CN101300811B - 窥探回波响应提取方法和提取器 - Google Patents

窥探回波响应提取方法和提取器 Download PDF

Info

Publication number
CN101300811B
CN101300811B CN2006800409290A CN200680040929A CN101300811B CN 101300811 B CN101300811 B CN 101300811B CN 2006800409290 A CN2006800409290 A CN 2006800409290A CN 200680040929 A CN200680040929 A CN 200680040929A CN 101300811 B CN101300811 B CN 101300811B
Authority
CN
China
Prior art keywords
address
equipment
network
computer implemented
spying
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2006800409290A
Other languages
English (en)
Other versions
CN101300811A (zh
Inventor
T·A·布朗
S·P·马伦
V·文卡塔苏布拉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of CN101300811A publication Critical patent/CN101300811A/zh
Application granted granted Critical
Publication of CN101300811B publication Critical patent/CN101300811B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1475Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

提供了一种用于确定网络环境中的窥探设备的机制。窥探回波响应提取器生成回波请求分组,该回波请求分组具有将仅由窥探设备接收的假MAC地址。所述窥探回波响应提取器还使用将导致所述窥探设备响应所述回波请求的IP地址。

Description

窥探回波响应提取方法和提取器
技术领域
本发明一般地涉及数据处理领域,具体地说,涉及网络安全。更具体地说,本发明涉及用于从网络数据处理系统中的窥探设备提取回波响应(echo response)的方法、装置和程序。 
背景技术
人们已投入大量的工作来开发检测和响应安全威胁的网络安全产品。黑客使用的两种最常见的技术是端口扫描和网络窥探。网络窥探尤其危险,因为窥探被动地侦听网络上的所有业务并收集有关用户标识和密码的信息。 
可以通过考虑围坐在餐桌旁的一组人来理解检测某人在网络上窥探的问题。这些人的眼睛被蒙起来。每个人都可以通过直接对话与其他人交谈。每个人都同意他们不会倾听任何自己没有直接参与的对话。但是,某个欺骗参与者可能坐在餐桌旁边并偷听所有对话。此外,此欺骗者可能以合理的方式发表餐桌讲话。人们可能不知道此欺骗者的存在。即使他们确实知道此欺骗者的存在,他们也不知道此欺骗者的身份。 
以类似的方式,黑客可以修改计算机设备以偷听网络业务。例如,临时雇员可以以窥探模式设置计算机以记录用户标识和密码。使用有效的用户标识和密码,黑客可以例如获取对敏感信息的访问。黑客可以携带便携式计算机隐藏在无线路由器范围内的楼梯间中并窃取机密信息。 
发明内容
本发明认识到现有技术的缺点并提供了一种用于从计算机网络中的窥 探设备提取响应的技术。连接到所述计算机网络的分组源设备生成具有假硬件地址和有效网络协议地址的回波请求分组。所述分组源设备在所述计算机网络上发送所述回波请求分组。响应于在所述计算机网络上接收到回波响应分组,所述分组源设备确定窥探设备的存在。 
附图说明
在所附权利要求中说明了被认为是本发明特性的新颖特征。但是,当结合附图阅读时,通过参考以下对示例性实施例的详细说明,可以最佳地理解发明本身以及优选使用方式,进一步的目标和优点,这些附图是: 
图1示出了其中可实现本发明的各方面的数据处理系统网络的图形表示; 
图2是其中可实现本发明的各示例性方面的数据处理系统的方块图; 
图3A和3B示出了根据本发明的各示例性方面的窥探回波响应提取器的操作; 
图4是示出根据本发明的各示例性方面的窥探设备的方块图; 
图5A-5C示出了根据本发明的各示例性方面的实例回波请求分组; 
图6是示出根据本发明的示例性实施例的使用循环IP地址的窥探回波响应提取器的操作的流程图;以及 
图7是示出根据本发明的示例性实施例的使用广播IP地址的窥探回波响应提取器的操作的流程图。 
具体实施方式
作为其中可实现本发明的各实施例的数据处理环境的示意图提供了图1-2。应当理解图1-2只是示例性的,并非旨在断言或暗示对其中可实现本发明的各方面或实施例的环境的任何限制。可以在不偏离本发明的精神和范围的情况下对所述环境做出许多修改。 
现在参考附图,图1示出了可以在其中实现本发明的各方面的数据处理系统网络的图形表示。网络数据处理系统100是可以在其中实现本发明 的各实施例的计算机网络。网络数据处理系统100包含网络102,网络102是用于提供在网络数据处理系统100内连接在一起的各种设备和计算机之间的通信链路的介质。网络102可以包括连接,例如有线、无线通信链路或光缆。 
在所示实例中,服务器104和存储装置106连接到网络102。此外,客户机112、114、116和118连接到网络102。这些客户机112、114、116、118可以例如是个人计算机或网络计算机。具体地说,客户机112可以是通过无线通信连接到网络102的便携式计算机。客户机114和116可以例如是台式计算机。客户机118可以例如是个人数字助理(PDA)、平板计算机或电话设备。在所示实例中,服务器104向客户机112、114、116和118提供数据,例如引导文件、操作系统映像、数据文件和应用。在此实例中,客户机112、114、116和118是服务器104的客户机。网络数据处理系统100可以包括其他服务器、客户机以及其他未示出的设备。 
在所示实例中,网络数据处理系统100是因特网,同时网络102代表全球范围内使用传输控制协议/网际协议(TCP/IP)协议集来相互通信的网络和网关的集合。在因特网的核心是主节点或主机之间的高速数据通信线路的主干,它包括数以千计的商业、政府、教育以及其他路由数据和消息的计算机系统。当然,网络数据处理系统100也可以被实现为许多不同类型的网络,例如企业内部互联网、局域网(LAN)或广域网(WAN)。图1旨在作为一个实例,并非作为对本发明的不同实施例的体系结构限制。 
现在参考图2,图2示出了可以在其中实现本发明的各示例性方面的数据处理系统的方块图。数据处理系统200是可以在其中找到实现本发明的实施例的过程的计算机可用代码或指令的计算机(例如图1中的服务器104或客户机110)的实例。 
在所示实例中,数据处理系统200采用包括北桥和存储器控制中心(MCH)202以及南桥和输入/输出(I/O)控制中心(ICH)204的中心体系结构。处理单元206、主存储器208和图形处理器210连接到北桥和存储器控制中心202。图形处理器210可以通过加速图形端口(AGP)连接 到北桥和存储器控制中心202。 
局域网(LAN)适配器212连接到南桥和I/O控制中心204。音频适配器216、键盘和鼠标适配器220、调制解调器222、只读存储器(ROM)224、硬盘驱动器(HDD)226、CD-ROM驱动器230、通用串行总线(USB)端口和其他通信端口232,以及PCI/PCIe设备234通过总线238和总线240连接到南桥和I/O控制中心204。PCI/PCIe设备可以包括例如用于笔记本计算机的以太网适配器、插入卡和PC卡。PCI使用卡总线控制器,而PCIe则不使用。ROM 224可以例如是闪速二进制输入/输出系统(BIOS)。 
硬盘驱动器226和CD-ROM驱动器230通过总线240连接到南桥和I/O控制中心204。硬盘驱动器226和CD-ROM驱动器230可以使用例如集成驱动电子设备(IDE)或串行高级技术附件(SATA)接口。超级I/O(SIO)设备236可以连接到南桥和I/O控制中心204。 
操作系统在处理单元206上运行并对图2中数据处理系统200内的各种组件进行协调和控制。作为客户端,操作系统可以是商用操作系统,例如 
Figure S2006800409290D00041
(Microsoft和Windows是MicrosoftCorporation在美国和/或其他国家/地区的商标)。面向对象的编程系统(例如JavaTM编程系统)可以与操作系统一起运行并从数据处理系统200上执行的Java程序或应用提供对操作系统的调用(Java是SunMicrosystems,Inc.在美国和/或其他国家/地区的商标)。 
作为服务器,数据处理系统200可以例如是运行高级交互执行 操作系统或LINUX操作系统的IBM eServerTM 计算机系统(eServer、pSeries和AIX是国际商业机器公司在美国和/或其他国家/地区的商标,而Linux是Linus Torvalds在美国和/或其他国家/地区的商标)。数据处理系统200可以是在处理单元206中包括多个处理器的对称多处理器(SMP)系统。备选地,可以采用单处理器系统。 
用于操作系统、面向对象的编程系统以及应用或程序的指令位于诸如硬盘驱动器226之类的存储设备上,并且可以被加载到主存储器208以便由处理单元206执行。处理单元206可以使用计算机可用程序代码执行本 发明的实施例的过程,所述计算机可用程序代码可以位于诸如主存储器208、只读存储器224之类的存储器中或一个或多个外围设备226和230中。 
本领域的技术人员将理解,图1-2中的硬件可以根据实施方式而有所变化。除了图1-2中所示的硬件或替代图1-2中所示的硬件,还可以使用诸如闪存、等价非易失性存储器或光盘驱动器之类的其他内部硬件或外围设备。此外,本发明的过程可以应用于多处理器数据处理系统。 
在某些示例性实例中,数据处理系统200可以是个人数字助理(PDA),其配置有闪存以提供非易失性存储器来存储操作系统文件和/或用户生成的数据。 
总线系统可以包括一条或多条总线,例如图2中所示的总线238或总线240。当然,总线系统可以使用任何类型的通信结构或体系结构实现,所述结构或体系结构可在与它们连接的不同组件或设备之间提供数据传输。通信单元可以包括一个或多个用于发送和接收数据的设备,例如图2的调制解调器222或网络适配器212。存储器可以例如是主存储器208、只读存储器224,或者例如在图2的北桥和存储器控制中心202中找到的高速缓存。图1-2中所示实例和上述实例并非旨在暗示体系结构限制。例如,除了采用PDA的形式之外,数据处理系统200也可以是平板计算机、便携式计算机或电话设备。 
返回图1,欺骗客户机120也连接到网络102。欺骗客户机120可以是以窥探模式运行以接收和记录网络102上的网络业务的未经授权的计算设备。例如,临时雇员可以以窥探模式设置计算机以记录用户标识和密码。使用有效的用户标识和密码,黑客可以获取对敏感信息的访问。黑客可以携带便携式计算机(例如所示实例中的欺骗客户机102)隐藏在网络102的无线路由器范围内的楼梯间中并窃取机密信息。 
一种解决方案可以是使用虚构的用户标识和密码模拟有关登录到虚构服务器的对话。然后,欺骗者将尝试进行相同的对话。 
根据本发明的各示例性方面,网络上的设备将生成其他设备不应对其 进行应答的回波响应分组。使用其中在硬件层和网络地址层不同地处理分组的方式,可以诱骗欺骗者发送响应。因此,将标识出欺骗者。 
图3A和3B示出了根据本发明的各示例性方面的窥探回波响应提取器的操作。对于图3A,分组源设备304通过网络302向分组目的地设备306发送分组。所述分组包括路由信息。此路由信息包括目的地介质访问控制(MAC)地址和目的地网际协议(IP)地址。MAC地址是烧入以太网和令牌环适配器的从其他所有组件中标识网络接口卡(NIC)的唯一序列号。MAC地址是硬件地址,而IP地址是网际协议(或网络软件)地址。可以在国际标准组织(ISO)的七层网络模型中找到分组路由的详细信息。在构造要发送的分组之前,分组源设备304必须首先标识目的地设备306的MAC地址。源设备304的操作系统发送地址解析协议(ARP)调用以获取目的地设备的MAC地址。如果分组目的地设备306不是本地的,则源设备304的操作系统将该分组发送到路由器,路由器又在网络上发出ARP调用。如果路由器获得ARP响应,它将直接向所述MAC地址发送分组。如果路由器没有获得响应,则它将该分组发送到其他路由器。 
窥探设备320是以窥探模式执行的计算设备,这意味着窥探设备320接收发向其他设备的分组。也就是说,不同于典型的计算设备(仅接收具有与它自己的已配置MAC地址匹配的目的地MAC地址的分组),窥探设备320接收分组而不考虑MAC地址。这也被称为以混杂模式运行网络接口卡(NIC)。在图3A中所示的实例中,窥探设备320接收发向分组目的地设备306的分组。 
返回图3B,源设备304生成回波请求分组。回波请求也称为“ping”,这是网际分组探测器的简写。Ping是用于通过发出分组并等待响应来确定是否可在线访问特定IP地址的因特网实用程序。Ping还可以用于测试和调试网络,以及查看用户或服务器是否在线。 
根据本发明的各示例性方面,发送设备304发送具有假目的地MAC地址和有效IP地址或以太网广播地址的回波请求。因此,检查该IP地址的唯一方式是设备忽略MAC地址并读取分组。换言之,只有窥探设备才响应 被MAC定址到其他目的地的回波请求。 
在所示实例中,使用“虚假的”或“更改后的”MAC地址。为了检测某些设备,需要“广播”或“多播”MAC地址。这将导致窥探设备以取决于设备的独特方式响应ping。例如,设备可能在窥探时响应两次,而在未窥探时仅响应一次。广播地址通常可用于传输地址解析请求或者向网络上的每个节点或网络的一部分通知服务。多播地址通常用于将一条消息同时传输到多个接收方。多播是类似于广播的一对多传输,但多播意味着发送到特定组,而广播意味着发送到每个人。 
在所示实例中,窥探设备320在硬件层处忽略目的地MAC地址并将分组转发到网际协议层。在这种情况下,对于窥探设备320,所述IP地址是有效IP地址。这可以通过遍历子网中的所有地址或通过使用广播IP地址实现,如下所述。由于IP地址对窥探设备320有效,因此窥探设备将处理分组并返回回波分组。 
图4是示出根据本发明的各示例性方面的窥探设备的方块图。图4中所示的窥探设备400是以混杂模式运行的设备。此类窥探设备以公知的方式运行。但是,由于本发明的窥探回波响应提取技术,窥探设备400被“诱骗”响应回波请求,因此将自身标识为以混杂模式运行的设备。 
窥探设备400包括硬件层410和网际协议层420。硬件层410可以例如是网络接口卡(NIC)。窥探设备400在硬件层410接收回波请求。在步骤412中,硬件层410忽略分组的目的地MAC地址并将分组转发到IP层420。 
在步骤422中,IP层420记录分组信息。在步骤424中,IP层420判定目的地IP地址是否与系统的已配置IP地址匹配。如果IP地址不匹配,则在步骤426中IP层420将忽略分组。但是,如果在步骤424中IP地址匹配,则在步骤428中IP层420将处理分组。如果为回波请求,则处理分组的结果是IP层420生成回波响应,此回波响应在网络上通过硬件层410被返回。 
因此,本发明的一个目标是生成具有将被窥探设备400处理的IP地址 的回波请求。实现此目标的一种方式是遍历子网中的所有IP地址,针对每个IP地址发送一个回波请求。但是,某些IP地址将由合法设备使用;因此,根据本发明的一个示例性方面,发送设备使用假MAC地址。只有混杂设备将接收具有假目的地MAC地址的分组。当发送目的地IP地址与窥探设备400的配置IP地址匹配的回波请求时,窥探设备400将处理分组并返回回波响应。 
根据本发明的另一个示例性实施例,提取回波响应的另一种方式是生成具有假MAC地址和广播IP地址的回波请求分组。如果网络上的每个设备接收此类分组,则设备将处理分组。但是,合法设备的硬件层将由于假目的地MAC地址而忽略此类分组。然而,窥探设备400将忽略MAC地址并将分组转发到IP层以进行处理。由于广播IP地址对于设备400有效,因此窥探设备400将处理分组并返回回波响应。 
图5A-5C示出了根据本发明的各示例性方面的实例回波请求分组。更具体地说,图5A示出了典型的回波响应分组。图5A中所示的分组包括源MAC地址和目的地MAC地址。 
转到图5B,将目的地MAC地址设置为假MAC地址。因此,任何响应图5B的回波请求分组的设备都肯定以窥探模式运行。还要指出的是,图5B中的分组具有有效的目的地IP地址。为了处理分组,接收设备必须查找与设备的已配置IP地址匹配的IP地址。根据本发明的一个示例性实施例,发送设备重复生成和发送回波请求分组,从而遍历子网中的各IP地址。 
现在参考图5C,使用广播IP地址生成回波响应消息。再次地,目的地MAC地址是假MAC地址。因此,除非连接到网络的设备以窥探模式运行,否则将不会接收到响应。在图5C中所示的实例中,将目的地IP地址设置为广播IP地址。在所示实例中,广播IP地址为“255.255.255.0”;但是,广播IP地址可以随网络配置而不同。 
图6是示出根据本发明的示例性实施例的使用循环IP地址的窥探回波响应提取器的操作的流程图。图7是示出根据本发明的示例性实施例的使用广播IP地址的窥探回波响应提取器的操作的流程图。将理解的是,流程 图说明的每个方块,以及流程图说明中的方块组合都可以由计算机程序指令实现。 
这些计算机程序指令可以被提供给处理器或其他可编程数据处理装置以生成机器,以便在所述处理器或其他可编程数据处理装置上执行的指令产生用于实现一个或多个流程图方块中指定的功能的装置。这些计算机程序指令也可以被包含在能够指示处理器或其他可编程数据处理装置以特定方式运行的计算机可读存储器、存储装置或传输介质中,以便存储在计算机可读存储器或存储介质中的指令生成包括实现一个或多个流程图方块中指定的功能的指令装置的制品。 
相应地,流程图说明的方块支持用于执行指定功能的装置组合、用于执行指定功能的步骤组合以及用于执行指定功能的计算机可用程序代码。还将理解的是,流程图说明的每个方块,以及流程图说明中的方块组合都可以由执行指定功能或步骤的基于专用硬件的计算机系统,或者由专用硬件和计算机指令的组合实现。 
具体参考图6,其中示出了窥探回波响应提取器的操作。操作开始,窥探回波响应提取器选择子网中的下一个有效地址(方块602)。窥探回波响应提取器生成具有假MAC地址的回波响应分组(方块604)并将回波响应分组发送到选定地址(方块606)。接下来,窥探回波响应提取器判定是否接收到回波响应(方块608)。 
如果未接收到回波响应,则窥探回波响应提取器判定是否已考虑子网中的最后一个地址(方块610)。如果已考虑最后一个地址,则操作结束。如果在方块610中尚未考虑最后一个地址,则操作将返回方块602以选择子网中的下一个地址。此过程将一直循环,直到已考虑子网中的所有地址。 
如果在方块608中接收到回波响应,则窥探回波响应提取器将标识混杂设备(方块612)。然后,操作继续到方块610以如上所述判定是否已考虑子网中的最后一个地址。在方块612中,可以通过检查回波响应分组以查找源IP地址来标识恶意设备。标识了混杂设备之后,便可以采取纠正操作。可能连接到网络的计算设备只是运行错误。如果标识了窥探设备, 则可以进行调查以定位恶意设备或阻止所有来自此设备的业务,从而阻止此设备访问连接到网络的资源。 
参考图7,其中示出了使用广播IP地址的窥探回波响应提取器的操作。操作开始,窥探回波响应提取器生成具有假MAC地址(方块702)和广播IP地址的回波响应分组。然后,窥探回波响应提取器将回波响应分组发送到广播IP地址(方块704)。接下来,窥探回波响应提取器判定是否接收到回波响应(方块706)。 
如果接收到回波响应,则操作结束。如果在方块706中接收到回波响应,则窥探回波响应提取器将标识混杂设备(方块708)并且操作结束。在方块708中,可以通过检查回波响应分组以查找源IP地址来标识恶意设备。标识了混杂设备之后,便可以采取纠正操作。可能连接到网络的计算设备只是运行错误。如果标识了窥探设备,则可以进行调查以定位恶意设备或阻止所有来自此设备的业务,从而阻止此设备访问连接到网络的资源。 
因此,本发明通过提供一种用于在网络环境中标识窥探设备的机制,解决了现有技术的缺点。窥探回波响应提取器生成具有假MAC地址的将仅由窥探设备接收的回波请求分组。窥探回波响应提取器还使用将导致窥探设备应答回波请求的IP地址。 
本发明可以采取完全硬件实施例、完全软件实施例或包含硬件和软件元素两者的实施例的形式。在一个优选实施例中,本发明以软件实现,所述软件包括但不限于固件、驻留软件、微代码等。 
此外,本发明可以采取可从计算机可用或计算机可读介质访问的计算机程序产品的形式,所述计算机可用或计算机可读介质提供了可以被计算机或任何指令执行系统使用或与计算机或任何指令执行系统结合的程序代码。出于此描述的目的,计算机可用或计算机可读介质可以是任何能够包含、存储、传送、传播或传输由指令执行系统、装置或设备使用或与所述指令执行系统、装置或设备结合的程序的装置。 
所述介质可以是电、磁、光、电磁、红外线或半导体系统(或装置或设备)或传播介质。计算机可读介质的实例包括半导体或固态存储器、磁 带、可移动计算机盘、随机存取存储器(RAM)、只读存储器(ROM)、硬磁盘和光盘。光盘的当前实例包括光盘-只读存储器(CD-ROM)、光盘-读/写(CR-R/W)和DVD。 
适合于存储和/或执行程序代码的数据处理系统将包括至少一个通过系统总线直接或间接连接到存储器元件的处理器。所述存储器元件可以包括在程序代码的实际执行期间采用的本地存储器、大容量存储装置以及提供至少某些程序代码的临时存储以减少必须在执行期间从大容量存储装置检索代码的次数的高速缓冲存储器。 
输入/输出或I/O设备(包括但不限于键盘、显示器、指点设备等)可以直接或通过中间I/O控制器与系统相连。 
网络适配器也可以被连接到系统以使所述数据处理系统能够通过中间专用或公共网络变得与其他数据处理系统或远程打印机或存储设备相连。调制解调器、电缆调制解调器和以太网卡只是几种当前可用的网络适配器类型。 
出于示例和说明目的给出了对本发明的描述,并且所述描述并非旨在是穷举的或是将本发明限于所公开的形式。对于本领域的技术人员来说,许多修改和变化都将是显而易见的。实施例的选择和描述是为了最佳地解释本发明的原理、实际应用,并且当适合于所构想的特定使用时,使得本领域的其他技术人员能够理解本发明的具有各种修改的各种实施例。 

Claims (10)

1.一种用于从计算机网络中的窥探设备提取响应的计算机实现的方法,所述计算机实现的方法包括:
生成回波请求分组以从窥探设备引出回波响应,所述回波请求分组包括假目的地介质访问控制地址以及有效目的地网络协议地址;
在所述计算机网络上发送所述回波请求分组;以及
响应于在所述计算机网络上接收到回波响应分组,确定窥探设备的存在。
2.如权利要求1中所述的计算机实现的方法,其中生成回波请求分组包括从子网中选择所述有效目的地网络协议地址,所述计算机实现的方法进一步包括:
遍历所述子网中的网络协议地址并为所述子网内的多个网络协议地址中的每个网络协议地址生成回波请求分组。
3.如权利要求1中所述的计算机实现的方法,其中所述有效目的地网络协议地址是广播地址。
4.如权利要求1中所述的计算机实现的方法,还包括:
检查所述回波响应分组以标识所述窥探设备的源网络地址。
5.如权利要求5中所述的计算机实现的方法,还包括:
阻止所有源自所述窥探设备的所述源网络地址的网络业务。
6.一种用于从计算机网络中的窥探设备提取响应的计算机实现的装置,所述计算机实现的装置包括:
用于生成回波请求分组以从窥探设备引出回波响应的模块,所述回波请求分组包括假目的地介质访问控制地址以及有效目的地网络协议地址;
用于在所述计算机网络上发送所述回波请求分组的模块;以及
用于响应于在所述计算机网络上接收到回波响应分组,确定窥探设备的存在的模块。
7.如权利要求6中所述的计算机实现的装置,其中所述用于生成回波请求分组的模块包括用于从子网中选择所述有效目的地网络协议地址的子模块,所述计算机实现的装置进一步包括:
用于遍历所述子网中的网络协议地址并为所述子网内的多个网络协议地址中的每个网络协议地址生成回波请求分组的模块。
8.如权利要求6中所述的计算机实现的装置,其中所述有效目的地网络协议地址是广播地址。
9.如权利要求6中所述的计算机实现的装置,该计算机实现的装置还包括:
用于检查所述回波响应分组以标识所述窥探设备的源网络地址的模块。
10.如权利要求9中所述的计算机实现的装置,该计算机实现的装置还包括:
用于阻止所有源自所述窥探设备的所述源网络地址的网络业务的模块。
CN2006800409290A 2005-11-22 2006-10-09 窥探回波响应提取方法和提取器 Expired - Fee Related CN101300811B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/284,682 2005-11-22
US11/284,682 US8082586B2 (en) 2005-11-22 2005-11-22 Snoop echo response extractor
PCT/EP2006/067191 WO2007060056A1 (en) 2005-11-22 2006-10-09 Snoop echo response extractor

Publications (2)

Publication Number Publication Date
CN101300811A CN101300811A (zh) 2008-11-05
CN101300811B true CN101300811B (zh) 2013-02-20

Family

ID=37311960

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2006800409290A Expired - Fee Related CN101300811B (zh) 2005-11-22 2006-10-09 窥探回波响应提取方法和提取器

Country Status (6)

Country Link
US (2) US8082586B2 (zh)
EP (1) EP1955512A1 (zh)
JP (1) JP5015945B2 (zh)
CN (1) CN101300811B (zh)
CA (1) CA2630664C (zh)
WO (1) WO2007060056A1 (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8082586B2 (en) 2005-11-22 2011-12-20 International Business Machines Corporation Snoop echo response extractor
WO2008111212A1 (ja) * 2007-03-15 2008-09-18 Fujitsu Limited 情報処理装置、ノード位置取得方法およびプログラム
KR20090121579A (ko) * 2008-05-22 2009-11-26 주식회사 이베이지마켓 서버의 취약점을 점검하기 위한 시스템 및 그 방법
US9088609B2 (en) 2009-12-24 2015-07-21 International Business Machines Corporation Logical partition media access control impostor detector
US8789179B2 (en) 2011-10-28 2014-07-22 Novell, Inc. Cloud protection techniques
US9871717B2 (en) 2014-04-25 2018-01-16 Metaswitch Networks Ltd Data processing
US9923799B2 (en) 2014-04-25 2018-03-20 Metaswitch Networks Ltd. Data processing
US10063456B2 (en) 2014-04-25 2018-08-28 Metaswitch Networks Ltd Data processing
US9846775B2 (en) * 2015-03-05 2017-12-19 Minerva Labs Ltd. Systems and methods for malware evasion management
US10230743B1 (en) * 2016-05-12 2019-03-12 Wells Fargo Bank, N.A. Rogue endpoint detection
US10824367B2 (en) 2017-10-19 2020-11-03 Seagate Technology Llc Adaptive intrusion detection based on monitored data transfer commands

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1370027A1 (en) * 2002-06-05 2003-12-10 T.I.P. Holdings GmbH Computer network leakage detection, location and identification
CN1514964A (zh) * 2001-04-10 2004-07-21 �Ҵ���˾ 使用诱饵服务器检测网络上的计算机病毒的方法及装置
US20050044418A1 (en) * 2003-07-25 2005-02-24 Gary Miliefsky Proactive network security system to protect against hackers

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6775657B1 (en) * 1999-12-22 2004-08-10 Cisco Technology, Inc. Multilayered intrusion detection system and method
US6952428B1 (en) * 2001-01-26 2005-10-04 3Com Corporation System and method for a specialized dynamic host configuration protocol proxy in a data-over-cable network
JP3689007B2 (ja) 2001-02-06 2005-08-31 三菱電機株式会社 ネットワークシステムおよびネットワーク接続装置
US7320070B2 (en) 2002-01-08 2008-01-15 Verizon Services Corp. Methods and apparatus for protecting against IP address assignments based on a false MAC address
US7174566B2 (en) * 2002-02-01 2007-02-06 Intel Corporation Integrated network intrusion detection
US7237267B2 (en) * 2003-10-16 2007-06-26 Cisco Technology, Inc. Policy-based network security management
US8082586B2 (en) 2005-11-22 2011-12-20 International Business Machines Corporation Snoop echo response extractor
US8667581B2 (en) * 2006-06-08 2014-03-04 Microsoft Corporation Resource indicator trap doors for detecting and stopping malware propagation

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1514964A (zh) * 2001-04-10 2004-07-21 �Ҵ���˾ 使用诱饵服务器检测网络上的计算机病毒的方法及装置
EP1370027A1 (en) * 2002-06-05 2003-12-10 T.I.P. Holdings GmbH Computer network leakage detection, location and identification
US20050044418A1 (en) * 2003-07-25 2005-02-24 Gary Miliefsky Proactive network security system to protect against hackers

Also Published As

Publication number Publication date
US20070118908A1 (en) 2007-05-24
CA2630664C (en) 2014-03-18
WO2007060056A1 (en) 2007-05-31
EP1955512A1 (en) 2008-08-13
US20120079595A1 (en) 2012-03-29
JP2009516969A (ja) 2009-04-23
US8082586B2 (en) 2011-12-20
US8955125B2 (en) 2015-02-10
CN101300811A (zh) 2008-11-05
CA2630664A1 (en) 2007-05-31
JP5015945B2 (ja) 2012-09-05

Similar Documents

Publication Publication Date Title
CN101300811B (zh) 窥探回波响应提取方法和提取器
CN100361452C (zh) 响应拒绝服务攻击的方法和设备
CN114145004B (zh) 用于使用dns消息以选择性地收集计算机取证数据的系统及方法
US7426574B2 (en) Technique for intercepting data in a peer-to-peer network
CN104967609B (zh) 内网开发服务器访问方法、装置及系统
CN103460648B (zh) 用于在Diameter信令路由器(DSR)内屏蔽Diameter消息的方法和系统
US11349862B2 (en) Systems and methods for testing known bad destinations in a production network
CN105939239B (zh) 虚拟网卡的数据传输方法及装置
CN110620753A (zh) 反击对用户的计算设备的攻击的系统和方法
KR101236822B1 (ko) Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체
JP2009510647A (ja) ステートレス双方向プロキシ
JP5980968B2 (ja) 情報処理装置、情報処理方法及びプログラム
US7333430B2 (en) Systems and methods for passing network traffic data
US8732469B2 (en) Communication cutoff device, server device and method
CN101808097B (zh) 一种防arp攻击方法和设备
CN102685117B (zh) 一种组播安全管理方法及装置
CN100366026C (zh) 一种在路由设备中实现报文转发控制的方法
US11956641B2 (en) Inter-SAS spectrum allocation synchronization
CN112261055B (zh) 一种实时数据定向推送的方法、系统及其网关设备
CN112965970B (zh) 一种基于哈希算法的异常流量并行检测方法及系统
CN102457430B (zh) 网络封包处理方法及路由设备
Erickson et al. No one in the middle: Enabling network access control via transparent attribution
CN106506410A (zh) 一种安全表项建立方法及装置
CN106412903A (zh) 移动终端数据传输方法和装置
CN107113280A (zh) 一种网络控制方法与虚拟交换机

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20130220

Termination date: 20201009

CF01 Termination of patent right due to non-payment of annual fee