CN111327592B - 网络监测方法及相关装置 - Google Patents
网络监测方法及相关装置 Download PDFInfo
- Publication number
- CN111327592B CN111327592B CN202010061110.4A CN202010061110A CN111327592B CN 111327592 B CN111327592 B CN 111327592B CN 202010061110 A CN202010061110 A CN 202010061110A CN 111327592 B CN111327592 B CN 111327592B
- Authority
- CN
- China
- Prior art keywords
- network
- address
- data packet
- arp
- network address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网络监测方法及相关装置。其中,网络监测方法包括:监测网络,获取网络中至少一个网络数据包;解析网络数据包,获取网络数据包中的网络地址;选取网络地址符合预设筛选条件的网络数据包;基于选取的网络数据包的网络地址构建测试数据包,并向地址为选取的网络数据包的网络地址的目标主机发送测试数据包;基于目标主机对测试数据包的响应状态确认网络是否存在安全隐患。上述方案,能够提高网络监测的可靠性。
Description
技术领域
本申请涉及信息技术领域,特别是涉及一种网络监测方法及相关装置。
背景技术
在网络通信中,网络安全一直以来都是人们关注的焦点之一,当网络存在安全隐患时,极易引发数据破坏、数据泄露、数据更改等问题。例如,当网络存在ARP(AddressResolution Protocol,地址解析协议)欺骗时,可能导致网络数据包被篡改,还可能导致主机无法正常连线;当网络存在DDoS(Distributed Denial of Service,分布式拒绝服务)攻击时,可能导致正常访问被拒绝,导致服务不可用。故此,有必要对网络进行监测,而提高网络监测的可靠性成为亟待解决的问题。
发明内容
本申请主要解决的技术问题是提供一种网络监测方法及相关装置,能够提高网络监测的可靠性。
为了解决上述问题,本申请第一方面提供了一种网络监测方法,包括:监测网络,获取网络中至少一个网络数据包;解析网络数据包,获取网络数据包中的网络地址;选取网络地址符合预设筛选条件的网络数据包;基于选取的网络数据包的网络地址构建测试数据包,并向地址为选取的网络数据包的网络地址的目标主机发送测试数据包;基于目标主机对测试数据包的响应状态确认网络是否存在安全隐患。
为了解决上述问题,本申请第二方面提供了一种网络监测装置,包括存储器、处理器和通信电路,存储器和通信电路耦接至处理器,存储器、处理器、通信电路工作时可实现上述第一方面中的网络监测方法。
上述方案,通过监测网络而获取网络中的至少一个网络数据包,从而解析网络数据包获取网络数据包中的网络地址,并选取其中网络地址符合预设筛选条件的网络数据包,进而基于选取的网络数据包的网络地址构建测试数据包,并向地址为选取的网络数据包的网络地址的目标主机发送测试数据包,从而能够在首次筛选出符合预设筛选条件的网络数据包的基础上,进一步主动向发出所选取的网络数据包的目标主机发送测试数据包,进而可以基于目标主机对测试数据包的响应状态确认网络是否存在安全隐患,故能够实现对网络中目标主机的主动探测,能够提高网络监测的可靠性,此外,由于对网络数据包进行多重检测,故有利于进一步提高网络监测的可靠性。
附图说明
图1是本申请网络监测方法一实施例的流程示意图;
图2是ARP数据包数据格式一实施例的框架示意图;
图3是TCP SYN数据包数据格式一实施例的框架示意图;
图4是图1中步骤S13一实施例的流程示意图;
图5是图1中步骤S14一实施例的流程示意图;
图6是图1中步骤S15一实施例的流程示意图;
图7是本申请网络监测装置一实施例的框架示意图。
具体实施方式
下面结合说明书附图,对本申请实施例的方案进行详细说明。
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、接口、技术之类的具体细节,以便透彻理解本申请。
本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。此外,本文中的“多”表示两个或者多于两个。
为更好地理解本实施例以及下述实施例中的网络监测方法,首先对两种较为典型的网络安全隐患的原理进行说明:
(一)ARP欺骗:
ARP欺骗得以实施的根源在于网络中的主机会盲目地保存接收到的ARP应答,即使该主机并未发送ARP请求,并在本地ARP缓存列表中生成ARP应答中的网络地址信息(如IP地址和MAC地址之间的映射关系),故此,攻击者可以将本机伪造为虚假主机,发送ARP应答,从而篡改网络中主机的本地ARP缓存列表。
(二)DDoS攻击:
DDoS攻击的主要手段是利用合理的请求造成资源过载,导致服务不可用。例如,TCP SYN(Transmission Control Protocol Synchronize Sequence Numbers,传输控制协议同步序列编号)泛洪攻击首先会伪造大量的源地址,分别向服务器端发送大量的TCP SYN数据包,由于源地址都是伪造的,所以服务器端不会应答,但是攻击者大量发送这种伪造的TCP SYN数据包,服务器端就会消耗非常多的资源(例如:处理资源、内存资源)来处理这种数据包,而无暇处理正常的连接请求,导致拒绝服务。
请参阅图1,图1是本申请网络监测方法一实施例的流程示意图。具体而言,可以包括如下步骤:
步骤S11:监测网络,获取网络中至少一个网络数据包。
本实施例中,监测的网络可以是局域网,也可以是广域网,所获取的数据包可以是ARP数据包,也可以是TCP SYN(Transmission Control Protocol Synchronize SequenceNumbers,传输控制协议同步序列编号)数据包,本实施例在此不做具体限制。根据具体的应用场景,可以选择需要获取的网络数据包类型,例如,当需要监测网络中是否存在ARP欺骗时,可以获取网络中的ARP数据包;当需要监测网络中是否存在DDoS攻击时,可以获取网络中的TCP SYN数据包,本实施例在此不再一一举例。
在一个实施场景中,为了尽可能全面地获取网络中的网络数据包,可以嗅探(Sniffing)网络中的网络数据包,例如,嗅探网络中的广播数据包等等,本实施例在此不做具体限制。
步骤S12:解析网络数据包,获取网络数据包中的网络地址。
请结合参阅图2,图2是ARP数据包数据格式一实施例的框架示意图。如图2所示,当网络数据包为ARP数据包时,可以解析ARP数据包,从而获取位于ARP数据包MAC(MediaAccess Control Address,媒体访问控制地址)帧头的第一网络地址和位于ARP数据包ARP头部的第二网络地址。此外,请继续参阅图2,图2所示的ARP数据包格式中,帧类型字段占2个字节,用于标识帧封装的上层协议,硬件类型字段占2个字节,用于表示ARP数据包可以在哪些类型的网络上传输,协议类型字段占2个字节,用于表示硬件地址要映射的协议地址类型,MAC地址长度字段占1个字节,用于标识MAC地址长度,IP地址长度字段占1个字节,用于标识IP地址长度,OP(Operation,操作)字段占2个字节,用于指定本次ARP数据包的类型,例如:当OP字段为1时,表示ARP请求,当OP字段为2时,表示ARP应答,本实施例在此不再一一举例。
请结合参阅图3,图3是TCP SYN数据包数据格式一实施例的框架示意图。如图3所示,当网络数据包为TCP SYN数据包时,可以解析TCP SYN数据包,从而获得TCP SYN数据包中的源端口号和目的端口号,其中,源端口号和目的端口号用于唯一确定一条TCP连接。
此外,TCP SYN数据包中序号和确认序号是TCP传输的关键部分,序号是本报文段发送组的第一个字节的序号,在TCP传送的流中,每一个字节一个序号,例如,一个报文段的序号为300,此报文段数据部分共有100字节,则下一个报文段的序号为400,故序号确保了TCP传输的有序性,确认序号是指明下一个期待接收到的字节序号,表明该序号之前的所有数据已经正常无误地接收。首部长度占4比特,由于首部可能含有可选项内容,因此TCP报头的长度是不确定的,报头不包含任何任选字段,则长度为20字节,4位首部长度所能表示的最大值为1111,转换为10进制为15,故报头最大长度为60字节。保留字段为将来定义新的用途保留,目前一般置0。控制位共有URG、ACK、PSH、RST、SYN、FIN共6个,每一位表示一个控制功能,其中,URG为紧急指示标志,ACK表示确认序号标志,PSH表示推送标志,RST表示重置连接标志,用于重置由于主机崩溃或其他原因而出现错误的连接,或者用于拒绝非法的报文段和拒绝连接请求,SYN表示同步序号标志,用于建立连接过程中,在连接请求中,SYN=1和ACK=0表示该数据没有使用捎带的确认域,SYN=1和ACK=1表示该数据使用捎带的确认域,FIN表示结束标志,用于释放连接,FIN=1表示发送方已经没有数据发送了。
针对其他应用场景,还可以解析相应的数据包,本实施例在此不再一一举例。
步骤S13:选取网络地址符合预设筛选条件的网络数据包。
本实施例中,可以基于具体的应用场景,设置对应的预设筛选条件。例如,针对监测网络中是否存在ARP欺骗的应用场景,可以选取第一网络地址和第二网络地址符合预设筛选条件的ARP数据包,如果不符合预设筛选条件,则该ARP数据包大概率存在ARP欺骗,或该ARP数据包大概率不存在ARP欺骗,符合预设筛选条件的ARP数据包由于仅仅基于网络地址筛选无法确定是否存在ARP欺骗,故需要进一步验证;或者,针对监测网络中是否存在DDoS攻击的应用场景,可以统计多个TCP SYN数据包的目的端口号出现的次数,当统计到的次数超过一个预设阈值时,说明地址为目的端口号的主机被频繁地访问,可能存在DDoS攻击,此时可以选取会话状态未变更为成功建立的TCP SYN数据包进行下一步验证。
针对其他应用场景,还可以设置不同的预设筛选条件,本实施例在此不再一一举例。
步骤S14:基于选取的网络数据包的网络地址构建测试数据包,并向地址为选取的网络数据包的网络地址的目标主机发送测试数据包。
本实施例中,可以基于具体的应用场景,设置对应的预设筛选条件。例如,针对监测网络中是否存在ARP欺骗的应用场景,可以进一步基于选取的ARP数据包的第二网络地址构建测试数据包,并向地址为第二网络地址的目标主机发送测试数据包;或者,针对监测网络中是否存在DDoS攻击的应用场景,可以基于选取的TCP SYN数据包的源端口号构建测试数据包,并向地址为源端口号的目标主机发送测试数据包。
针对其他应用场景,可以依次类推,本实施例在此不再一一举例。
步骤S15:基于目标主机对测试数据包的响应状态确认网络是否存在安全隐患。
本实施例中,可以基于具体的应用场景,设置对应的预设筛选条件。例如,针对监测ARP欺骗的应用场景,由于攻击者可以假装他人伪造报文,但是不能在协议栈层面阻止真实主机应答发给它的测试数据包,同理,也不能在协议栈层面强制虚假主机应答不是发给它的测试数据包。故此,当目标主机为真实主机时,目标主机会对该测试数据包有响应,此时,可以确定不存在ARP欺骗,而当目标主机为攻击者伪造的虚假主机时,目标主机不会对测试数据包有响应,此时,可以确定存在ARP欺骗。或者,例如,针对DDoS攻击的应用场景,当目标主机为真实主机时,目标主机会对该测试数据包有响应,此时,可以确定不存在DDoS攻击,而当目标主机为攻击者伪造的虚假主机时,目标主机不会对测试数据包有响应,此时,可以确定存在DDoS攻击。
对于其他应用场景,可以以此类推,本实施例在此不再一一举例。
在一个实施场景中,当确定存在安全隐患时,可以采取相应的处理措施。例如,直接丢弃网络数据包,后续不对其进行任何处理。
上述方案,通过监测网络而获取网络中的至少一个网络数据包,从而解析网络数据包获取网络数据包中的网络地址,并选取其中网络地址符合预设筛选条件的网络数据包,进而基于选取的网络数据包的网络地址构建测试数据包,并向地址为选取的网络数据包的网络地址的目标主机发送测试数据包,从而能够在首次筛选出符合预设筛选条件的网络数据包的基础上,进一步主动向发出所选取的网络数据包的目标主机发送测试数据包,进而可以基于目标主机对测试数据包的响应状态确认网络是否存在安全隐患,故能够实现对网络中目标主机的主动探测,能够提高网络监测的可靠性,此外,由于对网络数据包进行多重检测,故有利于进一步提高网络监测的可靠性。
请参阅图4,图4是图1中步骤S13一实施例的流程示意图。具体而言,图4是当网络数据包为ARP数据包时图1中步骤S13一实施例的流程示意图。具体可以包含如下步骤:
步骤S131:剔除第一网络地址和第二网络地址不匹配的ARP数据包。
请结合参阅图2,第一网络地址包括第一MAC目的地址和第一MAC源地址,第二网络地址还包括第二MAC目的地址和第二MAC源地址,此时,可以剔除第一MAC源地址和第二MAC源地址不一致的数据包,以及剔除第一MAC目的地址和第二MAC目的地址不一致的ARP数据包。
在一个实施场景中,ARP数据包为请求数据包,则第一网络地址所包含的第一MAC目的地址为空,此时,可以剔除第一MAC源地址和第二MAC源地址不一致的数据包。
在另一个实施场景中,ARP数据包为应答数据包,则第一网络地址包含第一MAC目的地址和第一MAC源地址均不为空,此时,可以剔除第一MAC源地址和第二MAC源地址不一致的ARP数据包,并剔除第一MAC目的地址和第二MAC地址不一致的ARP数据包。
本实施例以及下述实施例中所述的“地址一致”是指地址完全相同。例如,对于MAC地址:00-01-6C-06-A6-29,以及MAC地址:00-01-6C-06-A6-29,这两个MAC地址是完全一致的;或者,对于IP地址:192.168.1.103,以及IP地址:192.168.1.103,这两个IP地址是完全一致的。
本实施例以及下述实施例中所述的“地址不一致”是指地址部分不一致,或者地址完全不一致。例如,对于MAC地址:00-01-6C-06-A6-29,以及MAC地址:00-01-6C-06-B6-28,这两个地址部分不一致,则这两个地址也是不一致的;或者,对于MAC地址:00-01-6C-06-A6-29,以及MAC地址:01-04-7C-08-B6-28,这两个地址完全不一致,则这两个地址也是不一致的;或者,对于IP地址:192.168.1.103,以及IP地址:192.168.1.102,这两个地址是部分不一致,则这两个地址也是不一致的;或者,对于IP地址:154.37.118.175,以及IP地址:155.39.114.172,这两个地址完全不一致,则这两个地址也是不一致的。
本实施例以及下述实施例中的MAC地址和IP地址仅作示例,并不限定实际应用时的MAC地址和IP地址。
步骤S132:基于剩余的ARP数据包的网络地址,利用预设网络地址库过滤剩余的ARP数据包。
本实施例以及下述实施例中所述的预设网络地址库包含至少一组MAC地址和与IP地址一一对应的合法网络地址,本实施例以及下述实施例中的合法网络地址表示网络中真实主机的网络地址。在一个实施场景中,在网络监测初始状态时,预设网络地址库可以是管理员预先构建的。如下表1所示,表1为预设网络地址库的其中一种可能的示意表。
表1预设网络地址库
| 序号 | MAC地址 | IP地址 |
| 1 | 00-01-6C-06-A6-29 | 154.37.118.175 |
| 2 | 00-01-6C-06-B6-28 | 155.39.114.172 |
| 3 | 01-04-7C-08-B6-28 | 155.39.114.173 |
表1所示仅仅为其中一种可能的预设网络地址库,在其他实施场景中,预设网络地址库还可以包含更多的地址,或者包含与表1所示不同的地址,本实施例在此不做具体限制。
如表1所示,表1所示的预设网络地址库中,MAC地址:00-01-6C-06-A6-29和IP地址:154.37.118.175为一组一一对应的合法网络地址;MAC地址:00-01-6C-06-B6-28和IP地址:155.39.114.172为一组一一对应的合法网络地址;MAC地址:01-04-7C-08-B6-28和IP地址:155.39.114.173为一组一一对应的合法网络地址。
具体实施时,可以将每一剩余的ARP数据包的第二MAC源地址和第二IP源地址关联为一组待验网络地址,并基于待验网络地址和预设网络地址库中的合法网络地址确定每一剩余的ARP数据包是否符合预设筛选条件,若当前ARP数据包的待验网络地址与预设网络地址库中的其中一组合法网络地址完全一致,则说明当前ARP数据包为正常数据包,并丢弃当前ARP数据包,从而可以防止ARP协议恶意溢出,若当前ARP数据包的待验网络地址与预设网络地址库中的至少一组合法网络地址部分一致,则说明当前ARP数据包存在地址伪造,网络存在ARP欺骗,并输出网络危险告警信息,若当前ARP数据包的待验网络地址与预设网络地址库中的所有合法网络地址均完全不一致,此时不确定当前ARP数据包究竟是伪造的,还是正常的,因此,当前ARP数据包符合预设筛选条件,以便后续对其进行进一步验证。
本实施例中,待验网络地址和预设网络地址库中的其中一组合法网络地址完全一致是指:预设网络地址库中存在一组合法网络地址,这组合法网络地址的MAC地址和待验网络地址中的MAC地址一致,且这组合法网络地址的IP地址和待验网络地址中的IP地址一致。
本实施例中,待验网络地址和预设网络地址库中的至少一组合法网络地址部分一致是指:预设网络地址库中存在一组合法网络地址,这组合法网络地址的MAC地址和待验网络地址中的MAC地址一致,且这组合法网络地址中的IP地址和待验网络地址中的IP地址不一致;或者,这组合法网络地址的MAC地址和待验网络地址中的MAC地址不一致,且这组合法网络地址中的IP地址和待验网络地址中的IP地址一致。
本实施例中,待验网络地址和预设网络地址库中的所有合法网络地址完全不一致是指:预设网络地址库中每一组合法网络地址均满足其MAC地址与待验网络地址中MAC地址不一致,且其IP地址与待验网络地址中的IP地址不一致。
本实施例中的“地址一致”和“地址不一致”可以参考前述相关表述,在此不再赘述。
区别于前述实施例,通过剔除第一网络地址和第二网络地址不匹配的ARP数据包,并基于剩余的ARP数据包的网络地址,利用预设网络地址库过滤剩余的ARP数据包,能够滤除明显属于伪造的ARP数据包,并过滤出需要进行进一步验证的ARP数据包,通过多重检测能够提高网络监测的可靠性。
请参阅图5,图5是图1中步骤S14一实施例的流程示意图。具体而言,图5是网络数据包为ARP数据包时图1中步骤S14一实施例的流程示意图。具体可以包括如下步骤:
步骤S141:分别将选取的ARP数据包的第二MAC源地址作为测试数据包的MAC目的地址,将第二IP源地址作为测试数据包的IP目的地址,将本机的MAC地址作为测试数据包的MAC源地址,将本机的IP地址作为测试数据包的IP源地址。
由于选取的ARP数据包MAC帧头的第一网络地址和ARP头部的第二网络地址一致,且由第二MAC源地址和第二IP源地址组成的一组待验网络地址与预设网络地址库完全不一致,故此,选取的ARP数据包有可能是真实主机发出的ARP数据包,也可能是攻击者伪造的ARP数据包,因此需要对此进行进一步的验证。
请结合参阅图2,如图2所示,第二网络地址包括第二MAC源地址和第二IP源地址。将选取的ARP数据包的第二MAC源地址作为测试数据包的MAC目的地址,将第二IP源地址作为测试数据包的IP目的地址,将发出该测试数据包的本机的MAC地址作为测试数据包的MAC源地址,将本机的IP地址作为测试数据包的IP源地址。
本实施例中测试数据包可以是TCP SYN数据包,TCP SYN数据包的数据格式可以参阅上述实施例以及附图3,本实施例在此不再赘述。当测试数据包为TCP SYN数据包时,还可以选择TCP目的端口,具体地,当网络主机安装了防火墙,则选择被允许的TCP端口,当网络主机未安装防火墙,则可以选择任意的TCP端口,此外,TCP SYN首部的其他剩余字段可以按照常规方式进行设置。
步骤S142:向MAC地址为第二MAC源地址的目标主机发送测试数据包,其中,反馈数据包是目标主机基于接收到测试数据包的IP目的地址与目标主机的IP地址一致而发送的。
在通过上述步骤构建完成测试数据包之后,可以向MAC地址为第二MAC源地址(即测试数据包中的MAC目的地址)的目标主机发送测试数据包,由于网卡会接收发送给自己MAC地址、广播地址和多播地址的数据包,并将这些数据包传递给IP层,而IP层只接收IP数据包地址是本机IP地址的数据包,其他数据包会被丢弃,当IP层接收数据包之后,若目的端口是打开的,则目标主机将回应一个TCP SYN/ACK报文,若目的端口是关闭的,则目标主机将回应一个TCP RST报文。故此,当目标主机接收到测试数据包之后,若测试数据包的IP目的地址和目标主机的IP地址一致,则说明发出ARP数据包的主机就是目标主机,目标主机是真实主机,此时,目标主机向发出测试数据包的本机发送一个反馈数据包,具体地,可以基于目的端口而发送一个TCP SYN/ACK数据包,或者,可以基于目的端口关闭而发送一个TCPRST数据包;而当目标主机接收到测试数据包之后,若测试数据包的IP目的地址和目标主机的IP地址不一致,该ARP数据包是伪造的,此时,目标主机IP层直接将该测试数据包丢弃,而不做任何回应。
举例来说,有一台主机MAC地址=X,并且IP地址=Y,如果主机接收到一个测试数据包,测试数据包中的目的MAC地址=X,并且目的IP地址=Z,那么主机的网卡会因为目的MAC地址匹配而接收该测试数据包,主机的协议栈也会因为目的IP地址不一致而将该测试数据包丢弃,而并不会向发送测试数据包的主机反馈任何信息。
区别于前述实施例,基于选取的ARP数据包构建测试数据包,并主动向MAC地址为测试数据包的MAC目的地址的目标主机发送测试数据包,相较于采用被动监测其学习地址映射和随后的攻击检测之间的时滞,可以更为快速、智能地监测网络中是否存在ARP欺骗,有利于进一步提高网络监测的可靠性。
请参阅图6,图6是图1中步骤S15一实施例的流程示意图。具体而言,图6是网络数据包为ARP数据包时图1中步骤S15一实施例的流程示意图。具体可以包括如下步骤:
步骤S151:判断是否接收到来自于目标主机的反馈数据包,若是,则执行步骤S152,否则,执行步骤S153。
由上述实施例可知,若测试数据包的IP目的地址和目标主机的IP地址一致,则说明发出ARP数据包的主机就是目标主机,目标主机是真实主机,此时,目标主机向发出测试数据包的本机发送一个反馈数据包;若测试数据包的IP目的地址和目标主机的IP地址不一致,该ARP数据包是伪造的,此时,目标主机IP层直接将该测试数据包丢弃,而不做任何回应,因此,通过判断是否接收到来自目标主机的反馈数据包可以有效判断目标主机对于测试数据包的响应状态是有响应状态,还是无响应状态。
步骤S152:确定目标主机对于测试数据包是有响应状态。
当接收到来自目标主机的反馈数据包时,说明目标主机对于测试数据包是有响应状态,此时,可以进一步确定构建该测试数据包时所利用的ARP数据包是真实主机所发送的数据包,故当前网络中不存在ARP欺骗。
在一个实施场景中,当确定网络中不存在ARP欺骗之后,可以将测试数据包的MAC目的地址(即ARP数据包的第二MAC源地址)和测试数据包的IP目的地址(即ARP数据包的第二IP源地址)关联为一组合法网络地址,并将该合法网络地址保存至预设网络地址库。
步骤S153:确定目标主机对于测试数据包是无响应状态。
当未接收到来自目标主机的反馈数据包时,说明目标主机对于测试数据包是无响应状态,此时,可以进一步确定构建该测试数据包时所利用的ARP数据包是攻击者所伪造的,故当前网络中存在ARP欺骗。
在一个实施场景中,当确定网络中存在ARP欺骗时,还可以进一步输出网络危险告警信息,以提示用户当前网络中存在ARP欺骗。
区别于前述实施例,通过判断是否接收到来自目标主机的反馈数据包,可以确定目标主机对于测试数据包的响应状态,进一步确定网络中是否存在ARP欺骗。
请参阅图7,图7是本申请网络监测装置70一实施例的框架示意图。本实施例中,网络监测装置70包括存储器71、处理器72和通信电路73,存储器71和通信电路73耦接至处理器72,存储器71、处理器72、通信电路73工作时可实现上述任一网络监测方法实施例中的步骤。
具体而言,处理器72用于控制其自身以及存储器71、通信电路73,以实现上述任一网络监测方法实施例中的步骤。处理器72还可以称为CPU(Central Processing Unit,中央处理单元)。处理器72可能是一种集成电路芯片,具有信号的处理能力。处理器72还可以是通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。另外,处理器72可以由多个集成电路芯片共同实现
本实施例中,处理器72用于控制通信电路73监测网络,获取网络中至少一个网络数据包,处理器72还用于解析网络数据包,获取网络数据包中的网络地址,处理器72还用于选取网络地址符合预设筛选条件的网络数据包,处理器72还用于基于选取的网络数据包的网络地址构建测试数据包,并控制通信电路73向地址为选取的网络数据包的网络地址的目标主机发送测试数据包,处理器72还用于基于目标主机对测试数据包的响应状态确认网络是否存在安全隐患。
上述方案,通过监测网络而获取网络中的至少一个网络数据包,从而解析网络数据包获取网络数据包中的网络地址,并选取其中网络地址符合预设筛选条件的网络数据包,进而基于选取的网络数据包的网络地址构建测试数据包,并向地址为选取的网络数据包的网络地址的目标主机发送测试数据包,从而能够在首次筛选出符合预设筛选条件的网络数据包的基础上,进一步主动向发出所选取的网络数据包的目标主机发送测试数据包,进而可以基于目标主机对测试数据包的响应状态确认网络是否存在安全隐患,故能够实现对网络中目标主机的主动探测,能够提高网络监测的可靠性,此外,由于对网络数据包进行多重检测,故有利于进一步提高网络监测的可靠性。
在一些实施例中,网络数据包为ARP数据包,处理器72还用于解析ARP数据包,获取位于ARP数据包MAC帧头的第一网络地址和位于ARP数据包ARP头部的第二网络地址,处理器72还用于选取第一网络地址和第二网络地址符合预设筛选条件的ARP数据包,处理器72还用于基于选取的ARP数据包的第二网络地址构建测试数据包,处理器72还用于控制通信电路73向地址为第二网络地址的目标主机发送测试数据包,处理器72还用于确定目标主机对于测试数据包是有响应状态,还是无响应状态,处理器72还用于当响应状态是有响应时,确定不存在ARP欺骗,处理器72还用于当响应状态是无响应时,确定存在ARP欺骗。
在一些实施例中,处理器72还用于若控制通信电路73接收到来自于目标主机的反馈数据包,则确定目标主机对于测试数据包是有响应状态,处理器72还用于若控制通信电路73未接收到来自于目标主机的反馈数据包,则确定目标主机对于测试数据包是无响应状态。
区别于前述实施例,通过判断是否接收到来自目标主机的反馈数据包,可以确定目标主机对于测试数据包的响应状态,进一步确定网络中是否存在ARP欺骗。
在一些实施例中,第二网络地址包括第二MAC源地址和第二IP源地址,处理器72还用于分别将选取的ARP数据包的第二MAC源地址作为测试数据包的MAC目的地址,将第二IP源地址作为测试数据包的IP目的地址,将本机的MAC地址作为测试数据包的MAC源地址,将本机的IP地址作为测试数据包的IP源地址,处理器72还用于控制通信电路73向MAC地址为第二MAC源地址的目标主机发送测试数据包,其中,反馈数据包是目标主机基于接收到测试数据包的IP目的地址与目标主机的IP地址一致而发送的。
区别于前述实施例,基于选取的ARP数据包构建测试数据包,并主动向MAC地址为测试数据包的MAC目的地址的目标主机发送测试数据包,相较于被动监测时学习地址映射和随后的攻击检测之间的时滞,可以更为快速、智能地监测网络中是否存在ARP欺骗,有利于进一步提高网络监测的可靠性。
在一些实施例中,处理器72还用于将第二MAC源地址和第二IP源地址关联为一组合法网络地址,处理器72还用于控制存储器71在确定不存在ARP欺骗之后,保存合法网络地址至预设网络地址库。
在一些实施例中,网络监测装置70还包括人机交互电路,处理器72还用于控制人机交互电路在确定存在ARP欺骗之后,输出网络危险告警信息。
在一些实施例中,处理器72还用于剔除第一网络地址和第二网络地址不匹配的ARP数据包,处理器72还用于基于剩余的ARP数据包的网络地址,利用预设网络地址库过滤剩余的ARP数据包。
区别于前述实施例,通过剔除第一网络地址和第二网络地址不匹配的ARP数据包,并基于剩余的ARP数据包的网络地址,利用预设网络地址库过滤剩余的ARP数据包,能够滤除明显属于伪造的ARP数据包,并过滤出需要进行进一步验证的ARP数据包,通过多重检测能够提高网络监测的可靠性
在一些实施例中,第一网络地址包括第一MAC目的地址和第一MAC源地址,第二网络地址还包括第二MAC目的地址和第二MAC源地址,处理器72还用于剔除第一MAC源地址和第二MAC源地址不一致的ARP数据包,以及剔除第一MAC目的地址和第二MAC目的地址不一致的ARP数据包。
在一些实施例中,预设网络地址库包含至少一组MAC地址与IP地址一一对应的合法网络地址,处理器72还用于将每一剩余的ARP数据包的第二MAC源地址和第二IP源地址关联为一组待验网络地址,处理器72还用于基于待验网络地址与预设网络地址库中的合法网络地址确定每一剩余的ARP数据包是否符合预设筛选条件。
在一些实施例中,处理器72还用于在当前ARP数据包的待验网络地址与预设网络地址库中的其中一组合法网络地址完全一致时,控制存储器71丢弃当前ARP数据包;处理器72还用于在当前ARP数据包的待验网络地址与预设网络地址库中的至少一组合法网络地址部分一致时,控制人机交互电路输出网络危险告警信息;处理器72还用于在当前ARP数据包的待验网络地址与预设网络地址库中所有合法网络地址均完全不一致时,确定当前ARP数据包符合预设筛选条件。
在本申请所提供的几个实施例中,应该理解到,所揭露的方法和装置,可以通过其它的方式实现。例如,以上所描述的装置实施方式仅仅是示意性的,例如,模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性、机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施方式方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施方式方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
Claims (9)
1.一种网络监测方法,其特征在于,包括:
监测网络,获取所述网络中至少一个网络数据包;其中,所述网络数据包为ARP数据包;
解析所述ARP数据包,获取位于所述ARP数据包MAC帧头的第一网络地址和位于所述ARP数据包ARP头部的第二网络地址;
选取所述第一网络地址和所述第二网络地址符合预设筛选条件的ARP数据包;
基于选取的ARP数据包的第二网络地址构建测试数据包,并向地址为所述第二网络地址的目标主机发送所述测试数据包;
确定所述目标主机对于所述测试数据包是有响应状态,还是无响应状态;
若所述响应状态是有响应,则确定不存在ARP欺骗;
若所述响应状态是无响应,则确定存在ARP欺骗。
2.根据权利要求1所述的网络监测方法,其特征在于,所述确定所述目标主机对于所述测试数据包是有响应状态,还是无响应状态包括:
若接收到来自于所述目标主机的反馈数据包,则确定所述目标主机对于所述测试数据包是有响应状态;
若未接收到来自于所述目标主机的反馈数据包,则确定所述目标主机对于所述测试数据包是无响应状态。
3.根据权利要求2所述的网络监测方法,其特征在于,所述第二网络地址包括第二MAC源地址和第二IP源地址,所述基于选取的ARP数据包的第二网络地址构建所述测试数据包包括:
分别将所述选取的ARP数据包的第二MAC源地址作为所述测试数据包的MAC目的地址,将所述第二IP源地址作为所述测试数据包的IP目的地址,将本机的MAC地址作为所述测试数据包的MAC源地址,将所述本机的IP地址作为所述测试数据包的IP源地址;
所述向地址为所述第二网络地址的目标主机发送所述测试数据包包括:
向MAC地址为所述第二MAC源地址的目标主机发送所述测试数据包,其中,所述反馈数据包是所述目标主机基于接收到所述测试数据包的IP目的地址与所述目标主机的IP地址一致而发送的。
4.根据权利要求3所述的网络监测方法,其特征在于,所述确定不存在ARP欺骗之后,所述方法还包括:
将所述第二MAC源地址和所述第二IP源地址关联为一组合法网络地址;
保存所述合法网络地址至预设网络地址库;
和/或;
所述确定存在ARP欺骗之后,所述方法还包括:
输出网络危险告警信息。
5.根据权利要求1所述的网络监测方法,其特征在于,所述选取所述第一网络地址和所述第二网络地址符合所述预设筛选条件的ARP数据包包括:
剔除所述第一网络地址和所述第二网络地址不匹配的ARP数据包;
基于剩余的ARP数据包的网络地址,利用预设网络地址库过滤所述剩余的ARP数据包。
6.根据权利要求5所述的网络监测方法,其特征在于,所述第一网络地址包括第一MAC目的地址和第一MAC源地址,所述第二网络地址还包括第二MAC目的地址和第二MAC源地址,所述剔除所述第一网络地址和所述第二网络地址不匹配的ARP数据包包括:
剔除第一MAC源地址和第二MAC源地址不一致的ARP数据包,以及剔除第一MAC目的地址和第二MAC目的地址不一致的ARP数据包。
7.根据权利要求5所述的网络监测方法,其特征在于,所述第二网络地址包括第二MAC源地址和第二IP源地址,所述预设网络地址库包含至少一组MAC地址与IP地址一一对应的合法网络地址,所述基于剩余的ARP数据包的网络地址,利用预设网络地址库过滤所述剩余的ARP数据包包括:
将每一所述剩余的ARP数据包的所述第二MAC源地址和所述第二IP源地址关联为一组待验网络地址;
基于所述待验网络地址与所述预设网络地址库中的合法网络地址确定每一所述剩余的ARP数据包是否符合预设筛选条件。
8.根据权利要求7所述的网络监测方法,其特征在于,所述基于所述待验网络地址与所述预设网络地址库中的合法网络地址确定每一所述剩余的ARP数据包是否符合预设筛选条件包括:
若当前ARP数据包的待验网络地址与所述预设网络地址库中的其中一组合法网络地址完全一致,则丢弃所述当前ARP数据包;
若所述当前ARP数据包的待验网络地址与所述预设网络地址库中的至少一组合法网络地址部分一致,则输出网络危险告警信息;
若所述当前ARP数据包的待验网络地址与所述预设网络地址库中所有合法网络地址均完全不一致,则确定所述当前ARP数据包符合预设筛选条件。
9.一种网络监测装置,其特征在于,包括存储器、处理器和通信电路,所述存储器和所述通信电路耦接至所述处理器,所述存储器、所述处理器、所述通信电路工作时可实现权利要求1-8任一项所述的网络监测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010061110.4A CN111327592B (zh) | 2020-01-19 | 2020-01-19 | 网络监测方法及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010061110.4A CN111327592B (zh) | 2020-01-19 | 2020-01-19 | 网络监测方法及相关装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111327592A CN111327592A (zh) | 2020-06-23 |
| CN111327592B true CN111327592B (zh) | 2022-11-18 |
Family
ID=71167028
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010061110.4A Active CN111327592B (zh) | 2020-01-19 | 2020-01-19 | 网络监测方法及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111327592B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111897284B (zh) * | 2020-08-21 | 2021-06-29 | 湖南匡安网络技术有限公司 | 一种plc设备的安全防护方法和系统 |
| CN112087532B (zh) * | 2020-08-28 | 2023-04-07 | 中国移动通信集团黑龙江有限公司 | 信息获取方法、装置、设备及存储介质 |
| CN115277483A (zh) * | 2022-07-27 | 2022-11-01 | 西安热工研究院有限公司 | 一种工控网络的监视方法、装置及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103024851A (zh) * | 2012-11-23 | 2013-04-03 | 福建星网锐捷网络有限公司 | 基于无线网络的报文传输方法、装置及网络设备 |
| CN106533722A (zh) * | 2015-09-11 | 2017-03-22 | 北京国双科技有限公司 | 网络监测方法和装置 |
| CN106899554A (zh) * | 2015-12-21 | 2017-06-27 | 北京奇虎科技有限公司 | 一种防止arp欺骗的方法及装置 |
| CN107018136A (zh) * | 2017-04-06 | 2017-08-04 | 福建中金在线信息科技有限公司 | 一种arp攻击的检测方法及装置 |
| CN109039989A (zh) * | 2017-06-08 | 2018-12-18 | 腾讯科技(深圳)有限公司 | 地址解析协议欺骗检测方法及装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140157405A1 (en) * | 2012-12-04 | 2014-06-05 | Bill Joll | Cyber Behavior Analysis and Detection Method, System and Architecture |
| CN104639401A (zh) * | 2015-02-26 | 2015-05-20 | 北京奥普维尔科技有限公司 | 一种网络在线监测装置和方法 |
| CN105827613B (zh) * | 2016-04-14 | 2019-02-12 | 广东电网有限责任公司电力科学研究院 | 一种针对变电站工控设备信息安全的测试方法及系统 |
| CN107332726B (zh) * | 2016-04-29 | 2021-03-30 | 华为技术有限公司 | 一种通信链路的检测方法及装置 |
| CN106790010B (zh) * | 2016-12-13 | 2019-08-27 | 北京金山安全软件有限公司 | 基于Android系统的ARP攻击检测方法、装置及系统 |
-
2020
- 2020-01-19 CN CN202010061110.4A patent/CN111327592B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103024851A (zh) * | 2012-11-23 | 2013-04-03 | 福建星网锐捷网络有限公司 | 基于无线网络的报文传输方法、装置及网络设备 |
| CN106533722A (zh) * | 2015-09-11 | 2017-03-22 | 北京国双科技有限公司 | 网络监测方法和装置 |
| CN106899554A (zh) * | 2015-12-21 | 2017-06-27 | 北京奇虎科技有限公司 | 一种防止arp欺骗的方法及装置 |
| CN107018136A (zh) * | 2017-04-06 | 2017-08-04 | 福建中金在线信息科技有限公司 | 一种arp攻击的检测方法及装置 |
| CN109039989A (zh) * | 2017-06-08 | 2018-12-18 | 腾讯科技(深圳)有限公司 | 地址解析协议欺骗检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111327592A (zh) | 2020-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111327592B (zh) | 网络监测方法及相关装置 | |
| CN109587179B (zh) | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 | |
| CN101589595B (zh) | 用于潜在被污染端系统的牵制机制 | |
| US8356350B2 (en) | Method and system for managing denial of service situations | |
| US10693908B2 (en) | Apparatus and method for detecting distributed reflection denial of service attack | |
| US8272054B2 (en) | Computer network intrusion detection system and method | |
| US7590855B2 (en) | Steganographically authenticated packet traffic | |
| US9398039B2 (en) | Apparatus, system and method for suppressing erroneous reporting of attacks on a wireless network | |
| CN111010409B (zh) | 加密攻击网络流量检测方法 | |
| CN110784464B (zh) | 泛洪攻击的客户端验证方法、装置、系统及电子设备 | |
| CN102098305A (zh) | 较高级协议认证 | |
| Ireland | Intrusion detection with genetic algorithms and fuzzy logic | |
| CN114268429A (zh) | 特定终端加密通信接入设备 | |
| CN108574673A (zh) | 应用于网关的arp报文攻击检测方法及装置 | |
| CN106487790A (zh) | 一种ack flood攻击的清洗方法及系统 | |
| CN101888296A (zh) | 一种影子用户检测方法、装置、设备和系统 | |
| CN113678419B (zh) | 端口扫描检测 | |
| CN112235329A (zh) | 一种识别syn报文真实性的方法、装置及网络设备 | |
| WO2017071511A1 (zh) | 防攻击数据传输方法及装置 | |
| JP5568344B2 (ja) | 攻撃検出装置、攻撃検出方法、及びプログラム | |
| CN114584352B (zh) | 多网络互联的网络违规外联检测方法、装置及系统 | |
| CN110831009A (zh) | 一种无线ap防无线dos攻击的测试方法及测试系统 | |
| CN115314285A (zh) | 一种破解行为的拦截方法及安全网关装置 | |
| CN112491911B (zh) | Dns分布式拒绝服务防御方法、装置、设备及存储介质 | |
| KR100506889B1 (ko) | 이중버퍼 구조를 가지는 네트웍 침입탐지 시스템과 그동작방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20201224 Address after: 910 / F, building B, Xiangzhu garden, 29 nongxuan Road, Donghai community, Xiangmihu street, Futian District, Shenzhen, Guangdong 518000 Applicant after: Chen Jianhui Address before: 518000 901, Shenzhen International Culture Building, Futian Road, Futian District, Shenzhen City, Guangdong Province Applicant before: SHENZHEN BOWEI CHUANGSHENG TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |