一种IP资产被动探测发现与IP地址同源关联的方法与流程

本发明涉及ipv6地址发现和管理，具体为一种ip资产被动探测发现与ip地址同源关联的方法。

背景技术：

1、ip地址扫描是我们常用的ip地址的主动发现技术，其主要是通过发送探测包来实现的，通常使用的方法包括ping和traceroute等，在申请号为202211682254.7发明专利中公开了“一种自动发现ip资产的方法、装置和存储介质，该方法包括：获取待扫描的原始ip；根据原始ip确定待扫描ip集；通过基于snmp的扫描方法对待扫描ip集对应的ip资产进行分类；当所述基于snmp的扫描方法无法连通所述待扫描ip集时，通过基于nmap的扫描方法确定所述待扫描ip集对应的ip资产分类。本发明的方法通过获取待扫描的原始ip确定待扫描的ip集，自动确定ip资产的扫描范围；并根据不同的网络环境，使用过snmp或nmap的扫描方法对待扫描的ip集进行管理和分类，提高了ip资产的管理效率和自动化水平，能够快速确定ip资产的位置，有效帮助网络管理员快速梳理网络环境中的ip资产情况。”；

2、上述现有技术解决了对ip资产的管理大多通过人工进行统计并且了解全量资产ip实现困难非常大等问题，但是关于两个协议栈ip地址的发现与同一硬件配置多地址的地址同源问题没有很好的管理解决方案，主动扫描针对两个协议栈进行管理的难度较高，特别是在ipv6地址的管理上，单独使用主动探测方案管理内部ip资产面临暴露面风险等诸多安全挑战。

技术实现思路

1、本发明的目的在于提供一种ip资产被动探测发现与ip地址同源关联的方法，以解决上述背景技术中提出的问题。

2、为实现上述目的，本发明提供如下技术方案：一种ip资产被动探测发现与ip地址同源关联的方法，包括以下步骤：

3、s1、采集ndp表项和arp表项：利用网络设备作为数据帧和ip包转发设备，通过ssh远程操作工具以及api接口技术采集这些网络设备的arp表项和ndp表项，并将采集到的所有表项数据按文件进行本地存储；

4、s2、流量检测：通过在目标区域的出口处进行流量镜像，使得访问端的流量经过该节点发起对目标区域的访问，若目标区域做出了应答，则表示目标区域中存在这个活跃的服务ip地址，提取标志有tcp应答标志位的ip包源地址信息，获取活跃ip资产信息和类别，并将该信息附带数据来源标识进行上报；

5、s3、数据处理：通过在本地存储中获取所有表项数据后，对这些表项数据分别进行解析，提取数据中包含的有用信息后，将其存储至数据库中，通过将流量检测过程中获取到的ip地址、时间点加上来源标识匹配刷新到解析数据中，形成ip资产被动探测统一的ip被动发现方式进行数据实时上报；

6、s4、管理ip资产：根据上报的ip资产信息数据进行ip资产管理，根据资产的更新频率实现ip资产的管理应用，对超出时间限定范围没有进行更新的资产进行资产存活处理。

7、优选的，所述s1中，所述网络设备具体为防火墙、路由器以及交换机。

8、优选的，所述s2具体包括以下步骤：

9、s201、通过在目标区域的出口处进行流量镜像，使得访问端的流量经过该节点发起对目标区域的访问，若目标区域并未做出任何应答，则表示目标区域中不存在这个活跃的服务ip地址，若目标区域做出了应答，则表示目标区域中存在这个活跃的服务ip地址，其余发现的源地址是非服务器的上网终端ip；

10、s202、提取标志有tcp应答标志位的ip包源地址信息，从而实时获取目标区域的活跃ip资产信息和类别，并将该信息附带数据来源标识进行上报，刷新ip资产活跃状态。

11、优选的，所述s3具体包括以下步骤：

12、s301、通过ndp以及adp采集单元中获取所有表项数据后，对这些表项数据分别进行解析后，提取数据中包含的有用信息后，对这些信息数据进行格式化，将其存储至数据库中；

13、s302、将流量检测单元中获取到的ip地址、时间点加上来源标识匹配刷新到解析数据中，形成ip资产被动探测统一的ip被动发现方式进行数据实时上报。

14、优选的，所述s3中，所述有用信息具体为ip地址、mac地址以及时间点。

15、优选的，所述s4具体包括以下步骤：

16、s401、根据上报的ip资产信息数据进行ip资产管理，根据资产的更新频率实现ip资产的管理应用；

17、s402、对超出时间限定范围没有进行更新的资产进行资产存活处理，将不同学习来源的ip地址进行同源关联提供查询能力。

18、优选的，所述s4中，所述ip资产具体为ipv4和ipv6资产。

19、与现有技术相比，本发明的有益效果是：

20、本发明通过利用地址被动发现技术，实现ip地址资产的收集与跟踪，这样的被动技术结合了两种方法，一种通过采集网络设备的arp表项和ndp表项并对表项的内容进行格式化解析后获取新发现的ip地址，另一种是通过在汇聚或出口位置镜像出方向流量，提取和解析流量中的源地址字段，利用tcp握手报文三次握手的特点，根据tcp标志位信息提取内部部署的活跃服务器ip信息，同时满足对ipv4和ipv6的ip资产提取，并且通过不间断的流量采集与侦听可以被动的收集内部ip资产的活跃情况，采用流量镜像解析获取ip资产的方式不但获取ip资产的信息比较及时，还降低了对网络现有的逻辑架构的影响，由于ndp以及arp地址的收集基于网络中已经部署的网络设备，使得其具备成本降低、采集效率高、准确率高以及遗漏的可能性低等优势，可以弥补主动探测需要额外占用网络带宽以及放通网络访问暴漏风险的缺点。

技术特征：

1.一种ip资产被动探测发现与ip地址同源关联的方法，其特征在于，所述方法包括以下步骤：

2.根据权利要求1所述的一种ip资产被动探测发现与ip地址同源关联的方法，其特征在于：所述s1中，所述网络设备具体为防火墙、路由器以及交换机。

3.根据权利要求1所述的一种ip资产被动探测发现与ip地址同源关联的方法，其特征在于：所述s2具体包括以下步骤：

4.根据权利要求1所述的一种ip资产被动探测发现与ip地址同源关联的方法，其特征在于：所述s3具体包括以下步骤：

5.根据权利要求1所述的一种ip资产被动探测发现与ip地址同源关联的方法，其特征在于：所述s3中，所述有用信息具体为ip地址、mac地址以及时间点。

6.根据权利要求1所述的一种ip资产被动探测发现与ip地址同源关联的方法，其特征在于：所述s4具体包括以下步骤：

7.根据权利要求1所述的一种ip资产被动探测发现与ip地址同源关联的方法，其特征在于：所述s4中，所述ip资产具体为ipv4和ipv6资产。

技术总结本发明公开了一种IP资产被动探测发现与IP地址同源关联的方法，涉及IPv6地址发现和管理技术领域，包括以下步骤：S1、采集NDP表项和ARP表项、S2、流量检测、S3、数据处理和S4、管理IP资产。本发明通过不间断的流量采集与侦听可以被动的收集内部IP资产的活跃情况，采用流量镜像解析获取IP资产的方式不但获取IP资产的信息比较及时，还降低了对网络现有的逻辑架构的影响，由于NDP以及ARP地址的收集基于网络中已经部署的网络设备，使得其具备成本降低、采集效率高、准确率高以及遗漏的可能性低等优势，可以弥补主动探测需要额外占用网络带宽以及放通网络访问暴漏风险的缺点。技术研发人员：龙有东,卢会平受保护的技术使用者：北京宏达隆和科技有限公司技术研发日：技术公布日：2024/11/14