CN108616594B - 基于dpdk的http旁路阻断方法 - Google Patents
基于dpdk的http旁路阻断方法 Download PDFInfo
- Publication number
- CN108616594B CN108616594B CN201810421439.XA CN201810421439A CN108616594B CN 108616594 B CN108616594 B CN 108616594B CN 201810421439 A CN201810421439 A CN 201810421439A CN 108616594 B CN108616594 B CN 108616594B
- Authority
- CN
- China
- Prior art keywords
- blocking
- data message
- dpdk
- hash value
- url
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及基于DPDK的HTTP旁路阻断方法,还包括以下步骤:S1:在交换机部署DPDK系统运行环境;S2:建立过滤规则库;S3:在交换机上配置阻断口;S4:调用DPDK系统的api接口读取网口的数据报文;S5:对S4步骤中获取的数据报文截取字段,并根据截取的字段计算哈希值,根据哈希值索引,查找过滤规则库并进行字段值对比,若对比相同,则阻断口发送阻断报文,若对比不同,则丢弃该数据报文,继续读取下一数据报文,本发明能够解决现有技术中采用DPI包处理技术耗时过长的问题,在服务端作出应答前回复阻断报文,阻断成功率高达99.99%。
Description
技术领域
本发明涉及通信网络技术领域,特别是涉及基于DPDK的HTTP旁路阻断方法。
背景技术
现有大部分是采用串联部署硬件的方式,在网络主要链路上,通过直接对经过的流量审计,分析请求的DNS或匹配acl策略,对命中的请求包直接丢弃,从而起到阻断的作用。现有技术中也存在采用旁路硬件进行阻断,通过识别镜像过来的数据TCP的三次握手的第一次请求包,当命中阻断规则后,对服务端和客户端发送伪造的Reset包对该链接进行断开,目前采用旁路硬件进行部署的方案,旁路硬件设备需要对镜像过来的数据包进行DPI(深度包检测),提取数据包请求的五元组,通过提取到的目的IP去伪造Reset包,但采用这种方式DPI耗时太长,向服务端和客户端回伪造Reset包时,往往客户端早已经收到服务端的应答并建立连接了,导致阻断的失败率高,尤其现有DPI技术包处理性能有限,在面对IDC机房内的大流量数据处理的时候,容易导致失败。
发明内容
为解决上述问题,本发明提供一种响应更为迅速、阻断成功率高的基于DPDK的HTTP旁路阻断方法。
为解决上述目的,本发明采用的如下技术方案。
基于DPDK的HTTP旁路阻断方法,还包括以下步骤:
S1:在交换机部署DPDK系统运行环境;
S2:建立过滤规则库;
S3:在交换机上配置阻断口;
S4:调用DPDK系统的api接口读取网口的数据报文;
S5:对S4步骤中获取的数据报文截取字段,并根据截取的字段计算哈希值,根据哈希值索引,查找过滤规则库并进行字段值对比,若对比相同,则阻断口发送阻断报文,若对比不同,则丢弃该数据报文,继续读取下一数据报文,进入下一循环。
所述S2步骤的建立过滤规则库进一步包括:
S21:读取一条过滤配置数据;
S22:根据过滤配置数据计算对应域名值的哈希值和对应URL值的哈希值;
S23:将S22步骤中的域名值/URL值以及哈希值一一对应存储入哈希表。
所述S5步骤中进一步包括:
S51:对S4步骤中获取的数据报文进行检测,过滤无效报文;
S52:对S51步骤处理后的数据报文的HTTP HEADER进行解析,截取HEADER域名字段,并根据该HEADER域名字段计算哈希值,根据哈希值索引,查找过滤规则库,对比域名值,如果相同,则阻断口发送阻断报文,如果不同,则进入S53步骤;
S53:截取S52步骤中数据报文的HEADER URL字段,根据该HEADER URL字段计算哈希值,根据哈希值索引,查找过滤规则库,对比URL值,如果相同,则阻断口发送阻断报文,如果不同,则丢弃该数据报文,继续读取下一数据报文,进入下一循环。
所述S1步骤进一步包括:
S11:构建组网网络、镜像配置和网口使能配置;
S12:安装DPDK编译模块、驱动加载模块和分配巨页内存。
本发明的有益效果如下:
通过采用上述技术方案,在方案部署时,通过镜像配置镜像正常的流量数据,采用DPDK系统的api接口读取镜像报文入口网口的数据报文,基于DPDK的包处理分析技术,对数据报文进行识别并在过滤规则库进行查找对比,若数据报文请求命中过滤规则,则通过阻断口向源地址IP发送阻断报文,直接断开连接的请求,实现阻断,能够解决现有技术中采用DPI包处理技术耗时过长的问题,响应更为迅速,快速识别数据报文,提升数十倍数据包处理性能,快速命中策略规则中的请求包,在服务端作出应答前回复阻断报文,阻断成功率高达99.99%。
附图说明
图1为本发明的基于DPDK的HTTP旁路阻断方法流程图。
具体实施方式
下面将结合附图对本发明作进一步的说明。
参考图1,基于DPDK的HTTP旁路阻断方法,还包括以下步骤:
S1:在交换机部署DPDK系统运行环境,包括构建组网网络,用于实现网络通信;进行镜像配置,用于捕获网络数据报文并进行监控分析;进行网口使能配置;安装DPDK编译模块,用于编译DPDK运行环境;安装驱动加载模块,用于加载DPDK驱动;分配巨页内存,用于实现大页内存配置;通过上述配置,实现系统初始化,DPDK系统初始化,内存初始化以及各个模块初始化。
S2:建立过滤规则库,在交换机上创建http过滤库,在配置界面录入需要过滤的域名、URL等过滤配置数据,系统依次读取每条过滤配置数据,根据每条过滤配置数据计算对应域名值的哈希值和对应的URL值的哈希值,并将计算出的域名值/URL值以及哈希值一一对应存储入哈希表;
