一種數據包處理方法、裝置和系統制造方法及圖紙

本發明專利技術實施例提供一種數據包處理方法、裝置和系統，包括：針對現有技術在檢測到發往目的主機的異常數據包，阻斷包含該異常數據包的數據流，導致用于進行網絡攻擊的異常數據包無法被完整接收，進而無法用于后續的攻擊行為和特征的準確分析的問題，本發明專利技術實施例提出，如果在向目的主機發送的數據包中，確定出異常數據包，則將該異常數據包發往指定主機，在保證目的主機不會受到異常數據包攻擊的同時，可以利用指定主機完整接收用于進行網絡攻擊的異常數據包，從而可以利用指定主機接收到的異常數據包進行后續的攻擊者攻擊行為和特征的準確分析，跟蹤研究最新的攻擊手段和方法。

【技術實現步驟摘要】

本專利技術涉及網絡安全領域，尤其涉及一種數據包處理方法、裝置和系統。
技術介紹
傳統的網絡防護技術中，一旦發現數據包存在異常(認為該數據包為測試攻擊數據包或實際攻擊數據包)時就進行數據包阻斷，使得可以及時阻止攻擊者的攻擊行為，確保網絡的安全性。即在現有技術中，一旦檢測到異常數據包(攻擊者用于發起網絡攻擊的數據包，即異常數據包可以理解為測試攻擊數據包或實際攻擊數據包)時，通常采用阻斷包含該異常數據包的數據流的方式，來防止該異常數據包的目的主機受到攻擊。這樣雖然能有效地防止目的主機受到攻擊，但由于阻斷了包含異常數據包的數據流，用于進行網絡攻擊的異常數據包不會被完整接收，無法完整獲得來自攻擊者的測試攻擊數據包和實際攻擊數據包，因此也就無法根據異常數據包實現對攻擊者攻擊行為和特征的準確分析，無法跟蹤研究最新的攻擊手段和方法
技術實現思路
·本專利技術實施例提供一種數據包處理方法、裝置和系統，用于解決現有技術中，由于對包含異常數據包的數據流采取阻斷策略，導致無法持續跟蹤黑客攻擊行為，無法獲取完整的攻擊數據包，也無法根據異常數據包進行準確分析的問題。一種數據包處理方法，所述方法包括接收客戶端向目的主機發送的數據包，將所述數據包發送至本地指定端口 ；從所述本地指定端口監聽到的數據包中確定發生了異常的第一數據包和沒有發生異常的第二數據包；將所述第一數據包發送到指定主機，并將所述第二數據包發送至所述目的主機。一種數據包處理裝置，所述裝置包括流量代理模塊和用戶態轉發引擎，其中流量代理模塊，用于接收客戶端向目的主機發送的數據包，將所述數據包發送至本地指定端口；用戶態轉發引擎，用于從所述本地指定端口監聽到的數據包中確定發生了異常的第一數據包和沒有發生異常的第二數據包，并將所述第一數據包發送到指定主機，并將所述第二數據包發送至所述目的主機。一種數據包處理系統，所述系統包括如上所述的數據包處理裝置、目的主機網關、指定主機網關、目的主機和指定主機,其中數據包處理裝置，用于在確定接收到產生了異常的第一數據包時，將該第一數據包通過指定主機網關發送到指定主機，在確定接收到沒有產生異常的第二數據包時，將該第二數據包通過目的主機網關發送到目的主機。根據本專利技術實施例提供的方案，針對現有技術在檢測到發往目的主機的異常數據包，阻斷包含該異常數據包的數據流，導致用于進行網絡攻擊的異常數據包無法被完整接收，進而無法用于后續的攻擊行為和特征的準確分析的問題，本專利技術實施例提出，如果在向目的主機發送的數據包中，確定出異常數據包，則將該異常數據包發往指定主機，在保證目的主機不會受到異常數據包攻擊的同時，可以利用指定主機完整接收用于進行網絡攻擊的異常數據包，從而可以利用指定主機接收到的異常數據包進行后續的攻擊者攻擊行為和特征的準確分析，跟蹤研究最新的攻擊手段和方法。附圖說明圖1為本專利技術實施例一提供的數據包處理方法的步驟流程圖；圖2為本專利技術實施例二提供的數據包處理裝置的結構示意圖；圖3為本專利技術實施例三提供的數據包處理系統的結構示意圖；圖4為本專利技術實施例四提供的數據包處理系統的結構示意圖；圖5為本專利技術實施例五提供的數據包處理裝置的功能架構示意圖；圖6為本專利技術實施例五提供的Tproxy模塊工作流程示意圖；圖7為本專利技術實施例六提供的數據包處理過程的示意圖。具體實施例方式在本專利技術實施例中，考慮將異常數據包通過數據包轉發的方式引導到設定的主機，既保證該異常數據包的目的主機不受到攻擊，也可以利用設定的主機持續接收用于進行網絡攻擊的異常數據包，從而后續可以根據異常數據包進行攻擊行為和特征的準確分析。而在異常數據包轉 發過程中，存在數據包轉發對攻擊者的透明性問題如果數據包轉發操作改變了數據包傳輸目標而為攻擊者所發現，即數據包轉發操作對攻擊者不透明，則攻擊者可能會調整攻擊策略，從而導致數據包轉發操作失敗。因此，本專利技術實施例將異常數據包通過數據包轉發的方式引導到設定的主機的基礎上，還進一步具體提供了解決以上問題的方案。下面通過說明書附圖和各實施例對本專利技術方案進行說明。實施例一、本專利技術實施例一提供一種數據包處理方法，該方法的步驟流程可以如圖1所示，包括步驟101、接收客戶端向目的主機發送的數據包。在本實施例中，以針對向一個目的主機發送的數據包處理為例進行說明。因此，在本步驟中，可以接收客戶端向該目的主機發送的數據包，從而后續可以針對接收到的數據包進行處理。步驟102、將所述數據包發送到指定端口。在本實施例中，可以通過監聽指定端口，來確定向目的主機發送的數據包。因此，在本步驟中，需要將客戶端向該目的主機發送的數據包發送到指定端口。以本實施例提供的方案利用linux Tproxy技術實現為例，在本步驟中，可以配置Iptables,給所述數據包打標記，將所述數據包發送到本地指定端口，并通過策略路由，將所述數據包發送至本地指定端口。步驟103、確定數據包是否發生異常。在本步驟中，可以從所述本地指定端口監聽到的數據包中確定發生了異常的第一數據包和沒有發生異常的第二數據包，從而可以針對發生了異常的數據包和沒有發生異常的數據包分別進行處理。具體的，可以基于數據包內容特征，如利用規則匹配的方式，確定所述數據包中是否包括產生了異常的第一數據包，即可以通過動態匹配的方式確定產生了異常的第一數據包。或者，可以基于IP五元組(包括源IP，源端口，目標IP，目標端口，協議)，確定所述數據包中產生了異常的第一數據包，即可以通過靜態匹配的方式確定產生了異常的第一數據包。步驟104、發送數據包。在本步驟中，可以將產生了異常的所述第一數據包發送到指定主機，并將沒有產生異常的所述第二數據包發送至所述目的主機。以本實施例提供的方案利用linux Tproxy技術實現為例,在本步驟中,可以保持第一數據包的源IP地址不變，將所述第一數據包發送到指定主機，并保持第二數據包的源IP地址不變，將所述第二數據包發送至所述目的主機。由于利用Linux內核的TpiOxy技術，將所述第一數據包發送到指定主機的過程中，不改變第一數據包的源IP地址，因此，從指定主機角度，雖然經過了中間的代理設備，但從客戶端發送的數據包的源IP地址、源端口不會有任何變化，從而可以保證數據包轉發操作對于指定主機的透明性。 在本實施例中，針對產生了異常的第一數據包，可以利用數據包轉發技術，將所述第一數據包發送到指定主機。從而可以在避免目的主機受到攻擊的同時，持續接收異常數據包，并可以在后續利用接收到的異常數據包進行攻擊行為和特征的準確分析，跟蹤研究最新的攻擊手段和方法。進一步的，在將數據包發送到指定主機之后，指定主機還可以反饋數據包。通過指定主機向發送該異常數據包的客戶端反饋數據包的方式，可以迷惑攻擊者，使其誤以為攻擊成功，從而可以誘使攻擊者持續攻擊，有利于接收更多的異常流量，使得后續的分析更加準確。當然，在將數據包發送到目的主機之后，目的主機也可以反饋數據包，響應客戶端的請求。因此，在步驟104之后，還可以進一步包括以下步驟步驟105、接收指定主機或目的主機發送的第三數據包。本實施例各步驟的執行主體可以理解為數據包處理裝置，如代理服務器。在本實施例中，指定主機或目的主機向客戶端發送的數據包也可以經過數據包處理裝置的轉發。因此在本步驟中，可以接收指定主機或目的本文檔來自技高網...

【技術保護點】
一種數據包處理方法，其特征在于，所述方法包括：接收客戶端向目的主機發送的數據包，將所述數據包發送至本地指定端口；從所述本地指定端口監聽到的數據包中確定發生了異常的第一數據包和沒有發生異常的第二數據包；將所述第一數據包發送到指定主機，并將所述第二數據包發送至所述目的主機。

【技術特征摘要】
1.一種數據包處理方法，其特征在于，所述方法包括 接收客戶端向目的主機發送的數據包，將所述數據包發送至本地指定端口 ； 從所述本地指定端口監聽到的數據包中確定發生了異常的第一數據包和沒有發生異常的第二數據包； 將所述第一數據包發送到指定主機，并將所述第二數據包發送至所述目的主機。2.如權利要求1所述的方法，其特征在于，將所述數據包發送至本地指定端口，具體包括 配置Iptables，給所述數據包打標記，將所述數據包發送到本地指定端口，并通過策略路由，將所述數據包發送至本地指定端口 ； 貝1J，將所述第一數據包發送到指定主機，并將所述第二數據包發送至所述目的主機，具體包括 保持第一數據包的源IP地址不變，將所述第一數據包發送到指定主機，并保持第二數據包的源IP地址不變，將所述第二數據包發送至所述目的主機。3.如權利要求2所述的方法，其特征在于，接收客戶端向目的主機發送的數據包之后，將所述數據包發送至本地指定端口之前，所述方法還包括 確定所述客戶端和所述目的主機是否處于同一個網段； 若確定所述客戶端和所述目的主機處于同一個網段，通過配置Ebtables將所述數據包送到IP層。4.如權利要求1所述的方法，其特征在于，將所述第一數據包發送到指定主機，并將所述第二數據包發送至所述目的主機之后，所述方法還包括 接收所述指定主機或目的主機發送的第三數據包； 將所述第三數據包發送至所述客戶端。5.如權利要求4所述的方法，其特征在于，接收所述指定主機或目的主機發送的第三數據包之后，將所述第三數據包發送至所述客戶端之前，所述方法還包括 配置Iptables，利用套接字匹配機制，給所述第三數據包打標記，并通過策略路由，將所述第三數據包發送至所述本地指定端口； 貝IJ，將所述第三數據包發送至所述客戶端，具體包括 保持所述第三數據包的源IP地址不變，將所述第三數據包發送至所述客戶端。6.如權利要求5所述的方法，其特征在于，接收所述指定主機或目的主機發送的第三數據包之后，將所述第三數據包發送至所述本地指定端口之前，所述方法還包括 確定所述客戶端和發送第三數據包的所述指定主機或目的主機是否處于同一個網段； 若確定所述客戶端和發送第三數據包的所述指定主機或目的主機處于同一個網段，通過配置Ebtables將所述第三數據包送到IP層。7.如權利要求1飛任一所述的方法，其特征在于，從所述本地指定端口監聽到的數據包中確定發生了異常的第一數據包和沒有發生異常的第二數據包，具體包括 基于IP五元組確定所述數據包中產生了異常的第一數據包和沒有發生異常的第二數據包，或者，基于數據包內容特征確定所述數據包中產生了異常的第一數據包和沒有發生異常的第二數據包。8.如權利要求1飛任一所述的方法，其特征在于，從所述本地指定端口監聽到的數據包中確定發生了異常的第一數據包和沒有發生異常的第二數據包之前，所述方法還包括 針對客戶端的一次連接請求，建立對應的會話表； 根據建立的會話表，接收屬于本次連接的數據包； 從所述本地指定端口監聽到的數據包中確定發生了異常的第一數據包和沒有發生異常的第二數據包，具體包括 從屬于同一次連接的數據包中確定發生了異常的第一數據包和沒有發生異常的第二數據包。9.如權利要求8所述的方法，其特征在于，建立對應的會話表之后，所述方法還包括回收超時的會話表和已經關閉的連接的會話表。10.如權利要求8所述的方法，其特征在于，若客戶端的一次連接請求為傳輸控制協議TCP連接請求 從所述本地指定端口監聽到的數據包中確定發生了異常的第一數據包和沒有發生異常的第二數據包，具體包括 利用屬于本次連接的所有數據包，判斷接收到的每個數據包是否為異常數據包； 將所述第一數據包發送到指定主機，并將所述第二數據包發送至所述目的主機，具體包括 若確定屬于本次連接的所有數據包中存在發生了異常的第一數據包，則將屬于本次連接的所有數據包發送到指定主機，否則，將屬于本次連接的所有數據包發送至所述目的主機。11.如權利要求8所述的方法，其特征在于，若客戶端的一次連接請求為用戶數據報協議UDP連接請求 從所述本地指定端口監聽到的數據包中確定發生了異常的第一數據包和沒有發生異常的第二數據包，具體包括 針對接收到的屬于本次連接的每個數據包，判斷該數據包是否為異常數據包； 將所述第一數據包發送到指定主機，并將所述第二數據包發送至所述目的主機，具體包括 若確定一個數...

【專利技術屬性】
技術研發人員：徐娜，周勇林，王明華，張騰，黃明峰，陳景妹，朱春鴿，
申請(專利權)人：國家計算機網絡與信息安全管理中心，北京神州綠盟信息安全科技股份有限公司，
類型：發明
國別省市：