击中，攻击数据分布在两个或多个报文中，防火墙检测任何一个报文都不可能识别出攻击。

TCP协议是一种面向连接的、可靠的、基于字节流的传输层通信协议。是当前互联网使用最为广泛的协议，大多数应用层协议都是建立在TCP协议之上。

IP协议是无连接的，不可靠的网络层协议，通常位于TCP协议的底层，用于实现网络的互连。

由于IP协议是无连接，不可靠的，意味着IP报文可能会丢失，发送顺序和接收顺序可能会不一致。TCP协议为了确保可靠，需要对底层的IP报文重组为字节流才能交由应用程序处理。其重组的依据为TCP报头中的SEQ字段。

在现有技术中，当前防火墙对于上述攻击，可能采取的方法有：

a. 单包检测，每次检测一个IP报文，如果没有检测到攻击报文则立即放行。其优点是延迟小，缺点是不能检测跨报文的攻击

b. 缓存检测，每次检测若干个IP报文（根据应用层协议决定检测开始位置和长度），即将若干个报文缓存起来组合在一起检测，若没有发现攻击再一次性发送，即所有报文都在检测完成后再发送，其优点是能检测跨报文的攻击，缺点是延迟较大。

发明内容

本发明的目的在于提供一种低延迟的TCP跨报文防火墙检测方法，能够显著减少防火墙跨报文检测的延迟，具有跨IP报文的检测能力。

本发明通过下述技术方案实现：

一种低延迟的TCP跨报文防火墙检测方法，区别对待第一个报文和后续报文，假设防火墙需要检测N个报文才能做出判断（转发或阻断），当防火墙收到报文1后，缓存该报文，防火墙收到2-N号报文后，缓存并立即转发。当N个报文都被缓存后，重组N个报文，执行检测，根据检测结果决定是否转发报文1。

进一步地，为了更好的实现本发明，具体包括以下步骤：

步骤S1：缓冲区接收报文1-报文N，判断所接收的报文是报文1或报文2-N；

若为报文1,直接存储；

若为报文2-N，存储并将报文2-N发送给数据接收端；

步骤S2：根据TCP序列号对在缓冲区的报文1和报文2-N组装并进行检测；

若发现攻击，进行阻断处理；

若没有发现攻击，将缓冲区报文1发送到数据接收端，并清空缓冲区的报文1-N；

步骤S3：数据接收端进行报文1-N组装发送到目的端。

进一步地，为了更好的实现本发明，所述步骤S2中的阻断处理具体是指：按照报文1的序列号发送RST或FIN报文断开连接。什么也不做，或发送RST报文至接收端。

进一步地，为了更好的实现本发明，所述数据接收端为基于TCP协议栈的数据接收端。

本发明与现有技术相比，具有以下优点及有益效果：