一種數(shù)據(jù)包監(jiān)聽方法�����、裝置和系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種數(shù)據(jù)包監(jiān)聽方法�,包括:對(duì)由四層交換機(jī)路由和地址轉(zhuǎn)換的數(shù)據(jù)包進(jìn)行監(jiān)聽;其中���,當(dāng)檢測(cè)到符合預(yù)先設(shè)定的會(huì)話特征的數(shù)據(jù)包時(shí)�,抓取并根據(jù)預(yù)設(shè)的數(shù)據(jù)包鏡像策略在所述數(shù)據(jù)包的包頭中加入客戶端或者服務(wù)器端的真實(shí)IP地址信息以形成待分析數(shù)據(jù)包。該方法能夠根據(jù)鏡像策略對(duì)抓取的數(shù)據(jù)包進(jìn)行包頭重組并加入對(duì)應(yīng)的客戶端或者服務(wù)器端真實(shí)的IP地址/TCP端口號(hào)信息���,由此��,在后續(xù)的分析中可以從上述待分析數(shù)據(jù)包中獲取源IP地址和服務(wù)器IP地址�。此外���,本發(fā)明還公開了一種數(shù)據(jù)包監(jiān)聽裝置和系統(tǒng)。
【專利說明】一種數(shù)據(jù)包監(jiān)聽方法���、裝置和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及數(shù)據(jù)包監(jiān)聽方法�,具體來說����,是指一種基于四層交換機(jī)的網(wǎng)絡(luò)抓包和數(shù)據(jù)包監(jiān)聽方法。
【背景技術(shù)】
[0002]OSI (Orders Sources Identification)網(wǎng)絡(luò)模型的第四層是傳輸層,其中����,傳輸層負(fù)責(zé)端到端通信,即在網(wǎng)絡(luò)源和目標(biāo)系統(tǒng)之間協(xié)調(diào)通信���。
[0003]在IP協(xié)議棧中這是TCP (傳輸控制協(xié)議)和UDP (用戶數(shù)據(jù)報(bào)協(xié)議)所在的協(xié)議層�����。其中���,TCP和UDP包含端口號(hào)����,它可以唯一區(qū)分每個(gè)數(shù)據(jù)包包含哪些應(yīng)用協(xié)議(例如HTTP,FTP.telnet等等)���。TCP/UDP端口號(hào)提供的附加信息可以為網(wǎng)絡(luò)交換機(jī)所利用����,四層交換機(jī)利用這種信息來區(qū)分包中的數(shù)據(jù)�����,這是第四層交換的基礎(chǔ)����。
[0004]一般地,TCP或UDP連接唯一地使用每個(gè)信息中的如下四項(xiàng)進(jìn)行確認(rèn):源IP地址(發(fā)送包的IP地址)����、目的IP地址(接收包的IP地址)��、源TCP端口號(hào)(源系統(tǒng)上的連接的端口)����,目的TCP端口號(hào)(目的系統(tǒng)上的連接的端口)��。
[0005]四層交換機(jī)旁掛�,是指用網(wǎng)線將四層交換機(jī)接在二層或三層交換機(jī)的網(wǎng)絡(luò)端口上,從客戶端或服務(wù)器訪問進(jìn)來的數(shù)據(jù)包通過這根網(wǎng)線從二層交換機(jī)或三層交換機(jī)流到四層交換機(jī)上�,經(jīng)過四層交換機(jī)的處理后,通過這根網(wǎng)線流到二層交換機(jī)或三層交換機(jī)上���,最終回到服務(wù)器或客戶端,其中���,旁掛的四層交換機(jī)在負(fù)債均衡時(shí)��,會(huì)進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換NAT��,改變數(shù)據(jù)包中的源IP地址��、目的IP地址����、源端口、目的端口����。
[0006]NAT (Network Address Translation,網(wǎng)絡(luò)地址轉(zhuǎn)換)是將IP數(shù)據(jù)報(bào)報(bào)頭中的IP地址轉(zhuǎn)換為另一個(gè)IP地址的過程,其中���,NAT將自動(dòng)修改IP報(bào)文的源IP地址和目的IP地址����,IP地址校驗(yàn)則在NAT處理過程中自動(dòng)完成�。有些應(yīng)用程序?qū)⒃碔P地址嵌入到IP報(bào)文的數(shù)據(jù)部分中,所以還需要同時(shí)對(duì)報(bào)文進(jìn)行修改�����,以匹配IP頭中已經(jīng)修改過的源IP地址���,否則����,在報(bào)文數(shù)據(jù)都分別嵌入IP地址的應(yīng)用程序就不能正常工作���。
[0007]網(wǎng)絡(luò)抓包是捕捉網(wǎng)絡(luò)中流動(dòng)的數(shù)據(jù)并查看分析數(shù)據(jù)包���,以找出業(yè)務(wù)系統(tǒng)或網(wǎng)絡(luò)中出現(xiàn)的問題�����,但是����,在四層交換機(jī)旁掛的時(shí)候�,由于得到的數(shù)據(jù)包中的IP/TCP地址信息會(huì)是改變后的數(shù)據(jù)信息,因此���,無(wú)法從抓取的數(shù)據(jù)包中同時(shí)獲取真實(shí)的服務(wù)器IP地址/TCP端口號(hào)或者客戶端IP地址/TCP端口號(hào)信息���,從而增加網(wǎng)絡(luò)分析或取證的難度。
[0008]此外����,雖然現(xiàn)有技術(shù)在四層交換機(jī)上打開debug功能�,可以獲取源IP地址、目的IP地址���、源端口�、目的端口的NAT改變記錄,但是�����,這種方法無(wú)法獲取數(shù)據(jù)包中的具體數(shù)據(jù)信肩�����、O
[0009]也就是說���,現(xiàn)有技術(shù)中�,不能在一個(gè)經(jīng)過四層交換機(jī)的TCP/UDP會(huì)話中獲得包含客戶端的真實(shí)IP地址和服務(wù)器的真實(shí)IP地址信息的數(shù)據(jù)包����。
【發(fā)明內(nèi)容】
[0010]本申請(qǐng)所要解決的技術(shù)問題是,現(xiàn)有技術(shù)不能在一個(gè)經(jīng)過四層交換機(jī)的TCP/UDP會(huì)話中獲得同時(shí)包含客戶端的真實(shí)IP地址和服務(wù)器的真實(shí)IP地址的數(shù)據(jù)包�����。
[0011]其中����,根據(jù)本發(fā)明的一個(gè)方面�����,本發(fā)明提供了一種數(shù)據(jù)包監(jiān)聽方法��,包括:對(duì)由四層交換機(jī)路由和地址轉(zhuǎn)換的數(shù)據(jù)包進(jìn)行監(jiān)聽�;其中�,當(dāng)檢測(cè)到符合預(yù)先設(shè)定的會(huì)話特征的數(shù)據(jù)包時(shí),抓取并根據(jù)預(yù)設(shè)的數(shù)據(jù)包鏡像策略在所述數(shù)據(jù)包的包頭加入客戶端或者服務(wù)器端真實(shí)的IP地址信息以形成待分析數(shù)據(jù)包��。
[0012]本發(fā)明采取了上述方案以后�����,四層交換機(jī)能夠根據(jù)鏡像策略對(duì)抓取的數(shù)據(jù)包進(jìn)行包頭重組并加入對(duì)應(yīng)的客戶端或者服務(wù)器端真實(shí)的IP地址/信息形成待分析數(shù)據(jù)包���,由此����,解決了現(xiàn)有技術(shù)中不能在一個(gè)經(jīng)過四層交換機(jī)的TCP/UDP會(huì)話中獲得同時(shí)包含客戶端的真實(shí)IP地址和服務(wù)器的真實(shí)IP地址信息的數(shù)據(jù)包的缺點(diǎn)�����。
[0013]其中����,本申請(qǐng)還包括:將上述待分析數(shù)據(jù)包從鏡像端口中傳遞給分析儀;
[0014]從所述待分析數(shù)據(jù)包中提取出客戶端真實(shí)IP地址和服務(wù)器端真實(shí)IP地址并進(jìn)行后續(xù)分析�����。
[0015]其中��,分析儀可以從重新組合的網(wǎng)絡(luò)流量中獲取源IP地址和服務(wù)器IP地址�����,本提案在進(jìn)行網(wǎng)絡(luò)抓包時(shí)���,可以從實(shí)際TCP/UDP會(huì)話中恢復(fù)原始服務(wù)器/客戶段IP地址��,從而可以更好的進(jìn)行網(wǎng)絡(luò)分析����,或者是取證�����。
[0016]其中�����,根據(jù)本發(fā)明的又一目的,本發(fā)明提供了一種數(shù)據(jù)包監(jiān)聽裝置��,包括:參數(shù)設(shè)定單元���,用于獲取預(yù)先設(shè)定的數(shù)據(jù)包會(huì)話特征和數(shù)據(jù)包鏡像策略��;
[0017]會(huì)話流量監(jiān)聽單元�����,用于對(duì)由四層交換機(jī)路由和地址轉(zhuǎn)換的數(shù)據(jù)包進(jìn)行監(jiān)聽�;關(guān)系映射表存儲(chǔ)單元��,用于存儲(chǔ)所述四層交換機(jī)對(duì)數(shù)據(jù)包地址轉(zhuǎn)換形成的數(shù)據(jù)包映射關(guān)系表;
[0018]數(shù)據(jù)包打包單元���,用于當(dāng)檢測(cè)到符合設(shè)定的監(jiān)聽會(huì)話特征的數(shù)據(jù)包時(shí)�����,抓取并根據(jù)預(yù)設(shè)的鏡像策略在所述數(shù)據(jù)包的包頭中加入客戶端或者服務(wù)器端的真實(shí)IP地址信息以形成待分析數(shù)據(jù)包�。
[0019]其中�����,本發(fā)明采取了上述方案以后�,該裝置能夠根據(jù)鏡像策略對(duì)抓取的數(shù)據(jù)包進(jìn)行包頭重組并加入對(duì)應(yīng)的客戶端或者服務(wù)器端真實(shí)的IP地址/TCP端口號(hào)信息形成待分析數(shù)據(jù)包,并供分析儀進(jìn)行后續(xù)分析操作����。
[0020]其中,根據(jù)本發(fā)明的另一方面��,本發(fā)明提供了一種數(shù)據(jù)包監(jiān)聽系統(tǒng)�,包括四層交換機(jī)和通過鏡像端口與四層交換機(jī)相連接的分析儀,其中���,所述四層交換機(jī)中設(shè)有本發(fā)明上述的數(shù)據(jù)包監(jiān)聽裝置����。
[0021]本發(fā)明采取了上述方案以后�,由于四層交換機(jī)中的所述數(shù)據(jù)包監(jiān)聽裝置能夠根據(jù)鏡像策略對(duì)抓取的數(shù)據(jù)包進(jìn)行包頭重組并在數(shù)據(jù)包的包頭中加入對(duì)應(yīng)的客戶端或者服務(wù)器端真實(shí)的IP地址信息形成待分析數(shù)據(jù)包,其中�,分析儀可以從重新組合的網(wǎng)絡(luò)流量中獲取源IP地址和服務(wù)器IP地址,�,從而可以更好的進(jìn)行網(wǎng)絡(luò)分析,或者是取證����。
[0022]本發(fā)明的其它特征和優(yōu)點(diǎn)將在隨后的說明書中闡述��,并且���,部分地從說明書中變得顯而易見,或者通過實(shí)施本發(fā)明而了解��。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過在所寫的說明書�、權(quán)利要求書、以及附圖中所特別指出的結(jié)構(gòu)來實(shí)現(xiàn)和獲得��。
【專利附圖】
【附圖說明】
[0023]下面結(jié)合附圖對(duì)本發(fā)明進(jìn)行詳細(xì)的描述����,以使得本發(fā)明的上述優(yōu)點(diǎn)更加明確。[0024]圖1是現(xiàn)有技術(shù)基于四層交換機(jī)的數(shù)據(jù)包處理流程示意圖�����;
[0025]圖2是本發(fā)明基于數(shù)據(jù)包監(jiān)聽系統(tǒng)的數(shù)據(jù)包處理流程示意圖�����;
[0026]圖3是本發(fā)明數(shù)據(jù)包監(jiān)聽方法的流程示意圖;
[0027]圖4是本發(fā)明數(shù)據(jù)包監(jiān)聽方法一個(gè)實(shí)施例的數(shù)據(jù)包重組的流程示意圖�����;
[0028]圖5是本發(fā)明數(shù)據(jù)包監(jiān)聽方法一個(gè)實(shí)施例的數(shù)據(jù)包重組的流程示意圖���;
[0029]圖6是本發(fā)明數(shù)據(jù)包監(jiān)聽裝置的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0030]以下對(duì)本發(fā)明的具體原理和實(shí)施例進(jìn)行詳細(xì)說明����。
[0031]其中,圖1是現(xiàn)有技術(shù)基于四層交換機(jī)的數(shù)據(jù)包處理流程示意圖�;如圖1所示,所述數(shù)據(jù)包處理的方法���,主要包括:
[0032]第一步001:四層交換機(jī)提供一個(gè)虛擬服務(wù)的IP地址/TCP端口號(hào)��,客戶端A訪問這個(gè)虛擬服務(wù):
[0033]第二步002:四層交換機(jī)改變相應(yīng)的IP地址/TCP端口號(hào)信息后����,將數(shù)據(jù)包利用負(fù)債均衡的原理���,轉(zhuǎn)發(fā)給后臺(tái)服務(wù)器提供的服務(wù)��;
[0034]第三步003:后臺(tái)服務(wù)器收到數(shù)據(jù)包�����,進(jìn)行了服務(wù)響應(yīng)處理后�,將返回的數(shù)據(jù)包發(fā)給四層交換機(jī);
.[0035]第四步004:四層交換機(jī)根據(jù)第二步地址信息改變的記錄����,再重新改變IP地址/TCP端口號(hào)信息后,將返回的數(shù)據(jù)包發(fā)回給最初的客戶端��;
[0036]其中�����,數(shù)據(jù)包通過四層交換機(jī)時(shí)�,四層交換機(jī)對(duì)數(shù)據(jù)包中的TCP/UDP包頭會(huì)作如下表I所示的改變:
[0037]表I
[0038]
【權(quán)利要求】
1.一種數(shù)據(jù)包監(jiān)聽方法,包括: 對(duì)由四層交換機(jī)路由和地址轉(zhuǎn)換的數(shù)據(jù)包進(jìn)行監(jiān)聽�; 其中,當(dāng)檢測(cè)到符合預(yù)先設(shè)定的會(huì)話特征的數(shù)據(jù)包時(shí)���,抓取并根據(jù)預(yù)設(shè)的數(shù)據(jù)包鏡像策略在所述數(shù)據(jù)包的包頭中加入客戶端或者服務(wù)器端的真實(shí)IP地址信息以形成待分析數(shù)據(jù)包�。
2.根據(jù)權(quán)利要求1所述的數(shù)據(jù)包監(jiān)聽方法�����,其特征在于,所述鏡像策略是服務(wù)器端真實(shí)TCP/UDP端口鏡像策略��; 其中���,根據(jù)預(yù)設(shè)的數(shù)據(jù)包鏡像策略在所述數(shù)據(jù)包中加入客戶端或者服務(wù)器端的真實(shí)IP地址信息以形成待分析數(shù)據(jù)包�����,具體包括: 查詢四層交換機(jī)對(duì)數(shù)據(jù)包地址轉(zhuǎn)換后形成的數(shù)據(jù)包映射關(guān)系表,獲取所述數(shù)據(jù)包的客戶端真實(shí)IP地址/TCP端口號(hào)信息�; 將所述客戶端真實(shí)IP地址/TCP端口號(hào)信息加入并替換掉所述數(shù)據(jù)包包頭中相應(yīng)的客戶端IP地址/TCP端口號(hào)信息。
3.根據(jù)權(quán)利要求1所述的數(shù)據(jù)包監(jiān)聽方法��,其特征在于�,所述鏡像策略是客戶端真實(shí)TCP/UDP端口鏡像策略; 其中����,根據(jù)預(yù)設(shè)的數(shù)據(jù)包鏡像策略在所述數(shù)據(jù)包中加入客戶端或者服務(wù)器端的真實(shí)IP地址信息以形成待分析數(shù)據(jù)包,具體包括: 查詢四層交換機(jī)對(duì)數(shù)據(jù)包地址轉(zhuǎn)換后形成的數(shù)據(jù)包映射關(guān)系表��,獲取所述數(shù)據(jù)包的服務(wù)器端真實(shí)IP地址/TCP端口號(hào)信息��; 將所述服務(wù)器端真實(shí)IP地址/TCP端口號(hào)信息加入并替換掉所述數(shù)據(jù)包包頭中相應(yīng)的服務(wù)器端IP地址/TCP端口號(hào)信息。
4.根據(jù)權(quán)利要求f3任一所述的數(shù)據(jù)包監(jiān)聽方法�����,其特征在于�����,所述預(yù)先設(shè)定數(shù)據(jù)包會(huì)話特征選取以下任一或者組合: 包含客戶端IP地址�����,或服務(wù)器端IP地址����,或客戶端TCP端口號(hào),或目的端TCP端口號(hào)的數(shù)據(jù)包���; 或者��,包含中斷連接指令的數(shù)據(jù)包�����,或包含錯(cuò)誤信息指令的數(shù)據(jù)包�,或者,所有的數(shù)據(jù)包��。
5.根據(jù)權(quán)利要求4所述的數(shù)據(jù)包監(jiān)聽方法���,其特征在于����,還包括:將上述待分析數(shù)據(jù)包從鏡像端口中傳遞給分析儀����; 從所述待分析數(shù)據(jù)包中提取出客戶端真實(shí)IP地址和服務(wù)器端真實(shí)IP地址并進(jìn)行后續(xù)分析。
6.根據(jù)權(quán)利要求f3任一所述的數(shù)據(jù)包監(jiān)聽方法����,其特征在于���,還包括:接收獲取四層交換機(jī)對(duì)數(shù)據(jù)包地址轉(zhuǎn)換形成的數(shù)據(jù)包映射關(guān)系表的請(qǐng)求�; 將所述數(shù)據(jù)包映射關(guān)系表轉(zhuǎn)換成可讀文件并通過鏡像端口發(fā)送給分析儀�。
7.一種數(shù)據(jù)包監(jiān)聽裝置,包括: 參數(shù)設(shè)定單元�����,用于獲取預(yù)先設(shè)定的需要監(jiān)聽的數(shù)據(jù)包會(huì)話特征和數(shù)據(jù)包鏡像策略; 會(huì)話流量監(jiān)聽單元����,用于對(duì)由四層交換機(jī)路由和地址轉(zhuǎn)換的數(shù)據(jù)包進(jìn)行監(jiān)聽; 關(guān)系映射表存儲(chǔ)單元�,用于存儲(chǔ)所述四層交換機(jī)對(duì)數(shù)據(jù)包地址轉(zhuǎn)換形成的數(shù)據(jù)包映射關(guān)系表��;數(shù)據(jù)包打包單元�����,用于當(dāng)檢測(cè)到符合所述預(yù)先設(shè)定的會(huì)話特征的數(shù)據(jù)包時(shí)����,抓取并根據(jù)預(yù)設(shè)的鏡像策略在所述數(shù)據(jù)包的包頭中加入客戶端或者服務(wù)器端的真實(shí)IP地址信息以形成待分析數(shù)據(jù)包。
8.根據(jù)權(quán)利要求7所述的數(shù)據(jù)包監(jiān)聽裝置���,其特征在于��,所述數(shù)據(jù)包鏡像策略選取客戶端真實(shí)TCP/UDP端口鏡像策略或者服務(wù)器端真實(shí)TCP/UDP端口鏡像策略���。
9.根據(jù)權(quán)利要求7所述的數(shù)據(jù)包監(jiān)聽裝置,其特征在于�,所述數(shù)據(jù)包打包單元���,具體包括: 數(shù)據(jù)包查詢子單元,用于當(dāng)所述數(shù)據(jù)包鏡像策略是服務(wù)器端TCP/UDP端口鏡像策略時(shí)�����,查詢數(shù)據(jù)包映射關(guān)系表�,獲取所述數(shù)據(jù)包的客戶端真實(shí)IP地址/TCP端口號(hào)信息; 數(shù)據(jù)包打包子單元�,用于將所述客戶端真實(shí)IP地址/TCP端口號(hào)端口信息加入并替換掉所述數(shù)據(jù)包包頭中相應(yīng)的客戶端IP地址/TCP端口號(hào)信息。
10.根據(jù)權(quán)利要求7所述的數(shù)據(jù)包監(jiān)聽裝置��,其特征在于�����,所述數(shù)據(jù)包打包單元��,具體包括: 數(shù)據(jù)包查詢子單元��,用于當(dāng)所述數(shù)據(jù)包鏡像策略是客戶端TCP/UDP端口鏡像策略時(shí)�����,查詢數(shù)據(jù)包映射關(guān)系表��,獲取所述數(shù)據(jù)包的服務(wù)器端真實(shí)IP地址/TCP端口號(hào)信息����; 數(shù)據(jù)包打包子單元,用于將所述服務(wù)器端真實(shí)IP地址/TCP端口號(hào)端口信息加入并替換掉所述數(shù)據(jù)包包頭中相應(yīng)的服務(wù)器端IP地址/TCP端口號(hào)信息����。
11.根據(jù)權(quán)利要求7所述的數(shù)據(jù)包監(jiān)聽裝置,其特征在于�,還包括:查詢請(qǐng)求接收單元,接收獲取四層交換機(jī)對(duì)數(shù)據(jù)包地址轉(zhuǎn)換形成的數(shù)據(jù)包映射關(guān)系表的請(qǐng)求�����; 所述數(shù)據(jù)包查詢子單元��,用于將查詢到所述數(shù)據(jù)包映射關(guān)系表轉(zhuǎn)換成可讀文件并通過鏡像端口發(fā)送給分析儀��。
12.—種數(shù)據(jù)包監(jiān)聽系統(tǒng)�,包括四層交換機(jī)和通過鏡像端口與四層交換機(jī)相連接的分析儀,其中���,所述四層交換機(jī)中設(shè)有權(quán)利要求7?11任一所述的數(shù)據(jù)包監(jiān)聽裝置���。
【文檔編號(hào)】H04L12/26GK103428044SQ201210165569
【公開日】2013年12月4日 申請(qǐng)日期:2012年5月24日 優(yōu)先權(quán)日:2012年5月24日
【發(fā)明者】趙江 申請(qǐng)人:中國(guó)移動(dòng)通信集團(tuán)貴州有限公司