CN105897909A - 服务器防护设备在旁路模式下的web服务监控方法 - Google Patents

服务器防护设备在旁路模式下的web服务监控方法 Download PDF

Info

Publication number
CN105897909A
CN105897909A CN201610344995.2A CN201610344995A CN105897909A CN 105897909 A CN105897909 A CN 105897909A CN 201610344995 A CN201610344995 A CN 201610344995A CN 105897909 A CN105897909 A CN 105897909A
Authority
CN
China
Prior art keywords
server
bag
protection equipment
apache
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610344995.2A
Other languages
English (en)
Other versions
CN105897909B (zh
Inventor
焦小涛
陈晓兵
陈宏伟
何建锋
张灿
同元峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiepu Network Science & Technology Co Ltd Xi'an Jiaoda
Original Assignee
Jiepu Network Science & Technology Co Ltd Xi'an Jiaoda
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiepu Network Science & Technology Co Ltd Xi'an Jiaoda filed Critical Jiepu Network Science & Technology Co Ltd Xi'an Jiaoda
Priority to CN201610344995.2A priority Critical patent/CN105897909B/zh
Publication of CN105897909A publication Critical patent/CN105897909A/zh
Application granted granted Critical
Publication of CN105897909B publication Critical patent/CN105897909B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/20Support for services
    • H04L49/208Port mirroring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种服务器防护设备在旁路模式下的WEB服务监控方法,服务器防护设备在旁路模式下获得客户端发送到WEB服务器的SYN请求包,通过所述SYN请求包Apache服务器与客户端建立虚拟连接,启动所述Apache服务器对WEB服务器回应的数据进行规则检查。本发明能够通过旁路模式来完成对WEB服务的监控,不会影响用户实际网络流量,同时采用虚连接方式能够有效的将用户流量流入Apache服务器,保证用户流量与Apache服务器的无缝结合,对后期扩展Apache模块提供了保障。

