CN101521578B - 一种封闭网络内检测计算机非法外联的方法 - Google Patents
一种封闭网络内检测计算机非法外联的方法 Download PDFInfo
- Publication number
- CN101521578B CN101521578B CN2009100816061A CN200910081606A CN101521578B CN 101521578 B CN101521578 B CN 101521578B CN 2009100816061 A CN2009100816061 A CN 2009100816061A CN 200910081606 A CN200910081606 A CN 200910081606A CN 101521578 B CN101521578 B CN 101521578B
- Authority
- CN
- China
- Prior art keywords
- network
- interface card
- computer
- network interface
- external connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种封闭网络内检测计算机非法外联的方法,包括:在所述网络内的任意一台计算机上设置内网网卡和外网网卡作为监测机,并分别设置相应的内网地址和非内网地址,在所述外网网卡连接的路由器端口设置与所述非内网地址相同网段的端口地址;所述监测机通过所述内网网卡和外网网卡向网络内发送探测报文,并接收相应的响应报文,如果网络内存在没有向所述外网网卡发送响应报文的计算机,则将判断出该计算机为非法外联主机。本发明的方法可有效检测出网络内的非法外联的计算机,且方法简单有效,便于实施操作。
Description
技术领域
本发明涉及计算机技术领域,特别是指一种封闭网络内检测计算机非法外联的方法。
背景技术
在企业,军队,银行等内部网络和外部网络要求严密隔离的环境中,内部网络的计算机可以通过调制解调器,双网卡等网络设备绕过网络边界安全防护措施(如网络出口处的防火墙)非法接入外部网络,对内网的信息安全构成了极大威胁,极易造成数据失密,病毒传染等严重后果。
传统的检测内部网络非法外联的方法大致分为两类。第一类是在内网所有计算机上安装检测软件,及时发现并上将非法外联计算机信息上告到非法外联监控服务器,这种方法要求内部网络计算机必须安装检测软件,对于新进入网络而未装检测软件的计算机并不能起到检测作用。第二类是采用在内网安放扫描计算机(探测端),在外部公网安放检测机(监测器),如图1所示,扫描机伪造公网上检测机的IP向各个内网计算机发送伪造源IP的探测ICMP报文,若内网计算机能和外部网络互联,就会通过外联路由的网卡向公网发送响应报文,此时在公网上的检测机就能收到响应报文,从而检测到内部网络有计算机非法外联,并记录路由信息,此方法实施时,会存在如下缺点:非法外联主机响应内网探测报文,其向公网发送的响应报文源IP地址是内网地址,而内网IP一般规划为私网地址。由于目前公网的接入层做了源地址过滤,如果IP报文的源地址为192.168.x.x、10.x.x.x等内网地址时,路由器会将该IP报文丢弃,故该报文无法在公网上送到公网上的检测机,从而检测失败,故此方法只能在内网IP设置为非内网IP时候,才有可能起作用。另外,若非法外联主机所连外部网络不是公网(如另外一个企业的内部网络),则此方法不能检测到该主机非法外联。
发明内容
有鉴于此,本发明在于提供一种封闭网络内检测计算机非法外联的方法,以解决由于目前公网的接入层做了源地址过滤,如果IP报文的源地址为内网地址时,路由器会将该IP报文丢弃,故该报文无法在公网上送到公网上的检测机,从而检测失败的问题。
为解决上述问题,本发明提供一种封闭网络内检测计算机非法外联的方法,包括:在所述网络内的任意一台计算机上设置内网网卡和外网网卡作为监测机,外网网卡和内部路由器的以太网口相连,并分别设置相应的不同网段的内网地址和非内网地址,在所述外网网卡连接的路由器端口设置与所述非内网地址相同网段的端口地址;
所述监测机通过所述内网网卡和外网网卡向网络内发送探测报文,并接收相应的响应报文,如果网络内存在没有向所述外网网卡发送响应报文的计算机,则将判断出该计算机为非法外联主机;
所述探测报文为ICMP ECHO报文或TCP/UDP扫描报文。
优选的,还包括:如果监测机同时收到网络内的计算机向所述内网网卡和外网网卡发送的响应报文,则判断出该计算机没有非法外联。
优选的,还包括:如果监测机没有收到网络内的计算机向所述内网网卡和外网网卡发送的响应报文,则判断出该计算机关机或该计算机对应的IP地址不存在网络内。
本发明的方法可有效检测出网络内的非法外联的计算机,即使该计算机刚刚进入网络,也可以检测出是否外联,解决由于目前公网的接入层做了源地址过滤,也可检测出是否外联,不需在内部网络各个主机上安装任何软件;不需要伪造IP报文;不需要往公网中发送数据包,不需要在公网上放置任何设备,不需要与公网中的***交互,因此不用担心公网中的路由策略对检测准确率的影响。另外即使主机外联网络非公网,也可以检测到非法外联。且方法简单有效,便于实施操作。
附图说明
图1为现有的非法外联检测的示意图;
图2为实施本发明的示意图;
图3为正常主机响应IP探测报文的示意图;
图4为非法外联主机响应IP探测报文的示意图。
具体实施方式
为清楚说明本发明的技术方案,下面给出优选的实施例并结合附图详细说明。
由于内部网络一般是以太网,网络结构为一台交换机下连接多台主机,各个交换机上行和上层内部路由器(或3层交换机)相连。本发明采用在内网路由器(或3层交换机)上增加伪路由,使得内网网络各主机接收到源IP非内部网络IP的报文,引导非法外联主机选择到外网的路由来进行响应,从而监测机无法收到非法外联的响应报文,而检测到该主机为非法外联主机。
本发明通过以下步骤实现:
步骤1:在内网一台计算机上安装两个网卡(网卡1和网卡2),如图2所示,作为监测机,网卡1的IP设置为内网IP,确保可以和内网各个主机通信,网卡2配置为任意非内部网络IP,网卡2和内部路由器(或3层交换机)的以太网口相连。
步骤2:在内部路由器上(或3层交换机)进行设置,配置伪路由:把与网卡2所连接的路由器以太网口配置为网卡2所在网段的IP地址(该IP地址为非内网地址),使其路由畅通,使网卡2可以通过此路由器与内部网络各个主机通信。这时,该路由器将在网络中产生伪路由信息。
步骤3:监测机通过网卡1和网卡2同时向内网各个主机发送有 交互的IP探测报文(如ICMP ECHO报文,TCP/UDP扫描报文等),网卡1发送的探测报文源IP为网卡1的IP,网卡2发送的探测报文源IP为网卡2的IP。
步骤4:监测机接受各个主机的响应报文,分别分析网卡1和网卡2得到的各主机响应报文,分析主机是否非法外联,如下表:
| 网卡1是否收 到响应报文 | 网卡2是否收到 响应报文 | |
| 是 | 是 | 主机无非法外联 |
| 是 | 否 | 主机正在非法外联 |
| 否 | 是 | 内部网络故障 |
| 否 | 否 | 主机关机或不存在 |
本发明的工作过程为:
首先,监测机同时通过网卡1和网卡2发送有交互的IP探测报文,使得内部网络各主机都收到网卡1和网卡2发送的探测报文。为描述方便,我们将网卡1的IP地址称为IP1,网卡2的IP地址称为IP2;网卡1发出的探测报文成文报文1,网卡2发出的探测报文称为报文2;被测主机对报文1的响应报文称为响应报文1,对报文2的响应报文称为响应报文2。
则被测主机收到报文1后,响应报文1的目的IP地址为IP1,由于IP1是内网合法地址,会通过正常的路由发送到网卡1上,这时,监测机可以收到被测主机对报文1的响应报文。
当被测主机收到报文2时,响应报文2的目的IP地址为IP2。这时,如果被测主机没有进行非法外联,由于网络中存在IP2网段的伪路由,所以响应报文2可以通过内网内的路由被发送到网卡2上,这时监测机可以收到报文2的响应报文。如果被测主机进行了非法外联,则主机上必然存在了另一块连到公网网上的网卡,由于IP2为公网地 址,则响应报文2会通过这块网卡(即非法外联到公网上的网卡)被发送到公网上去,这时监测机将无法收到报文2的响应报文。
因此,我们可以通过分析监测是否收到报文1和报文2的响应报文来分析被测主机是否进行了非法外联。
本发明的方法可有效检测出网络内的非法外联的计算机,即使该计算机刚刚进入网络,也可以检测出是否外联,解决由于目前公网的接入层做了源地址过滤,也可检测出是否外联,不需在内部网络各个主机上安装任何软件;不需要伪造IP报文;不需要往公网中发送数据包,不需要在公网上放置任何设备,不需要与公网中的***交互,因此不用担心公网中的路由策略对检测准确率的影响。另外即使主机外联网络非公网,也可以检测到非法外联。且方法简单有效,便于实施操作。
对于本发明各个实施例中所阐述的方法,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (3)
1.一种封闭网络内检测计算机非法外联的方法,其特征在于,包括:在所述网络内的任意一台计算机上设置内网网卡和外网网卡作为监测机,外网网卡和内部路由器的以太网口相连,并分别设置相应的内网地址和非内网地址,在所述外网网卡连接的路由器端口设置与所述非内网地址相同网段的端口地址;
所述监测机通过所述内网网卡和外网网卡向网络内发送探测报文,并接收相应的响应报文,如果网络内存在没有向所述外网网卡发送响应报文的计算机,则将判断出该计算机为非法外联主机;
所述探测报文为ICMP ECHO报文或TCP/UDP扫描报文。
2.根据权利要求1所述的方法,其特征在于,还包括:如果监测机同时收到网络内的计算机向所述内网网卡和外网网卡发送的响应报文,则判断出该计算机没有非法外联。
3.根据权利要求1所述的方法,其特征在于,还包括:如果监测机没有收到网络内的计算机向所述内网网卡和外网网卡发送的响应报文,则判断出该计算机关机或该计算机对应的IP地址不存在网络内。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100816061A CN101521578B (zh) | 2009-04-03 | 2009-04-03 | 一种封闭网络内检测计算机非法外联的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100816061A CN101521578B (zh) | 2009-04-03 | 2009-04-03 | 一种封闭网络内检测计算机非法外联的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101521578A CN101521578A (zh) | 2009-09-02 |
| CN101521578B true CN101521578B (zh) | 2011-09-07 |
Family
ID=41081967
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100816061A Expired - Fee Related CN101521578B (zh) | 2009-04-03 | 2009-04-03 | 一种封闭网络内检测计算机非法外联的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101521578B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102129534A (zh) * | 2010-10-22 | 2011-07-20 | 新兴铸管股份有限公司 | 多网络计算机文件保密和病毒防护方法 |
| CN105577668A (zh) * | 2015-12-25 | 2016-05-11 | 北京奇虎科技有限公司 | 一种网络连接控制方法和装置 |
| CN107317729A (zh) * | 2017-07-11 | 2017-11-03 | 浙江远望信息股份有限公司 | 一种基于icmp协议的多种网络互联的主动探测方法 |
| CN109450921B (zh) * | 2018-11-29 | 2021-08-10 | 北京北信源信息安全技术有限公司 | 网络状态监控方法、装置、存储介质及服务器 |
| CN110191102B (zh) * | 2019-05-09 | 2021-12-21 | 黄志英 | 一种非法外联综合监控***及其方法 |
| CN112104590B (zh) * | 2019-06-18 | 2023-03-24 | 浙江宇视科技有限公司 | 一种检测私网内网络设备私接公网的方法及*** |
| CN110768999B (zh) * | 2019-10-31 | 2022-01-25 | 杭州迪普科技股份有限公司 | 一种设备非法外联的检测方法及装置 |
| CN111130930B (zh) * | 2019-12-16 | 2022-11-01 | 杭州迪普科技股份有限公司 | 双网卡检测方法和装置 |
| CN111385376B (zh) * | 2020-02-24 | 2022-12-23 | 杭州迪普科技股份有限公司 | 一种终端的非法外联监测方法、装置、***及设备 |
| CN112073381B (zh) * | 2020-08-13 | 2021-12-17 | 中国电子科技集团公司第三十研究所 | 一种连接互联网设备接入内网检测方法 |
| CN112202749B (zh) * | 2020-09-24 | 2023-07-14 | 深信服科技股份有限公司 | 违规外连检测方法、检测设备、联网终端及存储介质 |
| CN112565005B (zh) * | 2020-11-26 | 2022-05-13 | 北京北信源软件股份有限公司 | 网络串线检测方法及装置、设备及介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN2337611Y (zh) * | 1998-07-07 | 1999-09-08 | 深圳市宏网实业有限公司 | 可同时连接内网和外网的安全网络计算机 |
| CN1447240A (zh) * | 2003-01-24 | 2003-10-08 | 上海金诺网络安全技术发展股份有限公司 | 利用一台内联网计算机实现封闭网络连接状态监测方法 |
| CN1509006A (zh) * | 2002-12-13 | 2004-06-30 | 联想(北京)有限公司 | 防火墙与入侵检测***联动的方法 |
-
2009
- 2009-04-03 CN CN2009100816061A patent/CN101521578B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN2337611Y (zh) * | 1998-07-07 | 1999-09-08 | 深圳市宏网实业有限公司 | 可同时连接内网和外网的安全网络计算机 |
| CN1509006A (zh) * | 2002-12-13 | 2004-06-30 | 联想(北京)有限公司 | 防火墙与入侵检测***联动的方法 |
| CN1447240A (zh) * | 2003-01-24 | 2003-10-08 | 上海金诺网络安全技术发展股份有限公司 | 利用一台内联网计算机实现封闭网络连接状态监测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101521578A (zh) | 2009-09-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101521578B (zh) | 一种封闭网络内检测计算机非法外联的方法 | |
| CN105227383B (zh) | 一种网络拓扑排查的装置 | |
| Fovino et al. | An experimental platform for assessing SCADA vulnerabilities and countermeasures in power plants | |
| CN103607399B (zh) | 基于暗网的专用ip网络安全监测***及方法 | |
| CN105450442B (zh) | 一种网络拓扑排查方法及其*** | |
| KR100426317B1 (ko) | 패킷 워터마크 삽입 기법을 이용한 실시간 공격 연결역추적 시스템 및 그 구현 방법 | |
| KR101369727B1 (ko) | 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법 | |
| WO2015129934A1 (ko) | 명령제어채널 탐지장치 및 방법 | |
| CN105515180A (zh) | 一种智能变电站通信网络动态监控***及其监控方法 | |
| CN101136797B (zh) | 内外网物理连通的检测、通断控制方法 | |
| CN103746885A (zh) | 一种面向下一代防火墙的测试***和测试方法 | |
| CN107483484A (zh) | 一种攻击防护演练方法和装置 | |
| CN105227559A (zh) | 一种积极的自动检测http攻击的信息安全管理框架 | |
| CN1988439A (zh) | 实现网络安全的装置及方法 | |
| CN101355459A (zh) | 一种基于可信协议的网络监控方法 | |
| CN107122685A (zh) | 一种大数据安全存储方法和设备 | |
| CN105554022A (zh) | 一种软件的自动化测试方法 | |
| CN104539483A (zh) | 网络测试*** | |
| CN103634166B (zh) | 一种设备存活检测方法及装置 | |
| CN108040039A (zh) | 一种识别攻击源信息的方法、装置、设备及*** | |
| CN104204973B (zh) | 工业控制***的动态配置 | |
| CN112565300A (zh) | 基于行业云黑客攻击识别与封堵方法、***、装置及介质 | |
| KR101380015B1 (ko) | 분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치 | |
| CN113965355B (zh) | 一种基于soc的非法ip省内网络封堵方法及装置 | |
| CN102917360A (zh) | 一种Zigbee协议漏洞的检测装置及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110907 Termination date: 20210403 |