本發(fā)明提供了一種基于掃描探針行為的源IP保護(hù)方法，包括如下內(nèi)容：上聯(lián)口接收?qǐng)?bào)文后，將報(bào)文原封不動(dòng)的拷貝給下聯(lián)口；下聯(lián)口接收?qǐng)?bào)文后，分析報(bào)文協(xié)議類型，若存在異常，則將報(bào)文的VLANID修改為異常分支的VLANID，將報(bào)文發(fā)送到異常分支上發(fā)送出去,否則將報(bào)文發(fā)送到正常分支上發(fā)送出去。本發(fā)明具有以下優(yōu)勢(shì)：本發(fā)明保證了用戶正常上網(wǎng)的服務(wù)質(zhì)量，對(duì)于借用源IP地址的用戶訪問探針軟件的行為，本軟件能夠自動(dòng)探測(cè)到該IP的異常，并且在不封掉用戶源IP的前提下，將異常流量自動(dòng)切換到異常分支上進(jìn)行處理，對(duì)該IP進(jìn)行了保護(hù)，保證了用戶還可以使用該IP切換到正常線路上正常上網(wǎng)。

技術(shù)領(lǐng)域

本發(fā)明屬于通訊技術(shù)領(lǐng)域，尤其是涉及一種基于掃描探針行為的源IP保護(hù)方法。

背景技術(shù)

目前，對(duì)于網(wǎng)絡(luò)服務(wù)商對(duì)外提供服務(wù)時(shí)，一些惡意用戶會(huì)借用網(wǎng)絡(luò)服務(wù)商提供的源IP地址訪問探針軟件，這些異常流量是無形存在的，網(wǎng)絡(luò)管理員并不能時(shí)刻察覺到，即使偶然觀察到也不能及時(shí)記錄這些惡意用戶借用的源IP地址，并且還要保證這些源IP地址的正常用戶的正常使用。那么為了更好的檢測(cè)到這些惡意用戶的源IP地址，基于訪問探針軟件的源IP保護(hù)的措施勢(shì)在必行，因此，本軟件就是在這種背景下而產(chǎn)生的。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明旨在提出一種基于掃描探針行為的源IP保護(hù)方法，對(duì)于異常用戶使用源IP地址訪問探針軟件的流量時(shí)走異常分支，正常用戶使用源IP地址訪問外網(wǎng)流量時(shí)走正常分支。

為達(dá)到上述目的，本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的：

一種基于掃描探針行為的源IP保護(hù)方法，包括如下內(nèi)容：

上聯(lián)口接收?qǐng)?bào)文后，將報(bào)文原封不動(dòng)的拷貝給下聯(lián)口；

下聯(lián)口接收?qǐng)?bào)文后，分析報(bào)文協(xié)議類型，若存在異常，則將報(bào)文的VLANID修改為異常分支的VLANID，將報(bào)文發(fā)送到異常分支上發(fā)送出去；否則將報(bào)文發(fā)送到正常分支上發(fā)送出去。

進(jìn)一步的，下聯(lián)口接收?qǐng)?bào)文后，具體進(jìn)行如下步驟：

步驟a，判斷是否是802.1q報(bào)文，若不是則直接發(fā)送到出接口,結(jié)束此過程；若是則轉(zhuǎn)到步驟b；

步驟b，繼續(xù)判斷是否是IP報(bào)文，若是則轉(zhuǎn)到步驟c，若不是則轉(zhuǎn)到步驟e；

步驟c，繼續(xù)判斷IP報(bào)文頭中的源IP地址是否已經(jīng)在黑名單中，若是則轉(zhuǎn)到步驟f，若不是則轉(zhuǎn)到步驟d；

步驟d，繼續(xù)偏移報(bào)文頭，判斷該IP報(bào)文類型是否是TCP報(bào)文，若不是則轉(zhuǎn)到步驟g，若是則轉(zhuǎn)到步驟e；

步驟e，通過規(guī)則匹配模塊進(jìn)一步處理，具體的，通過規(guī)則匹配模塊對(duì)TCP報(bào)文進(jìn)行解析，當(dāng)解析出來的TCP報(bào)文頭符合規(guī)定長(zhǎng)度，則對(duì)其內(nèi)容進(jìn)行匹配；若匹配中，說明流量異常，有人訪問了探針軟件，則記錄源IP地址，并轉(zhuǎn)到步驟f；若未匹配中，說明用戶上網(wǎng)行為正常，則轉(zhuǎn)到步驟g；

步驟f,將報(bào)文的VLANID修改為異常分支的VLANID，將報(bào)文發(fā)送到異常分支上發(fā)送出去，結(jié)束此過程。

步驟g,將報(bào)文的VLANID修改為正常分支的VLANID，將報(bào)文發(fā)送到正常分支上發(fā)送出去，結(jié)束此過程。

進(jìn)一步的，所述下聯(lián)口報(bào)文處理過程主要通過如下三個(gè)模塊進(jìn)行處理：

下聯(lián)任務(wù)配置模塊：處理CLI或者WEB下發(fā)參數(shù)配置命令，包括兩個(gè)監(jiān)聽接口，異常分支的VLANID和正常分支的VLANID，黑名單刷新間隔；

報(bào)文識(shí)別模塊：通過報(bào)文識(shí)別模塊分析報(bào)文協(xié)議類型；

規(guī)則匹配模塊，當(dāng)解析出來的TCP報(bào)文頭符合規(guī)定長(zhǎng)度，用于對(duì)其內(nèi)容進(jìn)行匹配。

相對(duì)于現(xiàn)有技術(shù)，本發(fā)明具有以下優(yōu)勢(shì)：