專利名稱：一種局域網(wǎng)絡未授權撥號接入監(jiān)測的方法
技術領域：
本發(fā)明涉及一種IPC分類G06F13/00，H04L9/00領域的計算機網(wǎng)絡安全監(jiān)測方法，尤其是一種局域網(wǎng)絡未授權撥號接入監(jiān)測的方法。
背景技術：
隨著計算機技術的飛速發(fā)展和應用，電腦網(wǎng)絡已經(jīng)滲入了社會的每個角落?，F(xiàn)代商業(yè)公司幾乎無一不建立自己的局域網(wǎng)絡以實現(xiàn)辦公自動化等應用系統(tǒng)。將局域網(wǎng)絡與互聯(lián)網(wǎng)連接以實現(xiàn)信息發(fā)布、獲取、共享、交流，更是隨著網(wǎng)絡接入技術日新月異的發(fā)展而日益普及。但伴隨這些便利快捷的網(wǎng)絡訪問和應用，也引發(fā)了一起安全問題。
在互聯(lián)網(wǎng)接入技術中，撥號網(wǎng)絡是早期最常見的一種方法。用戶只需有一臺配置了modem的電腦、一根電話線和ISP提供的帳號/密碼，就能夠接入到互聯(lián)網(wǎng)中。撥號網(wǎng)絡接入雖然簡單靈活，但其存在安全隱患，容易引發(fā)安全問題。因為在絕大多數(shù)接入互聯(lián)網(wǎng)的局域網(wǎng)中，都配置了防病毒、防火墻、入侵檢測、應用代理等安全產(chǎn)品來保護局域網(wǎng)絡免受來自互聯(lián)網(wǎng)上的非法攻擊。但是當在局或網(wǎng)中有電腦用戶擅自撥號接入互聯(lián)網(wǎng)時，就繞過了企業(yè)防火墻等安全產(chǎn)品保護，該電腦將成為惡意攻擊者入侵企業(yè)局域網(wǎng)絡的首選目標。一旦感染了電腦病毒、或被安裝了木馬程序、或被攻擊者直接控制，整個局域網(wǎng)將完全暴露，面臨極大的安全威脅，可能導致的損失將難以估計。
因此，非常有必要找到一種既能對局域網(wǎng)進行實時監(jiān)測又能對其中撥號接入互聯(lián)網(wǎng)的電腦進行及時有效告警的技術方法。

發(fā)明內容
本發(fā)明所要解決的問題是提供一種局域網(wǎng)絡未授權撥號接入監(jiān)測的方法。以該方法之實施步驟可以使局域網(wǎng)絡免受來自互聯(lián)網(wǎng)上的非法攻擊，也可防止惡意攻擊者以繞行的方式對局域網(wǎng)絡進行破壞。為此，本發(fā)明所采用的技術方案是一種局域網(wǎng)絡未授權撥號接入監(jiān)測的方法，該方法包括對局域網(wǎng)與互聯(lián)網(wǎng)的通訊進行旁路監(jiān)測的步驟和從Sensor/Monitor/Monitor上查詢內部網(wǎng)所有IP地址的MAC地址、獲取IP-MAC列表的步驟，以及在所述局域網(wǎng)與所述互聯(lián)網(wǎng)的接入網(wǎng)關的位置上采用主動探測的步驟，在所述局域網(wǎng)上設置可向局域網(wǎng)中的所有電腦發(fā)送撥號探測數(shù)據(jù)包的撥號探測器；在所述互聯(lián)網(wǎng)上設置通過接收由被探測電腦對探測數(shù)據(jù)包所發(fā)送的響應數(shù)據(jù)包，再進行技術分析后判斷是否存在未授權撥號接入的撥號監(jiān)視器；
在所述撥號探測器上定時發(fā)送不同類型的探測數(shù)據(jù)包，在所述撥號監(jiān)視器上設置定時器，在此期間根據(jù)是否接收或接收到的響應數(shù)據(jù)包分析并判斷出撥號接入的存在與否。
本發(fā)明采用的是主動探測方式，能及時發(fā)現(xiàn)局域網(wǎng)中通過撥號上網(wǎng)的電腦。并通過對多種不同的探測數(shù)據(jù)包進行綜合分析判斷，保證了探測的準確性。本發(fā)明既可以單獨開發(fā)成為獨立的安全產(chǎn)品，也能與網(wǎng)絡入侵監(jiān)測系統(tǒng)或安全評估系統(tǒng)集成到一起，成為其中的一個功能模塊。


圖1為在典型的企業(yè)局域網(wǎng)中應用本發(fā)明所實現(xiàn)系統(tǒng)的網(wǎng)絡拓撲圖實例；圖2為在應用了本發(fā)明所實現(xiàn)系統(tǒng)的企業(yè)局域網(wǎng)中存在未授權撥號電腦的網(wǎng)絡拓撲圖實例；圖3為本發(fā)明工作流程圖。
具體實施方案如圖1和圖2所示，為描述具體實施方案的方便，為各設備和電腦“假設”分配了如圖所示的IP地址。在使用過程中，將探測器/監(jiān)視器通過HUB/Switch與網(wǎng)絡相連，注意要使其能旁路監(jiān)聽所有流經(jīng)互聯(lián)網(wǎng)接入路由器的網(wǎng)絡通訊(共享式HUB和支持網(wǎng)絡監(jiān)聽的Switch均能實現(xiàn)此點要求)。
本發(fā)明能對撥號電腦的監(jiān)測是基于以下技術事實1.正常情況下所有服務器(SVR1...SVRn)和客戶機(PC1...PCn)訪問互聯(lián)網(wǎng)(或從互聯(lián)網(wǎng)訪問)都“必須”經(jīng)過互聯(lián)網(wǎng)路由器(Router)(或防火墻)，即通常所說的缺省路由Default gateway192.168.0.1網(wǎng)絡拓撲示意如圖1。
2.如果某臺主機(服務器或客戶機)在撥號上網(wǎng)，則缺省路由必然改變Default gateway61.169.169.254網(wǎng)絡拓撲示意如圖2。
通過在探測器上發(fā)送多種不同類型的探測數(shù)據(jù)包，當探測到PC3的缺省路由不再為合法的192.168.0.1，則可判斷PC3正在使用其它IP地址為訪問互聯(lián)網(wǎng)的路由，即存在未授權撥號上網(wǎng)行為。具體地說實現(xiàn)主動監(jiān)測的步驟是(1)在局域網(wǎng)安裝撥號探測器。該探測器的作用是向局域網(wǎng)中的所有電腦發(fā)送撥號探測數(shù)據(jù)包；通常撥號探測器和監(jiān)視器(見下文)被安裝在互聯(lián)網(wǎng)接入網(wǎng)關處的同一臺旁路設備(或電腦)上，以簡化技術在應用開發(fā)上的實現(xiàn)。
(2)在互聯(lián)網(wǎng)接入網(wǎng)關處的旁路設備(或電腦)上安裝撥號監(jiān)視器，該監(jiān)視器的作用是通過接收由被探測電腦對探測數(shù)據(jù)包所發(fā)送的響應數(shù)據(jù)包，再進行技術分析后判斷是否存在未授權撥號接入。
(3)在撥號探測器上定時發(fā)送不同類型的探測數(shù)據(jù)包，撥號監(jiān)視器上設置定時器，在此期間根據(jù)是否接收或接收到的響應數(shù)據(jù)包，分析并判斷出撥號接入的存在與否。
而所說的探測步驟則是(4)從Sensor/Monitor/Monitor上查詢內部網(wǎng)所有IP地址的MAC地址，獲取IP-MAC列表(5)與管理員設置的IP地址使用分配清單對照(如果沒有該清單，則視為所有IP地址)，沒有在IP-MAC列表中出現(xiàn)的IP地址可能為下列情況之一A該IP地址未被分配使用，B該IP地址對應主機未與內部網(wǎng)連接(關機或網(wǎng)線不通)，(6)向IP-MAC列表中的每個IP地址，(7)在發(fā)送各所述數(shù)據(jù)包的同時設置各響應定時器。
3.另外，向所述IP-MAC列表中的每個IP地址發(fā)送數(shù)據(jù)包，還包括如下步驟3.1發(fā)送1～n個TCP數(shù)據(jù)包來源地址任意不同的互聯(lián)網(wǎng)地址(如Router的外部接口IP地址等)目的地址被探測主機IP地址ISN 任意或特定值(ISNcookie)來源端口任意目的端口任意不被使用的端口(0或1或65535等)
TCP標志SYN位清零(ACK或FIN或RST位置位)SYN任意或特定值(SYNcookie)ACK任意或特寫值(ACKcookie)3.2發(fā)送1～n個TCP數(shù)據(jù)包來源地址任意不同的互聯(lián)網(wǎng)地址(如Router的外部接口IP地址等)目的地址被探測主機IP地址ISN 任意或特定值(ISNcookie)來源端口任意目的端口任意不被使用的端口(0或1或65535等)TCP標志 SYN位置位(其它位清零)SYN 任意或特定值(SYNcookie)ACK 任意或特寫值(ACKcookie)3.3發(fā)送1～n個TCP數(shù)據(jù)包來源地址任意不同的互聯(lián)網(wǎng)地址(如Router的外部接口IP地址等)目的地址被探測主機IP地址ISN 任意或特定值(ISNcookie)來源端口任意目的端口任意的常用端口(如21/23/25/53/80/110/135等)TCP標志 SYN位清零(ACK或FIN或RST位置位)SYN 任意或特定值(SYNcookie)
ACK 任意或特寫值(ACKcookie)3.4發(fā)送1～n個TCP數(shù)據(jù)包來源地址任意不同的互聯(lián)網(wǎng)地址(如Router的外部接口IP地址等)目的地址被探測主機IP地址ISN 任意或特定值(ISNcookie)來源端口任意目的端口任意的常用端口(如21/23/25/53/80/110/135等)TCP標志 SYN位置位(其它位清零)SYN 任意或特定值(SYNcookie)ACK 任意或特寫值(ACKcookie)3.5發(fā)送1～n個UDP數(shù)據(jù)包來源地址任意不同的互聯(lián)網(wǎng)地址(如Router的外部接口IP地址等)目的地址被探測主機IP地址ISN 任意或特定值(ISNcookie)來源端口任意目的端口任意不被使用的端口(0或1或65535等)3.6發(fā)送1～n個ICMP數(shù)據(jù)包來源地址任意不同的互聯(lián)網(wǎng)地址(如Router的外部接口IP地址等)目的地址被探測主機IP地址
ISN任意或特定值(ISNcookie)ICMP類型echo request3.7發(fā)送1～n個ICMP數(shù)據(jù)包來源地址任意不同的互聯(lián)網(wǎng)地址(如Router的外部接口IP地址等)目的地址被探測主機IP地址ISN 任意或特定值(ISNcookie)ICMP類型任意的消息類型(如timestamp/maskreq等)3.8其它數(shù)據(jù)包(XXX源路由等)。
4.再有，在發(fā)送各數(shù)據(jù)包的同時設置各響應定時器的步驟中還包括以下步驟4.1只要在某個響應定時器超時前Sensor/Monitor監(jiān)測到對應的響應數(shù)據(jù)包(定義“對應的”指同時符合A ISN/SYN/ACK值滿足cookie算法B來源IP地址為被探測主機)1)對于3.1，為RST包2)對于3.2，為RST包(XXX或ACK包，因目的端口可能可用)3)對于3.3，為RST包4)對于3.4，為ACK包(XXX或RST包，因目的端口可能不可用)
5)對于3.5，為ICMP錯誤消息(port unreachable)6)對于3.6，為ICMP響應消息(echo reply)7)對于3.7，為ICMP響應消息(注如果TCP/UDP端口在監(jiān)聽，則可能會響應，Sensor/Monitor此時不應該回復ICMP錯誤消息或RST包。即基于不對被探測機器的任何響應予以回復)則可判斷該IP地址對應主機的缺省路由為合法值192.168.0.14.2如果所有響應定時器在超時時Sensor/Monitor未監(jiān)測到對應的響應數(shù)據(jù)包，則該IP地址對應主機在使用非法的缺省路由(撥號接入)4.3如果Sensor/Monitor監(jiān)測到部份的響應數(shù)據(jù)包，則A該IP地址對應主機安裝了防火墻且設置一些過濾規(guī)則B內部網(wǎng)絡有問題(流量大或線路不正常等導致丟包)3.根據(jù)上述結果進行提示(對4.3)或報警(對4.2)圖3為本發(fā)明的工作流程圖，主要工作步驟在上述實例中都已詳細說明。
本發(fā)明采用的是主動探測方式，能及時發(fā)現(xiàn)局域網(wǎng)中通過撥號上網(wǎng)的電腦。并通過對多種不同的探測數(shù)據(jù)包進行綜合分析判斷，保證了探測的準確性。本發(fā)明既可以單獨開發(fā)成為獨立的安全產(chǎn)品，也能與網(wǎng)絡入侵監(jiān)測系統(tǒng)或安全評估系統(tǒng)集成到一起，成為其中的一個功能模塊。
權利要求
1.一種局域網(wǎng)絡未授權撥號接入監(jiān)測的方法，包括管理員設置的IP地址的步驟，其特征是，所述方法包括對局域網(wǎng)與互聯(lián)網(wǎng)的通訊進行旁路監(jiān)測的步驟和從Sensor/Monitor/Monitor上查詢內部網(wǎng)所有IP地址的MAC地址、獲取IP-MAC列表的步驟，以及在所述局域網(wǎng)與所述互聯(lián)網(wǎng)的接入網(wǎng)關的位置上采用主動探測的步驟(1)在所述局域網(wǎng)上設置可向局域網(wǎng)中的所有電腦發(fā)送撥號探測數(shù)據(jù)包的撥號探測器；(2)在所述互聯(lián)網(wǎng)上設置通過接收由被探測電腦對探測數(shù)據(jù)包所發(fā)送的響應數(shù)據(jù)包再進行技術分析后判斷是否存在未授權撥號接入的撥號監(jiān)視器；(3)在所述撥號探測器上定時發(fā)送不同類型的探測數(shù)據(jù)包，在所述撥號監(jiān)視器上設置定時器，在此期間根據(jù)是否接收或接收到的響應數(shù)據(jù)包分析并判斷出撥號接入的存在與否。
2.根據(jù)權利要求1所述的方法，其特征是，對所述發(fā)送的探測數(shù)據(jù)包及響應數(shù)據(jù)包的技術分析還包括以下步驟(4)從所述Sensor/Monitor/Monitor上查詢內部網(wǎng)所有IP地址的MAC地址，獲取IP-MAC列表，(5)與所述管理員設置的IP地址的步驟進行分配清單使用的對照，(6)向所述IP-MAC列表中的每個IP地址發(fā)送數(shù)據(jù)包，(7)在發(fā)送各所述數(shù)據(jù)包的同時設置各響應定時器。
3.根據(jù)權利要求2所述的方法，其特征是，向所述IP-MAC列表中的每個IP地址發(fā)送數(shù)據(jù)包，還包括如下步驟3.1發(fā)送1～n個TCP數(shù)據(jù)包，來源地址任意不同的互聯(lián)網(wǎng)地址，目的地址被探測主機IP地址，ISN 任意或特定值，來源端口任意，目的端口任意不被使用的端口，TCP標志 SYN位清零，SYN 任意或特定值，ACK 任意或特寫值；3.2發(fā)送1～n個TCP數(shù)據(jù)包來源地址任意不同的互聯(lián)網(wǎng)地址，目的地址被探測主機IP地址，ISN 任意或特定值，來源端口任意，目的端口任意不被使用的端口，TCP標志 SYN位置位，SYN. 任意或特定值，ACK 任意或特寫值；3.3發(fā)送1～n個TCP數(shù)據(jù)包來源地址任意不同的互聯(lián)網(wǎng)地址，目的地址被探測主機IP地址，ISN 任意或特定值，來源端口任意，目的端口任意的常用端口，TCP標志 SYN位清零，SYN 任意或特定值，ACK 任意或特寫值；3.4發(fā)送1～n個TCP數(shù)據(jù)包來源地址任意不同的互聯(lián)網(wǎng)地址，目的地址被探測主機IP地址，ISN 任意或特定值，來源端口任意，目的端口任意的常用端口，TCP標志 SYN位置位，SYN 任意或特定值，ACK 任意或特寫值；3.5發(fā)送1～n個UDP數(shù)據(jù)包來源地址任意不同的互聯(lián)網(wǎng)地址，目的地址被探測主機IP地址，ISN 任意或特定值，來源端口任意，目的端口任意不被使用的端口；3.6發(fā)送1～n個ICMP數(shù)據(jù)包來源地址任意不同的互聯(lián)網(wǎng)地址，目的地址被探測主機IP地址，ISN 任意或特定值，ICMP類型echo request；3.7發(fā)送1～n個ICMP數(shù)據(jù)包來源地址任意不同的互聯(lián)網(wǎng)地址，目的地址被探測主機IP地址，ISN 任意或特定值，ICMP類型任意的消息類型；3.8其它數(shù)據(jù)包(XXX源路由等)。
4.根據(jù)權利要求2所述的方法，其特征是，在發(fā)送各所述數(shù)據(jù)包的同時設置各響應定時器的步驟中還包括以下步驟4.1只要在某個響應定時器超時前Sensor/Monitor監(jiān)測到對應的響應數(shù)據(jù)包則是1)對于所述3.1的步驟，為RST包，2)對于所述3.2的步驟，為RST包，3)對于所述3.3的步驟，為RST包，4)對于所述3.4的步驟，為ACK包，5)對于所述3.5的步驟，為ICMP錯誤消息，6)對于所述3.6的步驟，為ICMP響應消息，7)對于所述3.7的步驟，為ICMP響應消息；4.2如果所有響應定時器在超時時Sensor/Monitor未監(jiān)測到對應的響應數(shù)據(jù)包，則該IP地址對應主機在使用非法的缺省路由，4.3如果Sensor/Monitor監(jiān)測到部份的響應數(shù)據(jù)包，則4.3.1該IP地址對應主機安裝了防火墻且設置一些過濾規(guī)則，4.3.2內部網(wǎng)絡有問題。
全文摘要
本發(fā)明涉及一種局域網(wǎng)絡未授權撥號接入監(jiān)測的方法，該方法包括對局域網(wǎng)與互聯(lián)網(wǎng)的通訊進行旁路監(jiān)測的方法和從Sensor/Monitor/Monitor上查詢內部網(wǎng)所有IP地址的MAC地址、獲取IP－MAC列表的方法，以及在所述局域網(wǎng)與所述互聯(lián)網(wǎng)的接入網(wǎng)關的位置上采用主動探測的步驟。本發(fā)明采用的是主動探測方式，能及時發(fā)現(xiàn)局域網(wǎng)中通過撥號上網(wǎng)的電腦。并通過對多種不同的探測數(shù)據(jù)包進行綜合分析判斷，保證了探測的準確性。本發(fā)明既可以單獨開發(fā)成為獨立的安全產(chǎn)品，也能與網(wǎng)絡入侵監(jiān)測系統(tǒng)或安全評估系統(tǒng)集成到一起，成為其中的一個功能模塊。
文檔編號G06F13/00GK1509003SQ02158020
公開日2004年6月30日 申請日期2002年12月20日 優(yōu)先權日2002年12月20日
發(fā)明者陳海衛(wèi) 申請人:中聯(lián)綠盟信息技術(北京)有限公司