WO2023050816A1

WO2023050816A1 - 网络数据包抓取方法和客户端、服务端

Info

Publication number: WO2023050816A1
Application number: PCT/CN2022/091513
Authority: WO
Inventors: 汪帅; 陈爱东; 刘兴; 刘雪峰
Original assignee: 中兴通讯股份有限公司
Priority date: 2021-09-29
Filing date: 2022-05-07
Publication date: 2023-04-06
Also published as: CN115914253A

Abstract

一种网络数据包抓取方法和客户端、服务端，其中所述方法包括获取用户的抓包任务信息，所述抓包任务信息包括待抓取数据包的源端口的标识信息(S110)；向服务端发送抓包任务执行请求，所述抓包任务执行请求携带有所述抓包任务信息，所述抓包任务执行请求用于使所述服务端根据所述标识信息建立所述源端口与镜像端口的镜像关系，以将所述源端口的数据包镜像到所述镜像端口，并使所述服务端中的抓包实体从所述镜像端口抓取数据包，所述镜像端口由所述服务端预先创建(S120)。

Description

网络数据包抓取方法和客户端、服务端

相关申请的交叉引用

本申请基于申请号为202111152106.X、申请日为2021年09月29日的中国专利申请提出，并要求该中国专利申请的优先权，该中国专利申请的全部内容在此引入本申请作为参考。

技术领域

本申请涉及通信技术领域，特别是涉及一种网络数据包抓取方法和客户端、服务端。

背景技术

网络抓包指将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作，网络开发、运维人员通过对抓取的数据包进行分析，可快速定位网络故障原因。

相关技术中，常通过部署专门的抓包服务器对业务节点进行抓包。但是在这种模式下，抓包服务器需要长期占用网络系统中的节点或其他硬件资源，特别是在没有抓包任务执行时，依然独占硬件的计算资源，造成资源的浪费，而且抓包服务器的升级难度较高。也可通过在待抓包端口的宿主机中输入命令来执行临时抓包操作，但是这在操作上十分繁琐，而且对宿主机存在安全隐患。

发明内容

本申请实施例提供一种网络数据包抓取方法、客户端、服务端和计算机可读存储介质，能够实现在镜像端口中通过抓包实体抓取业务节点的数据包，减少对系统硬件资源的占用，及避免对宿主机造成安全隐患。

第一方面，本申请实施例提供一种网络数据包抓取方法，应用于客户端，所述方法包括所述抓包任务信息包括待抓取数据包的源端口的标识信息，所述抓包任务执行请求用于使所述服务端根据所述标识信息建立所述源端口与镜像端口的镜像关系，并使所述服务端中的抓包实体从所述镜像端口抓取数据包，所述镜像端口由所述服务端预先创建。

第二方面，本申请实施例提供一种网络数据包抓取方法，应用于服务端，所述方法包括：接收客户端发送的抓包任务执行请求，所述抓包任务执行请求携带用户的抓包任务信息，所述抓包任务信息包括待抓取数据包的源端口的标识信息；根据所述标识信息建立所述源端口与镜像端口的镜像关系，以将所述源端口的数据包镜像到所述镜像端口，所述镜像端口由所述服务端预先创建；以及将所述抓包任务执行请求转发至抓包实体，以使所述抓包实体从所述镜像端口抓取数据包。

第三方面，本申请实施例提供一种客户端，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时，实现如上第一方面提供的网络数据包抓取的方法。

第四方面，本申请实施例提供一种服务端，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时，实现如上第二方面提供的网络数据包抓取的方法。

第五方面，本申请实施例提供一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，实现如上第一方面或者第二方面提供的网络数据包抓取的方法。

本申请的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请而了解。本申请的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

附图说明

附图用来提供对本申请技术方案的进一步理解，并且构成说明书的一部分，与本申请的实施例一起用于解释本申请的技术方案，并不构成对本申请技术方案的限制。

图1是本申请实施例提供的一种网络数据包抓取方法的实施环境示意图；

图2是本申请实施例提供的一种网络数据包抓取方法的流程示意图；

图3是本申请实施例提供的一种网络数据包抓取方法的流程示意图；

图4是本申请实施例提供的一种网络数据包抓取方法的流程示意图；

图5是本申请实施例提供的一种客户端的结构示意图；以及

图6是本申请实施例提供的一种服务端的结构示意图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本申请，并不用于限定本申请。

应了解，在本申请实施例的描述中，如果有描述到“第一”、“第二”等只是用于区分技术特征为目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量或者隐含指明所指示的技术特征的先后关系。“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示单独存在A、同时存在A和B、单独存在B的情况。其中A，B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项”及其类似表达，是指的这些项中的任意组，包括单项或复数项的任意组。例如，a、b和c中的至少一项可以表示：a，b，c，a和b，a和c，b和c，或者，a和b和c，其中a，b，c可以是单个，也可以是多个。

此外，下面所描述的本申请各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

本申请实施例提供了一种网络数据包抓取方法、客户端、服务端和计算机可读存储介质，通过建立待抓取数据包的源端口和服务端预先创建的镜像端口的镜像关系，在不影响数据包正常处理流程的情况下，将源端口的数据包复制转发到镜像端口，以使抓包实体能在镜像端口进行抓包，从而克服抓包过程对宿主机造成安全隐患问题，在需要对抓包服务进行升级时，只需要更新抓包镜像安装源即可，使得抓包服务的升级操作更加简单和容易实现。

为了方便本领域技术人员理解本申请实施例，下面先对本申请实施例提供的网络数据包抓取方法的实施环境进行说明。

图1是本申请实施例提供的一种网络数据包抓取方法的实施环境示意图。参见图1，该实施环境中包括客户端110、业务节点120、业务节点121以及部署在业务节点120中的服务端130和部署在业务节点121中的服务端131。其中客户端110和服务端130、131通过有线网络或无线网络交互连接。

需要说明的是，业务节点是指能独立地提供某种业务的实体，在本申请实施例中，业务节点可以是能接收、转发网络传输的数据包的实体。本申请实施例提供的网络数据包抓取方法可应用于虚拟化网络中，业务节点可以是虚拟节点和物理节点，虚拟节点包括如：虚拟机等，物理节点包括如：物理主机、交换机、路由器等。

客户端110是能够为用户提供抓包服务的终端设备。客户端具体可以是具有无线通信功能的手持式设备或计算设备。例如，手机(mobile phone)、平板电脑、笔记本电脑、台式计算机等，但并不局限于此。

服务端130、131用于接收客户端请求，对客户端的相关业务进行处理,并返回处理结果。

实施例一

图2是本申请实施例提供的一种网络数据包抓取方法的流程示意图，图2所示的网络数据包抓取方法可由图1所示的实施环境中的客户端执行。参见图2，本申请实施例提供的网络数据包抓取方法包括以下步骤：

步骤S110，获取用户的抓包任务信息,所述抓包任务信息包括待抓取数据包的源端口的标识信息。

可以理解的是，待抓取数据包的源端口可以是上述实施环境中的任意一个业务节点的端口，如虚拟机端口、交换机端口或路由器端口等。因此，本申请实施例适用于虚拟网络下对虚拟端口和物理端口的抓包任务。

需要说明的是，标识信息可以包括源端口所在业务节点的标识信息和源端口的端口号，例如，当待抓取数据包的源端口是上述实施环境中交换机的设备端口，标识信息就包括上述交换机的网际互连协议(Internet Protocol，IP)地址和/或媒体存取控制地址(Media Access Control Address，MAC)以及设备端口的端口号；当待抓取数据包的源端口是上述实施环境中虚拟机的虚拟端口，标识信息包括有上述虚拟机以及虚拟端口的名称标识，可以理解的是，待抓取数据包的源端口对应着唯一的标识信息，也就是标识信息能够找到唯一对应的源端口，识别不同网络中不同业务节点的源端口需要的标识信息不尽相同，在此不作赘述。

在一个具体实施例中，客户端通过显示网络中源端口的标识信息列表，以使用户可以从标识信息列表中搜索并选择待抓取数据包的源端口，从而获取包括有上述标识信息的抓包任务信息。可以理解的是，客户端可以通过Web应用程序或桌面应用程序获取用户的抓包任务信息。

步骤S120，向服务端发送抓包任务执行请求，所述抓包任务执行请求携带有所述抓包任务信息,所述抓包任务执行请求用于使所述服务端根据所述标识信息建立所述源端口与镜像端口之间的镜像关系，以将所述源端口的数据包镜像到所述镜像端口，并使所述服务端中的抓包实体从所述镜像端口抓取数据包，所述镜像端口由所述服务端预先创建。

