服務(wù)器防護(hù)設(shè)備在旁路模式下的web服務(wù)監(jiān)控方法
【專利摘要】本發(fā)明公開了一種服務(wù)器防護(hù)設(shè)備在旁路模式下的WEB服務(wù)監(jiān)控方法����,服務(wù)器防護(hù)設(shè)備在旁路模式下獲得客戶端發(fā)送到WEB服務(wù)器的SYN請(qǐng)求包�,通過(guò)所述SYN請(qǐng)求包Apache服務(wù)器與客戶端建立虛擬連接,啟動(dòng)所述Apache服務(wù)器對(duì)WEB服務(wù)器回應(yīng)的數(shù)據(jù)進(jìn)行規(guī)則檢查。本發(fā)明能夠通過(guò)旁路模式來(lái)完成對(duì)WEB服務(wù)的監(jiān)控,不會(huì)影響用戶實(shí)際網(wǎng)絡(luò)流量��,同時(shí)采用虛連接方式能夠有效的將用戶流量流入Apache服務(wù)器,保證用戶流量與Apache服務(wù)器的無(wú)縫結(jié)合��,對(duì)后期擴(kuò)展Apache模塊提供了保障。
【專利說(shuō)明】
服務(wù)器防護(hù)設(shè)備在旁路模式下的WEB服務(wù)監(jiān)控方法
技術(shù)領(lǐng)域
[0001]本發(fā)明屬于網(wǎng)絡(luò)數(shù)據(jù)包分析技術(shù)領(lǐng)域�,具體涉及一種服務(wù)器防護(hù)設(shè)備在旁路模式下的WEB服務(wù)監(jiān)控方法����。
【背景技術(shù)】
[0002]常見的網(wǎng)絡(luò)監(jiān)控模式可以分為兩種:一種是串聯(lián)監(jiān)控模式���,另一種是旁路監(jiān)控模式。串聯(lián)模式一般是通過(guò)網(wǎng)關(guān)�、網(wǎng)橋或者代理服務(wù)器的模式來(lái)進(jìn)行監(jiān)控�,由于監(jiān)控設(shè)備作為網(wǎng)關(guān)或者網(wǎng)橋串聯(lián)的網(wǎng)絡(luò)中����,所以所有的數(shù)據(jù)必須先經(jīng)過(guò)監(jiān)控系統(tǒng),通過(guò)監(jiān)控系統(tǒng)的分析檢查之后�����,才能夠發(fā)送到各個(gè)客戶端,所以會(huì)對(duì)網(wǎng)速有一定的延時(shí)���。旁路監(jiān)控模式是指通過(guò)交換機(jī)等網(wǎng)絡(luò)設(shè)備的端口鏡像功能來(lái)實(shí)現(xiàn)監(jiān)控�,在此模式下���,監(jiān)控設(shè)備只需要連接到交換機(jī)的指定鏡像端口�����。旁路模式分析的是鏡像端口拷貝過(guò)來(lái)的數(shù)據(jù)���,對(duì)原始傳遞的數(shù)據(jù)包不會(huì)造成延時(shí),不會(huì)對(duì)網(wǎng)速造成任何影響���,即使旁路監(jiān)控設(shè)備出現(xiàn)故障或者停止運(yùn)行��,不會(huì)影響現(xiàn)有網(wǎng)絡(luò)����。
【發(fā)明內(nèi)容】
[0003]有鑒于此���,本發(fā)明的主要目的在于提供一種服務(wù)器防護(hù)設(shè)備在旁路模式下的WEB服務(wù)監(jiān)控方法�����。
[0004]為達(dá)到上述目的�����,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的:
本發(fā)明實(shí)施例提供一種服務(wù)器防護(hù)設(shè)備在旁路模式下的WEB服務(wù)監(jiān)控方法�,該方法為:服務(wù)器防護(hù)設(shè)備在旁路模式下獲得客戶端發(fā)送到WEB服務(wù)器的SYN請(qǐng)求包��,通過(guò)所述SYN請(qǐng)求包Apache服務(wù)器與客戶端建立虛擬連接��,啟動(dòng)所述Apache服務(wù)器對(duì)WEB服務(wù)器回應(yīng)的數(shù)據(jù)進(jìn)行規(guī)則檢查����。
[0005]上述方案中,所述通過(guò)所述SYN請(qǐng)求包Apache服務(wù)器與客戶端建立虛擬連接����,具體為:所述服務(wù)器防護(hù)設(shè)備逐一對(duì)所述SYN請(qǐng)求包進(jìn)行匹配處理,當(dāng)所述SYN請(qǐng)求包的目的IP地址為指定地址的SYN請(qǐng)求包時(shí)����,確定該SYN請(qǐng)求包為有效包,所述指定地址為服務(wù)器防護(hù)設(shè)備所配置的WEB服務(wù)端地址,將所述SYN請(qǐng)求包中的目的地址和端口為Apache服務(wù)器的地址及端口后��,并且傳輸給Apache服務(wù)器�����,所述Apache服務(wù)器將接收到的所述SYN請(qǐng)求包中seq值修改為500并且傳輸?shù)剿龇?wù)器防護(hù)設(shè)備;所述服務(wù)器防護(hù)設(shè)備在旁路模式下獲得客戶端回復(fù)給WEB服務(wù)器的ACK回復(fù)包�����,確定所述ACK回復(fù)包的目的地址為指定地址和端口的ACK回復(fù)包時(shí)��,將所述ACK回復(fù)包中的目的地址修改為服務(wù)器防護(hù)設(shè)備的地址及端口并且將所述ACK回復(fù)包的ack值修改為501��,同時(shí)傳輸?shù)紸pache服務(wù)器��,所述Apache服務(wù)器校驗(yàn)ACK回復(fù)包成功后����,完成所述客戶端與Apache服務(wù)器的三次握手,建立虛擬連接����。
[0006]上述方案中,所述啟動(dòng)所述Apache服務(wù)器對(duì)WEB服務(wù)器回應(yīng)的數(shù)據(jù)進(jìn)行規(guī)則檢查���,具體為:所述服務(wù)器防護(hù)設(shè)備通過(guò)Pf_ring的方式對(duì)旁路鏡像數(shù)據(jù)包抓取�,確定所述旁路鏡像數(shù)據(jù)包為WEB服務(wù)器回復(fù)的數(shù)據(jù)包�,對(duì)所述旁路鏡像數(shù)據(jù)包進(jìn)行分層解析后保存數(shù)據(jù),所述Apache服務(wù)器對(duì)保存的數(shù)據(jù)進(jìn)行進(jìn)行相應(yīng)的規(guī)則檢查��。
[0007]與現(xiàn)有技術(shù)相比�����,本發(fā)明的有益效果:
本發(fā)明能夠通過(guò)旁路模式來(lái)完成對(duì)WEB服務(wù)的監(jiān)控���,不會(huì)影響用戶實(shí)際網(wǎng)絡(luò)流量�,同時(shí)采用虛連接方式能夠有效的將用戶流量流入Apache服務(wù)器���,保證用戶流量與Apache服務(wù)器的無(wú)縫結(jié)合����,對(duì)后期擴(kuò)展Apache模塊提供了保障����。
【附圖說(shuō)明】
[0008]圖1為本發(fā)明中客戶端與Apache服務(wù)器建立虛擬連接的過(guò)程圖;
圖2為本發(fā)明中服務(wù)器防護(hù)設(shè)備的旁路模式抓取WEB服務(wù)數(shù)據(jù)并進(jìn)行數(shù)據(jù)檢測(cè)的過(guò)程圖��。
【具體實(shí)施方式】
[0009]為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白����,以下結(jié)合附圖及實(shí)施例,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明�����。應(yīng)當(dāng)理解����,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明����。
[0010]本發(fā)明實(shí)施例提供一種服務(wù)器防護(hù)設(shè)備在旁路模式下的WEB服務(wù)監(jiān)控方法,該方法為:服務(wù)器防護(hù)設(shè)備在旁路模式下獲得客戶端發(fā)送到WEB服務(wù)器的SYN請(qǐng)求包�����,通過(guò)所述SYN請(qǐng)求包Apache服務(wù)器與客戶端建立虛擬連接����,啟動(dòng)所述Apache服務(wù)器對(duì)WEB服務(wù)器回應(yīng)的數(shù)據(jù)進(jìn)行規(guī)則檢查。
[0011 ]如圖1所示�,所述通過(guò)所述SYN請(qǐng)求包Apache服務(wù)器與客戶端建立虛擬連接����,具體為:所述服務(wù)器防護(hù)設(shè)備逐一對(duì)所述SYN請(qǐng)求包進(jìn)行匹配處理���,當(dāng)所述SYN請(qǐng)求包的目的IP地址為指定地址的SYN請(qǐng)求包時(shí),確定該SYN請(qǐng)求包為有效包��,所述指定地址為服務(wù)器防護(hù)設(shè)備所配置的WEB服務(wù)端地址�����,將所述SYN請(qǐng)求包中的目的地址和端口為Apache服務(wù)器的地址及端口后�,并且傳輸給Apache服務(wù)器,所述Apache服務(wù)器將接收到的所述SYN請(qǐng)求包中seq值修改為500并且傳輸?shù)剿龇?wù)器防護(hù)設(shè)備;所述服務(wù)器防護(hù)設(shè)備在旁路模式下獲得客戶端回復(fù)給WEB服務(wù)器的ACK回復(fù)包�,確定所述ACK回復(fù)包的目的地址為指定地址和端口的ACK回復(fù)包時(shí),將所述ACK回復(fù)包中的目的地址修改為服務(wù)器防護(hù)設(shè)備的地址及端口并且將所述ACK回復(fù)包的ack值修改為501��,同時(shí)傳輸?shù)紸pache服務(wù)器���,所述Apache服務(wù)器校驗(yàn)ACK回復(fù)包成功后�,完成所述客戶端與Apache服務(wù)器的三次握手�����,建立虛擬連接。
[0012]如圖2所示�����,所述啟動(dòng)所述Apache服務(wù)器對(duì)WEB服務(wù)器回應(yīng)的數(shù)據(jù)進(jìn)行規(guī)則檢查���,具體為:所述服務(wù)器防護(hù)設(shè)備通過(guò)Pf_ring的方式對(duì)旁路鏡像數(shù)據(jù)包抓取�,確定所述旁路鏡像數(shù)據(jù)包為WEB服務(wù)器回復(fù)的數(shù)據(jù)包�,對(duì)所述旁路鏡像數(shù)據(jù)包進(jìn)行分層解析后保存數(shù)據(jù),所述Apache服務(wù)器對(duì)保存的數(shù)據(jù)進(jìn)行進(jìn)行相應(yīng)的規(guī)則檢查�����。
實(shí)施例
[0013]如圖1所示�����,所述客戶端與所述Apache服務(wù)器建立虛擬連接過(guò)程圖�����,具體包括以下步驟:
步驟101:客戶端向WEB服務(wù)器發(fā)送TCP的SYN(s=100����,a=0)請(qǐng)求�,該請(qǐng)求進(jìn)入帶鏡像口的交換機(jī)��,鏡像口拷貝一份數(shù)據(jù)發(fā)送給服務(wù)器防護(hù)設(shè)備��。
[0014]步驟102:服務(wù)器防護(hù)設(shè)備判斷所述SYN請(qǐng)求的包目的地址是否為防護(hù)的WEB服務(wù)器地址����,如果是,則修改SYN請(qǐng)求包的目的地址和端口為Apache服務(wù)器的地址和端口���。
[0015]步驟103:ApaChe服務(wù)器接收到SYN請(qǐng)求包后,第一次握手成功�,回復(fù)SYN-ACK包,向包中加入seq值為500并且發(fā)送到服務(wù)器防護(hù)設(shè)備���。
[0016]步驟104:所述服務(wù)器防護(hù)設(shè)備記錄該數(shù)據(jù)包并不向交換機(jī)的鏡像口發(fā)送該數(shù)據(jù)包�����。
[0017]步驟105:客戶端接收到WEB服務(wù)器回復(fù)的SYN-ACK回復(fù)包后��,校驗(yàn)通過(guò)后�,向WEB月艮務(wù)器發(fā)送ACK包���,該ACK包進(jìn)入交換機(jī)的鏡像口后拷貝一份數(shù)據(jù)發(fā)往服務(wù)器防護(hù)設(shè)備的旁路模式下��。
[0018]步驟106:服務(wù)器防護(hù)設(shè)備在旁路模式下獲取到ACK數(shù)據(jù)包
步驟107:服務(wù)器防護(hù)設(shè)備修改ACK包中的ack=Seq(500)+l后��,發(fā)往Apache服務(wù)器����,所述Apache服務(wù)器校驗(yàn)完ACK數(shù)據(jù)包后,如果校驗(yàn)成功���,則完成客戶端與Apache服務(wù)之間的虛擬連接�,用來(lái)啟動(dòng)對(duì)WEB服務(wù)數(shù)據(jù)檢測(cè)的Apacke檢測(cè)引擎��。
[0019]如圖2所示��,所述服務(wù)器防護(hù)設(shè)備在旁路模式抓取WEB服務(wù)器的數(shù)據(jù)并使用Apache引擎進(jìn)行數(shù)據(jù)監(jiān)測(cè)過(guò)程����,具體包括以下步驟:
步驟201:WEB服務(wù)器回復(fù)客戶端的請(qǐng)求數(shù)據(jù),進(jìn)入交換機(jī)并由交換機(jī)鏡像口拷貝一份數(shù)據(jù)發(fā)送給服務(wù)器防護(hù)設(shè)備��。
[0020]步驟202:所述服務(wù)器防護(hù)設(shè)備通過(guò)旁路模式的Pf_ring方式判斷該數(shù)據(jù)包的源IP地址和端口是否為服務(wù)器防護(hù)設(shè)備所配置的WEB服務(wù)的地址�,如果是則進(jìn)入步驟203。
[0021]步驟203:所述服務(wù)器防護(hù)設(shè)備通過(guò)分層解析數(shù)據(jù)后�,將數(shù)據(jù)以共享內(nèi)存的方式保存��。
[0022]步驟204:所述Apache服務(wù)器防護(hù)啟動(dòng)Apache檢測(cè)引擎對(duì)步驟203所保存的數(shù)據(jù)進(jìn)行規(guī)則檢測(cè)�����,從而對(duì)WEB服務(wù)器進(jìn)行有效監(jiān)控���。
[0023]以上所述,僅為本發(fā)明的較佳實(shí)施例而已��,并非用于限定本發(fā)明的保護(hù)范圍�����。
【主權(quán)項(xiàng)】
1.一種服務(wù)器防護(hù)設(shè)備在旁路模式下的WEB服務(wù)監(jiān)控方法����,其特征在于�,該方法為:服務(wù)器防護(hù)設(shè)備在旁路模式下獲得客戶端發(fā)送到WEB服務(wù)器的SYN請(qǐng)求包,通過(guò)所述SYN請(qǐng)求包Apache服務(wù)器與客戶端建立虛擬連接���,啟動(dòng)所述Apache服務(wù)器對(duì)WEB服務(wù)器回應(yīng)的數(shù)據(jù)進(jìn)行規(guī)則檢查�。2.根據(jù)權(quán)利要求1所述的服務(wù)器防護(hù)設(shè)備在旁路模式下的WEB服務(wù)監(jiān)控方法�,其特征在于�,所述通過(guò)所述SYN請(qǐng)求包Apache服務(wù)器與客戶端建立虛擬連接�����,具體為:所述服務(wù)器防護(hù)設(shè)備逐一對(duì)所述SYN請(qǐng)求包進(jìn)行匹配處理���,當(dāng)所述SYN請(qǐng)求包的目的IP地址為指定地址的SYN請(qǐng)求包時(shí)���,確定該SYN請(qǐng)求包為有效包,所述指定地址為服務(wù)器防護(hù)設(shè)備所配置的WEB月艮務(wù)端地址�,將所述SYN請(qǐng)求包中的目的地址和端口為Apache服務(wù)器的地址及端口后,并且傳輸給Apache服務(wù)器�����,所述Apache服務(wù)器將接收到的所述SYN請(qǐng)求包中seq值修改為500并且傳輸?shù)剿龇?wù)器防護(hù)設(shè)備;所述服務(wù)器防護(hù)設(shè)備在旁路模式下獲得客戶端回復(fù)給WEB月艮務(wù)器的ACK回復(fù)包��,確定所述ACK回復(fù)包的目的地址為指定地址和端口的ACK回復(fù)包時(shí)�,將所述ACK回復(fù)包中的目的地址修改為服務(wù)器防護(hù)設(shè)備的地址及端口并且將所述ACK回復(fù)包的.801^值修改為501,同時(shí)傳輸?shù)紸pache服務(wù)器��,所述Apache服務(wù)器校驗(yàn)ACK回復(fù)包成功后����,完成所述客戶端與Apache服務(wù)器的三次握手�,建立虛擬連接�。3.根據(jù)權(quán)利要求1或所述的服務(wù)器防護(hù)設(shè)備在旁路模式下的WEB服務(wù)監(jiān)控方法,其特征在于���,所述啟動(dòng)所述Apache服務(wù)器對(duì)WEB服務(wù)器回應(yīng)的數(shù)據(jù)進(jìn)行規(guī)則檢查��,具體為:所述服務(wù)器防護(hù)設(shè)備通過(guò)Pf_ring的方式對(duì)旁路鏡像數(shù)據(jù)包抓取�,確定所述旁路鏡像數(shù)據(jù)包為WEB服務(wù)器回復(fù)的數(shù)據(jù)包�,對(duì)所述旁路鏡像數(shù)據(jù)包進(jìn)行分層解析后保存數(shù)據(jù),所述Apache服務(wù)器對(duì)保存的數(shù)據(jù)進(jìn)行進(jìn)行相應(yīng)的規(guī)則檢查���。
【文檔編號(hào)】H04L29/08GK105897909SQ201610344995
【公開日】2016年8月24日
【申請(qǐng)日】2016年5月23日
【發(fā)明人】焦小濤, 陳曉兵, 陳宏偉, 何建鋒, 張燦, 同元峰
【申請(qǐng)人】西安交大捷普網(wǎng)絡(luò)科技有限公司