CN101330409B - 一种检测网络漏洞的方法和系统 - Google Patents
一种检测网络漏洞的方法和系统 Download PDFInfo
- Publication number
- CN101330409B CN101330409B CN2008101176250A CN200810117625A CN101330409B CN 101330409 B CN101330409 B CN 101330409B CN 2008101176250 A CN2008101176250 A CN 2008101176250A CN 200810117625 A CN200810117625 A CN 200810117625A CN 101330409 B CN101330409 B CN 101330409B
- Authority
- CN
- China
- Prior art keywords
- address
- message
- terminal
- scanning
- branching networks
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供了一种检测网络漏洞的方法和系统,应用于包含总部网络和分支网络的网络架构,分支路由器构建包含自身所在分支网络标识且目的IP地址为设置在Internet网络中的检测服务器IP地址的扫描报文,并向自身所在分支网络中的各终端发送所述扫描报文;如果所述检测服务器接收到扫描报文,则将扫描报文中的分支网络标识发送给总部网络中的控制服务器;控制服务器接收到分支网络标识后,确定该分支网络中存在私设网关。本发明通过上述控制服务器、分支路由器和检测服务器之间的联动和配合,能够行之有效地检测出存在安全漏洞的分支网络。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种检测网络漏洞的方法和系统。
背景技术
为了方便进行网络管理,企业网络通常都以“总部网络+分支网络”的形式存在,图1为现有技术中企业网络的结构示意图,如图1所示,总部网络能够对各分支网络进行流量监测、流量控制和安全防护等,各分支网络可以通过访问总部网络中的业务服务器来获取企业网络中的业务数据。如果各分支网络中的用户终端需要访问Internet,也需要通过总部网络来进行数据的转发,其访问路径如图中的虚线箭头所示,为了保证企业网络的安全,企业会在Internet出口花重金部署防火墙,对Internet的流量进行过滤从而阻断来自Internet的恶意攻击。
然而,与此同时,分支网络中的用户终端在访问Internet网络时都需要经过防火墙的过滤和转发,从而降低了业务质量,并且,对于大型企业而言,分支网络众多,当大量用户终端同时访问Internet网络时,总部网络的防火墙负荷很大,也会影响转发性能从而降低业务质量。另外,由于总部网络的防火墙对用户终端访问Internet网络的限制较强,分支网络中的用户如果想在工作时间做一些与工作无关的事,例如在线看电影、网络聊天、在线游戏等都会被防火墙拒绝。基于此原因,很多分支网络中的员工就会自行建立私设网关,通过该私设网关直接访问Internet,而无需绕行到总部网络中的防火墙,其访问路线如图2中的虚线箭头所示,图2为现有技术中分支网络存在私设网关的结构图,但是,由于私设网关大多是员工利用便宜的家庭路由器设置的,安全性非常差,其存在给网络中的恶意攻击者带来了很好的入侵机会,是企业网络中的安全漏洞。
然而,目前对企业网络中的该安全漏洞尚没有行之有效的检测方法,即不能获知哪个分支网络中存在私设网关。
发明内容
有鉴于此,本发明提供了一种检测网络漏洞的方法和系统,以便于行之有效地检测出存在安全漏洞的分支网络。
一种检测网络漏洞的方法,应用于包含总部网络和分支网络的网络架构,该方法包括:
分支路由器利用自身的地址解析协议ARP表,模拟自身所在分支网络中除了该分支路由器之外的所有终端之间发送的各扫描报文,并向自身所在分支网络中的各终端发送所述扫描报文;其中,所述扫描报文包含所述分支路由器所在分支网络标识,且源IP地址为模拟的源终端的IP地址,源MAC地址为模拟的源终端的MAC地址,目的IP地址为设置在Internet网络中的检测服务器IP地址,目的MAC地址为模拟的目的终端的MAC地址;
如果所述检测服务器接收到所述扫描报文,则将所述扫描报文中的分支网络标识发送给总部网络中的控制服务器;
所述控制服务器接收到所述分支网络标识后,确定该分支网络中存在私设网关。
一种检测网络漏洞的系统,该系统包括:设置在分支网络中的分支路由器、设置在Internet网络中的检测服务器和设置在总部网络中的控制服务器;
所述分支路由器,用于利用自身的地址解析协议ARP表,模拟自身所在分支网络中除了该分支路由器之外的所有终端之间发送的各扫描报文,并向自身所在分支网络中的各终端发送所述扫描报文;其中,所述扫描报文包含所述分支路由器所在分支网络标识,且源IP地址为模拟的源终端的IP地址,源MAC地址为模拟的源终端的MAC地址,目的IP地址为设置在Internet网络中的检测服务器IP地址,目的MAC地址为模拟的目的终端的MAC地址;
所述检测服务器,用于从所述分支网络接收到所述扫描报文后,将扫描报文中包含的分支网络标识发送给所述控制服务器;
所述控制服务器,用于接收到所述分支网络标识后,确定该分支网络中存在私设网关。
由以上技术方案可以看出,本发明提供的方法和系统可以应用于包含总部网络和分支网络的网络架构,分支路由器构建包含自身所在分支网络标识且目的IP地址为检测服务器IP地址的扫描报文,并向自身所在分支网络中的各终端发送所述扫描报文;如果设置在Internet网络中的检测服务器接收到扫描报文,则将扫描报文中的分支网络标识发送给总部网络中的控制服务器;控制服务器接收到分支网络标识后,确定该分支网络中存在私设网关。本发明通过上述控制服务器、分支路由器和检测服务器之间的联动和配合,能够行之有效地检测出存在安全漏洞的分支网络,即哪个分支网络中存在私设网关。
附图说明
图1为现有技术中企业网络的结构示意图;
图2为现有技术中分支网络存在私设网关的结构图;
图3为本发明实施例提供的方法流程图;
图4为本发明实施例提供的网络结构图;
图5a为图4架构中终端C为指定终端时的矢量关系图;
图5b为图4架构中终端B和终端C为指定终端时的矢量关系图;
图5c为图4架构中终端A、终端B和终端C为指定终端时的矢量关系图;
图6为本发明实施例提供的系统结构图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
本发明提供的方法主要包括:分支路由器构建包含自身所在分支网络标识且目的IP地址为设置在Internet网络中的检测服务器地址的扫描报文,并向自身所在分支网络中的各终端发送该扫描报文;如果检测服务器接收到该扫描报文,则将该扫描报文中的分支网络标识发送给总部网络;总部网络接收到该分支网络标识后,确定该分支网络中存在安全漏洞。
下面通过一个实施例对上述方法进行详细描述,图3为本发明实施例提供的方法流程图,如图3所示,该方法可以包括以下步骤:
步骤301:设置在总部网络中的控制服务器向各分支网络下发漏洞检测策略。
在本步骤中,可以预先在控制服务器中配置各分支网络的分支路由器的地址,在需要进行漏洞检测时,向各分支网络的分支路由器下发漏洞检测策略。其中,下发的漏洞检测策略中至少包括检测服务器的IP地址,还可以包括检测的地址范围。
其中,检测服务器是设置在Internet网络中的Web服务器,能够接收到通过Internet网络发送给自身的报文。由于各分支网络在布设时都被分配一个固定的网段,因此,控制服务器可以将要检测的分支网络的网段作为检测的地址范围下发给各分支路由器。
另外,控制服务器可以按照预设的时间间隔周期性地下发漏洞检测策略,也可以在需要时实时地下发。
步骤302:各分支路由器接收到控制服务器下发的漏洞检测策略后,根据该漏洞检测策略构建扫描报文,该扫描报文中包含该分支网络的标识信息,且目的IP地址为检测服务器的IP地址,并在分支网络中发送构建的扫描报文。
如果控制服务器在漏洞检测策略中没有包含检测的地址范围,可以默认为所有的分支网络都进行漏洞检测;如果控制服务器在漏洞检测策略中包含检测的地址范围,则各分支路由器接收到漏洞检测策略后,可以首先根据其中包含的检测的地址范围,确定自身所在的分支网络是否需要检测漏洞,如果是,则构建扫描报文。各分支服务器除了接收到漏洞检测策略后开始进行漏洞检测之外,也可以不受控制服务器的触发,实时或以固定周期构建扫描报文进行漏洞检测。
构建的报文可以为包含扫描标识的超文本传输协议(HTTP,HypertextTransfer Protocol)报文。
本步骤中,各分支路由器可以根据自身的地址解析协议(ARP,AddressResolution Protocol)表来构建扫描报文,扫描整个网络,即模拟所有终端之间发送的HTTP报文,其中,分支路由器的ARP表中包含该分支网络中所有终端的IP地址和MAC地址,所述的终端也包括私设网关,因此,如果该分支网络中存在私设网关,则该扫描报文一定会通过私设网关转发到Internet网络中。
本发明可以采用交叉遍历扫描算法来构建扫描报文,具体为:在构建扫描报文时,需要构建所有终端之间互发的扫描报文,以图4所示的网络架构为例,假设分支网络1中存在A、B、C和D四个终端,需要说明的是,在构建扫描报文时所涉及的终端不包括分支路由器,其中,A、B和C为用户终端,D为私设网关与二层交换机直连,但在检测之前并不知道具体哪个为私设网关。在构建扫描报文时,需要模拟终端A、B、C和D之间所有可能互发的HTTP报文,例如,在构建模拟终端A发送给终端B的扫描报文时,将该扫描报文的目的IP地址依然设置为检测服务器的IP地址,目的MAC地址为终端B的MAC地址,源IP地址和源MAC地址设置为终端A的IP地址和MAC地址,这些信息均携带在扫描报文的IP报文头中,在此,需要说明的是,HTTP报文包括IP报文头和HTTP报文实体,在HTTP报文实体中除了携带扫描标识和分支网络标识之外,还可以进一步携带A的IP地址信息、终端A作为源MAC地址的信息、终端B作为目的MAC地址的信息;同理,构建模拟终端A发送给终端C的扫描报文时,将该扫描报文的目的IP地址依然设置为检测服务器的IP地址,目的MAC地址为终端C的MAC地址,源IP地址和源MAC地址设置为终端A的IP地址和MAC地址,这些信息均携带在扫描报文的IP报文头中,在HTTP报文实体中除了携带扫描标识和分支网络标识之外,还可以进一步携带终端A的IP地址信息、终端A作为源MAC地址的信息、终端B作为目的MAC地址的信息;以此类推,直至构建完所有模拟各终端之间互发的报文。
如果分支网络中除了分支路由器之外存在N个终端,则在进行以此分支路由器的检测时,需要构建的扫描报文数量为
个。例如,如果存在A、B、C和D四个终端,则需要构建的扫描报文数量为12个,模拟的源端和目的端可以如表1中所示,表1中Y表示需要模拟该源端和目的端构建扫描报文,N表示不需要。
表1
另外,本步骤中扫描报文中携带的分支网络标识可以采用各分支路由器的标识(RD)来表示。
步骤303:各终端接收到扫描报文后,如果自身不是私设网关的指定终端且不是私设网关,则将该扫描报文转发给分支路由器,由分支路由器丢弃该扫描报文;如果自身是私设网关的指定终端,则将该扫描报文转发给私设网关;如果自身是私设网关,则判断该报文的源地址是否为指定的终端地址,如果是,则将该扫描报文进行网络地址转换(NAT)后通过Internet网络发送给检测服务器,否则,丢弃该扫描报文。
构建的各扫描报文在分支网络中发送后,各终端会接收到以自身为目的MAC地址的扫描报文,对于分支网络中不同身份的终端,对该扫描报文的处理方式不同。由于分支网络中的私设网关是针对指定终端的,即只有指定终端能够通过该私设网关访问Internet,对于其它终端的报文,私设网关都进行丢弃处理。因此,可以将终端分为三部分:既不是私设网关也不是私设网关的指定终端的终端、私设网关的指定终端和私设网关。
既不是私设网关也不是指定终端的终端接收到扫描报文后,由于其不是私设网关的指定终端,所以,会将接收到的目的IP地址为检测服务器IP地址的扫描报文发送给默认网关,由于分支网络中各终端的默认网关是分支路由器,所以该扫描报文被发送给分支路由器。在分支路由器上配置过滤策略,丢弃接收到的扫描报文。例如,如果只有终端C是私设网关的指定终端,则如果终端B接收到模拟终端A发送来的扫描报文后,会将该扫描报文发送给分支路由器,由分支路由器丢弃该扫描报文。
私设网关的指定终端接收到扫描报文后,由于其是私设网关的指定终端,该终端为将该扫描报文发送给私设网关。例如,如果终端C是私设网关的指定终端,则如果终端C接收到模拟终端A发送来的扫描报文后,会将该扫描报文转发给私设网关。
私设网关接收到扫描报文后,会根据扫描报文来源的不同执行不同的处理,如果该扫描报文的源地址是自身的指定终端,则将该报文通过Internet网络发送给检测服务器,例如,如果接收到模拟终端C发送来的扫描报文,该扫描报文的源地址是C的地址,则将该扫描报文通过Internet网络发送给检测服务器,并且,在发送之前,私设网关通常会对该扫描报文进行NAT转换,即将扫描报文IP报文头中的源地址转换为该分支网络的公网地址,但保持该扫描报文HTTP报文实体中的内容不变。如果私设网关接收到的报文的源地址不是自身指定的终端,例如,接收到模拟终端B发送来的扫描报文,或者接收到终端C转发来的源地址是A的扫描报文,则直接将该扫描报文丢弃。
步骤304:检测服务器对接收到的HTTP报文进行判断,如果不是扫描报文,则丢弃,如果是扫描报文,则继续执行步骤305。
由于检测服务器是Internet网络中的Web服务器,因此,可能会接收到任何目的IP地址是该检测服务器的报文,在本发明中检测服务器仅需要对扫描报文进行处理,以检测网络漏洞,因此,可以将其它类型的HTTP报文丢弃,或者执行其它处理。
本步骤中可以采用两种方法来判断接收到的HTTP报文是否为扫描报文:第一种是:判断接收到的HTTP报文中是否包含扫描标识,如果包含,则确定该HTTP报文为扫描报文;第二种是:判断接收到的HTTP报文中IP报文头中的源IP地址和HTTP报文实体中包含的源IP地址是否一致,如果不一致,则说明该报文经过私有协议进行过NAT转换,确定该HTTP报文为扫描报文。上述两种方法可以任选其一,也可以结合起来进行判断。
步骤305:检测服务器获取扫描报文中的分支网络标识上报给总部网络中的控制服务器。
控制服务器接收到该分支网络标识后,便确定该分支网络中存在私设网关。
如果需要进一步确定分支网络中的哪个终端为私设网关,则步骤305中检测服务器还可以获取扫描报文的报文实体中的源MAC地址和目的MAC地址同时上报给控制服务器,并继续执行以下步骤。
需要说明的是,由于扫描报文IP报文头中携带的源MAC地址和目的MAC地址在扫描报文每一次的转发过程中已经被替换,但是扫描报文的报文实体中的内容则不会发生变化,因此,检测服务器向控制服务器上报的源MAC地址和目的MAC地址为最初构建扫描报文是模拟的源终端的MAC地址和模拟的目的终端的MAC地址。
步骤306:控制服务器根据检测服务器上报的源MAC地址和目的MAC地址,利用矢量路径算法确定私设网关的MAC地址。
本步骤中采用的矢量路由算法实质上是统计各MAC地址作为源MAC地址和目的MAC地址的次数,将作为目的MAC地址次数最多的MAC地址确定为私设网关的MAC地址,具体可以包括以下步骤:
步骤S1:根据上报的源MAC地址和目的MAC地址确定各终端之间的矢量关系。
例如,如果上报了源MAC地址是A的MAC地址,目的MAC地址是B的MAC地址,则该矢量关系是由A指向B的矢量路径。
步骤S2:每出现一个矢量关系,则将该矢量关系中源MAC地址的源权值加1,目的MAC地址的目的权值加1。
步骤S3:待一次漏洞检测过程执行完毕后,统计各MAC地址的源权值和目的权值,将目的权值最大的MAC地址对应的终端确定为私设网关,也可以进一步增加一个确定条件,即将源权值为0且目的权值最大的MAC地址对应的终端确定为私设网关,从而使得私设网关的确定更加准确。
仍以图4所示网络架构为例,如果只有终端C是私设网关的指定终端,则只有模拟终端C发送给终端D的扫描报文会发送到检测服务器,即只有源MAC地址为终端C的MAC地址、目的MAC地址为终端D的MAC地址会被上报给控制服务器。
控制服务器确定的该分支网络的矢量关系,如图5a所示,即终端C指向终端D;最终统计的各MAC地址的源权值和目的权值如表2所示,终端D的源权值为0且目的权值最大,所以,可以确定终端D为私设网关。
表2
| 源权值 | 目的权值 | |
| A | 0 | 0 |
| B | 0 | 0 |
| C | 1 | 0 |
| D | 0 | 1 |
如果终端B和终端C是私设网关的指定终端,则模拟终端B发送给终端C、模拟终端B发送给终端D以及模拟终端C发送给终端D的扫描报文都会发送到检测服务器,这种情况下,控制服务器确定的该分支网络的矢量关系,如图5b所示,即终端B指向终端C、终端B指向终端D和终端C指向终端D。最终统计的各MAC地址的源权值和目的权值如表3所示,终端D的源权值为0且目的权值最大,所以,可以确定终端D为私设网关。
表3
| 源权值 | 目的权值 | |
| A | 0 | 0 |
| B | 2 | 1 |
| C | 2 | 1 |
| D | 0 | 2 |
如果终端A、B和C都是私设网关的指定终端,则模拟终端A、B和C之间互相发送的扫描报文、以及模拟终端A、B和C向终端D发送的扫描报文都会发送到检测服务器,这种情况下,控制服务器确定的该分支网络的矢量关系,如图5c所示。最终统计的各MAC地址的源权值和目的权值如表4所示,终端D的源权值为0且目的权值最大,所以,可以确定终端D为私设网关。
表4
| 源权值 | 目的权值 | |
| A | 3 | 2 |
| B | 3 | 2 |
| C | 3 | 2 |
| D | 0 | 3 |
以上是对本发明提供的方法进行的描述,下面对本发明提供的系统进行详细描述。图6为本发明实施例提供的系统结构图,如图6所示,该系统可以包括:设置在分支网络中的分支路由器600、设置在Internet网络中的检测服务器610和设置在总部网络中的控制服务器620。
分支路由器600,用于构建包含自身所在分支网络标识且目的IP地址为检测服务器IP地址的扫描报文,并向自身所在分支网络中的各终端发送扫描报文。
检测服务器610,用于从分支网络接收到扫描报文后,将扫描报文中包含的分支网络标识发送给控制服务器620。
控制服务器620,用于接收到分支网络标识后,确定该分支网络中存在私设网关。
上述分支路由器600的数目决定于系统中的分支网络数目。分支路由器构建的扫描报文可以为HTTP报文。其中包含的分支网络标识可以为分支路由器自身的RD。
各分支路由器600可以实时地对自身所在分支网络进行漏洞检测,也可以在接收到控制服务器620的触发后对自身所在的分支网络进行漏洞检测,此时,控制服务器620还可以用于周期性地或者实时地向分支路由器600下发包含检测服务器IP地址和检测地址范围的漏洞检测策略。
分支路由器600,还可以用于接收漏洞检测策略,判断自身所在的分支网络网段是否在该漏洞检测策略中包含的检测地址范围内,如果是,则利用漏洞检测策略中包含的检测服务器IP地址执行构建的操作。
上述的分支路由器600可以具体包括:报文构建单元601和报文发送单元602。
报文构建单元601,用于模拟该分支路由器所在的分支网络中,除了该分支路由器之外的所有终端之间发送的扫描报文;其中,扫描报文的源IP地址为模拟的源终端的IP地址,源MAC地址为模拟的源终端的MAC地址,目的IP地址为检测服务器的IP地址,目的MAC地址为模拟的目的终端的MAC地址,且该扫描报文中包含该分支路由器所在的分支网络标识。
报文发送单元602,用于发送报文构建单元601构建的扫描报文。
另外,该分支路由器,还可以包括:策略接收单元603和判断单元604。
策略接收单元603,用于接收控制服务器620发送的漏洞检测策略,并将漏洞检测策略中的检测地址范围发送给判断单元604,或者,将漏洞检测策略中的检测周期发送给报文构建单元601。
判断单元604,用于根据接收到的检测地址范围,判断该分支路由器所在的分支网络是否在该检测地址范围内,如果是,则触发所述报文构建单元601执行所述构建的操作。
所述报文构建单元601,还用于受到触发后,按照接收到的检测周期执行构建的操作。
另外,在各分支网络的内部还可以包括:分支网络中的各终端630,用于接收到扫描报文后,如果该终端不是私设网关的指定终端且不是私设网关,则将该扫描报文转发给分支路由器600;如果该终端是私设网关的指定终端,则将该扫描报文转发给私设网关;如果该终端是私设网关,则将该扫描报文通过Internet网络发送给检测服务器610。
分支路由器600还可以包括报文过滤单元605,用于丢弃接收到的扫描报文。
另外,检测报文在判断接收到的报文是否为扫描报文时,可以采用两种方式,即识别扫描标识或者进行源地址比较的方式。其中,采用识别扫描标识的方式时,报文构建单元601,还可以用于在构建的扫描报文中添加扫描标识。
检测服务器610可以包括:第一判断单元611和第一信息上报单元612。
第一判断单元611,用于判断接收到的扫描报文中是否包含扫描标识,如果是,则确定接收到扫描报文,并将扫描报文发送给第一信息上报单元612。
第一信息上报单元612,用于将扫描报文中包含的分支网络标识发送给控制服务器620。
采用进行源地址比较的方式时,报文构建单元601,还可以用于在构建的扫描报文的报文实体中添加模拟的源终端的IP地址。
终端630如果是私设网关时,将扫描报文的源IP地址进行网络地址转换后再执行发送的操作。即私设网关接收到源地址是指定终端发送的扫描报文后,会将该报文的源IP地址进行NAT转换,即转换为该分支网络的公网地址后通过Internet发送给检测服务器610。
检测服务器610此时可以采用另一种结构,具体包括:第二判断单元613和第二信息上报单元614。
第二判断单元613,用于判断接收到的报文的源IP地址和报文实体中包含的IP地址是否一致,如果不一致,则确定接收到扫描报文,并将该扫描报文发送给第二信息上报单元614。
第二信息上报单元614,用于将扫描报文中包含的分支网络标识发送给控制服务器620。
检测服务器610的上述两种结构可以分别存在,也可以同时存在,也就是说,检测服务器可以采用其中一种方式判断是否接收到扫描报文,也可以结合采用两种方式判断是否接收到扫描报文。
如果总部网络需要进一步确定存在私设网关的分支网络中具体哪个终端为私设网关,则报文构建单元601还可以用于将扫描报文的源MAC地址和目的MAC地址包含在构建的扫描报文的报文实体中。
第一信息上报单元614或第二信息上报单元615,还可以用于向控制服务器620上报扫描报文的报文实体中包含的源MAC地址和目的MAC地址。
上述的第一信息上报单元614和第二信息上报单元615可以设置为一个信息上报单元实现。
控制服务器620,还用于统计接收到的各MAC地址作为源MAC地址和目的MAC地址的次数,将作为目的MAC地址次数最多的MAC地址确定为私设网关的MAC地址。
控制服务器620可以采用矢量路径算法来具体确定私设网关的MAC地址,具体可以采用方法中关于步骤306所描述的方法。在此,不再赘述。
由以上描述可以看出,本发明提供的方法和系统可以应用于包含总部网络和分支网络的网络架构,分支路由器构建包含自身所在分支网络标识且目的IP地址为检测服务器IP地址的扫描报文,并向自身所在分支网络中的各终端发送所述扫描报文;如果设置在Internet网络中的检测服务器接收到扫描报文,则将扫描报文中的分支网络标识发送给总部网络中的控制服务器;控制服务器接收到分支网络标识后,确定该分支网络中存在私设网关。本发明通过上述控制服务器、分支路由器和检测服务器之间的联动和配合,能够行之有效地检测出存在安全漏洞的分支网络,即哪个分支网络中存在私设网关。
更优地,本发明提供的方法和系统中,控制服务器还能够进一步根据检测服务器上报的源MAC地址和目的MAC地址,确定存在安全漏洞的分支网络中私设网关的具体MAC地址,从而更加准确地确定安全漏洞,并据此采取有效地方式制止网络泄漏问题。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (14)
1.一种检测网络漏洞的方法,其特征在于,应用于包含总部网络和分支网络的网络架构,该方法包括:
分支路由器利用自身的地址解析协议ARP表,模拟自身所在分支网络中除了该分支路由器之外的所有终端之间发送的各扫描报文,并向自身所在分支网络中的各终端发送所述扫描报文;其中,所述扫描报文包含所述分支路由器所在分支网络标识,且源IP地址为模拟的源终端的IP地址,源MAC地址为模拟的源终端的MAC地址,目的IP地址为设置在Internet网络中的检测服务器IP地址,目的MAC地址为模拟的目的终端的MAC地址;
如果所述检测服务器接收到所述扫描报文,则将所述扫描报文中的分支网络标识发送给总部网络中的控制服务器;
所述控制服务器接收到所述分支网络标识后,确定该分支网络中存在私设网关。
2.根据权利要求1所述的方法,其特征在于,该方法还包括:所述控制服务器周期性地或者实时地向各分支路由器下发包含检测服务器IP地址的漏洞检测策略;
所述分支路由器利用所述漏洞检测策略中包含的检测服务器IP地址执行所述模拟的步骤。
3.根据权利要求2所述的方法,其特征在于,所述漏洞检测策略还包括:检测地址范围;
所述分支路由器在执行所述模拟的步骤之前还包括:所述分支路由器根据接收到的漏洞检测策略包含的检测地址范围,确定该分支路由器所在的分支网络网段是否在所述检测地址范围内,如果是,则执行所述模拟的步骤。
4.根据权利要求1所述的方法,其特征在于,该方法还包括:
分支网络中的各终端接收到扫描报文后,如果该终端不是私设网关的指定终端且不是私设网关,则将该扫描报文转发给所述分支路由器,所述分支路由器丢弃所述扫描报文;
如果该终端是私设网关的指定终端,则将该扫描报文转发给私设网关,并由所述私设网关将该扫描报文通过Internet网络发送给所述检测服务器;
如果该终端是私设网关,则将该扫描报文通过Internet网络发送给所述检测服务器。
5.根据权利要求1至4任一权项所述的方法,其特征在于,所述扫描报文中还包含扫描标识;所述检测服务器判断接收到的报文中是否包含扫描标识,如果是,则确定接收到扫描报文。
6.根据权利要求4所述的方法,其特征在于,所述扫描报文的报文实体中包含该扫描报文模拟的源终端的IP地址;
所述私设网关在将扫描报文通过Internet网络发送给所述检测服务器之前还包括:将所述扫描报文的源IP地址进行网络地址转换;
所述检测服务器判断接收到的报文的源IP地址和报文实体中包含的IP地址是否一致,如果不一致,则确定接收到扫描报文。
7.根据权利要求1或4所述的方法,其特征在于,所述扫描报文的报文实体中也包含该扫描报文的源MAC地址和目的MAC地址;
所述检测服务器接收到所述扫描报文后还进一步向所述控制服务器上报该扫描报文的报文实体中包含的源MAC地址和目的MAC地址;
所述控制服务器统计接收到的各MAC地址作为源MAC地址和目的MAC地址的次数,将作为目的MAC地址次数最多的MAC地址确定为私设网关的MAC地址,从而确定所述分支网络中的私设网关。
8.一种检测网络漏洞的系统,其特征在于,该系统包括:设置在分支网络中的分支路由器、设置在Internet网络中的检测服务器和设置在总部网络中的控制服务器;
所述分支路由器,用于利用自身的地址解析协议ARP表,模拟自身所在分支网络中除了该分支路由器之外的所有终端之间发送的各扫描报文,并向自身所在分支网络中的各终端发送所述扫描报文;其中,所述扫描报文包含所述分支路由器所在分支网络标识,且源IP地址为模拟的源终端的IP地址,源MAC地址为模拟的源终端的MAC地址,目的IP地址为设置在Internet网络中的检测服务器IP地址,目的MAC地址为模拟的目的终端的MAC地址;
所述检测服务器,用于从所述分支网络接收到所述扫描报文后,将扫描报文中包含的分支网络标识发送给所述控制服务器;
所述控制服务器,用于接收到所述分支网络标识后,确定该分支网络中存在私设网关。
9.根据权利要求8所述的系统,其特征在于,所述控制服务器还用于周期性地或者实时地向各分支路由器下发包含检测服务器IP地址和检测地址范围的漏洞检测策略;
所述分支路由器,还用于接收所述漏洞检测策略,判断自身所在的分支网络网段是否在该漏洞检测策略中包含的检测地址范围内,如果是,则利用所述漏洞检测策略中包含的检测服务器IP地址执行所述模拟的操作。
10.根据权利要求8所述的系统,其特征在于,所述分支路由器包括:报文构建单元和报文发送单元;
所述报文构建单元,用于根据该分支路由器的ARP表,模拟该分支路由器所在的分支网络中,除了该分支路由器之外的所有终端之间发送的扫描报文;其中,所述扫描报文的源IP地址为模拟的源终端的IP地址,源MAC地址为模拟的源终端的MAC地址,目的IP地址为所述检测服务器的IP地址,目的MAC地址为模拟的目的终端的MAC地址,且该扫描报文中包含该分支路由器所在的分支网络标识;
所述报文发送单元,用于发送所述报文构建单元模拟的扫描报文。
11.根据权利要求10所述的系统,其特征在于,该系统还包括:所述分支网络中的各终端,用于接收到扫描报文后,如果该终端不是私设网关的指定终端且不是私设网关,则将该扫描报文转发给所述分支路由器;如果该终端是私设网关的指定终端,则将该扫描报文转发给私设网关;如果该终端是私设网关,则将该扫描报文通过Internet网络发送给所述检测服务器;
所述分支路由器还包括报文过滤单元,用于丢弃接收到的扫描报文。
12.根据权利要求10所述的系统,其特征在于,所述报文构建单元,还用于在模拟的所述扫描报文中添加扫描标识;
所述检测服务器包括:第一判断单元和第一信息上报单元;
所述第一判断单元,用于判断接收到的报文中是否包含扫描标识,如果是,则确定接收到扫描报文,并将扫描报文发送给所述第一信息上报单元;
所述第一信息上报单元,用于将扫描报文中包含的分支网络标识发送给所述控制服务器。
13.根据权利要求11所述的系统,其特征在于,所述报文构建单元,还用于在模拟的扫描报文的报文实体中添加所述模拟的源终端的IP地址;
所述终端如果是私设网关时,将所述扫描报文的源IP地址进行网络地址转换后再执行所述发送的操作;
所述检测服务器包括:第二判断单元和第二信息上报单元;
所述第二判断单元,用于判断接收到的报文的源IP地址和报文实体中包含的IP地址是否一致,如果不一致,则确定接收到扫描报文,并将该扫描报文发送给所述第二信息上报单元;
所述第二信息上报单元,用于将扫描报文中包含的分支网络标识发送给所述控制服务器。
14.根据权利要求12或13所述的系统,其特征在于,所述报文构建单元,还用于将所述扫描报文的源MAC地址和目的MAC地址包含在所述扫描报文的报文实体中;
所述第一信息上报单元或第二信息上报单元,还用于向所述控制服务器上报所述扫描报文的报文实体中包含的源MAC地址和目的MAC地址;
所述控制服务器,还用于统计接收到的各MAC地址作为源MAC地址和目的MAC地址的次数,将作为目的MAC地址次数最多的MAC地址确定为私设网关的MAC地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101176250A CN101330409B (zh) | 2008-08-01 | 2008-08-01 | 一种检测网络漏洞的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101176250A CN101330409B (zh) | 2008-08-01 | 2008-08-01 | 一种检测网络漏洞的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101330409A CN101330409A (zh) | 2008-12-24 |
| CN101330409B true CN101330409B (zh) | 2010-11-10 |
Family
ID=40206017
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101176250A Expired - Fee Related CN101330409B (zh) | 2008-08-01 | 2008-08-01 | 一种检测网络漏洞的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101330409B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105282097A (zh) * | 2014-06-20 | 2016-01-27 | 北京瑞星信息技术有限公司 | 用于路由安全管理的方法和装置 |
| RU2614559C1 (ru) * | 2016-03-18 | 2017-03-28 | Акционерное общество "Лаборатория Касперского" | Способ устранения уязвимостей роутера |
| CN106411835B (zh) * | 2016-05-25 | 2019-09-06 | 海尔优家智能科技(北京)有限公司 | 一种基于AllJoyn Control Panel的传输方法和装置 |
| KR102474234B1 (ko) * | 2017-09-22 | 2022-12-07 | (주)노르마 | 무선 네트워크의 취약점 분석 방법 및 시스템 |
| CN108197465B (zh) * | 2017-11-28 | 2020-12-08 | 中国科学院声学研究所 | 一种网址检测方法及装置 |
| CN109981344B (zh) * | 2019-02-19 | 2022-04-08 | 新华三技术有限公司 | 扫描方法、装置及网络转发设备 |
| CN110995717B (zh) * | 2019-12-06 | 2022-11-01 | 杭州海康威视数字技术股份有限公司 | 报文处理方法、装置、电子设备及漏洞扫描系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1592216A (zh) * | 2003-09-04 | 2005-03-09 | 华为技术有限公司 | 在网络中高效查找网络设备地址的方法 |
| CN101145939A (zh) * | 2006-09-13 | 2008-03-19 | 中兴通讯股份有限公司 | 实现宽带接入网络中组播私设服务器的检测管理方法 |
-
2008
- 2008-08-01 CN CN2008101176250A patent/CN101330409B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1592216A (zh) * | 2003-09-04 | 2005-03-09 | 华为技术有限公司 | 在网络中高效查找网络设备地址的方法 |
| CN101145939A (zh) * | 2006-09-13 | 2008-03-19 | 中兴通讯股份有限公司 | 实现宽带接入网络中组播私设服务器的检测管理方法 |
Non-Patent Citations (1)
| Title |
|---|
| JP特开2008-84279A 2008.04.10 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101330409A (zh) | 2008-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101330409B (zh) | 一种检测网络漏洞的方法和系统 | |
| CN103442008B (zh) | 一种路由安全检测系统及检测方法 | |
| US20060224886A1 (en) | System for finding potential origins of spoofed internet protocol attack traffic | |
| Ganesh Kumar et al. | Improved network traffic by attacking denial of service to protect resource using Z-test based 4-tier geomark traceback (Z4TGT) | |
| CN101340293B (zh) | 一种报文安全检查方法和装置 | |
| CN103746885A (zh) | 一种面向下一代防火墙的测试系统和测试方法 | |
| JP2003527793A (ja) | ネットワークにおける、自動的な侵入検出及び偏向のための方法 | |
| KR20100075043A (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
| CN104967609A (zh) | 内网开发服务器访问方法、装置及系统 | |
| CN101803305A (zh) | 网络监视装置、网络监视方法及网络监视程序 | |
| CN103368941A (zh) | 一种基于用户网络访问场景的防护的方法和装置 | |
| Ma et al. | A security routing protocol for Internet of Things based on RPL | |
| Bang et al. | A novel decentralized security architecture against sybil attack in RPL-based IoT networks: a focus on smart home use case | |
| JP2012034129A (ja) | 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム | |
| CN102137073B (zh) | 一种防止仿冒ip地址进行攻击的方法和接入设备 | |
| CN104883410A (zh) | 一种网络传输方法和网络传输装置 | |
| CN101945117A (zh) | 防止源地址欺骗攻击的方法及设备 | |
| CN107360198A (zh) | 可疑域名检测方法及系统 | |
| CN102571579A (zh) | Arp报文处理方法及装置 | |
| CN113691504A (zh) | 一种基于软件定义网络的网络诱捕方法及系统 | |
| Kugisaki et al. | Bot detection based on traffic analysis | |
| Zhao et al. | ESLD: An efficient and secure link discovery scheme for software‐defined networking | |
| US8806634B2 (en) | System for finding potential origins of spoofed internet protocol attack traffic | |
| CN109327558A (zh) | 地址管理方法及装置 | |
| US20040233849A1 (en) | Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101110 Termination date: 20200801 |