CN112738032A - 一种用于防ip欺骗的通讯*** - Google Patents
一种用于防ip欺骗的通讯*** Download PDFInfo
- Publication number
- CN112738032A CN112738032A CN202011490837.0A CN202011490837A CN112738032A CN 112738032 A CN112738032 A CN 112738032A CN 202011490837 A CN202011490837 A CN 202011490837A CN 112738032 A CN112738032 A CN 112738032A
- Authority
- CN
- China
- Prior art keywords
- data
- address
- service end
- client
- communication system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种用于防IP欺骗的通讯***,包括:第一服务端,具有一目的IP地址并装载有一防IP欺骗的安全产品;参数配置模块,配置有一伪装IP地址和目的IP地址;数据筛选模块,由预先获取的数据样本文件中筛选出至少一数据报文并解封得到数据包;队列生成模块,将各数据包依次加入一待发送队列;协议栈,根据伪装IP地址、目的IP地址和一发送序号与第一服务端建立连接后,根据第一服务端的状态反馈信息依次选取对应数据量的数据包发送至第一服务端;实时记录建立连接直至断开连接过程中的通信日志作为模拟IP欺骗日志。通过模拟IP欺骗过程并记录模拟IP欺骗日志,能够为后续防IP欺骗的安全产品进行产品安全评价提供直观有效的参考依据。
Description
技术领域
本发明涉及软件产品测试技术领域,尤其涉及一种用于防IP欺骗的通讯***。
背景技术
TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/网际协议)是指能够在多个不同网络间实现信息传输的协议簇,TCP/IP协议早期是为了方便的实现网络的连接,但其本身存在一些不安全的地方,从而使一些别有用心的人可以对TCP/IP 网络进行攻击,IP欺骗就是其中的一种。IP欺骗是适用于TCP/IP环境的一种复杂的技术攻击,简单来说就是一台主机设备冒充另外一台主机的IP地址,与其它设备通信。目前,在Internet领域中,它成为黑客攻击时采用的一种重要手段,因此有必要对其采取一定的防范措施。现有技术中,很多安全产品均声称其具有防IP欺骗的功能,但缺乏相应的检测验证手段,确定其是否能够真正实现防IP欺骗。
发明内容
针对现有技术中存在的问题,本发明提供一种用于防IP欺骗的通讯***,包括:
第一服务端,与至少一第一客户端建立TCP通信,所述第一服务端具有一目的IP地址,所述第一服务端装载有一防IP欺骗的安全产品;
参数配置模块,所述参数配置模块中预先配置有一伪装IP地址和所述目的IP地址,所述伪装IP地址区别于所述第一客户端的IP 地址;
数据筛选模块,用于由预先获取的一第二客户端与一第二服务端之间数据通信形成的数据样本文件中,筛选出由所述第二客户端发出的至少一数据报文,并由所述数据报文中解封得到所述数据报文中封装的数据包;
队列生成模块,连接所述数据筛选模块,用于将解封得到的各所述数据包按照原有封装顺序依次加入一待发送队列;
协议栈,分别连接所述参数配置模块和所述队列生成模块,所述协议栈包括:
建立单元,用于根据所述伪装IP地址、所述目的IP地址和模拟得到的一发送序号与所述第一服务端建立TCP连接;
发送单元,连接所述建立单元,用于在建立连接后,根据所述第一服务端的状态反馈信息由所述待发送队列中依次选取对应数据量的所述数据包进行封装并发送至所述第一服务端,直至与所述第一服务端断开连接;
记录单元,分别连接所述建立单元和所述发送单元,用于实时记录从与所述第一服务端建立连接直至断开连接过程中的通信日志作为模拟IP欺骗日志,以供后续对所述防IP欺骗的安全产品进行产品安全评价使用。
优选的,还包括一数据获取模块,连接所述数据筛选模块,用于通过抓包获取所述第二客户端与所述第二服务端之间数据通信过程中生成的数据文件作为所述数据样本文件。
优选的,所述数据筛选模块包括:
数据分析单元,用于由所述数据样本文件中分析得到至少一个完整的TCP流;
报文筛选单元,连接所述数据分析单元,用于针对每个所述完整的TCP流,由所述完整的TCP流包含的所有所述数据报文中,筛选出以所述第二客户端的IP地址作为源IP地址的所述数据报文;
数据解封单元,连接所述报文筛选单元,用于对筛选出的所述数据报文进行解封得到所述数据报文中封装的所述数据包。
优选的,所述协议栈还包括一模拟单元,连接所述建立单元,用于模拟得到所述发送序号,并在所述协议栈每次与所述第一服务端建立TCP连接时对所述发送序号进行更新。
优选的,所述协议栈通过一有限状态机的状态转换实现与所述第一服务端进行TCP通信;
所述有限状态机包括起始状态、主动打开状态、数据传送状态、主动关闭状态和被动关闭状态。
优选的,所述协议栈与所述第一服务端通过三次握手建立TCP连接,所述协议栈在第一次握手后由所述起始状态转换为所述主动打开状态,所述协议栈在第三次握手后由所述主动打开状态转换为所述数据传送状态。
优选的,所述协议栈还包括一监听单元,连接所述发送单元,用于监听所述第一服务端发送的所述第一断开连接请求以通知所述发送单元停止发送所述数据包,且所述协议栈由所述数据传送状态转换为被动关闭状态。
优选的,所述协议栈还包括一断开单元,连接所述发送单元,用于在所述待发送队列中的所有所述数据包发送完成后向所述第一服务端发送所述第二断开连接请求,以与所述第一服务端断开连接,且所述协议栈由所述数据传送状态转换为主动关闭状态。
优选的,所述第二客户端与所述第二服务端之间正常通信生成的数据文件对应的数据服务类型与所述数据样本文件对应的数据服务类型相同。
本申请还提供一种模拟IP欺骗的安全产品测试方法,应用上述的用于防IP欺骗的通讯***进行安全产品测试,预先设置一第一服务端,与至少一第一客户端建立TCP通信,所述第一服务端具有一目的IP地址,所述第一服务端装载有一防IP欺骗的安全产品;
预先配置一伪装IP地址和所述目的IP地址,所述伪装IP地址区别于所述第一客户端的IP地址;
则所述安全产品测试方法包括:
步骤S1,所述通讯***由预先获取的一第二客户端与一第二服务端之间数据通信形成的数据样本文件中,筛选出由所述第二客户端发出的至少一数据报文,并由所述数据报文中解封得到所述数据报文中封装的数据包;
步骤S2,所述通讯***将解封得到的各所述数据包按照原有封装顺序依次加入一待发送队列;
步骤S3,所述通讯***根据所述伪装IP地址、所述目的IP地址和模拟得到的一发送序号与所述第一服务端建立TCP连接;
步骤S4,所述通讯***根据所述第一服务端的状态反馈信息由所述待发送队列中依次选取对应数据量的所述数据包进行封装并发送至所述第一服务端,直至与所述第一服务端断开连接;
步骤S5,所述通讯***实时记录从与所述第一服务端建立连接直至断开连接过程中的通信日志作为模拟IP欺骗日志,以供后续对所述防IP欺骗的安全产品进行产品安全评价使用。
上述技术方案具有如下优点或有益效果:
1)通过模拟IP欺骗过程,并记录整个过程中的通信日志作为模拟IP欺骗日志,能够为后续防IP欺骗的安全产品进行产品安全评价提供直观有效的参考依据,且***实现过程简单,测试过程可以伪装成任意IP地址进行IP欺骗,测试过程不影响正常数据的传输,易于推广使用;
2)通过将协议栈对应的有限状态机的状态简化至五种,舍弃了连接断开时的第一服务端与协议栈之间进行多次确认的过程,有效缩短了断开连接过程中的等待时间,提升测试效率且简化了开发过程。
附图说明
图1为本发明的较佳的实施例中,一种用于防IP欺骗的通讯***的结构示意图;
图2为本发明的较佳的实施例中,一种模拟IP欺骗的安全产品测试方法的流程示意图。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。本发明并不限定于该实施方式,只要符合本发明的主旨,则其他实施方式也可以属于本发明的范畴。
本发明的较佳的实施例中,基于现有技术中存在的上述问题,现提供一种用于防IP欺骗的通讯***,如图1所示,包括:
第一服务端1,与至少一第一客户端2建立TCP通信,第一服务端1具有一目的IP地址,第一服务端1装载有一防IP欺骗的安全产品;
参数配置模块3,参数配置模块3中预先配置有一伪装IP地址和目的IP地址,伪装IP地址区别于第一客户端2的IP地址;
数据筛选模块4,用于由预先获取的一第二客户端与一第二服务端之间数据通信形成的数据样本文件中,筛选出由第二客户端发出的至少一数据报文,并由数据报文中解封得到数据报文中封装的数据包;
队列生成模块5,连接数据筛选模块4,用于将解封得到的各数据包按照原有封装顺序依次加入一待发送队列;
协议栈6,分别连接参数配置模块3和队列生成模块5,协议栈 6包括:
建立单元61,用于根据伪装IP地址、目的IP地址和模拟得到的一发送序号与第一服务端建立TCP连接;
发送单元62,连接建立单元61,用于在建立连接后,根据第一服务端的状态反馈信息由待发送队列中依次选取对应数据量的数据包进行封装并发送至第一服务端,直至与第一服务端断开连接;
记录单元63,分别连接建立单元61和发送单元62,用于实时记录从与第一服务端建立连接直至断开连接过程中的通信日志作为模拟IP欺骗日志,以供后续对防IP欺骗的安全产品进行产品安全评价使用。
具体地,本实施例中,第一服务端1作为欺骗对象,其装载有防IP欺骗的安全产品,协议栈6作为模拟客户端,通过协议栈6采用伪装IP地址与第一服务端1建立连接并通信的方式,获取通信日志作为模拟IP欺骗日志,能够为后续对防IP欺骗的安全产品进行产品安全评价提供直观有效的参考依据,换言之,由于上述模拟IP欺骗日志实时记录了采用伪装IP地址的协议栈6与作为欺骗对象的第一服务端1由建立连接,到发送数据最后断开连接的完整过程,通过上述模拟IP欺骗日志进行分析能够判断装载有防IP欺骗的安全产品的第一服务端能否及时识别伪装IP地址的模拟客户端,进而能够判断该防IP欺骗的安全产品的有效性。
进一步地,在进行IP欺骗模拟之前,首先需要确定向欺骗对象发送的数据包,协议栈6作为模拟客户端,其发出的数据包需要与正常通信的客户端发出的数据包相同,本实施例中,通过获取正常通信的第二客户端和第二服务端之间通信形成的数据样本文件,并由该数据样本文件中获取第二客户端发出的数据报文,进而对数据报文进行解封得到数据包,该数据包可以是多个,在客户端进行数据发送时按照一定的封装顺序进行封装,在解封装时,能够获取上述的封装顺序,进而在后续生成待发送队列时,保证解封后的数据包能够按照原有的封装顺序加入待发送队列,保证数据的完整和有效性。
在获取上述数据包后,可以将伪装IP地址作为源地址,将第一服务端1的IP地址作为目的IP地址,并模拟TCP采用三次握手进行连接建立需要使用的发送序号,采用三次握手方式与第一服务端1建立TCP连接,上述发送序号为SEQ number。在与第一服务端1的实际通信过程中,协议栈6需要根据第一服务端1的状态反馈信息调整单次发送数据包的数据量。具体地,上述状态反馈信息可以是第一服务端1给出的当前可存放数据空间,协议栈6根据该当前可存放数据空间由待发送队列中提取对应数据量中的数据包进行发送;上述状态反馈信息可以是滑动窗口溢出状态,此时,第一服务端1暂时无法提供可存放数据空间,此时,协议栈6需要等待发送;上述状态反馈信息可以是超时重传信息,即第一服务端1可以给出接收超时的包括至少一数据包的数据报文的发送序号,协议栈6根据该发送序号重新发送对应的数据包;上述状态反馈信息可以是紧急重传信息,即第一服务端1接收上一次发送的数据报文时,可能因为其他因素影响造成数据缺失,第一服务端给出相应的反馈信息,此时,协议栈6需要立即响应该状态反馈信息进行数据重传。需要说明的是,上述状态反馈信息只是目前提供的部分实时方式,并不以此对本发明进行限定。
作为优选的实施方式,上述第一服务端也可以作为第二服务端,同样地,上述第一客户端也可以作为第二客户端,换言之,上述数据样本文件也可以由第一客户端和第一服务端的通信过程中获取,上述第二服务端可以是数据样本文件的提供方之一,也可以是欺骗对象,即由客户端A和服务端B获取数据样本文件,协议栈6作为模拟客户端C,以伪装IP地址与服务端B进行TCP通信,以对服务端B进行欺骗,此时,伪装IP地址需要与客户端A的IP地址不同,服务端B 中装载有防IP欺骗的安全产品。进一步优选的,上述模拟客户端C 可以装载在客户端A上,客户端A在接收到服务端B向模拟客户端C 发送的数据报文时,不检查自身的IP地址,直接对该数据报文进响应,实现IP欺骗。具体地,由于服务端B向模拟客户端C发送的数据报文中的目的地址为模拟客户端C的伪装IP地址,通常情况下,客户端A在接收到数据报文后,需要确认目的地址为本机IP地址才会给出响应,本技术方案中,通过放宽对接收数据报文目的地址的检查,使得可以方便的在TCP/IP通讯环境中进行IP欺骗。
作为优选的实施方式,在数据样本文件的提供方和欺骗对象不同时,即由客户端A和服务端B获取数据样本文件,客户端D和服务端 F正常通信,协议栈6作为模拟客户端C,以伪装IP地址与服务端F 进行TCP通信,以对服务端F进行欺骗,此时,伪装IP地址需要与客户端D的IP地址不同,服务端F中装载有防IP欺骗的安全产品。进一步地,客户端D与服务端F之间正常通信生成的数据文件对应的数据服务类型与数据样本文件对应的数据服务类型相同,举例来说,客户端D与服务端F对应的数据服务类型为邮件服务时,客户端A和服务端B获取的数据样本文件为客户端A向服务端B发送邮件产生的数据样本文件;客户端D与服务端F对应的数据服务类型为Web访问服务时,客户端A和服务端B获取的数据样本文件为客户端A向服务端B请求Web访问产生的数据样本文件,以此类推。
本发明的较佳的实施例中,还包括一数据获取模块7,连接数据筛选模块4,用于通过抓包获取第二客户端与第二服务端之间数据通信过程中生成的数据文件作为数据样本文件。
本发明的较佳的实施例中,数据筛选模块4包括:
数据分析单元41,用于由数据样本文件中分析得到至少一个完整的TCP流;
报文筛选单元42,连接数据分析单元41,用于针对每个完整的 TCP流,由完整的TCP流包含的所有数据报文中,筛选出以第二客户端的IP地址作为源IP地址的数据报文;
数据解封单元43,连接报文筛选单元42,用于对筛选出的数据报文进行解封得到数据报文中封装的数据包。
本发明的较佳的实施例中,协议栈6还包括一模拟单元64,连接建立单元61,用于模拟得到发送序号,并在协议栈6每次与第一服务端1建立TCP连接时对发送序号进行更新。
具体地,通过对在每次建立TCP连接时对发送序号进行更新,能够进一步接近真实的连接建立过程,防止采用相同的发送序号建立连接易于被第一服务端1的防IP欺骗的安全产品识别,不能真实反馈防IP欺骗的安全产品的功能。
本发明的较佳的实施例中,协议栈6通过一有限状态机的状态转换实现与第一服务端1进行TCP通信;
有限状态机包括起始状态、主动打开状态、数据传送状态、主动关闭状态和被动关闭状态。
具体地,本实施例中,基于测试过程可以在实验室网络环境下进行,该实验室网络环境中,网络质量较好,因而TCP通信过程可以舍去反复确认过程,通过将现有的有限状态机的11种状态简化为上述五种状态,能够通过上述五种状态的转换实现与第一服务端1进行 TCP通信。可以看出,主要舍弃了现有11中状态中断开连接时协议栈6的等待确认时间,只要任意一方给出了断开连接请求,即执行断开连接,有效较少断开连接时间,提升测试效率。同时由于无需开发等待确认时间的计时器等,简化了开发过程。
本发明的较佳的实施例中,协议栈6与第一服务端1通过三次握手建立TCP连接,协议栈6在第一次握手后由起始状态转换为主动打开状态,协议栈6在第三次握手后由主动打开状态转换为数据传送状态。
本发明的较佳的实施例中,协议栈6还包括一监听单元65,连接发送单元61,用于监听第一服务端1发送的第一断开连接请求以通知发送单元62停止发送数据包,且协议栈6由数据传送状态转换为被动关闭状态。
本发明的较佳的实施例中,协议栈6还包括一断开单元66,连接发送单元61,用于在待发送队列中的所有数据包发送完成后向第一服务端1发送第二断开连接请求,以与第一服务端1断开连接,且协议栈6由数据传送状态转换为主动关闭状态。
本发明的较佳的实施例中,第二客户端与第二服务端之间正常通信生成的数据文件对应的数据服务类型与数据样本文件对应的数据服务类型相同。
本申请还提供一种模拟IP欺骗的安全产品测试方法,应用上述的用于防IP欺骗的通讯***进行安全产品测试,预先设置一第一服务端,与至少一第一客户端建立TCP通信,第一服务端具有一目的 IP地址,第一服务端装载有一防IP欺骗的安全产品;
预先配置一伪装IP地址和目的IP地址,伪装IP地址区别于第一客户端的IP地址;
如图2所示,则安全产品测试方法包括:
步骤S1,通讯***由预先获取的一第二客户端与一第二服务端之间数据通信形成的数据样本文件中,筛选出由第二客户端发出的至少一数据报文,并由数据报文中解封得到数据报文中封装的数据包;
步骤S2,通讯***将解封得到的各数据包按照原有封装顺序依次加入一待发送队列;
步骤S3,通讯***根据伪装IP地址、目的IP地址和模拟得到的一发送序号与第一服务端建立TCP连接;
步骤S4,通讯***根据第一服务端的状态反馈信息由待发送队列中依次选取对应数据量的数据包进行封装并发送至第一服务端,直至与第一服务端断开连接;
步骤S5,通讯***实时记录从与第一服务端建立连接直至断开连接过程中的通信日志作为模拟IP欺骗日志,以供后续对防IP欺骗的安全产品进行产品安全评价使用。
以上所述仅为本发明较佳的实施例,并非因此限制本发明的实施方式及保护范围,对于本领域技术人员而言,应当能够意识到凡运用本说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案,均应当包含在本发明的保护范围内。
Claims (10)
1.一种用于防IP欺骗的通讯***,其特征在于,包括:
第一服务端,与至少一第一客户端建立TCP通信,所述第一服务端具有一目的IP地址,所述第一服务端装载有一防IP欺骗的安全产品;
参数配置模块,所述参数配置模块中预先配置有一伪装IP地址和所述目的IP地址,所述伪装IP地址区别于所述第一客户端的IP地址;
数据筛选模块,用于由预先获取的一第二客户端与一第二服务端之间数据通信形成的数据样本文件中,筛选出由所述第二客户端发出的至少一数据报文,并由所述数据报文中解封得到所述数据报文中封装的数据包;
队列生成模块,连接所述数据筛选模块,用于将解封得到的各所述数据包按照原有封装顺序依次加入一待发送队列;
协议栈,分别连接所述参数配置模块和所述队列生成模块,所述协议栈包括:
建立单元,用于根据所述伪装IP地址、所述目的IP地址和模拟得到的一发送序号与所述第一服务端建立TCP连接;
发送单元,连接所述建立单元,用于在建立连接后,根据所述第一服务端的状态反馈信息由所述待发送队列中依次选取对应数据量的所述数据包进行封装并发送至所述第一服务端,直至与所述第一服务端断开连接;
记录单元,分别连接所述建立单元和所述发送单元,用于实时记录从与所述第一服务端建立连接直至断开连接过程中的通信日志作为模拟IP欺骗日志,以供后续对所述防IP欺骗的安全产品进行产品安全评价使用。
2.根据权利要求1所述的用于防IP欺骗的通讯***,其特征在于,还包括一数据获取模块,连接所述数据筛选模块,用于通过抓包获取所述第二客户端与所述第二服务端之间数据通信过程中生成的数据文件作为所述数据样本文件。
3.根据权利要求1所述的用于防IP欺骗的通讯***,其特征在于,所述数据筛选模块包括:
数据分析单元,用于由所述数据样本文件中分析得到至少一个完整的TCP流;
报文筛选单元,连接所述数据分析单元,用于针对每个所述完整的TCP流,由所述完整的TCP流包含的所有所述数据报文中,筛选出以所述第二客户端的IP地址作为源IP地址的所述数据报文;
数据解封单元,连接所述报文筛选单元,用于对筛选出的所述数据报文进行解封得到所述数据报文中封装的所述数据包。
4.根据权利要求1所述的用于防IP欺骗的通讯***,其特征在于,所述协议栈还包括一模拟单元,连接所述建立单元,用于模拟得到所述发送序号,并在所述协议栈每次与所述第一服务端建立TCP连接时对所述发送序号进行更新。
5.根据权利要求1所述的用于防IP欺骗的通讯***,其特征在于,所述协议栈通过一有限状态机的状态转换实现与所述第一服务端进行TCP通信;
所述有限状态机包括起始状态、主动打开状态、数据传送状态、主动关闭状态和被动关闭状态。
6.根据权利要求5所述的用于防IP欺骗的通讯***,其特征在于,所述协议栈与所述第一服务端通过三次握手建立TCP连接,所述协议栈在第一次握手后由所述起始状态转换为所述主动打开状态,所述协议栈在第三次握手后由所述主动打开状态转换为所述数据传送状态。
7.根据权利要求6所述的用于防IP欺骗的通讯***,其特征在于,所述协议栈还包括一监听单元,连接所述发送单元,用于监听所述第一服务端发送的所述第一断开连接请求以通知所述发送单元停止发送所述数据包,且所述协议栈由所述数据传送状态转换为被动关闭状态。
8.根据权利要求6所述的用于防IP欺骗的通讯***,其特征在于,所述协议栈还包括一断开单元,连接所述发送单元,用于在所述待发送队列中的所有所述数据包发送完成后向所述第一服务端发送所述第二断开连接请求,以与所述第一服务端断开连接,且所述协议栈由所述数据传送状态转换为主动关闭状态。
9.根据权利要求1所述的用于防IP欺骗的通讯***,其特征在于,所述第二客户端与所述第二服务端之间正常通信生成的数据文件对应的数据服务类型与所述数据样本文件对应的数据服务类型相同。
10.一种模拟IP欺骗的安全产品测试方法,其特征在于,应用如权利要求1-9中任意一项所述的用于防IP欺骗的通讯***进行安全产品测试,预先设置一第一服务端,与至少一第一客户端建立TCP通信,所述第一服务端具有一目的IP地址,所述第一服务端装载有一防IP欺骗的安全产品;
预先配置一伪装IP地址和所述目的IP地址,所述伪装IP地址区别于所述第一客户端的IP地址;
则所述安全产品测试方法包括:
步骤S1,所述通讯***由预先获取的一第二客户端与一第二服务端之间数据通信形成的数据样本文件中,筛选出由所述第二客户端发出的至少一数据报文,并由所述数据报文中解封得到所述数据报文中封装的数据包;
步骤S2,所述通讯***将解封得到的各所述数据包按照原有封装顺序依次加入一待发送队列;
步骤S3,所述通讯***根据所述伪装IP地址、所述目的IP地址和模拟得到的一发送序号与所述第一服务端建立TCP连接;
步骤S4,所述通讯***根据所述第一服务端的状态反馈信息由所述待发送队列中依次选取对应数据量的所述数据包进行封装并发送至所述第一服务端,直至与所述第一服务端断开连接;
步骤S5,所述通讯***实时记录从与所述第一服务端建立连接直至断开连接过程中的通信日志作为模拟IP欺骗日志,以供后续对所述防IP欺骗的安全产品进行产品安全评价使用。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011490837.0A CN112738032B (zh) | 2020-12-17 | 2020-12-17 | 一种用于防ip欺骗的通讯*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011490837.0A CN112738032B (zh) | 2020-12-17 | 2020-12-17 | 一种用于防ip欺骗的通讯*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112738032A true CN112738032A (zh) | 2021-04-30 |
| CN112738032B CN112738032B (zh) | 2022-10-11 |
Family
ID=75602486
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011490837.0A Active CN112738032B (zh) | 2020-12-17 | 2020-12-17 | 一种用于防ip欺骗的通讯*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112738032B (zh) |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7016980B1 (en) * | 2000-01-18 | 2006-03-21 | Lucent Technologies Inc. | Method and apparatus for analyzing one or more firewalls |
| FR2875981A1 (fr) * | 2004-09-30 | 2006-03-31 | France Telecom | Procede et dispositif de filtrage pour detecter une usurpation d'adresse dans un reseau informatique |
| CN101321171A (zh) * | 2008-07-04 | 2008-12-10 | 北京锐安科技有限公司 | 一种检测分布式拒绝服务攻击的方法及设备 |
| CN101383812A (zh) * | 2007-09-03 | 2009-03-11 | 电子科技大学 | 基于活动IP记录的IP欺骗DDoS攻击防御方法 |
| CN103312689A (zh) * | 2013-04-08 | 2013-09-18 | 西安电子科技大学 | 一种计算机的网络隐身方法及基于该方法的网络隐身*** |
| CN103701825A (zh) * | 2013-12-31 | 2014-04-02 | 工业和信息化部电子第五研究所 | 面向移动智能终端IPv6协议及其应用的安全测试*** |
| CN104468632A (zh) * | 2014-12-31 | 2015-03-25 | 北京奇虎科技有限公司 | 防御漏洞攻击的方法、设备及*** |
| GB201719050D0 (en) * | 2017-11-17 | 2018-01-03 | Arm Ip Ltd | Detecting unsanctioned messages in electronic networks |
| CN109347794A (zh) * | 2018-09-06 | 2019-02-15 | 国家电网有限公司 | 一种Web服务器安全防御方法 |
| CN110213233A (zh) * | 2019-04-29 | 2019-09-06 | 国网宁夏电力有限公司电力科学研究院 | 防御电网分布式拒绝服务攻击的仿真平台及建立方法 |
| CN110472414A (zh) * | 2019-07-23 | 2019-11-19 | 中国平安人寿保险股份有限公司 | ***漏洞的检测方法、装置、终端设备及介质 |
| CN111865954A (zh) * | 2020-07-10 | 2020-10-30 | 太仓红码软件技术有限公司 | 一种数据对冲式的计算机网络安全***及其工作方法 |
-
2020
- 2020-12-17 CN CN202011490837.0A patent/CN112738032B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7016980B1 (en) * | 2000-01-18 | 2006-03-21 | Lucent Technologies Inc. | Method and apparatus for analyzing one or more firewalls |
| FR2875981A1 (fr) * | 2004-09-30 | 2006-03-31 | France Telecom | Procede et dispositif de filtrage pour detecter une usurpation d'adresse dans un reseau informatique |
| CN101383812A (zh) * | 2007-09-03 | 2009-03-11 | 电子科技大学 | 基于活动IP记录的IP欺骗DDoS攻击防御方法 |
| CN101321171A (zh) * | 2008-07-04 | 2008-12-10 | 北京锐安科技有限公司 | 一种检测分布式拒绝服务攻击的方法及设备 |
| CN103312689A (zh) * | 2013-04-08 | 2013-09-18 | 西安电子科技大学 | 一种计算机的网络隐身方法及基于该方法的网络隐身*** |
| CN103701825A (zh) * | 2013-12-31 | 2014-04-02 | 工业和信息化部电子第五研究所 | 面向移动智能终端IPv6协议及其应用的安全测试*** |
| CN104468632A (zh) * | 2014-12-31 | 2015-03-25 | 北京奇虎科技有限公司 | 防御漏洞攻击的方法、设备及*** |
| GB201719050D0 (en) * | 2017-11-17 | 2018-01-03 | Arm Ip Ltd | Detecting unsanctioned messages in electronic networks |
| CN109347794A (zh) * | 2018-09-06 | 2019-02-15 | 国家电网有限公司 | 一种Web服务器安全防御方法 |
| CN110213233A (zh) * | 2019-04-29 | 2019-09-06 | 国网宁夏电力有限公司电力科学研究院 | 防御电网分布式拒绝服务攻击的仿真平台及建立方法 |
| CN110472414A (zh) * | 2019-07-23 | 2019-11-19 | 中国平安人寿保险股份有限公司 | ***漏洞的检测方法、装置、终端设备及介质 |
| CN111865954A (zh) * | 2020-07-10 | 2020-10-30 | 太仓红码软件技术有限公司 | 一种数据对冲式的计算机网络安全***及其工作方法 |
Non-Patent Citations (3)
| Title |
|---|
| 刘帅等: "基于FPGA的内网安全防护***关键技术研究", 《电信网技术》 * |
| 夏阳等: "针对黑客网络攻击的防范措施研究", 《网络安全技术与应用》 * |
| 王纬: "信号***网络传输故障处理方法与维护建议", 《铁路通信信号工程技术》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112738032B (zh) | 2022-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110365793B (zh) | 违规外联监测方法、装置、***及存储介质 | |
| US9491189B2 (en) | Revival and redirection of blocked connections for intention inspection in computer networks | |
| CN111130931B (zh) | 一种违规外联设备的检测方法及装置 | |
| CN109525461B (zh) | 一种网络设备的测试方法、装置、设备及存储介质 | |
| JP2018528679A (ja) | 負荷平衡システムにおいて接続を確立するデバイス及び方法 | |
| CN101707608A (zh) | 应用层协议自动化测试方法及装置 | |
| CN101164287A (zh) | 文件传输协议服务性能测试方法 | |
| US10728220B2 (en) | System and method for covertly transmitting a payload of data | |
| CN111756712A (zh) | 一种基于虚拟网络设备伪造ip地址防攻击的方法 | |
| CN112804220B (zh) | 一种防火墙测试方法、装置、电子设备及存储介质 | |
| CN102075508A (zh) | 针对网络协议的漏洞挖掘***和方法 | |
| CN104468265A (zh) | 局域网终端在线状态的检测方法和装置 | |
| CN102739684A (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
| CN109548022B (zh) | 一种移动终端用户远程接入本地网络的方法 | |
| CN108696546B (zh) | 一种企业移动专用网的用户终端访问公网的方法及装置 | |
| CN110691097A (zh) | 一种基于hpfeeds协议的工控蜜罐的***及其工作方法 | |
| WO2017213998A1 (en) | In-band asymmetric protocol simulator | |
| CN105991679B (zh) | 一种网络分享的实现方法和装置 | |
| CN114040408B (zh) | 一种基于4g移动网络模拟环境的靶场*** | |
| US8972543B1 (en) | Managing clients utilizing reverse transactions | |
| US20220014457A1 (en) | Methods, systems and computer readable media for stateless service traffic generation | |
| CN105518693A (zh) | 一种安全防护方法,及装置 | |
| CN111147285B (zh) | 一种云安全产品统一管理方法 | |
| CN116094828B (zh) | 一种基于物理隔离的动态协议网关*** | |
| CN112738032B (zh) | 一种用于防ip欺骗的通讯*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Li Yi Inventor after: Zhao Ge Inventor after: Qiu Zihua Inventor after: Zou Chunming Inventor before: Zhao Ge Inventor before: Li Yi Inventor before: Qiu Zihua Inventor before: Zou Chunming |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |