服务器防护设备在旁路模式下的web服务监控方法

服务器防护设备在旁路模式下的web服务监控方法
【专利摘要】本发明公开了一种服务器防护设备在旁路模式下的WEB服务监控方法，服务器防护设备在旁路模式下获得客户端发送到WEB服务器的SYN请求包，通过所述SYN请求包Apache服务器与客户端建立虚拟连接，启动所述Apache服务器对WEB服务器回应的数据进行规则检查。本发明能够通过旁路模式来完成对WEB服务的监控，不会影响用户实际网络流量，同时采用虚连接方式能够有效的将用户流量流入Apache服务器，保证用户流量与Apache服务器的无缝结合，对后期扩展Apache模块提供了保障。
【专利说明】
服务器防护设备在旁路模式下的WEB服务监控方法
技术领域
[0001]本发明属于网络数据包分析技术领域，具体涉及一种服务器防护设备在旁路模式下的WEB服务监控方法。
【背景技术】
[0002]常见的网络监控模式可以分为两种:一种是串联监控模式，另一种是旁路监控模式。串联模式一般是通过网关、网桥或者代理服务器的模式来进行监控，由于监控设备作为网关或者网桥串联的网络中，所以所有的数据必须先经过监控系统，通过监控系统的分析检查之后，才能够发送到各个客户端，所以会对网速有一定的延时。旁路监控模式是指通过交换机等网络设备的端口镜像功能来实现监控，在此模式下，监控设备只需要连接到交换机的指定镜像端口。旁路模式分析的是镜像端口拷贝过来的数据，对原始传递的数据包不会造成延时，不会对网速造成任何影响，即使旁路监控设备出现故障或者停止运行，不会影响现有网络。

【发明内容】

[0003]有鉴于此，本发明的主要目的在于提供一种服务器防护设备在旁路模式下的WEB服务监控方法。
[0004]为达到上述目的，本发明的技术方案是这样实现的:
本发明实施例提供一种服务器防护设备在旁路模式下的WEB服务监控方法，该方法为:服务器防护设备在旁路模式下获得客户端发送到WEB服务器的SYN请求包，通过所述SYN请求包Apache服务器与客户端建立虚拟连接，启动所述Apache服务器对WEB服务器回应的数据进行规则检查。
[0005]上述方案中，所述通过所述SYN请求包Apache服务器与客户端建立虚拟连接，具体为:所述服务器防护设备逐一对所述SYN请求包进行匹配处理，当所述SYN请求包的目的IP地址为指定地址的SYN请求包时，确定该SYN请求包为有效包，所述指定地址为服务器防护设备所配置的WEB服务端地址，将所述SYN请求包中的目的地址和端口为Apache服务器的地址及端口后，并且传输给Apache服务器，所述Apache服务器将接收到的所述SYN请求包中seq值修改为500并且传输到所述服务器防护设备;所述服务器防护设备在旁路模式下获得客户端回复给WEB服务器的ACK回复包，确定所述ACK回复包的目的地址为指定地址和端口的ACK回复包时，将所述ACK回复包中的目的地址修改为服务器防护设备的地址及端口并且将所述ACK回复包的ack值修改为501，同时传输到Apache服务器，所述Apache服务器校验ACK回复包成功后，完成所述客户端与Apache服务器的三次握手，建立虚拟连接。
[0006]上述方案中，所述启动所述Apache服务器对WEB服务器回应的数据进行规则检查，具体为:所述服务器防护设备通过Pf_ring的方式对旁路镜像数据包抓取，确定所述旁路镜像数据包为WEB服务器回复的数据包，对所述旁路镜像数据包进行分层解析后保存数据，所述Apache服务器对保存的数据进行进行相应的规则检查。
[0007]与现有技术相比，本发明的有益效果:
本发明能够通过旁路模式来完成对WEB服务的监控，不会影响用户实际网络流量，同时采用虚连接方式能够有效的将用户流量流入Apache服务器，保证用户流量与Apache服务器的无缝结合，对后期扩展Apache模块提供了保障。
【附图说明】
[0008]图1为本发明中客户端与Apache服务器建立虚拟连接的过程图；
图2为本发明中服务器防护设备的旁路模式抓取WEB服务数据并进行数据检测的过程图。
【具体实施方式】
[0009]为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
[0010]本发明实施例提供一种服务器防护设备在旁路模式下的WEB服务监控方法，该方法为:服务器防护设备在旁路模式下获得客户端发送到WEB服务器的SYN请求包，通过所述SYN请求包Apache服务器与客户端建立虚拟连接，启动所述Apache服务器对WEB服务器回应的数据进行规则检查。
[0011 ]如图1所示，所述通过所述SYN请求包Apache服务器与客户端建立虚拟连接，具体为:所述服务器防护设备逐一对所述SYN请求包进行匹配处理，当所述SYN请求包的目的IP地址为指定地址的SYN请求包时，确定该SYN请求包为有效包，所述指定地址为服务器防护设备所配置的WEB服务端地址，将所述SYN请求包中的目的地址和端口为Apache服务器的地址及端口后，并且传输给Apache服务器，所述Apache服务器将接收到的所述SYN请求包中seq值修改为500并且传输到所述服务器防护设备;所述服务器防护设备在旁路模式下获得客户端回复给WEB服务器的ACK回复包，确定所述ACK回复包的目的地址为指定地址和端口的ACK回复包时，将所述ACK回复包中的目的地址修改为服务器防护设备的地址及端口并且将所述ACK回复包的ack值修改为501，同时传输到Apache服务器，所述Apache服务器校验ACK回复包成功后，完成所述客户端与Apache服务器的三次握手，建立虚拟连接。
[0012]如图2所示，所述启动所述Apache服务器对WEB服务器回应的数据进行规则检查，具体为:所述服务器防护设备通过Pf_ring的方式对旁路镜像数据包抓取，确定所述旁路镜像数据包为WEB服务器回复的数据包，对所述旁路镜像数据包进行分层解析后保存数据，所述Apache服务器对保存的数据进行进行相应的规则检查。
实施例
[0013]如图1所示，所述客户端与所述Apache服务器建立虚拟连接过程图，具体包括以下步骤:
步骤101:客户端向WEB服务器发送TCP的SYN(s=100，a=0)请求，该请求进入带镜像口的交换机，镜像口拷贝一份数据发送给服务器防护设备。
[0014]步骤102:服务器防护设备判断所述SYN请求的包目的地址是否为防护的WEB服务器地址，如果是，则修改SYN请求包的目的地址和端口为Apache服务器的地址和端口。
[0015]步骤103:ApaChe服务器接收到SYN请求包后，第一次握手成功，回复SYN-ACK包，向包中加入seq值为500并且发送到服务器防护设备。
[0016]步骤104:所述服务器防护设备记录该数据包并不向交换机的镜像口发送该数据包。
[0017]步骤105:客户端接收到WEB服务器回复的SYN-ACK回复包后，校验通过后，向WEB月艮务器发送ACK包，该ACK包进入交换机的镜像口后拷贝一份数据发往服务器防护设备的旁路模式下。
[0018]步骤106:服务器防护设备在旁路模式下获取到ACK数据包
步骤107:服务器防护设备修改ACK包中的ack=Seq(500)+l后，发往Apache服务器，所述Apache服务器校验完ACK数据包后，如果校验成功，则完成客户端与Apache服务之间的虚拟连接，用来启动对WEB服务数据检测的Apacke检测引擎。
[0019]如图2所示，所述服务器防护设备在旁路模式抓取WEB服务器的数据并使用Apache引擎进行数据监测过程，具体包括以下步骤:
步骤201:WEB服务器回复客户端的请求数据，进入交换机并由交换机镜像口拷贝一份数据发送给服务器防护设备。
[0020]步骤202:所述服务器防护设备通过旁路模式的Pf_ring方式判断该数据包的源IP地址和端口是否为服务器防护设备所配置的WEB服务的地址，如果是则进入步骤203。
[0021]步骤203:所述服务器防护设备通过分层解析数据后，将数据以共享内存的方式保存。
[0022]步骤204:所述Apache服务器防护启动Apache检测引擎对步骤203所保存的数据进行规则检测，从而对WEB服务器进行有效监控。
[0023]以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。
【主权项】
1.一种服务器防护设备在旁路模式下的WEB服务监控方法，其特征在于，该方法为:服务器防护设备在旁路模式下获得客户端发送到WEB服务器的SYN请求包，通过所述SYN请求包Apache服务器与客户端建立虚拟连接，启动所述Apache服务器对WEB服务器回应的数据进行规则检查。2.根据权利要求1所述的服务器防护设备在旁路模式下的WEB服务监控方法，其特征在于，所述通过所述SYN请求包Apache服务器与客户端建立虚拟连接，具体为:所述服务器防护设备逐一对所述SYN请求包进行匹配处理，当所述SYN请求包的目的IP地址为指定地址的SYN请求包时，确定该SYN请求包为有效包，所述指定地址为服务器防护设备所配置的WEB月艮务端地址，将所述SYN请求包中的目的地址和端口为Apache服务器的地址及端口后，并且传输给Apache服务器，所述Apache服务器将接收到的所述SYN请求包中seq值修改为500并且传输到所述服务器防护设备;所述服务器防护设备在旁路模式下获得客户端回复给WEB月艮务器的ACK回复包，确定所述ACK回复包的目的地址为指定地址和端口的ACK回复包时，将所述ACK回复包中的目的地址修改为服务器防护设备的地址及端口并且将所述ACK回复包的.801^值修改为501，同时传输到Apache服务器，所述Apache服务器校验ACK回复包成功后，完成所述客户端与Apache服务器的三次握手，建立虚拟连接。3.根据权利要求1或所述的服务器防护设备在旁路模式下的WEB服务监控方法，其特征在于，所述启动所述Apache服务器对WEB服务器回应的数据进行规则检查，具体为:所述服务器防护设备通过Pf_ring的方式对旁路镜像数据包抓取，确定所述旁路镜像数据包为WEB服务器回复的数据包，对所述旁路镜像数据包进行分层解析后保存数据，所述Apache服务器对保存的数据进行进行相应的规则检查。
【文档编号】H04L29/08GK105897909SQ201610344995
【公开日】2016年8月24日
【申请日】2016年5月23日
【发明人】焦小涛, 陈晓兵, 陈宏伟, 何建锋, 张灿, 同元峰
【申请人】西安交大捷普网络科技有限公司