一种结构化探测局域网内主机的方法与流程

1.本发明涉及信息安全技术领域，具体涉及一种结构化探测局域网内主机的方法。


背景技术：

2.随着信息技术的发展，办公场所、变电站等场景中的局域网内接入了越来越多的主机设备，这些主机往往服务于不同业务类型，统一管理条件复杂，容易产生安全风险。在这些场景中，管理方有必要实时监控接入局域网内的所有主机，做到主动发现安全风险。当前探测主机主要通过对全网段ip地址发送基于icmp(internet control message protocol)协议的ping(packet internet groper)请求，根据是否收到应答报文判断是否有主机接入。在这种机制下，网络入侵者可以通过禁用自身对icmp协议报文的应答，实现隐身入侵。


技术实现要素：

3.为了克服现有技术中的不足，本发明提供一种结构化探测局域网内主机的方法，在基于icmp协议的探测方案的基础上，引入多种探测方式。
4.本发明采用的技术方案如下：
5.本发明提供一种结构化探测局域网内主机的方法，包括：
6.将局域网内所有网段分为本地网段和跨交换机网段；
7.对于本地网段，探测端采用基于arp协议探测方式确定接入主机的ip地址；对于跨交换机网段，探测端采用基于icmp协议探测方式和基于snmp协议探测方式相结合的方式确定接入主机的ip地址；
8.遍历跨交换机网段中未发现接入的ip地址，采用nmap扫描工具，确定接入主机的ip地址。
9.进一步的，所述将局域网内所有网段分为本地网段和跨交换机网段，包括：
10.根据局域网的拓扑结构，确定探测端在局域网内所处位置，
11.如果局域网与探测端接入同一交换机，则为本地网段，否则，为跨交换机网段。
12.进一步的，所述对于本地网段，探测端采用基于arp协议探测方式确定接入主机的ip地址，包括：
13.探测端预先配置需要探测的网段；
14.探测端遍历所配置的网段内的所有ip地址，分别发送arp请求报文；
15.探测端在接收到arp应答报文后自动更新arp表，arp表中所有的ip地址确定为接入主机的ip地址。
16.进一步的，所述对于跨交换机网段，探测端采用基于icmp协议探测方式和基于snmp协议探测方式相结合的方式确定接入主机的ip地址，包括：
17.探测端遍历跨交换机网段内的所有ip地址，分别依次发送ping请求报文和基于snmp协议的信息采集报文；
18.对于一个ip地址，探测端只需要收到任意一条应答报文，则确定该ip是一个接入主机的ip地址。
19.进一步的，设定所述基于arp协议探测方式，基于icmp协议探测方式和基于snmp协议探测方式的探测周期，每个探测周期各探测方式执行一次探测。
20.进一步的，所述探测周期设定为30s。
21.进一步的，还包括：
22.所述基于arp协议探测方式，基于icmp协议探测方式和基于snmp协议探测方式执行n个探测周期后，再遍历跨交换机网段中未发现接入的ip地址；所述未发现接入的ip地址是指探测端对该ip发出的所有探测报文都没有收到应答报文的ip地址。
23.进一步的，所述n不大于1440。
24.进一步的，所述采用nmap扫描工具，确定接入主机的ip地址，包括：
25.采用nmap扫描工具对该未发现接入的ip地址进行扫描，对于扫描结果为主机存活的ip地址，确定为接入主机的ip地址。
26.进一步的，还包括：
27.根据网络情况，关闭nmap扫描方式。
28.本发明达到的有益效果为：
29.本发明采用基于arp、icmp、snmp协议和nmap扫描工具，多维度进行主机探测，可以极大程度提高主机探测的准确性。同时根据不同探测方式占用的系统网络资源，采用不同策略进行结构化探测，提高探测效率。
30.本发明设计原理可靠，结构简单，具有非常广泛的应用前景。
附图说明
31.图1为本发明主机探测流程图。
具体实施方式
32.下面对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。
33.由于不同探测方式占用的系统网络资源有差异，本发明对不同探测方式采用不同的策略进行结构化探测，提供一种结构化探测局域网内主机的方法，参见图1，具体实现步骤如下：
34.s1：根据局域网的拓扑结构，确定探测端在局域网内所处位置，将局域网内所有网段分为本地网段和跨交换机网段两类；
35.进一步的，如果局域网与探测端接入同一交换机，则为本地网段，否则，为跨交换机网段。
36.s2：对于本地网段，探测端遍历网段内的所有ip地址，分别发送arp(address resolutionprotocol)请求报文，探测端arp表自动更新后，表中的所有ip地址，都认为是接入主机的ip地址。
37.探测端预先配置需要探测的网段，向目标ip发送arp探测包，操作系统在接收到arp应答报文后，会自动更新arp表，因此本地网段内所有和探测端产生通信的主机ip都会
被自动添加到arp表。
38.arp表主要包含主机ip、mac地址、连接状态等，一个ip对应一条记录arp表会实时记录在操作系统文件中，例如linux系统保存在/proc/net/arp。
39.对于跨交换机网段，探测端遍历网段内的所有ip地址，分别依次发送ping请求报文，基于snmp(simple network management protocol)协议的信息采集报文，对于收到应答报文的ip地址，认为是一个接入主机的ip地址。需要说明的是，只需要收到来自目标ip地址的任意一条应答报文，即认为该ip是一个接入主机的ip地址。
40.进一步的，对基于arp协议探测方式，基于icmp协议探测方式和基于snmp协议探测方式设定一个较短的探测周期，每个探测周期执行一次探测。
41.例如探测周期设定为30s。
42.s3：每执行s2步骤n(n>1)个探测周期后，再次遍历跨交换机网段中未发现接入的ip地址，应用nmap(network mapper)扫描工具对该未发现接入的ip地址进行扫描，对于扫描结果为主机存活的ip地址，认为是一个接入主机的ip地址。
43.所述未发现接入的ip地址是指对该ip发出的所有探测报文都没有收到应答报文的ip地址。
44.由于nmap扫描占用的资源较大，探测周期可以设置为较长周期，在网络安全等级要求不高，并且系统网络资源较紧张的情况下，可以关闭nmap扫描方式。
45.进一步的，nmap扫描周期不应该大于1440倍的短探测周期，即n不大于1440。
46.例如nmap扫描周期可设定为2小时。
47.s4：将已发现的接入主机ip存储在系统本地文件，供进一步展示、应用；然后重复s2，达到循环实时探测。
48.以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。