[发明专利]一种旁路阻断UDP会话方法

说明书

技术领域

本发明是一种在旁路接入方式下对网络上的UDP会话进行阻断的方法。可用于网络安全、网络管理以及网络访问控制等领域。

背景技术

目前，中小型局域网络内部终端的网络访问控制、内容过滤、内容审计以及网络安全等应用领域中，常常需要对网络使用情况进行监控，一般采用将监控设备部署为旁路监听的方式，以减轻网关或路由器的负担。但旁路监听方式的控制功能却不理想，主要表现为难以实现对特定UDP会话的阻断。

发明内容

本发明是一种在旁路监听的方式下，通过监听分析、伪造并发送ICMP数据包的方式，实现旁路阻断UDP会话的功能，弥补了旁路监听方式的控制功能缺陷。

一般来讲，如果要断开一个UDP的会话，只有服务器端，客户端，以及网关和路由器等网络出口处，这三个部位可以实现。而对于局域网的网络安全、网络访问控制、网络审计等领域适用的部位是只有网络出口，但是这样做的一个缺陷是会严重影响路由器等设备的性能。

因此，网络访问控制、网络审计等领域功能实现上，为了减轻路由器等设备的负担，一般会选用旁路监听的方式来实现(网络结构如附图所示)。但是同时旁路监听的方式对数据包却缺乏控制能力。而如果在旁路监听的方式下可以实现对UDP会话的阻断，就可以既分担网关和路由器的负担，又具有较好的网络控制能力。本发明就巧妙的解决了这个问题。

基本原理：

这种旁路阻断方式的实现需要三个前提条件：

首先，必须能够监听到网络上的数据包。

其次，能将自己伪造的数据包写入到链路层。

第三，通信双方可以实现UDP协议的要求：如果发送方发送一个UDP包后，接收方没有相应的接收进程，那么对方会返回一个ICMP报文来通知发送方。

由此可知，如果我们根据监听到的UDP信息，伪造一个符合协议要求的恰当的ICMP数据包发送出去，并且能被连接的一端收到的话，就可以实现在旁路阻断的目的。

具体方式：

当旁路监听方监听到一个A→B的UDP数据包P1，包含主要信息如下：

源ip：       ipA

目的ip：     ipB

源端口：     portA

目的端口：   portB

如果需要阻断，监听方根据P1中的信息构造一个B→A的ICMP回复数据包P2，包含主要信息如下：

ICMP类型：端口不可达

ICMP载荷：

源ip：    ipA

目的ip    ipB

源端口    portA

目的端口  portB

然后，监听方通过原始套接字(Raw Socket)把数据包P2写入到链路层。此时，这个伪造的数据包P2会被网络设备当作正确的数据包进行转发，并最终被A收到。此时，A会依据UDP协议和ICMP协议认为B没有开启相应的服务，进而A会关闭这个UDP会话，中断与B的通讯，而B同理也会中断与A的通讯。至此，达到了在旁路阻断UDP会话的目的。

附图说明

系统结构图，为系统网络拓扑和数据包流向示意图。

具体实施方式

1.将监听设备接入集线器或者交换机的镜像端口进行监听。

2.在监听到的数据包中分辨出需要阻断的UDP会话。

3.根据需要阻断的UDP会话信息，构造伪造的ICMP数据包。

4.将伪造的数据包用Raw Socket发送到链路层，以阻断此UDP会话。