【技术实现步骤摘要】
本专利技术涉及算机网络通信与信息安全,具体是一种用统计技术分析网路数据包所经过的链和规则路径的追踪方法及装置。
技术介绍
1、在现代网络管理和安全领域,精确的包跟踪分析对于确保网络的稳定性和安全性至关重要。通过追踪数据包的传输路径和匹配规则,网络管理员和安全专家能够:
2、(1)网络故障排查:在网络出现故障时,包分析技术可以帮助找出问题的根源,确保网络的正常运行。
3、(2)网络性能优化:通过分析数据包的传输路径,识别网络瓶颈,优化网络配置,提高传输效率。
4、(3)安全威胁检测:实时监控数据包,发现异常行为,如ddos攻击、非法访问等,及时采取防御措施。
5、(4)合规性审计:定期审计和监控网络流量,确保遵守相关法规和政策,防止数据泄露。
6、为了分析某个因为防火墙规则导致的访问故障,网络管理员通常需要详细追踪数据包的流动路径和匹配的规则,分析单个数据包被哪些规则所匹配,经过了哪些路径。在现实情况下,这种解决方案有非常重要的意义。例如,在一个复杂的企业网络中,某个内部用户突然无法访问特定的外部服务,这时通过分析数据包的规则和链,可以帮助定位是哪个防火墙规则阻止了数据包的通过。可能是某条规则错误地拦截了该流量,或者是网络中的某个链未正确配置,导致数据包未能正确地匹配到应该放行的规则。通过精确追踪数据包的每个处理节点,管理员可以快速识别问题所在,调整防火墙规则,避免不必要的服务中断。此外,在部署新的防火墙策略时,管理员也可以使用这种方法验证新配置是否按预期工作,确保业务流
7、一般的网路数据包所经过的链和规则路径研判,是基于所述源端地址信息及目的端地址信息,以及源端口、目标端口、协议类型作为匹配要素,在不构造真实数据包,不对数据包实际运行的情况下,通过仿真计算确定所述源端地址信息至目的端地址信息之间的链和规则,这种仿真计算匹配规则方式本质上是一种模拟防火墙运作的方式,依赖于预先设定的规则和链条结构进行计算推断。然而,防火墙的实际实现过程涉及复杂的内核操作、状态维护以及动态调整的因素,而这些在仿真计算中难以完全还原。因为防火墙的规则匹配不仅依赖于源端地址、目的端地址、端口号和协议类型等静态信息,还受到数据包到达顺序、连接跟踪、时间戳、nat转换等诸多因素的影响。仿真计算过程中任何一个参数的理解错误或处理顺序的偏差,都可能导致仿真计算结果与实际网络环境中的处理结果产生显著差异。因此,仿真计算虽然可以为规则匹配提供一定的参考,但无法精准反映实际防火墙操作中的复杂性和动态性。
8、如果构造真实数据包,通过对实际结果跟踪进行分析,总体来讲可以采用trace+log方式、或者使用conntrack工具,但都无法满足单个数据包的跟踪需求。
9、trace+log方式通过在规则中增加-j trace,然后通过日志(log)进行分析,举例如下
10、1、在raw表中添加trace规则,以确保捕获进入和离开主机的数据包。
11、#示例:跟踪所有icmp(如ping)数据包
12、#跟踪所有传入的icmp数据包,在prerouting链的raw表中增加一条规则,匹配协议类型为icmp的数据包
13、sudo iptables-t raw-aprerouting-p icmp-j trace
14、#跟踪所有传出的icmp数据包,同上
15、sudo iptables-t raw-a output-p icmp-j trace2
16、2、查看日志
17、trace规则会将数据包的流经信息记录到系统日志中,通常是/var/log/kern.log或/var/log/messages。可以使用以下命令查看日志:
18、#查看内核日志
19、sudo tail-f/var/log/kern.log
20、#或者查看系统消息日志
21、sudo tail-f/var/log/messages
22、#其日志内容示例如下
23、mar 31 06:10:02compile kernel:raw out:in=out=eth0src=10.0.2.15dst=1.1.1.1len=84tos=0x00 prec=0x00 ttl=64id=24260df proto=icmp type=8code=0id=4426seq=1
24、mar 3106:10:02compile kernel:mangle out:in=out=eth0src=10.0.2.15dst=1.1.1.1len=84tos=0x00 prec=0x00 ttl=64id=24260df proto=icmp type=8code=0id=4426seq=1
25、mar 31 06:10:02compile kernel:nat out:in=out=eth0src=10.0.2.15dst=1.1.1.1len=84tos=0x00 prec=0x00 ttl=64id=24260df proto=icmp type=8code=0id=4426seq=1
26、mar 31 06:10:02compile kernel:filter out:in=out=eth0src=10.0.2.15dst=1.1.1.1len=84tos=0x00 prec=0x00 ttl=64id=24260df proto=icmp type=8code=0id=4426seq=1
27、从上例中可以看出trace+log方式有下面几个缺点:
28、1、要增加-j trace的规则,这本质上改变了要分析的数据包的路径,破坏了数据包原有的路径,这种分析故障的方法是一种危险操作。
29、2、每次只能分析一条规则的匹配情况,而不能一次性分析单个数据包匹配多条规则的情况。
30、所以这种方式不能满足本技术方案所要解决的“追踪数据包的流动路径和匹配的规则,分析单个数据包被哪些规则所匹配,经过路径如何”这一需求。
31、conntrack工具命令可以用来查看当前系统中的所有网络连接及其状态,例如:
32、sudo conntrack-l
33、tcp 6130established src=192.168.1.10dst=192.168.1.1sport=12345dport=80src=192.168.1.1dst=192.168.1.10sport=80dport=12345[assured]mark=0use=1
34、udp 170src=192.168.1.10dst=8.8.8.8sport=12345dport=53src=8.8.8.8dst=192.168.1.10sport=53dport=12345[assured]mark=本文档来自技高网...
【技术保护点】
1.一种用统计技术分析网路数据包所经过的链和规则路径的追踪方法,其特征在于,包括以下步骤:
2.如权利要求1所述的方法,其特征在于:所述网络请求的长度控制在1460字节以内。
3.如权利要求1所述的方法,其特征在于:在执行网络请求前,使用iptables-Z参数清空计数器。
4.如权利要求1所述的方法,其特征在于:步骤(2)中通过显示规则计数器命令iptables-t nat-L-nv--line-number记录规则的匹配包数量,所述显示规则计数器命令能够显示每个规则的匹配包数量以及规则的执行顺序。
5.如权利要求1所述的方法,其特征在于:所述网络请求采用curl命令构造,能够满足仅包含一个数据包的要求,且能够模拟待分析数据包的特征。
6.如权利要求1所述的方法,其特征在于:步骤(4)中在分析链和规则路径时,以输入链、输出链、转发链、PREROUTING链、POSTROUTING链为基准,结合规则的执行顺序和规则之间的关联关系,确定数据包经过的完整路径。
7.一种用统计技术分析网路数据包所经过的链和规则路径
8.如权利要求7所述的装置,其特征在于,所述网络请求的长度控制在1460字节以内。
9.如权利要求7所述的装置,其特征在于,网络请求执行模块在执行网络请求前,使用iptables-Z参数清空计数器。
10.如权利要求7所述的装置,其特征在于,所述网络请求构造模块采用curl命令构造网络请求,能够满足仅包含一个数据包的要求,且能够模拟待分析数据包的特征。
...【技术特征摘要】
1.一种用统计技术分析网路数据包所经过的链和规则路径的追踪方法,其特征在于,包括以下步骤:
2.如权利要求1所述的方法,其特征在于:所述网络请求的长度控制在1460字节以内。
3.如权利要求1所述的方法,其特征在于:在执行网络请求前,使用iptables-z参数清空计数器。
4.如权利要求1所述的方法,其特征在于:步骤(2)中通过显示规则计数器命令iptables-t nat-l-nv--line-number记录规则的匹配包数量,所述显示规则计数器命令能够显示每个规则的匹配包数量以及规则的执行顺序。
5.如权利要求1所述的方法,其特征在于:所述网络请求采用curl命令构造,能够满足仅包含一个数据包的要求,且能够模拟待分析数据包的特征。
6...
【专利技术属性】
技术研发人员:叶磊,刘伟,
申请(专利权)人:湖北华中电力科技开发有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。