CN108123915B - 一种非法入网设备的检测方法及装置 - Google Patents
一种非法入网设备的检测方法及装置 Download PDFInfo
- Publication number
- CN108123915B CN108123915B CN201611071603.6A CN201611071603A CN108123915B CN 108123915 B CN108123915 B CN 108123915B CN 201611071603 A CN201611071603 A CN 201611071603A CN 108123915 B CN108123915 B CN 108123915B
- Authority
- CN
- China
- Prior art keywords
- physical address
- client
- database
- stored
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Abstract
本发明是关于一种非法入网设备的检测方法及装置,该方法首先持续从服务器的DHCP报文日志中包含第一预设关键字的行信息中提取第一客户端物理地址并存入到指定数据库、以及从包含第二预设关键字的行信息中提取第二客户端物理地址;然后,判断存入在该数据库中的第一客户端物理在其被存入到所述数据库中后的预设时间内能否从提取的第二客户端物理地址中匹配到相同的客户端物理地址,如果不能,则将该第一客户端物理地址对应的客户端主机判定为非法设备。本发明根据非法入网络与合法入网设备对应DHCP响应过程不同的特点,对DHCP报文日志的实时检测分析,实现对非法入网设备的检测,并且该方法可与DHCP响应过程同步,具有检测速度快的优势。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种非法入网设备的检测方法及装置。
背景技术
随着通信技术的快速进步,社会各个领域的信息化程度都在逐步提高,越来越多的企业、政府部门及军事机构开始建立自己的局域网系统。
在上述局域网络系统中,为能够集中的管理和分配IP地址,通常采用DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)来给网络客户端分配IP地址。具体的,DHCP使用客户端/服务器模式,网络管理员建立一个或多个DHCP服务器,在这些服务器中保存有可以提供给客户端的TCP/IP配置信息,其中,该配置信息包括网络客户的有效配置参数、分配给客户的有效IP地址池(包括为手工配置而保留的地址)、服务器提供的租约持续时间。如果将TCP/IP网络上的计算机设定为从DHCP服务器获得IP地址,这些计算机则成为DHCP客户端主机,启动DHCP客户端主机时,它与DHCP服务器通信以接收必要的TCP/IP配置信息。
进一步的,DHCP服务器为DHCP客户端主机分配TCP/IP地址的方式包括手工分配、自动分配和动态分配,其中,为了防止非法的DHCP请求,现有技术中通常采用手工方式分配TCP/IP地址。图1为DHCP响应IP地址分配请求的基本过程示意图。如图1所示,客户端主机接入网络后,需要申请一个IP地址才能使用网络,它会在本地子网内广播一个DHCPDISCOVER消息,该消息中可以包括一些选项,要求获得指定的网络地址和租期等;由于在手工分配中,网络管理员在DHCP服务器通过手工方法配置DHCP客户端主机的IP地址,所以,DHCP服务器收到DHCPDISCOVER消息后,服务器根据客户端主机MAC(Medium Access Control,物理地址)寻找到对应的固定IP地址分配给客户端主机,并回应一个DHCPOFFER消息;客户端主机根据DHCPOFFER消息中的配置参数来选择其中一个服务器作为回应,客户端回应的消息是DHCPREQUEST消息;最后,服务器向客户端主机发送DHCPACKNOWLEDGE消息以确认IP租约,这样客户端主机才能与网络中的其他主机进行通信。
然而,在局域网络系统中,经常存在一些客户端主机,在还没有分配IP地址时就进行了设备加电操作,这不仅浪费了电力资源,并且,从数据中心管理方面来说,也违反了设备上架规则。
发明内容
为克服相关技术中存在的问题,本发明提供一种非法入网设备的检测方法及装置。
根据本发明实施例的第一方面,提供一种非法入网设备的检测方法,该方法包括:
持续从服务器的动态主机配置协议DHCP报文日志中抓取包含第一预设关键字的行信息和包含第二预设关键字的行信息,其中,所述第一预设关键字包括DISCOVER,所述第二预设关键字包括OFFER或REQUEST;
从抓取的所述包含第一预设关键字的行信息中提取第一客户端物理地址并存入到指定的数据库中,以及从抓取的所述包含第二预设关键字的行信息中提取第二客户端物理地址;
判断存入到所述数据库中的第一客户端物理地址在被存入到所述数据库中后的预设时间内,能否从提取的第二客户端物理地址中匹配到相同的客户端物理地址;
若不能,则将所述存入到所述数据库中的第一客户端物理地址对应的客户端主机判定为非法设备。
优选地,存入到所述数据库中的第一客户端物理地址在被存入到所述数据库中后的预设时间内能否从提取的第二客户端物理地址中匹配到相同的客户端物理地址,包括:
在所述第二客户端物理地址中查找与存入到所述数据库中的第一客户端物理地址相同的客户端物理地址;
如果在所述第二客户端物理地址中到查找与存入在所述数据库中的客户端物理相同的客户端物理地址,则判定存入到所述数据库中的第一客户端物理地址在被存入到所述数据库中后的预设时间内,能从提取的第二客户端物理地址中匹配到相同的客户端物理地址,并对所述存入到所述数据库中的第一客户端物理地址进行标记;
在所述数据库中查找未被标记的第一客户端物理地址;
获取所述未被标记的第一客户端物理地址被查到时的时间和被存入到所述数据库时的时间;
判断所述未被标记的第一客户端物理地址被查到时的时间与被存入到所述数据库时的时间之间的时差是否大于预设时间;
若大于预设时间,则判定存入到所述数据库中的第一客户端物理地址在被存入到所述数据库中后的预设时间内不能从提取的第二客户端物理地址中匹配到相同的客户端物理地址。
优选地,对所述存入到所述数据库中的第一客户端物理地址进行标记之后,所述方法还包括:
将标记后的第一客户端物理地址存到合法设备数据库中。
优选地,对所述存入到所述数据库中的第一客户端物理地址进行标记,包括:
提取所述第二客户端物理地址所在的行信息中的互联网协议IP地址,其中,所述第二客户端物理地址所在的行信息中包含所述第二预设关键字;
利用所述IP地址,对所述存入到所述数据库中的第一客户端物理地址进行标记。
优选地,将所述存入到所述数据库中的第一客户端物理地址对应的客户端主机判定为非法设备之后,所述方法还包括:
根据所述存入到所述数据库中的第一客户端物理地址,生成非法设备通知消息;
将所述非法设备通知消息发送给网络管理员和/或发送给指定存储系统。
根据本发明实施例的第二方面,提供了一种非法入网设备的检测装置,该装置包括:
行信息抓取模块:用于持续从服务器的动态主机配置协议DHCP报文日志中抓取包含第一预设关键字的行信息和包含第二预设关键字的行信息,其中,所述第一预设关键字包括DISCOVER,所述第二预设关键字包括OFFER或REQUEST;
地址提取模块:用于从抓取的所述包含第一预设关键字的行信息中提取第一客户端物理地址并存入到指定的数据库中,以及从抓取的所述包含第二预设关键字的行信息中提取第二客户端物理地址;
地址判断模块:用于判断存入到所述数据库中的第一客户端物理地址在被存入到所述数据库中后的预设时间内能否从提取的第二客户端物理地址中匹配到相同的客户端物理地址;
设备判定模块:用于如果存入到所述数据库中的第一客户端物理地址在被存入到所述数据库中后的预设时间内能否从提取的第二客户端物理地址中匹配到相同的客户端物理地址,则将所述存入到所述数据库中的第一客户端物理地址对应的客户端主机判定为非法设备。
优选地,所述地址判断模块包括:
第一地址查找子模块:在所述第二客户端物理地址中查找与存入到所述数据库中的第一客户端物理地址相同的客户端物理地址;
第一地址判断子模块:用于如果在所述第二客户端物理地址中到查找与存入在所述数据库中的客户端物理相同的客户端物理地址,则判定存入到所述数据库中的第一客户端物理地址在被存入到所述数据库中后的预设时间内能从提取的第二客户端物理地址中匹配到相同的客户端物理地址,并对所述存入到所述数据库中的第一客户端物理地址进行标记;
第二地址查找之模块:用于在所述数据库中查找未被标记的第一客户端物理地址;
查找时间获取子模块:用于获取所述未被标记的第一客户端物理地址被查到时的时间和被存入到所述数据库时的时间;
时差判断子模块:用于判断所述未被标记的第一客户端物理地址被查到时的时间与被存入到所述数据库时的时间之间的时差是否大于预设时间;
第二地址判断子模块:用于如果所述未被标记的第一客户端物理地址被查到时的时间与被存入到所述数据库时的时间之间的时差大于预设时间,则判定存入到所述数据库中的第一客户端物理地址在被存入到所述数据库中后的预设时间内不能从提取的第二客户端物理地址中匹配到相同的客户端物理地址。
优选地,所述地址判断模块还包括地址存储子模块,其中:
所述地址存储子模块,用于对所述存入到所述数据库中的第一客户端物理地址进行标记之后,将标记后的第一客户端物理地址存到合法设备数据库中。
优选地,所述地址标记子模块,包括:
IP地址提取子模块:用于提取所述第二客户端物理地址所在的行信息中的互联网协议IP地址,其中,所述第二客户端物理地址所在的行信息中包含所述第二预设关键字;
第一地址标记子模块:用于利用所述IP地址,对所述存入到所述数据库中的第一客户端物理地址进行标记。
优选地,所述装置还包括:
消息生成模块:用于根据所述存入到所述数据库中的第一客户端物理地址,生成非法设备通知消息;
消息发送模块:用于将所述非法设备通知消息发送给网络管理员和/或发送给指定存储系统。
由以上技术方案可见,本发明实施提供的一种非法入网设备的检测方法及装置,首先,持续从服务器的动态主机配置协议DHCP报文日志中包含第一预设关键字的行信息中提取第一客户端物理地址并存入到指定数据库、以及从包含第二预设关键字的行信息中提取第二客户端物理地址;然后,判断存入到所述数据库中的第一客户端物理地址在其被存入到所述数据库中后的预设时间内能否从提取的第二客户端物理地址中匹配到相同的客户端物理地址,如果不能,则将该存储在数据库中的第一客户端物理地址对应的客户端主机判定为非法设备。由于DHCP响应IP地址分配请求的过程记录在服务器的DHCP messages报文日志中,并且在手工分配IP地址的方式中,服务器根据客户端主机MAC地址无法寻找到对应的固定IP地址,导致的非法设备接入网络时只存在请求IP租约过程,因此,从包含第一预设关键字DISCOVER的行信息中提取到客户端物理地址后,便无法在后续的响应IP地址分配请求报文日志中查找到与该客户端物理地址相同的地址,进而可以确定出接入到该局域网络的客户端主机为非法设备;另外,本发明实施提供的该方法,基于对DHCP报文日志的实时检测分析,可以与DHCP响应IP地址分配请求的过程同步,检测速度快,进而具有能够快速检测出非法入网设备的特点。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为DHCP响应IP地址分配请求的基本过程示意图;
图2为本发明实施例一提供的非法入网设备的检测方法的流程示意图;
图3为本发明提供的DHCP报文日志中包含关键字DISCOVER的行信息的场景示意图;
图4为本发明提供的DHCP报文日志中包含关键字OFFER的行信息的场景示意图;
图5为本发明实施例二提供的非法入网设备的检测方法的流程示意图;
图6为本发明实施例提供的一种非法入网设备的检测装置的结构示意图;
图7为本发明实施例提供的一种服务器的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
针对现有技术的局域网络系统中,有一些客户端主机,在还没有分配IP地址时就进行了设备加电操作的问题,本发明实施例提供了一种非法入网设备的检测方法,该方法基于DHCP响应IP地址分配请求的过程均记录在服务器的DHCP messages报文日志中,并且在手工分配IP地址的方式中,由于服务器根据客户端主机MAC地址无法寻找到对应的固定IP地址,导致的非法设备接入网络时只存在请求IP租约(DISCOVER)过程的特点,通过对DHCP报文日志的实时检测分析,检测出非法入网设备。
图2为本发明实施例一提供的非法入网设备的检测方法的流程示意图。如图2所示,还方法具体包括如下步骤:
S110:持续从服务器的动态主机配置协议DHCP报文日志中抓取包含第一预设关键字的行信息和包含第二预设关键字的行信息,其中,所述第一预设关键字包括DISCOVER,所述第二预设关键字包括OFFER或REQUEST。
具体的,可以在服务器中安装日志搜集处理框架Logstash,通过配置Logstash实时监控DHCP messages报文日志。由于DHCP响应IP地址分配请求时,报文日志是有固定格式的,并且相应的字段填充相应的值,具体的,每一个DHCP响应过程分别存储在单行信息中,并且每行信息中均包括有用于标识具体响应过程的关键字,如DHCPDISCOVER用于标识客户端主机广播请求IP租约过程、DHCPOFFER用于标识服务器发送提供IP租约过程、DHCPREQUEST用于标识客户端主机广播选择IP租约过程、以及DHCPACKNOWLEDGE标识服务器发送确认IP租约过程。
并且,对于非法设备和合法设备,均存在请求IP租约过程,所以,本发明实施例配置Logstash对报文日志进行实时持续的监控,在报文日志中出现第一预设关键字DISCOVER时,则对报文日志中包含该第一预设关键字的行进行抓取,其中,第一预设关键字也可以是DHCPDISCOVER,本实施例在此不做具体限定。
进一步的,对于非法设备只存在请求IP租约过程,并且,对于合法设备所具有的后续DHCP响应过程中,只有提供IP租约OFFER和选择IP租约REQUEST过程对应的报文日志中包含用于区分客户端主机的MAC地址,所以,本发明实施例配置Logstash在报文日志中出现第二预设关键字OFFER或REQUEST时,对报文日志中包含该第二预设关键字的行进行抓取,其中,第二预设关键字也可以是DHCPOFFER或DHCPREQUEST,本实施例在此不做具体限定
S120:从抓取的所述包含第一预设关键字的行信息中提取第一客户端物理地址并存入到指定的数据库中,以及从抓取的所述包含第二预设关键字的行信息中提取第二客户端物理地址。
具体的,由于步骤S110持续的从服务器的DHCP报文日志中抓取包含第一预设关键字的行信息和包含第二预设关键字的行信息,所以,本实施例对抓取到的行信息进行实时的监控,具体的,当抓取到包含第一预设关键字的行信息时,则从该行提取第一客户端物理地址,当抓取到包含第二预设关键字的行信息时,则从该行中提取第二客户端物理地址。
图3为本发明提供的DHCP报文日志中包含关键字DISCOVER的行信息的场景示意图。如图3所示,由于报文日志是有固定格式的,该行信息中包含有关键字DHCPDISCOVER、客户端物理地址、以及网段IP地址等信息,所以,可以在该行中的预设位置提取出客户端物理MAC地址,如图3中的MAC地址00:23:5a:9b:8e:4f,并将提取出的MAC地址存入到指定的数据库中,不断更新该数据库,其中,该数据库可以为文件系统、关系数据库或其他具备记录功能的应用系统。
同样的,图4为本发明提供的DHCP报文日志中包含关键字OFFER的行信息的场景示意图,如图4所示,该行信息中包含有关键字DHCPOFFER、分配的IP地址、以及客户端物理地址等信息,所以,可以从抓取的包含第二预设关键字的行信息中的预设位置提取出客户端物理MAC地址,如图4中的MAC地址00:23:5a:9b:8e:4f。
S130:判断存入到所述数据库中的第一客户端物理地址在被存入到所述数据库中后的预设时间内,能否从提取的第二客户端物理地址中匹配到相同的客户端物理地址。
如果存储该数据库中的第一客户端物理地址在其被存入到该数据库后的预设时间内,能够找到与其物理地址相同的第二客户端物理地址,即说明在该客户端物理地址对应的客户端主机在本地子网内广播DHCPDISCOVER后,服务器对该广播消息做出了回应,即存在DISCOVER后之后的其它DHCP响应步骤,因此,可以证明该第一客户端物理地址为合法设备,并结束流程;相反,即说明不存在DISCOVER后之后的其它DHCP响应步骤,则执行步骤S150。
S140:将所述存入到所述数据库中的第一客户端物理地址对应的客户端主机判定为非法设备。
