[发明专利]一种ICMP隐蔽隧道检测方法、装置及存储介质

权利要求书

1.一种ICMP隐蔽隧道检测方法，包括：

获得第一ICMP报文；

确定所述第一ICMP报文的IP地址；

至少基于所述IP地址在目标文件中确定对应的对话对象，所述目标文件用于存储对话对象，所述对话对象用于表征已经获得过对应所述IP地址的第二ICMP报文，所述对话对象同时包含所述第二ICMP报文的属性信息，所述属性信息包括所述第二ICMP报文的时间信息，以及内容信息和/或长度信息；

基于所述对话对象确定所述第二ICMP报文的属性信息；

基于所述第一ICMP报文及第二ICMP报文的属性信息确定网络中是否存在ICMP隐蔽隧道。

2.根据权利要求1所述的方法，其中，所述属性信息包括所述第二ICMP报文的报文长度、获得或存储所述第二ICMP报文的时间，当所述第一ICMP报文与第二ICMP报文均是基于同一进程并按照相同版本协议传输的相同类型报文时，均为正常报文，且报文长度相等；

所述基于所述第一ICMP报文及第二ICMP报文的属性信息确定网络中是否存在ICMP隐蔽隧道，包括：

确定所述第一ICMP报文的长度；

若所述第一ICMP报文的长度与第二ICMP报文的长度不相同，则计算获得所述第一ICMP报文及所述第二ICMP报文的时间差；

若所述时间差满足时间阈值，则确定网络中存在所述ICMP隐蔽隧道。

3.根据权利要求1所述的方法，其中，所述属性信息包括所述第二ICMP报文中有效负载的字节偏移、目标字节点的内容、获得或存储所述第二ICMP报文的时间，当所述第一ICMP报文与第二ICMP报文均是基于同一进程并按照相同版本协议传输的相同类型报文时，均为正常报文，且有效负载中至少字节偏移及目标节点的内容分别对应相同；

所述基于所述第一ICMP报文及第二ICMP报文的属性信息确定网络中是否存在ICMP隐蔽隧道，包括：

确定所述第一ICMP报文中有效负载的字节偏移量以及有效负载的目标字节点内容；

若所述第一ICMP报文中有效负载的字节偏移以及有效负载的目标字节点内容与所述第二ICMP报文中有效负载的字节偏移量以及有效负载的目标字节点内容至少部分不同，则计算获得所述第一ICMP报文及所述第二ICMP报文的时间差；

若所述时间差满足时间阈值，则确定网络中存在所述ICMP隐蔽隧道。

4.根据权利要求3所述的方法，其中，所述属性信息还包括所述第二ICMP报文的报文长度，当所述第一ICMP报文与第二ICMP报文均是基于同一进程并按照相同版本协议传输的相同类型报文时，均为正常报文，且报文长度相等；

所述方法还包括：

确定所述第一ICMP报文的长度；

若所述第一ICMP报文与第二ICMP报文的长度相同，同时所述第一ICMP报文中有效负载的字节偏移量以及有效负载的目标字节点内容与所述第二ICMP报文中有效负载的字节偏移量以及有效负载的目标字节点内容对应相同，则确定所述第一ICMP报文与第二ICMP报文为基于同一所述进程发出的报文；

基于所述第一ICMP报文更新对应的所述对话对象中存储的属性信息。

5.根据权利要求4所述的方法，其中，所述目标字节点为有效负载的第i个字节，所述基于所述第一ICMP报文更新对应的所述对话对象中存储的属性信息，包括：

确定所述第一ICMP报文的有效负载中第i+1个字节的内容；

基于所述第i+1个字节内容更新所述属性信息中目标字节点的内容；

确定所述第一ICMP报文中有效负载的字节偏移；

基于所述第一ICMP报文的字节偏移更新所述属性信息中的字节偏移信息，其中，若所述第一ICMP报文的字节偏移与所述属性信息中的第二ICMP报文的报文长度相同，则基于预设的默认值更新所述属性信息中的字节偏移信息，所述默认值与安全ICMP报文中有效负载的标准长度有关。

6.根据权利要求1所述的方法，其中，所述确定所述第一ICMP报文的IP地址，包括：

确定所述第一ICMP报文的源IP地址和目的IP地址。