CN111245858A - 网络流量拦截方法、系统、装置、计算机设备和存储介质 - Google Patents
网络流量拦截方法、系统、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN111245858A CN111245858A CN202010058918.7A CN202010058918A CN111245858A CN 111245858 A CN111245858 A CN 111245858A CN 202010058918 A CN202010058918 A CN 202010058918A CN 111245858 A CN111245858 A CN 111245858A
- Authority
- CN
- China
- Prior art keywords
- address
- authenticated
- network
- shared memory
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
Abstract
本申请涉及一种网络流量拦截方法、系统、装置、计算机设备和存储介质。通过获取需要对网络设备进行访问的流量中的采用TCP/IP协议传输的数据包,还可以获取该数据包中的源IP地址,再可以利用共享内存通信机制访问预设的共享内存,从共享内存中获取针对网络设备的已认证IP地址,再可以根据源IP地址和上述针对网络设备的已认证IP地址,确定是否拦截上述流量。相较于传统的通过网桥部署方式和旁挂部署方式,本方案通过将流量中采用TCP/IP协议传输的数据包中的源IP地址与共享内存中存储的针对网络设备的认证用户的已认证IP地址进行对比,可以确定是否拦截上述流量,实现更直接地拦截不符合条件的流量,提高了拦截网络流量的效率。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种网络流量拦截方法、系统、装置、计算机设备和存储介质。
背景技术
随着互联网通信技术的发展,计算机设备之间的网络通信越来越频繁,网络安全对于用户也越来越重要,维护网络安全包括抵御网络外部的安全威胁和网络内部的安全威胁。其中,抵御网络外部安全威胁通常通过在网关级别和网络边界等方面进行防御,网络安全设备大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小,相反,如何抵御来自网络内部的计算机客户端的安全威胁是更为重要的问题,而要抵御网络内部的安全威胁需要对网络流量进行监控。
传统的对网络流量进行监控拦截的方法通常是通过网桥部署或旁挂部署方式对网络流量进行拦截,其中,网桥部署方式直接将设备放在网络出口作为网关使用;而旁挂部署的方式下的设备仅对网络流量进行统计、扫描或记录,然而这两种方式下的网络流量拦截效率都比较低。
因此,传统的网络流量拦截方法存在拦截效率不高的缺陷。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高监控效率的网络流量拦截方法、系统、装置、计算机设备和存储介质。
一种网络流量拦截方法,应用于拦截器,所述拦截器与交换机连接,所述方法包括:
获取需要对网络设备进行访问的流量中的采用TCP/IP协议传输的数据包;
获取所述数据包中的源IP地址;
利用共享内存通信机制访问预设的共享内存,从所述共享内存中获取针对所述网络设备的已认证IP地址;所述共享内存中存储有针对所述网络设备的多个认证用户的已认证IP地址;
根据所述源IP地址和所述针对所述网络设备的已认证IP地址,确定是否拦截所述流量。
在一个实施例中,所述获取需要对网络设备进行访问的流量中的采用TCP/IP协议传输的数据包,包括:
通过所述拦截器的数据平台开发套件接口,从所述交换机中接收需要对网络设备进行访问的流量中的TCP流量;所述交换机通过预设网络通信协议从应用层转发得到需要对网络设备进行访问的流量;
从所述需要对网络设备进行访问的流量中的TCP流量中获取所述采用TCP/IP协议传输的数据包。
在一个实施例中,根据所述源IP地址和所述针对所述网络设备的已认证IP地址,确定是否拦截所述流量,包括:
判断所述源IP地址与所述针对所述网络设备的已认证IP地址是否一致,得到判断结果;
当所述判断结果为一致时,确定不拦截所述流量;
当所述判断结果为不一致时,确定拦截所述流量。
在一个实施例中,确定不拦截所述流量之后,包括:
释放所述数据包,以使所述流量对所述对网络设备进行访问。
在一个实施例中,所述确定拦截所述流量之后,包括:
构建与所述采用TCP/IP协议传输的数据包对应的RST包;
将所述RST包发送至需要对所述网络设备进行访问的目标设备,以关闭包括所述目标设备与所述网络设备的网络连接。
一种网络流量拦截系统,包括:分流器、多个拦截器、共享内存和共享内存控制器;所述多个拦截器分别与所述分流器和所述共享内存连接,所述共享内存与所述共享内存控制器连接;
所述分流器用于将需要对网络设备进行访问的镜像流量发送至所述多个拦截器;
所述多个拦截器中的至少一个拦截器,用于获取需要对网络设备进行访问的流量中的采用TCP/IP协议传输的数据包;获取所述数据包中的源IP地址;利用共享内存通信机制访问所述共享内存,从所述共享内存中获取针对所述网络设备的已认证IP地址;所述共享内存中存储有针对所述网络设备的多个认证用户的已认证IP地址;根据所述源IP地址和所述针对所述网络设备的访问流量的认证用户的已认证IP地址,确定是否拦截所述流量;
所述共享内存控制器用于将针对所述网络设备的认证用户的已认证IP地址存储在所述共享内存中。
在一个实施例中,所述系统还包括:认证单元;
所述认证单元用于获取针对所述网络设备的待认证用户的用户名和密码;当认证用户数据库中存储有所述待认证用户的用户名和密码,确定所述待认证用户通过认证;将通过认证的用户的IP地址发送至所述共享内存控制器。
一种网络流量拦截装置,应用于拦截器,所述装置包括:
第一获取模块,用于获取需要对网络设备进行访问的流量中的采用TCP/IP协议传输的数据包;获取所述数据包中的源IP地址;
第二获取模块,用于利用共享内存通信机制访问预设的共享内存,从所述共享内存中获取针对所述网络设备的已认证IP地址;所述共享内存中存储有针对所述网络设备的多个认证用户的已认证IP地址;
判断模块,用于根据所述源IP地址和所述针对所述网络设备的已认证IP地址,确定是否拦截所述流量。
一种计算机设备,包括处理器和存储器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现如上所述的网络流量拦截方法。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的网络流量拦截方法。
上述网络流量拦截方法、系统、装置、计算机设备和存储介质,通过获取需要对网络设备进行访问的流量中的采用TCP/IP协议传输的数据包,还可以获取该数据包中的源IP地址,再可以利用共享内存通信机制访问预设的共享内存,从共享内存中获取针对网络设备的已认证IP地址,再可以根据源IP地址和上述针对网络设备的已认证IP地址,确定是否拦截上述流量。相较于传统的通过网桥部署方式和旁挂部署方式,本方案通过将流量中采用TCP/IP协议传输的数据包中的源IP地址与共享内存中存储的针对网络设备的认证用户的已认证IP地址进行对比,可以确定是否拦截上述流量,实现更直接地拦截不符合条件的流量,提高了拦截网络流量的效率。
附图说明
图1为一个实施例中网络流量拦截方法的应用环境图;
图2为一个实施例中网络流量拦截方法的流程示意图;
图3为另一个实施例中网络流量拦截方法的流程示意图;
图4为一个实施例中网络流量拦截系统的结构示意图;
图5为一个实施例中网络流量拦截装置的结构框图;
图6为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的网络流量拦截方法,可以应用于如图1所示的应用环境中。其中,拦截器102通过网络与交换机104进行通信。拦截器102可以通过交换机104获取网络流量中的采用TCP/IP传输协议的数据包,还可以从这些数据包中获取源IP地址,再可以根据共享内存中存储的认证用户的已认证IP地址,确定上述网络流量是否需要拦截。在一个实施例中,还包括共享内存控制器,共享内存控制器可以将认证用户的已认证IP地址存储在共享内存中,使得拦截器102可以从共享内存中获取认证用户的已认证IP地址。其中,交换机104可以用独立的交换机或者是多个交换机组成的交换机集群来实现。
在一个实施例中,如图2所示,提供了一种网络流量拦截方法,以该方法应用于图1中的拦截器为例进行说明,包括以下步骤:
步骤S202,获取需要对网络设备进行访问的流量中的采用TCP/IP协议传输的数据包。
其中,网络设备可以是接入网络设电子设备,可以包括有个人计算机、笔记本电脑、智能手机和平板电脑等。TCP/IP(Transmission Control Protocol/InternetProtocol,传输控制协议/网际协议)是指能够在多个不同网络间实现信息传输的协议簇,它是在网络的使用中的最基本的通信协议。TCP/IP传输协议对互联网中各部分进行通信的标准和方法进行了规定。并且,TCP/IP传输协议是保证网络数据信息及时、完整传输的两个重要的协议。TCP/IP传输协议是严格来说是一个四层的体系结构,应用层、传输层、网络层和数据链路层都包含其中。数据包是TCP/IP协议通信传输中的数据单位,在包交换网络里,单个消息被划分为多个数据块,这些数据块称为包,它包含发送者和接收者的地址信息。这些包然后沿着不同的路径在一个或多个网络中传输,并且在目的地重新组合。拦截器102可以通过分流器的转发得到需要对上述网络设备进行访问的网络流量,其中分流器可以是采用OpenFlow协议的分流器,OpenFlow可以是一种网络通信协议,属于数据链路层,能够控制网上交换器或路由器的转发平面,借此改变网络数据包所走的网络路径。OpenFlow允许从远程控制网络交换器的数据包转送表,透过新增、修改与移除数据包控制规则与行动,来改变数据包转送的路径。比起用访问控制表和路由协议,允许更复杂的流量管理。
步骤S204,获取上述数据包中的源IP地址。
其中,IP可以是Internet Protocol(网际互连协议)的缩写,是TCP/IP体系中的网络层协议,IP是整个TCP/IP协议族的核心,也是构成互联网的基础。IP位于TCP/IP模型的网络层,对上可载送传输层各种协议的信息,例如TCP、UDP等;对下可将IP信息包放到链路层,通过以太网、令牌环网络等各种技术来传送。上述数据包中可以包括有源IP地址,源IP地址可以是发送该数据包的位置的IP地址,该源IP地址可以包括在TCP/IP五元组中,TCP/IP五元组是一种通信术语,通常是指源IP地址,源端口,目的IP地址,目的端口和传输层协议五个元素组成的一组参数,TCP/IP五元组可以包括在上述网络流量中。拦截器102可以在上述数据包中获取该数据包的源IP地址。其中数据包的数量可以是一个也可以是多个。
步骤S206,利用共享内存通信机制访问预设的共享内存,从共享内存中获取针对网络设备的已认证IP地址;共享内存中存储有针对网络设备的多个认证用户的已认证IP地址。
其中,共享内存可以是在多处理器的计算机系统中,可以被不同中央处理器访问的大容量内存。共享内存是Unix下的多进程之间的通信方法,这种方法通常用于一个程序的多进程间通信,实际上多个程序间也可以通过共享内存来传递信息。认证用户可以是经过预设条件认证后判定为合法的用户,认证用户可以对网络设备进行相应的操作。拦截器102可以根据共享内存可供快速访问的特点,从共享内存中获取针对网络设备的已认证IP地址,该已认证IP地址可以是上述网络设备允许被访问的IP地址,已认证IP地址可以是一个,也可以是多个,共享内存中可以存储有多个已认证用户的已认证IP地址,上述已认证IP地址可以从上述多个已认证用户的已认证IP地址中获取。
步骤S208,根据源IP地址和针对网络设备的已认证IP地址,确定是否拦截上述流量。
其中,源IP地址可以是上述数据包中的源IP地址。针对网络设备的已认证IP地址可以是上述从共享内存中获取的针对网络设备的已认证IP地址。拦截器102可以根据上述源IP地址和针对网络设备的已认证IP地址,确定是否拦截上述网络流量。具体地,在一个实施例中,根据源IP地址和针对所述网络设备的已认证IP地址,确定是否拦截流量,包括:判断源IP地址与针对网络设备的已认证IP地址是否一致,得到判断结果;当判断结果为一致时,确定不拦截所述流量;当判断结果为不一致时,确定拦截所述流量。本实施例中,不同的网络设备可以对没有通过认证的IP地址进行拦截,并且可以供从已认证的IP地址发送的流量访问相应的网络设备。拦截器102可以通过将上述源IP地址与上述针对网络设备的已认证IP地址进行对比,判断上述源IP地址和上述针对网络设备的已认证IP地址是否一致,确定是否拦截上述网络流量。具体地,当上述判断的结果为一致时,可以确定不拦截上述网络流量,即可以允许上述网络流量相应的网络设备;当上述判断结果为不一致时,可以确定需要拦截上述网络流量,即可以不允许上述网络流量访问其需要访问的网络设备。通过本实施例,拦截器102可以通过判断源IP地址和针对网络设备的已认证IP地址是否一致,确定是否需要拦截网络流量,实现更直接地拦截网络流量,提高网络流量拦截的效率。
上述网络流量拦截方法,通过获取需要对网络设备进行访问的流量中的采用TCP/IP协议传输的数据包,还可以获取该数据包中的源IP地址,再可以利用共享内存通信机制访问预设的共享内存,从共享内存中获取针对网络设备的已认证IP地址,再可以根据源IP地址和上述针对网络设备的已认证IP地址,确定是否拦截上述流量。相较于传统的通过网桥部署方式和旁挂部署方式,本方法通过将流量中采用TCP/IP协议传输的数据包中的源IP地址与共享内存中存储的针对网络设备的认证用户的已认证IP地址进行对比,可以确定是否拦截上述流量,实现更直接地拦截不符合条件的流量,提高了拦截网络流量的效率。
在一个实施例中,获取需要对网络设备进行访问的流量中的采用TCP/IP协议传输的数据包,包括:通过拦截器102的数据平台开发套件接口,从交换机104中接收需要对网络设备进行访问的流量中的TCP流量;交换机104通过预设网络通信协议从应用层转发得到需要对网络设备进行访问的流量;从需要对网络设备进行访问的流量中的TCP流量中获取采用TCP/IP协议传输的数据包。
本实施例中,拦截器102可以包括数据平台开发套件的接口,数据平台开发套件可以称为DPDK(Data Plane Development Kit,数据平面开发套件),DPDK是由Intel等多家公司开发,主要基于Linux系统运行,可以用于快速数据包处理的函数库与驱动集合,可以极大提高数据处理性能和吞吐量,提高数据平面应用程序的工作效率。上述网络流量可以经过交换机104,拦截器102可以从交换机104中获取上述需要对网络设备进行访问的网络流量中的TCP流量,TCP流量可以是采用TCP协议的流量,TCP协议可以是传输控制协议,是为了在不可靠的互联网络上提供可靠的端到端字节流而专门设计的一个传输协议。预设网络通信协议可以是上述OpenFlow网络通信协议,即可以是一种网络通信协议,属于数据链路层,能够控制网上交换器或路由器的转发平面,借此改变网络数据包所走的网络路径。OpenFlow允许从远程控制网络交换器的数据包转送表,透过新增、修改与移除数据包控制规则与行动,来改变数据包转送的路径。比起用访问控制表和路由协议,允许更复杂的流量管理。交换机104可以通过上述预设网络通信协议,从应用层转发得到需要对网络设备进行访问的流量,应用层可以是OSI(Open System Interconnect,开放式系统互联)参考模型中的一层,OSI参考模型是ISO组织在1985年研究的网络互联模型。该体系结构标准定义了网络互联的七层框架,可以包括物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。拦截器102获取到从应用层转发得到的流量后,可以从中获取TCP流量,还可以从TCP流量中获取采用TCP/IP协议传输的数据包。通过本实施例,拦截器102可以通过数据平台开发套件的接口快速接收需要对网络设备进行访问的TCP流量,提高了获取流量的效率,从而提高了判断网络流量是否需要拦截的效率。
在一个实施例中,确定不拦截所述流量之后,包括:释放数据包,以使流量对对网络设备进行访问。
本实施例中,数据包可以是上述需要对网络设备进行访问的流量中的数据包,该数据包可以包括多种信息,例如可以包括MAC地址、IP地址和协议类型的端口号等,当拦截器102判断不需要拦截上述网络流量后,可以释放该数据包,使得包含该数据包的流量可以对其需要访问的网络设备进行访问,例如可以对某个计算机用户进行访问等。具体地,拦截器102可以将不需要拦截的流量,通过交换机104,发送至下级设备,例如可以是路由器等,下级设备可以将该流量继续传输,发送至对应的终端网络设备,实现对相应的网络设备进行访问。通过本实施例,拦截器102可以在确定不需要拦截上述流量后,释放相应的数据包,允许该流量访问相应的网络设备,实现网络设备间正常通信的效果。
在一个实施例中,确定拦截流量之后,包括:构建与采用TCP/IP协议传输的数据包对应的RST包;将RST包发送至需要对网络设备进行访问的目标设备,以关闭包括目标设备与网络设备的网络连接。
本实施例中,RST包可以是用于中断网络连接的数据包,其中可以包括RST标志位,RST标志位中的RST可以是TCP首部中的6个标志比特之一,可以表示重置连接、复位连接。RST可以表示复位,可以用来表示异常的关闭连接,在TCP的设计中它是不可或缺的。发送RST包关闭连接时,不必等缓冲区的包都发出去,可以直接丢弃缓存区的包,并发送RST包,而接收端收到RST包后,可以直接关闭连接,也不必发送ACK包来确认。其中,ACK(Acknowledge character,确认字符)可以是确认字符,在数据通信中,接收站发给发送站的一种传输类控制字符,可以表示发来的数据已确认接收无误,在TCP/IP协议中,如果接收方成功的接收到数据,可以会回复一个ACK数据,通常ACK信号有自己固定的格式,长度大小,可以由接收端回复给发送端。拦截器102在确定需要对上述网络流量进行拦截后,可以构建与包括上述采用TCP/IP协议传输的数据包的网络流量对应的RST包,然后可以将该RST包发送至需要对上述网络设备进行访问的目标设备,使得该目标设备关闭包括上述目标设备和上述网络设备的网络连接。其中,RST包可以从出口网卡组之一发出,目标设备可以是发送上述网络流量的设备。具体地,拦截器102可以首先获取网络端口总数,还可以遍历每个网络端口,进行设备检查,然后可以采用轮询模式处理数据包,例如可以首先获取数据包,然后可以对数据包进行相应的处理,例如可以构建相应的RST包等,再可以发送处理好的数据包至相应的接收端,当发送数据包失败时,还可以释放相应的内存。其中,轮询模式是一种CPU决策如何提供周边设备服务的方式,又可以称“程控输入输出”。轮询法的概念可以是:由CPU定时发出询问,依序询问每一个周边设备是否需要其服务,有即给予服务,服务结束后再问下一个周边,接着不断周而复始。通过本实施例,拦截器102可以在确定需要拦截网络流量时,构建相应的RST包,并发送至该流量的发送方处,使其断开与网络设备的连接,实现了更高效地保证了访问网络设备的网络流量的安全,提高了网络拦截的效率。
在一个实施例中,如图3所示,图3为另一个实施例中网络流量拦截方法的流程示意图。采用OpenFlow网络通信协议的分流器可以将流量进行分发,具体地,可以将协议类型为TCP协议的流量发送至拦截器102,拦截器102可以通过DPDK接口接收上述流量并获取其中的数据包,还可以从数据包中提取出源IP地址。另一方面,网络设备可以根据用户信息对用户进行认证,例如账号和密码等,还可以将通过认证的用户信息发送至共享内存控制器,共享内存控制器可以将上述用户信息发送至共享内存中进行存储。其中上述用户信息中可以包括认证用户的已认证IP地址、用户名和用户产生的流量数据等,具体地,共享内存控制器可以首先获取认证用户的实名信息,例如用户的认证IP地址、用户名和流量数据等,然后可以向共享内存中批量添加用户的实名信息,拦截器102和网络内部的其他设备可以根据用户名从共享内存中获取用户的实名信息,也可以根据认证的IP地址从共享内存中获取用户的实名信息;当上述用户的实名信息使用完毕后,还可以根据用户名从内存队列中删除用户信息,也可以根据用户的认证IP地址从内存队列中删除用户信息。拦截器102可以从共享内存中获取用户的认证IP地址,并且可以和上述数据包的源IP地址进行比较,当上述认证IP地址与上述源IP地址不同时,可以确定需要拦截该网络流量,同时可以构建与该数据包对应的RST包,并发送至该流量的发送端,使得该发送端断开与上述网络设备的连接。通过本实施例,拦截器102可以通过OpenFlow流量分发器的转发,从DPDK接口接收到需要对网络设备进行访问的流量,并且可以从其中的数据包提取源IP地址,还可以从共享内存中获取针对网络设备的用户认证的IP地址,并将用户认证的IP地址与源IP地址进行比较,不同时可以拦截该流量,还可以构建相应的RST包,发送至该网络流量的发送端,使得该发送端断开网络连接,实现更高效地拦截不符合要求的网络流量,提高了网络流量拦截的效率。
在一个实施例中,如图4所示,图4为一个实施例中网络流量拦截系统的结构示意图。提供一种网络流量拦截系统,该系统包括:分流器、多个拦截器、共享内存和共享内存控制器;多个拦截器102分别与分流器和共享内存连接,共享内存与共享内存控制器连接;
分流器用于将需要对网络设备进行访问的镜像流量发送至拦截器;其中,分流器可以是采用OpenFlow网络通信协议的分流器。
拦截器102用于获取需要对网络设备进行访问的流量中的采用TCP/IP协议传输的数据包;获取数据包中的源IP地址;利用共享内存通信机制访问共享内存,从共享内存中获取针对网络设备的已认证IP地址;共享内存中存储有针对网络设备的多个认证用户的已认证IP地址;根据源IP地址和针对网络设备的访问流量的认证用户的已认证IP地址,确定是否拦截流量。其中拦截器102可以由多个拦截器组成。
共享内存控制器用于将针对网络设备的认证用户的已认证IP地址存储在共享内存中。
本实施例中,拦截器102可以以软件形式部署在相应硬件中,需要对上述网络设备进行访问的流量可以有相应的镜像流量,分流器可以接受该镜像流量并转发至拦截器102,分流器可以是采用OpenFlow网络通信协议的分流器,拦截器102可以通过DPDK接口接收上述网络流量,并且可以获取其中的数据包,其中,数据包中可以包括有多种信息,例如源IP地址等,拦截器102可以由多个DPDK拦截器组成,如图4中的DPDK拦截器1至4,多个DPDK拦截器可以通过共享内存通信机制从共享内存中获取实时用户认证的信息,例如可以是用户认证的IP地址等,其中,共享内存中的实时用户认证信息可以是共享内存控制器将认证的用户信息存储得到,多个DPDK拦截器可以根据上述数据包中的信息和共享内存中的实时用户认证信息进行比较,判断是否需要拦截上述网络流量。通过本实施例,拦截器102可以由多个DPDK拦截器组成,同时还可以根据网络流量中的数据包信息和实时用户认证信息进行比较,决定是否需要拦截上述网络流量,实现了更高效的拦截不符合要求的网络流量,提高了网络流量拦截的效率。
在一个实施例中,上述系统还包括:认证单元;认证单元用于获取针对网络设备的待认证用户的用户名和密码;当认证用户数据库中存储有待认证用户的用户名和密码,确定待认证用户通过认证;将通过认证的用户的IP地址发送至所述共享内存控制器。
应该理解的是,虽然图2-4的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-4中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图5所示,图5为一个实施例中网络流量拦截装置的结构框图。提供了一种网络流量拦截装置,应用于拦截器102,包括:第一获取模块500、第二获取模块502和判断模块504模块,其中:
第一获取模块500,用于获取需要对网络设备进行访问的流量中的采用TCP/IP协议传输的数据包;获取数据包中的源IP地址。
第二获取模块502,用于利用共享内存通信机制访问预设的共享内存,从共享内存中获取针对网络设备的已认证IP地址;共享内存中存储有针对网络设备的多个认证用户的已认证IP地址。
判断模块504,用于根据源IP地址和所述针对网络设备的已认证IP地址,确定是否拦截流量。
在一个实施例中,第一获取模块500还用于,通过拦截器102的数据平台开发套件接口,从交换机104中接收需要对网络设备进行访问的流量中的TCP流量;交换机104通过预设网络通信协议从应用层转发得到需要对网络设备进行访问的流量;从需要对网络设备进行访问的流量中的TCP流量中获取采用TCP/IP协议传输的数据包。
在一个实施例中,判断模块504还用于,判断源IP地址与针对网络设备的已认证IP地址是否一致,得到判断结果;当判断结果为一致时,确定不拦截流量;当判断结果为不一致时,确定拦截流量。
在一个实施例中,上述装置还包括:处理模块,用于确定不拦截流量之后,释放数据包,以使流量对对网络设备进行访问。确定拦截流量之后,构建与采用TCP/IP协议传输的数据包对应的RST包;将RST包发送至需要对网络设备进行访问的目标设备,以关闭包括目标设备与网络设备的网络连接。
关于网络流量拦截装置的具体限定可以参见上文中对于网络流量拦截方法的限定,在此不再赘述。上述网络流量拦截装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图6所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储网络流量和用户的认证信息等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网络流量拦截方法。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现如上所述的网络流量拦截方法。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现如上所述的网络流量拦截方法。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种网络流量拦截方法,其特征在于,应用于拦截器,所述拦截器与交换机连接,所述方法包括:
获取需要对网络设备进行访问的流量中的采用TCP/IP协议传输的数据包;
获取所述数据包中的源IP地址;
利用共享内存通信机制访问预设的共享内存,从所述共享内存中获取针对所述网络设备的已认证IP地址;所述共享内存中存储有针对所述网络设备的多个认证用户的已认证IP地址;
根据所述源IP地址和所述针对所述网络设备的已认证IP地址,确定是否拦截所述流量。
2.根据权利要求1所述的方法,其特征在于,所述获取需要对网络设备进行访问的流量中的采用TCP/IP协议传输的数据包,包括:
通过所述拦截器的数据平台开发套件接口,从所述交换机中接收需要对网络设备进行访问的流量中的TCP流量;所述交换机通过预设网络通信协议从应用层转发得到需要对网络设备进行访问的流量;
从所述需要对网络设备进行访问的流量中的TCP流量中获取所述采用TCP/IP协议传输的数据包。
3.根据权利要求1所述的方法,其特征在于,根据所述源IP地址和所述针对所述网络设备的已认证IP地址,确定是否拦截所述流量,包括:
判断所述源IP地址与所述针对所述网络设备的已认证IP地址是否一致,得到判断结果;
当所述判断结果为一致时,确定不拦截所述流量;
当所述判断结果为不一致时,确定拦截所述流量。
4.根据权利要求3所述的方法,其特征在于,确定不拦截所述流量之后,包括:
释放所述数据包,以使所述流量对所述对网络设备进行访问。
5.根据权利要求3所述的方法,其特征在于,所述确定拦截所述流量之后,包括:
构建与所述采用TCP/IP协议传输的数据包对应的RST包;
将所述RST包发送至需要对所述网络设备进行访问的目标设备,以关闭包括所述目标设备与所述网络设备的网络连接。
6.一种网络流量拦截系统,其特征在于,包括:分流器、多个拦截器、共享内存和共享内存控制器;所述多个拦截器分别与所述分流器和所述共享内存连接,所述共享内存与所述共享内存控制器连接;
所述分流器用于将需要对网络设备进行访问的镜像流量发送至所述多个拦截器;
所述多个拦截器中的至少一个拦截器,用于获取需要对网络设备进行访问的流量中的采用TCP/IP协议传输的数据包;获取所述数据包中的源IP地址;利用共享内存通信机制访问所述共享内存,从所述共享内存中获取针对所述网络设备的已认证IP地址;所述共享内存中存储有针对所述网络设备的多个认证用户的已认证IP地址;根据所述源IP地址和所述针对所述网络设备的访问流量的认证用户的已认证IP地址,确定是否拦截所述流量;
所述共享内存控制器用于将针对所述网络设备的认证用户的已认证IP地址存储在所述共享内存中。
7.根据权利要求6所述的系统,其特征在于,所述系统还包括:认证单元;
所述认证单元用于获取针对所述网络设备的待认证用户的用户名和密码;当认证用户数据库中存储有所述待认证用户的用户名和密码,确定所述待认证用户通过认证;将通过认证的用户的IP地址发送至所述共享内存控制器。
8.一种网络流量拦截装置,其特征在于,应用于拦截器,所述装置包括:
第一获取模块,用于获取需要对网络设备进行访问的流量中的采用TCP/IP协议传输的数据包;获取所述数据包中的源IP地址;
第二获取模块,用于利用共享内存通信机制访问预设的共享内存,从所述共享内存中获取针对所述网络设备的已认证IP地址;所述共享内存中存储有针对所述网络设备的多个认证用户的已认证IP地址;
判断模块,用于根据所述源IP地址和所述针对所述网络设备的已认证IP地址,确定是否拦截所述流量。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010058918.7A CN111245858A (zh) | 2020-01-19 | 2020-01-19 | 网络流量拦截方法、系统、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010058918.7A CN111245858A (zh) | 2020-01-19 | 2020-01-19 | 网络流量拦截方法、系统、装置、计算机设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111245858A true CN111245858A (zh) | 2020-06-05 |
Family
ID=70864137
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010058918.7A Pending CN111245858A (zh) | 2020-01-19 | 2020-01-19 | 网络流量拦截方法、系统、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111245858A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113852611A (zh) * | 2021-09-09 | 2021-12-28 | 上海理想信息产业(集团)有限公司 | 网站拦截平台的ip引流方法、计算机设备及存储介质 |
| CN113973303A (zh) * | 2021-11-02 | 2022-01-25 | 上海格尔安全科技有限公司 | 基于数据包分析的移动终端设备接入控制网关的实现方法 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102025593A (zh) * | 2009-09-21 | 2011-04-20 | 中国移动通信集团公司 | 分布式用户接入系统及方法 |
| CN105704145A (zh) * | 2016-03-22 | 2016-06-22 | 英赛克科技(北京)有限公司 | 针对opc协议的安全防护方法和系统 |
| CN105978885A (zh) * | 2016-05-30 | 2016-09-28 | 刘华英 | 网络安全监控方法和装置 |
| CN106131090A (zh) * | 2016-08-31 | 2016-11-16 | 北京力鼎创软科技有限公司 | 一种web认证下的用户访问网络的方法和系统 |
| CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
| CN107733858A (zh) * | 2017-09-01 | 2018-02-23 | 北京知道未来信息技术有限公司 | 一种智能保护摄像头信息的监控设备及方法 |
| CN107786545A (zh) * | 2017-09-29 | 2018-03-09 | 中国平安人寿保险股份有限公司 | 一种网络攻击行为检测方法及终端设备 |
| US20180146001A1 (en) * | 2016-11-22 | 2018-05-24 | Daniel Chien | Network security based on device identifiers and network addresses |
| CN110677435A (zh) * | 2019-10-28 | 2020-01-10 | 上海云赛智联信息科技有限公司 | 监控信息安全控制系统及监控管理系统 |
-
2020
- 2020-01-19 CN CN202010058918.7A patent/CN111245858A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102025593A (zh) * | 2009-09-21 | 2011-04-20 | 中国移动通信集团公司 | 分布式用户接入系统及方法 |
| CN105704145A (zh) * | 2016-03-22 | 2016-06-22 | 英赛克科技(北京)有限公司 | 针对opc协议的安全防护方法和系统 |
| CN105978885A (zh) * | 2016-05-30 | 2016-09-28 | 刘华英 | 网络安全监控方法和装置 |
| CN106131090A (zh) * | 2016-08-31 | 2016-11-16 | 北京力鼎创软科技有限公司 | 一种web认证下的用户访问网络的方法和系统 |
| US20180146001A1 (en) * | 2016-11-22 | 2018-05-24 | Daniel Chien | Network security based on device identifiers and network addresses |
| CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
| CN107733858A (zh) * | 2017-09-01 | 2018-02-23 | 北京知道未来信息技术有限公司 | 一种智能保护摄像头信息的监控设备及方法 |
| CN107786545A (zh) * | 2017-09-29 | 2018-03-09 | 中国平安人寿保险股份有限公司 | 一种网络攻击行为检测方法及终端设备 |
| CN110677435A (zh) * | 2019-10-28 | 2020-01-10 | 上海云赛智联信息科技有限公司 | 监控信息安全控制系统及监控管理系统 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113852611A (zh) * | 2021-09-09 | 2021-12-28 | 上海理想信息产业(集团)有限公司 | 网站拦截平台的ip引流方法、计算机设备及存储介质 |
| CN113852611B (zh) * | 2021-09-09 | 2023-05-09 | 上海理想信息产业(集团)有限公司 | 网站拦截平台的ip引流方法、计算机设备及存储介质 |
| CN113973303A (zh) * | 2021-11-02 | 2022-01-25 | 上海格尔安全科技有限公司 | 基于数据包分析的移动终端设备接入控制网关的实现方法 |
| CN113973303B (zh) * | 2021-11-02 | 2024-04-02 | 上海格尔安全科技有限公司 | 基于数据包分析的移动终端设备接入控制网关的实现方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10972437B2 (en) | Applications and integrated firewall design in an adaptive private network (APN) | |
| US9413718B1 (en) | Load balancing among a cluster of firewall security devices | |
| US7107609B2 (en) | Stateful packet forwarding in a firewall cluster | |
| US10771501B2 (en) | DDoS attack defense method, system, and related device | |
| US9800503B2 (en) | Control plane protection for various tables using storm prevention entries | |
| JP3459183B2 (ja) | パケット検証方法 | |
| KR102586898B1 (ko) | 패킷 처리 방법 및 장치, 및 관련 디바이스들 | |
| JP3464610B2 (ja) | パケット検証方法 | |
| JP3443529B2 (ja) | ファイアウォールサービスを提供する方法と、ファイアウォールサービスを提供するコンピュータシステム | |
| US20030182580A1 (en) | Network traffic flow control system | |
| WO2012090355A1 (en) | Communication system, forwarding node, received packet process method, and program | |
| CN103763194B (zh) | 一种报文转发方法及装置 | |
| JPH11168511A (ja) | パケット検証方法 | |
| CN108234522A (zh) | 防止地址解析协议arp攻击方法、装置、计算机设备和存储介质 | |
| WO2021244449A1 (zh) | 一种数据处理方法及装置 | |
| US6615358B1 (en) | Firewall for processing connection-oriented and connectionless datagrams over a connection-oriented network | |
| CN112887229B (zh) | 一种会话信息同步方法及装置 | |
| CN110278152B (zh) | 一种建立快速转发表的方法及装置 | |
| CN111245858A (zh) | 网络流量拦截方法、系统、装置、计算机设备和存储介质 | |
| US11102172B2 (en) | Transfer apparatus | |
| US11159533B2 (en) | Relay apparatus | |
| US10122686B2 (en) | Method of building a firewall for networked devices | |
| CN111885068B (zh) | 一种旁路部署的流量分发方法及其系统 | |
| EP3905634B1 (en) | Network defense method and security detection device | |
| US20070147376A1 (en) | Router-assisted DDoS protection by tunneling replicas |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20220113 Address after: Room 1423, No. 1256 and 1258, Wanrong Road, Jing'an District, Shanghai 200040 Applicant after: Tianyi Digital Life Technology Co.,Ltd. Address before: 1 / F and 2 / F, East Garden, Huatian International Plaza, 211 Longkou Middle Road, Tianhe District, Guangzhou, Guangdong 510630 Applicant before: Century Dragon Information Network Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200605 |
|
| RJ01 | Rejection of invention patent application after publication |