基于NTLM认证的主机信息识别获取方法技术

本申请涉及一种基于NTLM认证的主机信息识别获取方法，通过客户端向所述服务器发起NTLM质询请求；所述服务器接收所述NTLM质询请求，并向所述客户端返回NTLM质询响应；所述客户端接收并解析所述NTLM质询响应，获取所述服务器的主机信息。利用NTLM认证协议认证第二阶段数据包会携带主机名信息的特性，实现内网主机名信息收集功能。通过主机端口提供的不同服务，由客户端向服务发送NTLM认证请求数据报文，客户端读取NTLM质询响应报文，解析得到目标机器名信息。可以批量、高效的实现主机信息收集；通过网络层进行信息收集，无需登陆该主机；无需采用HIDS等高成本的设备，仅用一个软件即可实现主机信息收集。件即可实现主机信息收集。件即可实现主机信息收集。

【技术实现步骤摘要】
基于NTLM认证的主机信息识别获取方法


[0001]本公开涉及信息采集
，尤其涉及一种基于NTLM认证的主机信息识别获取方法、装置和电子设备。

技术介绍

[0002]在企业中，需要对内网主机资产进行统计，其中需要明确该主机的主机名、系统版本、MAC地址、DNS域名等信息。以方便进行资产管理或者根据系统版本进行补丁管理，现有的主机信息收集方案一般分为如下三种：
[0003]通常是人工登陆主机进行该主机的信息收集；
[0004]所有主机使用脚本统一收集信息；
[0005]部署HIDS，安装Agent进行主机信息收集；
[0006]这三种方案均需要登陆到员工主机或者服务器上进行操作，或留下脚本及Agent文件。因此，存在如下问题：
[0007]人工信息收集效率低下，无法进行批量收集；
[0008]使用脚本或Agent的方式需要保存文件在主机上，破坏原主机生态；
[0009]成本高、效率低。

技术实现思路

[0010]为了解决上述问题，本申请提出一种基于NTLM认证的主机信息识别获取方法、装置和电子设备。
[0011]本申请一方面，提出一种基于NTLM认证的主机信息识别获取方法，包括如下步骤：
[0012]在客户端和服务器之间建立连接；
[0013]通过所述客户端向所述服务器发起NTLM质询请求；
[0014]所述服务器接收所述NTLM质询请求，并向所述客户端返回NTLM质询响应；
[0015]所述客户端接收并解析所述NTLM质询响应，获取所述服务器的主机信息。
[0016]作为本申请的一可选实施方案，可选地，所述在客户端和服务器之间建立连接，包括：
[0017]确定目标端口；
[0018]通过所述客户端向所述目标端口所在的目标服务器发起tcp连接请求；
[0019]所述目标服务器接收所述tcp连接请求并进行确认，与所述客户端建立tcp通信信道。
[0020]作为本申请的一可选实施方案，可选地，所述通过所述客户端向所述服务器发起NTLM质询请求，包括：
[0021]获取目标端口的端口号；
[0022]根据所述端口号，选择待发送的NTLM协商数据包；
[0023]所述客户端发送所述NTLM协商数据包至所述服务器，请求获取所述服务器的NTLM
质询响应。
[0024]作为本申请的一可选实施方案，可选地，所述NTLM协商数据包的构造方法为：
[0025]预设NTLM协商数据包格式；
[0026]根据所述NTLM协商数据包格式，构建并保存所述NTLM协商数据包至所述客户端上；
[0027]其中，NTLM协商数据包格式，包括：签名、消息类型、协商标志、域名字段、工作站字段、版本和负载。
[0028]作为本申请的一可选实施方案，可选地，所述服务器接收所述NTLM质询请求，并向所述客户端返回NTLM质询响应，包括：
[0029]所述服务器接收所述NTLM质询请求，并获取所述NTLM质询请求中的所述NTLM协商数据包；
[0030]所述服务器根据所述NTLM协商数据包，获取所述NTLM协商数据包中的协商标志；
[0031]所述服务器跟据所述协商标志，向所述客户端返回包含自身主机信息的响应报文；
[0032]其中，所述响应报文结构，包括：签名、消息类型、目标名字段、协商标志、服务端挑战、保留字段、目标信息字段、版本和负载。
[0033]作为本申请的一可选实施方案，可选地，所述客户端接收并解析所述NTLM质询响应，获取所述服务器的主机信息，包括：
[0034]所述客户端接收所述服务器返回的包含自身主机信息的响应报文；
[0035]根据所述响应报文，得到包含所述服务器主机信息的目标信息结构；
[0036]对所述目标信息结构进行解析，获取所述服务器主机信息。
[0037]作为本申请的一可选实施方案，可选地，所述目标信息结构的获取方式为：
[0038]根据所述响应报文的结构，获取目标数据；
[0039]根据所述目标数据，计算目标信息字段的相对偏移，得到目标信息缓冲区偏移；
[0040]根据所述目标信息缓冲区偏移和结构中的目标信息长度，获取目标信息缓冲区结构，以此得到所述目标信息结构。
[0041]本申请另一方面，提出一种实施上述所述的基于NTLM认证的主机信息识别获取方法的装置，包括：
[0042]通信建立模块，用于在客户端和服务器之间建立连接；
[0043]NTLM质询请求模块，用于通过所述客户端向所述服务器发起NTLM质询请求；
[0044]NTLM质询响应模块，用于所述服务器接收所述NTLM质询请求，并向所述客户端返回NTLM质询响应；
[0045]解析模块，用于所述客户端接收并解析所述NTLM质询响应，获取所述服务器的主机信息。
[0046]本申请另一方面，还提出一种电子设备，包括：
[0047]处理器；
[0048]用于存储处理器可执行指令的存储器；
[0049]其中，所述处理器被配置为执行所述可执行指令时实现上述所述的基于NTLM认证的主机信息识别获取方法。
[0050]本专利技术的技术效果：
[0051]本申请通过在客户端和服务器之间建立连接；通过所述客户端向所述服务器发起NTLM质询请求；所述服务器接收所述NTLM质询请求，并向所述客户端返回NTLM质询响应；所述客户端接收并解析所述NTLM质询响应，获取所述服务器的主机信息。利用NTLM认证协议认证第二阶段数据包会携带主机名信息的特性，实现内网主机名信息收集功能。通过主机端口提供的不同服务，由客户端向服务发送NTLM认证请求数据报文，客户端读取服务器返回的NTLM质询响应报文，利用服务端发送的NTLM质询响应解析目标机器名信息。可以批量、高效的实现主机信息收集；通过网络层进行信息收集,无需登陆该主机；无需采用HIDS等高成本的设备，仅用一个软件即可实现主机信息收集。
[0052]根据下面参考附图对示例性实施例的详细说明，本公开的其它特征及方面将变得清楚。
附图说明
[0053]包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面，并且用于解释本公开的原理。
[0054]图1示出为本专利技术认证主体之间的关系示意图；
[0055]图2示出为本专利技术基于NTLM认证的主机信息识别获取方法的实施流程示意图；
[0056]图3示出为本专利技术NTLM协商数据包的结构示意图；
[0057]图4示出为本专利技术报文结构示意图；
[0058]图5示出为本专利技术目标信息结构的示意图；
[0059]图6示出为本专利技术目标信息缓冲区的结构示意图。
具体实施方式
[0060]以下将参考附图详细说明本公开的各种示例性实施例、特征本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于NTLM认证的主机信息识别获取方法，其特征在于，包括如下步骤：在客户端和服务器之间建立连接；通过所述客户端向所述服务器发起NTLM质询请求；所述服务器接收所述NTLM质询请求，并向所述客户端返回NTLM质询响应；所述客户端接收并解析所述NTLM质询响应，获取所述服务器的主机信息。2.根据权利要求1所述的基于NTLM认证的主机信息识别获取方法，其特征在于，所述在客户端和服务器之间建立连接，包括：确定目标端口；通过所述客户端向所述目标端口所在的目标服务器发起tcp连接请求；所述目标服务器接收所述tcp连接请求并进行确认，与所述客户端建立tcp通信信道。3.根据权利要求1所述的基于NTLM认证的主机信息识别获取方法，其特征在于，所述通过所述客户端向所述服务器发起NTLM质询请求，包括：获取目标端口的端口号；根据所述端口号，选择待发送的NTLM协商数据包；所述客户端发送所述NTLM协商数据包至所述服务器，请求获取所述服务器的NTLM质询响应。4.根据权利要求3所述的基于NTLM认证的主机信息识别获取方法，其特征在于，所述NTLM协商数据包的构造方法为：预设NTLM协商数据包格式；根据所述NTLM协商数据包格式，构建并保存所述NTLM协商数据包至所述客户端上；其中，NTLM协商数据包格式，包括：签名、消息类型、协商标志、域名字段、工作站字段、版本和负载。5.根据权利要求3所述的基于NTLM认证的主机信息识别获取方法，其特征在于，所述服务器接收所述NTLM质询请求，并向所述客户端返回NTLM质询响应，包括：所述服务器接收所述NTLM质询请求，并获取所述NTLM质询请求中的所述NTLM协商数据包；所述服务器根据所述NTLM协商数据包，获取所述NTLM协商数据包中的协商标志；所述...

【专利技术属性】
技术研发人员：何云轩，李帅臻，杨常城，李佳峰，
申请(专利权)人：北京中安网星科技有限责任公司，
类型：发明
国别省市：