CN101079753A - 一种多链路抓包系统、方法及网络审计系统 - Google Patents
一种多链路抓包系统、方法及网络审计系统 Download PDFInfo
- Publication number
- CN101079753A CN101079753A CN 200710076153 CN200710076153A CN101079753A CN 101079753 A CN101079753 A CN 101079753A CN 200710076153 CN200710076153 CN 200710076153 CN 200710076153 A CN200710076153 A CN 200710076153A CN 101079753 A CN101079753 A CN 101079753A
- Authority
- CN
- China
- Prior art keywords
- packet
- address space
- memory address
- network interface
- interface card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明提供一种多链路抓包系统,包括多个抓包模块、共享内存映射模块和多个数据包处理模块;所述抓包模块用于抓取与其对应的网卡的数据包,并将所述数据包存取于其分配的物理内存地址空间内;所述共享内存映射模块用于将上述存储了数据包的物理内存地址空间映射到数据包处理模块可进行数据读取的用户内存地址空间,并将所述用户内存地址空间与所述网卡相对应;所述数据包处理模块用于读取上述用户内存地址空间,获取数据包进行处理。本发明通过多个抓包模块、共享内存映射模块和多个数据包处理模块,可对多个网卡进行抓包及数据处理,实现同一台审计系统中进行多个链路抓包的功能,可以减轻用户的经济负担,并满足多链路的负荷。
Description
技术领域
本发明涉及网络安全技术领域,尤其是涉及一种多链路抓包系统、方法及网络审计系统。
背景技术
在网络不断普及并且应用的行业不断扩大的背景下,一家企业有2个或多个Internet出口已不是个别现象。面对着这样的用户,则需要网络安全审计产品能同时支持2个或多个抓包口来满足这样的应用需求。在同一台审计系统中实现多个链路抓包的功能,可以减轻用户的经济负担,无需购买多台产品。但同时对于能支持多个链接抓包的审计系统来说,其个体的性能则被提上一个更高的台阶,以满足多链路的负荷。
发明内容
本发明所要解决的技术问题是提供一种多链路抓包系统,其可实现在工控机或服务器上通过2个或2个以上的网卡进行网络数据捕获技术。
本发明另一个所要解决的技术问题是提供一种多链路抓包方法,其可实现在工控机或服务器上通过2个或2个以上的网卡进行网络数据捕获技术。
本发明再一个所要解决的技术问题是提供一种网络审计系统,其可实现在工控机或服务器上通过2个或2个以上的网卡进行网络数据捕获技术。
为解决本发明的技术问题,本发明公开一种多链路抓包系统,包括多个抓包模块、共享内存映射模块和多个数据包处理模块;
所述抓包模块用于抓取与其对应的网卡的数据包,并将所述数据包存取于其分配的物理内存地址空间内;
所述共享内存映射模块用于将上述存储了数据包的物理内存地址空间映射到数据包处理模块可进行数据读取的用户内存地址空间,并将所述用户内存地址空间与所述网卡相对应;
所述数据包处理模块用于读取上述用户内存地址空间,获取数据包进行处理。
其中,所述系统还包括配置模块,用于生成描述所述抓包模块的标识及其与网卡对应关系和所述用户内存地址空间与网卡的对应关系的配置文件。
其中,所述数据包处理模块读取所述配置文件,根据用户内存地址空间与网卡的对应关系,找到指定的用户内存地址空间,再获取数据包。
其中,所述抓包模块通过DMA技术将数据包写入到物理内存地址空间。
一种多链路抓包方法,包括以下步骤:
A1、分配用于存储数据包的物理内存地址空间;
A2、从网卡抓取数据包;
A3、将上述数据包写入所述物理内存地址空间;
A4、将物理内存地址空间映射到用户内存地址空间;
A5、将上述用户内存地址空间与上述网卡相对应;
A6、读取用户内存地址空间,获取上述数据包进行处理。
其中,所述步骤A1还包括步骤:
B1、生成配置文件;
B2、在上述配置文件中记录所述从网卡抓取数据包的抓包模块的编号;
所述步骤A5还包括步骤:
B3、将所述用户内存地址空间和网卡的对应关系记录在上述配置文件中;
所述步骤A6还包括步骤:
B4、读取配置文件中的用户内存地址空间和网卡的对应关系,找到指定的用户内存地址空间。
其中,所述步骤A3进一步包括:通过DMA技术将数据包写入到物理内存地址空间。
一种网络审计系统,包括多链路抓包系统,其包括:多个抓包模块、共享内存映射模块和多个数据包处理模块;
所述抓包模块用于抓取与其对应的网卡的数据包,并将所述数据包存取于其分配的物理内存地址空间内;
所述共享内存映射模块用于将上述存储了数据包的物理内存地址空间映射到数据包处理模块可进行数据读取的用户内存地址空间,并将所述用户内存地址空间与所述网卡相对应;
所述数据包处理模块用于读取上述用户内存地址空间,获取数据包进行处理。
其中,所述多链路抓包系统还包括配置模块,用于生成描述所述抓包模块的标识及其与网卡对应关系和所述用户内存地址空间与网卡的对应关系的配置文件。
其中,所述数据包处理模块读取所述配置文件,根据用户内存地址空间与网卡的对应关系,找到指定的用户内存地址空间,再获取数据包。
与现有技术相比,本发明具有如下有益效果:本发明通过多个抓包模块、共享内存映射模块和多个数据包处理模块,可对多个网卡进行抓包及数据处理,实现同一台审计系统中进行多个链路抓包的功能,可以减轻用户的经济负担,并满足多链路的负荷。
附图说明
图1是本发明的系统结构图;
图2是本发明的方法步骤图。
具体实施方式
下面结合附图和实施例,对本发明作进一步详细说明。
如图1所示,本发明提供一种多链路抓包系统,包括多个抓包模块、共享内存映射模块和多个数据包处理模块;
其中,抓包模块用于抓取与其对应的网卡的数据包,并将所述数据包存取于其分配的物理内存地址空间内;
共享内存映射模块用于将上述存储了数据包的物理内存地址空间映射到数据包处理模块可进行数据读取的用户内存地址空间,并将所述用户内存地址空间与所述网卡相对应;
数据包处理模块用于读取上述用户内存地址空间,获取数据包进行处理。
另外,本系统还包括一配置模块,主要用于上述多个抓包模块、共享内存映射模块和多个数据包处理模块之间的调度管理,描述抓包模块的标识及其与网卡对应关系和所述用户内存地址空间与网卡的对应关系的配置文件。
本系统的工作原理描述如下:
每个网卡对应一个抓包模块,当需要从网卡N捕获数据包时,相对应的抓包模块N被装载,并把其编号写入配置模块所生成的配置文件中。当配置文件装载完毕后,抓包模块先分配一块物理内存地址空间,作为存储数据包的空间。然后共享内存映射模块将抓包模块分配的物理内存地址空间映射到用户内存地址空间,然后把指定的用户内存地址空间和网卡N进行对应,并把对应的数据写入配置文件。然后,抓包模块开始从网卡N捕获数据包,并把数据包写入分配的物理内存地址空间中。
同样每个网卡对应一个数据包处理模块,数据包处理模块N启动后首先读取配置文件,根据配置文件中的用户内存地址空间和网卡N的对应关系,找到指定的用户内存地址空间,然后数据包处理模块从该用户内存地址空间读取映射的物理内存地址空间上的网络数据包,然后进行处理。
当需要从N个网卡上捕获数据包时,只需要启动N个零驱动抓包模块,一个共享内存映射模块,N个数据包处理模块,通过它们与网卡一一对应,就可以实现同时对多个网卡进行数据捕获。
作为一实施例,本发明的抓包模块通过DMA技术将数据包写入到物理内存地址空间。
如图2所示,本发明还提供一种多链路抓包方法,包括以下步骤:
A1、分配用于存储数据包的物理内存地址空间;
A2、从网卡抓取数据包;
A3、将上述数据包写入所述物理内存地址空间;
A4、将物理内存地址空间映射到用户内存地址空间;
A5、将上述用户内存地址空间与上述网卡相对应;
A6、读取用户内存地址空间,获取上述数据包进行处理。
其中,步骤A1还包括步骤:
B1、生成配置文件;
B2、在上述配置文件中记录所述从网卡抓取数据包的抓包模块的编号;
所述步骤A5还包括步骤:
B3、将所述用户内存地址空间和网卡的对应关系记录在上述配置文件中;
所述步骤A6还包括步骤:
B4、读取配置文件中的用户内存地址空间和网卡的对应关系,找到指定的用户内存地址空间。
本发明还提供一种包含多链路抓包系统的网络审计系统,其可进行多个链路抓包的功能,可以减轻用户的经济负担,并满足多链路的负荷。
Claims (10)
1、一种多链路抓包系统,其特征在于:所述系统包括多个抓包模块、共享内存映射模块和多个数据包处理模块;
所述抓包模块用于抓取与其对应的网卡的数据包,并将所述数据包存取于其分配的物理内存地址空间内;
所述共享内存映射模块用于将上述存储了数据包的物理内存地址空间映射到数据包处理模块可进行数据读取的用户内存地址空间,并将所述用户内存地址空间与所述网卡相对应;
所述数据包处理模块用于读取上述用户内存地址空间,获取数据包进行处理。
2、如权利要求1所述的多链路抓包系统,其特征在于:所述系统还包括配置模块,用于生成描述所述抓包模块的标识及其与网卡对应关系和所述用户内存地址空间与网卡的对应关系的配置文件。
3、如权利要求2所述的多链路抓包系统,其特征在于:所述数据包处理模块读取所述配置文件,根据用户内存地址空间与网卡的对应关系,找到指定的用户内存地址空间,再获取数据包。
4、如权利要求1或2所述的多链路抓包系统,其特征在于:所述抓包模块通过DMA技术将数据包写入到物理内存地址空间。
5、一种多链路抓包方法,其特征在于:所述方法包括以下步骤:
A1、分配用于存储数据包的物理内存地址空间;
A2、从网卡抓取数据包;
A3、将上述数据包写入所述物理内存地址空间;
A4、将物理内存地址空间映射到用户内存地址空间;
A5、将上述用户内存地址空间与上述网卡相对应;
A6、读取用户内存地址空间,获取上述数据包进行处理。
6、如权利要求5所述的多链路抓包,其特征在于:所述步骤A1还包括步骤:
B1、生成配置文件;
B2、在上述配置文件中记录所述从网卡抓取数据包的抓包模块的编号;
所述步骤A5还包括步骤:
B3、将所述用户内存地址空间和网卡的对应关系记录在上述配置文件中;
所述步骤A6还包括步骤:
B4、读取配置文件中的用户内存地址空间和网卡的对应关系,找到指定的用户内存地址空间。
7、如权利要求5所述的多链路抓包,其特征在于:所述步骤A3进一步包括:通过DMA技术将数据包写入到物理内存地址空间。
8、一种网络审计系统,其特征在于:所述网络审计系统包括多链路抓包系统,其包括:多个抓包模块、共享内存映射模块和多个数据包处理模块;
所述抓包模块用于抓取与其对应的网卡的数据包,并将所述数据包存取于其分配的物理内存地址空间内;
所述共享内存映射模块用于将上述存储了数据包的物理内存地址空间映射到数据包处理模块可进行数据读取的用户内存地址空间,并将所述用户内存地址空间与所述网卡相对应;
所述数据包处理模块用于读取上述用户内存地址空间,获取数据包进行处理。
9、如权利要求8所述的网络审计系统,其特征在于:所述多链路抓包系统还包括配置模块,用于生成描述所述抓包模块的标识及其与网卡对应关系和所述用户内存地址空间与网卡的对应关系的配置文件。
10、如权利要求9所述的网络审计系统,其特征在于:所述数据包处理模块读取所述配置文件,根据用户内存地址空间与网卡的对应关系,找到指定的用户内存地址空间,再获取数据包。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007100761534A CN101079753B (zh) | 2007-06-28 | 2007-06-28 | 一种多链路抓包系统、方法及网络审计系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007100761534A CN101079753B (zh) | 2007-06-28 | 2007-06-28 | 一种多链路抓包系统、方法及网络审计系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101079753A true CN101079753A (zh) | 2007-11-28 |
CN101079753B CN101079753B (zh) | 2010-08-18 |
Family
ID=38906998
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007100761534A Expired - Fee Related CN101079753B (zh) | 2007-06-28 | 2007-06-28 | 一种多链路抓包系统、方法及网络审计系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101079753B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102546386A (zh) * | 2011-10-21 | 2012-07-04 | 北京安天电子设备有限公司 | 自适应多网卡捕包方法及装置 |
CN104506379A (zh) * | 2014-12-12 | 2015-04-08 | 北京锐安科技有限公司 | 网络数据捕获方法和系统 |
CN105939238A (zh) * | 2016-04-14 | 2016-09-14 | 天津市德力电子仪器有限公司 | 一种基于SOC隔离Memory的10Gbps以太网实时数据采集方法 |
CN105978681A (zh) * | 2016-05-13 | 2016-09-28 | 浪潮集团有限公司 | 一种防窃听的安全交换机 |
CN110086571A (zh) * | 2019-04-10 | 2019-08-02 | 广州华多网络科技有限公司 | 一种数据发送及接收的方法、装置及数据处理系统 |
CN115277236A (zh) * | 2022-08-01 | 2022-11-01 | 福建天晴在线互动科技有限公司 | 一种对域名进行请求分析的方法及其系统 |
-
2007
- 2007-06-28 CN CN2007100761534A patent/CN101079753B/zh not_active Expired - Fee Related
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102546386A (zh) * | 2011-10-21 | 2012-07-04 | 北京安天电子设备有限公司 | 自适应多网卡捕包方法及装置 |
CN104506379A (zh) * | 2014-12-12 | 2015-04-08 | 北京锐安科技有限公司 | 网络数据捕获方法和系统 |
CN104506379B (zh) * | 2014-12-12 | 2018-03-23 | 北京锐安科技有限公司 | 网络数据捕获方法和系统 |
CN105939238A (zh) * | 2016-04-14 | 2016-09-14 | 天津市德力电子仪器有限公司 | 一种基于SOC隔离Memory的10Gbps以太网实时数据采集方法 |
CN105939238B (zh) * | 2016-04-14 | 2019-01-11 | 天津市德力电子仪器有限公司 | 一种基于SOC隔离Memory的10Gbps以太网实时数据采集方法 |
CN105978681A (zh) * | 2016-05-13 | 2016-09-28 | 浪潮集团有限公司 | 一种防窃听的安全交换机 |
CN110086571A (zh) * | 2019-04-10 | 2019-08-02 | 广州华多网络科技有限公司 | 一种数据发送及接收的方法、装置及数据处理系统 |
CN115277236A (zh) * | 2022-08-01 | 2022-11-01 | 福建天晴在线互动科技有限公司 | 一种对域名进行请求分析的方法及其系统 |
CN115277236B (zh) * | 2022-08-01 | 2023-08-18 | 福建天晴在线互动科技有限公司 | 一种对域名进行请求分析的方法及其系统 |
Also Published As
Publication number | Publication date |
---|---|
CN101079753B (zh) | 2010-08-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101079753A (zh) | 一种多链路抓包系统、方法及网络审计系统 | |
CN100343826C (zh) | 一种实现内存管理的方法 | |
CN101043421A (zh) | 一种基于内存的ip地址最长匹配快速查找的方法 | |
Aumage et al. | New madeleine: A fast communication scheduling engine for high performance networks | |
CN1304957C (zh) | 基于移动存储的计算机系统磁盘同步写性能提高方法 | |
CN101075239A (zh) | 一种复合搜索方法和系统 | |
CN1949214A (zh) | 一种信息归并方法及系统 | |
CN1851671A (zh) | 一种节省全局变量内存空间的方法 | |
CN101059785A (zh) | 一种利用dma控制器实现二维数据搬运的方法 | |
CN1293493C (zh) | 机群文件服务系统及其输入输出处理方法 | |
CN1702659A (zh) | 基于知识产权的大型集成电路设计系统及设计方法 | |
CN1900903A (zh) | 使用图形系统以实现多用户计算机系统 | |
CN100340978C (zh) | 组件处理系统和组件处理方法 | |
CN1780254A (zh) | 网络处理器中使用缓冲区的方法 | |
CN1946035A (zh) | 一种网元数据配置管理的方法及网元 | |
CN1105966C (zh) | 生成图象的方法和装置 | |
CN1870566A (zh) | 一种交换系统中实现镜像的方法 | |
CN101059774A (zh) | 动态存储管理装置及方法 | |
CN1444133A (zh) | 信息处理装置及程序 | |
CN1297099C (zh) | 一种减小附加延时的实时流缓存去抖方法 | |
CN1859251A (zh) | 一种实现通信单元互连的方法 | |
CN1531283A (zh) | 具有有效分组管理单元的分组转发系统及其操作方法 | |
CN1293514C (zh) | 一种数字图像的缩放处理系统 | |
CN1900922A (zh) | 微电脑系统的直接内存存取作业方法 | |
CN101075943A (zh) | 一种基于内容的数据路由系统及其数据路由方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100818 Termination date: 20210628 |