专利名称:异常报文接入点的定位方法和设备的制作方法
技术领域:
本发明涉及网络技术领域,尤其涉及一种异常报文接入点的定位方法和 设备。
背景技术:
随着计算机网络的普及,越来越多的用户享受到了网络带来的便利,但 是同时网络安全问题也时常困扰着用户。木马、病毒、远程攻击等轻则给用 户带来使用上的不方便,重则造成数据丟失或财产损失。面对这些问题,加 解密算法、入侵检测、防火墙技术等技术应运而生。对于一名网络管理员, 需要及时发现网络中的异常情况,在攻击出现的早期发现攻击,在攻击造成 损失后及时进行补救。而只有定位出了异常报文的接入点,才能进一步阻断 异常报文的后继行为,因此在出现异常报文的时候,定位异常报文在网络中 的接入点就显得尤为重要。以图l所示的环境为例,网络中出现异常报文时,
网络管理员希望能很快定位到设备5与攻击者连接的端口,进而阻断攻击。 而现有的防火墙技术、入侵检测技术以及加解密技术都没有提供定位异常报 文的接入点的功能。
现有4支术中提供了一种基于IP (Internet Protocol,英特网协i义)/MAC (Medium Access Control,媒体接入控制)反查的异常报文接入点定位方法。 该方法中要求所有网络设备都已经加入到网管中,且网管拓朴是正确且完整 的。侦测到异常报文时,网络管理员利用防火墙或者抓包工具得到异常报文 的源IP或源MAC。如果网络管理员得到的异常报文源地址是IP地址,则首 先根据IP地址所在网段关联的路由器ARP ( Address Resolution Protocol,地 址解析协议)表,纟是取该IP地址对应的MAC地址,然后统一纟姿照MAC地 址作为参数进行异常攻击点查找。
该基于IP/MAC反查的异常报文接入点定位方法如图2所示,包括步骤sl01、获取一未进行查找过的网络设备。
步骤s102、通过SNMP协议读取该网络设备是否学习到指定的MAC地 址,以及学习到该MAC地址的端口 ,如果没有学习到,则返回slOl;否则 执行步骤sl03;
步骤s103、判断学习到目标MAC地址的端口在网络拓朴中是否关联链 路,若不存在则进行步骤s104,否则进行步骤sl05;
步骤s104、由于所有的网络设备都已经加入网管,因此若不存在则说明 这个端口对端是发送异常报文的攻击源,显然这个端口就是异常报文接入点, 将这个端口加入到查找结果集中,返回步骤sl01。
步骤s105、根据端口关联的链路得到对端网络设备,判断对端网络设备 是否为MAC地址对应的设备,是则进行步骤s106,否则进行步骤sl07;
步骤sl06、将该端口加入查找结果集,返回步骤sl01。
步骤sl07、判断对端网络设备是否已经被查找过,是则进行步骤sl01; 否则将对端网络设备作为当前查找设备,进行步骤s102。
通过上述算法得到的查找结果集,就是异常报文的接入点。
现有的异常报文接入点定位方法的缺陷在于,该IP/MAC反查方法顺着 链路查找设备,算法复杂。由于算法的特点,实现时大多选择递归实现,效 率低下,如果以非递归实现,算法则更复杂。
发明内容
本发明提供一种异常报文接入点的定位方法和设备,用于实现网络中异 常才艮文接入点的快速定位。
本发明提供一种异常报文接入点的定位方法,所述方法由网管设备执行, 所述网管设备用于管理网络中若干网络设备,所述方法包括
对于网络中的每一设备,获取所述每一设备对于异常报文源MAC地址的 学习关系;
根据所述每一设备对于异常报文源MAC地址的学习关系,定位异常报文 接入点。其中,所述根据每一设备对于异常报文源MAC地址的学习关系,定位异 常报文接入点包括
当一设备未学习到所述异常报文源MAC地址时,继续获取另一设备。
其中,所述根据所述每一设备对于异常报文源MAC地址的学习关系,定 位异常报文接入点包括
当 一设备的端口学习到所述异常报文源MAC地址,且所述端口在网络拓 另 一设备。
其中,所述根据每一设备对于异常报文源MAC地址的学习关系,定位异 常才艮文接入点包括
当 一设备的端口学习到所述异常报文源MAC地址,且所述端口在网络拓 朴中不存在链路时,确定所述端口为异常报文接入点。
其中,所述根据每一设备对于异常报文源MAC地址的学习关系,定位异 常报文接入点包括
当一i殳备的端口学习到所述异常才艮文源MAC地址,且所述端口在网络拓
口为异常报文接入点。
本发明还提供一种异常报文接入点的定位设备,位于网管设备上用于异 常报文接入点的定位,所述网管设备管理网络中若干网络设备,所述定位设 备包括
学习关系获取单元,用于对于网络中的每一设备,获取所述每一设备对 于异常报文源MAC地址的学习关系;
定位单元,用于根据所述学习关系获取单元获取到的每一设备对于异常 报文源MAC地址的学习关系,定位异常报文接入点。
其中,所述定位单元包括第一定位子单元,用于当一设备未学习到所 述异常报文源MAC地址时,继续获取另一设备。
其中,所述定位单元包括第二定位子单元,用于当一设备的端口学习 到所述异常报文源MAC地址,且所述端口在网络拓朴中的链路对端设备不是所述异常报文源MAC地址对应的设备时,继续获取另 一设备。
其中,所述定位单元包括第三定位子单元,用于当一设备的端口学习
到所述异常报文源MAC地址,且所述端口在网络拓朴中不存在链路时,确定
所述端口为异常报文接入点。
其中,所述定位单元包括第四定位子单元,用于当一设备的端口学习
到所述异常报文源MAC地址,且所述端口在网络拓朴中的链路对端设备是所
述异常报文源MAC地址对应的设备时,确定所述端口为异常报文接入点。 与现有技术相比,本发明具有以下优点
通过遍历每一设备对于异常报文源MAC地址的学习关系,判断该设备是 否为异常报文在网络中的接入点,可以快速的找到异常报文在网络中的接入
图1是现有技术中存在异常报文接入点的网络结构示意图2是现有技术中基于IP/MAC反查的异常报文接入点定位方法流程图3是本发明中异常报文接入点定位方法的流程图;图4是本发明中异常报文接入点定位方法的另 一流程图5是本发明中异常报文接入点定位设备的结构示意图6是本发明中异常报文接入点定位设备的另 一结构示意图。
具体实施例方式
本发明提供一种异常报文接入点的定位方法,由网管设备执行,该网管 设备用于管理网络中若干网络设备。具体的,该方法如图3所示,包括
步骤s301、对于网络中的每一设备,获取每一设备对于异常报文源MAC 地址的学习关系。
步骤s302、根据每一设备对于异常报文源MAC地址的学习关系,定位 异常报文接入点。
上述步骤s302中,根据每一设备对于异常报文源MAC地址的学习关系定位异常报文接入点包括
(1)当一设备未学习到所述异常报文源MAC地址时,继续获取另一设 备;(2)当一设备的端口学习到所述异常报文源MAC地址,且所述端口在网 络拓朴中的链路对端设备不是所述异常报文源MAC地址对应的设备时,继续 获取另一设备;(3)当一设备的端口学习到所述异常报文源MAC地址,且所 述端口在网络拓朴中不存在链路时,确定所述端口为异常报文接入点;(4) 当一设备的端口学习到所述异常报文源MAC地址,且所述端口在网络拓朴中
异常报文接入点。
具体的,本发明是根据网管设备获取的异常报文中的源IP地址或者源 MAC地址查找到异常报文在网络中的接入点,即找到报文在网络管理范围内 接收到该报文的设备。如果获取到的是IP地址,则根据从设备上读取的ARP 信息把IP地址转换为MAC地址后继续处理。本发明的异常报文接入点定位 方法的另一流程图如图4所示,包括
步骤s401、获取一未进行过查找的设备,当所有设备都已经查找过时, 定^立流程结束。
步骤s402、获取该设备的MAC地址学习信息,判断设备是否学习到指 定的才艮文源MAC地址,如果没有学习到,则返回步骤s401,否则执行步骤 s403。
步骤s403、根据二层拓朴链路计算结果,判断学习到报文源MAC地址 的端口是否存在二层拓朴链路,如果有则进行步骤s404,否则进行步骤s405。
步骤s404、把该端口加入到结果集中,返回步骤s401。
步骤s405、根据二层拓朴链路找到对端设备,判断对端设备是否为源 MAC地址对应的设备,是则进行步骤s406,否则返回步骤s401。
步骤s406、把该端口加入到结果集中,返回步骤s401。
本发明的上述方法中,网管设备通过SNMP( Simple Network Management
8Protocol,简单网络管理协议)协议获取设备的MAC地址学习信息,具体的, 可以获取设备Q-BRIDGE-MIB的dotl qTpFdbTable表,网管设备可以获取到 设备对目标MAC的学习关系以及具体的学习端口 。当设备的dotlqTpFdbTable 表中存在一条数据的MAC地址和指定的才艮文源MAC地址相同时,则i人为设 备学习到了指定的报文源MAC地址相同,并可以获取到该设备学习到指定的 才艮文源MAC地址的端口 。
以图1所示的网络环境为例,假设所有的设备都已经加入到网管中。网 络中攻击者通过设备5接入网络,且攻击者的MAC地址是macAddrl,不在 网络管理范围内。假设设备l、设备2、设备3和设备5学习到指定的攻击源 MAC地址macAddrl。则根据本发明中的异常报文接入点定位方法,异常报 文的定4立流禾呈如下
(1 )查找设备1,设备1学习到指定的攻击源MAC地址macAddrl,学 习到macAddrl的端口有链路,对端设备2不是指定的攻击源MAC地址对应 的设备,对设备l的查找结束。
(2 )查找设备2,设备2学习到指定的攻击源MAC地址macAddrl,学 习到macAddrl的端口有链路,对端设备5不是指定的攻击源MAC地址对应 的设备,对设备2的查找结束。
(3 )查找设备3 ,设备3学习到指定的攻击源MAC地址macAddrl,学 习到macAddrl的端口有链路,对端设备5不是指定的攻击源MAC地址对应 的设备,对设备3的查找结束。
(4 )查找设备4,设备4没有学习到指定的攻击源MAC地址macAddrl, 对设备4的查找结束。
(5 )查找设备5,设备5学习到指定的攻击源MAC地址macAddrl,学 习到macAddrl的端口没有链5^,加入到结果集中,对i殳备5的查找结束。
(6 )查找设备6,设备6没有学习到指定的攻击源MAC地址macAddrl, 对设备3的查找结束。
(7 )查找设备7,设备7没有学习到指定的攻击源MAC地址macAddrl, 对设备7的查找结束。至此,对网络中所有设备的查找结束,定位结果为设备5上学习到 macAddrl的端口 ,从而得到了报文的接入点。本发明中还提供一种异常报文接入点的定位设备,该设备可以位于网管 设备NMS (Network Management System,网络管理系统)上用于异常才艮文接 入点的定位,所述网管设备NMS管理网络中若干网络设备。如图5所示,该 定位设备包括学习关系获取单元10,用于对于网络中的每一设备,获取所述每一设备 对于异常报文源MAC地址的学习关系。定位单元20,用于根据学习关系获取单元10获取到的每一设备对于异常 报文源MAC地址的学习关系,定位异常报文接入点。具体的,如图6所示,该定位设备的定位单元20中,可以进一步包括第 一定位子单元21,用于当 一设备未学习到所述异常报文源MAC地址 时,继续获取另一设备。第二定位子单元22,用于当一设备的端口学习到所述异常报文源MAC 地址,且所述端口在网络拓朴中的链路对端设备不是所述异常报文源MAC地 址对应的设备时,继续获取另一设备。第三定位子单元23,用于当一设备的端口学习到所述异常报文源MAC 地址,且所述端口在网络拓朴中不存在链3各时,确定所述端口为异常才艮文接 入点。第四定位子单元24,用于当一设备的端口学习到所述异常报文源MAC 地址,且所述端口在网络拓朴中的链路对端设备是所述异常报文源MAC地址 对应的设备时,确定所述端口为异常报文接入点。通过使用本发明提供的上述方法和设备,遍历网络中每一设备对于异常 报文源MAC地址的学习关系,判断该设备是否为异常报文在网络中的接入 点。与现有技术中基于IP/MAC反查的方法中所使用的通过递归沿链路进行 异常才艮文定位的方法相比,本发明可以快速的找到异常报文在网络中的接入 点,从而阻断报文的攻击并对攻击造成的损失及时进行补救。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助^:件加必需的通用石更件平台的方式来实现,当然也可以通过石更件, 但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案 本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来, 该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备(如手机、PDA等)执行本发明各个实施例所述的方法。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此, 任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1、一种异常报文接入点的定位方法,所述方法由网管设备执行,所述网管设备用于管理网络中若干网络设备,其特征在于,所述方法包括对于网络中的每一设备,获取所述每一设备对于异常报文源MAC地址的学习关系;根据所述每一设备对于异常报文源MAC地址的学习关系,定位异常报文接入点。
2、 如权利要求l所述的方法,其特征在于,所述根据每一设备对于异常 报文源MAC地址的学习关系,定位异常报文接入点包括当一设备未学习到所述异常报文源MAC地址时,继续获取另一设备。
3、 如权利要求l所述的方法,其特征在于,所述根据所述每一设备对于 异常报文源MAC地址的学习关系,定位异常报文接入点包括当 一设备的端口学习到所述异常报文源MAC地址,且所述端口在网络拓另 一设备。
4、 如权利要求1所述的方法,其特征在于,所述根据每一设备对于异常 报文源MAC地址的学习关系,定位异常报文接入点包括当一设备的端口学习到所述异常报文源MAC地址,且所述端口在网络拓 朴中不存在链路时,确定所述端口为异常报文接入点。
5、 如权利要求l所述的方法,其特征在于,所述根据每一设备对于异常 报文源MAC地址的学习关系,定位异常报文接入点包括当一设备的端口学习到所述异常报文源MAC地址,且所述端口在网络拓 朴中的链辟对端设备是所述异常报文源MAC地址对应的设备时,确定所述端 口为异常报文接入点。
6、 一种异常报文接入点的定位设备,位于网管设备上用于异常报文接入 点的定位,所述网管设备管理网络中若干网络设备,其特征在于,所述定位 设备包括学习关系获取单元,用于对于网络中的每一设备,获取所述每一设备对 于异常报文源MAC地址的学习关系;定位单元,用于根据所述学习关系获取单元获取到的每一设备对于异常报文源MAC地址的学习关系,定位异常报文接入点。
7、 如权利要求6所述的定位设备,其特征在于,所述定位单元包括 第一定位子单元,用于当一设备未学习到所述异常报文源MAC地址时,继续获取另一设备。
8、 如权利要求6所述的定位设备,其特征在于,所述定位单元包括 第二定位子单元,用于当一设备的端口学习到所述异常报文源MAC地址,且所述端口在网络拓朴中的链路对端设备不是所述异常报文源MAC地址 对应的设备时,继续获取另一设备。
9、 如权利要求6所述的定位设备,其特征在于,所述定位单元包括 第三定位子单元,用于当一设备的端口学习到所述异常报文源MAC地址,且所述端口在网络拓朴中不存在链路时,确定所述端口为异常报文接入 点。
10、 如权利要求6所述的定位设备,其特征在于,所述定位单元包括 第四定位子单元,用于当一设备的端口学习到所述异常报文源MAC地址,且所述端口在网络拓朴中的链3各对端召 应的设备时,确定所述端口为异常报文接入点,
全文摘要
本发明公开了一种异常报文接入点的定位方法和设备。该方法由网管设备执行,所述网管设备用于管理网络中若干网络设备,包括对于网络中的每一设备,获取所述每一设备对于异常报文源MAC地址的学习关系;根据所述每一设备对于异常报文源MAC地址的学习关系,定位异常报文接入点。通过使用本发明,遍历每一设备对于异常报文源MAC地址的学习关系,判断该设备是否为异常报文在网络中的接入点,可以快速的找到异常报文在网络中的接入点,从而阻断报文的攻击并对攻击造成的损失及时进行补救。
文档编号H04L29/06GK101330463SQ20081012634
公开日2008年12月24日 申请日期2008年6月25日 优先权日2008年6月25日
发明者刘志永, 曾勇刚, 勇 郭 申请人:杭州华三通信技术有限公司