用于网络故障自动诊断的装置和方法。该方法可以包括:接收客户端发送的诊断请求;响应于所述诊断请求,在防毒墙中加入打标记规则,其中,所述打标记规则用于对要诊断的数据包进行标记;指示所述客户端发送测试数据,其中,所述测试数据中包括所述数据包;以及响应于所述客户端发送的测试数据,获取允许所述数据包通过的规则列表和/或阻止所述数据包通过的规则列表,并将所获取的规则列表发送给客户端。
【技术实现步骤摘要】
本申请涉及网络故障诊断,尤其涉及用于自动诊断网络故障的装置和方法。
技术介绍
随着信息产业的飞速发展,互 联网正在迅速普及,但伴随而来的还有日益猖獗的计算机病毒,其极大地损害了网络的安全性。面对现今恶劣的网络安全状况,许多用户选择了防毒墙来保障网络的安全。但由于用户的拓扑环境千变万化,在防毒墙上线之后,有时候会出现网络不通或者不能杀毒等故障。这时,可能需要对故障原因进行分析并排除故障。如果由用户来完成此项工作,由于大多数普通用户并不具备专业的计算机以及网络知识,因此将会是非常困难的。如果由防毒墙厂商的专业技术人员来完成此项工作,则需要该专业技术人员在防毒墙上线时对用户的计算机和网络进行现场调试,这样就需要防毒墙厂商配备大量的专业技术人员来随时解决用户网络环境中的故障,从而极大地增加了防毒墙厂商以及用户的成本,在实际操作中也不太可行。因此,在网络故障诊断领域中需要一种能够便捷地、低成本地排除网络环境中的故障的技术。
技术实现思路
本专利技术的主要目的是提供一种自动和简单的方法来发现用户网络环境中的故障点,从而能够向用户提供修改方法和建议,以解决上述人工排除网络故障的不足。本专利技术的一个方面可以涉及一种网络故障自动诊断方法,其包括接收客户端发送的诊断请求;响应于所述诊断请求,在防毒墙中加入打标记规则,其中,所述打标记规则用于对要诊断的数据包进行标记;指示所述客户端发送测试数据,其中,所述测试数据中包括所述数据包;以及响应于所述客户端发送的测试数据,获取允许所述数据包通过的规则列表和/或阻止所述数据包通过的规则列表,并将所获取的规则列表发送给客户端。本专利技术的另一个方面可以涉及一种网络故障自动诊断装置,其包括用于接收客户端发送的诊断请求的模块;用于响应于所述诊断请求,在防毒墙中加入打标记规则的模块,其中,所述打标记规则用于对要诊断的数据包进行标记;用于指示所述客户端发送测试数据的模块,其中,所述测试数据中包括所述数据包;以及用于响应于所述客户端发送的测试数据,获取允许所述数据包通过的规则列表和/或阻止所述数据包通过的规则列表,并将所获取的规则列表发送给客户端的模块。本专利技术可以根据诊断结果获知网络故障的原因并自动地修复网络故障,或者可以向用户提供诊断结果报告并提示网络故障点,由用户来自行解决故障。对于比较复杂的故障,本专利技术可以向技术人员提供详细的诊断结果报告,从而技术人员可以依据该报告来修复网络中的故障。附图说明参考附图详细描述了本专利技术,应当理解,附图以及相应的描述应当被理解为是说明性的而非限制性的,其中图I示出了示例性的自动诊断系统;图2示出了示例性的出口诊断处理流程;图3示出了示例性的规则诊断处理流程;图4示出了示例性的防病毒诊断处理流程。具体实施例方式下面通过具体实施方式来更详细地描述本专利技术,应该意识到,这些详细描述只是为了使得本专利技术更易于理解,并不用于限制本专利技术。·图I示出了根据本专利技术的具体实施方式的示例性的自动诊断系统,其可以包括如下两个部分位于用户主机101中的客户端102 ;位于防毒墙103中的自动诊断进程104和内核模块105。用户主机101可以经由防毒墙103与网络106进行通信。图I中所示出的自动诊断系统可以使用以下五种诊断方法来自动地诊断网络故障,分别为主机诊断用于判断用户主机101的网络配置是否正确;出口诊断用于检查客户端102的上网数据包流入防毒墙103的网口和流出防毒墙103的网口,从而判断路由或桥配置的正确性;规则诊断用于检测指定数据包在防毒墙103中所命中的所有规则,从而获取允许数据包通过的具体规则和/或阻止数据包通过的具体规则;防病毒诊断用于对防毒墙103上的代理的运行状况进行分析诊断;上网质量诊断用于对用户的网络运行质量进行分析诊断。上述五种诊断方法中的任何一种可以被独立执行以诊断网络故障,也可以将上述五种诊断方法中的任意一些进行组合后,以任何顺序或并行地执行以诊断网络故障。下面对每种诊断方法的示例性实现方式进行详细说明。主机诊断主机诊断用于判断用户主机的网络配置是否正确,该网络配置可以是与用户主机有关的任何网络配置,例如,网络地址(例如IP地址)、网关、DNS配置等。自动诊断系统中的客户端可以通过读取用户主机的注册表来获取该用户主机的网络配置,然后可以由自动诊断进程或客户端来判断该网络配置是否正确,如果不正确则向用户提示错误。可选地,如果网络配置有错误,自动诊断进程或客户端还可以进一步向用户提示正确的网络配置或者自动对错误的网络配置进行修改。出口诊断出口诊断用于检查客户端的上网数据包流入防毒墙的网口和流出防毒墙的网口,从而判断路由或桥配置的正确性。图2示出了示例性的出口诊断处理流程。在步骤201,接收客户端向自动诊断进程发送的诊断请求。该诊断请求可以具有多种不同的形式,例如,如果客户端的用户不了解位于防毒墙处的自动诊断进程所能进行的各种诊断方法,或者不了解针对自己的网络故障应该进行哪种诊断方法会比较合适,此时其可以使客户端仅指示自动诊断进程进行诊断(不指示具体的诊断方法),而由自动诊断进程来确定需要选择哪些诊断方法进行诊断。当然,客户端也可以在诊断请求中特别指示自动诊断进程进行出口诊断。诊断请求中可以进一步包括例如客户端和待访问的服务器的网络地址,更具体地,其可以是IP地址。在步骤202,自动诊断进程设置抓包过滤器,以准备抓取数据包。自动诊断进程可以依据实际情况,尤其是依据接收到的诊断请求中所包含的信息,来对抓包过滤器的抓包规则进行具体设置。例如,如果诊断请求中包括了客户端和待访问的服务器的IP地址,自动诊断进程可以将抓包过滤器的规则设置如下对发往待访问的服务器的数据包,抓目的地址是服务器IP地址的、端口为80的tcp syn数据包; 对返回客户端的数据包,抓目的地址是客户端IP地址的tcp syn+ack数据包。在步骤203,自动诊断进程给客户端回应,指示客户端发送测试数据(例如,http数据),该测试数据中包括要抓取的数据包。在步骤204,响应于客户端发送的测试数据,自动诊断进程通过抓包过滤器抓取数据包并分析抓包结果,从而获取数据包流入防毒墙的网口和流出防毒墙的网口。一旦获取了数据包流入防毒墙的网口和流出防毒墙的网口,就可以停止抓包。依据不同的平台,可以使用不同的方式来实现抓包过程。例如,抓包过滤器可以通过unix/linux平台下的网络数据包捕获函数包Iibpcap对所有网口抓包,然后通过接收数据包recvfrom函数的sockaddr_ll结构体中的sll_pkttype变量来判断数据包的流入和流出方向,从而获取数据包的流入网口和流出网口。在步骤205,自动诊断进程将所获取的结果返回给客户端。规则诊断规则诊断用于检测指定数据包在防毒墙中所命中(match)的所有规则,从而获取允许数据包通过的具体规则和/或阻止数据包通过的具体规则,并将结果返回给客户端。图3示出了示例性的规则诊断处理流程。在步骤301,接收客户端向自动诊断进程发送的诊断请求。该诊断请求可以仅指示自动诊断进程进行诊断,也可以特别指示自动诊断进程进行规则诊断。该诊断请求中可以进一步包括例如客户端和待访问的服务器的网络地址,更具体地,其可以是IP地址。在步骤302,自动诊断进程在防毒墙中加入打标记规则本文档来自技高网...
【技术保护点】
一种网络故障自动诊断方法,包括:接收客户端发送的诊断请求;响应于所述诊断请求,在防毒墙中加入打标记规则,其中,所述打标记规则用于对要诊断的数据包进行标记;指示所述客户端发送测试数据,其中,所述测试数据中包括所述数据包;以及响应于所述客户端发送的测试数据,获取允许所述数据包通过的规则列表和/或阻止所述数据包通过的规则列表,并将所获取的规则列表发送给客户端。
【技术特征摘要】
1.一种网络故障自动诊断方法,包括 接收客户端发送的诊断请求; 响应于所述诊断请求,在防毒墙中加入打标记规则,其中,所述打标记规则用于对要诊断的数据包进行标记; 指示所述客户端发送测试数据,其中,所述测试数据中包括所述数据包;以及响应于所述客户端发送的测试数据,获取允许所述数据包通过的规则列表和/或阻止所述数据包通过的规则列表,并将所获取的规则列表发送给客户端。2.根据权利要求I所述的方法,其中,自定义地设定要诊断的数据包。3.根据权利要求I或2所述的方法,其中,通过调用所述防毒墙中的内核模块来在所述防毒墙中加入打标记规则。4.根据权利要求I或2所述的方法,其中,通过调用所述防毒墙中的内核模块来获取允许所述数据包通过的规则列表和/或阻止所述数据包通过的规则列表。5.根据权利要求4所述的方法,其中,所述内核模块通过加入规则钩子函数来获取允许所述数据包通过的规则列表和/或阻止所述数据包通过的规则列表。6.根据权利要求I所述的方法,其中,所述诊断请求中包括所述客户端的网络地址和待访问的服务器的网络地址,并且其中,所述测试数据的目的地是所述服务器。7.根据权利要求6所述的方法,其中,所述数据包是syn包。8.根据权利要求I所述的方法,还包括 响应于所述诊断请求,指示所述客户端获取用户主机的网络配置,以判断所述网络配置是否正确。9.根据权利要求I所述的方法,还包括 响应于所述诊断请求,判断路由或桥配置是否正确。10.根据权利要求9所述的方法,其中,通过检查所述客户端的上网数据包流入防毒墙的网口和流出防毒墙的网口,来判断路由或桥配置是否正确。11.根据权利要求I所述的方法,还包括 响应于所述诊断请求,分析防毒墙上的代理的运行状况。12.根据权利要求11所述的方法,其中,所述分析防毒墙上的代理的运行状况包括判断所述代理是否与服务器正确连接和/或是否正确进行查毒。13.根据权利要求I所述的方法,还包括 响应于所述诊断请求,对用户的网络运行质量进行分析。14.一种网络故障自动诊断装置,包括 用于接收客户端发送的诊断...
【专利技术属性】
技术研发人员:白宇,
申请(专利权)人:北京瑞星信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。