(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111436364.0 (22)申请日 2021.11.30 (65)同一申请的已公布的文献号 申请公布号 CN 113890769 A (43)申请公布日 2022.01.04 (73)专利权人 南京开博信达科技有限公司 地址 210046 江苏省南京市栖霞区马群街 道紫东路2号紫东国际创意园C18北半 栋 (72)发明人 王宇　任东来　徐海杰　 (74)专利代理 机构 南京苏创专利代理事务所 (普通合伙) 32273 代理人 张学彪 (51)Int.Cl. H04L 9/40(2022.01)H04L 69/163(2022.01) H04L 67/141(2022.01) H04L 67/02(2022.01) (56)对比文件 CN 113472795 A,2021.10.01 CN 104023 036 A,2014.09.0 3 审查员 洪娟 (54)发明名称 一种TCP阻断方法 (57)摘要 本发明涉及一种TCP阻断方法， 包括： 1.将客 户端、 服务端和DPI 设备之间进行系统搭建； 2.监 听客户端和服务器之间的ARP广播， 获取到报文 的服务器IP， 客户端的IP及DPI设备的MAC地址； 3.将服务器的IP和DPI 设备的MA C地址绑定一起， 作为发送方， 将客户端的IP和广播MAC地址绑定 一起作为接收方， 向客户端发送ARP广播包； 4.修 改客户端的ARP缓存， 将流量转发到DPI设备上； 5.DPI设备检测转发过来的报文中的可疑信息， 并向客户端发送RST报文以阻断可疑报文。 本发 明有效的降低准入设备需要解析的数据包流量； 不受外网流量的干扰； 双网卡同时工作， 降低单 网卡驱动的服 务压力， 阻断成功率高。 权利要求书1页 说明书5页 附图2页 CN 113890769 B 2022.04.08 CN 113890769 B 1.一种TCP阻断方法， 其特 征在于， 包括以下步骤： 步骤1： 搭建系 统， 将客户端、 服务端和DPI设备之间进行系 统搭建， 并两两之间建立连 接； 步骤2： 获取信息， 监听客户端和服务器之间的ARP广播， 获取到报文的服务器IP， 以及 客户端的IP， 并获取D PI设备的MAC地址； 步骤3： 绑定发送， 将服务器的IP和 DPI设备的MAC地址绑定一起， 作为发送方， 将客户端 的IP和广播MAC地址绑定一起作为接收方， 向客户端发送大量ARP广播包， DPI设备的MAC地 址构造ARP广播包并向客户端所在的内网环境广播； 步骤4： 流 量转发， 修改客户端的ARP缓存， 将流 量转发到DPI设备上； 步骤5： 阻断可疑报文， 客户端和服务器建立TCP连接， 根据客户端与服务器之间传输的 TCP握手报文预测SEQ， 并通过TCP连接的三次握手特性和TCP数据头中的标志 位来进行， TCP 数据头包含有ACK标志位， 当可疑报文为客户端发送的报文时， 向客户端发送的RST报文包 括的SEQ值应当是上一次接受的报文的ACK值， 并发送多个报文， DPI设备检测转发过来的报 文中的可疑信息， DPI设备通过打开句柄监收客户端向内网内发送的ARP广播包， 并对ARP广 播包的报文进行检测， 并向客户端发送RST报文以阻断可疑报文， RST报文包括正方向RST报 文和反方向RST报文， 所述正方向RST报文为报文接收端与可疑报文接收端相同的RST报文， 所述反方向RST报文为报文接收端与可疑报文接收端不同的RST报文。权　利　要　求　书 1/1 页 2 CN 113890769 B 2一种TCP阻断方 法 技术领域 [0001]本发明涉及一种TCP阻断方法， 属于网络通信准入 控制技术领域。 背景技术 [0002]旁路阻断技术， 是指在局域网中， 用一台专用的捕获机采用镜像端口的方式捕获 所有经过交换机或者服务器的数据包， 对报史的协 议进行分析， 按照设定的阻断规则， 对需 要阻断的节点进行阻断。 [0003]当前技术使用镜像流量的方式， 通过在路由器处配置镜像端口， 将流量复制一份 到准入设备内， 然后解析所有的包， 判断出包内的IP是否是准入的IP， 然后再进 行阻断或者 重定向操作， 导致发包速率过慢， 客户端或服务端在收到相应之后才收到RST包， 会因为该 包“过时”而丢弃。 因此， 当前技术困难之处在于大量的数据包都到需要接受并解析， 需要高 性能的服 务器和算法， 导 致阻断成功率较低。 发明内容 [0004]为了解决上述 技术问题， 本发明提供一种TCP阻断方法， 其具体技 术方案如下： [0005]一种TCP阻断方法， 包括以下步骤： [0006]步骤1： 搭建系统， 将客户端、 服务端和DPI设备之间进行系统搭建， 并两两之间建 立连接； [0007]步骤2： 获取信息， 监听客户端和服务器之间的ARP广播， 获取到报文的服务器IP， 以及客户端的IP， 并获取D PI设备的MAC地址； [0008]步骤3： 绑定 发送， 将服务器的IP和DP I设备的MAC地址绑定一起， 作为发送 方， 将客 户端的IP和广播MAC地址绑定一 起作为接收方， 向客户端发送大量ARP广播包； [0009]步骤4： 流 量转发， 修改客户端的ARP缓存， 将流 量转发到DPI设备上； [0010]步骤5： 阻断可疑报文， 客户端和服务器建立TCP连接， DPI设备检测转发过来的报 文中的可疑信息， 并向客户端发送RST报文以阻断可疑报文。 [0011]进一步的， 所述步骤3中DPI设备的MAC地址构造ARP广播包并 向客户端所在的内网 环境广播。 [0012]进一步的， 所述步骤5中DPI设备通过打开句柄监收客户端 向内网内发送的ARP广 播包， 并对ARP广播包的报文 进行检测。 [0013]进一步的， 所述步骤5中RST报文包括正方向RST报文和反方向RST报文， 所述正方 向RST报文为报文接收端与可疑报文接收端相同的RST报文， 所述反方向RST报文为报文接 收端与可疑报文接收端不同的RST报文。 [0014]进一步的， 所述步骤5中客户端和服务器建立TCP连接， 根据客户端与服务器之间 传输的TCP握手报文预测SQE， 并通过TCP连接的三次握手特性和TCP数据头中的标志位来进 行。 [0015]进一步的， 所述TCP数据头包含有ACK标志位， 当可疑报文为客户端发送的报文时，说　明　书 1/5 页 3 CN 113890769 B 3