CN108234423A - 一种网络边界检测方法 - Google Patents

Abstract

本发明涉及一种网络边界的检测方法，包括：网卡抓包引擎、数据包分析模块、ARP探测模块和ICMP探测模块；数据包分析模块设置有数据包队列模块；ICMP探测模块设置有TTL探测。本发明的有益效果是：处理起来简单便捷、快速准确，能够有效的预知网络安全性能，提高了企业信息安全保护能力。

Description

一种网络边界检测方法

技术领域

本发明涉及一种网络边界的检测方法，属于网络技术安全领域。。

背景技术

目前，很多单位都设置有两个网络，一个是用来上网的可互联网的网络，一个是用来办公的内网网络；随着网络及信息技术的飞速发展,企业运营对网络的依赖日益加深,用户的网络及信息安全也正日益面临越来越多的风险:蠕虫、木马、间谍软件、恶意网页、垃圾邮件,融合多种渗透和破坏技术的复合式攻击,针对网络基础设施发起的拒绝服务攻击(DoS/DDoS),给企业的经营造成了巨大的破坏。同时新问题仍在不断涌现，网络安全威胁逐渐由网络层向应用层发展,由早期针对TCP/IP协议漏洞的攻击，转到利用TCP/IP数据包内容对操作系统和应用漏洞的攻击,给识别和控制这些威胁带来了新的困难。故此为安全起见，原则上办公网络和可连互联网的网络是不允许联通的，但在网管人员误操作下可能会发生内网网络和外网网络的发生物理连接的情况。而此时两个网络处于不同的网段，使用人员很难发现两个网络发生了网络连接，形成非法边界。

为此，如何提供一种网络边界的检测方法，是本发明研究的目的所在。

发明内容

本发明提供一种网络边界检测方法，解决了现有技术中内外网的非法连接，有效的保障了办公网络的安全性。

一种网络边界检测方法，包括：网卡抓包引擎、数据包分析模块、ARP探测模块和ICMP探测模块。

所述的数据包分析模块设置有数据包队列模块。

所述的ICMP探测模块设置有TTL探测。

过程分为以下几步：

步骤(1)：设置内网网络范围，设置内网IP地址范围，我们认为非设置内网范围的数据包均视为可疑数据包；

步骤(2)：启动网卡抓包引擎，抓取网络数据包；

步骤(3)：进入数据包分析模块，分析网络数据包，找出源IP地址不是内网范围的的数据包；同时进入数据包队列模块，把不是内网范围的IP地址放入可疑检测队列；

步骤(4)：启动ARP探测模块，在非法内网中找出一个可用的IP地址，该地址视为非法；

步骤(5)：进入ICMP探测模块，利用所述步骤(4)中IP地址进行TTL探测，如果可以探测通，说明发现的该IP地址所在的网络是一个非法网络边界。

本发明的有益效果是：处理起来简单便捷、快速准确，能够有效的预知网络安全性能，提高了企业信息安全保护能力。

具体实施方式

下面对本发明做进一步分析。

一种网络边界检测方法包括：网卡抓包引擎、数据包分析模块、ARP探测模块和ICMP探测模块；数据包分析模块设置有数据包队列模块；ICMP探测模块设置有TTL探测。内网检测方法所示：

步骤(1)：设置内网网络范围，设置内网IP地址范围，我们认为非设置内网范围的数据包均视为可疑数据包；

步骤(2)：启动网卡抓包引擎，抓取网络数据包；

步骤(3)：进入数据包分析模块，分析网络数据包，找出源IP地址不是内网范围的的数据包；同时进入数据包队列模块，把不是内网范围的IP地址放入可疑检测队列；

步骤(4)：启动ARP探测模块，在非法内网中找出一个可用的IP地址，该地址视为非法；

步骤(5)：进入ICMP探测模块，利用所述步骤(4)中IP地址进行TTL探测，如果可以探测通，说明发现的该IP地址所在的网络是一个非法网络边界。

对可疑IP所在网段进行检测的过程：

1.设置外网探测地址，外网探测地址指的是一个可以从互联网可疑路由到的外网的IP地址。

2.从可疑队列中取出可疑IP地址，并把可疑IP地址所在的网段认为是可疑边界网段。

3.在可疑网段中找到一个未使用的IP地址，进行ARP封装数据包，把本机IP设置为可疑IP地址网段的一个地址进行ARP探测，查看此IP是否已经占用，如果未被占用我们把这个地址作为客户机发包探测的源IP1。

4.使用IP1作为本机地址，外网探测地址作为目标地址，封装ICMP数据包对可疑网段内的地址进行TTL探测，如果目标地址可达，那此地址就认为是违规边界。

Arp探测指:假设可疑网络段地址为192.168.1.1-192.168.1.255，用IP192.168.1.2作为源地址向192.168.1.3发送ARP数据包，如果有应答，说明192.168.1.3已经占用，如果没有应答，说明192.168.1.3未被占用，那么就使用192.168.1.3作为TTL探测的源地址。

TTL探测:使用ARP探测发现的未占用IP 192.168.1.3作为源地址，可疑网段内的IP192.168.1.4作为目标地址组装ICMP数据包，向外网地址发送ICMP探测包，如ICMP数据包可达,说明客户机可以通过192.168.1.4连接到外网，从而发现违规边界。

以上对本申请所提供的一种实现虚拟机与管理域进程间通信的方法进行了详细介绍，本文中应用了实施例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。

Claims (2)

1.一种网络边界检测方法，其特征在于，设置有网卡抓包引擎、数据包分析模块、ARP探测模块和ICMP探测模块；所述的数据包分析模块设置有数据包队列模块；所述的ICMP探测模块设置有TTL探测。

2.根据权利要求1所述的一种网络边界检测方法，其特征在于，包括：

步骤(1)：设置内网网络范围，设置内网IP地址范围，我们认为非设置内网范围的数据包均视为可疑数据包；

步骤(2)：启动网卡抓包引擎，抓取网络数据包；

步骤(3)：进入数据包分析模块，分析网络数据包，找出源IP地址不是内网范围的的数据包；同时进入数据包队列模块，把不是内网范围的IP地址放入可疑检测队列；

步骤(4)：启动ARP探测模块，在非法内网中找出一个可用的IP地址，该地址视为非法；

步骤(5)：进入ICMP探测模块，利用所述步骤(4)中IP地址进行TTL探测，如果可以探测通，说明发现的该IP地址所在的网络是一个非法网络边界2。