国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      旁路阻斷udp會話的制作方法

      文檔序號:7658645閱讀:1144來源:國知局
      專利名稱:旁路阻斷udp會話的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明是一種在旁路方式下對網(wǎng)絡(luò)上的UDP會話進(jìn)行阻斷的方法??捎糜诰W(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理以 及網(wǎng)絡(luò)訪問控制等領(lǐng)域。
      背景技術(shù)
      巨前,在中小企業(yè)內(nèi)部辦公網(wǎng)絡(luò)中,對員工的網(wǎng)絡(luò)訪問控制,肉容過濾,內(nèi)容審計,以及網(wǎng)絡(luò)安 全等領(lǐng)域中,需要對網(wǎng)絡(luò)使用'唐況進(jìn)行監(jiān)控。 一般采用旁路監(jiān)聽的方式來減輕網(wǎng)關(guān)或路由器的負(fù)擔(dān)。 但旁路的控制功能卻打了折扣。本發(fā)明通過偽造數(shù)據(jù)包的方式可以實現(xiàn)在旁路阻斷!^定的UDP會話的 功能,從而解 ^了旁路監(jiān)聽方式的功能缺陷。

      發(fā)明內(nèi)容
      本發(fā)明的目的在于解決網(wǎng)絡(luò)的旁路監(jiān)聽方式下對UDP連接無法阻斷的問題。
      一般情況,如果要斷開一個UDP的會話,只有服務(wù)器端,客戶端,以及網(wǎng)關(guān)和路由器等網(wǎng)絡(luò)出口 處這三個部位。而對于局域網(wǎng)的網(wǎng)絡(luò)安全、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)行為記錄、網(wǎng)絡(luò)審計等領(lǐng)域適用的部 位是網(wǎng)絡(luò)出口。但是這樣作的一個缺陷是會影響路由器等設(shè)備的性能。閃此,網(wǎng)絡(luò)行為記錄,網(wǎng)絡(luò)審 計等功能為了減輕路由器等設(shè)備的負(fù)擔(dān),會用旁路監(jiān)聽的方式來實現(xiàn)(運行環(huán)境如圖l) 。 M同時這 樣旁路監(jiān)聽的方式對數(shù)據(jù)包卻缺乏控制能力。如果在旁路監(jiān)聽的方式下可以阻斷UDP的會話,就可以 既分擔(dān)路由器的負(fù)擔(dān),又具有網(wǎng)絡(luò)控制能力。本發(fā)明就解決了這個問題。
      詳細(xì)介紹
      這種旁路阻斷方式的實現(xiàn)需要三個前提 首先,必須能夠監(jiān)聽到網(wǎng)絡(luò)上的數(shù)據(jù)包。 其次,能將自己偽造的數(shù)據(jù)包寫入到鏈路層。
      第三,根據(jù)UDP協(xié)議的要求如果發(fā)送一個UDP包后,對方?jīng)]有相應(yīng)的接收進(jìn)fe對方會返回一 個ICMP報文來通知發(fā)送方。
      由此可知,如果我們根據(jù)監(jiān)聽到的UDP信息,偽造一個符合要求的恰當(dāng)?shù)?CMP數(shù)據(jù)包發(fā)送出 去,并且能被連接的一端收到的話,就可以實現(xiàn)在旁路阻斷的目的。
      具體過程是,通過監(jiān)聽設(shè)備監(jiān)聽到一個A~>B的UDP數(shù)據(jù)包Pl中的IP地址端口號等信息。 PI數(shù)據(jù)包的信息如下
      源ip: ipA 目的ip ipB ,端口 portA 目的端口 portB
      如果需要阻斷,根據(jù)Pl中的信息構(gòu)造一個反向B->A的ICMP回復(fù)數(shù)據(jù)包P2如下 P2數(shù)據(jù)包的信息如下
      ICMP類型端口不可達(dá) ICMP載荷
      源ip: ipA 目的ip ipB 源端口 portA 目的端口 portB
      通過原始套接字(rawsocket)把數(shù)據(jù)包P2寫入到鏈路層。此時,這個偽造的數(shù)據(jù)包P2會被網(wǎng)絡(luò)設(shè) 備當(dāng)作正確的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā),最后會被A收到。A會認(rèn)為B沒有開啟相應(yīng)的服務(wù)。所以A把個UDP 會話關(guān)閉。至此,達(dá)到了在旁路阻斷UDP會話的目的。


      圖l:系統(tǒng)結(jié)構(gòu)圖
      具體實施例方式
      系統(tǒng)實施方式圖l。
      1. 將監(jiān)聽設(shè)備接入集線器或者交換機的鏡像端口進(jìn)行監(jiān)聽。
      2. 在監(jiān)聽到的數(shù)據(jù)包中分辨出需要阻斷的UDP數(shù)據(jù)包。
      3. 根據(jù)需要阻斷的UDP會話信息,構(gòu)造偽造的ICMP數(shù)據(jù)包。
      4. 將偽造的數(shù)據(jù)包用raw socket發(fā)送到鏈路層。從而阻斷UDP會話。
      權(quán)利要求
      旁路阻斷UDP應(yīng)用的方法是以部署以在旁路的方式對通過網(wǎng)絡(luò)的以UDP為基礎(chǔ)的應(yīng)用根據(jù)策略進(jìn)行阻斷。具體特征如下1.在集線器或者交換機的映像端口接入監(jiān)聽設(shè)備。2.在監(jiān)聽設(shè)備上監(jiān)聽到需要阻斷的UDP數(shù)據(jù)后,構(gòu)造一個阻斷數(shù)據(jù)流。3.把數(shù)據(jù)流發(fā)送給目標(biāo)機器。4.目標(biāo)機器收到這個數(shù)據(jù)包后,斷開相應(yīng)的UDP應(yīng)用。
      1. 在集線器或者交換機的映像端口接入監(jiān)聽設(shè)備。
      2. 在監(jiān)聽設(shè)備上監(jiān)聽到需要阻斷的UDP數(shù)據(jù)后,構(gòu)造一個阻斷數(shù)據(jù)流。
      3. 把數(shù)據(jù)流發(fā)送給目標(biāo)機器。
      4. 目標(biāo)機器收到這個數(shù)據(jù)包后,斷開相應(yīng)的UDP應(yīng)用。
      全文摘要
      本發(fā)明是一種在旁路方式下對網(wǎng)絡(luò)上的UDP會話進(jìn)行阻斷的方法??捎糜诰W(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理以及網(wǎng)絡(luò)訪問控制等領(lǐng)域。局域網(wǎng)絡(luò)中放置一臺監(jiān)聽設(shè)備,通過集線器或者交換機的鏡像端口監(jiān)聽網(wǎng)絡(luò)。當(dāng)需要阻斷某個UDP會話時,根據(jù)監(jiān)聽到的UDP數(shù)據(jù)包信息組裝一個偽造的ICMP數(shù)據(jù)包,然后將這個偽造的數(shù)據(jù)包直接發(fā)送到鏈路層。持有需要阻斷的UDP會話的機器就會收到這個偽造的ICMP數(shù)據(jù)包,此時它會認(rèn)為會話的另一端發(fā)送了錯誤通知信息。根據(jù)標(biāo)準(zhǔn)協(xié)議,操作系統(tǒng)會通知應(yīng)用程序此UDP書包發(fā)送錯誤。這樣擁有此會話的應(yīng)用程序就會斷開此次UDP會話。從而達(dá)到阻止非法網(wǎng)絡(luò)訪問的目的。
      文檔編號H04L29/06GK101350743SQ20071013072
      公開日2009年1月21日 申請日期2007年7月20日 優(yōu)先權(quán)日2007年7月20日
      發(fā)明者尹志超 申請人:萊克斯信息技術(shù)(北京)有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1