本發(fā)明涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域，具體涉及一種防止惡意監(jiān)測的方法及網(wǎng)關(guān)。

背景技術(shù)：

網(wǎng)絡(luò)中存在各式各樣的應(yīng)用層協(xié)議，但都基于傳輸控制協(xié)議(Transmission Control Protocol，TCP)，惡意運(yùn)營商在對用戶終端進(jìn)行網(wǎng)絡(luò)監(jiān)測時(shí)都需要進(jìn)行TCP狀態(tài)判斷，如果TCP三次握手已經(jīng)建立，則開始監(jiān)測，如果TCP傳輸結(jié)束，進(jìn)行了TCP四次揮手，則停止監(jiān)測。

現(xiàn)有技術(shù)中用戶終端進(jìn)行應(yīng)用報(bào)文傳輸?shù)膱鼍叭鐖D1所示，用戶終端進(jìn)行應(yīng)用報(bào)文傳輸?shù)牧鞒倘缦虏襟E1至3：

1、用戶終端向網(wǎng)站服務(wù)器發(fā)起TCP三次握手過程，完成TCP三次握手后，用戶終端與網(wǎng)站服務(wù)器建立連接。

2、用戶終端對應(yīng)用報(bào)文進(jìn)行超文本傳輸協(xié)議(HyperText Transfer Protocol，HTTP)傳輸，直到應(yīng)用報(bào)文傳輸結(jié)束。圖1中網(wǎng)關(guān)(例如家庭網(wǎng)關(guān)、企業(yè)網(wǎng)關(guān))起到應(yīng)用報(bào)文轉(zhuǎn)發(fā)的功能。

3、用戶終端向網(wǎng)站服務(wù)器發(fā)起TCP四次揮手過程，完成TCP四次揮手后，用戶終端與網(wǎng)站服務(wù)器終止連接。

惡意運(yùn)營商通過監(jiān)測設(shè)備檢測用戶終端向網(wǎng)站服務(wù)器發(fā)起TCP三次握手過程的第一次握手時(shí)，即用戶終端發(fā)送的同步SYN請求報(bào)文時(shí)，會(huì)記錄源端口，源互聯(lián)網(wǎng)協(xié)議(Internet Protocol，IP)地址，目的端口以及目的IP地址及協(xié)議號(hào)(后續(xù)以五元組代替)，接著對第三次握手時(shí)用戶終端發(fā)送的確認(rèn)ACK報(bào)文進(jìn)行檢測，如果ACK報(bào)文對應(yīng)的五元組與第一次握手時(shí)檢測的五元組的五元均匹配，即五元均相同，且SYN請求報(bào)文、ACK報(bào)文符合TCP三次握手的順序，則開始對用戶終端發(fā)送的應(yīng)用報(bào)文監(jiān)測。

當(dāng)監(jiān)測設(shè)備檢測到TCP四次揮手的第一次揮手時(shí)，即檢測到結(jié)束FIN報(bào)文，且該FIN報(bào)文對應(yīng)的五元組與匹配到已記錄的五元組，則結(jié)束對用戶終端的監(jiān)測，刪除記錄的五元組。

可見，由于存在惡意監(jiān)測的現(xiàn)象，給用戶帶來安全隱患，例如隱私泄露等。

技術(shù)實(shí)現(xiàn)要素：

鑒于上述問題，本發(fā)明提出了克服上述問題的一種防止惡意監(jiān)測的方法及網(wǎng)關(guān)。

第一發(fā)明，本發(fā)明提出一種防止惡意監(jiān)測的方法，包括：

網(wǎng)關(guān)檢測到用戶終端與網(wǎng)站服務(wù)器完成TCP三次握手的前兩次握手后，向所述網(wǎng)站服務(wù)器發(fā)送TCP四次揮手的第一次揮手報(bào)文；

所述網(wǎng)關(guān)在發(fā)送所述第一次揮手報(bào)文后，接收所述用戶終端發(fā)送的TCP三次握手的第三次握手報(bào)文，并將所述第三次握手報(bào)文轉(zhuǎn)發(fā)到所述網(wǎng)站服務(wù)器，以實(shí)現(xiàn)所述用戶終端與所述網(wǎng)站服務(wù)器的通信連接，防止惡意監(jiān)測。

可選的，所述網(wǎng)關(guān)檢測到用戶終端與網(wǎng)站服務(wù)器完成TCP三次握手的前兩次握手后，向所述網(wǎng)站服務(wù)器發(fā)送TCP四次揮手的第一次揮手報(bào)文，包括：

所述網(wǎng)關(guān)檢測到用戶終端與網(wǎng)站服務(wù)器完成TCP三次握手的前兩次握手后，接收所述用戶終端發(fā)送的所述第一次揮手報(bào)文；

所述網(wǎng)關(guān)將所述第一揮手報(bào)文轉(zhuǎn)發(fā)到所述網(wǎng)站服務(wù)器。

可選的，所述網(wǎng)關(guān)檢測到用戶終端與網(wǎng)站服務(wù)器完成TCP三次握手的前兩次握手后，向所述網(wǎng)站服務(wù)器發(fā)送TCP四次揮手的第一次揮手報(bào)文，包括：

所述網(wǎng)關(guān)基于所述用戶終端發(fā)送的第一次握手報(bào)文，獲取所述用戶終端與所述網(wǎng)站服務(wù)器的通信信息；

所述網(wǎng)關(guān)基于所述通信信息，生成所述第一次揮手報(bào)文；

所述網(wǎng)關(guān)檢測到所述用戶終端與網(wǎng)站服務(wù)器完成TCP三次握手的前兩次握手后，向所述網(wǎng)站服務(wù)器發(fā)送所述第一次揮手報(bào)文。

可選的，所述通信信息包括：源端口、源IP地址、目的端口、目的IP地址及協(xié)議號(hào)。

第二方面，本發(fā)明還提出一種網(wǎng)關(guān)，包括：

第一通信單元，用于在檢測到用戶終端與網(wǎng)站服務(wù)器完成TCP三次握手的前兩次握手后，向所述網(wǎng)站服務(wù)器發(fā)送TCP四次揮手的第一次揮手報(bào)文；

第二通信單元，用于在所述第一通信單元發(fā)送所述第一次揮手報(bào)文后，接收所述用戶終端發(fā)送的TCP三次握手的第三次握手報(bào)文，并將所述第三次握手報(bào)文轉(zhuǎn)發(fā)到所述網(wǎng)站服務(wù)器，以實(shí)現(xiàn)所述用戶終端與所述網(wǎng)站服務(wù)器的通信連接，防止惡意監(jiān)測。

可選的，所述第一通信單元，用于在檢測到用戶終端與網(wǎng)站服務(wù)器完成TCP三次握手的前兩次握手后，接收所述用戶終端發(fā)送的所述第一次揮手報(bào)文；將所述第一揮手報(bào)文轉(zhuǎn)發(fā)到所述網(wǎng)站服務(wù)器。

可選的，所述第一通信單元，用于基于所述用戶終端發(fā)送的第一次握手報(bào)文，獲取所述用戶終端與所述網(wǎng)站服務(wù)器的通信信息；基于所述通信信息，生成所述第一次揮手報(bào)文；在檢測到所述用戶終端與網(wǎng)站服務(wù)器完成TCP三次握手的前兩次握手后，向所述網(wǎng)站服務(wù)器發(fā)送所述第一次揮手報(bào)文。

可選的，所述通信信息包括：源端口、源IP地址、目的端口、目的IP地址及協(xié)議號(hào)。

相比于現(xiàn)有技術(shù)，本發(fā)明提出的防止惡意監(jiān)測的方法及網(wǎng)關(guān)，通過調(diào)整TCP報(bào)文的順序，使惡意運(yùn)營商的監(jiān)測設(shè)備無法確定TCP三次握手過程完成，從而防止惡意監(jiān)測，確保了用戶終端的網(wǎng)絡(luò)通信安全，降低了網(wǎng)絡(luò)信息的泄露風(fēng)險(xiǎn)。

附圖說明

圖1為現(xiàn)有技術(shù)中用戶終端進(jìn)行應(yīng)用報(bào)文傳輸?shù)膱鼍笆疽鈭D；

圖2為本發(fā)明第一實(shí)施例提供的一種防止惡意監(jiān)測的方法流程圖；

圖3為本發(fā)明第二實(shí)施例提供的一種網(wǎng)關(guān)結(jié)構(gòu)示意圖。

具體實(shí)施方式

為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚地描述，顯然，所描述的實(shí)施例是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例。

需要說明的是，本文中提及的用戶終端可以包括任何類型的設(shè)備，諸如手持式計(jì)算機(jī)、個(gè)人數(shù)字助理PDA、網(wǎng)絡(luò)家電、智能電視、智能手機(jī)、平板電腦、筆記本電腦、掌上游戲機(jī)、智能手表、媒體播放器或者這些數(shù)據(jù)處理設(shè)備或其他數(shù)據(jù)處理設(shè)備中的任何兩個(gè)或多個(gè)的組合。

需要說明的是，在本文中，“第一”和“第二”僅僅用來將相同的名稱區(qū)分開來，而不是暗示這些名稱之間的關(guān)系或者順序。

如圖2所示，本實(shí)施例公開一種防止惡意監(jiān)測的方法，該方法的執(zhí)行主體為網(wǎng)關(guān)，網(wǎng)關(guān)包括家庭網(wǎng)關(guān)，企業(yè)網(wǎng)關(guān)等非運(yùn)營商網(wǎng)關(guān)。所述方法可包括以下步驟201和202：

201、網(wǎng)關(guān)檢測到用戶終端與網(wǎng)站服務(wù)器完成TCP三次握手的前兩次握手后，向所述網(wǎng)站服務(wù)器發(fā)送TCP四次揮手的第一次揮手報(bào)文。

本實(shí)施例中，網(wǎng)關(guān)可以通過檢測第一次握手報(bào)文(即用戶終端發(fā)送的SYN報(bào)文)以及第二次握手報(bào)文(即網(wǎng)站服務(wù)器發(fā)送的SYN+ACK報(bào)文)來確定用戶終端與網(wǎng)站服務(wù)器完成TCP三次握手的前兩次握手。

本實(shí)施例中，網(wǎng)關(guān)向網(wǎng)站服務(wù)器發(fā)送的TCP四次揮手的第一次揮手報(bào)文(即FIN報(bào)文)，該報(bào)文用于指示用戶終端向網(wǎng)站服務(wù)器發(fā)起用于結(jié)束會(huì)話的TCP四次揮手過程。

本實(shí)施例中，由于所述第一次揮手報(bào)文先于TCP三次握手的第三次握手報(bào)文(即ACK報(bào)文)發(fā)送，所以惡意運(yùn)營商的監(jiān)測設(shè)備先檢測到第一次揮手報(bào)文，監(jiān)測設(shè)備會(huì)認(rèn)為會(huì)話結(jié)束，因此不會(huì)對用戶設(shè)備進(jìn)行監(jiān)測。

202、所述網(wǎng)關(guān)在發(fā)送所述第一次揮手報(bào)文后，接收所述用戶終端發(fā)送的TCP三次握手的第三次握手報(bào)文，并將所述第三次握手報(bào)文轉(zhuǎn)發(fā)到所述網(wǎng)站服務(wù)器，以實(shí)現(xiàn)所述用戶終端與所述網(wǎng)站服務(wù)器的通信連接，防止惡意監(jiān)測。

本實(shí)施例中，網(wǎng)站服務(wù)器應(yīng)該先收到第三次握手報(bào)文，但實(shí)際先收到了第一次揮手報(bào)文，由于不符合標(biāo)準(zhǔn)的TCP會(huì)話流程，因此，網(wǎng)站服務(wù)器會(huì)第一次揮手報(bào)文丟棄，等接收到第三次握手報(bào)文后開始與用戶終端會(huì)話。

可見，相比于現(xiàn)有技術(shù)，本實(shí)施例公開的防止惡意監(jiān)測的方法，通過調(diào)整TCP報(bào)文的順序，使惡意運(yùn)營商的監(jiān)測設(shè)備無法確定TCP三次握手過程完成，從而防止惡意監(jiān)測，確保了用戶終端的網(wǎng)絡(luò)通信安全，降低了網(wǎng)絡(luò)信息的泄露風(fēng)險(xiǎn)。

在一個(gè)具體的例子中，給出圖2所示的步驟201：“網(wǎng)關(guān)檢測到用戶終端與網(wǎng)站服務(wù)器完成TCP三次握手的前兩次握手后，向所述網(wǎng)站服務(wù)器發(fā)送TCP四次揮手的第一次揮手報(bào)文”的一種優(yōu)選實(shí)施方式，具體為：

所述網(wǎng)關(guān)檢測到用戶終端與網(wǎng)站服務(wù)器完成TCP三次握手的前兩次握手后，接收所述用戶終端發(fā)送的所述第一次揮手報(bào)文；所述網(wǎng)關(guān)將所述第一揮手報(bào)文轉(zhuǎn)發(fā)到所述網(wǎng)站服務(wù)器。

本實(shí)施例中，網(wǎng)關(guān)向網(wǎng)站服務(wù)器發(fā)送的第一次揮手報(bào)文為網(wǎng)關(guān)接收到的用戶終端發(fā)送的第一次揮手報(bào)文。

當(dāng)然，為了使用戶終端在完成前兩次握手后，先發(fā)送第一次揮手報(bào)文，可預(yù)先在用戶終端設(shè)置控制器，控制器實(shí)現(xiàn)對TCP三次握手的監(jiān)控以及發(fā)送第一次揮手報(bào)文的時(shí)機(jī)選擇。

當(dāng)然，為了使用戶終端在完成前兩次握手后，先發(fā)送第一次揮手報(bào)文，網(wǎng)關(guān)可在檢測到用戶終端與網(wǎng)站服務(wù)器完成TCP三次握手的前兩次握手后，先向用戶終端發(fā)送第一揮手報(bào)文請求消息，以使用戶終端向網(wǎng)關(guān)發(fā)送第一揮手報(bào)文。

在一個(gè)具體的例子中，給出圖2所示的步驟201：“網(wǎng)關(guān)檢測到用戶終端與網(wǎng)站服務(wù)器完成TCP三次握手的前兩次握手后，向所述網(wǎng)站服務(wù)器發(fā)送TCP四次揮手的第一次揮手報(bào)文”的一種優(yōu)選實(shí)施方式，具體包括圖2中未示出的步驟2011～2013：

2011、所述網(wǎng)關(guān)基于所述用戶終端發(fā)送的第一次握手報(bào)文，獲取所述用戶終端與所述網(wǎng)站服務(wù)器的通信信息。

2012、所述網(wǎng)關(guān)基于所述通信信息，生成所述第一次揮手報(bào)文；

2013、所述網(wǎng)關(guān)檢測到所述用戶終端與網(wǎng)站服務(wù)器完成TCP三次握手的前兩次握手后，向所述網(wǎng)站服務(wù)器發(fā)送所述第一次揮手報(bào)文。

相比上一個(gè)例子，本實(shí)施例中，第一次揮手報(bào)文并非由用戶終端發(fā)送，而是由網(wǎng)關(guān)自身生成。

網(wǎng)關(guān)基于用戶終端發(fā)送的第一次握手報(bào)文，生成所述第一次揮手報(bào)文。具體為，基于用戶終端發(fā)送的第一次握手報(bào)文，獲取所述用戶終端與所述網(wǎng)站服務(wù)器的通信信息；基于通信信息，生成第一次揮手報(bào)文。

本實(shí)施例中，所述通信信息包括：源端口、源IP地址、目的端口、目的IP地址及協(xié)議號(hào)。

如圖3所示，本實(shí)施例公開一種網(wǎng)關(guān)，包括家庭網(wǎng)關(guān)，企業(yè)網(wǎng)關(guān)等非運(yùn)營商網(wǎng)關(guān)，具體可包括以下單元：第一通信單元31和第二通信單元32。各單元具體說明如下：

第一通信單元31，用于在檢測到用戶終端與網(wǎng)站服務(wù)器完成TCP三次握手的前兩次握手后，向所述網(wǎng)站服務(wù)器發(fā)送TCP四次揮手的第一次揮手報(bào)文。

第二通信單元32，用于在所述第一通信單元31發(fā)送所述第一次揮手報(bào)文后，接收所述用戶終端發(fā)送的TCP三次握手的第三次握手報(bào)文，并將所述第三次握手報(bào)文轉(zhuǎn)發(fā)到所述網(wǎng)站服務(wù)器，以實(shí)現(xiàn)所述用戶終端與所述網(wǎng)站服務(wù)器的通信連接，防止惡意監(jiān)測。

本實(shí)施例公開的網(wǎng)關(guān)，可實(shí)現(xiàn)圖2所示的防止惡意監(jiān)測的方法流程，因此，本實(shí)施例中的網(wǎng)關(guān)的效果及說明可參見圖2所示的方法實(shí)施例，在此不再贅述。

在一個(gè)具體的例子中，所述第一通信單元31，用于在檢測到用戶終端與網(wǎng)站服務(wù)器完成TCP三次握手的前兩次握手后，接收所述用戶終端發(fā)送的所述第一次揮手報(bào)文；將所述第一揮手報(bào)文轉(zhuǎn)發(fā)到所述網(wǎng)站服務(wù)器。

在一個(gè)具體的例子中，所述第一通信單元31，用于基于所述用戶終端發(fā)送的第一次握手報(bào)文，獲取所述用戶終端與所述網(wǎng)站服務(wù)器的通信信息；基于所述通信信息，生成所述第一次揮手報(bào)文；在檢測到所述用戶終端與網(wǎng)站服務(wù)器完成TCP三次握手的前兩次握手后，向所述網(wǎng)站服務(wù)器發(fā)送所述第一次揮手報(bào)文。

在一個(gè)具體的例子中，所述通信信息包括：源端口、源IP地址、目的端口、目的IP地址及協(xié)議號(hào)。

本領(lǐng)域技術(shù)人員可以理解，可以把實(shí)施例中的各單元組合成一個(gè)單元，以及此外可以把它們分成多個(gè)子單元。除了這樣的特征和/或過程或者單元中的至少一些是互相排斥之處，可以采用任何組合對本說明書中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合。除非另外明確陳述，本說明書中公開的每個(gè)特征可以由提供相同、等同或相似目的的替代特征來代替。

本領(lǐng)域的技術(shù)人員能夠理解，盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征，但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例。

本領(lǐng)域技術(shù)人員可以理解，實(shí)施例中的各單元可以以硬件實(shí)現(xiàn)，或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn)，或者以它們的組合實(shí)現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解，可以在實(shí)踐中使用微處理器或者數(shù)字信號(hào)處理器(DSP)來實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如，計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)。

雖然結(jié)合附圖描述了本發(fā)明的實(shí)施方式，但是本領(lǐng)域技術(shù)人員可以在不脫離本發(fā)明的精神和范圍的情況下做出各種修改和變型，這樣的修改和變型均落入由所附權(quán)利要求所限定的范圍之內(nèi)。