CN111095216B - 检测局域网上的中间人攻击 - Google Patents

检测局域网上的中间人攻击 Download PDF

Info

Publication number
CN111095216B
CN111095216B CN201880059013.2A CN201880059013A CN111095216B CN 111095216 B CN111095216 B CN 111095216B CN 201880059013 A CN201880059013 A CN 201880059013A CN 111095216 B CN111095216 B CN 111095216B
Authority
CN
China
Prior art keywords
network
address
man
network router
router
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201880059013.2A
Other languages
English (en)
Other versions
CN111095216A (zh
Inventor
J·G·海华德
F·爱德华·海华德
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ciphertooth Inc
Original Assignee
Ciphertooth Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ciphertooth Inc filed Critical Ciphertooth Inc
Publication of CN111095216A publication Critical patent/CN111095216A/zh
Application granted granted Critical
Publication of CN111095216B publication Critical patent/CN111095216B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/20Hop count for routing purposes, e.g. TTL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/58Caching of addresses or names
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

公开了用于检测局域网上的中间人攻击的装置、方法、系统和程序产品。方法400包括检查与网络路由器210相关联的第一组网络设置信息。方法400包括请求对应于第一组网络设置信息的第二组网络设置信息。方法400包括响应于第二组网络设置信息的至少一部分与第一组网络设置信息不匹配,检测网络上的中间人攻击方208。方法400包括触发与中间人攻击方208相关的对策动作。

Description

检测局域网上的中间人攻击
相关申请的交叉引用
本申请要求享有Jerry Hayward等人于2017年8月2日提交的且标题为“DETECTINGMAN IN THE MIDDLE ATTACKS ON A LOCAL AREA NETWORK”的第62/540,286号美国临时专利申请的权益,该申请通过引用并入本文。
领域
本发明涉及网络安全,且更具体地涉及检测网络上的中间人攻击。
背景
在计算设备之间传输电子数据每天都在发生。在某些场景中,网络上的设备之间的数据传输可能会被访问网络流量的未经授权的设备截获。尽管正在传输的数据可以被加密或者以其他方式受到保护,但是有各种方式使得未经授权的设备可以截获在发送方和接收方之间传输的数据。
概述
公开了用于检测局域网上的中间人攻击的装置、方法、系统和程序产品。在一个实施例中,一种装置包括处理器和存储由处理器可执行的代码的存储器。在一个实施例中,可执行代码由处理器可执行,以检查与网络路由器相关联的第一组网络设置信息。网络路由器可以被配置成在网络内的设备之间传输数据分组。
在一些实施例中,可执行代码由处理器可执行,以请求第二组网络设置信息。第二组网络设置信息可以对应于第一组网络设置信息。在某些实施例中,可执行代码由处理器可执行,以响应于第二组网络设置信息的至少一部分与第一组网络设置信息不匹配而检测网络上的中间人攻击方。在进一步的实施例中,可执行代码由处理器可执行,以触发与中间人攻击方相关的对策动作(countermeasure action)。
在一个实施例中,对第二组网络设置信息的请求包括发送到网络路由器以连接到网络的欺骗请求。在某些实施例中,欺骗请求包括从虚拟媒体访问控制(“MAC”)地址发送的欺骗动态配置主机协议(“DHCP”)请求。
在进一步的实施例中,对第二组网络设置信息的请求包括向网络路由器发送路由跟踪(traceroute)命令。第二组网络设置信息可以包括到网络路由器的跳数。响应于到网络路由器的跳数不同于先前确定的到网络路由器的跳数,可以检测到中间人攻击方。
在某些实施例中,对第二组网络设置信息的请求包括向连接到网络的设备的媒体访问控制(“MAC”)地址发送第一虚拟数据分组,向该设备的互联网协议(“IP”)地址发送第二虚拟数据分组(该IP地址与MAC地址相关联),以及接收对第一和第二虚拟数据分组在该设备处被接收的确认和对第一和第二虚拟数据分组的MAC地址不匹配的确认中的一个或更多个。
在一个实施例中,以周期性间隔发送对第二组网络设置信息的请求。在进一步的实施例中,对于网络路由器的第一和第二组网络设置信息包括在媒体访问控制(“MAC”)地址和互联网协议(“IP”)地址中的一个或更多个。在某些实施例中,代码还由处理器可执行,以在网络路由器首次连接到网络时确定第一组网络设置。
在一个实施例中,对策动作包括在记录与中间人攻击方相关联的信息和向管理员发送指示中间人攻击方存在的通知中的一个或更多个。在一些实施例中,记录的信息被备份到基于云的数据存储中,该基于云的数据存储使用web服务(web service)可访问。
在一个实施例中,对策动作包括向网络上的其他设备广播记录的信息,并基于广播的记录的信息更新中间人设备的黑名单。在各种实施例中,对策动作包括使中间人攻击方的地址解析协议(“ARP”)高速缓存中毒。在某些实施例中,对策动作包括远程关闭中间人攻击方的设备。
在一个实施例中,一种方法包括检查与网络路由器相关联的第一组网络设置信息。网络路由器可以被配置成在网络内的设备之间传输数据分组。在进一步的实施例中,该方法包括请求第二组网络设置信息。第二组网络设置信息可以对应于第一组网络设置信息。
在各种实施例中,该方法包括响应于第二组网络设置信息的至少一部分与第一组网络设置信息不匹配,检测网络上的中间人攻击方。在一些实施例中,该方法包括触发与中间人攻击方相关的对策动作。
在一个实施例中,对第二组网络设置信息的请求包括发送到网络路由器以连接到网络的欺骗请求。欺骗请求可以包括从虚拟媒体访问控制(“MAC”)地址发送的欺骗动态配置主机协议(“DHCP”)请求。
在各种实施例中,对第二组网络设置信息的请求包括向网络路由器发送路由跟踪命令。第二组网络设置信息可以包括到网络路由器的跳数。响应于到网络路由器的跳数不同于先前确定的到网络路由器的跳数,可以检测到中间人攻击方。
在一些实施例中,对策动作包括在记录与中间人攻击方相关联的信息和向管理员发送指示中间人攻击方存在的通知中的一个或更多个。在各种实施例中,对策动作包括向网络上的其他设备广播记录的信息,并基于广播的记录的信息更新中间人设备的黑名单。在进一步的实施例中,对策动作包括使中间人攻击方的地址解析协议(“ARP”)高速缓存中毒。
在一个实施例中,一种计算机程序产品包括存储计算机可用程序代码的计算机可读存储介质,所述计算机可用程序代码可执行以执行操作。在一个实施例中,操作包括检查与网络路由器相关联的第一组网络设置信息。网络路由器可以被配置成在网络内的设备之间传输数据分组。在进一步的实施例中,操作包括请求第二组网络设置信息。第二组网络设置信息可以对应于第一组网络设置信息。
在各种实施例中,操作包括响应于第二组网络设置信息的至少一部分与第一组网络设置信息不匹配,检测网络上的中间人攻击方。在一些实施例中,操作包括触发与中间人攻击方相关的对策动作。
附图简述
为了使本发明的优点容易理解,通过参考在附图中所示的具体实施例,将呈现上面简要描述的本发明的更加具体的描述。应理解,这些附图只描绘了本发明的典型实施例,且因此不能被看作对其范围的限制,通过使用附图,将利用附加的特征和细节描述和解释本发明,其中:
图1是示出用于检测局域网上的中间人攻击的系统的一个实施例的示意框图;
图2是示出用于检测局域网上的中间人攻击的另一系统的一个实施例的示意框图;
图3是示出用于检测局域网上的中间人攻击的装置的一个实施例的示意框图;以及
图4是示出用于检测局域网上的中间人攻击的方法的一个实施例的示意流程图。
详细描述
贯穿本说明书的对“一个实施例”、“实施例”或类似语言的引用,意指结合实施例所描述的特定的特征、结构或特性被包括在至少一个实施例中。因此,在整个说明书中出现的短语“在一个实施例中”、“在实施例中”和类似的语言可以但不一定都指相同的实施例,而是指“一个或更多个但不是所有的实施例”,除非另有明确说明。术语“包括”、“包含”、“具有”及其变体意指“包括但不限于”,除非另有明确说明。列举的项目列表并不意味着任何或所有项目是互斥的和/或相互包含的,除非另有明确说明。术语“一个(a)”、“一个(an)”和“该(the)”也指“一个或更多个”,除非另有明确说明。
此外,所描述的实施例的特征、优点和特性可以以任何合适的方式组合。然而,相关领域的技术人员将认识到,实施例可以在没有特定实施例的特定特征或优点中的一个或更多个的情况下来实施。在其他情况下,可以在某些实施例中认识到并非在所有实施例中都存在的附加特征和优点。
实施例的这些特征和优点将从下面的描述和所附权利要求中变得更加明显,或者可以通过如下文阐述的实施例的实践来了解。如本领域中的技术人员将认识到的,本发明的各方面可被体现为系统、方法和/或计算机程序产品。因此,本发明的各方面可采用完全硬件实施例、完全软件实施例(包括固件、常驻软件、微代码等)或将在本文中通常全部都可以被称为“电路”、“模块”或“系统”的软件方面和硬件方面组合的实施例的形式。此外,本发明的各方面可采用体现在计算机可读介质(多个计算机可读介质)中的计算机程序产品的形式,该计算机可读介质具有体现在其上的程序代码。
在本说明书中描述的许多功能单元被标记为模块,以便更特别地强调它们的实现独立性。例如,模块可以被实现为硬件电路,该硬件电路包括定制的VLSI电路或门阵列、现成的半导体,诸如逻辑芯片、晶体管或其它分立部件。模块也可以在可编程硬件设备(诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等)中实现。
模块也可以用软件实现,以由各种类型的处理器执行。程序代码的识别模块可以例如包括计算机指令的一个或更多个物理或逻辑块,其可以例如被组织为对象、过程或功能。然而,识别模块的可执行文件(executables)不需要被物理地放置在一起,而是可包括储存在不同位置中的不同的指令,当这些指令被逻辑地连接在一起时,其构成模块并实现用于该模块的规定目的。
事实上,程序代码的模块可以是单个指令或许多指令,并且甚至可以分布在几个不同的代码段上、分布在不同的程序之间以及在几个存储器设备之间分布。类似地,操作数据可以被识别并且在本文中在模块内被示出,并且可以体现在任何合适的形式中并且被组织在任何合适类型的数据结构中。操作数据可以作为单个数据集收集,或者可以分布在不同的位置,包括分布在不同的储存设备上,并且可以至少部分地仅仅作为电子信号存在于系统或网络上。在模块或模块的一部分以软件的方式实现的情况下,程序代码可以在一个或更多个计算机可读介质中存储和/或传播。
计算机程序产品可以包括其上具有用于使处理器执行本发明的各方面的计算机可读程序指令的计算机可读存储介质(或更多个介质)。
计算机可读存储介质可以是有形装置,其可以保留和存储指令以供指令执行装置使用。计算机可读存储介质可以是,例如但不限于,电子存储装置、磁存储装置、光存储装置、电磁存储装置、半导体存储装置或上述装置的任何合适的组合。计算机可读存储介质的更具体示例的非穷举列表包括以下内容:便携式计算机磁盘、硬盘、随机存取存储器(“RAM”)、只读存储器(“ROM”)、可擦除可编程只读存储器(“EPROM”或闪存)、静态随机存取存储器(“SRAM”)、便携式光盘只读存储器(“CD-ROM”)、数字通用光盘(“DVD”)、记忆棒、软盘、机械编码设备(诸如其上具有记录指令的凹槽中的穿孔卡或凸起结构)以及上述内容的任何适当组合。本文使用的计算机可读存储介质不应被解释为暂时信号本身,例如无线电波或其他自由传播的电磁波、通过波导或其他传输介质传播的电磁波(例如,通过光纤光缆传递的光脉冲)或通过导线传输的电信号。
可以将本文描述的计算机可读程序指令从计算机可读存储介质下载到相应的计算/处理装置,或者经由网络(例如,互联网、局域网、广域网和/或无线网)下载到外部计算机或外部存储装置。网络可以包括铜传输电缆、光传输光纤、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理装置中的网络适配器卡或网络接口从网络接收计算机可读程序指令,并转发计算机可读程序指令以存储在相应计算/处理装置内的计算机可读存储介质中。
用于执行本发明的操作的计算机可读程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、与机器有关的指令、微代码、固件指令、状态设置数据、或以一个或更多个编程语言(包括目标对象编程语言(诸如,Smalltalk、C++等)、以及常规过程编程语言(诸如,“C”编程语言或类似的编程语言))的任意组合的方式编写的源代码或目标代码。计算机可读程序指令可以在用户的计算机上完整地执行,作为独立的软件包部分地在用户的计算机上执行、部分地在用户的计算机上执行并且部分地在远程计算机上执行,或者完全在远程计算机或服务器上执行。在后者的场景中,远程计算机可通过任何类型的网络连接到用户的计算机,包括局域网(LAN)或广域网(WAN),或者可连接到外部计算机(例如,通过使用互联网服务提供商的互联网)。在一些实施例中,包括例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)的电子电路可以通过利用计算机可读程序指令的状态信息使电子电路个性化来执行计算机可读程序指令,以便执行本发明的各方面。
本文参考根据本发明的实施例的方法、装置(系统)和计算机程序产品的流程图图示和/或框图描述了本发明的各方面。应理解的是,流程图图示和/或框图中的每个块和流程图图示和/或框图中的块的组合可以由计算机可读程序指令来实现。
这些计算机可读程序指令可被提供到通用计算机的、专用计算机的或用于生产机器的其他可编程数据处理设备的处理器,使得经由计算机的或其他可编程数据处理设备的处理器执行的指令创建用于实现在流程图中和/或在框图的一个或更多个块中所指定的功能/动作。这些计算机可读程序指令还可存储在计算机可读介质中,所述指令可引导计算机、可编程数据处理设备和/或其他装置以特定方式起作用,使得其中存储有指令的计算机可读存储介质包括制造物品,其包括实施流程图和/或框图的一个或更多个块中所指定的功能/动作的各方面的指令。
计算机可读程序指令还可被下载到计算机、其他可编程数据处理设备、或其他装置,以使将在计算机、其他可编程设备或其他装置上执行的一系列操作步骤产生计算机实现的过程,使得在计算机、其他可编程设备或其他装置上执行的指令实现在流程图和/或框图中的一个或更多个块中指定的功能/动作。
在本说明书中描述的许多功能单元被标记为模块,以便更特别地强调它们的实现独立性。例如,模块可以被实现为硬件电路,该硬件电路包括定制的VLSI电路或门阵列、现成的半导体,诸如逻辑芯片、晶体管或其它分立部件。模块也可以在可编程硬件设备(诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等)中实现。
模块也可以用软件实现,以由各种类型的处理器执行。程序指令的识别模块可以例如包括计算机指令的一个或更多个物理或逻辑块,其可以例如被组织为对象、过程或功能。然而,识别模块的可执行文件不需要被物理地放置在一起,而是可包括储存在不同位置的不同的指令,当这些指令被逻辑地连接在一起时,其构成模块并实现用于该模块的规定目的。
图中的示意流程图和/或示意框图示出了根据本发明的各种实施例的装置、系统、方法和计算机程序产品的可能的实施方式的架构、功能和操作。就这点而言,在示意流程图和/或示意框图中的每个块可代表模块、程序段或代码的部分,该模块、程序段或代码的部分包括用于实现指定的逻辑功能(多个指定的逻辑功能)的程序代码的一个或更多个可执行指令。
还应当注意,在某些可选择的实施方式中,在块中提到的功能可以不以图中提到的顺序发生。例如,连续地显示的两个块事实上可以基本上同时执行,或者块有时可以以相反的顺序执行,这取决于所涉及的功能。可以设想在功能、逻辑或效果上等同于在所示图中的一个或更多个块或其部分的其他步骤和方法。
尽管各种箭头类型和线类型可在流程图和/或框图中被采用,但它们应被理解为不限制相应的实施例的范围。事实上,一些箭头或其它连接器可被用于仅指示所描述的实施例的逻辑流。例如,箭头可以指示所描绘实施例的列举步骤之间的未指定持续时间的等待或监测时段。还应当注意的是,框图和/或流程图的每个块以及框图和/或流程图中的块的组合可以由执行指定的功能或动作的基于专用硬件的系统或者专用硬件和程序代码的组合来实施。
图1描绘了用于检测局域网上的中间人攻击的系统100的一个实施例。在一个实施例中,系统100包括一个或更多个信息处理设备102、一个或更多个安全装置104、一个或更多个数据网络106以及一个或更多个服务器108。在某些实施例中,尽管在图1中描绘了特定数量的信息处理设备102、安全装置104、数据网络106和服务器108,但是根据本公开,本领域技术人员将认识到,系统100中可以包括任何数量的信息处理设备102、安全装置104、数据网络106和服务器108。
在一个实施例中,系统100包括一个或更多个信息处理设备102。信息处理设备102可以包括在台式计算机、膝上型计算机、平板计算机、智能电话、智能扬声器(例如,AmazonGoogle/>Apple Home/>)、安全系统、机顶盒、游戏控制台、智能TV、智能手表、健身带或其他可穿戴活动跟踪设备、光学头戴式显示器(例如,虚拟现实耳机、智能眼镜等)、高清多媒体接口(“HDMI”)或其他电子显示加密狗、个人数字助理、数码相机、摄像机或包括处理器(例如,中央处理单元(“CPU”)、处理器核心、现场可编程门阵列(“FPGA”)或其他可编程逻辑、专用集成电路(“ASIC”)、控制器、微控制器和/或另一半导体集成电路设备)、易失性存储器和/或非易失性存储介质的另一计算设备中的一种或更多种。
在某些实施例中,信息处理设备102通过数据网络106(例如局域网)通信地耦合到一个或更多个其他信息处理设备102和/或一个或更多个服务器108,如下所述。在另一实施例中,信息处理设备102可以包括处理器、处理器核心和/或类似物,其被配置成执行各种程序、程序代码、应用、指令、功能和/或类似物。
在一个实施例中,安全装置104被配置成检测局域网(“LAN”)上的中间人(“MitM”)攻击。如本文所使用的,MitM攻击是这样一种攻击,在这种攻击中,攻击方秘密地传递并可能改变相信他们彼此直接通信的双方/设备之间的通信。MitM攻击的一个示例是主动窃听,在这种情况下,攻击方与受害方(victims)建立独立连接,并在受害方之间传递消息,使受害方相信它们是通过私人连接直接交谈的,而实际上整个对话都是由攻击方控制的。
在一个实施例中,安全装置104被配置成通过检查与路由器、网关或位于LAN上的防火墙后面的其他类似网络设备相关联的网络设置信息来检测LAN上的MitM攻击,并且被配置成在连接到网络(例如,在LAN内和互联网上)的设备之间传输数据分组。网络设置信息例如可以包括媒体访问控制(“MAC”)地址或互联网协议(“IP”)地址。安全装置104可以请求第二组网络设置信息来与原始或第一组网络设置信息进行比较,以确定网络设置信息之间是否存在差异,例如,确定路由器的MAC地址是否与接收到的MAC地址不匹配。如果存在差异,则安全装置104可以触发对抗MitM攻击的动作。在一个实施例中,安全装置104通过监测不能改变的、但是MitM攻击方试图隐藏或欺骗的信息(例如,MAC和IP地址)来可靠地检测MitM攻击,然后采取一个或更多个动作来对抗MitM的攻击,从而提高LAN的安全性。
在各种实施例中,安全装置104可以体现为硬件设备,其可以安装或部署在信息处理设备102上、服务器108上、路由器上或数据网络106上的其他地方。在某些实施例中,安全装置104可以包括硬件设备(诸如安全硬件加密狗或其他硬件设备(例如,机顶盒、网络设备等)),该硬件设备是通过有线连接(例如,通用串行总线(“USB”)连接)或无线连接(例如,Wi-Fi、近场通信(“NFC”)等)附接到诸如膝上型计算机、服务器108、平板计算机、智能电话、安全系统等设备的硬件设备;该硬件设备是附接到电子显示设备(例如,使用HDMI端口、DisplayPort端口、Mini DisplayPort端口、VGA端口、DVI端口等的电视机或监测器)的硬件设备;和/或类似物。安全装置104的硬件设备可以包括电源接口、有线和/或无线网络接口和/或附接到显示器的图形接口,和/或如下所述的半导体集成电路设备,其被配置成执行本文关于安全装置104描述的功能。
在这样的实施例中,安全装置104可以包括半导体集成电路设备(例如,一个或更多个芯片、管芯或其他分立逻辑硬件)等,诸如现场可编程门阵列(“FPGA”)或其他可编程逻辑、用于FPGA或其他可编程逻辑的固件、用于在微控制器上执行的微代码、专用集成电路(“ASIC”)、处理器、处理器核心等。在一个实施例中,可以用一个或更多个电线或连接(例如,到易失性存储器、非易失性存储介质、网络接口、外围设备、图形/显示接口等)将安全装置104安装在印刷电路板上。硬件设备可以包括被配置成发送和接收数据(例如,与印刷电路板等的一个或更多个电线通信)的一个或更多个引脚、焊盘或其他电连接,以及被配置成执行安全装置104的各种功能的一个或更多个硬件电路和/或其他电路。
在某些实施例中,安全装置104的半导体集成电路设备或其他硬件设备包括和/或通信耦合到一个或更多个易失性存储介质,其可以包括但不限于随机存取存储器(“RAM”)、动态RAM(“DRAM”)、高速缓存等。在一个实施例中,安全装置104的半导体集成电路设备或其他硬件设备包括和/或通信耦合到一个或更多个非易失性存储介质,其可以包括但不限于:NAND闪存、NOR闪存、纳米随机存取存储器(纳米RAM或NRAM)、纳米晶体基于导线的存储器(nanocrystal wire-based memory)、基于二氧化硅的亚-10纳米工艺存储器、石墨烯存储器、硅-氧化物-氮化物-氧化物-硅(“SONOS”)、电阻式RAM(“RRAM”)、可编程金属化单元(“PMC”)、导电桥接RAM(“CBRAM”)、磁阻式RAM(“MRAM”)、动态RAM(“DRAM”)、相变RAM(“PRAM”或“PCM”)、磁存储介质(例如硬盘、磁带)、光存储介质等。
在一个实施例中,数据网络106包括传输数字通信的数字通信网络。数据网络106可以包括无线网络(诸如无线蜂窝网络)、本地无线网络(诸如Wi-Fi网络)、网络、近场通信(“NFC”)网络、自组织网络等。数据网络106可以包括广域网(“WAN”)、存储区域网(“SAN”)、局域网(LAN)、光纤网络、互联网或其他数字通信网络。数据网络106可包括两个或更多个网络。数据网络106可以包括一个或更多个服务器、路由器、交换机和/或其他网络设备。数据网络106还可以包括一个或更多个计算机可读存储介质,诸如硬盘驱动器、光驱、非易失性存储器、RAM等。
无线连接可以是移动电话网络。无线连接也可以采用基于电气和电子工程师协会(IEEE)802.11标准中的任何一个标准的Wi-Fi网络。可选地,无线连接可以是连接。此外,无线连接可以采用射频识别(RFID)通信,包括由国际标准化组织(ISO)、国际电工委员会(IEC)、American Society for Testing and/>DASH7TM联盟和EPCGlobalTM建立的RFID标准。
可选地,无线连接可以采用基于IEEE 802标准的Zig连接。在一个实施例中,无线连接采用由Sigma/>设计的Z-/>连接。可选地,无线连接可以采用加拿大考昆的/>创新公司定义的/>和/或/>连接。
无线连接可以是红外连接,包括至少符合定义的红外物理层规范(IrPHY)的连接。可选地,无线连接可以是蜂窝电话网络通信。所有标准和/或连接类型包括截至本申请的提交日期的标准和/或连接类型的最新版本和修订版。
在一个实施例中,一个或更多个服务器108可以体现为刀片服务器、主机服务器、塔式服务器、机架式服务器等。一个或更多个服务器108可以被配置成邮件服务器、web服务器、应用服务器、FTP服务器、媒体服务器、数据服务器、web服务器、文件服务器、虚拟服务器等。一个或更多个服务器108可以通过数据网络106通信耦合(例如,联网)到一个或更多个信息处理设备102。一个或更多个服务器108可以存储与信息处理设备102相关联的数据。
图2描绘了用于检测局域网上的中间人攻击的系统200的一个实施例。在一个实施例中,系统200包括安全装置104、互联网202、安全设备204、受害方设备206、攻击方设备208和网络路由器210。
在一个实施例中,MitM攻击包括攻击方设备208,攻击方设备208被配置成截获受害方设备206和网络路由器210之间的通信。通信可以包括电子邮件、网站、金融信息或攻击方设备208可以盗用的其他敏感信息。例如,攻击方设备208可以使用地址解析协议(“ARP”)欺骗技术,通过将攻击方设备208的MAC地址与另一主机(诸如是受害方设备206和网络路由器210)的IP地址相关联,而在LAN上发送消息。以这种方式,当受害方设备206向网络路由器210发送数据分组时(反之亦然),攻击方设备208可以截获该数据分组,因为该数据分组的目的地将具有攻击方设备208的MAC地址。攻击方设备208然后可以读取、改变、转发或丢弃数据分组。
安全装置104通过将(例如,当网络路由器210首次在LAN上建立时)先前记录或存储的网络路由器210的网络设置信息与在随后的时间从网络路由器210接收的网络设置信息进行比较,来对抗攻击方设备208的攻击。如果存在MitM攻击,则随后接收到的网络设置信息将与先前记录的网络设置信息不匹配,例如,路由器的原始记录的MAC地址将与攻击方设备的MAC地址不匹配,因此可以检测到MitM攻击。
在某些实施例中,安全装置104的至少一部分位于网络路由器210、受害方设备206和/或单独的网络设备204(诸如专门编程的、硬连线和/或类似的网络设备)上,以监测网络设置信息和检测LAN内的MitM攻击。
图3描绘了用于检测局域网上的中间人攻击的装置300的一个实施例。在一个实施例中,装置300包括安全装置104的实例。在一个实施例中,安全装置104包括设置模块302、请求模块304、攻击检测模块306和动作模块308,这些将在下面更详细地描述。
在一个实施例中,设置模块302被配置成对与网络路由器210相关联的第一组网络设置信息进行检查、接收、读取、存储和/或类似操作。第一组网络设置信息可以包括对于网络路由器210、网络网关或被配置成在网络内(例如,在LAN内或在互联网上)的设备之间传输数据分组的其他设备的MAC地址信息、IP地址信息和/或其他识别网络信息。
在一个实施例中,当网络路由器210首次连接到网络时,设置模块302确定用于网络路由器210的第一组网络设置。在一些实施例中,网络路由器210向与其连接的设备广播其网络设置信息。在某些实施例中,管理员或其他用户将用于网络路由器210的网络设置信息存储在通过网络路由器210连接到网络的设备可访问的网络位置处。在一些实施例中,用于网络路由器210的网络设置信息以安全、加密的方式存储,使得未经授权的设备(例如MitM攻击方设备208)不能访问用于网络路由器210的网络设置信息。以这种方式,可以访问和检查用于网络路由器210的真实网络设置信息,而不用担心攻击方设备208已经破坏了该信息。
在一个实施例中,请求模块304被配置成请求第二组网络设置信息。第二组网络设置信息可以包括对应于第一组网络设置信息的网络设置信息。例如,请求模块304可以向网络路由器210发送查验(ping)请求者命令,以确定网络路由器210的网络设置信息,例如,MAC地址、IP地址等。然而,在某些实施例中,如果在LAN上存在MitM攻击方,则接收到的MAC和/或IP地址将与设置模块302检查的网络路由器210的真实MAC地址和/或IP地址不匹配(因为它将是攻击方设备208的MAC和/或IP地址)。
在一些实施例中,请求模块304通过向网络路由器210发送连接到网络的欺骗请求,从而发送对第二组网络设置信息的请求。例如,请求模块304可以发送欺骗请求,该欺骗请求包括从虚拟的、随机生成的或者以其他方式未使用的媒体访问控制(“MAC”)地址发送的欺骗动态配置主机协议(“DHCP”)请求。当在网络路由器210处接收到欺骗式DHCP请求时,网络路由器210可以返回数据分组,该数据分组包括其IP地址、域名服务器(“DNS”)信息、MAC地址信息等,理论上该设备可以使用这些信息来连接到LAN。然而,如果存在MitM攻击,至少一部分接收到的网络设置信息将与真实的网络设置信息(诸如,MAC地址)不匹配,当请求模块304接收到对欺骗式DHCP请求的响应时,其可以是攻击方设备208的MAC地址。
在一些实施例中,DHCP服务器可以在与网络路由器210不同的设备上。在这样的实施例中,请求模块304接收的网络设置信息也可以包括DHCP服务器的MAC地址和/或IP地址。在这样的实施例中,检测到在第一组网络设置信息和第二组网络设置信息之间关于网络路由器210的IP地址、DNS条目、DHCP服务器的MAC地址和/或网络路由器210的MAC地址的不匹配,可以指示MitM攻击。
在各种实施例中,请求模块304通过向网络路由器210发送路由追踪命令,来发送对第二组网络设置信息的请求。本文使用的路由追踪命令是一种计算机网络诊断工具,用于显示路由或路径并测量数据分组在互联网协议(IP)网络上的传输延迟。在一个实施例中,第二组网络设置信息包括在请求模块304和网络路由器210之间的跳数或设备数。
例如,如果受害方设备206直接连接到网络路由器210,那么跳数将是一。如果在受害方设备206和网络路由器210之间有两个交换机,那么跳数将是三。在一个实施例中,第一组网络设置信息包括在受害方设备206和网络路由器210之间的实际跳数。在随后的时间处,请求模块304可以运行路由追踪命令来确定在受害方设备206和网络路由器210之间的跳数,以确定现在是否有更多跳,更多跳将指示受害方设备206和网络路由器210之间的新的、额外的设备,其中之一可能是MitM攻击方设备208。
在一个实施例中,请求模块304通过以下方式发送对第二组网络设置信息的请求:向连接到网络的独立设备204的MAC地址发送第一虚拟数据分组,向设备204的与该MAC地址相关联的IP地址发送第二虚拟数据分组,以及接收对第一和第二虚拟数据分组在设备204处被接收的确认和/或对第一和第二虚拟数据分组的MAC地址不匹配的确认。
例如,请求模块304可以仅使用对于不同设备204的MAC地址/IP地址对中的MAC地址,将数据分组从受害方设备206发送到网络上的不同设备204。然后,请求模块304可以使用MAC地址/IP地址对中的IP地址从受害方设备206向不同设备204发送数据分组,这将需要将IP地址转换成映射的MAC地址以通过LAN进行路由。如果网络上没有MitM攻击方设备208,则两个数据分组都应该到达设备204,即使一个数据分组是直接使用MAC地址发送的,而另一个数据分组是使用映射成MAC地址的IP地址发送的。然而,即使两个数据分组都到达设备204,如果源MAC地址不匹配,则源MAC地址的比较可以指示MitM攻击。
在一个实施例中,请求模块304以周期性间隔发送对第二组网络设置信息的请求。例如,请求模块304可以每十分钟、每半小时、每小时、每天、每周等发送对第二组网络设置信息的请求。在某些实施例中,选择一个间隔,使得LAN上的带宽不会被请求生成的网络流量减慢或影响。
在一个实施例中,攻击检测模块306被配置成基于对于网络路由器210的先前收藏的、记录的、存储的、检查的、收集的等等的网络设置信息与请求模块306接收的后续网络设置信息的比较,来检测LAN上的MitM攻击方。例如,如上所述,如果先前存储的对于网络路由器210的MAC地址与随后接收的数据分组的源MAC地址(例如,响应于DHCP请求)不匹配,那么攻击检测模块306可以设置标志、发送警告/通知/消息等,以指示检测到差异以及MitM攻击方208可能出现在LAN上。
在一个实施例中,响应于攻击检测模块306检测到MitM攻击方208的存在,动作模块308被配置成触发与MitM攻击方208相关的对策动作。在一个实施例中,动作模块308通过记录与MitM攻击方208相关联的信息来采取对策动作。例如,动作模块308可以记录或存储MitM攻击方208的MAC地址、IP地址、设备标识符、端口号、序列号等。在一个实施例中,记录的信息被备份到基于云的数据存储中,该基于云的数据存储使用web服务可访问。在这样的实施例中,记录的信息可以被分析,以确定与MitM攻击相关联的趋势、预测等、MitM攻击的发生、MitM攻击的可能性等。
在某些实施例中,动作模块308通过向LAN上的其他设备广播所记录的信息并基于所广播的所记录的信息更新MitM设备的黑名单来采取对策动作。例如,每个设备可以维护已被识别为MitM攻击方208的MAC地址、IP地址、设备标识符等的黑名单。动作模块308可以基于正在被识别的新的MitM攻击方208来更新黑名单上的信息。
在一个实施例中,动作模块308通过向管理员或其他用户、服务、应用和/或类似物发送指示MitM攻击方208存在的通知来采取对策动作。例如,动作模块308可以发送电子邮件、文本消息、即时消息、警报、信号和/或包括识别MitM攻击方208的信息(诸如MitM攻击方208的MAC地址、IP地址、设备标识符、端口号、序列号和/或类似物)的类似物。
在一些实施例中,动作模块308通过使MitM攻击方208的地址解析协议(“ARP”)高速缓存中毒或改变来采取对策动作。例如,动作模块308可以向攻击方设备208发送或假冒ARP消息,使得攻击方的ARP高速缓存被虚拟、无效或不存在的MAC地址/IP地址配对填充,使得攻击方设备208不能向LAN中的合法设备发送数据分组。
在进一步的实施例中,动作模块308通过远程关闭MitM设备208来采取对策动作。例如,动作模块308可以向MitM设备208发送结束命令(kill command)、关闭命令、去激活命令、休眠命令等,这些命令触发或导致MitM设备208关闭、关断、去激活、停止发送数据分组、断开网络连接、去激活网卡等,使得MitM设备208不能在LAN上发送或接收数据分组。
动作模块308可以采取的其他对策动作包括使用先前存储的对于网络路由器210的网络设置信息直接联系网络路由器210,以确认网络路由器210仍然正常工作、可用等;用对于网络路由器210的真实的MAC/IP地址(如使用先前存储的网络设置信息所确定的)周期性地更新受害方设备206的ARP高速缓存;ARP欺骗网络路由器210、网关或受害方设备206回到正确的MAC/IP地址值;拍摄与MitM设备208相关联的用户的图像(假设MitM设备208具有连接的相机设备);在MitM设备208上安装跟踪应用或程序,以跟踪MitM设备208及其网络活动;和/或类似物。
图4描绘了用于检测局域网上的中间人攻击的方法的一个实施例的示意流程图。在一个实施例中,方法400开始并检查402与网络路由器210相关联的第一组网络设置信息。网络路由器210可以被配置成在局域网内的设备之间传输数据分组。在进一步的实施例中,方法400请求404对应于第一组网络设置信息的第二组网络设置信息。
在某些实施例中,方法400响应于第二组网络设置信息的至少一部分与第一组网络设置信息不匹配,检测406网络上的MitM攻击方208。在各种实施例中,方法400触发408与MitM攻击方208相关的对策动作,并且方法400结束。在某些实施例中,设置模块302、请求模块304、攻击检测模块306和动作模块308执行方法400的各个步骤。
在不脱离本发明的精神或本质特征的情况下,本发明可以以其他特定形式体现。所描述的实施例将在所有方面被认为仅是说明性而非限制性。因此,本发明的范围由所附权利要求而不是前面的描述来指示。所有落入权利要求的等价物的含义和范围内的改变都被包括在权利要求的范围之内。

Claims (17)

1.一种用于检测局域网上的中间人攻击的装置,所述装置包括:
处理器;
存储器,所述存储器存储代码,所述代码由所述处理器可执行以:
检查与网络路由器相关联的先前存储的第一组网络设置信息,所述网络路由器被配置成在网络内的设备之间传输数据分组;
向所述网络路由器发送对第二组网络设置信息的欺骗请求,所述欺骗请求包括欺骗动态配置主机协议DHCP请求,所述第二组网络设置信息对应于所述第一组网络设置信息;
通过使用地址解析协议ARP命令检测所述网络上的中间人攻击方以验证发送所述第二组网络设置信息的所述网络路由器,其中,将包括在所述第一组网络设置信息和所述第二组网络设置信息中的所述网络路由器的互联网协议IP地址、域名服务器DNS条目、DHCP服务器的媒体访问控制MAC地址和所述网络路由器的MAC地址中的每一个进行比较,以识别所述第一组网络设置信息和所述第二组网络设置信息中的所述网络路由器的所述IP地址、所述DNS条目、所述DHCP服务器的所述MAC地址以及所述网络路由器的所述MAC地址中的至少一个之间的不匹配;和
触发与所述中间人攻击方相关的对策动作。
2.根据权利要求1所述的装置,其中,对第二组网络设置信息的请求包括向所述网络路由器发送路由追踪命令,所述第二组网络设置信息包括到所述网络路由器的跳数,其中,响应于到所述网络路由器的跳数不同于到所述网络路由器的先前确定的跳数,检测所述中间人攻击方。
3.根据权利要求1所述的装置,其中,对第二组网络设置信息的请求包括:
向对于连接到所述网络的设备的媒体访问控制MAC地址发送第一虚拟数据分组;
向对于连接到所述网络的所述设备的互联网协议IP地址发送第二虚拟数据分组,所述互联网协议IP地址与所述媒体访问控制MAC地址相关联;和
接收对所述第一虚拟数据分组和第二虚拟数据分组在连接到所述网络的所述设备处被接收的确认以及对所述第一虚拟数据分组的媒体访问控制MAC地址和第二虚拟数据分组的媒体访问控制MAC地址不匹配的确认中的一个或更多个。
4.根据权利要求1所述的装置,其中,对第二组网络设置信息的请求以周期性间隔发送。
5.根据权利要求1所述的装置,其中,对于所述网络路由器的第一组网络设置信息和第二组网络设置信息包括在媒体访问控制MAC地址和互联网协议IP地址中的一个或更多个。
6.根据权利要求1所述的装置,其中,所述代码还由所述处理器可执行,以在所述网络路由器首次连接到所述网络时确定所述第一组网络设置信息。
7.根据权利要求1所述的装置,其中,所述对策动作包括下列中的一个或更多个:
记录与所述中间人攻击方相关联的信息;和
向管理员发送指示所述中间人攻击方的存在的通知。
8.根据权利要求7所述的装置,其中,所记录的信息被备份到基于云的数据存储中,所述基于云的数据存储使用web服务可访问。
9.根据权利要求7所述的装置,其中,所述对策动作包括:
向所述网络上的其他设备广播所述记录的信息;和
基于所广播的记录的信息,更新中间人设备的黑名单。
10.根据权利要求1所述的装置,其中,所述对策动作包括使所述中间人攻击方的地址解析协议ARP高速缓存中毒。
11.根据权利要求1所述的装置,其中,所述对策动作包括远程关闭所述中间人攻击方的设备。
12.一种用于检测局域网上的中间人攻击的方法,所述方法包括:
检查与网络路由器相关联的先前存储的第一组网络设置信息,所述网络路由器被配置成在网络内的设备之间传输数据分组;
向所述网络路由器发送对第二组网络设置信息的欺骗请求,所述欺骗请求包括欺骗动态配置主机协议DHCP请求,所述第二组网络设置信息对应于所述第一组网络设置信息;
通过使用地址解析协议ARP命令检测所述网络上的中间人攻击方以验证发送所述第二组网络设置信息的所述网络路由器,其中,将包括在所述第一组网络设置信息和所述第二组网络设置信息中的所述网络路由器的互联网协议IP地址、域名服务器DNS条目、DHCP服务器的媒体访问控制MAC地址和所述网络路由器的MAC地址中的每一个进行比较,以识别所述第一组网络设置信息和所述第二组网络设置信息中的所述网络路由器的所述IP地址、所述DNS条目、所述DHCP服务器的所述MAC地址以及所述网络路由器的所述MAC地址中的至少一个之间的不匹配;和
触发与所述中间人攻击方相关的对策动作。
13.根据权利要求12所述的方法,其中,对第二组网络设置信息的请求包括向所述网络路由器发送路由追踪命令,所述第二组网络设置信息包括到所述网络路由器的跳数,其中,响应于到所述网络路由器的跳数不同于到所述网络路由器的先前确定的跳数,检测所述中间人攻击方。
14.根据权利要求12所述的方法,其中,所述对策动作包括下列中的一个或更多个:
记录与所述中间人攻击方相关联的信息;和
向管理员发送指示所述中间人攻击方的存在的通知。
15.根据权利要求14所述的方法,其中,所述对策动作包括:
向所述网络上的其他设备广播所记录的信息;和
基于所广播的记录的信息,更新中间人设备的黑名单。
16.根据权利要求12所述的方法,其中,所述对策动作包括使所述中间人攻击方的地址解析协议ARP高速缓存中毒。
17.一种计算机程序产品,其包括存储计算机可用程序代码的计算机可读存储介质,所述计算机可用程序代码可执行以执行以下操作:
检查与网络路由器相关联的先前存储的第一组网络设置信息,所述网络路由器被配置成在网络内的设备之间传输数据分组;
向所述网络路由器发送对第二组网络设置信息的欺骗请求,所述欺骗请求包括欺骗动态配置主机协议DHCP请求,所述第二组网络设置信息对应于所述第一组网络设置信息;
通过使用地址解析协议ARP命令检测所述网络上的中间人攻击方以验证发送所述第二组网络设置信息的所述网络路由器,其中,将包括在所述第一组网络设置信息和所述第二组网络设置信息中的所述网络路由器的互联网协议IP地址、域名服务器DNS条目、DHCP服务器的媒体访问控制MAC地址和所述网络路由器的MAC地址中的每一个进行比较,以识别所述第一组网络设置信息和所述第二组网络设置信息中的所述网络路由器的所述IP地址、所述DNS条目、所述DHCP服务器的所述MAC地址以及所述网络路由器的所述MAC地址中的至少一个之间的不匹配;和
触发与所述中间人攻击方相关的对策动作。
CN201880059013.2A 2017-08-02 2018-08-02 检测局域网上的中间人攻击 Active CN111095216B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201762540286P 2017-08-02 2017-08-02
US62/540,286 2017-08-02
PCT/US2018/045069 WO2019028293A1 (en) 2017-08-02 2018-08-02 DETECTION OF INTERCEPTOR ATTACKS ON A LOCAL NETWORK

Publications (2)

Publication Number Publication Date
CN111095216A CN111095216A (zh) 2020-05-01
CN111095216B true CN111095216B (zh) 2024-06-04

Family

ID=65230050

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880059013.2A Active CN111095216B (zh) 2017-08-02 2018-08-02 检测局域网上的中间人攻击

Country Status (4)

Country Link
US (1) US11178174B2 (zh)
CN (1) CN111095216B (zh)
CA (1) CA3108330A1 (zh)
WO (1) WO2019028293A1 (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190058731A1 (en) * 2017-08-17 2019-02-21 Qualcomm Incorporated User-side detection and containment of arp spoofing attacks
CN110661714B (zh) * 2018-06-30 2022-06-28 华为技术有限公司 发送bgp消息的方法、接收bgp消息的方法以及设备
US10931695B2 (en) * 2018-08-22 2021-02-23 Akamai Technologies, Inc. Nonce injection and observation system for detecting eavesdroppers
KR102617715B1 (ko) * 2019-02-01 2023-12-27 삼성전자주식회사 전자 장치 및 전자 장치의 제어 방법
CN110943979A (zh) * 2019-11-19 2020-03-31 普联技术有限公司 Sdn网络攻击检测方法、装置、设备和系统
EP4500914A1 (en) * 2022-03-31 2025-02-05 Rakuten Symphony, Inc. Mechanism for protecting front-haul link from man-in-the-middle (mitm) attack
CN116170304B (zh) * 2022-12-09 2023-08-08 广州通则康威智能科技有限公司 网络设备配置文件检查方法、装置、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1771709A (zh) * 2003-05-30 2006-05-10 国际商业机器公司 网络攻击特征标记的产生
CN101527911A (zh) * 2008-03-03 2009-09-09 索尼株式会社 通信装置和通信方法
CN101573692A (zh) * 2006-10-25 2009-11-04 约维申有限公司 检测和防止中间人网络钓鱼攻击
CN106790212A (zh) * 2017-01-07 2017-05-31 北京坤腾畅联科技有限公司 基于时间特征的分析检测中间人攻击的方法和终端设备
US9680860B1 (en) * 2016-02-16 2017-06-13 Cylance Inc. Endpoint-based man in the middle attack detection using multiple types of detection tests

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7222255B1 (en) * 2001-02-28 2007-05-22 3Com Corporation System and method for network performance testing
US20020129355A1 (en) * 2001-03-01 2002-09-12 Mike Velten Method and system for monitoring an apparatus for a computer
US8000698B2 (en) * 2006-06-26 2011-08-16 Microsoft Corporation Detection and management of rogue wireless network connections
CN101110821B (zh) 2007-09-06 2010-07-07 华为技术有限公司 防止arp地址欺骗攻击的方法及装置
WO2009031453A1 (ja) * 2007-09-07 2009-03-12 Cyber Solutions Inc. ネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システム
CN101594230B (zh) * 2008-05-30 2012-06-27 华为技术有限公司 处理动态主机配置消息的方法、装置及系统
US8250515B2 (en) * 2010-04-29 2012-08-21 International Business Machines Corporation Clock alias for timing analysis of an integrated circuit design
TWI506472B (zh) * 2014-03-12 2015-11-01 Hon Hai Prec Ind Co Ltd 網路設備及其防止位址解析協定報文攻擊的方法
US9888035B2 (en) * 2015-06-30 2018-02-06 Symantec Corporation Systems and methods for detecting man-in-the-middle attacks
US9935862B2 (en) * 2015-09-08 2018-04-03 At&T Intellectual Property I, L.P. Low-impact proactive monitoring of customer access to virtualized network elements in a cloud platform
US10250636B2 (en) * 2016-07-07 2019-04-02 Attivo Networks Inc Detecting man-in-the-middle attacks
US10326794B2 (en) * 2016-12-21 2019-06-18 Verisign, Inc. Anycast-based spoofed traffic detection and mitigation
US20180205749A1 (en) * 2017-01-18 2018-07-19 Qualcomm Incorporated Detecting A Rogue Access Point Using Network-Independent Machine Learning Models

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1771709A (zh) * 2003-05-30 2006-05-10 国际商业机器公司 网络攻击特征标记的产生
CN101573692A (zh) * 2006-10-25 2009-11-04 约维申有限公司 检测和防止中间人网络钓鱼攻击
CN101527911A (zh) * 2008-03-03 2009-09-09 索尼株式会社 通信装置和通信方法
US9680860B1 (en) * 2016-02-16 2017-06-13 Cylance Inc. Endpoint-based man in the middle attack detection using multiple types of detection tests
CN106790212A (zh) * 2017-01-07 2017-05-31 北京坤腾畅联科技有限公司 基于时间特征的分析检测中间人攻击的方法和终端设备

Also Published As

Publication number Publication date
CA3108330A1 (en) 2019-02-07
WO2019028293A1 (en) 2019-02-07
CN111095216A (zh) 2020-05-01
US20190044974A1 (en) 2019-02-07
US11178174B2 (en) 2021-11-16

Similar Documents

Publication Publication Date Title
CN111095216B (zh) 检测局域网上的中间人攻击
US10305904B2 (en) Facilitating secure network traffic by an application delivery controller
US11601456B2 (en) Transparent inspection of traffic encrypted with perfect forward secrecy (PFS)
US10157280B2 (en) System and method for identifying security breach attempts of a website
US9730075B1 (en) Systems and methods for detecting illegitimate devices on wireless networks
US20190081981A1 (en) Systems and methods for network vulnerability assessment and protection of wi-fi networks using a cloud-based security system
US20210258342A1 (en) Method circuits devices systems and functionally associated computer executable code for detecting and mitigating denial of service attack directed on or through a radio access network
US9198118B2 (en) Rogue wireless access point detection
US11316861B2 (en) Automatic device selection for private network security
US20130055375A1 (en) Method and Protection System for Mitigating Slow HTTP Attacks Using Rate and Time Monitoring
US20170201381A1 (en) Systems and Methods for Providing a Man-in-the-Middle Proxy
US11496440B2 (en) Systems, methods, and media for intelligent split-tunneling
US8191143B1 (en) Anti-pharming in wireless computer networks at pre-IP state
US20210112093A1 (en) Measuring address resolution protocol spoofing success
TW201535141A (zh) 網路設備及其防止位址解析協定報文攻擊的方法
US20170279854A1 (en) Identifying data usage via active data
Cabaj et al. Network threats mitigation using software‐defined networking for the 5G internet of radio light system
US10250634B2 (en) Apparatus, system, and method for protecting against denial of service attacks using one-time cookies
US9781601B1 (en) Systems and methods for detecting potentially illegitimate wireless access points
CN108769086B (zh) 一种用于通过用户设备检测中间人攻击的方法与设备
US20220231990A1 (en) Intra-lan network device isolation
KR101494329B1 (ko) 악성 프로세스 검출을 위한 시스템 및 방법
US20110216770A1 (en) Method and apparatus for routing network packets and related packet processing circuit
US9525665B1 (en) Systems and methods for obscuring network services
CN108282786B (zh) 一种用于检测无线局域网中dns欺骗攻击的方法与设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant