CN108616594B - 基于dpdk的http旁路阻断方法 - Google Patents

基于dpdk的http旁路阻断方法 Download PDF

Info

Publication number
CN108616594B
CN108616594B CN201810421439.XA CN201810421439A CN108616594B CN 108616594 B CN108616594 B CN 108616594B CN 201810421439 A CN201810421439 A CN 201810421439A CN 108616594 B CN108616594 B CN 108616594B
Authority
CN
China
Prior art keywords
blocking
data message
dpdk
hash value
url
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810421439.XA
Other languages
English (en)
Other versions
CN108616594A (zh
Inventor
王宇杰
蔡晔华
王强
严克剑
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Weiyi Network Technology Co ltd
Original Assignee
Guangdong Weiyi Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Weiyi Network Technology Co ltd filed Critical Guangdong Weiyi Network Technology Co ltd
Priority to CN201810421439.XA priority Critical patent/CN108616594B/zh
Publication of CN108616594A publication Critical patent/CN108616594A/zh
Application granted granted Critical
Publication of CN108616594B publication Critical patent/CN108616594B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及基于DPDK的HTTP旁路阻断方法,还包括以下步骤:S1:在交换机部署DPDK系统运行环境;S2:建立过滤规则库;S3:在交换机上配置阻断口;S4:调用DPDK系统的api接口读取网口的数据报文;S5:对S4步骤中获取的数据报文截取字段,并根据截取的字段计算哈希值,根据哈希值索引,查找过滤规则库并进行字段值对比,若对比相同,则阻断口发送阻断报文,若对比不同,则丢弃该数据报文,继续读取下一数据报文,本发明能够解决现有技术中采用DPI包处理技术耗时过长的问题,在服务端作出应答前回复阻断报文,阻断成功率高达99.99%。

Description

基于DPDK的HTTP旁路阻断方法
技术领域
本发明涉及通信网络技术领域,特别是涉及基于DPDK的HTTP旁路阻断方法。
背景技术
现有大部分是采用串联部署硬件的方式,在网络主要链路上,通过直接对经过的流量审计,分析请求的DNS或匹配acl策略,对命中的请求包直接丢弃,从而起到阻断的作用。现有技术中也存在采用旁路硬件进行阻断,通过识别镜像过来的数据TCP的三次握手的第一次请求包,当命中阻断规则后,对服务端和客户端发送伪造的Reset包对该链接进行断开,目前采用旁路硬件进行部署的方案,旁路硬件设备需要对镜像过来的数据包进行DPI(深度包检测),提取数据包请求的五元组,通过提取到的目的IP去伪造Reset包,但采用这种方式DPI耗时太长,向服务端和客户端回伪造Reset包时,往往客户端早已经收到服务端的应答并建立连接了,导致阻断的失败率高,尤其现有DPI技术包处理性能有限,在面对IDC机房内的大流量数据处理的时候,容易导致失败。
发明内容
为解决上述问题,本发明提供一种响应更为迅速、阻断成功率高的基于DPDK的HTTP旁路阻断方法。
为解决上述目的,本发明采用的如下技术方案。
基于DPDK的HTTP旁路阻断方法,还包括以下步骤:
S1:在交换机部署DPDK系统运行环境;
S2:建立过滤规则库;
S3:在交换机上配置阻断口;
S4:调用DPDK系统的api接口读取网口的数据报文;
S5:对S4步骤中获取的数据报文截取字段,并根据截取的字段计算哈希值,根据哈希值索引,查找过滤规则库并进行字段值对比,若对比相同,则阻断口发送阻断报文,若对比不同,则丢弃该数据报文,继续读取下一数据报文,进入下一循环。
所述S2步骤的建立过滤规则库进一步包括:
S21:读取一条过滤配置数据;
S22:根据过滤配置数据计算对应域名值的哈希值和对应URL值的哈希值;
S23:将S22步骤中的域名值/URL值以及哈希值一一对应存储入哈希表。
所述S5步骤中进一步包括:
S51:对S4步骤中获取的数据报文进行检测,过滤无效报文;
S52:对S51步骤处理后的数据报文的HTTP HEADER进行解析,截取HEADER域名字段,并根据该HEADER域名字段计算哈希值,根据哈希值索引,查找过滤规则库,对比域名值,如果相同,则阻断口发送阻断报文,如果不同,则进入S53步骤;
S53:截取S52步骤中数据报文的HEADER URL字段,根据该HEADER URL字段计算哈希值,根据哈希值索引,查找过滤规则库,对比URL值,如果相同,则阻断口发送阻断报文,如果不同,则丢弃该数据报文,继续读取下一数据报文,进入下一循环。
所述S1步骤进一步包括:
S11:构建组网网络、镜像配置和网口使能配置;
S12:安装DPDK编译模块、驱动加载模块和分配巨页内存。
本发明的有益效果如下:
通过采用上述技术方案,在方案部署时,通过镜像配置镜像正常的流量数据,采用DPDK系统的api接口读取镜像报文入口网口的数据报文,基于DPDK的包处理分析技术,对数据报文进行识别并在过滤规则库进行查找对比,若数据报文请求命中过滤规则,则通过阻断口向源地址IP发送阻断报文,直接断开连接的请求,实现阻断,能够解决现有技术中采用DPI包处理技术耗时过长的问题,响应更为迅速,快速识别数据报文,提升数十倍数据包处理性能,快速命中策略规则中的请求包,在服务端作出应答前回复阻断报文,阻断成功率高达99.99%。
附图说明
图1为本发明的基于DPDK的HTTP旁路阻断方法流程图。
具体实施方式
下面将结合附图对本发明作进一步的说明。
参考图1,基于DPDK的HTTP旁路阻断方法,还包括以下步骤:
S1:在交换机部署DPDK系统运行环境,包括构建组网网络,用于实现网络通信;进行镜像配置,用于捕获网络数据报文并进行监控分析;进行网口使能配置;安装DPDK编译模块,用于编译DPDK运行环境;安装驱动加载模块,用于加载DPDK驱动;分配巨页内存,用于实现大页内存配置;通过上述配置,实现系统初始化,DPDK系统初始化,内存初始化以及各个模块初始化。
S2:建立过滤规则库,在交换机上创建http过滤库,在配置界面录入需要过滤的域名、URL等过滤配置数据,系统依次读取每条过滤配置数据,根据每条过滤配置数据计算对应域名值的哈希值和对应的URL值的哈希值,并将计算出的域名值/URL值以及哈希值一一对应存储入哈希表;
S3:在交换机上配置阻断口,用于发送阻断报文;
S4:调用DPDK系统的api接口读取网口的数据报文,该网口为镜像报文入口网口;
S5:对S4步骤中获取的数据报文截取字段,并根据截取的字段计算哈希值,根据哈希值索引,查找过滤规则库并进行字段值对比,若对比相同,则阻断口发送阻断报文,若对比不同,则丢弃该数据报文,继续读取下一数据报文,进入下一循环。
所述S5步骤中进一步包括:
S51:对S4步骤中获取的数据报文进行检测,过滤无效报文,如过滤广播报文、不符合协议的报文等;
S52:对S51步骤处理后的数据报文的HTTP HEADER进行解析,截取HEADER域名字段,并根据该HEADER域名字段计算哈希值,根据哈希值索引,查找过滤规则库,对比域名值,如果相同,则阻断口发送阻断报文,如果不同,则进入S53步骤;
S53:截取S52步骤中数据报文的HEADER URL字段,根据该HEADER URL字段计算哈希值,根据哈希值索引,查找过滤规则库,对比URL值,如果相同,则阻断口发送阻断报文,如果不同,则丢弃该数据报文,继续读取下一数据报文,进入下一循环。
通过采用上述技术方案,在方案部署时,通过镜像配置镜像正常的流量数据,采用DPDK系统的api接口读取镜像报文入口网口的数据报文,基于DPDK的包处理分析技术,对数据报文进行识别并在过滤规则库进行查找对比,若数据报文请求命中过滤规则,则通过阻断口向源地址IP发送阻断报文,直接断开连接的请求,实现阻断,能够解决现有技术中采用DPI包处理技术耗时过长的问题,响应更为迅速,快速识别数据报文,提升数十倍数据包处理性能,快速命中策略规则中的请求包,在服务端作出应答前回复阻断报文,阻断成功率高达99.99%。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (3)

1.基于DPDK的HTTP旁路阻断方法,其特征在于,还包括以下步骤:
S1:在交换机部署DPDK系统运行环境;
S2:建立过滤规则库;
S3:在交换机上配置阻断口;
S4:调用DPDK系统的api接口读取网口的数据报文;
S5:对S4步骤中获取的数据报文截取字段,并根据截取的字段计算哈希值,根据哈希值索引,查找过滤规则库并进行字段值对比,若对比相同,则通过阻断口向源地址IP发送阻断报文,直接断开连接的请求,实现阻断,若对比不同,则丢弃该数据报文,继续读取下一数据报文;
所述S1步骤进一步包括:
S11:构建组网网络、镜像配置和网口使能配置;
S12:安装DPDK编译模块、驱动加载模块和分配巨页内存。
2.根据权利要求1所述的基于DPDK的HTTP旁路阻断方法,其特征在于,所述S2步骤的建立过滤规则库进一步包括:
S21:读取一条过滤配置数据;
S22:根据过滤配置数据计算对应域名值的哈希值和对应URL值的哈希值;
S23:将S22步骤中的域名值/URL值以及哈希值一一对应存储入哈希表。
3.根据权利要求1所述的基于DPDK的HTTP旁路阻断方法,其特征在于,所述S5步骤中进一步包括:
S51:对S4步骤中获取的数据报文进行检测,过滤无效报文;
S52:对S51步骤处理后的数据报文的HTTP HEADER进行解析,截取HEADER域名字段,并根据该HEADER域名字段计算哈希值,根据哈希值索引,查找过滤规则库,对比域名值,如果相同,则阻断口发送阻断报文,如果不同,则进入S53步骤;
S53:截取S52步骤中数据报文的HEADER URL字段,根据该HEADER URL字段计算哈希值,根据哈希值索引,查找过滤规则库,对比URL值,如果相同,则阻断口发送阻断报文,如果不同,则丢弃该数据报文,继续读取下一数据报文。
CN201810421439.XA 2018-05-04 2018-05-04 基于dpdk的http旁路阻断方法 Active CN108616594B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810421439.XA CN108616594B (zh) 2018-05-04 2018-05-04 基于dpdk的http旁路阻断方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810421439.XA CN108616594B (zh) 2018-05-04 2018-05-04 基于dpdk的http旁路阻断方法

Publications (2)

Publication Number Publication Date
CN108616594A CN108616594A (zh) 2018-10-02
CN108616594B true CN108616594B (zh) 2021-05-07

Family

ID=63661789

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810421439.XA Active CN108616594B (zh) 2018-05-04 2018-05-04 基于dpdk的http旁路阻断方法

Country Status (1)

Country Link
CN (1) CN108616594B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109587156B (zh) * 2018-12-17 2021-07-09 广州天懋信息系统股份有限公司 异常网络访问连接识别与阻断方法、系统、介质和设备
CN111049762A (zh) * 2019-12-23 2020-04-21 上海金仕达软件科技有限公司 数据采集方法、装置、存储介质及交换机

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1564530A (zh) * 2004-04-15 2005-01-12 沈春和 网络安全防护的分布式入侵检测与内网监控系统及方法
CN104980408A (zh) * 2014-04-11 2015-10-14 中国移动通信集团陕西有限公司 恶意网站的封堵方法、装置以及系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101163161B (zh) * 2007-11-07 2012-02-29 福建星网锐捷网络有限公司 统一资源定位器地址过滤方法及中间传输设备
KR101364927B1 (ko) * 2012-02-27 2014-02-25 플러스기술주식회사 네트워크의 토렌트 트래픽 선별 차단 방법
CN105635126B (zh) * 2015-12-24 2018-10-09 北京奇虎科技有限公司 恶意网址访问防护方法、客户端、安全服务器及系统
CN105491060B (zh) * 2015-12-30 2019-07-02 北京神州绿盟信息安全科技股份有限公司 防御分布式拒绝服务攻击的方法、装置、客户端及设备
CN107404410B (zh) * 2017-09-08 2020-11-27 北京百悟科技有限公司 一种云环境下构建虚拟网络功能平台的方法及装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1564530A (zh) * 2004-04-15 2005-01-12 沈春和 网络安全防护的分布式入侵检测与内网监控系统及方法
CN104980408A (zh) * 2014-04-11 2015-10-14 中国移动通信集团陕西有限公司 恶意网站的封堵方法、装置以及系统

Also Published As

Publication number Publication date
CN108616594A (zh) 2018-10-02

Similar Documents

Publication Publication Date Title
EP3229407B1 (en) Application signature generation and distribution
WO2018107784A1 (zh) 检测网页后门的方法和装置
RU2634209C1 (ru) Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью
US10218733B1 (en) System and method for detecting a malicious activity in a computing environment
CN107483260B (zh) 故障处理方法及装置、电子设备
US20140189861A1 (en) System and method for correlating network information with subscriber information in a mobile network environment
JP2004507908A5 (zh)
CA2947325A1 (en) Protocol type identification method and apparatus
CN103368978A (zh) 实现智能移动终端应用漏洞和通信安全检测的系统及方法
CN111222019B (zh) 特征提取的方法和装置
CN108616594B (zh) 基于dpdk的http旁路阻断方法
CN110445883A (zh) 一种物联网的通信方法和装置
CN112020862A (zh) 在远程网络上标识设备
CN105634660A (zh) 数据包检测方法及系统
CN112968914B (zh) 请求数据实时导入漏洞扫描器的系统、方法、设备及介质
US20170064023A1 (en) Page Push Method, Device, Server and System
CN113014573B (zh) Dns服务器的监控方法、系统、电子装置和存储介质
CN105530137A (zh) 流量数据分析方法及流量数据分析系统
KR101087291B1 (ko) 인터넷을 사용하는 모든 단말을 구분하는 방법 및 시스템
KR102423039B1 (ko) 대용량 네트워크 모니터링을 위한 실시간 패킷 데이터 저장 방법 및 장치
CN111600929B (zh) 传输线路探测方法、路由策略生成方法及代理服务器
CN116723020A (zh) 网络服务模拟方法、装置、电子设备及存储介质
CN107612831B (zh) 一种访问源站的数据报文的传输方法及装置
KR102423038B1 (ko) 대용량 네트워크 모니터링을 위한 실시간 패킷 데이터 수집 방법 및 장치
US20180048697A1 (en) Method and apparatus for detecting access path

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant