[发明专利]实现远程抓包的方法和系统

说明书

技术领域

本发明涉及通讯技术领域，特别涉及一种实现远程抓包的方法和系统。

背景技术

随着IP(Internet Protocol，因特网协议)技术的普及，因特网已经进入千家万户。对于支撑因特网的设备按照地理区域一般可以划分为用户接入和IP承载等几个部分。用户接入部分通常由用户侧设备构成，包括用户的PC(Personal Computer，个人计算机)和NAT(Network Address Translation，网络地址转换)等，这些用户侧设备通常由用户进行管理、维护。对于IP承载以上等网络侧设备通常由运营商进行管理和维护。

在对因特网设备进行管理和维护时，不可避免地会存在对组网设备各个网元的处理报文进行抓包分析的需求。对用户侧设备，现有技术通常使用PC抓包软件如Sniffer等工具获取本机的报文信息；对运营商维护管理的设备，通常使用端口镜像功能获取该设备处理的报文信息，具体方案如下：通过设定镜像源端口与镜像目的端口，将网络设备的一个源端口或者多个源端口处理的数据复制到本设备的另一个端口即目的端口，然后将PC机连接到镜像的目的端口，使用PC抓包软件完成报文的抓取。

上述现有技术具有以下缺点：

1.不能远程抓包，需要到运营商机房搭建硬件环境，受地理区域和组网环境的影响，使用极其不方便；

2.对网络设备要求较高，需要网络设备支持端口镜像功能，并且有冗余的端口供镜像使用；

3.没有有效的报文过滤措施进行报文过滤，导致抓取报文数量庞大。

发明内容

为了解决现有技术中不能远程抓包、对网络设备要求较高以及无法过滤抓取报文等问题，本发明提供了一种实现远程抓包的方法，具体包括以下步骤：

步骤A：客户端与服务器端建立远程的连接；

步骤B：所述客户端抓取所述服务器端的报文信息，并将抓取的报文信息存储在所述客户端，在抓包的过程中所述客户端会定时向所述服务器端发送一个握手报文，所述服务器端接收到所述握手报文后返回一个握手报文给所述客户端以保持抓包通道处于连接状态。

所述客户端与服务器端采用注册认证机制建立远程的连接。

在抓包之前还包括在所述服务器端设置抓包规则或绑定访问控制列表对需抓取的报文信息进行过滤的步骤。

在所述服务器端向客户端发送抓取的报文信息之前还包括所述服务器端对抓取的报文信息进行加密的步骤，相应地所述客户端在收到所述报文信息后还包括对所述报文信息进行解密的步骤。

在抓包的过程中还包括当所述服务器端检测到有错误产生时主动发消息给所述客户端的步骤。

在所述客户端与服务器端互相发送握手报文的过程中还包括以下步骤：

如果所述客户端向服务器端连续发送握手报文的数目超过规定的阈值时或在规定的时间内还没有收到所述服务器端返回的握手报文，则所述客户端主动关闭远程抓包连接；

如果所述服务器端在规定的时间内没有收到所述客户端发送的握手报文，则所述服务器端主动关闭远程抓包连接。

当所述客户端将抓取的报文信息以文件的形式存储时，所述方法还包括以下步骤：

当存储有抓取的报文信息的文件大小超出设定阈值时，所述客户端自动生成新文件并将后续抓取的报文信息存储在所述新文件中。

本发明还提供了一种实现远程抓包的系统，包括客户端和服务器端，

所述客户端包括：

(1)通讯模块，用于向所述服务器端发送注册认证信息以建立与所述服务器端之间的远程连接；

(2)抓包存储模块，用于向所述服务器端发送抓包请求并从所述服务器端抓取报文信息以及将抓取到的报文信息存储在所述客户端；

(3)保活模块，用于定时向所述服务器端发送握手报文以保持远程连接不中断；

所述服务器端包括：

(1)通讯模块，用于接收所述客户端的通讯模块发来的注册认证信息并返回注册应答信息给所述客户端的通讯模块以建立与所述客户端之间的远程连接；

(2)抓包模块，用于根据所述客户端的抓包存储模块发来的远程抓包请求发送报文信息给所述客户端的抓包存储模块；

(3)保活模块，用于在接收到所述客户端的保活模块发来的握手报文后返回一个握手报文给所述客户端的保活模块以保持远程连接不中断。

所述服务器端还包括过滤模块，用于对需抓取的报文信息进行过滤并将过滤的结果发送给所述抓包模块。