本公開提供一種控制消息的傳輸方法、裝置和設備。本公開的方法：第一設備向第二設備發送第一控制消息，第一控制消息包括頭部和數據區，由邊緣設備接收到該第一控制消息，邊緣設備確定第一控制消息的消息類型，若第一控制消息為用于檢測第一設備和第二設備之間通信鏈路是否連通的第一類消息，則對數據區中的第一數據進行修改，得到修改了數據區數據的第二控制消息，從而對于防止控制消息中的惡意數據的傳輸具有更好的效果。

技術領域

本公開涉及網絡安全技術領域，尤其涉及一種控制消息的傳輸方法、裝置和設備。

背景技術

目前，網絡中的安全性應用或設備，例如，防火墻，允許一些已知協議的控制消息的傳輸，例如，因特網控制報文協議(Internet Control Message Protocol，簡稱ICMP)消息，并且，控制消息中存在數據區，可用來存放數據，如果控制消息中的數據區存放了惡意數據，將給網絡設備帶來威脅。

針對利用控制消息的這種通信，現有技術在網絡設備的操作系統內核中增加了對控制消息的檢測機制，通過檢測控制消息中的數據區是否存在預設的字符串，來判斷控制消息是否攜帶了惡意數據，從而發起報警，將數據區用“0”置換。

然而，這種檢測機制的防止控制消息中攜帶惡意數據的效果不好。

發明內容

為了解決上述技術問題，本公開提供了一種控制消息的傳輸方法、裝置和設備。

第一方面，本公開提供一種控制消息的傳輸方法，包括：

接收第一設備發送的第一控制消息，其中，所述第一控制消息包括頭部和數據區，所述頭部包含第二設備的地址；

確定所述第一控制消息的消息類型，若所述第一控制消息為第一類消息，修改所述第一控制消息的數據區中的第一數據，得到第二控制消息，其中，所述第一類消息用于檢測所述第一設備和第二設備之間通信鏈路是否連通；

向所述第二設備發送所述第二控制消息。

可選的，所述確定所述第一控制消息的消息類型，包括：

根據所述第一控制消息的頭部中包含的消息類型標識確定所述第一控制消息的消息類型。

可選的，所述第一控制消息為因特網控制報文協議ICMP消息；

所述根據所述第一控制消息的頭部中包含的消息類型標識確定所述第一控制消息的消息類型，包括：

若第一控制消息的頭部中包含的消息類型標識為0或8，確定所述第一控制消息為第一類消息。

可選的，所述第一控制消息為因特網包探索器PING消息。

可選的，所述修改所述第一控制消息的數據區中的數據，得到修改后的第二控制消息，包括：

獲取所述數據區中的第一數據的長度；

使用第二數據替換所述第一數據，得到第二控制消息，其中，所述第二數據的長度與所述第一數據的長度相同。

可選的，所述頭部包含第一校驗數據；

所述修改所述第一控制消息中的第一數據，得到修改后的第二控制消息之后，還包括：

根據所述第二控制消息的校驗內容，確定第二校驗數據，其中，所述第二控制消息的校驗內容為所述第二控制消息去除所述第一校驗數據后的其余內容；

用所述第二校驗數據替換所述第二控制消息中的第一校驗數據，得到第三控制消息；

相應的，所述向所述第二設備發送所述第二控制消息，包括：

向所述第二設備發送所述第三控制消息。