【技术实现步骤摘要】
本专利技术涉及数据安全,尤其涉及一种基于pcap网卡模式下tcpip旁路封堵方法。
技术介绍
1、随着各种数据源不断涌现,数据量呈指数级增长,数据被广泛应用于各行各业,从传统互联网应用到智能制造、医疗健康等领域,各国针对数据安全制定了一系列安全法律和法规,对企业数据安全提出了更高的要求。同时数据泄露、黑客攻击和网络犯罪等事件屡屡发生,给个人、企业和政府带来了极大的损失和风险。为应对这些挑战和现状,需要企业和组织需要不断完善数据安全体系,利用新技术和工具对数据进行有效保护,加强数据安全意识和技能培训。传统的数据安全除了执行基础的数据加密,备份数据,加强员工培训,修复系统漏洞外,主要是通过强化防火墙来实现网络的隔离,防止非法的网络限制和访问。
2、现有防火墙模式下的网络安全策略确实能起到良好的网络安全保护作用。但是也有如下几个问题:1)防火墙是一个软硬件结合产物,具有一定的开销成本。2)防火墙一般无法阻止内部主动连接的攻击。3)防火墙的原理是通过自身的安全组策略,将所有的进出信息都必须通过防火墙,作为唯一的访问点,一方面在一定程度影响数据处理的效率,另一方面会存在单点或多点故障,一旦防火墙出问题,会影响整个业务处理场景。
技术实现思路
1、本专利技术的目的在于提供一种基于pcap网卡模式下tcpip旁路封堵方法,解决传统的主路依靠防火墙等相关软硬件进行的数据阻断而不影响业务逻辑的场景。旁路封堵能大幅度的降低封堵的成本,一定程度上能提高异常数据的干扰率,最重要的一点是不会影响
2、本专利技术采用的技术方案是:
3、一种基于pcap网卡模式下tcpip旁路封堵方法,其包括以下步骤:
4、步骤1,利用pcap捕获网卡的流量数据;
5、步骤2,将流量数据解析数据体内容得到tcp层数据的五元组信息;
6、步骤3,将解析的五元组信息和封堵策略进行匹配;判断是否达到封堵标准;如果是,则执行步骤4,;否则,执行步骤1;
7、步骤4,达到封堵标准则开始构建套接字socket链路并发送rst封堵包;
8、步骤5,相应客户端接收rst封堵包后关闭tcp流从而实现封堵效果。
9、进一步地,步骤1具体包括以下步骤:
10、步骤1-1,首先打开数据流pcap_open_live,通过内部参数指定网卡信息以及参数路径,其中混杂模式可以实现路过的数据跟踪。
11、步骤1-2,配置过滤器样式实现不同数据过滤操作;
12、步骤1-3,通过回调函数将数据存储在程序内存中以得到流量数据。
13、进一步地,步骤2中通过剥离tcp层数据获取到对应五元组信息,五元组信息包括ip地址、源端口、目的ip地址、目的端口和传输层协议。
14、进一步地,步骤2中当为http协议时,则通过data包体获取对应的host的url信息,至此协议解析部分内容完成,获取到的信息数据保存在结构体struct中方便调用。
15、进一步地,步骤4具体包括以下步骤:
16、步骤4-1,根据客户端发送的tcp数据包进行按头解析实现拆分得到tcp数据;并对tcp数据进行tcp协议规则校验;
17、步骤4-2,获取以太网协议头,并分别修改ip协议头和tcp协议头的
18、步骤4-3,对修改后的tcp数据分别校验ip数据和tcp数据;
19、步骤4-4,将校验通过的tcp数据封装为rst封堵包并发送至对应的客户端。
20、进一步地,ip协议头的修改包括ip地址调整和修改长度字段。
21、进一步地,tcp协议头的修改包括端口调整和修改seqno和ackno。
22、进一步地,tcp数据包括对伪tcp数据头和tcp体的校验。
23、本专利技术采用以上技术方案,全软件方案,减少了硬件维护成本。采用libpcap模式采集数据,然后针对采集的数据进行系统分析,实现封堵效果,期间不涉及硬件设备,相关的硬件维护成本会比传统方式减少很多。旁路封堵不存在主路防控影响业务效率等风险。通过pcap采集到的数据进行分析,不会想类似防火墙一样走主路分析模式,所以不会影响主路业务上的风险和效率。封堵的策略和相关配置通过接口来进行调用,基本上不用配置额外属性,相关配置和部署实施等灵活方便,目前多套系统已经投入在部署应用。
24、本专利技术通过服务器的性能进行灵活调度,在不影响服务正常运行的前提下将性能提升致最高。在运行过程中可以自动,动态灵活获取服务器相关配置信息,以及系统运行的内存cpu等相关信息进行灵活调整,运行不会影响相关主营业务的正常运行,一旦服务器性能出现相应瓶颈,系统会自动进入休眠等状态。本专利技术实现内网的数据鉴别和封堵,避免内部网络出现异常后引起业务集群瘫痪问题。本专利技术采集模式是通过网络口的数据进行分析来实现封堵和鉴别功能,因此只要通过网卡的相关数据都能实现业务。
本文档来自技高网...【技术保护点】
1.一种基于pcap网卡模式下tcpip旁路封堵方法,其特征在于:其包括以下步骤:
2.根据权利要求1所述的一种基于pcap网卡模式下tcpip旁路封堵方法,其特征在于:步骤1具体包括以下步骤:
3.根据权利要求1所述的一种基于pcap网卡模式下tcpip旁路封堵方法,其特征在于:步骤2中通过剥离TCP层数据获取到对应五元组信息,五元组信息包括IP地址、源端口、目的IP地址、目的端口和传输层协议。
4.根据权利要求1所述的一种基于pcap网卡模式下tcpip旁路封堵方法,其特征在于:步骤2中当为HTTP协议时,则通过data包体获取对应的host的url信息,至此协议解析部分内容完成,获取到的信息数据保存在结构体中方便调用。
5.根据权利要求1所述的一种基于pcap网卡模式下tcpip旁路封堵方法,其特征在于:步骤4具体包括以下步骤:
6.根据权利要求5所述的一种基于pcap网卡模式下tcpip旁路封堵方法,其特征在于:ip协议头的修改包括ip地址调整和修改长度字段。
7.根据权利要求5所述的一种基于pcap
8.根据权利要求5所述的一种基于pcap网卡模式下tcpip旁路封堵方法,其特征在于:TCP数据包括对伪TCP数据头和TCP体的校验。
...【技术特征摘要】
1.一种基于pcap网卡模式下tcpip旁路封堵方法,其特征在于:其包括以下步骤:
2.根据权利要求1所述的一种基于pcap网卡模式下tcpip旁路封堵方法,其特征在于:步骤1具体包括以下步骤:
3.根据权利要求1所述的一种基于pcap网卡模式下tcpip旁路封堵方法,其特征在于:步骤2中通过剥离tcp层数据获取到对应五元组信息,五元组信息包括ip地址、源端口、目的ip地址、目的端口和传输层协议。
4.根据权利要求1所述的一种基于pcap网卡模式下tcpip旁路封堵方法,其特征在于:步骤2中当为http协议时,则通过data包体获取对应的host的url信息,至此协议解析部分内容完...
【专利技术属性】
技术研发人员:陈茂飞,王伟,令狐荣珊,沈春马,余亿,
申请(专利权)人:中电福富信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。