一种网络通信建立方法、装置及电子设备
技术领域
本发明涉及网络通信领域,具体涉及一种网络通信建立方法、装置及电子设备。
背景技术
现有UDP通信方法都是基于IP的,使用UDP进行通信,一般为发送端-接收端的通信方式:接收端监听固定端口,发送端发送UDP包到目标机器的固定端口,接收端通过该固定端口监听到请求,实现通信。
现有技术中UDP服务器的通信方式,在防火墙允许对应端口访问的情况下,服务端可以接收到客户端的传输;在防火墙关闭对应端口的访问的情况下,服务端无法接收到客户端的传输,无法建立通信;另外,在整个传输的过程中必须有端口监听。由于相关技术需要后台常驻监听固定端口,因此存在安全隐患,服务端暴露和固定端口暴露使通信过程容易受到基于IP和端口的恶意网络攻击威胁和渗透,并且,在防火墙阻断的情况下无法建立通信过程。
发明内容
本发明的主要目的在于提供一种网络通信建立方法、装置及电子设备,以解决现有的接收端暴露、固定端口暴露和在防火墙阻断情况下无法建立通信的问题。
为了实现上述目的,根据本发明的第一方面,提供了一种网络通信建立方法,适用于数据接收端,在所述接收端设置有包过滤器,所述包过滤器的策略为全部包丢弃或拒绝,所述方法包括:
在接收端网络环境中捕获UDP包流量;
验证所述UDP包流量是否来自预设发送端;
当所述UDP包流量来自预设发送端时,获取所述UDP包流量传输的内容;
根据所述UDP包流量传输的内容控制防火墙。
可选地,所述验证所述UDP包流量是否来自预设发送端包括:
获取所述UDP包流量的标识信息;
验证所述UDP包流量的标识信息是否和预设发送端相同;
若相同,则所述UDP包流量来自预设发送端;
若不相同,则所述UDP包流量不是来自预设发送端。
进一步地,所述UDP包流量的标识信息包括UDP协议规范的字段标识中的至少一种。
进一步地,若所述UDP包流量不是来自预设发送端,则不获取所述UDP包流量传输的内容。
可选地,所述根据所述UDP包流量传输的内容控制防火墙包括:
若所述UDP包流量传输的内容包括控制防火墙策略,则控制防火墙开启所述UDP包流量内部约定的服务通讯端口。
进一步地,所述控制防火墙开启所述UDP包流量内部约定的服务通讯端口之后,还包括:
判断开启时长是否达到预设时长;
当开启时长达到所述预设时长时,控制所述防火墙关闭所述UDP包流量内部约定的服务通讯端口。
可选地,所述根据所述UDP包流量传输的内容控制防火墙还包括:
若所述UDP包流量传输的内容不包括控制防火墙策略,则防火墙继续保持阻断状态。
根据本发明的第二方面,提供了一种网络通信建立装置,适用于数据接收端,在所述接收端设置有包过滤器,所述包过滤器的策略为全部包丢弃或拒绝,所述装置包括:
捕获模块,用于在接收端网络环境中捕获UDP包流量;
验证模块,用于验证所述UDP包流量是否来自预设发送端;
获取模块,用于当所述UDP包流量来自预设发送端时,获取所述UDP包流量传输的内容;
控制模块,用于根据所述UDP包流量传输的内容控制防火墙。
根据本发明的第三方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行权利要求第一方面任意一项所述的一种网络通信建立方法。
根据本发明的第四方面,提供了一种电子设备,其特征在于,所述电子设备包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器执行权利要求第一方面任意一项所述的一种网络通信建立方法。
在本发明实施例中提供的一种网络通信建立方法适用于数据接收端,在所述接收端设置有包过滤器,所述包过滤器的策略为全部包丢弃或拒绝,通过在接收端网络环境中捕获UDP包流量,其次验证所述UDP包流量是否来自预设发送端,然后当所述UDP包流量来自预设发送端时,获取所述UDP包流量传输的内容并根据所述UDP包流量传输的内容控制防火墙,达到了隐藏接收端和端口的目的,接收端不监听任何端口,从而实现了降低恶意攻击威胁,提高网络通信的安全性的技术效果,进而解决了由于暴露接收端和端口造成的通信安全性不足的技术问题。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的网络通信建立方法流程示意图;
图2为本发明实施例提供的网络通信建立装置框图;
图3为本发明实施例提供的电子设备框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
在本发明中,术语“上”、“下”、“左”、“右”、“前”、“后”、“顶”、“底”、“内”、“外”、“中”、“竖直”、“水平”、“横向”、“纵向”等指示的方位或位置关系为基于附图所示的方位或位置关系。这些术语主要是为了更好地描述本发明及其实施例,并非用于限定所指示的装置、元件或组成部分必须具有特定方位,或以特定方位进行构造和操作。
并且,上述部分术语除了可以用于表示方位或位置关系以外,还可能用于表示其他含义,例如术语“上”在某些情况下也可能用于表示某种依附关系或连接关系。对于本领域普通技术人员而言,可以根据具体情况理解这些术语在本发明中的具体含义。
此外,术语“安装”、“设置”、“设有”、“连接”、“相连”、“套接”应做广义理解。例如,可以是固定连接,可拆卸连接,或整体式构造;可以是机械连接,或电连接;可以是直接相连,或者是通过中间媒介间接相连,又或者是两个装置、元件或组成部分之间内部的连通。对于本领域普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
现有技术中UDP服务器的通信方式,在防火墙阻断的情况下无法建立通信过程,并且需要后台常驻监听固定端口,因此存在安全隐患,服务端暴露和固定端口暴露使通信过程容易受到基于IP和端口的恶意网络攻击威胁和渗透。
为了解决上述问题,根据本发明实施例,提供了一种网络通信建立方法,适用于数据接收端,在所述接收端设置有包过滤器,所述包过滤器的策略为全部包丢弃或拒绝,如图1所示,该方法包括如下的步骤S101至步骤S104:
S101在接收端网络环境中捕获UDP包流量;
S102验证所述UDP包流量是否来自预设发送端;
S103当所述UDP包流量来自预设发送端时,获取所述UDP包流量传输的内容;
S104根据所述UDP包流量传输的内容控制防火墙。
具体的,接收端包过滤器(如iptables等)的策略为全部包丢弃或拒绝,即对正常的TCP或UDP的通信没有任何回应或拒绝回应,等同于接收端的机器从网络访问的意义来说不可达,做到接收端服务的隐藏;发送端传输UDP包流量之前,不需要知道位于接收端的目的端口或具体服务协议;接收端捕获流经网卡的流量,不需要监听端口,也不需要与发送端进行握手交互,因为接收端不对任何端口进行监听,所以不会被基于IP和端口的网络攻击方式渗透,实现了对攻击和渗透的防御,能够显著降低恶意攻击威胁,提高网络通信的安全性。
其中,所述验证所述UDP包流量是否来自预设发送端包括:
获取所述UDP包流量的标识信息;
验证所述UDP包流量的标识信息是否和预设发送端相同;
若相同,则所述UDP包流量来自预设发送端;
若不相同,则所述UDP包流量不是来自预设发送端。
所述UDP包流量的标识信息包括UDP协议规范的字段标识中的至少一种;所述UDP协议规范的字段标识是用于标识、区分不同UDP包流量的字段,包括所述UDP包流量的IP地址、发送端端口、MAC地址和UDP协议规范的其他字段标识。
具体的,若所述UDP包流量不是来自预设发送端,则不获取所述UDP包流量传输的内容。
所述根据所述UDP包流量传输的内容控制防火墙包括:
若所述UDP包流量传输的内容包括控制防火墙策略,则控制防火墙开启所述UDP包流量内部约定的服务通讯端口。
所述控制防火墙开启所述UDP包流量内部约定的服务通讯端口之后,还包括:
判断开启时长是否达到预设时长;该预设时长可以根据实际情况设置,如该预设时长被配置为30秒;
当开启时长达到所述预设时长时,控制所述防火墙关闭所述UDP包流量内部约定的服务通讯端口。通讯过程中,该通讯在全网隐藏,除发送端外的其他机器无法探知到接收端;并且,内部约定的服务通讯端口只开启较短的预设时长,发送端也只在这段时间内才能探知到接收端,实现了接收端服务的隐藏,提高了网络通信的安全性。
所述根据所述UDP包流量传输的内容控制防火墙还包括:
若所述UDP包流量传输的内容不包括控制防火墙策略,则防火墙继续保持阻断状态。
在防火墙阻断的情况下建立通信,只需要在确认UDP包流量来自预设发送端后,接收端就可以通过具体的服务协议收到发送端传输的数据,若UDP包流量传输的内容包括控制防火墙策略,则控制防火墙开启所述UDP包流量内部约定的服务通讯端口。
从以上的描述中,可以看出,本发明实现了如下技术效果:
在防火墙阻断的情况下建立通信,接收端依然可以收到发送端传输的数据;发送端不需要提前知道位于接收端的目的端口或具体服务协议;接收端包过滤器的策略为全部包丢弃或拒绝,即对正常的TCP或UDP的通信没有任何回应或拒绝回应,等同于接收端的机器从网络访问的意义来说不可达,做到接收端服务的隐藏;接收端捕获流经网卡的流量,不需要监听端口,也不需要与发送端进行握手交互;接收端不对任何端口进行监听,不会被基于IP和端口的网络攻击方式渗透,实现了对攻击和渗透的防御,能够显著降低恶意攻击威胁,提高网络通信的安全性。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
根据本发明实施例,还提供了一种网络通信建立装置,适用于数据接收端,其特征在于,在所述接收端设置有包过滤器,所述包过滤器的策略为全部包丢弃或拒绝,如图2所示,该装置包括:
捕获模块21,用于在接收端网络环境中捕获UDP包流量;
验证模块22,用于验证所述UDP包流量是否来自预设发送端;
获取模块23,用于当所述UDP包流量来自预设发送端时,获取所述UDP包流量传输的内容;
控制模块24,用于根据所述UDP包流量传输的内容控制防火墙。
根据本发明实施例,还提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行本发明方法实施例任意一项所述的一种网络通信建立方法。
根据本发明实施例,还提供了一种电子设备,如图3所示,该电子设备包括一个或多个处理器31以及存储器32,图3中以一个处理器为例。
该控制器还可以包括:输入装置33和输出装置34。
处理器31、存储器32、输入装置33和输出装置34可以通过总线或者其他方式连接,图3中以通过总线连接为例。
处理器31可以为中央处理器(Central Processing Unit,CPU)。处理器31还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器32作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的控制方法对应的程序指令/模块。处理器31通过运行存储在存储器32中的非暂态软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例的一种网络通信建立方法。
存储器32可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据服务器操作的处理装置的使用所创建的数据等。此外,存储器32可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器32可选包括相对于处理器31远程设置的存储器,这些远程存储器可以通过网络连接至网络连接装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置33可接收输入的数字或字符信息,以及产生与服务器的处理装置的用户设置以及功能控制有关的键信号输入。输出装置34可包括显示屏等显示设备。
一个或者多个模块存储在存储器32中,当被一个或者多个处理器31执行时,执行如图1所示的方法。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成的,程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各电机控制方法的实施例的流程。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)、随机存储记忆体(RandomAccessMemory,RAM)、快闪存储器(FlashMemory,FM)、硬盘(HardDiskDrive,HDD)或固态硬盘(Solid-StateDrive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
虽然结合附图描述了本发明的实施方式,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
