TWI474668B - 網點之判斷與阻擋之方法 - Google Patents

網點之判斷與阻擋之方法 Download PDF

Info

Publication number
TWI474668B
TWI474668B TW101144201A TW101144201A TWI474668B TW I474668 B TWI474668 B TW I474668B TW 101144201 A TW101144201 A TW 101144201A TW 101144201 A TW101144201 A TW 101144201A TW I474668 B TWI474668 B TW I474668B
Authority
TW
Taiwan
Prior art keywords
address
packet
network
arp
permission list
Prior art date
Application number
TW101144201A
Other languages
English (en)
Other versions
TW201421936A (zh
Inventor
Kun Jung Lee
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed filed Critical
Priority to TW101144201A priority Critical patent/TWI474668B/zh
Priority to US13/763,673 priority patent/US20140150069A1/en
Publication of TW201421936A publication Critical patent/TW201421936A/zh
Application granted granted Critical
Publication of TWI474668B publication Critical patent/TWI474668B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

網點之判斷與阻擋之方法
本發明係關於一種網點之判斷與阻擋之方法,特別是關於一種根據允許清單判斷網點合法性的判斷與阻擋之方法。
現今網路受到普遍使用,增進了資訊交流的便利性。然而,藉由網路交流資訊也帶了許多風險。例如,網路之電子商務中的個人金融認證資料遭盜取,或是電腦系統被網路駭客入侵,進一步導致資料外流、電腦中毒、重要檔案受損、甚至電腦系統故障,而影響到個人或企業的權益。
接收網路封包有其風險,特別是來自一危險網點的封包,例如外部電腦經由網路所傳送來封包,而以各種方式危害他人電腦,包括竊聽(wiretapping)、竄改(tampering)、惡意攻擊(malicious attack)、阻斷服務(denial of service)、及網路釣魚(phishing)等,使得網路使用者防不慎防。諸如此類的網路危害之防範實為相當重要,如何擬定網路資訊安全的策略方法並予以執行,實為一項重要的課題。
網路風險與封包來源的網點有關,若能對於網點作出準確的判斷評估將有助於網路安全的提昇。
緣此,本發明之目的即是提供一種網點之判斷與阻擋之方法,用於對於封包來源的網點作出判斷評估,並進一步阻擋不合法之網點,以改善習知技術的問題。
本發明為解決習知技術之問題所採用之技術手段為一種網點之判斷與阻擋之方法,包括一封包收取步驟及一封包判斷處理步驟,封包收取步驟為收受網段中的一網點之ARP封包,封包判斷處理步驟係將儲存有IP位址及媒體存取控制位址的一允許清單予以比對於網點之ARP封包中之IP位址及媒體存取控制位址,以判斷網點是否為合法,若為不合法則進行阻擋,若為合法則准許網點連接至網段。
在本發明的一實施例中,允許清單分為暫時性允許清單以及永久性允許清單。
在本發明的一實施例中,封包判斷處理步驟為以合法網點所對應之允許清單為選自以:一媒體存取控制位址與一動態IP位址、一媒體存取控制位址與一固定IP位址、單一IP位址搭配多個媒體存取控制位址、以及單一媒體存取控制位址搭配多個IP位址所構成之群組中之一個或多數個之方式,而判斷網點是否合法。
在本發明的一實施例中,封包收取步驟之後更包括一封包歸類步驟,封包歸類步驟包括一GARP判斷子步驟及一ARP查詢判斷子步驟。
在本發明的一實施例中,GARP判斷子步驟為當判斷封包為GARP封包且動態功能有啟用且IP位址在允許清單且IP位址為自固定IP位址改為動態IP位址,則為一搶IP位址之非法事件,而當判斷封包為GARP封包且動態功能沒有啟用則為一搶IP位址之非法事件,其中在判斷為一搶IP位址之非法事件後,阻擋網點取得允許清單之IP位址,且對於網段並找出正確的允許清單之IP位址與媒體存取控制位址並予以廣播。
在本發明的一實施例中,在ARP查詢判斷子步驟為假冒一來源網點對於一目的網點發出封包以及假冒目的網點對於來源網點發出封包。
在本發明的一實施例中,根據暫時性允許清單以及永久性允許清單而決定網點於網段中之使用時間以及權限。
在本發明的一實施例中,封包判斷處理步驟中若網點為不合法則發送一重導網頁資訊至網點。
經由本發明所採用之技術手段,藉由允許清單比對網點之ARP封包中之IP位址及媒體存取控制位址,而可對於一網段管制允許清單外之網點與其封包,藉此確保資訊交流的機密性、完整性、及可用性,並保護網路系統,進一步提昇網路使用的安全性。本發明所提供方法嚴謹而有效,且相當適合於應用於個人以及企業所使用的網路系統。
本發明所採用的具體實施例,將藉由以下之實施例及附呈圖式作進一步之說明。
本發明提供一種網點之判斷與阻擋之方法,為在一網段中根據ARP(Address Resolution Protocol)封包而判斷其對應之網點是否為合法網點,並根據合法與否而決定是否阻擋網點。以下請配合參閱第1圖至第3圖對本發明之第一實施例之網點之判斷與阻擋之方法作一說明如後。
如第1圖所示,其係顯示本發明之第一實施例之網點之判斷與阻擋之方法之流程圖。本發明之第一實施例之網點之判斷與阻擋之方法主要包括一封包收取步 驟及一封包判斷處理步驟。首先,進行收受網段中的網點之ARP封包的封包收取步驟(步驟S10)。然後,執行封包判斷處理步驟(步驟S20),其包括係將儲存有IP位址及媒體存取控制位址的一允許清單予以比對於網點之ARP封包中之IP位址(Internet Protocol Address)及媒體存取控制位址(Media Access Control Address,MAC Address),以判斷網點是否為合法(步驟S21),若為不合法則進行阻擋(步驟S22),若為合法則准許網點連接至網段(步驟S23)。
在本實施例中,係應用一網路監控裝置100以實施本發明的網點之判斷與阻擋之方法,如第2圖所示。網路監控裝置100包括一決策機構1及一執行機構2。決策機構1及執行機構2為分別為一電腦或其他類似裝置。在實際應用時,單一個決策機構1藉由一網路N連接於多數個執行機構2,而每個執行機構2分別透過網路N於一網段S中連接多數個網點P。網點P可為電腦、智慧型手機、個人數位助理(PDA)等任何藉由網路卡、無線網路卡、或無線網路基地台連接至網路N之裝置。
具體而言,在封包收取步驟中,透過網路N,執行機構2於一網段S中藉由擷取每個網點P所發出之ARP封包來監測多數個網點P。在封包判斷處理步驟中,執行機構2將每個網點P所發出之ARP封包之IP位址與MAC位址與決策機構1中所儲存之允許清單做比對,並依據該比對的結果判斷該ARP封包是否為合法,當判斷該ARP封包為不合法時,則阻擋該網點P對該網段S之ARP封包傳送,當判斷該ARP封包為合法時,則准許該網點P連接至執行機構2所監測的網段S,使該網點P所發出ARP封包可傳送至該網段S內。
此外,當判斷該ARP封包為不合法時,執行機構2除了阻擋該網點P對該網段S之ARP封包傳送,更發送一重導網頁資訊至該網點P,使被阻擋的網點P所連接之螢幕D顯示出一重導網頁。重導網頁可為一宣導網頁,如第3圖所示,藉此以提醒被阻擋的網點P之使用者其網點P發送ARP封包之行為違反決策機構1所訂定之使用政策。重導網頁也可為一註冊網頁,以提供不合法網點經由註冊而成為合法網點。
其中,在封包判斷處理步驟中,為以合法網點所對應之允許清單為選自以:單一MAC位址、一MAC位址與一動態IP位址、一MAC位址與一固定IP位址、單一IP位址搭配多個MAC位址、以及單MAC位址搭配多個IP位址所構成之群組中之一個或多數個之方式,而判斷網點P是否合法。
再者,決策機構1所儲存之允許清單分為暫時性允許清單以及永久性允許清單。執行機構2並根據暫時性允許清單以及永久性允許清單而決定網點P於網段S中之使用時間以及權限。詳細而言,當一特定的網點之IP位址及MAC位址係對應於決策機構1中之暫時性允許清單,執行機構2係供該特定的網點P僅能於一特定時間傳送ARP封包至該執行機構2所監測之網段S內。而當另一的網點P之IP位址及MAC位址係對應於決策機構1中之永久性允許清單,執行機構2係不限制該網點P傳送ARP封包至該執行機構2所監測之網段S內之時間。然而在執行機構2於一設定時間內未偵測到該網點P傳送ARP封包時,執行機構2會發送一使用狀態訊號至決策機構1,而使決策機構1將該網點P之IP位址及MAC位址自永久性允許清單中卸離,藉此 網路監控裝置100之使用者不需耗費過多時間維護永久性允許清單。本發明之網點之判斷與阻擋之方法在實際應用於一公司時,暫時性允許清單可供臨時使用者,諸如訪客、短期駐點人員使用,而永久性允許清單可供如公司管理者、正式員工使用。
參閱第4圖至第6圖所示,並配合第2圖對本發明之第二實施例之網點之判斷與阻擋之方法說明如下:
本實施例與第一實施例之網點之判斷與阻擋之方法其差別在於:在本實施例中,在封包收取步驟與封包判斷處理步驟之間更包括一封包歸類步驟(步驟S30)。首先,將該網路封包歸類為GARP封包、ARP查詢封包、及ARP回應封包之一(步驟S301)。其後,封包歸類步驟(步驟S30)還包括一GARP判斷子步驟(步驟S31)及一ARP查詢判斷子步驟(步驟S32),以分別對於為GARP封包、ARP查詢封包進行判斷與處理。然而本發明並不以此為限,GARP判斷子步驟(步驟S31)及ARP查詢判斷子步驟(步驟S32)可於步驟S10後中之任何一階段予以執行。
如第5圖所示,GARP判斷子步驟(步驟S31)之詳細步驟如下:檢查GARP封包之IP位址是否於允許清單中(步驟S311)。若是,檢查決策機構1中之動態功能是否啟用(步驟S312)。若是,檢查該IP位址是否為自固定IP位址改為動態IP位址(步驟S313)。當GARP封包之IP位址於允許清單中且決策機構1中之動態功能有啟用,且該IP位址為自固定IP位址改為動態IP位址,則執行機構2判斷該GARP封包之發生事件為搶IP事件,然後並將該GARP封包之IP型態設定為DHCP型態(步驟S314)。而當GARP封包之IP位 址於允許清單中且決策機構1中之動態功能沒有啟用,則執行機構2判斷該GARP封包之發生事件為搶IP事件。
其中若執行機構2判斷該GARP封包之發生事件為搶IP事件,進行一允許清單保護步驟(步驟S33)。如第6圖所示,允許清單保護步驟(步驟S33)之詳細步驟如下:發出一GARP回應封包至該網段S(步驟S331),以避免該搶IP事件之GARP封包之來源的網點P使用允許清單中之IP位址。然後,取得與該GARP封包之IP位址對應的允許清單(步驟S332)。當該GARP封包之MAC位址於允許清單,則判斷該GARP封包IP位址與MAC位址是否對應於允許清單之暫時允許清單(步驟S333)。然後,當GARP封包IP位址與MAC位址對應於允許清單之暫時性,則檢查決策機構1是否限制暫時允許清單只能連線外部網段而不能連線內部網段(步驟S334)。其中,當允許清單以及當決策機構1沒有限制暫時允許清單只能連線外部網段而不能連線內部網段,或當該GARP封包IP位址與MAC位址不對應於暫時允許清單,且對於網點P並找出正確的允許清單的IP位址與MAC位址並予以廣播至該網段S(步驟S335)。
如第7圖所示,ARP查詢判斷子步驟(步驟S32)之詳細步驟如下:判斷該ARP查詢封包之來源網點或目的網點是否合法(步驟S321)。若合法,則判斷該ARP查詢封包之目的網點是否為執行機構2(步驟S322)。若ARP查詢封包之目的網點為執行機構2,則回傳一ARP回應封包(步驟S323)。若ARP查詢封包之目的網點不為執行機構2,則執行機構2假冒一來源 網點對於該ARP查詢封包之目的網點發出封包,並假冒該ARP查詢封包之目的網點對於該ARP查詢封包之來源網點發出封包(步驟S324)。
以上之敘述僅為本發明之較佳實施例說明,凡精於此項技藝者當可依據上述之說明而作其它種種之改良,惟這些改變仍屬於本發明之發明精神及以下所界定之專利範圍中。
100‧‧‧網路監控裝置
1‧‧‧決策機構
2‧‧‧執行機構
D‧‧‧螢幕
N‧‧‧網路
P‧‧‧網點
S‧‧‧網段
第1圖係顯示本發明之第一實施例之網點之判斷與阻擋之方法之流程圖。
第2圖係顯示本發明之第一實施例之網點之判斷與阻擋之方法所應用之網路監控裝置之示意圖。
第3圖係顯示本發明之第一實施例之重導網頁之示意圖。
第4圖係顯示本發明之第二實施例之網點之判斷與阻擋之方法之流程圖。
第5圖係顯示本發明之第二實施例之GARP判斷子步驟之方法之流程圖。
第6圖係顯示本發明之第二實施例之允許清單保護步驟之方法之流程圖。
第7圖係顯示本發明之第二實施例之ARP查詢判斷子步驟之方法之流程圖。

Claims (8)

  1. 一種網點之判斷與阻擋之方法,為在一網段中根據ARP封包而判斷一網點是否為合法網點,並根據該合法與否而決定是否阻擋該網點之方法,該方法包含下列步驟:一封包收取步驟,為收受該網段中的一網點之ARP封包;一封包判斷處理步驟,係將儲存有IP位址及媒體存取控制位址的一允許清單予以比對於該網點之ARP封包中之IP位址及媒體存取控制位址,以判斷該網點是否為合法,若為不合法則進行阻擋,若為合法則准許該網點連接至該網段。
  2. 如申請專利範圍第1項之方法,其中該允許清單分為暫時性允許清單以及永久性允許清單。
  3. 如申請專利範圍第1項之方法,其中該封包判斷處理步驟,為以該合法網點所對應之允許清單為選自以:一媒體存取控制位址與一動態IP位址、一媒體存取控制位址與一固定IP位址、單一IP位址搭配多個媒體存取控制位址、以及單一媒體存取控制位址搭配多個IP位址所構成之群組中之一個或多數個之方式,而判斷該網點是否合法。
  4. 如申請專利範圍第1項之方法,其中在該封包收取步驟之後更包括一封包歸類步驟,該封包歸類步驟包括一GARP判斷子步驟及一ARP查詢判斷子步驟。
  5. 如申請專利範圍第4項之方法,其中該GARP判斷子步驟為當判斷該封包為GARP封包且動態功能有啟用且該IP位址在該允許清單且該IP位址為自固定IP位址改為動態IP位址,則為一搶IP位址之非法事件,而當判斷該封包為GARP封包且動態功能沒有啟用則為一搶 IP位址之非法事件,其中在判斷為一搶IP位址之非法事件後,阻擋該網點取得該允許清單之IP位址,且對於該網段找出正確的允許清單之IP位址與媒體存取控制位址並予以廣播。
  6. 如申請專利範圍第4項之方法,其中在該ARP查詢判斷子步驟為假冒一來源網點對於一目的網點發出封包以及假冒該目的網點對於該來源網點發出封包。
  7. 如申請專利範圍第2項之方法,其中根據該暫時性允許清單以及永久性允許清單而決定該網點於該網段中之使用時間以及權限。
  8. 如申請專利範圍第1項所述之方法,其中封包判斷處理步驟中若該網點為不合法則發送一重導網頁資訊至該網點。
TW101144201A 2012-11-26 2012-11-26 網點之判斷與阻擋之方法 TWI474668B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
TW101144201A TWI474668B (zh) 2012-11-26 2012-11-26 網點之判斷與阻擋之方法
US13/763,673 US20140150069A1 (en) 2012-11-26 2013-02-09 Method for distinguishing and blocking off network node

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW101144201A TWI474668B (zh) 2012-11-26 2012-11-26 網點之判斷與阻擋之方法

Publications (2)

Publication Number Publication Date
TW201421936A TW201421936A (zh) 2014-06-01
TWI474668B true TWI474668B (zh) 2015-02-21

Family

ID=50774537

Family Applications (1)

Application Number Title Priority Date Filing Date
TW101144201A TWI474668B (zh) 2012-11-26 2012-11-26 網點之判斷與阻擋之方法

Country Status (2)

Country Link
US (1) US20140150069A1 (zh)
TW (1) TWI474668B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI744047B (zh) * 2020-10-23 2021-10-21 飛泓科技股份有限公司 利用網路arp協定進行終端設備認證方法

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160323313A1 (en) * 2013-05-31 2016-11-03 Tt Government Solutions, Inc. Moving-target defense with configuration-space randomization
JP6954071B2 (ja) * 2017-12-11 2021-10-27 サクサ株式会社 ネットワーク監視装置および方法
TWI742704B (zh) * 2020-06-01 2021-10-11 台眾電腦股份有限公司 資訊裝置之網路連線管理系統
TWI728901B (zh) * 2020-08-20 2021-05-21 台眾電腦股份有限公司 雙模式切換之阻斷網路連線的方法
CN114172672B (zh) * 2020-08-20 2024-02-27 台众计算机股份有限公司 双模式切换的阻断网络联机的方法
TWI821633B (zh) * 2021-01-22 2023-11-11 飛泓科技股份有限公司 網路終端設備隔離認證方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1905495A (zh) * 2005-06-20 2007-01-31 株式会社日立制作所 网络监视装置、网络监视方法、网络系统和网络通信方法
CN101415012A (zh) * 2008-11-06 2009-04-22 杭州华三通信技术有限公司 一种防御地址解析协议报文攻击的方法和系统
TW201114221A (en) * 2009-10-08 2011-04-16 Cameo Communications Inc Method and system of smart detection and recovery
TW201244426A (en) * 2011-04-26 2012-11-01 Hon Hai Prec Ind Co Ltd Gateway and attack avoiding method thereof

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7124197B2 (en) * 2002-09-11 2006-10-17 Mirage Networks, Inc. Security apparatus and method for local area networks
GB2425681A (en) * 2005-04-27 2006-11-01 3Com Corporaton Access control by Dynamic Host Configuration Protocol snooping
US20080005285A1 (en) * 2006-07-03 2008-01-03 Impulse Point, Llc Method and System for Self-Scaling Generic Policy Tracking
JP4732257B2 (ja) * 2006-07-07 2011-07-27 富士通株式会社 中継装置、経路制御方法、及び経路制御プログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1905495A (zh) * 2005-06-20 2007-01-31 株式会社日立制作所 网络监视装置、网络监视方法、网络系统和网络通信方法
CN101415012A (zh) * 2008-11-06 2009-04-22 杭州华三通信技术有限公司 一种防御地址解析协议报文攻击的方法和系统
TW201114221A (en) * 2009-10-08 2011-04-16 Cameo Communications Inc Method and system of smart detection and recovery
TW201244426A (en) * 2011-04-26 2012-11-01 Hon Hai Prec Ind Co Ltd Gateway and attack avoiding method thereof

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI744047B (zh) * 2020-10-23 2021-10-21 飛泓科技股份有限公司 利用網路arp協定進行終端設備認證方法

Also Published As

Publication number Publication date
TW201421936A (zh) 2014-06-01
US20140150069A1 (en) 2014-05-29

Similar Documents

Publication Publication Date Title
TWI474668B (zh) 網點之判斷與阻擋之方法
US20140020067A1 (en) Apparatus and method for controlling traffic based on captcha
CN104967609B (zh) 内网开发服务器访问方法、装置及系统
US20130254530A1 (en) System and method for identifying security breach attempt of a website
KR101236822B1 (ko) Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체
US9490986B2 (en) Authenticating a node in a communication network
CN105897782A (zh) 一种针对接口的调用请求的处理方法及装置
Giani et al. Data exfiltration and covert channels
US20130305325A1 (en) Methods for Thwarting Man-In-The-Middle Authentication Hacking
Imdad et al. Internet of things (IoT); security requirements, attacks and counter measures
CN101820396A (zh) 一种报文安全性验证的方法和设备
Song et al. DS‐ARP: A New Detection Scheme for ARP Spoofing Attacks Based on Routing Trace for Ubiquitous Environments
CN109067768B (zh) 一种域名查询安全性的检测方法、系统、设备和介质
CN110198297A (zh) 流量数据监控方法、装置、电子设备及计算机可读介质
Rahman et al. Security attacks on wireless networks and their detection techniques
CN103856443B (zh) 网点的判断与阻挡的方法
Hossain et al. Survey of the Protection Mechanisms to the SSL-based Session Hijacking Attacks.
Alfaqih et al. Internet of things security based on devices architecture
RU2601147C2 (ru) Система и способ выявления целевых атак
Yu et al. An effective and feasible traceback scheme in mobile internet environment
CN106982434B (zh) 一种无线局域网安全接入方法及装置
Towhidi et al. The knowledge based authentication attacks
US9100429B2 (en) Apparatus for analyzing vulnerability of wireless local area network
Rass et al. Community-based security for the internet of things
Nair et al. Intrusion detection in Bluetooth enabled mobile phones