CN102223266B - 一种协议代理检测方法和装置 - Google Patents
一种协议代理检测方法和装置 Download PDFInfo
- Publication number
- CN102223266B CN102223266B CN 201110163203 CN201110163203A CN102223266B CN 102223266 B CN102223266 B CN 102223266B CN 201110163203 CN201110163203 CN 201110163203 CN 201110163203 A CN201110163203 A CN 201110163203A CN 102223266 B CN102223266 B CN 102223266B
- Authority
- CN
- China
- Prior art keywords
- message
- tcp
- information
- replying
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 26
- 238000001514 detection method Methods 0.000 claims abstract description 32
- 238000012360 testing method Methods 0.000 claims description 66
- 230000000977 initiatory effect Effects 0.000 claims description 15
- 238000004321 preservation Methods 0.000 claims description 14
- 238000000605 extraction Methods 0.000 claims description 7
- 230000005540 biological transmission Effects 0.000 abstract description 9
- 230000000694 effects Effects 0.000 abstract description 6
- 239000003795 chemical substances by application Substances 0.000 description 39
- 238000001914 filtration Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 7
- 238000004364 calculation method Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000012797 qualification Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- RTZKZFJDLAIYFH-UHFFFAOYSA-N Diethyl ether Chemical compound CCOCC RTZKZFJDLAIYFH-UHFFFAOYSA-N 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 240000000233 Melia azedarach Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000003607 modifier Substances 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000002195 synergetic effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 230000007306 turnover Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种协议代理检测方法和装置,其中,该方法包括:在TCP连接建立时,接收应答握手信息的报文;根据应答握手信息的报文判断TCP连接是检测端发起的还是客户端发起的;若应答握手信息的报文是客户端发起的,则接收客户端发送的请求信息;判断请求信息是否是代理请求信息;如果请求信息是代理请求信息,则保存客户端请求访问的目的服务器信息;判断检测端是否与保存的请求访问的目的服务器建立连接;若检测端与保存的请求访问的目的服务器建立连接,则检测出采用了协议代理。本发明解决了对是否采用了代理协议检测效率低,且会漏报误报的问题,进而达到了检测是否采用协议代理效率高,检测结果准确的效果。
Description
技术领域
本发明涉及通信领域,特别是一种协议代理检测方法和装置。
背景技术
IP(Internet Protocol,网络之间互连的协议)地址:IP地址是TCP/IP(TransmissionControl Protocol/Internet Protocol,传输控制协议/因特网互联协议)通讯协议中标记每台计算机的地址,在TCP/IP协议中,每台连网计算机都依靠IP地址来标识自己并用该IP地址进行交换信息。
TCP(Transmission Control Protocol,传输控制协议)传输协议:TCP是TCP/IP体系中面向连接的运输层协议,它提供全双工和可靠的交付的服务。一条TCP连接的四元素唯一标识为:源IP、目的IP、源端口和目的端口。
协议代理:协议代理指的是如HTTP(HyperText Transfer Protoco l,超文本传输协议)、SOCKS(Protocol for sessions traversal across firewall securely,防火墙安全会话转换协议)4、SOCKS4A、SOCKS5等代理。
(1)HTTP代理:HTTP代理指的是客户端与服务器端建立连接后(TCP连接),以请求方法、URI(Uniform Resource Identifier,通用资源标志符)、协议版本等方式向服务器端发出请求,该请求包含请求修饰符、客户信息、及可能的请求体(body)内容的MIME(MultipurposeInternet Mail Extensions,多功能Internet邮件扩充)类型消息。服务器端通过状态队列(status line)来回应,内容包括消息的协议版本、成功或错误代码,也包含服务器信息、实体元信息及实体内容的MIME类型消息。
HTTP代理发送的请求行中的Request-URI为绝对统一资源标识符(如GEThttp://www.baidu.com/HTTP/1.0),而正常的http请求行中的Request-URI为相对统一资源标识符(如:GET/HTTP/1.0)。代理服务器以绝对形式接收URI请求,重写全部或部分消息,并将经过改写的请求继续向URI中指定的服务器处推送。
(2)SOCKS SOCKS4A SOCKS5代理:图1出示了客户端向SOCKS 4代理服务器发送的连接请求包的格式(以字节为单位):
其中:VN是SOCK版本,应该是4;
CD是SOCK的命令码,1表示CONNECT请求,2表示BIND请求;
DSTPORT表示目的主机的端口;
DSTIP指目的主机的IP地址;
NULL是0;
图2出示了代理服务器给客户端发送的回应包的格式(以字节为单位):
其中:VN是回应码的版本,应该是0;
CD是代理服务器答复,有几种可能:
90,请求得到允许;
91,请求被拒绝或失败;
92,由于SOCKS服务器无法连接到客户端的identd(一个验证身份的进程),请求被拒绝;
93,由于客户端程序与identd报告的用户身份不同,连接被拒绝。
DSTPORT与DSTIP与请求包中的内容相同,但被忽略。
如果请求被拒绝,SOCKS服务器马上与客户端断开连接;如果请求被允许,代理服务器就充当客户端与目的主机之间进行双向传递,对客户端而言,就如同直接在与目的主机相连。SOCKS 4A是SOCKS 4协议的简单扩展,允许客户端对无法解析的目的主机,进行自行规定,即支持目的为域名地址的代理。而SOCKS5又做了更进一步的扩展,当TCP连接建立后,客户端和服务器首先要进入协商版本和认证方法的过程,之后才能发送代理请求。
数据包过滤监听技术:
个操作系统有一套的网络体系结构,通过该体系结构可以控制着整个系统的网络行为。如windows操作系统Window NT SP4之后的版本,提供了NDIS(Network Driver InterfaceSpecification,网络驱动接口规范)中间层驱动。中间层驱动介于协议层驱动和小端口驱动之间,它能够截获所有的网络数据包(如果是以太网那就是以太帧)。
图3出示了简单操作系统网络体系示意图:
图3出示的操作系统网络体系架构,是对操作系统所有参与网络处理的组件以及这些组件协同工作的统称,这里并不单指网络驱动程序,也包含参与网络行为的应用层组件程序。在这些网络组件中,可以对本机发送和接收的数据,按照协议类型进行监听获取。还可以通过设置过滤筛子只获取本机发送和接收的TCP数据包,对于其它不关心的报文则忽略。可以用如下防火墙常用的典型技术进行监听获取(具体的开发技术请参考微软提供的相关开发文档):
Winsock Layered Service Provider(LSP),微软提供的在用户态下进行数据包监听获取的技术。
TDI过滤驱动程序(TDI Filter Driver),TDI的全称是Transport Driver Interface,TDI是一组接口的名字,Windows的上层网络组件调用这些接口来使用协议驱动。
NDIS中间层驱动程序(NDIS Intermediate Driver),系统中所有的网络通信都经过NDIS中间层驱动程序,因此它可以用于网络数据包的监听。
不管是HTTP还是SOCKS代理,在这一过程中,主要有3个角色:代理客户端,代理服务器,代理客户端想要访问的服务器。代理客户端A通过代理服务器访问远程服务器A。
图4是代理行为的流程图,包括如下步骤:
S402,代理客户端和代理服务器通过TCP三次握手建立起TCP连接;
S404,代理客户端把想要访问的目的地址和目的端口通过刚才建立的TCP连接按相应的代理协议格式发送到代理服务器;
S406,代理服务器按相应协议解析出目的地址和目的端口,按要求去连接该目的地址上的端口;
S408,代理服务器为代理客户端和代理客户端访问的服务器两者之间提供数据透传。
而目前的对协议代理的检测主要有以下几种解决方法:
1、端口扫描法
通过扫描PC上开启了哪些端口,来判断是否开启了代理。但代理服务器可以修改端口号而避开这种检测。
2、代理软件扫描法
扫描PC机上是否运行了指定的代理软件,从而判断是否提供了代理服务。代理服务器软件多样,当出现新的代理服务器软件时检测将失效。
3、报文特征分析法
比较进出以及出进的报文的数据特征是否匹配来判断,当匹配时则判断为存在代理行为。多个数据报文间需要进行两两比较,假设如果有n个数据报文,那么比较的次数为
