[发明专利]数据处理方法及设备

说明书

本申请提供了一种数据处理方法及设备。实施例中，应用于网络设备的数据处理方法，可以包括：接收第一数据包，其中，所述第一数据包包括源IP地址和第一验证码；获取第一密钥；根据所述源IP地址和所述第一密钥生成第二验证码；如果所述第二验证码和所述第一验证码相同，则确定所述第一数据包合法。根据本申请的技术方案，不同的第二设备向第一设备发送的第一数据包中分别包括不同的第一验证码，网络设备可针对来自第二设备的第一数据包包括的第一验证码的准确性进行验证，以确定来自第二设备的数据包的合法性，从而实现在网络设备中快速确定数据包的合法性。

技术领域

本发明涉及计算机领域，尤其涉及数据处理方法及设备。

背景技术

分布式拒绝服务(DDOS，distributed denial of service)攻击是破坏网络可用性的顽疾，其主要包括DRDOS攻击和泛洪(flooding)两种攻击类型。DRDOS攻击成本极低，攻击能力极强，单次攻击流量可能被作为反射器的公共服务器放大至几十倍甚至十几万倍，使得DRDOS攻击成为入侵者的惯用攻击手段；目前，DRDOS攻击事件在DDOS攻击事件中的占比，已经高于flooding攻击事件在DDOS攻击事件中的占比。

以DRDOS攻击为例，入侵者可能通过其控制的受控设备，将目标设备的互联网协议(IP，internet protocol)地址作为源IP地址，向大量分布式部署的反射器分别发送数据量相对较小的服务请求，使得每个反射器以目标设备的IP地址作为目的IP地址，向目标设备发送数据量相对较大的数据包。如此，大量数据量相对较大的数据包汇聚到目标设备而挤占目标设备的资源，影响目标设备所能提供的服务，形成分布式反射拒绝服务(DRDOS，distributed reflection denial of service)攻击。

常规的DDOS攻击防御方案，无法快速的针对指向目标设备的数据包的合法性进行确定，导致并非用于攻击目标设备的合法数据包无法及时到达甚至无法到达目标设备。有鉴于此，希望能够改进的方案，以期实现更为快速的确定数据包的合法性。

发明内容

本申请实施例提供了一种数据处理方法及设备，可实现在网络设备中快速确定数据包的合法性。

本申请实施例至少提供了如下技术方案：

第一方面，提供了一种数据处理方法，应用于网络设备，所述方法包括：

接收第一数据包；其中，所述第一数据包包括源IP地址和第一验证码；

获取第一密钥；

根据所述源IP地址和所述第一密钥生成第二验证码；

如果所述第二验证码和所述第一验证码相同，则确定所述第一数据包合法。

在一种可能的实施方式中，

所述第一数据包还包括第一设备的位置定位符；

所述方法还包括：如果所述第一数据包合法，则根据所述位置定位符，向所述第一设备发送所述第一数据包。

在一种可能的实施方式中，所述第一数据包还包括服务标识符。

在一种可能的实施方式中，所述根据所述源IP地址和所述第一密钥生成第二验证码，包括：根据所述源IP地址、所述第一密钥，以及位置定位符、服务标识符、第一动态参数中的任意一项或多项，生成所述第二验证码。

在一种可能的实施方式中，所述第一验证码位于所述第一数据包包括的网络层协议头部中。

在一种可能的实施方式中，所述第一验证码位于所述第一数据包包括的目的IP地址中。

在一种可能的实施方式中，所述第一数据包还包括位置定位符和服务标识符，所述位置定位符、所述服务标识符位于所述目的IP地址中。