[发明专利]内联网计算机与因特网未授权连接监测系统及方法

权利要求书

1、一种内联网计算机与因特网未授权连接监测系统，它包括：

在与因特网隔离的支持TCP/IP协议的内联网中设置的内网服务器，用于发送欺骗的探测网络数据到内联网内的目标计算机；

连接在因特网上的外网服务器，用于接收目标计算机对探测网络数据的应答，根据是否收到应答来判断被监测的目标计算机是否接入因特网或与因特网断开。

2、如权利要求1所述的内联网计算机与因特网未授权连接监测系统，其特征在于所述的探测网络数据是这样的结构：在其IP帧头中，源IP地址使用外网服务器绑定的IP地址，目的IP地址为内联网内目标计算机的IP地址。

3、如权利要求1或2所述的内联网计算机与因特网未授权连接监测系统，其特征在于：内网服务器可连在内联网的任意位置。

4、如权利要求1或2所述的内联网计算机与因特网未授权连接监测系统，其特征在于：内网服务器采用可以发送原始TCP/IP数据的服务器。

5、如权利要求1或2所述的内联网计算机与因特网未授权连接监测系统，其特征在于：外网服务器采用可以接收原始TCP/IP数据的服务器。

6、如权利要求1或2所述的内联网计算机与因特网未授权连接监测系统，其特征在于：内网服务器和外网服务器可以安装在同一台物理计算机上，或是不同的物理计算机上。

7、一种内联网计算机与因特网未授权连接监测方法，它包括：

a、内网服务器连接于内联网，外网服务器绑定于与因特网相连的一个IP地址，事先获取内网服务器的MAC地址和外网服务器绑定的IP地址；

b、内网服务器按获取的上述配置信息伪造探测网络数据；

c、内网服务器向目标计算机发送上述探测网络数据；

d、外网服务器根据返回的探测网络数据的应答数据来判断目标计算机是否直接与因特网相连：外网服务器如果收不到任何应答数据则表示该计算机没有直接与因特网相连；如果收到应答数据，则判断是否是通过授权的路由进行应答，如果是，则该计算机没有与因特网相连，如果不是，则可断定其与因特网相连。

8、如权利要求7所述的内联网计算机与因特网未授权连接监测方法，其特征在于在步骤b中，采用如下方法伪造探测网络数据：在IP帧头中，源IP地址使用外网服务器绑定的IP地址，目的IP地址为内联网内目标计算机的IP地址；探测网络数据封装在以太协议中，其以太帧头是正常的，其中源MAC地址，是使用内网服务器发送网络接口的MAC地址，而目的MAC地址如果是在同一子网中，则直接使用目标计算机网络接口的MAC地址，如果不再同一子网中，则使用默认路由器的MAC地址。

9、如权利要求7所述的内联网计算机与因特网未授权连接监测方法，其特征在于：在步骤c中，内网服务器使用发送原始包的方法发送上述探测网络数据包。