[发明专利]数据包获取方法及装置

说明书

本发明提供一种数据包获取方法及装置，涉及网络安全技术领域，其中方法包括：通过网络设备的至少一个引擎从用户态获取对应的网络数据包；针对每个所述引擎，将所述网络数据包存储在所述引擎对应的共享缓存区中；所述共享缓存区为预先为对应引擎设置的缓存区，各所述引擎对应的共享缓存区不同；通过抓包程序获取至少一个所述共享缓存区中的所述网络数据包。本发明是通过共享缓存区临时存放网络数据包，抓包程序在共享缓存区读取网络数据包即可，无需在用户态和内核态之间来回切换，也无需进行网络数据包的多次拷贝，占用的内存资源和处理器资源较少，从而提高了网络设备的性能。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种数据包获取方法及装置。

背景技术

抓包(packet capture)就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作，用来检查网络安全。抓包也经常被用来进行数据截取、网络拓扑环境问题的定位等。

相关技术中，网络设备通常采用tcpdump工具进行网络数据包的抓取，如图1所示，在内核中创建虚拟网络接口，将用户态引擎接收或发送的网络数据包发送给内核中创建的虚拟网络接口，再利用tcpdump工具，即通过套接字(Socket)系统调用的方式从虚拟网络接口读取网络数据包，这一过程又把内核态下的数据包拷贝回用户态，并利用数据包生成抓包文件，完成抓包过程。

但上述采用tcpdump工具进行网络数据包的抓取，涉及到需要将网络数据包从用户态拷贝进内核态，再把内核态的网络数据包拷贝回用户态，这样多次的内存数据拷贝、以及内核态与用户态的切换，占用了较多的内存资源和处理器资源，从而导致网络设备的性能下降。

发明内容

针对现有技术存在的问题，本发明实施例提供一种数据包获取方法及装置。

本发明提供一种数据包获取方法，包括：

通过网络设备的至少一个引擎从用户态获取对应的网络数据包；

针对每个所述引擎，将所述网络数据包存储在所述引擎对应的共享缓存区中；所述共享缓存区为预先为对应引擎设置的缓存区，各所述引擎对应的共享缓存区不同；

通过抓包程序获取至少一个所述共享缓存区中的所述网络数据包。

根据本发明提供的一种数据包获取方法，所述将所述网络数据包存储在所述引擎对应的共享缓存区中，包括：

通过所述引擎获取所述网络数据包的属性信息；所述网络数据包的属性信息包括：所述网络数据包对应的网络接口，和/或，所述网络数据包的方向；

将所述网络数据包和所述属性信息存储在所述引擎对应的共享缓存区中；

所述通过抓包程序获取至少一个所述共享缓存区中的所述网络数据包，包括：

通过所述抓包程序获取至少一个所述共享缓存区中的所述网络数据包和所述网络数据包对应的属性信息。

根据本发明提供的一种数据包获取方法，在所述通过抓包程序获取至少一个所述共享缓存区中的所述网络数据包之后，所述方法还包括：

基于同一所述网络接口的网络数据包生成对应的抓包子文件，并基于至少一个所述网络数据包和对应的属性信息生成抓包文件；

导出所述抓包文件，和/或每个所述抓包子文件。

根据本发明提供的一种数据包获取方法，在所述通过抓包程序获取至少一个所述共享缓存区中的所述网络数据包之前，所述方法还包括：

针对每个所述网络接口，创建所述网络接口对应的初始文件的文件句柄；

基于所述文件句柄在所述初始文件中写入文件头数据；

所述基于同一所述网络接口的网络数据包生成对应的抓包子文件，包括：