專利名稱:非法外聯(lián)檢測方法���、裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域���,尤其涉及一種非法外聯(lián)檢測方法、裝置及系統(tǒng)����。
背景技術(shù):
目前,隨著網(wǎng)絡(luò)的日益發(fā)展���,網(wǎng)絡(luò)的安全問題越來越突出�。人們往往將 注意力集中在來自于外部的攻擊���,所以花大力氣和重金部署網(wǎng)絡(luò)邊界的安全產(chǎn)品����,例如防火墻�����、入侵檢測系統(tǒng)(IDS, Intrusion Detection Systems)等�����。 然而,大量的事實卻一再的提醒我們��,來自于網(wǎng)絡(luò)內(nèi)部的非法操作所造成的 安全問題同樣不可忽視�。其中,最典型的就是內(nèi)網(wǎng)用戶的非法外聯(lián)��。內(nèi)網(wǎng)用 戶如果私自訪問外網(wǎng)��,則可能會引發(fā)信息安全問題�,造成重要數(shù)據(jù)外泄,或 者感染病毒�、木馬,成為黑客攻擊的目標�����,這對內(nèi)網(wǎng)的整體安全勢必造成嚴 重的威脅��。如圖1所示��,為現(xiàn)有技術(shù)中典型的非法外聯(lián)的場景圖?��,F(xiàn)有技術(shù)提供一 種非法外聯(lián)的檢測方法���,通過在內(nèi)網(wǎng)(局域網(wǎng))中設(shè)置探測器、在外網(wǎng)中設(shè) 置檢測器的方式實現(xiàn)對內(nèi)網(wǎng)連接狀態(tài)的檢測����。其過程為構(gòu)造一個類型為13, 代碼為0的表示時間戳請求的Internet控制消息協(xié)議包(ICMP, Internet Control Message Protocol);修改IP頭的信源為外網(wǎng)檢測器的IP地址;局域網(wǎng)內(nèi)的探 測器在局域網(wǎng)內(nèi)廣播該ICMP包�����;接受到該廣播消息的計算機向ICMP報頭的 信源發(fā)送類型為14���,代碼為0的表示時間戳應(yīng)答的ICMP包���;其中,建立非 法外聯(lián)的計算機的應(yīng)答報文可以通過非法外聯(lián)的路由途徑到達外網(wǎng)檢測器��, 而未建立非法外聯(lián)的計算機則無法將應(yīng)答報文發(fā)送出去���。在外網(wǎng)檢測器上抓 :取類型為14,代碼為0的表示時間戳應(yīng)答的ICMP包���。當外網(wǎng)或者網(wǎng)關(guān)上的 檢測器接收到類型為14,代碼為0的表示時間戳應(yīng)答的ICMP包后,用類似 的方式再給信源發(fā)送修改過IP頭的ICMP包,即修改IP頭的信源為局域網(wǎng)探 測器的IP地址����。這樣已經(jīng)非法接入外網(wǎng)的計算機會向局域網(wǎng)探測器發(fā)送應(yīng)答 報文,暴露自身�。根據(jù)局域網(wǎng)探測器的記錄,即可確認非法外聯(lián)的計算機�����。在實現(xiàn)本發(fā)明的過程中����,發(fā)明人經(jīng)過研究發(fā)現(xiàn)上述現(xiàn)有技術(shù)還存在一些才企測漏洞。例如�����,內(nèi)網(wǎng)中的計算才幾在外聯(lián)前先將網(wǎng)卡/人內(nèi)網(wǎng)中斷開��,那么該 計算機將接收不到探測器發(fā)送的報文�,也無法被外網(wǎng)的檢測器捕獲。又如�,內(nèi)網(wǎng)中的計算機是通過另 一臺不屬于內(nèi)網(wǎng)的機器作為應(yīng)用代理服務(wù)器,通過 設(shè)置代理的方式來訪問外網(wǎng)���,那么用戶可以通過應(yīng)用代理服務(wù)器訪問外網(wǎng)�����, 但是ICMP報文并不能到達外網(wǎng)的檢測器�。另外�,探測器需要以較高的頻率對 整個局域網(wǎng)中發(fā)送廣播報文,因此耗時較多�����,且對網(wǎng)絡(luò)造成一定負擔��。此外�����, 上述現(xiàn)有技術(shù)即使檢查出發(fā)生了非法外聯(lián)��,也無法確認外聯(lián)的方式�����,例如撥 號����,專線等等��,造成取證資料不足��。 發(fā)明內(nèi)容本發(fā)明實施例提供一種非法外聯(lián)檢測方法�����、裝置及系統(tǒng)�,能夠?qū)?nèi)網(wǎng)中 存在的非法外聯(lián)進行有效的監(jiān)控����。本發(fā)明實施例提供以下技術(shù)方案 本發(fā)明實施例提供一種非法外聯(lián)檢測方法,包括構(gòu)造指定TTL數(shù)值的ICMP回顯請求報文�����,采集到達指定目的地址的路 由途徑信息��;判斷所述路由途徑信息中是否包含當前網(wǎng)絡(luò)的合法出口地址��,確定當前 計算機上是否存在非法外聯(lián)如果所述路由途徑信息中包含計算機的合法出口地址��,則確定當前計算 機上不存在非法外聯(lián)�����;如果所述路由途徑信息中沒有包含計算機的合法出口地址,則確定當前 計算機上存在非法外聯(lián)�。本發(fā)明實施例還提供一種非法外聯(lián)檢測裝置����,包括采集單元,用于構(gòu)造指定TTL數(shù)值的ICMP回顯請求報文�,采集到達指 定目的地址的路由途徑信息;決策單元���,用于判斷所述路由途徑信息中是否包含當前網(wǎng)絡(luò)的合法出口 地址����,確定當前計算機上是否存在非法外聯(lián)如果所述路由途徑信息中包含計算機的合法出口地址����,則確定當前計算 機上不存在非法外聯(lián);如果所述路由途徑信息中沒有包含計算機的合法出口地址�,則確定當前 計算機上存在非法外聯(lián)。此外�,本發(fā)明實施例還提供一種非法外聯(lián)檢測系統(tǒng),包括服務(wù)器和若干個終端����,其中所述各個終端設(shè)置有非法外聯(lián)檢測裝置��,所述裝置包括采集單元�����,用于構(gòu)造指定TTL數(shù)值的ICMP回顯請求報文�����,采集到達指 定目的地址的3各由途徑信息����;決策單元����,用于判斷所述路由途徑信息中是否包含當前網(wǎng)絡(luò)的合法出口 地址,確定當前計算機上是否存在非法外聯(lián)如果所述路由途徑信息中包含計算機的合法出口地址��,則確定當前計算 機上不存在非法外聯(lián)�;如果所述路由途徑信息中沒有包含計算機的合法出口地址,則確定當前 計算機上存在非法外聯(lián)�����;所述服務(wù)器,用于接收并保存所述非法外聯(lián)檢測裝置上報的包括外聯(lián)方 式���、路由信息���、時間信息的非法外聯(lián)的取證資料。本發(fā)明實施例提供一種非法外聯(lián)檢測方法�����、裝置及系統(tǒng)��,通過構(gòu)造指定 TTL數(shù)值的ICMP回顯請求報文�,采集到達指定目的地的路由途徑信息�,并 判斷路由途徑信息中是否包含合法的出口地址來判斷當前計算機上是否存在 非法外聯(lián)。本發(fā)明實施例能夠?qū)?nèi)網(wǎng)中存在的非法外聯(lián)進行有效的監(jiān)控��。
圖l是現(xiàn)有技術(shù)中典型的非法外聯(lián)的場景圖��; 圖2是本發(fā)明實施例非法外聯(lián)檢測裝置結(jié)構(gòu)圖����; 圖3是本發(fā)明另一實施例非法外聯(lián)4企測系統(tǒng)結(jié)構(gòu)圖; 圖4是本發(fā)明又一實施例非法外聯(lián)4企測方法流程圖���; 圖5是本發(fā)明又一實施例非法外聯(lián)4全測示意圖�����。
具體實施方式
本發(fā)明實施例提供一種非法外聯(lián)檢測方法�����、裝置及系統(tǒng)����,能夠?qū)?nèi)網(wǎng)中 存在的非法外聯(lián)進行有效的監(jiān)控。為使本發(fā)明的目的��、技術(shù)方案及優(yōu)點更加 清楚明白����,下面參照附圖并舉實施例,對本發(fā)明進一步詳細說明�����。7在內(nèi)網(wǎng)的終端(例如計算機)中設(shè)置非法外聯(lián)一企測裝置��,如圖2所示�,為本發(fā)明一實施例提供的非法外聯(lián);險測裝置結(jié)構(gòu)圖���,包括采集單元220、決 策單元230���。所述的采集單元220,用于構(gòu)造指定TTL數(shù)值的ICMP回顯請求凈艮文���, 采集到達指定目的地址的路由途徑信息。所述的決策單元230����,用于判斷采集單元220采集到的路由途徑信息中是 否包含當前網(wǎng)絡(luò)的合法出口地址,確定當前計算機上是否存在非法外聯(lián)如果所述路由途徑信息中包含計算機的合法出口地址����,則確定當前計算 機上不存在非法外聯(lián)�;如果所述路由途徑信息中沒有包含計算機的合法出口地址,則確定當前 計算機上存在非法外聯(lián)���。所述的采集單元220具體包括構(gòu)造發(fā)送子單元221,用于構(gòu)造TTL為n����、目的地址為所述外網(wǎng)地址列表 中任一外網(wǎng)地址的ICMP回顯請求才艮文并發(fā)送��,所述TTL為n的ICMP回顯 請求報文途經(jīng)第1個路由器、第2個路由器…第n個路由器時����,所述TTL值 依次減去1;接收記錄子單元222,用于接收第1個路由器���、第2個路由器…第n個路 由器分別在確定TTL值為0時回復(fù)的類型為11��、代碼為0的ICMP超時錯誤 報文�����,記錄所述ICMP超時錯誤報文的源地址以構(gòu)成路由途徑信息�。n為大于等于l,小于等于TTL的上限的自然數(shù)���。此外��,所述非法外聯(lián)檢測裝置還可以進一步包括記錄單元210�����、監(jiān)控單 元240以及上報單元250�����。記錄單元210用于將計算機每次訪問的外網(wǎng)地址記錄在外網(wǎng)地址列表中����。 監(jiān)控單元240用于監(jiān)控計算機的路由表,當計算機的路由表發(fā)生變化時�����,觸 發(fā)所述的采集單元220�����。上報單元250用于當所述的決策單元230確定當前計算機上存在非法外 聯(lián)時�,上報計算機的取證資料,取證資料中可以包括該計算機的外聯(lián)方式���、 路由信息、時間信息等�����。如圖3所示���,為本發(fā)明另一實施例提供的非法外聯(lián)檢測系統(tǒng)的結(jié)構(gòu)圖��, 包括若干個終端200和服務(wù)器300���。所述各個終端200中設(shè)置有非法外聯(lián)檢測裝置�����,所述非法外聯(lián)檢測裝置 包括采集單元220和決策單元230����。采集單元220用于構(gòu)造指定TTL數(shù)值的ICMP回顯請求報文�,采集到達 指定目的地址的路由途徑信息。所述采集單元220具體包括構(gòu)造發(fā)送子單元221和接收記錄子單元222��。構(gòu)造發(fā)送子單元221,用于構(gòu)造TTL為n���、目的地址為所述外網(wǎng)地址列表 中任一外網(wǎng)地址的ICMP回顯請求凈艮文并發(fā)送����。所述TTL為n的ICMP回顯 請求報文依次途經(jīng)第1個路由器��、第2個路由器…第n個路由器時��,所述TTL 值依次減去1;接收記錄子單元222,用于接收第1個路由器、第2個路由器... 第n個路由器分別在確定TTL值為0時回復(fù)的類型為11���、代碼為0的ICMP 超時錯誤報文�,記錄所述ICMP超時4晉誤才艮文的源地址以構(gòu)成路由途徑信息�����; 其中����,n為大于等于l,小于等于TTL的上限的自然數(shù)��。決策單元230,用于判斷所述路由途徑信息中是否包含當前網(wǎng)絡(luò)的合法出 口地址��,確定當前終端上是否存在非法外聯(lián)如果所述路由途徑信息中包含計算機的合法出口地址���,則確定當前計算 機上不存在非法外聯(lián)��;如果所述路由途徑信息中沒有包含計算機的合法出口地址�����,則確定當前 計算機上存在非法外聯(lián);所述的服務(wù)器300,用于接收并保存所述非法外聯(lián)檢測裝置的上報單元 250上報的包括外聯(lián)方式����、路由信息、時間信息的非法外聯(lián)的取證資料���。所述非法外聯(lián);險測裝置還可以進一步包括記錄單元210��,用于將終端每次訪問的外網(wǎng)地址記錄在外網(wǎng)地址列表中����; 監(jiān)控單元240�,用于監(jiān)控終端的路由表,當終端的路由表發(fā)生變化時���,觸發(fā)所述的采集單元220;以及上報單元250�,用于當所述的決策單元230確定當前終端上存在非法外聯(lián)時����,上報包括終端的外聯(lián)方式、路由信息�、時間信息的取證資料。如圖4所示�,為本發(fā)明又一實施例非法外聯(lián)檢測方法流程圖���,包括以下
過程
步驟401、構(gòu)造指定存活時間(TTL����, Time to Live)數(shù)值的ICMP回顯請
求報文,采集到達指定目的地址的路由途徑信息���;
步驟402��、判斷所述路由途徑信息中是否包含當前網(wǎng)絡(luò)的合法出口地址��,
確定當前計算機上是否存在非法外聯(lián)���。
需要說明的是,還可以在上述過程中的步驟401之前增加如下步驟 步驟400�、將計算機每次訪問的外網(wǎng)地址記錄在外網(wǎng)地址列表中; 此外�����,觸發(fā)非法外聯(lián)檢測可以有兩種方式其一是周期性^r查����,例如通
過定時器每個小時或每一天觸發(fā)檢測一次����;其二是監(jiān)控路由表���,當路由表發(fā)
生變化時,觸發(fā)非法外聯(lián)的檢測���。所述路由表發(fā)生變化通常是發(fā)生了撥號或
者手工改動if各由表等����。
如果采用后一種方式����,其中,所述步驟401中還包括監(jiān)控計算機的路 由表���,并且當計算機的路由表發(fā)生變化時�����,通過更改ICMP回顯請求報文的 TTL數(shù)值����,采集到達指定目的地址的路由途徑信息。這種通過計算機的路由 表發(fā)生變化觸發(fā)非法外聯(lián)檢測的方式����,可以減輕對網(wǎng)絡(luò)的壓力,在減少系統(tǒng) 開銷的同時提高檢測的有效性��。
所述更改ICMP回顯請求報文的TTL數(shù)值��,采集到達指定目的地址的路 由途徑信息的步驟具體為
構(gòu)造TTL數(shù)值為n���、目的地址為所述外網(wǎng)地址列表中某一個外網(wǎng)地址的 ICMP回顯請求l艮文并發(fā)送�;
所述TTL為n的ICMP回顯請求報文依次途經(jīng)第1個路由器���、第2個路 由器...第n個路由器時����,所述TTL值依次減去1����,直至第n個路由器確定TTL 值為0,則回復(fù)類型為11、代碼為0的ICMP超時錯誤報文�����;
根據(jù)所述ICMP超時錯誤報文的源地址獲取轉(zhuǎn)發(fā)的第n個路由器地址;
其中���,n為大于等于l,小于等于TTL數(shù)值的上限的自然數(shù)���,而TTL數(shù) 值的上限根據(jù)實際的組網(wǎng)情況確定�,通常設(shè)置為30。
如果經(jīng)過上述步驟還沒有確定當前計算機上存在非法外聯(lián)�����,則繼續(xù)從所述外網(wǎng)地址列表中選擇另一外網(wǎng)地址重復(fù)上述采集路由途徑信息的步驟�����,直 至所述外網(wǎng)地址列表中所有的外網(wǎng)地址都祐j企測過��。
所述步驟402中根據(jù)所述路由途徑信息是否包含所述的合法出口地址����, 確定當前計算機上是否存在非法外聯(lián)的步驟具體為如果所述路由途徑信息 中包含計算機的合法出口地址,則確定當前計算機上不存在非法外聯(lián)�����;如果 所述路由途徑信息中沒有包含計算機的合法出口地址,則確定當前計算機上 存在非法外聯(lián)����。
當所述步驟402中確定當前計算機上存在非法外聯(lián)時,還可以包括獲取 包括計算機的外聯(lián)方式�����、路由信息��、時間信息的取證資料并上報的步驟��。
如圖5所示�,為本發(fā)明又一實施例非法外聯(lián)的檢測示意圖。本發(fā)明實施 例中����,在內(nèi)網(wǎng)的每臺終端上都部署非法外聯(lián)檢測裝置。非法外聯(lián)檢測裝置需 要獲知所屬終端的合法出口 A,非法外聯(lián)檢測裝置開始記錄所屬終端每次訪 問的外網(wǎng)地址�����,并保存至外網(wǎng)地址列表中����。同時監(jiān)控所屬終端的路由表���,當 所屬終端上發(fā)生撥號、增加網(wǎng)卡�、手工修改路由表等情況時,可能是非法外 聯(lián)前的配置動作�,這些情況都會引發(fā)所述終端的路由表發(fā)生變化。當檢測到 路由表發(fā)生變化時�����,從外網(wǎng)地址列表(假設(shè)包含的地址為Addl����, Add2, Add3�����。�����。 Addn)中選擇一個外網(wǎng)地址��,開始構(gòu)造ICMP回顯請求并發(fā)送。具體過程如 下
步驟a:非法外聯(lián)檢測裝置構(gòu)造TTL數(shù)值為n ( n的初始值為1 ),目的地 址為外網(wǎng)地址Addn ( n的初始值為1 )的ICMP回顯請求才艮文并發(fā)送��;
步驟b: TTL數(shù)值為n的ICMP回顯請求報文到達轉(zhuǎn)發(fā)路由途徑中第n個 路由器時��,TTL值已經(jīng)等于O���,觸發(fā)第n個路由器給非法外聯(lián)檢測裝置回復(fù)一 個類型為11,代碼為0�����,即傳輸期間生存周期為0的ICMP超時錯誤報文���, 非法外聯(lián)檢測裝置接收到ICMP超時錯誤報文后,根據(jù)該錯誤報文的源地址 獲取轉(zhuǎn)發(fā)的第n個路由器地址��。
具體實例如下所述
當n等于1時���,TTL為1的ICMP回顯請求凈艮文到達轉(zhuǎn)發(fā)的第一個3各由 器��,第一個3各由器將TTL的值減去1��,然后判斷TTL值是否大于0,此時TTL值已經(jīng)為O,那么第一個路由器會給發(fā)送端回復(fù)一個類型為11,代碼為o,即 傳輸期間生存周期為0的ICMP超時錯誤報文�����。非法外聯(lián)檢測裝置接收到 ICMP超時錯誤報文后�����,根據(jù)該錯誤報文的源地址獲取轉(zhuǎn)發(fā)的第一個路由器地址�。
當n等于2時,第一個轉(zhuǎn)發(fā)路由器將TTL的值減去1,然后轉(zhuǎn)發(fā)給第二 個路由器����,第二個路由器將TTL的值減去1,然后判斷出TTL值為O,則給 發(fā)送端回復(fù)一個類型為11����,代碼為0的ICMP超時錯誤報文。非法外聯(lián)檢測 裝置根據(jù)所述的ICMP超時錯誤報文的源地址獲取轉(zhuǎn)發(fā)的第二個路由器地址����; 其余依此類推�。
步驟c:當出現(xiàn)以下三種情況之一時,針對外網(wǎng)地址Addn的檢查結(jié)束�����; 否則將TTL數(shù)值加1,返回步驟a��。
情況一非法外聯(lián)檢測裝置接收到合法出口 A的ICMP回顯應(yīng)^艮文; 此種情況說明本次訪問是通過合法外聯(lián)方式��,針對外網(wǎng)地址Addn的檢查結(jié) 束�。如果外網(wǎng)地址列表中還存在未4企查的外網(wǎng)地址,則繼續(xù)步驟d����。
情況二非法外聯(lián)檢測裝置收到來自目的地址Addn的ICMP回顯應(yīng)答報 文;此種情況說明本次訪問未經(jīng)過合法出口 A,否則應(yīng)該會收到合法出口 A 的ICMP回顯應(yīng)答才艮文并觸發(fā)情況一�����,存在非法的路由途徑到達外網(wǎng)地址 Addn,因此判定出現(xiàn)了非法外聯(lián)�,轉(zhuǎn)至步驟e執(zhí)行。
情況三TTL數(shù)值達到上限�。此種情況說明本次訪問一直沒有經(jīng)過合法 出口 A,否則應(yīng)該會收到合法出口 A的ICMP回顯應(yīng)^艮文并觸發(fā)情況一, 因此判定出現(xiàn)了非法外聯(lián)����,轉(zhuǎn)至步驟e執(zhí)行。
步驟d:從外網(wǎng)地址列表中選取下一個外網(wǎng)地址��,轉(zhuǎn)至步驟a繼續(xù)執(zhí)行�����。
步驟e:判定出現(xiàn)了非法外聯(lián),獲取本地的外聯(lián)方式����,并連同路由信息、 時間信息等作為取證資料一起上報到服務(wù)器�����,檢查結(jié)束�����。
需要說明的是��,到達目的地的路由途徑可能不止一條�,每次轉(zhuǎn)發(fā)的路徑 也可能不同,但這些都不影響本發(fā)明實施例的實施����。
是可以通過程序來指令相關(guān)的硬件來完成���,所述的程序可以存儲于一計算機可讀取的存儲介質(zhì)中�����,所述的存儲介質(zhì)��,如ROM/RAM��、磁碟�、光盤等。 下面��,通過一個具體的應(yīng)用實例對本發(fā)明上述實施例作進一步說明����。 某內(nèi)網(wǎng)的IP地址范圍為19.19.19.1 - 19.19.19.254,網(wǎng)關(guān)地址為 19.19.19.254。某計算機的IP地址為19.19.19.10,現(xiàn)通過私自電話線撥號��,獲 取了分配的外網(wǎng)地址202.100.122.19���,并訪問外網(wǎng)的目的地址168.160.56.135�����, 假設(shè)本計算機與外網(wǎng)的目的地址168.160.56.135之間存在的路由途徑為 202.100.122.19 - 〉202.112.1.14 - 〉202.116.10.117 — 〉168.160.56.135 則應(yīng)用本發(fā)明上述實施例的具體執(zhí)行過程如下51���、 計算機通過私自電話線撥號,路由表發(fā)生改變���,非法外聯(lián)檢測裝置 被觸發(fā)����。52、 非法外聯(lián)檢測裝置檢查到當前訪問的地址168.160.56.135��,其不屬 于合法的內(nèi)網(wǎng)IP范圍����,即19.19.19.1 - 19.19.19.254,于是認定發(fā)生了對外網(wǎng) 的訪問,將168.160.56.135設(shè)置為目的地址�����,開始依次構(gòu)造TTL值為n (n的 初始值為1)的ICMP回顯請求凈艮文����。53、 TTL=1的ICMP回顯請求報文到達路由器202.112.1.14�,該路由器將 TTL的值減去1后發(fā)現(xiàn)TTL值已經(jīng)為O,于是給非法外聯(lián)檢測裝置回復(fù)ICMP 超時錯誤報文,非法外聯(lián)檢測裝置收到ICMP超時錯誤報文后����,記錄 202.112.1.14地址����。54����、 TTL=2的ICMP回顯請求報文經(jīng)過路由器202.112.1.14到達路由器 202.116.10.117, TTL的值經(jīng)過^各由器202.112.1.14時減去1,經(jīng)過路由器 202.116.10.117時再減去1��,該路由器202.116.10.117發(fā)現(xiàn)TTL值已經(jīng)為0�, 于是給非法外聯(lián)檢測裝置回復(fù)ICMP超時錯誤報文,非法外聯(lián)檢測裝置收到 ICMP超時錯誤報文后�����,記錄202.116.10.117地址����。55、 TTI^3的ICMP回顯請求報文依次經(jīng)過路由器202.112.1.14���、達路由 器202.116.10.117到達目的地址168.160.56.135�����,目的地址168.160.56.135回 復(fù)ICMP回顯應(yīng)^艮文����,非法外聯(lián);險測裝置收到ICMP回顯應(yīng)答報文后,判斷 是由目的地址發(fā)回的應(yīng)答�,結(jié)束檢測。56���、 非法外聯(lián)檢測裝置記錄的路由信息202.112.1.14�, 202.116.10.117���,168.160.56.135中都沒有包含內(nèi)網(wǎng)的合法出口地址19.19.19.254,因此認定該 對外網(wǎng)的訪問為非法外聯(lián)�����。
S7��、記錄并上報當前的連接類型�����,即撥號上網(wǎng)�,和途徑的路由信息���。 本文提供了一種非法外聯(lián)檢測方法���、裝置及系統(tǒng)����,能夠?qū)?nèi)網(wǎng)中存在的 非法外聯(lián)進行有效的監(jiān)控�����。通過依次構(gòu)造TTL數(shù)值為1至TTL上限的ICMP 回顯請求報文�,采集到達指定目的地的路由途徑信息��,并根據(jù)路由途徑信息 中是否包含當前網(wǎng)絡(luò)的合法出口地址來判斷當前計算機上是否存在非法外 聯(lián)��。當確定檢測到計算機非法外聯(lián)時�,可以記錄其外聯(lián)方式、時間�、路由記 錄等取證信息并在必要的時候進行上報。
以上對本發(fā)明所提供的非法外聯(lián)檢測方法���、裝置及系統(tǒng)進行了詳細介紹���,
的說明只是用于幫助理解本發(fā)明的方案;同時��,對于本領(lǐng)域的一般技術(shù)人員, 依據(jù)本發(fā)明的思想�,在具體實施方式
及應(yīng)用范圍上均會有改變之處,綜上所 述���,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制�����。
權(quán)利要求
1. 一種非法外聯(lián)檢測方法�����,其特征在于����,包括構(gòu)造指定存活時間TTL數(shù)值的Internet控制消息協(xié)議ICMP回顯請求報文��,采集到達指定目的地址的路由途徑信息���;判斷所述路由途徑信息中是否包含計算機所屬網(wǎng)絡(luò)的合法出口地址����,確定所述計算機上是否存在非法外聯(lián)如果所述路由途徑信息中包含計算機的合法出口地址����,則確定當前計算機上不存在非法外聯(lián)��;如果所述路由途徑信息中沒有包含計算機的合法出口地址�����,則確定當前計算機上存在非法外聯(lián)。
2����、 根據(jù)權(quán)利要求1所述的非法外聯(lián)檢測方法,其特征在于��,還包括 將所述計算機每次訪問的外網(wǎng)地址記錄在外網(wǎng)地址列表中��。
3�����、 根據(jù)權(quán)利要求2所述的非法外聯(lián)檢測方法�,其特征在于,還包括 監(jiān)控計算機的路由表��;當所述計算機的路由表發(fā)生變化時���,構(gòu)造指定TTL數(shù)值的ICMP回顯請求報文����,采集到達指定目的地址的路由途徑信息。
4�����、 根據(jù)權(quán)利要求3所述的非法外聯(lián)檢測方法����,其特征在于,所述構(gòu)造指 定TTL數(shù)值的ICMP回顯請求報文����,采集到達指定目的地址的路由途徑信息 的步驟具體為依次構(gòu)造TTL值為n、目的地址為所述外網(wǎng)地址列表中任一外網(wǎng)地址的 ICMP回顯請求才艮文并發(fā)送���;所述TTL值為n的ICMP回顯請求才艮文依次途經(jīng)第1個路由器�、第2個 路由器...第n個路由器時����,所述TTL值依次減去l,直至第n個路由器確定 TTL值為0,則回復(fù)類型為11�、代碼為0的ICMP超時錯誤報文�����;根據(jù)所述ICMP超時錯誤報文的源地址獲取轉(zhuǎn)發(fā)的第n個路由器地址���;其中,n為大于等于l,小于等于TTL的上限的自然數(shù)�����。
5��、 根據(jù)權(quán)利要求4所述的非法外聯(lián);險測方法�,其特征在于�����,還包括 如果經(jīng)過上述步驟沒有確定所述計算機上存在非法外聯(lián)����,則從所述外網(wǎng)地址列表中選擇另 一外網(wǎng)地址重復(fù)采集路由途徑信息的步驟,直至所述外網(wǎng) 地址列表中所有的外網(wǎng)地址都凈皮-險測過����。
6�����、 根據(jù)權(quán)利要求1或5所述的非法外聯(lián)檢測方法����,其特征在于�,還包括 當確定當前計算機上存在非法外聯(lián)時,獲取包括計算機的外聯(lián)方式��、路由信息�����、時間信息的取證資料并上報����。
7、 一種非法外聯(lián)^r測裝置�,其特征在于,包括采集單元����,用于構(gòu)造指定存活時間TTL數(shù)值的Internet控制消息協(xié)議 ICMP回顯請求報文,采集到達指定目的地址的路由途徑信息��;決策單元,用于判斷所述路由途徑信息中是否包含當前網(wǎng)絡(luò)的合法出口 地址�����,確定當前計算機上是否存在非法外聯(lián)如果所述路由途徑信息中包含計算機的合法出口地址�����,則確定當前計算 機上不存在非法外聯(lián)�����;如果所述路由途徑信息中沒有包含計算機的合法出口地址����,則確定當前 計算機上存在非法外聯(lián)�。
8、 根據(jù)權(quán)利要求7所述的非法外聯(lián)檢測裝置����,其特征在于,還包括 記錄單元��,用于將計算機每次訪問的外網(wǎng)地址記錄在外網(wǎng)地址列表中�����。
9、 根據(jù)權(quán)利要求8所述的非法外聯(lián)檢測裝置��,其特征在于��,還包括 監(jiān)控單元�����,用于監(jiān)控計算機的路由表�,當計算機的路由表發(fā)生變化時,觸發(fā)所述的采集單元��。
10���、 才艮據(jù)權(quán)利要求9所述的非法外聯(lián)檢測裝置���,其特征在于,所述的采 集單元具體包括構(gòu)造發(fā)送子單元��,用于構(gòu)造TTL為n����、目的地址為所述外網(wǎng)地址列表中 任一外網(wǎng)地址的ICMP回顯請求報文并發(fā)送���,所述TTL為n的ICMP回顯請 求報文依次途經(jīng)第1個路由器、第2個路由器.,.第n個路由器時��,所述TTL 值依次減去1;接收記錄子單元����,用于接收第1個路由器、第2個路由器...第n個路由 器分別在確定TTL值為0時回復(fù)的類型為11��、代碼為0的ICMP超時錯誤報 文���,記錄所述ICMP超時錯誤報文的源地址以構(gòu)成路由途徑信息�;其中�,n為大于等于l,小于等于TTL的上限的自然數(shù)�。
11、 根據(jù)權(quán)利要求7或IO所述的非法外聯(lián)檢測裝置���,其特征在于,還包括上報單元���,用于當所述的決策單元確定當前計算機上存在非法外聯(lián)時�����,上報包括計算機的外聯(lián)方式�、路由信息、時間信息的取證資料��。
12����、 一種非法外聯(lián)檢測系統(tǒng),其特征在于�����,包括服務(wù)器和若干個終端�����,其中所述各個終端設(shè)置有非法外聯(lián)d企測裝置����,所述裝置包括采集單元,用于構(gòu)造指定存活時間TTL數(shù)值的Internet控制消息協(xié)議 ICMP回顯請求報文��,采集到達指定目的地址的路由途徑信息;決策單元�,用于判斷所述路由途徑信息中是否包含當前網(wǎng)絡(luò)的合法出口 地址,確定當前終端上是否存在非法外聯(lián)如果所述路由途徑信息中包含計算機的合法出口地址���,則確定當前計算 機上不存在非法外聯(lián)�;如果所述路由途徑信息中沒有包含計算機的合法出口地址���,則確定當前 計算機上存在非法外聯(lián)����;所述服務(wù)器����,用于接收并保存所述非法外聯(lián)檢測裝置上報的包括外聯(lián)方 式、路由信息���、時間信息的非法外聯(lián)的取證資料�����。
全文摘要
本發(fā)明公開一種非法外聯(lián)檢測方法���,包括構(gòu)造指定TTL數(shù)值的ICMP回顯請求報文�����,采集到達指定目的地址的路由途徑信息;判斷所述路由途徑信息中是否包含當前網(wǎng)絡(luò)的合法出口地址��,確定當前計算機上是否存在非法外聯(lián)���。此外��,本發(fā)明還公開一種非法外聯(lián)檢測裝置及系統(tǒng)����,能夠?qū)?nèi)網(wǎng)中存在的非法外聯(lián)進行有效的監(jiān)控�����。
文檔編號H04L29/06GK101257388SQ20081008920
公開日2008年9月3日 申請日期2008年4月8日 優(yōu)先權(quán)日2008年4月8日
發(fā)明者丁蕓蕓 申請人:華為技術(shù)有限公司