CN101114932B - 实现远程抓包的方法和系统 - Google Patents
实现远程抓包的方法和系统 Download PDFInfo
- Publication number
- CN101114932B CN101114932B CN 200610103661 CN200610103661A CN101114932B CN 101114932 B CN101114932 B CN 101114932B CN 200610103661 CN200610103661 CN 200610103661 CN 200610103661 A CN200610103661 A CN 200610103661A CN 101114932 B CN101114932 B CN 101114932B
- Authority
- CN
- China
- Prior art keywords
- client
- server end
- packet capturing
- long
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种实现远程抓包的方法和系统,属于通讯技术领域。为了解决现有技术中不能远程抓包、对网络设备要求较高以及无法过滤抓取报文等问题,本发明提供了一种实现远程抓包的方法,包括建立远程抓包通道、采用握手报文机制使链路保活、抓包存储文件批量自动转存以及服务器端过滤抓取报文等步骤;本发明还提供了一种实现远程抓包的系统。采用本发明的技术方案,实现了网络设备的远程抓包、对抓取报文的有效过滤以及NAT穿越,而且还能满足用户长时间抓包的需求。
Description
技术领域
本发明涉及通讯技术领域,特别涉及一种实现远程抓包的方法和系统。
背景技术
随着IP(Internet Protocol,因特网协议)技术的普及,因特网已经进入千家万户。对于支撑因特网的设备按照地理区域一般可以划分为用户接入和IP承载等几个部分。用户接入部分通常由用户侧设备构成,包括用户的PC(Personal Computer,个人计算机)和NAT(Network Address Translation,网络地址转换)等,这些用户侧设备通常由用户进行管理、维护。对于IP承载以上等网络侧设备通常由运营商进行管理和维护。
在对因特网设备进行管理和维护时,不可避免地会存在对组网设备各个网元的处理报文进行抓包分析的需求。对用户侧设备,现有技术通常使用PC抓包软件如Sniffer等工具获取本机的报文信息;对运营商维护管理的设备,通常使用端口镜像功能获取该设备处理的报文信息,具体方案如下:通过设定镜像源端口与镜像目的端口,将网络设备的一个源端口或者多个源端口处理的数据复制到本设备的另一个端口即目的端口,然后将PC机连接到镜像的目的端口,使用PC抓包软件完成报文的抓取。
上述现有技术具有以下缺点:
1.不能远程抓包,需要到运营商机房搭建硬件环境,受地理区域和组网环境的影响,使用极其不方便;
2.对网络设备要求较高,需要网络设备支持端口镜像功能,并且有冗余的端口供镜像使用;
3.没有有效的报文过滤措施进行报文过滤,导致抓取报文数量庞大。
发明内容
为了解决现有技术中不能远程抓包、对网络设备要求较高以及无法过滤抓取报文等问题,本发明提供了一种实现远程抓包的方法,具体包括以下步骤:
步骤A:客户端与服务器端建立远程的连接,所述连接作为抓包通道;
步骤B:所述客户端抓取所述服务器端通过绑定访问控制列表,或分层,或分协议过滤的报文信息,并将抓取的报文信息存储在所述客户端,在抓包的过程中所述客户端会定时向所述服务器端发送一个握手报文,所述服务器端接收到所述握手报文后返回一个握手报文给所述客户端以保持抓包通道处于连接状态。
所述客户端与服务器端采用注册认证机制建立远程的连接。
在所述服务器端向客户端发送抓取的报文信息之前还包括所述服务器端对抓取的报文信息进行加密的步骤,相应地所述客户端在收到所述报文信息后还包括对所述报文信息进行解密的步骤。
在抓包的过程中还包括当所述服务器端检测到有错误产生时主动发消息给所述客户端的步骤。
在所述客户端与服务器端互相发送握手报文的过程中还包括以下步骤:
如果所述客户端向服务器端连续发送握手报文的数目超过规定的阈值时或在规定的时间内还没有收到所述服务器端返回的握手报文,则所述客户端主动关闭远程抓包连接;
如果所述服务器端在规定的时间内没有收到所述客户端发送的握手报文,则所述服务器端主动关闭远程抓包连接。
当所述客户端将抓取的报文信息以文件的形式存储时,所述方法还包括以下步骤:
当存储有抓取的报文信息的文件大小超出设定阈值时,所述客户端自动生成新文件并将后续抓取的报文信息存储在所述新文件中。
本发明还提供了一种实现远程抓包的系统,包括客户端和服务器端,
所述客户端包括:
(1)通讯模块,用于向所述服务器端发送注册认证信息以建立与所述服务器端之间的远程连接;
(2)抓包存储模块,用于向所述服务器端发送抓包请求并抓取所述服务器端通过绑定访问控制列表,或分层,或分协议过滤的报文信息以及将抓取到的报文信息存储在所述客户端;
(3)保活模块,用于定时向所述服务器端发送握手报文以保持远程连接不中断;
所述服务器端包括:
(1)通讯模块,用于接收所述客户端的通讯模块发来的注册认证信息并返回注册应答信息给所述客户端的通讯模块以建立与所述客户端之间的远程连接;
(2)抓包模块,用于根据所述客户端的抓包存储模块发来的远程抓包请求发送报文信息给所述客户端的抓包存储模块;
(3)保活模块,用于在接收到所述客户端的保活模块发来的握手报文后返回一个握手报文给所述客户端的保活模块以保持远程连接不中断;
所述服务器端还包括过滤模块,用于对需抓取的报文信息进行过滤并将过滤的结果发送给所述抓包模块。
所述服务器端的抓包模块还包括用于对抓取的报文信息进行加密的加密子模块,所述客户端的抓包存储模块还包括用于对抓取的报文信息进行解密的解密子模块。
所述服务器端还包括告警模块,用于当所述服务器端检测到有错误产生时主动发消息给所述客户端的抓包存储模块。
本发明的有益效果是:
1.只要客户端与抓取设备IP可达,便可以轻松地抓取网络设备侧报文,实现远程抓包,不再受限于设备所处的地理位置;
2.通过HELLO报文(握手报文)的交互机制确保了在中间网络存在NAT组网时的NAT表项不被老化,从而实现NAT穿越;而且不论是服务器端在私网,还是客户端在私网,均可以成功穿越NAT;
3.可以在服务器端设置抓包规则对需抓取的报文信息进行过滤,另外还可以在服务器端绑定ACL(Access Control List,访问控制列表)对需抓取的报文信息进行过滤,从而避免了服务器端向客户端发送无效的报文;
4.客户端通过对抓包存储文件的批量自动转存可实现用户长时间抓包的需求;
5.服务器端通过对抓取的报文进行加密保护,可以确保数据不被窃听,实现网络安全。
附图说明
图1是本发明网络拓扑结构示意图;
图2是本发明实现远程抓包的方法流程图;
图3是本发明客户端向服务器端注册的过程示意图;
图4是本发明实现远程抓包的系统示意图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明,但不作为对本发明的限定。
本发明中的网络设备是指支持TCP/IP协议的网络设备。
参见图1,为使用客户端、服务器的模式实现本发明的网络拓扑结构示意图。客户端的 设备有TE(Terminal Element,终端元素)和NAT(Network Address Translation,网络地址转换),服务器端的设备有NE(Network Element,网络元素)和SE(Service Element,服务元素),为了在用户PC侧(远程抓包侧)实现远程抓包客户端功能,在网络设备侧(被抓取报文网元侧)实现服务器端功能,本发明提供了一种实现远程抓包的方法,参见图2,具体包括以下步骤:
步骤101:客户端与服务器端建立远程连接;
为确保安全可靠,采用了注册认证机制,参见图3,建立远程连接的过程具体为:
客户端先向服务器端申请一个随机数,服务器端应答一个随机数;然后客户端采用加密算法运算该随机数生成注册密码,并使用此密码向服务器端申请认证;服务器端校验密码后返回一个注册应答;校验成功后即建立了抓包的通道,只有在客户端成功注册后才可以继续进行后续的抓包相关操作;
为了避免服务器端向客户端发送无效报文以及抓取报文数量庞大,还采取以下过滤报文的步骤:
步骤102:将现有的抓包规则设置在服务器端,从而对报文进行分层(如分MAC层、IP层、应用层等)抓取或分协议抓取,而且还可以在服务器端绑定ACL,通过分层抓取、分协议抓取以及绑定ACL实现了报文的有效过滤;
步骤103:客户端运行抓包软件抓取服务器端的报文信息,并将抓取的报文信息以文件的形式存储在客户端;抓包软件一般都提供了友好的客户端界面供用户进行抓包操作,并且会将抓取的报文信息存储为便于用户进行查阅和分析的文件格式,如Ethereal开放格式的文件;
在抓包的过程中可以执行抓包暂停的操作,即暂停抓包并保留当前的抓包存储文件,待恢复抓包操作时将后续抓取的报文信息追加到所述抓包存储文件中直至抓包停止;
客户端发给服务器端的操作命令:抓包开始、抓包暂停和抓包停止,服务器端均无需应答,另外根据用户需求服务器端还可以对抓取的报文信息进行加密保护,再发回客户端,以确保网络的安全性;
另外为满足客户端长时间抓包的需求,客户端还提供抓包存储文件自动批量转存的功能,用户可以设定抓包存储文件大小的阈值,当抓包数据超出此阈值后,客户端按照既定的文件命名规范自动建立新文件,从而避免了客户端出现超大文件;
在抓包的过程中还存在保持客户端和服务器端之间的链路连接的步骤,即保活的步骤:
步骤104:由客户端定时向服务器端发出链路保活请求,即发送HELLO报文(握手报文) 给服务器端,服务器端接收到此报文后需要应答此报文,也回送一个HELLO报文,以保持客户端和服务器端之间的链路处于连接状态;如果连续几个HELLO报文(如3个HELLO报文)无应答或超过规定的时间(如30秒)无应答,客户端就主动关闭远程抓包连接,如果服务器端在规定的时间内(如30秒)没有收到客户端发送的握手报文,则服务器端主动关闭远程抓包连接,从而避免了半连接状态;
由于HELLO交互报文的存在,确保了在中间网络存在NAT组网时的NAT表项不被老化,从而实现NAT穿越;而且因为HELLO报文是双方向的,所以不论是服务器端在私网,还是客户端在私网,均可以成功穿越NAT;
步骤105:抓包停止,可以由客户端主动停止,也可以由服务器端主动停止;抓包停止后若进行再次抓包时没有指定生成新的文件,则继续使用原有的文件,即首先清除原有文件中的记录信息,然后重新开始记录信息。
在抓包的过程中还引入了TRAP(告警)机制,即在服务器端检测到有错误产生时,主动发消息给客户端,如服务器端接收到错误格式的报文后会主动发消息给客户端要求重新发送一遍,或者服务器端检测到服务器端的资源紧张时主动发消息给客户端要求暂停抓包等等。
参见图4,本发明还提供了一种实现远程抓包的系统,包括客户端和服务器端,
客户端包括以下三个模块:
(1)通讯模块,用于向服务器端发送注册认证信息以建立与服务器端之间的远程连接;
(2)抓包存储模块,用于向服务器端发送抓包请求并从服务器端抓取报文信息以及将抓取到的报文信息存储在客户端;
(3)保活模块,用于定时向服务器端发送握手报文以保持远程连接不中断;
服务器端包括:
(1)通讯模块,用于接收客户端的通讯模块发来的注册认证信息并返回注册应答信息给客户端的通讯模块以建立与客户端之间的远程连接;
(2)抓包模块,用于根据客户端的抓包存储模块发来的远程抓包请求发送报文信息给客户端的抓包存储模块;
(3)保活模块,用于在接收到客户端的保活模块发来的握手报文后返回一个握手报文给客户端的保活模块以保持远程连接不中断。
服务器端还包括过滤模块,用于对需抓取的报文信息进行过滤并将过滤的结果发送给抓包模块。
服务器端的抓包模块还包括用于对抓取的报文信息进行加密的加密子模块,客户端的抓 包存储模块还包括用于对抓取的报文信息进行解密的解密子模块。
服务器端还包括告警模块,用于当服务器端检测到有错误产生时主动发消息给客户端的抓包存储模块。
客户端的通讯模块输出申请随机数的请求消息给服务器端的通讯模块,服务器端的通讯模块根据该请求消息输出应答的随机数给客户端的通讯模块,客户端的通讯模块根据接收到的随机数输出注册密码给服务器端的通讯模块以申请认证,服务器端的通讯模块在接收到注册密码后输出注册应答给客户端的通讯模块以建立客户端和服务器端的远程连接;
客户端的抓包存储模块输出抓包请求给服务器端的抓包模块,服务器端的抓包模块根据该请求输出报文信息给客户端的抓包存储模块,客户端的抓包存储模块接收该报文信息后在客户端存储该报文信息;
客户端的保活模块定时输出一个握手报文给服务器端的保护模块,服务器端的保活模块根据接收到的握手报文输出一个握手报文给客户端的保活模块以保持远程连接不中断。
为了避免服务器端向客户端发送无效报文以及抓取报文数量庞大,服务器端还可以包括过滤模块,用于对需抓取的报文信息进行过滤并将过滤的结果发送给抓包模块。
服务器端的抓包模块还可以包括用于对抓取的报文信息进行加密的加密子模块,相应地客户端的抓包存储模块还可以包括用于对抓取的报文信息进行解密的解密子模块。
服务器端还包括告警模块,用于当服务器端检测到有错误产生时主动发消息给客户端的抓包存储模块。
以上所述的实施例,只是本发明较优选的具体实施方式的一种,本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。
Claims (9)
1.一种实现远程抓包的方法,其特征在于,所述方法包括以下步骤:
步骤A:客户端与服务器端建立远程的连接,所述连接作为抓包通道;
步骤B:所述客户端抓取所述服务器端通过绑定访问控制列表,或分层,或分协议过滤的报文信息,并将抓取的报文信息存储在所述客户端,在抓包的过程中所述客户端会定时向所述服务器端发送一个握手报文,所述服务器端接收到所述握手报文后返回一个握手报文给所述客户端以保持抓包通道处于连接状态。
2.根据权利要求1所述的实现远程抓包的方法,其特征在于,所述客户端与服务器端采用注册认证机制建立远程的连接。
3.根据权利要求1所述的实现远程抓包的方法,其特征在于,在所述服务器端向客户端发送抓取的报文信息之前还包括所述服务器端对抓取的报文信息进行加密的步骤,相应地所述客户端在收到所述报文信息后还包括对所述报文信息进行解密的步骤。
4.根据权利要求1所述的实现远程抓包的方法,其特征在于,在抓包的过程中还包括当所述服务器端检测到有错误产生时主动发消息给所述客户端的步骤。
5.根据权利要求1所述的实现远程抓包的方法,其特征在于,在所述客户端与服务器端互相发送握手报文的过程中还包括以下步骤;
如果所述客户端向服务器端连续发送握手报文的数目超过规定的阈值时或在规定的时间内还没有收到所述服务器端返回的握手报文,则所述客户端主动关闭远程抓包连接;
如果所述服务器端在规定的时间内没有收到所述客户端发送的握手报文,则所述服务器端主动关闭远程抓包连接。
6.根据权利要求1至5中任一权利要求所述的实现远程抓包的方法,其特征在于,当所述客户端将抓取的报文信息以文件的形式存储时,所述方法还包括以下步骤:
当存储有抓取的报文信息的文件大小超出设定阈值时,所述客户端自动生成新文件并将后续抓取的报文信息存储在所述新文件中。
7.一种实现远程抓包的系统,包括客户端和服务器端,其特征在于,
所述客户端包括:
(1)通讯模块,用于向所述服务器端发送注册认证信息以建立与所述服务器端之间的远程连接;
(2)抓包存储模块,用于向所述服务器端发送抓包请求并抓取所述服务器端通过绑定访问控制列表,或分层,或分协议过滤的报文信息以及将抓取到的报文信息存储在所述客户端;
(3)保活模块,用于定时向所述服务器端发送握手报文以保持远程连接不中断;
所述服务器端包括:
(1)通讯模块,用于接收所述客户端的通讯模块发来的注册认证信息并返回注册应答信息给所述客户端的通讯模块以建立与所述客户端之间的远程连接;
(2)抓包模块,用于根据所述客户端的抓包存储模块发来的远程抓包请求发送报文信息给所述客户端的抓包存储模块;
(3)保活模块,用于在接收到所述客户端的保活模块发来的握手报文后返回一个握手报文给所述客户端的保活模块以保持远程连接不中断;
所述服务器端还包括过滤模块,用于对需抓取的报文信息进行过滤并将过滤的结果发送给所述抓包模块。
8.根据权利要求7所述的实现远程抓包的系统,其特征在于,所述服务器端的抓包模块还包括用于对抓取的报文信息进行加密的加密子模块,所述客户端的抓包存储模块还包括用于对抓取的报文信息进行解密的解密子模块。
9.根据权利要求7至8任一权利要求所述的实现远程抓包的系统,其特征在于,所述服务器端还包括告警模块,用于当所述服务器端检测到有错误产生时主动发消息给所述客户端的抓包存储模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610103661 CN101114932B (zh) | 2006-07-27 | 2006-07-27 | 实现远程抓包的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610103661 CN101114932B (zh) | 2006-07-27 | 2006-07-27 | 实现远程抓包的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101114932A CN101114932A (zh) | 2008-01-30 |
| CN101114932B true CN101114932B (zh) | 2012-09-19 |
Family
ID=39023069
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200610103661 Expired - Fee Related CN101114932B (zh) | 2006-07-27 | 2006-07-27 | 实现远程抓包的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101114932B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103840953B (zh) | 2012-11-21 | 2017-10-31 | 中兴通讯股份有限公司 | 远程日志实时获取方法及系统 |
| CN103856966B (zh) | 2012-11-28 | 2017-06-09 | 华为技术有限公司 | 远程无线网络故障的定位方法和装置 |
| CN103401863B (zh) * | 2013-07-30 | 2016-12-28 | 北京奇虎科技有限公司 | 一种基于云安全的网络数据流分析方法和装置 |
| CN105608202B (zh) * | 2015-12-25 | 2019-10-15 | 北京奇虎科技有限公司 | 数据包分析方法及装置 |
| CN105978885A (zh) * | 2016-05-30 | 2016-09-28 | 刘华英 | 网络安全监控方法和装置 |
| CN107948010A (zh) * | 2017-11-09 | 2018-04-20 | 郑州云海信息技术有限公司 | 一种网络抓包实现方法、系统及网络设备 |
| CN110113771B (zh) * | 2019-03-22 | 2022-06-17 | 深圳市飞比电子科技有限公司 | 数据处理方法、装置、网关设备及存储介质 |
| CN112311729A (zh) * | 2019-07-29 | 2021-02-02 | 南京南瑞继保工程技术有限公司 | 一种在线抓包方法及系统 |
| CN111064575B (zh) * | 2019-11-12 | 2023-05-02 | 卡斯柯信号(郑州)有限公司 | 应用在国产密码加密的信号系统中解析网络捕包的方法 |
| CN112688916A (zh) * | 2020-12-10 | 2021-04-20 | 展讯半导体(成都)有限公司 | 远程自动化抓包的实现方法、装置及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1349336A (zh) * | 2000-10-18 | 2002-05-15 | 日本电气株式会社 | 目标过滤方法和使用该方法的客户装置 |
| CN1414740A (zh) * | 2002-03-28 | 2003-04-30 | 华为技术有限公司 | 一种局域网交换设备的集中管理方法 |
| CN1705266A (zh) * | 2004-05-29 | 2005-12-07 | 华为技术有限公司 | 远程获取特定报文的方法及其应用及其系统 |
| WO2006027716A1 (en) * | 2004-09-07 | 2006-03-16 | Koninklijke Philips Electronics N.V. | Pinging for the presence of a server in a peer to peer monitoring system |
-
2006
- 2006-07-27 CN CN 200610103661 patent/CN101114932B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1349336A (zh) * | 2000-10-18 | 2002-05-15 | 日本电气株式会社 | 目标过滤方法和使用该方法的客户装置 |
| CN1414740A (zh) * | 2002-03-28 | 2003-04-30 | 华为技术有限公司 | 一种局域网交换设备的集中管理方法 |
| CN1705266A (zh) * | 2004-05-29 | 2005-12-07 | 华为技术有限公司 | 远程获取特定报文的方法及其应用及其系统 |
| WO2006027716A1 (en) * | 2004-09-07 | 2006-03-16 | Koninklijke Philips Electronics N.V. | Pinging for the presence of a server in a peer to peer monitoring system |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101114932A (zh) | 2008-01-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101114932B (zh) | 实现远程抓包的方法和系统 | |
| CN110996318B (zh) | 一种变电站智能巡检机器人安全通信接入系统 | |
| US11165604B2 (en) | Method and system used by terminal to connect to virtual private network, and related device | |
| Yan et al. | Software-defined networking (SDN) and distributed denial of service (DDoS) attacks in cloud computing environments: A survey, some research issues, and challenges | |
| CN107347047B (zh) | 攻击防护方法和装置 | |
| CN101399838B (zh) | 报文处理方法、装置和系统 | |
| Kelbert et al. | Data usage control enforcement in distributed systems | |
| US20120204264A1 (en) | Method, apparatus and system for detecting botnet | |
| US20210160217A1 (en) | Secure Controlled Access To Protected Resources | |
| CN104426837B (zh) | Ftp的应用层报文过滤方法及装置 | |
| CN101820383B (zh) | 限制交换机远程访问的方法及装置 | |
| CN104734903B (zh) | 基于动态跟踪技术的opc协议的安全防护方法 | |
| WO2009082889A1 (fr) | Procédé de négociation pour échange de clés internet et dispositif et système associés | |
| CN101098227A (zh) | 一种宽带接入设备的用户安全防护方法 | |
| CN105262738A (zh) | 一种路由器及其防arp攻击的方法 | |
| CN103684922A (zh) | 基于sdn网络的出口信息保密检查检测平台系统及检测方法 | |
| CN102255920A (zh) | 一种vpn配置信息的发送方法和设备 | |
| CN104065731A (zh) | 一种ftp文件传输系统及传输方法 | |
| CA2506418C (en) | Systems and apparatuses using identification data in network communication | |
| Kirichek et al. | False clouds for Internet of Things and methods of protection | |
| CN108881127A (zh) | 一种控制远程访问权限的方法及系统 | |
| CN105743868B (zh) | 一种支持加密和非加密协议的数据采集系统与方法 | |
| CN109600395A (zh) | 一种终端网络接入控制系统的装置及实现方法 | |
| US20160205135A1 (en) | Method and system to actively defend network infrastructure | |
| CN103001931A (zh) | 不同网络间终端互联的通信系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120919 Termination date: 20160727 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |