CN108965061B - 数据包捕获设备及方法、还原设备及方法、系统和介质 - Google Patents
数据包捕获设备及方法、还原设备及方法、系统和介质 Download PDFInfo
- Publication number
- CN108965061B CN108965061B CN201810877530.2A CN201810877530A CN108965061B CN 108965061 B CN108965061 B CN 108965061B CN 201810877530 A CN201810877530 A CN 201810877530A CN 108965061 B CN108965061 B CN 108965061B
- Authority
- CN
- China
- Prior art keywords
- data packet
- network
- address
- network interface
- encapsulated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 238000004891 communication Methods 0.000 claims abstract description 41
- 238000012545 processing Methods 0.000 claims abstract description 33
- 238000011084 recovery Methods 0.000 claims abstract description 11
- 238000005538 encapsulation Methods 0.000 claims description 67
- 238000003012 network analysis Methods 0.000 claims description 39
- 238000012544 monitoring process Methods 0.000 claims description 19
- 238000012856 packing Methods 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 5
- 230000009467 reduction Effects 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 9
- 239000000284 extract Substances 0.000 description 4
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012098 association analyses Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的数据包捕获设备及方法、还原设备及方法、系统和介质,所述数据包捕获设备,包括:第一网络接口,通信连接第一网络;第二网络接口,通信连接第二网络,并用于通过所述第二网络通信连接数据包还原设备通信;数据处理电路,通信连接所述第一网络接口及第二网络接口,用于对从所述第一网络接口和/或第二网络接口捕获的原始网络数据包复制,且按预定格式封装所复制的原始网络数据包为封装数据包,并通过所述第二网络接口传送所述封装数据包至所述数据包还原设备,以供其还原为原始网络数据包;本发明实现利用轻量级数据包捕获设备将数据包发送远端集中分析处理,解决现有技术的问题。
Description
技术领域
本发明涉及网络技术领域,尤其涉及数据包捕获设备及方法、还原设备及方法、系统和介质。
背景技术
随着互联网的普及,上网的信息量越大越大,因此各种网络安全,网络流量分析,网络审计等平台(以下统称为网络分析平台)被大规模部署应用。这些平台实现的必不可少的一个手段就是对网络数据包捕获,捕获网络数据包的通用方法就是对网络数据镜像。
传统镜像数据包设备都是在网络本地部署,网络析平台与网络镜像设备连接也是在部署在本地。如果网络比较分散,网络分析平台部署数量也会随之增加,另外每个网络分析平台的数据都是比较独立的,很难做到关联分析,以致于网络分析的数据准确度不高。
发明内容
鉴于以上所述现有技术的缺点,本发明的目的在于提供数据包捕获设备及方法、还原设备及方法、系统和介质,解决现有技术中网络分析平台部署数量大、分散的问题。
为实现上述目标及其他相关目标,本发明提供一种数据包捕获设备,包括:第一网络接口,通信连接第一网络;第二网络接口,通信连接第二网络,并用于通过所述第二网络通信连接数据包还原设备通信;数据处理电路,通信连接所述第一网络接口及第二网络接口,用于对从所述第一网络接口和/或第二网络接口捕获的原始网络数据包复制,且按预定格式封装所复制的原始网络数据包为封装数据包,并通过所述第二网络接口传送至所述封装数据包至所述数据包还原设备,以供其还原为原始网络数据包。
于本发明的一实施例中,所述的数据包捕获设备还包括:线路切换单元,通信连接所述第一网络接口、第二网络接口及数据处理电路,用于切换第一网络接口与第二网络接口连通、或第一网络接口及第二网络接口同数据处理电路连通。
于本发明的一实施例中,所述线路切换单元包括控制端,用于在接收到表示所述数据包捕获设备处于正常工作状态的第一类型信号时,控制第一网络接口及第二网络接口同数据处理电路连通;或者,在接收到表示所述数据包捕获设备处于故障状态的第二类型信号时,控制第一网络接口与第二网络接口连通。
于本发明的一实施例中,所述第一网络及第二网络为互联网络;所述从所述第一网络接口和/或第二网络接口得到的原始网络数据包复制,且按预定格式封装所复制的原始网络数据包为封装数据包,包括:若所述原始网络数据包接收自第一网络接口,则从对其复制得到的复制数据包中提取源MAC地址、目地MAC地址及源IP地址;将所提取源MAC地址作为封装数据包的源MAC地址,将所提取目的MAC地址作为封装数据包的目的MAC地址,将所提取源IP地址作为封装数据包的源IP地址,将封装数据包的目的IP地址设为所述数据包还原设备的IP地址,将封装数据包的UDP目的端口设为指定的所述网络还原设备监听使用的端口,并将原始网络数据包装载于所述封装数据包的净荷中,而构造形成所述封装数据包。
于本发明的一实施例中,所述第一网络及第二网络为互联网络;所述从所述第一网络接口和/或第二网络接口得到的原始网络数据包复制,且按预定格式封装所复制的原始网络数据包为封装数据包,包括:若所述原始网络数据包接收自第二网络接口,则从对其复制得到的复制数据包中提取源MAC地址、目地MAC地址及目的IP地址;将所提取源MAC地址作为封装数据包的目的MAC地址,将所提取目的MAC地址作为封装数据包的源MAC地址,将所提取目的IP地址作为封装数据包的源IP地址,将封装数据包的目的IP地址设为所述数据包还原设备的IP地址,UDP目的端口使用指定的所述网络还原设备监听使用的端口,并将原始网络数据包装载于所述封装数据包的净荷中,而构造形成所述封装数据包。
于本发明的一实施例中,所述第一网络接口通信连接所述第一网络出口的网关设备。
为实现上述目标及其他相关目标,本发明提供一种数据包还原设备,通信连接第二网络并通过所述第二网络通信连接于数据包捕获设备,且通信连接于网络分析平台;所述数据包捕获设备还通信连接第一网络,所述数据包还原设备包括:第一网络接口,通信连接所述数据包捕获设备,以得到其发来的封装有捕获自第一网络或第二网络的原始网络数据包的封装数据包;第二网络接口,通信连接所述网络分析平台;数据处理电路,通信连接所述第一网络接口及第二网络接口,用于还原所述封装数据包以得到原始网络数据包,并通过所述第二网络接口发送到所述网络分析平台。
为实现上述目标及其他相关目标,本发明提供一种网络分析系统,包括:所述的数据包捕获设备;每个数据包捕获设备通信连接于至少一第一网络并连接于一第二网络,用于生成所述封装数据包并通过所述第二网络发送;所述的数据包还原设备,通过第二网络通信连接所述一或多个数据包捕获设备,用于接收所述封装数据包并还原得到原始网络数据包,并对外发送;网络分析平台,通信连接于所述数据包还原设备,用于接收所述还原得到的原始网络数据包以并据以进行网络分析。
为实现上述目标及其他相关目标,本发明提供一种数据包捕获方法,包括:对从连接于第一网络的第一网络接口和/或连接于第二网络的第二网络接口捕获的原始网络数据包复制,且按预定格式封装所复制的原始网络数据包为封装数据包;其中,所述第二网络接口通过所述第二网络通信连接数据包还原设备通信;通过所述第二网络接口传送所述封装数据包至至数据包还原设备,以供其还原为原始网络数据包。
于本发明的一实施例中,所述对从连接于第一网络的第一网络接口和/或连接于第二网络的第二网络接口捕获的原始网络数据包复制,且按预定格式封装所复制的原始网络数据包为封装数据包,包括:若所述原始网络数据包接收自第一网络接口,则从对其复制得到的复制数据包中提取源MAC地址、目地MAC地址及源IP地址;将所提取源MAC地址作为封装数据包的源MAC地址,将所提取目的MAC地址作为封装数据包的目的MAC地址,将所提取源IP地址作为封装数据包的源IP地址,将封装数据包的目的IP地址设为所述数据包还原设备的IP地址,将封装数据包的UDP目的端口设为指定的所述网络还原设备监听使用的端口,并将原始网络数据包装载于所述封装数据包的净荷中,而构造形成所述封装数据包。
于本发明的一实施例中,所述第一网络及第二网络为互联网络;对从连接于第一网络的第一网络接口和/或连接于第二网络的第二网络接口捕获的原始网络数据包复制,且按预定格式封装所复制的原始网络数据包为封装数据包,包括:若所述原始网络数据包接收自第二网络接口,则从对其复制得到的复制数据包中提取源MAC地址、目地MAC地址及目的IP地址;将所提取源MAC地址作为封装数据包的目的MAC地址,将所提取目的MAC地址作为封装数据包的源MAC地址,将所提取目的IP地址作为封装数据包的源IP地址,将封装数据包的目的IP地址设为所述数据包还原设备的IP地址,UDP目的端口使用指定的所述网络还原设备监听使用的端口,并将原始网络数据包装载于所述封装数据包的净荷中,而构造形成所述封装数据包。
为实现上述目标及其他相关目标,本发明提供一种网络数据包还原方法,包括:通过第二网络接收来自数据包捕获设备的封装有捕获自第一网络或第二网络的原始网络数据包的封装数据包;还原所述封装数据包以得到原始网络数据包并发送到网络分析平台。
为实现上述目标及其他相关目标,本发明提供一种计算机存储介质,存储有计算机程序,所述计算机程序运行时执行所述的数据包捕获方法,或执行所述的网络数据包还原方法。
如上所述,本发明的数据包捕获设备及方法、还原设备及方法、系统和介质,所述数据包捕获设备,包括:第一网络接口,通信连接第一网络;第二网络接口,通信连接第二网络,并用于通过所述第二网络通信连接数据包还原设备通信;数据处理电路,通信连接所述第一网络接口及第二网络接口,用于对从所述第一网络接口和/或第二网络接口捕获的原始网络数据包复制,且按预定格式封装所复制的原始网络数据包为封装数据包,并通过所述第二网络接口传送至所述封装数据包至所述数据包还原设备,以供其还原为原始网络数据包;本发明实现利用轻量级数据包捕获设备将数据包发送远端集中分析处理,解决现有技术的问题。
附图说明
图1显示为本发明实施例中网络分析系统的结构示意图。
图2显示为本发明实施例中数据包捕获设备的结构示意图。
图3显示为本发明实施例中数据包还原设备的结构示意图。
图4显示为本发明实施例中一种封装数据包的结构示意图。
图5显示为本发明实施例中另一种封装数据包的结构示意图。
图6显示为本发明实施例中数据包捕获方法的流程示意图。
图7显示为本发明实施例中数据包还原方法的流程示意图。
图8显示为本发明实施例中处理装置的结构示意图。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
本发明的技术方案应用于网络技术领域,所述网络可以是互联网,可分为局域网(Local Area Network,LAN)、广域网(Wide Area Network,WAN)和城域网(MetropolitanArea Network,MAN)等。
如图1所示,展示本发明实施例中网络分析系统的结构示意图。
如图所示,所述网络分析系统应用于具有第一网络101及第二网络102的环境中,所述第一网络101和第二网络102可以是基于TCP/IP协议的互联网络。
所述网络分析系统包括:数据包捕获设备103、数据包还原设备104及网络分析平台105。
所述数据包捕获设备103通信连接所述第一网络101及第二网络102,其可用于捕获来自第一网络101及第二网络102的原始网络数据包,镜像复制该原始网络数据包得到复制的原始网络数据包,将原始网络数据包按其原先路径继续转发,将复制的原始网络数据包按预定格式封装为封装数据包后,通过第二网络102发送到数据还原设备。
具体的,所述数据包捕获设备103可以通过通信连接于第一网络101出口的网关设备来接入第一网络101,所述网关设备例如为交换机或路由器等。
所述数据还原设备,用于对接收到的封装数据包加以还原得到原始网络数据包,发送给所述网络分析平台105进行分析。
在本发明的一或多个实施例中,所述数据包捕获设备103可以有多个,每个数据包捕获设备103对应监控一第一网络101,且通过第二网络102集中发送到所述数据包还原设备104并进一步集中到所述网络分析平台105进行分析。
由此,本发明可以实现通过集中部署少量的网络分析平台105,每个网络分析平台105可以一对多地对所需监控的多个网络进行远程监控及集中分析,有效提升效率。
在实际场景的一或多个实施例中,本发明的该网络分析系统可以应用于网络安全监控领域,举例来说,公安系统的网络取证,传统的取证方式都是如背景技术所述将网络取证平台部署在本地网络,由于取证的隐蔽密性以及网络取证平台的数据的保密性,在本地部署有可能会造成取证暴露以及数据的泄密隐患。
而采用本发明的网络分析系统的方案,网络分析平台105作为网络取证平台可以在远程部署,而本地的数据包捕获设备103是不存放数据的,由此可以保证取证数据安全;并且,如上分析所述,本发明的该网络分析系统应用于公安系统的网络取证可以减少网络取证平台的部署,且实现多点取证,且对多点取证数据集中进行关联分析。
在实际场景的一或多个实施例中,本发明的该网络分析系统还可以应用于机构总部(例如企、事业单位等)对其分支机构的上网行为监管,对企业上网流量的分析等。
如图2所示,展示本发明实施例中所述数据包捕获设备200的结构示意图。本实施例中的数据包捕获设备200可以用于实现图1实施例中的数据包捕获设备200。
所述数据包捕获设备200,包括:第一网络接口201、第二网络接口202及数据处理电路203。
所述第一网络接口201,通信连接第一网络。于本发明的一实施例中,所述第一网络接口201通信连接于第一网络出口的网关设备来接入第一网络,所述网关设备例如为交换机或路由器等。
所述第二网络接口202,通信连接第二网络,并用于通过所述第二网络通信连接数据包还原设备通信。
所述数据处理电路203,通信连接所述第一网络接口201及第二网络接口202,用于对从所述第一网络接口201和/或第二网络接口202捕获的原始网络数据包复制,且按预定格式封装所复制的原始网络数据包为封装数据包,并通过所述第二网络接口202传送至所述封装数据包至所述数据包还原设备,以供其还原为原始网络数据包。
于本发明的一实施例中,可选的,所述的数据包捕获设备200还包括:线路切换单元204,通信连接所述第一网络接口201、第二网络接口202及数据处理电路203,用于切换第一网络接口201与第二网络接口202连通、或第一网络接口201及第二网络接口202同数据处理电路203连通。
于本发明的一实施例中,所述线路切换单元204包括控制端,用于在接收到表示所述数据包捕获设备200处于正常工作状态的第一类型信号时,控制第一网络接口201及第二网络接口202同数据处理电路203连通;或者,在接收到表示所述数据包捕获设备200处于故障状态的第二类型信号时,控制第一网络接口201与第二网络接口202连通。
具体的,所述线路切换单元204用于在所述数据包捕获设备200能正常工作时,令第一网络接口201及第二网络接口202与数据处理电路203通信,所述数据处理电路203能执行上述接收原始网络数据包、镜像复制原始网络数据包、封装数据包并发送网络还原设备等功能,例如将从第一网络接口201接收的原始网络数据包通过第二网络接口202转发,并复制该原始网络数据包进行封装得到封装数据包,再将封装数据包通过该第二网络接口202发送到数据包还原设备,或者,也可以从第二网络接口202接收来自第二网络侧的原始网络数据包,并通过第一网络接口201转发到第一网络侧的通信设备;而当所述数据包捕获设备200出现故障时,所述线路切换单元204则切换至令第一网络接口201与第二网络接口202直接连通,不会影响原始网络数据包的传送。
于本发明的一实施例中,所述第一网络及第二网络为互联网络,遵循TCP/IP协议。
于本发明的一实施例中,所述封装数据包可以是基于UDP协议所定义的UDP格式的数据包。
按所述数据包捕获设备200来讲,有两种传送数据包的方式,一种是从第一网络接口201把数据包传送到第二网络接口202,另一种是从第二网络接口202把数据包传送到第一网络接口201,也就是分别对应上行、下行中的一者及另外一者;因此,所述数据包捕获设备200的封装方式按原始网络数据包来自第一网络接口201或第二网络接口202而不同。
所述数据处理电路203,若发现所接收到的原始网络数据包接收自第一网络接口201,则从对其复制得到的复制数据包中提取源MAC地址、目地MAC地址及源IP地址;将所提取源MAC地址作为封装数据包的源MAC地址,将所提取目的MAC地址作为封装数据包的目的MAC地址,将所提取源IP地址作为封装数据包的源IP地址,将封装数据包的目的IP地址设为所述数据包还原设备的IP地址,将封装数据包的UDP目的端口设为指定的所述网络还原设备监听使用的端口,并将原始网络数据包装载于所述封装数据包的净荷中,而构造形成所述封装数据包。
如图3所示,展示了根据来自第一网络接口的原始网络数据包得到的封装数据包的结构。
在图中所展示的原始网络数据包的结构中,A字段存储原始网络数据包的目的MAC地址,B字段存储原始网络数据包的源MAC地址,C字段存储原始网络数据包的目的IP地址,D字段存储原始网络数据包的源IP地址,E存储原始网络数据包的IP净荷数据。
而在封装数据包1中,F字段存储封装数据包的新目的MAC地址(即原始网络数据包的目的MAC地址),G字段存储封装数据包的新源MAC地址(即原始网络数据包的源MAC地址),H字段存储封装数据包的新目的IP地址(即数据包还原设备的IP地址),I字段存储封装数据包的新源IP地址(即原始网络数据包的源IP地址),J字段存储封装数据包的新目的UDP端口号(即为指定的所述网络还原设备监听使用的端口),K字段存储封装数据包的新源UDP端口号。
另外,所述数据处理电路,若所述原始网络数据包接收自第二网络接口,则从对其复制得到的复制数据包中提取源MAC地址、目地MAC地址及目的IP地址;将所提取源MAC地址作为封装数据包的目的MAC地址,将所提取目的MAC地址作为封装数据包的源MAC地址,将所提取目的IP地址作为封装数据包的源IP地址,将封装数据包的目的IP地址设为所述数据包还原设备的IP地址,UDP目的端口使用指定的所述网络还原设备监听使用的端口,并将原始网络数据包装载于所述封装数据包的净荷(例如UDP净荷)中,而构造形成所述封装数据包。
如图4所示,展示了根据来自第二网络接口的原始网络数据包得到的封装数据包的结构。
在图中所展示的原始网络数据包的结构中,A字段存储原始网络数据包的目的MAC地址,B字段存储原始网络数据包的源MAC地址,C字段存储原始网络数据包的目的IP地址,D字段存储原始网络数据包的源IP地址,E存储原始网络数据包的IP净荷数据。
而在封装数据包2中,F1字段存储封装数据包的新目的MAC地址(即原始网络数据包的源MAC地址),G字段存储封装数据包的新源MAC地址(即原始网络数据包的目的MAC地址),H1字段存储封装数据包的新目的IP地址(即数据包还原设备的IP地址),I1字段存储封装数据包的新源IP地址(即原始网络数据包的目的IP地址),J1字段存储封装数据包的新目的UDP端口号(即为指定的所述网络还原设备监听使用的端口),K1字段存储封装数据包的新源UDP端口号。
从上述可知,所述数据包捕获设备200是复制原始数据并借用原始网络数据包中的IP地址和MAC地址并封装数据包传到远端,数据包捕获设备200本身不需要配置IP地址,它是复制且不会改变原始网络数据包的传输路径,基本上可以做到即插即用,零配置,特别符合网络监控隐蔽性的特点。
并且,本发明的数据包捕获设备200可以有多个,分别对应不同的第一网络,因此,不会受到网络限制。
如图5所示,展示本发明实施例中的数据包还原设备500的结构示意图。本实施例中的数据包还原设备500可用于实现图1实施例中的数据包还原设备500。
所述数据包还原设备500包括:第一网络接口501、第二网络接口502及数据处理电路503。
所述第一网络接口501,通信连接所述数据包捕获设备,以得到其发来的封装有捕获自第一网络或第二网络的原始网络数据包的封装数据包。即例如图3或图4结构的封装数据包。
所述第二网络接口502,通信连接网络分析平台。
所述数据处理电路503,通信连接所述第一网络接口501及第二网络接口502,用于还原所述封装数据包以得到原始网络数据包,并通过所述第二网络接口502发送到所述网络分析平台。
于本发明的一实施例中,所述还原即去除图3或图4结构的封装数据包的封装,而从净荷中提取出原始网络数据包,发送给所述网络分析平台进行分析。
如图6所示,展示本发明提供的数据包捕获方法的流程示意图。所述数据包捕获方法可以应用于前述实施例中的数据包捕获设备。
所述数据包捕获方法包括:
步骤S601:对从连接于第一网络的第一网络接口和/或连接于第二网络的第二网络接口捕获的原始网络数据包复制,且按预定格式封装所复制的原始网络数据包为封装数据包;其中,所述第二网络接口通过所述第二网络通信连接数据包还原设备通信;
步骤S602:通过所述第二网络接口传送所述封装数据包至至数据包还原设备,以供其还原为原始网络数据包。
于本发明的一实施例中,所述对从连接于第一网络的第一网络接口和/或连接于第二网络的第二网络接口捕获的原始网络数据包复制,且按预定格式封装所复制的原始网络数据包为封装数据包,包括:若所述原始网络数据包接收自第一网络接口,则从对其复制得到的复制数据包中提取源MAC地址、目地MAC地址及源IP地址;将所提取源MAC地址作为封装数据包的源MAC地址,将所提取目的MAC地址作为封装数据包的目的MAC地址,将所提取源IP地址作为封装数据包的源IP地址,将封装数据包的目的IP地址设为所述数据包还原设备的IP地址,将封装数据包的UDP目的端口设为指定的所述网络还原设备监听使用的端口,并将原始网络数据包装载于所述封装数据包的净荷中,而构造形成所述封装数据包。
于本发明的一实施例中,所述第一网络及第二网络为互联网络;对从连接于第一网络的第一网络接口和/或连接于第二网络的第二网络接口捕获的原始网络数据包复制,且按预定格式封装所复制的原始网络数据包为封装数据包,包括:若所述原始网络数据包接收自第二网络接口,则从对其复制得到的复制数据包中提取源MAC地址、目地MAC地址及目的IP地址;将所提取源MAC地址作为封装数据包的目的MAC地址,将所提取目的MAC地址作为封装数据包的源MAC地址,将所提取目的IP地址作为封装数据包的源IP地址,将封装数据包的目的IP地址设为所述数据包还原设备的IP地址,UDP目的端口使用指定的所述网络还原设备监听使用的端口,并将原始网络数据包装载于所述封装数据包的净荷中,而构造形成所述封装数据包。
如图7所示,展示本发明实施例中的网络数据包还原方法的流程示意图。所述方法可以应用于前述实施例中的网络数据包还原设备。
所述方法包括:
步骤S701:通过第二网络接收来自数据包捕获设备的封装有捕获自第一网络或第二网络的原始网络数据包的封装数据包;
步骤S702:还原所述封装数据包以得到原始网络数据包并发送到网络分析平台。
于本发明的一实施例中,所述还原即去除图3或图4结构的封装数据包的封装,而从净荷中提取出原始网络数据包,发送给所述网络分析平台进行分析
如图8所示,展示本发明实施例中的一种处理装置,所述处理装置可应用于所述的数据包捕获设备或数据包还原设备,例如用作为所述数据包捕获设备或数据包还原设备中的数据处理电路。
所述处理装置包括:处理器801及存储器802,所述存储器802存储有软件程序,所述处理器801运行该软件程序以实现所对应的功能。
所述处理器801可以是通用处理器,包括中央处理器(CentralProcessingUnit,简称CPU)、网络处理器(NetworkProcessor,简称NP)等;还可以是数字信号处理器801(DigitalSignalProcessing,简称DSP)、专用集成电路(ApplicationSpecificIntegratedCircuit,简称ASIC)、现场可编程门阵列(Field-ProgrammableGateArray,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
所述存储器802可能包含随机存取存储器(RandomAccessMemory,简称RAM),也可能还包括非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。
在本发明的一或多个实施例中,本发明还能提供一种计算机存储介质,其可用于存储运行时执行如图6实施例中的数据包捕获方法的计算机程序,或存储运行时执行如图7实施例中的网络数据包还原方法的计算机程序。所述计算机存储介质包括所有形式的非易失性存储器、介质和存储器设备,包括例如:半导体存储器设备,例如EPROM、EEPROM和闪存设备;磁盘,例如内部硬盘或可移动盘;磁光盘;以及CD-ROM和DVD-ROM盘。
综上所述,本发明的数据包捕获设备及方法、还原设备及方法、系统和介质,所述数据包捕获设备,包括:第一网络接口,通信连接第一网络;第二网络接口,通信连接第二网络,并用于通过所述第二网络通信连接数据包还原设备通信;数据处理电路,通信连接所述第一网络接口及第二网络接口,用于对从所述第一网络接口和/或第二网络接口捕获的原始网络数据包复制,且按预定格式封装所复制的原始网络数据包为封装数据包,并通过所述第二网络接口传送至所述封装数据包至所述数据包还原设备,以供其还原为原始网络数据包;本发明实现利用轻量级数据包捕获设备将数据包发送远端集中分析处理,解决现有技术的问题。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
Claims (9)
1.一种数据包捕获设备,其特征在于,包括:
第一网络接口,通信连接第一网络;
第二网络接口,通信连接第二网络,并用于通过所述第二网络通信连接数据包还原设备通信;所述数据包还原设备通信连接于网络分析平台;
数据处理电路,通信连接所述第一网络接口及第二网络接口,用于对从所述第一网络接口和第二网络接口捕获的原始网络数据包复制,且按预定格式封装所复制的原始网络数据包为封装数据包,并通过所述第二网络接口传送所述封装数据包至所述数据包还原设备,以供其还原为原始网络数据包;
所述第一网络及第二网络为互联网络;所述对从所述第一网络接口和第二网络接口得到的原始网络数据包复制,且按预定格式封装所复制的原始网络数据包为封装数据包,包括:
若所述原始网络数据包接收自第一网络接口,则从对其复制得到的复制数据包中提取源MAC地址、目地MAC地址及源IP地址;
将所提取源MAC地址作为封装数据包的源MAC地址,将所提取目的MAC地址作为封装数据包的目的MAC地址,将所提取源IP地址作为封装数据包的源IP地址,将封装数据包的目的IP地址设为所述数据包还原设备的IP地址,将封装数据包的UDP目的端口设为指定的所述网络还原设备监听使用的端口,并将原始网络数据包装载于所述封装数据包的净荷中,而构造形成所述封装数据包;若所述原始网络数据包接收自第二网络接口,则从对其复制得到的复制数据包中提取源MAC地址、目地MAC地址及目的IP地址;将所提取源MAC地址作为封装数据包的目的MAC地址,将所提取目的MAC地址作为封装数据包的源MAC地址,将所提取目的IP地址作为封装数据包的源IP地址,将封装数据包的目的IP地址设为所述数据包还原设备的IP地址,UDP目的端口使用指定的所述网络还原设备监听使用的端口,并将原始网络数据包装载于所述封装数据包的净荷中,而构造形成所述封装数据包。
2.根据权利要求1所述的数据包捕获设备,其特征在于,还包括:线路切换单元,通信连接所述第一网络接口、第二网络接口及数据处理电路,用于切换第一网络接口与第二网络接口连通、或第一网络接口及第二网络接口同数据处理电路连通。
3.根据权利要求2所述的数据包捕获设备,其特征在于,所述线路切换单元包括控制端,用于在接收到表示所述数据包捕获设备处于正常工作状态的第一类型信号时,控制第一网络接口及第二网络接口同数据处理电路连通;或者,在接收到表示所述数据包捕获设备处于故障状态的第二类型信号时,控制第一网络接口与第二网络接口连通。
4.根据权利要求1所述的数据包捕获设备,其特征在于,所述第一网络接口通信连接所述第一网络出口的网关设备。
5.一种数据包还原设备,其特征在于,通信连接第二网络并通过所述第二网络通信连接于数据包捕获设备,且通信连接于网络分析平台;所述数据包捕获设备还通信连接第一网络,所述数据包还原设备包括:
