CN110417679B - 规避旁路阻断的方法、装置和系统 - Google Patents
规避旁路阻断的方法、装置和系统 Download PDFInfo
- Publication number
- CN110417679B CN110417679B CN201810388128.8A CN201810388128A CN110417679B CN 110417679 B CN110417679 B CN 110417679B CN 201810388128 A CN201810388128 A CN 201810388128A CN 110417679 B CN110417679 B CN 110417679B
- Authority
- CN
- China
- Prior art keywords
- reset
- packet
- receiving
- server
- condition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/26—Flow control; Congestion control using explicit feedback to the source, e.g. choke packets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/28—Flow control; Congestion control in relation to timing considerations
- H04L47/283—Flow control; Congestion control in relation to timing considerations in response to processing delays, e.g. caused by jitter or round trip time [RTT]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种规避旁路阻断的方法、装置和系统。其中,该方法包括:判断所接收的数据包是否为重置包;在接收到重置包的情况下,判断是否存在预设延迟重置时钟;在判断结果为是的情况下,丢弃重置包,并接收服务器反馈的响应消息;在判断结果为否的情况下,设置延迟重置时钟,丢弃重置包,并接收服务器反馈的响应消息。本发明解决了由于应用旁路流量阻断设备的情况下,导致的正常的业务无法正常访问的技术问题。
Description
技术领域
本发明涉及互联网技术应用领域,具体而言,涉及一种规避旁路阻断的方法、装置和系统。
背景技术
在内容分发网络(Content Delivery Network,简称CDN)系统中,由于运营商出于安全考虑(例如:非法\违法链接等),会部署旁路流量阻断设备,但是该旁路流量阻断设备会误将正常的业务请求阻断,导致内容分发网络(Content Delivery Network,简称CDN)节点回源到客户源站的时候,超文本传输协议(Hyper Text Transfer Protocol,简称http)请求失败率偏高。
目前规避该问题的方案如下:
安全套接字层超文本传输协议(Hyper Text Transfer Protocol over SecureSocket Layer,简称https)技术,较之http安全性具有提高(例如,加密性能),因此可以避免被旁路阻断设备所“误杀”,但是由于https的加密解密需要消耗中央处理器(CentralProcessing Unit,简称CPU)的运算能力。因此https会造成性能的下降,在特定情况下,甚至会使得系统性能下降30%以上。
但是,客户的源站可能不支持https,这样https方案就需要CDN提供中间的https-http的转换层,从而增加了运维成本;
另外,https回源对于计算和带宽都会有损耗,而且https只能解决针对7层请求内容的阻断,对于4层建连旁路阻断的情况,https方案也无法解决。
另一种方案是采用3层请求(例如VPN协议),3层请求存在如下问题:由于采用私有协议,需要中间设备进行协议转换,增加了运维成本。
针对上述由于应用旁路流量阻断设备的情况下,导致的正常的业务无法正常访问的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种规避旁路阻断的方法、装置和系统,以至少解决由于应用旁路流量阻断设备的情况下,导致的正常的业务无法正常访问的技术问题。
根据本发明实施例的一个方面,提供了一种规避旁路阻断的方法,包括:判断所接收的数据包是否为重置包;在接收到重置包的情况下,判断是否存在预设延迟重置时钟;在判断结果为是的情况下,丢弃重置包,并接收服务器根据发送的请求消息反馈的响应消息;在判断结果为否的情况下,设置延迟重置时钟,丢弃重置包,并接收服务器根据发送的请求消息反馈的响应消息。
