專利名稱：：DNS重定向與Http重定向相結(jié)合的旁路阻斷方法
技術(shù)領(lǐng)域：
：本發(fā)明屬于Http連接
技術(shù)領(lǐng)域：
，特別涉及一種旁路阻斷方法。技術(shù)背景在一個組織的內(nèi)網(wǎng)管理工作中，如何在不影響現(xiàn)有網(wǎng)絡(luò)部署的情況下高效解決非法節(jié)點Http連接，這往往是一個很常見但是很困擾的問題。特別是大量個人計算機(jī)，由于內(nèi)部用戶違規(guī)Http外聯(lián)，不僅容易帶來病毒、木馬泛濫，更容易導(dǎo)致企事業(yè)單位核心信息通過互聯(lián)網(wǎng)外泄，嚴(yán)重時會影響整體局域網(wǎng)的運(yùn)行和重要服務(wù)器的運(yùn)行。組織內(nèi)部通常會制定相應(yīng)的管理制度來規(guī)范非法外聯(lián)狀況，并且配備相應(yīng)的管理維護(hù)人員，但是由于缺少有效的技術(shù)手段，這種管理工作往往難以達(dá)到高效，并且成本較高?，F(xiàn)有解決非法節(jié)點Http連接問題，通常有以下幾種方案一、采用地址解析協(xié)議(ARP)對非法節(jié)點進(jìn)行阻斷這種方案有兩個主要的問題，一是需要定期發(fā)送ARP數(shù)據(jù)包，造成網(wǎng)絡(luò)中大量ARP數(shù)據(jù)包存在，亦被當(dāng)作ARP病毒；二是非法節(jié)點可以通過配置靜態(tài)路由方式，綁定非法主機(jī)和網(wǎng)關(guān)，從而使ARP阻斷失效。二、采用TCP重置(Reset)進(jìn)行阻斷這種方式的主要問題有兩點，一是不夠友好，非法用戶無法確切獲知是何原因?qū)е聼o法外聯(lián)，可維護(hù)性不強(qiáng)；二是需要對TCP握手的每一步都發(fā)送欺騙數(shù)據(jù)包，增加網(wǎng)絡(luò)流量。三、采用專業(yè)網(wǎng)管軟件進(jìn)行阻斷通過Sniffer等專業(yè)網(wǎng)管軟件可以完成對非法節(jié)點Http連接進(jìn)行網(wǎng)絡(luò)阻斷，但是也存在一些不足之處第一，這類軟件阻斷的原理都是持續(xù)對違規(guī)網(wǎng)絡(luò)節(jié)點發(fā)送欺騙包甚至是廣播包，對網(wǎng)絡(luò)的使用效率有一定的影響；第二，這種事后處理的方式并不符合當(dāng)前信息安全管理規(guī)范的要求，無法預(yù)先制定一個系統(tǒng)的安全策略，并且沒有符合審計規(guī)范的審計系統(tǒng)；第三，這種專業(yè)網(wǎng)管軟件往往價格不菲，單純?yōu)榱私鉀Q這個問題購買的成本太高四、通過網(wǎng)關(guān)設(shè)備進(jìn)行阻斷通過網(wǎng)關(guān)設(shè)備，配置網(wǎng)絡(luò)訪問策略，根據(jù)數(shù)據(jù)包的端口、IP地址和協(xié)議、以及對數(shù)據(jù)包內(nèi)容的關(guān)鍵字匹配來阻止非法節(jié)點的Http請求，但這種方法主要的問題是第一，需要頻繁配置網(wǎng)關(guān)設(shè)置，必須專業(yè)人員配合進(jìn)行；第二，配置不合適可能影響到當(dāng)前網(wǎng)絡(luò)的運(yùn)行情況；第三，增加刪除非法節(jié)點都需要手工維護(hù)。
發(fā)明內(nèi)容本發(fā)明的目的在于，提供一種DNS重定向與Http重定向相結(jié)合的旁路阻斷方法。為實現(xiàn)在上述目的，本發(fā)明采用如下技術(shù)方案一種DNS重定向與Http重定向相結(jié)合的旁路阻斷方法，包括以下步驟在局域網(wǎng)中設(shè)置過濾，加載阻斷策略，并監(jiān)聽網(wǎng)絡(luò)；當(dāng)截獲滿足過濾條件的DNS請求時，構(gòu)造指向重定向地址的DNS回應(yīng)包，偽造的DNS響應(yīng)，當(dāng)DNS請求端發(fā)起TCP握手時，回應(yīng)重定向的Http數(shù)據(jù)。重定向的Http數(shù)據(jù)在用戶主機(jī)上顯示為重定向的Http頁面。進(jìn)一步地，當(dāng)截獲滿足過濾條件的Http數(shù)據(jù)時，直接回應(yīng)重定向的HUp數(shù)據(jù)。進(jìn)一步地，DNS響應(yīng)的數(shù)據(jù)和Http響應(yīng)的數(shù)據(jù)部署在一Http服務(wù)器上，所使用的重定向地址指向用戶非法連接的提示頁面。進(jìn)一步地，DNS響應(yīng)的數(shù)據(jù)和Http響應(yīng)的數(shù)據(jù)部署在旁路阻斷器，所使用的重定向地址指向用戶非法連接的提示頁面。進(jìn)一步地，重定向的Http數(shù)據(jù)為通過直接構(gòu)造數(shù)據(jù)生成。進(jìn)一步地，所述DNS重定向與Http重定向相結(jié)合的旁路阻斷方法由連接于現(xiàn)有網(wǎng)關(guān)旁路的阻隔機(jī)器完成。進(jìn)一步地，所述阻隔機(jī)器對集線器進(jìn)行監(jiān)聽。進(jìn)一步地，所述阻隔機(jī)器對交換機(jī)鏡像端口進(jìn)行監(jiān)聽。本發(fā)明具有以下有益效果-1、本發(fā)明方法可以應(yīng)用在專業(yè)定制的硬件平臺上，支持7*24小時不間斷運(yùn)行，為旁路阻斷提供可信賴的運(yùn)行環(huán)境。2、本發(fā)明完全按照TCP/IP協(xié)議進(jìn)行設(shè)計，設(shè)備旁路部署在網(wǎng)絡(luò)中，對于原有網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)設(shè)備也沒有特殊要求，也不會對原有網(wǎng)絡(luò)設(shè)備產(chǎn)生任何影響。3、正常情況下阻斷只需要通過一到二個應(yīng)答包即可完成，被阻斷機(jī)器的URL直接被重定向到希望顯示的頁面，阻斷效果非常好，并且不會造成額外的網(wǎng)絡(luò)流量，具有簡單、高效的優(yōu)點，可廣泛應(yīng)用于具備內(nèi)部局域網(wǎng)、并且需要對節(jié)點非法Http連接進(jìn)行控制的企事業(yè)單位。以下結(jié)合附圖及實施例進(jìn)一步說明本發(fā)明。圖1為本發(fā)明DNS重定向與Http重定向相結(jié)合的旁路阻斷方法原理圖。圖2為本發(fā)明DNS重定向與Http重定向相結(jié)合的旁路阻斷方法實例流程圖。具體實施例方式正常的Http請求過程描述如下用戶通過瀏覽器發(fā)起Http請求時，首先會在本地的DNS緩存中尋找是否存在和目標(biāo)URL匹配的IP地址，如果無法找到，則會向DNS服務(wù)器發(fā)起DNS請求，待咖S返回URL對應(yīng)的IP地址后，開始向該IP發(fā)起TCP握手請求，完成三次握手，即開始數(shù)據(jù)通訊。本發(fā)明原理如圖1所示，在局域網(wǎng)中，用一臺專用的阻隔機(jī)器，該阻隔機(jī)器配置有雙網(wǎng)卡，可通過監(jiān)聽共享式集線器(HUB)、交換機(jī)鏡像端口，與現(xiàn)有網(wǎng)關(guān)旁路，捕獲所有經(jīng)過網(wǎng)關(guān)的數(shù)據(jù)，并對報文進(jìn)行分析，對符合條件需要阻斷的報文構(gòu)造回應(yīng)數(shù)據(jù)包，分別對DNS請求和TCP握手請求進(jìn)行重定向，即可完成非法節(jié)點的阻斷。具體描述如下一種DNS重定向與Http重定向相結(jié)合的旁路阻斷方法，包括以下步驟在局域網(wǎng)中設(shè)置過濾，加載阻斷策略，并監(jiān)聽網(wǎng)絡(luò)；當(dāng)截獲滿足過濾條件的DNS請求時，構(gòu)造指向重定向地址的DNS回應(yīng)包，偽造的DNS響應(yīng)，當(dāng)DNS請求端發(fā)起TCP握手時，回應(yīng)重定向的HUp數(shù)據(jù)。重定向的Http數(shù)據(jù)在用戶主機(jī)上顯示為重定向的Http頁面。進(jìn)一步地，當(dāng)截獲滿足過濾條件的Http數(shù)據(jù)時，直接回應(yīng)重定向的HUp數(shù)據(jù)。該Http重定向為DNS重定向的補(bǔ)充，僅在DNS重定向沒有被觸發(fā)情況下才會執(zhí)行。進(jìn)一步地，DNS響應(yīng)的數(shù)據(jù)和Http響應(yīng)的數(shù)據(jù)部署在一Http服務(wù)器上，所使用的重定向地址指向用戶非法連接的提示頁面。進(jìn)一步地，DNS響應(yīng)的數(shù)據(jù)和Http響應(yīng)的數(shù)據(jù)部署在旁路阻斷器，所使用的重定向地址指向用戶非法連接的提示頁面。進(jìn)一步地，在簡化部署的情況下，重定向的Http數(shù)據(jù)為通過直接構(gòu)造數(shù)據(jù)生成，從而避免部署Http服務(wù)。進(jìn)一步地，所述DNS重定向與Http重定向相結(jié)合的旁路阻斷方法由連接于現(xiàn)有網(wǎng)關(guān)旁路的阻隔機(jī)器完成。進(jìn)一步地，所述阻隔機(jī)器可以對集線器(HUB)進(jìn)行監(jiān)聽。進(jìn)一步地，所述阻隔機(jī)器可以對交換機(jī)鏡像端口進(jìn)行監(jiān)聽。具體流程實例如圖2所示，5當(dāng)用戶在用戶主機(jī)上輸入URL時，可通常有通過域名輸入，也可以是通過直接輸入IP地址。首先旁路的阻隔機(jī)器啟動，設(shè)置過濾，加載阻斷策略，并監(jiān)聽網(wǎng)絡(luò)。當(dāng)用戶直接輸入IP地址時，該阻隔機(jī)器截獲該Http請求數(shù)據(jù)，分析判斷是否滿足過濾條件，如果是，則直接回應(yīng)重定向的Http數(shù)據(jù)，此時，在用戶主機(jī)主i示的是重定向的Http頁面。而真實服務(wù)器發(fā)送的真實Http數(shù)據(jù)被丟棄。當(dāng)輸入的是域名是，用戶主機(jī)通常會執(zhí)行査詢本地DNS緩存，判斷域名對應(yīng)的IP地址是否存在，如果是，則執(zhí)行發(fā)送DNS請求，該阻隔機(jī)器截獲該Http請求數(shù)據(jù)，分析判斷是否滿足過濾條件，如果是，則構(gòu)造DNS回應(yīng)包，指向重定向的地址，用戶主機(jī)收到該DNS回應(yīng)包后，存入DNS緩存。而真實的DNS服務(wù)器發(fā)送的真實DNS回應(yīng)被丟棄。當(dāng)用戶主機(jī)通過瀏覽器向重定向的地址發(fā)起TCP握手，此時回復(fù)重定向的Http數(shù)據(jù)，用戶主機(jī)主顯示的是重定向的Http頁面。圖1中阻隔機(jī)器的通訊口192.168.1.50,監(jiān)聽口鏡像。網(wǎng)關(guān)地址為192.168.1.1。一用戶主機(jī)地址為192.168.1.35。另一用戶主機(jī)地址為192.168.1.205。下面表格描述構(gòu)造的數(shù)據(jù)幀序列表1構(gòu)造的DNS數(shù)據(jù)幀序列<table>tableseeoriginaldocumentpage6</column></row><table><table>tableseeoriginaldocumentpage7</column></row><table>試驗數(shù)據(jù):本發(fā)明方案已經(jīng)在內(nèi)網(wǎng)安全管理軟件中試用，該軟件以前只采用基于ARP誘騙技術(shù)的方式進(jìn)行阻斷控制，在引入本發(fā)明技術(shù)方案后，形成了雙重的非法Http連接控制保障。在絕大多數(shù)情況下，由新的DNS重定向和HTTP重定向技術(shù)發(fā)揮作用，只有在內(nèi)網(wǎng)真實服務(wù)器返回數(shù)據(jù)過快，系統(tǒng)無法迅速完成阻斷時(這種情況出現(xiàn)概率很低，只有在管理系統(tǒng)調(diào)試時可能出現(xiàn))，才由原有的ARP誘騙技術(shù)進(jìn)行第二重保障。采用本技術(shù)方案后控制效果和網(wǎng)絡(luò)發(fā)包對比情況可以由表4說明表4:采用DNS重定向和Http重定向技術(shù)前后控制效果對比情況(以管理一個標(biāo)準(zhǔn)C類網(wǎng)，平均200個在線節(jié)點，發(fā)現(xiàn)10個違規(guī)節(jié)點，阻斷周期5秒為例)<table>tableseeoriginaldocumentpage7</column></row><table>以上所述的實施例僅用于說明本發(fā)明的技術(shù)思想及特點，其目的在于使本領(lǐng)域內(nèi)的技術(shù)人員能夠了解本發(fā)明的內(nèi)容并據(jù)以實施，不能僅以本實施例來限定本發(fā)明的專利范圍，即凡依本發(fā)明所揭示的精神所作的同等變化或修飾，仍落在本發(fā)明的專利范圍內(nèi)。權(quán)利要求1、一種DNS重定向與Http重定向相結(jié)合的旁路阻斷方法，包括以下步驟在局域網(wǎng)中設(shè)置過濾，加載阻斷策略，并監(jiān)聽網(wǎng)絡(luò)；當(dāng)截獲滿足過濾條件的DNS請求時，構(gòu)造指向重定向地址的DNS回應(yīng)包，偽造的DNS響應(yīng)，當(dāng)DNS請求端發(fā)起TCP握手時，回應(yīng)重定向的Http數(shù)據(jù)。重定向的Http數(shù)據(jù)在用戶主機(jī)上顯示為重定向的Http頁面。2、根據(jù)權(quán)利要求l所述的DNS重定向與Http重定向相結(jié)合的旁路阻斷方法，其特征在于當(dāng)截獲滿足過濾條件的Http數(shù)據(jù)時，直接回應(yīng)重定向的Http數(shù)據(jù)。3、根據(jù)權(quán)利要求1或2所述的DNS重定向與Http重定向相結(jié)合的旁路阻斷方法，其特征在于DNS響應(yīng)的數(shù)據(jù)和Http響應(yīng)的數(shù)據(jù)部署在一Http服務(wù)器上，所使用的重定向地址指向用戶非法連接的提示頁面。4、根據(jù)權(quán)利要求3所述的DNS重定向與Http重定向相結(jié)合的旁路阻斷方法，其特征在于DNS響應(yīng)的數(shù)據(jù)和Http響應(yīng)的數(shù)據(jù)部署在旁路阻斷器，所使用的重定向地址指向用戶非法連接的提示頁面。5、根據(jù)權(quán)利要求4所述的DNS重定向與Http重定向相結(jié)合的旁路阻斷方法，其特征在于重定向的Http數(shù)據(jù)為通過直接構(gòu)造數(shù)據(jù)生成。6、根據(jù)權(quán)利要求4或5所述的DNS重定向與Http重定向相結(jié)合的旁路阻斷方法，其特征在于所述DNS重定向與Http重定向相結(jié)合的旁路阻斷方法由連接于現(xiàn)有網(wǎng)關(guān)旁路的阻隔機(jī)器完成。7、根據(jù)權(quán)利要求6所述的DNS重定向與Http重定向相結(jié)合的旁路阻斷方法，其特征在于所述阻隔機(jī)器對集線器進(jìn)行監(jiān)聽。8、根據(jù)權(quán)利要求6所述的DNS重定向與Http重定向相結(jié)合的旁路阻斷方法，其特征在于所述阻隔機(jī)器對交換機(jī)鏡像端口進(jìn)行監(jiān)聽。全文摘要DNS重定向與Http重定向相結(jié)合的旁路阻斷方法，包括以下步驟在局域網(wǎng)中設(shè)置過濾，加載阻斷策略，并監(jiān)聽網(wǎng)絡(luò)；當(dāng)截獲滿足過濾條件的DNS請求時，構(gòu)造指向重定向地址的DNS回應(yīng)包，偽造的DNS響應(yīng)，當(dāng)DNS請求端發(fā)起TCP握手時，回應(yīng)重定向的Http數(shù)據(jù)。重定向的Http數(shù)據(jù)在用戶主機(jī)上顯示為重定向的Http頁面。進(jìn)一步地，當(dāng)截獲滿足過濾條件的Http數(shù)據(jù)時，直接回應(yīng)重定向的Http數(shù)據(jù)。本發(fā)明可以應(yīng)用在專業(yè)定制的硬件平臺上，為旁路阻斷提供可信賴的運(yùn)行環(huán)境。并且對于原有網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)設(shè)備也沒有特殊要求，也不會對原有網(wǎng)絡(luò)設(shè)備產(chǎn)生任何影響。文檔編號H04L29/06GK101577729SQ200910052860公開日2009年11月11日申請日期2009年6月10日優(yōu)先權(quán)日2009年6月10日發(fā)明者剛李,蔡暮章,賈大智申請人:上海寶信軟件股份有限公司