[发明专利]旁路阻断TCP连接

说明书

技术领域

本发明是一种在旁路方式下对网络上的TCP连接进行阻断的方法。可用于网络安全、网络管理以及网络访问控制等领域。

背景技术

目前，在中小企业内部办公网络中，对员工的网络访问控制，内容过滤，内容审计，以及网络安全等领域中，需要对网络使用情况进行监控。一般采用旁路监听的方式来减轻网关或路由器的负担。但旁路的控制功能却打了折扣。本发明通过伪造数据包的方式可以实现在旁路阻断特定的TCP连接的功能，从而解决了旁路监听方式的功能缺陷。

发明内容

本发明的目的在于解决网络的旁路监听方式下对TCP连接无法阻断的问题。

一般情况，如果要断开一条TCP的连接，只有服务器端，客户端，以及网关和路由器等网络出口处这三个部位。而对于局域网的网络安全、网络访问控制、网络行为记录、网络审计等领域适用的部位是网络出口。但是这样作的一个缺陷是会影响路由器等设备的性能。因此，网络行为记录，网络审计等功能为了减轻路由器等设备的负担，会用旁路监听的方式来实现(运行环境如图1)。但是同时这样旁路监听的方式对TCP连接却缺乏控制能力。如果在旁路监听的方式下可以阻断TCP的连接，就可以既分担路由器的负担，又具有网络控制能力。本发明就解决了这个问题。

详细介绍：

这种旁路阻断方式的实现需要三个前提：

首先，必须能够监听到网络上的数据包。

其次，能将自己伪造的数据包写入到链路层。

第三，根据TCP协议的要求：一条TCP连接如果收到对方发来的回复中包含RST标志，那么这条连接必须关闭。

由此可知，如果我们根据一条TCP连接信息，伪造一个符合要求的恰当的RST数据包发送出去，并且能被连接的一端收到的话，就可以实现在旁路阻断的目的。

具体过程是，通过监听设备监听到一个A--＞B的TCP连接数据包P1中的IP地址端口号等信息。

P1数据包的信息如下：

源ip：    ipA

目的ip    ipB

源端口    portA

目的端口  portB

序列号    seqP1

确认序列号ackP1

数据包长度lenP1

IP标志位  flagP1

如果需要阻断，根据P1中的信息构造一个反向B--＞A的回复数据包P2如下：

P2数据包的信息如下：

源ip：    ipB

目的ip    ipA

源端口      portB

目的端口    portA

序列号      ackP1

确认序列号  seqP1+lenP1+flagP1的长度

数据包长度  lenP2

Ip标志位    RST

通过原始套接字(raw socket)把数据包P2写入到链路层。此时，这个伪造的数据包P2会被网络设备当作正确的数据包进行转发，最后会被A收到。当A收到带有RST标志的回复包时。会认为B拒绝了这条TCP连接，并且把这条TCP连接关闭。至此，达到了在旁路阻断TCP连接的目的。

附图说明

图1：系统结构图

具体实施方式

系统实施方式图1。

1.将监听设备接入集线器或者交换机的镜像端口进行监听。

2.在监听到的数据包中分辨出需要阻断的TCP连接。

3.根据需要阻断的TCP连接的信息，构造伪造的RST数据包。

4.将伪造的数据包用raw socket发送到链路层。从而阻断特定TCP连接。