CN108616594A - 基于dpdk的http旁路阻断方法 - Google Patents
基于dpdk的http旁路阻断方法 Download PDFInfo
- Publication number
- CN108616594A CN108616594A CN201810421439.XA CN201810421439A CN108616594A CN 108616594 A CN108616594 A CN 108616594A CN 201810421439 A CN201810421439 A CN 201810421439A CN 108616594 A CN108616594 A CN 108616594A
- Authority
- CN
- China
- Prior art keywords
- data message
- dpdk
- steps
- cryptographic hash
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及基于DPDK的HTTP旁路阻断方法,还包括以下步骤:S1:在交换机部署DPDK系统运行环境;S2:建立过滤规则库;S3:在交换机上配置阻断口;S4:调用DPDK系统的api接口读取网口的数据报文;S5:对S4步骤中获取的数据报文截取字段,并根据截取的字段计算哈希值,根据哈希值索引,查找过滤规则库并进行字段值对比,若对比相同,则阻断口发送阻断报文,若对比不同,则丢弃该数据报文,继续读取下一数据报文,本发明能够解决现有技术中采用DPI包处理技术耗时过长的问题,在服务端作出应答前回复阻断报文,阻断成功率高达99.99%。
Description
技术领域
本发明涉及通信网络技术领域,特别是涉及基于DPDK的HTTP旁路阻断方法。
背景技术
现有大部分是采用串联部署硬件的方式,在网络主要链路上,通过直接对经过的流量审计,分析请求的DNS或匹配acl策略,对命中的请求包直接丢弃,从而起到阻断的作用。现有技术中也存在采用旁路硬件进行阻断,通过识别镜像过来的数据TCP的三次握手的第一次请求包,当命中阻断规则后,对服务端和客户端发送伪造的Reset包对该链接进行断开,目前采用旁路硬件进行部署的方案,旁路硬件设备需要对镜像过来的数据包进行DPI(深度包检测),提取数据包请求的五元组,通过提取到的目的IP去伪造Reset包,但采用这种方式DPI耗时太长,向服务端和客户端回伪造Reset包时,往往客户端早已经收到服务端的应答并建立连接了,导致阻断的失败率高,尤其现有DPI技术包处理性能有限,在面对IDC机房内的大流量数据处理的时候,容易导致失败。
发明内容
为解决上述问题,本发明提供一种响应更为迅速、阻断成功率高的基于DPDK的HTTP旁路阻断方法。
为解决上述目的,本发明采用的如下技术方案。
基于DPDK的HTTP旁路阻断方法,还包括以下步骤:
S1:在交换机部署DPDK系统运行环境;
S2:建立过滤规则库;
S3:在交换机上配置阻断口;
S4:调用DPDK系统的api接口读取网口的数据报文;
S5:对S4步骤中获取的数据报文截取字段,并根据截取的字段计算哈希值,根据哈希值索引,查找过滤规则库并进行字段值对比,若对比相同,则阻断口发送阻断报文,若对比不同,则丢弃该数据报文,继续读取下一数据报文,进入下一循环。
所述S2步骤的建立过滤规则库进一步包括:
S21:读取一条过滤配置数据;
S22:根据过滤配置数据计算对应域名值的哈希值和对应URL值的哈希值;
S23:将S22步骤中的域名值/URL值以及哈希值一一对应存储入哈希表。
所述S5步骤中进一步包括:
S51:对S4步骤中获取的数据报文进行检测,过滤无效报文;
S52:对S51步骤处理后的数据报文的HTTP HEADER进行解析,截取HEADER域名字段,并根据该HEADER域名字段计算哈希值,根据哈希值索引,查找过滤规则库,对比域名值,如果相同,则阻断口发送阻断报文,如果不同,则进入S53步骤;
S53:截取S52步骤中数据报文的HEADER URL字段,根据该HEADER URL字段计算哈希值,根据哈希值索引,查找过滤规则库,对比URL值,如果相同,则阻断口发送阻断报文,如果不同,则丢弃该数据报文,继续读取下一数据报文,进入下一循环。
所述S1步骤进一步包括:
S11:构建组网网络、镜像配置和网口使能配置;
S12:安装DPDK编译模块、驱动加载模块和分配巨页内存。
本发明的有益效果如下:
通过采用上述技术方案,在方案部署时,通过镜像配置镜像正常的流量数据,采用DPDK系统的api接口读取镜像报文入口网口的数据报文,基于DPDK的包处理分析技术,对数据报文进行识别并在过滤规则库进行查找对比,若数据报文请求命中过滤规则,则通过阻断口向源地址IP发送阻断报文,直接断开连接的请求,实现阻断,能够解决现有技术中采用DPI包处理技术耗时过长的问题,响应更为迅速,快速识别数据报文,提升数十倍数据包处理性能,快速命中策略规则中的请求包,在服务端作出应答前回复阻断报文,阻断成功率高达99.99%。