本发明实例提供的检测方法,根据非法设备与合法设备对应的DHCP响应过程不同的特点,对DHCP报文日志进行实时检测分析,并从DHCP报文日志提取出不同响应步骤中的客户端物理地址,然后,根据在客户端主机广播请求IP租约(DISCOVER)过程对应的客户端物理地址是否在后续的DHCP响应过程中出现,来进行非法设备的检测。本发明实施例提供的检测方法,不需要开设专门的检测端口,所以无需对网络系统作调整,不影响现有网络系统的稳定,并且,该方法基于对DHCP报文日志的实时检测分析,进而可以与DHCP响应IP地址分配请求的过程同步,能够快速检测出非法入网设备。
进一步的,在步骤S140,将所述第一客户端物理地址存储到指定的数据库中,得到地址数据库,本发明实施例提供的方法,还包括:
S150:根据所述存入到所述数据库中的第一客户端物理地址,生成非法设备通知消息。
其中,所述非法设备通知消息中可包括该未能匹配的第一客户端物理地址、以及检测时间等信息。
S160:将所述非法设备通知消息发送给网络管理员和/或发送给指定存储系统。
具体的,可以将此非法设备同时消息以邮件、短息通知的形式发送给网络管理员,以使网络管理员根据该消息对非法入网设备做断电处理或者分配新的IP地址;或者,通过调用接口API(Application Programming Interface)指定存储系统,如存入企业信息化系统中,以供对该局域网络系统中的设备进行日志管理分析。
图5为本发明实施例二提供的非法入网设备的检测方法的流程示意图。如图5所示,该方法具体包括如下步骤:
S110:持续从服务器的动态主机配置协议DHCP报文日志中抓取包含第一预设关键字的行信息和包含第二预设关键字的行信息,其中,所述第一预设关键字包括DISCOVER,所述第二预设关键字包括OFFER。
对于提供IP租约过程和选择IP租约过程,由于提供IP租约过程发生在选择IP租约过程之前,为了提高本发明实施例方法的检测速度,所以,本发明实施例利用提供IP租约过程中的客户端物理地址对请求IP租约过程中客户端物理地址进行匹配验证,来实现的非法设备的检测。
S120:从抓取的所述包含第一预设关键字的行信息中提取第一客户端物理地址并存入到指定的数据库中,以及从抓取的所述包含第二预设关键字的行信息中提取第二客户端物理地址。
例如,将提取到的第一客户端物理地址00:23:5a:9b:8e:4f存储到关系数据库中,并在该第一客户端物理地址00:23:5a:9b:8e:4f后记录其存入到该关系数据库时的时间,如08:53:37.001。
由于在DHCP响应过程中,各相应步骤之间的时差在ms级,所以本实施例将上述记录时间的最低为设为0.001ms。
S210:在所述第二客户端物理地址中查找与存入到所述数据库中的第一客户端物理地址相同的客户端物理地址。
在步骤S120中,提取到第二客户端物理地址后,则开始在存有第一客户端物理地址的数据库中查找与其地址相同的客户端物理地址。
S220:如果在所述第二客户端物理地址中到查找与存入在所述数据库中的客户端物理相同的客户端物理地址,则判定存入到所述数据库中的第一客户端物理地址在被存入到所述数据库中后的预设时间内,能从提取的第二客户端物理地址中匹配到相同的客户端物理地址,并对所述存入到所述数据库中的第一客户端物理地址进行标记。
当在步骤S210中查找到与该第二客户端物理地址相同的客户端物理地址后,则对查找到的第一物理地址进行标记,具体的标记方式可以有多种,如在该客户端物理地址后添加已匹配的标签。
由于本发明实施例利用提供IP租约过程中的客户端物理地址对请求IP租约过程中客户端物理地址进行匹配验证,并且提供IP租约过程对应的报文日志行中,对于不同的MAC,对应不同的分配的IP地址,所以本实施例利用IP地址对数据库中的客户端物理地址进行区分标记,具体的包括:
S221:提取所述第二客户端物理地址所在的行信息中的互联网协议IP地址,其中,所述第二客户端物理地址所在的行信息中包含所述第二预设关键字。
具体的,可以在步骤S120中,从包含第二预设关键字的行信息中提取第二客户端物理地址的同时也提取出所分配的IP地址。
S222:利用所述IP地址,对所述存入到所述数据库中的第一客户端物理地址进行标记。
S230:在所述数据库中查找未被标记的第一客户端物理地址。
具体的,可以实时对地址数据库进行轮训,查找是否存在未被标记的第一客户端物理地址。
进一步的,为了缩短对地址数据库的轮训时间,提高检测速度,在步骤S220中对客户端物理地址进行标记后,可以将标记后的第一客户端物理地址放到另一个合法设备数据库中,这样,在地址数据库中只保留有未被标记的第一客户端物理地址,进而减少了地址数据库中的MAC地址个数,提高数据的检测速度。
S240:获取所述未被标记的第一客户端物理地址被查到时的时间和被存入到所述数据库时的时间。
具体的,可以在查到未被标记的客户端物理地址后,获取服务器的当前系统时间,作为其被查到时的时间,同时,提取该客户端物理地址存入到所述数据库时的时间,并且存入时间的记录也是以服务器的系统时间为基准。
S250:判断所述未被标记的第一客户端物理地址被查到时的时间与被存入到所述数据库时的时间之间的时差是否大于预设时间。
其中,所述预设时间可根据DHCP响应过程中各步骤之间的时差设定,如将该预设时间设为200ms。
S260:如果所述未被标记的第一客户端物理地址被查到时的时间与被存入到所述数据库时的时间之间的时差大于预设时间,则判定存入到所述数据库中的第一客户端物理地址在被存入到所述数据库中后的预设时间内,不能从提取的第二客户端物理地址中匹配到相同的客户端物理地址。
如果大于预设时间,则说明不存在DISCOVER之后的DHCP响应过程,所以也不会再后续的DHCP响应过程中查找到相同的客户端物理地址。
S270:将所述未被标记的第一客户端物理地址对应的客户端主机对应的客户端主机判定为非法设备。
本发明实施例的方法,通过建立请求IP租约过程对应的客户端物理地址数据库,并利用后续DHCP响应过程中提取的客户端物理地址对地址数据库中的客户端物理进行匹配和标记分类,然后,根据未被标记的客户端物理地址存入到该数据库中的时长,实现对非法设备的快速检测。
基于同一发明构思,本公开实施例还提供了一种非法入网设备的检测装置。图6为本发明实施例提供的一种非法入网设备的检测装置的结构示意图。如图6所示,该装置包括:
行信息抓取模块61:用于持续从服务器的动态主机配置协议DHCP报文日志中抓取包含第一预设关键字的行信息和包含第二预设关键字的行信息,其中,所述第一预设关键字包括DISCOVER,所述第二预设关键字包括OFFER或REQUEST。
地址提取模块62:用于从抓取的所述包含第一预设关键字的行信息中提取第一客户端物理地址并存入到指定的数据库中,以及从抓取的所述包含第二预设关键字的行信息中提取第二客户端物理地址。
地址判断模块63:用于判断存入到所述数据库中的第一客户端物理地址在被存入到所述数据库中后的预设时间内能否从提取的第二客户端物理地址中匹配到相同的客户端物理地址。
设备判定模块64:用于如果存入到所述数据库中的第一客户端物理地址在被存入到所述数据库中后的预设时间内不能从提取的第二客户端物理地址中匹配到相同的客户端物理地址,则将所述存入到所述数据库中的第一客户端物理地址对应的客户端主机判定为非法设备。
优选地,所述装置还包括:
消息生成模块65:用于根据所述存入到所述数据库中的第一客户端物理地址,生成非法设备通知消息。
消息发送模块66:用于将所述非法设备通知消息发送给网络管理员和/或发送给指定存储系统。
本发明实例提供的检测装置,根据非法设备与合法设备对应的DHCP响应过程不同的特点,对DHCP报文日志进行实时检测分析,并从DHCP报文日志提取出不同响应步骤中的客户端物理地址,然后,根据在客户端主机广播请求IP租约(DISCOVER)过程对应的客户端物理地址是否在后续的DHCP响应过程中出现,来进行非法设备的检测。本发明实施例提供的检测装置,不需要开设专门的检测端口,所以无需对网络系统作调整,不影响现有网络系统的稳定,并且,该装置基于对DHCP报文日志的实时检测分析,进而可以与DHCP响应IP地址分配请求的过程同步,能够快速检测出非法入网设备。
为进一步提高所述检测装置的检测速度,所述地址判断模块63包括:
第一地址查找子模块631:用于在所述第二客户端物理地址中查找与存入到所述数据库中的第一客户端物理地址相同的客户端物理地址;
第一地址判断子模块632:用于如果在所述第二客户端物理地址中到查找与存入在所述数据库中的客户端物理相同的客户端物理地址,则判定存入到所述数据库中的第一客户端物理地址在被存入到所述数据库中后的预设时间内能从提取的第二客户端物理地址中匹配到相同的客户端物理地址,并对所述存入到所述数据库中的第一客户端物理地址进行标记。
具体的,所述地址标记子模块631,可以包括:
IP地址提取子模块6321:用于提取所述第二客户端物理地址所在的行信息中的互联网协议IP地址,其中,所述第二客户端物理地址所在的行信息中包含所述第二预设关键字。
第一地址标记子模块6322:用于利用所述IP地址,对所述存入到所述数据库中的第一客户端物理地址进行标记。
第二地址查找之模块633:用于在所述数据库中查找未被标记的第一客户端物理地址。
查找时间获取子模块634:用于获取所述未被标记的第一客户端物理地址被查到时的时间和被存入到所述数据库时的时间。
时差判断子模块635:用于判断所述未被标记的第一客户端物理地址被查到时的时间与被存入到所述数据库时的时间之间的时差是否大于预设时间。
第二地址判断子模块636:用于如果所述未被标记的第一客户端物理地址被查到时的时间与被存入到所述数据库时的时间之间的时差大于预设时间,则判定存入到所述数据库中的第一客户端物理地址在被存入到所述数据库中后的预设时间内不能从提取的第二客户端物理地址中匹配到相同的客户端物理地址。
本发明实施例的检测装置,通过建立请求IP租约过程对应的客户端物理地址数据库,并利用后续DHCP响应过程中提取的客户端物理地址对地址数据库中的客户端物理进行匹配和标记分类,然后,根据未被标记的客户端物理地址存入到该数据库中的时长,实现对非法设备的快速检测。
基于上述检测装置,本发明还提供了一种服务器。图7为本发明实施例提供的一种服务器的结构示意图。参照图7,服务器700包括处理组件710,其进一步包括一个或多个处理器,以及由存储器730所代表的存储器资源,用于存储可由处理组件710的执行的指令,例如应用程序。存储器730中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件710被配置为执行指令,以执行上述非法入网设备的检测方法。
服务器700还可以包括一个电源组件720被配置为执行服务器700的电源管理,一个有线或无线网络接口730被配置为将服务器700连接到网络,和一个输入输出(I/O)接口740。服务器700可以操作基于存储在存储器730的操作系统,例如Windows ServerTM,MacOS XTM,UnixTM,LinuxTM,FreeBSDTM或类似。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上仅是本发明的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (8)
1.一种非法入网设备的检测方法,其特征在于,包括:
持续从服务器的动态主机配置协议DHCP报文日志中抓取包含第一预设关键字的行信息和包含第二预设关键字的行信息,其中,所述第一预设关键字包括DISCOVER,所述第二预设关键字包括OFFER或REQUEST;
从抓取的所述包含第一预设关键字的行信息中提取第一客户端物理地址并存入到指定的数据库中,以及从抓取的所述包含第二预设关键字的行信息中提取第二客户端物理地址;
在所述第二客户端物理地址中查找与存入到所述数据库中的第一客户端物理地址相同的客户端物理地址;
如果在所述第二客户端物理地址中查找到与存入在所述数据库中的客户端物理相同的客户端物理地址,则判定存入到所述数据库中的第一客户端物理地址在被存入到所述数据库中后的预设时间内,能从提取的第二客户端物理地址中匹配到相同的客户端物理地址,并对所述存入到所述数据库中的第一客户端物理地址进行标记;
在所述数据库中查找未被标记的第一客户端物理地址;
获取所述未被标记的第一客户端物理地址被查到时的时间和被存入到所述数据库时的时间;
判断所述未被标记的第一客户端物理地址被查到时的时间与被存入到所述数据库时的时间之间的时差是否大于预设时间;
若大于预设时间,则判定存入到所述数据库中的第一客户端物理地址在被存入到所述数据库中后的预设时间内,不能从提取的第二客户端物理地址中匹配到相同的客户端物理地址;
将所述未被标记的第一客户端物理地址对应的客户端主机对应的客户端主机判定为非法设备。
2.根据权利要求1所述的方法,其特征在于,对所述存入到所述数据库中的第一客户端物理地址进行标记之后,所述方法还包括:
将标记后的第一客户端物理地址存到合法设备数据库中。
3.根据权利要求1所述的方法,其特征在于,对所述存入到所述数据库中的第一客户端物理地址进行标记,包括:
提取所述第二客户端物理地址所在的行信息中的互联网协议IP地址,其中,所述第二客户端物理地址所在的行信息中包含所述第二预设关键字;
利用所述IP地址,对所述存入到所述数据库中的第一客户端物理地址进行标记。
4.根据权利要求1-3任一项所述的方法,其特征在于,将所述存入到所述数据库中的第一客户端物理地址对应的客户端主机判定为非法设备之后,所述方法还包括:
根据所述存入到所述数据库中的第一客户端物理地址,生成非法设备通知消息;
将所述非法设备通知消息发送给网络管理员和/或发送给指定存储系统。
5.一种非法入网设备的检测装置,其特征在于,包括:
行信息抓取模块:用于持续从服务器的动态主机配置协议DHCP报文日志中抓取包含第一预设关键字的行信息和包含第二预设关键字的行信息,其中,所述第一预设关键字包括DISCOVER,所述第二预设关键字包括OFFER或REQUEST;
地址提取模块:用于从抓取的所述包含第一预设关键字的行信息中提取第一客户端物理地址并存入到指定的数据库中,以及从抓取的所述包含第二预设关键字的行信息中提取第二客户端物理地址;
地址判断模块:用于判断存入到所述数据库中的第一客户端物理地址在被存入到所述数据库中后的预设时间内能否从提取的第二客户端物理地址中匹配到相同的客户端物理地址;
设备判定模块:用于如果存入到所述数据库中的第一客户端物理地址在被存入到所述数据库中后的预设时间内不能从提取的第二客户端物理地址中匹配到相同的客户端物理地址,则将所述存入到所述数据库中的第一客户端物理地址对应的客户端主机判定为非法设备;
其中,所述地址判断模块包括:
第一地址查找子模块:用于在所述第二客户端物理地址中查找与存入到所述数据库中的第一客户端物理地址相同的客户端物理地址;
第一地址判断子模块:用于如果在所述第二客户端物理地址中查找到与存入在所述数据库中的客户端物理相同的客户端物理地址,则判定存入到所述数据库中的第一客户端物理地址在被存入到所述数据库中后的预设时间内能从提取的第二客户端物理地址中匹配到相同的客户端物理地址,并对所述存入到所述数据库中的第一客户端物理地址进行标记;
第二地址查找子模块:用于在所述数据库中查找未被标记的第一客户端物理地址;
查找时间获取子模块:用于获取所述未被标记的第一客户端物理地址被查到时的时间和被存入到所述数据库时的时间;
时差判断子模块:用于判断所述未被标记的第一客户端物理地址被查到时的时间与被存入到所述数据库时的时间之间的时差是否大于预设时间;
第二地址判断子模块:用于如果所述未被标记的第一客户端物理地址被查到时的时间与被存入到所述数据库时的时间之间的时差大于预设时间,则判定存入到所述数据库中的第一客户端物理地址在被存入到所述数据库中后的预设时间内不能从提取的第二客户端物理地址中匹配到相同的客户端物理地址。
6.根据权利要求5所述的装置,其特征在于,所述地址判断模块还包括地址存储子模块,其中:
所述地址存储子模块,用于对所述存入到所述数据库中的第一客户端物理地址进行标记之后,将标记后的第一客户端物理地址存到合法设备数据库中。
7.根据权利要求5所述的装置,其特征在于,所述地址标记子模块,包括:
IP地址提取子模块:用于提取所述第二客户端物理地址所在的行信息中的互联网协议IP地址,其中,所述第二客户端物理地址所在的行信息中包含所述第二预设关键字;
第一地址标记子模块:用于利用所述IP地址,对所述存入到所述数据库中的第一客户端物理地址进行标记。
8.根据权利要求5-7任一项所述的装置,其特征在于,所述装置还包括:
消息生成模块:用于根据所述存入到所述数据库中的第一客户端物理地址,生成非法设备通知消息;
消息发送模块:用于将所述非法设备通知消息发送给网络管理员和/或发送给指定存储系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611071603.6A CN108123915B (zh) | 2016-11-28 | 2016-11-28 | 一种非法入网设备的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611071603.6A CN108123915B (zh) | 2016-11-28 | 2016-11-28 | 一种非法入网设备的检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108123915A CN108123915A (zh) | 2018-06-05 |
| CN108123915B true CN108123915B (zh) | 2020-11-20 |
Family
ID=62224665
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611071603.6A Active CN108123915B (zh) | 2016-11-28 | 2016-11-28 | 一种非法入网设备的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108123915B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111949980A (zh) * | 2020-08-24 | 2020-11-17 | 上海明略人工智能(集团)有限公司 | 目标客户端监控方法和装置、存储介质及电子装置 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101098227A (zh) * | 2006-06-30 | 2008-01-02 | 中兴通讯股份有限公司 | 一种宽带接入设备的用户安全防护方法 |
| CN101272247A (zh) * | 2007-03-23 | 2008-09-24 | 华为技术有限公司 | 基于dhcp实现用户认证的方法及设备及系统 |
| CN101674309A (zh) * | 2009-09-23 | 2010-03-17 | 中兴通讯股份有限公司 | 一种以太网接入的方法及装置 |
| CN102325202A (zh) * | 2011-10-31 | 2012-01-18 | 杭州华三通信技术有限公司 | 一种用户地址表管理方法和设备 |
| CN102790751A (zh) * | 2011-05-17 | 2012-11-21 | 鸿富锦精密工业(深圳)有限公司 | 服务器共享方法及系统 |
| CN103546586A (zh) * | 2012-07-11 | 2014-01-29 | 鸿富锦精密工业(深圳)有限公司 | Ip地址匹配系统及方法 |
| CN103795584A (zh) * | 2012-10-30 | 2014-05-14 | 华为技术有限公司 | 客户端身份检测方法及网关 |
| CN103812707A (zh) * | 2014-02-28 | 2014-05-21 | 上海斐讯数据通信技术有限公司 | 一种线路标识报文的转发处理方法 |
| CN103856469A (zh) * | 2012-12-06 | 2014-06-11 | 中国电信股份有限公司 | 支持dhcp认证溯源的方法、系统与dhcp服务器 |
| CN105245629A (zh) * | 2015-09-25 | 2016-01-13 | 互联网域名系统北京市工程研究中心有限公司 | 基于dhcp的主机通信方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7720002B1 (en) * | 2003-07-10 | 2010-05-18 | Juniper Networks, Inc. | Systems and methods for initializing cable modems |
| US8458303B2 (en) * | 2010-07-12 | 2013-06-04 | Cisco Technology, Inc. | Utilizing a gateway for the assignment of internet protocol addresses to client devices in a shared subset |
-
2016
- 2016-11-28 CN CN201611071603.6A patent/CN108123915B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101098227A (zh) * | 2006-06-30 | 2008-01-02 | 中兴通讯股份有限公司 | 一种宽带接入设备的用户安全防护方法 |
| CN101272247A (zh) * | 2007-03-23 | 2008-09-24 | 华为技术有限公司 | 基于dhcp实现用户认证的方法及设备及系统 |
| CN101674309A (zh) * | 2009-09-23 | 2010-03-17 | 中兴通讯股份有限公司 | 一种以太网接入的方法及装置 |
| CN102790751A (zh) * | 2011-05-17 | 2012-11-21 | 鸿富锦精密工业(深圳)有限公司 | 服务器共享方法及系统 |
| CN102325202A (zh) * | 2011-10-31 | 2012-01-18 | 杭州华三通信技术有限公司 | 一种用户地址表管理方法和设备 |
| CN103546586A (zh) * | 2012-07-11 | 2014-01-29 | 鸿富锦精密工业(深圳)有限公司 | Ip地址匹配系统及方法 |
| CN103795584A (zh) * | 2012-10-30 | 2014-05-14 | 华为技术有限公司 | 客户端身份检测方法及网关 |
| CN103856469A (zh) * | 2012-12-06 | 2014-06-11 | 中国电信股份有限公司 | 支持dhcp认证溯源的方法、系统与dhcp服务器 |
| CN103812707A (zh) * | 2014-02-28 | 2014-05-21 | 上海斐讯数据通信技术有限公司 | 一种线路标识报文的转发处理方法 |
| CN105245629A (zh) * | 2015-09-25 | 2016-01-13 | 互联网域名系统北京市工程研究中心有限公司 | 基于dhcp的主机通信方法及装置 |
Non-Patent Citations (3)
| Title |
|---|
| "Exploiting DHCP Server-side IP Address Conflict Detection: A DHCP Starvation Attack";Tripathi, N;《IEEE International Conference on Advanced Networks and Telecommunication Systems》;20151231;15-18 * |
| 关于DHCP服务攻击的安全防护策略部署;张韬;《计算机安全》;20141231;29-32 * |
| 局域网中DHCP故障问题研究;王伟;《大众科技》;20120228;44-46 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108123915A (zh) | 2018-06-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105656680B (zh) | 一种网络摄像机控制方法及装置 | |
| CN108737467B (zh) | 一种服务器日志查看方法、装置和系统 | |
| US20080147830A1 (en) | Selective sub-net filtering in a pre-boot execution environment (pxe) | |
| CN104640114B (zh) | 一种访问请求的验证方法及装置 | |
| US9973399B2 (en) | IPV6 address tracing method, apparatus, and system | |
| CN111131544B (zh) | 一种实现nat穿越的方法 | |
| WO2017206576A1 (zh) | 一种网关业务的处理方法及装置 | |
| CN106713522B (zh) | 一种无线保真Wi-Fi连接方法及移动终端 | |
| CN111431912B (zh) | 用于检测dhcp劫持的方法和设备 | |
| CN107222760B (zh) | 一种对观看用户分组的方法及装置 | |
| CN111683162B (zh) | 一种基于流量识别的ip地址管理方法 | |
| CN113190837A (zh) | 一种基于文件服务系统的web攻击行为检测方法及系统 | |
| WO2015096802A1 (zh) | 消息发送方法、装置及服务器 | |
| CN111147598B (zh) | Http报文处理方法及装置 | |
| CN102904902B (zh) | 一种基于dhcp旁路阻断方法 | |
| CN110602171B (zh) | 一种交互方法及装置 | |
| US20140089496A1 (en) | Apparatus and method for monitoring web application telecommunication data by user | |
| CN101729314A (zh) | 动态表项的回收方法、装置及动态主机分配协议侦听设备 | |
| CN108123915B (zh) | 一种非法入网设备的检测方法及装置 | |
| CN102185724A (zh) | 一种地址的管理方法和设备 | |
| CN106878485B (zh) | 一种报文处理方法及装置 | |
| CN106375489B (zh) | 媒体访问控制mac地址的处理方法及装置 | |
| CN113285920B (zh) | 业务访问方法、装置、设备及存储介质 | |
| EP3407553B1 (en) | Pppoe message transmission method and pppoe server | |
| US20190052681A1 (en) | Shared terminal detection method and device therefor |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Room 818, 8 / F, 34 Haidian Street, Haidian District, Beijing 100080 Applicant after: BEIJING ULTRAPOWER SOFTWARE Co.,Ltd. Address before: 100089 Beijing city Haidian District wanquanzhuang Road No. 28 Wanliu new building block A Room 601 Applicant before: BEIJING ULTRAPOWER SOFTWARE Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |