[发明专利]一种旁路阻断方法、设备及存储介质

说明书

本发明公开了一种旁路阻断方法、设备及存储介质，所述方法包括：S1、从交换机中获取访问链接的镜像报文；S2、根据所述镜像报文判断所述访问链接是否为非法链接，如果是，则提取镜像报文中的源IP和目的IP；S3、从所述镜像报文中的源IP和目的IP提取出在预设阻断范围内的IP地址，并将提取出的IP作为阻断IP；S4、以所述阻断IP和防火墙的IP作为源和目的IP生成攻击报文，并向所述防火墙设备发送所述攻击报文预设次数的N倍；S5、并对所述阻断IP创建效果检查定时器；S6、在所述定时器超时时，判断所述阻断IP是否被阻断成功，如果没有则重复S4至S5，直至所述阻断IP被阻断成功为止。本发明可以达到只阻断非法链接又不影响正常流量的目的。

技术领域

本发明涉及计算机技术领域，具体涉及一种旁路阻断方法、设备及存储介质。

背景技术

旁路阻断就是采用旁路侦听的手段来获取互联网上的数据包，然后再进行协议还原，根据内容进行阻断。这类技术的优点是不影响互联网访问的速度，并且对用户没有特殊的设置要求。通俗讲是并联在互联网的出口上，不会影响原来网络的稳定性。

目前，采用旁路的方式管理网络并阻断非法连接的方法可以分为三类：

1、发送TCP Reset包。

实现方法为：当旁路侦听设备发现一条非法的链接后将会向链接的两端各发送一个TCP RESET包，此时链接两端的终端将会把这个RESET包理解为另一端的回应，然后停止整个通信过程，达到切断链接的目的。

由于采用此种方法时，旁路侦听设备发出的RESET包能被链接两端的终端认可的前提是，RESET包的序列号和确认号与链接当前的序列号和确认号一致。但旁路侦听设备从抓取数据包，监测攻击，产生RESET包，到最后发出RESET整个过程都要消耗一定的时间，而非法链接的序列号和确认号仍在持续变化。所以导致旁路侦听设备发出的RESET包传输到链接两端的终端时，可能已经与链接当前的序列号和确认号不同，那么终端将会认为这是一个无效的数据包或者被破坏的数据包而将它忽略掉，无法达到切断链接的目的。而且TCPRest对于网络的应用来说也有着很大的局限性，其只能针对通常的标准TCP连接发送阻断信息，对于UDP链接是无能为力的。

2、通过与网关产品联动，建立临时规则。

网关产品可包括防火墙、路由器、交换机等，旁路侦听设备可向防火墙发送临时规则、旁路侦听设备向路由器或交换机发送临时ACL列表，即可以达到阻断非法链接的目的。

此种方式因为需要网关产品能够识别出旁路侦听设备发过来的临时规则，但现在并没有统一的协议标准来传输临时规则，只有同厂商的不同网络产品间可以传输并识别临时规则，所以此方法严重依赖网关设备的厂商。

3、进行基于arp的阻断方式。

主要是ARP欺骗。通过伪造ARP应答包，使得非法链接终端的ARP表错误，无法连接到网关，从而阻断链接。

此种方法只能对与旁路侦听设备在同一网段的设备生效，会使非法链接的内网终端无法连接到网关，从效果上讲是很强，但是同时也造成了一个问题，其不但阻止了内网终端回应的非法连接，但也阻断了正常终端与内网终端的合法连接，这对于网络中的正常应用是有着很大的影响的。

所以基于上述分析，目前没有一种有效合理的方式来进行旁路阻断。

因而，现有技术还有待于改进和提高。

发明内容

鉴于上述现有技术的不足之处，本发明的目的在于提供一种旁路阻断方法、设备及存储介质，可充分彻底的阻断异常连接，并弥补现有旁路阻断方式的不足。

为了达到上述目的，本发明采取了以下技术方案：

一方面，本发明公开了一种旁路阻断方法，包括：