CN107483431A

CN107483431A - 一种基于tcp/ip协议的交换机端口安全防护方法和装置

Info

Publication number: CN107483431A
Application number: CN201710679542.XA
Authority: CN
Inventors: 尹纪飞
Original assignee: Hangzhou DPTech Technologies Co Ltd
Current assignee: Hangzhou DPTech Technologies Co Ltd
Priority date: 2017-08-10
Filing date: 2017-08-10
Publication date: 2017-12-15

Abstract

本申请提供了一种基于TCP/IP协议的交换机端口安全防护方法和装置。利用TCP/IP协议基于交换机物理端口向接入设备发送探测请求报文，通过是否接收到回复报文和接收到的回复报文的内容来识别接入设备的设备信息，进而使交换机下发阻断、放行、白名单等一系列策略。和现有技术相比，不需要手动确定接入设备的信息，也不需要手动设置交换机端口白名单，节省了人力成本。

Description

一种基于TCP/IP协议的交换机端口安全防护方法和装置

技术领域

本申请涉及通信领域，特别是涉及一种基于TCP/IP协议的交换机端口安全防护方法和装置。

背景技术

交换机是网络应用中重要的数据承载工具，而交换机经常需要面向各种类型的接入设备，保证交换机的端口安全就必须保证接入设备的可靠性，因此，如何更好的对接入设备进行识别和防范就成为了网络安全中需要解决的问题。

现有技术通常使用白名单机制实现对接入设备的控制，防止接入设备对交换机的攻击，具体方案为：禁用端口的MAC地址学习功能，将允许连接交换机的接入设备的MAC地址加入该端口的白名单中。

现有技术的白名单机制需要绑定接入设备的MAC地址，一来必须手动获取接入设备的相关信息(例如MAC地址)，二来必须手动将接入设备的相关信息输入到交换机的白名单中。如果接入设备与交换机相连距离较远或交换机放置位置不易进行人为操作的情况下会徒增人力投入成本。

发明内容

为解决上述技术问题，本申请提供了一种基于TCP/IP协议的交换机端口安全防护方法和装置，技术方案如下：

一种基于TCP/IP协议的交换机端口安全防护方法，其特征在于，所述方法包括：

控制目标端口周期性发送探测请求报文，所述探测请求报文携带SYN标记；

周期性检测是否收到接入设备的回复报文，所述回复报文携带SYN_ACK标记；

如果接收到回复报文，解析回复报文以确定发送该回复报文的接入设备是否符合预设的要求；

当接入设备符合预设的要求时，将所述回复报文中的接入设备信息添加至目标端口的白名单；

当接入设备不符合预设的要求时，阻塞目标端口；

如果目标端口连续发送预设次数的探测请求报文后，仍然没有收到接入设备的回复报文，阻塞目标端口。

一种基于TCP/IP协议的交换机端口安全防护装置，其特征在于，所述装置包括：

请求模块：用于控制目标端口周期性发送探测请求报文，所述探测请求报文携带SYN标记；

检测模块：用于周期性检测是否收到接入设备的回复报文，所述回复报文携带SYN_ACK标记；

第一处理模块：用于当接收到回复报文时，解析回复报文以确定发送该回复报文的接入设备是否符合预设的要求；

当接入设备不符合预设的要求时，阻塞目标端口；

第二处理模块：用于当目标端口连续发送预设次数的探测请求报文后，仍然没有收到接入设备的回复报文时，阻塞目标端口。

本申请提供了一种基于TCP/IP协议的交换机端口安全防护方法和装置，利用TCP/IP协议基于交换机物理端口向接入设备发送探测请求报文，通过接收到的回复报文来识别接入设备的设备信息，进而使交换机下发阻断、放行、白名单等一系列策略。和现有技术相比，不需要手动确定接入设备的信息，也不需要手动设置交换机端口白名单，节省了人力成本。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1为本申请实施例基于TCP/IP协议的交换机端口安全防护方法的一种流程图；

图2为本申请实施例基于TCP/IP协议的交换机端口安全防护方法的另一种流程图；

图3为本申请实施例基于TCP/IP协议的交换机端口安全防护装置的一种示意图。

具体实施方式

交换机是网络应用中重要的数据承载工具，用户通常不希望交换机有陌生设备接入，陌生设备的接入可能会影响正常数据的收发，甚至对信息安全造成影响。举例说明，用户希望某台交换机的接入设备只限定于本区域的交通摄像头，以便实时为交通影像提供网络数据传输服务。如果有其他设备在这台交换机上私拉乱接，就会影响视频数据的正常传输，影响交通信息安全。

对交换机进行安全防护的方式之一就是对交换机物理端口的接入设备进行识别和处理。现有技术为端口设置了一个访问控制列表，也可以称之为白名单，将允许连接交换机的设备的MAC地址加入这个白名单中，只有这些设备连接这个端口时，交换机才给予放行，能够进行正常的数据传输。如果有不在白名单的设备连接该端口。交换机将阻塞这个端口，陌生设备不能通过这个端口进行数据传输。这种方法需要手动获取接入设备的MAC地址，再手动输入交换机。比较麻烦，耗费人力。

有鉴于此，本申请实施例提供了一种基于TCP/IP协议的交换机端口安全防护方法和装置，该方法可以包括以下步骤：

当接入设备不符合预设的要求时，阻塞目标端口；

为了使本领域技术人员更好地理解本申请中的技术方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行详细地描述。

本申请是于TCP/IP协议的交换机端口安全防护方法。首先介绍一下TCP/IP数据连接，通常将其称之为三次握手。

第一次握手：建立连接。客户端发送连接请求报文，将SYN位置为1，SequenceNumber为x；然后，客户端进入SYN_SEND状态，等待服务器的确认，本申请中的探测请求报文就相当于第一次握手中的请求报文；

第二次握手：服务器收到客户端的连接请求报文，需要对这个接请求报文进行确认，设置Acknowledgment Number为x+1(Sequence Number+1)；同时，自己还要发送SYN请求信息，将SYN位置为1，Sequence Number为y；服务器端将上述所有信息放到一个报文(即SYN+ACK报文)中，一并发送给客户端，此时服务器进入SYN_RECV状态，本申请的回复报文就是在这一步发出；

第三次握手：客户端收到服务器的SYN+ACK报文段。然后将AcknowledgmentNumber设置为y+1，向服务器发送ACK报文段，这个报文段发送完毕以后，客户端和服务器端都进入ESTABLISHED状态，完成TCP三次握手。

本申请应用了TCP/IP协议，交换机目标端口向接入设备发出的探测请求报文相当于三次握手中的第一次握手，而接入设备发送回交换机的回复报文就相当于三次握手中的第二次握手。

参考附图1，为本申请实施例基于TCP/IP协议的交换机端口安全防护方法的一种流程图，其可以包括以下基本步骤：

S101，控制目标端口发送探测请求报文；

这里的目标端口是泛指交换机上的一个物理端口，并非用于限定，其只是为便于描述进行的命名。

在发送探测请求报文之前，需要初始化并启动交换机物理接口下的探测状态机，为接下来的探测报文收发做准备。

交换机在发送探测请求时，探测请求报文会携带SYN标记，这里的探测请求报文可以视之为TCP/IP协议建立连接时第一次握手的SYN报文。

需要说明的是，步骤101中的探测请求报文每次不止发送一个，因为此时无法确定接入设备的IP地址和TCP端口号，需要将可能的IP地址和TCP端口号封装成对应个报文并进行发送。

S102，周期性检测是否收到接入设备的回复报文，如果收到接入设备的回复报文，执行步骤S103，如果没有收到接入设备的回复报文，执行步骤S104；

所谓周期性检测，具体指：每隔预设时间检测一次目标端口，判断此端口是否收到了回复报文。

回复报文指的是接入设备接收到探测请求报文后，发送回交换机的报文，回复报文遵循TCP/IP协议，携带SYN_ACK印记。这里涉及的回复报文可以视之为TCP/IP协议建立连接时第二次握手的SYN_ACK报文。

S103，解析回复报文，确定发送该回复报文的接入设备是否符合预设的要求，如果接入设备符合预设的要求，执行步骤S105，如果接入设备不符合预设的要求，执行步骤S106；

交换机接收到回复报文后，对回复报文进行解析。确定发送该回复报文的接入设备是否符合预设要求。

回复报文中通常包含的这些元素：接入设备的厂商信息，接入设备的MAC地址和五元组信息(源IP地址，源端口，目的IP地址，目的端口和传输层协议)。

确定接入设备是否符合预设要求有多种方式，这里举例说明：

1)如果回复报文中包含的元素与上述不同，判定这个接入设备不符合预设要求；

2)如果回复报文中包含的元素与上述相同，判断这些元素的内容是否符合预期，比如：厂商信息是否能够与预存的厂商信息库中的任一信息相匹配？如果元素内容也符合预期，判定这个接入设备符合预设要求。

需要注意的是，上述判定方式仅仅是一种示例，在实际应用中，包含元素不全也可能是符合条件的接入设备，本示例不应理解为对本申请的限定。

S104，判断探测报文是否已经发送了预设次数，如果探测报文没有发送预设次数，重新执行步骤S101，如果探测报文已经发送了预设次数，执行步骤S106；

预设次数通常设置为3～5次，如果连续发送预设次数后，仍然没有接受到回复报文，可能的情况有：

a)目标端口接入的设备不能响应交换机的探测请求报文，不是用户需要的，符合条件的接入设备；

b)目标端口并没有接入设备。

如果探测报文已经发送了预设次数但仍然没有收到回复报文，则停止发送探测请求报文。

S105，将回复报文中的接入设备信息添加至目标端口的白名单；

回复报文中的接入设备信息通常有：接入设备的厂商信息，接入设备的MAC地址和五元组信息(源IP地址，源端口，目的IP地址，目的端口和传输层协议)。一般来说，可以将MAC地址信息作为接入设备的标识信息加入白名单。在实际应用中，白名单中也可以加入接入设备的其它信息，对于将哪些信息加入白名单，本申请并不做具体限制。

将接入设备的信息加入白名单后，当该设备下一次连接目标端口时，交换机将不再执行本申请的探测流程，直接将设备放行。

S106，阻塞目标端口。使接入设备与交换机之间不能进行数据传输。

至此，完成图1所示的流程。

参考附图2，为本申请实施例基于TCP/IP协议的交换机端口安全防护方法的另一种流程图，其可以包括以下基本步骤：

S201，判断端口链路是否发生变化，如果发生变化，执行步骤S202，如果没有发生变化，结束本流程；

端口链路变化是本申请探测流程的触发条件，可以理解为，目标端口有设备插拔时，触发本申请的探测流程。

S202，确定封装信息，基于TCP/IP协议封装探测请求报文；

根据TCP/IP协议，探测报文的数据包需要封装相应信息，包括接入设备的IP地址信息，接入设备对应的TCP端口号信息和一些其他信息。

S203，控制目标端口发送探测请求报文，与S101所述相同；

S204，判断是否收到接入设备的回复报文，如果收到接入设备的回复报文，执行步骤S205，如果没有收到接入设备的回复报文，执行步骤S206；

S205，解析回复报文，确定发送该回复报文的接入设备是否符合预设的要求，如果接入设备符合预设的要求，执行步骤S207，如果接入设备不符合预设的要求，执行步骤S209；

S206，判断探测报文是否已经发送了预设次数，如果探测报文没有发送预设次数，重新执行步骤S101，如果探测报文已经发送了预设次数，执行步骤S106；

S207，将回复报文中的接入设备信息添加至目标端口的白名单；

S208，停止对回复报文的周期性检测；

S209，阻塞目标端口。

作为一个实施例，步骤S202中确定封装信息，基于TCP/IP协议封装探测请求报文可包括：

步骤a1，检索目标接口下的VLAN，并检测该VLAN接口是否启用DHCP服务，如果启动了DHCP服务，则执行步骤a2，如果没有启动DHCP服务，则执行步骤a3；

步骤a2，使用配置的DHCP地址池内IP段与接入设备对应的TCP端口号封装探测请求报文；

可以理解的是，此时无法尚确定接入设备的具体IP地址，只能确定接入设备与目标端口在同一个IP地址池内。为了确保使探测请求发送到接入设备，这里涉及的探测请求报文需要封装出很多个，举例说明：确定IP地址池中有IP1-IP50，则需要将这50个IP分别封装到报文上，共封装成50个探测请求报文，再确定接入设备对应的TCP端口号有1-10，将这10个TCP端口号分别封装到IP1报文，IP2报文……IP50报文上，最后共封装成10*50＝500个探测请求报文。

接入设备对应的TCP端口号通常以集合的形式预存于交换机中，当接入设备接收到封装了对应的TCP端口号的探测请求报文时，才能响应并向交换机发出回复报文。

步骤a3，检测目标接口配置的IP地址，并使用这个IP地址池与接入设备对应的TCP端口号封装探测请求报文。

至此，通过步骤a1至步骤a3实现了步骤S202中基于TCP/IP协议封装探测请求报文的操作。

参考附图3，为本申请实施例基于TCP/IP协议的交换机端口安全防护装置的一种示意图。包括：请求模块310，检测模块320，第一处理模块330，第二处理模块340。

请求模块310：用于控制目标端口周期性发送探测请求报文，所述探测请求报文携带SYN标记；

检测模块320：用于周期性检测是否收到接入设备的回复报文，所述回复报文携带SYN_ACK标记；

第一处理模块330：用于当接收到回复报文时，解析回复报文以确定发送该回复报文的接入设备是否符合预设的要求；

当接入设备不符合预设的要求时，阻塞目标端口；

第二处理模块340：用于当目标端口连续发送预设次数的探测请求报文后，仍然没有收到接入设备的回复报文时，阻塞目标端口。

在本申请的一种具体实施方式中，请求模块310具体用于：

确定封装信息，基于TCP/IP协议封装探测请求报文，控制目标端口周期性发送探测请求报文。

在本申请的一种具体实施方式中，检测模块320具体用于：

接收到第一处理模块将所述回复报文中的接入设备信息添加至目标端口的白名单的信息后，停止对回复报文的周期性检测。

在本申请的一种具体实施方式中，检测模块320具体还用于：

当目标端口链路发生变化时，控制目标端口周期性发送探测请求报文。

至此，完成图3所示的装置结构描述。

本申请实施例还提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现前述基于TCP/IP协议的交换机端口安全防护方法。该方法包括：

当接入设备不符合预设的要求时，阻塞目标端口；

计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

本申请中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

Claims

1.一种基于TCP/IP协议的交换机端口安全防护方法，其特征在于，所述方法包括：

当接入设备不符合预设的要求时，阻塞目标端口；

2.根据权利要求1所述的方法，其特征在于，所述控制目标端口周期性发送探测请求报文，包括：

3.根据权利要求2所述的方法，其特征在于，所述确定封装信息，基于TCP/IP协议封装探测请求报文，包括：

确定接入设备的IP地址池，将地址池的中每个IP地址封装成一个对应的探测请求报文；

确定接入设备的TCP端口号池，在探测请求报文封装了IP地址的基础上，将TCP端口号池中每个端口号封装成一个对应的探测请求报文。

4.根据权利要求1所述的方法，其特征在于，将所述回复报文中的接入设备信息添加至目标端口的白名单后，还包括：

停止对回复报文的周期性检测。

5.根据权利要求1所述的方法，其特征在于，所述控制目标端口周期性发送探测请求报文，包括：

6.一种基于TCP/IP协议的交换机端口安全防护装置，其特征在于，所述装置包括：

当接入设备不符合预设的要求时，阻塞目标端口；

7.根据权利要求6所述的装置，其特征在于，所述请求模块，具体用于：

8.根据权利要求7所述的装置，其特征在于，所述请求模块，具体用于：

9.根据权利要求6所述的装置，其特征在于，所述检测模块，具体还用于：

10.根据权利要求6所述的装置，其特征在于，所述检测模块，具体用于：