[發明專利]FTP的應用層報文過濾方法及裝置有效
| 申請號: | 201310364450.4 | 申請日: | 2013-08-20 |
| 公開(公告)號: | CN104426837B | 公開(公告)日: | 2019-09-13 |
| 發明(設計)人: | 高永崗;李娟 | 申請(專利權)人: | 南京中興新軟件有限責任公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L29/08 |
| 代理公司: | 深圳市世紀恒程知識產權代理事務所 44287 | 代理人: | 胡海國 |
| 地址: | 210012 江蘇*** | 國省代碼: | 江蘇;32 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | ftp 應用 報文 過濾 方法 裝置 | ||
1.一種FTP的應用層報文過濾方法,其特征在于,包括以下步驟:
在建立文件傳輸協議FTP的控制通道傳輸控制協議TCP連接時獲取客戶端發送的首個傳輸控制協議同步TCP SYN報文并轉發至FTP服務器,建立數據流表,記錄FTP狀態;
檢測FTP服務器的回復報文是否為同步確認SYN+ACK的TCP報文,如若不是,則作丟棄處理,更新數據流表中的FTP狀態;
檢測客戶端的響應報文是否為ACK的TCP報文,如若不是,則作丟棄處理,更新數據流表中的FTP狀態。
2.如權利要求1所述的FTP的應用層報文過濾方法,其特征在于,還包括以下步驟:
當FTP狀態為TCP連接建立成功時,要求客戶端向FTP服務器發送用戶名;
在接收到客戶端發送的用戶名之后,更新FTP狀態為用戶USER已發送,并要求客戶端向FTP服務器發送密碼,等待服務器端確認報文并解析登錄是否成功;
當用戶登錄成功后,記錄FTP狀態為控制通道建立成功,對于登錄失敗的用戶,更新FTP狀態為TCP連接建立成功,要求用戶重新進行登錄驗證。
3.如權利要求2所述的FTP的應用層報文過濾方法,其特征在于,還包括以下步驟:
解析FTP控制通道中主動PORT命令報文內容,獲取數據通道的IP和端口;
根據數據通道的IP和端口建立動態的數據通道通過規則,以允許雙方進行數據通道的建立和數據傳輸,同時拒絕其它不屬于該數據通道的報文通過,并在數據通道傳輸結束后,刪除所述動態的數據通道通過規則。
4.如權利要求3所述的FTP的應用層報文過濾方法,其特征在于,還包括以下步驟:
解析被動PASV命令及其響應報文內容,獲取數據通道的IP和端口號;
根據從PASV命令響應報文中獲得的IP和端口號建立動態的數據通道通過規則,允許此IP和端口下的數據傳輸。
5.如權利要求1至4中任一項所述的FTP的應用層報文過濾方法,其特征在于,還包括以下步驟:對數據通道的TCP報文進行三次握手檢測,跟蹤檢測TCP交互過程,記錄TCP所處狀態,丟棄不滿足交互協議的數據報文傳輸。
6.一種FTP的應用層報文過濾裝置,其特征在于,包括TCP三次握手檢測單元和FTP狀態記錄單元;
所述TCP三次握手檢測單元用于在建立FTP的控制通道TCP連接時獲取客戶端發送的首個傳輸控制協議同步TCP SYN報文并轉發至FTP服務器;所述FTP狀態記錄單元用于建立數據流表以記錄FTP狀態;
所述TCP三次握手檢測單元用于檢測FTP服務器的回復報文是否為同步確認SYN+ACK的TCP報文,如若不是,則作丟棄處理;所述FTP狀態記錄單元用于更新數據流表中的FTP狀態;
所述TCP三次握手檢測單元用于檢測客戶端的響應報文是否為ACK的TCP報文,如若不是,則作丟棄處理;所述FTP狀態記錄單元用于更新數據流表中的FTP狀態。
7.如權利要求6所述的FTP的應用層報文過濾裝置,其特征在于,還包括:
用戶名處理單元,用于當FTP狀態為TCP連接建立成功時,要求客戶端向FTP服務器發送用戶名;
密碼處理單元,用于在接收到客戶端發送的用戶名之后,通知所述FTP狀態記錄單元更新FTP狀態為USER已發送,并要求客戶端向FTP服務器發送密碼,等待服務器端確認報文并解析登錄是否成功;
所述FTP狀態記錄單元進一步用于當用戶登錄成功后,記錄FTP狀態為控制通道建立成功,對于登錄失敗的用戶,更新FTP狀態為TCP連接建立成功,要求用戶重新進行登錄驗證。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于南京中興新軟件有限責任公司,未經南京中興新軟件有限責任公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201310364450.4/1.html,轉載請聲明來源鉆瓜專利網。
