[发明专利]一种基于ICMP协议的多种网络互联的主动探测方法

说明书

【技术领域】

本发明涉及网络安全监管的技术领域，特别涉及一种基于ICMP协议的多种网络互联的主动探测方法。

【背景技术】

网络互联是将两个及以上的通讯网络通过一定的方法连接起来，来实现不同网络中的用户进行互相通讯。在只允许在内部网络中通讯的公司或政府部门，当有人通过某种手段将外部网络接入，导致两种网络互通时，很容易造成内部网络招到外部网络的攻击，而丧失了内部网络的安全性。所以探测网络互联，找出互联点可以有效的保护内网安全。目前用的比较多的内外网互联方法是通过单网卡多IP方式实现的。

ICMP(Internet Control Message Protocol)为Internet控制报文协议，用于在IP主机、路由器之前传递控制消息，控制消息包含网络通不通、主机是否可达、路由是否可用等网络本身的消息。我们通常使用的用于检查网络通不通的Ping命令就是ICMP协议工作的过程。因此，有必要针对单网卡多IP方式，提出一种基于ICMP协议的多种网络互联主动探测方法。

【发明内容】

本发明的目的在于克服上述现有技术的不足，提供一种基于ICMP协议的多种网络互联的主动探测方法，其旨在解决现有技术中内外网络互通时，很容易造成内部网络招到外部网络的攻击，而丧失了内部网络的安全性的技术问题。

为实现上述目的，本发明提出了一种基于ICMP协议的多种网络互联的主动探测方法，基于通过内外网互联设备实现内外网互联，并在内外网互联设备上配置双IP地址实现同时访问内外网的情形下，通过向可以同时访问内外网的内外网互联设备发送伪造的ICMP探测数据包的方式来探测是否同时连接内外网，具体步骤如下：

S1)、在外网上搭建用于接收伪造的ICMP探测数据包的外联服务器，在内网上搭建用于发送伪造的ICMP探测数据包的探测服务器；

S2)、内网内的探测服务器发送伪造的ICMP探测数据包，所述的ICMP探测数据包包括目标地址、请求地址和ICMP数据部分，所述的目标地址写入ICMP数据部分；

S3)、当内外网互联设备接收到伪造的ICMP探测数据包后，会发送相匹配的ICMP响应数据包至外联服务器；

S4)、外联服务器接收到ICMP响应数据包后，解析ICMP响应数据包中ICMP数据部分所写入的目标地址，即可分析出该目标地址的内外网互联设备外联。

作为优选，所述的内外网互联设备包括路由设备。

作为优选，所述的步骤S2中目标地址为内网内检测范围中内外网互联设备的IP地址，请求地址伪造为外联服务器IP地址。

作为优选，所述的步骤S4中外联服务器解析出ICMP数据部分所写入的目标地址后，即可获取并定位内外网互联设备的IP地址。

本发明的有益效果：与现有技术相比，本发明提供的一种基于ICMP协议的多种网络互联的主动探测方法，通过向可以同时访问内外网的内外网互联设备发送伪造的ICMP探测数据包的方式，来探测该内外网互联设备是否同时连接内外网实现网络互联的主动探测，一旦内外网互联设备同时访问内外网，当内外网互联设备接收到伪造的ICMP探测数据包后就会发送相匹配的ICMP响应数据包，外联服务器对ICMP响应数据包中的ICMP数据部分进行解析后，就可分析出ICMP数据部分中写入的目标地址，通过该目标地址就可获取并定位同时访问内外网的内外网互联设备；若内外网互联设备只连接了内网而没有连接外网，内外网互联设备接收到伪造的ICMP探测数据包后发送不到外联服务器，即表示该内外网互联设备没有连接外网。

本发明的特征及优点将通过实施例结合附图进行详细说明。

【附图说明】

图1是本发明实施例一种基于ICMP协议的多种网络互联的主动探测方法的流程图。

【具体实施方式】

为使本发明的目的、技术方案和优点更加清楚明了，下面通过附图及实施例，对本发明进行进一步详细说明。但是应该理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。