数据包处理方法和装置的制造方法
【技术领域】
[0001] 本发明涉及互联网安全领域,具体而言,涉及一种数据包处理方法和装置。
【背景技术】
[0002] 现有技术中已经存在多种基于对数据包的处理来防范针对服务器进行的流量攻 击的防护措施,这些防护措施通常会先对数据包进行分析,并具体解析出数据包的来源地、 目的地、协议、数据内容等由浅至深地封装在数据包中的多项信息中的一个或多个,进而根 据解析出的信息来判断应当放行还是丢弃该数据包。然而在现有的方案中,这些防护措施 通常是相对静态地设置在服务器的入口处,其具体执行的对数据包的分析和判断通常是预 先设置好的,而无关于服务器的实际运行状况,这就造成了服务器在负荷出现预期之外的 增涨时无法做出适应性的调整,进而导致服务器的瘫痪。针对上述的问题,目前尚未提出有 效的解决方案。
【发明内容】
[0003] 本发明实施例提供了一种数据包处理方法和装置,以至少解决在服务器的负荷较 大时静态的防护措施无法做出适应性地调整导致服务器瘫痪的技术问题。
[0004] 根据本发明实施例的一个方面,提供了 一种数据包处理方法,包括:获取客户端向 服务器发送的数据包;判断上述数据包是否满足预设条件,其中,上述预设条件与上述服务 器的负荷对应,且不同的上述预设条件对应不同的上述负荷;若上述数据包满足上述预设 条件,则向上述服务器发送上述数据包。
[0005] 根据本发明实施例的另一方面,还提供了一种数据包处理装置,包括:第一获取单 元,用于获取客户端向服务器发送的数据包;判断单元,用于判断上述数据包是否满足预设 条件,其中,上述预设条件与上述服务器的负荷对应,且不同的上述预设条件对应不同的上 述负荷;发送单元,用于在上述数据包满足上述预设条件时,向上述服务器发送上述数据 包。
[0006] 在本发明实施例中,采用了根据服务器的负荷来调整用于判断是否放行任意一个 发送至服务器的数据包的判断标准的动态防护方式,例如,在服务器负荷较小时,可以采用 较为宽松的判断标准,达到在服务器的负载能力内放行尽可能多的数据包的目的,以将防 护装置对客户端及其用户正常访问服务器所造成的影响降至最小,在服务器负荷较大时, 则可以采用较为严格的判断标准,通过对数据包的更深入地检查来上调服务器对抗攻击的 能力,以避免出现服务器瘫痪并拒绝提供任何服务的状况,从而在整体上达到了有效利用 服务器的负载能力并降低服务器在负荷较大时出现宕机的可能性的效果,或者说达到了在 防范服务器因流量攻击而瘫痪前提下更为有效地利用服务器的负载能力的效果,提高了服 务器对负荷波动的适应能力以及服务器所在的业务系统的可靠性,进而解决了在服务器的 负荷较大时静态的防护措施无法做出适应性地调整导致服务器瘫痪的技术问题。
【附图说明】
[0007] 此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0008] 图1是根据本发明实施例的一种可选的数据包处理方法的示意图;
[0009] 图2是根据本发明实施例的一种可选的数据包处理装置的示意图;
[0010] 图3是根据本发明实施例的另一种可选的数据包处理装置的示意图。
【具体实施方式】
[0011] 为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的 附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是 本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术 人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范 围。
[0012] 需要说明的是,本发明的说明书和权利要求书及上述附图中的术语"第一"、"第 二"等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用 的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或 描述的那些以外的顺序实施。此外,术语"包括"和"具有"以及他们的任何变形,意图在于 覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限 于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产 品或设备固有的其它步骤或单元。
[0013] 实施例1
[0014] 根据本发明实施例,提供了一种数据包处理方法,如图1所示,该方法包括:
[0015] S102 :获取客户端向服务器发送的数据包;
[0016] S104:判断数据包是否满足预设条件,其中,预设条件与服务器的负荷对应,且不 同的预设条件对应不同的负荷;
[0017] S106 :若数据包满足预设条件,则向服务器发送该数据包。
[0018] 应当明确的是,本发明实施例所要解决的问题之一是提供一种方法,以便于实现 对服务器的有效防护。具体来说,这种防护可以通过对发送给服务器的数据包的处理来实 现,例如,可以在检测到数据包不满足某些预设条件时,对数据包进行拦截和丢弃等处理, 以防范针对服务器进行的流量攻击。
[0019] 现有技术中已经存在多种基于对数据包的处理来防范针对服务器进行的流量攻 击的防护措施,这些防护措施通常会先对数据包进行分析,并具体解析出数据包的来源地、 目的地、协议、数据内容等由浅至深地封装在数据包中的多项信息中的一个或多个,进而根 据解析出的信息来判断应当放行还是丢弃该数据包。然而在现有的方案中,这些防护措施 通常是相对静态地设置在服务器的入口处,其具体执行的对数据包的分析和判断通常是预 先设置好的,而无关于服务器的实际运行状况,这就造成了服务器在负荷出现预期之外的 增涨时无法做出适应性的调整,进而导致服务器的瘫痪。
[0020] 为解决上述问题,区别于现有技术中相对静态的防护方式,在本发明实施例中,采 用了根据服务器的负荷来调整用于判断是否放行任意一个发送至服务器的数据包的判断 标准的动态防护方式,例如,在服务器负荷较小时,可以采用较为宽松的判断标准,达到在 服务器的负载能力内放行尽可能多的数据包的目的,以将防护装置对客户端及其用户正常 访问服务器所造成的影响降至最小,在服务器负荷较大时,则可以采用较为严格的判断标 准,通过对数据包的更深入地检查来上调服务器对抗攻击的能力,以避免出现服务器瘫痪 并拒绝提供任何服务的状况,从而在整体上达到了有效利用服务器的负载能力并降低服务 器在负荷较大时出现宕机的可能性的效果,或者说达到了在防范服务器因流量攻击而瘫痪 前提下更为有效地利用服务器的负载能力的效果,提高了服务器对负荷波动的适应能力以 及服务器所在的业务系统的可靠性,进而解决了在服务器的负荷较大时静态的防护措施无 法做出适应性地调整导致服务器瘫痪的技术问题。
[0021] 以下将结合附图和具体的实施例对本发明技术方案进行更为详细的描述。首先将 描述本发明实施例中用于执行上述处理方法的处理装置的实施环境。
[0022] -般地,在本发明实施例中,该处理装置所要防护的服务器可以用于向连接该服 务器的多个客户端提供客户端所需的服务,具体地,该服务可以是文件访问服务,也可以是 数据库访问服务,还可以是计算服务等。在另一方面,从实际功能的角度来说,该服务器可 以具体用于执行某一类型的业务,比如查询业务、缴费业务、游戏业务等,或者是对这些业 务的进一步细分,如游戏业务中的聊天业务、数据业务等。然而本发明对此不作任何限定, 上述各实施方式并不影响本发明技术方案的实施及其技术效果的实现,类似的对本发明实 施例的继承与扩展也均应视为在本发明的保护范围之内。值得注意的是,在本发明实施例 中,该服务器可以表示管理资源并向客户端提供服务的服务器应用,也可以表示能够实现 这一功能的计算机或计算机系统,本发明对此不作限定。
[0023] 此外,在本发明实施例中,该客户端可以表示连接服务器并向服务器请求相应服 务的客户端应用或者是客户端设备,具体地,该客户端应用通常可以是运行在该客户端设 备上的由相应服务的提供者发布给用户的应用程序,例如,在本发明实施例中,该客户端应 用可以是新闻客户端、地图客户端或游戏客户端等等,该客户端设备可以是用户所使用的 个人电脑、平板电脑或智能手机等等,然而本发明对此不作限定。
[0024] 在上述环境下,根据本发明实施例提供的处理装置可以设置在服务器侧,具体地, 该处理装置既可以作为服务器的内置模块,也可以作为外挂模块与服务器应用运行在同一 计算机或计算机系统上,还可以运行在其他设备上,例如该处理装置可以设置在用于向业 务服务器额外提供防护服务的后台服务器上等,本发明对此不作限定。考虑到现有的服务 器通常已经具有一个或多个防护模块,因此,作为一种可选的方式,本发明实施例提供的处 理装置也可以结合已有的防护模块来设置,其【具体实施方式】将在之后的实施例中进行描 述。
[0025] 在以上描述的基础上,根据本发明实施例提供的处理方法,在步骤S102中,防护 装置可以先获取客户端向服务器发送的数据包。一般来说,该防护模块可以串联在数据流 上,以便于在步骤S102中截取发送给服务器的数据包,并在后续步骤S106中将截取的数据 包继续发送给服务器。然而本发明对此不作限定,例如,在本发明的一些实施例中,该防护 装置也可以设置在数据流的旁路上并起到检测作用,并将检测结果通知给服务器对应的防 火墙,使得防火墙可以根据检测结果选择放行还是拦截被检测的数据包。具体地,在本发明 实施例中,