第一网络接口,通信连接所述数据包捕获设备,以得到其发来的封装有捕获自第一网络或第二网络的原始网络数据包的封装数据包;
第二网络接口,通信连接所述网络分析平台;
数据处理电路,通信连接所述第一网络接口及第二网络接口,用于还原所述封装数据包以得到原始网络数据包,并通过所述第二网络接口发送到所述网络分析平台;
所述第一网络及第二网络为互联网络;所述数据包捕获设备包括通信连接第一网络的第一网络接口、以及通信连接第二网络的第二网络接口;
所述数据包捕获设备用于对从自身第一网络接口和自身第二网络接口得到的原始网络数据包复制,且按预定格式封装所复制的原始网络数据包为封装数据包,并通过自身第二网络接口传送所述封装数据包至所述数据包还原设备;所述数据包捕获设备对从自身第一网络接口和自身第二网络接口得到的原始网络数据包复制,且按预定格式封装所复制的原始网络数据包为封装数据,包括:
若所述原始网络数据包接收自数据包捕获设备的第一网络接口,则从对其复制得到的复制数据包中提取源MAC地址、目地MAC地址及源IP地址;
将所提取源MAC地址作为封装数据包的源MAC地址,将所提取目的MAC地址作为封装数据包的目的MAC地址,将所提取源IP地址作为封装数据包的源IP地址,将封装数据包的目的IP地址设为所述数据包还原设备的IP地址,将封装数据包的UDP目的端口设为指定的所述网络还原设备监听使用的端口,并将原始网络数据包装载于所述封装数据包的净荷中,而构造形成所述封装数据包;
若所述原始网络数据包接收自数据包捕获设备的第二网络接口,则从对其复制得到的复制数据包中提取源MAC地址、目地MAC地址及目的IP地址;将所提取源MAC地址作为封装数据包的目的MAC地址,将所提取目的MAC地址作为封装数据包的源MAC地址,将所提取目的IP地址作为封装数据包的源IP地址,将封装数据包的目的IP地址设为所述数据包还原设备的IP地址,UDP目的端口使用指定的所述网络还原设备监听使用的端口,并将原始网络数据包装载于所述封装数据包的净荷中,而构造形成所述封装数据包。
6.一种网络分析系统,其特征在于,包括:
一或多个如权利要求1至4中任一项所述的数据包捕获设备;每个数据包捕获设备通信连接于至少一第一网络并连接于一第二网络,用于生成所述封装数据包并通过所述第二网络发送;
如权利要求5所述的数据包还原设备,通过第二网络通信连接所述一或多个数据包捕获设备,用于接收所述封装数据包并还原得到原始网络数据包,并对外发送;
网络分析平台,通信连接于所述数据包还原设备,用于接收所述还原得到的原始网络数据包以并据以进行网络分析。
7.一种数据包捕获方法,其特征在于,包括:
对从连接于第一网络的第一网络接口和连接于第二网络的第二网络接口捕获的原始网络数据包复制,且按预定格式封装所复制的原始网络数据包为封装数据包;其中,所述第二网络接口通过所述第二网络通信连接数据包还原设备通信;
其中,所述第一网络及第二网络为互联网络;所述从所述第一网络接口和第二网络接口得到的原始网络数据包复制,且按预定格式封装所复制的原始网络数据包为封装数据包,包括:
若所述原始网络数据包接收自第一网络接口,则从对其复制得到的复制数据包中提取源MAC地址、目地MAC地址及源IP地址;将所提取源MAC地址作为封装数据包的源MAC地址,将所提取目的MAC地址作为封装数据包的目的MAC地址,将所提取源IP地址作为封装数据包的源IP地址,将封装数据包的目的IP地址设为所述数据包还原设备的IP地址,将封装数据包的UDP目的端口设为指定的所述网络还原设备监听使用的端口,并将原始网络数据包装载于所述封装数据包的净荷中,而构造形成所述封装数据包;
若所述原始网络数据包接收自第二网络接口,则从对其复制得到的复制数据包中提取源MAC地址、目地MAC地址及目的IP地址;将所提取源MAC地址作为封装数据包的目的MAC地址,将所提取目的MAC地址作为封装数据包的源MAC地址,将所提取目的IP地址作为封装数据包的源IP地址,将封装数据包的目的IP地址设为所述数据包还原设备的IP地址,UDP目的端口使用指定的所述网络还原设备监听使用的端口,并将原始网络数据包装载于所述封装数据包的净荷中,而构造形成所述封装数据包;
通过所述第二网络接口传送所述封装数据包至至数据包还原设备,以供其还原为原始网络数据包。
8.一种网络数据包还原方法,其特征在于,包括:
通过第二网络接收来自数据包捕获设备的封装有捕获自第一网络和第二网络的原始网络数据包的封装数据包;所述第一网络及第二网络为互联网络;所述数据包捕获设备包括通信连接第一网络的第一网络接口、以及通信连接第二网络的第二网络接口;所述数据包捕获设备用于对从自身第一网络接口和自身第二网络接口得到的原始网络数据包复制,且按预定格式封装所复制的原始网络数据包为封装数据包,并通过自身第二网络接口传送所述封装数据包至数据包还原设备;所述数据包捕获设备对从自身第一网络接口和自身第二网络接口得到的原始网络数据包复制,且按预定格式封装所复制的原始网络数据包为封装数据,包括:若所述原始网络数据包接收自数据包捕获设备的第一网络接口,则从对其复制得到的复制数据包中提取源MAC地址、目地MAC地址及源IP地址;将所提取源MAC地址作为封装数据包的源MAC地址,将所提取目的MAC地址作为封装数据包的目的MAC地址,将所提取源IP地址作为封装数据包的源IP地址,将封装数据包的目的IP地址设为所述数据包还原设备的IP地址,将封装数据包的UDP目的端口设为指定的所述网络还原设备监听使用的端口,并将原始网络数据包装载于所述封装数据包的净荷中,而构造形成所述封装数据包;若所述原始网络数据包接收自数据包捕获设备的第二网络接口,则从对其复制得到的复制数据包中提取源MAC地址、目地MAC地址及目的IP地址;将所提取源MAC地址作为封装数据包的目的MAC地址,将所提取目的MAC地址作为封装数据包的源MAC地址,将所提取目的IP地址作为封装数据包的源IP地址,将封装数据包的目的IP地址设为所述数据包还原设备的IP地址,UDP目的端口使用指定的所述网络还原设备监听使用的端口,并将原始网络数据包装载于所述封装数据包的净荷中,而构造形成所述封装数据包;
还原所述封装数据包以得到原始网络数据包并发送到网络分析平台。
9.一种计算机存储介质,其特征在于,存储有计算机程序,所述计算机程序运行时执行如权利要求7所述的数据包捕获方法,或执行如权利要求8所述的网络数据包还原方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810877530.2A CN108965061B (zh) | 2018-08-03 | 2018-08-03 | 数据包捕获设备及方法、还原设备及方法、系统和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810877530.2A CN108965061B (zh) | 2018-08-03 | 2018-08-03 | 数据包捕获设备及方法、还原设备及方法、系统和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108965061A CN108965061A (zh) | 2018-12-07 |
| CN108965061B true CN108965061B (zh) | 2024-02-02 |
Family
ID=64467046
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810877530.2A Active CN108965061B (zh) | 2018-08-03 | 2018-08-03 | 数据包捕获设备及方法、还原设备及方法、系统和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108965061B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110535743B (zh) * | 2019-08-19 | 2022-04-26 | 厦门亿联网络技术股份有限公司 | 一种数据包的处理方法、装置、存储介质及电子装置 |
| CN112491571B (zh) * | 2019-09-11 | 2022-03-18 | 比亚迪股份有限公司 | 网络数据调试方法和装置,存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101043387A (zh) * | 2007-03-22 | 2007-09-26 | 杭州华三通信技术有限公司 | 远程镜像实现方法、远程监控设备及实现远程镜像的系统 |
| CN101068229A (zh) * | 2007-06-08 | 2007-11-07 | 北京工业大学 | 一种基于网络过滤器的内容过滤网关实现方法 |
| CN102291272A (zh) * | 2010-06-15 | 2011-12-21 | Jds尤尼弗思公司 | 设备或网络的远程动态测试方法 |
| US8520540B1 (en) * | 2010-07-30 | 2013-08-27 | Cisco Technology, Inc. | Remote traffic monitoring through a network |
| CN104883631A (zh) * | 2015-05-13 | 2015-09-02 | 烽火通信科技股份有限公司 | 网络数据包获取系统及获取方法 |
| CN105207834A (zh) * | 2014-06-25 | 2015-12-30 | 中兴通讯股份有限公司 | 一种报文采集方法、系统、网络设备及网管中心 |
| CN107026784A (zh) * | 2017-06-13 | 2017-08-08 | 电子科技大学 | 一种远程虚拟专网网关装置及实现方法 |
| CN209046663U (zh) * | 2018-08-03 | 2019-06-28 | 上海欣诺通信技术股份有限公司 | 数据包捕获设备、还原设备及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050220091A1 (en) * | 2004-03-31 | 2005-10-06 | Lavigne Bruce E | Secure remote mirroring |
-
2018
- 2018-08-03 CN CN201810877530.2A patent/CN108965061B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101043387A (zh) * | 2007-03-22 | 2007-09-26 | 杭州华三通信技术有限公司 | 远程镜像实现方法、远程监控设备及实现远程镜像的系统 |
| CN101068229A (zh) * | 2007-06-08 | 2007-11-07 | 北京工业大学 | 一种基于网络过滤器的内容过滤网关实现方法 |
| CN102291272A (zh) * | 2010-06-15 | 2011-12-21 | Jds尤尼弗思公司 | 设备或网络的远程动态测试方法 |
| US8520540B1 (en) * | 2010-07-30 | 2013-08-27 | Cisco Technology, Inc. | Remote traffic monitoring through a network |
| CN105207834A (zh) * | 2014-06-25 | 2015-12-30 | 中兴通讯股份有限公司 | 一种报文采集方法、系统、网络设备及网管中心 |
