本发明专利技术公开一种FTP的应用层报文过滤方法,包括以下步骤:在建立文件传输协议FTP的控制通道传输控制协议TCP连接时获取客户端发送的首个传输控制协议同步TCP SYN报文并转发至FTP服务器;检测FTP服务器的回复报文是否为同步确认SYN+ACK的TCP报文,如若不是,则作丢弃处理;检测客户端的响应报文是否为ACK的TCP报文,如若不是,则作丢弃处理;建立数据流表以记录并更新FTP状态。本发明专利技术还提供一种FTP的应用层报文过滤装置。本发明专利技术可避免和阻止FTP的应用层攻击行为,保证FTP业务安全可靠的传输。
【技术实现步骤摘要】
FTP的应用层报文过滤方法及装置
本专利技术涉及FTP (File Transfer Protocol,文件传输协议)业务的ASPF(Applicat1n Specific Packet Filter,应用层报文过滤)实现方法,具体涉及基于一种FTP的应用层报文过滤方法及装置。
技术介绍
FTP 是 TCP/IP (Transmiss1n Control Protocol/Internet Protocol,传输控制协议/因特网互联协议或网络通讯协议)协议簇中的协议之一,该协议是Internet文件传送的基础,它由一系列规格说明文档组成,目标是提高文件的共享性,使存储介质对用户透明和可靠高效地传送数据。简单的说,FTP就是完成两台计算机之间的拷贝,从远程计算机拷贝文件至自己的计算机上,称之为“下载(download)”文件。若将文件从自己计算机中拷贝至远程计算机上,则称之为“上载(upload)”文件。在TCP/IP协议中,FTP标准命令TCP端口号为21,Port (主动)方式数据端口为20。FTP采用两个TCP连接来传输一个文件。 控制连接以通常的客户-服务器方式建立。服务器以被动方式打开众所周知的用于FTP的端口(21),等待客户的连接。客户则以主动方式打开TCP端口 21,来建立连接。控制连接始终等待客户与服务器之间的通信。该连接将命令从客户传给服务器,并传回服务器的应答。由于命令通常是由用户键入的,所以IP对控制连接的服务类型就是“最大限度地减小迟延”。每当一个文件在客户与服务器之间传输时,就创建一个数据连接。由于该连接用于传输目的,所以IP对数据连接的服务特点就是“最大限度提高吞吐量”。 随着计算机技术和网络技术的普及,网络安全问题也越来越得到关注,基于FTP的文件安全可靠传输变得越来越重要,防火墙作为一种控制FTP文件传输的安全机制,已成为FTP安全传输的首要选择。防火墙的目的就是在信任网络和非信任网络之间建立一道屏障,并实施相应的安全策略。在网络中应用防火墙是一种非常有效的网络安全手段。通常,防火墙的实现技术一般采用包过滤技术。 包过滤技术的核心是定义ACL (Access Control List,访问控制列表)规则来过滤数据包。对于需要转发的数据包,包过滤防火墙首先获取其包头信息(包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等),然后与用户设定的ACL规则进行比较,根据比较的结果对数据包进行处理(允许通过或者丢弃)。 包过滤技术的优点在于它只进行网络层的过滤,处理速度较快,尤其是在流量中等、配置的ACL规模适中的情况下对设备的性能几乎没有影响。而且,包过滤技术的实现对于上层应用以及用户来讲都是透明的,无须在用户主机上安装特定的软件。尽管包过滤技术具有以上优势,但由于包过滤防火墙仅对网络层进行检查和过滤,不对报文的应用层内容进行解析和检测,因此无法对一些来自于应用层的威胁进行防范,例如FTP应用中用户登录攻击等。
技术实现思路
本专利技术的主要目的在于提供一种FTP的应用层报文过滤方法,以解决现有技术中无法对一些来自于应用层的威胁进行防范的技术问题。 为了实现专利技术目的,本专利技术提供一种FTP的应用层报文过滤方法,包括以下步骤: 在建立FTP的控制通道TCP连接时获取客户端发送的首个TCP SYN报文并转发至FTP服务器; 检测FTP服务器的回复报文是否为SYN+ACK的TCP报文,如若不是,则作丢弃处理; 检测客户端的响应报文是否为ACK的TCP报文,如若不是,则作丢弃处理; 建立数据流表以记录并更新FTP状态。 优选地,在执行所有步骤之后还包括以下步骤: 当FTP状态为TCP连接建立成功时,要求客户端向FTP服务器发送用户名; 在接收到客户端发送的用户名之后,通知所述FTP状态记录单元更新FTP状态为USER已发送,并要求客户端向FTP服务器发送密码,等待服务器端确认报文并解析登录是否成功; 当用户登录成功后,记录FTP状态为控制通道建立成功,对于登录失败的用户,更新FTP状态为TCP连接建立成功,要求用户重新进行登录验证。 优选地,上述方法还包括以下步骤: 解析FTP控制通道中PORT命令报文内容,获取数据通道的IP和端口 ; 根据数据通道的IP和端口建立动态的数据通道通过规则,以允许双方进行数据通道的建立和数据传输,同时拒绝其它不属于该数据通道的报文通过,并在数据通道传输结束后,删除所述动态的数据通道通过规则。 优选地,上述方法还包括以下步骤: 解析PASV命令及其响应报文内容,获取数据通道的IP和端口号; 根据从PASV命令响应报文中获得的IP和端口号建立动态的数据通道通过规则,允许此IP和端口下的数据传输。 优选地,上述方法还包括以下步骤:对数据通道的TCP报文进行三次握手检测,跟踪检测TCP交互过程,记录TCP所处状态,丢弃不满足交互协议的数据报文传输。 本专利技术还提供一种FTP的应用层报文过滤装置,包括TCP三次握手检测单元和FTP状态记录单元,所述TCP三次握手检测单元用于: 在建立FTP的控制通道TCP连接时获取客户端发送的首个TCP SYN报文并转发至FTP服务器; 检测FTP服务器的回复报文是否为SYN+ACK的TCP报文,如若不是,则作丢弃处理; 检测客户端的响应报文是否为ACK的TCP报文,如若不是,则作丢弃处理; 所述FTP状态记录单元用于建立数据流表以记录并更新FTP状态。 优选地,上述FTP的应用层报文过滤装置还包括: 用户名处理单元,用于当FTP状态为TCP连接建立成功时,要求客户端向FTP服务器发送用户名; 密码处理单元,用于在接收到客户端发送的用户名之后,通知所述FTP状态记录单元更新FTP状态为USER已发送,并要求客户端向FTP服务器发送密码,等待服务器端确认报文并解析登录是否成功; 所述FTP状态记录单元进一步用于当用户登录成功后,记录FTP状态为控制通道建立成功,对于登录失败的用户,更新FTP状态为TCP连接建立成功,要求用户重新进行登录验证。 优选地,上述FTP的应用层报文过滤装置还包括: 解析单元,用于解析FTP控制通道中PORT命令报文内容,获取数据通道的IP和端Π ; 过滤规则建立单元,用于根据数据通道的IP和端口建立动态的数据通道通过规贝U,以允许双方进行数据通道的建立和数据传输,同时拒绝其它不属于该数据通道的报文通过,并在数据通道传输结束后,删除所述动态的数据通道通过规则。 优选地,所述解析单元进一步用于: 解析PASV命令及其响应报文内容,获取数据通道的IP和端口号; 所述过滤规则建立单元进一步用于: 根据从PASV命令响应报文中获得的IP和端口号建立动态的数据通道通过规则,允许此IP和端口下的数据传输。 优选地,上述FTP的应用层报文过滤装置还包括数据通道监控单元,用于对数据通道的TCP报文进行三次握手检测,跟踪检测TCP交互过程,记录TCP所处状态,丢弃不满足交互协议的数据报文传输。 本专利技术通过对FTP的TCP报文进行跟踪检测,监控控制通道和数据通道建立满足TCP三次握手协议;通本文档来自技高网...
【技术保护点】
一种FTP的应用层报文过滤方法,其特征在于,包括以下步骤:在建立文件传输协议FTP的控制通道传输控制协议TCP连接时获取客户端发送的首个传输控制协议同步TCP SYN报文并转发至FTP服务器;检测FTP服务器的回复报文是否为同步确认SYN+ACK的TCP报文,如若不是,则作丢弃处理;检测客户端的响应报文是否为ACK的TCP报文,如若不是,则作丢弃处理;建立数据流表以记录并更新FTP状态。
【技术特征摘要】
1.一种FTP的应用层报文过滤方法,其特征在于,包括以下步骤: 在建立文件传输协议FTP的控制通道传输控制协议TCP连接时获取客户端发送的首个传输控制协议同步TCP SYN报文并转发至FTP服务器; 检测FTP服务器的回复报文是否为同步确认SYN+ACK的TCP报文,如若不是,则作丢弃处理; 检测客户端的响应报文是否为ACK的TCP报文,如若不是,则作丢弃处理; 建立数据流表以记录并更新FTP状态。2.如权利要求1所述的FTP的应用层报文过滤方法,其特征在于,还包括以下步骤: 当FTP状态为TCP连接建立成功时,要求客户端向FTP服务器发送用户名; 在接收到客户端发送的用户名之后,通知所述FTP状态记录单元更新FTP状态为用户USER已发送,并要求客户端向FTP服务器发送密码,等待服务器端确认报文并解析登录是否成功; 当用户登录成功后,记录FTP状态为控制通道建立成功,对于登录失败的用户,更新FTP状态为TCP连接建立成功,要求用户重新进行登录验证。3.如权利要求2所述的FTP的应用层报文过滤方法,其特征在于,还包括以下步骤: 解析FTP控制通道中主动PORT命令报文内容,获取数据通道的IP和端口 ; 根据数据通道的IP和端口建立动态的数据通道通过规则,以允许双方进行数据通道的建立和数据传输,同时拒绝其它不属于该数据通道的报文通过,并在数据通道传输结束后,删除所述动态的数据通道通过规则。4.如权利要求3所述的FTP的应用层报文过滤方法,其特征在于,还包括以下步骤: 解析被动PASV命令及其响应报文内容,获取数据通道的IP和端口号; 根据从PASV命令响应报文中获得的IP和端口号建立动态的数据通道通过规则,允许此IP和端口下的数据传输。5.如权利要求1至4中任一项所述的FTP的应用层报文过滤方法,其特征在于,还包括以下步骤:对数据通道的TCP报文进行三次握手检测,跟踪检测TCP交互过程,记录TCP所处状态,丢弃不满足交互协议的数据报文传输。6.一种FTP的应用层报文过滤装置,其特征在于,包括TCP三次握手检测单元和FTP状态记录单元,所述T...
【专利技术属性】
技术研发人员:高永岗,李娟,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。