S3:在交换机上配置阻断口,用于发送阻断报文;
S4:调用DPDK系统的api接口读取网口的数据报文,该网口为镜像报文入口网口;
S5:对S4步骤中获取的数据报文截取字段,并根据截取的字段计算哈希值,根据哈希值索引,查找过滤规则库并进行字段值对比,若对比相同,则阻断口发送阻断报文,若对比不同,则丢弃该数据报文,继续读取下一数据报文,进入下一循环。
所述S5步骤中进一步包括:
S51:对S4步骤中获取的数据报文进行检测,过滤无效报文,如过滤广播报文、不符合协议的报文等;
S52:对S51步骤处理后的数据报文的HTTP HEADER进行解析,截取HEADER域名字段,并根据该HEADER域名字段计算哈希值,根据哈希值索引,查找过滤规则库,对比域名值,如果相同,则阻断口发送阻断报文,如果不同,则进入S53步骤;
S53:截取S52步骤中数据报文的HEADER URL字段,根据该HEADER URL字段计算哈希值,根据哈希值索引,查找过滤规则库,对比URL值,如果相同,则阻断口发送阻断报文,如果不同,则丢弃该数据报文,继续读取下一数据报文,进入下一循环。
通过采用上述技术方案,在方案部署时,通过镜像配置镜像正常的流量数据,采用DPDK系统的api接口读取镜像报文入口网口的数据报文,基于DPDK的包处理分析技术,对数据报文进行识别并在过滤规则库进行查找对比,若数据报文请求命中过滤规则,则通过阻断口向源地址IP发送阻断报文,直接断开连接的请求,实现阻断,能够解决现有技术中采用DPI包处理技术耗时过长的问题,响应更为迅速,快速识别数据报文,提升数十倍数据包处理性能,快速命中策略规则中的请求包,在服务端作出应答前回复阻断报文,阻断成功率高达99.99%。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (3)
1.基于DPDK的HTTP旁路阻断方法,其特征在于,还包括以下步骤:
S1:在交换机部署DPDK系统运行环境;
S2:建立过滤规则库;
S3:在交换机上配置阻断口;
S4:调用DPDK系统的api接口读取网口的数据报文;
S5:对S4步骤中获取的数据报文截取字段,并根据截取的字段计算哈希值,根据哈希值索引,查找过滤规则库并进行字段值对比,若对比相同,则通过阻断口向源地址IP发送阻断报文,直接断开连接的请求,实现阻断,若对比不同,则丢弃该数据报文,继续读取下一数据报文;
所述S1步骤进一步包括:
S11:构建组网网络、镜像配置和网口使能配置;
S12:安装DPDK编译模块、驱动加载模块和分配巨页内存。
2.根据权利要求1所述的基于DPDK的HTTP旁路阻断方法,其特征在于,所述S2步骤的建立过滤规则库进一步包括:
S21:读取一条过滤配置数据;
S22:根据过滤配置数据计算对应域名值的哈希值和对应URL值的哈希值;
S23:将S22步骤中的域名值/URL值以及哈希值一一对应存储入哈希表。
3.根据权利要求1所述的基于DPDK的HTTP旁路阻断方法,其特征在于,所述S5步骤中进一步包括:
S51:对S4步骤中获取的数据报文进行检测,过滤无效报文;
S52:对S51步骤处理后的数据报文的HTTP HEADER进行解析,截取HEADER域名字段,并根据该HEADER域名字段计算哈希值,根据哈希值索引,查找过滤规则库,对比域名值,如果相同,则阻断口发送阻断报文,如果不同,则进入S53步骤;
S53:截取S52步骤中数据报文的HEADER URL字段,根据该HEADER URL字段计算哈希值,根据哈希值索引,查找过滤规则库,对比URL值,如果相同,则阻断口发送阻断报文,如果不同,则丢弃该数据报文,继续读取下一数据报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810421439.XA CN108616594B (zh) | 2018-05-04 | 2018-05-04 | 基于dpdk的http旁路阻断方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810421439.XA CN108616594B (zh) | 2018-05-04 | 2018-05-04 | 基于dpdk的http旁路阻断方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108616594A CN108616594A (zh) | 2018-10-02 |
CN108616594B true CN108616594B (zh) | 2021-05-07 |
Family
ID=63661789
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810421439.XA Active CN108616594B (zh) | 2018-05-04 | 2018-05-04 | 基于dpdk的http旁路阻断方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108616594B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109587156B (zh) * | 2018-12-17 | 2021-07-09 | 广州天懋信息系统股份有限公司 | 异常网络访问连接识别与阻断方法、系统、介质和设备 |
CN111049762A (zh) * | 2019-12-23 | 2020-04-21 | 上海金仕达软件科技有限公司 | 数据采集方法、装置、存储介质及交换机 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1564530A (zh) * | 2004-04-15 | 2005-01-12 | 沈春和 | 网络安全防护的分布式入侵检测与内网监控系统及方法 |
CN104980408A (zh) * | 2014-04-11 | 2015-10-14 | 中国移动通信集团陕西有限公司 | 恶意网站的封堵方法、装置以及系统 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101163161B (zh) * | 2007-11-07 | 2012-02-29 | 福建星网锐捷网络有限公司 | 统一资源定位器地址过滤方法及中间传输设备 |
KR101364927B1 (ko) * | 2012-02-27 | 2014-02-25 | 플러스기술주식회사 | 네트워크의 토렌트 트래픽 선별 차단 방법 |
CN105635126B (zh) * | 2015-12-24 | 2018-10-09 | 北京奇虎科技有限公司 | 恶意网址访问防护方法、客户端、安全服务器及系统 |
CN105491060B (zh) * | 2015-12-30 | 2019-07-02 | 北京神州绿盟信息安全科技股份有限公司 | 防御分布式拒绝服务攻击的方法、装置、客户端及设备 |
CN107404410B (zh) * | 2017-09-08 | 2020-11-27 | 北京百悟科技有限公司 | 一种云环境下构建虚拟网络功能平台的方法及装置 |
-
2018
- 2018-05-04 CN CN201810421439.XA patent/CN108616594B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1564530A (zh) * | 2004-04-15 | 2005-01-12 | 沈春和 | 网络安全防护的分布式入侵检测与内网监控系统及方法 |
CN104980408A (zh) * | 2014-04-11 | 2015-10-14 | 中国移动通信集团陕西有限公司 | 恶意网站的封堵方法、装置以及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN108616594A (zh) | 2018-10-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3229407B1 (en) | Application signature generation and distribution | |
WO2018107784A1 (zh) | 检测网页后门的方法和装置 | |
RU2634209C1 (ru) | Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью | |
US10218733B1 (en) | System and method for detecting a malicious activity in a computing environment | |
CN107483260B (zh) | 故障处理方法及装置、电子设备 | |
US20140189861A1 (en) | System and method for correlating network information with subscriber information in a mobile network environment | |
JP2004507908A5 (zh) | ||
CA2947325A1 (en) | Protocol type identification method and apparatus | |
CN103368978A (zh) | 实现智能移动终端应用漏洞和通信安全检测的系统及方法 | |
CN111222019B (zh) | 特征提取的方法和装置 | |
CN108616594B (zh) | 基于dpdk的http旁路阻断方法 | |
CN110445883A (zh) | 一种物联网的通信方法和装置 | |
CN112020862A (zh) | 在远程网络上标识设备 | |
CN105634660A (zh) | 数据包检测方法及系统 | |
CN112968914B (zh) | 请求数据实时导入漏洞扫描器的系统、方法、设备及介质 | |
US20170064023A1 (en) | Page Push Method, Device, Server and System | |
CN113014573B (zh) | Dns服务器的监控方法、系统、电子装置和存储介质 | |
CN105530137A (zh) | 流量数据分析方法及流量数据分析系统 | |
KR101087291B1 (ko) | 인터넷을 사용하는 모든 단말을 구분하는 방법 및 시스템 | |
KR102423039B1 (ko) | 대용량 네트워크 모니터링을 위한 실시간 패킷 데이터 저장 방법 및 장치 | |
CN111600929B (zh) | 传输线路探测方法、路由策略生成方法及代理服务器 | |
CN116723020A (zh) | 网络服务模拟方法、装置、电子设备及存储介质 | |
CN107612831B (zh) | 一种访问源站的数据报文的传输方法及装置 | |
KR102423038B1 (ko) | 대용량 네트워크 모니터링을 위한 실시간 패킷 데이터 수집 방법 및 장치 | |
US20180048697A1 (en) | Method and apparatus for detecting access path |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |