本發(fā)明涉及一種基于設備指紋庫的網(wǎng)絡設備識別方法和裝置�,屬于網(wǎng)絡技術領域。
背景技術:
網(wǎng)絡設備��,在本文中��,指的是連接到網(wǎng)絡中的物理實體�。包括但不限于:交換機、路由器��、打印機、服務器��、防火墻等設備。
關于網(wǎng)絡中網(wǎng)絡設備的檢測包括以下幾種場景:一種場景是企業(yè)針對內部網(wǎng)絡中的網(wǎng)絡設備進行檢測��,以監(jiān)控網(wǎng)絡中是否存在禁止連接網(wǎng)絡的設備,或監(jiān)控網(wǎng)絡中必須連網(wǎng)工作的設備是否正常連網(wǎng)���。一種場景是企業(yè)針對內部網(wǎng)絡中的網(wǎng)絡設備進行檢測��,以收集網(wǎng)絡設備的品牌和型號;當某品牌某型號的網(wǎng)絡設備被爆出存在漏洞時��,便可以迅速知曉自身內部網(wǎng)絡中有多少設備受該漏洞影響�。還有一種場景是網(wǎng)絡監(jiān)管部門針對監(jiān)管轄區(qū)范圍內的網(wǎng)絡設備進行檢測�����,以收集網(wǎng)絡設備的品牌和型號���;當某品牌某型號的網(wǎng)絡設備被爆出存在漏洞時�����,便可以迅速知曉自身監(jiān)管轄區(qū)范圍內有多少網(wǎng)絡設備受該漏洞影響�����。
目前常見的網(wǎng)絡設備識別���,是通過探測IP地址存活和端口開放的方法�����,來發(fā)現(xiàn)連接到網(wǎng)絡中的設備�����。該方法僅能發(fā)現(xiàn)連網(wǎng)的設備及其使用的IP地址和開放的端口�����,但不能識別出其設備類型����、設備品牌和設備型號。
技術實現(xiàn)要素:
針對現(xiàn)有技術中存在的技術問題�,本發(fā)明的目的在于提供一種基于設備指紋庫的網(wǎng)絡設備識別方法和裝置。
本發(fā)明的技術方案為:
一種基于設備指紋庫的網(wǎng)絡設備識別方法�,其步驟為:
1)創(chuàng)建一設備指紋庫,該設備指紋庫包括多條端口��、協(xié)議�����、設備指紋����、設備類型、設備品牌�����、設備型號的對應關系;
2)針對待探測的目標端口�,在設備指紋庫中查找該目標端口所對應的協(xié)議類型;
3)針對步驟2)確定的每一協(xié)議類型及其對應的數(shù)據(jù)包傳輸規(guī)則����,向各網(wǎng)絡設備的該目標端口發(fā)送符合該協(xié)議類型對應格式的數(shù)據(jù)包,并接收返回的數(shù)據(jù)包����;
4)將返回的數(shù)據(jù)包與設備指紋庫中的設備指紋進行比對���,識別出網(wǎng)絡設備的設備類型�、設備品牌和設備型號����。
進一步的,步驟4)中�,將返回的數(shù)據(jù)包與設備指紋庫中的設備指紋進行比對的方法為:根據(jù)返回數(shù)據(jù)包對應的協(xié)議和端口,在該設備指紋庫中查找匹配的數(shù)據(jù)條目�,然后將各匹配的數(shù)據(jù)條目中的設備指紋分別與返回數(shù)據(jù)包的設備指紋進行匹配,將匹配成功的數(shù)據(jù)條目中的設備類型�����、設備品牌和設備型號作為該返回數(shù)據(jù)包對應網(wǎng)絡設備的設備類型、設備品牌和設備型號��。
進一步的�����,第i個設備指紋包含的是廠商i的型號i的網(wǎng)絡設備返回數(shù)據(jù)中所獨有的特征���。
進一步的�,所述設備指紋采用一段正則表達式進行描述�。
進一步的,步驟2)中����,在設備指紋庫中查找該目標端口所對應的協(xié)議類型的方法為:首先在設備指紋庫中查找該目標端口所對應的所有數(shù)據(jù)條目,然后統(tǒng)計出這些數(shù)據(jù)條目所包含的協(xié)議類型作為該目標端口所對應的協(xié)議類型����。
進一步的,對步驟1)所述設備指紋庫進行長期地更新及維護���。
一種基于設備指紋庫的網(wǎng)絡設備識別裝置����,其特征在于,包括
設備指紋庫���,包括多條端口���、協(xié)議、設備指紋�、設備類型、設備品牌�����、設備型號的對應關系�;
數(shù)據(jù)包發(fā)送模塊����,用于針對待探測的目標端口,在設備指紋庫中查找該目標端口所對應的協(xié)議類型���,并針對每一協(xié)議類型及其對應的數(shù)據(jù)包傳輸規(guī)則�,向各網(wǎng)絡設備的該目標端口發(fā)送符合該協(xié)議類型對應格式的數(shù)據(jù)包�;
數(shù)據(jù)包接收模塊,用于接收返回的數(shù)據(jù)包�;
指紋比對模塊��,將返回的數(shù)據(jù)包與設備指紋庫中的設備指紋進行比對���,識別出網(wǎng)絡設備的設備類型、設備品牌和設備型號�。
網(wǎng)絡設備通常會開放自身的某個端口,以提供相應協(xié)議的服務��;我們向網(wǎng)絡設備的某個開放端口�,發(fā)送符合該協(xié)議服務格式的數(shù)據(jù)包,網(wǎng)絡設備會返回一段有特征的數(shù)據(jù)包��,我們將這段數(shù)據(jù)包中所包含的特征���,稱之為設備指紋�����。設備指紋對應到具體表現(xiàn)層面和編碼實現(xiàn)層面���,該特征對應的是一段正則表達式,我們稱這段正則表達式為“指紋規(guī)則”���。
該發(fā)明的網(wǎng)絡設備識別方法�����,指的是:創(chuàng)建并長期更新維護一份設備指紋庫�����,該設備指紋庫包含了端口�����、協(xié)議���、設備指紋���、設備類型、設備品牌��、設備型號的對應關系�����;針對網(wǎng)絡設備的某端口���,從設備指紋庫中得出該端口所對應的協(xié)議�����,然后向網(wǎng)絡設備的該端口發(fā)送符合對應協(xié)議格式的數(shù)據(jù)包��,接收返回數(shù)據(jù)包�����,并將返回數(shù)據(jù)包與設備指紋庫中的設備指紋進行比對�,以識別出網(wǎng)絡設備的設備類型�、設備品牌和設備型號。
本發(fā)明的方法流程如圖1所示���,其步驟包括:
步驟1:創(chuàng)建并長期更新維護一份設備指紋庫��。
步驟2:“該發(fā)明對應的裝置”���,向網(wǎng)絡設備對應IP地址的某個端口,發(fā)送符合協(xié)議格式的數(shù)據(jù)包���。
步驟3:網(wǎng)絡設備����,向“該發(fā)明對應的裝置”返回數(shù)據(jù)包。
步驟4:“該發(fā)明對應的裝置”����,將接收到的返回數(shù)據(jù)包,與設備指紋庫中的設備指紋進行比對��,以識別出網(wǎng)絡設備的設備類型����、設備品牌和設備型號。
與現(xiàn)有技術相比�,本發(fā)明的積極效果為:
本發(fā)明利用設備指紋庫,并結合發(fā)送接收數(shù)據(jù)包的方式�,達到了遠程識別網(wǎng)絡設備的設備類型、品牌�、型號的目的,擺脫了僅僅探測到網(wǎng)絡設備連網(wǎng)存活卻無法獲取設備更多信息的局限�。
目前在進行網(wǎng)絡設備的整理時候,通常是采用人工進行登記備案的方式���,會花費很多人力;而本發(fā)明使用的是通過技術手段發(fā)包探測����,識別網(wǎng)絡設備��;從而省去了人工登記整理的過程�。即通過本發(fā)明步驟2��,采用主動識別的方式代替了被動信息登記收集的方式�����,提高了易用性��。
附圖說明
圖1為本發(fā)明方法的流程圖��。
具體實施方式
下面結合附圖��,對優(yōu)選實施例作詳細說明�����。應該強調的是下述說明僅僅是示例性的��,而不是為了限制本發(fā)明的范圍及其應用����。
本發(fā)明的步驟包括:
(一)設備指紋庫的格式和示例
設備指紋庫包含以下幾個字段:端口���、協(xié)議、指紋規(guī)則�、設備類型、設備品牌����、設備型號。
(1)字段的含義:
端口:網(wǎng)絡設備開放的端口����,端口的可能值在1-65535之間。
協(xié)議:該端口所對應的服務協(xié)議類型���,例如:http��、ssh�、telnet����、ftp等。
指紋規(guī)則:一段正則表達式�,用來在網(wǎng)絡設備返回的數(shù)據(jù)包中進行匹配。每一指紋規(guī)則包含的是某一廠商某一型號網(wǎng)絡設備返回數(shù)據(jù)中所獨有的特征�。
設備類型:網(wǎng)絡設備的類型����,例如:路由器��、防火墻����、交換機等�。
設備品牌:網(wǎng)絡設備的品牌,例如:思科���、華為��、TP-LINK等����。
設備型號:網(wǎng)絡設備的型號����,例如:TP-LINK路由器的型號有TL-ER5520G、TL-WVR450L��、TL-R406等�。
(2)字段的示例:
說明:
此處設備型號為$1���,指的是,正則表達式匹配成功后��,小括號中的內容所對應的字符串內容���。本示例中�����,$1����,指的是����,正則表達式中匹配成功之后,小括號([\w-]+)中的匹配內容���,即為設備型號����。(例如:TL-R406)
(二)詳細識別過程和方法
首先確定需要探測的端口��,然后在設備指紋庫中查找該端口所對應的所有數(shù)據(jù)條目,統(tǒng)計出這些數(shù)據(jù)條目所包含的協(xié)議類型�����;
每個協(xié)議類型����,都有特定的數(shù)據(jù)包傳輸規(guī)則�,所以需要根據(jù)協(xié)議類型及其對應的數(shù)據(jù)包傳輸規(guī)則,向網(wǎng)絡設備的端口發(fā)送符合該協(xié)議規(guī)定格式的數(shù)據(jù)包���,并接收網(wǎng)絡設備返回的數(shù)據(jù)包�;
將端口��、協(xié)議���、網(wǎng)絡設備返回的數(shù)據(jù)包��,與設備指紋庫中的數(shù)據(jù)條目進行比對:若端口����、協(xié)議相同�����,則使用該數(shù)據(jù)條目中的指紋規(guī)則的正則表達式去匹配數(shù)據(jù)包,若匹配成功�����,則表示網(wǎng)絡設備即為該數(shù)據(jù)條目中的設備類型���、設備品牌和設備型號��。
識別過程示例:
(1)設備指紋庫中存在以下幾個數(shù)據(jù)條目
(2)可以看出設備指紋庫中��,端口80所對應的協(xié)議有2種:http和https����。因此�,向網(wǎng)絡設備的80端口分別發(fā)送符合http協(xié)議和https協(xié)議格式的數(shù)據(jù)包。
發(fā)送http協(xié)議格式的數(shù)據(jù)包���,返回數(shù)據(jù)包為:(最后的……表示更多內容省略)
HTTP/1.1401N/A
Server:Router
Connection:close
WWW-Authenticate:Basic realm="TP-LINK SOHO Router TL-R406"
……
發(fā)送https協(xié)議格式的數(shù)據(jù)包����,沒有返回數(shù)據(jù)包。
(3)向網(wǎng)絡設備的80端口發(fā)送https協(xié)議格式的數(shù)據(jù)包��,網(wǎng)絡設備沒有返回數(shù)據(jù)包����,表示網(wǎng)絡設備的80端口不支持https協(xié)議。向網(wǎng)絡設備的80端口發(fā)送http協(xié)議格式的數(shù)據(jù)包����,網(wǎng)絡設備返回了http協(xié)議格式的數(shù)據(jù)包,表示網(wǎng)絡設備的80端口支持http協(xié)議�����。
設備指紋庫中的第1個和第2個條目�,對應的是80端口和http協(xié)議�����。因此���,將這兩個條目中的正則表達式����,分別與http協(xié)議對應的返回數(shù)據(jù)包進行匹配,發(fā)現(xiàn)第1個數(shù)據(jù)條目的正則表達式匹配成功���,第2個數(shù)據(jù)條目的正則表達式匹配失敗�。因此���,可以得到網(wǎng)絡設備的設備類型是路由器�,設備品牌是TP-LINK����,設備型號是TL-R406。
以上所述���,僅為本發(fā)明較佳的具體實施方式��,但本發(fā)明的保護范圍并不局限于此���,任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內,可輕易想到的變化或替換�,都應涵蓋在本發(fā)明的保護范圍之內。因此�,本發(fā)明的保護范圍應該以權利要求的保護范圍為準。