技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，尤其涉及一種數(shù)據(jù)包處理方法、裝置和系統(tǒng)。

背景技術(shù)

傳統(tǒng)的網(wǎng)絡(luò)防護(hù)技術(shù)中，一旦發(fā)現(xiàn)數(shù)據(jù)包存在異常（認(rèn)為該數(shù)據(jù)包為測(cè)試攻擊數(shù)據(jù)包或?qū)嶋H攻擊數(shù)據(jù)包）時(shí)就進(jìn)行數(shù)據(jù)包阻斷，使得可以及時(shí)阻止攻擊者的攻擊行為，確保網(wǎng)絡(luò)的安全性。即在現(xiàn)有技術(shù)中，一旦檢測(cè)到異常數(shù)據(jù)包（攻擊者用于發(fā)起網(wǎng)絡(luò)攻擊的數(shù)據(jù)包，即異常數(shù)據(jù)包可以理解為測(cè)試攻擊數(shù)據(jù)包或?qū)嶋H攻擊數(shù)據(jù)包）時(shí)，通常采用阻斷包含該異常數(shù)據(jù)包的數(shù)據(jù)流的方式，來(lái)防止該異常數(shù)據(jù)包的目的主機(jī)受到攻擊。

這樣雖然能有效地防止目的主機(jī)受到攻擊，但由于阻斷了包含異常數(shù)據(jù)包的數(shù)據(jù)流，用于進(jìn)行網(wǎng)絡(luò)攻擊的異常數(shù)據(jù)包不會(huì)被完整接收，無(wú)法完整獲得來(lái)自攻擊者的測(cè)試攻擊數(shù)據(jù)包和實(shí)際攻擊數(shù)據(jù)包，因此也就無(wú)法根據(jù)異常數(shù)據(jù)包實(shí)現(xiàn)對(duì)攻擊者攻擊行為和特征的準(zhǔn)確分析，無(wú)法跟蹤研究最新的攻擊手段和方法。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供一種數(shù)據(jù)包處理方法、裝置和系統(tǒng)，用于解決現(xiàn)有技術(shù)中，由于對(duì)包含異常數(shù)據(jù)包的數(shù)據(jù)流采取阻斷策略，導(dǎo)致無(wú)法持續(xù)跟蹤黑客攻擊行為，無(wú)法獲取完整的攻擊數(shù)據(jù)包，也無(wú)法根據(jù)異常數(shù)據(jù)包進(jìn)行準(zhǔn)確分析的問(wèn)題。

一種數(shù)據(jù)包處理方法，所述方法包括：

接收客戶端向目的主機(jī)發(fā)送的數(shù)據(jù)包，將所述數(shù)據(jù)包發(fā)送至本地指定端口；

從所述本地指定端口監(jiān)聽到的數(shù)據(jù)包中確定發(fā)生了異常的第一數(shù)據(jù)包和沒有發(fā)生異常的第二數(shù)據(jù)包；

將所述第一數(shù)據(jù)包發(fā)送到指定主機(jī)，并將所述第二數(shù)據(jù)包發(fā)送至所述目的主機(jī)。

一種數(shù)據(jù)包處理裝置，所述裝置包括流量代理模塊和用戶態(tài)轉(zhuǎn)發(fā)引擎，其中：

流量代理模塊，用于接收客戶端向目的主機(jī)發(fā)送的數(shù)據(jù)包，將所述數(shù)據(jù)包發(fā)送至本地指定端口；

用戶態(tài)轉(zhuǎn)發(fā)引擎，用于從所述本地指定端口監(jiān)聽到的數(shù)據(jù)包中確定發(fā)生了異常的第一數(shù)據(jù)包和沒有發(fā)生異常的第二數(shù)據(jù)包，并將所述第一數(shù)據(jù)包發(fā)送到指定主機(jī)，并將所述第二數(shù)據(jù)包發(fā)送至所述目的主機(jī)。

一種數(shù)據(jù)包處理系統(tǒng)，所述系統(tǒng)包括如上所述的數(shù)據(jù)包處理裝置、目的主機(jī)網(wǎng)關(guān)、指定主機(jī)網(wǎng)關(guān)、目的主機(jī)和指定主機(jī)，其中：

數(shù)據(jù)包處理裝置，用于在確定接收到產(chǎn)生了異常的第一數(shù)據(jù)包時(shí)，將該第一數(shù)據(jù)包通過(guò)指定主機(jī)網(wǎng)關(guān)發(fā)送到指定主機(jī)，在確定接收到?jīng)]有產(chǎn)生異常的第二數(shù)據(jù)包時(shí)，將該第二數(shù)據(jù)包通過(guò)目的主機(jī)網(wǎng)關(guān)發(fā)送到目的主機(jī)。

根據(jù)本發(fā)明實(shí)施例提供的方案，針對(duì)現(xiàn)有技術(shù)在檢測(cè)到發(fā)往目的主機(jī)的異常數(shù)據(jù)包，阻斷包含該異常數(shù)據(jù)包的數(shù)據(jù)流，導(dǎo)致用于進(jìn)行網(wǎng)絡(luò)攻擊的異常數(shù)據(jù)包無(wú)法被完整接收，進(jìn)而無(wú)法用于后續(xù)的攻擊行為和特征的準(zhǔn)確分析的問(wèn)題，本發(fā)明實(shí)施例提出，如果在向目的主機(jī)發(fā)送的數(shù)據(jù)包中，確定出異常數(shù)據(jù)包，則將該異常數(shù)據(jù)包發(fā)往指定主機(jī)，在保證目的主機(jī)不會(huì)受到異常數(shù)據(jù)包攻擊的同時(shí)，可以利用指定主機(jī)完整接收用于進(jìn)行網(wǎng)絡(luò)攻擊的異常數(shù)據(jù)包，從而可以利用指定主機(jī)接收到的異常數(shù)據(jù)包進(jìn)行后續(xù)的攻擊者攻擊行為和特征的準(zhǔn)確分析，跟蹤研究最新的攻擊手段和方法。

附圖說(shuō)明

圖1為本發(fā)明實(shí)施例一提供的數(shù)據(jù)包處理方法的步驟流程圖；

圖2為本發(fā)明實(shí)施例二提供的數(shù)據(jù)包處理裝置的結(jié)構(gòu)示意圖；

圖3為本發(fā)明實(shí)施例三提供的數(shù)據(jù)包處理系統(tǒng)的結(jié)構(gòu)示意圖；

圖4為本發(fā)明實(shí)施例四提供的數(shù)據(jù)包處理系統(tǒng)的結(jié)構(gòu)示意圖；

圖5為本發(fā)明實(shí)施例五提供的數(shù)據(jù)包處理裝置的功能架構(gòu)示意圖；

圖6為本發(fā)明實(shí)施例五提供的Tproxy模塊工作流程示意圖；

圖7為本發(fā)明實(shí)施例六提供的數(shù)據(jù)包處理過(guò)程的示意圖。

具體實(shí)施方式

在本發(fā)明實(shí)施例中，考慮將異常數(shù)據(jù)包通過(guò)數(shù)據(jù)包轉(zhuǎn)發(fā)的方式引導(dǎo)到設(shè)定的主機(jī)，既保證該異常數(shù)據(jù)包的目的主機(jī)不受到攻擊，也可以利用設(shè)定的主機(jī)持續(xù)接收用于進(jìn)行網(wǎng)絡(luò)攻擊的異常數(shù)據(jù)包，從而后續(xù)可以根據(jù)異常數(shù)據(jù)包進(jìn)行攻擊行為和特征的準(zhǔn)確分析。

而在異常數(shù)據(jù)包轉(zhuǎn)發(fā)過(guò)程中，存在數(shù)據(jù)包轉(zhuǎn)發(fā)對(duì)攻擊者的透明性問(wèn)題：如果數(shù)據(jù)包轉(zhuǎn)發(fā)操作改變了數(shù)據(jù)包傳輸目標(biāo)而為攻擊者所發(fā)現(xiàn)，即數(shù)據(jù)包轉(zhuǎn)發(fā)操作對(duì)攻擊者不透明，則攻擊者可能會(huì)調(diào)整攻擊策略，從而導(dǎo)致數(shù)據(jù)包轉(zhuǎn)發(fā)操作失敗。

因此，本發(fā)明實(shí)施例將異常數(shù)據(jù)包通過(guò)數(shù)據(jù)包轉(zhuǎn)發(fā)的方式引導(dǎo)到設(shè)定的主機(jī)的基礎(chǔ)上，還進(jìn)一步具體提供了解決以上問(wèn)題的方案。

下面通過(guò)說(shuō)明書附圖和各實(shí)施例對(duì)本發(fā)明方案進(jìn)行說(shuō)明。

實(shí)施例一、

本發(fā)明實(shí)施例一提供一種數(shù)據(jù)包處理方法，該方法的步驟流程可以如圖1所示，包括：