技術領域

本發(fā)明涉及計算機網(wǎng)絡技術領域，尤其涉及一種防止通過共享方式訪問互聯(lián)網(wǎng)的方法及裝置。

背景技術

隨著網(wǎng)絡技術的普及，互聯(lián)網(wǎng)已經(jīng)滲透到工作和生活的各個方面，隨之而來的對網(wǎng)絡管控的問題也一直備受關注，尤其是對通過內網(wǎng)代理進行上網(wǎng)的管控。比如，通過代理技術，讓內網(wǎng)中原本沒有上網(wǎng)權限的計算機能夠上網(wǎng)，從而導致監(jiān)控設備無法辨別發(fā)生上網(wǎng)行為的計算機到底是哪一個；因此，在網(wǎng)關上識別內網(wǎng)中是否存在通過共享訪問互聯(lián)網(wǎng)是非常必要的，可以直接通過網(wǎng)關阻止非法的通過共享來訪問互聯(lián)網(wǎng)的終端。

常用的識別通過代理及NAT（Network?Address?Translator，網(wǎng)絡地址轉換）上網(wǎng)的方法有：

①檢查下級IP包的IP-ID（Identity，識別碼）是否連續(xù)，若不連續(xù)，則判定下級使用NAT上網(wǎng)；由于網(wǎng)關設備采集到下級IP包的報文有可能亂序的，此時IP-ID就不是連續(xù)的，因此通過IP-ID是否連續(xù)來判定是否通過共享訪問互聯(lián)網(wǎng)存在很大的誤判風險。②檢查下級IP包的TTL（Time?To?Live，生存時間）值是否為32、64、128這幾個值，如果不是，則判定下級使用了NAT；由于目前市場上的部分網(wǎng)絡設備（如路由器等），不按規(guī)范操作，隨意修改TTL值，因此這種方式也會導致漏判或誤判；③檢測數(shù)據(jù)報文中HTTP（Hyper?Text?Transport?Protocol，超文本傳輸協(xié)議）報頭的UA（User?Agent，用戶代理）字段因操作系統(tǒng)版本、瀏覽器版本和補丁的不同來判斷下級是否使用了NAT，這種方式也是行不通的，因為很多瀏覽器支持用戶自定義UA；④通過某種應用比如QQ的個數(shù)來判定是否通過代理上網(wǎng)，均會出現(xiàn)高頻率的漏判或誤判；上述方式均無法做到準確的識別計算機是否通過代理或NAT上網(wǎng)。

發(fā)明內容

本發(fā)明的主要目的是提供一種防止通過共享方式訪問互聯(lián)網(wǎng)的方法及裝置，旨在準確識別并阻止終端通過共享訪問互聯(lián)網(wǎng)。

本發(fā)明公開了一種防止通過共享方式訪問互聯(lián)網(wǎng)的方法，包括以下步驟：

截取終端訪問互聯(lián)網(wǎng)的數(shù)據(jù)包，識別當前數(shù)據(jù)包所在的用戶是否處于代理狀態(tài)；

若否，則將所述數(shù)據(jù)包與預置數(shù)據(jù)包規(guī)則進行匹配；

在所述數(shù)據(jù)包與預置數(shù)據(jù)包規(guī)則匹配成功時，提取所述數(shù)據(jù)包中包含的特征值，將所述數(shù)據(jù)包的特征值與所述數(shù)據(jù)包所在的用戶已保存的特征值進行比對；

若所述數(shù)據(jù)包的特征值與所述已保存的特征值不一致，則將所述數(shù)據(jù)包所在用戶的狀態(tài)標識為代理狀態(tài)。

優(yōu)選地，所述截取終端訪問互聯(lián)網(wǎng)的數(shù)據(jù)包，識別當前數(shù)據(jù)包所在的用戶是否處于代理狀態(tài)的步驟之后還包括步驟：

若是，則丟棄當前數(shù)據(jù)包，拒絕當前數(shù)據(jù)包所在的用戶訪問互聯(lián)網(wǎng)。

優(yōu)選地，所述數(shù)據(jù)包的特征值與所述已保存的特征值一致時，將所述數(shù)據(jù)包放通，允許所述數(shù)據(jù)包所在的用戶訪問互聯(lián)網(wǎng)。

優(yōu)選地，所述截取終端訪問互聯(lián)網(wǎng)的數(shù)據(jù)包，識別當前數(shù)據(jù)包所在的用戶是否處于代理狀態(tài)的步驟之前還包括步驟：

獲取并保存允許訪問互聯(lián)網(wǎng)的用戶能夠使用的各應用軟件對應的特征值。

優(yōu)選地，所述各應用軟件對應的特征值由所述應用軟件根據(jù)預置算法獲取且標識唯一用戶。

本發(fā)明還公開了一種防止通過共享方式訪問互聯(lián)網(wǎng)的裝置，包括：

狀態(tài)識別模塊，用于截取終端訪問互聯(lián)網(wǎng)的數(shù)據(jù)包，識別當前數(shù)據(jù)包所在的用戶是否處于代理狀態(tài)；

數(shù)據(jù)處理模塊，用于識別當前數(shù)據(jù)包所在的用戶沒有處于代理狀態(tài)時，則將所述數(shù)據(jù)包與預置數(shù)據(jù)包規(guī)則進行匹配；在所述數(shù)據(jù)包與預置數(shù)據(jù)包規(guī)則匹配成功時，提取所述數(shù)據(jù)包中包含的特征值，將所述數(shù)據(jù)包的特征值與所述數(shù)據(jù)包所在的用戶已保存的特征值進行比對；若所述數(shù)據(jù)包的特征值與所述已保存的特征值不一致，則將所述數(shù)據(jù)包所在用戶的狀態(tài)標識為代理狀態(tài)。

優(yōu)選地，所述防止通過共享方式訪問互聯(lián)網(wǎng)的裝置還包括：

訪問攔截模塊，用于識別當前數(shù)據(jù)包所在的用戶處于代理狀態(tài)時，丟棄所述當前數(shù)據(jù)包，拒絕所述當前數(shù)據(jù)包所在的用戶訪問互聯(lián)網(wǎng)。

優(yōu)選地，所述數(shù)據(jù)處理模塊還用于：

所述數(shù)據(jù)包的特征值與所述已保存的特征值一致時，將所述數(shù)據(jù)包放通，允許所述數(shù)據(jù)包所在的用戶訪問互聯(lián)網(wǎng)。

優(yōu)選地，所述防止通過共享方式訪問互聯(lián)網(wǎng)的裝置還包括：

數(shù)據(jù)存儲模塊，用于獲取并保存允許訪問互聯(lián)網(wǎng)的用戶能夠使用的各應用軟件對應的特征值。