一种恶意代码终端感染机器网络定位方法
一种恶意代码终端感染机器网络定位方法
【技术领域】
[0001]本发明涉及计算机网络安全技术领域,特别涉及一种对互联网中感染恶意代码的终端机器进行定位的方法。
【背景技术】
[0002]目前,随着科技的发展,互联网已经成为人们日常工作和生活不可缺少的部分,互联网安全,也逐渐延伸到人们的日常工作生活中。为了能够保证网络安全,互联网行业监管部门、基础运营商以及安全厂商,需在骨干网、城域网各网络节点开展恶意代码实时监测,以及时掌握和发现恶意代码活动和感染情况,从而进行监测预警和有效处置。
[0003]为了能够及时有效处理恶意代码感染事件,需要能够准确的找到被恶意代码感染的终端设备,然而,目前对于如何快速准确定位恶意代码感染设备,存在一系列的困难。如何针对互联网监测平台监测的感染数据,快速有效定位到具体的感染终端(PC机或服务器),面临以下问题:
1.互联网数据是无边界的,难以确定感染数据的区域归属和运营商;
2.面对IP在分配时频繁更新的情况,如何确定感染数据的准确用户信息;
3.面对IP资源不足时使用NAT转换的情况,甚至是多层NAT的复杂网络情况,如何快速有效进行子网出口 IP定位以及内网主机IP;
4.面对网络出口不具备各种辅助日志进行内网IP跟踪的情况下,如何有效进行内外主机定位。
[0004]面对上述问题,目前还没能找到一种行之有效的恶例代码终端感染机器的定位方法。
【发明内容】
[0005]本发明旨在给出一种能够快速有效的恶意代码终端感染机器网络定位方法,这是实现及时有效开展恶意代码清除工作的前提,从而为网络安全提供支撑和保障。
[0006]本发明所述的恶意代码终端感染机器网络定位方法,包括如下步骤:
A、骨干网定位
在骨干网设置网络监测平台,监测平台包括监测探头和信息处理中心;监控探头在网络上通过对目标对象进行扫描、爬虫或抓包,获取网络数据;信息处理中心对获取的网络数据进行分析和过滤处理,对与标定为恶意代码异常特征相匹配的网络数据的数据包进行元素提取,提取恶意代码感染数据的网络五元组信息;提取五元组信息中的恶意目的IP地址和感染恶意代码的互联网IP地址,将感染恶意代码的互联网IP地址与互联网公开的IP资源库进行匹配,确定IP所属基础运营商及所属省份,实现运营商及区域的初定位;
B、城域网定位
将步骤A提取的感染恶意代码的互联网IP地址,与运营商掌握互联网IP资源管理库进行匹配,实现感染恶意代码的IP用户信息初定位;若IP为动态IP,则直接定位到拨号用户账号;若IP为静态IP,则将定位到专线用户信息;
C、专线用户内网定位
当专线用户的IP直接配置在终端服务器时,则完成了恶意代码终端感染机器网络定位;
当专线用户的IP是NAT (Network Address Translat1n,网络地址转换)方式分配时:首先,查阅网络安全审计系统;通过查阅网络安全审计系统的网络行为日志,结合感染数据恶意目的IP和目的端口,查询在对应时间点与恶意目的IP通信的本地内部源IP地址,实现专线用户的内网定位;
若无网络安全审计系统,或网络行为日志中未搜索到与恶意目的IP地址相关的通信日志,则通过防火墙日志进行内网IP定位;采用文件IP关键词搜索的方式,进行历史日志查找,搜索访问恶意目的IP地址的源IP地址,实现专线用户的内网定位;
若也无防火墙日志,或防火墙日志中仍未搜索到访问恶意目的IP地址的源IP地址,则采取网络出口抓包的方式进行定位;在互联网出口路由器前面(即做NAT之前),将局域网内所有出入互联网的数据包采用镜像或者分光的方式,复制一份实时网络通信数据,进行抓包分析;利用抓包工具包匹配功能,进行数据比对分析,搜索与恶意目的IP地址发生过通信行为的源IP地址,实现专线用户的内网定位;
D、感染终端定位
如步骤C定位到的源IP地址对应的设备是终端机,则可以根据内网IP或者MAC地址完成感染终端机器定位;
