【技术实现步骤摘要】
本专利技术属于网络通信,具体而言,涉及一种网络有效ip/mac的快速识别方法、装置及存储介质。
技术介绍
1、随着网络的迅猛发展和网络规模的迅速膨胀,网络流量也越来越大,网络对人们的生活、工作、生产的影响也越来越大;对网络流量进行分析,及时掌握网络的真实、实时状态,对判断是否存在异常或问题能够提供有力的依据及支撑。通常内网环境属于较为“纯粹”的网络环境,无论是ip、网络、协议、业务等均进行提前规划或设计,但是在实际的生产生活中往往会由于错误的不合规的操作、不合理的网络配置以及第三方服务等导致网络中出现不应当出现的ip、服务、协议等,这些不符合规划范围的数据尽管通常不会造成网络异常,但是却给数据分析造成一定干扰。所以,网络流量分析中若能快速地避开干扰项,将一定程度提高分析结果的及时性和准确性。因而,如何快速分析得到网络中真实有效的ip、mac、ip/mac对信息是减少无效分析、提高分析效率的关键之一。
技术实现思路
1、本专利技术旨在提供一种一种网络有效ip/mac的快速识别方法、装置及存储介质,从而解决了如何在不接入网络或不进行任何的网络接入的前提下,通过流量分析快速发现网络环境中真实有效存在的ip、mac、ip/mac对的技术问题。
2、为了解决上述技术问题,本专利技术提供了一种网络有效ip/mac的快速识别方法,其中,该自动识别方法具体包括如下步骤:
3、s1、接收内网旁路镜像的网络数据包;
4、s2、根据网络通信协议判断网络数据包的类型来获
5、s3、当网络数据包的类型为tcp连接的数据包时,则根据tcp连接的数据包所对应的ttl值是否为基数和tcp连接的数据包是否有双向通信来判断从tcp连接的数据包中获取的有效ip、有效mac或有效ip/mac是否加入确认ip集合、确认mac集合或确认ip/mac集合中。
6、优选地,当网络数据包的类型为arp数据包时,若arp数据包为发送包则将源ip/mac放入确认ip/mac集合中,若arp数据包为相应包则将源ip/mac以及响应报文中的ip、mac加入确认ip/mac集合中。
7、优选地,当网络数据包的类型为广播/组播数据包时,则将源ip/mac加入确认ip/mac集合中。
8、优选地,所述步骤s3中的具体步骤包括:
9、s31、判断tcp连接的数据包所对应的ttl值是否为基数;
10、s32、若tcp连接的数据包所对应的ttl值是基数,则判断tcp连接的数据包是否有双向通信并执行步骤s34;
11、s33、若tcp连接的数据包所对应的ttl值不是基数,则判断tcp连接的数据包是否有双向通信并执行步骤s35;
12、s34、若tcp连接的数据包有双向通信,则将源ip/mac和目的ip/mac加入确认ip/mac集合中;若tcp连接的数据包没有双向通信,则将源ip/mac加入确认ip/mac集合中;
13、s35、若tcp连接的数据包有双向通信,则将源ip和目的ip加入确认ip集合中,以及将源mac和目的mac加入确认mac集合中;若tcp连接的数据包没有双向通信,则将源ip加入确认ip集合中,以及将源mac加入确认mac集合中。
14、优选地,根据对数据包的ttl值是否异常来直接判断从数据包中获取的ip、mac和ip/mac的有效性;若数据包的ttl值为异常,则直接结束;若数据包的ttl值不异常,则继续执行步骤s3。
15、优选地,所述tcp连接的数据包是否有双向通信的判断依据为tcp连接的数据包的源ip和目的ip之间是否完成三次握手。
16、优选地,还包括:步骤4、基于确认ip/mac集合对确认ip集合和确认mac集合进行梳理,得到当前网络中最终确认的有效ip集合、有效mac集合、有效ip/mac集合。
17、进一步优选地,所述步骤4的具体步骤包括如下:
18、s41、当确认ip集合中的ip在确认ip/mac集合中存在时,则从确认ip集合中移除该ip,并依次类推更新当前确认ip集合形成最终确认的有效ip集合;
19、s42、当确认mac集合中的mac在确认ip/mac集合中存在时,则从确认mac集合中移除该mac,并依次类推更新当前确认mac集合形成最终确认的有效mac集合;
20、s43、将确认ip/mac集合形成最终确认的有效ip/mac集合。
21、为了解决上述技术问题,本专利技术又提供了一种电子设备,其中,包括:
22、存储器,用于存储计算机程序;
23、处理器,用于执行所述计算机程序时实现如上述所述网络有效ip/mac的快速识别方法。
24、为了解决上述技术问题,本专利技术又提供了一种计算机可读存储介质,其中,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如上述所述网络有效ip/mac的快速识别方法。
25、综上所述,由于采用了上述技术方案,本专利技术的有益效果是:
26、本专利技术所提供的技术方案在完全不影响内网的前提下,将内网网络数据以旁路或镜像方式接入到分析程序,分析程序开始自动抓包,根据tcp连接的数据包、数据包的ttl值、arp包及广播/组播的原理及特性进行分析,不仅能快速对网络环境中有效的ip、mac以及ip/mac进行筛选提取,还能方便用户或分析人员掌握网络的真实状态,为后续数据深度分析时提供数据支撑。
本文档来自技高网...【技术保护点】
1.一种网络有效IP/MAC的快速识别方法,其特征在于,该自动识别方法具体包括如下步骤:
2.根据权利要求1所述网络有效IP/MAC的快速识别方法,其特征在于,当网络数据包的类型为ARP数据包时,若ARP数据包为发送包则将源IP/MAC放入确认IP/MAC集合中,若ARP数据包为相应包则将源IP/MAC以及响应报文中的IP、MAC加入确认IP/MAC集合中。
3.根据权利要求1所述网络有效IP/MAC的快速识别方法,其特征在于,当网络数据包的类型为广播/组播数据包时,则将源IP/MAC加入确认IP/MAC集合中。
4.根据权利要求1所述网络有效IP/MAC的快速识别方法,其特征在于,所述步骤S3中的具体步骤包括:
5.根据权利要求1所述网络有效IP/MAC的快速识别方法,其特征在于,在步骤S3进行之前还包括:根据对数据包的TTL值是否异常来直接判断从数据包中获取的IP、MAC和IP/MAC的有效性;若数据包的TTL值为异常,则直接结束;若数据包的TTL值不异常,则继续执行步骤S3。
6.根据权利要求1所述网络有效IP/M
7.根据权利要求1所述网络有效IP/MAC的快速识别方法,其特征在于,还包括:步骤4、基于确认IP/MAC集合对确认IP集合和确认MAC集合进行梳理,得到当前网络中最终确认的有效IP集合、有效MAC集合、有效IP/MAC集合。
8.根据权利要求7所述网络有效IP/MAC的快速识别方法,其特征在于,所述步骤4的具体步骤包括如下:
9.一种电子设备,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如权利要求1至8任一项所述网络有效IP/MAC的快速识别方法。
...【技术特征摘要】
1.一种网络有效ip/mac的快速识别方法,其特征在于,该自动识别方法具体包括如下步骤:
2.根据权利要求1所述网络有效ip/mac的快速识别方法,其特征在于,当网络数据包的类型为arp数据包时,若arp数据包为发送包则将源ip/mac放入确认ip/mac集合中,若arp数据包为相应包则将源ip/mac以及响应报文中的ip、mac加入确认ip/mac集合中。
3.根据权利要求1所述网络有效ip/mac的快速识别方法,其特征在于,当网络数据包的类型为广播/组播数据包时,则将源ip/mac加入确认ip/mac集合中。
4.根据权利要求1所述网络有效ip/mac的快速识别方法,其特征在于,所述步骤s3中的具体步骤包括:
5.根据权利要求1所述网络有效ip/mac的快速识别方法,其特征在于,在步骤s3进行之前还包括:根据对数据包的ttl值是否异常来直接判断从数据包中获取的ip、mac和ip/mac的有效性;若数据包的ttl...
【专利技术属性】
技术研发人员:付从海,龚海澎,蒋烈,王庭宇,闫玉龙,谢东,代德锐,李晓泉,
申请(专利权)人:四川英得赛克科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。