CN110768999B - 一种设备非法外联的检测方法及装置 - Google Patents
一种设备非法外联的检测方法及装置 Download PDFInfo
- Publication number
- CN110768999B CN110768999B CN201911051721.4A CN201911051721A CN110768999B CN 110768999 B CN110768999 B CN 110768999B CN 201911051721 A CN201911051721 A CN 201911051721A CN 110768999 B CN110768999 B CN 110768999B
- Authority
- CN
- China
- Prior art keywords
- address
- udp
- field
- detected
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种设备非法外联的检测方法及装置,该方法可以包括:生成UDP检测报文,所述UDP检测报文中包含的源IP地址被设置为外网服务器的IP地址;向部署在所述内网的至少一台待测设备发送所述UDP检测报文,以使所述至少一台待测设备根据所述UDP检测报文包含的源IP地址向所述外网服务器发送UDP响应报文。通过本申请的技术方案,可以检测出内网存在待测设备非法外联的情况,可以有效避免防护设备对检测报文的拦截,提升了内部网络的信息安全,同时,可以避免了对内网的网络环境的更改。
Description
技术领域
本申请涉及通信技术领域,特别涉及一种设备非法外联的检测方法及装置。
背景技术
随着网络技术的迅速发展,给社会提供便捷的同时也带来了威胁,许多不法分子利用网络进行信息窃取、破坏等活动。因此,在军队、银行以及政府机关中,往往需要将内部网络和外部网络进行严密隔离,从而防止被攻击,保证内部网络的信息安全。通过设置网络边界安全防护设备如防火墙可以达到隔离外部网络的目的,但是在这种情况下内部网络中的网络设备仍然可以通过私接wifi、手机热点等不被允许的方式接入外部网络,这种行为都被称为非法外联。而这种非法外联的方式往往绕过了网络边界安全防护措施,对内部的信息安全构成了极大威胁,容易造成文件盗窃、黑客入侵、机密资料外传等情况。
在现有技术中,通常需要在所有内部网络设备上安装检测客户端,实时检测每个设备是否连接到外网,一旦发现当前终端非法外联,则将当前终端的详细信息上报至非法外联监控服务器,让网络管理员发现非法外联行为。
然而,这需要所有被监测的网络设备安装检测客户端,对于新进入网络未安装检测客户端的设备或者由于用户不知情卸载了检测客户端的设备,都将无法检测设备是否非法外联,无法确定内部网络是否非法接入外部网络,对内部网络的信息安全造成威胁。
发明内容
有鉴于此,本申请提供一种设备非法外联的检测方法及装置,可以检测到内网设备非法外联的情况。
为实现上述目的,本申请提供技术方案如下:
根据本申请的第一方面,提出了一种设备非法外联的检测方法,应用于部署在内网的扫描器;
所述方法包括:
生成UDP检测报文,所述UDP检测报文中包含的源IP地址被设置为外网服务器的IP地址;
向部署在所述内网的至少一台待测设备发送所述UDP检测报文,以使所述至少一台待测设备根据所述UDP检测报文包含的源IP地址向所述外网服务器发送UDP响应报文。
根据本申请的第二方面,提出了一种设备非法外联的检测方法,应用于外网服务器;
所述方法包括:
接收到UDP响应报文;
在所述UDP响应报文来自部署在内网的待测设备的情况下,判定所述内网存在非法外联;其中,所述UDP响应报文由所述待测设备响应于部署在所述内网的扫描器所发送的UDP检测报文而发出,且所述UDP检测报文中包含的源IP地址被配置为所述外网服务器的IP地址。
根据本申请的第三方面,提出了一种设备非法外联的检测装置,应用于部署在内网的扫描器;
所述装置包括:
生成单元,用于生成UDP检测报文,所述UDP检测报文中包含的源IP地址被设置为外网服务器的IP地址;
发送单元,用于向部署在所述内网的至少一台待测设备发送所述UDP检测报文,以使所述至少一台待测设备根据所述UDP检测报文包含的源IP地址向所述外网服务器发送UDP响应报文。
根据本申请的第四方面,提出了一种设备非法外联的检测装置,应用于外网服务器;
所述装置包括:
接收单元,用于接收到UDP响应报文;
判断单元,用于在所述UDP响应报文来自部署在内网的待测设备的情况下,判定所述内网存在非法外联;其中,所述UDP响应报文由所述待测设备响应于部署在所述内网的扫描器所发送的UDP检测报文而发出,且所述UDP检测报文中包含的源IP地址被配置为所述外网服务器的IP地址。
根据本申请的第五方面,提供一种电子设备。所述电子设备包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器通过运行所述可执行指令以实现如第一方面所述的方法。
根据本申请的第六方面,提出了一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现如第一方面所述方法的步骤。
根据本申请的第七方面,提供一种电子设备。所述电子设备包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器通过运行所述可执行指令以实现如第二方面所述的方法。
根据本申请的第八方面,提出了一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现如第二方面所述方法的步骤。
由以上技术方案可见,本申请通过部署在内网的扫描器向内网的待测设备发送UDP检测报文,将UDP检测报文包含的源IP地址设置为外网服务器的IP地址,并根据外网服务器是否接收到待测设备基于所述UDP检测报文发送的响应报文,来判断内网是否存在非法外联的情况,可以检测出内网存在待测设备非法外联的情况,可以有效避免防护设备对检测报文的拦截,提升了内部网络的信息安全,同时,可以避免了对内网的网络环境的更改。
附图说明
图1是本申请中对设备非法外联进行检测的示意图。
图2是本申请示出的一种设备非法外联的检测方法的流程图。
图3是本申请示出的另一种设备非法外联的检测方法的流程图。
图4是本申请一示例性实施例示出的一种设备非法外联的检测方法的流程图。
图5是本申请一示例性实施例示出的另一种设备非法外联的检测方法的流程图。
图6是本申请一示例性实施例示出的一种电子设备的结构示意图。
图7是本申请一示例性实施例示出的一种设备非法外联的检测装置的框图。
图8是本申请一示例性实施例示出的另一种电子设备的结构示意图。
图9是本申请一示例性实施例示出的另一种设备非法外联的检测装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
图1是对设备非法外联进行检测的示意图。内网的结构一般为一台交换机上连接有多台设备,各个交换机和上层内部的路由器或者三层交换机相连。在企业、军队、银行等为了保证内部工作环境的安全,将内部网络和外部网络进行严密隔离的情况下,内网中的设备通过私接wifi、手机热点等不被允许的方式与外网进行连接的这种行为都被称为非法外联。非法外联的行为对内部网络的信息安全造成巨大的威胁,需要对这种行为进行检测,便于网络管理员发现并采取相应的措施。
如图1所示,本申请通过在内网中部署扫描器,在外网中部署外网服务器,扫描器将源IP地址伪造成外网服务器的IP地址给内网中的待测设备发送UDP检测报文,在内网设备可能通过私接wifi、手机热点等方式接入外网的情况下,通过路由器或者三层交换机可以向外网发送UDP响应报文,则外网服务器可以接收到对应的UDP响应报文,从而判定内网存在待测设备非法外联。而UDP(User Datagram Protocal,用户数据报协议)是一个无连接的传输协议,由于不能判断UDP报文是否为正常报文,安全防护设备通常不会丢弃UDP报文,采用UDP报文传输不容易被内部网络设备丢包。本申请中内网的待测设备可以是任何具有上网功能的智能终端,例如,可以具体为计算机、手机、平板电脑等。
在相关技术中,通常需要在所有内部网络设备上安装检测客户端,实时检测每个设备是否连接到外网,在发现当前终端非法外联,则将当前终端的详细信息上报至非法外联监控服务器,此时,对于新进入网络未安装检测客户端的设备或者由于用户不知情卸载了检测客户端的设备,都将无法检测设备是否非法外联,无法确定内部网络是否非法接入外部网络,对内部网络的信息安全造成威胁。
因此,本申请通过改进设备非法外联的检测方式以解决相关技术中存在的上述技术问题。下面结合实施例进行详细说明。
图2是本申请示出的一种设备非法外联的检测方法的流程图。如图2所示,该方法应用于部署在内网的扫描器;可以包括以下步骤:
步骤201,生成UDP检测报文,所述UDP检测报文中包含的源IP地址被设置为外网服务器的IP地址。
步骤202,向部署在所述内网的至少一台待测设备发送所述UDP检测报文,以使所述至少一台待测设备根据所述UDP检测报文包含的源IP地址向所述外网服务器发送UDP响应报文。
部署在内网的扫描器生成UDP检测报文,扫描器能够将其生成的UDP检测报文中的源IP地址伪造成外网服务器的IP地址,然后向部署在内网中的至少一台待测设备发送UDP检测报文,使得该待测设备根据接收到的UDP检测报文中的源IP地址可以向外网服务器发送UDP响应报文。在外网服务器接收到该UDP响应报文的情况下,以判定内网中存在待测设备非法外联的情况。
在一个实施例中,部署在内网的扫描器生成UDP检测报文,扫描器将UDP检测报文中的源IP地址伪造成外网服务器的IP地址并且还将UDP检测报文中第一字段的内容配置为指定待测设备的IP地址的至少一个地址段,扫描器将该UDP检测报文发送至指定待测设备,使得该待测设备根据接收到的UDP检测报文中的源IP地址可以向外网服务器发送UDP响应报文。
指定待测设备的IP地址可以被任意地划分为多个地址段且每个地址段的长度需要不大于第一字段、第二字段的长度。而该UDP检测报文所含的所述指定待测设备的IP地址的至少一个地址段被添加至所述待测设备生成的UDP响应报文包含的第二字段。每条UDP检测报文包含IP地址的一个地址段且被发送至所述指定待测设备的UDP检测报文的数量可以为一条或者多条。
而在生成包含在IP地址中处于不同位置的地址段的UDP检测报文的情况下,不同位置的地址段对应的UDP检测报文的数量不同,使得包含不同位置的地址段的UDP响应报文的数量也不同。由UDP响应报文第二字段中包含的指定待测设备的IP地址的至少一个地址段和不同位置的地址段对应的UDP响应报文的数量,使得外网服务器可以获得所述指定待测设备的IP地址。
另外,本申请中的UDP检测报文的第一字段可以是源端口字段,UDP响应报文的第二字段可以是目的端口字段,当然也可以是其他可以携带待测设备的IP地址的至少一个地址段的字段,本申请并不具体限定。
在另一实施例中,部署在内网的扫描器生成UDP检测报文,扫描器将UDP检测报文中的源IP地址伪造成外网服务器的IP地址并且还将UDP检测报文中第一字段的内容配置为指定待测设备的IP地址的静态地址段或者动态地址段。扫描器将该UDP检测报文发送至指定待测设备,使得该待测设备根据接收到的UDP检测报文中的源IP地址可以向外网服务器发送UDP响应报文。
而指定待测设备的IP地址被划分为静态地址段和动态地址段且每个地址段的长度需要不大于第一字段、第二字段的长度。其中,静态地址段可以是部署在内网的不同待测设备的IP地址中相同的地址段,动态地址段可以是对应不同的待测设备的IP地址中不同的地址段。而所述UDP检测报文所含的所述指定待测设备的IP地址的静态地址段或者动态地址段可以被添加至所述待测设备生成的UDP响应报文包含的第二字段。
在所述外网服务器未知指定待测设备的静态地址段的情况下,包含所述静态地址段的UDP检测报文和包含所述动态地址段的UDP检测报文被分别发送至所述指定待测设备,每条UDP检测报文包含IP地址的一个地址段且被发送至所述指定待测设备的UDP检测报文的数量可以为一条或者多条,以及不同位置的地址段对应的UDP检测报文的数量不同,使得包含不同位置的地址段的UDP响应报文的数量也不同。由UDP响应报文第二字段中包含的指定待测设备的IP地址的至少一个地址段和不同位置的地址段对应的UDP响应报文的数量,使得外网服务器可以获得所述指定待测设备的IP地址。
在所述外网服务器已知指定待测设备的静态地址段的情况下,仅包含所述动态地址段的UDP检测报文被发送至所述指定待测设备,每条UDP检测报文包含IP地址的一个地址段且被发送至所述指定待测设备的UDP检测报文的数量可以为一条或者多条。由UDP响应报文第二字段中包含的指定待测设备的IP地址的动态地址段,结合外网服务器已知的待测设备的静态地址段,可以使得外网服务器获得所述指定待测设备的IP地址。
另外,本申请中的UDP检测报文的第一字段可以是源端口字段,UDP响应报文的第二字段可以是目的端口字段,当然也可以是其他可以携带待测设备的IP地址的至少一个地址段的字段,本申请并不具体限定。
由以上技术方案可见,本申请通过部署在内网的扫描器向内网的待测设备发送UDP检测报文,将UDP检测报文包含的源IP地址设置为外网服务器的IP地址,并根据外网服务器是否接收到待测设备基于所述UDP检测报文发送的响应报文,来判断内网是否存在非法外联的情况,可以检测出内网存在待测设备非法外联的情况,可以有效避免防护设备对检测报文的拦截,也避免了对内网的网络环境的更改,同时,还可以通过解析UDP响应报文来定位出内网中非法外联的待测设备,提升了内部网络的信息安全。
图3是本申请示出的一种设备非法外联的检测方法的流程图。如图3所示,该方法应用于外网服务器;可以包括以下步骤:
步骤301,接收到UDP响应报文。
步骤302,在所述UDP响应报文来自部署在内网的待测设备的情况下,判定所述内网存在非法外联。
外网服务器接收到UDP响应报文,而UDP响应报文由待测设备响应于部署在内网的扫描器所发送的UDP检测报文而发出,并且所述UDP检测报文中包含的源IP地址被配置为所述外网服务器的IP地址。在外网服务器接收到的UDP响应报文来自部署在内网的待测设备的情况下,可以判定内网存在待测设备非法外联的情况。
在一个实施例中,外网服务器接收到UDP响应报文,而UDP响应报文由待测设备响应于部署在内网的扫描器所发送的UDP检测报文而发出,并且所述UDP检测报文中包含的源IP地址被配置为所述外网服务器的IP地址以及所述UDP检测报文中的第一字段的内容被配置为指定待测设备的IP地址的至少一个地址段,以使所述UDP检测报文被发送至所述指定待测设备,且所述UDP检测报文所含的所述指定待测设备的IP地址的至少一个地址段被添加至所述指定待测设备生成的UDP响应报文包含的第二字段。
而指定待测设备的IP地址可以被任意地划分为多个地址段且每个地址段的长度不大于第一字段、第二字段的长度。其中,被发送至所述指定待测设备的每条UDP检测报文包含IP地址的一个地址段,且被发送至所述指定待测设备的UDP检测报文的数量为一条或多条。
而在生成包含在IP地址中处于不同位置的地址段的UDP检测报文的情况下,不同位置的地址段对应的所述UDP检测报文的数量不同,使得包含不同位置的地址段的UDP响应报文的数量不同。
外网服务器接收UDP响应报文,并且解析所述UDP响应报文的第二字段。而根据解析得到的所述指定待测设备的IP地址的至少一个地址段,外网服务器可以对包含不同位置的地址段取值的UDP响应报文的数量进行统计,根据预定义的各个位置的地址段与数量之间的映射关系,可以分别识别出地址段在相应IP地址中所处的位置,从而可以获得所述指定待测设备的IP地址,并且在内网中定位出所述指定待测设备。
另外,本申请中的UDP检测报文的第一字段可以是源端口字段,UDP响应报文的第二字段可以是目的端口字段,当然也可以是其他可以携带待测设备的IP地址的至少一个地址段的字段,本申请并不具体限定。
在另一实施例中,外网服务器接收到UDP响应报文,而UDP响应报文由待测设备响应于部署在内网的扫描器所发送的UDP检测报文而发出,并且所述UDP检测报文中包含的源IP地址被配置为所述外网服务器的IP地址以及所述UDP检测报文中的第一字段的内容被配置为指定待测设备的IP地址的静态地址段或者动态地址段,以使所述UDP检测报文被发送至所述指定待测设备,且所述UDP检测报文所含的所述指定待测设备的IP地址的静态地址段或者动态地址段被添加至所述指定待测设备生成的UDP响应报文包含的第二字段。
而指定待测设备的IP地址可以被划分为静态地址段和动态地址段且每个地址段的长度不大于第一字段、第二字段的长度。其中,静态地址段可以是部署在内网的不同待测设备的IP地址中相同的地址段,动态地址段可以是对应不同的待测设备的IP地址中不同的地址段。
在所述外网服务器未知指定待测设备的静态地址段的情况下,包含所述静态地址段的UDP检测报文和包含所述动态地址段的UDP检测报文被分别发送至所述指定待测设备,外网服务器分别接收到包含所述静态地址段的UDP响应报文和包含所述动态地址段的UDP响应报文。而被发送至所述指定待测设备的每条UDP检测报文包含IP地址的一个地址段,且被发送至所述指定待测设备的UDP检测报文的数量为一条或多条,以及不同位置的地址段对应的UDP检测报文的数量不同,使得包含不同位置的地址段的UDP响应报文的数量也不同。
外网服务器接收UDP响应报文,并且解析所述UDP响应报文的第二字段。而根据解析得到的所述指定待测设备的IP地址的至少一个地址段,外网服务器可以对包含不同位置的地址段取值的UDP响应报文的数量进行统计,根据预定义的各个位置的地址段与数量之间的映射关系,可以分别识别出地址段在相应IP地址中所处的位置,从而可以获得所述指定待测设备的IP地址,并且在内网中定位出所述指定待测设备。
在所述外网服务器已知指定待测设备的静态地址段的情况下,仅包含所述动态地址段的UDP检测报文被发送至所述指定待测设备,外网服务器仅接收到包含所述动态地址段的UDP响应报文。而被发送至所述指定待测设备的每条UDP检测报文包含IP地址的一个地址段,且被发送至所述指定待测设备的UDP检测报文的数量为一条或多条。
外网服务器接收UDP响应报文,并且解析所述UDP响应报文的第二字段。而根据解析得到的所述指定待测设备的IP地址的动态地址段,外网服务器可以对包含不同位置的地址段取值的UDP响应报文的数量进行统计,根据预定义的各个位置的地址段与数量之间的映射关系,可以分别识别出地址段在相应IP地址中所处的位置,并结合外网服务器已知的静态地址段,可以获得所述指定待测设备的IP地址,并且在内网中定位出所述指定待测设备。
另外,本申请中的UDP检测报文的第一字段可以是源端口字段,UDP响应报文的第二字段可以是目的端口字段,当然也可以是其他可以携带待测设备的IP地址的至少一个地址段的字段,本申请并不具体限定。
由以上技术方案可见,本申请通过部署在内网的扫描器向内网的待测设备发送UDP检测报文,将UDP检测报文包含的源IP地址设置为外网服务器的IP地址,并根据外网服务器是否接收到待测设备基于所述UDP检测报文发送的响应报文,来判断内网是否存在非法外联的情况,可以检测出内网存在待测设备非法外联的情况,可以有效避免防护设备对检测报文的拦截,也避免对内网的网络环境的更改,同时,还可以通过解析UDP响应报文来定位出内网中非法外联的待测设备,提升了内部网络的信息安全。
为了便于理解,下面结合附图对本申请的技术方案进行进一步说明。请参见图4,图4是本申请一示例性实施例一种设备非法外联的检测方法的流程图。如图4所示;可以包括以下步骤:
步骤401,伪造UDP检测报文。
部署在内网的扫描器伪造至少一个UDP检测报文,扫描器将UDP检测报文中包含的源IP地址设置为外网服务器的IP地址,同时,将UDP检测报文中第一字段的内容配置为指定待测设备的IP地址的至少一个地址段。
指定待测设备的IP地址可以被划分为多个地址段且每个地址段的长度不大于第一字段、第二字段的长度。每条UDP检测报文包含IP地址的一个地址段且被发送至指定待测设备的UDP检测报文的数量为一条或多条。扫描器发送的多条UDP检测报文各自包含的IP地址的地址段可以组成待测设备完整的IP地址。生成包含在IP地址中处于不同位置的地址段的UDP检测报文的时,不同位置的地址段对应的UDP检测报文的数量不同。
其中,UDP检测报文中的第一字段可以是源端口字段,第二字段可以是目的端口字段,当然也可以是其他可以携带待测设备的IP地址的至少一个地址段的字段,本申请并不具体限定。
此外,UDP检测报文需要借助待测设备的开放的端口进行信息的传送,该端口可以为待测设备的可用的开放端口,实际的开发应用中需要符合对应的服务协议,可以是采用常用的UDP协议的端口,例如,53端口号对应的DNS服务,137端口对应的NETBIOS协议等。
步骤402,发送UDP检测报文。
扫描器将伪造的至少一个UDP检测报文发送至所述指定待测设备。
步骤403,生成UDP响应报文。
指定待测设备根据接收到的UDP检测报文生成UDP响应报文。指定待测设备可以将UDP检测报文所含的所述指定待测设备的IP地址的至少一个地址段添加至所述待测设备生成的UDP响应报文包含的第二字段中。
步骤404,发送UDP响应报文。
指定待测设备根据接收到的UDP检测报文中包含的源IP地址,向该源IP地址返回UDP响应报文。由于UDP检测报文中的源IP地址被配置为了外网服务器的IP地址,因此,待测设备会向外网服务器发送UDP响应报文。
步骤405,解析并统计UDP响应报文。
若外网服务器接收到来自UDP响应报文,则可以判定所述内网存在待测设备非法外联。外网服务器接收UDP响应报文并解析UDP响应报文第二字段的内容,可以获得待测设备的至少一个地址段。
由于在生成包含在IP地址中处于不同位置的地址段的UDP检测报文的情况下,不同位置的地址段对应的UDP检测报文的数量不同,使得包含不同位置的地址段的UDP响应报文的数量也不同。因此,外网服务器根据一段时间内接收到的UDP响应报文并对解析出的待测设备的IP地址的至少一个地址段按照取值进行统计,然后根据不同位置的地址段对应不同的响应报文的数量,可以识别出不同位置的地址段,从而可以根据得到的不同位置的地址段,获得待测设备的IP地址。
在本实施例中,外网服务器还可以将获得的待测设备的IP地址保存到外网服务器的数据库中,便于后续网络网管理员对相关待测设备实施相关措施,另外,外网服务器可以提供相应的Web服务,便于网络管理员访问外网服务器获得结果。
举例而言,假定内网的待测设备A的IP地址为192.168.1.4,外网服务器的IP地址为50.155.13.78,部署在内网的扫描器的IP地址192.168.1.2,并且使用UDP检测报文的第一字段为源端口字段来负载待测设备A的信息,使用UDP响应报文的第二字段为目的端口字段。
由于每个UDP报文的源端口字段、目的端口字段只能负载2字节的内容,而待测设备A的IP地址有4个字节,因此,需要至少两个UDP检测报文才能负载完整的设备A的IP地址,假定将待测设备A的IP地址划分两个部分192.168和1.4,分别包括在两个UDP检测报文中分别进行发送。
此外,为了区分不同位置的地址段,需要将待测设备A的两个地址段的UDP检测报文发送不同数量,在本例中示例性地将包含地址段为192.168的UDP检测报文发送两次,将包含地址段为1.4的UDP检测报文发送一次,以及UDP报文假定使用99端口为例。
扫描器伪造UDP检测报文1,源IP地址设置为外网服务器的IP地址即50.155.13.78,目的IP地址为待测设备A的IP地址192.168.1.4,源端口设置为49320,将地址段192.168转换为十进制的端口号表示,即192.167的十六进制数为0xC0A8,十六进制数0xC0A8的十进制数为49320。目的端口为99端口,数据字段内容可以拷贝99端口正常的报文数据。
扫描器伪造UDP检测报文2,其内容与UDP检测报文1相同,源IP地址设置为外网服务器的IP地址即50.155.13.78,目的IP地址为待测设备A的IP地址192.168.1.4,源端口设置为49320。
扫描器伪造UDP检测报文3,源IP地址设置为外网服务器的IP地址即50.155.13.78,目的IP地址为待测设备A的IP地址192.168.1.4,源端口设置为260,将地址段1.4转换为十进制的端口号表示,即1.4的十六进制数为0x0104,十六进制数0x0104的十进制数为260。目的端口为99端口,数据字段内容可以拷贝正常的NETBIOS端口的报文数据。
待测设备A可以收到上述的3个UDP检测报文,解析到源IP地址为50.155.13.78,因此,待测设备A会向IP地址为50.155.13.78回复UDP响应报文,此时,UDP响应报文的目的端口的内容被设置为对应的UDP检测报文的源端口字段的内容,即UDP响应报文1的目的端口内容为49320,UDP响应报文2的目的端口内容为49320,UDP响应报文3的目的端口内容为260。
内网便会根据UDP响应报文查找路由,将报文发送出去。若待测设备A非法外联,可以通过无线网卡路由到外网服务器,也可以通过有线网卡路由到外网服务器。
外网服务器根据接收到的UDP响应报文,外网服务器还可以根据接收到的UDP报文中的数据字段的特征来初步判断UDP报文是否为UDP响应报文,例如,NetBIOS端口的报文数据段12~18字节都是固定的,一般“CKAAAA”,可以以此来判定该报文为相应的UDP响应报文。
外网服务器每隔一定的时间进行一次扫描,每次扫描将会收到3条UDP响应报文,并解析UDP响应报文目的端口获得对应的地址段。外网服务器接收到上述3条UDP响应报文,根据之前设定的待测设备A的包含IP地址段为192.168.1.4的UDP检测报文会发送两条,而包含IP地址段为1.4的UDP检测报文仅发送一条。
外网服务器可以由接收到的3条响应报文中的目的端口内容解析出地址段192.168,地址段192.168和地址段1.4,外网服务器根据上述数量关系,可以得到待测设备A的IP地址为192.168.1.4,并可以将获得的待测设备的IP地址保存到外网服务器的数据库中,便于后续网络网管理员对相关待测设备实施相关措施。
由以上技术方案可见,本申请通过部署在内网的扫描器向内网的待测设备发送UDP检测报文,将UDP检测报文包含的源IP地址设置为外网服务器的IP地址,并根据外网服务器是否接收到待测设备基于所述UDP检测报文发送的响应报文,来判断内网是否存在非法外联的情况,可以检测出内网存在待测设备非法外联的情况,可以有效避免防护设备对检测报文的拦截,同时,还可以通过解析UDP响应报文来定位出内网中非法外联的待测设备,提升了内部网络的信息安全。
为了便于理解,下面结合附图对本申请的技术方案进行进一步说明。请参见图5,图5是本申请另一示例性实施例一种设备非法外联的检测方法的流程图。如图5所示;可以包括以下步骤:
步骤501,伪造包含动态地址段的UDP检测报文。
指定待测设备的IP地址被划分为静态地址段和动态地址段且每个地址段的长度不大于第一字段、第二字段的长度,其中,静态地址段可以是部署在内网的不同待测设备的IP地址中相同的地址段部分,动态地址段可以是对应不同的待测设备不同的地址段部分。
在外网服务器未知所述静态地址段的情况下,扫描器可以将包含所述静态地址段的UDP检测报文和包含所述动态地址段的UDP检测报文分别发送至所述指定待测设备,该方法参见步骤401-406,此处不再赘述。
在外网服务器已知所述静态地址段的情况下,部署在内网的扫描器可以伪造至少一个UDP检测报文,扫描器将UDP检测报文中包含的源IP地址设置为外网服务器的IP地址,同时,将UDP检测报文中第一字段的内容配置为指定待测设备的IP地址的动态地址段,此时,不需要发送包含所述静态地址段的UDP检测报文。每条UDP检测报文包含IP地址的一个地址段且被发送至指定待测设备的UDP检测报文的数量为一条或多条。在生成包含在IP地址中处于不同位置的动态地址段的UDP检测报文的情况下,不同位置的动态地址段对应的UDP检测报文的数量不同。
步骤502,发送UDP检测报文。
扫描器将伪造的至少一个UDP检测报文发送至所述指定待测设备。
步骤503,生成UDP响应报文。
指定待测设备根据接收到的UDP检测报文生成UDP响应报文。指定待测设备可以将UDP检测报文所含的所述指定待测设备的IP地址的动态地址段添加至所述待测设备生成的UDP响应报文包含的第二字段中。
步骤504,发送UDP响应报文。
指定待测设备根据接收到的UDP检测报文中包含的源IP地址,向该源IP地址返回UDP响应报文。由于UDP检测报文中的源IP地址被配置为了外网服务器的IP地址,因此,待测设备会向外网服务器发送UDP响应报文。
步骤505,解析并统计UDP响应报文。
若外网服务器接收到来自UDP响应报文,则可以判定所述内网存在待测设备非法外联。进一步地,外网服务器通过解析接收到的UDP响应报文的第二字段的内容,可以获得待测设备的IP地址的动态地址段。
由于外网服务器已知指定待测设备的静态地址段,扫描器仅发送包含待测设备动态地址段的UDP检测报文。因此,外网服务器根据一段时间内接收到的UDP响应报文并对解析出的待测设备的IP地址的动态地址段按照取值进行统计,然后根据不同位置的动态地址段对应不同的响应报文的数量,可以识别出不同位置的动态地址段,从而可以根据得到的不同位置的地址段,结合外网服务器已知的静态地址段的内容,获得待测设备的IP地址。
在本实施例中,外网服务器还可以将获得的待测设备的IP地址保存到外网服务器的数据库中,便于后续网络网管理员对相关待测设备实施相关措施,另外,外网服务器可以提供相应的Web服务,便于网络管理员访问外网服务器获得结果。
在外网服务器已知待测设备静态地址段的情况下,扫描器可以仅将包含待测设备的动态地址段的UDP检测报文发送至指定待测设备,可以有效减少了UDP检测报文的数量。
举例而言,假定内网的待测设备A的IP地址为192.168.1.4,外网服务器的IP地址为50.155.13.78,部署在内网的扫描器的IP地址192.168.1.2,并且使用UDP检测报文的第一字段为源端口字段来负载待测设备A的信息,使用UDP响应报文的第二字段为目的端口字段来负载待测设备A的信息。其中,待测设备A的IP地址中192.168为静态地址段,1.4为动态地址段。
外网服务器已知指定待测设备的静态地址段,扫描器仅发送包含待测设备动态地址段的UDP检测报文。扫描器仅发送包含动态地址段1.4的UDP检测报文,扫描器伪造UDP检测报文,源IP地址设置为外网服务器的IP地址即50.155.13.78,目的IP地址为待测设备A的IP地址192.168.1.4,源IP地址设置为外网服务器的IP地址即50.155.13.78,目的IP地址为待测设备A的IP地址192.168.1.4,源端口设置为260,将地址段1.4转换为十进制的端口号表示,即1.4的十六进制数为0x0104,十六进制数0x0104的十进制数为260。目的端口为99端口,数据字段内容可以拷贝正常的NETBIOS端口的报文数据。
待测设备A可以收到上述的UDP检测报文,解析到源IP地址为50.155.13.78,因此,待测设备A会向IP地址为50.155.13.78回复UDP响应报文,此时,UDP响应报文的目的端口的内容被设置为对应的UDP检测报文的源端口字段的内容。UDP响应报文的目的端口内容为260。
内网便会根据UDP响应报文查找路由,将报文发送出去。若待测设备A非法外联,可以通过无线网卡路由到外网服务器,也可以通过有线网卡路由到外网服务器。
外网服务器根据接收到的UDP响应报文,外网服务器还可以根据接收到的UDP报文中的数据字段的特征来初步判断UDP报文是否为UDP响应报文,例如,NetBIOS端口的报文数据段12~18字节都是固定的,一般“CKAAAA”,可以以此来判定该报文为相应的UDP响应报文。
外网服务器每隔一定的时间进行一次扫描,每次扫描将会收到若干条UDP响应报文,并解析UDP响应报文目的端口。外网服务器接收到上述的UDP响应报文,解析UDP响应报文中的目的端口内容解析出地址段1.4,外网服务器结合已知的静态地址段192.168,可以得到待测设备A的IP地址为192.168.1.4,并可以将获得的待测设备的IP地址保存到外网服务器的数据库中,便于后续网络网管理员对相关待测设备实施相关措施。
由以上技术方案可见,本申请通过部署在内网的扫描器向内网的待测设备发送UDP检测报文,将UDP检测报文包含的源IP地址设置为外网服务器的IP地址,并根据外网服务器是否接收到待测设备基于所述UDP检测报文发送的响应报文,来判断内网是否存在非法外联的情况,可以检测出内网存在待测设备非法外联的情况,可以有效避免防护设备对检测报文的拦截,同时,还可以通过解析UDP响应报文来定位出内网中非法外联的待测设备,提升了内部网络的信息安全。
图6示出了,示出了根据本申请的一示例性实施例的一种电子设备的结构示意图。请参考图6,在硬件层面,该电子设备包括处理器601、内部总线602、网络接口603、内存604以及非易失性存储器605,当然还可能包括其他业务所需要的硬件。处理器601从非易失性存储器605中读取对应的计算机程序到内存604中然后运行,在逻辑层面上形成设备非法外联的检测装置。当然,除了软件实现方式之外,本申请并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
请参考图7,在软件实施例中,该设备非法外联的检测装置可以包括生成单元701、发送单元702,应用于部署在内网的扫描器。其中:
生成单元701,用于生成UDP检测报文,所述UDP检测报文中包含的源IP地址被设置为外网服务器的IP地址;
发送单元702,用于向部署在所述内网的至少一台待测设备发送所述UDP检测报文,以使所述至少一台待测设备根据所述UDP检测报文包含的源IP地址向所述外网服务器发送UDP响应报文。
可选的,所述UDP检测报文包含第一字段,所述第一字段的内容被配置为指定待测设备的IP地址的至少一个地址段,以使所述UDP检测报文被发送至所述指定待测设备,且所述UDP检测报文所含的所述指定待测设备的IP地址的至少一个地址段被添加至所述指定待测设备生成的UDP响应报文包含的第二字段,以使所述外网服务器根据所述第二字段的内容从所述内网中定位出所述指定待测设备。
可选的,所述UDP检测报文包含的所述第一字段包括源端口字段,所述第二字段包括目的端口字段。
可选的,所述指定待测设备的IP地址被划分为多个地址段且每个地址段的长度不大于第一字段、第二字段的长度;其中,被发送至所述指定待测设备的每条UDP检测报文包含IP地址的一个地址段,且被发送至所述指定待测设备的UDP检测报文的数量为一条或多条。
可选的,所述指定待测设备的IP地址被划分为静态地址段和动态地址段;
在所述外网服务器未知所述静态地址段的情况下,包含所述静态地址段的UDP检测报文和包含所述动态地址段的UDP检测报文被分别发送至所述指定待测设备;
在所述外网服务器已知所述静态地址段的情况下,仅包含所述动态地址段的UDP检测报文被发送至所述指定待测设备。
可选的,在生成包含在IP地址中处于不同位置的地址段的UDP检测报文的情况下,不同位置的地址段对应的所述UDP检测报文的数量不同。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
图8示出了,示出了根据本申请的一示例性实施例的另一种电子设备的结构示意图。请参考图8,在硬件层面,该电子设备包括处理器801、内部总线802、网络接口803、内存804以及非易失性存储器805,当然还可能包括其他业务所需要的硬件。处理器801从非易失性存储器805中读取对应的计算机程序到内存804中然后运行,在逻辑层面上形成设备非法外联的检测装置。当然,除了软件实现方式之外,本申请并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
请参考图9,在软件实施例中,该设备非法外联的检测装置可以包括接收单元901、判断单元902,应用于由统一管理平台进行管理的设备。其中:
接收单元901,用于接收到UDP响应报文;
判断单元902,用于在所述UDP响应报文来自部署在内网的待测设备的情况下,判定所述内网存在非法外联;其中,所述UDP响应报文由所述待测设备响应于部署在所述内网的扫描器所发送的UDP检测报文而发出,且所述UDP检测报文中包含的源IP地址被配置为所述外网服务器的IP地址。
可选的,所述UDP检测报文包含第一字段,所述第一字段的内容被配置为指定待测设备的IP地址的至少一个地址段,以使所述UDP检测报文被发送至所述指定待测设备,且所述UDP检测报文所含的所述指定待测设备的IP地址的至少一个地址段被添加至所述指定待测设备生成的UDP响应报文包含的第二字段;所述装置还包括:
解析单元903,所述解析单元用于解析所述UDP响应报文的第二字段,根据解析得到的所述指定待测设备的IP地址的至少一个地址段,从所述内网中定位出所述指定待测设备。
可选的,所述第一字段包括源端口字段,所述第二字段包括目的端口字段。
可选的,所述指定待测设备的IP地址被划分为多个地址段且每个地址段的长度不大于第一字段、第二字段的长度;其中,被发送至所述指定待测设备的每条UDP检测报文包含IP地址的一个地址段,且被发送至所述指定待测设备的UDP检测报文的数量为一条或多条。
可选的所述指定待测设备的IP地址被划分为静态地址段和动态地址段;
在所述外网服务器未知所述静态地址段的情况下,包含所述静态地址段的UDP检测报文和包含所述动态地址段的UDP检测报文被分别发送至所述指定待测设备;所述接收到UDP响应报文,包括:分别接收到包含所述静态地址段的UDP响应报文和包含所述动态地址段的UDP响应报文;
在所述外网服务器已知所述静态地址段的情况下,仅包含所述动态地址段的UDP检测报文被发送至所述指定待测设备;所述接收到UDP响应报文,包括:仅接收到包含所述动态地址段的UDP响应报文。
可选的,在生成包含在IP地址中处于不同位置的地址段的UDP检测报文的情况下,不同位置的地址段对应的所述UDP检测报文的数量不同,使得包含不同位置的地址段的UDP响应报文的数量不同;所述装置还包括:
解析单元903,所述解析单用用于解析接收到的每条UDP响应报文的第二字段的内容,获得待测设备IP地址的一个地址段。
识别单元904,所述识别单元用于按照取值对获得的地址段进行数量统计,并根据预定义的各个位置的地址段与数量之间的映射关系,识别获得地址段在相应IP地址中所处的位置。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器,上述指令可由报文的发送装置的处理器执行以完成上述方法,该方法可以包括:
生成UDP检测报文,所述UDP检测报文中包含的源IP地址被设置为外网服务器的IP地址;
向部署在所述内网的至少一台待测设备发送所述UDP检测报文,以使所述至少一台待测设备根据所述UDP检测报文包含的源IP地址向所述外网服务器发送UDP响应报文。
可选的,所述UDP检测报文包含第一字段,所述第一字段的内容被配置为指定待测设备的IP地址的至少一个地址段,以使所述UDP检测报文被发送至所述指定待测设备,且所述UDP检测报文所含的所述指定待测设备的IP地址的至少一个地址段被添加至所述指定待测设备生成的UDP响应报文包含的第二字段,以使所述外网服务器根据所述第二字段的内容从所述内网中定位出所述指定待测设备。
可选的,所述第一字段包括源端口字段,所述第二字段包括目的端口字段。
可选的,所述指定待测设备的IP地址被划分为多个地址段且每个地址段的长度不大于第一字段、第二字段的长度;其中,被发送至所述指定待测设备的每条UDP检测报文包含IP地址的一个地址段,且被发送至所述指定待测设备的UDP检测报文的数量为一条或多条。
可选的,所述指定待测设备的IP地址被划分为静态地址段和动态地址段;
在所述外网服务器未知所述静态地址段的情况下,包含所述静态地址段的UDP检测报文和包含所述动态地址段的UDP检测报文被分别发送至所述指定待测设备;
在所述外网服务器已知所述静态地址段的情况下,仅包含所述动态地址段的UDP检测报文被发送至所述指定待测设备。
可选的,在生成包含在IP地址中处于不同位置的地址段的UDP检测报文的情况下,不同位置的地址段对应的所述UDP检测报文的数量不同。
其中,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等,本申请并不对此进行限制。
在示例性实施例中,还提供了另一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器,上述指令可由报文的发送装置的处理器执行以完成上述方法,该方法可以包括:
接收到UDP响应报文;
在所述UDP响应报文来自部署在内网的待测设备的情况下,判定所述内网存在非法外联;其中,所述UDP响应报文由所述待测设备响应于部署在所述内网的扫描器所发送的UDP检测报文而发出,且所述UDP检测报文中包含的源IP地址被配置为所述外网服务器的IP地址。
可选的,所述UDP检测报文包含第一字段,所述第一字段的内容被配置为指定待测设备的IP地址的至少一个地址段,以使所述UDP检测报文被发送至所述指定待测设备,且所述UDP检测报文所含的所述指定待测设备的IP地址的至少一个地址段被添加至所述指定待测设备生成的UDP响应报文包含的第二字段;所述方法还包括:
解析所述UDP响应报文的第二字段;
根据解析得到的所述指定待测设备的IP地址的至少一个地址段,从所述内网中定位出所述指定待测设备。
可选的,所述第一字段包括源端口字段,所述第二字段包括目的端口字段。
可选的,所述指定待测设备的IP地址被划分为多个地址段且每个地址段的长度不大于第一字段、第二字段的长度;其中,被发送至所述指定待测设备的每条UDP检测报文包含IP地址的一个地址段,且被发送至所述指定待测设备的UDP检测报文的数量为一条或多条。
可选的,所述指定待测设备的IP地址被划分为静态地址段和动态地址段;
在所述外网服务器未知所述静态地址段的情况下,包含所述静态地址段的UDP检测报文和包含所述动态地址段的UDP检测报文被分别发送至所述指定待测设备;所述接收到UDP响应报文,包括:分别接收到包含所述静态地址段的UDP响应报文和包含所述动态地址段的UDP响应报文;
在所述外网服务器已知所述静态地址段的情况下,仅包含所述动态地址段的UDP检测报文被发送至所述指定待测设备;所述接收到UDP响应报文,包括:仅接收到包含所述动态地址段的UDP响应报文。
可选的,在生成包含在IP地址中处于不同位置的地址段的UDP检测报文的情况下,不同位置的地址段对应的所述UDP检测报文的数量不同,使得包含不同位置的地址段的UDP响应报文的数量不同;所述方法还包括:
解析接收到的每条UDP响应报文的第二字段的内容,获得待测设备IP地址的一个地址段;
按照取值对获得的地址段进行数量统计,并根据预定义的各个位置的地址段与数量之间的映射关系,识别获得地址段在相应IP地址中所处的位置。
其中,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等,本申请并不对此进行限制。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (16)
1.一种设备非法外联的检测方法,其特征在于,应用于部署在内网的扫描器;所述方法包括:
生成UDP检测报文,所述UDP检测报文中包含的源IP地址被设置为外网服务器的IP地址;
向部署在所述内网的至少一台待测设备发送所述UDP检测报文,以使所述至少一台待测设备根据所述UDP检测报文包含的源IP地址向所述外网服务器发送UDP响应报文;
所述UDP检测报文包含第一字段,所述第一字段的内容被配置为指定待测设备的IP地址的至少一个地址段转换后的十进制数,以使所述UDP检测报文被发送至所述指定待测设备,且所述UDP检测报文所含的所述指定待测设备的IP地址的至少一个地址段转换后的十进制数被添加至所述指定待测设备生成的UDP响应报文包含的第二字段,以使所述外网服务器根据所述第二字段的内容从所述内网中定位出所述指定待测设备。
2.根据权利要求1所述的方法,其特征在于,所述第一字段包括源端口字段,所述第二字段包括目的端口字段。
3.根据权利要求1所述的方法,其特征在于,所述指定待测设备的IP地址被划分为多个地址段且每个地址段转换为十进制数的长度不大于第一字段、第二字段的长度;其中,被发送至所述指定待测设备的每条UDP检测报文包含IP地址的一个地址段转换后的十进制数,且被发送至所述指定待测设备的UDP检测报文的数量为一条或多条。
4.根据权利要求3所述的方法,其特征在于,所述指定待测设备的IP地址被划分为静态地址段和动态地址段;
在所述外网服务器未知所述静态地址段的情况下,包含所述静态地址段转换后的十进制数的UDP检测报文和包含所述动态地址段转换后的十进制数的UDP检测报文被分别发送至所述指定待测设备;
在所述外网服务器已知所述静态地址段的情况下,仅包含所述动态地址段转换后的十进制数的UDP检测报文被发送至所述指定待测设备。
5.根据权利要求3或4任一项所述的方法,其特征在于,在生成包含在IP地址中处于不同位置的地址段转换后的十进制数的UDP检测报文的情况下,不同位置的地址段对应的所述UDP检测报文的数量不同。
6.一种设备非法外联的检测方法,其特征在于,应用于外网服务器;所述方法包括:
接收到UDP响应报文;
在所述UDP响应报文来自部署在内网的待测设备的情况下,判定所述内网存在非法外联;其中,所述UDP响应报文由所述待测设备响应于部署在所述内网的扫描器所发送的UDP检测报文而发出,且所述UDP检测报文中包含的源IP地址被配置为所述外网服务器的IP地址;
所述UDP检测报文包含第一字段,所述第一字段的内容被配置为指定待测设备的IP地址的至少一个地址段转换的十进制数,以使所述UDP检测报文被发送至所述指定待测设备,且所述UDP检测报文所含的所述指定待测设备的IP地址的至少一个地址段转换后的十进制数被添加至所述指定待测设备生成的UDP响应报文包含的第二字段;所述方法还包括:
解析所述UDP响应报文的第二字段;
根据解析得到的所述指定待测设备的IP地址的至少一个地址段转换后的十进制数,从所述内网中定位出所述指定待测设备。
7.根据权利要求6所述的方法,其特征在于,所述第一字段包括源端口字段,所述第二字段包括目的端口字段。
8.根据权利要求6所述的方法,其特征在于,所述指定待测设备的IP地址被划分为多个地址段且每个地址段转换的十进制数的长度不大于第一字段、第二字段的长度;其中,被发送至所述指定待测设备的每条UDP检测报文包含IP地址的一个地址段转换后的十进制数,且被发送至所述指定待测设备的UDP检测报文的数量为一条或多条。
9.根据权利要求8所述的方法,其特征在于,所述指定待测设备的IP地址被划分为静态地址段和动态地址段;
在所述外网服务器未知所述静态地址段的情况下,包含所述静态地址段转换后的十进制数的UDP检测报文和包含所述动态地址段转换后的十进制数的UDP检测报文被分别发送至所述指定待测设备;所述接收到UDP响应报文,包括:分别接收到包含所述静态地址段转换后的十进制数的UDP响应报文和包含所述动态地址段转换后的十进制数的UDP响应报文;
在所述外网服务器已知所述静态地址段的情况下,仅包含所述动态地址段转换后的十进制数的UDP检测报文被发送至所述指定待测设备;所述接收到UDP响应报文,包括:仅接收到包含所述动态地址段转换后的十进制数的UDP响应报文。
10.根据权利要求8或9任一项所述的方法,其特征在于,在生成包含在IP地址中处于不同位置的地址段转换后的十进制数的UDP检测报文的情况下,不同位置的地址段对应的所述UDP检测报文的数量不同,使得包含不同位置的地址段转换后的十进制数的UDP响应报文的数量不同;所述方法还包括:
解析接收到的每条UDP响应报文的第二字段的内容,获得待测设备IP地址的一个地址段;
按照取值对获得的地址段进行数量统计,并根据预定义的各个位置的地址段与数量之间的映射关系,识别获得地址段在相应IP地址中所处的位置。
11.一种设备非法外联的检测装置,其特征在于,应用于部署在内网的扫描器;所述装置包括:
生成单元,用于生成UDP检测报文,所述UDP检测报文中包含的源IP地址被设置为外网服务器的IP地址;
发送单元,用于向部署在所述内网的至少一台待测设备发送所述UDP检测报文,以使所述至少一台待测设备根据所述UDP检测报文包含的源IP地址向所述外网服务器发送UDP响应报文;
所述UDP检测报文包含第一字段,所述第一字段的内容被配置为指定待测设备的IP地址的至少一个地址段转换后的十进制数,以使所述UDP检测报文被发送至所述指定待测设备,且所述UDP检测报文所含的所述指定待测设备的IP地址的至少一个地址段转换后的十进制数被添加至所述指定待测设备生成的UDP响应报文包含的第二字段,以使所述外网服务器根据所述第二字段的内容从所述内网中定位出所述指定待测设备。
12.一种设备非法外联的检测装置,其特征在于,应用于外网服务器;所述装置包括:
接收单元,用于接收到UDP响应报文;
判断单元,用于在所述UDP响应报文来自部署在内网的待测设备的情况下,判定所述内网存在非法外联;其中,所述UDP响应报文由所述待测设备响应于部署在所述内网的扫描器所发送的UDP检测报文而发出,且所述UDP检测报文中包含的源IP地址被配置为所述外网服务器的IP地址;
所述UDP检测报文包含第一字段,所述第一字段的内容被配置为指定待测设备的IP地址的至少一个地址段转换的十进制数,以使所述UDP检测报文被发送至所述指定待测设备,且所述UDP检测报文所含的所述指定待测设备的IP地址的至少一个地址段转换后的十进制数被添加至所述指定待测设备生成的UDP响应报文包含的第二字段;
解析单元,用于解析所述UDP响应报文的第二字段;
根据解析得到的所述指定待测设备的IP地址的至少一个地址段转换后的十进制数,从所述内网中定位出所述指定待测设备。
13.一种电子设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器通过运行所述可执行指令以实现如权利要求1-5中任一项所述的方法。
14.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现如权利要求1-5中任一项所述方法的步骤。
15.一种电子设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器通过运行所述可执行指令以实现如权利要求6-10中任一项所述的方法。
16.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现如权利要求6-10中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911051721.4A CN110768999B (zh) | 2019-10-31 | 2019-10-31 | 一种设备非法外联的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911051721.4A CN110768999B (zh) | 2019-10-31 | 2019-10-31 | 一种设备非法外联的检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110768999A CN110768999A (zh) | 2020-02-07 |
| CN110768999B true CN110768999B (zh) | 2022-01-25 |
Family
ID=69334960
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911051721.4A Active CN110768999B (zh) | 2019-10-31 | 2019-10-31 | 一种设备非法外联的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110768999B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111385376B (zh) * | 2020-02-24 | 2022-12-23 | 杭州迪普科技股份有限公司 | 一种终端的非法外联监测方法、装置、系统及设备 |
| CN113328972B (zh) * | 2020-02-28 | 2023-02-28 | 浙江宇视科技有限公司 | 设备监测方法、装置、设备及存储介质 |
| CN112073381B (zh) * | 2020-08-13 | 2021-12-17 | 中国电子科技集团公司第三十研究所 | 一种连接互联网设备接入内网检测方法 |
| CN112202749B (zh) * | 2020-09-24 | 2023-07-14 | 深信服科技股份有限公司 | 违规外连检测方法、检测设备、联网终端及存储介质 |
| CN112822683B (zh) * | 2020-12-31 | 2023-04-07 | 四川英得赛克科技有限公司 | 一种利用移动网络进行非法外联的检测方法 |
| CN114978942B (zh) * | 2022-05-13 | 2024-05-24 | 深信服科技股份有限公司 | 一种路由器检测方法、装置及电子设备和存储介质 |
| CN114900377B (zh) * | 2022-07-15 | 2022-09-30 | 广州世安信息技术股份有限公司 | 一种基于诱导数据包的违规外联监测方法及系统 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101257388B (zh) * | 2008-04-08 | 2010-07-28 | 成都市华为赛门铁克科技有限公司 | 非法外联检测方法、装置及系统 |
| CN101277225B (zh) * | 2008-05-09 | 2012-07-04 | 杭州华三通信技术有限公司 | 一种网络质量分析的方法及网络质量分析发起端设备 |
| CN101521578B (zh) * | 2009-04-03 | 2011-09-07 | 北京邮电大学 | 一种封闭网络内检测计算机非法外联的方法 |
| US9203704B2 (en) * | 2011-08-22 | 2015-12-01 | Verizon Patent And Licensing Inc. | Discovering a server device, by a non-DLNA device, within a home network |
| WO2018094743A1 (zh) * | 2016-11-28 | 2018-05-31 | 华为技术有限公司 | 处理报文的方法和计算机设备 |
| CN108881211B (zh) * | 2018-06-11 | 2021-10-08 | 杭州盈高科技有限公司 | 一种违规外联检测方法及装置 |
| CN109413097A (zh) * | 2018-11-30 | 2019-03-01 | 深信服科技股份有限公司 | 一种非法外联检测方法、装置、设备及存储介质 |
| CN110365793B (zh) * | 2019-07-30 | 2020-05-15 | 北京华赛在线科技有限公司 | 违规外联监测方法、装置、系统及存储介质 |
-
2019
- 2019-10-31 CN CN201911051721.4A patent/CN110768999B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110768999A (zh) | 2020-02-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110768999B (zh) | 一种设备非法外联的检测方法及装置 | |
| US10440049B2 (en) | Network traffic analysis for malware detection and performance reporting | |
| CN107404465B (zh) | 网络数据分析方法及服务器 | |
| US10873594B2 (en) | Test system and method for identifying security vulnerabilities of a device under test | |
| KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
| CN110881043B (zh) | 一种web服务器漏洞的检测方法及装置 | |
| US10218733B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| Ganesh Kumar et al. | Improved network traffic by attacking denial of service to protect resource using Z-test based 4-tier geomark traceback (Z4TGT) | |
| CN114244570B (zh) | 终端非法外联监测方法、装置、计算机设备和存储介质 | |
| CN107454037B (zh) | 网络攻击的识别方法和系统 | |
| CN111130930B (zh) | 双网卡检测方法和装置 | |
| CN111800412A (zh) | 高级可持续威胁溯源方法、系统、计算机设备及存储介质 | |
| KR20230004222A (ko) | Dns 메시지를 사용하여 컴퓨터 포렌식 데이터를 선택적으로 수집하는 시스템 및 방법 | |
| Skaggs et al. | Network vulnerability analysis | |
| Nawrocki et al. | Transparent forwarders: an unnoticed component of the open DNS infrastructure | |
| Griffioen et al. | Discovering collaboration: Unveiling slow, distributed scanners based on common header field patterns | |
| CN114301706B (zh) | 基于目标节点中现有威胁的防御方法、装置及系统 | |
| Pashamokhtari et al. | Progressive monitoring of iot networks using sdn and cost-effective traffic signatures | |
| CN108712367A (zh) | 一种报文处理方法、装置及设备 | |
| US20040233849A1 (en) | Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture | |
| CN112953895A (zh) | 一种攻击行为检测方法、装置、设备及可读存储介质 | |
| US10237287B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| Guo et al. | IoTSTEED: Bot-side Defense to IoT-based DDoS Attacks (Extended) | |
| Groat et al. | IPv6: nowhere to run, nowhere to hide | |
| KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |