CN105162656A - 一种基于局域网的ntp服务器检测方法 - Google Patents
一种基于局域网的ntp服务器检测方法 Download PDFInfo
- Publication number
- CN105162656A CN105162656A CN201510532117.9A CN201510532117A CN105162656A CN 105162656 A CN105162656 A CN 105162656A CN 201510532117 A CN201510532117 A CN 201510532117A CN 105162656 A CN105162656 A CN 105162656A
- Authority
- CN
- China
- Prior art keywords
- protocol
- ntp
- data
- local area
- area network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及局域网中NTP服务器的IP地址获取领域,尤其是一种基于局域网的NTP服务器检测方法<b>。</b>本发明针对现有技术存在的问题,提出一种基于局域网的NTP服务器检测方法,可以准确地获取NTP服务器IP地址信息。本法通过,构造NTP请求包;并通过广播方式发送构造后的NTP请求包给所有主机,所有主机通过数据采集模块返回数据给检测模块后,通过过滤模块过滤采集模块返回的数据最后通过协议分析模块分析,获取NTP服务器IP地址信息。
Description
技术领域
本发明涉及局域网中NTP服务器的IP地址获取领域,尤其是一种基于局域网的NTP服务器检测方法。
背景技术
目前没有明确的基于局域网的NTP服务器感知方法的相关研究,现有感知NTP服务器的可用方法是端口扫描,即:针对局域网内的所有目标主机,逐个对一段端口或指定的端口进行扫描,通过扫描结果获取某台计算机上提供的应用服务类型,从而感知局域网内的NTP服务器。端口扫描的原理是检测主机向目标主机的某一个端口提出建立连接的请求,发出请求包,如果目标主机提供此项服务,就会回复应答包;如果目标主机不提供此项服务,在接收到检测主机发送的应答包后,将其丢弃不回复应答包。因此,通过查看目标主机的应答包可感知其提供的应用服务信息。利用这个原理,如果想感知局域网内的NTP服务器,必须知道NTP服务对应的端口号,对局域网内的所有目标主机进行端口扫描,如果局域网内有其他主机的应用服务占用了NTP服务对应的端口号,检测主机则无法准确感知局域网内提供NTP服务的主机的信息。
发明内容
本发明所要解决的技术问题是:通过分析研究现有的利用端口扫描感知局域网内NTP服务器的方法,针对它存在的准确度和精确性不够好的问题,提出一种基于局域网的NTP服务器检测方法,可以准确地获取NTP服务器IP地址信息。
本发明采用的技术方案如下:
一种基于局域网的NTP服务器检测方法包括:
步骤1:检测模块依照TCP/IP协议簇,构造NTP请求包;
步骤2:检测模块通过广播方式发送构造后的NTP请求包给所有主机,所有主机通过数据采集模块返回数据给检测模块;
步骤3:过滤模块过滤采集模块返回的数据后,发送给协议分析模块进行分析,从而检测局域网内的NTP服务器,获取NTP服务器IP地址信息。
进一步的,所述步骤1具体过程包括:
步骤11:检测模块采集多个NTP服务器数据交互时的交互数据包,依照TCP/IP协议簇,对NTP交互数据包的数据内容逐层进行协议分析,明确NTP交互数据包的数据格式;
步骤12:检测模块依照TCP/IP协议簇在数据链路层对NTP请求包的数据格式填充相应的协议字段,构造NTP请求包。
进一步的,所述步骤3中过滤模块过滤采集模块返回的数据具体过程是:过滤模块是通过伯克利数据包过滤器(BPF,BerkeleyPacketFilter)设置协议类型以及五元组信息的过滤规则。
进一步的,所述3中协议分析模块分析的具体过程是:协议分析的设计思想是依照TCP/IP参考模型根据协议标识逐层识别网络协议类型,针对相应的协议格式对采集到的网络数据包进行底层协议分析。基于TCP/IP协议簇数据包的封装分用原理,协议分析模块接收到采集模块采集到的网络数据包后,针对每一个数据包进行协议分析识别操作;依照协议栈模式由底层向上层进行协议分析,同时去掉各层协议相应的报文首部和尾部信息,解析每层协议时都要去检查报文首部信息中的协议标识,以确定接收数据的上层协议,获取NTP服务器IP地址信息。。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
本发明提出的局域网NTP服务器感知方法突破了端口扫描方法获取应用服务器信息的局限性,构造并发送NTP请求包为服务器信息获取提供了更充足的数据源,通过分析NTP应答包的详细信息,最终获取更全面的NTP服务器信息。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1是本发明流程图。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
本专利相关说明:
1、广播网络(broadcastnetworks)只有一个通信信道,网络上所有主机都共享该信道。任何一台主机通过该信道发送的数据包都可以被其他所有的主机接收到。正常数据包发送,在数据包分组中有一个地址域,指明了该分组的目标接收者。各主机接收到了一个分组后,读取地址域信息,如果该地址域信息为本机,则接收并处理该分组信息;如果该分组是发送给其他主机的,则忽略该分组信息。广播***允许将一个分组发送给网络内的所有主机,通过在地址域中使用一个特殊的地址编码实现,即:MAC地址为全1,IP地址为网络号加上全1的主机号。如果待发送的网络分组带有这样的地址编码,那么该网络中的每一台主机都会接收该分组,并进行处理,这种发送模式称为广播。NTP服务器感知目的是获取局域网内NTP服务器的信息,在未知NTP服务器信息的前提下,无法准确填充目标地址信息,因此不能采用点对点的发送方式,只能采用广播的形式发送构造的NTP请求包,保证局域网内的所有主机都接收到此数据包并对其进行处理,进一步分析监测各个目标主机的响应情况,目标主机中提供NTP服务的主机会产生相应的应答包。
2、过滤模块是通过伯克利数据包过滤器(BPF,BerkeleyPacketFilter)设置协议类型以及五元组信息的过滤规则。
3、过滤模块过滤采集模块返回的数据具体过程是:过滤模块是通过伯克利数据包过滤器(BPF,BerkeleyPacketFilter)设置协议类型以及五元组信息的过滤规则,具体是针对数据包信息布尔值的操作函数,若函数返回值为True,则通过过滤被存储,反之则被丢弃。过滤规则是各个原语通过“and”、“or”或者“not”等连接词组成的字符串,原语包括标识和标识修饰词。标识修饰词包括类型、方向和协议等三种类型修饰语。类型修饰词代表标识的类型,包括host、net和port,host代表其为主机类型,net代表其为网络类型,port代表其为端口类型。方向修饰词规定了数据的传输方向,包括src、dst、srcordst以及srcanddst等四种类型传输方向,src表示源地址,即此数据包的发送端主机;dst表示目的地址,即此数据包的接收端主机;srcordst表示无方向;srcanddst表示源地址和目的地址都必须满足。协议修饰词表示网络数据包传输时基于的协议类型,主要有ip、arp、tcp、udp、icmp等,分别代表了相应种类的协议。在本专利中,为了更准确地获取NTP服务器IP地址信息,依照上述标准设计过滤规则,host设置为检测主机,port设置为NTP协议端口号,dst设置为检测主机的IP地址,协议修饰词设置为udp,以上各修饰词通过连接词“and”进行连接,构成本专利的过滤规则。
如附图所示,本专利提出的NTP服务器感知方法首先构造NTP请求包,然后广播发送给局域网内部的所有主机,采集各主机的应答数据包,分析数据包内容,最终感知局域网内的NTP服务器。
本发明包括:
(1)NTP请求包构造
在局域网内触发时间同步请求模拟NTP交互行为,利用数据采集模块采集大量的NTP交互数据包,依照TCP/IP协议簇,利用协议分析模块对NTP请求包数据内容逐层进行协议分析,明确NTP请求包的数据格式,从而实现数据链路层构造NTP请求包。首先,检测主机对网络进行初始化,打开检测主机的网络接口,为待构造的NTP请求包分配存储空间,然后依照TCP/IP协议簇针对NTP请求包的数据格式填充相应的协议字段构造合法的NTP请求包,最后将构造好的NTP请求包发送到网络中。
(2)广播网络发送
广播网络(broadcastnetworks)只有一个通信信道,网络上所有主机都共享该信道。任何一台主机通过该信道发送的数据包都可以被其他所有的主机接收到。正常数据包发送,在数据包分组中有一个地址域,指明了该分组的目标接收者。各主机接收到了一个分组后,读取地址域信息,如果该地址域信息为本机,则接收并处理该分组信息;如果该分组是发送给其他主机的,则忽略该分组信息。广播***允许将一个分组发送给网络内的所有主机,通过在地址域中使用一个特殊的地址编码实现,即:MAC地址为全1,IP地址为网络号加上全1的主机号。如果待发送的网络分组带有这样的地址编码,那么该网络中的每一台主机都会接收该分组,并进行处理,这种发送模式称为广播。NTP服务器感知目的是获取局域网内NTP服务器的信息,在未知NTP服务器信息的前提下,无法准确填充目标地址信息,因此不能采用点对点的发送方式,只能采用广播的形式发送构造的NTP请求包,保证局域网内的所有主机都接收到此数据包并对其进行处理,进一步分析监测各个目标主机的响应情况,目标主机中提供NTP服务的主机会产生相应的应答包。
(3)NTP应答包采集分析
NTP应答包采集首先需要利用数据采集模块采集整个网络的所有数据信息;然后,借助伯克利数据包过滤器(BPF,BerkeleyPacketFilter)设计过滤模块通过设置协议类型、IP地址等五元组信息的过滤规则采集所需网络数据;最后,将过滤模块处理的有效数据发送给高层次的协议分析模块进行分析,从而感知局域网内的NTP服务器,获取所需要的NTP服务器IP地址信息。
(4)、协议分析模块分析的具体过程是:协议分析的设计思想是依照TCP/IP参考模型根据协议标识逐层识别网络协议类型,针对相应的协议格式对采集到的网络数据包进行底层协议分析。基于TCP/IP协议簇数据包的封装分用原理,协议分析模块接收到采集模块采集到的网络数据包后,针对每一个数据包进行协议分析识别操作。依照协议栈模式由底层向上层进行协议分析,同时去掉各层协议相应的报文首部和尾部信息,解析每层协议时都要去检查报文首部信息中的协议标识,以确定接收数据的上层协议,便于进一步操作处理。以以太网数据帧结构为例,根据以太网数据帧结构定义,网络数据包第13个字节标识网络层协议类型,IP数据包第10个字节标识传输层协议类型,UDP数据包第3个字节标识了应用层协议端口号,通过读取标识号字段信息识别协议类型,从未针对各个协议类型进一步分析获取其协议内容。
实施例一:搭建基于NTP试验验证网络拓扑的局域网试验环境,试验环境中共设置8台活动主机终端,基于网络拓扑结构,部署2台NTP服务器,IP地址分别为192.168.1.3以及192.168.1.30。实现本专利提出基于局域网的NTP服务器感知方法,最终准确获取试验验证环境中的NTP服务器信息。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
Claims (4)
1.一种基于局域网的NTP服务器检测方法,其特征在于包括:
步骤1:检测模块依照TCP/IP协议簇,构造NTP请求包;
步骤2:检测模块通过广播方式发送构造后的NTP请求包给所有主机,数据采集模块采集所有主机回复的应答包,返回给检测模块;
步骤3:过滤模块过滤采集模块返回的数据后,发送给协议分析模块进行分析,获取NTP服务器IP地址信息。
2.根据权利要求1所述的一种基于局域网的NTP服务器检测方法,其特征在于所述步骤1具体过程包括:
步骤11:检测模块采集多个NTP服务器数据交互时的交互数据包,依照TCP/IP协议簇,对NTP交互数据包的数据内容逐层进行协议分析,明确NTP交互数据包的数据格式;
步骤12:检测模块依照TCP/IP协议簇在数据链路层对NTP请求包的数据格式填充相应的协议字段,构造NTP请求包。
3.根据权利要求1所述的一种基于局域网的NTP服务器检测方法,其特征在于所述步骤3中过滤模块过滤采集模块返回的数据具体过程是:过滤模块是通过伯克利数据包过滤器设置协议类型以及五元组信息的过滤规则,来过滤返回的数据。
4.根据权利要求3所述的一种基于局域网的NTP服务器检测方法,其特征在于所述32中协议分析模块分析的具体过程是:协议分析的设计思想是依照TCP/IP参考模型根据协议标识逐层识别网络协议类型,针对相应的协议格式对采集到的网络数据包进行底层协议分析;基于TCP/IP协议簇数据包的封装分用原理,协议分析模块接收到采集模块采集到的网络数据包后,针对每一个数据包进行协议分析识别操作;依照协议栈模式由底层向上层进行协议分析,同时去掉各层协议相应的报文首部和尾部信息,解析每层协议时都要去检查报文首部信息中的协议标识,以确定接收数据的上层协议,获取NTP服务器IP地址信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510532117.9A CN105162656B (zh) | 2015-08-27 | 2015-08-27 | 一种基于局域网的ntp服务器检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510532117.9A CN105162656B (zh) | 2015-08-27 | 2015-08-27 | 一种基于局域网的ntp服务器检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105162656A true CN105162656A (zh) | 2015-12-16 |
| CN105162656B CN105162656B (zh) | 2018-08-21 |
Family
ID=54803416
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510532117.9A Active CN105162656B (zh) | 2015-08-27 | 2015-08-27 | 一种基于局域网的ntp服务器检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105162656B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007124029A (ja) * | 2005-10-25 | 2007-05-17 | Nippon Telegr & Teleph Corp <Ntt> | 時刻同期情報または同期クロック生成供給方法および装置 |
| CN101202643A (zh) * | 2006-12-15 | 2008-06-18 | 中兴通讯股份有限公司 | 时间同步控制方法 |
| CN102171999A (zh) * | 2011-04-12 | 2011-08-31 | 华为技术有限公司 | 参数配置的方法和网元设备 |
| CN103023596A (zh) * | 2012-12-04 | 2013-04-03 | 上海斐讯数据通信技术有限公司 | 一种实现网络设备与时间服务器同步的方法 |
| CN103973645A (zh) * | 2013-01-30 | 2014-08-06 | 华为技术有限公司 | 一种数据传输方法和相关装置 |
-
2015
- 2015-08-27 CN CN201510532117.9A patent/CN105162656B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007124029A (ja) * | 2005-10-25 | 2007-05-17 | Nippon Telegr & Teleph Corp <Ntt> | 時刻同期情報または同期クロック生成供給方法および装置 |
| CN101202643A (zh) * | 2006-12-15 | 2008-06-18 | 中兴通讯股份有限公司 | 时间同步控制方法 |
| CN102171999A (zh) * | 2011-04-12 | 2011-08-31 | 华为技术有限公司 | 参数配置的方法和网元设备 |
| CN103023596A (zh) * | 2012-12-04 | 2013-04-03 | 上海斐讯数据通信技术有限公司 | 一种实现网络设备与时间服务器同步的方法 |
| CN103973645A (zh) * | 2013-01-30 | 2014-08-06 | 华为技术有限公司 | 一种数据传输方法和相关装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105162656B (zh) | 2018-08-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112866075B (zh) | 面向Overlay网络的带内网络遥测方法、***及相关装置 | |
| US8751642B2 (en) | Method and system for management of sampled traffic data | |
| CN103326900B (zh) | 一种面向虚拟网络的流量回放方法及*** | |
| CN105099828A (zh) | 一种高性能网络测试仪及其实现方法 | |
| CN103117900B (zh) | 一种可配置式工业以太网数据解析***及解析方法 | |
| CN104320304A (zh) | 一种易扩展的多方式融合的核心网用户流量应用识别方法 | |
| CN108400909A (zh) | 一种流量统计方法、装置、终端设备和存储介质 | |
| CN106034056A (zh) | 一种业务安全分析的方法和*** | |
| CN102307123A (zh) | 基于传输层流量特征的nat流量识别方法 | |
| CN102546625A (zh) | 半监督聚类集成的协议识别*** | |
| CN109474614B (zh) | 一种多协议的解析方法及*** | |
| CN109151090B (zh) | 基于互联网基础资源的ip地址关联分析方法和分析*** | |
| CN104618919B (zh) | 传感器网络传感节点标识符解析一致性测试方法 | |
| JP2009017298A (ja) | データ分析装置 | |
| US20150188879A1 (en) | Apparatus for grouping servers, a method for grouping servers and a recording medium | |
| CN102857428A (zh) | 一种基于访问控制列表的报文转发方法和设备 | |
| CN105245407A (zh) | 基于套接字的网络嗅探器及其方法 | |
| CN112752285B (zh) | 一种用于Wi-SUN网络测试的嗅探抄控设备及方法 | |
| CN106535240A (zh) | 基于云平台的移动app集中性能分析方法 | |
| CN105827474A (zh) | 网络监控方法、过滤数据包的方法及装置 | |
| CN105119827A (zh) | 一种路由器地理位置的判断方法 | |
| CN107612769B (zh) | 一种测试路由器无线传输速率的方法及*** | |
| CN103220188B (zh) | 一种http数据采集设备 | |
| CN105071991B (zh) | 多个防火墙的ip连通性的测试方法 | |
| CN105553792A (zh) | 一种家庭网关识别接入设备类型的***及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |