CN105897909B - 服务器防护设备在旁路模式下的web服务监控方法 - Google Patents
服务器防护设备在旁路模式下的web服务监控方法 Download PDFInfo
- Publication number
- CN105897909B CN105897909B CN201610344995.2A CN201610344995A CN105897909B CN 105897909 B CN105897909 B CN 105897909B CN 201610344995 A CN201610344995 A CN 201610344995A CN 105897909 B CN105897909 B CN 105897909B
- Authority
- CN
- China
- Prior art keywords
- server
- packet
- apache
- protection equipment
- web
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/20—Support for services
- H04L49/208—Port mirroring
Abstract
本发明公开了一种服务器防护设备在旁路模式下的WEB服务监控方法,服务器防护设备在旁路模式下获得客户端发送到WEB服务器的SYN请求包,通过所述SYN请求包Apache服务器与客户端建立虚拟连接,启动所述Apache服务器对WEB服务器回应的数据进行规则检查。本发明能够通过旁路模式来完成对WEB服务的监控,不会影响用户实际网络流量,同时采用虚连接方式能够有效的将用户流量流入Apache服务器,保证用户流量与Apache服务器的无缝结合,对后期扩展Apache模块提供了保障。
Description
技术领域
本发明属于网络数据包分析技术领域,具体涉及一种服务器防护设备在旁路模式下的WEB服务监控方法。
背景技术
常见的网络监控模式可以分为两种:一种是串联监控模式,另一种是旁路监控模式。串联模式一般是通过网关、网桥或者代理服务器的模式来进行监控,由于监控设备作为网关或者网桥串联的网络中,所以所有的数据必须先经过监控系统,通过监控系统的分析检查之后,才能够发送到各个客户端,所以会对网速有一定的延时。旁路监控模式是指通过交换机等网络设备的端口镜像功能来实现监控,在此模式下,监控设备只需要连接到交换机的指定镜像端口。旁路模式分析的是镜像端口拷贝过来的数据,对原始传递的数据包不会造成延时,不会对网速造成任何影响,即使旁路监控设备出现故障或者停止运行,不会影响现有网络。
发明内容
有鉴于此,本发明的主要目的在于提供一种服务器防护设备在旁路模式下的WEB服务监控方法。
为达到上述目的,本发明的技术方案是这样实现的:
本发明实施例提供一种服务器防护设备在旁路模式下的WEB服务监控方法,该方法为:服务器防护设备在旁路模式下获得客户端发送到WEB服务器的SYN请求包,通过所述SYN请求包Apache服务器与客户端建立虚拟连接,启动所述Apache服务器对WEB服务器回应的数据进行规则检查。
上述方案中,所述通过所述SYN请求包Apache服务器与客户端建立虚拟连接,具体为:所述服务器防护设备逐一对所述SYN请求包进行匹配处理,当所述SYN请求包的目的IP地址为指定地址的SYN请求包时,确定该SYN请求包为有效包,所述指定地址为服务器防护设备所配置的WEB服务端地址,将所述SYN请求包中的目的地址和端口为Apache服务器的地址及端口后,并且传输给Apache服务器,所述Apache服务器将接收到的所述SYN请求包中seq值修改为500并且传输到所述服务器防护设备;所述服务器防护设备在旁路模式下获得客户端回复给WEB服务器的ACK回复包,确定所述ACK回复包的目的地址为指定地址和端口的ACK回复包时,将所述ACK回复包中的目的地址修改为服务器防护设备的地址及端口并且将所述ACK回复包的ack值修改为501,同时传输到Apache服务器,所述Apache服务器校验ACK回复包成功后,完成所述客户端与Apache服务器的三次握手,建立虚拟连接。
上述方案中,所述启动所述Apache服务器对WEB服务器回应的数据进行规则检查,具体为:所述服务器防护设备通过Pf_ring的方式对旁路镜像数据包抓取,确定所述旁路镜像数据包为WEB服务器回复的数据包,对所述旁路镜像数据包进行分层解析后保存数据,所述Apache服务器对保存的数据进行进行相应的规则检查。
与现有技术相比,本发明的有益效果:
本发明能够通过旁路模式来完成对WEB服务的监控,不会影响用户实际网络流量,同时采用虚连接方式能够有效的将用户流量流入Apache服务器,保证用户流量与Apache服务器的无缝结合,对后期扩展Apache模块提供了保障。
附图说明
图1为本发明中客户端与Apache服务器建立虚拟连接的过程图;
图2为本发明中服务器防护设备的旁路模式抓取WEB服务数据并进行数据检测的过程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例提供一种服务器防护设备在旁路模式下的WEB服务监控方法,该方法为:服务器防护设备在旁路模式下获得客户端发送到WEB服务器的SYN请求包,通过所述SYN请求包Apache服务器与客户端建立虚拟连接,启动所述Apache服务器对WEB服务器回应的数据进行规则检查。
如图1所示,所述通过所述SYN请求包Apache服务器与客户端建立虚拟连接,具体为:所述服务器防护设备逐一对所述SYN请求包进行匹配处理,当所述SYN请求包的目的IP地址为指定地址的SYN请求包时,确定该SYN请求包为有效包,所述指定地址为服务器防护设备所配置的WEB服务端地址,将所述SYN请求包中的目的地址和端口为Apache服务器的地址及端口后,并且传输给Apache服务器,所述Apache服务器将接收到的所述SYN请求包中seq值修改为500并且传输到所述服务器防护设备;所述服务器防护设备在旁路模式下获得客户端回复给WEB服务器的ACK回复包,确定所述ACK回复包的目的地址为指定地址和端口的ACK回复包时,将所述ACK回复包中的目的地址修改为服务器防护设备的地址及端口并且将所述ACK回复包的ack值修改为501,同时传输到Apache服务器,所述Apache服务器校验ACK回复包成功后,完成所述客户端与Apache服务器的三次握手,建立虚拟连接。
如图2所示,所述启动所述Apache服务器对WEB服务器回应的数据进行规则检查,具体为:所述服务器防护设备通过Pf_ring的方式对旁路镜像数据包抓取,确定所述旁路镜像数据包为WEB服务器回复的数据包,对所述旁路镜像数据包进行分层解析后保存数据,所述Apache服务器对保存的数据进行进行相应的规则检查。
实施例
如图1所示,所述客户端与所述Apache服务器建立虚拟连接过程图,具体包括以下步骤:
步骤101:客户端向WEB服务器发送TCP的SYN(s=100,a=0)请求,该请求进入带镜像口的交换机,镜像口拷贝一份数据发送给服务器防护设备。
步骤102:服务器防护设备判断所述SYN请求的包目的地址是否为防护的WEB服务器地址,如果是,则修改SYN请求包的目的地址和端口为Apache服务器的地址和端口。
步骤103:Apache服务器接收到SYN请求包后,第一次握手成功,回复SYN-ACK包,向包中加入seq值为500并且发送到服务器防护设备。
步骤104:所述服务器防护设备记录该数据包并不向交换机的镜像口发送该数据包。
步骤105:客户端接收到WEB服务器回复的SYN-ACK回复包后,校验通过后,向WEB服务器发送ACK包,该ACK包进入交换机的镜像口后拷贝一份数据发往服务器防护设备的旁路模式下。
步骤106:服务器防护设备在旁路模式下获取到ACK数据包
步骤107:服务器防护设备修改ACK包中的ack=seq(500)+1后,发往Apache服务器,所述Apache服务器校验完ACK数据包后,如果校验成功,则完成客户端与Apache服务之间的虚拟连接,用来启动对WEB服务数据检测的Apacke检测引擎。
如图2所示,所述服务器防护设备在旁路模式抓取WEB服务器的数据并使用Apache引擎进行数据监测过程,具体包括以下步骤:
步骤201:WEB服务器回复客户端的请求数据,进入交换机并由交换机镜像口拷贝一份数据发送给服务器防护设备。
步骤202:所述服务器防护设备通过旁路模式的Pf_ring方式判断该数据包的源IP地址和端口是否为服务器防护设备所配置的WEB服务的地址,如果是则进入步骤203。
步骤203:所述服务器防护设备通过分层解析数据后,将数据以共享内存的方式保存。
步骤204:所述Apache服务器防护启动Apache检测引擎对步骤203所保存的数据进行规则检测,从而对WEB服务器进行有效监控。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (2)
1.一种服务器防护设备在旁路模式下的WEB服务监控方法,其特征在于,该方法为:服务器防护设备在旁路模式下获得客户端发送到WEB服务器的SYN请求包,通过所述SYN请求包Apache服务器与客户端建立虚拟连接,启动所述Apache服务器对WEB服务器回应的数据进行规则检查;
所述通过所述SYN请求包Apache服务器与客户端建立虚拟连接,具体为:所述服务器防护设备逐一对所述SYN请求包进行匹配处理,当所述SYN请求包的目的IP地址为指定地址的SYN请求包时,确定该SYN请求包为有效包,所述指定地址为服务器防护设备所配置的WEB服务端地址,将所述SYN请求包中的目的地址和端口为Apache服务器的地址及端口后,并且传输给Apache服务器,所述Apache服务器将接收到的所述SYN请求包中seq值修改为500并且传输到所述服务器防护设备;所述服务器防护设备在旁路模式下获得客户端回复给WEB服务器的ACK回复包,确定所述ACK回复包的目的地址为指定地址和端口的ACK回复包时,将所述ACK回复包中的目的地址修改为服务器防护设备的地址及端口并且将所述ACK回复包的ack值修改为501,同时传输到Apache服务器,所述Apache服务器校验ACK回复包成功后,完成所述客户端与Apache服务器的三次握手,建立虚拟连接。
2.根据权利要求1所述的服务器防护设备在旁路模式下的WEB服务监控方法,其特征在于,所述启动所述Apache服务器对WEB服务器回应的数据进行规则检查,具体为:所述服务器防护设备通过Pf_ring的方式对旁路镜像数据包抓取,确定所述旁路镜像数据包为WEB服务器回复的数据包,对所述旁路镜像数据包进行分层解析后保存数据,所述Apache服务器对保存的数据进行进行相应的规则检查。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610344995.2A CN105897909B (zh) | 2016-05-23 | 2016-05-23 | 服务器防护设备在旁路模式下的web服务监控方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610344995.2A CN105897909B (zh) | 2016-05-23 | 2016-05-23 | 服务器防护设备在旁路模式下的web服务监控方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105897909A CN105897909A (zh) | 2016-08-24 |
| CN105897909B true CN105897909B (zh) | 2019-06-14 |
Family
ID=56717731
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610344995.2A Active CN105897909B (zh) | 2016-05-23 | 2016-05-23 | 服务器防护设备在旁路模式下的web服务监控方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105897909B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107566388B (zh) * | 2017-09-18 | 2020-09-04 | 杭州安恒信息技术股份有限公司 | 工控漏洞探测方法、装置及系统 |
| CN109413058A (zh) * | 2018-10-17 | 2019-03-01 | 山东渔翁信息技术股份有限公司 | 一种服务器与终端设备的信息通信方法、装置及相关设备 |
| CN110708353A (zh) * | 2019-09-03 | 2020-01-17 | 上海派拉软件技术有限公司 | 基于Mysql代理实现的数据库风险控制方法 |
| CN111225049A (zh) * | 2020-01-02 | 2020-06-02 | 上海多算智能科技有限公司 | 一种自动构建web应用系统镜像的方法 |
| CN111274089B (zh) * | 2020-01-15 | 2022-06-17 | 福建奇点时空数字科技有限公司 | 一种基于旁路技术的服务器异常行为感知系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101635703A (zh) * | 2008-07-24 | 2010-01-27 | 北京启明星辰信息技术股份有限公司 | 一种web服务异常检测方法 |
| CN102761450A (zh) * | 2012-08-07 | 2012-10-31 | 北京鼎震科技有限责任公司 | 一种网站分析系统及方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016035083A2 (en) * | 2014-09-06 | 2016-03-10 | Andriani Matthew | Non-disruptive ddos testing |
-
2016
- 2016-05-23 CN CN201610344995.2A patent/CN105897909B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101635703A (zh) * | 2008-07-24 | 2010-01-27 | 北京启明星辰信息技术股份有限公司 | 一种web服务异常检测方法 |
| CN102761450A (zh) * | 2012-08-07 | 2012-10-31 | 北京鼎震科技有限责任公司 | 一种网站分析系统及方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105897909A (zh) | 2016-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105897909B (zh) | 服务器防护设备在旁路模式下的web服务监控方法 | |
| US11050786B2 (en) | Coordinated detection and differentiation of denial of service attacks | |
| CN107852359B (zh) | 安全系统、通信控制方法 | |
| Watson et al. | Protocol scrubbing: network security through transparent flow modification | |
| KR100426317B1 (ko) | 패킷 워터마크 삽입 기법을 이용한 실시간 공격 연결역추적 시스템 및 그 구현 방법 | |
| CN106302495A (zh) | 一种ACK Flood攻击的防护方法及中间防护装置 | |
| JP2013513160A5 (zh) | ||
| CN109981629A (zh) | 病毒防护方法、装置、设备及存储介质 | |
| CN107342968A (zh) | 网页服务器的攻击检测方法、装置及系统 | |
| CN108494672A (zh) | 一种工业通信网关、工业数据安全隔离系统及其方法 | |
| CN103347016A (zh) | 一种攻击的防御方法 | |
| JP6435695B2 (ja) | コントローラ,及びその攻撃者検知方法 | |
| TWI520002B (zh) | Protection Method and System of Cloud Virtual Network Security | |
| CN105812318B (zh) | 用于在网络中防止攻击的方法、控制器和系统 | |
| CN112398781A (zh) | 一种攻击测试方法、主机服务器及控制服务器 | |
| CN108574673A (zh) | 应用于网关的arp报文攻击检测方法及装置 | |
| CN106603464A (zh) | 网络检测方法与系统、装置 | |
| CN106790073A (zh) | 一种Web服务器恶意攻击的阻断方法、装置及防火墙 | |
| CN104023036A (zh) | Tcp旁路阻断方法和装置 | |
| JP7102780B2 (ja) | 不正通信対処システム及び方法 | |
| Schulz et al. | Tetherway: a framework for tethering camouflage | |
| CN104580154A (zh) | Web服务安全访问方法、系统及相应的服务器 | |
| CN104660584A (zh) | 基于网络会话的木马病毒分析技术 | |
| CN104113889B (zh) | 一种基于回传通道的连接建立的方法及装置 | |
| CN109600277A (zh) | 基于NAT设备的IPSec隧道保活方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |