CN101582771B - 多级路由模式下计算机上网身份识别的方法 - Google Patents
多级路由模式下计算机上网身份识别的方法 Download PDFInfo
- Publication number
- CN101582771B CN101582771B CN2009101487381A CN200910148738A CN101582771B CN 101582771 B CN101582771 B CN 101582771B CN 2009101487381 A CN2009101487381 A CN 2009101487381A CN 200910148738 A CN200910148738 A CN 200910148738A CN 101582771 B CN101582771 B CN 101582771B
- Authority
- CN
- China
- Prior art keywords
- computer
- router
- routers
- upstream data
- level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种多级路由模式下计算机上网身份识别的方法,解决了现有技术不能定位多级路由下计算机的数据包来源的问题。特别适用于具有多级路由的计算机网络安全审计。本发明的方法识别精度高,不会存在误判断或者漏判断。
Description
技术领域
本发明涉及一种网络信息安全方法。具体地说,涉及一种多级路由模式下计算机上网身份识别的方法。
背景技术
随着互联网的发展,人们在互联网上从事的行为越来越多,其中一些人使用互联网进行犯罪活动,网络监管形势严峻。而互联网技术本身的一些特点又使网络监管的难度加大。举例来说,在局域网中,经常存在多级路由(在本申请文件中,两级以上路由就被称为多级路由),而多级路由的NAT(网络地址转换)功能可以对外隐藏内部管理的IP地址。这样一来,在对局域网网络安全审计过程中,审计数据包来源时,只能定位到数据包是由哪台路由器发送出来的,却无法得知是多级路由下的具体哪一台计算机发送出去的。
现在判断多台计算机共享上网的方法有三种。第一种是检查同一IP地址的数据包中是否有不同MAC地址(物理地址),如果有则判定为存在共享上网。该方法存在的问题是,由于硬件路由器具有NAT功能将转换MAC地址,导致无法进行判断。第二种是通过SNMP(简单网络管理协议)功能来发现,通过向路由器发送相应的命令请求,路由器会返回其下面的计算机的MAC地址。该方法存在的问题是,绝大多数的低端路由器不支持SNMP协议,因此对于低端路由器无法用此方法判断。第三种是通过监测并发的端口数,如果并发的端口数多于设定数就判定为共享。该方法存在的问题是,判断方法不是很准确,存在误判的情形,例如连续按几次计算机键盘上的F5刷新键就会被认为是共享。
本文中,IP是英文Internet Protocol的缩写,意为国际互联网络通讯协定。ID是英文IDentity的缩写,意为身份标识号码,在本申请文件中为区分不同终端计算机的标识号码。NDIS是英文Network DriverInterface Specification的缩写,意为网络驱动接口规范。NDIS的主要目的就是为网络接口卡制定出标准的应用程序编程接口(API)。
发明内容
为此,本发明要解决现有技术不能监控多级路由器下的计算机上网行为、不能识别多级路由器下的计算机上网身份的技术问题,提出一种多级路由模式下计算机上网身份识别的方法。
为解决上述技术问题,本发明的一种多级路由模式下计算机上网身份识别的方法,包括以下步骤:
①对多级路由模式下的计算机安装监测模块,所述监测模块用于截获所在计算机向外发出的所有上行数据包,并对所述上行数据包的IP协议头进行修改,所述修改是将一个独一无二的ID附加到IP协议头的附加字段中,形成附带所述ID的上行数据包;
②所述监测模块将所在计算机的MAC信息和所述ID发送给与一级路由器相连的监控主机;
③所述监控主机以旁路监听或网关模式拦截所述一级路由器向外发送的所有所述附带所述ID的上行数据包,并对所述附带所述ID的上行数据包进行解析,获得所述ID;
④所述监控主机根据所述ID与所述计算机的MAC信息的对应关系,记录所述附带所述ID的上行数据包的来源。
所述ID由所述监测模块产生。
在步骤③中所述旁路监听是通过在所述一级路由器上做镜像端口,所述镜像端口用于复制所有的经过所述一级路由器的数据包。
在步骤③中所述网关模式是通过所述监控主机开启网关功能替代所述一级路由器的网关功能。
所述监测模块中包含有NDIS驱动。
在步骤①之前还包括判断计算机是否安装有安装监测模块,如果没有安装则进行提示并阻断该计算机的网络连接。
本发明的上述技术方案相比现有技术具有以下优点:第一,本发明能够对存在多级路由的计算机网络进行网络安全审计,能够精确定位数据包来源于哪一台计算机,从而实现审计结果与终端计算机关联。第二,本发明的识别精度高,不会存在误判断或者漏判断。
附图说明
为了使本发明的内容更容易被清楚的理解,下面根据本发明的具体实施例并结合附图,对本发明作进一步详细的说明,其中
图1是本发明的网络结构示意图;
图2是本发明的流程图。
图中附图标记表示为:1-一级路由器,2-二级路由器,3-监控主机,4-第一网络交换机,5-终端计算机、6-第二网络交换机。
具体实施方式
如图1所示,本发明应用到具有二级路由的计算机网络中,所述具有二级路由的计算机网络包括一级路由器1,分别与所述一级路由器1相连的监控主机3、二级路由器2和网络交换机4,所述二级路由器2还连接有终端计算机5和第二网络交换机6,所述第一网络交换机1和所述第二网络交换机6分别连接有所述终端计算机5。所述具有二级路由的计算机网络内的所有所述终端计算机5的所有数据包都要经过所述一级路由器1,这样所述终端计算机5才能与Internet(因特网)连接。
如图2所示,本发明的多级路由模式下计算机上网身份识别的方法具体实现步骤如下:所述监控主机3判断所述终端计算机5上是否安装有监测模块,方法是所述监控主机3在所述一级路由器1处以旁路监听或者网关模式拦截所有发送到Internet上的上行数据包,并对所述上行数据包进行解析,获得所述上行数据包的IP协议头中的附加字段信息,如果所述附加字段不包含内容或者所含内容不能为所述监控主机3识别则认为所述终端计算机5没有安装所述监测模块,所述监控主机3会给该所述终端计算机5返回链接提示用户需要进行安装监测模块,同时为了网络安全审计的需要阻断该所述终端计算机5的网络连接直到该所述终端计算机5安装所述监测模块。所述阻断该所述终端计算机5的网络连接是通过监听到的TCP连接信息组装一个伪造的带有RST标志的TCP数据包并直接发送到链路层,该所述终端计算机5收到所述伪造的带有RST标志的TCP数据包后就会自动断开TCP连接。如果所述附加字段内包含有内容且能为所述监控主机3识别则认为所述终端计算机5安装有所述监测模块。所述监测模块能够产生一个能被所述监控主机3识别的独一无二的ID,所述ID是GUID(全球唯一标识符),是一个32字节的字符串,例如“EF41A66B25E146B2964BE4F70534807F”。所述监测模块生成所述ID的具体的方法是,所述监测模块调用windows的API函数——“Create GUID”函数就会自动生成一个所述GUID。所述监测模块内含有NDIS驱动,所有经过所述终端计算机5上的本地网卡的数据包都会从所述NDIS驱动流过,所述NDIS驱动的作用是截获所在所述终端计算机5向外发出的所有上行数据包,并对所述上行数据包的IP协议头进行修改,所述修改是将所述ID附加到所述IP协议头的附加字段中,然后修改所述IP协议头的校验码,使被修改后的所述IP协议头符合TCP/IP协议的规定,从而形成附带所述ID的上行数据包。所述监测模块调用windows提供的API函数“SendARP”等,获取所述终端计算机5的MAC地址信息,然后所述监测模块立刻向所述监控主机3报告所述终端计算机5的所述MAC地址信息和所述ID的对应情况,所述监控主机3将该对应情况与已有的记录进行判断,看是否重复,不重复的情况下会记录到所述监控主机3的数据库中便于查询使用。所述附带所述ID的上行数据包先后经过所述二级路由器2和所述一级路由器1,所述终端计算机5的IP地址信息和MAC信息被所述二级路由器2的NAT功能给替换成所述二级路由器2的广域网IP地址信息和MAC信息。所述监控主机3在所述一级路由器1处以旁路监听或者网关模式拦截所有所述附带所述ID的上行数据包并进行解析,所述监控主机3根据提取的所述ID以及所述MAC信息确定所述终端计算机5,并记录下所述ID对应的所述终端计算机5的上网行为。
所述解析的过程是按照TCP/IP协议模型的规定,由以太网协议、IP协议、TCP协议、HTTP协议由下到上,一层一层的解析。具体过程为:从捕获的数据包所在内存地址截取14个字节,这14个字节是以太网协议头,其中6个字节为发送方的MAC地址,6个字节为接收方的MAC地址,1个字节是协议类型信息,根据所述协议类型信息判断是否是IP协议,如果是IP协议那么就继续截取IP协议头,然后获取所述IP协议头信息中的校验码,根据所述校验码计算出附加段长度,如果计算结果为0就说明不存在所述附加段,即数据包是一个无附加段信息的数据包,也就意味着所述终端计算机5没有安装所述监测模块;如果计算结果不为0就说明存在有附加段,截取所述附加段内的32个字节即获得所述ID。
所述旁路监听是指在所述一级路由器1上做一个镜像端口,做所述镜像端口的目的是把所有流经所述一级路由器1的上行数据包拷贝一份到所述镜像端口,所述监控主机3连接到所述镜像端口后就能收到处于所述一级路由器1下的所有终端计算机5的数据包。所述网关模式是将所述一级路由器1的网关功能关闭,将所述一级路由器1串联到所述监控主机3下面,所述监控主机3开启网关功能,这样所有所述终端计算机5的上行数据包必须流经所述监控主机3才能发送到Internet上,这样也能够实现对所述终端计算机5的上行数据包的捕获。
当然本发明的方法也可以应用在具有三级路由的计算机网络中,所述具有三级路由的计算机网络是指不仅包含有所述一级路由器1和所述二级路由器2,而且与所述二级路由器2相连的还有三级路由器,从结构层次上讲所述三级路由器位于所述二级路由器2的下面,所述二级路由器2位于所述一级路由器1的下面。所述监控主机3仍然是与所述一级路由器1相连,所述监测模块仍然是安装到各个所述终端计算机5。本发明的方法应用在具有三级路由的计算机网络与应用在具有二级路由的计算机网络不同之处只是在于网络结构不同,所述终端计算机5的上行数据包流经的路由器的数量不同,方法本身没有变化,达到的效果是一样,都能精确定位数据包来源于哪一台所述终端计算机5。同样的道理,本发明的方法也可以应用在具有四级路由甚至更多路由的计算机网络中实现计算机上网身份的识别。
本发明的方法可以用于大型网络环境,如集团企业、大中型院校等。本发明的多级路由模式下计算机上网身份识别的方法识别精度高,不会存在误判断和漏判断。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
Claims (6)
1.一种多级路由模式下计算机上网身份识别的方法,其特征在于:包括以下步骤:
①对多级路由模式下的计算机安装监测模块,所述监测模块用于截获所在计算机向外发出的所有上行数据包,并对所述上行数据包的IP协议头进行修改,所述修改是将一个独一无二的ID附加到IP协议头的附加字段中,形成附带所述ID的上行数据包;
②所述监测模块将所在计算机的MAC信息和所述ID发送给与一级路由器相连的监控主机;
③所述监控主机以旁路监听或网关模式拦截所述一级路由器向外发送的所有所述附带所述ID的上行数据包,并对所述附带所述ID的上行数据包进行解析,获得所述ID;
④所述监控主机根据所述ID与所述计算机的MAC信息的对应关系,记录所述附带所述ID的上行数据包的来源。
2.根据权利要求1所述的多级路由模式下计算机上网身份识别的方法,其特征在于:所述ID由所述监测模块产生。
3.根据权利要求1所述的多级路由模式下计算机上网身份识别的方法,其特征在于:在步骤③中所述旁路监听是通过在所述一级路由器上做镜像端口,所述镜像端口用于复制所有的经过所述一级路由器的数据包。
4.根据权利要求1所述的多级路由模式下计算机上网身份识别的方法,其特征在于:在步骤③中所述网关模式是通过所述监控主机开启网关功能替代所述一级路由器的网关功能。
5.根据权利要求1至4任一所述的多级路由模式下计算机上网身份识别的方法,其特征在于:所述监测模块中包含有网络驱动接口规范NDIS驱动。
6.根据权利要求1至4任一所述的多级路由模式下计算机上网身份识别的方法,其特征在于:在步骤①之前还包括判断计算机是否安装有监测模块,如果没有安装则进行提示并阻断该计算机的网络连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101487381A CN101582771B (zh) | 2009-07-02 | 2009-07-02 | 多级路由模式下计算机上网身份识别的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101487381A CN101582771B (zh) | 2009-07-02 | 2009-07-02 | 多级路由模式下计算机上网身份识别的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101582771A CN101582771A (zh) | 2009-11-18 |
| CN101582771B true CN101582771B (zh) | 2011-06-29 |
Family
ID=41364752
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101487381A Expired - Fee Related CN101582771B (zh) | 2009-07-02 | 2009-07-02 | 多级路由模式下计算机上网身份识别的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101582771B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102065093B (zh) * | 2010-12-31 | 2016-07-06 | 凌涛 | 酒店多媒体网络服务方法及酒店多媒体网络服务系统 |
| CN102244663B (zh) * | 2011-08-16 | 2013-12-18 | 山东盛世光明软件技术有限公司 | 基于构造tcp数据包技术的用户身份识别方法和系统 |
| CN103473516A (zh) * | 2013-08-19 | 2013-12-25 | 谢珍文 | 不能运用网络技术的保密计算机 |
| CN107566388B (zh) * | 2017-09-18 | 2020-09-04 | 杭州安恒信息技术股份有限公司 | 工控漏洞探测方法、装置及系统 |
| CN109379285A (zh) * | 2018-11-21 | 2019-02-22 | 深圳市吉祥腾达科技有限公司 | 一种路由器自动识别客户端类型并智能选路的方法 |
| CN113179225B (zh) * | 2021-04-26 | 2022-11-04 | 深圳市奇虎智能科技有限公司 | 子路由的应用识别与处理方法、系统、存储介质及计算机设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004259197A (ja) * | 2003-02-27 | 2004-09-16 | International Network Securitiy Inc | 情報セキュリティ監査システム |
| CN101068242A (zh) * | 2007-05-31 | 2007-11-07 | 武汉虹旭信息技术有限责任公司 | 一种安全审计系统中获取内外网地址映射关系的方法 |
| CN101212338A (zh) * | 2006-12-30 | 2008-07-02 | 上海复旦光华信息科技股份有限公司 | 基于监控探针联动的网络安全事件溯源系统与方法 |
-
2009
- 2009-07-02 CN CN2009101487381A patent/CN101582771B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004259197A (ja) * | 2003-02-27 | 2004-09-16 | International Network Securitiy Inc | 情報セキュリティ監査システム |
| CN101212338A (zh) * | 2006-12-30 | 2008-07-02 | 上海复旦光华信息科技股份有限公司 | 基于监控探针联动的网络安全事件溯源系统与方法 |
| CN101068242A (zh) * | 2007-05-31 | 2007-11-07 | 武汉虹旭信息技术有限责任公司 | 一种安全审计系统中获取内外网地址映射关系的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101582771A (zh) | 2009-11-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101582771B (zh) | 多级路由模式下计算机上网身份识别的方法 | |
| CN101656634B (zh) | 基于IPv6网络环境的入侵检测方法 | |
| CN101827084B (zh) | 网络设备的高效的应用程序识别 | |
| EP2244418A1 (en) | Database security monitoring method, device and system | |
| CN102724317B (zh) | 一种网络数据流量分类方法和装置 | |
| CN106713067B (zh) | 一种基于dpi的敏感文件流转监控方法 | |
| CN102316087A (zh) | 网络应用攻击的检测方法 | |
| CN101414939A (zh) | 一种基于动态深度包检测的互联网应用识别方法 | |
| WO2009114436A2 (en) | Method and system for secure data exfiltration from a closed network or system | |
| CN108924106A (zh) | 一种基于网卡抓包的终端上网审计方法及系统 | |
| CN101360090B (zh) | 应用层协议识别方法 | |
| CN105099916A (zh) | 开放流路由交换设备及其对数据报文的处理方法 | |
| CN101184097A (zh) | 一种基于流量信息检测蠕虫活动的方法 | |
| CN101184089A (zh) | 一种基于端口与内容混杂检测的协议识别方法 | |
| CN105553809A (zh) | 一种stun隧道管理方法及装置 | |
| CN106649019A (zh) | 一种基于串口的整机自动化pcie通信质量测试方法 | |
| CN102437959B (zh) | 基于双超时网络报文的组流方法 | |
| CN109803030A (zh) | 一种匿名中间代理服务器及其通信方法 | |
| CN104735060B (zh) | 路由器及其数据平面信息的验证方法和验证装置 | |
| CN101098257A (zh) | 改善被管理网络中的错误管理的方法和网络单元 | |
| Hussein et al. | SDN verification plane for consistency establishment | |
| CN111416887A (zh) | 地址检测的方法、装置、交换机及存储介质 | |
| KR100825257B1 (ko) | 비정상트래픽의 로그데이타 상세 처리 방법 | |
| CN100452763C (zh) | 用于前向传输以太网信息包的网络单元 | |
| CN112039916B (zh) | 基于opc协议的通信方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C53 | Correction of patent of invention or patent application | ||
| CB03 | Change of inventor or designer information |
Inventor after: Li Cunjun Inventor after: Sun Weili Inventor after: Shi Yihe Inventor after: Li Xiuyuan Inventor before: Sun Weili Inventor before: Shi Yihe Inventor before: Li Xiuyuan |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: INVENTOR; FROM: SUN WEILI SHI YIHE LI XIUYUAN TO: LI CUNJUN SUN WEILI SHI YIHE LI XIUYUAN |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110629 Termination date: 20210702 |