如步骤C定位到的源IP地址对应的设备非终端机,有下一级子网,则按照步骤C中的方法继续对其下一级子网定位,依此重复,直至找到终端机,从而完成恶意代码感染终端机器的定位。
[0007]本发明所述的恶意代码终端感染机器网络定位方法,很好的克服了现有技术中恶意代码终端感染机器的网络定位的困难。该定位方法的实现不完全依赖于安全监测设备,即使在无额外部署的安全监测设备的情况下,仍然可以通过搜索防火墙日志及网络出口抓包等方式,实现对恶意代码感染终端机器的定位。同时,其还不受网络级数的限制,非常方便的实现了多级网络下的内网IP定位。
[0008]本发明所述的恶意代码终端感染机器网络定位方法,其步骤C中,采取网络出口抓包的方式进行定位时,在外网保持持续抓包一段时间仍未能捕获到目标数据包,可以在保持抓包的过程中将网络中断一小段时间后重连网络。
[0009]其采用连续抓包和网络重连相结合的方式,很好的解决了恶意代码不处在活跃期难以捕获定位的问题,缩短恶意代码潜伏期,通过促发其主动外连的方式,实现快速有效地对恶意代码终端感染机器的IP网络定位。
【附图说明】
[0010]图1为恶意代码终端感染机器网络定位图。
【具体实施方式】
[0011]一种恶意代码终端感染机器网络定位方法,首先进行骨干网定位,在骨干网设置网络监测平台,监测平台包括监测探头和信息处理中心;监控探头在网络上通过对目标对象进行扫描、爬虫或抓包,获取网络数据;信息处理中心对获取的网络数据进行分析和过滤处理,对与标定为恶意代码异常特征相匹配的网络数据的数据包进行元素提取,提取网络五元组信息;获取五元组信息中的恶意目的IP地址和感染恶意代码的互联网IP地址,将感染恶意代码的互联网IP地址与互联网公开的IP资源库进行匹配,确定IP所属基础运营商及所属省份,实现运营商及区域的初定位。然后进行城域网定位,将步骤A提取的感染恶意代码的互联网IP地址,与运营商掌握互联网IP 资源管理库进行匹配,实现感染恶意代码的IP用户信息初定位;glP为动态IP,则直接定位到拨号用户账号;gip为静态IP,则将定位到专线用户信息。再进行专线用户内网定位,当专线用户的IP直接配置在终端服务器时,贝1J完成了恶意代码终端感染机器网络定位;当专线用户的IP是NAT (Network AddressTranslat1n,网络地址转换)方式分配时:首先,查阅网络安全审计系统;通过查阅网络安全审计系统的网络行为日志,结合感染数据恶意目的IP和目的端口,查询在对应时间点与恶意目的IP通信的本地内部源IP地址,实现专线用户的内网定位。若无网络安全审计系统,或网络行为日志中未搜索到与恶意目的IP地址相关的通信日志,则通过防火墙日志进行内网IP定位;采用文件IP关键词搜索的方式,进行历史日志查找,搜索访问恶意目的IP地址的源IP地址,实现专线用户的内网定位。若也无防火墙日志,或防火墙日志中仍未搜索到访问恶意目的IP地址的源IP地址,则采取网络出口抓包的方式进行定位;在互联网出口路由器前面(即做NAT之前),将局域网内所有出入互联网的数据包采用镜像或者分光的方式,复制一份实时网络通信数据,进行抓包分析;利用抓包工具包匹配功能,进行数据比对分析,搜索与恶意目的IP地址发生过通信行为的源IP地址,实现专线用户的内网定位。最后进行感染终端定位,如步骤C定位到的源IP地址对应的设备是终端机,则可以根据内网IP或者MAC地址完成感染终端机器定位;如步骤C定位到的源IP地址对应的设备非终端机,有下一级子网,则按照步骤C中的方法继续对其下一级子网定位,依此重复,直至找到终端机,从而完成恶意代码感染终端机器的定位。
[0012]所述方法,根据不同情况进行展开分析定位,针对多级子网嵌套的情况采用迭代的方式进行逐级定位,直到最后以找到目标感染终端为止。方便的实现了多级网络下的内网IP定位。
[0013]上述方法中,信息中心节点出口定位步骤中,可将针对恶意目的IP地址对信息中心节点出口进行抓包得到的五元组与异常数据进行匹配,以能验证源IP地址是否确实在和恶意目的IP进行异常数据通信,从而对定位的源IP地址是否真正感染恶意代码进行验证。
【主权项】
1.一种恶意代码终端感染机器网络定位方法,其特征在于:包括如下步骤: A、骨干网定位 在骨干网设置网络监测平台,监测平台包括监测探头和信息处理中心;监控探头在网络上通过对目标对象进行扫描、爬虫或抓包,获取网络数据;信息处理中心对获取的网络数据进行分析和过滤处理,对与标定为恶意代码异常特征相匹配的网络数据的数据包进行元素提取,提取恶意代码感染数据的网络五元组信息;提取五元组信息中的恶意目的IP地址和感染恶意代码的互联网IP地址,将感染恶意代码的互联网IP地址与互联网公开的IP资源库进行匹配,确定IP所属基础运营商及所属省份,实现运营商及区域的初定位; B、城域网定位 将步骤A提取的感染恶意代码的互联网IP地址,与运营商掌握互联网IP资源管理库进行匹配,实现感染恶意代码的IP用户信息初定位;若IP为动态IP,则直接定位到拨号用户账号;若IP为静态IP,则将定位到专线用户信息; C、专线用户内网定位 当专线用户的IP直接配置在终端服务器时,则完成了恶意代码终端感染机器网络定位; 当专线用户的IP是NAT (Network Address Translat1n,网络地址转换)方式分配时: 首先,查阅网络安全审计系统;通过查阅网络安全审计系统的网络行为日志,结合感染数据恶意目的IP和目的端口,查询在对应时间点与恶意目的IP通信的本地内部源IP地址,实现专线用户的内网定位; 若无网络安全审计系统,或网络行为日志中未搜索到与恶意目的IP地址相关的通信日志,则通过防火墙日志进行内网IP定位;采用文件IP关键词搜索的方式,进行历史日志查找,搜索访问恶意目的IP地址的源IP地址,实现专线用户的内网定位; 若也无防火墙日志,或防火墙日志中仍未搜索到访问恶意目的IP地址的源IP地址,则采取网络出口抓包的方式进行定位;在互联网出口路由器前面(即做NAT之前),将局域网内所有出入互联网的数据包采用镜像或者分光的方式,复制一份实时网络通信数据,进行抓包分析;利用抓包工具包匹配功能,进行数据比对分析,搜索与恶意目的IP地址发生过通信行为的源IP地址,实现专线用户的内网定位; D、感染终端定位 如步骤C定位到的源IP地址对应的设备是终端机,则可以根据内网IP或者MAC地址完成感染终端机器定位; 如步骤C定位到的源IP地址对应的设备非终端机,有下一级子网,则按照步骤C中的方法继续对其下一级子网定位,依此重复,直至找到终端机,从而完成恶意代码感染终端机器的定位。2.根据权利要求1所述的恶意代码终端感染机器网络定位方法,其特征在于:步骤C中,采取网络出口抓包的方式进行定位时,在外网保持持续抓包一段时间仍未能捕获到目标数据包,可以在保持抓包的过程中将网络中断一小段时间后重连网络。3.根据权利要求1所述的恶意代码终端感染机器网络定位方法,其特征在于:步骤C中,采用网络出口抓包的方式进行定位过程中,将针对恶意目的IP地址抓包得到的五元组信息与异常数据进行匹配,以验证源IP地址是否确实在和恶意目的IP进行异常数据通信,从而能对定位的源IP地址是否真正感染恶意代码进行验证。
【专利摘要】本发明公开了一种恶意代码终端感染机器网络定位方法。包括骨干网定位步骤、信息中心节点出口定位步骤和感染总段机器定位步骤。很好的克服了常见恶意代码感染数据从互联网侧到最终感染终端在网络定位方面遇到的困难,其在不依赖安全检测设备的情况下,非常方便的实现了不同网络层面下的恶意代码终端感染机器的网络定位。
【IPC分类】H04L29/06, H04L12/24, H04L12/26
【公开号】CN104901850
【申请号】CN201510322046
【发明人】梁斌, 王宜阳, 宋苑, 胡赢, 刘家豪, 李晓东, 李佳, 徐晓燕, 康学斌, 董建武
【申请人】国家计算机网络与信息安全管理中心广东分中心
【公开日】2015年9月9日
【申请日】2015年6月12日
【技术领域】
[0001]本发明涉及计算机网络安全技术领域,特别涉及一种对互联网中感染恶意代码的终端机器进行定位的方法。
【背景技术】
[0002]目前,随着科技的发展,互联网已经成为人们日常工作和生活不可缺少的部分,互联网安全,也逐渐延伸到人们的日常工作生活中。为了能够保证网络安全,互联网行业监管部门、基础运营商以及安全厂商,需在骨干网、城域网各网络节点开展恶意代码实时监测,以及时掌握和发现恶意代码活动和感染情况,从而进行监测预警和有效处置。
[0003]为了能够及时有效处理恶意代码感染事件,需要能够准确的找到被恶意代码感染的终端设备,然而,目前对于如何快速准确定位恶意代码感染设备,存在一系列的困难。如何针对互联网监测平台监测的感染数据,快速有效定位到具体的感染终端(PC机或服务器),面临以下问题:
1.互联网数据是无边界的,难以确定感染数据的区域归属和运营商;
2.面对IP在分配时频繁更新的情况,如何确定感染数据的准确用户信息;
3.面对IP资源不足时使用NAT转换的情况,甚至是多层NAT的复杂网络情况,如何快速有效进行子网出口 IP定位以及内网主机IP;
4.面对网络出口不具备各种辅助日志进行内网IP跟踪的情况下,如何有效进行内外主机定位。
[0004]面对上述问题,目前还没能找到一种行之有效的恶例代码终端感染机器的定位方法。
【发明内容】
[0005]本发明旨在给出一种能够快速有效的恶意代码终端感染机器网络定位方法,这是实现及时有效开展恶意代码清除工作的前提,从而为网络安全提供支撑和保障。
[0006]本发明所述的恶意代码终端感染机器网络定位方法,包括如下步骤:
A、骨干网定位
在骨干网设置网络监测平台,监测平台包括监测探头和信息处理中心;监控探头在网络上通过对目标对象进行扫描、爬虫或抓包,获取网络数据;信息处理中心对获取的网络数据进行分析和过滤处理,对与标定为恶意代码异常特征相匹配的网络数据的数据包进行元素提取,提取恶意代码感染数据的网络五元组信息;提取五元组信息中的恶意目的IP地址和感染恶意代码的互联网IP地址,将感染恶意代码的互联网IP地址与互联网公开的IP资源库进行匹配,确定IP所属基础运营商及所属省份,实现运营商及区域的初定位;
B、城域网定位
将步骤A提取的感染恶意代码的互联网IP地址,与运营商掌握互联网IP资源管理库进行匹配,实现感染恶意代码的IP用户信息初定位;若IP为动态IP,则直接定位到拨号用户账号;若IP为静态IP,则将定位到专线用户信息;
C、专线用户内网定位
当专线用户的IP直接配置在终端服务器时,则完成了恶意代码终端感染机器网络定位;
当专线用户的IP是NAT (Network Address Translat1n,网络地址转换)方式分配时:首先,查阅网络安全审计系统;通过查阅网络安全审计系统的网络行为日志,结合感染数据恶意目的IP和目的端口,查询在对应时间点与恶意目的IP通信的本地内部源IP地址,实现专线用户的内网定位;
若无网络安全审计系统,或网络行为日志中未搜索到与恶意目的IP地址相关的通信日志,则通过防火墙日志进行内网IP定位;采用文件IP关键词搜索的方式,进行历史日志查找,搜索访问恶意目的IP地址的源IP地址,实现专线用户的内网定位;
若也无防火墙日志,或防火墙日志中仍未搜索到访问恶意目的IP地址的源IP地址,则采取网络出口抓包的方式进行定位;在互联网出口路由器前面(即做NAT之前),将局域网内所有出入互联网的数据包采用镜像或者分光的方式,复制一份实时网络通信数据,进行抓包分析;利用抓包工具包匹配功能,进行数据比对分析,搜索与恶意目的IP地址发生过通信行为的源IP地址,实现专线用户的内网定位;
D、感染终端定位
如步骤C定位到的源IP地址对应的设备是终端机,则可以根据内网IP或者MAC地址完成感染终端机器定位;
如步骤C定位到的源IP地址对应的设备非终端机,有下一级子网,则按照步骤C中的方法继续对其下一级子网定位,依此重复,直至找到终端机,从而完成恶意代码感染终端机器的定位。
[0007]本发明所述的恶意代码终端感染机器网络定位方法,很好的克服了现有技术中恶意代码终端感染机器的网络定位的困难。该定位方法的实现不完全依赖于安全监测设备,即使在无额外部署的安全监测设备的情况下,仍然可以通过搜索防火墙日志及网络出口抓包等方式,实现对恶意代码感染终端机器的定位。同时,其还不受网络级数的限制,非常方便的实现了多级网络下的内网IP定位。
[0008]本发明所述的恶意代码终端感染机器网络定位方法,其步骤C中,采取网络出口抓包的方式进行定位时,在外网保持持续抓包一段时间仍未能捕获到目标数据包,可以在保持抓包的过程中将网络中断一小段时间后重连网络。
[0009]其采用连续抓包和网络重连相结合的方式,很好的解决了恶意代码不处在活跃期难以捕获定位的问题,缩短恶意代码潜伏期,通过促发其主动外连的方式,实现快速有效地对恶意代码终端感染机器的IP网络定位。
【附图说明】
[0010]图1为恶意代码终端感染机器网络定位图。
【具体实施方式】
[0011]一种恶意代码终端感染机器网络定位方法,首先进行骨干网定位,在骨干网设置网络监测平台,监测平台包括监测探头和信息处理中心;监控探头在网络上通过对目标对象进行扫描、爬虫或抓包,获取网络数据;信息处理中心对获取的网络数据进行分析和过滤处理,对与标定为恶意代码异常特征相匹配的网络数据的数据包进行元素提取,提取网络五元组信息;获取五元组信息中的恶意目的IP地址和感染恶意代码的互联网IP地址,将感染恶意代码的互联网IP地址与互联网公开的IP资源库进行匹配,确定IP所属基础运营商及所属省份,实现运营商及区域的初定位。然后进行城域网定位,将步骤A提取的感染恶意代码的互联网IP地址,与运营商掌握互联网IP 资源管理库进行匹配,实现感染恶意代码的IP用户信息初定位;glP为动态IP,则直接定位到拨号用户账号;gip为静态IP,则将定位到专线用户信息。再进行专线用户内网定位,当专线用户的IP直接配置在终端服务器时,贝1J完成了恶意代码终端感染机器网络定位;当专线用户的IP是NAT (Network AddressTranslat1n,网络地址转换)方式分配时:首先,查阅网络安全审计系统;通过查阅网络安全审计系统的网络行为日志,结合感染数据恶意目的IP和目的端口,查询在对应时间点与恶意目的IP通信的本地内部源IP地址,实现专线用户的内网定位。若无网络安全审计系统,或网络行为日志中未搜索到与恶意目的IP地址相关的通信日志,则通过防火墙日志进行内网IP定位;采用文件IP关键词搜索的方式,进行历史日志查找,搜索访问恶意目的IP地址的源IP地址,实现专线用户的内网定位。若也无防火墙日志,或防火墙日志中仍未搜索到访问恶意目的IP地址的源IP地址,则采取网络出口抓包的方式进行定位;在互联网出口路由器前面(即做NAT之前),将局域网内所有出入互联网的数据包采用镜像或者分光的方式,复制一份实时网络通信数据,进行抓包分析;利用抓包工具包匹配功能,进行数据比对分析,搜索与恶意目的IP地址发生过通信行为的源IP地址,实现专线用户的内网定位。最后进行感染终端定位,如步骤C定位到的源IP地址对应的设备是终端机,则可以根据内网IP或者MAC地址完成感染终端机器定位;如步骤C定位到的源IP地址对应的设备非终端机,有下一级子网,则按照步骤C中的方法继续对其下一级子网定位,依此重复,直至找到终端机,从而完成恶意代码感染终端机器的定位。
[0012]所述方法,根据不同情况进行展开分析定位,针对多级子网嵌套的情况采用迭代的方式进行逐级定位,直到最后以找到目标感染终端为止。方便的实现了多级网络下的内网IP定位。
[0013]上述方法中,信息中心节点出口定位步骤中,可将针对恶意目的IP地址对信息中心节点出口进行抓包得到的五元组与异常数据进行匹配,以能验证源IP地址是否确实在和恶意目的IP进行异常数据通信,从而对定位的源IP地址是否真正感染恶意代码进行验证。
【主权项】
1.一种恶意代码终端感染机器网络定位方法,其特征在于:包括如下步骤: A、骨干网定位 在骨干网设置网络监测平台,监测平台包括监测探头和信息处理中心;监控探头在网络上通过对目标对象进行扫描、爬虫或抓包,获取网络数据;信息处理中心对获取的网络数据进行分析和过滤处理,对与标定为恶意代码异常特征相匹配的网络数据的数据包进行元素提取,提取恶意代码感染数据的网络五元组信息;提取五元组信息中的恶意目的IP地址和感染恶意代码的互联网IP地址,将感染恶意代码的互联网IP地址与互联网公开的IP资源库进行匹配,确定IP所属基础运营商及所属省份,实现运营商及区域的初定位; B、城域网定位 将步骤A提取的感染恶意代码的互联网IP地址,与运营商掌握互联网IP资源管理库进行匹配,实现感染恶意代码的IP用户信息初定位;若IP为动态IP,则直接定位到拨号用户账号;若IP为静态IP,则将定位到专线用户信息; C、专线用户内网定位 当专线用户的IP直接配置在终端服务器时,则完成了恶意代码终端感染机器网络定位; 当专线用户的IP是NAT (Network Address Translat1n,网络地址转换)方式分配时: 首先,查阅网络安全审计系统;通过查阅网络安全审计系统的网络行为日志,结合感染数据恶意目的IP和目的端口,查询在对应时间点与恶意目的IP通信的本地内部源IP地址,实现专线用户的内网定位; 若无网络安全审计系统,或网络行为日志中未搜索到与恶意目的IP地址相关的通信日志,则通过防火墙日志进行内网IP定位;采用文件IP关键词搜索的方式,进行历史日志查找,搜索访问恶意目的IP地址的源IP地址,实现专线用户的内网定位; 若也无防火墙日志,或防火墙日志中仍未搜索到访问恶意目的IP地址的源IP地址,则采取网络出口抓包的方式进行定位;在互联网出口路由器前面(即做NAT之前),将局域网内所有出入互联网的数据包采用镜像或者分光的方式,复制一份实时网络通信数据,进行抓包分析;利用抓包工具包匹配功能,进行数据比对分析,搜索与恶意目的IP地址发生过通信行为的源IP地址,实现专线用户的内网定位; D、感染终端定位 如步骤C定位到的源IP地址对应的设备是终端机,则可以根据内网IP或者MAC地址完成感染终端机器定位; 如步骤C定位到的源IP地址对应的设备非终端机,有下一级子网,则按照步骤C中的方法继续对其下一级子网定位,依此重复,直至找到终端机,从而完成恶意代码感染终端机器的定位。2.根据权利要求1所述的恶意代码终端感染机器网络定位方法,其特征在于:步骤C中,采取网络出口抓包的方式进行定位时,在外网保持持续抓包一段时间仍未能捕获到目标数据包,可以在保持抓包的过程中将网络中断一小段时间后重连网络。3.根据权利要求1所述的恶意代码终端感染机器网络定位方法,其特征在于:步骤C中,采用网络出口抓包的方式进行定位过程中,将针对恶意目的IP地址抓包得到的五元组信息与异常数据进行匹配,以验证源IP地址是否确实在和恶意目的IP进行异常数据通信,从而能对定位的源IP地址是否真正感染恶意代码进行验证。
【专利摘要】本发明公开了一种恶意代码终端感染机器网络定位方法。包括骨干网定位步骤、信息中心节点出口定位步骤和感染总段机器定位步骤。很好的克服了常见恶意代码感染数据从互联网侧到最终感染终端在网络定位方面遇到的困难,其在不依赖安全检测设备的情况下,非常方便的实现了不同网络层面下的恶意代码终端感染机器的网络定位。
【IPC分类】H04L29/06, H04L12/24, H04L12/26
【公开号】CN104901850
【申请号】CN201510322046
【发明人】梁斌, 王宜阳, 宋苑, 胡赢, 刘家豪, 李晓东, 李佳, 徐晓燕, 康学斌, 董建武
【申请人】国家计算机网络与信息安全管理中心广东分中心
【公开日】2015年9月9日
【申请日】2015年6月12日
最新回复(0)