址,协议修饰词设置为udp,以上各修饰词通过连接词“and”进行连接,构成本专利的过滤规则。
[0015]如附图所示,本专利提出的NTP服务器感知方法首先构造NTP请求包,然后广播发送给局域网内部的所有主机,采集各主机的应答数据包,分析数据包内容,最终感知局域网内的NTP服务器。
[0016]本发明包括:
(I)NTP请求包构造
在局域网内触发时间同步请求模拟NTP交互行为,利用数据采集模块采集大量的NTP交互数据包,依照TCP/IP协议簇,利用协议分析模块对NTP请求包数据内容逐层进行协议分析,明确NTP请求包的数据格式,从而实现数据链路层构造NTP请求包。首先,检测主机对网络进行初始化,打开检测主机的网络接口,为待构造的NTP请求包分配存储空间,然后依照TCP/IP协议簇针对NTP请求包的数据格式填充相应的协议字段构造合法的NTP请求包,最后将构造好的NTP请求包发送到网络中。
[0017](2)广播网络发送
广播网络(broadcast networks)只有一个通信信道,网络上所有主机都共享该信道。任何一台主机通过该信道发送的数据包都可以被其他所有的主机接收到。正常数据包发送,在数据包分组中有一个地址域,指明了该分组的目标接收者。各主机接收到了一个分组后,读取地址域信息,如果该地址域信息为本机,则接收并处理该分组信息;如果该分组是发送给其他主机的,则忽略该分组信息。广播系统允许将一个分组发送给网络内的所有主机,通过在地址域中使用一个特殊的地址编码实现,即:MAC地址为全1,IP地址为网络号加上全I的主机号。如果待发送的网络分组带有这样的地址编码,那么该网络中的每一台主机都会接收该分组,并进行处理,这种发送模式称为广播。NTP服务器感知目的是获取局域网内NTP服务器的信息,在未知NTP服务器信息的前提下,无法准确填充目标地址信息,因此不能采用点对点的发送方式,只能采用广播的形式发送构造的NTP请求包,保证局域网内的所有主机都接收到此数据包并对其进行处理,进一步分析监测各个目标主机的响应情况,目标主机中提供NTP服务的主机会产生相应的应答包。
[0018](3) NTP应答包采集分析
NTP应答包采集首先需要利用数据采集模块采集整个网络的所有数据信息;然后,借助伯克利数据包过滤器(BPF, Berkeley Packet Filter)设计过滤模块通过设置协议类型、IP地址等五元组信息的过滤规则采集所需网络数据;最后,将过滤模块处理的有效数据发送给高层次的协议分析模块进行分析,从而感知局域网内的NTP服务器,获取所需要的NTP服务器IP地址信息。
[0019](4)、协议分析模块分析的具体过程是:协议分析的设计思想是依照TCP/IP参考模型根据协议标识逐层识别网络协议类型,针对相应的协议格式对采集到的网络数据包进行底层协议分析。基于TCP/IP协议簇数据包的封装分用原理,协议分析模块接收到采集模块采集到的网络数据包后,针对每一个数据包进行协议分析识别操作。依照协议栈模式由底层向上层进行协议分析,同时去掉各层协议相应的报文首部和尾部信息,解析每层协议时都要去检查报文首部信息中的协议标识,以确定接收数据的上层协议,便于进一步操作处理。以以太网数据帧结构为例,根据以太网数据帧结构定义,网络数据包第13个字节标识网络层协议类型,IP数据包第10个字节标识传输层协议类型,UDP数据包第3个字节标识了应用层协议端口号,通过读取标识号字段信息识别协议类型,从未针对各个协议类型进一步分析获取其协议内容。
[0020]实施例一:搭建基于NTP试验验证网络拓扑的局域网试验环境,试验环境中共设置8台活动主机终端,基于网络拓扑结构,部署2台NTP服务器,IP地址分别为192.168.1.3以及192.168.1.30。实现本专利提出基于局域网的NTP服务器感知方法,最终准确获取试验验证环境中的NTP服务器信息。
[0021]本发明并不局限于前述的【具体实施方式】。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
【主权项】
1.一种基于局域网的NTP服务器检测方法,其特征在于包括: 步骤1:检测模块依照TCP/IP协议簇,构造NTP请求包; 步骤2:检测模块通过广播方式发送构造后的NTP请求包给所有主机,数据采集模块采集所有主机回复的应答包,返回给检测模块; 步骤3:过滤模块过滤采集模块返回的数据后,发送给协议分析模块进行分析,获取NTP服务器IP地址信息。2.根据权利要求1所述的一种基于局域网的NTP服务器检测方法,其特征在于所述步骤I具体过程包括: 步骤11:检测模块采集多个NTP服务器数据交互时的交互数据包,依照TCP/IP协议簇,对NTP交互数据包的数据内容逐层进行协议分析,明确NTP交互数据包的数据格式; 步骤12:检测模块依照TCP/IP协议簇在数据链路层对NTP请求包的数据格式填充相应的协议字段,构造NTP请求包。3.根据权利要求1所述的一种基于局域网的NTP服务器检测方法,其特征在于所述步骤3中过滤模块过滤采集模块返回的数据具体过程是:过滤模块是通过伯克利数据包过滤器设置协议类型以及五元组信息的过滤规则,来过滤返回的数据。4.根据权利要求3所述的一种基于局域网的NTP服务器检测方法,其特征在于所述32中协议分析模块分析的具体过程是:协议分析的设计思想是依照TCP/IP参考模型根据协议标识逐层识别网络协议类型,针对相应的协议格式对采集到的网络数据包进行底层协议分析;基于TCP/IP协议簇数据包的封装分用原理,协议分析模块接收到采集模块采集到的网络数据包后,针对每一个数据包进行协议分析识别操作;依照协议栈模式由底层向上层进行协议分析,同时去掉各层协议相应的报文首部和尾部信息,解析每层协议时都要去检查报文首部信息中的协议标识,以确定接收数据的上层协议,获取NTP服务器IP地址信息。
【专利摘要】本发明涉及局域网中NTP服务器的IP地址获取领域,尤其是一种基于局域网的NTP服务器检测方法<b>。</b>本发明针对现有技术存在的问题,提出一种基于局域网的NTP服务器检测方法,可以准确地获取NTP服务器IP地址信息。本法通过,构造NTP请求包;并通过广播方式发送构造后的NTP请求包给所有主机,所有主机通过数据采集模块返回数据给检测模块后,通过过滤模块过滤采集模块返回的数据最后通过协议分析模块分析,获取NTP服务器IP地址信息。
【IPC分类】H04L29/12, H04L12/26
【公开号】CN105162656
【申请号】CN201510532117
【发明人】张静, 王吉
【申请人】中国电子科技集团公司第二十九研究所
【公开日】2015年12月16日
【申请日】2015年8月27日