附图说明
图1为本发明的基于DPDK的HTTP旁路阻断方法流程图。
具体实施方式
下面将结合附图对本发明作进一步的说明。
参考图1,基于DPDK的HTTP旁路阻断方法,还包括以下步骤:
S1:在交换机部署DPDK系统运行环境,包括构建组网网络,用于实现网络通信;进行镜像配置,用于捕获网络数据报文并进行监控分析;进行网口使能配置;安装DPDK编译模块,用于编译DPDK运行环境;安装驱动加载模块,用于加载DPDK驱动;分配巨页内存,用于实现大页内存配置;通过上述配置,实现系统初始化,DPDK系统初始化,内存初始化以及各个模块初始化。
S2:建立过滤规则库,在交换机上创建http过滤库,在配置界面录入需要过滤的域名、URL等过滤配置数据,系统依次读取每条过滤配置数据,根据每条过滤配置数据计算对应域名值的哈希值和对应的URL值的哈希值,并将计算出的域名值/URL值以及哈希值一一对应存储入哈希表;
S3:在交换机上配置阻断口,用于发送阻断报文;
S4:调用DPDK系统的api接口读取网口的数据报文,该网口为镜像报文入口网口;
S5:对S4步骤中获取的数据报文截取字段,并根据截取的字段计算哈希值,根据哈希值索引,查找过滤规则库并进行字段值对比,若对比相同,则阻断口发送阻断报文,若对比不同,则丢弃该数据报文,继续读取下一数据报文,进入下一循环。
所述S5步骤中进一步包括:
S51:对S4步骤中获取的数据报文进行检测,过滤无效报文,如过滤广播报文、不符合协议的报文等;
S52:对S51步骤处理后的数据报文的HTTP HEADER进行解析,截取HEADER域名字段,并根据该HEADER域名字段计算哈希值,根据哈希值索引,查找过滤规则库,对比域名值,如果相同,则阻断口发送阻断报文,如果不同,则进入S53步骤;
S53:截取S52步骤中数据报文的HEADER URL字段,根据该HEADER URL字段计算哈希值,根据哈希值索引,查找过滤规则库,对比URL值,如果相同,则阻断口发送阻断报文,如果不同,则丢弃该数据报文,继续读取下一数据报文,进入下一循环。
通过采用上述技术方案,在方案部署时,通过镜像配置镜像正常的流量数据,采用DPDK系统的api接口读取镜像报文入口网口的数据报文,基于DPDK的包处理分析技术,对数据报文进行识别并在过滤规则库进行查找对比,若数据报文请求命中过滤规则,则通过阻断口向源地址IP发送阻断报文,直接断开连接的请求,实现阻断,能够解决现有技术中采用DPI包处理技术耗时过长的问题,响应更为迅速,快速识别数据报文,提升数十倍数据包处理性能,快速命中策略规则中的请求包,在服务端作出应答前回复阻断报文,阻断成功率高达99.99%。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (4)
1.基于DPDK的HTTP旁路阻断方法,其特征在于,还包括以下步骤:
S1:在交换机部署DPDK系统运行环境;
S2:建立过滤规则库;
S3:在交换机上配置阻断口;
S4:调用DPDK系统的api接口读取网口的数据报文;
S5:对S4步骤中获取的数据报文截取字段,并根据截取的字段计算哈希值,根据哈希值索引,查找过滤规则库并进行字段值对比,若对比相同,则阻断口发送阻断报文,若对比不同,则丢弃该数据报文,继续读取下一数据报文。
2.根据权利要求1所述的基于DPDK的HTTP旁路阻断方法,其特征在于,所述S2步骤的建立过滤规则库进一步包括:
S21:读取一条过滤配置数据;
S22:根据过滤配置数据计算对应域名值的哈希值和对应URL值的哈希值;
S23:将S22步骤中的域名值/URL值以及哈希值一一对应存储入哈希表。
3.根据权利要求1所述的基于DPDK的HTTP旁路阻断方法,其特征在于,所述S5步骤中进一步包括:
S51:对S4步骤中获取的数据报文进行检测,过滤无效报文;
S52:对S51步骤处理后的数据报文的HTTP HEADER进行解析,截取HEADER域名字段,并根据该HEADER域名字段计算哈希值,根据哈希值索引,查找过滤规则库,对比域名值,如果相同,则阻断口发送阻断报文,如果不同,则进入S53步骤;
S53:截取S52步骤中数据报文的HEADER URL字段,根据该HEADER URL字段计算哈希值,根据哈希值索引,查找过滤规则库,对比URL值,如果相同,则阻断口发送阻断报文,如果不同,则丢弃该数据报文,继续读取下一数据报文。
4.根据权利要求1所述的基于DPDK的HTTP旁路阻断方法,其特征在于,所述S1步骤进一步包括:
S11:构建组网网络、镜像配置和网口使能配置;
S12:安装DPDK编译模块、驱动加载模块和分配巨页内存。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810421439.XA CN108616594B (zh) | 2018-05-04 | 2018-05-04 | 基于dpdk的http旁路阻断方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810421439.XA CN108616594B (zh) | 2018-05-04 | 2018-05-04 | 基于dpdk的http旁路阻断方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108616594A true CN108616594A (zh) | 2018-10-02 |
| CN108616594B CN108616594B (zh) | 2021-05-07 |
Family
ID=63661789
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810421439.XA Active CN108616594B (zh) | 2018-05-04 | 2018-05-04 | 基于dpdk的http旁路阻断方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108616594B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109587156A (zh) * | 2018-12-17 | 2019-04-05 | 广州天懋信息系统股份有限公司 | 异常网络访问连接识别与阻断方法、系统、介质和设备 |
| CN111049762A (zh) * | 2019-12-23 | 2020-04-21 | 上海金仕达软件科技有限公司 | 数据采集方法、装置、存储介质及交换机 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1564530A (zh) * | 2004-04-15 | 2005-01-12 | 沈春和 | 网络安全防护的分布式入侵检测与内网监控系统及方法 |
| CN101163161A (zh) * | 2007-11-07 | 2008-04-16 | 福建星网锐捷网络有限公司 | 统一资源定位器地址过滤方法及中间传输设备 |
| KR20130055496A (ko) * | 2012-02-27 | 2013-05-28 | 플러스기술주식회사 | 네트워크의 토렌트 트래픽 선별 차단 방법 |
| CN104980408A (zh) * | 2014-04-11 | 2015-10-14 | 中国移动通信集团陕西有限公司 | 恶意网站的封堵方法、装置以及系统 |
| CN105491060A (zh) * | 2015-12-30 | 2016-04-13 | 北京神州绿盟信息安全科技股份有限公司 | 防御分布式拒绝服务攻击的方法、装置、客户端及设备 |
| CN105635126A (zh) * | 2015-12-24 | 2016-06-01 | 北京奇虎科技有限公司 | 恶意网址访问防护方法、客户端、安全服务器及系统 |
| CN107404410A (zh) * | 2017-09-08 | 2017-11-28 | 北京百悟科技有限公司 | 一种云环境下构建虚拟网络功能平台的方法及装置 |
-
2018
- 2018-05-04 CN CN201810421439.XA patent/CN108616594B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1564530A (zh) * | 2004-04-15 | 2005-01-12 | 沈春和 | 网络安全防护的分布式入侵检测与内网监控系统及方法 |
| CN101163161A (zh) * | 2007-11-07 | 2008-04-16 | 福建星网锐捷网络有限公司 | 统一资源定位器地址过滤方法及中间传输设备 |
| KR20130055496A (ko) * | 2012-02-27 | 2013-05-28 | 플러스기술주식회사 | 네트워크의 토렌트 트래픽 선별 차단 방법 |
| CN104980408A (zh) * | 2014-04-11 | 2015-10-14 | 中国移动通信集团陕西有限公司 | 恶意网站的封堵方法、装置以及系统 |
| CN105635126A (zh) * | 2015-12-24 | 2016-06-01 | 北京奇虎科技有限公司 | 恶意网址访问防护方法、客户端、安全服务器及系统 |
| CN105491060A (zh) * | 2015-12-30 | 2016-04-13 | 北京神州绿盟信息安全科技股份有限公司 | 防御分布式拒绝服务攻击的方法、装置、客户端及设备 |
| CN107404410A (zh) * | 2017-09-08 | 2017-11-28 | 北京百悟科技有限公司 | 一种云环境下构建虚拟网络功能平台的方法及装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109587156A (zh) * | 2018-12-17 | 2019-04-05 | 广州天懋信息系统股份有限公司 | 异常网络访问连接识别与阻断方法、系统、介质和设备 |
| CN109587156B (zh) * | 2018-12-17 | 2021-07-09 | 广州天懋信息系统股份有限公司 | 异常网络访问连接识别与阻断方法、系统、介质和设备 |
| CN111049762A (zh) * | 2019-12-23 | 2020-04-21 | 上海金仕达软件科技有限公司 | 数据采集方法、装置、存储介质及交换机 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108616594B (zh) | 2021-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101388763B (zh) | 一种支持多种数据库类型的sql注入攻击检测系统 | |
| CN1330131C (zh) | 一种交互式的网络蠕虫检测系统和方法 | |
| CN104539594B (zh) | 融合DDoS威胁过滤与路由优化的SDN架构、系统及工作方法 | |
| US10218598B2 (en) | Automatic parsing of binary-based application protocols using network traffic | |
| CN104539625B (zh) | 一种基于软件定义的网络安全防御系统及其工作方法 | |
| US8117655B2 (en) | Detecting anomalous web proxy activity | |
| CN103179132B (zh) | 一种检测和防御cc攻击的方法及装置 | |
| CN107018084B (zh) | 基于sdn架构的ddos攻击防御网络安全方法 | |
| DE60307581T2 (de) | Verbessertes geheimes Hashen der TCP SYN/FIN-Korrespondenz | |
| CN103428224B (zh) | 一种智能防御DDoS攻击的方法和装置 | |
| CN108683686B (zh) | 一种随机子域名DDoS攻击检测方法 | |
| CN105429963A (zh) | 基于Modbus/Tcp的入侵检测分析方法 | |
| CN106656922A (zh) | 一种基于流量分析的网络攻击防护方法和装置 | |
| CN106357685A (zh) | 一种防御分布式拒绝服务攻击的方法及装置 | |
| CN109561051A (zh) | 内容分发网络安全检测方法及系统 | |
| CN108737385A (zh) | 一种基于dns映射ip的恶意域名匹配方法 | |
| CN107623685A (zh) | 快速检测SYN Flood攻击的方法及装置 | |
| CN104394180B (zh) | 一种无线终端认证方法、无线路由器及系统 | |
| CN111092900A (zh) | 服务器异常连接和扫描行为的监控方法和装置 | |
| CN108616594A (zh) | 基于dpdk的http旁路阻断方法 | |
| KR20140097691A (ko) | 서버 그룹핑 방법 및 장치와 기록매체 | |
| CN108667804B (zh) | 一种基于SDN架构的DDoS攻击检测及防护方法和系统 | |
| CN107733941A (zh) | 一种基于大数据的数据采集平台的实现方法及系统 | |
| US9258310B2 (en) | Method and device for processing and tracking TACACS+ session | |
| CN109981529A (zh) | 报文获取方法、装置、系统及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |