CN101110668A - 溯源到二层交换机端口的方法 - Google Patents
溯源到二层交换机端口的方法 Download PDFInfo
- Publication number
- CN101110668A CN101110668A CNA2006100992286A CN200610099228A CN101110668A CN 101110668 A CN101110668 A CN 101110668A CN A2006100992286 A CNA2006100992286 A CN A2006100992286A CN 200610099228 A CN200610099228 A CN 200610099228A CN 101110668 A CN101110668 A CN 101110668A
- Authority
- CN
- China
- Prior art keywords
- address
- layer
- port
- tracing
- network management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种溯源到二层交换机端口的方法,该方法包括步骤:网络管理设备接收到溯源请求消息后,根据所述溯源请求消息中的IP地址找到所述IP地址所属网段的三层交换设备,得到所述IP地址对应的主机的物理地址,以及所述三层交换设备的下连端口;所述网络管理设备读取所述下连端口连接的二层交换机中的物理地址表,根据所述物理地址表以及所述物理地址获得所述主机上连的二层交换机的端口号。通过本发明,可以找到网络中任意一个想要溯源的IP地址的主机上连的二层交换机的端口。
Description
技术领域
本发明涉及一种溯源到二层交换机端口的方法,特别是一种用于复杂的三层交换网络中利用简单网络管理协议(SNMP)溯源到目标主机直接相连的二层交换机接入端口的方法。
背景技术
由于IP网络环境的开放性以及IPv4在设计时缺乏对安全问题的考虑,IP网络的安全形势十分严峻,从2001年的红色代码、蓝色代码,到2004年的冲击波、震荡波等蠕虫病毒,都造成了比较严重的后果。当面对恶性蠕虫和大规模拒绝服务攻击时,很重要的一个工作就是准确定位出流量从何处发出,即此类异常流量的溯源。
如图1所示,在三层网络中,对恶意攻击、病毒等引起的大流量的溯源是比较简单的。三层网络是由路由器A、三层交换机B等工作在三层的网络设备组成,每个三层设备都有路由表、ARP(Address ResolutionProtocol,地址解析协议)表等信息。在三层网络中,只要查找到发出攻击、病毒的源I P地址,就可以根据三层设备中的路由信息,一跳一跳找出流量发起的源,直到三层网络边界的三层设备的端口。获得源IP地址和路由信息的方法有很多,比较普遍的是:通过NetFlow/cFlowd/Sflow/NetStream等技术获得流量的源IP地址,与网络设备建立BGP(Border Gateway Protocol,边界网关协议)邻居关系获得路由信息,两者结合后便可完成在三层网络中的溯源。其中,NetFlow流量分析器是Cisco IOS设备内嵌的一个功能,NetFlow数据记录中包含了源地址和目的地址,端到端会话所使用的协议和端口等信息。
但是三层网络的边缘路由器很少直接连接主机D,而是通过二层交换机C和三层交换机B连接更多的主机。因此溯源到三层设备的端口无法直接找到发出攻击、病毒的主机。
发明内容
本发明的目的在于针对上述现有技术存在的不足,提供一种溯源到二层交换机端口的方法,能够找到主机所接入的二层交换机的端口。
为实现上述目的,本发明提供了一种溯源到二层交换机端口的方法,包括以下步骤:
步骤1、网络管理设备接收到溯源请求消息后,根据所述溯源请求消息中的IP地址找到所述IP地址所属网段的三层交换设备;
步骤2、所述网络管理设备得到所述IP地址对应的物理地址以及所述三层交换设备的下连端口;
步骤3、所述网络管理设备读取所述下连端口连接的二层交换机中的物理地址表;
步骤4、所述网络管理设备根据所述物理地址表以及所述物理地址获得所述主机上连的二层交换机的端口号。
通过网络管理设备读取所述三层设备中的地址解析表,获得要溯源的主机的物理地址,并根据所述IP地址将二层交换机的搜索范围缩到最小,从而提高溯源效率,同时根据获得的所述主机的物理地址以及二层交换机中的物理地址表找到连接所述主机的端口。
上述方案中,所述网络管理设备利用简单网络管理协议读取三层交换设备或二层交换机中的地址解析表和/或物理地址表。所述步骤1之前还包括:利用流量分析器获取发出流量的主机的IP地址,即首先获得发出可疑流量的IP地址,这样就可以进一步将发出攻击、病毒的IP地址溯源到其主机连接的二层交换机的端口,从而找到网络破坏根源。
当IP地址所属网段的三层交换设备为路由器时,所述步骤2具体为,所述网络管理设备根据路由器中的地址解析表得到所述IP地址对应的物理地址,根据所述IP地址所属网段找到路由器的下连端口。
当IP地址所属网段的三层交换设备为三层交换机时,所述步骤2具体为,所述网络管理设备根据三层交换机中的地址解析表得到所述IP地址对应的物理地址,进而根据所述三层交换机中的物理地址表,找到所述三层交换机的下连端口。
通过本发明,可以找到网络中任意一个想要溯源的IP地址的主机上连的二层交换机的端口。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为本发明溯源到二层交换机端口方法的背景技术中的网络拓扑图;
图2为本发明溯源到二层交换机端口方法的一较佳实施例的流程图;
图3为本发明溯源到二层交换机端口方法的另一较佳实施例的流程图。
具体实施方式
本发明解决如何在交换式网络中,根据源IP地址溯源到主机直接相连的二层交换机接入端口。网络管理设备使用SNMP(Simple NetworkManagement Protocol,简单网络管理协议)读取交换设备中的ARP表和/或MAC表。使用本发明可以溯源网络中任意想要溯源的IP地址的主机。图2为本发明溯源到二层交换机端口的方法的较佳实施例的流程图,假如已知网络中某一IP地址64.1.0.6,具体通过执行以下步骤溯源到其主机所连接的二层交换机的端口。
步骤11、网络管理设备接收到对IP地址为64.1.0.6的溯源请求后,根据路由表获得64.1.0.6的三层交换设备;
步骤12、如果该三层交换设备为路由器,且该路由器的端口Ethernet 3的网段为64.1.0.0/6,则网络管理设备利用SNMP读取该路由器中的ARP表,获得64.1.0.6对应的MAC地址如0009.6bc4.d4bf;
步骤13、网络管理设备利用SNMP读取接入路由器端口Ethernet 3下连的二层交换机中的MAC表;
步骤14、网络管理设备从MAC表中获得0009.6bc4.d4bf对应的二层交换机的端口号40。
这时,网络管理设备已溯源到64.1.0.6连接的二层交换机接入的端口,通过端口40即可溯源到64.1.0.6的主机。
图3为本发明溯源到二层交换机端口方法的另一较佳实施例的流程图,本实施例以所要溯源的IP地址接入的三层交换设备为三层交换机为实施例,
具体执行以下步骤:
步骤21、网络管理设备接收到对IP地址为64.1.0.6的溯源请求后,根据路由表获得64.1.0.6的三层交换设备为三层交换机;
步骤22、所述网络管理设备读取该三层交换机中的ARP表和MAC表,获得64.1.0.6对应的MAC地址0009.6bc4.d4bf以及0009.6bc4.d4bf对应的三层交换机的端口19;
步骤23、网络管理设备利用SNMP读取接入三层交换机端口19下连的二层交换机中的MAC表;
步骤24、网络管理设备从MAC表中获得0009.6bc4.d4bf对应的二层交换机的端口号40。
同样,网络管理设备也溯源到了64.1.0.6连接的二层交换机接入的端口,通过端口40即可溯源到64.1.0.6的主机。
当系统要溯源发起攻击或病毒的IP地址时,在步骤11之前,还可以首先通过流量分析器获取流量较大的可疑IP地址,然后执行步骤11和步骤12,就可以溯源到发起攻击或病毒的主机。
另外,网络管理设备溯源到二层交换机端口后,还可以将溯源的IP地址、主机的MAC地址以及二层交换机端口的号码一一对应地存储,获得一张动态的三者对应关系表。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围。
Claims (6)
1.一种溯源到二层交换机端口的方法,其特征在于执行以下步骤:
步骤1、网络管理设备接收到溯源请求消息后,根据所述溯源请求消息中的IP地址找到所述IP地址所属网段的三层交换设备;
步骤2、所述网络管理设备得到所述IP地址对应的物理地址以及所述三层交换设备的下连端口;
步骤3、所述网络管理设备读取所述下连端口连接的二层交换机中的物理地址表;
步骤4、所述网络管理设备根据所述物理地址表以及所述物理地址获得所述主机上连的二层交换机的端口号。
2.根据权利要求1所述的溯源到二层交换机端口的方法,其特征在于所述步骤1之前还包括:利用流量分析器获取发出流量的主机的IP地址。
3.根据权利要求1所述的溯源到二层交换机端口的方法,其特征在于,所述网络管理设备通过简单网络管理协议读取三层交换设备或二层交换机中的地址解析表和/或物理地址表。
4.根据权利要求1-3任意一项所述的溯源到二层交换机端口的方法,其特征在于,所述步骤2具体为,所述网络管理设备根据路由器中的地址解析表得到所述IP地址对应的物理地址,根据所述IP地址所属网段找到路由器的下连端口。
5.根据权利要求1-3任意一项所述的溯源到二层交换机端口的方法,其特征在于,所述步骤2具体为,所述网络管理设备根据三层交换机中的地址解析表得到所述IP地址对应的物理地址,进而根据所述三层交换机中的物理地址表,找到所述三层交换机的下连端口。
6.根据权利要求1-3任意一项所述的溯源到二层交换机端口的方法,其特征在于所述步骤4之后还进一步包括:所述网络管理设备将所述IP地址、所述主机的MAC地址以及二层交换机的端口号对应存储。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006100992286A CN100574182C (zh) | 2006-07-21 | 2006-07-21 | 溯源到二层交换机端口的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006100992286A CN100574182C (zh) | 2006-07-21 | 2006-07-21 | 溯源到二层交换机端口的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101110668A true CN101110668A (zh) | 2008-01-23 |
| CN100574182C CN100574182C (zh) | 2009-12-23 |
Family
ID=39042578
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2006100992286A Active CN100574182C (zh) | 2006-07-21 | 2006-07-21 | 溯源到二层交换机端口的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100574182C (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102904741A (zh) * | 2011-07-29 | 2013-01-30 | 蓬莱中柏京鲁船业有限公司 | 一种网络设备及其设置方法 |
| CN106470213A (zh) * | 2016-10-17 | 2017-03-01 | 杭州迪普科技股份有限公司 | 一种攻击报文的溯源方法和装置 |
| CN107888563A (zh) * | 2017-10-17 | 2018-04-06 | 北京北信源软件股份有限公司 | 一种终端接入位置的确定方法与装置 |
| CN108769055A (zh) * | 2018-06-14 | 2018-11-06 | 北京神州绿盟信息安全科技股份有限公司 | 一种虚假源ip检测方法及装置 |
-
2006
- 2006-07-21 CN CNB2006100992286A patent/CN100574182C/zh active Active
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102904741A (zh) * | 2011-07-29 | 2013-01-30 | 蓬莱中柏京鲁船业有限公司 | 一种网络设备及其设置方法 |
| CN106470213A (zh) * | 2016-10-17 | 2017-03-01 | 杭州迪普科技股份有限公司 | 一种攻击报文的溯源方法和装置 |
| CN107888563A (zh) * | 2017-10-17 | 2018-04-06 | 北京北信源软件股份有限公司 | 一种终端接入位置的确定方法与装置 |
| CN107888563B (zh) * | 2017-10-17 | 2020-07-14 | 北京北信源软件股份有限公司 | 一种终端接入位置的确定方法与装置 |
| CN108769055A (zh) * | 2018-06-14 | 2018-11-06 | 北京神州绿盟信息安全科技股份有限公司 | 一种虚假源ip检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100574182C (zh) | 2009-12-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108683682B (zh) | 一种基于软件定义网络的DDoS攻击检测及防御方法和系统 | |
| EP2346205B1 (en) | A method and device for preventing network attack | |
| Mankin et al. | On design and evaluation of" intention-driven" ICMP traceback | |
| Kiravuo et al. | A survey of Ethernet LAN security | |
| US7565426B2 (en) | Mechanism for tracing back anonymous network flows in autonomous systems | |
| EP2782309B1 (en) | Bidirectional forwarding detection (bfd) session negotiation method, device and system | |
| Wu et al. | Source address validation: Architecture and protocol design | |
| US8799444B2 (en) | Automated host discovery and path tracing by network management server | |
| EP2345212A1 (en) | Method and apparatus for forwarding data packets using aggregating router keys | |
| US20080127324A1 (en) | DDoS FLOODING ATTACK RESPONSE APPROACH USING DETERMINISTIC PUSH BACK METHOD | |
| WO2010072096A1 (zh) | IPv6环境下提高邻居发现安全性的方法及宽带接入设备 | |
| US7869394B1 (en) | Limiting data packet forwarding to trusted ports | |
| CN104954367A (zh) | 一种互联网全向跨域DDoS攻击防护方法 | |
| CN102594834B (zh) | 网络攻击的防御方法及装置、网络设备 | |
| CN100574182C (zh) | 溯源到二层交换机端口的方法 | |
| CN103167049B (zh) | 按需分配的网络地址转换方法、设备和系统 | |
| CN102916897A (zh) | 一种实现vrrp负载分担的方法和设备 | |
| Lu et al. | A novel path‐based approach for single‐packet IP traceback | |
| Andersen et al. | Holding the Internet Accountable. | |
| Li et al. | SDN-Ti: a general solution based on SDN to attacker traceback and identification in IPv6 networks | |
| Chen et al. | Preventing DRDoS attacks in 5G networks: a new source IP address validation approach | |
| CN112615851A (zh) | CoLoR架构下多种安全检验机制相结合的边界路由器 | |
| US20060225141A1 (en) | Unauthorized access searching method and device | |
| KR102092015B1 (ko) | 소프트웨어 정의 네트워크에서 네트워크 장비를 인식하는 방법, 장치 및 컴퓨터 프로그램 | |
| CN101155034A (zh) | 一种在网络设备上防止用户特定包攻击的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |