[发明专利]一种TCP阻断方法

说明书

本发明涉及一种TCP阻断方法，包括：1.将客户端、服务端和DPI设备之间进行系统搭建；2.监听客户端和服务器之间的ARP广播，获取到报文的服务器IP，客户端的IP及DPI设备的MAC地址；3.将服务器的IP和DPI设备的MAC地址绑定一起，作为发送方，将客户端的IP和广播MAC地址绑定一起作为接收方，向客户端发送ARP广播包；4.修改客户端的ARP缓存，将流量转发到DPI设备上；5.DPI设备检测转发过来的报文中的可疑信息，并向客户端发送RST报文以阻断可疑报文。本发明有效的降低准入设备需要解析的数据包流量；不受外网流量的干扰；双网卡同时工作，降低单网卡驱动的服务压力，阻断成功率高。

技术领域

本发明涉及一种TCP阻断方法，属于网络通信准入控制技术领域。

背景技术

旁路阻断技术，是指在局域网中，用一台专用的捕获机采用镜像端口的方式捕获所有经过交换机或者服务器的数据包，对报史的协议进行分析，按照设定的阻断规则，对需要阻断的节点进行阻断。

当前技术使用镜像流量的方式，通过在路由器处配置镜像端口，将流量复制一份到准入设备内，然后解析所有的包，判断出包内的IP是否是准入的IP，然后再进行阻断或者重定向操作，导致发包速率过慢，客户端或服务端在收到相应之后才收到RST包，会因为该包“过时”而丢弃。因此，当前技术困难之处在于大量的数据包都到需要接受并解析，需要高性能的服务器和算法，导致阻断成功率较低。

发明内容

为了解决上述技术问题，本发明提供一种TCP阻断方法，其具体技术方案如下：

一种TCP阻断方法，包括以下步骤：

步骤1：搭建系统，将客户端、服务端和DPI设备之间进行系统搭建，并两两之间建立连接；

步骤2：获取信息，监听客户端和服务器之间的ARP广播，获取到报文的服务器IP，以及客户端的IP，并获取DPI设备的MAC地址；

步骤3：绑定发送，将服务器的IP和DPI设备的MAC地址绑定一起，作为发送方，将客户端的IP和广播MAC地址绑定一起作为接收方，向客户端发送大量ARP广播包；

步骤4：流量转发，修改客户端的ARP缓存，将流量转发到DPI设备上；

步骤5：阻断可疑报文，客户端和服务器建立TCP连接，DPI设备检测转发过来的报文中的可疑信息，并向客户端发送RST报文以阻断可疑报文。

进一步的，所述步骤3中DPI设备的MAC地址构造ARP广播包并向客户端所在的内网环境广播。

进一步的，所述步骤5中DPI设备通过打开句柄监收客户端向内网内发送的ARP广播包，并对ARP广播包的报文进行检测。

进一步的，所述步骤5中RST报文包括正方向RST报文和反方向RST报文，所述正方向RST报文为报文接收端与可疑报文接收端相同的RST报文，所述反方向RST报文为报文接收端与可疑报文接收端不同的RST报文。

进一步的，所述步骤5中客户端和服务器建立TCP连接，根据客户端与服务器之间传输的TCP握手报文预测SQE，并通过TCP连接的三次握手特性和TCP数据头中的标志位来进行。

进一步的，所述TCP数据头包含有ACK标志位，当可疑报文为客户端发送的报文时，向客户端发送的RST报文包括的SEQ值应当是上一次接受的报文的ACK值，并发送多个报文。

本发明的有益效果：

本发明有效的降低了准入设备需要解析的数据包流量；不受外网流量的干扰；双网卡同时工作，降低单网卡驱动的服务压力，提高单个网卡驱动即接包并发包的性能，阻断成功率高。

附图说明

图1是本发明的流程示意图，