[发明专利]DNS重定向与Http重定向相结合的旁路阻断方法

说明书

技术领域

本发明属于Http连接技术领域，特别涉及一种旁路阻断方法。

背景技术

在一个组织的内网管理工作中，如何在不影响现有网络部署的情况下高效解决非法节点Http连接，这往往是一个很常见但是很困扰的问题。特别是大量个人计算机，由于内部用户违规Http外联，不仅容易带来病毒、木马泛滥，更容易导致企事业单位核心信息通过互联网外泄，严重时会影响整体局域网的运行和重要服务器的运行。组织内部通常会制定相应的管理制度来规范非法外联状况，并且配备相应的管理维护人员，但是由于缺少有效的技术手段，这种管理工作往往难以达到高效，并且成本较高。现有解决非法节点Http连接问题，通常有以下几种方案：

一、采用地址解析协议(ARP)对非法节点进行阻断

这种方案有两个主要的问题，一是需要定期发送ARP数据包，造成网络中大量ARP数据包存在，亦被当作ARP病毒；二是非法节点可以通过配置静态路由方式，绑定非法主机和网关，从而使ARP阻断失效。

二、采用TCP重置(Reset)进行阻断

这种方式的主要问题有两点，一是不够友好，非法用户无法确切获知是何原因导致无法外联，可维护性不强；二是需要对TCP握手的每一步都发送欺骗数据包，增加网络流量。

三、采用专业网管软件进行阻断

通过Sniffer等专业网管软件可以完成对非法节点Http连接进行网络阻断，但是也存在一些不足之处：第一，这类软件阻断的原理都是持续对违规网络节点发送欺骗包甚至是广播包，对网络的使用效率有一定的影响；第二，这种事后处理的方式并不符合当前信息安全管理规范的要求，无法预先制定一个系统的安全策略，并且没有符合审计规范的审计系统；第三，这种专业网管软件往往价格不菲，单纯为了解决这个问题购买的成本太高

四、通过网关设备进行阻断

通过网关设备，配置网络访问策略，根据数据包的端口、IP地址和协议、以及对数据包内容的关键字匹配来阻止非法节点的Http请求，但这种方法主要的问题是：第一，需要频繁配置网关设置，必须专业人员配合进行；第二，配置不合适可能影响到当前网络的运行情况；第三，增加删除非法节点都需要手工维护。

发明内容

本发明的目的在于，提供一种DNS重定向与Http重定向相结合的旁路阻断方法。

为实现在上述目的，本发明采用如下技术方案：

一种DNS重定向与Http重定向相结合的旁路阻断方法，包括以下步骤：

在局域网中设置过滤，加载阻断策略，并监听网络；当截获满足过滤条件的DNS请求时，构造指向重定向地址的DNS回应包，伪造的DNS响应，当DNS请求端发起TCP握手时，回应重定向的Http数据。重定向的Http数据在用户主机上显示为重定向的Http页面。

进一步地，当截获满足过滤条件的Http数据时，直接回应重定向的Http数据。

进一步地，DNS响应的数据和Http响应的数据部署在一Http服务器上，所使用的重定向地址指向用户非法连接的提示页面。

进一步地，DNS响应的数据和Http响应的数据部署在旁路阻断器，所使用的重定向地址指向用户非法连接的提示页面。

进一步地，重定向的Http数据为通过直接构造数据生成。

进一步地，所述DNS重定向与Http重定向相结合的旁路阻断方法由连接于现有网关旁路的阻隔机器完成。

进一步地，所述阻隔机器对集线器进行监听。

进一步地，所述阻隔机器对交换机镜像端口进行监听。

本发明具有以下有益效果：

1、本发明方法可以应用在专业定制的硬件平台上，支持7*24小时不间断运行，为旁路阻断提供可信赖的运行环境。

2、本发明完全按照TCP/IP协议进行设计，设备旁路部署在网络中，对于原有网络环境和网络设备也没有特殊要求，也不会对原有网络设备产生任何影响。

3、正常情况下阻断只需要通过一到二个应答包即可完成，被阻断机器的URL直接被重定向到希望显示的页面，阻断效果非常好，并且不会造成额外的网络流量，具有简单、高效的优点，可广泛应用于具备内部局域网、并且需要对节点非法Http连接进行控制的企事业单位。

以下结合附图及实施例进一步说明本发明。

附图说明

图1为本发明DNS重定向与Http重定向相结合的旁路阻断方法原理图。

图2为本发明DNS重定向与Http重定向相结合的旁路阻断方法实例流程图。

具体实施方式