CN105471839B - 一种判断路由器数据是否被窜改的方法 - Google Patents
一种判断路由器数据是否被窜改的方法 Download PDFInfo
- Publication number
- CN105471839B CN105471839B CN201510763790.3A CN201510763790A CN105471839B CN 105471839 B CN105471839 B CN 105471839B CN 201510763790 A CN201510763790 A CN 201510763790A CN 105471839 B CN105471839 B CN 105471839B
- Authority
- CN
- China
- Prior art keywords
- message
- tampered
- router
- mark
- code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及路由器数据领域,特别涉及一种判断路由器数据是否被窜改的方法,含有下列步骤:1、标识添加过程:在路由器输入端,使用预定的计算方法,根据标识和报文信息分别计算第一标识特征码和第一报文特征码,并将标识、第一标识特征码及第一报文特征码附加在报文尾部;2、标识验证过程;3、报文还原过程:对于步骤2中标识未被窜改的报文,按照路由器正常处理报文的流程对报文进行还原;4、报文验证过程。本发明可以准确判断路由器数据是否被窜改,以便及时对路由器进行防窜改处理。
Description
技术领域
本发明涉及路由器数据领域,特别涉及一种判断路由器数据是否被窜改的方法。
背景技术
当前我们正生活在“任意互联”的时代,网络安全正在面临前所未有的挑战,网络数据窜改成了常见的网络攻击手段之一。网络数据窜改通常来源于不同的源节点或者去往不同的目的节点。如网页数据窜改,攻击者通过利用网站服务器的操作系统和服务程序的漏洞提升自身权限,继而上传木马来达到目的。又如攻击者采取DNS 欺骗,窜改DNS 的应答数据包,将被攻击者的访问重新定位到攻击者指定的位置。
传统路由器数据转发平面存在潜在的安全风险,攻击者通过载荷比特流触发预置后门或者服务漏洞,对路由器进行网络攻击、信息窃取、信息窜改和节点致瘫等。比如:攻击者利用预置或者后置的漏洞控制路由器,通过窜改IP地址将业务数据重定向指定的目的地,并组装原始报文,从而造成信息泄漏;通过窜改源IP地址,伪造具有虚假源IP数据包进行发送,以达到隐藏发送者身份、假冒其它网络主机等目的,从而造成IP源地址欺骗。
路由器是信息网络互连互通的骨干,其基于路由协议互连组成了信息网络的骨架,保证了网络数据能够按照要求从源节点到达目的节点。由于核心器件无法实现完全自动可控,路由器上可能存在未知的后门程序,网络数据存在被恶意窜改或窃取的危险。由于路由器在网络中的重要地位和作用,路由器上的数据被恶意窜改严重威胁到了网络的正常运行和用户的信息安全。
发明内容
本发明针对以上问题,提供了一种判断路由器数据是否被窜改的方法,该方法可以准确判断路由器数据是否被窜改,以便及时对路由器进行防窜改处理。
本发明的技术方案是:
一种判断路由器数据是否被窜改的方法,含有下列步骤:
步骤1、标识添加过程:
在路由器输入端,使用预定的计算方法,根据标识和报文信息分别计算第一标识特征码和第一报文特征码,并将标识、第一标识特征码及第一报文特征码附加在报文尾部;
步骤2、标识验证过程:
在路由器输出端,使用和输入端相同的计算方法,根据标识计算第二标识特征码;将第二标识特征码与第一标识特征码进行比较;若第一标识特征码和第二标识特征码相同,则表示标识没有被窜改;否则表示标识被窜改,同时可认为路由器数据已被窜改;
步骤3、报文还原过程:
对于步骤2中标识未被窜改的报文,按照路由器正常处理报文的流程对报文进行还原;
步骤4、报文验证过程:
步骤4.1:使用和输入端同样的计算方法,根据还原后的报文信息计算第二报文特征码;
步骤4.2:将第二报文特征码与第一报文特征码进行比较;若第一报文特征码和第二报文特征码相同,则表示路由器数据没有被窜改,否则表示路由器数据已被窜改。
步骤1中在路由器输入端设有计数器,每进入一个报文,计数器加1,并将此值作为标识附加在报文尾部。
步骤2的具体实现方式为:
步骤2.1:在路由器的输入端,报文标识x通过函数F(x)计算出标识特征码F(x)’,F(x)’称为第一标识特征码;
步骤2.2:若路由器存在窜改行为,在路由器输出端,报文标识为x’,通过函数F(x)计算出标识特征码F(x’),F(x’)称为第二标识特征码;
步骤2.3:比较第一标识特征码F(x)’和第二标识特征码F(x’),若相同,则表示标识没有被窜改,否则表示标识被窜改,同时可认为路由器数据已被窜改。
步骤1、步骤2和步骤4中的计算方法采用安全哈希算法(Secure Hash Algorithm,SHA), 步骤2中的函数F(x)为安全哈希算法中的SHA-1函数,SHA-1函数是接收一段明文,然后以一种不可逆的方式将它转换成一段(通常更小)密文,也可以简单的理解为取一串输入码,并把它们转化为长度较短、位数固定的输出序列即散列值(也称为信息摘要或信息认证代码)的过程。因此,对于任意输入的标识信息或者报文信息,SHA-1函数会产生一个160位的第一标识特征码或者第二标识特征码。
步骤3中路由器正常处理报文时会对报文相关字段进行修改,被修改的相关字段是TTL值、分片、标志位、偏移量、报文长度和校验和中任意一个。
步骤3的具体实现方式为:
步骤3.1:针对标识未被窜改的报文,首先TTL值加1,提取标识,利用标识在报文缓存中索引出与该报文具有相同标识的原始报文,提取第一报文特征码;
步骤3.2:若步骤2中标识未被窜改的报文的分片标志为1,则表示该报文在路由器中做过分片处理;若步骤2中标识未被窜改的报文的分片标志为0,则表示该报文在路由器中没有做过分片处理;
步骤3.3:如果该报文是原始报文的分片包,则重装分片包还原出原始报文;如果该报文不是原始报文的分片包,则更新该报文首部校验和从而还原出原始报文。
步骤1和步骤4中的报文信息是报文的IP地址、端口号、协议号、TCP flag和负载。
本发明的有益积极效果是:
本发明在路由器输入端,通过函数F(x)计算出第一标识特征码和第一报文特征码,分别与在输出端通过同样的计算方法计算出的第二标识特征码和根据还原后的报文信息计算出的第二报文特征码进行比较,比较结果用于判断路由器数据是否在路由器处理过程中被窜改。运用此方法可准确判断路由器数据是否被窜改,以便及时对路由器进行防窜改处理,以保护网络的正常运行和用户的信息安全。
附图说明
图1为本发明的流程图;
图2为本发明标识添加过程的流程图;
图3为本发明标识验证过程的流程图;
图4为本发明报文还原过程的流程图;
图5为本发明报文验证过程的流程图。
具体实施方式
参见图1至图5所示,一种判断路由器数据是否被窜改的方法,含有下列步骤:
步骤1、标识添加过程:
在路由器输入端,使用预定的计算方法,根据标识和报文信息分别计算第一标识特征码和第一报文特征码,并将标识、第一标识特征码及第一报文特征码附加在报文尾部;
步骤2、标识验证过程:
在路由器输出端,使用和输入端相同的计算方法,根据标识计算第二标识特征码;将第二标识特征码与第一标识特征码进行比较;若第一标识特征码和第二标识特征码相同,则表示标识没有被窜改;否则表示标识被窜改,同时可认为路由器数据已被窜改;
步骤3、报文还原过程:
对于步骤2中标识未被窜改的报文,按照路由器正常处理报文的流程对报文进行还原;
步骤4、报文验证过程:
步骤4.1:使用和输入端同样的计算方法,根据还原后的报文信息计算第二报文特征码;
步骤4.2:将第二报文特征码与第一报文特征码进行比较;若第一报文特征码和第二报文特征码相同,则表示路由器数据没有被窜改,否则表示路由器数据已被窜改。
步骤1中在路由器输入端设有计数器,每进入一个报文,计数器加1,并将此值作为标识附加在报文尾部。
其中,如图3所示,标识验证的步骤如下:
步骤2.1:在路由器的输入端,报文标识x通过函数F(x)计算出标识特征码F(x)’,F(x)’称为第一标识特征码;
步骤2.2:若路由器存在窜改行为,在路由器输出端,报文标识为x’,通过函数F(x)计算出标识特征码F(x’),F(x’)称为第二标识特征码;
步骤2.3:比较第一标识特征码F(x)’和第二标识特征码F(x’),若相同,则表示标识没有被窜改,否则表示标识被窜改,同时可认为路由器数据已被窜改。
步骤1、步骤2和步骤4中的计算方法采用安全哈希算法(Secure Hash Algorithm,SHA),步骤2中的函数F(x)为安全哈希算法中的SHA-1函数,SHA-1函数是接收一段明文,然后以一种不可逆的方式将它转换成一段(通常更小)密文,也可以简单的理解为取一串输入码,并把它们转化为长度较短、位数固定的输出序列即散列值(也称为信息摘要或信息认证代码)的过程。因此,对于任意输入的标识信息或者报文信息,SHA-1函数会产生一个160位的第一标识特征码或者第二标识特征码。
步骤3中路由器正常处理报文时会对报文相关字段进行修改,被修改的相关字段是TTL值、分片、标志位、偏移量、报文长度和校验和中任意一个。
其中,如图4所示,报文还原的步骤如下:
步骤3.1:针对标识未被窜改的报文,首先TTL值加1,提取标识,利用标识在报文缓存中索引出与该报文具有相同标识的原始报文,提取第一报文特征码;
步骤3.2:若步骤2中标识未被窜改的报文的分片标志为1,则表示该报文在路由器中做过分片处理;若步骤2中标识未被窜改的报文的分片标志为0,则表示该报文在路由器中没有做过分片处理;
步骤3.3:如果该报文是原始报文的分片包,则重装分片包还原出原始报文;如果该报文不是原始报文的分片包,则更新该报文首部校验和从而还原出原始报文。
步骤1和步骤4中的报文信息是报文的IP地址、端口号、协议号、TCP flag和负载。
在路由器输入端,路由器对报文执行第一标识特征码和第一报文特征码的添加,改变比特流属性,并将该标识信息封装在数据包的指定位置;在路由器输出端,计算出第二标识特征码,并对标识特征码的一致性进行检查,判断标识是否被窜改;逆向还原报文,根据还原后的报文信息计算出第二报文特征码,并对报文特征码的一致性进行检查,判断路由器数据信息是否被窜改。因此,基于两重验证路由器数据的处理方法可准确判断路由器数据是否被窜改,以便及时对路由器进行防窜改处理,以保护网络的正常运行和用户的信息安全。
Claims (7)
1.一种判断路由器数据是否被窜改的方法,其特征是:含有下列步骤:
步骤1、标识添加过程:
在路由器输入端,使用预定的计算方法,根据标识和报文信息分别计算第一标识特征码和第一报文特征码,并将标识、第一标识特征码及第一报文特征码附加在报文尾部;
步骤2、标识验证过程:
在路由器输出端,使用和输入端相同的计算方法,根据标识计算第二标识特征码;将第二标识特征码与第一标识特征码进行比较;若第一标识特征码和第二标识特征码相同,则表示标识没有被窜改;否则表示标识被窜改,同时可认为路由器数据已被窜改;
步骤3、报文还原过程:
对于步骤2中标识未被窜改的报文,按照路由器正常处理报文的流程对报文进行还原;
步骤4、报文验证过程:
步骤4.1:使用和输入端同样的计算方法,根据还原后的报文信息计算第二报文特征码;
步骤4.2:将第二报文特征码与第一报文特征码进行比较;若第一报文特征码和第二报文特征码相同,则表示路由器数据没有被窜改,否则表示路由器数据已被窜改。
2.根据权利要求1所述的一种判断路由器数据是否被窜改的方法,其特征是:所述步骤1中在路由器输入端设有计数器,每进入一个报文,计数器加1,并将此值作为标识附加在报文尾部。
3.根据权利要求1所述的一种判断路由器数据是否被窜改的方法,其特征是:所述步骤2的具体实现方式为:
步骤2.1:在路由器的输入端,报文标识x通过函数F(x)计算出标识特征码F(x)’, F(x)’称为第一标识特征码;
步骤2.2:若路由器存在窜改行为,在路由器输出端,报文标识为x’,通过函数F(x)计算出标识特征码F(x’),F(x’)称为第二标识特征码;
步骤2.3:比较第一标识特征码F(x)’和第二标识特征码F(x’),若相同,则表示标识没有被窜改,否则表示标识被窜改,同时可认为路由器数据已被窜改。
4.根据权利要求3所述的一种判断路由器数据是否被窜改的方法,其特征是:所述步骤1、步骤2和步骤4中的计算方法采用安全哈希算法,步骤2中的函数F(x)为安全哈希算法中的SHA-1函数。
5.根据权利要求1所述的一种判断路由器数据是否被窜改的方法,其特征是:所述步骤3中路由器正常处理报文时会对报文相关字段进行修改,被修改的相关字段是TTL值、分片、标志位、偏移量、报文长度和校验和中任意一个。
6.根据权利要求1所述的一种判断路由器数据是否被窜改的方法,其特征是:所述步骤3的具体实现方式为:
步骤3.1:针对标识未被窜改的报文,首先TTL值加1,提取标识,利用标识在报文缓存中索引出与该报文具有相同标识的原始报文,提取第一报文特征码;
步骤3.2:若步骤2中标识未被窜改的报文的分片标志为1,则表示该报文在路由器中做过分片处理;若步骤2中标识未被窜改的报文的分片标志为0,则表示该报文在路由器中没有做过分片处理;
步骤3.3:如果该报文是原始报文的分片包,则重装分片包还原出原始报文;如果该报文不是原始报文的分片包,则更新该报文首部校验和从而还原出原始报文。
7.根据权利要求1所述的一种判断路由器数据是否被窜改的方法,其特征是:所述步骤1和步骤4中的报文信息是报文的IP地址、端口号、协议号、TCP flag和负载。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510763790.3A CN105471839B (zh) | 2015-11-11 | 2015-11-11 | 一种判断路由器数据是否被窜改的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510763790.3A CN105471839B (zh) | 2015-11-11 | 2015-11-11 | 一种判断路由器数据是否被窜改的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105471839A CN105471839A (zh) | 2016-04-06 |
CN105471839B true CN105471839B (zh) | 2018-05-08 |
Family
ID=55609110
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510763790.3A Active CN105471839B (zh) | 2015-11-11 | 2015-11-11 | 一种判断路由器数据是否被窜改的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105471839B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106953835B (zh) * | 2016-01-06 | 2020-05-22 | 中兴通讯股份有限公司 | 一种检测报文的方法、装置和系统 |
CN106534070B (zh) * | 2016-10-09 | 2019-06-28 | 清华大学 | 一种抵御仿冒的低开销路由器标识生成方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101051994A (zh) * | 2006-06-21 | 2007-10-10 | 华为技术有限公司 | 一种辨别报文源地址真伪的方法 |
CN101668009A (zh) * | 2009-09-27 | 2010-03-10 | 南相浩 | 路由地址的安全处理方法和系统 |
CN102664903A (zh) * | 2012-05-16 | 2012-09-12 | 李明 | 一种网络用户验证方法及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4489676B2 (ja) * | 2005-09-28 | 2010-06-23 | 富士通株式会社 | 通信システム |
-
2015
- 2015-11-11 CN CN201510763790.3A patent/CN105471839B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101051994A (zh) * | 2006-06-21 | 2007-10-10 | 华为技术有限公司 | 一种辨别报文源地址真伪的方法 |
CN101668009A (zh) * | 2009-09-27 | 2010-03-10 | 南相浩 | 路由地址的安全处理方法和系统 |
CN102664903A (zh) * | 2012-05-16 | 2012-09-12 | 李明 | 一种网络用户验证方法及系统 |
Non-Patent Citations (2)
Title |
---|
"DDoS攻击检测和控制方法";张永铮 等;《软件学报》;20120521;第2058-2071页 * |
"基于路由器的入侵检测系统";韦斌;《网络安全》;20040831;第48-50页 * |
Also Published As
Publication number | Publication date |
---|---|
CN105471839A (zh) | 2016-04-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9985994B2 (en) | Enforcing compliance with a policy on a client | |
Lucena et al. | Covert channels in IPv6 | |
US8191119B2 (en) | Method for protecting against denial of service attacks | |
US11271952B2 (en) | Network probe and method of processing message | |
US8561188B1 (en) | Command and control channel detection with query string signature | |
US10375118B2 (en) | Method for attribution security system | |
CN104994094B (zh) | 基于虚拟交换机的虚拟化平台安全防护方法、装置和系统 | |
JP2020017809A (ja) | 通信装置及び通信システム | |
CN110912921B (zh) | 一种工业控制系统安全数据校验系统及方法 | |
US20160294848A1 (en) | Method for protection of automotive components in intravehicle communication system | |
JP2022554101A (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
CN107835145A (zh) | 一种防重放攻击的方法及分布式系统 | |
CN105471839B (zh) | 一种判断路由器数据是否被窜改的方法 | |
WO2019043804A1 (ja) | ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体 | |
RU2307392C1 (ru) | Способ (варианты) защиты вычислительных сетей | |
CN107819888A (zh) | 一种分配中继地址的方法、装置以及网元 | |
WO2009043304A1 (fr) | Procédé, système, et dispositif permettant la vérification de la relation d'adresse de couche de lien de données et son correspondant de transmission | |
CN107835168A (zh) | 一种基于端信息扩展序列矩阵转置相乘的认证方法 | |
JP2010187327A (ja) | パケット通信装置、パケット通信方法及びパケット通信プログラム | |
CN105939315A (zh) | 一种http攻击防护方法及装置 | |
AU2022203844A1 (en) | Method for detecting anomalies in ssl and/or tls communications, corresponding device, and computer program product | |
Alsadhan et al. | Detecting distributed denial of service attacks in neighbour discovery protocol using machine learning algorithm based on streams representation | |
CN107395764B (zh) | 在不同数据域内的设备间进行数据交换的方法及系统 | |
CN106067864B (zh) | 一种报文处理方法及装置 | |
CN109587163A (zh) | 一种dr模式下的防护方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |