(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111350492.3 (22)申请日 2021.11.15 (71)申请人 北京天地和兴科技有限公司 地址 100000 北京市海淀区东北旺西路8号 中关村软件园8号楼三层316室 (72)发明人 王小东　陈浩　 (74)专利代理 机构 北京劲创知识产权代理事务 所(普通合伙) 11589 代理人 田亚飞 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/06(2022.01) H04L 69/22(2022.01) G06F 16/2455(2019.01) G06F 16/28(2019.01) (54)发明名称 一种工控防火墙的抓包方法 (57)摘要 本发明公开了一种工控防火墙的抓包 方法， 包括以下步骤： 步骤1： 系统启动时会启动一个监 控进程； 步骤2： 前端将配置下发到中间层； 步骤 3： 中间层将配置参数存入mysql数据库； 步骤4： 步骤1开启的监控进程中， 读取mysql数据库； 步 骤5： 如果正在抓包， 执行步骤6； 步骤6： 检查抓包 时长是否超过限制， 若超过限制， 则停止抓包进 程； 步骤7： 根据配置的参数， 生成t cpdump抓包命 令， 启动一个进程， 执行tcpdump抓包； 步骤8： 如 果正在抓包， 则停止抓包进程。 本发明可 以针对 需求， 配置抓包的接口， 报文方向， 报文的源地 址、 源端口、 目的地址、 目的端口、 传输层协议 (TCP/UDP等)， 抓包文件的大小。 将抓到的报 文存 储为pcap文件， 并且提供下载功能， 将报文下载 下来进行分析。 权利要求书1页 说明书2页 附图1页 CN 114124505 A 2022.03.01 CN 114124505 A 1.一种工控防火墙的抓包方法， 其特 征在于， 包括以下步骤： 步骤1： 系统启动时会启动一个监控进程； 步骤2： 前端将配置下发到中间层； 步骤3： 中间层将配置参数存 入mysql数据库； 步骤4： 步骤1开启的监控进程中， 读取mysql数据库； 步骤5： 如果 正在抓包， 执 行步骤6； 步骤6： 检查 抓包时长是否超过限制， 若超过限制， 则停止抓包进程； 步骤7： 根据配置的参数， 生成tcpdump抓包 命令， 启动一个进程， 执 行tcpdump抓包； 步骤8： 如果 正在抓包， 则停止抓包进程。 2.根据权利要求1所述的一种工控 防火墙的抓包方法， 其特征在于， 所述步骤4中如果 抓包开关为 开， 执行步骤5， 如果 抓包开关为关， 则执 行步骤8。 3.根据权利要求1所述的一种工控 防火墙的抓包方法， 其特征在于， 所述步骤5中如果 没有抓包， 则执 行步骤7。 4.根据权利要求1所述的一种工控 防火墙的抓包方法， 其特征在于， 所述步骤6中检查 抓包大小是否超过限制， 如超过限制， 则停止抓包进程。 5.根据权利要求1所述的一种工控 防火墙的抓包方法， 其特征在于， 所述步骤2中配置 项包括配置抓包的接口， 报文方向， 报文的源地址、 源端口、 目的地址、 目的端口、 传输层协 议(TCP/UD P等)以及抓包文件的大小。 6.根据权利要求1所述的一种工控防火墙的抓包方法， 其特征在于， 所述抓到的报文存 储为pcap文件， 并且提供 下载功能， 将 报文下载下来进行分析。权　利　要　求　书 1/1 页 2 CN 114124505 A 2一种工控防火墙的抓 包方法 技术领域 [0001]本发明涉及工控防火墙抓包技 术领域， 尤其涉及一种工控防火墙的抓包方法。 背景技术 [0002]随着工业信息化建设不断发展及 “两化”进程不断深入， 工业网络面临的传统安全 威胁和工控网络特有安全威胁在不断增加。 工业网络互连程度的提高使传统安全威胁可以 迅速渗透到工业网络中， 原本封闭的工业网络早期并没有考虑相应的安全防护措施， 在数 据盗取、 接入认证、 无线连接、 安全追溯等多方面 都存在严重的安全风险。 由此可见， 工业网 络目前存在极大的安全隐患， 急需提供全面、 纵深的安全防御策略进 行有效的保护。 而边界 安全防护便是首当其冲的重要关键环节， 工业防火墙自然也就成为了工业网络边界安全建 设的首选安全设备。 工控防火墙是一种用于工业领域的安全防护类产品， 在一些现场环境 中， 需要对网络进行抓包来调试环境。 [0003]现有技术为通过搭建物理环境， 在工控防火墙的两端接交换机， 把抓包机接到两 端交换机的汇聚口， 开启抓包软件， 比如： wireshark， 在对应网卡上抓包， 但是需要耗费大 量的人力物力， 配置 繁琐， 而且可能会影响原有网络的拓扑， 造成其 他问题。 发明内容 [0004]1.要解决的技 术问题 [0005]本发明的目的是为了解决现有技术需要耗费大量的人力物力， 配置繁琐， 而且可 能会影响原有网络的拓扑的问题， 而提出的一种工控防火墙的抓包方法。 [0006]2.技术方案 [0007]为了实现上述目的， 本发明采用了如下技 术方案： [0008]一种工控防火墙的抓包方法， 包括以下步骤： [0009]步骤1： 系统启动时会启动一个监控进程； [0010]步骤2： 前端将配置下发到中间层； [0011]步骤3： 中间层将配置参数存 入mysql数据库； [0012]步骤4： 步骤1开启的监控进程中， 读取mysql数据库； [0013]步骤5： 如果 正在抓包， 执 行步骤6； [0014]步骤6： 检查 抓包时长是否超过限制， 若超过限制， 则停止抓包进程； [0015]步骤7： 根据配置的参数， 生成tcpdump抓包命令， 启动一个进程， 执行tcpdump抓 包； [0016]步骤8： 如果 正在抓包， 则停止抓包进程。 [0017]优选地， 所述步骤4中如果抓包开关为开， 执行步骤5， 如果抓包开关为关， 则执行 步骤8。 [0018]优选地， 所述 步骤5中如果没有抓包， 则执 行步骤7。 [0019]优选地， 所述 步骤6中检查 抓包大小是否超过限制， 如超过限制， 则停止抓包进程。说　明　书 1/2 页 3 CN 114124505 A 3