专利名称:实时监测网络活动的重定向方法和装置的制作方法
技术领域:
本发明属于计算机网络安全技术领域,涉及一种重定向网络通信连接的方法和装置, 特别是一种通过监测网络活动获得活跃IP地址,并将特定的网络通信连接重定向到指定 接收系统的方法和装置。
背景技术:
一个通过网络连接装置连向外部internet互联网络(以下简称外部网络)的局域网往 往占有多个局域网IP地址(以下简称IP地址),这些IP地址中可能部分被局域网的主机 使用,部分未被使用。使用这些IP地址的主机可能当前正在运行,也可能已经关机。通 常把当前正在运行的主机使用的IP地址称为活跃的IP地址,此外的IP地址统称为非活 跃的IP地址。
外部网络和局域网通过一个网络连接装置相连,双方的数据交互都要通过这个网络连 接装置来转发给对方。要将外部网络数据源向局域网非活跃IP地址发起的通信连接重定 向到指定接收系统,可以在网络连接装置上按如下操作来实现
1、 首先监测局域网内的网络活动,从中获取活跃IP地址列表并进行登记。如果一个 通信连接连向的IP没有登记在这个表上,则该通信连接需要被重定向。
2、 对于从外部网络数据源发来的数据包首先判别是否属于希望重定向的连接,如果是, 重定向到指定接收系统。
3、 对于从指定接收系统发来的数据包首先判断是否属于希望重定向的连接,如果是, 重定向到外部网络数据源。
4、 对于从内部网络发来的数据包不予干涉。 这样的通信连接的重定向需要解决几个问题
A、 一个局域网的IP地址可能在某一时间是非活跃IP地址,可能在另一时间是活跃 IP地址,这个重定向方法必须监测局域网IP地址的活跃性,在该IP地址非活跃时重定向 通信连接,在活跃时则停止重定向通信连接。
B、 不能让外部网络数据源感觉到通信连接被重定向了,返回给外部网络数据源的数据 包必须看上去象从原先企图连接的那个非活跃IP地址发出来的一样。
然而在已知的现有技术中,目前没有能够恰当地解决上述几个问题的方案。通常比较
接近的方法是固定设置某一部分局域网IP地址为活跃,另外一部分为非活跃,再在网 络连接装置上设置一个处理和转发通道,该通道连向接收系统,最后将外部网络数据源向 非活跃IP地址发起的通信连接通过这个处理和转发通道重定向到接收系统。这个方法存 在的问题是不能监测哪些局域网IP地址是活跃的,哪些是非活跃的,不能动态地根据 IP地址的活跃性确定是否重定向一个通信连接。也就是说,现有技术中还没有较好的监测 局域网IP地址活跃性并且实时地根据这个活跃性重定向通信连接的方法。
发明内容
本发明的目的是提供一种对局域网网络活动进行实时监测,获取活跃的IP地址,并且 将涉及非活跃IP的通信连接重定向到接收系统的方法;
本发明的另一目的是提供用于实现上述方法的网络连接装置,该装置称为重定向网关, 该网关有一条连向外部网络的通道, 一条连向局域网的通道,以及一条连向接收系统的通 道。
所述实时监测网络活动的重定向方法主要包括两个方面 一是通过对网络活动的监测 和分析来得到活跃IP,并将其登记在表中,通过网络活动检测模块完成;二是査表判别待 转发的数据包是否符合重定向要求,并根据査询结果放行或者重定向该数据包,通过重定 向模块完成。由于其中将査询的表即时地反映着当前活跃的IP地址,这样就能够即时重 定向一个通信连接,也能即时停止重定向该通信连接。
在本发明中,根据外部网络和局域网之间的通信数据包的流向,将待转发的数据包分 为正向和逆向两种情况。其中所述的正向指从外部网络数据源到接收系统的方向,所述的 逆向指从接收系统到外部网络数据源的方向。本领域的技术人员能够理解,本发明所提供 的方法及装置显然对正向和逆向流动的数据包均能适用。
所述实时检测网络活动的重定向装置包括一个网络活动监测模块和一个重定向模块。 其中,网络活动监测模块用于监测并登记活跃的IP地址,包括一张活跃IP地址表、 一个 mac/IP地址表和一个网络探头。其中
活跃IP地址表保存在重定向网关中,该表用于登记局域网内部的活跃IP地址。该表 的每个表项包含如下属性 一个IP地址、 一个自动随时间不断递减的剩余存活时间。
mc/IP地址表,用于记录局域网内主机的mac地址及其对应的IP地址。 网络探头对局域网内的网络活动进行监测和分析,并通过如下监听和询问方法得到并 维持当前活跃IP地址表
(1)监听局域网内广播的arp询问包和应答包,若发现任何询问包或应答包,则其中发送方的IP地址即为一个活跃的IP地址,该发送方的mac地址和IP地址构成一个mac/IP 地址对;
(2) 将所述的mac/IP地址对写入或更新到一张mac/IP地址对应表中,以记录局域网 内mac地址和ip地址的对应关系;
(3) 将所述的活跃IP地址写入活跃IP地址表中,如果该IP地址已经登记,更新其 剩余存活时间到初始化值;
(4) 监测局域网中数据包的源mac地址,然后査询mac/IP地址对应表获得活跃IP地
址并登记到活跃IP地址表中,如果该IP地址已经登记,更新其剩余存活时间到初始化值。
此外,网络探头还要跟踪发出arp询问包的主机在一定时间内是否发出针对同一目标 IP的第二个arp询问包,如果没有发出,则说明该主机通过其他渠道获得了返回的arp应 答包,故前面发出的arp询问包的目标IP地址即为一个活跃的IP地址,登记该IP地址 到活跃IP地址表中,如果该IP地址已经登记,更新其剩余存活时间到初始化值。
网络活动检测模块每隔一定时间遍历一次活跃IP地址表,当某个IP地址的剩余存活 时间递减到O时向该IP地址发出一个arp询问包,并等待该IP地址应答,如果在规定的 时间内等到应答包的话,将该IP地址的剩余存活时间恢复到初始化值,如果该IP地址对 应的mac地址有变化,还要更新mac/IP地址对应表。如果在规定的时间内没有等到arp 应答包的话,从活跃IP地址表中删除该IP地址。
重定向模块用于根据网络活动检测模块的实时检测结果重定向通信连接,该模块主要 包含一个数据包改造参数表,该表用于记录被重定向的每一个通信连接以及对该连接所属 数据包的正向和逆向改造的相关参数。正向改造可以使得数据包符合接收系统的要求,逆 向改造可以使得返回给外部网络数据源的数据包看上去象从原先企图连接的那个非活跃 IP地址发出来的一样,也就是说外部网络数据源无法感觉到通信连接被重定向了。具体的 正向改造和逆向改造的策略可以由使用者预先定义。
上述的数据包改造参数表的每个表项都有一个随时间不断递减的剩余存活时间,当该 表项被用于数据包改造时这个剩余存活时间恢复到初始化值,当长时间未被使用导致剩余 存活时间减少到0时该表项将被删除。此外,当任何表项的通信连接涉及到的IP地址被 网络活动监测模块加入活跃IP地址表则删除该表项。
整个监测网络活动并重定向通信连接的详细步骤描述如下
1、首先在局域网中运行网络活动监测模块的网络探头,该网络探头按前述的监测和询 问方法获知活跃IP地址并写入活跃IP地址表中。此外, 一个定时任务将确认剩余存活时 间减少到0的IP地址是否确实不再活跃,并将不再活跃的IP地址从活跃IP地址表中删除。
2、 当一个来自外部网络的数据包到达重定向网关后,处理流程如下
(1) 重定向模块首先査询其目的地址是否在活跃IP地址表中,如果是,则不干预这 个数据包的流向,如果不是,转到下一步。
(2) 査询数据包改造参数表,判断此数据包是否属于表中记录的某个通信连接,如果 是,转到第(3)步,如果不是,则根据此数据包构造一个通信连接、根据预定的正向改 造策略确定正向改造参数、根据预定的逆向改造策略确定逆向改造参数,然后将该通信连 接及其正向改造参数、逆向改造参数、初始剩余存活时间组合成一个表项插入到数据包改 造参数表中。
(3) 取出该通信连接的正向改造参数并用此参数对数据包做正向改造,改造完毕后发
送给接收系统。
3、 当一个来自接收系统的数据包到达重定向网关后,重定向模块査询数据包改造参数 表,判断该数据包是否属于表中某个通信连接,如果是,则取出该通信连接的逆向改造参 数并用此参数对数据包做逆向改造,改造完毕后发送给外部网络数据源。如果发现此数据 包不属于表中记录的任何通信连接,则不干预此数据包的流向。
本发明的技术效果在于
1) 通过监测局域网内部的网络活动实现了对局域网中活跃IP地址的探测。
2) 能够即时地重定向外部网络向内部非活跃]:p地址发起的通信连接,也能及时地停 止该重定向通信连接。
图1是本发明实施例重定向网关的结构示意图 图2是网络探头搜集活跃IP的流程图3是网络探头搜集活跃IP时对发出arp询问包主机的跟踪流程图; 图4是一个活跃IP的剩余存活时间减少到0时触发的删除流程图; 图5是重定向通信连接方法的正向处理流程图; 图6是重定向通信连接方法的逆向处理流程图。
具体实施例方式
下面参照本发明的附图,结合最佳实施例详细描述本发明。如图1所示,是重定向网关连接外部网络、局域网和接收系统的示意图。在本实施中 重定向网关有三条通道分别连接外部网络、局域网、接收系统。网络活动监测模块的网络 探头运行在局域网中某个节点上以监测局域网的网络活动。
如图2所示,是网络探头搜集活跃IP的流程
(1) 监听局域网内的arp询问包和应答包。
(2) 如果发现任何arp询问包或者应答包,将该包的发送方mac/IP地址对写入网络 活动检测模块的mac/IP地址表。
(3) 监听局域网内的其他数据包,获取每个数据包的源mac地址。
(4) 在mac/IP地址表中査询这个源mac地址,如果査询到,将其对应的IP地址写入 网络活动检测模块的活跃IP地址表,如果已经写入,更新其剩余存活时间为初始化值。
此外,网络探头还可以通过跟踪发出arp询问包的主机收集活跃IP,如图3所示,是 网络探头搜集活跃IP时对发出arp询问包主机的跟踪流程
(5) 监听到一个针对某个IP地址的arp询问包。
(6) 在一定时间内等待arp应答包。如果等到应答包,本次跟踪流程结束,否则进入
下一歩。
(7) 发出arp的主机有没有重复发出针对该IP地址的arp询问包,如果发出,本次 跟踪流程结束,否则将该IP地址写入活跃IP地址表。
网络活动检测模块中还设置了一个定时任务,用于确认剩余存活时间减少到0的IP地 址是否确实不再活跃,并将不再活跃的IP地址从活跃IP地址表中删除。如图4所示,是 一个活跃IP的剩余存活时间减少到0时触发的删除流程
(1) 首先发送一个arp询问包给该IP地址。
(2) 如果一定时间内没有收到该IP地址主机返回的arp应答包,从活跃IP地址表中 删除这个IP地址,否则进入下一步。
(3) 在活跃IP地址表中更新该IP地址的剩余存活时间为初始化值。
(4) 将arp应答包的mac地址更新到mac/IP地址对应表中。
重定向模块处理网络通信中的数据包的流程图分别如图5和6所示。如图5所示,表 示重定向模块处理正向数据包的流程图
(1) 假定一个来自外部网络的TCP数据包到达网关路由器。
(2) 根据数据包的目的地址査询活跃IP地址表,如果査询到,说明该数据包发往一 个活跃IP地址,网关路由器不干预此数据包的流向,直接放行。如果没查询到,则说明 该数据包发往一个非活跃IP地址,网关路由器将数据包交给重定向模块处理。
(3) 重定向模块取出此数据包的协议、目的和源地址等通信连接的描述信息构成一个 査询组合并用此组合査询数据包改造参数表,判别是否有某个通信连接可以匹配上这个组 合。如果没有匹配上,转到下一步,如果匹配上了,直接转到步骤(5)。
(4) 根据上一步骤生成的查询组合构造出的通信连接的描述,再结合预先定义的正向
和逆向改造策略,生成正向和逆向改造参数表,最后将通信连接的描述、正向和逆向改造 参数表以及初始化剩余存活时间形成一个表项插入到数据包改造参数表中。假定预先定义 的正向改造方案是修改数据包目的地址为接收系统,则正向改造参数表有接收系统的IP 地址、端口等信息。假定逆向改造方案是修改数据包源地址为本通信连接原本企图连向的 非活跃IP地址,则逆向改造参数表有此非活跃IP地址及其端口。
(5) 从数据包改造参数表中取出此数据包所属通信连接的正向改造参数信息并对数据 包做正向改造,同时将该通信连接表项的剩余存活时间恢复为初始值。在本实施例中具体 为用正向改造参数的IP地址、端口替换数据包的目的地址和目的端口,以及将剩余存 活时间恢复为初始值。
(6) 由于数据包目的地址已经指向接收系统,此数据包将被网关路由器转发到接收系统。
如图6所示,表示重定向模块处理逆向数据包的流程图。逆向处理方法描述如下
(1) 逆向转发模块收到来自接收系统的数据包之后査询重定向模块所属数据包改造参
数表,判断该数据包是否属于表中某个通信连接。如果是,转到第2步,如果不是,则不 干预此数据包的流向。
(2) 如果数据包属于表中某个通信连接,则取出该通信连接的逆向改造参数并用此参 数对数据包做逆向改造,改造完毕后发送给外部网络数据源。在本实施例中数据包改造参 数表存放的逆向改造参数是原非活跃IP地址及其端口 ,故用此IP地址和端口替换数据包 的源地址和端口,然后此数据包被发送到外部网络。注意在本实施例中由于数据包的源地 址和端口被替换为非活跃IP地址及其端口,故外部网络数据源无法感知本通信连接是否 被重定向。
如上所述,本发明通过检查局域网内部的网络活动来确定活跃的IP地址,并根据活跃 IP地址表来判定数据包的转发,这使得转发构架简洁明了,快速高效。本发明适用于各种 需要灵活、隐蔽地截获数据包的情况,具有良好的跨平台兼容性、可扩展性和实用性。
所述的实施例已经在申请人研制的千兆级网关上应用,取得了很好的效果,实现了对 特定通信连接的即时重定向,在搜集网络攻击扫描的应用中充分利用了闲置的IP地址, 取得了很好的效果,并且和以往的方案相比转发效率提高了50%,圆满地实现了本发明的 目的。本发明具有很好的实用性和推广应用前景。
尽管为说明目的公开了本发明的具体实施例和附图,其目的在于帮助理解本发明的内 容并据以实施,但是本领域的技术人员可以理解在不脱离本发明及所附的权利要求的精 神和范围内,各种替换、变化和修改都是可能的。例如,重定向网关可能运行在网关路由 器上,也可能运行于网关防火墙上,或者作为一个独立的设备存在。又如,接收系统本身 也可以在局域网之外,只要网关路由器具有网络路径能到达接收系统即可。又如,网络活 动监测模块的网络探头可以不止一个,而是多个并运行在网络中多个交换连接节点上或者 多台主机上。又如,如果重定向网关的正向和逆向改造策略分别是DNAT和un一DNAT操作, 则正向和逆向转发模块可以使用linux操作系统的DNAT模块来实现,该模块本身已经包 含DNAT和un—DNAT操作。因此,本发明不应局限于本说明书最佳实施例和附图所公开的 内容,本发明要求保护的范围以权利要求书界定的范围为准。
权利要求
1.一种实时检测网络活动的重定向方法,包括步骤A.通过对网络活动的监测和分析得到局域网内的活跃IP,并将其登记在活跃IP地址表中,此外,一个定时任务将确认剩余存活时间减少到0的IP地址是否确实不再活跃,并将不再活跃的IP地址从活跃IP地址表中删除;B.判别待转发的数据包是否符合重定向要求,并根据查询结果放行或者重定向该数据包。
2. 如权利要求l所述的方法,其特征在于,所述步骤A还包括步骤(1) 监听局域网内广播的arp询问包和应答包,若发现任何询问包或应答包,则其中发送方的IP地址即为一个活跃的IP地址,该发送方的mac地址和IP地址 构成一个mac/IP地址对;(2) 将所述的mac/IP地址对写入或更新到一张mac/IP地址对应表中,以记录 局域网内mac地址和ip地址的对应关系;(3) 将所述的活跃IP地址写入活跃IP地址表中,如果该IP地址已经登记,更新其剩余存活时间到初始化值;(4) 监测局域网中数据包的源mac地址,然后査询mac/IP地址对应表获得活 跃IP地址并登记到活跃IP地址表中,如果该IP地址已经登记,更新其剩余存活 时间到初始化值。
3. 如权利要求2所述的方法,其特征在于,还包括步骤跟踪发出arp询问包 的主机在一定时间内是否发出针对同一目标IP的第二个arp询问包,如果没有发 出,则登记该IP地址到活跃IP地址表中,如果该IP地址己经登记,更新其剩余存 活时间到初始化值。
4. 如权利要求2或3所述的方法,其特征在于,步骤A中确认某个IP地址是 否不再活跃的具体步骤是每隔一定时间遍历一次活跃IP地址表,当某个IP地址 的剩余存活时间递减到0时向该IP地址发出一个arp询问包,并等待该IP地址应 答,如果在规定的时间内等到应答包,则将该IP地址的剩余存活时间恢复到初始 化值,如果该IP地址对应的mac地址有变化,还要更新mac/IP地址对应表;如果 在规定的时间内没有等到arp应答包,则从活跃IP地址表中删除该IP地址。
5. 如权利要求l所述的方法,其特征在于,对于来自外部网络的数据包,步骤 B还包括步骤- (1) 根据数据包的目的地址査询活跃IP地址表,如果査询到,则网关路由器 不干预此数据包的流向,直接放行;(2) 如果没査询到,则取出此数据包的协议、目的和源地址等通信连接的描述 信息构成一个査询组合并用此组合査询数据包改造参数表,判别是否有某个通信连 接可以匹配上这个组合,如果匹配上了,转到步骤(4),否则转入下一步骤;(3) 根据上一步骤生成的查询组合构造出的通信连接的描述,再结合预先定义 的正向和逆向改造策略,生成正向和逆向改造参数表,最后将通信连接的描述、正 向和逆向改造参数表以及初始化剩余存活时间形成一个表项插入到数据包改造参 数表中;(4) 从数据包改造参数表中取出此数据包所属通信连接的正向改造参数信息并 对数据包做正向改造,同时将该通信连接表项的剩余存活时间恢复为初始值。
6. 如权利要求l所述的方法,其特征在于,对于来自接收系统的数据包,歩骤 B还包括步骤(5) 查询重定向模块所属数据包改造参数表,判断该数据包是否属于表中某个 通信连接,如果不是,则不干预此数据包的流向,否则转入下一步骤;(6) 如果数据包属于表中某个通信连接,则取出该通信连接的逆向改造参数并 用此参数对数据包做逆向改造,改造完毕后发送给外部网络数据源。
7. —种实时检测网络活动的重定向装置,包括1) 用于监测并登记活跃IP地址的网络活动监测模块,包括a. 用于登记局域网内部的活跃IP地址的活跃IP地址表,该表的每个表项 包含如下属性 一个IP地址、 一个自动随时间不断递减的剩余存活时间;b. 用于对局域网内的网络活动进行监测和分析的网络探头,通过监听和询 问得到并维持当前活跃IP地址表;c. 用于记录局域网内主机的mac地址及其对应的IP地址的mac/IP地址表;2) 用于根据网络活动检测模块的实时检测结果重定向通信连接的重定向模块,该模块包括一个数据包改造参数表,该表用于记录被重定向的每一个通信连接以及 对该连接所属数据包的正向和逆向改造的相关参数。
8. 如权利要求7所述的装置,其特征在于,所述的数据包改造参数表的每个表 项都有一个随时间不断递减的剩余存活时间,当该表项被用于数据包改造时这个剩 余存活时间恢复到初始化值,当长时间未被使用导致剩余存活时间减少到0时该表 项将被删除。
9.如权利要求7所述的装置,其特征在于,所述的正向改造参数包括接收系统 的IP地址和端口信息,所述的逆向改造参数包括非活跃IP地址及其端口。
全文摘要
一种实时检测网络活动的重定向方法,包括步骤A.通过对网络活动的监测和分析得到局域网内的活跃IP,并将其登记在活跃IP地址表中,此外,一个定时任务将确认剩余存活时间减少到0的IP地址是否确实不再活跃,并将不再活跃的IP地址从活跃IP地址表中删除;B.判别待转发的数据包是否符合重定向要求,并根据查询结果放行或者重定向该数据包。用于实现该方法的装置包括用于监测并登记活跃IP地址的网络活动监测模块和用于根据网络活动检测模块的实时检测结果重定向通信连接的重定向模块。本发明通过监测局域网内部的网络活动实现了对局域网中活跃IP地址的探测,能够即时地重定向外部网络向内部非活跃IP地址发起的通信连接。
文档编号H04L12/56GK101193044SQ200610144809
公开日2008年6月4日 申请日期2006年11月21日 优先权日2006年11月21日
发明者叶志远, 游红宇, 诸葛建伟, 维 邹, 郭晋鹏, 韬 韦, 韩心慧 申请人:北京大学