参见图1，以客户端110向服务端130发送抓包任务执行请求为例，响应于客户端110发送的抓包任务执行请求，服务端130根据抓包任务执行请求中携带的标识信息，建立标识信息对应的源端口与服务端130预先创建的镜像端口之间的镜像关系，并将源端口的数据包镜像到镜像端口，以使服务端130中的抓包实体从镜像端口抓取数据包。

需要说明的是，抓包实体是由服务端动态创建，用于对网络传输发送与接收的数据包进行截获、重发、编辑、转存的虚拟机、容器或其他载体。服务端根据网络的构成类型，动态创建不同类型的抓包实体，以提高抓包效率和节约系统资源。

需要说明的是，镜像端口是由服务端创建的一种虚拟端口，通过建立源端口和镜像端口之间的镜像关系，在不影响数据包正常处理流程的情况下，将源端口的数据包复制转发到镜像端口。可以理解的是，镜像关系是源端口和镜像端口之间端口号的对应关系。

在一些实施例中，抓包任务信息还包括任务配置信息，所述任务配置信息包括以下至少一项：抓包过滤规则、抓包时长、是否保存抓包文件和是否展示报文概要内容。

可以理解的是，获取抓包过滤规则的任务配置信息，以使抓包实体在镜像端口中抓取特定的数据包，示例性的，抓包过滤规则可以是对数据包的源端口地址、目的端口地址等的限制，其中，抓包过滤规则可以是对多条源端口地址或目标端口地址的限制，根据用户实际需要，抓包过滤规则可以作相应调整，在此不作限制。

可以理解的是，通过获取抓包时长的任务配置信息，指示抓包实体在镜像端口中进行数据包抓取的时长，以使用户可以自定义抓包时长，以免进行数据包抓取的时间过长，占用过多资源；又或者，以免进行数据包抓取的时间过短，抓包结果不能满足用户实际需求。

可以理解的是，根据用户需求，通过获取是否保存抓包文件的任务配置信息，指示抓包实体在抓取数据包之后，是否对数据包进行本地保存，以免用户不需要对已抓取的数据包进行下一步处理，而抓包实体保存过多无用的数据包，导致占用过多的存储资源。

在一个具体的实施例中，在获取用户的抓包任务信息之前，所述网络数据包抓取方法还可以包括以下步骤：

显示任务配置信息列表，并获取用户从所述任务配置信息列表中选择的目标配置信息。

示例性的，显示包括有抓包过滤规则、抓包时长、是否保存抓包文件和是否展示报文概要内容的任务配置信息。可以理解的是，在关于是否展示报文概要内容的列表中，客户端还可以显示报文概要内容的具体内容列表，如报文源端口地址、目的端口地址、报文数量和报文类型等，以使用户在具体内容列表中选择或输入将要展示的报文概要内容。

在一些实施例中，本申请实施例提供的网络数据包抓取方法还包括以下步骤：接收所述服务端返回的报文概要内容，并对所述报文概要内容进行展示；所述报文概要内容包括以下至少一项：源端口地址、目的端口地址、报文数量和报文类型。

可以理解的是，客户端可以通过Web页面的方式，显示从所述服务端返回的报文概要内容。

通过获取包括有展示报文概要任务的任务配置信息，接收服务端根据任务配置信息返还的报文概要内容，并将其展示给用户，提高了抓包内容对用户的可读性。

示例性的，任务配置信息还可以包括数据包的数据长度，通过获取数据长度信息，指示抓包实体在镜像端口中抓取特定数据长度的数据包，例如，抓取数据长度大于1000字节的数据包；或者，抓取数据长度小于1000字节的数据包。

在一些实施例中，本申请实施例提供的网络数据包抓取方法还包括以下步骤：响应于用户输入的下载报文概要内容指令，向所述服务端发送下载报文概要内容请求，所述下载报文概要内容请求用于使所述服务端根据所述下载报文概要内容请求返回所述报文概要内容文件；下载所述服务端返回的所述报文概要内容文件。

在一个具体的实施例中，在响应于用户输入的下载报文概要内容指令之前，所述网络数据包抓取方法还可以包括以下步骤显示下载报文概要内容的功能按键，以获取用户输入的下载报文概要内容指令。可以理解的是，下载报文概要内容的功能按键可以是Web应用程序中的按键，也可以是桌面应用程序的按键。

需要说明的是，可以通过与用户交互的接口获取用户输入的下载报文概要内容指令，不限于上述实施例。

需要说明的是，可以采用超文本传输协议(Hyper Text Transfer Protocol，HTTP)或者Web Socket协议进行报文概要内容下载。

在一些实施例中，本申请实施例提供的网络数据包抓取方法还包括以下步骤：响应于用户输入的下载抓包文件指令，向所述服务端发送下载抓包文件请求，所述下载抓包文件请求用于使所述服务端根据所述下载抓包文件请求返回所述抓包文件；下载所述服务端返回的所述抓包文件。

在一个具体的实施例中，在响应于用户输入的下载抓包文件指令之前，所述网络数据包抓取方法还可以包括以下步骤：显示下载抓包文件的功能按键，以获取用户输入的下载抓包文件指令。可以理解的是，下载抓包文件的功能按键可以是Web应用程序中的按键，也可以是桌面应用程序的按键。

需要说明的是，可以通过与用户交互的接口获取用户输入的下载抓包文件指令，不限于上述实施例。

需要说明的是，可以采用HTTP协议或者Web Socket协议进行抓包文件下载。

在一些实施例中，本申请实施例提供的网络数据包抓取方法还包括以下步骤：响应于用户输入的停止抓包指令，向所述服务端发送停止抓包请求，所述停止抓包请求用于使所述服务端的抓包实体停止从所述镜像端口抓取数据包。

在一个具体的实施例中，在响应于用户输入的停止抓包指令之前，所述网络数据包抓取方法还可以包括以下步骤：显示停止抓包的功能按键，以获取用户输入的停止抓包指令。可以理解的是，停止抓包的功能按键可以是Web应用程序中的按键，也可以是桌面应用程序的按键。

需要说明的是，可以通过与用户交互的接口获取用户输入的停止抓包指令，不限于上述实施例。

在一个具体的实施例中，本申请实施例提供的网络数据包抓取方法还包括以下步骤：响应于用户输入的继续抓包指令，向所述服务端发送继续抓包请求，所述继续抓包请求用于使所述服务端的抓包实体从所述镜像端口抓取数据包。

需要说明的是，向所述服务端发送停止抓包请求，以使服务端的抓包实体停止从镜像端口抓取数据包，此时，源端口与镜像端口的镜像关系仍存在，在响应于用户输入的继续抓包指令，向服务端发送继续抓包请求，以使服务端的抓包实体在之前的镜像关系上，继续在镜像端口抓取数据包。

在一些实施例中，本申请实施例提供的网络数据包抓取方法还包括以下步骤：响应于用户输入的删除抓包任务指令，向所述服务端发送删除抓包任务请求，所述删除抓包任务请求用于使所述服务端删除所述源端口和所述镜像端口的镜像关系。

在一个具体的实施例中，在响应于用户输入的删除抓包任务指令之前，所述网络数据包抓取方法还可以包括以下步骤：显示删除抓包任务的功能按键，以获取用户输入的删除抓包任务指令。可以理解的是，删除抓包任务的功能按键可以是Web应用程序中的按键，也可以是桌面应用程序的按键。

需要说明的是，可以通过与用户交互的接口获取用户输入的删除抓包任务指令，不限于上述实施例。

可以理解的是，删除抓包任务请求是使服务端删除源端口和镜像端口的镜像关系，保留镜像端口用于执行下次抓包任务。

在一些实施例中，本申请实施例提供的网络数据包抓取方法还包括以下步骤：响应于用户输入的删除抓包实体指令，向所述服务端发送删除抓包实体请求，所述删除抓包实体请求用于使所述服务端删除所述抓包实体、所述镜像端口以及所述源端口与所述镜像端口之间的镜像关系。

在一个具体的实施例中，在响应于用户输入的删除抓包实体指令之前，所述网络数据包抓取方法还可以包括以下步骤：显示删除抓包实体的功能按键，以获取用户输入的删除抓包实体指令。可以理解的是，删除抓包实体的功能按键可以是Web应用程序中的按键，也可以是桌面应用程序的按键。

需要说明的是，可以通过与用户交互的接口获取用户输入的删除抓包实体指令，不限于上述实施例。

在一个具体实施例中，在删除抓包实体、镜像端口以及源端口与镜像端口之间的镜像关系之前，删除抓包实体请求还用于使服务端的抓包实体停止从镜像端口抓取数据包。

通过向服务端发送抓包任务执行请求，以使在服务端创建抓包实体执行用户发布的抓包任务，在抓包任务结束后，响应于客户端发送的删除抓包实体请求，服务端将抓包实体、镜像端口以及源端口与镜像端口之间的镜像关系删除，从而节约系统资源，并实现资源的优化。