Description

服务器防护设备在旁路模式下的WEB服务监控方法
技术领域
本发明属于网络数据包分析技术领域,具体涉及一种服务器防护设备在旁路模式下的WEB服务监控方法。
背景技术
常见的网络监控模式可以分为两种:一种是串联监控模式,另一种是旁路监控模式。串联模式一般是通过网关、网桥或者代理服务器的模式来进行监控,由于监控设备作为网关或者网桥串联的网络中,所以所有的数据必须先经过监控系统,通过监控系统的分析检查之后,才能够发送到各个客户端,所以会对网速有一定的延时。旁路监控模式是指通过交换机等网络设备的端口镜像功能来实现监控,在此模式下,监控设备只需要连接到交换机的指定镜像端口。旁路模式分析的是镜像端口拷贝过来的数据,对原始传递的数据包不会造成延时,不会对网速造成任何影响,即使旁路监控设备出现故障或者停止运行,不会影响现有网络。
发明内容
有鉴于此,本发明的主要目的在于提供一种服务器防护设备在旁路模式下的WEB服务监控方法。
为达到上述目的,本发明的技术方案是这样实现的:
本发明实施例提供一种服务器防护设备在旁路模式下的WEB服务监控方法,该方法为:服务器防护设备在旁路模式下获得客户端发送到WEB服务器的SYN请求包,通过所述SYN请求包Apache服务器与客户端建立虚拟连接,启动所述Apache服务器对WEB服务器回应的数据进行规则检查。
上述方案中,所述通过所述SYN请求包Apache服务器与客户端建立虚拟连接,具体为:所述服务器防护设备逐一对所述SYN请求包进行匹配处理,当所述SYN请求包的目的IP地址为指定地址的SYN请求包时,确定该SYN请求包为有效包,所述指定地址为服务器防护设备所配置的WEB服务端地址,将所述SYN请求包中的目的地址和端口为Apache服务器的地址及端口后,并且传输给Apache服务器,所述Apache服务器将接收到的所述SYN请求包中seq值修改为500并且传输到所述服务器防护设备;所述服务器防护设备在旁路模式下获得客户端回复给WEB服务器的ACK回复包,确定所述ACK回复包的目的地址为指定地址和端口的ACK回复包时,将所述ACK回复包中的目的地址修改为服务器防护设备的地址及端口并且将所述ACK回复包的ack值修改为501,同时传输到Apache服务器,所述Apache服务器校验ACK回复包成功后,完成所述客户端与Apache服务器的三次握手,建立虚拟连接。
上述方案中,所述启动所述Apache服务器对WEB服务器回应的数据进行规则检查,具体为:所述服务器防护设备通过Pf_ring的方式对旁路镜像数据包抓取,确定所述旁路镜像数据包为WEB服务器回复的数据包,对所述旁路镜像数据包进行分层解析后保存数据,所述Apache服务器对保存的数据进行进行相应的规则检查。
与现有技术相比,本发明的有益效果:
本发明能够通过旁路模式来完成对WEB服务的监控,不会影响用户实际网络流量,同时采用虚连接方式能够有效的将用户流量流入Apache服务器,保证用户流量与Apache服务器的无缝结合,对后期扩展Apache模块提供了保障。
附图说明
图1为本发明中客户端与Apache服务器建立虚拟连接的过程图;
图2为本发明中服务器防护设备的旁路模式抓取WEB服务数据并进行数据检测的过程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例提供一种服务器防护设备在旁路模式下的WEB服务监控方法,该方法为:服务器防护设备在旁路模式下获得客户端发送到WEB服务器的SYN请求包,通过所述SYN请求包Apache服务器与客户端建立虚拟连接,启动所述Apache服务器对WEB服务器回应的数据进行规则检查。
如图1所示,所述通过所述SYN请求包Apache服务器与客户端建立虚拟连接,具体为:所述服务器防护设备逐一对所述SYN请求包进行匹配处理,当所述SYN请求包的目的IP地址为指定地址的SYN请求包时,确定该SYN请求包为有效包,所述指定地址为服务器防护设备所配置的WEB服务端地址,将所述SYN请求包中的目的地址和端口为Apache服务器的地址及端口后,并且传输给Apache服务器,所述Apache服务器将接收到的所述SYN请求包中seq值修改为500并且传输到所述服务器防护设备;所述服务器防护设备在旁路模式下获得客户端回复给WEB服务器的ACK回复包,确定所述ACK回复包的目的地址为指定地址和端口的ACK回复包时,将所述ACK回复包中的目的地址修改为服务器防护设备的地址及端口并且将所述ACK回复包的ack值修改为501,同时传输到Apache服务器,所述Apache服务器校验ACK回复包成功后,完成所述客户端与Apache服务器的三次握手,建立虚拟连接。
如图2所示,所述启动所述Apache服务器对WEB服务器回应的数据进行规则检查,具体为:所述服务器防护设备通过Pf_ring的方式对旁路镜像数据包抓取,确定所述旁路镜像数据包为WEB服务器回复的数据包,对所述旁路镜像数据包进行分层解析后保存数据,所述Apache服务器对保存的数据进行进行相应的规则检查。
实施例
如图1所示,所述客户端与所述Apache服务器建立虚拟连接过程图,具体包括以下步骤:
步骤101:客户端向WEB服务器发送TCP的SYN(s=100,a=0)请求,该请求进入带镜像口的交换机,镜像口拷贝一份数据发送给服务器防护设备。
步骤102:服务器防护设备判断所述SYN请求的包目的地址是否为防护的WEB服务器地址,如果是,则修改SYN请求包的目的地址和端口为Apache服务器的地址和端口。
步骤103:Apache服务器接收到SYN请求包后,第一次握手成功,回复SYN-ACK包,向包中加入seq值为500并且发送到服务器防护设备。
步骤104:所述服务器防护设备记录该数据包并不向交换机的镜像口发送该数据包。
步骤105:客户端接收到WEB服务器回复的SYN-ACK回复包后,校验通过后,向WEB服务器发送ACK包,该ACK包进入交换机的镜像口后拷贝一份数据发往服务器防护设备的旁路模式下。
步骤106:服务器防护设备在旁路模式下获取到ACK数据包
步骤107:服务器防护设备修改ACK包中的ack=seq(500)+1后,发往Apache服务器,所述Apache服务器校验完ACK数据包后,如果校验成功,则完成客户端与Apache服务之间的虚拟连接,用来启动对WEB服务数据检测的Apacke检测引擎。
如图2所示,所述服务器防护设备在旁路模式抓取WEB服务器的数据并使用Apache引擎进行数据监测过程,具体包括以下步骤:
步骤201:WEB服务器回复客户端的请求数据,进入交换机并由交换机镜像口拷贝一份数据发送给服务器防护设备。
步骤202:所述服务器防护设备通过旁路模式的Pf_ring方式判断该数据包的源IP地址和端口是否为服务器防护设备所配置的WEB服务的地址,如果是则进入步骤203。
步骤203:所述服务器防护设备通过分层解析数据后,将数据以共享内存的方式保存。
步骤204:所述Apache服务器防护启动Apache检测引擎对步骤203所保存的数据进行规则检测,从而对WEB服务器进行有效监控。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。

Claims (3)

1.一种服务器防护设备在旁路模式下的WEB服务监控方法,其特征在于,该方法为:服务器防护设备在旁路模式下获得客户端发送到WEB服务器的SYN请求包,通过所述SYN请求包Apache服务器与客户端建立虚拟连接,启动所述Apache服务器对WEB服务器回应的数据进行规则检查。
2.根据权利要求1所述的服务器防护设备在旁路模式下的WEB服务监控方法,其特征在于,所述通过所述SYN请求包Apache服务器与客户端建立虚拟连接,具体为:所述服务器防护设备逐一对所述SYN请求包进行匹配处理,当所述SYN请求包的目的IP地址为指定地址的SYN请求包时,确定该SYN请求包为有效包,所述指定地址为服务器防护设备所配置的WEB服务端地址,将所述SYN请求包中的目的地址和端口为Apache服务器的地址及端口后,并且传输给Apache服务器,所述Apache服务器将接收到的所述SYN请求包中seq值修改为500并且传输到所述服务器防护设备;所述服务器防护设备在旁路模式下获得客户端回复给WEB服务器的ACK回复包,确定所述ACK回复包的目的地址为指定地址和端口的ACK回复包时,将所述ACK回复包中的目的地址修改为服务器防护设备的地址及端口并且将所述ACK回复包的ack值修改为501,同时传输到Apache服务器,所述Apache服务器校验ACK回复包成功后,完成所述客户端与Apache服务器的三次握手,建立虚拟连接。
3.根据权利要求1或所述的服务器防护设备在旁路模式下的WEB服务监控方法,其特征在于,所述启动所述Apache服务器对WEB服务器回应的数据进行规则检查,具体为:所述服务器防护设备通过Pf_ring的方式对旁路镜像数据包抓取,确定所述旁路镜像数据包为WEB服务器回复的数据包,对所述旁路镜像数据包进行分层解析后保存数据,所述Apache服务器对保存的数据进行进行相应的规则检查。
CN201610344995.2A 2016-05-23 2016-05-23 服务器防护设备在旁路模式下的web服务监控方法 Active CN105897909B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610344995.2A CN105897909B (zh) 2016-05-23 2016-05-23 服务器防护设备在旁路模式下的web服务监控方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610344995.2A CN105897909B (zh) 2016-05-23 2016-05-23 服务器防护设备在旁路模式下的web服务监控方法

Publications (2)

Publication Number Publication Date
CN105897909A true CN105897909A (zh) 2016-08-24
CN105897909B CN105897909B (zh) 2019-06-14

Family

ID=56717731

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610344995.2A Active CN105897909B (zh) 2016-05-23 2016-05-23 服务器防护设备在旁路模式下的web服务监控方法

Country Status (1)

Country Link
CN (1) CN105897909B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107566388A (zh) * 2017-09-18 2018-01-09 杭州安恒信息技术有限公司 工控漏洞探测方法、装置及系统
CN109413058A (zh) * 2018-10-17 2019-03-01 山东渔翁信息技术股份有限公司 一种服务器与终端设备的信息通信方法、装置及相关设备
CN110708353A (zh) * 2019-09-03 2020-01-17 上海派拉软件技术有限公司 基于Mysql代理实现的数据库风险控制方法
CN111225049A (zh) * 2020-01-02 2020-06-02 上海多算智能科技有限公司 一种自动构建web应用系统镜像的方法
CN111274089A (zh) * 2020-01-15 2020-06-12 福建奇点时空数字科技有限公司 一种基于旁路技术的服务器异常行为感知系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101635703A (zh) * 2008-07-24 2010-01-27 北京启明星辰信息技术股份有限公司 一种web服务异常检测方法
CN102761450A (zh) * 2012-08-07 2012-10-31 北京鼎震科技有限责任公司 一种网站分析系统及方法和装置
WO2016035083A2 (en) * 2014-09-06 2016-03-10 Andriani Matthew Non-disruptive ddos testing

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101635703A (zh) * 2008-07-24 2010-01-27 北京启明星辰信息技术股份有限公司 一种web服务异常检测方法
CN102761450A (zh) * 2012-08-07 2012-10-31 北京鼎震科技有限责任公司 一种网站分析系统及方法和装置
WO2016035083A2 (en) * 2014-09-06 2016-03-10 Andriani Matthew Non-disruptive ddos testing

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107566388A (zh) * 2017-09-18 2018-01-09 杭州安恒信息技术有限公司 工控漏洞探测方法、装置及系统
CN109413058A (zh) * 2018-10-17 2019-03-01 山东渔翁信息技术股份有限公司 一种服务器与终端设备的信息通信方法、装置及相关设备
CN110708353A (zh) * 2019-09-03 2020-01-17 上海派拉软件技术有限公司 基于Mysql代理实现的数据库风险控制方法
CN111225049A (zh) * 2020-01-02 2020-06-02 上海多算智能科技有限公司 一种自动构建web应用系统镜像的方法
CN111274089A (zh) * 2020-01-15 2020-06-12 福建奇点时空数字科技有限公司 一种基于旁路技术的服务器异常行为感知系统
CN111274089B (zh) * 2020-01-15 2022-06-17 福建奇点时空数字科技有限公司 一种基于旁路技术的服务器异常行为感知系统

Also Published As

Publication number Publication date
CN105897909B (zh) 2019-06-14

Similar Documents

Publication Publication Date Title
CN105897909A (zh) 服务器防护设备在旁路模式下的web服务监控方法
CN109347817B (zh) 一种网络安全重定向的方法及装置
CN102844750B (zh) Web浏览器中的可执行代码验证
US9294463B2 (en) Apparatus, method and system for context-aware security control in cloud environment
CN109391635B (zh) 基于双向网闸的数据传输方法、装置、设备及介质
US20130263259A1 (en) Analyzing response traffic to detect a malicious source
US20150143454A1 (en) Security management apparatus and method
WO2022142405A1 (zh) 内外网跨链通信方法、装置、计算机设备和存储介质
CN109548022B (zh) 一种移动终端用户远程接入本地网络的方法
CN112202635B (zh) 链路的监控方法、装置、存储介质以及电子装置
US10263975B2 (en) Information processing device, method, and medium
CN109167762B (zh) 一种iec104报文校验方法及装置
CN104639555B (zh) 请求处理方法、系统和装置
JP2016036095A (ja) コントローラ,及びその攻撃者検知方法
CN111182537A (zh) 移动应用的网络接入方法、装置及系统
CN108574673A (zh) 应用于网关的arp报文攻击检测方法及装置
CN105743868B (zh) 一种支持加密和非加密协议的数据采集系统与方法
CN109495602B (zh) 一种网络接入异常的处理方法及装置
CN103001966B (zh) 一种私网ip的处理、识别方法及装置
US9191332B2 (en) Methods, systems, and computer readable media for updating sequence and acknowledgment numbers associated with replay packets
JP2000124952A (ja) 電子データの追跡方法及びシステム、記録媒体
CN105391720A (zh) 用户终端登录方法及装置
CN115883574A (zh) 工业控制网络中的接入设备识别方法及装置
CN109600277A (zh) 基于NAT设备的IPSec隧道保活方法和装置
CN105721231A (zh) 一种业务质量感知探测方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant