CN101707535B - 检测仿冒网络设备的方法和装置 - Google Patents
检测仿冒网络设备的方法和装置 Download PDFInfo
- Publication number
- CN101707535B CN101707535B CN2009100936792A CN200910093679A CN101707535B CN 101707535 B CN101707535 B CN 101707535B CN 2009100936792 A CN2009100936792 A CN 2009100936792A CN 200910093679 A CN200910093679 A CN 200910093679A CN 101707535 B CN101707535 B CN 101707535B
- Authority
- CN
- China
- Prior art keywords
- packet
- tabulation
- network equipment
- send
- sends
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明提供一种检测仿冒网络设备的方法和装置。方法包括:获取合法网络设备成功发送的多个第一发送数据包,以及所述合法网络设备的网卡侦听到的多个第二发送数据包,获取的任一第二发送数据包的源MAC地址和源IP地址,分别与任一第一发送数据包的源MAC和源IP地址相同;分别生成第一发送数据包列表和第二发送数据包列表;匹配第一发送数据包列表和第二发送数据包列表,在第二发送数据包列表与第一发送数据包列表匹配失败时,确定合法网络设备当前所在的局域网中,存在与合法网络设备相关的仿冒网络设备。本发明在合法网络设备上即可以完成仿冒网络设备的检测过程,提高了仿冒网络设备的检测效率。
Description
技术领域
本发明涉及局域网技术,特别是涉及一种检测仿冒网络设备的方法和装置。
背景技术
因特网协议(Internet Protocol,简称IP)规定每个网络设备的IP地址是唯一的,且在以太网(Ethernet)中每个网络设备都有唯一的介质访问控制(Media Access Control,简称MAC)地址,因此,网络设备可通过IP地址和MAC地址结合的方式唯一标识。
在基于美国电气电子工程师学会(Institute of Electrical and ElectronicEngineers,简称IEEE)802委员会制定的局域网(Local Area Network,简称LAN)标准中的802.1x认证协议,进行用户接入认证的过程中,需要访问外部网络的第一网络设备向交换机发送接入认证请求;交换机将接入认证请求转发给认证服务器,由认证服务器对该认证请求进行认证;如果认证通过,交换机可打开相应的交换机端口,在局域网和外部网络之间放行具有第一网络设备的IP地址和MAC地址的报文;以下将已通过接入认证的网络设备称为合法网络设备。如果有人将其使用的网络设备(以下称为第二网络设备)的IP地址和MAC地址,分别与合法网络设备的IP地址和MAC地址设置得完全一致,第二网络设备则不需要进行接入认证就可访问外部网络。以下将自身的MAC地址和IP地址设置成与其他网络设备真实的MAC地址和IP地址的网络设备,称为仿冒网络设备。如果局域网中存在仿冒网络设备,交换机则无法区分已通过接入认证的合法网络设备还是仿冒网络设备,仿冒网络设备无需认证即可访问外部网络并可获得合法网络设备相同的权益,从而增加了安全隐患,也给利用802.1x认证协议进行收费管理的运营商造成经济损失。
为了检测局域网中是否存在同时盗用合法网络设备的IP地址和MAC地址的仿冒网络设备,现有技术提供了两种实现方法。现有技术一是基于仿冒网络设备的特征实现检测,例如可通过检测局域网中是否有不同网络设备存在完全相同的IP地址和MAC地址,进而判断局域网中是否存在仿冒网络设备。该检测数据包容易被仿冒网络设备通过一些过滤机制,如增设防火墙的方式过滤掉,从而使得仿冒网络设备躲过检测。现有技术二可采用交换机和网络设备一起配合统计流量的方法实现,例如可通过检测合法网络设备上的网络流量和交换机上的网络流量是否一致,进而判断网络中是否存在仿冒网络设备。但该方法需要相应设备在有限的资源上分出部分资源以进行流量统计,因而影响了设备性能,此外,由于交换机和合法网络设备之间在检测过程中存在信息交互,因此增加了网络部署及网络设备维护的难度,使得该方法实现的复杂度较高。
通过上述分析可知,检测局域网中是否存在同时盗用合法网络设备的IP地址和MAC地址的仿冒网络设备的现有技术,至少存在着检测效率较低的技术缺陷。
发明内容
本发明提供一种检测仿冒网络设备的方法和装置,用以提高局域网中是否存在仿冒网络设备的检测效率。
本发明提供了一种检测仿冒网络设备的方法,包括:
获取合法网络设备成功发送的多个第一发送数据包,以及所述合法网络设备的网卡侦听到的多个第二发送数据包,获取的任一所述第二发送数据包的源介质访问控制MAC地址和源因特网协议IP地址,分别与任一所述第一发送数据包的源MAC和源IP地址相同;
根据获取的多个所述第一发送数据包和多个所述第二发送数据包,分别生成第一发送数据包列表和第二发送数据包列表;
匹配所述第一发送数据包列表和所述第二发送数据包列表,在所述第二发送数据包列表与所述第一发送数据包列表匹配失败时,确定所述合法网络设备当前所在的局域网中,存在与所述合法网络设备相关的仿冒网络设备。
本发明还提供了一种检测仿冒网络设备的装置,包括:
发送数据包信息获取模块,用于获取合法网络设备成功发送的多个第一发送数据包,以及所述合法网络设备的网卡侦听到的多个第二发送数据包,获取的任一所述第二发送数据包的源介质访问控制MAC地址和源因特网协议IP地址,分别与任一所述第一发送数据包的源MAC和源IP地址相同;
列表生成模块,用于根据获取的多个所述第一发送数据包和多个所述第二发送数据包,分别生成第一发送数据包列表和第二发送数据包列表;
匹配判决模块,用于匹配所述第一发送数据包列表和所述第二发送数据包列表,在所述第二发送数据包列表与所述第一发送数据包列表匹配失败时,确定所述合法网络设备当前所在的局域网中,存在与所述合法网络设备相关的仿冒网络设备。
本发明在检测局域网中是否存在同时盗用合法网络设备的IP地址和MAC地址的仿冒网络设备时,只需要在合法网络设备上即可以完成仿冒网络设备的检测过程,因此仿冒网络设备避开检测的难度较大,检测过程相对简单,从而提高了仿冒网络设备的检测效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明第一实施例提供的检测仿冒网络设备的方法流程图;
图2为本发明检测仿冒网络设备的应用场景网络结构示意图;
图3为本发明第二实施例提供的检测仿冒网络设备的方法流程图;
图4为本发明第三实施例提供的检测仿冒网络设备的装置结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明第一实施例提供的检测仿冒网络设备的方法流程图。本实施例的执行主体可为安装在已通过接入认证的合法网络设备上的认证客户端。如图1所示,本实施例检测仿冒网络设备的方法包括:
步骤11、获取合法网络设备成功发送的多个第一发送数据包,以及该合法网络设备的网卡侦听到的多个第二发送数据包,获取的任一第二发送数据包的源MAC地址和源IP地址,分别与任一第一发送数据包的源MAC和源IP地址相同。
合法网络设备是指通过接入认证的网络设备,本发明实施例涉及的合法网络设备可部署在局域网中,当合法网络设备成功发送了某个数据包时,合法网络设备安装的认证客户端可记录合法网络设备自身成功发送的数据包,即为本发明实施例涉及的第一发送数据包。
第二发送数据包的类型为由设备向局域网其他设备或外部网络发送的数据包。在具体实现过程中,合法网络设备上的认证客户端可通过抓包等技术手段获取网卡侦听到的、源MAC和源IP均与第一发送数据包相同的第二发送数据包;或者,合法网络设备上的认证客户端可通过抓包等技术手段获取网卡侦听到的所有发送数据包,并从中过滤出其源IP地址和源MAC地址分别与第一发送数据包的源IP地址和源MAC相同的数据包,作为获取的第二发送数据包
步骤12、根据获取的多个第一发送数据包和多个第二发送数据包,分别生成第一发送数据包列表和第二发送数据包列表。
第一发送数据包列表中存储有获取的各第一发送数据包;第二发送数据包列表中存储有获取的各第二发送数据包。
步骤13、匹配第一发送数据包列表和第二发送数据包列表,在第二发送数据包列表与第一发送数据包列表匹配失败时,确定合法网络设备当前所在的局域网中,存在与合法网络设备相关的仿冒网络设备。
在匹配第一发送数据包列表和第二发送数据包列表的过程中,可将第二发送数据包列表中存储的第二发送数据包的数量,与第一发送数据包列表中存储的第一发送数据包的数量进行比较,如果二者的差值大于预设门限值,则说明第二发送数据包列表与第一发送数据包列表之间的匹配失败。如果二者的差值没有超过预设门限值,可判决二者匹配成功。或者,为了提高判决的准确性,可选的,将第二发送数据包列表中的每个第二发送数据包,分别与第一发送数据包列表中的每个第一发送数据包进行内容比较,如果二者内容相同,则匹配成功,否则匹配失败。
下面说明本实施例实现仿冒网络设备检测的机理。通常局域网中的网络设备通过集线器(HUB)的不同端口连接,经由集线器进行相互通信或与外部网络设备通信。集线器的主要功能是对接收到的信号进行再生整形放大,以扩大网络的传输距离;其工作机理是广播(broadcast),无论是从集线器的哪一个端口接收到什么类型的数据包,都以广播的形式将数据包发送给集线器的其余的所有端口,由连接在这些端口上的网卡进行判断和处理这些信息,留下所需信息,否则丢弃。例如:网卡判断这些信息中哪些信息的IP地址和MAC地址与当前主机的IP地址和MAC地址相符,留下具有与当前主机IP地址和MAC地址匹配的IP地址与MAC地址的信息,而丢弃其他信息。当合法网络设备留下了具有与自身IP地址和MAC地址匹配的IP地址与MAC地址的数据包时,合法网络设备上安装的认证客户端可通过抓包等技术手段,获取具有与网卡IP地址和MAC地址匹配的IP地址与MAC地址的数据包的备份,即获取第二发送数据包。
具有相同源IP地址和源MAC地址的第二发送数据包的来源可能有两个,其中一个来源为合法网络设备自身成功发送的第一发送数据包。第一发送数据包须通过网卡并经由集线器发送到外部网络。合法网络设备的网卡可侦听到合法网络设备自身成功发送的第一发送数据包,如果局域网中不存在与该合法网络设备连接在同一集线器的仿冒网络设备,则抓取到的源IP和源MAC相同的第二发送数据包的数量及内容,应与合法网络设备实际成功发送的第一发送数据包相同。
具有相同源IP地址和源MAC地址的第二发送数据包的另一来源是局域网中与该合法网络设备连接在同一集线器的仿冒网络设备成功发送的数据包。当仿冒网络设备成功发送了某一数据包时,集线器会将该数据包向该集线器的其他端口上连接的网卡广播。由于仿冒网络设备的源MAC和源IP地址与合法网络设备的源MAC和源IP地址分别相同,因此,合法网络设备的认证客户端可抓取网卡侦听到的仿冒网络设备发送的数据包。
通过上述分析可知,如果局域网中存在仿冒网络设备,则合法网络设备的认证客户端抓取到与第一发送数据包具有相同源IP地址和源MAC地址的第二发送数据包,由两部分组成:合法网络设备自身成功发送的数据包,以及仿冒网络设备成功发送的数据包。前者与合法网络设备记录的第一数据包是相同的,后者绝大多数情况下与第一数据包内容不同。因此,如果认证客户端在相同时长内,抓取到的第二发送数据包和第一发送数据包的数量差值较大,则可确定合法网络设备当前所在的局域网中,存在与合法网络设备相关的仿冒网络设备。
本实施例在检测局域网中是否存在同时盗用合法网络设备的IP地址和MAC地址的仿冒网络设备时,只需要在合法网络设备上即可以完成仿冒网络设备的检测过程,因此仿冒网络设备避开检测的难度较大,检测过程相对简单,从而提高了仿冒网络设备的检测效率。
图2为本发明检测仿冒网络设备的应用场景网络结构示意图。在图2所示的应用场景中,局域网通过集线器可连接有多个主机,图2仅示出了两个主机:第一主机和第二主机的情形。假设第一主机基于802.1x协议已通过了局域网接入外部网络的接入认证,该情形下,第一主机即为合法主机,交换机上记录有第一主机的IP地址和MAC地址,并建立有交换机端口与第一主机的IP地址和MAC地址之间的绑定关系。当交换机接收到来自局域网或外部网络的报文时,交换机判断该报文是否包括有第一主机的IP地址和MAC地址,如果有,则通过绑定的交换机端口放行该报文,即将该报文路由到局域网内具有该IP地址和MAC地址的主机或路由到外部网络的相应设备上。
假设第二主机将自身的IP地址和MAC地址,分别修改为第一主机的IP地址的MAC地址,这样第二主机IP地址和MAC地址与第一主机的IP地址的MAC地址完全相同,第二主机为第一主机的仿冒主机。当第二主机向交换机发送报文时,交换机识别报文中的IP地址和MAC地址,误认为该报文来自已经通过认证的第一主机,因而开启相应的交换机端口放行该报文,第二主机不需要进行接入认证,即可访问外部网络。
图3为本发明第二实施例提供的检测仿冒网络设备的方法流程图。本实施例是以图2所示的应用场景为例,说明本发明检测仿冒网络设备的方法的技术方案。本实施例执行主体可为某一认证客户端,该认证客户端可加载在已通过接入认证的合法用户设备,如:第一主机上。如图2和图3所示,本实施例检测仿冒网络设备的方法包括:
步骤31、假设第一主机通过接入认证,开始访问外部网络。
步骤32、认证客户端获取第一主机成功发送的第一发送数据包,并将这些数据包保存在真实发送数据集合“SendReal_PACK”中,在“SendReal_PACK”中多个第一发送数据包可以列表形式保存,即生成第一发送数据包列表。
本步骤中,认证客户端可通过合法网络设备已安装的操作系统网络组件抓取第一发送数据包。其中,操作系统网络发送组件是对操作系统所有参与网络处理的组件的统称,可包括:网络驱动程序以及参与网络行为的应用层组件程序等。在这些网络组件中,可以对本机发送的数据,按照协议类型抓取数据备份。如果第一主机上已安装的操作系统为Windows操作系统,则第一主机发送的遵循IP协议的数据包(以下称为IP数据包),可采用以下方法之一进行抓包:
(1)传输驱动接口(Transport Driver Interface,简称TDI)过滤驱动程序(TDI Filter Driver):Windows的上层网络组件调用TDI来使用协议驱动,因此,认证客户端可通过运行TDI过滤驱动程序抓取第一主机成功发送的IP数据包的备份。
(2)基于网络驱动接口规范(Network Driver Interface Specification,简称NDIS)中间层驱动程序(NDIS Intermediate Driver):网络设备,如MAC设备的驱动程序中通常封装了各种网卡的驱动信息,这样使用相同介质的网卡就可以通过通用的编程接口被访问。Windows操作系统中所有的网络通信都经过NDIS中间层驱动程序进行处理,因此,认证客户端可通过运行NDIS中间层驱动程序抓取第一主机成功发送的IP数据包的备份。为了降低实现的复杂度,可优选采用该方法获取第一主机成功发送的IP数据包。
(3)Windows 2000过滤挂钩驱动程序(Win2k Filter-Hook Driver)驱动程序:认证客户端可通过运行该驱动程序,并利用该驱动程序中IP滤波驱动系统文件“ipfiltdrv.sys”所提供的功能来抓取IP数据包的备份。
(4)NDIS挂钩(Hook)驱动程序,认证客户端可通过NDIS挂钩驱动程序挂钩到操作系统提供的NDIS相关驱动接口,从而抓取第一主机成功发送的IP数据包的备份。
认证客户端将获取的第一发送数据包保存在真实发送数据集合“SendReal_PACK”中。
步骤33、认证客户端获取第一主机的网卡侦听到的第二发送数据包,将第二发送数据包保存在所有发送数据集合“SendAll_PACK”中,在“SendAll_PACK”中多个第二发送数据包可以列表形式保存,即生成第二发送数据包列表。认证客户端获取到的第二发送数据包与第一发送数据包具有相同的源IP地址和源MAC地址。
认证客户端可采用步骤32中(2)或(4)记载的方法获取第二发送数据包。第一发送数据包和第二发送数据包的类型可为IP数据包,且获取的第二发送数据包的MAC地址和IP地址,与第一发送数据包的MAC地址和IP地址均相同。第二发送数据包可能与第一发送数据包完全相同,也可能为与第一发送数据包内容不同的其他数据包。认证客户端将获取的第二发送数据包保存在所有发送数据集合“SendAll_PACK”中。
步骤34、认证客户端以检测周期T为时间间隔,将真实发送数据集合“SendReal_PACK”当前检测周期收集的第一发送数据包列表转存到真实发送数据临时文件“SendReal_PACK_TEMP”中,并将所有发送数据集合“SendAll_PACK”当前检测周期收集的第二发送数据包列表转存到所有发送数据临时文件“SendAll_PACK_TEMP”中。
本步骤可根据实际网络通信量预先设置,如果实际网络通信量较大,检测周期T的时长应设置得较短,以避免需要比较的发送数据包的数量太大而降低检测效率;如果实际网络通信量较小,检测周期T的时长可设置的较长些,以降低频繁检测而增加第一主机的负荷。优选的,检测周期T的时长可设置为1min。
本步骤将第一发送数据包列表和第二发送数据包列表分别缓存到“SendReal_PACK_TEMP”和“SendAll_PACK_TEMP”中,同时释放“SendReal_PACK”和“SendAll_PACK”的存储资源,使得认证客户端即可通过“SendReal_PACK”和“SendAll_PACK”继续收集下一周期产生的数据包,同时也可对“SendReal_PACK_TEMP”和“SendAll_PACK_TEMP”中的数据包列表进行较为详细地比较,当“SendReal_PACK_TEMP”和“SendAll_PACK_TEMP”中的数据包列表完成匹配之后,可删除存储其中的相应数据包,以便对下一周期产生的数据包进行比较。
此外,本步骤为可选步骤,在实际应用过程中,也可不需要将数据集合中收集的数据包列表转移到缓存文件中,而是直接对第一发送数据包列表和第二发送数据包列表进行匹配比较,即步骤33之后也可对第二发送数据包列表和第一发送数据包列表进行比较。本步骤以某一固定的检测周期为时间间隔,根据每个检测周期的时间段内收集到的多个第一发送数据包和多个第二发送数据包,分别生成第一发送数据包列表和第二发送数据包列表,匹配每个检测周期生成的第一发送数据包列表和第二发送数据包列表,从而有利于降低仿冒主机误判的几率。
步骤35、比较所有发送数据临时文件“SendAll_PACK_TEMP”的第二发送数据包列表中第二发送数据包的数量,与“SendReal_PACK_TEMP”的第一发送数据包列表中第一发送数据包的数量是否相同,如果相同,执行步骤311,否则,执行步骤36。
步骤36、确定“SendAll_PACK_TEMP”的第二发送数据包列表中第二发送数据包的数量,与“SendReal_PACK_TEMP”的第一发送数据包列表中第一发送数据包的数量的差值。
步骤37、比较上述差值是否大于预设门限值,如果是,执行步骤312;否则执行步骤38。
预设门限值可根据实际控制策略设置,例如如果需要严格控制仿冒主机的存在,则可将该门限值设置得较小,例如设置为5~7个数据包;也可根据将阈值设置为一个较大的值。
步骤38、确定所有发送数据临时文件“SendAll_PACK_TEMP”中每一个第二发送数据包,是否都能在真实发送数据临时文件“SendReal_PACK_TEMP”中找到与之内容相同的第一发送数据包,如果能,则说明相应第二发送数据包的内容匹配成功,执行步骤311,否则执行步骤39。
本步骤认证客户端可逐一判断“SendAll_PACK_TEMP”中的每个第二发送数据包除了MAC和IP地址以外的内容,是否都可以在真实发送数据临时文件“SendReal_PACK_TEMP”中找到具有相同内容的第一发送数据包。
步骤39、统计在真实发送数据临时文件“SendAll_PACK_TEMP”内容匹配失败的第二发送数据包的数量。
步骤310、判断内容匹配失败的第二发送数据包的数量是否大于预设阈值,如果是,执行步骤312,否则执行311。
本实施例设定阀值的主要目的是为了降低由于外界客观干扰产生的数据冗余或改变,而造成的第二发送数据包与第一数据包不同,从而导致仿冒网络设备的误判。这是因为虽然在理论上如果局域网中没有存在与第一主机相关的仿冒主机,则抓取的第一主机网卡上侦听到的与网卡具有相同源IP地址和源MAC地址的第二发送数据包,应该与第一主机上实际成功发送的第一发送数据包完全相同。但在实际应用过程中,即使局域网中不存在与第一主机相关的仿冒主机,但在抓取数据包之后,可能需要经过网卡的发包驱动程序发送,导致从网卡获取的第二发送数据包与第一主机成功发送的第一发送数据包略有不同。本实施例根据某个时长内的统计结果进行判决,有利于消除由于网卡异常处理导致第二发送数据包与第一发送数据包的不同的因素,从而提高了仿冒主机的判决准确性。内容匹配失败的第二发送数据包的数量阈值,可根据实际控制策略设置,例如如果需要严格控制仿冒主机的存在,则可将该阈值设置得较小,例如设置为1~10个数据包;也可根据将阈值设置为一个较大的值。
步骤311、第一主机当前所在的局域网中没有与第一主机相关的仿冒主机,清空真实发送数据临时文件“SendReal_PACK_TEMP”和所有发送数据临时文件“SendAll_PACK_TEMP”,进入下一检测周期,执行步骤34。
步骤312、第一主机当前所在的局域网中存在与第一主机相关的仿冒主机,第一主机下线,阻断第二主机与外部网络的通信连接。
如果认证客户端根据检测结果确定局域网中存在与第一主机相关的仿冒主机,认证客户端则可向交换机发送遵循802.1x协议的“EAPOL-Logoff”报文,通过该报文通知交换机关闭允许第一主机访问外部网络的端口。这样第一主机下线了,也同时阻断了第一主机的仿冒主机,即第二主机访问外部网络。本实施例的具体场景实例例如:某些用户希望通过只申请一个合法主机访问外部网络的权限,但在局域网中将多个其他主机伪装成合法主机,这样就可以只向运营商交一份钱而多台主机可同时访问外部网络。该具体场景实例可基于本发明实施例提供的方法阻断用户上网,从而降低计费运营商的经济损失。在基于本发明实施例技术方案实现仿冒网络设备的检测结果上,本领域技术人员可采用其他用于阻断方法以使仿冒网络设备不经过接入认证无法访问外部网络,在此不再赘述。
本实施例通过预设的检测周期对该每个周期内获取的第一发送数据包列表和第二发送数据包列表进行匹配比较,根据数据包数量匹配和数据包内容匹配相结合的方式,确定局域网中是否存在与合法的第一主机相关的仿冒主机,从而有利于降低误判的几率,提高了仿冒主机的判决准确性。
虽然图2仅示出了局域网中存在一个仿冒主机的情形,但本领技术人员可以理解,对于局域网中存在两个或两个以上的仿冒主机的情形下,第一主机检测仿冒主机的实现方式与本实施例相似,不再赘述。
图4为本发明第三实施例提供的检测仿冒网络设备的装置结构示意图。如图4所示,检测仿冒网络设备的装置包括:发送数据包信息获取模块41、列表生成模块42和匹配判决模块43。
发送数据包信息获取模块41用于获取合法网络设备成功发送的多个第一发送数据包,以及合法网络设备的网卡侦听到的多个第二发送数据包,获取的任一第二发送数据包的源MAC地址和源IP地址,分别与任一第一发送数据包的源MAC和源IP地址相同。
列表生成模块42用于根据获取的多个第一发送数据包和多个第二发送数据包,分别生成第一发送数据包列表和第二发送数据包列表。
匹配判决模块43用于匹配第一发送数据包列表和第二发送数据包列表,在第二发送数据包列表与第一发送数据包列表匹配失败时,确定合法网络设备当前所在的局域网中,存在与合法网络设备相关的仿冒网络设备。
在上述技术方案的基础上,列表生成模块42还用于以预设检测周期为时间间隔,根据每个检测周期获取的多个第一发送数据包和多个第二发送数据包,分别生成第一发送数据包列表和所述第二发送数据包列表。
匹配判决模块43可包括:数量匹配单元431。数量匹配单元431用于确定所述第一发送数据包列表中包括的所述第一发送数据包的数量,与所述第二发送数据包列表中包括的所述第二发送数据包的数量的差值,如果所述差值大于预设门限值,则所述第二发送数据包与所述第一发送数据包匹配失败。
进一步的,匹配判决模块43还可包括:内容匹配单元432和统计单元433。内容匹配单元432用于在所述差值小于或等于预设门限值时,确定所述第二发送数据包列表中任一所述第二发送数据包,在所述第一发送数据包列表中是否存在与之内容相同的所述第一发送数据包,如果没有,则相应数据包内容匹配失败。统计单元433用于统计所述第二发送数据包列表中内容匹配失败的所述第二发送数据包的数量,如果统计的数量大于预设阈值,则所述第二发送数据包列表与所述第一发送数据包列表匹配失败。
在上述技术方案的基础上,可选的,检测仿冒网络设备还可包括:列表删除模块44。列表删除模块44用于在任一检测周期生成的所述第一发送数据包列表和所述第二发送数据包列表匹配完成之后,删除所述任一检测周期生成的所述第一发送数据包列表和所述第二发送数据包列表。
本实施例检测仿冒网络设备的装置在实现实体上,可作为一个独立的设备,也可作为具有上述功能的模块加载在现有网络设备中,例如可作为某一网络设备上加载的认证客户端。基于本实施例提供的装置检测仿冒网络设备,检测过程相对简单,提高了仿冒网络设备的检测效率。在检测出局域网中存在仿冒网络设备时,合法网络设备可通过下线的方式阻断仿冒网络设备对外部网络的访问,从而降低网络安全风险,并有利于降低对合法网络设备进行计费管理的运营商的经济损失。有关本实施例实现仿冒网络设备检测的机理与实现方法可参见图1~图3对应实施例的记载,不再赘述。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域普通技术人员可以理解:实施例中的装置中的模块可以按照实施例描述分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围。
Claims (10)
1.一种检测仿冒网络设备的方法,其特征在于,包括:
获取合法网络设备成功发送的多个第一发送数据包,以及所述合法网络设备的网卡侦听到的多个第二发送数据包,获取的任一所述第二发送数据包的源介质访问控制MAC地址和源因特网协议IP地址,分别与任一所述第一发送数据包的源MAC和源IP地址相同;
根据获取的多个所述第一发送数据包和多个所述第二发送数据包,分别生成第一发送数据包列表和第二发送数据包列表;
匹配所述第一发送数据包列表和所述第二发送数据包列表,在所述第二发送数据包列表与所述第一发送数据包列表匹配失败时,确定所述合法网络设备当前所在的局域网中,存在与所述合法网络设备相关的仿冒网络设备。
2.根据权利要求1所述的检测仿冒网络设备的方法,其特征在于,根据获取的多个所述第一发送数据包和多个所述第二发送数据包,分别生成第一发送数据包列表和第二发送数据包列表,包括:
以预设检测周期为时间间隔,根据每个所述检测周期获取的多个所述第一发送数据包和多个所述第二发送数据包,分别生成所述第一发送数据包列表和所述第二发送数据包列表。
3.根据权利要求1或2所述的检测仿冒网络设备的方法,其特征在于,匹配所述第一发送数据包列表与所述第二发送数据包列表,包括:
确定所述第一发送数据包列表中包括的所述第一发送数据包的数量,与所述第二发送数据包列表中包括的所述第二发送数据包的数量的差值,如果所述差值大于预设门限值,则所述第二发送数据包列表与所述第一发送数据包列表匹配失败。
4.根据权利要求3所述的检测仿冒网络设备的方法,其特征在于,在所述差值小于或等于预设门限值时,还包括:
确定所述第二发送数据包列表中任一所述第二发送数据包,在所述第一发送数据包列表中是否存在与之内容相同的所述第一发送数据包,如果没有,则相应数据包内容匹配失败;
统计所述第二发送数据包列表中内容匹配失败的所述第二发送数据包的数量,如果统计的数量大于预设阈值,则所述第二发送数据包列表与所述第一发送数据包列表匹配失败。
5.根据权利要求2所述的检测仿冒网络设备的方法,其特征在于,还包括:
在任一检测周期生成的所述第一发送数据包列表和所述第二发送数据包列表匹配完成之后,删除所述任一检测周期生成的所述第一发送数据包列表和所述第二发送数据包列表。
6.一种检测仿冒网络设备的装置,其特征在于,包括:
发送数据包信息获取模块,用于获取合法网络设备成功发送的多个第一发送数据包,以及所述合法网络设备的网卡侦听到的多个第二发送数据包,获取的任一所述第二发送数据包的源介质访问控制MAC地址和源因特网协议IP地址,分别与任一所述第一发送数据包的源MAC和源IP地址相同;
列表生成模块,用于根据获取的多个所述第一发送数据包和多个所述第二发送数据包,分别生成第一发送数据包列表和第二发送数据包列表;
匹配判决模块,用于匹配所述第一发送数据包列表和所述第二发送数据包列表,在所述第二发送数据包列表与所述第一发送数据包列表匹配失败时,确定所述合法网络设备当前所在的局域网中,存在与所述合法网络设备相关的仿冒网络设备。
7.根据权利要求6所述的检测仿冒网络设备的装置,其特征在于,
所述列表生成模块还用于以预设检测周期为时间间隔,根据每个所述检测周期获取的多个所述第一发送数据包和多个所述第二发送数据包,分别生成所述第一发送数据包列表和所述第二发送数据包列表。
8.根据权利要求6或7所述的检测仿冒网络设备的装置,其特征在于,所述匹配判决模块包括:
数量匹配单元,用于确定所述第一发送数据包列表中包括的所述第一发送数据包的数量,与所述第二发送数据包列表中包括的所述第二发送数据包的数量的差值,如果所述差值大于预设门限值,则所述第二发送数据包列表与所述第一发送数据包列表匹配失败。
9.根据权利要求8所述的检测仿冒网络设备的装置,其特征在于,所述匹配判决模块还包括:
内容匹配单元,用于在所述差值小于或等于预设门限值时,确定所述第二发送数据包列表中任一所述第二发送数据包,在所述第一发送数据包列表中是否存在与之内容相同的所述第一发送数据包,如果没有,则相应数据包内容匹配失败;
统计单元,用于统计所述第二发送数据包列表中内容匹配失败的所述第二发送数据包的数量,如果统计的数量大于预设阈值,则所述第二发送数据包列表与所述第一发送数据包列表匹配失败。
10.根据权利要求7所述的检测仿冒网络设备的装置,其特征在于,还包括:
列表删除模块,用于在任一检测周期生成的所述第一发送数据包列表和所述第二发送数据包列表匹配完成之后,删除所述任一检测周期生成的所述第一发送数据包列表和所述第二发送数据包列表。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100936792A CN101707535B (zh) | 2009-09-27 | 2009-09-27 | 检测仿冒网络设备的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100936792A CN101707535B (zh) | 2009-09-27 | 2009-09-27 | 检测仿冒网络设备的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101707535A CN101707535A (zh) | 2010-05-12 |
CN101707535B true CN101707535B (zh) | 2011-12-28 |
Family
ID=42377731
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009100936792A Expired - Fee Related CN101707535B (zh) | 2009-09-27 | 2009-09-27 | 检测仿冒网络设备的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101707535B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101867578B (zh) * | 2010-05-27 | 2013-05-29 | 北京星网锐捷网络技术有限公司 | 检测仿冒网络设备的方法和装置 |
CN102271051B (zh) * | 2010-06-07 | 2014-07-30 | 联想(北京)有限公司 | 一种判断计算机接入网络异常的方法、装置及计算机 |
CN103581134A (zh) * | 2012-07-31 | 2014-02-12 | 深圳市共进电子股份有限公司 | 访问网络的方法和系统 |
CN109981661B (zh) * | 2019-03-29 | 2022-04-22 | 新华三技术有限公司 | 一种监测mac地址的方法、装置及电子设备 |
-
2009
- 2009-09-27 CN CN2009100936792A patent/CN101707535B/zh not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
CN101707535A (zh) | 2010-05-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6131163A (en) | Network gateway mechanism having a protocol stack proxy | |
CN101577645B (zh) | 检测仿冒网络设备的方法和装置 | |
CN101345743B (zh) | 防止利用地址解析协议进行网络攻击的方法及其系统 | |
US20230216867A1 (en) | Information security protection method and apparatus | |
CA2525343C (en) | Security checking program for communication between networks | |
US7463593B2 (en) | Network host isolation tool | |
CN101917434B (zh) | 域内ip源地址验证的方法 | |
CN106686129A (zh) | 一种负载均衡方法及系统 | |
KR102102835B1 (ko) | Wips 센서 | |
CN101707535B (zh) | 检测仿冒网络设备的方法和装置 | |
CN112738095A (zh) | 一种检测非法外联的方法、装置、系统、存储介质及设备 | |
CN102790773A (zh) | 一种家庭网关用防火墙的实现方法 | |
CN101119383B (zh) | 目标端和发起端建立iSCSI会话的方法及设备 | |
CN108769016A (zh) | 一种业务报文的处理方法及装置 | |
CN104883362A (zh) | 异常访问行为控制方法及装置 | |
CN101505478B (zh) | 一种过滤报文的方法、装置和系统 | |
CN112134775B (zh) | 一种交换机环路检测方法和装置 | |
CN109040112A (zh) | 网络控制方法和装置 | |
CN104601578A (zh) | 一种攻击报文识别方法、装置及核心设备 | |
CN111600971A (zh) | 一种设备管理的方法和设备管理的装置 | |
CN116719868A (zh) | 网络资产的识别方法、装置及设备 | |
JP3892322B2 (ja) | 不正アクセス経路解析システム及び不正アクセス経路解析方法 | |
CN111385285B (zh) | 一种防止非法外联的方法及装置 | |
CN102571344B (zh) | 一种单点认证方法和系统 | |
CN111343193A (zh) | 云网络端口安全防护方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111228 Termination date: 20150927 |
|
EXPY | Termination of patent right or utility model |