技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域，特別涉及一種數(shù)據(jù)攔截方法及裝置。

背景技術(shù)

防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道執(zhí)行控制策略的防御系統(tǒng)，其通過(guò)對(duì)所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行攔截處理，以實(shí)現(xiàn)網(wǎng)絡(luò)安全。

目前，基于Android(安卓系統(tǒng))的原有配置文件，可以通過(guò)系統(tǒng)自帶防火墻以攔截?cái)?shù)據(jù)。

但是，自帶防火墻的數(shù)據(jù)攔截規(guī)則不變更改，故現(xiàn)有實(shí)現(xiàn)方式的數(shù)據(jù)攔截效果較差。

發(fā)明內(nèi)容

本發(fā)明提供了一種數(shù)據(jù)攔截方法及裝置，能夠保證數(shù)據(jù)攔截效果。

為了達(dá)到上述目的，本發(fā)明是通過(guò)如下技術(shù)方案實(shí)現(xiàn)的：

第一方面，本發(fā)明提供了一種數(shù)據(jù)攔截方法，確定設(shè)置有至少一個(gè)hook點(diǎn)的Netfilter框架；還包括：

利用所述Netfilter框架獲取外部發(fā)來(lái)的網(wǎng)絡(luò)數(shù)據(jù)包；

所述網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)任一所述hook點(diǎn)時(shí)，均執(zhí)行：利用預(yù)先設(shè)置好的該hook點(diǎn)對(duì)應(yīng)的鏈表規(guī)則，對(duì)所述網(wǎng)絡(luò)數(shù)據(jù)包執(zhí)行相應(yīng)攔截處理。

進(jìn)一步地，每一個(gè)所述hook點(diǎn)中均包括有nat、mangle、raw、filter、security這5個(gè)表中的任意一個(gè)或多個(gè)；

其中，所述nat、mangle、raw、filter、security這5個(gè)表中的任意一個(gè)表中，均包括有PRE_ROUTING、LOCAL_IN、FPRWARD、LOCAL_OUT和POST_ROUTING這5條鏈中的任意一條或多條；

其中，所述PRE_ROUTING、LOCAL_IN、FPRWARD、LOCAL_OUT和POST_ROUTING這5條鏈中的任意一條鏈中，均包括有至少一個(gè)iptables命令；

針對(duì)每一個(gè)所述hook點(diǎn)，由該hook點(diǎn)中包括的至少一個(gè)表及各表中包括的至少一個(gè)鏈，組成該hook點(diǎn)對(duì)應(yīng)的鏈表規(guī)則。

進(jìn)一步地，所述執(zhí)行相應(yīng)攔截處理包括：放回網(wǎng)絡(luò)協(xié)議棧并向上層遞交、經(jīng)修改后放回網(wǎng)絡(luò)協(xié)議棧、丟棄中的任意一種。

進(jìn)一步地，所述利用所述Netfilter框架獲取外部發(fā)來(lái)的網(wǎng)絡(luò)數(shù)據(jù)包，包括：在配置的安卓開(kāi)發(fā)環(huán)境下，利用所述Netfilter框架獲取外部經(jīng)有序廣播而發(fā)來(lái)的網(wǎng)絡(luò)數(shù)據(jù)包。

第二方面，本發(fā)明提供了一種數(shù)據(jù)攔截裝置，包括：

確定單元，用于確定設(shè)置有至少一個(gè)hook點(diǎn)的Netfilter框架；

獲取單元，用于利用所述Netfilter框架獲取外部發(fā)來(lái)的網(wǎng)絡(luò)數(shù)據(jù)包；

處理單元，用于所述網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)任一所述hook點(diǎn)時(shí)，均執(zhí)行：利用預(yù)先設(shè)置好的該hook點(diǎn)對(duì)應(yīng)的鏈表規(guī)則，對(duì)所述網(wǎng)絡(luò)數(shù)據(jù)包執(zhí)行相應(yīng)攔截處理。

進(jìn)一步地，每一個(gè)所述hook點(diǎn)中均包括有nat、mangle、raw、filter、security這5個(gè)表中的任意一個(gè)或多個(gè)；

其中，所述nat、mangle、raw、filter、security這5個(gè)表中的任意一個(gè)表中，均包括有PRE_ROUTING、LOCAL_IN、FPRWARD、LOCAL_OUT和POST_ROUTING這5條鏈中的任意一條或多條；

其中，所述PRE_ROUTING、LOCAL_IN、FPRWARD、LOCAL_OUT和POST_ROUTING這5條鏈中的任意一條鏈中，均包括有至少一個(gè)iptables命令；

針對(duì)每一個(gè)所述hook點(diǎn)，由該hook點(diǎn)中包括的至少一個(gè)表及各表中包括的至少一個(gè)鏈，組成該hook點(diǎn)對(duì)應(yīng)的鏈表規(guī)則。

進(jìn)一步地，所述處理單元，具體用于執(zhí)行放回網(wǎng)絡(luò)協(xié)議棧并向上層遞交、經(jīng)修改后放回網(wǎng)絡(luò)協(xié)議棧、丟棄中的任意一種。

進(jìn)一步地，所述獲取單元，具體用于在配置的安卓開(kāi)發(fā)環(huán)境下，利用所述Netfilter框架獲取外部經(jīng)有序廣播而發(fā)來(lái)的網(wǎng)絡(luò)數(shù)據(jù)包。

第三方面，本發(fā)明提供了一種可讀介質(zhì)，包括執(zhí)行指令，當(dāng)存儲(chǔ)控制器的處理器執(zhí)行所述執(zhí)行指令時(shí)，所述存儲(chǔ)控制器執(zhí)行上述任一所述的數(shù)據(jù)攔截方法。

第四方面，本發(fā)明提供了一種存儲(chǔ)控制器，包括：處理器、存儲(chǔ)器和總線；

所述存儲(chǔ)器用于存儲(chǔ)執(zhí)行指令，所述處理器與所述存儲(chǔ)器通過(guò)所述總線連接，當(dāng)所述存儲(chǔ)控制器運(yùn)行時(shí)，所述處理器執(zhí)行所述存儲(chǔ)器存儲(chǔ)的所述執(zhí)行指令，以使所述存儲(chǔ)控制器執(zhí)行上述任一所述的數(shù)據(jù)攔截方法。