CN111130931B - 一种违规外联设备的检测方法及装置 - Google Patents
一种违规外联设备的检测方法及装置 Download PDFInfo
- Publication number
- CN111130931B CN111130931B CN201911301058.9A CN201911301058A CN111130931B CN 111130931 B CN111130931 B CN 111130931B CN 201911301058 A CN201911301058 A CN 201911301058A CN 111130931 B CN111130931 B CN 111130931B
- Authority
- CN
- China
- Prior art keywords
- message
- intranet
- equipment
- request message
- response message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提出了一种违规外联设备的检测方法和装置。本申请中,内网中的扫描器模拟外网服务器向内网中的内网设备发送请求报文,以触发内网设备主动向外网服务器发送响应报文。当内网设备违规外联外网时,外网服务器可以接收到该内网设备发送的响应报文,当内网设备没有外联外网时,外网服务器接收不到该内网设备发送的响应报文。所以,本申请可以通过外网服务器是否接收到内网设备发送的响应报文来确定该内网设备是否发生违规外联。
Description
技术领域
本申请涉及互联网技术领域,尤其涉及一种违规外联设备的检测方法和装置。
背景技术
在内外网隔离的网络通信***中,为了防止内网中的重要***密,内网中的内网设备一般不允许与外网连接。因此,需要及时检测内网中存在违规外联情况的内网设备。
发明内容
针对上述技术问题,本申请提供了一种违规外联设备的检测方法及装置,可以检测内网中存在违规外联情况的内网设备。
根据本申请的第一方面,提供一种违规外联设备的检测方法,该方法应用于扫描器,该扫描器位于内网中,该方法包括:
模拟外网服务器向内网中的内网设备发送用于建立连接的请求报文,以使得所述内网设备向外网服务器返回该请求报文的响应报文,以及以使得外网服务器在接收到报文时,检测该报文是否为所述内网设备的返回的该请求报文的响应报文,若是,则确定所述内网设备为违规外联设备。
根据本申请的第二方面,提供另一种违规外联设备的检测方法,该方法应用于外网服务器,该方法包括:
接收报文;
检测接收到的报文是否为内网设备返回的请求报文的响应报文;所述请求报文为扫描器模拟外网服务器向内网设备发送的用于建立连接的请求报文;
若所述报文是内网设备返回的请求报文的响应报文,则确定所述内网设备为违规外联设备。
根据本申请的第三方面,提供一种违规外联设备的检测装置,该装置应用于扫描器,该扫描器位于内网中,该装置包括:
发送单元,用于模拟外网服务器向内网中的内网设备发送用于建立连接的请求报文,以使得所述内网设备向外网服务器返回该请求报文的响应报文,以及以使得外网服务器在接收到报文时,检测该报文是否为所述内网设备的返回的该请求报文的响应报文,若是,则确定所述内网设备为违规外联设备。
根据本申请的第四方面,提供另一种违规外联设备的检测装置,该装置应用于外网服务器,该装置包括:
接收单元,用于接收报文;
检测单元,用于检测接收到的报文是否为内网设备返回的请求报文的响应报文;所述请求报文为扫描器模拟外网服务器向内网设备发送的用于建立连接的请求报文;
确定单元,用于在所述报文是内网设备返回的请求报文的响应报文时,确定所述内网设备为违规外联设备。
本申请,内网中的扫描器模拟外网服务器向内网中的内网设备发送请求报文,以触发内网设备主动向外网服务器发送响应报文。当内网设备违规外联外网时,外网服务器可以接收到该内网设备发送的响应报文,当内网设备没有外联外网时,外网服务器接收不到该内网设备发送的响应报文。所以,本申请可以通过外网服务器是否接收到内网设备发送的响应报文来确定该内网设备是否发生违规外联。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本申请一示例性实施例示出的一种应用场景示意图;
图2为本申请一示例性实施例示出的一种违规外联设备的检测方法流程图;
图3为本申请一示例性实施例示出的一种TCP协议建立连接方法的交互图;
图4为本申请一示例性实施例示出的一种违规外联设备的检测方法交互图;
图5为本申请一示例性实施例示出的一种扫描器的硬件结构图;
图6为本申请一示例性实施例示出的一种违规外联设备的检测装置框图;
图7为本申请一示例性实施例示出的一种外网服务器的硬件结构图;
图8为本申请一示例性实施例示出的另一种违规外联设备的检测装置框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
在内外网隔离的网络通信***中,为了防止内网中的重要***密,内网中的内网设备一般不允许与外网连接。
因此,网络通信***需要及时检测内网中存在违规外联情况的内网设备。
有鉴于此,本申请提出了一种违规外联设备的检测方法。本申请,内网中的扫描器模拟外网服务器向内网中的内网设备发送请求报文,以触发内网设备主动向外网服务器发送响应报文。当内网设备违规外联外网时,外网服务器可以接收到该内网设备发送的响应报文,当内网设备没有外联外网时,外网服务器接收不到该内网设备发送的响应报文。所以,本申请可以通过外网服务器是否接收到内网设备发送的响应报文来确定该内网设备是否发生违规外联。
本申请方法适用于如图1所示的网络通信***,该通信***的内网中包括待检测的内网设备(图中仅以一台内网设备为例)。为了检测违规外联的内网设备,本申请的方法还在内网中部署扫描器,以及在外网中部署外网服务器。其中,扫描器可以是服务器,也可以是PC机等,在此不进行具体地限定。
一般情况下,由于内外网隔离,内网设备无法连接外网服务器。然而,若内网设备存在违规外联情况,则内网设备会通过路由器、交换机等转发设备连接到外网服务器。
参见图2,图2是本申请一示例性实施例示出的违规外联设备的检测方法。
步骤S201:扫描器模拟外网服务器向内网中的内网设备发送用于建立连接的请求报文,以使得所述内网设备向外网服务器返回该请求报文的响应报文。
本申请中,扫描器与内网设备均位于内网中,网络互相连通。扫描器模拟外网服务器向内网设备发送用于建立连接的请求报文。内网设备在接收到该请求报文后,获取该请求报文的信息,然后返回与该请求报文对应的响应报文。
可以理解的是,若内网设备是违规外联设备,则该内网设备发送的响应报文会被外网服务器接收;若内网设备不是违规外联设备,则该内网设备发送的响应报文不会被外网服务器接收。
可选地,扫描器首先可以根据预设的配置文件获取外网服务器的IP地址和外网服务器预设的指定端口,然后构造源IP地址为该外网服务器的IP地址,源端口为外网服务器的指定端口的请求报文,并将该请求报文发送至内网设备。从而,内网设备在接收到该请求报文后,可以依据请求报文的源IP地址和源端口,向外网服务器的指定端口返回响应报文。
步骤S202:外网服务器接收报文;
步骤S203:外网服务器检测接收到的报文是否为内网设备返回的请求报文的响应报文;所述请求报文为扫描器模拟外网服务器向内网设备发送的用于建立连接的请求报文。
由于外网服务器处于较为复杂的网络环境中,必然会接收到网络中的许多报文。为了检测违规外联的内网设备,针对接收到的报文,外网服务器需要判断该报文是否是步骤S201中内网设备返回的请求报文的响应报文。
可选地,外网服务器预设了用于接收响应报文的指定端口。在接收到报文后,外网服务器至少需要做以下两方面的检测。其一,外网服务器检测接收报文的接口是否为指定端口;其二,外网服务器检测所述报文的报文类型是否为响应报文。
根据检测结果进行判断:
若接收报文的接口为指定端口且报文的报文类型为响应报文,则外网服务器确定接收到的报文是内网设备返回的请求报文的响应报文;
若接收报文的接口不为指定端口,和/或报文的报文类型不为响应报文,则外网服务器确定接收到的报文不是内网设备返回的请求报文的响应报文。
步骤S204:若所述报文是内网设备返回的请求报文的响应报文,则外网服务器确定所述内网设备为违规外联设备。
根据步骤S203,外网服务器可以从所有接收到的报文中筛选出步骤S201中内网设备返回的请求报文的响应报文。基于筛选出的响应报文,外网服务器可以确定返回该响应报文的内网设备为违规外联设备。
至此,完成图2所示的流程。
本申请,内网中的扫描器模拟外网服务器向内网中的内网设备发送请求报文,以触发内网设备主动向外网服务器发送响应报文。当内网设备违规外联外网时,外网服务器可以接收到该内网设备发送的响应报文;当内网设备没有外联外网时,外网服务器接收不到该内网设备发送的响应报文。所以,本申请可以通过外网服务器是否接收到内网设备发送的响应报文来确定该内网设备是否发生违规外联。
作为一个可选的实施例,本申请所述的方法可以基于TCP协议“三次握手”来建立连接的方式的过程来实现。
下面首先以图3为例对“TCP协议成功建立连接”的过程进行介绍。
步骤S301:客户端向服务端发送一个用于请求建立连接的SYN报文,且该报文的序号为初始化值,假设序号为j。
步骤S302:服务端接收到SYN报文后,向客户端返回表示确认的SYN ACK报文,且该报文的确认序号为SYN报文的序号加1(即j+1)。
步骤S303:客户端收到服务器的SYN ACK报文后,向服务器发送表示确认的ACK报文。
至此,客户端与服务器之间成功建立TCP连接。
可以理解的是,若步骤S302服务端拒绝客户端建立连接的请求,则服务端在接收到SYN报文后,向客户端返回表示关闭连接的RST ACK报文,且该报文的确认序号与步骤S302中成功建立连接时的SYN ACK报文的确认序号相同,也为SYN报文的序号加1(即j+1)。
下面介绍基于TCP协议“三次握手”中的前两个步骤来实现本申请的方法:
首先,扫描器确认内网中待检测的至少一台内网设备的设备标识,然后模拟外网服务器向待检测的每台内网设备发送TCP SYN报文,并且TCP SYN报文的序号被配置为待接收该SYN报文的内网设备的设备标识,假设为x。其中,内网设备的设备标识可以是内网设备的IP地址,也可以是内网设备的序列号等,在此不进行具体限定。
然后,内网设备接收到TCP SYN报文后,若接受该建立连接请求,则向外网服务器返回SYN ACK报文作为响应报文;若拒绝该建立连接请求,则向外网服务器返回RST ACK报文作为响应报文。其中,SYN ACK报文或RST ACK报文的确认序号均为SYN报文中的序号加1(即x+1)。
其次,外网服务器在接收到的所有报文中筛选出内网设备返回的响应报文,具体筛选方法可参见步骤S203,在此不再赘述。
最后,外网服务器获取接收到的响应报文的确认序号,将该确认序号(即x+1)减1,即可得到内网设备的设备标识(即x)。外网设备确定该设备标识所指示的内网设备为违规外联的内网设备。可选地,外网服务器可以将该设备标识添加在违规外联名单中。
至此,本申请完成了对内网设备的检测,被记录在违规外联名单中的设备为违规外联设备;没有被记录在违规外联名单中的设备不是违规外联设备。
本申请中,内网设备发送的响应报文为SYN ACK或RST ACK报文。由于该响应报文是TCP连接的基础报文,不管是连接成功或连接失败,内网设备都会发送响应报文,因此,与传统的内网设备向外网服务器发送ICMP报文的方式相比,本申请方法能避免报文因被防火墙拦截或被路由丢弃而导致报文丢失的问题,从而提高了检测的有效性。
下面通过图4所示的交互图,描述一个实现本申请方法的具体实施例。
如图4所示,步骤如下:
步骤S401:扫描器确定内网中待检测的内网设备,并为每台内网设备构建基于TCP协议的SYN报文,其中,所有SYN报文的源IP地址均为外网服务器的IP地址,所有SYN报文的源端口为外网服务器的指定端口,并且每个SYN报文的序号被配置为待接收该报文的内网设备的设备标识。
步骤S402:扫描器将步骤S401中构造的SYN报文发送至内网设备。
步骤S403:内网设备接收到步骤S402中的SYN报文,然后根据SYN报文的源IP地址和源端口,向外网服务器的指定端口返回SYN ACK报文。
可以理解的是,每台内网设备接收到的SYN报文的序号为内网设备本身的设备标识,且根据图3所示的TCP“三次握手”的基本原理,因而每台内网设备返回的SYN ACK报文的确认序号为该内网设备本身的设备标识值加1。
步骤S404:外网服务器检测接收到的报文是否为内网设备返回的响应报文。具体的,外网服务器检测接收所述报文的接口是否为所述指定端口,以及检测所述报文的报文类型是否为响应报文。
若接收所述报文的接口为所述指定端口且所述报文的报文类型为响应报文,则确定接收到的报文是内网设备返回的请求报文的响应报文;
若接收所述报文的接口不为所述指定端口,和/或所述报文的报文类型不为响应报文,则确定接收到的报文不是内网设备返回的请求报文的响应报文。
根据上述检测方法,外网服务器从接收到的报文中筛选出步骤S403中内网设备返回的SYN ACK报文。
步骤S405:外网服务器获取SYN ACK报文的确认序号,并将该确认序号减1,即可得到违规外联设备的设备标识,并将该设备标识添加在违规外联名单中。
至此,完成图4所示的流程。
下面介绍本申请中采用“扫描器模拟外网服务器向内网中的内网设备发送用于建立连接的请求报文”的原因:
一般情况下,若内网设备违规连接到外网中,内网设备发送的报文会经由路由器等转发设备发送至外网,而这些转发设备通常会对该内网设备发送的报文进行NAT转换。
由于NAT转换的存在,网络通信***中必须是私网设备先主动向公网设备发送报文,该报文的源IP地址为私网设备的私网IP地址。NAT设备在转发该报文前,将该报文的源IP地址修改为公网IP地址,同时NAT转换设备建立私网IP地址与公网IP地址的对应关系。公网设备在向私网设备返回报文时,NAT转换设备才能基于建立的私网IP地址与公网IP地址的对应关系进行DNAT转换(即基于该对应关系将该返回的报文的目的IP地址从公网IP地址修改为私网IP地址),并将DNAT转换后的报文发送给私网设备。因而,若公网设备主动向私网设备发送报文,由于NAT设备上没有上述对应关系,NAT设备会将该报文丢弃,因此私网设备无法接收到公网设备主动发送的报文。
基于上述原因,本申请并没有采用外网服务器主动向内网设备发送请求报文来触发内网设备返回响应报文,而是采用了扫描器模拟外网服务器向内网中的内网设备发送用于建立连接的请求报文,以触发内网设备主动向外网服务器发送响应报文。
此外,上述利用扫描器来触发内网设备主动向外网服务器发送报文的方法中,内网设备不需要适应性改动,只需要支持TCP/IP协议的基础功能即可,既不影响内网设备的性能,也能使得检测效率较高。
下面介绍本申请中采用“TCP SYN报文的序号来携带内网设备的设备标识”的原因:
外网服务器在接收到经NAT转换的响应报文后,因为该响应报文的源IP地址字段中原先记录的内网设备私网IP地址已经被转换为公网IP地址,所以外网服务器无法直接根据响应报文的源IP地址字段来确定发送该响应报文的内网设备的私网IP地址。
基于上述原因,本申请利用了TCP“三次握手”的报文,将设备标识携带在请求报文的序号中,以使内网设备将处理后的设备标识携带在响应报文的确认序号中。即使响应报文经过NAT转发,该响应报文的确认序号也不会被改变。从而外网服务器可以根据内网设备发送的响应报文中的确认序号字段,来确定违规外联设备的设备标识。
与前述违规外联设备检测方法的实施例相对应,本申请还提供了违规外联设备检测装置的实施例。
本申请违规外联设备检测装置的实施例可以应用在扫描器上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在扫描器的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图5所示,为本申请违规外联设备检测装置所在扫描器的一种硬件结构图,除了图5所示的处理器、内存、网络出接口、以及非易失性存储器之外,实施例中装置所在的扫描器通常根据该扫描器的实际功能,还可以包括其他硬件,对此不再赘述。
参见图6,图6是本申请一示例性实施例示出的一种违规外联设备的检测装置的框图。该装置可以应用在位于内网的扫描器上,该装置可包括:
发送单元601,用于模拟外网服务器向内网中的内网设备发送用于建立连接的请求报文,以使得所述内网设备向外网服务器返回该请求报文的响应报文,以及以使得外网服务器在接收到报文时,检测该报文是否为所述内网设备的返回的该请求报文的响应报文,若是,则确定所述内网设备为违规外联设备。
可选地,该发送单元包括:
构造子单元602(图中未示出),用于构造用于建立连接的请求报文,所述请求报文的源IP地址为外网服务器的IP地址,所述请求报文的源端口为外网服务器预设的指定端口;
发送子单元603(图中未示出),用于将所述请求报文发送至内网中的内网设备。
可选地,该构造子单元还用于将所述请求报文的序号配置为所述内网设备的设备标识,以使所述外网服务器在确定所述内网设备是违规外联设备之后,还获取所述内网设备返回的响应报文中的序号,基于获取到的序号,确定所述内网设备的设备标识,并且将所述内网设备的设备标识添加在违规外联名单中。
至此,完成图6所示装置的框图。
本申请违规外联设备检测装置的实施例还可以应用在外网服务器上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在外网服务器的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图7所示,为本申请违规外联设备检测装置所在外网服务器的一种硬件结构图,除了图7所示的处理器、内存、网络出接口、以及非易失性存储器之外,实施例中装置所在的外网服务器通常根据该外网服务器的实际功能,还可以包括其他硬件,对此不再赘述。
参见图8,图8是本申请一示例性实施例示出的一种违规外联设备的检测装置的框图。该装置可以应用在外网服务器上,该装置可包括:
接收单元801,用于接收报文;
检测单元802,用于检测接收到的报文是否为内网设备返回的请求报文的响应报文;所述请求报文为扫描器模拟外网服务器向内网设备发送的用于建立连接的请求报文;
确定单元803,用于在所述报文是内网设备返回的请求报文的响应报文时,确定所述内网设备为违规外联设备。
可选地,所述请求报文的源端口为所述外网服务器预设的指定端口;
该检测单元包括:
检测子单元804(图中未示出),用于检测接收所述报文的接口是否为所述指定端口,以及检测所述报文的报文类型是否为响应报文;
第一判断子单元805(图中未示出),用于在接收所述报文的接口为所述指定端口且所述报文的报文类型为响应报文时,确定接收到的报文是内网设备返回的请求报文的响应报文;
第二判断子单元806(图中未示出),用于在接收所述报文的接口不为所述指定端口,和/或所述报文的报文类型不为响应报文时,确定接收到的报文不是内网设备返回的请求报文的响应报文。
可选地,所述请求报文具体为TCP SYN报文,所述内网设备向所述外网服务器返回的响应报文为SYN ACK报文或RST ACK报文;所述请求报文的序号为所述内网设备的设备标识;
在确定所述内网设备是违规外联设备之后,所述确定单元还用于:
获取所述内网设备返回的响应报文中的序号,基于获取到的序号,确定所述内网设备的设备标识;
将所述内网设备的设备标识添加在违规外联名单中。
至此,完成图8所示装置的框图。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (12)
1.一种违规外联设备的检测方法,其特征在于,应用于扫描器,所述扫描器位于内网中,所述方法包括:
模拟外网服务器向内网中的内网设备发送用于建立连接的请求报文,其中所述请求报文的序号包含所述内网设备的设备标识,以使得所述内网设备向所述外网服务器返回与该请求报文对应的响应报文,以及以使得所述外网服务器在接收到报文时,检测该报文是否为所述内网设备的返回的与该请求报文对应的响应报文,若是,则确定所述内网设备为违规外联设备,并基于所述响应报文中的序号,确定所述内网设备的设备标识;
所述请求报文具体为TCP SYN报文,以使内网设备向外网服务器返回的响应报文为SYNACK报文或RST ACK报文。
2.根据权利要求1所述的方法,其特征在于,所述模拟外网服务器向内网中的内网设备发送用于建立连接的请求报文包括:
构造用于建立连接的请求报文,所述请求报文的源IP地址为外网服务器的IP地址,所述请求报文的源端口为外网服务器预设的指定端口;
将所述请求报文发送至内网中的内网设备。
3.根据权利要求2所述的方法,其特征在于,所述确定所述内网设备的设备标识,还包括将所述内网设备的设备标识添加在违规外联名单中。
4.一种违规外联设备的检测方法,其特征在于,应用于外网服务器,所述方法包括:
接收报文;
检测接收到的报文是否为内网设备返回的请求报文对应的响应报文;所述请求报文为扫描器模拟外网服务器向内网设备发送的用于建立连接的请求报文;
所述请求报文的序号包含所述内网设备的设备标识,以使该请求报文对应的响应报文的序号可以确定所述内网设备的设备标识信息;
若所述报文是内网设备返回的请求报文对应的响应报文,则确定所述内网设备为违规外联设备;
所述请求报文具体为TCP SYN报文,所述内网设备向所述外网服务器返回的响应报文为SYN ACK报文或RST ACK报文。
5.根据权利要求4所述的方法,其特征在于,所述请求报文的源端口为所述外网服务器预设的指定端口;
所述检测接收到的报文是否为内网设备返回的请求报文的响应报文,包括:
检测接收所述报文的接口是否为所述指定端口,以及检测所述报文的报文类型是否为响应报文;
若接收所述报文的接口为所述指定端口且所述报文的报文类型为响应报文,则确定接收到的报文是内网设备返回的请求报文的响应报文;
若接收所述报文的接口不为所述指定端口,和/或所述报文的报文类型不为响应报文,则确定接收到的报文不是内网设备返回的请求报文的响应报文。
6.根据权利要求4所述的方法,其特征在于,
在确定所述内网设备是违规外联设备之后,所述方法还包括:
获取所述内网设备返回的响应报文中的序号,基于获取到的序号,确定所述内网设备的设备标识;
将所述内网设备的设备标识添加在违规外联名单中。
7.一种违规外联设备的检测装置,其特征在于,应用于扫描器,所述扫描器位于内网中,所述装置包括:
发送单元,用于模拟外网服务器向内网中的内网设备发送用于建立连接的请求报文,其中所述请求报文的序号包含所述内网设备的设备标识,以使得所述内网设备向所述外网服务器返回与该请求报文对应的响应报文,以及以使得所述外网服务器在接收到报文时,检测该报文是否为所述内网设备的返回的与该请求报文对应的响应报文,若是,则确定所述内网设备为违规外联设备,并基于所述响应报文中的序号,确定所述内网设备的设备标识;
所述请求报文具体为TCP SYN报文,以使内网设备向外网服务器返回的响应报文为SYNACK报文或RST ACK报文。
8.根据权利要求7所述的装置,其特征在于,所述发送单元包括:
构造子单元,用于构造用于建立连接的请求报文,所述请求报文的源IP地址为外网服务器的IP地址,所述请求报文的源端口为外网服务器预设的指定端口;
发送子单元,用于将所述请求报文发送至内网中的内网设备。
9.根据权利要求8所述的装置,其特征在于,
所述构造子单元还用于:
确定所述内网设备为违规外联设备后,将所述内网设备的设备标识添加在违规外联名单中。
10.一种违规外联设备的检测装置,其特征在于,应用于外网服务器,所述装置包括:
接收单元,用于接收报文;
检测单元,用于检测接收到的报文是否为内网设备返回的请求报文对应的响应报文;所述请求报文为扫描器模拟外网服务器向内网设备发送的用于建立连接的请求报文;所述请求报文的序号包含所述内网设备的设备标识,以使该请求报文对应的响应报文的序号可以确定所述内网设备的设备标识信息;
所述请求报文具体为TCP SYN报文,所述内网设备向所述外网服务器返回的响应报文为SYN ACK报文或RST ACK报文;
确定单元,用于在所述报文是内网设备返回的请求报文的响应报文时,确定所述内网设备为违规外联设备。
11.根据权利要求10所述的装置,其特征在于,所述请求报文的源端口为所述外网服务器预设的指定端口;
所述检测单元包括:
检测子单元,用于检测接收所述报文的接口是否为所述指定端口,以及检测所述报文的报文类型是否为响应报文;
第一判断子单元,用于在接收所述报文的接口为所述指定端口且所述报文的报文类型为响应报文时,确定接收到的报文是内网设备返回的请求报文的响应报文;
第二判断子单元,用于在接收所述报文的接口不为所述指定端口,和/或所述报文的报文类型不为响应报文时,确定接收到的报文不是内网设备返回的请求报文的响应报文。
12.根据权利要求10所述的装置,其特征在于,
在确定所述内网设备是违规外联设备之后,所述确定单元还用于:
获取所述内网设备返回的响应报文中的序号,基于获取到的序号,确定所述内网设备的设备标识;
将所述内网设备的设备标识添加在违规外联名单中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911301058.9A CN111130931B (zh) | 2019-12-17 | 2019-12-17 | 一种违规外联设备的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911301058.9A CN111130931B (zh) | 2019-12-17 | 2019-12-17 | 一种违规外联设备的检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111130931A CN111130931A (zh) | 2020-05-08 |
| CN111130931B true CN111130931B (zh) | 2022-04-26 |
Family
ID=70499269
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911301058.9A Active CN111130931B (zh) | 2019-12-17 | 2019-12-17 | 一种违规外联设备的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111130931B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112073381B (zh) * | 2020-08-13 | 2021-12-17 | 中国电子科技集团公司第三十研究所 | 一种连接互联网设备接入内网检测方法 |
| CN112202749B (zh) * | 2020-09-24 | 2023-07-14 | 深信服科技股份有限公司 | 违规外连检测方法、检测设备、联网终端及存储介质 |
| CN112887264B (zh) * | 2020-12-30 | 2024-02-02 | 浙江远望信息股份有限公司 | 一种针对nat接入设备的违规外联检测方法 |
| CN112910735A (zh) * | 2021-01-30 | 2021-06-04 | 山东兆物网络技术股份有限公司 | 发现内网设备违规外联的综合检测方法及*** |
| CN114244808B (zh) * | 2021-11-17 | 2023-08-08 | 广东电网有限责任公司 | 基于非客户端模式被动检查离线非法外联方法和装置 |
| CN114244570B (zh) * | 2021-11-18 | 2023-12-22 | 广东电网有限责任公司 | 终端非法外联监测方法、装置、计算机设备和存储介质 |
| CN114785721B (zh) * | 2022-04-12 | 2023-11-10 | 中国南方电网有限责任公司 | 一种网络违规操作识别***、方法和装置 |
| CN114785584A (zh) * | 2022-04-15 | 2022-07-22 | 山东云天安全技术有限公司 | 一种设备非法外联的检测方法及*** |
| CN116938570B (zh) * | 2023-07-27 | 2024-05-28 | 北京天融信网络安全技术有限公司 | 一种检测方法、装置、存储介质及电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101136797A (zh) * | 2007-09-28 | 2008-03-05 | 深圳市利谱信息技术有限公司 | 内外网物理连通的检测、通断控制方法及应用该方法的装置 |
| CN102291441A (zh) * | 2011-08-02 | 2011-12-21 | 杭州迪普科技有限公司 | 一种防范SYN Flood攻击的方法及安全代理装置 |
| CN109413097A (zh) * | 2018-11-30 | 2019-03-01 | 深信服科技股份有限公司 | 一种非法外联检测方法、装置、设备及存储介质 |
| CN110266713A (zh) * | 2019-06-28 | 2019-09-20 | 深圳市网心科技有限公司 | 内外网通信方法、装置、***及代理服务器和存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8819060B2 (en) * | 2010-11-19 | 2014-08-26 | Salesforce.Com, Inc. | Virtual objects in an on-demand database environment |
| CN102790811B (zh) * | 2012-07-25 | 2015-10-14 | 浙江宇视科技有限公司 | 一种在监控网络中穿越nat设备的方法和装置 |
-
2019
- 2019-12-17 CN CN201911301058.9A patent/CN111130931B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101136797A (zh) * | 2007-09-28 | 2008-03-05 | 深圳市利谱信息技术有限公司 | 内外网物理连通的检测、通断控制方法及应用该方法的装置 |
| CN102291441A (zh) * | 2011-08-02 | 2011-12-21 | 杭州迪普科技有限公司 | 一种防范SYN Flood攻击的方法及安全代理装置 |
| CN109413097A (zh) * | 2018-11-30 | 2019-03-01 | 深信服科技股份有限公司 | 一种非法外联检测方法、装置、设备及存储介质 |
| CN110266713A (zh) * | 2019-06-28 | 2019-09-20 | 深圳市网心科技有限公司 | 内外网通信方法、装置、***及代理服务器和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111130931A (zh) | 2020-05-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111130931B (zh) | 一种违规外联设备的检测方法及装置 | |
| Provos | A Virtual Honeypot Framework. | |
| CN103401726B (zh) | 网络路径探测方法及装置、*** | |
| EP2140656B1 (en) | Method and apparatus for detecting port scans with fake source address | |
| US11349862B2 (en) | Systems and methods for testing known bad destinations in a production network | |
| CN111756712B (zh) | 一种基于虚拟网络设备伪造ip地址防攻击的方法 | |
| TW200951757A (en) | Malware detection system and method | |
| CN105743878A (zh) | 使用蜜罐的动态服务处理 | |
| CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
| CN113179280B (zh) | 基于恶意代码外联行为的欺骗防御方法及装置、电子设备 | |
| CN104363243A (zh) | 一种防网关欺骗的方法及装置 | |
| US7599365B1 (en) | System and method for detecting a network packet handling device | |
| CN101494536B (zh) | 一种防arp攻击的方法、装置和*** | |
| CN110995763B (zh) | 一种数据处理方法、装置、电子设备和计算机存储介质 | |
| Esnaashari et al. | Determining home users' vulnerability to Universal Plug and Play (UPnP) attacks | |
| CN110351159B (zh) | 一种跨内网的网络性能测试方法及装置 | |
| CN114500118B (zh) | 卫星网络拓扑的隐藏方法及装置 | |
| Popereshnyak et al. | Intrusion detection method based on the sensory traps system | |
| CN112738032B (zh) | 一种用于防ip欺骗的通讯*** | |
| TWI813214B (zh) | IPv6資安檢測系統、方法及電腦可讀媒介 | |
| CN114172734B (zh) | 一种用于复杂网络通信的数据处理方法、装置及计算机存储介质 | |
| CN106453221A (zh) | 报文检测的方法及设备 | |
| Vanderavero et al. | Towards a more stateful and accurate HoneyTank | |
| Bartocho | IP addressing, transition and security in 5G networks | |
| RU2274910C2 (ru) | Способ обеспечения конфиденциальности информации |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |