[发明专利]一种ICMP隐蔽隧道检测方法及系统

说明书

本发明提供ICMP隐蔽隧道检测方法及系统，方法包括以下步骤：接收镜像流量服务器在网络汇聚层中采集到的原始流量包；原始流量包中包括多条消息类型为Request的ICMP流量；对所述原始流量包进行预处理，得到每条ICMP流量对应的三元组数据，所述三元组数据包括payload值；当三元组数据中的payload值满足预设的过滤规则时，对三元组数据进行过滤，将过滤后剩余的三元组数据保存至全局字典中；根据所述全局字典检测是否存在ICMP隐蔽隧道异常。该方法容易部署、性能消耗低、检测耗时少，能够准确检测出网络环境中的ICMP隐蔽隧道，检测精度高。

技术领域

本发明属于网络安全技术领域，具体涉及一种ICMP隐蔽隧道检测方法及系统。

背景技术

互联网控制消息协议(Internet Control Message Protocol，ICMP)是互联网协议族的核心协议之一，它用于网际协议(IP)中发送控制消息，提供可能发生在通信环境中各种问题的反馈，它一般不作为两点间数据传递，但对两点间数据传递起着重要作用。

ICMP协议主要有探测目标主机是否存在、是否可达、传输报文是否超时、获取主机之间一次传输的时间等功能。在ICMP协议中，利用类型(Type)与代码(Code)值可以区分不同类型的功能，目前ICMP消息类型大约有10多种。比如，1)目标不可到达报文(Type为3)可以用来检测路由器或主机是否能传递数据报文，例如，我们要连接对方一个不存在的系统端口(端口号小于1024)时，将返回Type为3、Code为3的ICMP报文，从而可以让发送方放弃连接，常见的不可到达类型还有网络不可到达(Code为0)、主机不可到达(Code为1)、协议不可到达(Code为2)等。2)时间戳请求报文(Type为13)和时间戳应答报文(Type为14)用于测试两台主机之间数据报来回一次的传输时间，传输时主机填充原始时间戳，接收方收到请求后填充接收时间戳并以Type为14的报文格式返回，从而发送方可以计算出这个时间差，但是有些系统并不响应时间戳请求和应答这种报文。3)请求与应答，(请求Type为8，应答Type为0)，是指一台主机往另一台设备发送一个Type为8的ICMP报文，如果途中没有异常(例如被路由器丢弃、目标不回应ICMP或传输失败)，则目标应答Type为0的ICMP报文，说明这台设备存在。在实际网络环境中，开发者或运维人员在排查网络环境问题时，高频使用ping或者traceroute命令来检测网络是否畅通，因此，绝大部分网络环境的防火墙默认开放此协议，正是因为ICMP协议可以穿透防火墙，所以ICMP协议可以被不法分子利用来传输数据。

ICMP隐蔽隧道是指改变ICMP协议默认填充的Data属性值(通常也称为有效载荷payload)，即替换成需要传输的数据。一般情况下，ICMP隐蔽隧道会将数据封装到EchoRequest/Reply等消息类型报文的Data属性中，旨在利用ICMP协议穿透防火墙的检测，从而达到传输数据、指令等非法行为的目的。

在现有技术中，基于完全禁用ICMP协议的方法，该方法会导致检查网络问题的ping、traceroute等命令失效，在现实网络环境中，方法很难实施部署。基于ICMP数据包内容是否符合ICMP协议规范和请求评议标准的方法，该方法的缺点有：性能消耗大，对检测设备的性能要求高，很多ICMP通信并不严格遵守ICMP协议规范和RFC标准，检测结果准确率低。基于内容杂乱并且根据相应的目标传输标识所对应的请求内容和响应内容的统计数据来判断是否存在ICMP隐蔽隧道的方法，需要提取出每一条类型为Request和Reply的流量数据的内容，比较内容是否杂乱、计算传输标识对应的统计数据等一系列操作，该方法较复杂，特别是在流量大的网络环境下，检测模块耗时高。

发明内容

针对现有技术中的缺陷，本发明提供一种ICMP隐蔽隧道检测方法及系统，容易部署，性能消耗低，检测耗时少，检测精度高。

第一方面，一种ICMP隐蔽隧道检测方法，包括以下步骤：