可选的,设置延迟重置时钟包括:根据当前时刻、平滑往返时间和方差设置延迟重置时钟。
进一步地,可选的,设置延迟重置时钟的时长为预设倍数的平滑往返时间。
可选的,该方法还包括:在预设延迟重置时钟超时的情况下,触发重置关闭连接。
可选的,在判断所接收的数据包是否为重置包之后,该方法包括:在判断结果为否的情况下,判断是否存在预设延迟重置时钟;在判断结果为不存在预设延迟重置时钟的情况下,执行数据包对应的处理流程;在判断结果为存在预设延迟重置时钟的情况下,删除预设延迟重置时钟,并执行数据包对应的处理流程。
进一步地,可选的,处理流程包括:在握手通信流程中,在请求消息包括握手请求消息的情况下,处理流程包括:接收握手响应消息;或,在网络层请求流程中,在请求消息包括网络层请求消息,处理流程包括:接收网络层响应消息。
根据本发明实施例的另一方面,还提供了一种规避旁路阻断的装置,包括:第一判断模块,用于判断所接收的数据包是否为重置包;第二判断模块,用于在接收到重置包的情况下,判断是否存在预设延迟重置时钟;第一接收模块,用于在判断结果为是的情况下,丢弃重置包,并接收服务器根据发送的请求消息反馈的响应消息;第二接收模块,用于在判断结果为否的情况下,设置延迟重置时钟,丢弃重置包,并接收服务器根据发送的请求消息反馈的响应消息。
根据本发明实施例的又一方面,还提供了一种规避旁路阻断的系统,包括:客户端、旁路流量阻断设备和服务器,其中,客户端向服务器发送请求消息;旁路流量阻断设备向客户端发送重置包;客户端判断所接收的数据包是否为重置包;在接收到重置包的情况下,判断是否存在预设延迟重置时钟;在判断结果为是的情况下,丢弃重置包,并接收服务器反馈的响应消息;在判断结果为否的情况下,设置延迟重置时钟,丢弃重置包,并接收服务器反馈的响应消息。
可选的,在客户端与服务器建立连接的流程中,请求消息包括:握手请求;或,在客户端与服务器数据交互的流程中,请求消息包括:数据请求;其中,数据请求包括:超文本传输协议请求。
根据本发明实施例的再一方面,还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行:判断所接收的数据包是否为重置包;在接收到重置包的情况下,判断是否存在预设延迟重置时钟;在判断结果为是的情况下,丢弃重置包,并接收服务器反馈的响应消息;在判断结果为否的情况下,设置延迟重置时钟,丢弃重置包,并接收服务器反馈的响应消息。
根据本发明实施例的再一方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行:判断所接收的数据包是否为重置包;在接收到重置包的情况下,判断是否存在预设延迟重置时钟;在判断结果为是的情况下,丢弃重置包,并接收服务器反馈的响应消息;在判断结果为否的情况下,设置延迟重置时钟,丢弃重置包,并接收服务器反馈的响应消息。
在本发明实施例中,采用延迟重置时钟触发重置流程关闭的方式,通过判断所接收的数据包是否为重置包;在接收到重置包的情况下,判断是否存在预设延迟重置时钟;在判断结果为是的情况下,丢弃重置包,并接收服务器反馈的响应消息;在判断结果为否的情况下,设置延迟重置时钟,丢弃重置包,并接收服务器反馈的响应消息,达到了规避旁路阻断对http业务访问的影响的目的,从而实现了降低运维成本的技术效果,进而解决了由于应用旁路流量阻断设备的情况下,导致的正常的业务无法正常访问的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的一种规避旁路阻断的方法的计算机终端的硬件结构框图;
图2是根据本发明实施例一的一种规避旁路阻断的方法的流程图;
图3是根据本发明实施例一的另一种规避旁路阻断的方法的流程图;
图4是根据本发明实施例二的一种规避旁路阻断的装置的结构示意图;
图5a是根据本发明实施例三的一种规避旁路阻断的系统在没有旁路流量阻断设备介入客户端与服务器的交互示意图;
图5b是根据本发明实施例三的一种规避旁路阻断的系统在4层交互的交互示意图;
图5c是根据本发明实施例三的一种规避旁路阻断的系统在7层交互的交互示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本申请涉及的技术名词如下:
SYN:synchronous,SYN是传输控制协议/因特网互联协议(Transmission ControlProtocol/Internet Protocol,简称TCP/IP)建立连接时使用的握手信号;
RTT:round trip time,报文样本往返时间;
SRTT:Smooth Round-Trip Time,平滑往返时间。
实施例1
根据本发明实施例,还提供了一种规避旁路阻断的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例,图1是本发明实施例的一种规避旁路阻断的方法的计算机终端的硬件结构框图。如图1所示,计算机终端10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储应用软件的软件程序以及模块,如本发明实施例中的规避旁路阻断的方法对应的程序指令/模块,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的应用程序的规避旁路阻断的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
在上述运行环境下,本申请提供了如图2所示的规避旁路阻断的方法。图2是根据本发明实施例一的一种规避旁路阻断的方法的流程图。在客户端侧,本申请提供的规避旁路阻断的方法具体如下:
步骤S202,判断所接收的数据包是否为重置包;
本申请上述步骤S202中,本申请提供的规避旁路阻断的方法适用于由客户端、旁路流量阻断设备和服务器组成的通信系统,其中,在客户端侧,当客户端向服务器发送请求消息之后,客户端接收到一个数据包,并判断该数据包是否为重置包,若是则执行步骤S204。
其中,本申请提供的规避旁路阻断的方法在未接收到重置包的情况下,即,接收的数据包不是重置包的情况下,根据当前的业务需求,执行对应的操作,例如,如果接收到的是握手响应消息,则根据该握手响应执行通信业务,即,将待传输的数据传输至其他设备。这里仅以上述示例为例进行说明,以实现本申请提供的规避旁路阻断的方法为准,具体不做限定。
步骤S204,在接收到重置包的情况下,判断是否存在预设延迟重置时钟;
本申请上述步骤S204中,在该数据包为重置包的情况下,客户端判断是否存在预设延迟重置时钟,若是,则执行步骤S206,若否,则执行步骤S208。
其中,重置包可以表示为reset包,这里以旁路流量阻断设备发送的重置包为例进行说明。
步骤S206,在判断结果为是的情况下,丢弃重置包,并接收服务器根据发送的请求消息反馈的响应消息;
步骤S208,在判断结果为否的情况下,设置延迟重置时钟,丢弃重置包,并接收服务器根据发送的请求消息反馈的响应消息。
综上,结合图2所示,在客户端侧在发送请求消息后,无论是在哪层(以4层和7层为例),若接收到数据包后会判断该数据包是否为reset包,在判断结果为是的情况下,判断是否存在预设延迟重置时钟,若是,则丢弃该数据包接收服务器发送的响应消息;在判断结果为否的情况下,设置延迟重置时钟,丢弃重置包,并接收服务器根据发送的请求消息反馈的响应消息;
其中,除上述实现方式外,若不存在预设延迟重置时钟,还有可能说明在预设延迟重置时钟内没收到该reset包,即,有可能发生预设延迟重置时钟超时,因此,此时重置该预设延迟重置时钟,并丢弃该reset包,接收服务器发送的响应消息。
其中,客户端接收旁路流量阻断设备发送的重置包,是由于运营商出于安全考虑(例如:非法\违法链接等),会部署旁路流量阻断设备,但是该旁路流量阻断设备会误将正常的业务请求阻断,而现有技术中在客户端接收到该reset包之后就会停止接收外部反馈的任意数据包,因此会导致请求失败率偏高;
本申请提供的规避旁路阻断的方法通过设置预设延迟重置时钟,该预设延迟重置时钟标记为:delay reset timer,当接收到旁路流量阻断设备发送的reset包后,不会立刻停止接收所有外部反馈的任意数据包,而是在delay reset timer内进行进一步地判断,进而解决由于应用旁路流量阻断设备的情况下,导致的正常的http业务无法正常访问的问题。从而规避了现有https方案中运维及兼容性问题,以及对特定层通信过程中https方案的无解情况的发生,更不需要添加额外设备进行协议转换,缩减了运维成本。
需要说明的是,本申请实施例提供的客户端可以包括终端设备,也可以包括服务器,本申请以客户端为服务器为例进行说明,以实现本申请提供的规避旁路阻断的方法为准,具体不做限定。
在本发明实施例中,采用延迟重置时钟触发重置流程关闭的方式,通过判断所接收的数据包是否为重置包;在接收到重置包的情况下,判断是否存在预设延迟重置时钟;在判断结果为是的情况下,丢弃重置包,并接收服务器根据发送的请求消息反馈的响应消息;在判断结果为否的情况下,设置延迟重置时钟,丢弃重置包,并接收服务器根据发送的请求消息反馈的响应消息,达到了规避旁路阻断对http业务访问的影响的目的,从而实现了降低运维成本的技术效果,进而解决了由于应用旁路流量阻断设备的情况下,导致的正常的业务无法正常访问的技术问题。
具体的,如图3所示,图3是根据本发明实施例一的另一种规避旁路阻断的方法的流程图。本申请提供的规避旁路阻断的方法具体如下:
具体的,如图3所示,在判断得到接收到的数据包是重置包之前,客户端接收数据包,并判断数据包是否为重置包,在该数据包是reset包的情况下,执行本申请步骤S202至步骤S208;在该数据包不是reset包的情况下,执行本申请步骤S205至步骤S209。
