專利名稱:旁路阻斷udp會話的制作方法
技術(shù)領(lǐng)域:
本發(fā)明是一種在旁路方式下對網(wǎng)絡(luò)上的UDP會話進行阻斷的方法。可用于網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理以 及網(wǎng)絡(luò)訪問控制等領(lǐng)域。
背景技術(shù):
巨前,在中小企業(yè)內(nèi)部辦公網(wǎng)絡(luò)中,對員工的網(wǎng)絡(luò)訪問控制,肉容過濾,內(nèi)容審計,以及網(wǎng)絡(luò)安 全等領(lǐng)域中,需要對網(wǎng)絡(luò)使用'唐況進行監(jiān)控。 一般采用旁路監(jiān)聽的方式來減輕網(wǎng)關(guān)或路由器的負擔。 但旁路的控制功能卻打了折扣。本發(fā)明通過偽造數(shù)據(jù)包的方式可以實現(xiàn)在旁路阻斷!^定的UDP會話的 功能,從而解 ^了旁路監(jiān)聽方式的功能缺陷。
發(fā)明內(nèi)容
本發(fā)明的目的在于解決網(wǎng)絡(luò)的旁路監(jiān)聽方式下對UDP連接無法阻斷的問題。
一般情況,如果要斷開一個UDP的會話,只有服務(wù)器端,客戶端,以及網(wǎng)關(guān)和路由器等網(wǎng)絡(luò)出口 處這三個部位。而對于局域網(wǎng)的網(wǎng)絡(luò)安全、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)行為記錄、網(wǎng)絡(luò)審計等領(lǐng)域適用的部 位是網(wǎng)絡(luò)出口。但是這樣作的一個缺陷是會影響路由器等設(shè)備的性能。閃此,網(wǎng)絡(luò)行為記錄,網(wǎng)絡(luò)審 計等功能為了減輕路由器等設(shè)備的負擔,會用旁路監(jiān)聽的方式來實現(xiàn)(運行環(huán)境如圖l) 。 M同時這 樣旁路監(jiān)聽的方式對數(shù)據(jù)包卻缺乏控制能力。如果在旁路監(jiān)聽的方式下可以阻斷UDP的會話,就可以 既分擔路由器的負擔,又具有網(wǎng)絡(luò)控制能力。本發(fā)明就解決了這個問題。
詳細介紹
這種旁路阻斷方式的實現(xiàn)需要三個前提 首先,必須能夠監(jiān)聽到網(wǎng)絡(luò)上的數(shù)據(jù)包。 其次,能將自己偽造的數(shù)據(jù)包寫入到鏈路層。
第三,根據(jù)UDP協(xié)議的要求如果發(fā)送一個UDP包后,對方?jīng)]有相應(yīng)的接收進fe對方會返回一 個ICMP報文來通知發(fā)送方。
由此可知,如果我們根據(jù)監(jiān)聽到的UDP信息,偽造一個符合要求的恰當?shù)?CMP數(shù)據(jù)包發(fā)送出 去,并且能被連接的一端收到的話,就可以實現(xiàn)在旁路阻斷的目的。
具體過程是,通過監(jiān)聽設(shè)備監(jiān)聽到一個A~>B的UDP數(shù)據(jù)包Pl中的IP地址端口號等信息。 PI數(shù)據(jù)包的信息如下
源ip: ipA 目的ip ipB ,端口 portA 目的端口 portB
如果需要阻斷,根據(jù)Pl中的信息構(gòu)造一個反向B->A的ICMP回復(fù)數(shù)據(jù)包P2如下 P2數(shù)據(jù)包的信息如下
ICMP類型端口不可達 ICMP載荷
源ip: ipA 目的ip ipB 源端口 portA 目的端口 portB
通過原始套接字(rawsocket)把數(shù)據(jù)包P2寫入到鏈路層。此時,這個偽造的數(shù)據(jù)包P2會被網(wǎng)絡(luò)設(shè) 備當作正確的數(shù)據(jù)包進行轉(zhuǎn)發(fā),最后會被A收到。A會認為B沒有開啟相應(yīng)的服務(wù)。所以A把個UDP 會話關(guān)閉。至此,達到了在旁路阻斷UDP會話的目的。
圖l:系統(tǒng)結(jié)構(gòu)圖
具體實施例方式
系統(tǒng)實施方式圖l。
1. 將監(jiān)聽設(shè)備接入集線器或者交換機的鏡像端口進行監(jiān)聽。
2. 在監(jiān)聽到的數(shù)據(jù)包中分辨出需要阻斷的UDP數(shù)據(jù)包。
3. 根據(jù)需要阻斷的UDP會話信息,構(gòu)造偽造的ICMP數(shù)據(jù)包。
4. 將偽造的數(shù)據(jù)包用raw socket發(fā)送到鏈路層。從而阻斷UDP會話。
權(quán)利要求
旁路阻斷UDP應(yīng)用的方法是以部署以在旁路的方式對通過網(wǎng)絡(luò)的以UDP為基礎(chǔ)的應(yīng)用根據(jù)策略進行阻斷。具體特征如下1.在集線器或者交換機的映像端口接入監(jiān)聽設(shè)備。2.在監(jiān)聽設(shè)備上監(jiān)聽到需要阻斷的UDP數(shù)據(jù)后,構(gòu)造一個阻斷數(shù)據(jù)流。3.把數(shù)據(jù)流發(fā)送給目標機器。4.目標機器收到這個數(shù)據(jù)包后,斷開相應(yīng)的UDP應(yīng)用。
1. 在集線器或者交換機的映像端口接入監(jiān)聽設(shè)備。
2. 在監(jiān)聽設(shè)備上監(jiān)聽到需要阻斷的UDP數(shù)據(jù)后,構(gòu)造一個阻斷數(shù)據(jù)流。
3. 把數(shù)據(jù)流發(fā)送給目標機器。
4. 目標機器收到這個數(shù)據(jù)包后,斷開相應(yīng)的UDP應(yīng)用。
全文摘要
本發(fā)明是一種在旁路方式下對網(wǎng)絡(luò)上的UDP會話進行阻斷的方法??捎糜诰W(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理以及網(wǎng)絡(luò)訪問控制等領(lǐng)域。局域網(wǎng)絡(luò)中放置一臺監(jiān)聽設(shè)備,通過集線器或者交換機的鏡像端口監(jiān)聽網(wǎng)絡(luò)。當需要阻斷某個UDP會話時,根據(jù)監(jiān)聽到的UDP數(shù)據(jù)包信息組裝一個偽造的ICMP數(shù)據(jù)包,然后將這個偽造的數(shù)據(jù)包直接發(fā)送到鏈路層。持有需要阻斷的UDP會話的機器就會收到這個偽造的ICMP數(shù)據(jù)包,此時它會認為會話的另一端發(fā)送了錯誤通知信息。根據(jù)標準協(xié)議,操作系統(tǒng)會通知應(yīng)用程序此UDP書包發(fā)送錯誤。這樣擁有此會話的應(yīng)用程序就會斷開此次UDP會話。從而達到阻止非法網(wǎng)絡(luò)訪問的目的。
文檔編號H04L29/06GK101350743SQ20071013072
公開日2009年1月21日 申請日期2007年7月20日 優(yōu)先權(quán)日2007年7月20日
發(fā)明者尹志超 申請人:萊克斯信息技術(shù)(北京)有限公司