技術領域

本發明涉及計算機技術領域，特別涉及一種數據攔截方法及裝置。

背景技術

防火墻是指隔離在本地網絡與外界網絡之間的一道執行控制策略的防御系統，其通過對所有進出網絡的數據流進行攔截處理，以實現網絡安全。

目前，基于Android(安卓系統)的原有配置文件，可以通過系統自帶防火墻以攔截數據。

但是，自帶防火墻的數據攔截規則不變更改，故現有實現方式的數據攔截效果較差。

發明內容

本發明提供了一種數據攔截方法及裝置，能夠保證數據攔截效果。

為了達到上述目的，本發明是通過如下技術方案實現的：

第一方面，本發明提供了一種數據攔截方法，確定設置有至少一個hook點的Netfilter框架；還包括：

利用所述Netfilter框架獲取外部發來的網絡數據包；

所述網絡數據包通過任一所述hook點時，均執行：利用預先設置好的該hook點對應的鏈表規則，對所述網絡數據包執行相應攔截處理。

進一步地，每一個所述hook點中均包括有nat、mangle、raw、filter、security這5個表中的任意一個或多個；

其中，所述nat、mangle、raw、filter、security這5個表中的任意一個表中，均包括有PRE_ROUTING、LOCAL_IN、FPRWARD、LOCAL_OUT和POST_ROUTING這5條鏈中的任意一條或多條；

其中，所述PRE_ROUTING、LOCAL_IN、FPRWARD、LOCAL_OUT和POST_ROUTING這5條鏈中的任意一條鏈中，均包括有至少一個iptables命令；

針對每一個所述hook點，由該hook點中包括的至少一個表及各表中包括的至少一個鏈，組成該hook點對應的鏈表規則。

進一步地，所述執行相應攔截處理包括：放回網絡協議棧并向上層遞交、經修改后放回網絡協議棧、丟棄中的任意一種。

進一步地，所述利用所述Netfilter框架獲取外部發來的網絡數據包，包括：在配置的安卓開發環境下，利用所述Netfilter框架獲取外部經有序廣播而發來的網絡數據包。

第二方面，本發明提供了一種數據攔截裝置，包括：

確定單元，用于確定設置有至少一個hook點的Netfilter框架；

獲取單元，用于利用所述Netfilter框架獲取外部發來的網絡數據包；

處理單元，用于所述網絡數據包通過任一所述hook點時，均執行：利用預先設置好的該hook點對應的鏈表規則，對所述網絡數據包執行相應攔截處理。

進一步地，每一個所述hook點中均包括有nat、mangle、raw、filter、security這5個表中的任意一個或多個；

其中，所述nat、mangle、raw、filter、security這5個表中的任意一個表中，均包括有PRE_ROUTING、LOCAL_IN、FPRWARD、LOCAL_OUT和POST_ROUTING這5條鏈中的任意一條或多條；

其中，所述PRE_ROUTING、LOCAL_IN、FPRWARD、LOCAL_OUT和POST_ROUTING這5條鏈中的任意一條鏈中，均包括有至少一個iptables命令；

針對每一個所述hook點，由該hook點中包括的至少一個表及各表中包括的至少一個鏈，組成該hook點對應的鏈表規則。

進一步地，所述處理單元，具體用于執行放回網絡協議棧并向上層遞交、經修改后放回網絡協議棧、丟棄中的任意一種。

進一步地，所述獲取單元，具體用于在配置的安卓開發環境下，利用所述Netfilter框架獲取外部經有序廣播而發來的網絡數據包。

第三方面，本發明提供了一種可讀介質，包括執行指令，當存儲控制器的處理器執行所述執行指令時，所述存儲控制器執行上述任一所述的數據攔截方法。

第四方面，本發明提供了一種存儲控制器，包括：處理器、存儲器和總線；

所述存儲器用于存儲執行指令，所述處理器與所述存儲器通過所述總線連接，當所述存儲控制器運行時，所述處理器執行所述存儲器存儲的所述執行指令，以使所述存儲控制器執行上述任一所述的數據攔截方法。