可选的,步骤S206中设置延迟重置时钟包括:
步骤S2061,根据当前时刻、平滑往返时间和方差设置延迟重置时钟。
具体的,如图3所示,本申请根据当前时刻、平滑往返时间和方差设置延迟重置时钟包括:当前时刻标记为now,平滑往返时间标记为SRTT,RTT方差标记为delta,因此重置后的延迟重置时钟如下:
delay reset timer=now+2SRTT+delta;(1)
其中,这里的delay rest timer所设置的时间并不局限于2SRTT这一个点值,而是可以依据具体情况而变化,例如,1.5SRTT也可以,这里公式(1)中2SRTT中的2是倍数(即,本申请提供的设置延迟重置时钟的时长为预设倍数的平滑往返时间),本申请以SRTT取2SRTT为例进行说明,以实现本申请提供的规避旁路阻断的方法为准,具体不做限定。
可选的,本申请提供的规避旁路阻断的方法还包括:
步骤S210,在预设延迟重置时钟超时的情况下,触发重置关闭连接。
具体的,如图3所示,在delay reset timer超时的情况下,触发reset关闭连接的流程。
进一步地,可选的,在步骤S202中判断所接收的数据包是否为重置包之后,本申请提供的规避旁路阻断的方法具体如下:
步骤S205,在判断结果为否的情况下,判断是否存在预设延迟重置时钟;
步骤S207,在判断结果为不存在预设延迟重置时钟的情况下,执行数据包对应的处理流程;
步骤S209,在判断结果为存在预设延迟重置时钟的情况下,删除预设延迟重置时钟,并执行数据包对应的处理流程。
具体的,如图3所示,在接收到的数据包不是reset包的情况下,判断接收到的数据包是否存在预设延迟重置时钟,在判断结果为不存在预设延迟重置时钟的情况下,将该数据包推送至协议栈流程中进行处理;在判断结果为存在预设延迟重置时钟的情况下,因为该数据包不是reset包,所以预设延迟重置时钟失效,因此删除该预设延迟重置时钟,并将该数据包推送至协议栈流程中进行处理。
进一步地,可选的,处理流程包括:在握手通信流程中,在请求消息包括握手请求消息的情况下,处理流程包括:接收握手响应消息;或,在网络层请求流程中,在请求消息包括网络层请求消息,处理流程包括:接收网络层响应消息。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的规避旁路阻断的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
根据本发明实施例,还提供了一种用于实施上述规避旁路阻断的方法的装置,图4是根据本发明实施例二的一种规避旁路阻断的装置的结构示意图,如图4所示,该装置包括:第一判断模块42、第二判断模块44、第一接收模块46和第二接收模块48。
其中,第一判断模块42,用于判断所接收的数据包是否为重置包;第二判断模块44,用于在接收到重置包的情况下,判断是否存在预设延迟重置时钟;第一接收模块46,用于在判断结果为是的情况下,丢弃重置包,并接收服务器根据发送的请求消息反馈的响应消息;第二接收模块48,用于在判断结果为否的情况下,设置延迟重置时钟,丢弃重置包,并接收服务器根据发送的请求消息反馈的响应消息。
在本发明实施例中,采用延迟重置时钟触发重置流程关闭的方式,通过判断所接收的数据包是否为重置包;在接收到重置包的情况下,判断是否存在预设延迟重置时钟;在判断结果为是的情况下,丢弃重置包,并接收服务器根据发送的请求消息反馈的响应消息;在判断结果为否的情况下,设置延迟重置时钟,丢弃重置包,并接收服务器根据发送的请求消息反馈的响应消息,达到了规避旁路阻断对http业务访问的影响的目的,从而实现了降低运维成本的技术效果,进而解决了由于应用旁路流量阻断设备的情况下,导致的正常的业务无法正常访问的技术问题。
此处需要说明的是,上述第一判断模块42、第二判断模块44、第一接收模块46和第二接收模块48对应于实施例一中的步骤S202至步骤S208,四个模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例一提供的客户端中,可以通过软件实现,也可以通过硬件实现。
实施例3
根据本发明实施例的又一方面,还提供了一种规避旁路阻断的系统,包括:客户端52、旁路流量阻断设备54和服务器56。
其中,客户端52向服务器56发送请求消息;旁路流量阻断设备54向客户端52发送重置包;客户端52判断所接收的数据包是否为重置包;在接收到重置包的情况下,判断是否存在预设延迟重置时钟;在判断结果为是的情况下,丢弃重置包,并接收服务器56反馈的响应消息;在判断结果为否的情况下,设置延迟重置时钟,丢弃重置包,并接收服务器56反馈的响应消息。
可选的,在客户端52与服务器56建立连接的流程中,请求消息包括:握手请求;或,在客户端52与服务器56数据交互的流程中,请求消息包括:数据请求;其中,数据请求包括:超文本传输协议请求。
具体的,以没有旁路流量阻断设备54介入客户端52与服务器56之间进行交互的过程、客户端52、旁路流量阻断设备54与服务器56在4层和7层的交互流程为例分别进行说明,其中,
情景一:没有旁路流量阻断设备54介入客户端52与服务器56之间进行交互的过程:
图5a是根据本发明实施例三的一种规避旁路阻断的系统在没有旁路流量阻断设备介入客户端与服务器的交互示意图,如图5a所示,在没有旁路流量阻断设备54介入客户端52与服务器56之间进行交互的过程中,
步骤S1,客户端52向服务器56发送握手请求(synchronous,简称SYN);
步骤S2,服务器56向客户端52返回握手确认(synchronous-ack,简称SYN ack);
步骤S3,客户端52向服务器56发送确认连接的确认信息ACK,该确认信息ACK用于指示客户端52与服务器56之间建立连接。
这里步骤S1至步骤S3为三次握手,其中,三次握手为对每次发送的数据量是怎样跟踪进行协商使数据段的发送和接收同步,根据所接收到的数据量而确定的数据确认数及数据发送、接收完毕后何时撤消联系,并建立虚连接。
步骤S4,客户端52向服务器56发送超文本传输协议请求(hypertext transferprotocol request,简称http request);
步骤S5,服务器56向客户端52返回HTTP响应http reponse。
情景二:客户端52、旁路流量阻断设备54与服务器56在4层的交互流程:
区别于图5a的正常情况,图5b是根据本发明实施例三的一种规避旁路阻断的系统在4层交互的交互示意图,如图5b所示,
步骤S1,客户端52向服务器56发送握手请求(synchronous,简称SYN);
步骤S2,客户端52接收旁路流量阻断设备54发送的重置包reset;
步骤S3,客户端52接收服务器56返回的SYN ACK包。
这里客户端52由于接收了旁路流量阻断设备54发送的reset包,基于实施例1对应的步骤S202至步骤S209,在步骤S3接收服务器返回的SYN ACK包。规避旁路阻断对http业务访问的影响。
情景三:客户端52、旁路流量阻断设备54与服务器56在7层的交互流程:
区别于图5a的正常情况,图5c是根据本发明实施例三的一种规避旁路阻断的系统在7层交互的交互示意图,如图5c所示,
步骤S1,客户端52向服务器56发送握手请求(synchronous,简称SYN);
步骤S2,服务器56向客户端52返回握手确认(synchronous-ack,简称SYN ack);
步骤S3,客户端52向服务器56发送确认连接的确认信息ACK,该确认信息ACK用于指示客户端52与服务器56之间建立连接。
步骤S4,客户端52向服务器56发送超文本传输协议请求(hypertext transferprotocol request,简称http request);
步骤S5,客户端52接收旁路流量阻断设备54发送的重置包reset;
步骤S6,客户端52接收服务器56返回的http reponse。
原理同情景二,区别在于,情景二发生在三次握手的过程中,情景三发生在三次握手之后,客户端52向服务器56发送http request之后,这里客户端52由于接收了旁路流量阻断设备54发送的reset包,基于实施例1对应的步骤S202至步骤S209,在步骤S3接收服务器返回的SYN ACK包。规避旁路阻断对http业务访问的影响。
本申请提供的规避旁路阻断的系统解决了旁路阻断的问题,不需要对上层业务和协议进行修改。
实施例4
根据本发明实施例的再一方面,还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行:判断所接收的数据包是否为重置包;在接收到重置包的情况下,判断是否存在预设延迟重置时钟;在判断结果为是的情况下,丢弃重置包,并接收服务器反馈的响应消息;在判断结果为否的情况下,设置延迟重置时钟,丢弃重置包,并接收服务器反馈的响应消息。
实施例5
根据本发明实施例的再一方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行:判断所接收的数据包是否为重置包;在接收到重置包的情况下,判断是否存在预设延迟重置时钟;在判断结果为是的情况下,丢弃重置包,并接收服务器反馈的响应消息;在判断结果为否的情况下,设置延迟重置时钟,丢弃重置包,并接收服务器反馈的响应消息。
实施例6
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例一所提供的规避旁路阻断的方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:判断所接收的数据包是否为重置包;在接收到重置包的情况下,判断是否存在预设延迟重置时钟;在判断结果为是的情况下,丢弃重置包,并接收服务器根据发送的请求消息反馈的响应消息;在判断结果为否的情况下,设置延迟重置时钟,丢弃重置包,并接收服务器根据发送的请求消息反馈的响应消息。
可选的,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:设置延迟重置时钟包括:根据当前时刻、平滑往返时间和方差设置延迟重置时钟。
进一步地,可选的,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:设置延迟重置时钟的时长为预设倍数的平滑往返时间。
可选的,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:在预设延迟重置时钟超时的情况下,触发重置关闭连接。
可选的,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:在判断所接收的数据包是否为重置包之后,在判断结果为否的情况下,判断是否存在预设延迟重置时钟;在判断结果为不存在预设延迟重置时钟的情况下,执行数据包对应的处理流程;在判断结果为存在预设延迟重置时钟的情况下,删除预设延迟重置时钟,并执行数据包对应的处理流程。
进一步地,可选的,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:处理流程包括:在握手通信流程中,在请求消息包括握手请求消息的情况下,处理流程包括:接收握手响应消息;或,在网络层请求流程中,在请求消息包括网络层请求消息,处理流程包括:接收网络层响应消息。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (11)
1.一种规避旁路阻断的方法,其特征在于,包括:
判断所接收的数据包是否为重置包;
在接收到重置包的情况下,判断是否存在预设延迟重置时钟;
在判断结果为是的情况下,丢弃所述重置包,并接收服务器根据发送的请求消息反馈的响应消息;
在判断结果为否的情况下,设置延迟重置时钟,丢弃所述重置包,并接收服务器根据发送的请求消息反馈的响应消息。
2.根据权利要求1所述的规避旁路阻断的方法,其特征在于,设置延迟重置时钟包括:
根据当前时刻、平滑往返时间和方差设置延迟重置时钟。
3.根据权利要求2所述的规避旁路阻断的方法,其特征在于,所述设置所述延迟重置时钟的时长为预设倍数的平滑往返时间。
4.根据权利要求1所述的规避旁路阻断的方法,其特征在于,所述方法还包括:
在所述预设延迟重置时钟超时的情况下,触发重置关闭连接。
5.根据权利要求1所述的规避旁路阻断的方法,其特征在于,在所述判断所接收的数据包是否为重置包之后,所述方法还包括:
在判断结果为否的情况下,判断是否存在所述预设延迟重置时钟;
在判断结果为不存在所述预设延迟重置时钟的情况下,执行所述数据包对应的处理流程;
在判断结果为存在所述预设延迟重置时钟的情况下,删除所述预设延迟重置时钟,并执行所述数据包对应的处理流程。
6.根据权利要求5所述的规避旁路阻断的方法,其特征在于,所述处理流程包括:
在握手通信流程中,在所述请求消息包括握手请求消息的情况下,所述处理流程包括:接收握手响应消息;或,
在网络层请求流程中,在所述请求消息包括网络层请求消息,所述处理流程包括:接收网络层响应消息。
7.一种规避旁路阻断的装置,其特征在于,包括:
第一判断模块,用于判断所接收的数据包是否为重置包;
第二判断模块,用于在接收到重置包的情况下,判断是否存在预设延迟重置时钟;
第一接收模块,用于在判断结果为是的情况下,丢弃所述重置包,并接收服务器根据发送的请求消息反馈的响应消息;
第二接收模块,用于在判断结果为否的情况下,设置延迟重置时钟,丢弃所述重置包,并接收服务器根据发送的请求消息反馈的响应消息。
8.一种规避旁路阻断的系统,其特征在于,包括:客户端、旁路流量阻断设备和服务器,其中,
所述客户端向所述服务器发送请求消息;
所述旁路流量阻断设备向所述客户端发送重置包;
所述客户端判断所接收的数据包是否为重置包;在接收到重置包的情况下,判断是否存在预设延迟重置时钟;在判断结果为是的情况下,丢弃所述重置包,并接收服务器反馈的响应消息;在判断结果为否的情况下,设置延迟重置时钟,丢弃所述重置包,并接收服务器反馈的响应消息。
9.根据权利要求8所述的规避旁路阻断的系统,其特征在于,
在所述客户端与所述服务器建立连接的流程中,所述请求消息包括:握手请求;或,
在所述客户端与所述服务器数据交互的流程中,所述请求消息包括:数据请求;其中,所述数据请求包括:超文本传输协议请求。
10.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行:判断所接收的数据包是否为重置包;在接收到重置包的情况下,判断是否存在预设延迟重置时钟;在判断结果为是的情况下,丢弃所述重置包,并接收服务器反馈的响应消息;在判断结果为否的情况下,设置延迟重置时钟,丢弃所述重置包,并接收服务器反馈的响应消息。
11.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行:判断所接收的数据包是否为重置包;在接收到重置包的情况下,判断是否存在预设延迟重置时钟;在判断结果为是的情况下,丢弃所述重置包,并接收服务器反馈的响应消息;在判断结果为否的情况下,设置延迟重置时钟,丢弃所述重置包,并接收服务器反馈的响应消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810388128.8A CN110417679B (zh) | 2018-04-26 | 2018-04-26 | 规避旁路阻断的方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810388128.8A CN110417679B (zh) | 2018-04-26 | 2018-04-26 | 规避旁路阻断的方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110417679A CN110417679A (zh) | 2019-11-05 |
| CN110417679B true CN110417679B (zh) | 2022-06-14 |
Family
ID=68346068
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810388128.8A Active CN110417679B (zh) | 2018-04-26 | 2018-04-26 | 规避旁路阻断的方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110417679B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112769833B (zh) * | 2021-01-12 | 2023-01-24 | 恒安嘉新(北京)科技股份公司 | 命令注入攻击的检测方法、装置、计算机设备和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902440A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种阻断tcp连接的方法和装置 |
| CN102244663A (zh) * | 2011-08-16 | 2011-11-16 | 山东盛世光明软件技术有限公司 | 基于构造tcp数据包技术的用户身份识别方法和系统 |
| CN107395632A (zh) * | 2017-08-25 | 2017-11-24 | 北京神州绿盟信息安全科技股份有限公司 | SYN Flood防护方法、装置、清洗设备及介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ATE313195T1 (de) * | 2002-04-16 | 2005-12-15 | Bosch Gmbh Robert | Verfahren zum synchronisieren von uhren in einem verteilten kommunikationssystem |
-
2018
- 2018-04-26 CN CN201810388128.8A patent/CN110417679B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902440A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种阻断tcp连接的方法和装置 |
| CN102244663A (zh) * | 2011-08-16 | 2011-11-16 | 山东盛世光明软件技术有限公司 | 基于构造tcp数据包技术的用户身份识别方法和系统 |
| CN107395632A (zh) * | 2017-08-25 | 2017-11-24 | 北京神州绿盟信息安全科技股份有限公司 | SYN Flood防护方法、装置、清洗设备及介质 |
Non-Patent Citations (3)
| Title |
|---|
| "Development of a Secure Traffic Analysis System to Trace Malicious Activities on Internal Networks";Soshi Hirono 等;《 2014 IEEE 38th Annual Computer Software and Applications Conference》;20140922;全文 * |
| "基于TCP/IP协议的网络通信的侦听和阻断";姜照林等;《嘉兴学院学报》;20081115(第06期);全文 * |
| "基于旁路阻断技术的互联网内容控制系统设计";马勤;《中国优秀博硕士学位论文全文数据库(硕士)·信息科技辑》;20090815;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110417679A (zh) | 2019-11-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7142722B2 (ja) | 伝送制御方法および装置 | |
| US8156235B2 (en) | Apparatus and method for determining modes and directing streams in remote communication | |
| CN109412946B (zh) | 一种确定回源路径的方法、装置、服务器及可读存储介质 | |
| EP3101866B1 (en) | A method & apparatus for managing connections in a communication network | |
| EP2543162B1 (en) | Selectively disabling reliability mechanisms on a network connection | |
| EP2739002A1 (en) | Systems and methods for transparently monitoring network traffic for denial of service attacks | |
| EP2741463B1 (en) | Data packet transmission method | |
| US10355961B2 (en) | Network traffic capture analysis | |
| WO2018085765A1 (en) | Application characterization using transport protocol analysis | |
| US20130311614A1 (en) | Method for retrieving content and wireless communication device for performing same | |
| WO2014031046A1 (en) | Tcp proxy server | |
| WO2015066372A1 (en) | Communication across network address translation | |
| JP7050094B2 (ja) | パケット送信方法、プロキシサーバ、およびコンピュータ読取り可能記憶媒体 | |
| EP3151504B1 (en) | Method and device for establishing multipath network connections | |
| CN103414725A (zh) | 用于检测和过滤数据报文的方法和设备 | |
| CN113300981B (zh) | 报文传输方法、装置及系统 | |
| US7970878B1 (en) | Method and apparatus for limiting domain name server transaction bandwidth | |
| US9819730B2 (en) | System and method for network access based on application layer data | |
| CN114363351B (zh) | 一种代理连接抑制方法、网络架构及代理服务器 | |
| CN111935108A (zh) | 云数据安全访问控制方法、装置、电子装置及存储介质 | |
| CN110417679B (zh) | 规避旁路阻断的方法、装置和系统 | |
| CN109714135B (zh) | 一种数据包传输方法及装置 | |
| CN113424578A (zh) | 一种传输控制协议加速方法和装置 | |
| CN114125023A (zh) | 数据连接的确定方法及装置、存储介质及电子装置 | |
| CN104980456B (zh) | 传输业务的方法、中间节点、终端和服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |