王超WANG Chao

（遼寧建筑職業(yè)學(xué)院，遼陽111000）

0 引言

互聯(lián)網(wǎng)帶給人們便利的同時(shí)，各種非法信息也迅速蔓延，為有效地屏蔽網(wǎng)絡(luò)上的非法信息，本文提出了在Linux平臺(tái)下對(duì)接收到的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析，過濾各種不良信息的一種解決方案。

1 系統(tǒng)設(shè)計(jì)

1.1 系統(tǒng)結(jié)構(gòu)設(shè)計(jì) 基于網(wǎng)絡(luò)監(jiān)聽的數(shù)據(jù)包捕獲技術(shù)廣泛應(yīng)用于各種有關(guān)網(wǎng)絡(luò)信息安全的軟件設(shè)計(jì)中。本系統(tǒng)是由一個(gè)Mirroring Tap、一個(gè)L4 switch和四個(gè)服務(wù)器（攔截服務(wù)器、分配服務(wù)器、消息服務(wù)器和NMI服務(wù)器）等部分組成。

1.2 功能模塊設(shè)計(jì) 本系統(tǒng)采用由上到下的模塊化的設(shè)計(jì)思想，將系統(tǒng)劃分為：網(wǎng)絡(luò)數(shù)據(jù)包捕獲、數(shù)據(jù)分析、響應(yīng)、存儲(chǔ)、規(guī)則解析、界面管理等模塊。系統(tǒng)結(jié)構(gòu)圖如圖1所示。

1.2.1 網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊 此模塊將采用BPF捕獲機(jī)制，借助Libpcap庫函數(shù)，從以太網(wǎng)中捕獲數(shù)據(jù)包，并負(fù)責(zé)對(duì)數(shù)據(jù)進(jìn)行簡(jiǎn)單的過濾，以方便分析模塊進(jìn)行處理。主要包括開啟網(wǎng)絡(luò)設(shè)備、接受網(wǎng)絡(luò)數(shù)據(jù)包兩部分。首先找到當(dāng)前機(jī)器可用的網(wǎng)絡(luò)接口，注冊(cè)網(wǎng)卡接口。同時(shí)，設(shè)置過濾條件，設(shè)置網(wǎng)卡為混雜工作模式。經(jīng)過網(wǎng)卡混雜模式的設(shè)置，當(dāng)一個(gè)數(shù)據(jù)包到達(dá)網(wǎng)絡(luò)接口時(shí)，利用套接字接口可以將網(wǎng)絡(luò)低層數(shù)據(jù)包捕獲，并將數(shù)據(jù)包信息寫入緩存區(qū)，為后續(xù)的功能模塊的實(shí)現(xiàn)提供條件。

圖1 系統(tǒng)結(jié)構(gòu)圖

1.2.2 數(shù)據(jù)分析模塊 此模塊可以通過簡(jiǎn)單網(wǎng)絡(luò)協(xié)議分析和模式匹配與狀態(tài)協(xié)議分析，并結(jié)合規(guī)則解析模塊比對(duì)規(guī)則特征數(shù)據(jù)庫中的規(guī)則特征，分析出兩類數(shù)據(jù)包。一種是對(duì)不良信息的請(qǐng)求數(shù)據(jù)包，另一種是網(wǎng)絡(luò)上的惡意數(shù)據(jù)包。此模塊分析的結(jié)果將是響應(yīng)模塊的依據(jù)。

該模塊下又分為提取數(shù)據(jù)包信息子模塊、獲取用戶請(qǐng)求URL子模塊、判斷用戶請(qǐng)求數(shù)據(jù)子模塊、IP數(shù)據(jù)包重組子模塊和TCP協(xié)議狀態(tài)分析處理子模塊。

提取數(shù)據(jù)包信息子模塊就是通過簡(jiǎn)單協(xié)議分析，判定數(shù)據(jù)包中各層協(xié)議的類型，依據(jù)不同的協(xié)議類型提取數(shù)據(jù)包中的信息，再交由不同的分析函數(shù)作進(jìn)一步處理。對(duì)于URL黑名單模式，則提取出數(shù)據(jù)包中的應(yīng)用層信息。獲取用戶請(qǐng)求URL子模塊是獲取用戶請(qǐng)求URL完成對(duì)應(yīng)用層數(shù)據(jù)的處理，對(duì)HTTP請(qǐng)求報(bào)文進(jìn)行處理。通過對(duì)GET后的URL和Host首部字段值的提取，按照定義格式得到用戶請(qǐng)求的URL。判斷用戶請(qǐng)求數(shù)據(jù)子模塊是對(duì)于URL黑名單模式，通過比對(duì)URL黑名單，對(duì)用戶請(qǐng)求URL的安全性進(jìn)行判斷。對(duì)于入侵檢測(cè)模式，要對(duì)數(shù)據(jù)包的行為做出分析判斷。IP數(shù)據(jù)包重組子模塊對(duì)于因在網(wǎng)路傳輸中出現(xiàn)的IP分片，能夠?qū)崿F(xiàn)重組操作，還原原有信息。TCP協(xié)議狀態(tài)分析處理子模塊可以對(duì)TCP報(bào)文的行為狀態(tài)做出判斷處理，能夠應(yīng)對(duì)常見的SYN Flooding攻擊。

1.2.3 響應(yīng)模塊 此模塊將實(shí)現(xiàn)兩項(xiàng)主要功能。一是對(duì)于不良信息請(qǐng)求的HTTP重定向，以實(shí)現(xiàn)對(duì)于不健康網(wǎng)站、網(wǎng)頁等的屏蔽。二是對(duì)于入侵事件作出相應(yīng)的處理，如發(fā)出警報(bào)、切斷鏈接等。該模塊又包含以下四個(gè)模塊：創(chuàng)建套接字接口子模塊、創(chuàng)建HTTP重定向報(bào)文子模塊、切斷TCP請(qǐng)求子模塊和事件報(bào)警模塊。

創(chuàng)建HTTP重定向報(bào)文子模塊是在攔截模塊中，需要?jiǎng)?chuàng)建一個(gè)TCP原始套接字，用來向用戶和有害網(wǎng)站服務(wù)器發(fā)送攔截消息數(shù)據(jù)包和TCP Reset數(shù)據(jù)包。

創(chuàng)建HTTP重定向報(bào)文是調(diào)整套接字層參數(shù)，包括調(diào)整錯(cuò)誤處理、數(shù)據(jù)緩沖、地址處理、端口處理和收發(fā)數(shù)據(jù)的超時(shí)參數(shù)等。在網(wǎng)絡(luò)協(xié)議的不同層次對(duì)參數(shù)進(jìn)行調(diào)整，使用 AF_INET(如 IPv4、UDP、TCP、ICMP 等協(xié)議)的特定方面進(jìn)行調(diào)整。填充頭部信息是按照IP數(shù)據(jù)報(bào)格式和TCP數(shù)據(jù)報(bào)格式來填充攔截消息數(shù)據(jù)包和TCP Reset數(shù)據(jù)包的IP頭部和TCP頭部字段，保證數(shù)據(jù)包發(fā)送的可靠性。最后向用戶發(fā)送攔截消息數(shù)據(jù)包，使用戶在瀏覽器看到攔截消息頁面，使用戶瀏覽器重定向到健康的網(wǎng)站。

切斷TCP請(qǐng)求是當(dāng)系統(tǒng)處于URL黑名單模式時(shí)，系統(tǒng)會(huì)向不良網(wǎng)站的服務(wù)器發(fā)送為RST的TCP報(bào)文，以切斷已經(jīng)建立的連接。

事件報(bào)警模塊是當(dāng)發(fā)生入侵事件，系統(tǒng)會(huì)采用兩種方式報(bào)警，一是寫日志記錄，二是采用聲音報(bào)警。

1.2.4 存儲(chǔ)模塊 該模塊實(shí)現(xiàn)添加記錄和讀取記錄兩項(xiàng)功能。添加記錄可以保存經(jīng)過分析網(wǎng)絡(luò)信息。讀取記錄是讀出入侵規(guī)則，URL黑名單等。

1.2.5 規(guī)則解析模塊 該模塊中包含初始化規(guī)則模塊和規(guī)則匹配模塊。規(guī)則解析模塊是當(dāng)開機(jī)時(shí)將保存在文件中的規(guī)則逐條讀入內(nèi)存。規(guī)則匹配是依據(jù)模式匹配與協(xié)議分析技術(shù)判斷入侵事件。

1.2.6 界面管理模塊 系統(tǒng)可以以圖形界面的方式提供使用，為用戶操作給予便利。

1.3 工作流程 首先明確系統(tǒng)的需求，根據(jù)系統(tǒng)需求完成系統(tǒng)的硬件結(jié)構(gòu)設(shè)計(jì)、功能模塊設(shè)計(jì)和數(shù)據(jù)結(jié)構(gòu)設(shè)計(jì)。設(shè)計(jì)好系統(tǒng)每個(gè)模塊中各個(gè)功能的完整工作流程，使這些功能都能作為一個(gè)完整的程序框架，然后編寫代碼，使之完善。

1.4 結(jié)果輸出 依據(jù)用設(shè)定的模式不同，系統(tǒng)的結(jié)果輸出部分分為兩種：一是在URL黑名單模式中，若用戶訪問URL存在攔截目錄中，系統(tǒng)輸出的是一個(gè)發(fā)給用戶的攔截消息（Web Direction）和一個(gè)發(fā)給有害網(wǎng)站的TCP Reset，內(nèi)容就是一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包，客戶在瀏覽器上看到的是一個(gè)攔截頁面；二是在入侵檢測(cè)模式中，當(dāng)檢測(cè)到入侵事件時(shí)，系統(tǒng)能夠給出應(yīng)對(duì)措施，并做好日志記錄。

2 結(jié)語

本文描述了網(wǎng)上偵聽與分析系統(tǒng)的總體結(jié)構(gòu)和整體設(shè)計(jì)概念，解析了系統(tǒng)實(shí)現(xiàn)的流程，給出了模塊之間的相互關(guān)系，對(duì)各個(gè)模塊的功能進(jìn)行了描述，體現(xiàn)了系統(tǒng)的設(shè)計(jì)思想。該系統(tǒng)實(shí)現(xiàn)了對(duì)于各種不良信息的屏蔽；能實(shí)現(xiàn)入侵檢測(cè)分析和處理。

[1]蘭超,王靜.網(wǎng)絡(luò)攻擊中的監(jiān)聽技術(shù)分析[J].兵工自動(dòng)化,2007(07).

[2]趙謙.基于Linux下的網(wǎng)絡(luò)監(jiān)聽技術(shù)[J].貴州科學(xué),2007(S1).

[3]魏文清,王長(zhǎng)征.Linux下的TCP/IP架構(gòu)與網(wǎng)絡(luò)監(jiān)聽技術(shù)[J].計(jì)算機(jī)與現(xiàn)代化,2005(12).

[4]姚越.Linux環(huán)境下防火墻功能的實(shí)現(xiàn)[J].北京勞動(dòng)保障職業(yè)學(xué)院學(xué)報(bào),2008(02).