WO2016082380A1 - 一种网络数据包处理方法及装置 - Google Patents

Abstract

本发明提供一种网络数据包处理方法及装置。所述方法包括如下步骤：确定接收到数据包的端口和包协议信息（101）；根据预设的检索数据表中，所述端口所需要捕获的数据包的协议规则，判断所接收到的数据包是否需要捕获（102）；当确定所述数据包需要捕获时，捕获所述数据包并对所述数据包执行预设的安全处理（103）。所述装置包括数据包解析模块、捕获判断模块、数据包处理模块。本发明所提供的方法和装置能够简化需要捕获的数据包的确定过程，适应大多数需要数据包过滤或捕获的情况。

Description

一种网络数据包处理方法及装置 技术领域

本发明涉及网络通信领域，尤其涉及一种网络数据包处理方法及装置。

背景技术

随着互联网络的发展越来越快，信息量的增大，大量的无效数据降低了网络监控的效率，它对以太网设备的处理能力要求也不断增长。现在的以太网络设备除了单纯的数据转发之外，还需要提供协议数据包的协处理能力。对于那些不是很高端的以太网交换机而言，很多协议处理和网络管理数据都是由以太网交换机附带的中央处理器(CPU)来进行的。这种结构极大的增强了二层以太网交换机的功能，但是同时也给CPU带来了严重负荷和安全隐患，造成CPU容易死机从而大大的降低了***的可靠性。例如CPU必需运行一个协议栈来支持ARP(Address Resolution Protocol，地址解析协议)、ICMP(Internet Control Message Protocol，网络控制报文协议)、IGMP(Internet Group Management Protocol，网际组管理协议)等各种协议包功能，当数据包传输的速率过大时，由于收发包中断优先级高，此时会对CPU造成很大的负担，从而导致无法正常完成管理设备的功能，而且在这种情况下还很容易给外部恶意攻击者带来可乘之机，他们可以通过发送以太网广播或者组播数据包造成网络上的洪泛。

考虑到上述风险，对网络数据包的捕获和过滤就变的尤为必要了。包过滤或包捕获主要是对数据包的包头中的协议字段信息和过滤或捕获规则进行比较来实现数据包的过滤。数据包过滤是一种通用、廉价和有效的安全手段。它不是针对各个具体的网络服务采用特殊的处理方式，适用于所有的网络服务。现有技术中所采用的包过滤或包捕获方法，往往只是针对一种特殊情况，适应范围较窄，且过滤或捕获算法复杂，效率较低。

发明内容

有鉴于此，本发明提供一种网络数据包处理方法及装置，能够简化需要捕获的数据包的确定过程，适应大多数需要数据包过滤或捕获的情况。

基于上述目的本发明提供的一种网络数据包处理方法，包括如下步骤：

确定接收到数据包的端口和包协议信息；

根据预设的检索数据表中，所述端口所需要捕获的数据包的协议规则，判断所接收到的数据包是否需要捕获；

当确定所述数据包需要捕获时，捕获所述数据包并对所述数据包执行预设的安全处理。

在本实施例中，根据预设的检索数据表中、所述端口所需要捕获的数据包的协议规则、判断所接收到的数据包是否需要捕获的步骤具体包括：

根据接收到数据包的端口，在预设的检索数据表中查找该端口所需要捕获的数据包的协议规则；

根据检索数据表，当存在一条协议规则记录中规定的各开放式***互联OSI层协议与接收到的数据包各开放式***互联OSI(Open System Interconnection)层所采用的协议一致时，确定接收到的数据包需要捕获；

所述协议规则记录需要捕获的数据包的至少一个开放式***互联OSI层所采用的至少一种协议。

在本实施例中，确定接收到数据包的端口和包协议信息之前，还包括：

在所述检索数据表中，添加所述端口所需要捕获的数据包的至少一条协议规则记录；

在新添加的协议规则记录中，设置需要捕获的数据包的至少一个开放式***互联OSI层所采用的协议类型。

在本实施例中，所述至少一个开放式***互联OSI层包括开放式***互联OSI二层、开放式***互联OSI三层、开放式***互联OSI四层。

在本实施例中，所述协议规则记录包括各开放式***互联OSI层标号和各开放式***互联OSI层标号协议类型号；所述标号用于指示相应的开放式***互联OSI层协议类型是否为空；所述协议类型号用于指示相应的开放式***OSI层的协议类型。

同时，本发明提供一种网络数据包处理装置，包括：

数据包解析模块：设置为确定接收到数据包的端口和包协议信息；

捕获判断模块：设置为根据预设的检索数据表中，所述端口所需要捕获的数据包的协议规则，判断所接收到的数据包是否需要捕获；

数据包处理模块：设置为当确定所述数据包需要捕获时，捕获所述数据包并对所述数据包执行预设的安全处理。

在本实施例中，所述捕获判断模块具体包括：

协议规则查找单元：设置为根据接收到数据包的端口，在预设的检索数据表中查找该端口所需要捕获的数据包的协议规则；

捕获确定单元：设置为根据检索数据表，当存在一条协议规则记录中规定的各开放式***互联OSI层协议与接收到的数据包各开放式***互联OSI层所采用的协议一致时，确定接收到的数据包需要捕获；

所述协议规则记录需要捕获的数据包的至少一个开放式***互联OSI层所采用的至少一种协议。

在本实施例中，所述装置还包括：

端口创建模块：设置为在所述检索数据表中，添加所述端口所需要捕获的数据包的至少一条协议规则记录；

协议规则记录添加模块：设置为在新添加的协议规则记录中，设置需要捕获的数据包的至少一个开放式***互联OSI层所采用的协议类型。

在本实施例中，所述至少一个开放式***互联OSI层包括开放式***互联OSI二层、开放式***互联OSI三层、开放式***互联OSI四层。

在本实施例中，所述协议规则记录包括各开放式***互联OSI层标号和各开放式***互联OSI层标号协议类型号；所述标号用于指示相应的开放式***互联OSI层协议类型是否为空；所述协议类型号用于指示相应的开放式***OSI层的协议类型。

从上面所述可以看出，本发明提供的数据包过滤方法及装置，采用数据表的方法记录需要过滤的数据包所采用的协议规则，在接收到数据包时，只需要查找检索数据表即可，方法简单，能够有效地进行过滤线路的匹配；同时方便在检索数据表中添加端口和协议，数据包捕获过滤开销小、时延小，适用范围广，便于优化，不影响网络的稳定性及可靠性，还可应用于防火墙、网络接入服务器等需要快速过滤或捕获数据包的应用。

附图说明

图1为本发明实施例提供的网络数据包过滤方法流程示意图；

图2为本发明实施例的端口检索表示意图；

图3为本发明实施例的协议规则检索表示意图；

图4为本发明实施例的协议规则记录示意图；

图5为本发明实施例的网络数据包过滤装置示意图。

具体实施方式

为了给出有效的实现方案，本发明提供了下述实施例，以下结合说明书附图对本发明实施例进行说明。

本发明首先提供一种网络数据包过滤方法，包括如图1所示的步骤：

步骤101：确定接收到数据包的端口和包协议信息；

步骤102：根据预设的检索数据表中，所述端口所需要捕获的数据包的协议规则，判断所接收到的数据包是否需要捕获；

步骤103：当确定所述数据包需要捕获时，对所述数据包执行预设的安全处理。

从上面所述可以看出，本发明提供的网络数据包过滤方法，通过在预设的检索数据表中查找符合接收到的数据包所携带的协议信息的项目，确定接收到的数据包是否需要捕获，适用于大多数需要捕获数据包的场景，且查找操作简单，具有较高的效率，当接收到的数据包的数量较多时，不会因为CPU负荷过重而影响到网络设备的功能。本发明能够通过一个简单有效的数据包检索捕获方法，较好的满足目前需求，可以防止出现CPU协处理负荷过重而影响到以太网交换机的管理设备功能。

在本发明的具体实施例中，检索数据表对应每个需要过滤数据包建立相应的过滤规则，该规则中规定需要过滤的数据包在相应的开放式***互联OSI层所采用的协议。

在本发明的具体实施例中，捕获所述数据包之后，可以对数据包进行安全检查、或执行过滤丢弃等处理。

在本发明的一些实施例中，根据预设的检索数据表中、所述端口所需要捕获的数据包的协议规则、判断所接收到的数据包是否需要捕获的步骤具体包括：

根据接收到数据包的端口，在预设的检索数据表中查找该端口所需要捕获的数据包的协议规则；

根据检索数据表，当存在一条协议规则记录中规定的各开放式***互联OSI层协议与接收到的数据包各开放式***互联OSI层所采用的协议一致时，确定接收到的数据包需要捕获；

所述协议规则记录需要捕获的数据包的至少一个开放式***互联OSI层所采用的至少一种协议。

在本发明的具体实施例中，预设的检索数据表可以包括端口检索表和协议规则检索表，端口检索表包含一个或多个端口的端口号和端口名，分别对应一个或多个数据包所要发送的端口；端口检索表中所记录的每个端口的端口号在协议规则检索表中均可查找到相应的协议规则记录，当接收到的数据包所采用的协议符合其要发送的端口在协议规则检索表中对应记录的协议规则时，确定接收到的数据包因为可能存在安全隐患而需要捕获。

在本发明的一些实施例中，确定接收到数据包的端口和包协议信息之前，还包括：

在所述检索数据表中，添加所述端口所需要捕获的数据包的至少一条协议规则记录；

在新添加的协议规则记录中，设置需要捕获的数据包的至少一个开放式***互联OSI层所采用的协议类型。

在本发明的一种具体实施例中，端口检索表的结构如图2所示，包括一个或多个端口名称以及端口号，一个端口号对应于一个端口名称和如图3所示的一个协议规则检索表，该协议规则检索表中设置有一个或多个协议规则记录。当需要添加一个名称为ETH0、端口号为0的端口，并对发送到该ETH0端口的数据包进行过滤，则在图2所示的端口检索表中添加名称为ETH0、端口号为0的端口记录，并创建相应的如图3所示的一个协议规则检索表，并在该协议规则检索表中添加一个或多个协议规则记录，使得接收到的数据包端口的端口名称为ETH0、端口的端口号为0时，根据对应的协议规则检索表中的协议规则记录判断该数据包是否需要捕获。当ETH0端口所需要设 置的过滤规则为ARP协议，那么在协议规则检索表中对应于建立ARP协议的协议规则记录。

在本发明的另一种具体实施例中，端口检索表结构如图2所示，包括一个或多个端口名称以及端口号，一个端口号对应于一个端口名称和如图3所示的协议规则检索表中的一条或多条协议规则记录。当需要添加一个名称为ETH0、端口号为0的端口，并对发送到该ETH0端口的数据包进行过滤，则在图2所示的端口检索表中添加名称为ETH0、端口号为0的端口记录，并在图3所示的协议规则检索表中添加端口名称为ETH0、端口号为0的端口的协议规则记录。使得接收到的数据包端口的端口名称为ETH0、端口的端口号为0时，根据对应的协议规则检索表中ETH0端口对应的协议规则记录判断该数据包是否需要捕获。当ETH0端口所需要设置的过滤规则为ARP协议，那么在协议规则检索表中对应于建立ARP协议的协议规则记录。

在本发明的一些实施例中，所述至少一个开放式***互联OSI层包括开放式***互联OSI二层、开放式***互联OSI三层、开放式***互联OSI四层。

在本发明的一些实施例中，所述协议规则记录包括各开放式***互联OSI层标号和各开放式***互联OSI层标号协议类型号；所述标号用于指示相应的开放式***互联OSI层协议类型是否为空；所述协议类型号用于指示相应的开放式***OSI层的协议类型。

仍然参照图3，在本发明的一种具体实施例中，每一条协议规则记录包括如下项目：协议名称、开放式***互联OSI二层协议类型号、开放式***互联OSI二层标号、开放式***互联OSI三层协议类型号、开放式***互联OSI三层标号、开放式***互联OSI四层协议类型号、开放式***互联OSI四层标号。标号用于指示相应的开放式***互联OSI层协议类型是否为空，例如，若一条协议规则记录中记载的协议为二层协议，那么该协议规则记录的开放式***互联OSI三层协议类型、开放式***互联OSI四层协议类型应当为空或无效；在这种情况下，采用相应的开放式***互联OSI三层标号、开放式***互联OSI四层标号指示本条协议规则记录中的开放式***互联OSI三层协议类型为空或无效，以及开放式***互联OSI四层协议类型为空或无效。

在本发明一种具体实施例中，假设端口名称为ETH0、端口号为0的端口需要过滤ARP协议数据包，采用标号0表示对应的开放式***互联层协议类型有效；采用标号1表示对应的开放式***互联层协议类型无效；采用协议类型号0表示对应的开放式***互联层协议类型为空。那么对应的协议规则记录各项分别为：协议名称为ARP、开放式***互联OSI二层协议类型号为0×0806、开放式***互联OSI二层标号为0、 开放式***互联OSI三层协议类型号为0×0、开放式***互联OSI三层标号为1、开放式***互联OSI四层协议类型号为0×0、开放式***互联OSI四层标号为1。

在本发明的一种具体实施例中，协议规则记录如图4所示。

在本发明的一种具体实施例中，结合图4，所述方法包括如下步骤：

步骤201：接收到将发送至端口的数据包。

步骤202：解析所述数据包，获取端口号和协议头信息。例如，所述接收到的数据包为ARP数据包，通过解析得知，该数据包所要发送的端口名称为ETH0、端口号为0，该数据包的二层协议类型号为0x0806。

步骤203：在预设的检索数据包中获取所述端口号对应的端口、该端口对应的协议规则记录，并获取所述数据包的OSI二层协议类型、OSI三层协议类型、OSI四层协议类型。例如，在预设的检索数据表中查找到ETH0端口所对应的协议规则记录；在ETH0对应的、如图4所示的协议规则记录中，查找到二层协议类型号为0x0806的一条记录。

步骤204：在所述协议规则记录中，查找OSI二层协议类型。

步骤205：若协议规则记录中所记录的OSI二层协议类型与数据包所采用的OSI二层协议类型存在匹配项，那么在所述协议规则记录中，查找OSI三层协议类型。

若接收到的数据包所要发送的端口名称为ETH0、端口号为0，该数据包的二层协议类型号为0x0806、三层协议类型为空、四层协议类型为空。若在协议规则记录中存在二层协议类型号为0x0806、三层协议类型为空、四层协议类型为空的协议规则记录，那么接收到的数据包与协议规则记录一致。

步骤206：若所述数据包的OSI三层协议类型不为空，那么在所述协议规则记录中所记录的OSI三层协议类型中查找与数据包的OSI三层协议类型匹配的项目。

步骤207：若所述协议规则记录中所记载的OSI三层协议类型与数据包的OSI三层协议类型存在匹配项目，那么在所述协议规则记录中，查找OSI四层协议类型。

步骤208：若所述数据包的OSI四层协议类型不为空，那么在所述协议规则记录中所记录的OSI四层协议类型中查找与数据包的OSI四层协议类型匹配的项目。

在上述步骤201-208中，若接收到的数据包的OSI二层、或三层、或四层中至少一层协议为空，且同时在协议规则记录中所记载的相应OSI二层、或三层、或四层的标号指示为空，那么则认为协议规则记录中相应OSI层的协议类型与数据包相应OSI层的协议类型一致。

进一步，本发明提供一种一种网络数据包处理装置，结构如图5所示，包括：

数据包解析模块：设置为确定接收到数据包的端口和包协议信息；

捕获判断模块：设置为根据预设的检索数据表中，所述端口所需要捕获的数据包的协议规则，判断所接收到的数据包是否需要捕获；

数据包处理模块：设置为当确定所述数据包需要捕获时，捕获所述数据包并对所述数据包执行预设的安全处理。

在本发明一些实施例中，所述捕获判断模块具体包括：

协议规则查找单元：设置为根据接收到数据包的端口，在预设的检索数据表中查找该端口所需要捕获的数据包的协议规则；

捕获确定单元：设置为根据检索数据表，当存在一条协议规则记录中规定的各开放式***互联OSI层协议与接收到的数据包各开放式***互联OSI层所采用的协议一致时，确定接收到的数据包需要捕获；

所述协议规则记录需要捕获的数据包的至少一个开放式***互联OSI层所采用的至少一种协议。

在本发明一些实施例中，所述装置还包括：

端口创建模块：设置为在所述检索数据表中，添加所述端口所需要捕获的数据包的至少一条协议规则记录；

协议规则记录添加模块：设置为在新添加的协议规则记录中，设置需要捕获的数据包的至少一个开放式***互联OSI层所采用的协议类型。

在本发明一些实施例中，所述至少一个开放式***互联OSI层包括开放式***互联OSI二层、开放式***互联OSI三层、开放式***互联OSI四层。

在本发明一些实施例中，所述协议规则记录包括各开放式***互联OSI层标号和各开放式***互联OSI层标号协议类型号；所述标号用于指示相应的开放式***互联OSI层协议类型是否为空；所述协议类型号用于指示相应的开放式***OSI层的协议类型。

应当理解，本说明书所描述的多个实施例仅用于说明和解释本发明，并不用于限定本发明。并且在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

工业实用性

基于本发明实施例提供的上述技术方案，通过采用数据表的方法记录需要过滤的数据包所采用的协议规则，在接收到数据包时，只需要查找检索数据表即可，方法简单，能够有效地进行过滤线路的匹配；同时方便在检索数据表中添加端口和协议，数据包捕获过滤开销小、时延小，适用范围广，便于优化，不影响网络的稳定性及可靠性，还可应用于防火墙、网络接入服务器等需要快速过滤或捕获数据包的应用。

Claims (10)

1. 一种网络数据包处理方法，包括如下步骤：

   确定接收到数据包的端口和包协议信息；

   根据预设的检索数据表中，所述端口所需要捕获的数据包的协议规则，判断所接收到的数据包是否需要捕获；

   当确定所述数据包需要捕获时，捕获所述数据包并对所述数据包执行预设的安全处理。
2. 根据权利要求1所述的方法，其中，根据预设的检索数据表中、所述端口所需要捕获的数据包的协议规则、判断所接收到的数据包是否需要捕获的步骤具体包括：

   根据接收到数据包的端口，在预设的检索数据表中查找该端口所需要捕获的数据包的协议规则；

   根据检索数据表，当存在一条协议规则记录中规定的各开放式***互联OSI层协议与接收到的数据包各开放式***互联OSI层所采用的协议一致时，确定接收到的数据包需要捕获；

   所述协议规则记录需要捕获的数据包的至少一个开放式***互联OSI层所采用的至少一种协议。
3. 根据权利要求2所述的方法，其中，确定接收到数据包的端口和包协议信息之前，还包括：

   在所述检索数据表中，添加所述端口所需要捕获的数据包的至少一条协议规则记录；

   在新添加的协议规则记录中，设置需要捕获的数据包的至少一个开放式***互联OSI层所采用的协议类型。
4. 根据权利要求2或3所述的方法，其中，所述至少一个开放式***互联OSI层包括开放式***互联OSI二层、开放式***互联OSI三层、开放式***互联OSI四层。
5. 根据权利要求4所述的方法，其中，所述协议规则记录包括各开放式***互联OSI层标号和各开放式***互联OSI层标号协议类型号；所述标号用于指示相应的开放式***互联OSI层协议类型是否为空；所述协议类型号用于指示相应的开放式***OSI层的协议类型。
6. 一种网络数据包处理装置，包括：

   数据包解析模块：设置为确定接收到数据包的端口和包协议信息；

   捕获判断模块：设置为根据预设的检索数据表中，所述端口所需要捕获的数据包的协议规则，判断所接收到的数据包是否需要捕获；

   数据包处理模块：设置为当确定所述数据包需要捕获时，捕获所述数据包并对所述数据包执行预设的安全处理。
7. 根据权利要求6所述的装置，其中，所述捕获判断模块具体包括：

   协议规则查找单元：设置为根据接收到数据包的端口，在预设的检索数据表中查找该端口所需要捕获的数据包的协议规则；

   捕获确定单元：设置为根据检索数据表，当存在一条协议规则记录中规定的各开放式***互联OSI层协议与接收到的数据包各开放式***互联OSI层所采用的协议一致时，确定接收到的数据包需要捕获；

   所述协议规则记录需要捕获的数据包的至少一个开放式***互联OSI层所采用的至少一种协议。
8. 根据权利要求7所述的装置，其中，所述装置还包括：

   端口创建模块：设置为在所述检索数据表中，添加所述端口所需要捕获的数据包的至少一条协议规则记录；

   协议规则记录添加模块：设置为在新添加的协议规则记录中，设置需要捕获的数据包的至少一个开放式***互联OSI层所采用的协议类型。
9. 根据权利要求7或8所述的装置，其中，所述至少一个开放式***互联OSI层包括开放式***互联OSI二层、开放式***互联OSI三层、开放式***互联OSI四层。
10. 根据权利要求9所述的装置，其中，所述协议规则记录包括各开放式***互联OSI层标号和各开放式***互联OSI层标号协议类型号；所述标号用于指示相 应的开放式***互联OSI层协议类型是否为空；所述协议类型号用于指示相应的开放式***OSI层的协议类型。

Images