一种数据拦截方法及装置制造方法及图纸

本发明专利技术提供了一种数据拦截方法及装置，该方法包括：确定设置有至少一个hook点的Netfilter框架；利用该Netfilter框架获取外部发来的网络数据包；该网络数据包通过任一hook点时，均执行：利用预先设置好的该hook点对应的链表规则，对该网络数据包执行相应拦截处理。根据实际需求，可以利用iptable命令对Netfilter框架中的链表规则进行修改，且修改操作简单方便。利用基于Netfilter框架的防火墙以拦截数据，故本方案能够保证数据拦截效果。

Data interception method and device

The invention provides a data interception method and device, the method includes determining at least one frame is provided with a Netfilter hook; access network data sent to the external package using the Netfilter framework; the network packets are executed through any point hook, the use of pre: first set up the corresponding hook the list of rules, the implementation of the corresponding processing of the network packet interception. According to the actual demand, we can use the IPtable command to modify the list rules in the Netfilter framework, and the modification is simple and convenient. Using the firewall based on Netfilter framework to intercept data, this scheme can ensure the data interception effect.

【技术实现步骤摘要】
一种数据拦截方法及装置
本专利技术涉及计算机
，特别涉及一种数据拦截方法及装置。
技术介绍
防火墙是指隔离在本地网络与外界网络之间的一道执行控制策略的防御系统，其通过对所有进出网络的数据流进行拦截处理，以实现网络安全。目前，基于Android(安卓系统)的原有配置文件，可以通过系统自带防火墙以拦截数据。但是，自带防火墙的数据拦截规则不变更改，故现有实现方式的数据拦截效果较差。
技术实现思路
本专利技术提供了一种数据拦截方法及装置，能够保证数据拦截效果。为了达到上述目的，本专利技术是通过如下技术方案实现的：第一方面，本专利技术提供了一种数据拦截方法，确定设置有至少一个hook点的Netfilter框架；还包括：利用所述Netfilter框架获取外部发来的网络数据包；所述网络数据包通过任一所述hook点时，均执行：利用预先设置好的该hook点对应的链表规则，对所述网络数据包执行相应拦截处理。进一步地，每一个所述hook点中均包括有nat、mangle、raw、filter、security这5个表中的任意一个或多个；其中，所述nat、mangle、raw、filter、security这5个表中的任意一个表中，均包括有PRE_ROUTING、LOCAL_IN、FPRWARD、LOCAL_OUT和POST_ROUTING这5条链中的任意一条或多条；其中，所述PRE_ROUTING、LOCAL_IN、FPRWARD、LOCAL_OUT和POST_ROUTING这5条链中的任意一条链中，均包括有至少一个iptables命令；针对每一个所述hook点，由该hook点中包括的至少一个表及各表中包括的至少一个链，组成该hook点对应的链表规则。进一步地，所述执行相应拦截处理包括：放回网络协议栈并向上层递交、经修改后放回网络协议栈、丢弃中的任意一种。进一步地，所述利用所述Netfilter框架获取外部发来的网络数据包，包括：在配置的安卓开发环境下，利用所述Netfilter框架获取外部经有序广播而发来的网络数据包。第二方面，本专利技术提供了一种数据拦截装置，包括：确定单元，用于确定设置有至少一个hook点的Netfilter框架；获取单元，用于利用所述Netfilter框架获取外部发来的网络数据包；处理单元，用于所述网络数据包通过任一所述hook点时，均执行：利用预先设置好的该hook点对应的链表规则，对所述网络数据包执行相应拦截处理。进一步地，每一个所述hook点中均包括有nat、mangle、raw、filter、security这5个表中的任意一个或多个；其中，所述nat、mangle、raw、filter、security这5个表中的任意一个表中，均包括有PRE_ROUTING、LOCAL_IN、FPRWARD、LOCAL_OUT和POST_ROUTING这5条链中的任意一条或多条；其中，所述PRE_ROUTING、LOCAL_IN、FPRWARD、LOCAL_OUT和POST_ROUTING这5条链中的任意一条链中，均包括有至少一个iptables命令；针对每一个所述hook点，由该hook点中包括的至少一个表及各表中包括的至少一个链，组成该hook点对应的链表规则。进一步地，所述处理单元，具体用于执行放回网络协议栈并向上层递交、经修改后放回网络协议栈、丢弃中的任意一种。进一步地，所述获取单元，具体用于在配置的安卓开发环境下，利用所述Netfilter框架获取外部经有序广播而发来的网络数据包。第三方面，本专利技术提供了一种可读介质，包括执行指令，当存储控制器的处理器执行所述执行指令时，所述存储控制器执行上述任一所述的数据拦截方法。第四方面，本专利技术提供了一种存储控制器，包括：处理器、存储器和总线；所述存储器用于存储执行指令，所述处理器与所述存储器通过所述总线连接，当所述存储控制器运行时，所述处理器执行所述存储器存储的所述执行指令，以使所述存储控制器执行上述任一所述的数据拦截方法。本专利技术提供了一种数据拦截方法及装置，该方法包括：确定设置有至少一个hook点的Netfilter框架；利用该Netfilter框架获取外部发来的网络数据包；该网络数据包通过任一hook点时，均执行：利用预先设置好的该hook点对应的链表规则，对该网络数据包执行相应拦截处理。根据实际需求，可以利用iptable命令对Netfilter框架中的链表规则进行修改，且修改操作简单方便。利用基于Netfilter框架的防火墙以拦截数据，故本专利技术能够保证数据拦截效果。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术一实施例提供的一种数据拦截方法的流程图；图2是本专利技术一实施例提供的另一种数据拦截方法的流程图；图3是本专利技术一实施例提供的一种数据拦截装置的示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例，基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。如图1所示，本专利技术实施例提供了一种数据拦截方法，可以包括以下步骤：步骤101：确定设置有至少一个hook点的Netfilter框架。步骤102：利用所述Netfilter框架获取外部发来的网络数据包。步骤103：所述网络数据包通过任一所述hook点时，均执行：利用预先设置好的该hook点对应的链表规则，对所述网络数据包执行相应拦截处理。本专利技术实施例提供了一种数据拦截方法，确定设置有至少一个hook点的Netfilter框架；利用该Netfilter框架获取外部发来的网络数据包；该网络数据包通过任一hook点时，均执行：利用预先设置好的该hook点对应的链表规则，对该网络数据包执行相应拦截处理。根据实际需求，可以利用iptable命令对Netfilter框架中的链表规则进行修改，且修改操作简单方便。利用基于Netfilter框架的防火墙以拦截数据，故本专利技术实施例能够保证数据拦截效果。在本专利技术的一个实施例中，每一个所述hook点中均包括有nat、mangle、raw、filter、security这5个表中的任意一个或多个；其中，所述nat、mangle、raw、filter、security这5个表中的任意一个表中，均包括有PRE_ROUTING、LOCAL_IN、FPRWARD、LOCAL_OUT和POST_ROUTING这5条链中的任意一条或多条；其中，所述PRE_ROUTING、LOCAL_IN、FPRWARD、LOCAL_OUT和POST_ROUTING这5条链中的任意一条链中，均包括有至少一个iptables命令；针对每一个所述hook点，由该hook点中包括的至少一个表及各表中包括的至少一个链，组成该hook点对应的链表规则。详细地，对于上述5个表，raw表可以本文档来自技高网...

【技术保护点】
一种数据拦截方法，其特征在于，确定设置有至少一个hook点的Netfilter框架；还包括：利用所述Netfilter框架获取外部发来的网络数据包；所述网络数据包通过任一所述hook点时，均执行：利用预先设置好的该hook点对应的链表规则，对所述网络数据包执行相应拦截处理。

【技术特征摘要】
1.一种数据拦截方法，其特征在于，确定设置有至少一个hook点的Netfilter框架；还包括：利用所述Netfilter框架获取外部发来的网络数据包；所述网络数据包通过任一所述hook点时，均执行：利用预先设置好的该hook点对应的链表规则，对所述网络数据包执行相应拦截处理。2.根据权利要求1所述的方法，其特征在于，每一个所述hook点中均包括有nat、mangle、raw、filter、security这5个表中的任意一个或多个；其中，所述nat、mangle、raw、filter、security这5个表中的任意一个表中，均包括有PRE_ROUTING、LOCAL_IN、FPRWARD、LOCAL_OUT和POST_ROUTING这5条链中的任意一条或多条；其中，所述PRE_ROUTING、LOCAL_IN、FPRWARD、LOCAL_OUT和POST_ROUTING这5条链中的任意一条链中，均包括有至少一个iptables命令；针对每一个所述hook点，由该hook点中包括的至少一个表及各表中包括的至少一个链，组成该hook点对应的链表规则。3.根据权利要求1所述的方法，其特征在于，所述执行相应拦截处理包括：放回网络协议栈并向上层递交、经修改后放回网络协议栈、丢弃中的任意一种。4.根据权利要求1至3中任一所述的方法，其特征在于，所述利用所述Netfilter框架获取外部发来的网络数据包，包括：在配置的安卓开发环境下，利用所述Netfilter框架获取外部经有序广播而发来的网络数据包。5.一种数据拦截装置，其特征在于，包括：确定单元，用于确定设置有至少一个hook点的Netfilter框架；获取单元，用于利用所述Netfilter框架获取外部发来的网络数据包；处理单元，用于所述网络数据包通过任...

【专利技术属性】
技术研发人员：张欢，戴鸿君，于治楼，
申请(专利权)人：济南浪潮高新科技投资发展有限公司，
类型：发明
国别省市：山东,37