[发明专利]一种数据包监听方法、装置和系统

说明书

技术领域

本发明涉及数据包监听方法，具体来说，是指一种基于四层交换机的网络抓包和数据包监听方法。

背景技术

OSI(Orders Sources Identification)网络模型的第四层是传输层，其中，传输层负责端到端通信，即在网络源和目标系统之间协调通信。

在IP协议栈中这是TCP(传输控制协议)和UDP(用户数据报协议)所在的协议层。其中，TCP和UDP包含端口号，它可以唯一区分每个数据包包含哪些应用协议(例如HTTP、FTP、telnet等等)。TCP/UDP端口号提供的附加信息可以为网络交换机所利用，四层交换机利用这种信息来区分包中的数据，这是第四层交换的基础。

一般地，TCP或UDP连接唯一地使用每个信息中的如下四项进行确认：源IP地址(发送包的IP地址)、目的IP地址(接收包的IP地址)、源TCP端口号(源系统上的连接的端口)，目的TCP端口号(目的系统上的连接的端口)。

四层交换机旁挂，是指用网线将四层交换机接在二层或三层交换机的网络端口上,从客户端或服务器访问进来的数据包通过这根网线从二层交换机或三层交换机流到四层交换机上，经过四层交换机的处理后，通过这根网线流到二层交换机或三层交换机上，最终回到服务器或客户端，其中，旁挂的四层交换机在负债均衡时，会进行网络地址转换NAT，改变数据包中的源IP地址、目的IP地址、源端口、目的端口。

NAT(Network Address Translation，网络地址转换)是将IP数据报报头中的IP地址转换为另一个IP地址的过程，其中，NAT将自动修改IP报文的源IP地址和目的IP地址，IP地址校验则在NAT处理过程中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据部分中，所以还需要同时对报文进行修改，以匹配IP头中已经修改过的源IP地址,否则，在报文数据都分别嵌入IP地址的应用程序就不能正常工作。

网络抓包是捕捉网络中流动的数据并查看分析数据包，以找出业务系统或网络中出现的问题，但是，在四层交换机旁挂的时候，由于得到的数据包中的IP/TCP地址信息会是改变后的数据信息，因此，无法从抓取的数据包中同时获取真实的服务器IP地址/TCP端口号或者客户端IP地址/TCP端口号信息，从而增加网络分析或取证的难度。

此外，虽然现有技术在四层交换机上打开debug功能，可以获取源IP地址、目的IP地址、源端口、目的端口的NAT改变记录，但是，这种方法无法获取数据包中的具体数据信息。

也就是说，现有技术中，不能在一个经过四层交换机的TCP/UDP会话中获得包含客户端的真实IP地址和服务器的真实IP地址信息的数据包。

发明内容

本申请所要解决的技术问题是，现有技术不能在一个经过四层交换机的TCP/UDP会话中获得同时包含客户端的真实IP地址和服务器的真实IP地址的数据包。

其中，根据本发明的一个方面，本发明提供了一种数据包监听方法，包括：对由四层交换机路由和地址转换的数据包进行监听；其中，当检测到符合预先设定的会话特征的数据包时，抓取并根据预设的数据包镜像策略在所述数据包的包头加入客户端或者服务器端真实的IP地址信息以形成待分析数据包。

本发明采取了上述方案以后，四层交换机能够根据镜像策略对抓取的数据包进行包头重组并加入对应的客户端或者服务器端真实的IP地址/信息形成待分析数据包，由此，解决了现有技术中不能在一个经过四层交换机的TCP/UDP会话中获得同时包含客户端的真实IP地址和服务器的真实IP地址信息的数据包的缺点。

其中，本申请还包括：将上述待分析数据包从镜像端口中传递给分析仪；

从所述待分析数据包中提取出客户端真实IP地址和服务器端真实IP地址并进行后续分析。

其中，分析仪可以从重新组合的网络流量中获取源IP地址和服务器IP地址，本提案在进行网络抓包时，可以从实际TCP/UDP会话中恢复原始服务器/客户段IP地址，从而可以更好的进行网络分析，或者是取证。

其中，根据本发明的又一目的，本发明提供了一种数据包监听装置，包括：参数设定单元，用于获取预先设定的数据包会话特征和数据包镜像策略；

会话流量监听单元，用于对由四层交换机路由和地址转换的数据包进行监听；关系映射表存储单元，用于存储所述四层交换机对数据包地址转换形成的数据包映射关系表；