TWI660284B - 網路封鎖方法及設備,以及電腦可讀取儲存媒體 - Google Patents
網路封鎖方法及設備,以及電腦可讀取儲存媒體 Download PDFInfo
- Publication number
- TWI660284B TWI660284B TW105133640A TW105133640A TWI660284B TW I660284 B TWI660284 B TW I660284B TW 105133640 A TW105133640 A TW 105133640A TW 105133640 A TW105133640 A TW 105133640A TW I660284 B TWI660284 B TW I660284B
- Authority
- TW
- Taiwan
- Prior art keywords
- address
- forged
- packet
- network
- group
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本發明提出一種網路封鎖方法及裝置,與電腦可讀取儲存媒體,其適用於對處於網域的連網設備進行網路管理,且包括下列步驟。判斷連網設備是否屬於封鎖群組。產生至少一個偽造位址。此偽造位址排除於此封鎖群組中連網設備的實體位址之外。接著,針對封鎖群組中各連網設備產生對應的偽造封包,廣播偽造封包至連網設備。而此偽造封包包括前述偽造位址中的一者。據此,便能有效達到網路封鎖之目的。
Description
本發明是有關於一種網路管理(network management)技術,且特別是有關於一種網路封鎖方法及設備,與電腦可讀取儲存媒體。
隨著科技的快速發展,各式各樣的電子裝置日益普及。而為了達到資源共享之目的,網路成為資訊交換的必要配備,從而造就商用及家用連網設備(例如,智慧電話、智慧攝影機、無線分享器、智慧型電視等)急遽成長。因應於大量連網設備的設置,網管人員亦需要針對這些連網設備的網路功能進行管控。
另一方面,資安問題是網路管理所面臨到一大難題。面對違反資安策略(例如,安裝盜版軟體、病毒碼未更新、超量廣播等)的連網設備,網管人員通常會對這些連網設備進行網路封鎖,以防止這些連網設備進一步影響網域中的其他連網設備。由此可
知,有需要提出一種有效且符合實際需求的網路封鎖方案。
本發明提供一種網路封鎖方法及設備,與電腦可讀取儲存媒體,其針對所欲封鎖連網設備透過廣播具有偽造位址的偽造封包,從而封鎖這些連網設備的網路。
本發明提出一種網路封鎖方法,其適用於對處於網域的連網設備進行網路管理,且包括下列步驟。判斷連網設備是否屬於封鎖群組。產生至少一個偽造位址。此偽造位址排除於此封鎖群組中連網設備的實體位址之外。接著,針對封鎖群組中各連網設備產生對應的偽造封包,廣播偽造封包至連網設備。而此偽造封包包括前述偽造位址中的一者。
另一觀點而言,本發明另提出一種網路封鎖設備,其適用於對處於網域的連網設備進行網路管理,且包括通訊模組及處理單元。通訊模組用以傳送及接收封包。而處理單元耦接通訊模組,並經組態用以執行下列步驟。判斷連網設備是否屬於封鎖群組。產生至少一個偽造位址。而這些偽造位址排除於封鎖群組中連網設備的實體位址之外。接著,針對封鎖群組中各連網設備產生對應的偽造封包,透過通訊模組廣播偽造封包至連網設備。而此偽造封包包括前述偽造位址中的一者。
從又一觀點來看,本發明另提出一種電腦可讀取儲存媒體,其用以儲存一電腦程式。此電腦程式用以載入至一網路封鎖
設備中,並且使得此網路封鎖設備執行上述網路封鎖方法。
基於上述,本發明實施例所提出的網路封鎖方法及設備,與電腦可讀取儲存媒體,其針對屬於封鎖群組的連網設備產生偽造位址,並廣播包括此偽造位址的無償位址解析協定(Gratuitous Address Resolution Protocol;GARP)回應封包。據此,若其他連網設備打算傳送封包至封鎖群組中連網設備,則此封包將無法有效送達,從而對封鎖群組的網路進行封鎖。而透過廣播方式,除了能夠大幅減少封包傳輸量,更能夠因應於大量連網設備。另一方面,針對少量的欲封鎖連網設備,本發明實施例更透過攔截位址解析協定(Address Resolution Protocol;ARP)封包及發送偽造ARP封包,來對欲封鎖連網設備所發出的封包進行封鎖。
為讓本發明的上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。
10‧‧‧通訊系統
110‧‧‧連網設備
150‧‧‧網路封鎖設備
151‧‧‧通訊模組
155‧‧‧處理單元
S310~S350、S410~S490‧‧‧步驟
圖1是依據本發明一實施例說明通訊系統的示意圖。
圖2是依據本發明一實施例說明網路封鎖設備之元件方塊圖。
圖3是依據本發明一實施例說明一種網路封鎖方法流程圖。
圖4是一範例說明網路封鎖的流程圖。
無償位址解析協定(Gratuitous Address Resolution Protocol;GARP)回應封包是ARP回應封包的一種,且為了廣播GARP回應(reply)封包,目標媒體存取控制(Media Access Contorl;MAC)須設定為FF:FF:FF:FF:FF:FF。而本發明實施例便是利用廣播GARP回應封包,使所述網域內的連網設備都能接收到偽造GARP回應封包(例如,包括偽造位址),從而讓連網設備無法有效將封包傳送至封鎖群組中的連網設備,進而因應於ARP封包的時效性及大量連網設備之環境。此外,本發明實施例更攔截封鎖群組中連網設備的ARP要求封包,並回應偽造ARP回應封包(例如,包括偽造位址),從而讓封鎖群組的後續傳送無法順利完成。以下提出符合本發明之精神的多個實施例,應用本實施例者可依其需求而對這些實施例進行適度調整,而不僅限於下述描述中的內容。
圖1是依據本發明一實施例說明通訊系統的示意圖。請參照圖1,通訊系統10包括一或多台連網(IP connected)設備網路110及網路封鎖設備150。在本實施例中,通訊系統10中的各設備處於相同網域(例如,區域網路(Local Area Network;LAN)、內部網路等)。在其他實施例中,通訊系統10中的部份設備處於不同網路,則通訊系統10可能另存在ARP代理(proxy)設備。此外,圖1中連網設備110的數量僅是用於範例說明,而並非用
以侷限本發明實施例。
連網設備110可以是電腦、手機、無線分享器、伺服器、智慧電話機、顯示裝置、智慧型攝影機、路由器、網路交換器等電子裝置,其可基於至少一種IP、傳輸控制協定(Transmission Control Protocol;TCP)、使用者資料包協定(User Datagram Protocol;UDP)等協定與另一聯網設備110及網路封鎖設備150進行資料傳輸或連接至網際網路。
網路封鎖設備150可以是各類型伺服器、無線分享器、路由器、網路交換器、電腦、工作站等設備。在實際應用上,網路封鎖設備150可以是網管人員用以作為所屬網域中網路控制中心的設備。以硬體觀點而言,圖2是依據本發明一實施例說明網路封鎖設備150之元件方塊圖。請參照圖2,網路封鎖設備150至少包括(但不僅限於)通訊模組151及處理單元155。
通訊模組151可以是支援WiFi標準或其他具備無線傳輸功能的任何類型無線網路介面模組,亦可以是支援乙太網路(Ethernet)、光纖(optical fiber)或其他具備有線傳輸功能的任何類型的有線網路介面模組,甚至是無線及有線網路介面模組之組合。在本發明實施例中,網路封鎖設備150透過通訊模組151與連網設備110進行通訊。
處理單元155與通訊模組151連接,其可以是中央處理單元(Central Processing Unit,CPU),或是其他可程式化之一般用途或特殊用途的微處理器(Microprocessor)、數位信號處理器
(Digital Signal Processor,DSP)、可程式化控制器、特殊應用積體電路(Application Specific Integrated Circuit,ASIC)或其他類似元件或上述元件的組合。在本發明實施例中,處理單元155用以執行網路封鎖設備150的所有操作。
為了方便理解本發明實施例的操作流程,以下將舉諸多實施例詳細說明本發明實施例中網路封鎖設備150的網路封鎖方法。圖3是依據本發明一實施例說明一種網路封鎖方法流程圖。請參照圖3,本實施例的方法適用於圖1及圖2的網路封鎖設備150。下文中,將以網路封鎖設備150中的各項元件及模組說明本發明實施例所述之方法。本方法的各個流程可依照實施情形而隨之調整,且並不僅限於此。此外,本發明實施例可區分成主動式封鎖及被動式封鎖,以下將先針對主動式封鎖進行說明。
在步驟S310中,網路封鎖設備150的處理單元155判斷連網設備110是否屬於封鎖群組。具體而言,網管人員針對其所屬網域內的各連網設備110的網路管理會設置管理策略。此管理策略可能是針對身份確認、系統更新、病毒碼更新、禁用軟體、網路異常、新加入所屬網域的連網設備110、IP衝突、法規要求等,本發明實施例不加以限制。而針對違反管理策略的連網設備110,本發明實施例將這些連網設備110納入封鎖群組中,以進一步對封鎖群組在所屬網域中的通訊傳輸進行封鎖,從而避免封鎖群組中各連網設備110經由網路影響其他非封鎖群組(例如,正常群組)的連網設備110。
需說明的是,由於網路封鎖設備150是作為所述網路中的網路控制中心,因此其已儲存所屬網域中各連網設備110的連線資訊(例如,IP位址、實體位址(或稱MAC位址)、連接埠(port)、虛擬區域網路(Virtual Local Area Network;VLAN)識別碼(Identifer;ID)等)、裝置資訊(例如,電腦名稱、群組名稱等)等資訊,亦可能透過即時事件偵測(例如,流量過大、IP位址過期、登入作業、裝載禁用軟體、使用時間超過預定關機時間等)來輔助判斷連網設備110是否屬於封鎖群組。
在步驟S330中,網路封鎖設備150的處理單元155產生偽造位址。此偽造位址排除於此封鎖群組中連網設備110的實體位址之外。具體而言,在ARP流程中,設備A發送對於設備B之實體位址之詢問的ARP要求封包,而設備B可回應其實體位址給設備A,以確保後續設備A及B之間通訊順利進行。而為了達到網路封鎖之目的,在主動式封鎖的實施例中,網路封鎖設備150將藉由對封鎖群組中的各連網設備110產生偽造位址,以讓所屬網域中的連網設備110打算傳送資料給封鎖群組中的連網設備110時會將資料傳送至此偽造位址。藉此,便能讓欲傳送至封鎖群組中各連網設備110的資料無法順利送達。
此偽造位址可以設定為網路封鎖設備150的實體位址、特定實體位址(例如,00:00:00:00:00:01、FF:FF:FF:00:00:00等)或亂數產生的實體位址,任何與封鎖群組中連網設備110不同或不相關的實體位址,除了00:00:00:00:00:00與FF:FF:FF:FF:FF:FF
都可應用,本發明不以此為限。
在步驟S350中,針對封鎖群組中各連網設備110產生對應的偽造封包,網路封鎖設備150的處理單元155透過通訊模組151廣播偽造封包。而此偽造封包包括前述偽造位址中的一者。在本實施例中,此偽造封包為GARP回應封包。而處理單元155依序(例如,每隔0.03秒或0.05秒等針對下一台欲封鎖的連網設備110)針對封鎖群組中各連網設備110,透過通訊模組151廣播包括偽造位址中的一者的GARP回應封包。此外,此GARP回應封包更包括封鎖群組中連網設備中的一者的IP位址。
具體而言,假設一情境中,某一區域網路中存在n台連網設備110(包括所於封鎖群組的封鎖設備C,n為正整數)。處理單元155可透過通訊模組151對其他n-1台(除了封鎖設備C)連網設備110各發送偽造的ARP封包(包括偽造位址),以通知這n-1台連網設備110設備C的MAC位址是此偽造位址(例如,00:00:00:00:00:01)。而當這n-1台設備欲傳送資料給設備C,資料就會被傳送到這假造的MAC位址,使得資料無法正確送達設備C。
而另一情境中,為了封鎖設備C對其他n-1台連網設備110的通訊,網路封鎖設備150的處理單元155需要透過通訊模組151來對設備C發送n-1個偽造ARP封包,以分別告訴設備C這n-1台連網設備110的MAC位址是偽造位址。因此,當設備C欲傳送資料給這n-1台連網設備110時,資料就都會被傳送到偽造位址,從而讓設備C發送的資料無法正確送達到這n-1台連網設備
110。
在前述兩情境中,為了不影響連網設備110的運作,處理單元155通常透過通訊模組151每發送1個偽造ARP封包就需要停例如是0.03秒再發送1個偽造ARP封包。然而,這些存在於連網設備110中的偽造ARP封包資訊是有時效性的,因此每60秒處理單元155就必須要透過通訊模組151重新傳送偽造ARP封包資訊給連網設備110。否則,這些偽造ARP封包資訊就會過期,從而無法有效封鎖設備之間的通訊,因此前述情境存有下列缺點:
a.連網設備110增多,將導致封鎖失效假設連網設備110有1200台,為了封鎖其中一台設備C與其它1199台連線設備110之間的通訊,網路封鎖設備150需要對其它1199台連線設備110(除了設備C)各自發送一個偽造ARP封包,以分別告知這1199台連線設備110這設備C的MAC位址是某個偽造位址。網路封鎖設備150亦需要對設備C發送1199個偽造的ARP封包,以告知設備C這1199台連線設備110的MAC位址是某個偽造位址。因此,前述範例總共發送了1199+1199=2398個偽造ARP封包才能封鎖設備C與其它1199台連線設備110之間的通訊。然而,由於發送一個偽造ARP封包就需要停0.03秒再發下一個偽造ARP封包,因此發送2398個偽造封包至少耗時(2398-1) * 0.03秒=71.91秒。如此將導致連線設備110在一開始前11秒收到的偽造ARP封包資訊可能會陸續在60秒~71秒失效或過期,此時設備C就有機會可以跟其它1199台連線設備110進行通
訊。
b.欲封鎖設備少許增加,將導致封鎖失效假設上線的連線設備110有500台,要封鎖其中5台設備D~H。網路封鎖設備150的處理單元155需要透過通訊模組151對其它495台連線設備110各發送一個偽造ARP封包,且需要對設備D發送495個偽造的ARP封包(封鎖設備E~H的偽造ARP封包發送方式相同或相似於封鎖設備D,於此不再贅述)。因此,封鎖設備D~H與其它495台連線設備110之間的通訊需要發送(495+495) * 5=4950個偽造的ARP封包,至少耗時(4950-1) * 0.03秒=148.47秒,將導致這些連線設備110收到的偽造ARP封包資訊將在60秒~148秒陸續過期。如此設備D~H在60秒~148秒就有機會可以跟其它495台設備通訊。
為了解決前述缺點,在本發明主動式封鎖的實施例中,借重於廣播GARP回應封包(其目的MAC位址例如是FF:FF:FF:FF:FF:FF,且目的IP位址例如是0.0.0.0),網路封鎖設備150的處理單元155透過通訊模組151對封鎖群組中的各連網設備110產生對應的GARP回應封包。而各GARP回應封包的IP位址會設定為封鎖群組中連網設備110中的一者的IP位址,且來源MAC位址是偽造位址中的一者,以告知連網設備110某一特定IP位址(即,封鎖群組中連網設備110中的一者的IP位址)的MAC位址為偽造位址。
舉例而言,設備C的IP位址為192.168.4.6,則對應於設
備C的偽造GARP回應中的來源IP位址設定為192.168.4.6,且其來源MAC位址設定為00:00:00:00:00:01。
相較於先前提及的情境(需要對其他n-1台連網設備110各發送一個偽造ARP封包,故共發送n-1個偽造ARP封包),本發明實施例針對封鎖群組中連網設備110中的一者(例如,設備C)僅需要發送一個偽造GARP回應封包,即可讓其他n-1台連網設備110都能收到設備C的MAC位址為偽造位址。因此,當這n-1台連網設備110欲傳送資料給設備C時,資料便會傳送至此偽造位址,從而無法正確傳送至設備C。
此外,在某一GARP回應封包(例如,針對封鎖群組中的某一連網設備110)失效之前,網路封鎖設備150的處理單元155可再次透過通訊模組151廣播此無償位址解析協定回應封包。具體而言,無償位址解析協定回應封包具有時效性(例如,六十秒、五十秒等端視標準定義)。因此,網路封鎖設備150的處理單元155需要每隔特定時間(例如,六十秒或前述時效性的定義時間)透過通訊模組151再次廣播相同或不同(例如,偽造地址可改變,但GARP回應封包中的來源IP位址為封鎖群組中的此連網設備110)的GARP回應封包,直到欲封鎖的連網設備110不屬於封鎖群組。
另一方面,針對被動式封鎖的實施例,在步驟S310中,網路封鎖設備150的處理單元155更透過通訊模組151擷取ARP要求封包,並判斷ARP要求封包中的來源是否對應於封鎖群組中
的連網設備。具體而言,當封鎖群組中各連網設備110欲與其他連網設備110進行通訊時,封鎖群組中各連網設備110會廣播ARP要求封包,以試圖取得所欲通訊之其他連網設備110的MAC位址。而處理單元155便是透過通訊模組151對廣播的ARP要求封包進行監控,且對封鎖群組中各連網設備110所發出的ARP要求封包進行擷取。
接著,若ARP要求封包中的來源對應於封鎖群組中的連網設備110,則網路封鎖設備150的處理單元155更透過通訊模組151傳送包括偽造位址中的一者的ARP回應封包至發送ARP要求封包的連網設備110(屬於封鎖群組)。而此ARP回應封包中的來源IP位址設定為ARP要求封包中的目的IP位址,來源MAC位址設定為偽造位址(例如,00:00:00:00:00:01),且目的IP位址及MAC位址為發送ARP要求封包的連網設備110的IP位址及MAC位址。
舉例而言,設備C發送ARP要求封包(包括目的IP位址為192.168.9.5),而網路封鎖設備150接收到此ARP要求封包,便據以回應偽造ARP回應封包(包括來源IP位址為192.168.9.5、來源MAC位址為假造00:00:00:00:00:01、目的IP位址及MAC位址為設備C的IP位址及MAC位址)至設備C。
相反而言,若ARP要求封包中的來源未對應於封鎖群組中的連網設備110,則網路封鎖設備150的處理單元155不會回應偽造回應封包。
相較於先前提及的情境(需要對設備C告知其他n-1台連網設備110具有偽造位址,故共發送n-1個偽造ARP封包),本發明實施例僅需要透過攔截封鎖群組中連網設備110所發出的ARP要求封包,便能有效封鎖這些連網設備110的通訊。當屬於封鎖群組的設備C欲傳送資料給其他n-1台連網設備110時,資料便會傳送至偽造位址,從而無法正確傳送欲通訊的連網設備110。
為了讓本領域具通常知識者能明瞭本新型創作的操作流程,以下另舉一範例說明。圖4是一範例說明網路封鎖的流程圖。請同時參照圖1及圖4,下文中,將搭配圖1中連網設備110及網路封鎖設備150說明實施情境。各個流程可依照實施情形而隨之調整,且並不僅限於此。
首先,網路封鎖設備150基於管理策略(例如,是否裝載禁用軟體、系統是否更新、病毒碼是否更新等)判斷是否需要進行封鎖(步驟S410),且(若是,即發生違反管理策略的事件)將連網設備110區分為正常群組及封鎖群組(步驟S420)。假設正常群組有x台連網設備110,且封鎖群組有y台連網設備110。x、y為正整數。
針對封鎖正常群組對封鎖群組的資料傳送(即,主動式網路封鎖),網路封鎖設備150每隔60秒且封鎖群組中每台間隔0.03秒來依序發送出y個偽造GARP回應封包(步驟S430)。這y個GARP回應封包分別指示這y台連網設備110的MAC位址為偽
造位址(例如,00:00:00:00:00:01)。而那x台連網設備110依序接收到這y個偽造GARP回應封包,便會認為這y台連網設備110的MAC位址皆為偽造位址(例如,00:00:00:00:00:01)。因此,當這x台連網設備110要傳送資料到那y台連網設備110時,其資料都會被傳送到不存在設備的MAC偽造位址,從而達到通訊封鎖的目的。另一方面,若無須進行封鎖,則網路封鎖設備150停止擷取ARP要求封包(步驟S440),並據以結束程序(步驟S450)。
針對封鎖封鎖群組對正常群組的資料傳送,(即,被動式網路封鎖),網路封鎖設備150判斷是否停止擷取ARP要求封包(步驟S460)。若是(例如,y為零),則結束程序(步驟S450)。反之,若否(例如,y為5台),則網路封鎖設備150擷取ARP要求封包(步驟S470)。接著,網路封鎖設備150判斷ARP要求封包是否屬於封鎖群組(步驟S480)。若是(例如,ARP要求封包的來源是屬於封鎖群組的那y台連網設備110),則網路封鎖設備150對發送ARP要求封包的那y台連網設備110中的一者回應偽造ARP回應封包(例如,來源IP位址為ARP要求封包中所設定的目的IP位址,而來源MAC位址設定為00:00:00:00:00:01)(步驟S490)。因此,當這y台連網設備110中的一者(例如,設備y1)要傳送資料至那x台連網設備110中的一者(例如,設備x1)時,此資料都會傳送至不存在的偽造位址。此外,當這些偽造的ARP回應封包於60秒失效時,設備y1可能會再次發出ARP要求封包,以詢問設備x1的MAC位址。而網路封鎖設備150亦再次
對此設備y1回應偽造ARP回應封包(例如,來源MAC位址設定為00:00:00:00:00:01),以回應設備y1此設備x1的MAC位只為不存在的MAC位址00:00:00:00:00:01。如此,週而復始來達到通訊封鎖之目的。
在本發明的一實施例中,上述網路封鎖方法可實作為非暫態電腦可讀取儲存媒體上的電腦程式,電腦程式包括複數個指令,用以在執行後實現上述網路封鎖方法的各步驟。舉例來說,電腦可讀取儲存媒體可以是任何能藉由電腦系統讀取的資料儲存裝置,包括唯讀記憶體(Read Only Memory,ROM)、隨機存取記憶體(Random Access Memory,RAM)、唯讀光碟機(compact disc read only memory,CD-ROM)、磁帶、軟碟、光學資料儲存裝置以及傳輸媒體等,在此並不限制其範圍。
綜上所述,本發明實施例所提出的網路封鎖方法及裝置,與電腦可讀取儲存媒體,其透過主動發送偽造GARP回應封包及被動回應偽造ARP回應封包,從而達到封鎖正常群組對封鎖群組以及封鎖群組對正常群組的資料傳送。
據此,針對前述缺點a.(上線設備增多),假設上線連網設備有1200台,為了封鎖1199台連網設備對設備C通訊,本發明實施例僅需要發送一個偽造GARP回應封包就可以告知這1199台連網設備這設備C的MAC位址是一個假造的MAC位址。發送此GARP回應封包時間並不會超過60秒時間,以使得這些偽造GARP回應封包資訊在下個60秒過期前,能具有足夠時間來重傳
這個偽造GARP回應封包。至於封鎖設備C對1199台連網設備通訊,由於設備C通訊前會廣播ARP要求封包來試圖取得要通訊連網設備的MAC位址,因此只要根據ARP要求封包的封包資訊,回應設備C偽造ARP回應封包(回應設備C即將要通訊的連網設備的MAC位址是某個偽造MAC位址),設備C就無法傳送資料給要通訊的連網設備。而若設備C會再次發出ARP廣播封包詢問此通訊連網設備的MAC位址,本發明實施例同樣可根據此ARP要求封包的相關資訊,回應設備C偽造ARP封包(同樣告知設備C要通訊的連網設備的MAC位址是某個偽造位址),這樣周而復始的進行,直到設備C停止與其它正常設備通訊意圖為止。
而針對前述缺點b.(欲封鎖設備少許增加),假設上線連網設備有500台,為了封鎖495台正常設備對設備D~H通訊,現有技術只要發送5個偽造GARP回應封包就可以告知這495台設備這設備D~H的MAC位址是假造MAC位址(這5個偽造的GARP回應封包發送間隔亦為0.03秒)。而發送5個GARP回應封包包含發送間隔時間約為(5-1) * 0.03=0.12秒,其並未超過60秒。因此,這5個偽造GARP回應封包資訊在下個60秒過期前,本發明實施例便馬上重新傳送這5個偽造GARP回應封包。至於封鎖設備D~H對495台設備通訊,因為設備D~H與正常設備通訊前會發ARP要求封包來試圖取得要正常設備的MAC位址,因此只要根據此ARP要求封包資訊,就可以回應設備D~H偽造ARP封包(回應設備D~H要通訊的正常設備MAC位址為偽造位址),
設備D~H就無法傳送資料給要通訊的連網設備。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
Claims (8)
- 一種網路封鎖方法,適用於對處於一網域的多個連網設備進行網路管理,包括:判斷該些連網設備是否屬於一封鎖群組;產生至少一偽造位址,其中該至少一偽造位址排除於該封鎖群組中該些連網設備的實體位址之外;以及針對該封鎖群組中各該些連網設備產生對應的一偽造封包,廣播對應於該封鎖群組中各該些連網設備的一偽造封包至該些連網設備,其中該偽造封包包括該至少一偽造位址中的一者,其中該偽造封包為一無償位址解析協定(Gratuitous Address Resolution Protocol;GARP)回應封包,而針對該封鎖群組中各該些連網設備產生對應的該偽造封包,廣播對應於該封鎖群組中各該些連網設備的該偽造封包至該些連網設備的步驟包括:依序針對該封鎖群組中各該些連網設備,廣播包括該至少一偽造位址中的一者的該無償位址解析協定回應封包至該些連網設備,其中該無償位址解析協定回應封包更包括該封鎖群組中該些連網設備中的一者的網際網路協定(Internet Protocol;IP)位址。
- 如申請專利範圍第1項所述的網路封鎖方法,其中廣播包括該至少一偽造位址中的一者的該無償位址解析協定回應封包的步驟之後,更包括:在該無償位址解析協定回應封包失效之前,再次廣播該無償位址解析協定回應封包。
- 如申請專利範圍第1項所述的網路封鎖方法,其中判斷該些連網設備是否屬於該封鎖群組的步驟包括:擷取一位址解析協定(Address Resolution Protocol;ARP)要求封包;以及判斷該位址解析協定要求封包中的來源是否對應於該封鎖群組中的該些連網設備。
- 如申請專利範圍第3項所述的網路封鎖方法,其中判斷該位址解析協定要求封包中的該來源是否對應於該封鎖群組中的該些連網設備的步驟之後,更包括:若該位址解析協定要求封包中的該來源對應於該封鎖群組中的該些連網設備,則傳送包括該至少一偽造位址中的一者的一位址解析協定回應封包。
- 一種網路封鎖設備,適用於對處於一網域的多個連網設備進行網路管理,包括:一通訊模組,用以傳送及接收封包;一處理單元,耦接該通訊模組,並經組態用以執行:判斷該些連網設備是否屬於一封鎖群組;產生至少一偽造位址,其中該至少一偽造位址排除於該封鎖群組中該些連網設備的實體位址之外;以及針對該封鎖群組中各該些連網設備產生對應的一偽造封包,透過該通訊模組廣播對應於該封鎖群組中各該些連網設備的一偽造封包至該些連網設備,其中該偽造封包包括該至少一偽造位址中的一者,其中各偽造封包為一無償位址解析協定回應封包,而該處理單元更經組態以執行:依序針對該封鎖群組中各該些連網設備,透過該通訊模組廣播包括該至少一偽造位址中的一者的該無償位址解析協定回應封包至該些連網設備,其中該無償位址解析協定回應封包更包括該封鎖群組中該些連網設備中的一者的網際網路協定位址。
- 如申請專利範圍第5項所述的網路封鎖設備,其中該處理單元更經組態以執行:在該無償位址解析協定回應封包失效之前,再次透過該通訊模組廣播該無償位址解析協定回應封包。
- 如申請專利範圍第5項所述的網路封鎖設備,其中該處理單元更經組態以執行:透過該通訊模組擷取一位址解析協定要求封包;判斷該位址解析協定要求封包中的來源是否對應於該封鎖群組中的該些連網設備;以及若該位址解析協定要求封包中的該來源對應於該封鎖群組中的該些連網設備,則傳送包括該至少一偽造位址中的一者的一位址解析協定回應封包。
- 一種電腦可讀取儲存媒體,用以儲存一電腦程式,該電腦程式用以載入至一網路封鎖設備中並且使得該網路封鎖設備執行如申請專利範圍第1至4項中任一者所述之方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
??105101821 | 2016-01-21 | ||
TW105101821 | 2016-01-21 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201727529A TW201727529A (zh) | 2017-08-01 |
TWI660284B true TWI660284B (zh) | 2019-05-21 |
Family
ID=59370285
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW105133640A TWI660284B (zh) | 2016-01-21 | 2016-10-19 | 網路封鎖方法及設備,以及電腦可讀取儲存媒體 |
TW105215896U TWM541160U (zh) | 2016-01-21 | 2016-10-19 | 網路封鎖設備以及電腦可讀取儲存媒體 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW105215896U TWM541160U (zh) | 2016-01-21 | 2016-10-19 | 網路封鎖設備以及電腦可讀取儲存媒體 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN107040507B (zh) |
TW (2) | TWI660284B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI709309B (zh) * | 2019-09-25 | 2020-11-01 | 飛泓科技股份有限公司 | 網管裝置及其網管方法 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI660284B (zh) * | 2016-01-21 | 2019-05-21 | 曜祥網技股份有限公司 | 網路封鎖方法及設備,以及電腦可讀取儲存媒體 |
TWI611377B (zh) * | 2017-03-30 | 2018-01-11 | 崑山科技大學 | 群組化之多裝置防遺失警示系統及方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWM541160U (zh) * | 2016-01-21 | 2017-05-01 | 曜祥網技股份有限公司 | 網路封鎖設備以及電腦可讀取儲存媒體 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101616191A (zh) * | 2008-06-27 | 2009-12-30 | 英业达股份有限公司 | 地址仿真装置及其方法 |
CN101562542B (zh) * | 2009-05-21 | 2011-06-29 | 杭州华三通信技术有限公司 | 免费arp请求的响应方法和网关设备 |
US8800025B2 (en) * | 2009-11-10 | 2014-08-05 | Hei Tao Fung | Integrated virtual desktop and security management system |
CN102195862A (zh) * | 2010-03-11 | 2011-09-21 | 正文科技股份有限公司 | 路由装置及相关的封包处理电路 |
CN101820396B (zh) * | 2010-05-24 | 2012-04-18 | 杭州华三通信技术有限公司 | 一种报文安全性验证的方法和设备 |
KR101236822B1 (ko) * | 2011-02-08 | 2013-02-25 | 주식회사 안랩 | Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체 |
CN103856443B (zh) * | 2012-11-29 | 2018-05-15 | 台众计算机股份有限公司 | 网点的判断与阻挡的方法 |
-
2016
- 2016-10-19 TW TW105133640A patent/TWI660284B/zh active
- 2016-10-19 TW TW105215896U patent/TWM541160U/zh unknown
- 2016-11-21 CN CN201611021969.2A patent/CN107040507B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWM541160U (zh) * | 2016-01-21 | 2017-05-01 | 曜祥網技股份有限公司 | 網路封鎖設備以及電腦可讀取儲存媒體 |
Non-Patent Citations (2)
Title |
---|
引證1、"簡易ARP欺騙攻擊防禦偵測系統之實作"國立交通大學碩士論文 蕭瑛旗 June 2010 * |
引證1、"簡易ARP欺騙攻擊防禦偵測系統之實作"國立交通大學碩士論文 蕭瑛旗 June 2010。 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI709309B (zh) * | 2019-09-25 | 2020-11-01 | 飛泓科技股份有限公司 | 網管裝置及其網管方法 |
Also Published As
Publication number | Publication date |
---|---|
TW201727529A (zh) | 2017-08-01 |
TWM541160U (zh) | 2017-05-01 |
CN107040507B (zh) | 2020-06-23 |
CN107040507A (zh) | 2017-08-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10581907B2 (en) | Systems and methods for network access control | |
EP1994673B1 (en) | Role aware network security enforcement | |
US9571382B2 (en) | Method, controller, and system for processing data packet | |
US8966075B1 (en) | Accessing a policy server from multiple layer two networks | |
US7913077B2 (en) | Preventing IP spoofing and facilitating parsing of private data areas in system area network connection requests | |
CN102546666B (zh) | 防止igmp欺骗和攻击的方法及装置 | |
US9491261B1 (en) | Remote messaging protocol | |
US20200344208A1 (en) | Method and apparatus for processing service request | |
CN112468518B (zh) | 访问数据处理方法、装置、存储介质及计算机设备 | |
US10171504B2 (en) | Network access with dynamic authorization | |
US10348687B2 (en) | Method and apparatus for using software defined networking and network function virtualization to secure residential networks | |
WO2011140795A1 (zh) | 一种防止介质访问控制地址欺骗攻击的方法和交换设备 | |
TWI660284B (zh) | 網路封鎖方法及設備,以及電腦可讀取儲存媒體 | |
CN104426837A (zh) | Ftp的应用层报文过滤方法及装置 | |
WO2013020501A1 (zh) | 一种arp请求报文验证方法及装置 | |
US20140082693A1 (en) | Updating security bindings in a network device | |
WO2016177131A1 (zh) | 防止dos攻击方法、装置和系统 | |
US20240259316A1 (en) | Network load balancing method and apparatus, electronic device, medium, and program product | |
CN118647976A (zh) | 加密数据分组转发 | |
EP3932044B1 (en) | Automatic distribution of dynamic host configuration protocol (dhcp) keys via link layer discovery protocol (lldp) | |
EP3133790B1 (en) | Message sending method and apparatus | |
US9686311B2 (en) | Interdicting undesired service | |
WO2013159492A1 (zh) | 信息上报与下载的方法及系统 | |
JP2010187314A (ja) | 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法 | |
JP5126258B2 (ja) | アクセス制御システム、アクセス制御装置及びそれらに用いるアクセス制御方法並びにそのプログラム |