(n>=2),当n选取的太小时,可通会漏报,当n选取的太大时,效率太低。并且可通还会出现误报的情况。只要出现进出的报文或者出进的报文数据特征匹配就会被判断为存在代理行为。例如:假设学生A开发了一款聊天客户端和服务器软件,A在自己的PC上运行服务器软件,学生B、C分别在另外两台PC上运行聊天客户端软件,B和C的所有聊天信息都通过A的PC上的服务器软件进行转发,那么该检测方法必会检测到A的PC上存在代理行为,而实际上B、C并不能通过A上外网。
发明内容
本发明的主要目的在于提供一种协议代理检测方法和装置,以解决现有技术中对是否采用了代理协议检测效率低,且会漏报误报的问题。
根据本发明的一个方面,提供了一种协议代理检测方法,该方法包括:在TCP连接建立时,接收应答握手信息的报文;根据应答握手信息的报文判断TCP连接是检测端发起的还是客户端发起的;若应答握手信息的报文是客户端发起的,则接收客户端发送的请求信息;判断请求信息是否是代理请求信息;如果请求信息是代理请求信息,则保存客户端请求访问的目的服务器信息;判断检测端是否与保存的请求访问的目的服务器建立连接;若检测端与保存的请求访问的目的服务器建立连接,则检测出采用了协议代理。
根据应答握手信息的报文判断TCP连接是检测端发起的还是客户端发起的步骤包括:判断接收到的应答握手信息的报文的目的地址是否与检测端的地址相符;如果相符,则判断出TCP连接是检测端发起的;如果不相符,则判断出TCP连接是客户端发起的。
协议代理检测方法还包括:在TCP连接建立时,接收TCP报文;判断TCP报文是否为应答握手信息的报文;若TCP报文不是应答握手信息的报文,则判断TCP报文是否是结束报文,若TCP报文是应答握手信息的报文,则根据应答握手信息的报文判断TCP连接是检测端发起的还是客户端发起的;若TCP报文不是结束报文,则判断TCP报文是否满足代理协议特征;若TCP报文满足代理协议特征,则保存TCP报文请求访问的目的服务器信息。
判断TCP报文是否为应答握手信息的报文的步骤包括:判断TCP报文是否为应答握手信息的报文;若判断出TCP报文是应答握手信息的报文,则根据TCP报文的连接四元素生成与TCP报文对应的表项,插入到TCP过滤表中,并接收TCP报文;若判断出TCP报文不是应答握手信息的报文,则以TCP报文的TCP连接四元素为索引在TCP过滤表中查找是否有与报文对应的表项,并在查找成功时,接收TCP报文。
判断请求信息是否是代理请求信息的步骤还包括:
若TCP连接是客户端发起的,则提取应答握手信息的报文的TCP连接四元素插入到代理客户端请求连接表中,判断接收到的请求信息是否满足代理协议特征,并在请求信息满足代理协议特征时,保存请求信息的报文请求访问的目的服务器信息到代理客户端请求连接表中;
若TCP连接是检测端发起的,则提取客户端的地址和端口在代理客户端请求连接表中查找,并在查找成功时,检测出采用了协议代理。
目的服务器信息包括:目的服务器的目的地址和目的端口。
判断检测端是否与保存的请求访问的目的服务器建立连接的步骤包括:判断接收到的应答握手信息的报文的源地址与源端口是否分别与客户端请求访问的目的服务器的目的地址和目的端口相符;如果相符,则判断出检测端与保存的请求访问的目的服务器建立连接。
根据本发明的另一方面,提供了一种协议代理检测装置,该装置包括:第一接收单元,用于在TCP连接建立时,接收应答握手信息的报文;第一检测单元,用于根据应答握手信息的报文判断TCP连接是检测端发起的还是客户端发起的;第二接收单元,用于在应答握手信息的报文是客户端发起时,接收客户端发送的请求信息;第一判断单元,用于判断请求信息是否是代理请求信息;第一保存单元,用于在请求信息是代理请求信息时,保存客户端请求访问的目的服务器信息;第二判断单元,用于判断检测端是否与保存的请求访问的目的服务器建立连接;第二检测单元,用于在检测端与保存的请求访问的目的服务器建立连接时,检测出采用了协议代理。
第一检测单元具体用于判断接收到的应答握手信息的报文的目的地址是否与检测端的地址相符;如果相符,判断出TCP连接是检测端发起的;如果不相符,判断出TCP连接是客户端发起的。
协议代理检测装置还包括:第三接收单元,用于在TCP连接建立时,接收TCP报文;第三判断单元,用于判断TCP报文是否为应答握手信息的报文;第四判断单元,用于在TCP报文不是应答握手信息的报文时,判断TCP报文是否是结束报文;第五判断单元,用于在TCP报文不是结束报文时,判断TCP报文是否满足代理协议特征;第二保存单元,用于在TCP报文满足代理协议特征时,保存TCP报文请求访问的目的服务器信息。
第三判断单元包括:判断模块,用于判断TCP报文是否为应答握手信息的报文;生成模块,用于在判断出TCP报文是应答握手信息的报文时,根据TCP报文的连接四元素生成与TCP报文对应的表项,插入到TCP过滤表中,并接收TCP报文;第一查找模块,用于在判断出TCP报文不是应答握手信息的报文时,以TCP报文的TCP连接四元素为索引在TCP过滤表中查找是否有与报文对应的表项,并在查找成功时,接收TCP报文。
第一判断单元包括:提取模块,用于在TCP连接是客户端发起的时,提取应答握手信息的报文的TCP连接四元素插入到代理客户端请求连接表中,判断接收到的请求信息是否满足代理协议特征,并在请求信息满足代理协议特征时,保存请求信息的报文请求访问的目的服务器信息到代理客户端请求连接表中;第二查找模块,用于在TCP连接是检测端发起的时,提取客户端的地址和端口在代理客户端请求连接表中查找,并在查找成功时,检测出采用了协议代理。
目的服务器信息包括:目的服务器的目的地址和目的端口。
第二判断单元具体用于判断接收到的应答握手信息的报文的源地址与源端口是否分别与客户端请求访问的目的服务器的目的地址和目的端口相符;如果相符,判断出检测端与保存的请求访问的目的服务器建立连接。
通过本发明,采用在应答握手信息的报文时判断出TCP连接是谁发起的,并且根据发起端判断是否采用了代理来进行代理协议的检测,解决了对是否采用了代理协议检测效率低,且会漏报误报的问题,进而达到了检测是否采用协议代理效率高,检测结果准确的效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据相关技术的客户端向SOCKS 4代理服务器发送的连接请求包的格式示意图;
图2是根据相关技术的代理服务器给客户端发送的回应包的格式示意图;
图3是根据相关技术的简单操作系统网络体系示意图;
图4是根据相关技术的代理行为的流程图;
图5是根据本发明实施例的协议代理检测装置的一种优选结构框图;
图6是根据本发明实施例的协议代理检测装置的另一种结构框图;
图7是根据本发明实施例的协议代理检测方法的一种优选流程图;
图8是根据本发明实施例的协议代理检测方法的另一种流程图。
图9是根据本发明实施例的协议代理检测方法的又一种示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
实施例1
图5出示了的一种协议代理检测装置的优选结构框图,参见图5,该装置包括:依次连接的第一接收单元501、第一检测单元502、第二接收单元503、第一判断单元504、第一保存单元505、第二判断单元506以及第二检测单元507,其中:
第一接收单元501在TCP连接建立时,接收应答握手信息的报文;
第一检测单元502根据应答握手信息的报文判断TCP连接是检测端发起的还是客户端发起的;
第二接收单元503在应答握手信息的报文是客户端发起时,接收客户端发送的请求信息;
第一判断单元504判断请求信息是否是代理请求信息;
第一保存单元505在请求信息是代理请求信息时,保存客户端请求访问的目的服务器信息;
第二判断单元506判断检测端是否与保存的请求访问的目的服务器建立连接;
第二检测单元507在检测端与保存的请求访问的目的服务器建立连接时,检测出采用了协议代理。
其中,应答握手信息的报文指的是三次握手报文中的第2个报文,即参见图4中的syn_ack报文。
上述的目的服务器信息包括:目的服务器的目的地址和目的端口。
其中,第一检测单元502具体判断接收到的应答握手信息的报文的目的地址是否与检测端的地址相符;如果相符,判断出TCP连接是检测端发起的;如果不相符,判断出TCP连接是客户端发起的。
第二判断单元506具体用于判断接收到的应答握手信息的报文的源地址与源端口是否分别与客户端请求访问的目的服务器的目的地址和目的端口相符;如果相符,判断出检测端与保存的请求访问的目的服务器建立连接。
在本优选实施例中,采用在应答握手信息的报文时判断出TCP连接是谁发起的,并且根据发起端判断是否采用了代理来进行代理协议的检测,解决了对是否采用了代理协议检测效率低,且会漏报误报的问题,进而达到了检测是否采用协议代理效率高,检测结果准确的效果。
基于图5,图6出示了协议代理检测装置的另一种结构框图,该装置还包括:连接第三接收单元508的第三判断单元509,第三判断单元509连接第一接收单元501和第四判断单元510,第四判断单元510依次连接第五判断单元511和第二保存单元512、第二保存单元512还连接第二判断单元506,其中:
第三接收单元508在TCP连接建立时,接收TCP报文;
第三判断单元509判断TCP报文是否为应答握手信息的报文;
第四判断单元510在TCP报文不是应答握手信息的报文时,判断TCP报文是否是结束报文;
第五判断单元511在TCP报文不是结束报文时,判断TCP报文是否满足代理协议特征;
第二保存单元512在TCP报文满足代理协议特征时,保存TCP报文请求访问的目的服务器信息。
在本优选实施例中,进一步判断不是应答握手信息的报文,且不是结束报文的TCP报文是否满足代理协议,如果满足代理协议,同样可以检测出采用了协议代理,从而进一步防止漏报和误报,使检测结果更加准确。
同时,第三判断单元509可以包括:判断模块5091、连接判断模块5091的生成模块5092和第一查询模块5093,生成模块5092和第一查询模块5093分别连接第一接收单元501,连接第四判断单元510其中:
判断模块5091判断TCP报文是否为应答握手信息的报文;
生成模块5092在判断出TCP报文是应答握手信息的报文时,根据TCP报文的连接四元素生成与TCP报文对应的表项,插入到TCP过滤表中,并接收TCP报文;
第一查找模块5093在判断出TCP报文不是应答握手信息的报文时,以TCP报文的TCP连接四元素为索引在TCP过滤表中查找是否有与报文对应的表项,并在查找成功时,接收TCP报文。
在本优选实施例中,在收到TCP报文之前,对TCP报文进行初步判断,从而在对需要判断的报文进行判断之前就对不必要处理的报文进行了过滤,节省了从不必要的报文发送和判断。
第一判断单元504包括:连接第二接收单元503的提取模块5041和第二查询模块5042,提取模块5041还连接第一保存单元505。
提取模块5021在TCP连接是客户端发起的时,提取应答握手信息的报文的TCP连接四元素插入到代理客户端请求连接表中,判断接收到的请求信息是否满足代理协议特征,并在请求信息满足代理协议特征时,告知第一保存单元505保存请求信息的报文请求访问的目的服务器信息到代理客户端请求连接表中;
第二查找模块5022在TCP连接是检测端发起的时,提取客户端的地址和端口在代理客户端请求连接表中查找,并在查找成功时,检测出采用了协议代理。
在本优选实施例中,通过区分TCP连接是哪一端发起的,并采用代理客户端请求连接表进行记录,简化了判断流程,提高了判断速度。
值得说明的是,上述第一、第二、第三等等仅仅用来区分不同的主体,并不用于限定不同的主体,例如第一判断单元还可以称为第二判断单元等。
其中,本实施例中的协议代理检测装置可设置于任何一个通信设备中,当该通信设备作为代理服务器时,利用本实施例的协议代理检测装置可以检测出该通信设备提供了代理服务。
实施例2
图7出示了协议代理检测方法的一种优选流程图,参见图7,该方法包括:
S701,在TCP连接建立时,接收应答握手信息的报文;
S702,根据应答握手信息的报文判断TCP连接是检测端发起的还是客户端发起的;
S703,若应答握手信息的报文是客户端发起的,则接收客户端发送的请求信息;
S704,判断请求信息是否是代理请求信息;
S705,如果请求信息是代理请求信息,则保存客户端请求访问的目的服务器信息;
S706,判断检测端是否与保存的请求访问的目的服务器建立连接;
S707,若检测端与保存的请求访问的目的服务器建立连接,则检测出采用了协议代理。
上述的目的服务器信息包括:目的地址和目的端口。
其中步骤S702,根据应答握手信息的报文判断TCP连接是检测端发起的还是客户端发起的步骤具体包括:判断接收到的应答握手信息的报文的目的地址是否与检测端的地址相符;如果相符,则判断出TCP连接是检测端发起的;如果不相符,则判断出TCP连接是客户端发起的。
步骤S706,判断检测端是否与保存的请求访问的目的服务器建立连接的步骤具体包括:判断接收到的应答握手信息的报文的源地址与源端口是否分别与客户端请求访问的目的服务器的目的地址和目的端口相符;如果相符,则判断出检测端与保存的请求访问的目的服务器建立连接。
在本优选实施例中,采用在应答握手信息的报文时判断出TCP连接是谁发起的,并且根据发起端判断是否采用了代理来进行代理协议的检测,解决了对是否采用了代理协议检测效率低,且会漏报误报的问题,进而达到了检测是否采用协议代理效率高,检测结果准确的效果。
基于图7,图8出示了协议代理检测方法的另一种流程图,参见图8,检测协议代理的方法还包括:
S708,在TCP连接建立时,接收TCP报文;
S709,判断TCP报文是否为应答握手信息的报文;
S710,若TCP报文不是应答握手信息的报文,则判断TCP报文是否是结束报文;
S711,若TCP报文不是结束报文,则判断TCP报文是否满足代理协议特征;若TCP报文是应答握手信息的报文,则执行步骤S702,根据应答握手信息的报文判断TCP连接是检测端发起的还是客户端发起的;
S712,若TCP报文满足代理协议特征,则保存TCP报文请求访问的目的服务器信息。
在本优选实施例中,进一步判断不是应答握手信息的报文,且不是结束报文的TCP报文是否满足代理协议,如果满足代理协议,同样可以检测出采用了协议代理,从而进一步防止漏报和误报,使检测结果更加准确。
步骤S709,判断TCP报文是否为应答握手信息的报文的步骤包括:
S7091,判断TCP报文是否为应答握手信息的报文;
S7092,若判断出TCP报文是应答握手信息的报文,则根据TCP报文的连接四元素生成与TCP报文对应的表项,插入到TCP过滤表中,并接收TCP报文;
S7093,若判断出TCP报文不是应答握手信息的报文,则以TCP报文的TCP连接四元素为索引在TCP过滤表中查找是否有与报文对应的表项,并在查找成功时,接收TCP报文。
在本优选实施例中,在检测端收到TCP报文之前,对TCP报文进行初步判断,从而在报文到达检测端之前就对不必要处理的报文进行了过滤,节省了从不必要的报文发送和判断。
若TCP报文是应答握手信息的报文,则执行步骤S702,根据应答握手信息的报文判断TCP连接是检测端发起的还是客户端发起的步骤,步骤S703,若应答握手信息的报文是客户端发起的,则接收客户端发送的请求信息,以及步骤S704,判断请求信息是否是代理请求信息的步骤,其中,步骤S704,判断请求信息是否是代理请求信息的步骤具体包括:
若TCP连接是客户端发起的,则提取应答握手信息的报文的TCP连接四元素插入到代理客户端请求连接表中,判断接收到的请求信息是否满足代理协议特征,并在请求信息满足代理协议特征时,保存请求信息的报文请求访问的目的服务器信息到代理客户端请求连接表中;
若TCP连接是检测端发起的,则提取客户端的地址和端口在代理客户端请求连接表中查找,并在查找成功时,检测出采用了协议代理。
在本优选实施例中,通过区分TCP连接是哪一端发起的,并采用代理客户端请求连接表进行记录,简化了判断流程,提高了判断速度。
值得说明的是,上述第一、第二、第三等等仅仅用来区分不同的主体,并不用于限定不同的主体,例如第一判断单元还可以称为第二判断单元等。
实施例3
本实施例提供了协议代理检测方法的一个具体实例,在本实施例中,图9出示了协议代理检测方法的又一种示意图,由图9可见,协议代理检测装置包括:依次连接的驱动收包模块和应用层报文处理模块。
其中,驱动收包模块具体通过如下步骤执行功能:
S901,驱动收包模块收到一个TCP报文;
S902,判断该TCP报文是否为三次握手的第2个报文,即应答握手信息的报文syn_ack,若是,则以该报文的TCP连接四元素生成一个表项插入到TCP过滤表中,并把该报文发送到应用层报文处理模块。若不是,则说明该报文可能为结束报文可能为数据报文还可能为确认报文,这时,以该报文的TCP连接四元素为索引在TCP过滤表中查找是否存在该报文的TCP连接四元素,查找成功则把该报文发送到应用层报文处理模块;查找失败,则丢弃。
由此,驱动层仅仅对存在在TCP过滤表中的报文进行发送,对不必要处理的报文进行过滤,节省了从驱动层到应用层不必要的报文发送。
也就是说,驱动收包模块可执行上述第三接收单元508的功能。
应用层报文处理模块通过以下步骤执行功能:
S903,应用层报文处理模块收到驱动收包模块发送一个TCP报文;
S904,判断该TCP报文是否为三次握手的第2个报文,即应答握手信息的报文syn_ack,不是则执行步骤S905;是则根据接收到的报文的目的MAC地址可以判断该TCP连接是“检测端主动发起的TCP连接”,还是“另一端主动发起的TCP连接”。
若是“另一端主动发起的TCP连接”则有可能是代理客户端发起的TCP连接,提取该报文的TCP连接四元素插入到“代理客户端请求连接表”。
若是“检测端主动发起的TCP连接”,则提取另一端的地址和端口作为代理请求的目的地址和代理请求目的端口在“代理客户端请求连接表”中查找相应表项。若查找失败,则说明该条“检测端主动发起的连接”没有提供代理行为,则删除该TCP过滤表项;若查找成功,则说明该条“检测端主动发起的TCP连接”为查找到的TCP连接提供代理服务,即检测到代理。
S905,判断接收到的TCP报文是否结束(final)报文,不是则执行步聚S906;是则从“代理客户端请求连接表”中删除此连接表项,并删除该TCP过滤表项。
S906,判断该TCP报文是否是数据报文,如果不是数据报文则丢弃不处理;
如果是数据报文,则以该报文的TCP连接四元素为索引在“代理客户端请求连接表”中查找。查找失败,则删除该TCP过滤表项;查找成功,则查看该TCP数据报文是否满足代理协议特征;若不满足代理协议特征,则把该连接从“代理客户端请求连接表”中删除,并删除该TCP过滤表项;若满足代理协议特征,则获取代理请求的目的地址和目的端口,并保存步骤S904查找到的“代理客户端请求连接表”中。该步骤即可采用第一检测单元502执行。
当然,本发明仅仅对HTTP代理和SOCKS代理为例进行的说明,但是在不违背本发明的精神的前提下,FTP、NNTP代理也应视为属于本发明的保护范围。
通过以上描述,可以看出本实施例的优点:
1.通过将TCP连接分为两大类处理,以及在驱动收包层动态设置监听过滤表,减少了大量报文的分析处理,从而提高了检测效率。
2.通过代理协议特征分析代理请求的目的地址和端口,适应各种代理服务器软件,检测结果准确,不会存在误判和漏判。
从以上的描述中,可以看出,本发明实现了如下技术效果:采用在应答握手信息的报文时判断出TCP连接是谁发起的,并且根据发起端判断是否采用了代理来进行代理协议的检测,解决了对是否采用了代理协议检测效率低,且会漏报误报的问题,进而达到了检测是否采用协议代理效率高,检测结果准确的效果。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种协议代理检测方法,其特征在于,包括:
在TCP连接建立时,接收应答握手信息的报文,所述应答握手信息的报文为syn_ack报文;
根据所述应答握手信息的报文判断所述TCP连接是检测端发起的还是客户端发起的,所述检测端为协议代理检测装置;
若所述TCP连接是所述客户端发起的,则接收所述客户端发送的请求信息;
判断所述请求信息是否是代理请求信息;
如果所述请求信息是代理请求信息,则保存所述客户端请求访问的目的服务器信息,所述目的服务器信息包括:目的服务器的目的地址和目的端口;
判断所述检测端是否与保存的请求访问的目的服务器建立连接,具体包括:判断接收到的所述应答握手信息的报文的源地址与源端口是否分别与所述客户端请求访问的目的服务器的目的地址和目的端口相符;如果相符,则判断出所述检测端与保存的请求访问的目的服务器建立连接;
若所述检测端与保存的请求访问的目的服务器建立连接,则检测出采用了协议代理。
2.根据权利要求1所述的方法,其特征在于,所述根据所述应答握手信息的报文判断所述TCP连接是检测端发起的还是客户端发起的步骤包括:
判断所述接收到的所述应答握手信息的报文的目的地址是否与所述检测端的地址相符;
如果相符,则判断出所述TCP连接是检测端发起的;
如果不相符,则判断出所述TCP连接是客户端发起的。
3.根据权利要求1所述的方法,其特征在于,还包括:
在TCP连接建立时,接收TCP报文;
判断所述TCP报文是否为应答握手信息的报文;
若所述TCP报文不是应答握手信息的报文,则判断所述TCP报文是否是结束报文,若所述TCP报文是应答握手信息的报文,则根据所述应答握手信息的报文判断所述TCP连接是检测端发起的还是客户端发起的;
若所述TCP报文不是结束报文,则判断所述TCP报文是否满足代理协议特征;
若所述TCP报文满足代理协议特征,则保存所述TCP报文请求访问的目的服务器信息。
4.根据权利要求3所述的方法,其特征在于,所述判断所述TCP报文是否为应答握手信息的报文步骤包括:
判断所述TCP报文是否为应答握手信息的报文;
若判断出所述TCP报文是应答握手信息的报文,则根据所述TCP报文的连接四元素生成与所述TCP报文对应的表项,插入到TCP过滤表中,并接收所述TCP报文;
若判断出所述TCP报文不是应答握手信息的报文,则以所述TCP报文的TCP连接四元素为索引在所述TCP过滤表中查找是否有与所述报文对应的表项,并在查找成功时,接收所述TCP报文。
5.根据权利要求3所述的方法,其特征在于,还包括:
若所述TCP连接是客户端发起的,则提取所述应答握手信息的报文的TCP连接四元素插入到代理客户端请求连接表中,判断接收到的所述请求信息是否满足代理协议特征,并在所述请求信息满足代理协议特征时,保存所述请求信息的报文请求访问的目的服务器信息到所述代理客户端请求连接表中;
若所述TCP连接是检测端发起的,则提取客户端的地址和端口在所述代理客户端请求连接表中查找,并在查找成功时,检测出采用了协议代理。
6.一种协议代理检测装置,其特征在于,包括:
第一接收单元,用于在TCP连接建立时,接收应答握手信息的报文,所述应答握手信息的报文为syn_ack报文;
第一检测单元,用于根据所述应答握手信息的报文判断所述TCP连接是检测端发起的还是客户端发起的,所述检测端为协议代理检测装置;
第二接收单元,用于在所述TCP连接是所述客户端发起时,接收所述客户端发送的请求信息;
第一判断单元,用于判断所述请求信息是否是代理请求信息;
第一保存单元,用于在所述请求信息是代理请求信息时,保存所述客户端请求访问的目的服务器信息,所述目的服务器信息包括:目的服务器的目的地址和目的端口;
第二判断单元,用于判断所述检测端是否与保存的请求访问的目的服务器建立连接,具体用于判断接收到的所述应答握手信息的报文的源地址与源端口是否分别与所述客户端请求访问的目的服务器的目的地址和目的端口相符;如果相符,判断出所述检测端与保存的请求访问的目的服务器建立连接;
第二检测单元,用于在所述检测端与保存的请求访问的目的服务器建立连接时,检测出采用了协议代理。
7.根据权利要求6所述的装置,其特征在于,所述第一检测单元具体用于判断接收到的所述应答握手信息的报文的目的地址是否与所述检测端的地址相符;如果相符,判断出所述TCP连接是检测端发起的;如果不相符,判断出所述TCP连接是客户端发起的。
8.根据权利要求6所述的装置,其特征在于,还包括:
第三接收单元,用于在TCP连接建立时,接收TCP报文;
第三判断单元,用于判断所述TCP报文是否为应答握手信息的报文;
第四判断单元,用于在所述TCP报文不是应答握手信息的报文时,判断所述TCP报文是否是结束报文;
第五判断单元,用于在所述TCP报文不是结束报文时,判断所述TCP报文是否满足代理协议特征;
第二保存单元,用于在所述TCP报文满足代理协议特征时,保存所述TCP报文请求访问的目的服务器信息。
9.根据权利要求8所述的装置,其特征在于,所述第三判断单元包括:
判断模块,用于判断所述TCP报文是否为应答握手信息的报文;
生成模块,用于在判断出所述TCP报文是应答握手信息的报文时,根据所述TCP报文的连接四元素生成与所述TCP报文对应的表项,插入到TCP过滤表中,并接收所述TCP报文;
第一查找模块,用于在判断出所述TCP报文不是应答握手信息的报文时,以所述TCP报文的TCP连接四元素为索引在所述TCP过滤表中查找是否有与所述报文对应的表项,并在查找成功时,接收所述TCP报文。
10.根据权利要求8所述的装置,其特征在于,所述第一判断单元,还包括:
提取模块,用于在所述TCP连接是客户端发起的时,提取所述应答握手信息的报文的TCP连接四元素插入到代理客户端请求连接表中,判断接收到的所述请求信息是否满足代理协议特征,并在所述请求信息满足代理协议特征时,保存所述请求信息的报文请求访问的目的服务器信息到所述代理客户端请求连接表中;
第二查找模块,用于在所述TCP连接是检测端发起的时,提取客户端的地址和端口在所述代理客户端请求连接表中查找,并在查找成功时,检测出采用了协议代理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110163203 CN102223266B (zh) | 2011-06-17 | 2011-06-17 | 一种协议代理检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110163203 CN102223266B (zh) | 2011-06-17 | 2011-06-17 | 一种协议代理检测方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102223266A CN102223266A (zh) | 2011-10-19 |
| CN102223266B true CN102223266B (zh) | 2013-07-24 |
Family
ID=44779699
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201110163203 Expired - Fee Related CN102223266B (zh) | 2011-06-17 | 2011-06-17 | 一种协议代理检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102223266B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104378339B (zh) * | 2013-08-16 | 2019-07-05 | 深圳市腾讯计算机系统有限公司 | 一种使用代理协议的通信方法和装置 |
| CN104079571B (zh) * | 2014-06-27 | 2017-09-01 | 广州华多网络科技有限公司 | 一种识别Android模拟器的方法及装置 |
| CN105391813A (zh) * | 2015-10-13 | 2016-03-09 | 北京极科极客科技有限公司 | 一种socks透明代理的方法及装置 |
| CN110022334B (zh) * | 2018-01-09 | 2022-01-11 | 香港理工大学深圳研究院 | 一种代理服务器的检测方法、检测装置及终端设备 |
| CN115514799A (zh) * | 2021-06-23 | 2022-12-23 | 中兴通讯股份有限公司 | Tcp连接方法、系统、网络设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1652538A (zh) * | 2004-02-03 | 2005-08-10 | 华为技术有限公司 | 代理检测方法 |
| CN1881938A (zh) * | 2006-04-27 | 2006-12-20 | 中兴通讯股份有限公司 | 一种预防和检测代理的方法和系统 |
| CN101895552A (zh) * | 2010-07-22 | 2010-11-24 | 北京天融信科技有限公司 | 一种安全网关及其检测代理上网的方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030217173A1 (en) * | 2002-05-15 | 2003-11-20 | Butt Alan B. | Automatic proxy detection |
-
2011
- 2011-06-17 CN CN 201110163203 patent/CN102223266B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1652538A (zh) * | 2004-02-03 | 2005-08-10 | 华为技术有限公司 | 代理检测方法 |
| CN1881938A (zh) * | 2006-04-27 | 2006-12-20 | 中兴通讯股份有限公司 | 一种预防和检测代理的方法和系统 |
| CN101895552A (zh) * | 2010-07-22 | 2010-11-24 | 北京天融信科技有限公司 | 一种安全网关及其检测代理上网的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102223266A (zh) | 2011-10-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11140235B1 (en) | Dynamic optimization of request parameters for proxy server | |
| CN101099345B (zh) | 利用采样和试探在网络元件处解释应用消息的方法和设备 | |
| CN101124565B (zh) | 基于应用层消息的数据流量负载平衡 | |
| JP6173613B2 (ja) | Httpトラフィックを搬送するtcp接続を分類する方法、デバイス、コンピュータプログラム及び情報記憶手段 | |
| EP1872241B1 (en) | System and method for detecting a proxy between a client and a server | |
| US7490162B1 (en) | Method and system for forwarding messages received at a traffic manager | |
| CN101582856B (zh) | 一种门户服务器与宽带接入设备的会话建立方法及其系统 | |
| JP3777302B2 (ja) | 通信振り分け制御装置、および通信振り分けプログラムを記憶した記憶媒体 | |
| CN108200165B (zh) | 请求传输系统、方法、装置及存储介质 | |
| CN101388800B (zh) | 对服务器的网络性能进行压力测试的方法、设备及系统 | |
| EP3125502A1 (en) | Method for providing access to a web server | |
| CN101138219B (zh) | 通过网络与客户机通信的方法和系统 | |
| CN1946034B (zh) | 控管网络设备的方法与通透可组态网络设备 | |
| CN102223266B (zh) | 一种协议代理检测方法和装置 | |
| CN103095676A (zh) | 过滤系统以及过滤方法 | |
| CN101681340A (zh) | 收集通过网络传输的信息的非介入性方法和系统 | |
| CN101834866A (zh) | 一种cc攻击防护方法及其系统 | |
| CN106453216A (zh) | 恶意网站拦截方法、装置及客户端 | |
| CN103220161A (zh) | 一种服务器状态的探测方法和装置 | |
| CN107463453A (zh) | 同一终端不同应用间通信的方法、装置、设备和存储介质 | |
| CN102326374A (zh) | 用于在网络中处理数据的方法和设备 | |
| WO2011146447A2 (en) | System and method for reducing latency via multiple network connections | |
| CN107147655A (zh) | 一种网络双协议栈并行处理模型及其处理方法 | |
| US20030172164A1 (en) | server persistence using a session identifier | |
| CN110099129A (zh) | 一种数据传输方法以及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130724 |