实施例二

图3是本申请实施例提供的另一种网络数据包抓取方法的流程示意图。参见图3，该方法包括以下步骤：

需要说明的是，本申请实施例提供的网络数据包抓取方法应用于上述实施环境中的任意一个服务端。

步骤S210：接收客户端发送的抓包任务执行请求，所述抓包任务执行请求携带用户的抓包任务信息，所述抓包任务信息包括待抓取数据包的源端口的标识信息。

步骤S220：根据所述标识信息建立所述源端口与镜像端口之间的镜像关系，以将所述源端口的数据包镜像到所述镜像端口，所述镜像端口由所述服务端预先创建。

步骤S230：将所述抓包任务执行请求转发至抓包实体，以使所述抓包实体从所述镜像端口抓取数据包。

可以理解的是，通过建立源端口和镜像端口的镜像关系，在不影响数据包正常处理流程的情况下，将源端口的数据包复制转发到镜像端口，以使抓包实体能在镜像端口进行抓包，从而克服抓包过程对宿主机造成安全隐患问题。在需要对抓包服务进行升级时，只需要更新抓包镜像安装源即可，使得抓包服务的升级操作更加简单和容易实现。

示例性的，响应于抓包任务执行请求，服务端通过获取抓包实体的唯一标识，判断是否有可以执行抓包任务的抓包实体，若不存在，则创建抓包实体。

示例性的，响应于抓包任务执行请求，服务端检查是否存在可以与源端口建立镜像关系的镜像端口，若不存在，则创建镜像端口。

步骤S210至S230的具体的实现过程可参见前面步骤S110至S120的相关描述，此处不再赘述。

在一些具体实施例中，抓包实体使用基于特快数据路径(extreme data path，XDP)技术的报文过滤技术从所述镜像端口抓取数据包，以减少系统资源占用，提高抓包性能。

在一些实施例中，本申请实施例提供的方法还可以包括以下步骤：所述抓包任务信息还包括用户的任务配置信息，所述任务配置信息包括是否保存抓包文件；当根据任务配置信息确定用户要求保存抓包文件，所述方法还包括：通过所述抓包实体对抓取的数据包进行本地保存，生成抓包文件。

在一些实施例中，本申请实施例提供的方法还可以包括以下步骤：接收所述客户端发送的下载抓包文件请求；从所述抓包实体拷贝抓包文件；将所述抓包文件返回给所述客户端。

在一些实施例中，本申请实施例提供的方法还可以包括以下步骤：所述抓包任务信息还包括任务配置信息，所述任务配置信息包括是否展示报文概要内容；当根据任务配置信息确定用户要求展示报文概要内容，所述方法还包括：通过所述抓包实体获取报文概要内容并对所述报文概要内容进行本地保存，生成报文概要内容文件，所述报文概要内容包括以下至少一项：源端口地址、目的端口地址、报文数量和报文类型；将所述报文概要内容发送给所述客户端，以使所述客户端对所述报文概要内容进行展示。

在一些实施例中，本申请实施例提供的方法还可以包括以下步骤：接收所述客户端发送的下载报文概要内容请求；从所述抓包实体拷贝所述报文概要内容文件；将所述报文概要内容文件返回给所述客户端。

在一些实施例中，本申请实施例提供的网络数据包抓取方法还包括以下步骤：响应于用户输入的下载抓包文件指令，向所述服务端发送下载抓包文件请求，所述下载抓包文件请求用于使所述服务端根据所述下载抓包文件请求返回所述抓包文件；下载所述服务端返回的所述抓包文件。在一些实施例中，本申请实施例提供的方法还可以包括以下步骤：所述抓包任务信息还包括任务配置信息，所述任务配置信息包括以下至少一项：抓包过滤规则，所述抓包过滤规则用于指示所述抓包实体对从所述镜像端口得到的数据包进行过滤；抓包时长，所述抓包时长用于指示所述抓包实体根据所述抓包时长从所述镜像端口抓取数据包。

在一些实施例中，本申请实施例提供的方法还可以包括以下步骤：接收所述客户端发送的停止抓包请求；将所述停止抓包请求转发至所述抓包实体，以使所述抓包实体根据所述停止抓包请求停止从所述镜像端口抓取数据包。

在一些实施例中，本申请实施例提供的方法还可以包括以下步骤：接收所述客户端发送的删除抓包任务请求；根据所述删除抓包任务请求，将所述镜像关系删除，并将所述删除抓包任务请求转发至所述抓包实体，以使所述抓包实体停止从所述镜像端口抓取数据包。

在一些实施例中，本申请实施例提供的方法还可以包括以下步骤：接收所述客户端发送的删除抓包实体请求；根据所述删除抓包实体请求，将所述抓包实体、所述镜像端口以及源端口与所述镜像端口之间的镜像关系删除。

为了更清楚地说明本申请实施例提供的应用于服务端的网络数据包抓取方法，下面参照图4描述网络数据包抓取方法的示例性具体步骤。

图4是本申请实施例提供的一种网络数据包抓取方法的流程示意图。参见图4本申请实施例提供的网络数据包抓取方法包括以下步骤：

步骤S310，接收客户端发送的抓包任务执行请求；

步骤S320，判断是否存在可以执行抓包任务的抓包实体，若是，执行步骤S340，若否，执行步骤S330；

步骤S330，创建抓包实体；

步骤S340，判断是否存在可以与源端口建立镜像关系的镜像端口，若是，执行步骤S360，若否，执行步骤S350；

步骤S350，创建镜像端口；

步骤S360，根据标识信息建立源端口与镜像端口之间的镜像关系，以将源端口的数据包镜像到镜像端口；

步骤S370，将抓包任务执行请求转发至抓包实体，以使抓包实体从镜像端口抓取数据包。

在本实施例中，响应于客户端发送的抓包任务执行请求，服务端先是通过获取抓包实体的唯一标识，判断是否有可以执行抓包任务的抓包实体，再判断是否存在可以与源端口建立镜像关系的镜像端口，在确定有抓包实体和镜像端口之后，通过标识信息建立源端口与镜像端口之间的镜像关系，以将源端口的数据包镜像到镜像端口，最后再将抓包任务执行请求转发至抓包实体，以使抓包实体从镜像端口抓取数据包。

需说明的是，在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

本申请实施例，客户端获取用户的抓包任务信息，抓包任务信息包括有待抓取数据包的源端口的标识信息，并向服务端发送抓包任务执行请求，抓包任务执行请求携带有抓包任务信息。服务端根据抓包任务信息中的标识信息，建立标识信息对应的源端口与服务端预先创建的镜像端口的镜像关系，以将源端口的数据包镜像到镜像端口，之后服务端中的抓包实体从镜像端口抓取数据包。本申请实施例通过在服务端创建抓包实体执行用户发布的抓包任务，在抓包任务结束后，可根据实际需求对抓包实体进行保留或回收，从而节约系统资源，并实现资源的优化。本申请实施例通过建立源端口和镜像端口的镜像关系，在不影响数据包正常处理流程的情况下，将源端口的数据包复制转发到镜像端口，以使抓包实体能在镜像端口进行抓包，从而克服抓包过程对宿主机造成安全隐患问题。在需要对抓包服务进行升级时，只需要更新抓包镜像安装源即可，使得抓包服务的升级操作更加简单和容易实现。

图5示出了本申请实施例提供的一种客户端200。如图5所示，该客户端200包括但不限于：

存储器210，用于存储程序；

处理器220，用于执行存储器210存储的程序，当处理器220执行存储器210存储的程序时，处理器220用于执行上述实施例一描述的网络数据包抓取的方法。

处理器220和存储器210可以通过总线或者其他方式连接。

存储器210作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序以及非暂态性计算机可执行程序，如本申请任意实施例描述的网络数据包抓取的方法。处理器220通过运行存储在存储器210中的非暂态软件程序以及指令，从而实现上述实施例一描述的网络数据包抓取的方法。

存储器210可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储执行上述的网络数据包抓取的方法。此外，存储器210可以包括高速随机存取存储器，还可以包括非暂态存储器，比如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中，存储器210可选包括相对于处理器220远程设置的存储器，这些远程存储器可以通过网络连接至该处理器220。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

实现上述的网络数据包抓取的方法所需的非暂态软件程序以及指令存储在存储器210中，当被一个或者多个处理器220执行时，执行本申请任意实施例提供的网络数据包抓取的方法。

图6示出了本申请实施例提供的一种服务端300。如图6所示，该服务端300包括但不限于：

存储器310，用于存储程序；

处理器320，用于执行存储器310存储的程序，当处理器320执行存储器310存储的程序时，处理器320用于执行上述实施例二描述的网络数据包抓取的方法。

处理器320和存储器310可以通过总线或者其他方式连接。

存储器310作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序以及非暂态性计算机可执行程序，如本申请任意实施例描述的网络数据包抓取的方法。处理器320通过运行存储在存储器310中的非暂态软件程序以及指令，从而实现上述实施例二描述的网络数据包抓取的方法。

存储器310可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储执行上述的网络数据包抓取的方法。此外，存储器310可以包括高速随机存取存储器，还可以包括非暂态存储器，比如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中，存储器310可选包括相对于处理器320远程设置的存储器，这些远程存储器可以通过网络连接至该处理器320。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

实现上述的网络数据包抓取的方法所需的非暂态软件程序以及指令存储在存储器310中，当被一个或者多个处理器320执行时，执行本申请任意实施例提供的网络数据包抓取的方法。

本申请实施例还提供了一种计算机存储介质，存储有计算机可执行指令，计算机可执行指令用于执行上述的网络数据包抓取的方法。

在一实施例中，该存储介质存储有计算机可执行指令，该计算机可执行指令被一个或多个控制处理器执行，比如，被上述客户端中的一个或多个处理器执行，或者被上述服务端中的一个或多个处理器执行，可使得上述一个或多个处理器执行本申请任意实施例提供的网络数据包抓取的方法。

以上所描述的实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统可以被实施为软件、固件、硬件及其适当的组合。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包括计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

根据本申请的实施例，客户端获取用户的抓包任务信息，抓包任务信息包括有待抓取数据包的源端口的标识信息，并向服务端发送抓包任务执行请求，抓包任务执行请求携带有抓包任务信息。服务端根据抓包任务信息中的标识信息，建立标识信息对应的源端口与服务端预先创建的镜像端口的镜像关系，以将源端口的数据包镜像到镜像端口，之后服务端中的抓包实体从镜像端口抓取数据包。本申请实施例通过在服务端创建抓包实体执行用户发布的抓包任务，在抓包任务结束后，可根据实际需求对抓包实体进行保留或回收，从而节约系统资源，并实现资源的优化。本申请实施例通过建立源端口和镜像端口的镜像关系，在不影响数据包正常处理流程的情况下，将源端口的数据包复制转发到镜像端口，以使抓包实体能在镜像端口进行抓包，从而克服抓包过程对宿主机造成安全隐患问题。在需要对抓包服务进行升级时，只需要更新抓包镜像安装源即可，使得抓包服务的升级操作更加简单和容易实现。

以上是对本申请的较佳实施进行了具体说明，但本申请并不局限于上述实施方式，熟悉本领域的技术人员在不违背本申请精神的。共享条件下还可作出种种等同的变形或替换，这些等同的变形或替换均包括在本申请权利要求所限定的范围内。

Claims

一种网络数据包抓取方法，应用于客户端，所述方法包括：

获取用户的抓包任务信息，所述抓包任务信息包括待抓取数据包的源端口的标识信息；以及

向服务端发送抓包任务执行请求，所述抓包任务执行请求携带有所述抓包任务信息，所述抓包任务执行请求用于使所述服务端根据所述标识信息建立所述源端口与镜像端口的镜像关系，并使所述服务端中的抓包实体从所述镜像端口抓取数据包，所述镜像端口由所述服务端预先创建。
根据权利要求1所述的方法，其中，所述抓包任务信息还包括任务配置信息，所述任务配置信息包括以下至少一项：抓包过滤规则、抓包时长、是否保存抓包文件和是否展示报文概要内容。
根据权利要求1所述的方法，还包括：

接收所述服务端返回的报文概要内容，并对所述报文概要内容进行展示；以及

所述报文概要内容包括以下至少一项：源端口地址、目的端口地址、报文数量和报文类型。
根据权利要求3所述的方法，还包括：

响应于用户输入的下载报文概要内容指令，向所述服务端发送下载报文概要内容请求，所述下载报文概要内容请求用于使所述服务端根据所述下载报文概要内容请求返回所述报文概要内容文件；以及

下载所述服务端返回的所述报文概要内容文件。
根据权利要求1所述的方法，还包括：

响应于用户输入的下载抓包文件指令，向所述服务端发送下载抓包文件请求，所述下载抓包文件请求用于使所述服务端根据所述下载抓包文件请求返回所述抓包文件；以及

下载所述服务端返回的所述抓包文件。
根据权利要求1所述的方法，还包括：

响应于用户输入的停止抓包指令，向所述服务端发送停止抓包请求，所述停止抓包请求用于使所述服务端的抓包实体停止从所述镜像端口抓取数据包。
根据权利要求1所述的方法，还包括：

响应于用户输入的删除抓包任务指令，向所述服务端发送删除抓包任务请求，所述删除抓包任务请求用于使所述服务端删除所述源端口和所述镜像端口的镜像关系。
根据权利要求1所述的方法，还包括：

响应于用户输入的删除抓包实体指令，向所述服务端发送删除抓包实体请求，所述删除抓包任务请求用于使所述服务端删除所述抓包实体、所述镜像端口以及源端口与所述镜像端口的镜像关系。
一种网络数据包抓取方法，应用于服务端，所述方法包括：

接收客户端发送的抓包任务执行请求，所述抓包任务执行请求携带用户的抓包任务信息，所述抓包任务信息包括待抓取数据包的源端口的标识信息；

根据所述标识信息建立所述源端口与镜像端口的镜像关系，以将所述源端口的数据包镜像到所述镜像端口，所述镜像端口由所述服务端预先创建；

将所述抓包任务执行请求转发至抓包实体，以使所述抓包实体从所述镜像端口抓取数据包。
根据权利要求9所述的方法，其中，所述抓包任务信息还包括用户的任务配置信息，所述任务配置信息包括是否保存抓包文件；

当根据任务配置信息确定用户要求保存抓包文件，所述方法还包括：

通过所述抓包实体对抓取的数据包进行本地保存，生成抓包文件。
根据权利要求10所述的方法，其中，所述方法还包括：

接收所述客户端发送的下载抓包文件请求；

从所述抓包实体拷贝抓包文件；

将所述抓包文件返回给所述客户端。
根据权利要求9所述的方法，其中，所述抓包任务信息还包括任务配置信息，所述任务配置信息包括是否展示报文概要内容；

当根据任务配置信息确定用户要求展示报文概要内容，所述还包括：

通过所述抓包实体获取报文概要内容并对所述报文概要内容进行本地保存，生成报文概要内容文件，所述报文概要内容包括以下至少一项：源端口地址、目的端口地址、报文数量和报文类型；

将所述报文概要内容发送给所述客户端，以使所述客户端对所述报文概要内容进行展示。
根据权利要求12所述的方法，其中，所述方法还包括：

接收所述客户端发送的下载报文概要内容请求；

从所述抓包实体拷贝所述报文概要内容文件；

将所述报文概要内容文件返回给所述客户端。
根据权利要求9所述的方法，其中，所述抓包任务信息还包括任务配置信息，所述任务配置信息包括以下至少一项：

抓包过滤规则，所述抓包过滤规则用于指示所述抓包实体对从所述镜像端口得到的数据包进行过滤；

抓包时长，所述抓包时长用于指示所述抓包实体根据所述抓包时长从所述镜像端口抓取数据包。
根据权利要求9所述的方法，其中，所述方法还包括：

接收所述客户端发送的停止抓包请求；

将所述停止抓包请求转发至所述抓包实体，以使所述抓包实体根据所述停止从所述镜像端口抓取数据包。
根据权利要求9所述的方法，其中，所述方法还包括：

接收所述客户端发送的删除抓包任务请求；

根据所述删除抓包任务请求，将所述镜像关系删除，并将所述删除抓包任务请求转发至所述抓包实体，以使所述抓包实体停止从所述镜像端口抓取数据包。
根据权利要求9所述的方法，其中，所述方法还包括：

接收所述客户端发送的删除抓包实体请求；

根据所述删除抓包实体请求，将所述抓包实体、所述镜像端口以及源端口与所述镜像端口的镜像关系删除。
一种客户端，其中，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时，实现如权利要求1至8任一项所述的网络数据包抓取方法。
一种服务端，其中，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时，实现如权利要求9至17任一项所述的网络数据包抓取方法。
一种计算机可读存储介质，其中，存储有计算机程序，所述计算机程序被处理器执行时，实现如权利要求1至17任一项所述的网络数据包抓取方法。