(19)中华人民共和国国家知识产权局
(12)发明专利申请
(10)申请公布号 (43)申请公布日 (21)申请号 201810421439.X
(22)申请日 2018.05.04
(71)申请人 广东唯一网络科技有限公司
地址 523000 广东省东莞市南城街道黄金
路1号天安数码城B1栋412-414号
(72)发明人 王宇杰 蔡晔华 王强 严克剑 
(74)专利代理机构 东莞恒成知识产权代理事务
所(普通合伙) 44412
代理人 邓燕
(51)Int.Cl.
H04L  29/08(2006.01)
H04L  12/26(2006.01)
(54)发明名称
基于DPDK的HTTP旁路阻断方法
(57)摘要
本发明涉及基于DPDK的HTTP旁路阻断方法,
还包括以下步骤:S1:在交换机部署DPDK系统运
行环境;S2:建立过滤规则库;S3:在交换机上配
置阻断口;S4:调用DPDK系统的api接口读取网口
的数据报文;S5:对S4步骤中获取的数据报文截
取字段,并根据截取的字段计算哈希值,根据哈
希值索引,查过滤规则库并进行字段值对比,
若对比相同,则阻断口发送阻断报文,若对比不
同,则丢弃该数据报文,继续读取下一数据报文,
本发明能够解决现有技术中采用DPI包处理技术
耗时过长的问题,在服务端作出应答前回复阻断
报文,阻断成功率高达99.
99%。权利要求书1页  说明书3页  附图1页CN 108616594 A 2018.10.02
C N  108616594
A
1.基于DPDK的HTTP旁路阻断方法,其特征在于,还包括以下步骤:
S1:在交换机部署DPDK系统运行环境;
S2:建立过滤规则库;
S3:在交换机上配置阻断口;
S4:调用DPDK系统的api接口读取网口的数据报文;
S5:对S4步骤中获取的数据报文截取字段,并根据截取的字段计算哈希值,根据哈希值索引,查过滤规则库并进行字段值对比,若对比相同,则阻断口发送阻断报文,若对比不同,则丢弃该数据报文,继续读取下一数据报文。
2.根据权利要求1所述的基于DPDK的HTTP旁路阻断方法,其特征在于,所述S2步骤的建立过滤规则库
进一步包括:
S21:读取一条过滤配置数据;
S22:根据过滤配置数据计算对应域名值的哈希值和对应URL值的哈希值;
S23:将S22步骤中的域名值/URL值以及哈希值一一对应存储入哈希表。
3.根据权利要求1所述的基于DPDK的HTTP旁路阻断方法,其特征在于,所述S5步骤中进一步包括:
S51:对S4步骤中获取的数据报文进行检测,过滤无效报文;
S52:对S51步骤处理后的数据报文的HTTP  HEADER进行解析,截取HEADER域名字段,并根据该HEADER域名字段计算哈希值,根据哈希值索引,查过滤规则库,对比域名值,如果相同,则阻断口发送阻断报文,如果不同,则进入S53步骤;
S53:截取S52步骤中数据报文的HEADER  URL字段,根据该HEADER  URL字段计算哈希值,根据哈希值索引,查过滤规则库,对比URL值,如果相同,则阻断口发送阻断报文,如果不同,则丢弃该数据报文,继续读取下一数据报文。
4.根据权利要求1所述的基于DPDK的HTTP旁路阻断方法,其特征在于,所述S1步骤进一步包括:
S11:构建组网网络、镜像配置和网口使能配置;
S12:安装DPDK编译模块、驱动加载模块和分配巨页内存。
权 利 要 求 书1/1页CN 108616594 A
基于DPDK的HTTP旁路阻断方法
技术领域
[0001]本发明涉及通信网络技术领域,特别是涉及基于DPDK的HTTP旁路阻断方法。
背景技术
[0002]现有大部分是采用串联部署硬件的方式,在网络主要链路上,通过直接对经过的流量审计,分析请求的DNS或匹配acl策略,对命中的请求包直接丢弃,从而起到阻断的作用。现有技术中也存在采用旁路硬件进行阻断,通过识别镜像过来的数据TCP的三次握手的第一次请求包,当命中阻断规则后,对服务端和客户端发送伪造的Reset包对该链接进行断开,目前采用旁路硬件进行部署的方案,旁路硬件设备需要对镜像过来的数据包进行DPI (深度包检测),提取数据包请求的五元组,通过提取到的目的IP去伪造Reset包,但采用这种方式DPI耗时太长,向服务端和客户端回伪造Reset包时,往往客户端早已经
收到服务端的应答并建立连接了,导致阻断的失败率高,尤其现有DPI技术包处理性能有限,在面对IDC 机房内的大流量数据处理的时候,容易导致失败。
发明内容
[0003]为解决上述问题,本发明提供一种响应更为迅速、阻断成功率高的基于DPDK的HTTP旁路阻断方法。
[0004]为解决上述目的,本发明采用的如下技术方案。
[0005]基于DPDK的HTTP旁路阻断方法,还包括以下步骤:
[0006]S1:在交换机部署DPDK系统运行环境;
[0007]S2:建立过滤规则库;
[0008]S3:在交换机上配置阻断口;
[0009]S4:调用DPDK系统的api接口读取网口的数据报文;
[0010]S5:对S4步骤中获取的数据报文截取字段,并根据截取的字段计算哈希值,根据哈希值索引,查
过滤规则库并进行字段值对比,若对比相同,则阻断口发送阻断报文,若对比不同,则丢弃该数据报文,继续读取下一数据报文,进入下一循环。
[0011]所述S2步骤的建立过滤规则库进一步包括:
[0012]S21:读取一条过滤配置数据;
[0013]S22:根据过滤配置数据计算对应域名值的哈希值和对应URL值的哈希值;[0014]S23:将S22步骤中的域名值/URL值以及哈希值一一对应存储入哈希表。
[0015]所述S5步骤中进一步包括:
[0016]S51:对S4步骤中获取的数据报文进行检测,过滤无效报文;
[0017]S52:对S51步骤处理后的数据报文的HTTP HEADER进行解析,截取HEADER域名字段,并根据该HEADER域名字段计算哈希值,根据哈希值索引,查过滤规则库,对比域名值,如果相同,则阻断口发送阻断报文,如果不同,则进入S53步骤;
[0018]S53:截取S52步骤中数据报文的HEADER URL字段,根据该HEADER URL字段计算哈
希值,根据哈希值索引,查过滤规则库,对比URL值,如果相同,则阻断口发送阻断报文,如果不同,则丢弃该数据报文,继续读取下一数据报文,进入下一循环。
[0019]所述S1步骤进一步包括:
[0020]S11:构建组网网络、镜像配置和网口使能配置;
[0021]S12:安装DPDK编译模块、驱动加载模块和分配巨页内存。
[0022]本发明的有益效果如下:
[0023]通过采用上述技术方案,在方案部署时,通过镜像配置镜像正常的流量数据,采用DPDK系统的api接口读取镜像报文入口网口的数据报文,基于DPDK的包处理分析技术,对数据报文进行识别并在过滤规则库进行查对比,若数据报文请求命中过滤规则,则通过阻断口向源地址IP发送阻断报文,直接断开连接的请求,实现阻断,能够解决现有技术中采用DPI包处理技术耗时过长的问题,响应更为迅速,快速识别数据报文,提升数十倍数据包处理性能,快速命中策略规则中的请求包,在服务端作出应答前回复阻断报文,阻断成功率高达99.99%。
附图说明
[0024]图1为本发明的基于DPDK的HTTP旁路阻断方法流程图。
具体实施方式
[0025]下面将结合附图对本发明作进一步的说明。
[0026]参考图1,基于DPDK的HTTP旁路阻断方法,还包括以下步骤:
[0027]S1:在交换机部署DPDK系统运行环境,包括构建组网网络,用于实现网络通信;进行镜像配置,用于捕获网络数据报文并进行监控分析;进行网口使能配置;安装DPDK编译模块,用于编译DPDK运行环境;安装驱动加载模块,用于加载DPDK驱动;分配巨页内存,用于实现大页内存配置;通过上述配置,实现系统初始化,DPDK系统初始化,内存初始化以及各个模块初始化。
[0028]S2:建立过滤规则库,在交换机上创建http过滤库,在配置界面录入需要过滤的域名、URL等过滤配置数据,系统依次读取每条过滤配置数据,根据每条过滤配置数据计算对应域名值的哈希值和对应的URL值的哈希值,并将计算出的域名值/URL值以及哈希值一一对应存储入哈希表;
[0029]S3:在交换机上配置阻断口,用于发送阻断报文;
[0030]S4:调用DPDK系统的api接口读取网口的数据报文,该网口为镜像报文入口网口;[0031]S5:对S4步骤中获取的数据报文截取字段,并根据截取的字段计算哈希值,根据哈希值索引,查过滤规则库并进行字段值对比,若对比相同,则阻断口发送阻断报文,若对比不同,则丢弃该数据报文,继续读取
下一数据报文,进入下一循环。
[0032]所述S5步骤中进一步包括:
[0033]S51:对S4步骤中获取的数据报文进行检测,过滤无效报文,如过滤广播报文、不符合协议的报文等;
[0034]S52:对S51步骤处理后的数据报文的HTTP HEADER进行解析,截取HEADER域名字段,并根据该HEADER域名字段计算哈希值,根据哈希值索引,查过滤规则库,对比域名值,
如果相同,则阻断口发送阻断报文,如果不同,则进入S53步骤;
[0035]S53:截取S52步骤中数据报文的HEADER URL字段,根据该HEADER URL字段计算哈希值,根据哈希值索引,查过滤规则库,对比URL值,如果相同,则阻断口发送阻断报文,如果不同,则丢弃该数据报文,继续读取下一数据报文,进入下一循环。
vimeo 0006解决方法[0036]通过采用上述技术方案,在方案部署时,通过镜像配置镜像正常的流量数据,采用DPDK系统的api接口读取镜像报文入口网口的数据报文,基于DPDK的包处理分析技术,对数据报文进行识别并在过滤规则库进行查对比,若数据报文请求命中过滤规则,则通过阻断口向源地址IP发送阻断报文,直接断开连接的请求,实现阻断,能够解决现有技术中采用DPI包处理技术耗时过长的问题,响应更为迅速,
快速识别数据报文,提升数十倍数据包处理性能,快速命中策略规则中的请求包,在服务端作出应答前回复阻断报文,阻断成功率高达99.99%。
[0037]以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。