CN114125030A - 连接跟踪方法、装置、电子设备和计算机可读存储介质 - Google Patents
连接跟踪方法、装置、电子设备和计算机可读存储介质 Download PDFInfo
- Publication number
- CN114125030A CN114125030A CN202111443150.6A CN202111443150A CN114125030A CN 114125030 A CN114125030 A CN 114125030A CN 202111443150 A CN202111443150 A CN 202111443150A CN 114125030 A CN114125030 A CN 114125030A
- Authority
- CN
- China
- Prior art keywords
- data packet
- target
- target data
- connection
- transparent proxy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 230000005540 biological transmission Effects 0.000 claims abstract description 111
- 238000004891 communication Methods 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 12
- 238000010586 diagram Methods 0.000 description 8
- 230000002452 interceptive effect Effects 0.000 description 8
- 230000000694 effects Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开实施例提供的连接跟踪方法、装置、电子设备和计算机可读存储介质,涉及网络安全领域。该方法通过确定目标数据包的传输方式为通过透明代理转发的传输方式时,获取所述目标数据包的五元组信息和方向标识信息;根据所述目标数据包的五元组信息和方向标识信息,确定所述目标数据包对应的目标连接标识;基于所述目标连接标识,对所述透明代理与所述目标设备之间的连接进行跟踪。从而,在透明代理场景下,可以根据目标数据包对应的目标连接标识区分透明代理与客户端设备、透明代理与服务器设备之间的连接。
Description
技术领域
本公开涉及网络安全领域,尤其涉及一种连接跟踪方法、装置、电子设备和计算机可读存储介质。
背景技术
网络安全设备中的连接跟踪是一个基础模块,为系统的其它模块提供服务。一个连接由两个半连接组成,每个半连接用五元组信息来表示,一个连接中的两个半连接分别代表请求方向和响应方向上的流量。在普通的基于路由和交换转发场景中,通常用五元组信息作为一个连接来标识一条数据流,路由和交换设备只是对数据进行了中转,一条数据流两个方向上的路由信息都记录在一个连接上。
但在透明代理场景下,透明代理设备的作用不只是转发数据,还在与客户端、与目标服务器进行通信。当客户端访问目标服务器时,透明代理设备会以目标服务器的IP地址和端口号与客户端建立socket连接,再以客户端的IP地址与目标服务器建立socket连接。在该场景下,若仍用五元组信息来标识一个连接,则无法区分透明代理与客户端、透明代理与目标服务器之间的通信连接。
发明内容
有鉴于此,本公开提供了一种连接跟踪方法、装置、电子设备和计算机可读存储介质,用于解决在透明代理场景下,若用五元组信息作为一个连接标识,则无法区分透明代理与客户端、透明代理与目标服务器之间的通信连接的问题。
为了实现上述目的,本公开实施例提供技术方案如下:
第一方面,本公开实施例提供了一种连接跟踪方法,所述方法包括:
确定目标数据包的传输方式为通过透明代理转发的传输方式时,获取所述目标数据包的五元组信息和方向标识信息;
根据所述目标数据包的五元组信息和方向标识信息,确定所述目标数据包对应的目标连接标识;
基于所述目标连接标识,对所述透明代理与所述目标设备之间的连接进行跟踪。
作为本公开实施例一种可选的实施方式,所述确定目标数据包的传输方式为通过透明代理转发的传输方式,包括:
根据所述目标数据包携带的源IP地址,确定所述目标数据包的源IP地址所属的源服务器;
若所述目标数据包的源IP地址所属的源服务器配置有所述透明代理,则确定所述目标数据包的传输方式为通过透明代理转发的传输方式。
作为本公开实施例一种可选的实施方式,所述获取所述目标数据包的五元组信息和方向标识信息,包括:
对所述目标数据包进行解析,获取所述目标数据包携带的源IP地址、源端口、目的IP、目的端口、以及协议类型;
根据所述目标数据包的传输方向,确定所述目标数据包的方向标识信息。
作为本公开实施例一种可选的实施方式,在根据所述目标数据包的传输方向,确定所述目标数据包的方向标识信息之前,所述方法还包括:
判断所述目标数据包是否为本地应用层发出的数据包;
若所述目标数据包为本地应用层发出的数据包,则将对应的第一传输方向确定为所述目标数据包的传输方向;
若所述目标数据包为上送本地应用层的数据包,则将对应的第二传输方向确定为所述目标数据包的传输方向。
作为本公开实施例一种可选的实施方式,所述根据所述目标数据包的传输方向,确定所述目标数据包的方向标识信息,包括:
