一种局域网络未授权拨号接入监测的方法

文档序号:6604262阅读:314来源:国知局
专利名称:一种局域网络未授权拨号接入监测的方法
技术领域
本发明涉及一种IPC分类G06F13/00,H04L9/00领域的计算机网络安全监测方法,尤其是一种局域网络未授权拨号接入监测的方法。
背景技术
随着计算机技术的飞速发展和应用,电脑网络已经渗入了社会的每个角落。现代商业公司几乎无一不建立自己的局域网络以实现办公自动化等应用系统。将局域网络与互联网连接以实现信息发布、获取、共享、交流,更是随着网络接入技术日新月异的发展而日益普及。但伴随这些便利快捷的网络访问和应用,也引发了一起安全问题。
在互联网接入技术中,拨号网络是早期最常见的一种方法。用户只需有一台配置了modem的电脑、一根电话线和ISP提供的帐号/密码,就能够接入到互联网中。拨号网络接入虽然简单灵活,但其存在安全隐患,容易引发安全问题。因为在绝大多数接入互联网的局域网中,都配置了防病毒、防火墙、入侵检测、应用代理等安全产品来保护局域网络免受来自互联网上的非法攻击。但是当在局或网中有电脑用户擅自拨号接入互联网时,就绕过了企业防火墙等安全产品保护,该电脑将成为恶意攻击者入侵企业局域网络的首选目标。一旦感染了电脑病毒、或被安装了木马程序、或被攻击者直接控制,整个局域网将完全暴露,面临极大的安全威胁,可能导致的损失将难以估计。
因此,非常有必要找到一种既能对局域网进行实时监测又能对其中拨号接入互联网的电脑进行及时有效告警的技术方法。

发明内容
本发明所要解决的问题是提供一种局域网络未授权拨号接入监测的方法。以该方法之实施步骤可以使局域网络免受来自互联网上的非法攻击,也可防止恶意攻击者以绕行的方式对局域网络进行破坏。为此,本发明所采用的技术方案是一种局域网络未授权拨号接入监测的方法,该方法包括对局域网与互联网的通讯进行旁路监测的步骤和从Sensor/Monitor/Monitor上查询内部网所有IP地址的MAC地址、获取IP-MAC列表的步骤,以及在所述局域网与所述互联网的接入网关的位置上采用主动探测的步骤,在所述局域网上设置可向局域网中的所有电脑发送拨号探测数据包的拨号探测器;在所述互联网上设置通过接收由被探测电脑对探测数据包所发送的响应数据包,再进行技术分析后判断是否存在未授权拨号接入的拨号监视器;
在所述拨号探测器上定时发送不同类型的探测数据包,在所述拨号监视器上设置定时器,在此期间根据是否接收或接收到的响应数据包分析并判断出拨号接入的存在与否。
本发明采用的是主动探测方式,能及时发现局域网中通过拨号上网的电脑。并通过对多种不同的探测数据包进行综合分析判断,保证了探测的准确性。本发明既可以单独开发成为独立的安全产品,也能与网络入侵监测系统或安全评估系统集成到一起,成为其中的一个功能模块。


图1为在典型的企业局域网中应用本发明所实现系统的网络拓扑图实例;图2为在应用了本发明所实现系统的企业局域网中存在未授权拨号电脑的网络拓扑图实例;图3为本发明工作流程图。
具体实施方案如图1和图2所示,为描述具体实施方案的方便,为各设备和电脑“假设”分配了如图所示的IP地址。在使用过程中,将探测器/监视器通过HUB/Switch与网络相连,注意要使其能旁路监听所有流经互联网接入路由器的网络通讯(共享式HUB和支持网络监听的Switch均能实现此点要求)。
本发明能对拨号电脑的监测是基于以下技术事实1.正常情况下所有服务器(SVR1...SVRn)和客户机(PC1...PCn)访问互联网(或从互联网访问)都“必须”经过互联网路由器(Router)(或防火墙),即通常所说的缺省路由Default gateway192.168.0.1网络拓扑示意如图1。
2.如果某台主机(服务器或客户机)在拨号上网,则缺省路由必然改变Default gateway61.169.169.254网络拓扑示意如图2。
通过在探测器上发送多种不同类型的探测数据包,当探测到PC3的缺省路由不再为合法的192.168.0.1,则可判断PC3正在使用其它IP地址为访问互联网的路由,即存在未授权拨号上网行为。具体地说实现主动监测的步骤是(1)在局域网安装拨号探测器。该探测器的作用是向局域网中的所有电脑发送拨号探测数据包;通常拨号探测器和监视器(见下文)被安装在互联网接入网关处的同一台旁路设备(或电脑)上,以简化技术在应用开发上的实现。
(2)在互联网接入网关处的旁路设备(或电脑)上安装拨号监视器,该监视器的作用是通过接收由被探测电脑对探测数据包所发送的响应数据包,再进行技术分析后判断是否存在未授权拨号接入。
(3)在拨号探测器上定时发送不同类型的探测数据包,拨号监视器上设置定时器,在此期间根据是否接收或接收到的响应数据包,分析并判断出拨号接入的存在与否。
而所说的探测步骤则是(4)从Sensor/Monitor/Monitor上查询内部网所有IP地址的MAC地址,获取IP-MAC列表(5)与管理员设置的IP地址使用分配清单对照(如果没有该清单,则视为所有IP地址),没有在IP-MAC列表中出现的IP地址可能为下列情况之一A该IP地址未被分配使用,B该IP地址对应主机未与内部网连接(关机或网线不通),(6)向IP-MAC列表中的每个IP地址,(7)在发送各所述数据包的同时设置各响应定时器。
3.另外,向所述IP-MAC列表中的每个IP地址发送数据包,还包括如下步骤3.1发送1~n个TCP数据包来源地址任意不同的互联网地址(如Router的外部接口IP地址等)目的地址被探测主机IP地址ISN 任意或特定值(ISNcookie)来源端口任意目的端口任意不被使用的端口(0或1或65535等)
TCP标志SYN位清零(ACK或FIN或RST位置位)SYN任意或特定值(SYNcookie)ACK任意或特写值(ACKcookie)3.2发送1~n个TCP数据包来源地址任意不同的互联网地址(如Router的外部接口IP地址等)目的地址被探测主机IP地址ISN 任意或特定值(ISNcookie)来源端口任意目的端口任意不被使用的端口(0或1或65535等)TCP标志 SYN位置位(其它位清零)SYN 任意或特定值(SYNcookie)ACK 任意或特写值(ACKcookie)3.3发送1~n个TCP数据包来源地址任意不同的互联网地址(如Router的外部接口IP地址等)目的地址被探测主机IP地址ISN 任意或特定值(ISNcookie)来源端口任意目的端口任意的常用端口(如21/23/25/53/80/110/135等)TCP标志 SYN位清零(ACK或FIN或RST位置位)SYN 任意或特定值(SYNcookie)
ACK 任意或特写值(ACKcookie)3.4发送1~n个TCP数据包来源地址任意不同的互联网地址(如Router的外部接口IP地址等)目的地址被探测主机IP地址ISN 任意或特定值(ISNcookie)来源端口任意目的端口任意的常用端口(如21/23/25/53/80/110/135等)TCP标志 SYN位置位(其它位清零)SYN 任意或特定值(SYNcookie)ACK 任意或特写值(ACKcookie)3.5发送1~n个UDP数据包来源地址任意不同的互联网地址(如Router的外部接口IP地址等)目的地址被探测主机IP地址ISN 任意或特定值(ISNcookie)来源端口任意目的端口任意不被使用的端口(0或1或65535等)3.6发送1~n个ICMP数据包来源地址任意不同的互联网地址(如Router的外部接口IP地址等)目的地址被探测主机IP地址
ISN任意或特定值(ISNcookie)ICMP类型echo request3.7发送1~n个ICMP数据包来源地址任意不同的互联网地址(如Router的外部接口IP地址等)目的地址被探测主机IP地址ISN 任意或特定值(ISNcookie)ICMP类型任意的消息类型(如timestamp/maskreq等)3.8其它数据包(XXX源路由等)。
4.再有,在发送各数据包的同时设置各响应定时器的步骤中还包括以下步骤4.1只要在某个响应定时器超时前Sensor/Monitor监测到对应的响应数据包(定义“对应的”指同时符合A ISN/SYN/ACK值满足cookie算法B来源IP地址为被探测主机)1)对于3.1,为RST包2)对于3.2,为RST包(XXX或ACK包,因目的端口可能可用)3)对于3.3,为RST包4)对于3.4,为ACK包(XXX或RST包,因目的端口可能不可用)
5)对于3.5,为ICMP错误消息(port unreachable)6)对于3.6,为ICMP响应消息(echo reply)7)对于3.7,为ICMP响应消息(注如果TCP/UDP端口在监听,则可能会响应,Sensor/Monitor此时不应该回复ICMP错误消息或RST包。即基于不对被探测机器的任何响应予以回复)则可判断该IP地址对应主机的缺省路由为合法值192.168.0.14.2如果所有响应定时器在超时时Sensor/Monitor未监测到对应的响应数据包,则该IP地址对应主机在使用非法的缺省路由(拨号接入)4.3如果Sensor/Monitor监测到部份的响应数据包,则A该IP地址对应主机安装了防火墙且设置一些过滤规则B内部网络有问题(流量大或线路不正常等导致丢包)3.根据上述结果进行提示(对4.3)或报警(对4.2)图3为本发明的工作流程图,主要工作步骤在上述实例中都已详细说明。
本发明采用的是主动探测方式,能及时发现局域网中通过拨号上网的电脑。并通过对多种不同的探测数据包进行综合分析判断,保证了探测的准确性。本发明既可以单独开发成为独立的安全产品,也能与网络入侵监测系统或安全评估系统集成到一起,成为其中的一个功能模块。
权利要求
1.一种局域网络未授权拨号接入监测的方法,包括管理员设置的IP地址的步骤,其特征是,所述方法包括对局域网与互联网的通讯进行旁路监测的步骤和从Sensor/Monitor/Monitor上查询内部网所有IP地址的MAC地址、获取IP-MAC列表的步骤,以及在所述局域网与所述互联网的接入网关的位置上采用主动探测的步骤(1)在所述局域网上设置可向局域网中的所有电脑发送拨号探测数据包的拨号探测器;(2)在所述互联网上设置通过接收由被探测电脑对探测数据包所发送的响应数据包再进行技术分析后判断是否存在未授权拨号接入的拨号监视器;(3)在所述拨号探测器上定时发送不同类型的探测数据包,在所述拨号监视器上设置定时器,在此期间根据是否接收或接收到的响应数据包分析并判断出拨号接入的存在与否。
2.根据权利要求1所述的方法,其特征是,对所述发送的探测数据包及响应数据包的技术分析还包括以下步骤(4)从所述Sensor/Monitor/Monitor上查询内部网所有IP地址的MAC地址,获取IP-MAC列表,(5)与所述管理员设置的IP地址的步骤进行分配清单使用的对照,(6)向所述IP-MAC列表中的每个IP地址发送数据包,(7)在发送各所述数据包的同时设置各响应定时器。
3.根据权利要求2所述的方法,其特征是,向所述IP-MAC列表中的每个IP地址发送数据包,还包括如下步骤3.1发送1~n个TCP数据包,来源地址任意不同的互联网地址,目的地址被探测主机IP地址,ISN 任意或特定值,来源端口任意,目的端口任意不被使用的端口,TCP标志 SYN位清零,SYN 任意或特定值,ACK 任意或特写值;3.2发送1~n个TCP数据包来源地址任意不同的互联网地址,目的地址被探测主机IP地址,ISN 任意或特定值,来源端口任意,目的端口任意不被使用的端口,TCP标志 SYN位置位,SYN. 任意或特定值,ACK 任意或特写值;3.3发送1~n个TCP数据包来源地址任意不同的互联网地址,目的地址被探测主机IP地址,ISN 任意或特定值,来源端口任意,目的端口任意的常用端口,TCP标志 SYN位清零,SYN 任意或特定值,ACK 任意或特写值;3.4发送1~n个TCP数据包来源地址任意不同的互联网地址,目的地址被探测主机IP地址,ISN 任意或特定值,来源端口任意,目的端口任意的常用端口,TCP标志 SYN位置位,SYN 任意或特定值,ACK 任意或特写值;3.5发送1~n个UDP数据包来源地址任意不同的互联网地址,目的地址被探测主机IP地址,ISN 任意或特定值,来源端口任意,目的端口任意不被使用的端口;3.6发送1~n个ICMP数据包来源地址任意不同的互联网地址,目的地址被探测主机IP地址,ISN 任意或特定值,ICMP类型echo request;3.7发送1~n个ICMP数据包来源地址任意不同的互联网地址,目的地址被探测主机IP地址,ISN 任意或特定值,ICMP类型任意的消息类型;3.8其它数据包(XXX源路由等)。
4.根据权利要求2所述的方法,其特征是,在发送各所述数据包的同时设置各响应定时器的步骤中还包括以下步骤4.1只要在某个响应定时器超时前Sensor/Monitor监测到对应的响应数据包则是1)对于所述3.1的步骤,为RST包,2)对于所述3.2的步骤,为RST包,3)对于所述3.3的步骤,为RST包,4)对于所述3.4的步骤,为ACK包,5)对于所述3.5的步骤,为ICMP错误消息,6)对于所述3.6的步骤,为ICMP响应消息,7)对于所述3.7的步骤,为ICMP响应消息;4.2如果所有响应定时器在超时时Sensor/Monitor未监测到对应的响应数据包,则该IP地址对应主机在使用非法的缺省路由,4.3如果Sensor/Monitor监测到部份的响应数据包,则4.3.1该IP地址对应主机安装了防火墙且设置一些过滤规则,4.3.2内部网络有问题。
全文摘要
本发明涉及一种局域网络未授权拨号接入监测的方法,该方法包括对局域网与互联网的通讯进行旁路监测的方法和从Sensor/Monitor/Monitor上查询内部网所有IP地址的MAC地址、获取IP-MAC列表的方法,以及在所述局域网与所述互联网的接入网关的位置上采用主动探测的步骤。本发明采用的是主动探测方式,能及时发现局域网中通过拨号上网的电脑。并通过对多种不同的探测数据包进行综合分析判断,保证了探测的准确性。本发明既可以单独开发成为独立的安全产品,也能与网络入侵监测系统或安全评估系统集成到一起,成为其中的一个功能模块。
文档编号G06F13/00GK1509003SQ02158020
公开日2004年6月30日 申请日期2002年12月20日 优先权日2002年12月20日
发明者陈海卫 申请人:中联绿盟信息技术(北京)有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1