专利名称:旁路阻断tcp连接的制作方法
技术领域:
本发明是一种在旁路方式下对网络上的TCP连接进行阻断的方法。可用于网络安全、网络管理以及网络访问控制等领域。
背景技术:
目前,在中小企业内部办公网络中,对员工的网络访问控制,内容过滤,内容审计,以及网络安全等领域中,需要对网络使用情况进行监控。一般采用旁路监听的方式来减轻网关或路由器的负担。但旁路的控制功能却打了折扣。本发明通过伪造数据包的方式可以实现在旁路阻断特定的TCP连接的功能,从而解决了旁路监听方式的功能缺陷。
发明内容
本发明的目的在于解决网络的旁路监听方式下对TCP连接无法阻断的问题。
一般情况,如果要断开一条TCP的连接,只有服务器端,客户端,以及网关和路由器等网络出口处这三个部位。而对于局域网的网络安全、网络访问控制、网络行为记录、网络审计等领域适用的部位是网络出口。但是这样作的一个缺陷是会影响路由器等设备的性能。因此,网络行为记录,网络审计等功能为了减轻路由器等设备的负担,会用旁路监听的方式来实现(运行环境如图1)。但是同时这样旁路监听的方式对TCP连接却缺乏控制能力。如果在旁路监听的方式下可以阻断TCP的连接,就可以既分担路由器的负担,又具有网络控制能力。本发明就解决了这个问题。
详细介绍 这种旁路阻断方式的实现需要三个前提 首先,必须能够监听到网络上的数据包。
其次,能将自己伪造的数据包写入到链路层。
第三,根据TCP协议的要求一条TCP连接如果收到对方发来的回复中包含RST标志,那么这条连接必须关闭。
由此可知,如果我们根据一条TCP连接信息,伪造一个符合要求的恰当的RST数据包发送出去,并且能被连接的一端收到的话,就可以实现在旁路阻断的目的。
具体过程是,通过监听设备监听到一个A-->B的TCP连接数据包P1中的IP地址端口号等信息。
P1数据包的信息如下 源ipipA 目的ipipB 源端口portA 目的端口 portB 序列号seqP1 确认序列号ackP1 数据包长度lenP1 IP标志位 flagP1 如果需要阻断,根据P1中的信息构造一个反向B-->A的回复数据包P2如下 P2数据包的信息如下 源ipipB 目的ipipA 源端口 portB 目的端口portA 序列号 ackP1 确认序列号 seqP1+lenP1+flagP1的长度 数据包长度 lenP2 Ip标志位RST 通过原始套接字(raw socket)把数据包P2写入到链路层。此时,这个伪造的数据包P2会被网络设备当作正确的数据包进行转发,最后会被A收到。当A收到带有RST标志的回复包时。会认为B拒绝了这条TCP连接,并且把这条TCP连接关闭。至此,达到了在旁路阻断TCP连接的目的。
图1系统结构图
具体实施例方式 系统实施方式图1。
1.将监听设备接入集线器或者交换机的镜像端口进行监听。
2.在监听到的数据包中分辨出需要阻断的TCP连接。
3.根据需要阻断的TCP连接的信息,构造伪造的RST数据包。
4.将伪造的数据包用raw socket发送到链路层。从而阻断特定TCP连接。
权利要求
旁路阻断TCP应用的方法是以部署以在旁路的方式对通过网络的以TCP为基础的应用根据策略进行阻断。
具体特征如下
1.在集线器或者交换机的映像端口接入监听设备。
2.在监听设备上监听到需要阻断的TCP连接后,构造一个阻断数据流。
3.把数据流发送给目标机器。
4.目标机器收到这个数据包后,断开相应的TCP应用。
全文摘要
本发明是一种在旁路方式下对网络上的TCP连接进行阻断的方法。可用于网络安全、网络管理以及网络访问控制等领域。局域网络中放置一台监听设备,通过集线器或者交换机的镜像端口监听网络。当需要阻断某条TCP连接时,根据监听到的TCP连接信息组装一个伪造的带有RST标志的TCP数据包,然后将这个伪造的数据包直接发送到链路层。持有需要阻断的连接的机器就会收到这个伪造TCP数据包,此时它会认为是连接的另一端发送了连接重置信息。根据标准协议,操作系统会自动断开这条TCP连接。这样拥有此连接的应用程序就会断线。从而达到阻止非法的网络访问的目的。
文档编号H04L12/28GK101350746SQ20071013072
公开日2009年1月21日 申请日期2007年7月20日 优先权日2007年7月20日
发明者尹志超 申请人:莱克斯信息技术(北京)有限公司