[发明专利]一种网络安全重定向的方法及装置

说明书

本发明公开了一种网络通信安全重定向的方法，包括：S1：通过WFP驱动的分层设计实现指定网络通信的进程、IP地址、端口、协议目标数据包的过滤，并采用BPF规则进行预过滤处理过滤出目标网络数据包；S2：设定基于进程、IP地址、端口、协议的捕获及拦截，捕获目标网络数据包并按照TCP/IP协议栈进行解析还原，对目标网络数据包进行封包并进行转发；S3：根据Socks5代理协议与代理服务器建立通信；S4：通过代理服务器基于Socks5代理协议对目标网络数据包进行重定向代理转发，实现TCP重定向、UDP重定向及远程DNS重定向。还提出了一种重定向模块，包括：WFP驱动模块、TCP/IP协议解封包模块、重定向服务模块，完成TCP重定向、UDP重定向及远程DNS重定向功能。

技术领域

本发明涉及领域网络重定向领域，具体涉及一种网络安全重定向的方法及装置。

背景技术

现今，互联网的发展已经深入到个人生活和商业行为的多个方面，如社交、跨境电商、网络支付、通信等应用，这些互联网上的应用存在地域限制、信息泄漏、带宽较小等问题，于是人们开始研究通过相关的网络通信技术来改进基于传统互联网上的不足，逐步形成了以虚拟专用网络、匿名通信网络及其他隧道代理网络的解决方案。这些解决方案通常由重定向软件、拨号客户端、中继服务器三部分构成，其中拨号客户端及中继服务器主要提供网络通信隧道的构建及数据转发，而重定向软件主要负责把本机应用程序产生的流量引流到隧道上，目前通信隧道协议众多且方便灵活扩展性极好，针对重定向软件的技术实现也众多，但灵活性不够。

目前，重定向软件主要以虚拟网卡技术、防火墙转发技术、通信进程劫持技术、直接使用应用程序代理三种方式来实现网络通信流量的引流。虚拟网卡技术通过利用网络驱动开发一块虚拟网络接口卡桥接到物理网卡上，通过修改计算机的默认路由表来实现通信数据引流，常见于IPSec、PPTP、IPSec等VPN通信网络，提供全局的网络重定向。防火墙转发技术借助网络防火墙本身提供的NAT转发功能，将指定通信源、目的、协议的网络数据转发给引流程序来实现，常见于Redsocks，DDProxy等软件。通信进程劫持技术通过对应用程序所使用的网络通信库或者服务提供者进行劫持来实现针对指定进程的引流，常见于LSP、NSP等。直接使用应用程序代理是指应用程序本身提供代理功能，可以针对不同的应用程序配置不同代理服务器地址，多应用于标准的HTTP代理、Socks代理等。这些重定向技术无法都无法实现基于进程、源\目的地址、全局或者局部代理的灵活运用，且受操作系统本身安全策略限制较大。

发明内容

本发明所要解决的技术问题是：目前基于网络数据重定向的处理主要分为虚拟网卡(VNIC)、防火墙转发技术、通信程序劫持(LSP/NSP)、直接应用程序提供代理四种方式。虚拟网卡技术需将本机网络访问全部重定向，无法实现进程级的流量重定向需求，无法兼容有限带宽不同通信链路的需求；防火墙转发技术能够处理的网络协议有限，一般无法处理UDP数据包；通信程序劫持稳定性较差，无法保障应用程序本身异步通信或者IOCP等机制的有效运用，程序运行会出现卡顿现象；应用程序提供代理接口这种方式完全依赖于程序提供商，目前市面上很多程序自身是不提供代理功能。因此本发明提供了一种网络通信安全重定向的方法，包括如下步骤：

S1：通过WFP驱动的分层设计实现指定网络通信的进程、IP地址、端口、协议目标数据包的过滤，对进程、IP地址、端口、协议目标数据包采用BPF规则进行预过滤处理过滤出目标网络数据包；

S2：设定基于进程、IP地址、端口、协议的捕获及拦截，捕获目标网络数据包并按照TCP/IP协议栈进行解析还原，对目标网络数据包进行封包并进行转发；

S3：根据Socks5代理协议与代理服务器建立通信；

S4：通过代理服务器基于Socks5代理协议对目标网络数据包进行重定向代理转发，实现TCP重定向、UDP重定向及远程DNS重定向。