在将所述第一传输方向确定为所述目标数据包的传输方向时,将所述第一传输方向对应的第一方向标识确定为所述目标数据包的方向标识信息;
在将所述第二传输方向确定为所述目标数据包的传输方向时,将所述第二传输方向对应的第二方向标识确定为所述目标数据包的方向标识信息。
作为本公开实施例一种可选的实施方式,所述根据所述目标数据包的五元组信息和方向标识信息,确定所述目标数据包对应的目标连接标识,包括:
当确定所述第一方向标识为所述目标数据包的方向标识信息时,则在所述目标数据包的五元组信息的基础上,添加所述第一方向标识,形成所述目标数据包对应的目标连接标识;
当确定所述第二方向标识为所述目标数据包的方向标识信息时,则在所述目标数据包的五元组信息的基础上,添加所述第二方向标识,形成所述目标数据包对应的目标连接标识。
作为本公开实施例一种可选的实施方式,在基于所述目标连接标识,对所述透明代理与所述目标设备之间的连接进行跟踪之后,所述方法还包括:
获取所述透明代理与目标设备之间的通信数据;
基于所述目标连接标识,对所述透明代理与目标设备之间的通信数据进行统计。
第二方面,本公开实施例提供了一种连接跟踪装置,包括:
获取模块,在确定目标数据包的传输方式为通过透明代理转发的传输方式时,用于获取所述目标数据包的五元组信息和方向标识信息;
代理模块,用于根据所述目标数据包的五元组信息和方向标识信息,确定所述目标数据包对应的目标连接标识;
连接模块,用于基于所述目标连接标识,对所述透明代理与所述目标设备之间的连接进行跟踪。
作为本公开实施例一种可选的实施方式,所述装置还包括:解析模块,用于根据所述目标数据包携带的源IP地址,确定所述目标数据包的源IP地址所属的源服务器;
若所述目标数据包的源IP地址所属的源服务器配置有所述透明代理,则确定所述目标数据包的传输方式为通过透明代理转发的传输方式。
作为本公开实施例一种可选的实施方式,所述获取模块,具体用于对所述目标数据包进行解析,获取所述目标数据包携带的源IP地址、源端口、目的IP、目的端口、以及协议类型;
根据所述目标数据包的传输方向,确定所述目标数据包的方向标识信息。
作为本公开实施例一种可选的实施方式,所述装置还包括:判断模块,用于判断所述目标数据包是否为本地应用层发出的数据包;
若所述目标数据包为本地应用层发出的数据包,则将对应的第一传输方向确定为所述目标数据包的传输方向;
若所述目标数据包为上送本地应用层的数据包,则将对应的第二传输方向确定为所述目标数据包的传输方向。
作为本公开实施例一种可选的实施方式,所述获取模块,具体用于在将所述第一传输方向确定为所述目标数据包的传输方向时,将所述第一传输方向对应的第一方向标识确定为所述目标数据包的方向标识信息;
在将所述第二传输方向确定为所述目标数据包的传输方向时,将所述第二传输方向对应的第二方向标识确定为所述目标数据包的方向标识信息。
作为本公开实施例一种可选的实施方式,所述代理模块,具体用于当确定所述第一方向标识为所述目标数据包的方向标识信息时,在所述目标数据包的五元组信息的基础上,添加所述第一方向标识,形成所述目标数据包对应的目标连接标识;
当确定所述第二方向标识为所述目标数据包的方向标识信息时,在所述目标数据包的五元组信息的基础上,添加所述第二方向标识,形成所述目标数据包对应的目标连接标识。
作为本公开实施例一种可选的实施方式,所述装置还包括:统计模块,在基于所述目标连接标识,对所述透明代理与所述目标设备之间的连接进行跟踪之后,获取所述透明代理与目标设备之间的通信数据;
基于所述目标连接标识,对所述透明代理与目标设备之间的通信数据进行统计。
第三方面,本公开实施例提供了一种电子设备,包括:存储器和处理器,存储器用于存储计算机程序;处理器用于在调用计算机程序时执行第一方面或第一方面任一种可选的实施方式所述的连接跟踪方法的步骤。
第四方面,本公开实施例提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现第一方面或第一方面任一种可选的实施方式所述的连接跟踪方法的步骤。
本公开实施例提供的连接跟踪方法、装置、电子设备和计算机可读存储介质,其中,该方法通过确定目标数据包的传输方式为通过透明代理转发的传输方式时,获取所述目标数据包的五元组信息和方向标识信息;根据所述目标数据包的五元组信息和方向标识信息,确定所述目标数据包对应的目标连接标识,所述目标数据包对应的目标连接标识用于标识所述透明代理与目标设备之间的连接;基于所述目标连接标识,对所述透明代理与所述目标设备之间的连接进行跟踪。由于目标数据包对应的目标连接标识中包括所述目标数据包的方向标识信息,使得确定的目标连接标识可以唯一标识透明代理与目标设备之间的连接。即目标设备为客户端设备和目标设备为服务器设备时,对应的目标连接标识是不同的。因此在透明代理场景下,可以根据目标数据包对应的目标连接标识区分透明代理与客户端设备、透明代理与服务器设备之间的连接。进而简化了在透明代理场景下,对连接进行跟踪时的判断逻辑。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本公开一个实施例提供的连接跟踪方法的应用场景图;
图2为本公开一个实施例提供的连接跟踪方法的步骤流程图;
图3为本公开另一个实施例提供的连接跟踪方法的步骤流程图;
图4为本公开又一个实施例提供的连接跟踪方法的步骤流程图;
图5为本公开一个实施例中连接跟踪装置的结构框图;
图6为本公开另一个实施例中连接跟踪装置的结构框图;
图7为本公开一个实施例中电子设备的内部结构图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
在本公开实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本公开实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念,此外,在本公开实施例的描述中,除非另有说明,“多个”的含义是指两个或两个以上。
本公开实施例提供的连接跟踪方法可应用于网络安全设备,不限于防火墙,例如该网络安全设备还可以是IP协议密码机、安全路由器、线路密码机、传真密码机、异步数据密码机、安全服务器、安全加密套件、金融加密机、安全操作系统、防病毒软件、入侵检测系统等,但不限于此,本公开不具体限制。
本实施例提供的连接跟踪方法可应用于如图1所示的应用场景,该应用场景中,包括客户端设备110,透明代理120,服务器设备130,所述连接跟踪方法的执行主体为透明代理设备120。在图1所示的应用场景中,以客户端设备访问110访问服务器设备130为例对本公开实施例提供的统计方法进行说明:当客户端设备访问服务器设备时,透明代理会以服务器设备的IP地址和端口与客户端设备建立socket连接,然后又以客户端设备的IP地址和端口与服务器设备建立socket连接。在此种情况下,若仍以传统的五元组信息来标识两个设备之间的连接,则透明代理与客户端设备、透明代理与服务器设备之间的连接会被认为是同一个连接,不能对透明代理与客户端设备、透明代理与服务器设备之间的连接进行区分,在进行连接跟踪时,客户端设备发往服务器设备的同一数据包会与该连接匹配两次,增大了连接跟踪的复杂性。
但当透明代理执行本公开实施例提供的连接跟踪方法时,透明代理在目标数据包中添加方向标识信息,基于方向标识信息确定的目标数据包对应的目标连接标识唯一的表示透明代理与目标设备之间的一条连接,代替了传统的用五元组信息来表示一条连接的方式,使得目标设备为客户端设备110和目标设备为服务器设备130时对应的连接标识不一样,在对客户端设备发往服务器设备的流量进行统计时,会基于两条不同的连接标识进行统计,即会将客户端设备发往透明代理的数据包用一条连接来统计,将透明代理向服务器设备转发的该数据包用另外一条连接来统计,避免了用一条连接匹配两次相同的数据包的问题。从而,简化了基于目标连接标识对连接进行判断的逻辑,提高了连接跟踪的准确性。
在一个实施例中,参照图2所示,图2为本公开一个实施例提供的连接跟踪方法的流程示意图,包括以下步骤:
S210、在确定目标数据包的传输方式为通过透明代理转发的传输方式时,获取所述目标数据包的五元组信息和方向标识信息。
其中,所述目标数据包的五元组信息可包括:所述目标数据包携带的源IP地址、源端口、目的IP、目的端口、协议类型、以及所述方向标识信息。
所述目标数据包可包括透明代理接收的数据包,也可包括透明代理接转发出的数据包。所述方向标识信息用于区别透明代理与客户端设备、服务器设备之间建立的通信连接。
可选的,可通过以下方式确定目标数据包的传输方式为通过透明代理转发的传输方式:根据所述目标数据包携带的源IP地址,确定所述目标数据包的源IP地址所属的源服务器;若所述目标数据包的源IP地址所属的源服务器配置有所述透明代理,则确定所述目标数据包的传输方式为通过透明代理转发的传输方式。
举例进行说明,当目标数据包为客户端设备发往透明代理的数据包时,该目标数据包携带的源IP地址为客户端设备所属服务器(源服务器)的IP地址。若客户端设备所属服务器配置有透明代理,则该服务器发出的数据包都会经透明代理转发。
可选的,确定目标数据包的传输方式为通过透明代理转发的传输方式时,还可通过目标数据包携带的源IP地址、源端口、目的IP、目的端口、协议类型中的两个以上的信息确定源服务器。
S220、根据所述目标数据包的五元组信息和方向标识信息,确定所述目标数据包对应的目标连接标识。
其中,所述目标数据包对应的目标连接标识用于标识所述透明代理与目标设备之间的连接。
当目标数据包的标识信息包括源IP地址、源端口、目的IP、目的端口、协议类型、以及所述方向标识信息时,形成目标数据包的六元组信息,目标数据包的六元组信息可唯一的标识该目标数据包对应的连接。
在透明代理场景下,目标设备可以为客户端设备,也可以为服务器设备,但目标设备为客户端设备和目标设备为服务器设备时,对应的目标连接标识中的方向标识信息是不同的。所述方向标识信息用于表明目标数据包的传输方向,在客户端设备向服务器设备发送请求的场景下,所述传输方向包括:客户端设备向透明代理发送目标数据包的方向,和透明代理向服务器设备转发目标数据包的方向,目标数据包的传输方向不同,对应的方向标识信息不同。因此目标数据包的方向标识信息可以用于区分与透明代理进行通信的目标设备。
当目标数据包的传输方向不同时,对应的方向标识信息不同,则确定的目标数据包对应的目标连接标识也不同,举例进行说明,当目数据包的标识信息包括源IP地址、源端口、目的IP、目的端口、协议类型、以及方向标识信息时,则用六元组信息(IP地址、源端口、目的IP、目的端口、协议类型、方向标识信息)表示对应的连接。
S230、基于所述目标连接标识,对所述透明代理与所述目标设备之间的连接进行跟踪。
具体的,当目标设备为客户端设备,则目标连接标识为透明代理与客户端设备之间的连接标识,则基于对应的目标连接标识,对客户端设备发往透明代理的各目标数据数据包进行跟踪,将目标数据数据包的六元组信息与对应的目标连接标识进行匹配,而不会将透明代理发往服务器设备的数据包与该目标连接标识进行匹配。
本公开实施例提供的连接跟踪方法,通过确定目标数据包的传输方式为通过透明代理转发的传输方式时,获取所述目标数据包的五元组信息和方向标识信息;根据所述目标数据包的五元组信息和方向标识信息,确定所述目标数据包对应的目标连接标识,所述目标数据包对应的目标连接标识用于标识所述透明代理与目标设备之间的连接;基于所述目标连接标识,对所述透明代理与所述目标设备之间的连接进行跟踪。由于目标数据包对应的目标连接标识中包括所述目标数据包的方向标识信息,使得确定的目标连接标识可以唯一标识透明代理与目标设备之间的连接。即目标设备为客户端设备和目标设备为服务器设备时,对应的目标连接标识是不同的。因此在透明代理场景下,可以根据目标数据包对应的目标连接标识区分透明代理与客户端设备、透明代理与服务器设备之间的连接。进而简化了在透明代理场景下,对连接进行跟踪时的判断逻辑。。
图3为本公开另一个实施例提供的连接跟踪方法的流程示意图,结合图2所示,在图2所示实施例的基础上,进一步的,在确定目标数据包的传输方式为通过透明代理转发的传输方式时,获取所述目标数据包的五元组信息和方向标识信息可包括如下步骤S310至步骤S320:
S310、对所述目标数据包进行解析,获取所述目标数据包携带的源IP地址、源端口、目的IP、目的端口、以及协议类型。
所述目标数据包携带的源IP地址、源端口、目的IP、目的端口、以及协议类型组成的五元组信息可以标识该目标数据包所属的会话。在图1所示的应用场景中,当客户端设备向服务器设备发送请求时,所述目标数据包携带的源IP地址为客户端设备所属服务器的IP地址,目的IP为服务器设备对应的IP地址。
S320、根据所述目标数据包的传输方向,确定所述目标数据包的方向标识信息。
在步骤S320之后,根据步骤S310获取的五元组信息(源IP地址、源端口、目的IP、目的端口、协议类型)和步骤S320获取的方向标识信息执行图3所示的步骤S220。
步骤S310和步骤S320没有特定的执行顺序,可以先执行步骤S310,再执行步骤S320,也可以先执行步骤S320,再执行步骤S310,还可以是步骤S310与步骤S320同时执行。以客户端设备向服务器设备发送数据包的场景为例进行说明,若目标设备为客户端设备,可确定所述目标数据包的方向标识信息为UP,若目标设备为服务器设备,可确定所述目标数据包的方向标识信息为DOWN。
基于对步骤S320的举例说明,根据所述目标数据包的传输方向,确定所述目标数据包的方向标识信息包括:目标设备为客户端设备时,对应的目标连接标识为(IP地址、源端口、目的IP、目的端口、协议类型、UP方向),目标设备为服务器设备时,对应的目标连接标识为(IP地址、源端口、目的IP、目的端口、协议类型、DOWN方向)。可见,在将目标数据包的标识信息作为目标数据包对应的目标连接标识时,可区分透明代理与客户端设备、透明代理与服务器设备之间的连接,因此,基于目标连接标识对透明代理与所述目标设备之间的通信流量进行统计时,可将一个数据包与目标连接标识对应的一个连接进行匹配,提高了连接跟踪的准确性。
图4为本公开又一个实施例提供的连接跟踪方法的流程示意图,图4是在图3所示实施例的基础上,进一步对步骤S320(根据所述目标数据包的传输方向,确定所述目标数据包的方向标识信息)之前可包括的步骤进行的描述。参照图4所示,在步骤S320之前,还可包括:
S410、判断所述目标数据包是否为本地应用层发出的数据包。
若所述目标数据包为本地应用层发出的数据包,则执行步骤S420;若所述目标数据包为上送本地应用层的数据包,则执行步骤S430。
S420、将对应的第一传输方向确定为所述目标数据包的传输方向。
S430、将对应的第二传输方向确定为所述目标数据包的传输方向。
在该实施例中,本地应用层指透明代理。通过以下两种情况对步骤S410至S430进行说明:
一种情况下,客户端设备向服务器设备发送数据包,若目标数据包为本地应用层发出的数据包,即目标数据包为透明代理发往服务器设备的数据包,则可确定该目标数据包的传输方向为第一传输方向,若目标数据包为上送本地应用层的数据包,即目标数据包为客户端设备发往透明代理备的数据包,则可确定该目标数据包的传输方向为第二传输方向。
另一种情况下,服务器设备向客户端设备数据包,若目标数据包为本地应用层发出的数据包,即目标数据包为透明代理发往客户端设备的数据包,则可确定该目标数据包的传输方向为第一传输方向,若目标数据包为上送本地应用层的数据包,即目标数据包为服务器设备发往透明代理备的数据包,则可确定该目标数据包的传输方向为第二传输方向。
可选的,在本实施例中,根据所述目标数据包的传输方向,确定所述目标数据包的方向标识信息,可通过如下方式来实现:
在将所述第一传输方向确定为所述目标数据包的传输方向时,将所述第一传输方向对应的第一方向标识确定为所述目标数据包的方向标识信息;在将所述第二传输方向确定为所述目标数据包的传输方向时,将所述第二传输方向对应的第二方向标识确定为所述目标数据包的方向标识信息。
示例性的,第一传输方向对应的第一方向标识可以为DOWN,第二传输方向对应的第二方向标识客可以为UP,基于本实施例中的上述举例,当目标数据包为本地应用层发出的数据包时,确定DOWN为目标数据包的方向标识信息,当目标数据包为上送本地应用层的数据包时,确定UP为目标数据包的方向标识信息。
可选的,当确定所述第一方向标识为所述目标数据包的方向标识信息时,在所述目标数据包的五元组信息的基础上,添加所述第一方向标识,形成所述目标数据包对应的目标连接标识。当确定所述第二方向标识为所述目标数据包的方向标识信息时,在所述目标数据包的五元组信息的基础上,添加所述第二方向标识,形成所述目标数据包对应的目标连接标识。
对图4中步骤S310至S320的说明可参见图3所示的实施例中的步骤的说明,对步骤S210至S230的说明可参见图2所示的实施例中的步骤的说明,此处不再赘述。
基于本实施例中的上述举例,当确定所述第一方向标识为所述目标数据包的方向标识信息时,则在所述目标数据包的五元组信息的基础上添加DOWN表示方向,形成的目标数据包对应的目标连接标识为(IP地址、源端口、目的IP、目的端口、协议类型、DOWN),当确定所述第二方向标识为所述目标数据包的方向标识信息时,则在所述目标数据包的五元组信息的基础上添加UP表示方向,形成的目标数据包对应的目标连接标识为(IP地址、源端口、目的IP、目的端口、协议类型、UP)。
在一种情况下,客户端设备向服务器设备发送数据包,若该数据包为本地应用层发出的数据包,则目标连接标识为(IP地址、源端口、目的IP、目的端口、协议类型、DOWN),后续客户端设备与透明代理之间的交互数据都可以通过交互数据的五元组信息+“DOWN”来查找对应的连接。若数据包为上送本地应用层的数据包,则目标连接标识为(IP地址、源端口、目的IP、目的端口、协议类型、UP),后续服务器设备与透明代理之间的交互数据都可以通过交互数据的五元组信息+“UP”来查找对应的连接。
在另一种情况下,服务器设备向客户端设备发送数据包,若该数据包为本地应用层发出的数据包,则目标连接标识为(IP地址、源端口、目的IP、目的端口、协议类型、DOWN),后续服务器设备与透明代理之间的交互数据都可以通过交互数据的五元组信息+“DOWN”来查找对应的连接。若该数据包为上送本地应用层的数据包,则目标连接标识为(IP地址、源端口、目的IP、目的端口、协议类型、UP),后续客户端设备与透明代理之间的交互数据都可以通过交互数据的五元组信息+“UP”来查找对应的连接。
从而,以客户端设备发往服务器设备的数据包为例,该数据包先被上送到透明代理,然后该数据包还会通过透明代理发送到服务器设备,由于透明代理与客户端设备、透明代理与服务器设备之间的连接是两个连接标识不同的连接,因此路由信息被分别记录到两个不同的连接上,使得数据包可以直接根据匹配的连接上的路由信息发送,简化了匹配统计逻辑。
可选的,在基于所述目标连接标识,对所述透明代理与所述目标设备之间的连接进行跟踪之后,可包括:获取所述透明代理与目标设备之间的通信数据;基于所述目标连接标识,对所述透明代理与目标设备之间的通信数据进行统计。
基于所述目标连接标识,对所述透明代理与所述目标设备之间的通信数据进行统计时,由于目标连接标识是唯一的,因此在对通信数据进行统计的过程中,不会出现相同的数据包既与透明代理与客户端设备之间的连接进行匹配,也与透明代理与服务器设备之间的连接进行匹配的情况。从而,在透明代理场景下,目标数据包只与目标连接标识对应的目标连接进行匹配,基于唯一的匹配进行的数据统计,可以提高对透明代理与目标设备之间通信数据统计的准确性。
基于同一发明构思,作为对上述方法的实现,本公开实施例还提供了一种连接跟踪装置,该装置实施例与前述方法实施例对应,为便于阅读,本装置实施例不再对前述方法实施例中的细节内容进行逐一赘述,但应当明确,本实施例中的装置能够对应实现前述方法实施例中的全部内容。
图5为本公开一个实施例提供的连接跟踪装置500的结构框图,如图5所示,该装置包括:获取模块510,在确定目标数据包的传输方式为通过透明代理转发的传输方式时,用于获取所述目标数据包的五元组信息和方向标识信息。
代理模块520,用于根据所述目标数据包的五元组信息和方向标识信息,确定所述目标数据包对应的目标连接标识,所述目标数据包对应的目标连接标识用于标识所述透明代理与目标设备之间的连接。
连接模块530,用于基于所述目标连接标识,对所述透明代理与所述目标设备之间的连接进行跟踪。
作为本公开实施例一种可选的实施方式,参照图6所示,所述装置还可包括:解析模块610,用于根据所述目标数据包携带的源IP地址,确定所述目标数据包的源IP地址所属的源服务器;若所述目标数据包的源IP地址所属的源服务器配置有所述透明代理,则确定所述目标数据包的传输方式为通过透明代理转发的传输方式。
可选的,在图6所示的装置中,所述获取模块510,具体用于对所述目标数据包进行解析,获取所述目标数据包携带的源IP地址、源端口、目的IP、目的端口、以及协议类型;根据所述目标数据包的传输方向,确定所述目标数据包的方向标识信息。
可选的,所述装置还包括:判断模块620,用于判断所述目标数据包是否为本地应用层发出的数据包;若所述目标数据包为本地应用层发出的数据包,则将对应的第一传输方向确定为所述目标数据包的传输方向;若所述目标数据包为上送本地应用层的数据包,则将对应的第二传输方向确定为所述目标数据包的传输方向。
作为本公开实施例一种可选的实施方式,所述获取模块510,具体用于在将所述第一传输方向确定为所述目标数据包的传输方向时,将所述第一传输方向对应的第一方向标识确定为所述目标数据包的方向标识信息;在将所述第二传输方向确定为所述目标数据包的传输方向时,将所述第二传输方向对应的第二方向标识确定为所述目标数据包的方向标识信息。
作为本公开实施例一种可选的实施方式,所述代理模块520,具体用于当确定所述第一方向标识为所述目标数据包的方向标识信息时,在所述目标数据包的五元组信息的基础上,添加所述第一方向标识,形成所述目标数据包对应的目标连接标识;当确定所述第二方向标识为所述目标数据包的方向标识信息时,在所述目标数据包的五元组信息的基础上,添加所述第二方向标识,形成所述目标数据包对应的目标连接标识。
作为本公开实施例一种可选的实施方式,图6所示的所述装置还可包括:统计模块630,在基于所述目标连接标识,对所述透明代理与所述目标设备之间的连接进行跟踪之后,获取所述透明代理与目标设备之间的通信数据;基于所述目标连接标识,对所述透明代理与目标设备之间的通信数据进行统计。
本公开实施例提供的连接跟踪装置可以执行上述方法实施例提供的连接跟踪方法,其实现原理与技术效果类似,此处不再赘述。上述连接跟踪装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
本公开实施例还提供了一种电子设备,图7为本公开实施例提供的电子设备的结构示意图。如图7所示,本实施例提供的电子设备包括:存储器71和处理器72,存储器71用于存储计算机程序;处理器72用于调用计算机程序时执行上述方法实施例提供的连接跟踪方法中的步骤,其实现原理和技术效果类似,此处不再赘述。本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的电子设备的限定,具体的电子设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
本公开还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时可以实现本公开实施例提供的连接跟踪方法,例如,计算机程序被处理器执行时实现图2到图4任一所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成的,计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本公开所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,比如静态随机存取存储器(Static Random Access Memory,SRAM)和动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本公开的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本公开构思的前提下,还可以做出若干变形和改进,这些都属于本公开的保护范围。因此,本公开专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种连接跟踪方法,其特征在于,包括:
确定目标数据包的传输方式为通过透明代理转发的传输方式时,获取所述目标数据包的五元组信息和方向标识信息;
根据所述目标数据包的五元组信息和方向标识信息,确定所述目标数据包对应的目标连接标识;
基于所述目标连接标识,对所述透明代理与目标设备之间的连接进行跟踪。
2.根据权利要求1所述的方法,其特征在于,所述确定目标数据包的传输方式为通过透明代理转发的传输方式,包括:
根据所述目标数据包携带的源IP地址,确定所述目标数据包的源IP地址所属的源服务器;
若所述目标数据包的源IP地址所属的源服务器配置有所述透明代理,则确定所述目标数据包的传输方式为通过透明代理转发的传输方式。
3.根据权利要求1所述的方法,其特征在于,所述获取所述目标数据包的五元组信息和方向标识信息,包括:
对所述目标数据包进行解析,获取所述目标数据包携带的源IP地址、源端口、目的IP、目的端口、以及协议类型;
根据所述目标数据包的传输方向,确定所述目标数据包的方向标识信息。
4.根据权利要求3所述的方法,其特征在于,在根据所述目标数据包的传输方向,确定所述目标数据包的方向标识信息之前,所述方法还包括:
判断所述目标数据包是否为本地应用层发出的数据包;
若所述目标数据包为本地应用层发出的数据包,则将对应的第一传输方向确定为所述目标数据包的传输方向;
若所述目标数据包为上送本地应用层的数据包,则将对应的第二传输方向确定为所述目标数据包的传输方向。
5.根据权利要求4所述的方法,其特征在于,所述根据所述目标数据包的传输方向,确定所述目标数据包的方向标识信息,包括:
在将所述第一传输方向确定为所述目标数据包的传输方向时,将所述第一传输方向对应的第一方向标识确定为所述目标数据包的方向标识信息;
在将所述第二传输方向确定为所述目标数据包的传输方向时,将所述第二传输方向对应的第二方向标识确定为所述目标数据包的方向标识信息。
6.根据权利要求5所述的方法,其特征在于,所述根据所述目标数据包的五元组信息和方向标识信息,确定所述目标数据包对应的目标连接标识,包括:
当确定所述第一方向标识为所述目标数据包的方向标识信息时,在所述目标数据包的五元组信息的基础上,添加所述第一方向标识,形成所述目标数据包对应的目标连接标识;
当确定所述第二方向标识为所述目标数据包的方向标识信息时,在所述目标数据包的五元组信息的基础上,添加所述第二方向标识,形成所述目标数据包对应的目标连接标识。
7.根据权利要求1-6任一项所述的方法,其特征在于,在基于所述目标连接标识,对所述透明代理与目标设备之间的连接进行跟踪之后,所述方法还包括:
获取所述透明代理与目标设备之间的通信数据;
基于所述目标连接标识,对所述透明代理与目标设备之间的通信数据进行统计。
8.一种连接跟踪装置,其特征在于,包括:
获取模块,在确定目标数据包的传输方式为通过透明代理转发的传输方式时,用于获取所述目标数据包的五元组信息和方向标识信息;
代理模块,用于根据所述目标数据包的五元组信息和方向标识信息,确定所述目标数据包对应的目标连接标识,所述目标数据包对应的目标连接标识用于标识所述透明代理与目标设备之间的连接;
连接模块,用于基于所述目标连接标识,对所述透明代理与所述目标设备之间的连接进行跟踪。
9.一种电子设备,包括:存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的连接跟踪方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的连接跟踪方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111443150.6A CN114125030A (zh) | 2021-11-30 | 2021-11-30 | 连接跟踪方法、装置、电子设备和计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111443150.6A CN114125030A (zh) | 2021-11-30 | 2021-11-30 | 连接跟踪方法、装置、电子设备和计算机可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114125030A true CN114125030A (zh) | 2022-03-01 |
Family
ID=80368500
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111443150.6A Pending CN114125030A (zh) | 2021-11-30 | 2021-11-30 | 连接跟踪方法、装置、电子设备和计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114125030A (zh) |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070233877A1 (en) * | 2006-03-30 | 2007-10-04 | Diheng Qu | Transparently proxying transport protocol connections using an external server |
CN101217493A (zh) * | 2008-01-08 | 2008-07-09 | 北京大学 | 一种tcp数据包的传输方法 |
US20080212484A1 (en) * | 2007-03-02 | 2008-09-04 | Cisco Technology, Inc. | Tracing connection paths through transparent proxies |
CN102761534A (zh) * | 2011-04-29 | 2012-10-31 | 北京瑞星信息技术有限公司 | 实现媒体接入控制层透明代理的方法和装置 |
CN104022998A (zh) * | 2013-03-01 | 2014-09-03 | 北京瑞星信息技术有限公司 | 网络传输数据病毒检测处理方法 |
CN109547452A (zh) * | 2018-11-30 | 2019-03-29 | 四川安迪科技实业有限公司 | Linux网桥设备上实现TCP透明代理的方法及系统 |
CN110365759A (zh) * | 2019-07-08 | 2019-10-22 | 深圳市多尼卡航空电子有限公司 | 一种数据转发方法、装置、系统、网关设备及存储介质 |
CN111371639A (zh) * | 2020-02-21 | 2020-07-03 | 腾讯科技(深圳)有限公司 | 网络延时分析方法、装置、存储介质和计算机设备 |
CN112399518A (zh) * | 2019-08-16 | 2021-02-23 | 华为技术有限公司 | 数据回传方法以及设备 |
CN112449358A (zh) * | 2019-08-30 | 2021-03-05 | 华为技术有限公司 | 一种统计业务流量的方法和装置 |
CN112954001A (zh) * | 2021-01-18 | 2021-06-11 | 武汉绿色网络信息服务有限责任公司 | 一种http转https双向透明代理的方法和装置 |
CN113364804A (zh) * | 2021-06-29 | 2021-09-07 | 北京天空卫士网络安全技术有限公司 | 一种流量数据的处理方法和装置 |
-
2021
- 2021-11-30 CN CN202111443150.6A patent/CN114125030A/zh active Pending
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070233877A1 (en) * | 2006-03-30 | 2007-10-04 | Diheng Qu | Transparently proxying transport protocol connections using an external server |
US20080212484A1 (en) * | 2007-03-02 | 2008-09-04 | Cisco Technology, Inc. | Tracing connection paths through transparent proxies |
CN101217493A (zh) * | 2008-01-08 | 2008-07-09 | 北京大学 | 一种tcp数据包的传输方法 |
CN102761534A (zh) * | 2011-04-29 | 2012-10-31 | 北京瑞星信息技术有限公司 | 实现媒体接入控制层透明代理的方法和装置 |
CN104022998A (zh) * | 2013-03-01 | 2014-09-03 | 北京瑞星信息技术有限公司 | 网络传输数据病毒检测处理方法 |
CN109547452A (zh) * | 2018-11-30 | 2019-03-29 | 四川安迪科技实业有限公司 | Linux网桥设备上实现TCP透明代理的方法及系统 |
CN110365759A (zh) * | 2019-07-08 | 2019-10-22 | 深圳市多尼卡航空电子有限公司 | 一种数据转发方法、装置、系统、网关设备及存储介质 |
CN112399518A (zh) * | 2019-08-16 | 2021-02-23 | 华为技术有限公司 | 数据回传方法以及设备 |
CN112449358A (zh) * | 2019-08-30 | 2021-03-05 | 华为技术有限公司 | 一种统计业务流量的方法和装置 |
CN111371639A (zh) * | 2020-02-21 | 2020-07-03 | 腾讯科技(深圳)有限公司 | 网络延时分析方法、装置、存储介质和计算机设备 |
CN112954001A (zh) * | 2021-01-18 | 2021-06-11 | 武汉绿色网络信息服务有限责任公司 | 一种http转https双向透明代理的方法和装置 |
CN113364804A (zh) * | 2021-06-29 | 2021-09-07 | 北京天空卫士网络安全技术有限公司 | 一种流量数据的处理方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11522835B2 (en) | Context based firewall service for agentless machines | |
US10862854B2 (en) | Systems and methods for using DNS messages to selectively collect computer forensic data | |
US8073936B2 (en) | Providing support for responding to location protocol queries within a network node | |
CN106936791B (zh) | 拦截恶意网址访问的方法和装置 | |
CN111131544B (zh) | 一种实现nat穿越的方法 | |
CN110839017B (zh) | 代理ip地址识别方法、装置、电子设备及存储介质 | |
CN113825129B (zh) | 一种5g网络环境下工业互联网资产测绘方法 | |
CN111130947B (zh) | 一种基于服务验证的网络空间测绘方法 | |
CN111147519A (zh) | 数据检测方法、装置、电子设备和介质 | |
US11093367B2 (en) | Method and system for testing a system under development using real transaction data | |
CN112769635B (zh) | 多粒度特征解析的服务识别方法及装置 | |
CN112637223B (zh) | 应用协议识别方法、装置、计算机设备和存储介质 | |
CN111010362B (zh) | 一种异常主机的监控方法及装置 | |
CN114125030A (zh) | 连接跟踪方法、装置、电子设备和计算机可读存储介质 | |
CN113079124A (zh) | 入侵行为检测方法、系统及电子设备 | |
JP3892322B2 (ja) | 不正アクセス経路解析システム及び不正アクセス経路解析方法 | |
CN112653609B (zh) | 一种vpn识别应用方法、装置、终端及存储介质 | |
US20220360990A1 (en) | 4g / 5g core network deep packet inspection system | |
US20240214318A1 (en) | System and method for traffic flow classification | |
RU2776349C1 (ru) | Системы и способы использования сообщений dns для селективного сбора компьютерных криминалистических данных | |
CN112261051B (zh) | 一种用户注册方法、装置及系统 | |
CN118041824A (zh) | 测试旁路镜像功能的方法、装置、电子设备及存储介质 | |
CN105991581A (zh) | 协议识别方法及装置 | |
CN115955423A (zh) | 一种基于域名的网络流量处理方法、装置以及处理设备 | |
CA3223919A1 (en) | System and method for traffic flow classification |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |