基于Tilera多核板卡網(wǎng)絡(luò)數(shù)據(jù)包郵件還原技術(shù)研究

幸娟+高海源+張曉峰

摘 要：網(wǎng)絡(luò)數(shù)據(jù)包郵件還原技術(shù)基于Tilera多核板卡硬件平臺(tái)的高速收包引擎和多核并行處理性能，對(duì)接重構(gòu)的libnids數(shù)據(jù)流重組功能，分業(yè)務(wù)實(shí)現(xiàn)不同郵件協(xié)議POP3、STMP、IMAP、Webmail的郵件還原流程，最終輸出標(biāo)準(zhǔn)郵件文件格式eml。

關(guān)鍵詞：多核；郵件還原；Webmail；IMAP

中圖分類號(hào)：TN946；TP311.52 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-2064（2017）10-0030-01

在網(wǎng)絡(luò)安全方面對(duì)往來(lái)郵件的關(guān)注度日益增高，如何能在網(wǎng)絡(luò)安全審計(jì)系統(tǒng)中將前端輸入網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行相應(yīng)處理恢復(fù)得到最終直觀可讀的郵件內(nèi)容。為了解決這個(gè)問(wèn)題本文設(shè)計(jì)了基于Tilera多核板卡平臺(tái)開(kāi)發(fā)，借助其高速收包引擎和多核并行處理的高性能進(jìn)行數(shù)據(jù)流捕獲，并對(duì)libnids數(shù)據(jù)流重組進(jìn)行代碼結(jié)構(gòu)重寫(xiě)完成數(shù)據(jù)流重組，最后對(duì)郵件相關(guān)協(xié)議POP3、STMP、IMAP、Webmail進(jìn)行分析，設(shè)計(jì)還原算法，實(shí)現(xiàn)郵件內(nèi)容獲取解析拆分重組等操作，并將內(nèi)容按郵件eml標(biāo)準(zhǔn)格式輸出。

1 Tilera多核板卡收包模塊

基于Tilera平臺(tái)開(kāi)發(fā)，使用高速收包引擎接口mPIPE進(jìn)行開(kāi)發(fā)實(shí)現(xiàn)大數(shù)據(jù)量的網(wǎng)絡(luò)數(shù)據(jù)包捕獲，收包流程如圖1。

該模塊主要通過(guò)接收用戶設(shè)置參數(shù)進(jìn)行相應(yīng)配置和初始化硬件資源，給多核板卡的NotifRng、buckets等進(jìn)行內(nèi)存分配，同時(shí)對(duì)tcp重組的部分進(jìn)行初始化和回調(diào)函數(shù)注冊(cè)，最后調(diào)用mPIPE高速收包接口，peek方式收包進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)包的接入。

2 數(shù)據(jù)流重組模塊設(shè)計(jì)

該模塊（如圖2）主要重構(gòu)修改libnids開(kāi)源代碼，添加與mPIPE的對(duì)接接口，將網(wǎng)絡(luò)數(shù)據(jù)包流量引入tcp流重組模塊，同時(shí)對(duì)libnids的數(shù)據(jù)結(jié)構(gòu)進(jìn)行修改，加入數(shù)據(jù)還原算法需要用到的用戶字段。后進(jìn)入回調(diào)函數(shù)進(jìn)行郵件協(xié)議的分類判斷，根據(jù)端口走入不同的郵件還原模塊算法中。

3 郵件還原模塊設(shè)計(jì)

（1）pop3郵件還原模塊根據(jù)協(xié)議的特征設(shè)計(jì)算法，當(dāng)識(shí)別到TOP或RETR協(xié)議命令時(shí)緩存郵件內(nèi)容并判斷結(jié)束符，最后將完整郵件存入eml文件。

（2）stmp郵件還原模塊的算法和pop3類似，不同的是需要識(shí)別的協(xié)議命令是DATA。

（3）imap郵件還原模塊根據(jù)協(xié)議交互特征，識(shí)別帶用FETCH等請(qǐng)求獲取郵件全部?jī)?nèi)容或部分內(nèi)容的協(xié)議命令時(shí)，組合緩存郵件內(nèi)容結(jié)束符，當(dāng)郵件內(nèi)容到達(dá)時(shí)，判斷結(jié)束符，進(jìn)行單封郵件的循環(huán)拆分和eml存儲(chǔ)。

（4）Http郵件還原模塊根據(jù)郵箱操作的協(xié)議命令格式，每個(gè)操作對(duì)應(yīng)一個(gè)或多個(gè)post或get的url命令格式，其中包含如func=mbox：listMessage"等特征標(biāo)識(shí)，解析并組合其中攜帶的郵件內(nèi)容，抽取mime格式中的From、To等字段信息寫(xiě)入eml文件。

4 結(jié)語(yǔ)

本文基于Tilera多核板卡硬件平臺(tái)進(jìn)行開(kāi)發(fā)，結(jié)合mpipe收包引擎接口和libnids數(shù)據(jù)流重組功能，針對(duì)郵件協(xié)議特征設(shè)計(jì)算法實(shí)現(xiàn)POP3、STMP、IMAP、Webmail的郵件還原。

參考文獻(xiàn)

[1]丁岳偉.基于SMTP協(xié)議電子郵件的還原[J].小型微型計(jì)算機(jī)系統(tǒng)，2002（03）：290-293.

[2]吳勛，劉嘉勇.網(wǎng)絡(luò)數(shù)據(jù)包的郵件還原技術(shù)研究[J].通訊技術(shù)，2011（04）：124-126.

[3]KOZIEROK. TCP/IP指南.北京：人民郵電出版社，2008.