本发明专利技术公开了一种网络代理访问处理方法、装置及其可读存储介质,该方法包括:调用LWIP协议栈接收源设备PCA的三层IP报文,并通过LWIP协议栈的TCP/UDP协议进行处理获取目标设备PCB的初始化数据;将目标设备PCB的初始数据映射到操作系统并创建Socket对象,并通过Socket异步通信库发送到目标网络;由LWIP协议的ICMP协议构造对应TCP/UDP协议的ICMP协议报文,ICMP协议报文直接由应用层网络地址转换NAT模块变换成本地ICMP报文,发送到目标网络。轻量级TCP/IP协议栈可实现免驱动直接在应用层处理三层IP报文。自主实现的SOCKET接口,远程服务端无需启动TUN网卡,服务端无法访问客户端虚拟网卡资源,杜绝了用户被远程攻击的安全隐患;完全在应用层使用NAT变换,同时兼容Windows、Linux等主流操作系统。
【技术实现步骤摘要】
本申请涉及计算机网络安全,特别是一种网络代理访问处理方法、装置及其可读存储介质。
技术介绍
1、应用层代理技术是一种常规的网络代理访问处理技术,目前主流应用层代理技术是socks5代理协议,该代理协议是一款广泛使用的代理协议,它在使用tcp/ip协议通讯的前端设备和服务器之间扮演一个中介角色,使得内部网中的前端设备变得能够访问网络中的服务器,其中服务器只是通过将前端发来的请求转发给真正的目标服务器,模拟了一个前端行为。socks代理只是一个简单的转接板,socks代理与应用层代理、http层代理不同,socks代理只是简单地传递数据包,而不必关心是什么应用协议,类似于传输层代理,只负责处理消息的传递,而不管消息的内容。
2、三层代理技术的三层是指传输层,在tcp/ip协议栈里面通常指ip层,传统的三层代理技术通常在linux下通过ip列表iptables和虚拟网卡技术配合实现,可实现比socks5更加底层的网络代理效果,但该代理技术需要内置tun虚拟网卡内核模块,同时只能工作在linux操作系统。
3、现有的socks5应用层代理技术只能实现tcp、udp代理,无法实现真正意义上的ip层协议代理,如无法代理icmp协议。基于linux虚拟网卡的三层代理技术方案无法工作在windows系统,同时需要预装linux tun虚拟网卡内核模块。虚拟网卡模式存在潜在的安全风险,恶意攻击者可直接从虚拟网卡远程访问客户端本机的虚拟网卡,严重影响用户安全。因此,需要对现有的三层代理技术方案进一步优化。
<
p>技术实现思路1、本专利技术的主要目的在于提出一种网络代理访问处理方法、系统及其可读存储介质,旨在解决现有的socks5应用层代理技术只能实现tcp、udp代理,无法实现真正意义上的ip层协议代理的技术问题。
2、为了解决上述技术问题,本专利技术提供了第一方面提供一种网络代理访问处理方法,该方法包括:
3、调用lwip协议栈接收源设备pca的三层ip报文,并通过所述lwip协议栈的tcp/udp协议进行处理获取目标设备pcb的初始化数据;
4、将所述目标设备pcb的初始数据映射到操作系统并创建socket对象,并通过socket异步通信库发送到目标网络;
5、由所述lwip协议的icmp协议构造对应所述tcp/udp协议的icmp协议报文,所述icmp协议报文直接由应用层网络地址转换nat模块变换成本地icmp报文,发送到目标网络。
6、具体的,所述通过所述lwip协议栈的tcp/udp协议进行处理获取目标设备pcb的初始数据包括:
7、所述lwip协议栈的tcp/udp协议分别对应lwip协议栈中的目标设备pcb的数据结构并初始化数据。
8、进一步的,所述调用lwip协议栈接收源设备pca的三层ip报文的步骤之前,所述方法还包括:
9、配置所述lwip协议栈和对应的所述应用层网络地址转换nat模块。
10、进一步的,所述配置所述lwip协议栈和对应的所述应用层网络地址转换nat模块包括:
11、配置lwip协议栈虚拟网卡接口,配置lwip协议栈ip报文输入/输出接口函数。
12、进一步的,所述配置所述lwip协议栈和对应的所述应用层网络地址转换nat模块包括:
13、安装lwip协议栈tcp协议钩子函数,安装lwip协议栈udp协议钩子函数,安装lwip协议栈icmp协议钩子函数。
14、进一步的,所述调用lwip协议栈接收源设备pca的三层ip报文包括:
15、通过加密通信协议接收到所述源设备pcb的三层ip报文后,调用所述lwip协议栈虚拟网卡接口收包。
16、进一步的,所述lwip协议栈的tcp/udp协议分别对应lwip协议栈中的目标设备pcb的数据结构并初始化数据包括:
17、调用所述lwip协议栈tcp协议钩子函数、所述lwip协议栈udp协议钩子函数执行第一次连接目标设备pcb并初始化数据,创建对应的socket对象,初始化异步sock收发事件。
18、进一步的,所述icmp协议报文直接由应用层网络地址转换nat模块变换成本地icmp报文,发送到目标网络的步骤还包括:
19、调用所述lwip协议栈的tcp/udp协议,由tcp/udp协议报文直接执行目标设备pcb和socket对象双向数据转发。
20、进一步的,所述icmp协议报文直接由应用层网络地址转换nat模块变换成本地icmp报文,发送到目标网络包括:
21、调用所述icmp协议钩子函数直接构造本地icmp报文发送到目标网络,所述icmp协议接收到应答报文后直接写入lwip协议栈并下发所述源设备pca。
22、本专利技术实施例第二方面提供了一种网络代理访问处理装置,所述装置包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现以下:
23、调用lwip协议栈接收源设备pca的三层ip报文,并通过所述lwip协议栈的tcp/udp协议进行处理获取目标设备pcb的初始化数据;
24、将所述目标设备pcb的初始数据映射到操作系统并创建socket对象,并通过socket异步通信库发送到目标网络;
25、由所述lwip协议的icmp协议构造对应所述tcp/udp协议的icmp协议报文,所述icmp协议报文直接由应用层网络地址转换nat模块变换成本地icmp报文,发送到目标网络。
26、本专利技术实施例第三方面提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有网络代理访问处理程序,所述网络代理访问处理程序被处理器执行时实现上述的网络代理访问处理方法的步骤。
27、本专利技术技术方案的有益效果:
28、本专利技术实施例的网络代理访问处理方法、装置及其计算机可读存储介质,基于轻量级tcp/ip协议栈,如lwip协议栈,在配合socket转发技术在应用层实现了三层代理的效果,使得整个链路兼容大部属主流的透明通信协议,例如tcp、udp、icmp、l2tp/ipsec、openvpn等。基于轻量级tcp/ip协议栈,可实现免驱动直接在应用层处理三层ip报文。基于自主实现的socket接口,远程服务端无需启动tun网卡,服务端无法访问客户端虚拟网卡资源,杜绝了用户被远程攻击的安全隐患;完全在应用层使用nat变换,无需安装任何驱动,同时兼容windows、linux等主流操作系统。
本文档来自技高网...
【技术保护点】
1.一种网络代理访问处理方法,其特征在于,所述方法包括:
2.根据权利要求1所述的网络代理访问处理方法,其特征在于,所述通过所述LWIP协议栈的TCP/UDP协议进行处理获取目标设备PCB的初始数据包括:
3.根据权利要求1所述的网络代理访问处理方法,其特征在于,所述调用LWIP协议栈接收源设备PCA的三层IP报文的步骤之前,所述方法还包括:
4.根据权利要求3所述的网络代理访问处理方法,其特征在于,所述配置所述LWIP协议栈和对应的所述应用层网络地址转换NAT模块包括:
5.根据权利要求4所述的网络代理访问处理方法,其特征在于,所述调用LWIP协议栈接收源设备PCA的三层IP报文包括:
6.根据权利要求4所述的网络代理访问处理方法,其特征在于,所述LWIP协议栈的TCP/UDP协议分别对应LWIP协议栈中的目标设备PCB的数据结构并初始化数据包括:
7.根据权利要求1所述的网络代理访问处理方法,其特征在于,所述ICMP协议报文直接由应用层网络地址转换NAT模块变换成本地ICMP报文,发送到目标网络的步骤还包括:
8.根据权利要求4所述的网络代理访问处理方法,其特征在于,所述ICMP协议报文直接由应用层网络地址转换NAT模块变换成本地ICMP报文,发送到目标网络包括:
9.一种网络代理访问处理装置,其特征在于,所述装置包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现以下:
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有网络代理访问处理程序,所述网络代理访问处理程序被处理器执行时实现如权利要求1-8任意一项所述的网络代理访问处理方法的步骤。
...
【技术特征摘要】
1.一种网络代理访问处理方法,其特征在于,所述方法包括:
2.根据权利要求1所述的网络代理访问处理方法,其特征在于,所述通过所述lwip协议栈的tcp/udp协议进行处理获取目标设备pcb的初始数据包括:
3.根据权利要求1所述的网络代理访问处理方法,其特征在于,所述调用lwip协议栈接收源设备pca的三层ip报文的步骤之前,所述方法还包括:
4.根据权利要求3所述的网络代理访问处理方法,其特征在于,所述配置所述lwip协议栈和对应的所述应用层网络地址转换nat模块包括:
5.根据权利要求4所述的网络代理访问处理方法,其特征在于,所述调用lwip协议栈接收源设备pca的三层ip报文包括:
6.根据权利要求4所述的网络代理访问处理方法,其特征在于,所述lwip协议栈的tcp/udp协议分别对应lwip协议栈中的目...
【专利技术属性】
技术研发人员:王慧平,代兆军,
申请(专利权)人:广东蝉鸣信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。