专利名称:一种针对ip网络中非法接入的检测及控制方法
技术领域:
本发明涉及代理检测控制和计算机网络技术,更具体地说,涉及一种针对 IP网络中非法接入的检测及控制方法。
背景技术:
随着互联网(下称Internet)与局域网(下称Intranet)的飞速发展,作 为连接Internet和Intranet的桥梁,代理共享上网技术在实际应用中发挥着 积极重要的作用。但用户使用了共享上网技术以后,网络中的资源访问权限变 得不可控,给网络资源带来了安全隐患,同时逃避计费也给通过网络运营的各 位网络服务商(Internet Service Provider,简称ISP)和校园网络管理部门 带来了很大的损失。宽带网的非法接入,又称私接,指多个未授权用户利用一个合法用户的身 份迸入网络,共享合法用户的资源。这种接入方式导致了网络资源滥用也加大 了信息安全的管理难度。防非法接入技术经过了长期的发展,多是采用在网络出口进行旁路侦听技 术,包括有连接数/流量检测法、MAC地址检测法、S丽P扫描检测,IP标识轨 迹检测法、时钟偏移检测法和应用特征检测法。但上述方法均只能够做到对 网络的非法接入情况有一定的分析的能力,离实际应用还需亟待解决几个比较 明显的问题l.需要长周期统计的分析和汇总,其周期长,不能及时做出判断,并会有误报的情况;2. 只能列举有一个账号下几个非法接入用户,无法判断哪个是真正的合法 用户,哪个是非法的非法接入用户;3. 只能通过对账号进行封停或部分干扰(只能对TCP连接,对UDP无效), 无法做到实时控制,也无法做到只让合法的用户访问,非法接入用户不能访问。发明内容针对上述现有技术的缺陷,本发明目的旨在解决现有代理检测技术的不足 和控制不到位,提出一种针对IP(internet protocol)网络中非法接入的检测 及控制方法,通过分析IP报头TTL值,快速分析检测出是否存在代理共享上网, 以及灵活快捷的控制通过代理通信的计算机及其他数据通信设备,本发明所述 方法及时,准确,且便于推广应用。为达到上述发明目的,本发明采取的技术方案是 一种针对IP网络中非法接入的检测方法1) 源网络设备发送IP协议请求数据报,该IP协议报文中有TTL生存时间 的字段,其字段内容的初始值为数据报可经过的最多路由器数;2) 待IP协议报文传送到上一级网络非法代理接入检测的路径时,检测模 块分析源主机发过来的IP数据报的TTL值,如果该值至少减1说明存在非法代 理接入;3) 根据网络非法代理接入检测模块放置在不同的网络层级时,对TTL值的 判断分析随层级增加减少而改变。进一步的,本发明还提供一种针对IP网络中非法接入的控制方法,步骤包括1) 源网络设备发送IP协议请求数据报,该IP协议报文中有TTL生存时间 的字段,其字段内容的初始值为数据报可经过的最多路由器数;2) 待回应IP数据报文传送到网络非法代理接入控制的路径时,控制模块 上设置需要控制的用户条件,对收到的符合条件的用户数据报进行IP数据报文 TTL值的修改,使该数据报只能够传递到有效用户的这一级,让该级以下的非 法用户无法收到服务器回应的数据。本发明所述针对IP网络中非法接入的检测和控制方法的工作原理详细描 述如下IP网络报文的结构为图1所示,包括4位版本、4位首部长度、8位服务 类型(TOS)、 16位总长度(字节)、16位标识、3位标志、13位片偏移和8位 生存时间(TTL)等,其中IP头部TTL值(Time-To-Live)指定的是数据报的 生存时间。首先源网络设备发送IP协议请求数据报,该IP协议报文中有TTL (Time-To-Live)生存时间的字段,其字段内容的初始值为数据报可经过的最 多路由器数,通常为32、 64或128等。待IP协议报文传送到上一级网络非法 代理接入检测的路径时,网络非法代理接入检测模块分析IP数据报的TTL值, 如果该值至少减1说明存在非法代理接入,当该字段的值为0时,数据报就被 丢弃,并发送ICMP报文通知源网络设备。当网络非法代理接入检测模块放置在 不同的网络层级时,对TTL值的判断分析随层级增加减少而改变。根据上述原理,在待检测的网络路径位置上的网络非法代理接入检测模块 便可以检测到该网络路径位置是否有用户接入。同时还可以在待检测的网络路 径位置的控制模块上设置需要控制哪类用户的条件,对收到的符合条件类型的 用户数据报进行IP数据报TTL值的修改,使该数据报只能够传递到有效用户的 这一级,让该级以下的非法用户无法收到服务器回应的数据。本发明所述针对IP网络中非法接入的检测和控制方法通过分析IP报头的TTL值来判断被检测的网络路径位置是否有非法用户接入,并通过修改TTL值 有效的控制了用户的非法接入。本发明所述方法检测及时,准确,且简单便于 推广应用。
图l为IP报文结构图;图2为实施例1中针对IP网络中非法接入的检测方法结构流程图; 图3为实施例2中针对IP网络中非法接入的控制方法结构流程图;图4为实施例2中的实验结果图;其中图4a为本机的MS-DOS窗口图;图4b 为TELNET宽带路由器的界面图。
具体实施方式
实施例1:参见图2,有用户A、 B、 C分别访伺WEB服务器,其中A用户直接通过HUB 或交换机接入网络,再经过运营商宽带接入设备接入路由器访问到WEB服务器; 用户B、C接入到运营商宽带接入设备前,有其他路由器或代理服务器接入网络。在运营商宽带接入设备后的网络路径位置上,网络非法代理接入检测模块 分析源网络设备发来的IP数据报的TTL值,如果该值至少被减1说明存在代理。 即IP数据报的TTL值的初始值为64,用户B、 C访问WEB服务器,由于在接入 到运营商宽带接入设备前,有其他路由器或代理服务器接入网络,所以在经过 用户代理服务器时,TTL值减1,然后在通过运营商接入设备时,TTL值再减l 后发送到上层路由器,运营商接入设备后的网络路径上,网络非法代理接入检 测模块检测到用户发来的TTL值为64-1-1=62,说明使用了接入设备,而A用户直接通过HUB或交换机接入网络,经过运营商宽带接入设备接入路由器访问 到WEB服务器,在通过运营商宽带接入设备时,TTL值为64-1=63。通过上述方 法则可分析到TTL值,判断是否存在用户接入。相应的,通过上层路由器时, TTL值减1,则最后WEB服务器接收到A用户的数据TTL值为62,接收到B、 C 用户的数据TTL值为61。实施例2:参照图3,针对非法接入的控制方法是通过修改IP数据报TTL值实现的, 其网络结构同实施例1。控制模块上设置需要控制的用户条件,对收到的符合 条件的用户数据报进行IP数据报文TTL值的修改,即将WEB服务器回应给用户 A、 B、 C数据报的TTL值修改为2,运营商宽带接入设备将收到WEB服务器的 IP数据报TTL值减1,继续通过网络传送给下一节点,用户A由于直接通过HUB 或交换机接入网络,所以用户A接收到WEB服务器的回应数据,即用户能够正 常上网。用户B、 C由于在与运营商宽带接入设备之间还有服务器接入,所以在 通过服务器时,接收到的运营商宽带接入设备传来的IP数据报TTL值再减1, 即TTL值为0,不能再往下级传送,所以用户B、 C收不到WEB服务器的回应数 据。因此,通过此方法,该数据报只能够传递到有效用户的这一级,让该级以 下的非法用户无法收到服务器回应的数据。由图4可得出,第一次ping时,能 够通信,TTL值为1;第二次ping,显示不能通讯,原因是宽带路由器上层的 控制模块修改了 WEB服务器回应的数据报TTL值,使该数据报只能够到达上层 路由器。而当第一次ping能够通信,TTL值设为2,进行第二次ping,能够通 信,TTL值为l,仍然能够通讯。实验结果表明,实施例中针对非法接入的控制 方法能使数据报只传递到有效用户的这一级,让该级以下的非法用户无法收到 WEB服务器回应的数据。
权利要求
1. 一种针对IP网络中非法接入的检测方法,其特征在于,其步骤包括1)源网络设备发送IP协议请求数据报,该IP协议报文中有TTL生存时间的字段,其字段内容的初始值为数据报可经过的最多路由器数;2)待IP协议报文传送到上一级网络非法代理接入检测的路径时,检测模块分析源主机发过来的IP数据报的TTL值,如果该值至少减1说明存在非法代理接入;3)根据网络非法代理接入检测模块放置在不同的网络层级时,对TTL值的判断分析随层级增加减少而改变。
2、 一种针对IP网络中非法接入的控制方法,其特征在于,其步骤包括1) 源网络设备发送IP协议请求数据报,该IP协议报文中有TTL生存时间 的字段,其字段内容的初始值为数据报可经过的最多路由器数;2) 待回应IP数据报文传送到网络非法代理接入控制的路径时,控制模块上设置需要控制的用户条件,对收到的符合条件的用户数据报进行IP数据报文 TTL值的修改,使该数据报只能够传递到有效用户的这一级,让该级以下的非 法用户无法收到服务器回应的数据。
全文摘要
一种针对IP网络中非法接入的检测与控制方法,该方法通过分析IP报头的TTL值来判断被检测的网络路径位置是否有非法用户接入;控制方法是,源网络设备发送IP协议请求数据报,该IP协议报文中有TTL生存时间的字段,其字段内容的初始值为数据报可经过的最多路由器数;待回应IP数据报文传送到网络非法代理接入控制的路径时,控制模块上设置需要控制的用户条件,对收到的符合条件的用户数据报进行IP数据报文TTL值的修改,使该数据报只能够传递到有效用户的这一级,让该级以下的非法用户无法收到服务器回应的数据。本发明方法检测及时,准确,可有效控制用户的非法接入,且简单而便于推广应用。
文档编号H04L29/06GK101286894SQ200810031239
公开日2008年10月15日 申请日期2008年5月7日 优先权日2008年5月7日
发明者伍飞石 申请人:中国网络通信集团公司长沙市分公司;伍飞石