【技术实现步骤摘要】
本申请涉及网络通信
,尤其涉及一种防御端口扫描入侵的方法及装置。
技术介绍
随着视频监控系统的网络化,人们越来越关注对监控设备的防护。通常情况下,端口扫描是入侵设备进行攻击之前常见的信息搜集行为,入侵设备通过逐个端口的探测来判断监控设备是否在使用该端口,进而发现监控设备为该端口开放的服务,甚至运行的软件版本,这样,入侵设备通过分析这些提供服务的端口漏洞,选择合适的攻击手段对监控设备进行入侵攻击。由于入侵设备通过端口扫描所获得的信息为入侵设备的入侵攻击提供了重要信息,因此,及时准确地检测到端口扫描入侵,并对端口扫描入侵进行防御,可以保护监控设备的安全。在入侵设备通过逐个端口的探测来判断监控设备是否在使用该端口的过程中,入侵设备先发送一个针对1端口的报文,再发送一个针对2端口的报文,以此类推,在这个过程中,入侵设备不知道哪些端口是开放业务端口,所以是逐个端口探测监控设备。
技术实现思路
有鉴于此,本申请提供一种防御端口扫描入侵的方...
【技术保护点】
一种防御端口扫描入侵的方法,其特征在于,所述方法应用于安全网关上,所述方法包括:接收目的网际协议IP地址为监控设备的报文;判断黑名单中是否存在所述报文携带的源地址信息;若是,则丢弃所述报文;若否,则判断预先配置的白名单中是否存在所述报文携带的目的端口;其中,所述白名单中记录有开放业务端口;若不存在,则确定所述报文是异常访问报文,并将所述报文携带的源IP地址添加到黑名单中。
【技术特征摘要】
1.一种防御端口扫描入侵的方法,其特征在于,所述方法应用于安全网关
上,所述方法包括:
接收目的网际协议IP地址为监控设备的报文;
判断黑名单中是否存在所述报文携带的源地址信息;
若是,则丢弃所述报文;
若否,则判断预先配置的白名单中是否存在所述报文携带的目的端口;其
中,所述白名单中记录有开放业务端口;
若不存在,则确定所述报文是异常访问报文,并将所述报文携带的源IP地
址添加到黑名单中。
2.根据权利要求1所述的方法,其特征在于,所述确定所述报文是异常访
问报文的过程,具体包括:
判断当前是否存在所述报文携带的源IP地址对应的异常访问计数;
如果否,则创建所述源IP地址对应的异常访问计数,并将所述报文携带的
目的端口添加到异常访问计数中,并将所述异常访问计数的数值加1;
如果是,则判断所述源IP地址对应的异常访问计数中是否存在所述报文携
带的目的端口;
如果存在,则保持所述源IP地址对应的异常访问计数的数值不变,如果不
存在,则将所述源IP地址对应的异常访问计数的数值加1;
并进一步判断所述异常访问计数的数值是否超过预设阈值,若超过,则确
定所述报文是异常访问报文,若未超过,则确定所述报文不是异常访问报文。
3.根据权利要求1所述的方法,其特征在于,所述将所述报文携带的源IP
地址添加到黑名单中之后,还包括:
获取所述源IP地址对应的媒体访问控制MAC地址;
将所述MAC地址对应所述源IP地址添加到所述黑名单中;和/或,发送携
带有所述MAC地址的禁入通知报文,以使接收到所述禁入通知报文的网络设备
\t丢弃源MAC地址为所述MAC地址的报文。
4.根据权利要求3所述的方法,其特征在于,所述获取所述源IP地址对应
的MAC地址的过程,具体包括:
通过单播方式发送携带所述源IP地址的查询请求报文,以使接收到所述查
询请求报文的网络设备在确定所述源IP地址对应的路由表项为直连目的网段之
后,查询本地的地址解析协议ARP表项以获取所述源IP地址对应的MAC地址;
接收所述网络设备返回的携带有所述MAC地址的查询响应报文;
从所述查询响应报文中解析出所述MAC地址。
5.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在添加所述MAC地址到黑名单时,将第一禁入时间对应所述MAC地址添
加到黑名单中,以在所述第一禁入时间内丢弃源地址信息在黑名单中的报文;
和/或,
在发送禁入通知报文时,在所述禁入通知报文中添加第二禁入时间,以使
接收到所述禁入通知报文的网络设备在所述第二禁入时间内,丢弃源MAC地址
为所述MAC地址的报文。
6.一种防御端口扫描入侵的装置,其特征在于,所述装置应用于安全网关
上,所述装置包括:
接收单元,用于接收目的网际协议I...
【专利技术属性】
技术研发人员:周迪,赵晖,
申请(专利权)人:浙江宇视科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。