入通知报文的网络设备丢弃源MAC地址为所述MAC地址的报 文。
[0092] 在另一个可选的实现方式中,所述获取单元,具体用于通过单播方式发送携带所 述源IP地址的查询请求报文,以使接收到所述查询请求报文的网络设备在确定所述源IP地 址对应的路由表项为直连目的网段之后,查询本地的ARP表项以获取所述源IP地址对应的 MAC地址;接收所述网络设备返回的携带有所述MAC地址的查询响应报文;从所述查询响应 报文中解析出所述MAC地址。
[0093] 在另一个可选的实现方式中,所述添加单元660,还用于在添加所述MAC地址到黑 名单时,将第一禁入时间对应所述MAC地址添加到黑名单中,以在所述第一禁入时间内丢弃 源地址信息在黑名单中的报文;和/或,所述发送单元,还用于在发送禁入通知报文时,在所 述禁入通知报文中添加第二禁入时间,以使接收到所述禁入通知报文的网络设备在所述第 二禁入时间内,丢弃源MAC地址为所述MAC地址的报文。
[0094] 上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的 实现过程,在此不再赘述。
[0095] 由上述实施例所述,在安全网关接收到目的IP地址为监控设备的报文时,首先判 断黑名单中是否存在所述报文携带的源地址信息;若是,则丢弃所述报文;若否,则再判断 预先配置的白名单中是否存在所述报文携带的目的端口;若不存在,则确定所述报文是异 常访问报文,将所述报文携带的源IP地址添加到黑名单中。基于上述实现方式,安全网关通 过在白名单中记录开放业务端口,实现对入侵设备进行端口扫描入侵的防御,由于入侵设 备并不清楚哪些端口是开放业务端口,因此会逐个端口进行探测,因此,安全网关在接收到 报文时,只要发现报文携带的目的端口不在白名单中,就可以将报文携带的源IP地址添加 到黑名单中,以通过黑名单禁止入侵设备发送的报文进入监控设备。这样,由于入侵设备发 送的报文无法进入监控设备,入侵设备也就无法判断监控设备是否在使用该端口,也就无 法发现监控设备为该端口开放的服务,甚至运行的软件版本。因此,入侵设备无法分析这些 提供服务的端口漏洞,对监控设备进行入侵攻击。
[0096] 对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实 施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件 说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以 不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的 需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付 出创造性劳动的情况下,即可以理解并实施。
[0097] 以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精 神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
【主权项】
1. 一种防御端口扫描入侵的方法,其特征在于,所述方法应用于安全网关上,所述方法 包括: 接收目的网际协议IP地址为监控设备的报文; 判断黑名单中是否存在所述报文携带的源地址信息; 若是,则丢弃所述报文; 若否,则判断预先配置的白名单中是否存在所述报文携带的目的端口;其中,所述白名 单中记录有开放业务端口; 若不存在,则确定所述报文是异常访问报文,并将所述报文携带的源IP地址添加到黑 名单中。2. 根据权利要求1所述的方法,其特征在于,所述确定所述报文是异常访问报文的过 程,具体包括: 判断当前是否存在所述报文携带的源IP地址对应的异常访问计数; 如果否,则创建所述源IP地址对应的异常访问计数,并将所述报文携带的目的端口添 加到异常访问计数中,并将所述异常访问计数的数值加1; 如果是,则判断所述源IP地址对应的异常访问计数中是否存在所述报文携带的目的端 P; 如果存在,则保持所述源IP地址对应的异常访问计数的数值不变,如果不存在,则将所 述源IP地址对应的异常访问计数的数值加1; 并进一步判断所述异常访问计数的数值是否超过预设阈值,若超过,则确定所述报文 是异常访问报文,若未超过,则确定所述报文不是异常访问报文。3. 根据权利要求1所述的方法,其特征在于,所述将所述报文携带的源IP地址添加到黑 名单中之后,还包括: 获取所述源IP地址对应的媒体访问控制MAC地址; 将所述MAC地址对应所述源IP地址添加到所述黑名单中;和/或,发送携带有所述MAC地 址的禁入通知报文,以使接收到所述禁入通知报文的网络设备丢弃源MAC地址为所述MAC地 址的报文。4. 根据权利要求3所述的方法,其特征在于,所述获取所述源IP地址对应的MAC地址的 过程,具体包括: 通过单播方式发送携带所述源IP地址的查询请求报文,以使接收到所述查询请求报文 的网络设备在确定所述源IP地址对应的路由表项为直连目的网段之后,查询本地的地址解 析协议ARP表项以获取所述源IP地址对应的MAC地址; 接收所述网络设备返回的携带有所述MAC地址的查询响应报文; 从所述查询响应报文中解析出所述MAC地址。5. 根据权利要求3所述的方法,其特征在于,所述方法还包括: 在添加所述MAC地址到黑名单时,将第一禁入时间对应所述MAC地址添加到黑名单中, 以在所述第一禁入时间内丢弃源地址信息在黑名单中的报文;和/或, 在发送禁入通知报文时,在所述禁入通知报文中添加第二禁入时间,以使接收到所述 禁入通知报文的网络设备在所述第二禁入时间内,丢弃源MAC地址为所述MAC地址的报文。6. -种防御端口扫描入侵的装置,其特征在于,所述装置应用于安全网关上,所述装置 包括: 接收单元,用于接收目的网际协议IP地址为监控设备的报文; 第一判断单元,用于判断黑名单中是否存在所述报文携带的源地址信息; 丢弃单元,用于当所述第一判断单元的判断结果为是时,丢弃所述报文; 第二判断单元,用于当所述第一判断单元的判断结果为否时,判断预先配置的白名单 中是否存在所述报文携带的目的端口;其中,所述白名单中记录有开放业务端口; 确定单元,用于当所述第二判断单元的判断结果为不存在时,确定所述报文是异常访 问报文; 添加单元,用于在所述确定单元确定所述报文是异常访问报文时,将所述报文携带的 源IP地址添加到黑名单中。7. 根据权利要求6所述的装置,其特征在于, 所述确定单元,具体用于判断当前是否存在所述报文携带的源IP地址对应的异常访问 计数;如果否,则创建所述源IP地址对应的异常访问计数,并将所述报文携带的目的端口添 加到异常访问计数中,并将所述异常访问计数的数值加1;如果是,则判断所述源IP地址对 应的异常访问计数中是否存在所述报文携带的目的端口;如果存在,则保持所述源IP地址 对应的异常访问计数的数值不变,如果不存在,则将所述源IP地址对应的异常访问计数的 数值加1;并进一步判断所述异常访问计数的数值是否超过预设阈值,若超过,则确定所述 报文是异常访问报文,若未超过,则确定所述报文不是异常访问报文。8. 根据权利要求6所述的装置,其特征在于,所述装置还包括: 获取单元,用于在所述添加单元将所述报文携带的源IP地址添加到黑名单中之后,获 取所述源IP地址对应的媒体访问控制MAC地址; 所述添加单元,还用于将所述MAC地址对应所述源IP地址添加到所述黑名单中;和/或, 所述装置还包括:发送单元,用于发送携带有所述MAC地址的禁入通知报文,以使接收到所 述禁入通知报文的网络设备丢弃源MAC地址为所述MAC地址的报文。9. 根据权利要求8所述的装置,其特征在于, 所述获取单元,具体用于通过单播方式发送携带所述源IP地址的查询请求报文,以使 接收到所述查询请求报文的网络设备在确定所述源IP地址对应的路由表项为直连目的网 段之后,查询本地的地址解析协议ARP表项以获取所述源IP地址对应的MAC地址;接收所述 网络设备返回的携带有所述MAC地址的查询响应报文;从所述查询响应报文中解析出所述 MAC地址。10. 根据权利要求8所述的装置,其特征在于, 所述添加单元,还用于在添加所述MAC地址到黑名单时,将第一禁入时间对应所述MAC 地址添加到黑名单中,以在所述第一禁入时间内丢弃源地址信息在黑名单中的报文;和/ 或,所述发送单元,还用于在发送禁入通知报文时,在所述禁入通知报文中添加第二禁入时 间,以使接收到所述禁入通知报文的网络设备在所述第二禁入时间内,丢弃源MAC地址为所 述MAC地址的报文。
【专利摘要】本申请提供一种防御端口扫描入侵的方法及装置,所述方法应用于安全网关上,所述方法包括:接收目的IP地址为监控设备的报文;判断黑名单中是否存在所述报文携带的源地址信息;若是,则丢弃所述报文;若否,则判断预先配置的白名单中是否存在所述报文携带的目的端口;若不存在,则确定所述报文是异常访问报文,并将所述报文携带的源IP地址添加到黑名单中。应用本申请实施例,通过在白名单中记录开放业务端口,实现对入侵设备进行端口扫描入侵的防御。
【IPC分类】H04L29/06
【公开号】CN105681353
【申请号】CN201610168479
【发明人】周迪, 赵晖
【申请人】浙江宇视科技有限公司
【公开日】2016年6月15日
【申请日】2016年3月22日