本申請提供了一種防火墻重置TCP鏈路的檢測方法，該方法包括：讀取網絡報文并進行深度包解析，利用IP層的IPID信息和TCP流會話信息，對TCP重置包進行分析，判斷該重置包是否為防火墻發出。如果該重置包的TCP Sequence、TCP ACK與TCP流會話當前狀態明顯不一致，又或者IPID增長量超過較大的第一閾值，還或者IPID增長量超過較小的第二閾值且IPID符合某些防火墻特征，則判斷為由于防火墻導致的TCP鏈路關閉。本申請提供的檢測方法可以應用到旁路或者串行網絡流量分析設備中，也可以應用到報文分析軟件中，也可以應用到一個多采集點的網絡故障分析系統中。

技術領域

本申請涉及計算機通信技術領域，尤其涉及一種防火墻重置TCP鏈路的檢測方法。

背景技術

隨著互聯網技術的發展，為了保證網絡安全，在通信網絡中串行接入了大量的防火墻設備。這些防火墻設備從鏈路層、網絡層、傳輸層和應用層對網絡流量進行分析、控制和攔截。由于防火墻可能發生誤判，導致正常通信被攔截，引發業務異常。另外，某些特殊場景允許正常網絡流量攜帶敏感信息，部署防火墻反而會引發通信異常。上述情況下需要設計一種方法能夠快速判斷出是否有防火墻對網絡通信進行了干預，并快速定位出防火墻在網絡中的位置。

對防火墻干預網絡通信的檢測，目前并沒有很好的辦法，多數情況下采用多次開啟/關閉防火墻或者修改網絡結構的方法進行對比測試，從而推斷防火墻是否干預了網絡通信。這種方法低效費時，而且由于其改變了網絡結構，干擾了網絡通信，或者違反了網絡安全要求，往往是無法應用在生產環境的。

發明內容

本發明提供了一種對防火墻重置TCP鏈路的檢測方法，能夠對比較常見的傳輸層/應用層防火墻是否干預TCP網絡通信進行判斷和定位。應用這種檢測方法的設備可以通過旁路（推薦方式）和串接的方式接入網絡，由于設備本身只做檢測分析，對現有網絡通信不會產生干擾。

具體地，本申請是通過如下技術方案實現的：

通過旁路鏡像（SPAN/TAP/HUB等方式）或者串接方式從網絡中讀取報文，也可以讀取本地抓包文件，對網絡報文進行深度包分析和TCP流會話分析。

通過L3網絡層IPID與L4層TCP流會話的分析和比較，判斷出在客戶端Client方向或者服務端Server方向TCP鏈路是否發生了重置，并判斷出重置是否由于防火墻導致。

若TCP流會話中第一個重置（RST）包符合如下條件中的一種，則判斷RST包由防火墻發出：

與TCP流會話當前的TCP Sequence和TCP ACK狀態明顯不一致。

IPID增長量超過較大的第一閾值。

IPID增長量超過較小的第二閾值且IPID出現在特殊名單中。

附圖說明

圖1~圖3是本申請實施例提供的一種對防火墻重置TCP鏈路檢測方法的流程圖。

圖1是該方法的總體描述，描述了網絡報文分析方法的流程圖。

圖2是網絡報文分析方法中TCP流量分析模塊的流程圖。

圖3是TCP流量分析模塊中RST包的處理邏輯圖。

具體實施方式

在介紹本申請提供的防火墻重置TCP鏈路的檢測方法之前，先對本申請涉及的技術和術語進行介紹：

l L2鏈路層，OSI七層模型中的第二層(數據鏈路層)，主要攜帶MAC信息。