CN1553648A - 用于检测及处理仿冒网络服务的方法 - Google Patents
用于检测及处理仿冒网络服务的方法 Download PDFInfo
- Publication number
- CN1553648A CN1553648A CNA031372945A CN03137294A CN1553648A CN 1553648 A CN1553648 A CN 1553648A CN A031372945 A CNA031372945 A CN A031372945A CN 03137294 A CN03137294 A CN 03137294A CN 1553648 A CN1553648 A CN 1553648A
- Authority
- CN
- China
- Prior art keywords
- counterfeit
- server
- service
- network
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种用于检测及处理仿冒网络服务的方法,该方法包括以下步骤:1)检测网络仿冒服务,发现仿冒服务器;2)对检测到的仿冒服务器进行验证,以确认它是仿冒服务器;以及3)根据经确认的仿冒服务器的网络信息以定位出仿冒服务器的物理信息,进而确定仿冒服务器的归属用户。通过利用本发明的方法对网络服务执行统一的检测、验证、定位,不仅可以在发现问题后及时发现仿冒服务,而且还能够在仿冒服务进入网络时主动、及时、有效地发现仿冒服务,从而大大促进了网络的安全性。
Description
发明领域
本发明一般涉及数据通信技术,特别涉及一种用于检测和处理仿冒网络服务的方法。
背景技术
现代社会已经进入信息社会,而通信网络作为信息的载体,已经应用到整个社会的每一个方面。常用的通信技术有以太网、令牌网、FR(帧中继)、IP(因特网协议)、ATM(异步传输模式)等等。常用的通信网络有以太网组成的局域网、TCP/IP组成的广域网和Internet等等。
以以太网为例,图1示出了其常见的网络组网方式。如图1所示,利用以太网技术,计算机的网卡和LAN Switch(以太网交换机)通过网线相连,一个LAN Switch可以接多个计算机,LAN Switch(以太网交换机)通过以太网线路接到核心网中,比如企业局域网、城域网等。
在实际的组网中,可以有多种组网结构。在实际组网中,PC(个人计算机)可以直接接在LAN Switch上,也可以通过HUB(集线器)、LAN Switch等设备级联到LAN Switch上。PC也可以通过VDSL(甚高速数字用户线路)与VDSL Switch(VDSL交换机)相连,其中,在VDSL线路中传递的是以太网格式的报文。在无线局域网中,可以使用但不限于802.11、802.11a、802.11b、802.11g等无线以太网协议来连接PC和AP(无线接入点)。PC也可以通过ADSL(不对称数字用户线路)设备连接到网络中。综上所述,PC可以通过但不限于LAN Switch、AP、VDSL、ADSL等方式接入网络。
在网络中,有的设备提供服务,有的设备使用服务。提供服务的设备一般称为服务器,使用服务的设备一般称为客户端。特别是,有些设备可能同时提供服务也使用服务,因此,它可能同时是客户端和服务器。
网络服务分类很多,按照ISO网络层次模型,结合现网广泛应用的以太网和IP技术,将网络服务分为二层服务和三层以上的服务。二层服务指的是数据链路层以下的服务,常用的服务包括但不限于PPPoE(以太网承载PPP协议);三层以上的服务指的是网络层以上的服务,其常用的服务包括但不限于DHCP(动态主机配置协议)。
PPPoE通过在以太网网上进行协商,建立一个PPP连接。图2示出了典型的PPPoE组网图。图3则示出了PPPoE的协商过程,如图3所示,PPPoE的协商过程如下:
1)客户端向服务器发送一个PADI(PPPoE初始报文)报文,开始PPPoE接入的开始;
2)服务器向客户端发送PADO(PPPoE提供报文)报文;
3)客户端根据回应,发起PADR(PPPoE请求报文)请求给服务器;
4)服务器产生一个session id,通过PADS(PPPoE会话报文)发给客户端。
经过上述过程之后,客户端和服务器已经成功完成了PPPoE协商,进而可以为后续的工作提供服务。
另一方面,图4示出了典型的同一子网内的DHCP服务组网图。图5则示出了一种同一子网内的DHCP协商过程。如图5所示,DHCP协商的过程如下:
1)客户端向服务器发送一个DHCPDISCOVER(DHCP发现报文)报文,开始DHCP主机配置过程;
2)服务器向客户端发送DHCPOFFER(DHCP提供报文)报文。如果网上有多台DHCP服务器,每个服务器都会回应这个报文;
3)客户端根据回应,选择一个DHCP Server,发起DHCPREQUEST(DHCP请求报文)请求给对应的服务器;
4)服务器提供客户端主机配置信息,通过DHCPACK(DHCP应答报文)发给客户端;
经过上述过程之后,客户端和服务器已经成功完成了主机配置,进而可以为后续的工作提供服务。
图6示出了另一种同一子网内的DHCP协商流程。如图6所示,这种协商流程如下:
1)客户端本身已经有IP地址等配置,但需要从服务器获取其他主机配置,此时,向服务器发送一个DHCPINFORM(DHCP信息请求报文)报文,开始DHCP主机配置过程。
2)服务器向客户端发送DHCPACK(DHCP应答报文)报文。
经过上述过程之后,客户端和服务器已经成功完成了主机配置,进而可以为后续的工作提供服务。
图7示出了典型的跨子网的DHCP服务组网图。图8则示出了一种典型的跨子网的DHCP协商过程。如图8所示,这种DHCP协商的过程如下:
1)DHCP客户端向DHCP中继发送一个DHCPDISCOVER(DHCP发现报文)报文,开始DHCP主机配置过程。
2)DHCP中继将此报文转发到DHCP服务器。
3)DHCP服务器向DHCP中继发送DHCPOFFER(DHCP提供报文)报文。如果网上有多台DHCP服务器,每个服务器都会回应这个报文。
4)DHCP中继此报文转发到DHCP客户端。
5)客户端根据回应,选择一个DHCP Server,发起DHCPREQUEST(DHCP请求报文)请求给DHCP中继。
6)DHCP中继将此报文转发到DHCP服务器。
7)服务器提供客户端主机配置信息,通过DHCPACK(DHCP应答报文)发给DHCP中继。
8)DHCP中继此报文转发到DHCP客户端。
经过上述过程后,客户端和服务器已经成功完成了主机配置,进而可以为后续的工作提供服务。
图9示出了另一种典型的跨子网的DHCP协商流程。如图9所示,这种协商流程如下:
1)客户端本身已经有IP地址等配置,但需要从服务器获取其他主机配置,此时向DHCP中继发送一个DHCPINFORM(DHCP信息请求报文)报文,开始DHCP主机配置过程。
2)DHCP中继将此报文转发到DHCP服务器。
3)服务器向客户端发送DHCPACK(DHCP应答报文)报文。
4)DHCP中继此报文转发到DHCP客户端。
经过上述过程后,客户端和服务器已经成功完成了主机配置,进而可以为后续的工作提供服务。
随着网络的大量应用,加上目前网络技术本身固有的安全性缺陷,网络攻击行为越来越多,其中一种就是利用仿冒服务器提供仿冒服务,这样,仿冒服务器可以窃听用户所有信息,甚至可以提供非法信息破坏用户正常的网络应用。
图10示出了一个典型的PPPoE仿冒服务器的组网图。图11则示出了仿冒PPPoE协商的流程图。如图11所示,这种仿冒PPPoE协商的流程如下:
1)客户端向服务器发送一个PADI(PPPoE初始报文)报文,开始PPPoE接入的开始;
2)服务器向客户端发送PADO(PPPoE提供报文)报文;
3)客户端根据回应,发起PADR(PPPoE请求报文)请求给服务器;
4)服务器产生一个session id,通过PADS(PPPoE会话报文)发给客户端。
在上述过程中,客户端会将仿冒的PPPoE服务器当作是正常的PPPoE服务器进行连接。由于用户所有信息都要经过PPPoE服务器,因此,从理论上讲,所有用户发送的信息都可被仿冒PPPoE服务器截获,PPPoE服务器可以窃听、篡改、伪造用户的数据,也可以提供非法网络信息破坏用户正常的网络应用。
图12示出了一个典型的DHCP仿冒服务的组网图。图13示出了一种仿冒DHCP的服务流程。如图13所示,这种仿冒DHCP的服务流程如下:
1)客户端向服务器发送一个DHCPDISCOVER(DHCP发现报文)报文,开始DHCP主机配置过程;
2)服务器向客户端发送DHCPOFFER(DHCP提供报文)报文。如果网上有多台DHCP服务器,每个服务器都会回应这个报文;
3)客户端根据回应,选择一个DHCP Server,发起DHCPREQUEST(DHCP请求报文)请求给对应的服务器;
4)服务器提供客户端主机配置信息,通过DHCPACK(DHCP应答报文)发给客户端。
图14示出了另一种仿冒DHCP的服务流程。如图14所示,这种仿冒DHCP的服务流程如下:
1)客户端本身已经有IP地址等配置,但需要从服务器获取其他主机配置,此时向仿冒服务器发送一个DHCPINFORM(DHCP信息请求报文)报文,开始DHCP主机配置过程。
2)仿冒服务器向客户端发送DHCPACK(DHCP应答报文)报文。
在上述两种仿冒服务流程中,客户端将仿冒的DHCP中继或者DHCP服务器当作正常的DHCP中继或者服务器,进而从仿冒DHCP中继/服务器处获取了仿冒的主机配置信息。由于仿冒服务器可以通过配置仿冒信息,使得用户所有信息都走仿冒DHCP中继/服务器的机器,因此,从理论上讲,所有用户发送的信息都可能被截获,仿冒DHCP中继/服务器的机器可以窃听、篡改、伪造用户的数据,也可以提供非法网络信息、主机配置信息以破坏用户正常的网络应用。
目前,虽然有一些方法可以对仿冒网络服务进行控制,例如,在部分三层以上的服务中,可以通过访问控制列表对仿冒服务进行控制;在部分二层服务中,可以通过二层的隔离手段比如划分VLAN来对仿冒服务进行控制,但是,这些方法只能控制仿冒的网络范围,而无法发现并仿冒服务的问题。也就是说,现在尚没有很好的方法来统一地检测、定位、处理仿冒服务器。只有在发现出问题之后,才知道有仿冒服务器进行仿冒服务扰乱正常的网络应用。如果出现仿冒服务器窃听用户信息,除非客户或者管理员通过其他方式发现信息被窃听,否则将无法发现仿冒服务器。另外,如果出现仿冒服务器破坏正常网络应用的情况,管理员只能在接到投诉或者告警之后再进行手工查找工作。
发明内容
因此,本发明就是针对现有技术中的上述问题而做出的,其一个目的是提供一种能够及时有效地发现仿冒服务器的方法。本发明的另一个目的是提供一种能够明确地提供用于定位仿冒服务器的信息,从而有效地定位仿冒服务器。本发明还一个目的是提供一种统一的检测、定位、处理仿冒服务器的方法。
为了实现上述目的,根据本发明所述,它提供了一种用于检测及处理仿冒网络服务的方法,该方法包括以下步骤:1)检测网络仿冒服务,发现仿冒服务器;2)对检测到的仿冒服务器进行验证,以确认它是仿冒服务器;以及3)根据经确认的仿冒服务器的网络信息以定位出仿冒服务器的物理信息,进而确定仿冒服务器的归属用户。
所述用于检测网络仿冒服务的步骤1)进一步包括以下步骤:1-1)检测仿冒服务信息;1-2)将全部检测到的仿冒服务信息汇总;1-3)从所述汇总的仿冒服务信息中排出合法的服务信息;以及1-4)将剩余的仿冒服务信息汇总并通知给管理员。
在本发明的方法中,所述网络仿冒服务可以为二层网络仿冒服务。在所述网络仿冒服务为二层网络仿冒服务的情况下,所述用于检测网络仿冒服务的步骤1)进一步包括从用户侧或者网络侧对网络仿冒服务器进行检测的步骤。当从用户侧或者网络侧对网络仿冒服务器进行检测时,可以采用虚拟客户端的方式。
在本发明的一个实施例中,所述二层网络仿冒服务为PPPoE仿冒服务,在这种情况下,所述虚拟客户端为PPPoE客户端,该PPPoE客户端通过收集网络上返回的PPPoE报文信息并对其进行汇总,然后从汇总信息中排除合法的PPPoE服务器,从而找出仿冒的PPPoE服务器。
另外,在本发明的方法中,所述网络仿冒服务还可以为三层以上的网络仿冒服务。在所述网络仿冒服务为三层以上的网络仿冒服务的情况下,所述用于检测网络仿冒服务的步骤1)进一步包括从用户侧或者网络侧对网络仿冒服务器进行检测的步骤。在从用户侧或者网络侧对网络仿冒服务器进行检测时,可以采用端口扫描或者虚拟客户端的方式。
在本发明的另一个实施例中,所述三层网络仿冒服务为DHCP仿冒服务,在这种情况下,所述虚拟客户端为DHCP客户端,该DHCP客户端通过收集网络上返回的DHCP报文信息并对其进行汇总,然后从汇总信息中排除合法的DHCP服务器,从而找出仿冒的DHCP服务器。
通过利用本发明所提供的统一的检测、定位、处理仿冒服务器的方法,就可以在出现问题之前及时有效地发现仿冒服务器,并且可以获取被定位的仿冒服务器的信息,从而大大规范了仿冒服务器检测的流程,有效地遏制仿冒服务器方式的网络攻击。
附图说明
通过以下结合附图对本发明实施例做出的详细说明,本发明的上述目的、特征和优点将变得更加清楚。在以下的附图中:
图1示出了常用的局域网的组网图;
图2示出了典型的PPPoE组网图;
图3示出了PPPoE的协商过程;
图4示出了典型的同一子网内的DHCP服务组网图;
图5示出了一种同一子网内的DHCP协商过程;
图6示出了另一种同一子网内的DHCP协商流程;
图7示出了典型的跨子网的DHCP服务组网图;
图8示出了一种典型的跨子网的DHCP协商过程;
图9示出了另一种典型的跨子网的DHCP协商过程;
图10示出了一个典型的PPPoE仿冒服务器的组网图;
图11示出了仿冒PPPoE协商的流程图;
图12示出了一个典型的DHCP仿冒服务的组网图;
图13示出了一种仿冒DHCP的服务流程;
图14示出了另一种仿冒DHCP的服务流程;
图15示出了根据本发明所述用于检测及处理仿冒网络服务的方法的总体流程框图。
图16示出了根据本发明所述的检测过程的流程框图;
图17是本发明实施例中所采用的一种验证过程的流程框图;
图18是本发明实施例中所采用的一种定位过程的流程框图。
具体实施方式
图15示出了根据本发明所述用于检测及处理仿冒网络服务的方法的总体流程框图。如图15所示,根据本发明所述的方法分为三个主要过程:即:
检测过程:用于对仿冒服务进行检测,发现仿冒服务器。
验证过程:用于对仿冒服务器进行验证,认定确实是仿冒服务器,并且提供仿冒服务。而且需要对已经可能造成后果进行分析。
定位过程:根据仿冒服务器的网络信息,定位仿冒服务器的物理信息,从而确定仿冒服务器归属的仿冒用户。
另外,在本文中使用了术语“用户侧”和“网络侧”,它们是一个通称,简单来说,就是按照某一个网络设备划分,其下行一侧为用户侧,其上行一侧为网络侧(包括这个网络设备)。一般的划分原则是以用户接入的第一个网络设备(比如交换机或者路由器)为界,也可以对接入用户进行控制的第一个接入设备为界进行划分。
下面将参考附图并结合实施例对上述三个主要过程分别进行详细说明。
·检测过程
图16示出了根据本发明所述的检测过程的流程框图。如图16所示,首先需要对仿冒网络服务进行检测。具体来说,对不同的仿冒网络服务类型,可以采用不同的检测方式。
一方面,对于图1所示的PPPoE仿冒服务组网来说,可以采用以下两种方式进行仿冒服务的检测:
1.利用虚拟客户端从用户侧进行检测:
在用户侧虚拟一个PPPoE客户端(可以是商用的客户端),并使其按照标准的“PPPoE协商流程”(如图3所示)与服务器进行PPPoE协议交互。需要注意的是,PPPoE虚拟客户端主要为了检测是否有仿冒的PPPoE服务器,因此只通过使用协议流程中的部分(比如只发送PADI,收到PADO后就可以知道服务器的基本信息)就可以知道服务器是否为仿冒的,而不一定要实现完整的客户端。
2.利用虚拟客户端从网络侧进行检测:
由于PPPoE本文是二层报文,它无法穿越三层网络,因此可以在诸如BAS(宽带接入服务器)设备、提供PPPoE服务器功能的设备等与用户网络连接的网络侧设备(如第一个三层设备)上虚拟一个PPPoE客户端(可以是商用的客户端),并使其按照标准的“PPPoE协商流程”与服务器进行PPPoE协议交互。需要注意的是,PPPoE虚拟客户端主要为了检测是否有仿冒的PPPoE服务器,因此只通过使用协议流程中的部分(比如只发送PADI,收到PADO后就可以知道服务器的基本信息)就可以知道服务器是否为仿冒的,而不一定要实现完整的客户端。
另一方面,对于图3所示的DHCP仿冒服务组网来说,可以采用以下四种方式进行仿冒服务的检测:
1.利用端口扫描从用户侧进行检测:
在用户侧,针对同一子网内的用户进行端口扫描。端口扫描的过程如下:
UDP端口扫描:
这个一方法用来确定哪个UDP(用户数据报协议,RFC 768)端口在主机端开放。这一技术是以发送零字节的UDP信息包到目标机器的各个端口,如果我们收到一个ICMP(网间控制报文协议)端口无法到达的回应,那么该端口是关闭的,否则可以认为它是提供服务的。
TCP端口扫描:
这是对TCP(传输控制协议)的最基本形式的侦测。在该操作下,用户侧终端对同一子网内用户目标主机上常用的知名端口或者所有端口发起正常的TCP请求进行试探,如果该端口被对应的服务监听,则连接成功,否则代表这个端口无法到达。需要注意的是,TCP连接是一般标准的协议交互过程。如果网络上某个主机或者某个设备上的某个服务开启后,它会主动绑定一个或多个端口进行侦听,如果用户侧终端发起的TCP和对端连接了连接,也就是说对端开启了某个服务。一般的服务都有公开的知名端口,根据这些公开的知名端口信息,就可以知道网络上某个主机或者某个设备是否有服务打开了。
对于通过端口扫描来检测仿冒服务的方式来说,由于有些服务只使用TCP/UDP中的一种,有些则可能使用两种。因此,可以任选其一执行,也可以根据需要组合执行。另外,它们在逻辑上没有先后关系,因此,可以先后执行,也可以同时执行。
由于DHCP协议规定,DHCP服务器使用知名UDP端口67,因此,如果一个用户扫描到67号UDP端口,那么用户一般开启了仿冒的DHCP服务器。同样,在TCP/IP协议栈中,规定了大量的服务器使用知名端口,因此,通过端口扫描,可以方便快捷地发现仿冒服务。
同时,有些服务的端口是可以配置的,比如WWW网站,普通客户端对于这种仿冒服务(严格的讲应该是非法服务)是不会发现的,只有经过配置后的客户端才会发现,此时,只有通过端口扫描,才能够找到这种仿冒服务。
2.利用虚拟客户端从用户侧进行检测
在用户侧虚拟一个DHCP客户端(可以是商用的客户端),按照标准的“DHCP服务流程”(如图13所示)服务器进行DHCP协议交互。需要注意的是,DHCP虚拟客户端主要为了检测是否有仿冒的DHCP服务器,因此,只需使用协议流程中的部分(比如只发DISCOVER,收到OFFER后就可知道服务器的基本信息)就可以知道服务器是否为仿冒的,而不一定要实现完整的客户端。
常见的应用层服务有些使用TCP/UDP,有些不使用TCP/UDP而直接使用原始的IP报文,但包括DHCP服务在内的所有服务都可以通过利用虚拟客户端进行协议交互而得到检测。
3.利用端口扫描在网络侧进行检测
在网络侧,可以逐个针对某个网络设备连接的所有子网内的用户进行端口扫描。网络设备可以是直接与用户子网连接的接入设备,如BAS设备等,也可以是所有网络侧上的某一个设备。端口扫描的过程如下:
UDP端口扫描:
这个一方法用来确定哪个UDP(用户数据报协议,RFC 768)端口在主机端开放。这一技术是以发送零字节的UDP信息包到目标机器的各个端口,如果我们收到一个ICMP端口无法到达的回应,那么该端口是关闭的,否则可以认为它是提供服务的。
TCP端口扫描:
这是对TCP(传输控制协议)的最基本形式的侦测。在该操作下,用户侧终端对同一子网内用户目标主机上常用的知名端口或者所有端口发起正常的TCP请求进行试探,如果该端口被对应的服务监听,则连接成功,否则代表这个端口无法到达。
从网络侧扫描与从用户侧扫描的原理基本相同,故此不再赘述。
由于DHCP协议规定,DHCP服务器使用知名UDP端口67,因此,如果一个用户扫描到67号UDP端口,那么用户一般开启了仿冒的DHCP服务器。同样,在TCP/IP协议栈中,规定了大量的服务器使用知名端口,因此,通过端口扫描,可以方便快捷地发现仿冒服务。
同时,有些服务的端口是可以配置的,比如WWW网站,普通客户端对于这种仿冒服务(严格的讲应该是非法服务)是不会发现的,只有经过配置后的客户端才会发现,此时,只有通过端口扫描,才能够找到这种仿冒服务。
4.利用虚拟客户端在网络侧进行检测
在网络侧设备(例如BAS设备、提供DHCP服务器功能的设备等)上虚拟一个DHCP客户端(可以是商用的客户端)。考虑到用户都是在用户子网内进行仿冒,无法在IP网上进行仿冒,因此网络侧设备一般是用户网络直接连接的第一个三层设备上。考虑到虚拟客户端位置,也可以放在网络上用户子网外的任意一个设备,通过网络配置DHCP Relay(DHCP中继)功能到用户子网中进行检测。虚拟客户端按照标准的“DHCP仿冒服务流程”(如图13所示)与服务器进行DHCP协议交互。需要注意的是,DHCP虚拟客户端主要为了检测是否有仿冒的DHCP服务器,因此只使用协议流程中的部分(比如只发送DISCOVER,收到OFFER后就可以知道服务器的基本信息)就可以知道是服务器是否为仿冒的,而不一定要实现完整的客户端。
常见的应用层服务有些使用TCP/UDP,有些不使用TCP/UDP而直接使用原始的IP报文,但包括DHCP服务在内的所有服务都可以通过利用虚拟客户端进行协议交互而得到检测。
综上所述,本发明可以推广到所有类型的网络服务当中。在进行仿冒网络服务检测时,检测位置可以在用户侧,也可以在网络侧。对于二层服务来说,检测手段可以使用虚拟客户端方式;对于三层服务来说,检测手段可以使用端口扫描、虚拟客户端等方式。
对于上述各种检测方式来说,管理员可以利用手工或自动方式并通过各种现有的网络技术来触发它们以执行检测任务,这些用于触发检测服务的方法包括但不限于:Console(控制台)、telnet(远程登录)、SNMP(简单管理管理协议),等等。
应该注意的是,以上的介绍的多种仿冒服务检测方式,无论端口扫描方式还是虚拟终端方式,都属于现有技术。这些技术已在本领域中已经得到了广泛使用,例如,对于DHCP仿冒服务,可以参考RFC2131、RFC2132;对于PPPoE来说,可以参考RFC2516。由于这些标准中都有过程的完整描述,而且本文中的检测方式都包含在这些协议中,对本领域的普通技术人员来说,根据上述描述就可以完全实现对仿冒服务的检测。因此,本文中不再对其做进一步展开说明。
接下来,如图16所示,在利用上述方式检测出仿冒服务之后,所检测到的服务信息被汇总在一起。具体来讲,可以用例如信息安全汇总软件(或者软件模块)从虚拟客户端或专用的客户端软件中逐个通过手工或者程序接口获取检测到的服务器信息,然后以统一的格式记录、存储、检索及维护这些信息,这些信息包括但不限于服务器的网络地址(如MAC地址、IP地址等)、服务检测报文、服务所在网络中的设备地址以及服务器名称。然后,通过结合由网络管理员配置好的合法服务信息,信息安全汇总软件(或者软件模块)可以协助网络管理员判断这些服务中是否存在合法服务信息,并从检测到的服务器信息排除其中的合法服务信息,即,将上述检测到的服务器信息列表中的合法服务记录去除(物理或者逻辑删除)。之后,信息安全汇总软件(或者软件模块)将剩余的仿冒服务汇总起来,并形成一个仿冒服务器列表。最后,仿冒的服务器列表被通知给管理员以进行显示和进一步处理。所述仿冒服务器列表可以通过命令行显示界面、网管显示界面等多种方式告知管理员。
在实际应用中,仅有检测机制还不够,还需要对相应的仿冒服务进行定位和处理,对仿冒服务器进行验证,以认定其确实是仿冒服务器并且提供了仿冒服务。而且还需要对已经可能造成后果进行分析。
·验证过程
所谓的验证过程,就是使用标准的商用软件或者特制的检测功能软件来检查检测到的仿冒服务器是否工作,如果工作,则需对这个仿冒服务器造成的危害进行分析。
由于仿冒服务器的存在,破坏了原有网络结构,仿冒服务器可以窃听用户所有信息,甚至可以提供非法信息破坏用户正常的网络应用。因此,还需要认定仿冒服务器对用户进行的破坏,以及可能涉及的用户范围。举例来说,如果某个仿冒用户使用PPPoE服务来窃听数据,他在网络中接入一个PPPoE仿冒服务器,使得网络中的其他用户可能会接入到仿冒服务器上,然后通过仿冒服务器再接入合法的网络。此时,其他用户都经过仿冒服务器上网,从表面上看,所有用户都正常上网,没有任何异常情况。但实际上,所有接入仿冒服务器的用户的数据报文都被仿冒服务器窃听了,仿冒用户可以从中解析出用户的上网密码、用户的个人机密信息如信用卡账号密码,以及个人隐私信息如健康信息等等。类似地,通过使用仿冒DHCP、ARP欺骗等等,都可以达到类似的效果。
图17是本发明实施例中所采用的一种验证过程的流程框图。如图17所示,该验证过程包括以下步骤:首先,在步骤1中,使用标准客户端或者特定的客户端检测软件以作为正常用户上网进行操作。然后,在步骤2中,从客户端向仿冒服务器发起服务请求。在步骤3中,如果服务请求成功,即成功完成服务的交互过程,则转步骤5。如果服务请求失败,按照事先约定的服务请求失败最大次数,在这个范围内,转回步骤2以重新发起服务请求(步骤4)。如果多次请求失败(步骤4),则标识用户要么已经暂停仿冒服务,要么仿冒服务没有真正开启,可以间隔一段时间再尝试,多次尝试后确认服务没有开启,则转步骤10。接下来,在步骤5中,利用一个带有特殊的标记的各种协议报文或者数据报文作为信标,以与网络上其他报文区别开。例如,简单来说,可以使连续5个报文都带有一个UUID(统一用户标识,一个用于标识软件的特殊ID,可以保证重复的几率是非常小),从技术上讲,这样可以保证网络上不会出现这种报文。然后,在步骤6中,当向用户侧的同一子网、不同子网约定的设备(可以是各种PC机、服务器、网络设备等)发送信标报文之后,在用户侧同一子网、不同子网事先约定的设备上接收报文。同时,还需要跟踪报文的路由情况,可以通过报文本身按照tracert(一个通用的路由跟踪工具)进行处理,也可以使用标准的tracert工具,也可以使用其他可以跟踪路由的方法或工具。之后,在步骤7中,当向网络侧约定的设备(可以是各种PC机、服务器、网络设备)发送信标报文后,在网络侧事先约定的设备上接收报文。同时,还需要跟踪报文的路由情况,可以通过报文本身按照tracert(一个通用的路由跟踪工具)进行处理,也可以使用标准的tracert工具,也可以使用其他可以跟踪路由的方法或工具。在步骤8中,根据接收报文情况、路由情况,以及用户是否正常上网可以进行分析。典型的分析情况如下:1)网络失效:发送的报文,路由无法穿过仿冒服务器,无法从用户侧、网络侧获取对应的信标报文,则表示网络失效。2)报文截取:能够从用户侧、网络侧获取对应的信标报文,路由是从仿冒服务器穿过的,则表示所有报文均被截取了。3)报文重发攻击:从用户侧、网络侧获取对应的信标报文,但多次接收相同的报文,超过发送的报文数,而且往往受到大量的相同报文,则表示仿冒服务开启了报文重发攻击。这里,需要注意的是,这个过程中的网络危害分析只是典型的分析,实际使用时包括但不限于上述分析方法。例如,对PPPoE服务来说,可以使用标准的PPPoE拨号上网流程,作为一个普通上网用户与PPPoE仿冒服务器连接,查看使用通过PPPoE仿冒服务器提供的服务来建立网络连接,并且能够和PPPoE仿冒服务器进行数据交互。如果存在这个事实,则可验证仿冒服务器的存在。另外,实际网络中仿冒方式千变万化,各种分析方法根据需要可以组合使用,可能随着仿冒服务的变化,每次分析结果不一样。但只要为分析结果提供足够的网络报文信息,肯定就可以判断仿冒服务造成的危害以及潜在的危害。
接下来,在步骤9中,考虑到网络分析的复杂性,一般会根据需要进行多次分析,如果需要再次分析,则转到步骤2,重复以上步骤1至8。否则流程将前进至步骤10。最后,在步骤10中,验证过程结束,验证过程中的所有原始和中间报文被汇总在一起,并据此给出分析结果。然后流程转到其他处理。
·定位过程
定位过程的核心就是根据仿冒服务器的网络信息,定位仿冒服务器的物理信息,并根据物理信息确定出仿冒服务器所归属的仿冒用户。
图18是本发明实施例中所采用的一个典型定位过程的流程图。如图18所示,定位过程包括两个主要过程,即,定位仿冒服务器的物理信息以及定出仿冒服务器所归属的仿冒用户。其中,定位仿冒服务器的物理信息过程用于确定仿冒服务器的具体物理位置,而定出仿冒服务器所归属的仿冒用户的过程则用于确定出仿冒服务器的所属用户的具体信息。具体来讲,如图18所示,在定位过程中,首先在步骤1中找到仿冒服务器的网络信息,一般是MAC、VLAN信息或者IP、子网信息、以及网络侧设备端口信息。然后,在步骤2中,为了定位仿冒服务器的物理信息,根据上述网络信息可判断出仿冒服务器在某一个子网络中,并可以找到这个子网络的根设备。例如根据MAC、VLAN和网络侧设备端口信息可以断定用户连接上的某一个交换机;根据IP、子网、网络侧设备端口、路由等信息,可以断定用户连接的某个路由器、三层交换机等。接下来,在步骤3中,当确定出根设备之后,再明确用户所在的子网范围,报文子网中的MAC、VLAN或者IP等信息,以及子网中的网络设备。在步骤4中,通过根设备,按照用户所在的MAC、VLAN信息或者IP、子网信息、以及网络侧设备端口信息、路由等信息,就可以找到用户所在的子网上和根设备相连的下一个节点设备。在步骤5中,根据这个节点设备上的信息,结合我们已有的用户网络信息,就可以像根设备那样寻找到用户所在的更小范围的某个子网。在步骤6中,如果整个子网已经收敛到某一个用户接入的物理端口,例如楼道交换机连接某个家庭用户接入的端口号,则表示物理定位完毕,此时流程将转至步骤7。否则,流程将再次转回步骤2,以将当前节点移到下一个节点设备,继续从根设备开始,到用户直接接入的最终设备,做树的深度遍历。在步骤7中,在得到用户的物理信息之后,为了定出仿冒服务器所归属的仿冒用户,则需根据用户接入的第一个设备的端口信息来或者访问服务器连接的用户地理信息,比如某个家庭用户的房间号。在步骤8中,当用户开通服务时,有用户的姓名、地址以及用户地理信息等,此时可以结合这些信息以判断仿冒服务器的归属用户是谁。最后,在步骤9中,可根据需要以对信息做出后续处理,包括各种通知、警告、行政、法律处理等等,这些都不在本文的范围之内。
更具体地讲,对于诸如PPPoE的二层服务来说,通过利用在前述过程中获得的二层仿冒服务器的网络信息(例如,二层服务通常都能够提供的仿冒服务器的MAC地址),然后配合网络设备上的记录(可以通过命令行、网管等等方式获取),就可以定位出仿冒服务器是哪个子网中的哪个设备端口上连接的用户机器,一般可以定位到楼道设备(比如楼道交换机),再根据楼道设备的物理连接信息,就可以定位到房间或用户的信息。
对于诸如DHCP的三层服务来说,通过利用在前述过程中获得的三层仿冒服务器的网络信息(例如,三层以上服务通常都能够提供的仿冒服务器的IP地址),就可以定位出仿冒服务器在哪个子网中。然后通过配合网络设备上的记录(可以通过命令行、网管等等方式获取),就可以定位出仿冒服务器是哪个子网中的哪个设备端口上连接的用户机器,一般可以定位到楼道设备(比如楼道交换机),再根据楼道设备的物理连接信息,可以定位到房间、用户信息。
综上所示,可以手工或自动获取上述与仿冒服务器有关的网络信息,并对其进行手工或自动关联,从而定位出仿冒服务器的用户。可以使用网络中的各种网络信息(包括MAC地址、IP地址、用户端口、VLAN ID等等),也可以通过tracert、ping、arp等通用方式不断跟踪刷新用户网络信息。
经过对网络服务执行统一的检测、验证、定位,不仅可以在发现问题后及时发现仿冒服务,而且还能够在仿冒服务进入网络时主动、及时、有效地发现仿冒服务,从而大大促进了网络的安全性。
需要注意的是,在以上的说明中,对仿冒网络服务的处理是通过检测和验证仿冒网络服务器并定位仿冒网络服务器的归属用户来完成的。因此,为了避免概念的混淆,有必要将仿冒网络服务与仿冒网络服务器区分开。从逻辑上讲, 仿冒服务才是真正的逻辑主体,而仿冒网络服务器则是仿冒服务的物理载体。从网络应用上看,仿冒服务器提供的服务肯定是仿冒网络服务,但需要在验证和定位过程中将逻辑主体和物理载体联系起来。
虽然以上对本发明的说明是参考其具体实施例来进行的,但本领域的普通技术人员应该明白,在不背离本发明精神的情况下,可以对其做出各种修改、变换或替代。例如,虽然在上述实施例中是以PPPoE网络服务和DHCP网络服务为例对本发明进行说明的,但是,很明显,本发明的思想也可以应用到各种其它类型二层或三层网络服务当中。而这些应用都应被认为是包含在本发明的精神和范围之内。
Claims (13)
1.一种用于检测及处理仿冒网络服务的方法,包括以下步骤:
1)检测网络仿冒服务,发现仿冒服务器;
2)对检测到的仿冒服务器进行验证,以确认它是仿冒服务器;以及
3)根据经确认的仿冒服务器的网络信息以定位出仿冒服务器的物理信息,进而确定仿冒服务器的归属用户。
2.根据权利要求1所述的方法,其特征在于,所述用于检测网络仿冒服务的步骤1)进一步包括以下步骤:
1-1)检测仿冒服务信息
1-2)将全部检测到的仿冒服务信息汇总;
1-3)从所述汇总的仿冒服务信息中排出合法的服务信息;以及
1-4)将剩余的仿冒服务信息汇总并通知给管理员。
3.根据权利要求1所述的方法,其特征在于,所述用于对检测到的仿冒服务器进行验证的步骤2)进一步包括以下步骤:
2-1)使用标准客户端或者特定的客户端检测软件作为正常用户上网,以向所述检测到的仿冒服务器发起服务请求;
2-2)利用一个带有特殊标记的报文作为信标向仿冒服务器发送报文;
2-3)从用户侧接收所述带有特殊标记的报文,并记录报文的路由信息;
2-4)从网络侧接收所述带有特殊标记的报文,并记录报文的路由信息;
2-5)根据带有特殊标记的报文的接收情况以及所述路由信息,确认所述检测到的仿冒服务器是否确实为提供仿冒服务的仿冒服务器;
2-6)将所有经过确认的仿冒服务器信息汇总在一起,以供进一步处理。
4.根据权利要求3所述的方法,其特征在于还包括对所述步骤2-1)至2-5)进行多次重复操作的步骤。
5.根据权利要求4所述的方法,其特征在于,所述特殊标记为统一用户标识(UUID)。
6.根据权利要求1所述的方法,其特征在于,所述用于定位出仿冒服务器的物理信息进而确定仿冒服务器的归属用户步骤3)进一步包括以下步骤:
3-1)根据仿冒服务器的网络信息确定出仿冒服务器的物理信息;
3-2)根据所述仿冒服务器的物理信息确定出仿冒服务器的物理接入端口;以及
3-3)根据仿冒服务器的物理接入端口进一步定出仿冒服务器所归属的仿冒用户的个人信息。
7.根据权利要求6所述的方法,其特征在于,所述仿冒服务器的网络信息至少包括:MAC信息、VLAN信息或者IP信息、子网信息、以及网络侧设备端口信息。
8.根据权利要求1至7中的任何一项权利要求所述的方法,其特征在于,所述网络仿冒服务为二层网络仿冒服务或者为三层以上的网络仿冒服务。
9.根据权利要求8所述的方法,其特征在于,所述用于检测网络仿冒服务的步骤1)进一步包括从用户侧或者网络侧对网络仿冒服务器进行检测的步骤。
10.根据权利要求9所述的方法,其特征在于,用户侧或者网络侧对二层网络仿冒服务器进行检测采用的是虚拟客户端的方式。
11.根据权利要求8所述的方法,其特征在于,所述二层网络仿冒服务包括PPPoE仿冒服务。
12.根据权利要求9所述的方法,其特征在于,用户侧或者网络侧对三层网络仿冒服务器进行检测采用的是端口扫描或者虚拟客户端的方式。
13.根据权利要求8所述的方法,其特征在于,所述三层网络以上的仿冒服务包括DHCP仿冒服务。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB031372945A CN1292564C (zh) | 2003-06-04 | 2003-06-04 | 用于检测及处理仿冒网络服务的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB031372945A CN1292564C (zh) | 2003-06-04 | 2003-06-04 | 用于检测及处理仿冒网络服务的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1553648A true CN1553648A (zh) | 2004-12-08 |
CN1292564C CN1292564C (zh) | 2006-12-27 |
Family
ID=34323556
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB031372945A Expired - Fee Related CN1292564C (zh) | 2003-06-04 | 2003-06-04 | 用于检测及处理仿冒网络服务的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1292564C (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101873360A (zh) * | 2010-06-25 | 2010-10-27 | 深圳市合凯通信有限公司 | 网络地址自适应系统和方法及应用系统和方法 |
CN101330463B (zh) * | 2008-06-25 | 2011-05-04 | 杭州华三通信技术有限公司 | 异常报文接入点的定位方法和设备 |
CN101577645B (zh) * | 2009-06-12 | 2011-06-22 | 北京星网锐捷网络技术有限公司 | 检测仿冒网络设备的方法和装置 |
CN1878056B (zh) * | 2006-07-13 | 2011-07-20 | 杭州华三通信技术有限公司 | 局域网中确定是否存在仿冒的网络设备的方法 |
CN102594808A (zh) * | 2012-02-06 | 2012-07-18 | 神州数码网络(北京)有限公司 | 一种防止DHCPv6服务器欺骗的系统及方法 |
CN112153027A (zh) * | 2020-09-14 | 2020-12-29 | 杭州迪普科技股份有限公司 | 仿冒行为识别方法、装置、设备及计算机可读存储介质 |
-
2003
- 2003-06-04 CN CNB031372945A patent/CN1292564C/zh not_active Expired - Fee Related
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1878056B (zh) * | 2006-07-13 | 2011-07-20 | 杭州华三通信技术有限公司 | 局域网中确定是否存在仿冒的网络设备的方法 |
CN101330463B (zh) * | 2008-06-25 | 2011-05-04 | 杭州华三通信技术有限公司 | 异常报文接入点的定位方法和设备 |
CN101577645B (zh) * | 2009-06-12 | 2011-06-22 | 北京星网锐捷网络技术有限公司 | 检测仿冒网络设备的方法和装置 |
CN101873360A (zh) * | 2010-06-25 | 2010-10-27 | 深圳市合凯通信有限公司 | 网络地址自适应系统和方法及应用系统和方法 |
CN102594808A (zh) * | 2012-02-06 | 2012-07-18 | 神州数码网络(北京)有限公司 | 一种防止DHCPv6服务器欺骗的系统及方法 |
CN102594808B (zh) * | 2012-02-06 | 2016-12-14 | 神州数码网络(北京)有限公司 | 一种防止DHCPv6服务器欺骗的系统及方法 |
CN112153027A (zh) * | 2020-09-14 | 2020-12-29 | 杭州迪普科技股份有限公司 | 仿冒行为识别方法、装置、设备及计算机可读存储介质 |
CN112153027B (zh) * | 2020-09-14 | 2022-11-25 | 杭州迪普科技股份有限公司 | 仿冒行为识别方法、装置、设备及计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN1292564C (zh) | 2006-12-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Kiravuo et al. | A survey of Ethernet LAN security | |
Caicedo et al. | IPv6 security challenges | |
EP1779589B1 (en) | Arrangement for tracking ip address usage based on authenticated link identifier | |
US7444408B2 (en) | Network data analysis and characterization model for implementation of secure enclaves within large corporate networks | |
US7124197B2 (en) | Security apparatus and method for local area networks | |
US7765309B2 (en) | Wireless provisioning device | |
US20060064750A1 (en) | System and methods for transparent encryption | |
JP2006222948A (ja) | ネットワーク装置、無線ネットワークの使用方法及び無線ネットワーク・セキュリティ方法 | |
CN1929472A (zh) | 数据网络中管理数据传输的方法、系统、信号及介质 | |
WO1998026554A1 (en) | Method and apparatus for assignment of ip addresses | |
CN1567808A (zh) | 一种网络安全装置及其实现方法 | |
US20030126248A1 (en) | Method to automatically configure network routing device | |
CN1856163A (zh) | 一种具有会话边界控制器的通信系统及其传输信令的方法 | |
CN101459653A (zh) | 基于Snooping技术的防止DHCP报文攻击的方法 | |
CN1292564C (zh) | 用于检测及处理仿冒网络服务的方法 | |
Rietz et al. | An SDN‐Based Approach to Ward Off LAN Attacks | |
CN1767493A (zh) | 实现voip业务穿越私网的系统及方法 | |
Syed et al. | Analysis of Dynamic Host Control Protocol Implementation to Assess DoS Attacks | |
CN1567887A (zh) | 触发对用户ip地址分配的方法 | |
CN106060040B (zh) | 企业网络访问控制方法及装置 | |
CN101945053A (zh) | 一种报文的发送方法和装置 | |
CN1805377A (zh) | 网络系统 | |
JP2006099590A (ja) | アクセス制御装置、アクセス制御方法およびアクセス制御プログラム | |
JP4484190B2 (ja) | ルーター探索システム、ルーター探索方法、及びルーター探索プログラム | |
Najjar et al. | Ipv6 change threats behavior |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20061227 Termination date: 20150604 |
|
EXPY | Termination of patent right or utility model |