专利名称:一种旁路阻断udp会话方法
技术领域:
本发明是一种在旁路接入方式下对网络上的UDP会话进行阻断的方法。可用于网 络安全、网络管理以及网络访问控制等领域。
背景技术:
目前,中小型局域网络内部终端的网络访问控制、内容过滤、内容审计以及网络安 全等应用领域中,常常需要对网络使用情况进行监控,一般采用将监控设备部署为旁路监 听的方式,以减轻网关或路由器的负担。但旁路监听方式的控制功能却不理想,主要表现为 难以实现对特定UDP会话的阻断。
发明内容
本发明是一种在旁路监听的方式下,通过监听分析、伪造并发送ICMP数据包的方
式,实现旁路阻断UDP会话的功能,弥补了旁路监听方式的控制功能缺陷。 —般来讲,如果要断开一个UDP的会话,只有服务器端,客户端,以及网关和路由
器等网络出口处,这三个部位可以实现。而对于局域网的网络安全、网络访问控制、网络审
计等领域适用的部位是只有网络出口 ,但是这样做的一个缺陷是会严重影响路由器等设备
的性能。 因此,网络访问控制、网络审计等领域功能实现上,为了减轻路由器等设备的负 担,一般会选用旁路监听的方式来实现(网络结构如附图所示)。但是同时旁路监听的方式 对数据包却缺乏控制能力。而如果在旁路监听的方式下可以实现对UDP会话的阻断,就可 以既分担网关和路由器的负担,又具有较好的网络控制能力。本发明就巧妙的解决了这个 问题。
基本原理 这种旁路阻断方式的实现需要三个前提条件
首先,必须能够监听到网络上的数据包。
其次,能将自己伪造的数据包写入到链路层。 第三,通信双方可以实现UDP协议的要求如果发送方发送一个UDP包后,接收方 没有相应的接收进程,那么对方会返回一个ICMP报文来通知发送方。 由此可知,如果我们根据监听到的UDP信息,伪造一个符合协议要求的恰当的 ICMP数据包发送出去,并且能被连接的一端收到的话,就可以实现在旁路阻断的目的。
具体方式 当旁路监听方监听到一个A — B的UDP数据包Pl,包含主要信息如下
源ip : ipA
目的ip: ipB
源端口 portA
目的端口 portB
如果需要阻断,监听方根据PI中的信息构造一个B — A的ICMP回复数据包P2,包
含主要信息如下 ICMP类型端口不可达 ICMP载荷 源ip : ipA 目的ip ipB 源端口 portA 目的端口 portB 然后,监听方通过原始套接字(Raw Socket)把数据包P2写入到链路层。此时,这 个伪造的数据包P2会被网络设备当作正确的数据包进行转发,并最终被A收到。此时,A会 依据UDP协议和ICMP协议认为B没有开启相应的服务,进而A会关闭这个UDP会话,中断 与B的通讯,而B同理也会中断与A的通讯。至此,达到了在旁路阻断UDP会话的目的。
系统结构图,为系统网络拓扑和数据包流向示意图。
具体实施例方式1.将监听设备接入集线器或者交换机的镜像端口进行监听。 2.在监听到的数据包中分辨出需要阻断的UDP会话。 3.根据需要阻断的UDP会话信息,构造伪造的ICMP数据包。 4.将伪造的数据包用Raw Socket发送到链路层,以阻断此UDP会话。
权利要求
一种构造并发送特定ICMP数据包并发送到链路层的过程,以达到阻断UDP会话的目的。
2. 根据权利要求1所述的过程,先将监听设备接入集线器或者交换机的镜像端口进行 监听。
3. 根据权利要求1所述的过程,从监听到的数据包中分辨出需要阻断的UDP会话。
4. 根据权利要求1所述的过程,根据需要阻断的UDP会话信息,构造包含此会话信息的 ICMP数据包。
5. 根据权利要求l所述的过程,将伪造的数据包用Raw Socket发送到链路层,以阻断 此UDP会话。
全文摘要
旁路阻断UDP会话是一种在旁路监听的方式下,根据UDP和ICMP标准协议,通过监听、伪造并发送ICMP数据包的方式,实现旁路阻断UDP会话的功能,弥补了旁路监听方式的控制功能缺陷。主要用于网络安全、网络管理以及网络访问控制等领域,实现以最小的网络接入代价达到较好的网络监督控制目的。
文档编号H04L29/06GK101707549SQ20091020483
公开日2010年5月12日 申请日期2009年10月14日 优先权日2009年10月14日
发明者尹志超 申请人:莱克斯科技(北京)有限公司