| CN104883631A (zh) * | 2015-05-13 | 2015-09-02 | 烽火通信科技股份有限公司 | 网络数据包获取系统及获取方法 |
| CN107026784A (zh) * | 2017-06-13 | 2017-08-08 | 电子科技大学 | 一种远程虚拟专网网关装置及实现方法 |
| CN209046663U (zh) * | 2018-08-03 | 2019-06-28 | 上海欣诺通信技术股份有限公司 | 数据包捕获设备、还原设备及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108965061A (zh) | 2018-12-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Antonioli et al. | MiniCPS: A toolkit for security research on CPS networks | |
| CN1761240B (zh) | 用于高度可实现性应用的智能集成网络安全设备 | |
| Nam et al. | A Study on SDN security enhancement using open source IDS/IPS Suricata | |
| CN101820383B (zh) | 限制交换机远程访问的方法及装置 | |
| Sidki et al. | Fault tolerant mechanisms for SDN controllers | |
| EP3140976B1 (en) | Apparatus, systems, platforms, and methods for securing communication data exchanges between multiple networks for industrial and non-industrial applications | |
| CN108965061B (zh) | 数据包捕获设备及方法、还原设备及方法、系统和介质 | |
| US20150142932A1 (en) | Network element and a controller for managing the network element | |
| US20150163198A1 (en) | Methods and apparatus for providing controlled unidirectional flow of data | |
| CN108390937B (zh) | 远程监控方法、装置及存储介质 | |
| CN111314276A (zh) | 一种对多个攻击行为检测的方法、装置及系统 | |
| CN105208352B (zh) | 一种网络视频安全监控系统及物理隔离方法 | |
| Januário et al. | Security challenges in SCADA systems over Wireless Sensor and Actuator Networks | |
| Pfeiffenberger et al. | Evaluation of software-defined networking for power systems | |
| WO2016091094A1 (zh) | 一种光传送网的保护倒换方法及装置 | |
| Irvene et al. | If i knew then what i know now: On reevaluating dnp3 security using power substation traffic | |
| CN105743868A (zh) | 一种支持加密和非加密协议的数据采集系统与方法 | |
| CN209046663U (zh) | 数据包捕获设备、还原设备及系统 | |
| Jafary et al. | Security and reliability analysis of a use case in smart grid substation automation systems | |
| CN111149105B (zh) | 用于立即并且无反作用地传输日志消息的方法和设备 | |
| Ciancamerla et al. | An electrical grid and its SCADA under cyber attacks: Modelling versus a Hybrid Test Bed | |
| RU2660627C2 (ru) | Способ динамического контроля соответствия настроек коммутационных устройств программно-конфигурируемой сети требованиям политик маршрутизации | |
| EP4181431A1 (en) | Service transmission method and apparatus, network device, and storage medium | |
| US10237122B2 (en) | Methods, systems, and computer readable media for providing high availability support at a bypass switch | |
| WO2015120547A1 (en) | Seamless switchover for anti-replay connections in multiple network processor systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |