專利名稱:窺探回波響應(yīng)提取器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般地涉及數(shù)據(jù)處理領(lǐng)域,具體地說�,涉及網(wǎng)絡(luò)安全。更具體 地說����,本發(fā)明涉及用于從網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng)中的窺探設(shè)備提取回波響應(yīng)(echo response)的方法、裝置和程序���。
技術(shù)背景人們已投入大量的工作來開發(fā)檢測(cè)和響應(yīng)安全威脅的網(wǎng)絡(luò)安全產(chǎn)品�����。 黑客使用的兩種最常見的技術(shù)是端口掃描和網(wǎng)絡(luò)窺探��。網(wǎng)絡(luò)窺探尤其危險(xiǎn)����, 因?yàn)楦Q探被動(dòng)地偵聽網(wǎng)絡(luò)上的所有業(yè)務(wù)并收集有關(guān)用戶標(biāo)識(shí)和密碼的信息��?����?梢酝ㄟ^考慮圍坐在餐桌旁的一組人來理解檢測(cè)某人在網(wǎng)絡(luò)上窺探的 問題�����。這些人的眼睛被蒙起來�。每個(gè)人都可以通過直接對(duì)話與其他人交談。 每個(gè)人都同意他們不會(huì)傾聽任何自己沒有直接參與的對(duì)話�����。但是,某個(gè)欺 騙參與者可能坐在餐桌旁邊并偷聽所有對(duì)話�。此外,此欺騙者可能以合理 的方式發(fā)表餐桌講話����。人們可能不知道此欺騙者的存在。即使他們確實(shí)知 道此欺騙者的存在�,他們也不知道此欺騙者的身份。以類似的方式��,黑客可以修改計(jì)算機(jī)設(shè)備以偷聽網(wǎng)絡(luò)業(yè)務(wù)����。例如,臨 時(shí)雇員可以以窺皿式設(shè)置計(jì)算機(jī)以記錄用戶標(biāo)識(shí)和密碼�。使用有效的用 戶標(biāo)識(shí)和密碼,黑客可以例如獲取對(duì)敏感信息的訪問�����。黑客可以攜帶便攜 式計(jì)算機(jī)隱藏在無線路由器范圍內(nèi)的樓梯間中并竊取^幾密信息���。發(fā)明內(nèi)容本發(fā)明認(rèn)識(shí)到現(xiàn)有技術(shù)的缺點(diǎn)并提供了 一種用于從計(jì)算機(jī)網(wǎng)絡(luò)中的窺探設(shè)備提取響應(yīng)的技術(shù)�。連接到所述計(jì)算機(jī)網(wǎng)絡(luò)的分組源設(shè)備生成具有假 硬件地址和有效網(wǎng)絡(luò)協(xié)議地址的回波請(qǐng)求分組。所述分組源設(shè)備在所述計(jì) 算機(jī)網(wǎng)絡(luò)上發(fā)送所述回波請(qǐng)求分組���。響應(yīng)于在所述計(jì)算機(jī)網(wǎng)絡(luò)上接收到回 波響應(yīng)分組����,所述分組源設(shè)備確定窺探設(shè)備的存在�。
在所附權(quán)利要求中說明了被認(rèn)為是本發(fā)明特性的新穎特征。但是�����,當(dāng) 結(jié)合附圖閱讀時(shí)��,通過參考以下對(duì)示例性實(shí)施例的詳細(xì)說明����,可以最佳地
理解發(fā)明本身以及優(yōu)選使用方式�,進(jìn)一步的目標(biāo)和優(yōu)點(diǎn),這些附圖是 圖1示出了其中可實(shí)現(xiàn)本發(fā)明的各方面的數(shù)據(jù)處理系統(tǒng)網(wǎng)絡(luò)的圖形表
示�����;
圖2是其中可實(shí)現(xiàn)本發(fā)明的各示例性方面的數(shù)據(jù)處理系統(tǒng)的方塊圖�����; 圖3A和3B示出了根據(jù)本發(fā)明的各示例性方面的窺探回波響應(yīng)提取器
的操作;
圖4是示出根據(jù)本發(fā)明的各示例性方面的窺探設(shè)備的方塊圖���; 圖5A-5C示出了根據(jù)本發(fā)明的各示例性方面的實(shí)例回波請(qǐng)求分組�;
響應(yīng)提取器的操作的流程圖��;以及
圖7是示出根據(jù)本發(fā)明的示例性實(shí)施例的使用廣播IP地址的窺探回波 響應(yīng)提取器的操作的流程圖���。
具體實(shí)施例方式
作為其中可實(shí)現(xiàn)本發(fā)明的各實(shí)施例的數(shù)據(jù)處理環(huán)境的示意圖提供了圖 1-2�����。應(yīng)當(dāng)理解圖l-2只是示例性的�,并非旨在斷言或暗示對(duì)其中可實(shí)現(xiàn)本 發(fā)明的各方面或?qū)嵤├沫h(huán)境的任何限制��?����?梢栽诓黄x本發(fā)明的精神和 范圍的情況下對(duì)所述環(huán)境^故出許多修改��。
現(xiàn)在參考附圖��,圖1示出了可以在其中實(shí)現(xiàn)本發(fā)明的各方面的數(shù)據(jù)處 理系統(tǒng)網(wǎng)絡(luò)的圖形表示。網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng)IOO是可以在其中實(shí)現(xiàn)本發(fā)明的各實(shí)施例的計(jì)算機(jī)網(wǎng)絡(luò)���。網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng)IOO包含網(wǎng)絡(luò)102�,網(wǎng)絡(luò)102 是用于提供在網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng)100內(nèi)連接在一起的各種設(shè)備和計(jì)算機(jī)之 間的通信鏈路的介質(zhì)���。網(wǎng)絡(luò)102可以包括連接�,例如有線�、無線通信鏈路 或光纜。
在所示實(shí)例中��,服務(wù)器104和存儲(chǔ)裝置106連接到網(wǎng)絡(luò)102����。此外��, 客戶機(jī)112����、 114、 116和118連接到網(wǎng)絡(luò)102����。這些客戶機(jī)112、 114、 116����、 118可以例如是個(gè)人計(jì)算機(jī)或網(wǎng)絡(luò)計(jì)算機(jī)。具體地說�,客戶機(jī)112可以是 通過無線通信連接到網(wǎng)絡(luò)102的便攜式計(jì)算機(jī)??蛻魴C(jī)114和116可以例 如是臺(tái)式計(jì)算機(jī)?�?蛻魴C(jī)118可以例如是個(gè)人數(shù)字助理(PDA)�����、平板計(jì)算 機(jī)或電話設(shè)備�����。在所示實(shí)例中�,服務(wù)器104向客戶機(jī)112、 114�����、 116和118 提供數(shù)據(jù)�����,例如引導(dǎo)文件、操作系統(tǒng)映像�����、數(shù)據(jù)文件和應(yīng)用���。在此實(shí)例中����, 客戶機(jī)112����、 114、 116和118是服務(wù)器104的客戶機(jī)�����。網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng) IOO可以包括其他服務(wù)器���、客戶機(jī)以及其他未示出的設(shè)備。
在所示實(shí)例中�,網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng)100是因特網(wǎng)�,同時(shí)網(wǎng)絡(luò)102代表 全球范圍內(nèi)使用傳輸控制協(xié)議/網(wǎng)際協(xié)議(TCP/IP)協(xié)議集來相互通信的網(wǎng) 絡(luò)和網(wǎng)關(guān)的集合�。在因特網(wǎng)的核心是主節(jié)點(diǎn)或主機(jī)之間的高速數(shù)據(jù)通信線 路的主干,它包括數(shù)以千計(jì)的商業(yè)����、政府、教育以及其他路由數(shù)據(jù)和消息 的計(jì)算機(jī)系統(tǒng)����。當(dāng)然,網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng)100也可以被實(shí)現(xiàn)為許多不同類 型的網(wǎng)絡(luò)�,例如企業(yè)內(nèi)部互聯(lián)網(wǎng)、局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)�����。圖 1旨在作為一個(gè)實(shí)例�,并非作為對(duì)本發(fā)明的不同實(shí)施例的體系結(jié)構(gòu)限制。
現(xiàn)在參考圖2,圖2示出了可以在其中實(shí)現(xiàn)本發(fā)明的各示例性方面的 數(shù)據(jù)處理系統(tǒng)的方塊圖�。數(shù)據(jù)處理系統(tǒng)200是可以在其中找到實(shí)現(xiàn)本發(fā)明 的實(shí)施例的過程的計(jì)算機(jī)可用代碼或指令的計(jì)算機(jī)(例如圖1中的服務(wù)器 104或客戶機(jī)110)的實(shí)例。
在所示實(shí)例中���,數(shù)據(jù)處理系統(tǒng)200采用包括北橋和存儲(chǔ)器控制中心 (MCH) 202以及南橋和輸入/輸出(I/O )控制中心(ICH ) 204的中心體 系結(jié)構(gòu)�。處理單元206���、主存儲(chǔ)器208和圖形處理器210連接到北橋和存 儲(chǔ)器控制中心202�����。圖形處理器210可以通過加速圖形端口 (AGP)連接到北橋和存儲(chǔ)器控制中心202��。
局域網(wǎng)(LAN)適配器212連接到南橋和I/0控制中心204����。音頻適 配器216、鍵盤和鼠標(biāo)適配器220�����、調(diào)制解調(diào)器222�、只讀存儲(chǔ)器(ROM) 224 、硬盤驅(qū)動(dòng)器(HDD ) 226 �、 CD-ROM驅(qū)動(dòng)器230 、通用串行總線(USB ) 端口和其他通信端口 232�����,以及PCI/PCIe i殳備234通過總線238和總線 240連接到南橋和I/O控制中心204�����。 PCI/PCIe i殳備可以包括例如用于筆 記本計(jì)算機(jī)的以太網(wǎng)適配器����、插入卡和PC卡。PCI使用卡總線控制器���,而 PCIe則不使用��。ROM 224可以例如是閃速二進(jìn)制輸入/輸出系統(tǒng)(BIOS)����。
硬盤驅(qū)動(dòng)器226和CD-ROM驅(qū)動(dòng)器230通過總線240連接到南橋和 I/O控制中心204����。硬盤驅(qū)動(dòng)器226和CD-ROM驅(qū)動(dòng)器230可以使用例如 集成驅(qū)動(dòng)電子設(shè)備(IDE )或串行高級(jí)技術(shù)附件(SATA )接口 。超級(jí)I/0( SIO ) 設(shè)備236可以連接到南橋和I/O控制中心204����。
操作系統(tǒng)在處理單元206上運(yùn)行并對(duì)圖2中數(shù)據(jù)處理系統(tǒng)200內(nèi)的各 種組件進(jìn)行協(xié)調(diào)和控制。作為客戶端�,操作系統(tǒng)可以是商用操作系統(tǒng),例 如Microsoft Windows XP (Microsoft 和Windows是Microsoft Corporation在美國和/或其他國家/地區(qū)的商標(biāo))��。面向?qū)ο蟮木幊滔到y(tǒng) (例如JavaTM編程系統(tǒng))可以與操作系統(tǒng)一起運(yùn)行并從數(shù)據(jù)處理系統(tǒng)200 上執(zhí)行的Java程序或應(yīng)用提供對(duì)操作系統(tǒng)的調(diào)用(Java是Sun Microsystems, Inc.在美國和/或其他國家/地區(qū)的商標(biāo))�。
作為服務(wù)器���,數(shù)據(jù)處理系統(tǒng)200可以例如是運(yùn)行高級(jí)交互執(zhí)行(AIX ) 操作系統(tǒng)或LINUX操作系統(tǒng)的IBM eServerTM pSeries⑧計(jì)算機(jī)系統(tǒng) (eServer、 pSeries和AIX是國際商業(yè)機(jī)器/>司在美國和/或其他國家/地 區(qū)的商標(biāo)��,而Linux是Linus Torvalds在美國和/或其他國家/地區(qū)的商 標(biāo))�����。數(shù)據(jù)處理系統(tǒng)200可以是在處理單元206中包括多個(gè)處理器的對(duì)稱 多處理器(SMP)系統(tǒng)���。備選地���,可以采用單處理器系統(tǒng)。
用于操作系統(tǒng)����、面向?qū)ο蟮木幊滔到y(tǒng)以及應(yīng)用或程序的指令位于諸如 硬盤驅(qū)動(dòng)器226之類的存儲(chǔ)設(shè)備上,并且可以被加載到主存儲(chǔ)器208以便 由處理單元206執(zhí)行����。處理單元206可以使用計(jì)算機(jī)可用程序代碼執(zhí)行本發(fā)明的實(shí)施例的過程,所述計(jì)算機(jī)可用程序代碼可以位于諸如主存儲(chǔ)器
208����、只讀存儲(chǔ)器224之類的存儲(chǔ)器中或一個(gè)或多個(gè)外圍設(shè)備226和230中。
本領(lǐng)域的技術(shù)人員將理解�,圖1-2中的硬件可以根據(jù)實(shí)施方式而有所 變化。除了圖1-2中所示的硬件或替代圖1-2中所示的硬件�,還可以使用 諸如閃存、等價(jià)非易失性存儲(chǔ)器或光盤驅(qū)動(dòng)器之類的其他內(nèi)部硬件或外圍 設(shè)備�。此外,本發(fā)明的過程可以應(yīng)用于多處理器數(shù)據(jù)處理系統(tǒng)��。
在某些示例性實(shí)例中��,數(shù)據(jù)處理系統(tǒng)200可以是個(gè)人數(shù)字助理(PDA), 其配置有閃存以提供非易失性存儲(chǔ)器來存儲(chǔ)操作系統(tǒng)文件和/或用戶生成 的數(shù)據(jù)��。
總線系統(tǒng)可以包括一條或多條總線��,例如圖2中所示的總線238或總 線240�����。當(dāng)然����,總線系統(tǒng)可以使用任何類型的通信結(jié)構(gòu)或體系結(jié)構(gòu)實(shí)現(xiàn), 所述結(jié)構(gòu)或體系結(jié)構(gòu)可在與它們連接的不同組件或設(shè)備之間提供數(shù)據(jù)傳 輸�����。通信單元可以包括一個(gè)或多個(gè)用于發(fā)送和接收數(shù)據(jù)的設(shè)備,例如圖2 的調(diào)制解調(diào)器222或網(wǎng)絡(luò)適配器212��。存儲(chǔ)器可以例如是主存儲(chǔ)器208���、只 讀存儲(chǔ)器224��,或者例如在圖2的北橋和存儲(chǔ)器控制中心202中找到的高 速緩存��。圖1-2中所示實(shí)例和上述實(shí)例并非旨在暗示體系結(jié)構(gòu)限制�。例如��, 除了采用PDA的形式之外��,數(shù)據(jù)處理系統(tǒng)200也可以是平板計(jì)算機(jī)���、便攜 式計(jì)算機(jī)或電話設(shè)備����。
返回圖1����,欺騙客戶機(jī)120也連接到網(wǎng)絡(luò)102��。欺騙客戶機(jī)120可以是 以窺探模式運(yùn)行以接收和記錄網(wǎng)絡(luò)102上的網(wǎng)絡(luò)業(yè)務(wù)的未經(jīng)授權(quán)的計(jì)算設(shè) 備���。例如,臨時(shí)雇員可以以窺探模式設(shè)置計(jì)算機(jī)以記錄用戶標(biāo)識(shí)和密碼�����。 使用有效的用戶標(biāo)識(shí)和密碼�����,黑客可以獲^Wt敏感信息的訪問�。黑客可以 攜帶便攜式計(jì)算機(jī)(例如所示實(shí)例中的欺騙客戶機(jī)102)隱藏在網(wǎng)絡(luò)102 的無線路由器范圍內(nèi)的樓梯間中并竊W^密信息��。
一種解決方案可以是^f吏用虛構(gòu)的用戶標(biāo)識(shí)和密碼^t擬有關(guān)登錄到虛構(gòu) 服務(wù)器的對(duì)話�����。然后���,欺騙者將嘗試進(jìn)行相同的對(duì)話����。
根據(jù)本發(fā)明的各示例性方面,網(wǎng)絡(luò)上的設(shè)備將生成其他設(shè)備不應(yīng)對(duì)其進(jìn)行應(yīng)答的回波響應(yīng)分組�。使用其中在硬件層和網(wǎng)絡(luò)地址層不同地處理分 組的方式,可以誘騙欺騙者發(fā)送響應(yīng)�����。因此���,將標(biāo)識(shí)出欺騙者���。
圖3A和3B示出了根據(jù)本發(fā)明的各示例性方面的窺探回波響應(yīng)提取器 的操作。對(duì)于圖3A�����,分組源設(shè)備304通過網(wǎng)絡(luò)302向分組目的地設(shè)備306 發(fā)送分組���。所述分組包括路由信息�。此路由信息包括目的地介質(zhì)訪問控制 (MAC )地址和目的地網(wǎng)際協(xié)議(IP )地址���。MAC地址是燒入以太網(wǎng)和令牌 環(huán)適配器的從其他所有組件中標(biāo)識(shí)網(wǎng)絡(luò)接口卡(NIC)的唯一序列號(hào)�����。MAC 地址是硬件地址���,而IP地址是網(wǎng)際協(xié)議(或網(wǎng)絡(luò)軟件)地址�??梢栽趪H 標(biāo)準(zhǔn)組織(ISO)的七層網(wǎng)絡(luò)模型中找到分組路由的詳細(xì)信息。在構(gòu)造要發(fā) 送的分組之前�,分組源設(shè)備304必須首先標(biāo)識(shí)目的地設(shè)備306的MAC地址。
MAC地址����。如果分組目的地設(shè)備306不是本地的�,則源設(shè)備304的操作系 統(tǒng)將該分組發(fā)送到路由器,路由器又在網(wǎng)絡(luò)上發(fā)出ARP調(diào)用�����。如果路由器 獲得ARP響應(yīng)��,它將直接向所述MAC地址發(fā)送分組���。如果路由器沒有獲得 響應(yīng)����,則它將該分組發(fā)送到其他路由器。
窺探設(shè)備320是以窺探模式執(zhí)行的計(jì)算設(shè)備���,這意味著窺探設(shè)備320 接收發(fā)向其他設(shè)備的分組��。也就是說�����,不同于典型的計(jì)算設(shè)備(僅接收具 有與它自己的已配置MAC地址匹配的目的地MAC地址的分組)���,窺探設(shè)備 320接收分組而不考慮MAC地址。這也被稱為以混雜模式運(yùn)行網(wǎng)絡(luò)接口卡 (NIC)��。在圖3A中所示的實(shí)例中����,窺探設(shè)備320接^向分組目的地設(shè) 備306的分組。
返回圖3B���,源設(shè)備304生成回波請(qǐng)求分組����?���;夭ㄕ?qǐng)求也稱為"ping"�����, 這是網(wǎng)際分組探測(cè)器的簡寫�。Ping是用于通過發(fā)出分組并等待響應(yīng)來確定 是否可在線訪問特定IP地址的因特網(wǎng)實(shí)用程序����。Ping還可以用于測(cè)試和 調(diào)試網(wǎng)絡(luò),以及查看用戶或服務(wù)器是否在線�����。
根據(jù)本發(fā)明的各示例性方面�����,發(fā)送設(shè)備304發(fā)送具有假目的地MAC地 址和有效IP地址或以太網(wǎng)廣播地址的回波請(qǐng)求����。因此�,檢查該IP地址的 唯一方式是設(shè)備忽略MAC地址并讀取分組。換言之���,只有窺探設(shè)備才響應(yīng)被MAC定址到其他目的地的回波請(qǐng)求��。
在所示實(shí)例中���,使用"虛假的����,���,或"更改后的"MAC地址�。為了檢測(cè) 某些設(shè)備��,需要"廣播�����,�����,或"多播"MAC地址��。這將導(dǎo)致窺探設(shè)備以取決 于設(shè)備的獨(dú)特方式響應(yīng)ping。例如���,設(shè)備可能在窺探時(shí)響應(yīng)兩次�����,而在未 窺探時(shí)僅響應(yīng)一次�。廣播地址通?��?捎糜趥鬏?shù)刂方馕稣?qǐng)求或者向網(wǎng)絡(luò)上 的每個(gè)節(jié)點(diǎn)或網(wǎng)絡(luò)的一部分通知服務(wù)����。多播地址通常用于將一條消息同時(shí)
傳輸?shù)蕉鄠€(gè)接收方�。多播是類似于廣播的一對(duì)多傳輸,但多播意味著發(fā)送 到特定組�,而廣播意味著發(fā)送到每個(gè)人。
在所示實(shí)例中�,窺探設(shè)備320在硬件層處忽略目的地MAC地址并將分 組轉(zhuǎn)發(fā)到網(wǎng)際協(xié)議層�。在這種情況下,對(duì)于窺探設(shè)備320,所述IP地址是 有效IP地址�����。這可以通過遍歷子網(wǎng)中的所有地址或通過使用廣播IP地址 實(shí)現(xiàn)�,如下所述����。由于IP地址對(duì)窺探設(shè)備320有效�,因此窺探設(shè)備將處理 分組并返回回波分組。
圖4是示出根據(jù)本發(fā)明的各示例性方面的窺探設(shè)備的方塊圖���。圖4中 所示的窺探設(shè)備400是以混雜模式運(yùn)行的設(shè)備��。此類窺探設(shè)備以公知的方 式運(yùn)行�。但是����,由于本發(fā)明的窺探回波響應(yīng)提取技術(shù),窺探設(shè)備400被"誘 騙"響應(yīng)回波請(qǐng)求��,因此將自身標(biāo)識(shí)為以混雜模式運(yùn)行的設(shè)備��。
窺探設(shè)備400包括硬件層410和網(wǎng)際協(xié)議層420��。硬件層410可以例 如是網(wǎng)絡(luò)接口卡(NIC)��。蔬探設(shè)備400在硬件層410接收回波請(qǐng)求�����。在步 驟412中,硬件層410忽略分組的目的地MAC地址并將分組轉(zhuǎn)發(fā)到IP層 420���。
在步驟422中�����,IP層420記錄分組信息����。在步驟424中����,IP層420 判定目的地IP地址是否與系統(tǒng)的已配置IP地址匹配。如果IP地址不匹配�����, 則在步驟426中IP層420將忽略分組���。但是�,如果在步驟424中IP地址 匹配�,則在步驟428中IP層420將處理分組。如果為回波請(qǐng)求����,則處理分 組的結(jié)果是IP層420生成回波響應(yīng),此回波響應(yīng)在網(wǎng)絡(luò)上通過硬件層410 被返回�。
因此,本發(fā)明的一個(gè)目標(biāo)是生成具有將被窺探設(shè)備400處理的IP地址的回波請(qǐng)求�����。實(shí)現(xiàn)此目標(biāo)的一種方式是遍歷子網(wǎng)中的所有IP地址��,針對(duì)每
個(gè)IP地址發(fā)送一個(gè)回波請(qǐng)求�����。但是�����,某些IP地址將由合法設(shè)務(wù)使用�;因 此,根據(jù)本發(fā)明的一個(gè)示例性方面�,發(fā)送設(shè)務(wù)使用假M(fèi)AC地址。只有混雜 設(shè)備將接收具有假目的地MAC地址的分組�����。當(dāng)發(fā)送目的地IP地址與窺探設(shè) 備400的配置IP地址匹配的回波請(qǐng)求時(shí),窺探設(shè)備400將處理分組并返回 回波響應(yīng)���。
根據(jù)本發(fā)明的另一個(gè)示例性實(shí)施例�����,提取回波響應(yīng)的另一種方式是生 成具有假M(fèi)AC地址和廣播IP地址的回波請(qǐng)求分組�。如果網(wǎng)絡(luò)上的每個(gè)設(shè)備 接收此類分組����,則設(shè)備將處理分組。但是���,合法設(shè)備的硬件層將由于假目 的地MAC地址而忽略此類分組�����。然而���,窺探設(shè)備400將忽略MAC地址并將 分組轉(zhuǎn)發(fā)到IP層以進(jìn)行處理。由于廣播IP地址對(duì)于設(shè)備400有效���,因此 窺探設(shè)備400將處理分組并返回回波響應(yīng)���。
圖5A-5C示出了根據(jù)本發(fā)明的各示例性方面的實(shí)例回波請(qǐng)求分組。更 具體地說�����,圖5A示出了典型的回波響應(yīng)分組�����。圖5A中所示的分組包括源 MAC地址和目的地MAC地址����。
轉(zhuǎn)到圖5B,將目的地MAC地址設(shè)置為假M(fèi)AC地址�。因此,任何響應(yīng)圖 5B的回波請(qǐng)求分組的設(shè)備都肯定以窺皿式運(yùn)行����。還要指出的是,圖5B 中的分組具有有效的目的地IP地址����。為了處理分組���,接收設(shè)備必須查找與 設(shè)備的已配置IP地址匹配的IP地址。根據(jù)本發(fā)明的一個(gè)示例性實(shí)施例�, 發(fā)送設(shè)備重復(fù)生成和發(fā)送回波請(qǐng)求分組,從而遍歷子網(wǎng)中的各IP地址���。
現(xiàn)在參考圖5C��,使用廣播IP地址生成回波響應(yīng)消息�。再次地��,目的 地MAC地址是假M(fèi)AC地址���。因此���,除非連接到網(wǎng)絡(luò)的設(shè)備以窺探模式運(yùn)行, 否則將不會(huì)接收到響應(yīng)�。在圖5C中所示的實(shí)例中,將目的地IP地址設(shè)置 為廣播IP地址��。在所示實(shí)例中���,廣播IP地址為"255.255.255.0";但是��, 廣^番IP地址可以隨網(wǎng)絡(luò)配置而不同��。
圖6是示出才艮據(jù)本發(fā)明的示例性實(shí)施例的使用循環(huán)IP地址的窺探回波 響應(yīng)提取器的操作的流程圖��。圖7是示出根據(jù)本發(fā)明的示例性實(shí)施例的使 用廣播IP地址的窺探回波響應(yīng)提取器的操作的流程圖���。將理解的是,流程圖說明的每個(gè)方塊��,以及流程圖說明中的方塊組合都可以由計(jì)算;to^呈序指 令實(shí)現(xiàn)�。
這些計(jì)算機(jī)程序指令可以被提供給處理器或其他可編程數(shù)據(jù)處理裝置 以生成機(jī)器,以l更在所述處理器或其他可編程數(shù)據(jù)處理裝置上執(zhí)行的指令 產(chǎn)生用于實(shí)現(xiàn)一個(gè)或多個(gè)流程圖方塊中指定的功能的裝置��。這些計(jì)算枳4呈 序指令也可以被包含在能夠指示處理器或其他可編程數(shù)據(jù)處理裝置以特定 方式運(yùn)行的計(jì)算機(jī)可讀存儲(chǔ)器����、存儲(chǔ)裝置或傳輸介質(zhì)中,以便存儲(chǔ)在計(jì)算 機(jī)可讀存儲(chǔ)器或存儲(chǔ)介質(zhì)中的指令生成包括實(shí)現(xiàn)一個(gè)或多個(gè)流程圖方塊中 指定的功能的指令裝置的制品�。
相應(yīng)地,流程圖說明的方塊支持用于執(zhí)行指定功能的裝置組合�、用于 執(zhí)行指定功能的步驟組合以及用于執(zhí)行指定功能的計(jì)算機(jī)可用程序代碼。 還將理解的是����,流程圖說明的每個(gè)方塊�����,以及流程圖說明中的方塊組合都 可以由執(zhí)行指定功能或步驟的基于專用硬件的計(jì)算機(jī)系統(tǒng)�,或者由專用硬 件和計(jì)算機(jī)指令的組合實(shí)現(xiàn)����。
具體參考圖6,其中示出了窺探回波響應(yīng)提取器的操作���。操作開始����, 窺探回波響應(yīng)提取器選擇子網(wǎng)中的下一個(gè)有效地址(方塊602 )��。窺探回 波響應(yīng)提取器生成具有假M(fèi)AC地址的回波響應(yīng)分組(方塊604 )并將回波 響應(yīng)分組發(fā)送到選定地址(方塊606 )���。接下來�����,窺探回波響應(yīng)提取器判 定是否接收到回波響應(yīng)(方塊608 )�����。
如果未接收到回波響應(yīng)��,則窺探回波響應(yīng)提取器判定是否已考慮子網(wǎng) 中的最后一個(gè)地址(方塊610)��。如果已考慮最后一個(gè)地址����,則操作結(jié)束。 如果在方塊610中尚未考慮最后一個(gè)地址����,則操作將返回方塊602以選擇 子網(wǎng)中的下一個(gè)地址�����。此過程將一直循環(huán)����,直到已考慮子網(wǎng)中的所有地址。
如果在方塊608中接收到回波響應(yīng)�����,則窺探回波響應(yīng)提取器將標(biāo)識(shí)混 雜設(shè)備(方塊612)。然后�,操作繼續(xù)到方塊610以如上所述判定是否已 考慮子網(wǎng)中的最后一個(gè)地址。在方塊612中�,可以通過檢查回波響應(yīng)分組 以查找源IP地址來標(biāo)識(shí)惡意設(shè)備。標(biāo)識(shí)了混雜設(shè)備之后���,便可以采取糾正 操作��?���?赡苓B接到網(wǎng)絡(luò)的計(jì)算設(shè)備只是運(yùn)行錯(cuò)誤��。如果標(biāo)識(shí)了窺探設(shè)備��,則可以進(jìn)行調(diào)查以定位惡意設(shè)備或阻止所有來自此設(shè)備的業(yè)務(wù)����,從而阻止 此設(shè)備訪問連接到網(wǎng)絡(luò)的資源。
參考圖7�,其中示出了使用廣播IP地址的窺探回波響應(yīng)提取器的操作。 操作開始�����,窺探回波響應(yīng)提取器生成具有假M(fèi)AC地址(方塊702 )和廣播 IP地址的回波響應(yīng)分組。然后��,窺探回波響應(yīng)提取器將回波響應(yīng)分組發(fā)送 到廣播IP地址(方塊704 )����。接下來,窺探回波響應(yīng)提取器判定是否接收 到回波響應(yīng)(方塊706 )�����。
如果接收到回波響應(yīng)���,則操作結(jié)束�。如果在方塊706中接收到回波響 應(yīng)�����,則窺探回波響應(yīng)提取器將標(biāo)識(shí)混雜設(shè)備(方塊708 )并且操作結(jié)束�。 在方塊708中��,可以通過檢查回波響應(yīng)分組以查找源IP地址來標(biāo)識(shí)惡意設(shè) 備��。標(biāo)識(shí)了混雜設(shè)備之后���,便可以采取糾正操作�����?�?赡苓B接到網(wǎng)絡(luò)的計(jì)算 設(shè)備只是運(yùn)行錯(cuò)誤��。如果標(biāo)識(shí)了窺探設(shè)備����,則可以進(jìn)行調(diào)查以定位惡意設(shè) 備或阻止所有來自此設(shè)備的業(yè)務(wù),從而阻止此設(shè)備訪問連接到網(wǎng)絡(luò)的資源���。
因此�����,本發(fā)明通過提供一種用于在網(wǎng)絡(luò)環(huán)境中標(biāo)識(shí)窺探設(shè)備的機(jī)制�, 解決了現(xiàn)有技術(shù)的缺點(diǎn)�����。窺探回波響應(yīng)提取器生成具有假M(fèi)AC地址的將僅 由窺探設(shè)備接收的回波請(qǐng)求分組���。窺探回波響應(yīng)提取器還使用將導(dǎo)致窺探 設(shè)備應(yīng)答回波請(qǐng)求的IP地址���。
本發(fā)明可以采取完全硬件實(shí)施例�����、完全軟件實(shí)施例或包含硬件和軟件 元素兩者的實(shí)施例的形式�����。在一個(gè)優(yōu)選實(shí)施例中�,本發(fā)明以軟件實(shí)現(xiàn)����,所 述軟件包括但不限于固件、駐留軟件���、微代碼等��。
此外,本發(fā)明可以采取可從計(jì)算機(jī)可用或計(jì)算機(jī)可讀介質(zhì)訪問的計(jì)算 機(jī)程序產(chǎn)品的形式�,所述計(jì)算機(jī)可用或計(jì)算機(jī)可讀介質(zhì)提供了可以被計(jì)算 機(jī)或任何指令執(zhí)行系統(tǒng)使用或與計(jì)算機(jī)或任何指令執(zhí)行系統(tǒng)結(jié)合的程序代 碼。出于此描述的目的�,計(jì)算機(jī)可用或計(jì)算機(jī)可讀介質(zhì)可以是任何能夠包 含���、存儲(chǔ)、傳送�����、傳播或傳輸由指令執(zhí)行系統(tǒng)�����、裝置或設(shè)備使用或與所述 指令執(zhí)行系統(tǒng)�����、裝置或設(shè)備結(jié)合的程序的裝置�����。
所述介質(zhì)可以是電����、磁、光��、電磁�、紅外線或半導(dǎo)體系統(tǒng)(或裝置或 設(shè)備)或傳播介質(zhì)��。計(jì)算機(jī)可讀介質(zhì)的實(shí)例包括半導(dǎo)體或固態(tài)存儲(chǔ)器�����、磁帶��、可移動(dòng)計(jì)算機(jī)盤�����、隨才;i^取存儲(chǔ)器(RAM)�����、只讀存儲(chǔ)器(R0M)����、硬磁盤 和光盤�。光盤的當(dāng)前實(shí)例包括光盤-只讀存儲(chǔ)器(CD-ROM)、光盤-讀/寫 (CR-R/W)和DVD�����。
適合于存儲(chǔ)和/或執(zhí)行程序代碼的數(shù)據(jù)處理系統(tǒng)將包括至少一個(gè)通過 系統(tǒng)總線直接或間接連接到存儲(chǔ)器元件的處理器�����。所述存儲(chǔ)器元件可以包 括在程序代碼的實(shí)際執(zhí)行期間采用的本地存儲(chǔ)器�����、大容量存儲(chǔ)裝置以及提 供至少某些程序代碼的臨時(shí)存儲(chǔ)以減少必須在執(zhí)行期間從大容量存儲(chǔ)裝置 檢索代碼的次數(shù)的高速緩沖存儲(chǔ)器���。
輸入/輸出或1/0設(shè)備(包括但不限于鍵盤����、顯示器����、指點(diǎn)設(shè)備等)可 以直接或通過中間1/0控制器與系統(tǒng)相連。
網(wǎng)絡(luò)適配器也可以被連接到系統(tǒng)以使所述數(shù)據(jù)處理系統(tǒng)能夠通過中間
調(diào)制解調(diào)器����、電纜調(diào)制解調(diào)器和以太網(wǎng)卡只是幾種當(dāng)前可用的網(wǎng)絡(luò)適配器類型。
出于示例和+兌明目的給出了對(duì)本發(fā)明的描述���,并且所述描述并非旨在 是窮舉的或是將本發(fā)明限于所公開的形式���。對(duì)于本領(lǐng)域的技術(shù)人員來說����, 許多修改和變化都將是顯而易見的����。實(shí)施例的選擇和描述是為了最佳地解 釋本發(fā)明的原理、實(shí)際應(yīng)用���,并且當(dāng)適合于所構(gòu)想的特定使用時(shí)���,使得本 領(lǐng)域的其他技術(shù)人員能夠理解本發(fā)明的具有各種修改的各種實(shí)施例。
權(quán)利要求
1.一種用于從計(jì)算機(jī)網(wǎng)絡(luò)中的窺探設(shè)備提取響應(yīng)的計(jì)算機(jī)實(shí)現(xiàn)的方法�����,所述計(jì)算機(jī)實(shí)現(xiàn)的方法包括生成具有特定硬件地址和有效網(wǎng)絡(luò)協(xié)議地址的回波請(qǐng)求分組以從窺探設(shè)備引出回波響應(yīng)���;在所述計(jì)算機(jī)網(wǎng)絡(luò)上發(fā)送所述回波請(qǐng)求分組���;響應(yīng)于在所述計(jì)算機(jī)網(wǎng)絡(luò)上接收到回波響應(yīng)分組,確定窺探設(shè)備的存在��。
2. 如權(quán)利要求l中所述的計(jì)算機(jī)實(shí)現(xiàn)的方法,其中生成回波請(qǐng)求分組 包括從子網(wǎng)中選擇所述有效網(wǎng)絡(luò)協(xié)議地址����,所述計(jì)算機(jī)實(shí)現(xiàn)的方法進(jìn)一步 包括中的每個(gè)網(wǎng)絡(luò)協(xié)議地址生成回波請(qǐng)求分組�����。
3. 如權(quán)利要求1或2中所述的計(jì)算機(jī)實(shí)現(xiàn)的方法��,其中所述有效網(wǎng)絡(luò) 協(xié)議地址是廣播地址���。
4. 如權(quán)利要求l�����、 2或3中所述的計(jì)算機(jī)實(shí)現(xiàn)的方法���,其中所述特定 硬件地址是假介質(zhì)訪問控制地址、廣播介質(zhì)訪問控制地址或多播介質(zhì)訪問 控制地址��。
5. 如權(quán)利要求1到4中的任一權(quán)利要求中所述的計(jì)算機(jī)實(shí)現(xiàn)的方法����, 還包括檢查所述回波響應(yīng)分組以標(biāo)識(shí)所述窺探i殳備的源網(wǎng)絡(luò)地址。
6. 如權(quán)利要求5中所述的計(jì)算機(jī)實(shí)現(xiàn)的方法,還包括 阻止所有源自所述窺探設(shè)備的所述源網(wǎng)絡(luò)地址的網(wǎng)絡(luò)業(yè)務(wù)��。
7. —種用于從計(jì)算機(jī)網(wǎng)絡(luò)中的窺探設(shè)備提取響應(yīng)的裝置��,所述裝置包括處理器����;在運(yùn)行上連接到所述處理器的網(wǎng)絡(luò)適配器;以及在運(yùn)行上連接到所述處理器的存儲(chǔ)器�,其中所述存儲(chǔ)器具有存儲(chǔ)在其 中的計(jì)算機(jī)指令,其中所述處理器在所述計(jì)算機(jī)指令的控制下��,生成具有特定硬件地址和有 效網(wǎng)絡(luò)協(xié)議地址的回波請(qǐng)求分組以從窺探設(shè)備引出回波響應(yīng)�,使用所述網(wǎng) 絡(luò)適配器將所述回波請(qǐng)求分組發(fā)送到所述計(jì)算機(jī)網(wǎng)絡(luò),以及響應(yīng)于在所述 計(jì)算機(jī)網(wǎng)絡(luò)上接收到回波響應(yīng)分組��,確定窺探設(shè)備的存在����。
8.如權(quán)利要求7中所述的裝置,其中所述處理器從子網(wǎng)中選擇所述有 效網(wǎng)絡(luò)協(xié)議地址�����;以及
9.如權(quán)利要求7或8中所述的裝置���,其中所述有效網(wǎng)絡(luò)協(xié)議地址是廣 播地址�����。
10. 如權(quán)利要求7����、 8或9中所述的裝置,其中所述特定硬件地址是假 介質(zhì)訪問控制地址���、廣播介質(zhì)訪問控制地址或多播介質(zhì)訪問控制地址。
11. 如權(quán)利要求8中所述的裝置�,其中所述處理器檢查所述回波響應(yīng) 分組以標(biāo)識(shí)所述窺探^:備的源網(wǎng)絡(luò)地址并阻止所有源自所述窺探i殳備的所 述源網(wǎng)絡(luò)地址的網(wǎng)絡(luò)業(yè)務(wù)。
12. —種用于從計(jì)算機(jī)網(wǎng)絡(luò)中的窺探設(shè)備提取響應(yīng)的計(jì)算機(jī)程序產(chǎn) 品��,所述計(jì)算機(jī)程序產(chǎn)品包括其中包含計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可 用介質(zhì)����;配置為生成具有特定硬件地址和有效網(wǎng)絡(luò)協(xié)議地址的回波請(qǐng)求分組以 從窺探設(shè)備引出回波響應(yīng)的計(jì)算機(jī)可用程序代碼;配置為在所述計(jì)算機(jī)網(wǎng)絡(luò)上發(fā)送所述回波請(qǐng)求分組的計(jì)算機(jī)可用程序 代碼����;配置為響應(yīng)于在所述計(jì)算機(jī)網(wǎng)絡(luò)上接收到回波響應(yīng)分組而確定窺探設(shè) 備的存在的計(jì)算機(jī)可用程序代碼。
全文摘要
提供了一種用于確定網(wǎng)絡(luò)環(huán)境中的窺探設(shè)備的機(jī)制���。窺探回波響應(yīng)提取器生成回波請(qǐng)求分組�����,該回波請(qǐng)求分組具有將僅由窺探設(shè)備接收的假M(fèi)AC地址�。所述窺探回波響應(yīng)提取器還使用將導(dǎo)致所述窺探設(shè)備響應(yīng)所述回波請(qǐng)求的IP地址。
文檔編號(hào)H04L29/06GK101300811SQ200680040929
公開日2008年11月5日 申請(qǐng)日期2006年10月9日 優(yōu)先權(quán)日2005年11月22日
發(fā)明者S·P·馬倫, T·A·布朗, V·文卡塔蘇布拉 申請(qǐng)人:國際商業(yè)機(jī)器公司