CN100388688C - 一种代理检测系统和方法 - Google Patents
一种代理检测系统和方法 Download PDFInfo
- Publication number
- CN100388688C CN100388688C CNB200610065273XA CN200610065273A CN100388688C CN 100388688 C CN100388688 C CN 100388688C CN B200610065273X A CNB200610065273X A CN B200610065273XA CN 200610065273 A CN200610065273 A CN 200610065273A CN 100388688 C CN100388688 C CN 100388688C
- Authority
- CN
- China
- Prior art keywords
- packet
- data packet
- data
- module
- characteristic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全中的代理检测技术,更具体的说,是一种检测计算机是否存在代理的代理检测系统和方法。本发明采用了数据包头部特征和数据部分特征相结合达到代理检测。当进行代理检测时,代理检测系统使用抓包引擎,通过监听复制数据包的方法,将经过网卡的所有特定包进行复制获取,而后代理检测系统对获取的特定数据包按照代理检测规则进行检测。从代理的根本属性出发,能精确查找代理检测的存在与否,不遗漏和不错误检测;本发明方法不影响数据包和网络负担,只需要计算机很小的CPU和内存消耗,不影响其它程序的正常运行。
Description
技术领域
本发明涉及网络安全中的代理检测技术,更具体的说,是一种检测计算机是否存在代理的代理检测系统和方法。
背景技术
在当今的网络管理中,用户使用代理一直是网络服务提供商(ISP)非常头疼的问题。网络用户只申请一个用户帐号,但通过配置一台代理服务器,可以保证多人共用帐号上网,这种情况对管理者进行网络服务收费造成很大的困扰。而校园网的情况尤其严重,如一个学生宿舍申请了一个帐号或IP地址,通过把一台双网卡的机器设置为代理服务器或在一台单网卡的机器上安装代理软件作为代理服务器,同宿舍的多台机器甚至其他宿舍的机器都可以通过这台机器使用网络资源,达到逃避计费的目的,从而对使用计时或包月收费的网络管理者造成困扰。
目前,代理检测技术一般采用端口扫描技术,对某些知名端口进行扫描,但端口扫描有几个主要缺点:
(1)由于只对知名进程监视和知名端口扫描,所以容易遗漏代理检测;
(2)增加网络负载,耗费高;代理服务器端运行扫描软件,需要发送大量的试探报文,增加网络负担,并对代理服务器的资源消耗也很大。
发明内容
本发明的目的在于提供一种代理检测系统和方法,能够防范和检测用户使用共享上网技术。
本发明具体是这样实现的:
一种代理检测系统,包括:
网卡抓包引擎,用以抓取本机网卡的网络进出的所有特定数据包;
数据包分析模块,用以分析抓取的特定数据包并获取特征数据;
数据包队列模块,用以存储分析并获取的特征数据;
代理检测模块,用以根据预先设定的代理检测规则,检测本机是否存在代理服务;
所述网卡抓包引擎与数据包分析模块连接;
所述数据包分析模块与数据包队列模块连接;
所述数据包队列模块与代理检测模块连接。
所述网卡抓包引擎,通过监听复制获取特定数据包。
所述特定数据包,包括外部网络传送给网卡,或者应用系统通过网卡向外部网络发送的数据包。
所述数据包分析模块,根据数据包头部和部分数据,提取数据包的特征数据,将其存储到数据包队列模块。
所述代理检测模块对获取的特征数据,根据数据包包头特征、数据包数据特征进行分析比较,完全匹配,则返回存在代理,并按照预定响应策略进行响应;若不完全匹配,则继续进行代理检测。
一种代理检测方法,包括以下步骤:
步骤1、网卡抓包引擎抓取本机网卡的网络进出的所有特定数据包,并将数据包传送给数据分析模块;
步骤2、数据分析模块把收到的数据包经过特征分析和提取,将其每个数据包中的特征数据存储到数据包队列模块;
步骤3、当数据包队列模块中存储的特征数据达到预设数量后,代理检测模块对数据包的特征数据进行分析比较,以检测代理是否存在;如果检测不存在代理,则把数据包队列模块中的特征数据全部清除,并执行步骤1;如果检测存在代理,则清除所有数据,并返回。
所述步骤2,根据数据包头部和部分数据,提取数据包的特征数据,将其存储到数据包队列模块。
所述步骤3中的预设数量,是指存储的特征数据数量达到预设数量后,代理检测模块进行所有存储的特征数据包之间的分析比较。
所述步骤3,从数据包队列模块中提取特征数据,根据数据包头部特征和数据部分特征进行分析比较,完全匹配,则返回存在代理,并按照预定响应策略进行响应;若不完全匹配,则继续进行代理检测。
采用本发明所述的代理检测的系统和方法,与现有技术相比具有以下优点:
(1)从代理的根本属性出发,能精确查找代理检测的存在与否,不遗漏和不错误检测;
(2)本发明方法不影响数据包和网络负担,只需要计算机很小的CPU和内存消耗,不影响其它程序的正常运行。
附图说明
图1是客户机通过代理服务器连接外网服务器的示意图;
图2是本发明代理检测系统与系统内核结合的示意图;
图3是本发明代理检测系统的模块结构图;
图4是本发明代理检测方法的流程图。
具体实施方式
以下结合附图对本发明所述代理检测系统和方法作进一步说明:
如图1所示,客户机通过代理服务器连接外网服务器,代理服务器的代理方式一般有NAT服务程序代理,双网卡代理和单网卡代理等。
单网卡有两种代理方式,即单网卡NAT代理和单网卡一般代理,但在代理服务器上它们有共同的数据包头部特征:一个包进(出)源(目的)数据包的MAC地址与另一个包出(进)目的(源)数据包的MAC地址相同,但同时这个包出(进)目的(源)MAC地址与另一个包的进(出)源(目的)数据包的MAC地址不同。
为了避免可能存在代理服务器在上外网服务器的同时,将客户机访问代理服务器的情况检测为代理,则增加对数据包数据部分特征内容进行检测。
双网卡也有两种代理方式,即双网卡NAT代理和双网卡一般代理,但在代理服务器上它们有共同的数据包头部特征:一个包进(出)源(目的)数据包的MAC地址与另一个包出(进)目的(源)数据包的MAC地址不同,但同时这个包出(进)目的(源)MAC地址与另一个包的进(出)源(目的)数据包的MAC地址也不同,即两个数据包的MAC地址两两互不相同。
为了避免可能存在代理服务器在上外网服务器的同时,将客户机访问代理服务器的情况检测为代理,则增加对数据包数据部分特征内容进行检测。
因此本发明采用了数据包头部特征和数据部分特征相结合达到代理检测。当进行代理检测时,代理检测系统使用抓包引擎,通过监听复制数据包的方法,将经过网卡的所有特定包(外部网络传送给网卡或应用系统通过网卡向外部网络发送的包)进行复制获取,而后代理检测系统对获取的特定数据包按照代理检测规则(数据包包头特征、数据包数据特征等)进行检测。
如图3所示,本发明代理检测系统包括:
网卡抓包引擎,用以抓取本机网卡的网络进出的所有特定数据包;
数据包分析模块,用以分析抓取的网络进出的特定数据包并获取特征数据;
数据包队列模块,用以存储分析并获取的特征数据;
代理检测模块,用以根据预先设定的代理检测规则,检测本机是否存在代理服务。
其中,网卡抓包引擎与数据包分析模块连接;数据包分析模块与数据包队列模块连接;数据包队列模块与代理检测模块连接。
如图2所示,为了不影响计算机系统的正常运行,本发明所述代理检测系统在计算机的应用层实现,即作为一个程序运行于应用层。
如图4所示,本发明所述方法包括以下步骤:
步骤A.网卡抓包引擎抓取本机网卡的网络进出的所有数据包,并将数据包传送给数据分析模块;
步骤B.数据分析模块把收到的数据包经过特征分析和提取,将其每个数据包中的特征数据存储到数据包队列模块;
步骤C.当数据包队列模块中存储的特征数据达到预设数量后,代理检测模块对数据包的特征数据进行分析比较,以检测代理是否存在;
步骤D.如果检测不存在代理,则把数据包队列模块中的特征数据全部清除,并执行步骤A;
步骤E.如果检测存在代理,则清除所有数据,并返回。
所述步骤C中的预设数量,是指存储的特征数据数量达到预设数量后,代理检测模块进行所有存储的特征数据包之间的分析比较。
所述预设数量可以根据实际的网络情况和动态设定。
以下以检测代理的主机接收和发送数据包的过程为例,参照图2、图3、图4所示,对本发明代理检测的实现方法作进一步详细说明。
步骤1,通过抓包引擎从网卡驱动程序处获取特定的进出数据包;
步骤2,将抓取的数据包进行分析,并根据预设的特征规则的数据结构(数据包头部:MAC地址,IP地址等;数据部分:提取部分特征数据),提取数据包的特征数据,然后将其存储到数据包的数据结构队列中;
步骤3,从数据结构队列中提取数据结构元素,根据特征匹配规则进行数据特征匹配,若数据特征(数据包头部特征和数据部分特征)完全匹配,则返回存在代理,并按照预定响应策略进行响应。若不完全匹配,则继续进行代理检测。
Claims (6)
1.一种代理检测系统,其特征在于系统包括:
网卡抓包引擎,用以抓取本机网卡的网络进出的所有特定数据包;
数据包分析模块,用以根据数据包头部和部分数据分析抓取的特定数据包并获取特征数据,将其存储到数据包队列模块;
数据包队列模块,用以存储分析并获取的特征数据;
代理检测模块,用以对获取的特征数据根据数据包包头特征、数据包数据特征进行分析比较,检测本机是否存在代理服务;
所述网卡抓包引擎与数据包分析模块连接;
所述数据包分析模块与数据包队列模块连接;
所述数据包队列模块与代理检测模块连接。
2.如权利要求1所述的代理检测系统,其特征在于:
所述网卡抓包引擎,通过监听复制获取特定数据包。
3.如权利要求1所述的代理检测系统,其特征在于:
所述特定数据包,包括外部网络传送给网卡,或者应用系统通过网卡向外部网络发送的数据包。
4.如权利要求1所述的代理检测系统,其特征在于:
所述代理检测模块分析比较后,若完全匹配,则返回存在代理,并按照预定响应策略进行响应;若不完全匹配,则继续进行代理检测。
5.一种代理检测方法,其特征在于,包括以下步骤:
步骤1、网卡抓包引擎抓取本机网卡的网络进出的所有特定数据包,并将数据包传送给数据分析模块;
步骤2、数据分析模块把收到的数据包根据数据包头部和部分数据进行特征分析和提取,将其每个数据包中的特征数据存储到数据包队列模块;
步骤3、当数据包队列模块中存储的特征数据达到预设数量后,代理检测模块从数据包队列模块中提取特征数据,根据数据包头部特征和数据部分特征进行分析比较,以检测代理是否存在;如果不完全匹配,检测不存在代理,则把数据包队列模块中的特征数据全部清除,并执行步骤1;如果完全匹配,检测存在代理,则清除所有数据,并返回。
6.如权利要求5所述的代理检测方法,其特征在于:
所述步骤3中的预设数量,是指存储的特征数据数量达到预设数量后,代理检测模块进行所有存储的特征数据包之间的分析比较。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200610065273XA CN100388688C (zh) | 2006-03-22 | 2006-03-22 | 一种代理检测系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200610065273XA CN100388688C (zh) | 2006-03-22 | 2006-03-22 | 一种代理检测系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1822549A CN1822549A (zh) | 2006-08-23 |
| CN100388688C true CN100388688C (zh) | 2008-05-14 |
Family
ID=36923631
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB200610065273XA Expired - Fee Related CN100388688C (zh) | 2006-03-22 | 2006-03-22 | 一种代理检测系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100388688C (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107786622A (zh) * | 2016-08-31 | 2018-03-09 | 阿里巴巴集团控股有限公司 | 代理服务器的识别方法、装置及云平台 |
| CN106921670A (zh) * | 2017-03-22 | 2017-07-04 | 北京安博通科技股份有限公司 | 一种代理检测的方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003098474A1 (en) * | 2002-05-15 | 2003-11-27 | Intel Corporation | Automatic proxy detection |
| CN1630244A (zh) * | 2003-12-20 | 2005-06-22 | 西安信利网络系统科技有限公司 | 一种网络代理检测技术 |
| CN1652538A (zh) * | 2004-02-03 | 2005-08-10 | 华为技术有限公司 | 代理检测方法 |
-
2006
- 2006-03-22 CN CNB200610065273XA patent/CN100388688C/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003098474A1 (en) * | 2002-05-15 | 2003-11-27 | Intel Corporation | Automatic proxy detection |
| CN1630244A (zh) * | 2003-12-20 | 2005-06-22 | 西安信利网络系统科技有限公司 | 一种网络代理检测技术 |
| CN1652538A (zh) * | 2004-02-03 | 2005-08-10 | 华为技术有限公司 | 代理检测方法 |
Non-Patent Citations (6)
| Title |
|---|
| 校园网中代理服务器和NAT设备的监控与防范. 崔建,钱杰,张蓓.大连理工大学学报,第45卷第S1期. 2005 |
| 校园网中代理服务器和NAT设备的监控与防范. 崔建,钱杰,张蓓.大连理工大学学报,第45卷第S1期. 2005 * |
| 网络安全监测系统(NNSMS)设计与实现. 杨磊.四川大学硕士学位论文. 2004 |
| 网络安全监测系统(NNSMS)设计与实现. 杨磊.四川大学硕士学位论文. 2004 * |
| 自动代理检测方法的研究与实现. 吴丹,韩臻,杨武杰.计算机应用,第23卷第6期. 2003 |
| 自动代理检测方法的研究与实现. 吴丹,韩臻,杨武杰.计算机应用,第23卷第6期. 2003 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1822549A (zh) | 2006-08-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101834866B (zh) | 一种cc攻击防护方法及其系统 | |
| US8135979B2 (en) | Collecting network-level packets into a data structure in response to an abnormal condition | |
| CN103001817B (zh) | 一种实时检测网页跨域请求的方法和装置 | |
| CN101917490B (zh) | 一种读取缓存数据的方法及系统 | |
| CN107819783A (zh) | 一种基于威胁情报的网络安全检测方法及系统 | |
| CN104967630B (zh) | 网页访问请求的处理方法及装置 | |
| US20090125496A1 (en) | Network device and method for monitoring of backend transactions in data centers | |
| US8589537B2 (en) | Methods and computer program products for aggregating network application performance metrics by process pool | |
| US7171464B1 (en) | Method of tracing data traffic on a network | |
| CN113676563B (zh) | 内容分发网络服务的调度方法、装置、设备及存储介质 | |
| CN106027595A (zh) | 用于cdn节点的访问日志处理方法及系统 | |
| CN101997700A (zh) | 基于深度包检测和深度流检测技术的IPv6监测设备 | |
| CN110943884A (zh) | 一种数据处理方法及装置 | |
| CN102130791A (zh) | 一种在网关上检测代理的方法、装置及网关服务器 | |
| CN102893580A (zh) | 反病毒方法和装置及防火墙设备 | |
| CN104580228A (zh) | 对来自网络的访问请求产生黑名单的系统和方法 | |
| US7991827B1 (en) | Network analysis system and method utilizing collected metadata | |
| US9400547B2 (en) | Processing device and method thereof | |
| CN100388688C (zh) | 一种代理检测系统和方法 | |
| CN102223266B (zh) | 一种协议代理检测方法和装置 | |
| CN105530137A (zh) | 流量数据分析方法及流量数据分析系统 | |
| CN103647774A (zh) | 基于云计算的web内容信息过滤方法 | |
| CN109189652A (zh) | 一种封闭网络终端行为数据的采集方法及系统 | |
| CN112436980A (zh) | 测试数据包的读取方法、装置、设备及存储介质 | |
| CN106161339A (zh) | 获取ip访问关系的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080514 Termination date: 20150322 |
|
| EXPY | Termination of patent right or utility model |