CN111490977A - 一种基于dag区块链的防arp欺骗攻击方法及平台端 - Google Patents

一种基于dag区块链的防arp欺骗攻击方法及平台端 Download PDF

Info

Publication number
CN111490977A
CN111490977A CN202010227251.9A CN202010227251A CN111490977A CN 111490977 A CN111490977 A CN 111490977A CN 202010227251 A CN202010227251 A CN 202010227251A CN 111490977 A CN111490977 A CN 111490977A
Authority
CN
China
Prior art keywords
address
mac
mac address
host node
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010227251.9A
Other languages
English (en)
Other versions
CN111490977B (zh
Inventor
斯雪明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujian Fulian Technology Co ltd
Original Assignee
Fujian Fulian Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujian Fulian Technology Co ltd filed Critical Fujian Fulian Technology Co ltd
Priority to CN202010227251.9A priority Critical patent/CN111490977B/zh
Publication of CN111490977A publication Critical patent/CN111490977A/zh
Application granted granted Critical
Publication of CN111490977B publication Critical patent/CN111490977B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种基于DAG区块链的防ARP欺骗攻击方法及平台端,接收主机节点发送的每一次广播数据包,从DAG区块链中获取主机节点上至少两个数据单元,对所获取的所有数据单元和广播数据包进行IP‑MAC地址对是否相等的验证,若验证通过,则对广播数据包内的IP‑MAC地址对进行权重值加一;接收源主机节点所发送的包括目标主机节点的IP地址的MAC地址请求包,根据目标主机节点的IP地址从地址权重表上获取权重值最高的IP‑MAC地址对中的MAC地址,并将其返回至源主机节点,源主机节点与目标主机节点为同一局域网内的主机节点。本发明有效排除ARP欺骗数据包中的虚假MAC地址,从而达到防御ARP欺骗的效果。

Description

一种基于DAG区块链的防ARP欺骗攻击方法及平台端
技术领域
本发明涉及区块链技术领域,特别涉及一种基于DAG区块链的防ARP欺骗攻击方法及平台端。
背景技术
ARP欺骗,是针对以太网地址解析协议(ARP)的一种攻击技术。地址解析协议(ARP,Address Resolution Protocol)是根据IP地址获取物理地址的一个TCP/IP协议。
ARP欺骗攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网上特定计算机或所有计算机无法正常连线。ARP欺骗的运作原理是由攻击者发送假的ARP数据包到网上,尤其是送到网关上。其目的是要让送至特定的IP地址的流量被错误送到攻击者所取代的地方。攻击者会以一定的时间间隔,不断地发送伪造的arp报文,来达到让目标主机无法连接网络的目的。恶意的ARP欺骗攻击甚至能够截取目标的私密数据。
目前对这种攻击最理想的防御方法是网内的每台计算机的ARP一律改用静态的方式,不过该静态绑定数据可能被攻击者非法篡改,同时网络中随时可能有新的节点加入,维护不易。现有的基于区块链的ARP攻击防御方案,仅仅是通过单链的区块链数据结构保证数据的安全性。
在互联网或者局部网络中,可能存在大量的节点,同时网络中随时有新的节点加入,利用单链结构的区块链,受到共识机制以及网络组织结构的限制,一方面IP地址与MAC地址的对应表可能更新不及时,容易受到网络攻击;另一方面,可能受到中心化弱化的影响,同样容易受到网络攻击。
发明内容
本发明所要解决的技术问题是:提供一种基于DAG区块链的防ARP欺骗攻击方法及平台端,能够保证网络节点免受ARP欺骗攻击。
为了解决上述技术问题,本发明采用的技术方案为:
一种基于DAG区块链的防ARP欺骗攻击方法,包括步骤:
S1、接收主机节点发送的每一次广播数据包,从DAG区块链中获取所述主机节点上至少两个数据单元,对所获取的所有所述数据单元和所述广播数据包进行IP-MAC地址对是否相等的验证,若验证通过,则对所述广播数据包内的IP-MAC地址对进行权重值加一;
S2、接收源主机节点所发送的包括目标主机节点的IP地址的MAC地址请求包,根据所述目标主机节点的IP地址从地址权重表上获取权重值最高的IP-MAC地址对中的MAC地址,并将其返回至源主机节点,所述源主机节点与所述目标主机节点为同一局域网内的主机节点。
为了解决上述技术问题,本发明采用的另一种技术方案为:
一种基于DAG区块链的防ARP欺骗攻击平台端,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
S1、接收主机节点发送的每一次广播数据包,从DAG区块链中获取所述主机节点上至少两个数据单元,对所获取的所有所述数据单元和所述广播数据包进行IP-MAC地址对是否相等的验证,若验证通过,则对所述广播数据包内的IP-MAC地址对进行权重值加一;
S2、接收源主机节点所发送的包括目标主机节点的IP地址的MAC地址请求包,根据所述目标主机节点的IP地址从地址权重表上获取权重值最高的IP-MAC地址对中的MAC地址,并将其返回至源主机节点,所述源主机节点与所述目标主机节点为同一局域网内的主机节点。
本发明的有益效果在于:一种基于DAG区块链的防ARP欺骗攻击方法及平台端,利用基于DAG区块链的结构,对广播数据包的IP-MAC地址对进行是否相等的验证,若广播数据包的IP-MAC地址对为正确的MAC地址,则和已经存在的数据单元相等的可能性更高,从而对权重值进行增加,而错误或者虚假的MAC地址,在大多数情况下是不相等的,因此权重值相对会较低,即权重值越高,对应的IP-MAC地址对的可信度越高;从而在后续获取目标主机节点的真实MAC地址时,将权重值最高即最可信的MAC地址返回给源主机节点,以有效排除ARP欺骗数据包中的虚假MAC地址,从而达到防御ARP欺骗的效果。
附图说明
图1为本发明实施例的一种基于DAG区块链的防ARP欺骗攻击方法的流程示意图;
图2为本发明实施例涉及的DAG区块链的结构示意图;
图3为本发明实施例的一种基于DAG区块链的防ARP欺骗攻击方法的架构示意图;
图4为本发明实施例的一种基于DAG区块链的防ARP欺骗攻击平台端的结构示意图。
标号说明:
1、一种基于DAG区块链的防ARP欺骗攻击平台端;2、处理器;3、存储器。
具体实施方式
为详细说明本发明的技术内容、所实现目的及效果,以下结合实施方式并配合附图予以说明。
请参照图1至图3,一种基于DAG区块链的防ARP欺骗攻击方法,包括步骤:
S1、接收主机节点发送的每一次广播数据包,从DAG区块链中获取所述主机节点上至少两个数据单元,对所获取的所有所述数据单元和所述广播数据包进行IP-MAC地址对是否相等的验证,若验证通过,则对所述广播数据包内的IP-MAC地址对进行权重值加一;
S2、接收源主机节点所发送的包括目标主机节点的IP地址的MAC地址请求包,根据所述目标主机节点的IP地址从地址权重表上获取权重值最高的IP-MAC地址对中的MAC地址,并将其返回至源主机节点,所述源主机节点与所述目标主机节点为同一局域网内的主机节点。
从上述描述可知,本发明的有益效果在于:利用基于DAG区块链的结构,对广播数据包的IP-MAC地址对进行是否相等的验证,若广播数据包的IP-MAC地址对为正确的MAC地址,则和已经存在的数据单元相等的可能性更高,从而对权重值进行增加,而错误或者虚假的MAC地址,在大多数情况下是不相等的,因此权重值相对会较低,即权重值越高,对应的IP-MAC地址对的可信度越高;从而在后续获取目标主机节点的真实MAC地址时,将权重值最高即最可信的MAC地址返回给源主机节点,以有效排除ARP欺骗数据包中的虚假MAC地址,从而达到防御ARP欺骗的效果。
进一步地,所述步骤S1具体包括以下步骤:
接收主机节点发送的每一次广播数据包,所述广播数据包包括数字签名
Figure BDA0002428120660000041
所述ski、所述IPi、所述MACi分别为所述主机节点的私钥、IP地址和MAC地址;
从DAG区块链中随机选取所述主机节点的第一数据单元和第二数据单元,获取所述第一数据单元的哈希值
Figure BDA0002428120660000042
和数字签名
Figure BDA0002428120660000043
以及所述第二数据单元的哈希值
Figure BDA0002428120660000044
和数字签名
Figure BDA0002428120660000045
验证
Figure BDA0002428120660000046
是否与所述IPi|MACi相等,若是,则对所述IPi-MACi地址对进行权重值加一,否则不对任何一个IP-MAC地址对进行权重值变化。
从上述描述可知,从DAG区块链中随机选取两个数据单元,进行三者地址对的相互验证,若三者地址对均相等,则为同一个IP-MAC地址对,对该IP-MAC地址对进行权重值加一,以增加该IP-MAC地址对的可信度。在区域网未受ARP攻击时,其在DAG区块链中的同一主机节点下的数据单元内的IP-MAC地址对均为相同且正确合法的,而在受ARP攻击时,错误或者虚假的MAC地址无法与DAG区块链中的同一主机节点下的其他数据单元的IP-MAC地址对通过相等验证,从而使得错误或者虚假的MAC地址的可信度相对较低。而采用随机选取的方式,就算错误或者虚假的MAC地址已存在一部分,其验证通过的概率也非常低,从而使得错误或者虚假的MAC地址的可信度相对较低,因此不会将错误或者虚假的MAC地址返回给源主机节点,以达到防御ARP欺骗的效果。
进一步地,所述步骤S1还包括以下步骤:
获取所述广播数据包的交易发起时间timei和数字签名
Figure BDA0002428120660000051
计算所述广播数据包的哈希值
Figure BDA0002428120660000052
得到所述DAG区块链中新数据单元{pki,(IPi,MACi),hashi,timei,si,
Figure BDA0002428120660000053
},所述pki为所述主机节点的公钥。
从上述描述可知,DAG区块链只存储广播数据包的IP-MAC地址对信息以及相关的验证信息,即通过DAG区块链来收集每一次广播数据包的IP-MAC地址对信息,以此进行对每一个IP-MAC地址对的可信度判断,以提供真实合法的MAC地址。
进一步地,所述步骤S1中“则对IPi-MACi地址对进行权重值加一”具体包括以下步骤:
则获取所述IPi-MACi地址对在当前时间周期Tn内的累计权重值
Figure BDA0002428120660000054
对所述累计权重值
Figure BDA0002428120660000055
进行加一操作,并将到达当前时间周期Tn时的所述累计权重值
Figure BDA0002428120660000056
更新到地址权重表内,若所述地址权重表内的任意一对IP-MAC地址对在所述当前时间周期Tn内的累计权重值
Figure BDA0002428120660000057
为0,则保留上一时间周期Tn-1的累计权重值作为所述当前时间周期Tn内的累计权重值;
获取所述IPi-MACi地址对在所有时间内的历史权重值wtotal(IP,MAC),对所述历史权重值wtotal(IP,MAC)进行加一操作,并将到达当前时间周期Tn时的所述历史权重值wtotal(IP,MAC)更新到地址权重表内。
从上述描述可知,通过计算每一个时间周期内每一个IP-MAC地址对的累计权重值,并将其中累计权重值最高的作为真实合法的地址权重表,从而快速、准确的更新IP地址与MAC地址的对应表,以保证网络节点免受ARP欺骗攻击。
进一步地,所述步骤S2中“根据所述目标主机节点的IP地址从地址权重表上获取权重值最高的IP-MAC地址对中的MAC地址,并将其返回至源主机节点”具体包括以下步骤:
遍历DAG区块链内存储的所述地址权重表,从所述地址权重表中找到所述目标主机的IP地址所对应的累计权重值最高值
Figure BDA0002428120660000061
的IP-MAC地址对中的MAC地址MACk
若所述累计权重值最高值
Figure BDA0002428120660000062
大于系统判定参数值ω,则将所述MAC地址MACk作为所述目标主机节点的MAC地址,返回所述MAC地址MACk至源主机节点;
若所述累计权重值最高值
Figure BDA0002428120660000063
小于或等于所述系统判定参数值ω,则从所述地址权重表中找到所述目标主机的IP地址所对应的历史权重值最高值
Figure BDA0002428120660000064
的IP-MAC地址对中的MAC地址MACk’,将所述MAC地址MACk’作为所述目标主机节点的MAC地址,返回所述MAC地址MACk’至源主机节点。
从上述描述可知,通过设置有系统判定参数值ω,并以累计权重值和历史权重值来配合筛选出最可信的MAC地址,从而有效排除ARP欺骗数据包中的虚假MAC地址,以达到防御ARP欺骗的效果。
如图4所示,一种基于DAG区块链的防ARP欺骗攻击平台端,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
S1、接收主机节点发送的每一次广播数据包,从DAG区块链中获取所述主机节点上至少两个数据单元,对所获取的所有所述数据单元和所述广播数据包进行IP-MAC地址对是否相等的验证,若验证通过,则对所述广播数据包内的IP-MAC地址对进行权重值加一;
S2、接收源主机节点所发送的包括目标主机节点的IP地址的MAC地址请求包,根据所述目标主机节点的IP地址从地址权重表上获取权重值最高的IP-MAC地址对中的MAC地址,并将其返回至源主机节点,所述源主机节点与所述目标主机节点为同一局域网内的主机节点。
从上述描述可知,本发明的有益效果在于:利用基于DAG区块链的结构,对广播数据包的IP-MAC地址对进行是否相等的验证,若广播数据包的IP-MAC地址对为正确的MAC地址,则和已经存在的数据单元相等的可能性更高,从而对权重值进行增加,而错误或者虚假的MAC地址,在大多数情况下是不相等的,因此权重值相对会较低,即权重值越高,对应的IP-MAC地址对的可信度越高;从而在后续获取目标主机节点的真实MAC地址时,将权重值最高即最可信的MAC地址返回给源主机节点,以有效排除ARP欺骗数据包中的虚假MAC地址,从而达到防御ARP欺骗的效果。
进一步地,所述处理器执行所述计算机程序的所述步骤S1时具体实现以下步骤:
接收主机节点发送的每一次广播数据包,所述广播数据包包括数字签名
Figure BDA0002428120660000071
所述ski、所述IPi、所述MACi分别为所述主机节点的私钥、IP地址和MAC地址;
从DAG区块链中随机选取所述主机节点的第一数据单元和第二数据单元,获取所述第一数据单元的哈希值
Figure BDA0002428120660000072
和数字签名
Figure BDA0002428120660000073
以及所述第二数据单元的哈希值
Figure BDA0002428120660000074
和数字签名
Figure BDA0002428120660000075
验证
Figure BDA0002428120660000076
是否与所述IPi|MACi相等,若是,则对所述IPi-MACi地址对进行权重值加一,否则不对任何一个IP-MAC地址对进行权重值变化。
从上述描述可知,从DAG区块链中随机选取两个数据单元,进行三者地址对的相互验证,若三者地址对均相等,则为同一个IP-MAC地址对,对该IP-MAC地址对进行权重值加一,以增加该IP-MAC地址对的可信度。在区域网未受ARP攻击时,其在DAG区块链中的同一主机节点下的数据单元内的IP-MAC地址对均为相同且正确合法的,而在受ARP攻击时,错误或者虚假的MAC地址无法与DAG区块链中的同一主机节点下的其他数据单元的IP-MAC地址对通过相等验证,从而使得错误或者虚假的MAC地址的可信度相对较低。而采用随机选取的方式,就算错误或者虚假的MAC地址已存在一部分,其验证通过的概率也非常低,从而使得错误或者虚假的MAC地址的可信度相对较低,因此不会将错误或者虚假的MAC地址返回给源主机节点,以达到防御ARP欺骗的效果。
进一步地,所述处理器执行所述计算机程序的所述步骤S1时还包括实现以下步骤:
获取所述广播数据包的交易发起时间timei和数字签名
Figure BDA0002428120660000081
计算所述广播数据包的哈希值
Figure BDA0002428120660000082
得到所述DAG区块链中新数据单元{pki,(IPi,MACi),hashi,timei,si,
Figure BDA0002428120660000083
},所述pki为所述主机节点的公钥。
从上述描述可知,DAG区块链只存储广播数据包的IP-MAC地址对信息以及相关的验证信息,即通过DAG区块链来收集每一次广播数据包的IP-MAC地址对信息,以此进行对每一个IP-MAC地址对的可信度判断,以提供真实合法的MAC地址。
进一步地,所述处理器执行所述计算机程序的所述步骤S1中“则对IPi-MACi地址对进行权重值加一”时具体实现以下步骤:
则获取所述IPi-MACi地址对在当前时间周期Tn内的累计权重值
Figure BDA0002428120660000084
对所述累计权重值
Figure BDA0002428120660000085
进行加一操作,并将到达当前时间周期Tn时的所述累计权重值
Figure BDA0002428120660000086
更新到地址权重表内,若所述地址权重表内的任意一对IP-MAC地址对在所述当前时间周期Tn内的累计权重值
Figure BDA0002428120660000087
为0,则保留上一时间周期Tn-1的累计权重值作为所述当前时间周期Tn内的累计权重值;
获取所述IPi-MACi地址对在所有时间内的历史权重值wtotal(IP,MAC),对所述历史权重值wtotal(IP,MAC)进行加一操作,并将到达当前时间周期Tn时的所述历史权重值wtotal(IP,MAC)更新到地址权重表内。
从上述描述可知,通过计算每一个时间周期内每一个IP-MAC地址对的累计权重值,并将其中累计权重值最高的作为真实合法的地址权重表,从而快速、准确的更新IP地址与MAC地址的对应表,以保证网络节点免受ARP欺骗攻击。
进一步地,所述处理器执行所述计算机程序的所述步骤S2中“根据所述目标主机节点的IP地址从地址权重表上获取权重值最高的IP-MAC地址对中的MAC地址,并将其返回至源主机节点”时具体实现以下步骤:
遍历DAG区块链内存储的所述地址权重表,从所述地址权重表中找到所述目标主机的IP地址所对应的累计权重值最高值
Figure BDA0002428120660000091
的IP-MAC地址对中的MAC地址MACk
若所述累计权重值最高值
Figure BDA0002428120660000092
大于系统判定参数值ω,则将所述MAC地址MACk作为所述目标主机节点的MAC地址,返回所述MAC地址MACk至源主机节点;
若所述累计权重值最高值
Figure BDA0002428120660000093
小于或等于所述系统判定参数值ω,则从所述地址权重表中找到所述目标主机的IP地址所对应的历史权重值最高值
Figure BDA0002428120660000094
的IP-MAC地址对中的MAC地址MACk’,将所述MAC地址MACk’作为所述目标主机节点的MAC地址,返回所述MAC地址MACk’至源主机节点。
从上述描述可知,通过设置有系统判定参数值ω,并以累计权重值和历史权重值来配合筛选出最可信的MAC地址,从而有效排除ARP欺骗数据包中的虚假MAC地址,以达到防御ARP欺骗的效果。
请参照图1至图3,本发明的实施例一为:
本实施例主要针对网络中IP地址固定分配的大中型局域网,为了改善静态绑定方法在抵御ARP攻击时存在的数据易被攻击篡改的问题,利用基于有向无环图DAG的区块链技术,设计一种更安全的ARP欺骗攻击防御方法。
一种基于DAG区块链的防ARP欺骗攻击方法,包括步骤:
S1、接收主机节点发送的每一次广播数据包,从DAG区块链中获取主机节点上至少两个数据单元,对所获取的所有数据单元和广播数据包进行IP-MAC地址对是否相等的验证,若验证通过,则对广播数据包内的IP-MAC地址对进行权重值加一;
如图2所示,DAG全称是“有向无环图”,它没有区块概念,不是把所有数据打包成区块,再用区块链接区块,而是每个用户都可以提交一个数据单元,这个数据单元里可以有很多东西,比如交易、消息等等。数据单元间通过引用关系链接起来,从而形成具有半序关系的DAG(有向无环图)。DAG是不同于主流区块链的一种分布式账本技术,把同步记账提升为异步记账。除区块链自身的特点去中心化、分布式账本、不可篡改之外,DAG区块链技术可以支持高并发。DAG的特性刚好是交易越多越快,节点越多越快,被不少人认为可以解决传统区块链的高并发问题,是区块链从容量到速度的一次革新。DAG的特点是:
1、交易速度快,DAG实现的局部处理和并行结算可以使得交易速度大幅度提升。
2、拓展性强,因为各个节点无需等待同步其他的节点的数据就可计算使得记账节点很容易答复延展。
3、作恶难度更大,相比于链式结构,在DAG中恶意修改的难度会大很多,因为DAG拥有着很多的出度和入度,假如要修改某一个节点,那么对应的出入度都要进行修改。
在此基础上,如图3所示,步骤S1具体包括以下步骤:
接收主机节点发送的每一次广播数据包,其中,广播数据包包括数字签名
Figure BDA0002428120660000101
其中,ski、IPi、MACi分别为主机节点的私钥、IP地址和MAC地址,其中,数字签名Sig就是将要发送的信息通过哈希运算,得到摘要,并用私钥对摘要进行加密,该密文即为签名信息。任何知道签名者公钥的人都可以验证该签名,只要对发送的信息进行哈希运算,将得到的摘要信息与利用公钥对密文解密得到的数据对比,如果一致则认为该数据正确,并证实为签名者发出,而符号“|”表示将前后两部分数据拼接在一起;
从DAG区块链中随机选取主机节点的第一数据单元和第二数据单元,获取第一数据单元的哈希值
Figure BDA0002428120660000111
和数字签名
Figure BDA0002428120660000112
以及第二数据单元的哈希值
Figure BDA0002428120660000113
和数字签名
Figure BDA0002428120660000114
验证
Figure BDA0002428120660000115
是否与IPi|MACi相等;
若相等,则获取IPi-MACi地址对在当前时间周期Tn内的累计权重值
Figure BDA0002428120660000116
对累计权重值
Figure BDA0002428120660000117
进行加一操作,并将到达当前时间周期Tn时的累计权重值
Figure BDA0002428120660000118
更新到地址权重表内,若地址权重表内的任意一对IP-MAC地址对在当前时间周期Tn内的累计权重值
Figure BDA0002428120660000119
为0,则保留上一时间周期Tn-1的累计权重值作为当前时间周期Tn内的累计权重值;
同时,获取IPi-MACi地址对在所有时间内的历史权重值wtotal(IP,MAC),对历史权重值wtotal(IP,MAC)进行加一操作,并将到达当前时间周期Tn时的历史权重值wtotal(IP,MAC)更新到地址权重表内,从而快速准确的更新新IP地址与MAC地址的对应表;
若不相等,则不对任何一个IP-MAC地址对进行权重值变化;
在此基础上,无论是否对IP-MAC地址对进行权重值变化,都获取广播数据包的交易发起时间timei和数字签名
Figure BDA00024281206600001110
计算广播数据包的哈希值
Figure BDA00024281206600001111
得到DAG区块链中新数据单元{pki,(IPi,MACi),hashi,timei,si,
Figure BDA00024281206600001112
},pki为主机节点的公钥。
在本实施例中,通过预设时间周期T来进行计算一次,而不需要一直计算,以减少计算量,比如设置时间周期T为一分钟。
在本实施例中,通过权重值加一来得到累计权重值和历史权重值,在其他实施例中,也可以通过计算时间周期内共有多少个数据单元验证通过即可知道累计权重值,同理可得历史权重值。其计算过程为:假设数据单元的总数为r,则累计权重值
Figure BDA00024281206600001113
则历史权重值
Figure BDA0002428120660000121
在本实施例中,地址权重表如下:
Figure BDA0002428120660000122
S2、接收源主机节点所发送的包括目标主机节点的IP地址的MAC地址请求包,根据目标主机节点的IP地址从地址权重表上获取权重值最高的IP-MAC地址对中的MAC地址,并将其返回至源主机节点,源主机节点与目标主机节点为同一局域网内的主机节点,即对于同一局域网来说,源主机节点与目标主机节点只是相对于请求方和被请求方,因此,整个局域网内的主机节点都有可能是源主机节点,也有可能是源主机节点。
如图3所示,在本实施例中,步骤S2中“根据目标主机节点的IP地址从地址权重表上获取权重值最高的IP-MAC地址对中的MAC地址,并将其返回至源主机节点”具体包括以下步骤:
遍历DAG区块链内存储的地址权重表,从地址权重表中找到目标主机的IP地址所对应的累计权重值最高值
Figure BDA0002428120660000123
的IP-MAC地址对中的MAC地址MACk
若累计权重值最高值
Figure BDA0002428120660000124
大于系统判定参数值ω,则将MAC地址MACk作为目标主机节点的MAC地址,返回MAC地址MACk至源主机节点,其中,系统判定参数值ω的大小与网络规模以及网络的通信频率有关,若累计权重值最高值
Figure BDA0002428120660000125
大于系统判定参数值ω,则认为在时间间隔T内的权重表,已经可以确认表中使得达到该最大值的目标主机的IP地址所对应的MAC地址MACk为最可信的,是所要查询的真实MAC地址;
若累计权重值最高值
Figure BDA0002428120660000131
小于或等于系统判定参数值ω,则从地址权重表中找到目标主机的IP地址所对应的历史权重值最高值
Figure BDA0002428120660000132
的IP-MAC地址对中的MAC地址MACk’,将MAC地址MACk’作为目标主机节点的MAC地址,返回MAC地址MACk’至源主机节点,即在累计权重值最高值
Figure BDA0002428120660000133
没有大于系统判定参数值ω,则认为达到历史权重值最高值
Figure BDA0002428120660000134
的MACk’为最可信的,是所要查询的真实MAC地址,即通过计算筛选出最可信的MAC地址,可有效排除ARP欺骗数据包中的虚假MAC地址,从而达到防御ARP欺骗的效果。
如图4所示,本发明的实施例二为:
一种基于DAG区块链的防ARP欺骗攻击平台端1,包括存储器3、处理器2及存储在存储器3上并可在处理器2上运行的计算机程序,处理器2执行计算机程序时实现上述实施例一中的步骤。
综上所述,本发明提供的一种基于DAG区块链的防ARP欺骗攻击方法及平台端,利用基于DAG区块链的结构,对广播数据包的IP-MAC地址对与随机选取的数据单元进行是否相等的验证,若广播数据包的IP-MAC地址对为正确的MAC地址,则和已经存在的数据单元相等的可能性更高,从而对权重值进行增加,而错误或者虚假的MAC地址,在大多数情况下是不相等的,因此权重值相对会较低,即权重值越高,对应的IP-MAC地址对的可信度越高;通过计算每一个时间周期内每一个IP-MAC地址对的累计权重值,并将其中累计权重值最高的作为真实合法的地址权重表,从而快速、准确的更新IP地址与MAC地址的对应表;同时,在后续获取目标主机节点的真实MAC地址时,通过设置有系统判定参数值ω,并以累计权重值和历史权重值来配合筛选出最可信的MAC地址,以有效排除ARP欺骗数据包中的虚假MAC地址,从而实现快速、准确的更新、查询IP地址与MAC地址对应关系,保证网络节点免受ARP欺骗攻击,以达到防御ARP欺骗的效果。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等同变换,或直接或间接运用在相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种基于DAG区块链的防ARP欺骗攻击方法,其特征在于,包括步骤:
S1、接收主机节点发送的每一次广播数据包,从DAG区块链中获取所述主机节点上至少两个数据单元,对所获取的所有所述数据单元和所述广播数据包进行IP-MAC地址对是否相等的验证,若验证通过,则对所述广播数据包内的IP-MAC地址对进行权重值加一;
S2、接收源主机节点所发送的包括目标主机节点的IP地址的MAC地址请求包,根据所述目标主机节点的IP地址从地址权重表上获取权重值最高的IP-MAC地址对中的MAC地址,并将其返回至源主机节点,所述源主机节点与所述目标主机节点为同一局域网内的主机节点。
2.根据权利要求1所述的一种基于DAG区块链的防ARP欺骗攻击方法,其特征在于,所述步骤S1具体包括以下步骤:
接收主机节点发送的每一次广播数据包,所述广播数据包包括数字签名
Figure FDA0002428120650000011
所述ski、所述IPi、所述MACi分别为所述主机节点的私钥、IP地址和MAC地址;
从DAG区块链中随机选取所述主机节点的第一数据单元和第二数据单元,获取所述第一数据单元的哈希值
Figure FDA0002428120650000012
和数字签名
Figure FDA0002428120650000013
以及所述第二数据单元的哈希值
Figure FDA0002428120650000014
和数字签名
Figure FDA0002428120650000015
验证
Figure FDA0002428120650000016
是否与所述IPi|MACi相等,若是,则对所述IPi-MACi地址对进行权重值加一,否则不对任何一个IP-MAC地址对进行权重值变化。
3.根据权利要求2所述的一种基于DAG区块链的防ARP欺骗攻击方法,其特征在于,所述步骤S1还包括以下步骤:
获取所述广播数据包的交易发起时间timei和数字签名
Figure FDA0002428120650000017
计算所述广播数据包的哈希值
Figure FDA0002428120650000018
得到所述DAG区块链中新数据单元
Figure FDA0002428120650000021
所述pki为所述主机节点的公钥。
4.根据权利要求2所述的一种基于DAG区块链的防ARP欺骗攻击方法,其特征在于,所述步骤S1中“则对IPi-MACi地址对进行权重值加一”具体包括以下步骤:
则获取所述IPi-MACi地址对在当前时间周期Tn内的累计权重值
Figure FDA0002428120650000022
对所述累计权重值
Figure FDA0002428120650000023
进行加一操作,并将到达当前时间周期Tn时的所述累计权重值
Figure FDA0002428120650000024
更新到地址权重表内,若所述地址权重表内的任意一对IP-MAC地址对在所述当前时间周期Tn内的累计权重值
Figure FDA0002428120650000025
为0,则保留上一时间周期Tn-1的累计权重值作为所述当前时间周期Tn内的累计权重值;
获取所述IPi-MACi地址对在所有时间内的历史权重值wtotal(IP,MAC),对所述历史权重值wtotal(IP,MAC)进行加一操作,并将到达当前时间周期Tn时的所述历史权重值wtotal(IP,MAC)更新到地址权重表内。
5.根据权利要求4所述的一种基于DAG区块链的防ARP欺骗攻击方法,其特征在于,所述步骤S2中“根据所述目标主机节点的IP地址从地址权重表上获取权重值最高的IP-MAC地址对中的MAC地址,并将其返回至源主机节点”具体包括以下步骤:
遍历DAG区块链内存储的所述地址权重表,从所述地址权重表中找到所述目标主机的IP地址所对应的累计权重值最高值
Figure FDA0002428120650000026
的IP-MAC地址对中的MAC地址MACk
若所述累计权重值最高值
Figure FDA0002428120650000027
大于系统判定参数值ω,则将所述MAC地址MACk作为所述目标主机节点的MAC地址,返回所述MAC地址MACk至源主机节点;
若所述累计权重值最高值
Figure FDA0002428120650000028
小于或等于所述系统判定参数值ω,则从所述地址权重表中找到所述目标主机的IP地址所对应的历史权重值最高值
Figure FDA0002428120650000031
的IP-MAC地址对中的MAC地址MACk’,将所述MAC地址MACk’作为所述目标主机节点的MAC地址,返回所述MAC地址MACk’至源主机节点。
6.一种基于DAG区块链的防ARP欺骗攻击平台端,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现以下步骤:
S1、接收主机节点发送的每一次广播数据包,从DAG区块链中获取所述主机节点上至少两个数据单元,对所获取的所有所述数据单元和所述广播数据包进行IP-MAC地址对是否相等的验证,若验证通过,则对所述广播数据包内的IP-MAC地址对进行权重值加一;
S2、接收源主机节点所发送的包括目标主机节点的IP地址的MAC地址请求包,根据所述目标主机节点的IP地址从地址权重表上获取权重值最高的IP-MAC地址对中的MAC地址,并将其返回至源主机节点,所述源主机节点与所述目标主机节点为同一局域网内的主机节点。
7.根据权利要求6所述的一种基于DAG区块链的防ARP欺骗攻击平台端,其特征在于,所述处理器执行所述计算机程序的所述步骤S1时具体实现以下步骤:
接收主机节点发送的每一次广播数据包,所述广播数据包包括数字签名
Figure FDA0002428120650000032
所述ski、所述IPi、所述MACi分别为所述主机节点的私钥、IP地址和MAC地址;
从DAG区块链中随机选取所述主机节点的第一数据单元和第二数据单元,获取所述第一数据单元的哈希值
Figure FDA0002428120650000033
和数字签名
Figure FDA0002428120650000034
以及所述第二数据单元的哈希值
Figure FDA0002428120650000035
和数字签名
Figure FDA0002428120650000036
验证
Figure FDA0002428120650000037
是否与所述IPi|MACi相等,若是,则对IPi-MACi地址对进行权重值加一,否则不对任何一个IP-MAC地址对进行权重值变化。
8.根据权利要求7所述的一种基于DAG区块链的防ARP欺骗攻击平台端,其特征在于,所述处理器执行所述计算机程序的所述步骤S1时还包括实现以下步骤:
获取所述广播数据包的交易发起时间timei和数字签名
Figure FDA0002428120650000041
计算所述广播数据包的哈希值
Figure FDA0002428120650000042
得到所述DAG区块链中新数据单元
Figure FDA0002428120650000043
所述pki为所述主机节点的公钥。
9.根据权利要求7所述的一种基于DAG区块链的防ARP欺骗攻击平台端,其特征在于,所述处理器执行所述计算机程序的所述步骤S1中“则对IPi-MACi地址对进行权重值加一”时具体实现以下步骤:
则获取所述IPi-MACi地址对在当前时间周期Tn内的累计权重值
Figure FDA0002428120650000044
对所述累计权重值
Figure FDA0002428120650000045
进行加一操作,并将到达当前时间周期Tn时的所述累计权重值
Figure FDA0002428120650000046
更新到地址权重表内,若所述地址权重表内的任意一对IP-MAC地址对在所述当前时间周期Tn内的累计权重值
Figure FDA0002428120650000047
为0,则保留上一时间周期Tn-1的累计权重值作为所述当前时间周期Tn内的累计权重值;
获取所述IPi-MACi地址对在所有时间内的历史权重值wtotal(IP,MAC),对所述历史权重值wtotal(IP,MAC)进行加一操作,并将到达当前时间周期Tn时的所述历史权重值wtotal(IP,MAC)更新到地址权重表内。
10.根据权利要求9所述的一种基于DAG区块链的防ARP欺骗攻击平台端,其特征在于,所述处理器执行所述计算机程序的所述步骤S2中“根据所述目标主机节点的IP地址从地址权重表上获取权重值最高的IP-MAC地址对中的MAC地址,并将其返回至源主机节点”时具体实现以下步骤:
遍历DAG区块链内存储的所述地址权重表,从所述地址权重表中找到所述目标主机的IP地址所对应的累计权重值最高值
Figure FDA0002428120650000048
的IP-MAC地址对中的MAC地址MACk
若所述累计权重值最高值
Figure FDA0002428120650000051
大于系统判定参数值ω,则将所述MAC地址MACk作为所述目标主机节点的MAC地址,返回所述MAC地址MACk至源主机节点;
若所述累计权重值最高值
Figure FDA0002428120650000052
小于或等于所述系统判定参数值ω,则从所述地址权重表中找到所述目标主机的IP地址所对应的历史权重值最高值
Figure FDA0002428120650000053
的IP-MAC地址对中的MAC地址MACk’,将所述MAC地址MACk’作为所述目标主机节点的MAC地址,返回所述MAC地址MACk’至源主机节点。
CN202010227251.9A 2020-03-27 2020-03-27 一种基于dag区块链的防arp欺骗攻击方法及平台端 Active CN111490977B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010227251.9A CN111490977B (zh) 2020-03-27 2020-03-27 一种基于dag区块链的防arp欺骗攻击方法及平台端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010227251.9A CN111490977B (zh) 2020-03-27 2020-03-27 一种基于dag区块链的防arp欺骗攻击方法及平台端

Publications (2)

Publication Number Publication Date
CN111490977A true CN111490977A (zh) 2020-08-04
CN111490977B CN111490977B (zh) 2022-03-08

Family

ID=71798073

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010227251.9A Active CN111490977B (zh) 2020-03-27 2020-03-27 一种基于dag区块链的防arp欺骗攻击方法及平台端

Country Status (1)

Country Link
CN (1) CN111490977B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112351119A (zh) * 2021-01-11 2021-02-09 北京知帆科技有限公司 一种基于概率的区块链交易始发ip地址确定方法及装置
CN112988334A (zh) * 2021-05-06 2021-06-18 云宏信息科技股份有限公司 对虚拟化环境下的多台主机进行管理的方法、可读介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101635713A (zh) * 2009-06-09 2010-01-27 北京安天电子设备有限公司 一种防止局域网arp欺骗攻击的方法及系统
US20100107250A1 (en) * 2007-09-06 2010-04-29 Huawei Technologies Co., Ltd. Method and apparatus for defending against arp spoofing attacks
CN107786496A (zh) * 2016-08-25 2018-03-09 大连楼兰科技股份有限公司 针对局域网arp表项欺骗攻击的预警方法及装置
CN109951459A (zh) * 2019-03-06 2019-06-28 山东信天辰信息安全技术有限公司 一种基于局域网的arp欺骗攻击检测方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100107250A1 (en) * 2007-09-06 2010-04-29 Huawei Technologies Co., Ltd. Method and apparatus for defending against arp spoofing attacks
CN101635713A (zh) * 2009-06-09 2010-01-27 北京安天电子设备有限公司 一种防止局域网arp欺骗攻击的方法及系统
CN107786496A (zh) * 2016-08-25 2018-03-09 大连楼兰科技股份有限公司 针对局域网arp表项欺骗攻击的预警方法及装置
CN109951459A (zh) * 2019-03-06 2019-06-28 山东信天辰信息安全技术有限公司 一种基于局域网的arp欺骗攻击检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
程宇科: "Wi-Fi环境下Android智能手机ARP攻击防范系统的设计与实现", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112351119A (zh) * 2021-01-11 2021-02-09 北京知帆科技有限公司 一种基于概率的区块链交易始发ip地址确定方法及装置
CN112351119B (zh) * 2021-01-11 2021-04-02 北京知帆科技有限公司 一种基于概率的区块链交易始发ip地址确定方法及装置
CN112988334A (zh) * 2021-05-06 2021-06-18 云宏信息科技股份有限公司 对虚拟化环境下的多台主机进行管理的方法、可读介质
CN112988334B (zh) * 2021-05-06 2021-08-31 云宏信息科技股份有限公司 对虚拟化环境下的多台主机进行管理的方法、可读介质

Also Published As

Publication number Publication date
CN111490977B (zh) 2022-03-08

Similar Documents

Publication Publication Date Title
US9807092B1 (en) Systems and methods for classification of internet devices as hostile or benign
US7620733B1 (en) DNS anti-spoofing using UDP
US8171562B2 (en) System and methods for protecting against denial of service attacks
US8250631B2 (en) Protecting against denial of service attacks using trust, quality of service, personalization, and hide port messages
US9705895B1 (en) System and methods for classifying internet devices as hostile or benign
US9118644B2 (en) Method for directing requests to trusted resources
JP2004030610A (ja) Pnrpセキュリティ・インフラストラクチャおよび方法
CN103701700A (zh) 一种通信网络中的节点发现方法及系统
CN111490977B (zh) 一种基于dag区块链的防arp欺骗攻击方法及平台端
CN115943603B (zh) 区块链增强路由授权
Bassil et al. Security analysis and solution for thwarting cache poisoning attacks in the domain name system
CN100512108C (zh) 入网终端物理唯一性识别方法和终端接入认证系统
CN111786776A (zh) 一种基于车联网技术的安全通信管理系统
Alsadeh et al. Cryptographically Generated Addresses (CGAs): Possible attacks and proposed mitigation approaches
Li et al. Interest cash: an application-based countermeasure against interest flooding for dynamic content in named data networking
WO2009043304A1 (fr) Procédé, système, et dispositif permettant la vérification de la relation d'adresse de couche de lien de données et son correspondant de transmission
Boyd et al. Fair client puzzles from the bitcoin blockchain
Shue et al. Packet forwarding with source verification
Gao et al. ZombieCoin3. 0: On the looming of a novel botnet fortified by distributed ledger technology and Internet of Things
CN112311776A (zh) 一种防范api网关泛洪攻击的系统及方法
Wang et al. An on-demand defense scheme against dns cache poisoning attacks
Mopari et al. Detection of DDoS attack and defense against IP spoofing
Naqash et al. Protecting DNS from cache poisoning attack by using secure proxy
Chandramouli et al. Open issues in secure DNS deployment
Hammouda et al. An enhanced secure ARP protocol and LAN switch for preveting ARP based attacks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant