網(wǎng)絡(luò)數(shù)據(jù)報(bào)文捕獲技術(shù)的應(yīng)用與分析

呂偉澤

（大慶油田信息技術(shù)公司北京分公司，北京 100043）

在信息時(shí)代之下，人們的生活和工作都開始融入大量數(shù)據(jù)。數(shù)據(jù)一方面使得整個(gè)社會(huì)的運(yùn)行效率大幅度提升，另一個(gè)方面，其所必然帶來的整個(gè)社會(huì)對(duì)于數(shù)據(jù)的依賴，進(jìn)一步加劇了數(shù)據(jù)安全問題的緊迫性。并且隨著整個(gè)網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)傳輸需求的不斷增加，網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)安全問題和安全信息過濾需求也日漸突出，這種需求特征在企業(yè)環(huán)境中尤其突出，如何打造安全可靠的內(nèi)部網(wǎng)絡(luò)環(huán)境，并且實(shí)現(xiàn)面向外網(wǎng)的流暢訪問，是目前的突出問題。

1 數(shù)據(jù)報(bào)文捕獲技術(shù)概念與特征

對(duì)于目前的網(wǎng)絡(luò)安全需求而言，網(wǎng)絡(luò)帶寬不斷提升，數(shù)據(jù)傳輸速率和容量都有了質(zhì)的飛躍，對(duì)應(yīng)的萬兆網(wǎng)絡(luò)防火墻系統(tǒng)、入侵檢測(cè)/防御系統(tǒng)、高性能路由器、千兆級(jí)網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控系統(tǒng)、高帶寬的網(wǎng)絡(luò)審計(jì)系統(tǒng)等技術(shù)層出不窮，本身成為當(dāng)前網(wǎng)絡(luò)安全體系中重要的支持框架，尤其是在面對(duì)大流量網(wǎng)絡(luò)環(huán)境的時(shí)候，其價(jià)值尤其得到體現(xiàn)。但是諸多安全技術(shù)的基礎(chǔ)，都在于網(wǎng)絡(luò)數(shù)據(jù)報(bào)文捕獲技術(shù)網(wǎng)絡(luò)應(yīng)用，作為當(dāng)前網(wǎng)絡(luò)安全應(yīng)用最基本的功能模塊之一，網(wǎng)絡(luò)數(shù)據(jù)報(bào)文捕獲技術(shù)的成熟與發(fā)展?fàn)顟B(tài)，直接關(guān)系到網(wǎng)絡(luò)安全環(huán)境上層的諸多應(yīng)用有效性，因此必須引起重視。

綜合當(dāng)前網(wǎng)絡(luò)環(huán)境的發(fā)展特征，隨著光纖造價(jià)成本的降低以及相關(guān)技術(shù)的不斷成熟，傳統(tǒng)的10Mbps共享局域網(wǎng)環(huán)境已經(jīng)在近年來迅速升級(jí)到100 Mbps乃至于1 000 Mbps數(shù)據(jù)傳輸環(huán)境，對(duì)應(yīng)地網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)流量同樣有大幅提升，甚至于在骨干網(wǎng)絡(luò)中，Gbit傳輸速率已經(jīng)不足為奇。這些都為數(shù)據(jù)報(bào)文捕獲技術(shù)提出了新的挑戰(zhàn)。

從應(yīng)用層面看，對(duì)于網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)的工作方式，可以依據(jù)其對(duì)于現(xiàn)有網(wǎng)絡(luò)的參與狀況分為監(jiān)聽模式和過濾模式兩類。其中監(jiān)聽模式也稱為并聯(lián)工作模式，其網(wǎng)絡(luò)應(yīng)用系統(tǒng)并不完全參與既有網(wǎng)絡(luò)環(huán)境的工作，而是在一個(gè)旁觀者的位置上對(duì)數(shù)據(jù)展開抓取和處理。此種工作方式本身不會(huì)對(duì)網(wǎng)絡(luò)環(huán)境的工作狀態(tài)有所影響，但是數(shù)據(jù)是直接從公網(wǎng)進(jìn)入到局域網(wǎng)環(huán)境中的，因此此種工作方式對(duì)于報(bào)文的檢測(cè)，相對(duì)而言存在一定的滯后特征，但是卻不會(huì)對(duì)網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)傳輸造成任何效率方面的影響。而過濾模式又稱為串聯(lián)工作模式，從外網(wǎng)進(jìn)來的數(shù)據(jù)首先要進(jìn)入到網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)中展開檢查和過濾，而后才能進(jìn)一步發(fā)送給內(nèi)部局域網(wǎng)使用和傳輸。常規(guī)而言的防火墻、代理網(wǎng)關(guān)、路由器等均是采用這一工作模式，此種模式安全性能要優(yōu)于前者，但是在數(shù)據(jù)量增加的環(huán)境之下，其相關(guān)安全應(yīng)用系統(tǒng)自身的運(yùn)算處理能力將成為整個(gè)網(wǎng)絡(luò)傳輸環(huán)境的瓶頸存在。

相比之下，監(jiān)聽模型式不占用網(wǎng)絡(luò)資源，數(shù)據(jù)報(bào)文的捕獲和后續(xù)操作不會(huì)對(duì)網(wǎng)絡(luò)正常通訊產(chǎn)生任何影響；而過濾工作模型中，網(wǎng)絡(luò)安全應(yīng)用必須能夠做到快速大量地面向數(shù)據(jù)包展開處理和過濾，否則就會(huì)面臨數(shù)據(jù)包丟失乃至于系統(tǒng)鎖死的尷尬局面。鑒于當(dāng)前過濾模型是主要的應(yīng)用方式，因此數(shù)據(jù)報(bào)文捕獲技術(shù)作為網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)的關(guān)鍵環(huán)節(jié)，其工作效率和可靠程度成為當(dāng)前行業(yè)內(nèi)部關(guān)注的重點(diǎn)。

2 數(shù)據(jù)報(bào)文捕獲技術(shù)的主要應(yīng)用與發(fā)展方向分析

在Unix系統(tǒng)環(huán)境下，數(shù)據(jù)報(bào)文捕獲技術(shù)存在于數(shù)據(jù)鏈路層，就當(dāng)前的應(yīng)用狀況看，常見的報(bào)文處理技術(shù)包括三種，即BSD分組過濾器（BPF，Berkeley Packet Filter）、SVR4的數(shù)據(jù)鏈路提供者接口（DLPI，Data Link Provider Interface），以及Linux的SOCK-PACKET接口。三種技術(shù)均有不同的應(yīng)用特征。

首先對(duì)于BPF技術(shù)而言，其工作在整個(gè)系統(tǒng)的內(nèi)核層面，在內(nèi)核環(huán)境中展開了過濾器的設(shè)置，在對(duì)數(shù)據(jù)包展開對(duì)應(yīng)的過濾之后，將用戶需要的數(shù)據(jù)提交給用戶進(jìn)程。在相應(yīng)的工作系統(tǒng)中，每一個(gè)數(shù)據(jù)鏈路的對(duì)應(yīng)驅(qū)動(dòng)程序在展開對(duì)于一個(gè)分組的處理時(shí)，都首先調(diào)用BPF。為了提升效率，BPF采用循環(huán)緩存工作機(jī)制，兩個(gè)緩存交替展開工作，并且采用基于寄存器的過濾器，這對(duì)于當(dāng)前內(nèi)存系統(tǒng)已然成為整個(gè)系統(tǒng)性能核心瓶頸問題，無疑是一種緩解。其次，SVR4的DLPI展開工作時(shí)，其本身會(huì)保持對(duì)于協(xié)議的相對(duì)獨(dú)立狀態(tài)，并且其本身時(shí)訪問數(shù)據(jù)鏈路層所提供服務(wù)的接口，通過發(fā)送和接受信息來實(shí)現(xiàn)具體功能。DLPI接口定義了數(shù)據(jù)鏈路層面向網(wǎng)絡(luò)層提供服務(wù)的具體規(guī)則，其使用者既可以是面向用戶的應(yīng)用程序，也可以是訪問數(shù)據(jù)鏈路層的高層協(xié)議，相對(duì)于BPF技術(shù)而言，該項(xiàng)技術(shù)的表現(xiàn)從整體效率方面比較低。而最后的SOCK-PACKET接口技術(shù)則主要通過設(shè)置套接字類型以及數(shù)據(jù)類型來展開工作，但是它沒有類似于BPF的強(qiáng)緩沖區(qū)，在內(nèi)核過濾器方面也有所欠缺，因此整體效率都受到極大制約，對(duì)于當(dāng)前相對(duì)比較重視網(wǎng)絡(luò)效率的環(huán)境而言，存在顯著不足。

就目前在網(wǎng)絡(luò)數(shù)據(jù)報(bào)文捕獲技術(shù)體系中的突出應(yīng)用特征而言，數(shù)據(jù)丟包、用戶態(tài)和內(nèi)核態(tài)之間的數(shù)據(jù)包拷貝以及內(nèi)核中斷處理已經(jīng)成為當(dāng)前的突出不足。基于此種問題，當(dāng)前在報(bào)文捕獲技術(shù)的相關(guān)發(fā)展領(lǐng)域，其主要方向也都圍繞這些問題展開。

首先，充分利用網(wǎng)絡(luò)處理器，實(shí)現(xiàn)對(duì)于報(bào)文捕獲的加速，是當(dāng)前發(fā)展的突出特征之一。網(wǎng)絡(luò)處理器能夠在工作環(huán)境中切實(shí)實(shí)現(xiàn)對(duì)于網(wǎng)絡(luò)數(shù)據(jù)采集方面的功能效率，在實(shí)時(shí)的報(bào)文捕獲和深入分析方面表現(xiàn)良好，并且并聯(lián)的工作方式出現(xiàn)在被監(jiān)控的網(wǎng)絡(luò)環(huán)境中，也能夠支持其實(shí)時(shí)特征較強(qiáng)的高效率網(wǎng)絡(luò)環(huán)境。其次，零拷貝技術(shù)也是當(dāng)前發(fā)展的突出特征，對(duì)于這一方面而言，其基本思想和實(shí)現(xiàn)方式是將數(shù)據(jù)報(bào)文的拷貝次數(shù)盡量壓縮和減少，主要是在從網(wǎng)絡(luò)設(shè)備到用戶程序空間傳遞的過程中注重拷貝次數(shù)的縮減，同時(shí)注重減少CPU的參與程度，降低其負(fù)載。

3 結(jié)論

網(wǎng)絡(luò)數(shù)據(jù)報(bào)文捕獲系統(tǒng)的整體工作狀態(tài)和效率，直接關(guān)系到當(dāng)前網(wǎng)絡(luò)環(huán)境的安全水平，因此必須引起充分重視。作為多種網(wǎng)絡(luò)安全應(yīng)用的基礎(chǔ)，報(bào)文捕獲技術(shù)的優(yōu)化以及性能的提升，是大容量網(wǎng)絡(luò)得以深入發(fā)展的基礎(chǔ)，實(shí)際工作中應(yīng)當(dāng)以當(dāng)前需求作為依據(jù)展開對(duì)于技術(shù)的優(yōu)化，才能切實(shí)找到該項(xiàng)技術(shù)的發(fā)展方向。

[1]王佰玲，方濱興，云曉春，等.零拷貝報(bào)文捕獲平臺(tái)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)學(xué)報(bào)，2005，28（1）.

[2]張承，蔣東興，劉啟，等.新淺析網(wǎng)絡(luò)監(jiān)控系統(tǒng)對(duì)網(wǎng)絡(luò)性能的影響[J].小型微型計(jì)算機(jī)系統(tǒng)，2002，23（09）.