专利名称:一种基于虚拟网关技术对局域网主机公网报文进行控制的方法
技术领域:
本发明涉及的是一种在任意局域网网络环境中对局域网主机公网报文进行控制的方法。
当前国内一般的网络管理系统对局域网主机的公网报文的截获,主要通过代理服务器、或者带网管功能的智能交换机进行端口镜像、或者在路由器和交换机之间加装一个集线器(hub)进行旁路侦听。这三种传统的监控方式对基于TCP协议的传输报文可以很容易地拦截,但是对于UDP协议传输的报文、点对点协议(P2P协议)的传输报文则无法进行有效的拦截。从当前企业应用的实际来看,上述传统的监控系统安装部署较为复杂、系统性能有限、并且对网络负荷的影响较大。本发明的独创之处在于绕过了传统监控软件的部署和监控的不足,通过局域网任意一台主机向局域网其他主机发送ARP更改请求报文,将局域网所有被控制主机的ARP缓存里面的默认网关IP对应的网卡(MAC)更改为装有监控软件主机IP对应的网卡(MAC),这样局域网所有被控制主机的基于TCP/IP协议、UDP协议、P2P协议等各种协议的公网报文都首先会转发到装有监控软件的控制机,然后通过控制机的网卡再转发到真正的网关,这样管理员通过在控制机上执行各种控制命令,就可以轻松实现对各种协议传输的报文的控制,方便了管理,降低了企业成本。
随着信息技术的发展,互联网的应用在企业迅速展开,广大企业在组建自己的局域网、充分利用网络技术提升企业生产效率的同时,也面临着网络管理的难题广大企事业单位的雇员,在工作时间浏览大量与工作无关的网址、通过各种聊天工具聊天、玩各种网络游戏,下载各种娱乐内容(尤其是通过一些点对点传输工具,如BT、电驴、迅雷……);此外,还通过邮件、FTP/HTTP传输、以及通过其他一些形式向互联网发送资料等等。企业员工上述各种行为,不仅占用了大量的工作时间,而且还大肆占用了企业的带宽、以及可能泄漏、盗取企业商业机密和其他重要资料的行为的发生,降低了企事业单位的网络效能、给企事业单位的网络安全带来重大隐患。
本发明工作原理,结合
如下在局域网中任意选定一台主机作为控制机,然后通过控制机使用其自身网卡(与局域网其他主机相连接的内网网卡)向局域网其他被控制主机发送ARP更改请求报文,被控制主机接受到ARP更改请求报文后,通过ARP协议修改本身的ARP表,将被控制机默认网关IP对应的真实MAC地址更改为控制机的IP对应的MAC地址;如果更改成功后,被控制主机所有访问公网的报文都将会首先转发到控制机,而控制机则会捕获通过任意协议发送的公网报文,通过管理员在软件里面设定的规则来进行过滤或放行,放行的报文会转发到局域网真正的网关;否则就会对报文进行拦截并丢弃。控制机以此来达到对被控制主机公网报文的控制。
本发明的优点是适应任意的网络环境,管理员无需对网络结构作任何调整,也不需要采购其他第三方软、硬件,就可以实现对局域网任意主机的公网报文的完全控制。
一种基于网卡对局域网主机的公网报文进行捕获的方法。其特征如下(1)选定局域网内一台任意主机作为控制机(2)通过控制机的物理网卡不断地向网络中其他被控制主机发送ARP更改请求报文,以强制被控制主机修改其ARP表中默认网关对应的MAC地址更改为控制机的物理MAC地址;(3)如果被控制机的ARP表成功更改为控制机的网卡后,控制机就可以捕获局域网所有被控制机的公网报文;(4)控制机对捕获到的被控制机的公网报文按照特定的数据报文的协议、数据文件后缀名、端口、数据报文源IP地址、目标IP地址等进行分析,按照管理员所设置的公网报文放行和拦截规则,决定是否通过控制机的物理网卡(MAC)转发到默认网关对应的真正的网卡(MAC)地址;(5)如果要取消控制机对局域网其他被控制机的控制,则本软件会通过控制机的物理网卡重新发送ARP更改请求报文,更新被控制机的ARP表为真正的默认网关对应的真实地网卡(MAC)地址。
说明书
在局域网中任意选定一台主机作为控制机,然后通过控制机使用其自身网卡(与局域网其他主机相连接的内网网卡)向局域网其他被控制主机发送ARP更改请求报文,被控制主机接受到ARP更改请求报文后,通过ARP协议修改本身的ARP表,将被控制机默认网关IP对应的真实MAC地址更改为控制机的IP对应的MAC地址;如果更改成功后,被控制主机所有访问公网的报文都将会首先转发到控制机,而控制机则会捕获通过任意协议发送的公网报文,通过管理员在软件里面设定的规则来进行过滤或放行,放行的报文会转发到局域网真正的网关;否则就会对报文进行拦截并丢弃。控制机以此来达到对被控制主机公网报文的控制。
按照本系统的实现原理,可以用不同的编程语言来编写,并且可以将采用本原理的软件嵌入到硬件中从而可以强化监控。依照本原理编写的软件可以对局域网所有被控制主机的基于TCP/IP、UDP、P2P等所有协议的公网报文进行分析,可以弥补当前监控软件只能监控TCP/IP协议报文的不足,从而对各种UDP协议的公网报文,以及各种P2P协议的公网报文(如BT、电驴、卡盟、PP点点通……)等广泛流行的P2P工具进行完全的控制。同时本软件可以针对数据报文的协议、数据文件后缀名、端口、数据报文源IP地址、目标IP地址等等进行随时的调整,从而能够对局域网被控制主机的所有公网报文进行即时、全面的控制。
权利要求
一种基于虚拟网关技术对局域网主机公网报文进行控制的方法。指定局域网某一个主机为控制机,控制机通过发送ARP更改请求报文更改局域网被控制机的ARP表,从而将控制机的网卡(MAC)地址虚拟为局域网被控制机默认的网关对应的网卡(MAC)地址,控制机就可以捕获到局域网所有被控主机的公网数据报文,通过对局域网被控制机的公网传输报文所采用的协议、端口、文件后缀名、源IP地址、目标IP地址的控制来实现对被控制机的网址浏览管理、聊天工具控制、网络游戏控制、P2P下载和传输和通过HTTP、FTP协议下载、邮件内容监控、聊天工具聊天内容监控、通过HTTP/FTP协议传输文件内容的监控。
全文摘要
随着互联网和宽带的普及,越来越多的企事业单位通过网络来提升工作效率与生产效率。网络技术在给企事业单位带来极大方便的同时,也造就了企业的网络管理难题。一些企事业单位的员工在工作时间用网络来做一些与工作无关的事情,如浏览无关网址、下载无关资料、与私人朋友进行网络聊天或者玩一些网络游戏等等,占用了大量的工作时间、降低了工作效率;而特别是一些采用一些P2P工具进行P2P下载(如BT等),则大肆侵吞企业的网络资源,导致了企业网络的堵塞、影响了正常的工作;而目前主流的监控软件由于采用了代理服务器、智能交换机或HUB进行旁路侦听的技术,而这种监控技术可以对基于TCP/IP协议的报文进行有效的拦截,但对于采用UDP协议、P2P协议等传输工具传输的数据报文则无法进行拦截,从而无法控制当前对企业网络影响严重的各种BT工具、一些聊天工具、甚至一些网络游戏等,不能真正解决企业的网络管理难题;本软件采用了将局域网某个主机虚拟为局域网网关的技术,使得局域网主机所发出的所有公网报文都经过这个主机的转发,从而在转发的过程中,通过对报文所采用的协议、端口、文件后缀名、源IP地址、目标IP地址等来实现对局域网被控制主机任意公网报文进行完全的控制。
文档编号H04L12/26GK1848808SQ20061000073
公开日2006年10月18日 申请日期2006年1月11日 优先权日2006年1月11日
发明者张相雍 申请人:郑凯