CN103856443B - 网点的判断与阻挡的方法 - Google Patents
网点的判断与阻挡的方法 Download PDFInfo
- Publication number
- CN103856443B CN103856443B CN201210501724.5A CN201210501724A CN103856443B CN 103856443 B CN103856443 B CN 103856443B CN 201210501724 A CN201210501724 A CN 201210501724A CN 103856443 B CN103856443 B CN 103856443B
- Authority
- CN
- China
- Prior art keywords
- site
- package
- address
- inventory
- packages
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明系提供一种网点的判断与阻挡的方法,包括一封包收取步骤及一封包判断处理步骤,封包收取步骤收受网段中的网点的ARP封包,封包判断处理步骤根据一允许清单以及网点的ARP封包中的IP地址及媒体存取控制地址而判断网点是否为合法,以进行封包阻挡或允许连接,藉此保护网络***,提高网络使用的安全性。
Description
技术领域
本发明系关于一种网点的判断与阻挡的方法,特别是关于一种根据允许清单判断网点合法性的判断与阻挡的方法。
背景技术
现今网络受到普遍使用,增进了信息交流的便利性。然而,藉由网络交流信息也带了许多风险。例如,网络的电子商务中的个人金融认证数据遭盗取,或是计算机***被网络黑客入侵,进一步导致数据外流、计算机中毒、重要档案受损、甚至计算机***故障,而影响到个人或企业的权益。
接收网络封包有其风险,特别是来自一危险网点的封包,例如外部计算机经由网络所传送来封包,而以各种方式危害他人计算机,包括窃听(wiretapping)、窜改(tampering)、恶意攻击(malicious attack)、阻断服务(denial of service)、及网络钓鱼(phishing)等,使得网络使用者防不慎防。诸如此类的网络危害的防范实为相当重要,如何拟定网络信息安全的策略方法并予以执行,实为一项重要的课题。
网络风险与封包来源的网点有关,若能对于网点作出准确的判断评估将有助于网络安全的提升。
发明内容
本发明的主要目的是提供一种网点的判断与阻挡的方法,用于对于封包来源的网点作出判断评估,并进一步阻挡不合法的网点,以改善习知技术的问题。
本发明为解决习知技术的问题所采用的技术手段为一种网点的判断与阻挡的方法,包括一封包收取步骤及一封包判断处理步骤,封包收取步骤为收受网段中的一网点的ARP封包,封包判断处理步骤根据一允许清单以及网点的ARP封包中的IP地址及媒体存取控制地址而判断网点是否为合法,若为不合法则进行阻挡,若为合法则准许网点连接至网段。
在本发明的一实施例中,允许清单分为暂时性允许清单以及永久性允许清单。
在本发明的一实施例中,封包判断处理步骤为以合法网点所对应的允许清单为选自以:单一媒体存取控制地址、一媒体存取控制地址与一动态IP地址、一媒体存取控制地址与一固定IP地址、单一IP地址搭配多个媒体存取控制地址、以及单一媒体存取控制地址搭配多个IP地址所构成的群组中的一个或多个的方式,而判断网点是否合法。
在本发明的一实施例中,封包收取步骤之后还包括一封包归类步骤,封包归类步骤包括一GARP判断子步骤及一ARP查询判断子步骤。
在本发明的一实施例中,GARP判断子步骤为当判断封包为GARP封包且动态功能有启用且IP地址在允许清单且IP地址为自固定IP地址改为动态IP地址,则为一抢IP地址的非法事件,而当判断封包为GARP封包且动态功能没有启用则为一抢IP地址的非法事件,其中在判断为一抢IP地址的非法事件后,阻挡网点取得允许清单的IP地址,且对于网段并找出正确的允许清单的IP地址与媒体存取控制地址并予以广播。
在本发明的一实施例中,在ARP查询判断子步骤为假冒一来源网点对于一目的网点发出封包以及假冒目的网点对于来源网点发出封包。
在本发明的一实施例中,根据暂时性允许清单以及永久性允许清单而决定网点于网段中的使用时间以及权限。
在本发明的一实施例中,封包判断处理步骤中若网点为不合法则发送一重导网页信息至网点。
本发明具有以下有益技术效果:
经由本发明所采用的技术手段,藉由允许清单比对网点的ARP封包中的IP地址及媒体存取控制地址,而可对于一网段管制允许清单外的网点与其封包,藉此确保信息交流的机密性、完整性、及可用性,并保护网络***,进一步提升网络使用的安全性。本发明所提供方法严谨而有效,且相当适合于应用于个人以及企业所使用的网络***。
附图说明
图1系显示本发明的第一实施例的网点的判断与阻挡的方法的流程图。
图2系显示本发明的第一实施例的网点的判断与阻挡的方法所应用的网络监控装置的示意图。
图3系显示本发明的第一实施例的重导网页的示意图。
图4系显示本发明的第二实施例的网点的判断与阻挡的方法的流程图。
图5系显示本发明的第二实施例的GARP判断子步骤的方法的流程图。
图6系显示本发明的第二实施例的允许清单保护步骤的方法的流程图。
图7系显示本发明的第二实施例的ARP查询判断子步骤的方法的流程图。
主要组件符号说明
100 网络监控装置
1 决策机构
2 执行机构
D 屏幕
N 网络
P 网点
S 网段
具体实施方式
本发明所采用的具体实施例,将藉由以下的实施例及附呈图式作进一步的说明。
本发明提供一种网点的判断与阻挡的方法,为在一网段中根据ARP(AddressResolution Protocol)封包而判断其对应的网点是否为合法网点,并根据合法与否而决定是否阻挡网点。以下请配合参阅图1至图3对本发明的第一实施例的网点的判断与阻挡的方法作一说明如后。
如图1所示,其系显示本发明的第一实施例的网点的判断与阻挡的方法的流程图。本发明的第一实施例的网点的判断与阻挡的方法主要包括一封包收取步骤及一封包判断处理步骤。首先,进行收受网段中的网点的ARP封包的封包收取步骤(步骤S10)。然后,执行封包判断处理步骤(步骤S20),其包括根据一允许清单以及网点的ARP封包中的IP地址(Internet Protocol Address)及媒体存取控制地址(Media Access Control Address,MAC Address)而判断网点是否为合法(步骤S21),若为不合法则进行阻挡(步骤S22),若为合法则准许网点连接至网段(步骤S23)。
在本实施例中,系应用一网络监控装置100以实施本发明的网点的判断与阻挡的方法,如图2所示。网络监控装置100包括一决策机构1及一执行机构2。决策机构1及执行机构2为分别为一计算机或其它类似装置。在实际应用时,单一个决策机构1藉由一网络N连接于多个执行机构2,而每个执行机构2分别通过网络N于一网段S中连接多个网点P。网点P可为计算机、智能型手机、个人数字助理(PDA)等任何藉由网络卡、无线网络卡、或无线网络基地台连接至网络N的装置。
具体而言,在封包收取步骤中,通过网络N,执行机构2于一网段S中藉由撷取每个网点P所发出的ARP封包来监测多个网点P。在封包判断处理步骤中,执行机构2将每个网点P所发出的ARP封包的IP地址与MAC地址与决策机构1中所储存的允许清单做比对,并依据该比对的结果判断该ARP封包是否为合法,当判断该ARP封包为不合法时,则阻挡该网点P对该网段S的ARP封包传送,当判断该ARP封包为合法时,则准许该网点P连接至执行机构2所监测的网段S,使该网点P所发出ARP封包可传送至该网段S内。
此外,当判断该ARP封包为不合法时,执行机构2除了阻挡该网点P对该网段S的ARP封包传送,还发送一重导网页信息至该网点P,使被阻挡的网点P所连接的屏幕D显示出一重导网页。重导网页可为一倡导网页,如图3所示,藉此以提醒被阻挡的网点P的使用者其网点P发送ARP封包的行为违反决策机构1所订定的使用政策。重导网页也可为一注册网页,以提供不合法网点经由注册而成为合法网点。
其中,在封包判断处理步骤中,为以合法网点所对应的允许清单为选自以:单一MAC地址、一MAC地址与一动态IP地址、一MAC地址与一固定IP地址、单一IP地址搭配多个MAC地址、以及单MAC地址搭配多个IP地址所构成的群组中的一个或多个的方式,而判断网点P是否合法。
再者,决策机构1所储存的允许清单分为暂时性允许清单以及永久性允许清单。执行机构2并根据暂时性允许清单以及永久性允许清单而决定网点P于网段S中的使用时间以及权限。详细而言,当一特定的网点的IP地址及MAC地址系对应于决策机构1中的暂时性允许清单,执行机构2系供该特定的网点P仅能于一特定时间传送ARP封包至该执行机构2所监测的网段S内。而当另一的网点P的IP地址及MAC地址系对应于决策机构1中的永久性允许清单,执行机构2系不限制该网点P传送ARP封包至该执行机构2所监测的网段S内的时间。然而在执行机构2于一设定时间内未侦测到该网点P传送ARP封包时,执行机构2会发送一使用状态信号至决策机构1,而使决策机构1将该网点P的IP地址及MAC地址自永久性允许清单中卸离,藉此网络监控装置100的使用者不需耗费过多时间维护永久性允许清单。本发明的网点的判断与阻挡的方法在实际应用于一公司时,暂时性允许清单可供临时使用者,诸如访客、短期驻点人员使用,而永久性允许清单可供如公司管理者、正式员工使用。
参阅图4至图6所示,并配合图2对本发明的第二实施例的网点的判断与阻挡的方法说明如下:
本实施例与第一实施例的网点的判断与阻挡的方法其差别在于:在本实施例中,在封包收取步骤与封包判断处理步骤之间还包括一封包归类步骤(步骤S30)。首先,将该网络封包归类为GARP封包、ARP查询封包、及ARP回应封包之一(步骤S301)。其后,封包归类步骤(步骤S30)还包括一GARP判断子步骤(步骤S31)及一ARP查询判断子步骤(步骤S32),以分别对于为GARP封包、ARP查询封包进行判断与处理。然而本发明并不以此为限,GARP判断子步骤(步骤S31)及ARP查询判断子步骤(步骤S32)可于步骤S10后中的任何一阶段予以执行。
如图5所示,GARP判断子步骤(步骤S31)的详细步骤如下:检查GARP封包的IP地址是否于允许清单中(步骤S311)。若是,检查决策机构1中的动态功能是否启用(步骤S312)。若是,检查该IP地址是否为自固定IP地址改为动态IP地址(步骤S313)。当GARP封包的IP地址于允许清单中且决策机构1中的动态功能有启用,且该IP地址为自固定IP地址改为动态IP地址,则执行机构2判断该GARP封包的发生事件为抢IP事件,然后并将该GARP封包的IP型态设定为DHCP型态(步骤S314)。而当GARP封包的IP地址于允许清单中且决策机构1中的动态功能没有启用,则执行机构2判断该GARP封包的发生事件为抢IP事件。
其中若执行机构2判断该GARP封包的发生事件为抢IP事件,进行一允许清单保护步骤(步骤S33)。如图6所示,允许清单保护步骤(步骤S33)的详细步骤如下:发出一GARP响应封包至该网段S(步骤S331),以避免该抢IP事件的GARP封包的来源的网点P使用允许清单中的IP地址。然后,取得与该GARP封包的IP地址对应的允许清单(步骤S332)。当该GARP封包的MAC地址于允许清单,则判断该GARP封包IP地址与MAC地址是否对应于允许清单的暂时允许清单(步骤S333)。然后,当GARP封包IP地址与MAC地址对应于允许清单的暂时性,则检查决策机构1是否限制暂时允许清单只能联机外部网段而不能联机内部网段(步骤S334)。其中,当允许清单以及当决策机构1没有限制暂时允许清单只能联机外部网段而不能联机内部网段,或当该GARP封包IP地址与MAC地址不对应于暂时允许清单,且对于网点P并找出正确的允许清单的IP地址与MAC地址并予以广播至该网段S(步骤S335)。
如图7所示,ARP查询判断子步骤(步骤S32)的详细步骤如下:判断该ARP查询封包的来源网点或目的网点是否合法(步骤S321)。若合法,则判断该ARP查询封包的目的网点是否为执行机构2(步骤S322)。若ARP查询封包的目的网点为执行机构2,则回传一ARP响应封包(步骤S323)。若ARP查询封包的目的网点不为执行机构2,则执行机构2假冒一来源网点对于该ARP查询封包的目的网点发出封包,并假冒该ARP查询封包的目的网点对于该ARP查询封包的来源网点发出封包(步骤S324)。
以上的叙述仅为本发明的较佳实施例说明,凡精于此项技艺者当可依据上述的说明而作其它种种的改良,然而这些改变仍属于本发明的发明精神及所界定的专利范围中。
Claims (5)
1.一种网点的判断与阻挡的方法,为在一网段中根据ARP封包而判断一网点是否为合法网点,并根据该合法与否而决定是否阻挡该网点的方法,其特征在于,该方法包含下列步骤:
一封包收取步骤,为收受该网段中的一网点的ARP封包;
一封包判断处理步骤,根据一允许清单以及该网点的ARP封包中的IP地址及媒体存取控制地址而判断该网点是否为合法,若为不合法则进行阻挡,若为合法则准许该网点连接至该网段,其中,为以该合法网点所对应的允许清单为选自以:单一媒体存取控制地址、一媒体存取控制地址与一动态IP地址、一媒体存取控制地址与一固定IP地址、单一IP地址搭配多个媒体存取控制地址、以及单一媒体存取控制地址搭配多个IP地址所构成的群组中的一个或多个的方式,而判断该网点是否合法,
其中,封包收取步骤与封包判断处理步骤之间还包括一封包归类步骤,将该网络封包归类为GARP封包、ARP查询封包、及ARP回应封包之一,该封包归类步骤还包括一GARP判断子步骤及一ARP查询判断子步骤,
该GARP判断子步骤为:检查GARP封包的IP地址是否于允许清单中,若是,检查决策机构中的动态功能是否启用,若是,检查该IP地址是否为自固定IP地址改为动态IP地址,当GARP封包的IP地址于允许清单中且该决策机构中的动态功能有启用,且该IP地址为自固定IP地址改为动态IP地址,则执行机构判断该GARP封包的发生事件为抢IP事件,然后并将该GARP封包的IP型态设定为DHCP型态,而当GARP封包的IP地址于允许清单中且该决策机构中的动态功能没有启用,则该执行机构判断该GARP封包的发生事件为抢IP事件。
2.如权利要求1所述的方法,其特征在于,该允许清单分为暂时性允许清单以及永久性允许清单。
3.如权利要求1所述的方法,其特征在于,在该ARP查询判断子步骤为假冒一来源网点对于一目的网点发出封包以及假冒该目的网点对于该来源网点发出封包。
4.如权利要求2所述的方法,其特征在于,根据该暂时性允许清单以及永久性允许清单而决定该网点于该网段中的使用时间以及权限。
5.如权利要求1所述的方法,其特征在于,该封包判断处理步骤中若该网点为不合法则发送一重导网页信息至该网点。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210501724.5A CN103856443B (zh) | 2012-11-29 | 2012-11-29 | 网点的判断与阻挡的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210501724.5A CN103856443B (zh) | 2012-11-29 | 2012-11-29 | 网点的判断与阻挡的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103856443A CN103856443A (zh) | 2014-06-11 |
CN103856443B true CN103856443B (zh) | 2018-05-15 |
Family
ID=50863665
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210501724.5A Active CN103856443B (zh) | 2012-11-29 | 2012-11-29 | 网点的判断与阻挡的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103856443B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104320606A (zh) * | 2014-10-15 | 2015-01-28 | 宁波公众信息产业有限公司 | 一种用于视讯网络的控制***及控制方法 |
CN104469982B (zh) * | 2014-11-27 | 2017-12-26 | 中国联合网络通信集团有限公司 | 基于usim卡的数据连接控制方法和usim卡 |
US10122685B2 (en) * | 2015-08-26 | 2018-11-06 | Tatung Company | Method for automatically establishing wireless connection, gateway device and client device for internet of things using the same |
TWI660284B (zh) * | 2016-01-21 | 2019-05-21 | 曜祥網技股份有限公司 | 網路封鎖方法及設備,以及電腦可讀取儲存媒體 |
TWI660605B (zh) * | 2017-09-22 | 2019-05-21 | 台眾電腦股份有限公司 | 網路安全管理系統 |
TWI709309B (zh) * | 2019-09-25 | 2020-11-01 | 飛泓科技股份有限公司 | 網管裝置及其網管方法 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1233135C (zh) * | 2002-06-22 | 2005-12-21 | 华为技术有限公司 | 一种动态地址分配中防止ip地址欺骗的方法 |
US7124197B2 (en) * | 2002-09-11 | 2006-10-17 | Mirage Networks, Inc. | Security apparatus and method for local area networks |
CN1423197A (zh) * | 2002-12-16 | 2003-06-11 | 华中科技大学 | 基于多tcp连接映像的高可用*** |
CN100493009C (zh) * | 2003-10-29 | 2009-05-27 | 华为技术有限公司 | 防范网际协议以太网中假冒主机的方法 |
GB2425681A (en) * | 2005-04-27 | 2006-11-01 | 3Com Corporaton | Access control by Dynamic Host Configuration Protocol snooping |
CN101616131A (zh) * | 2008-06-24 | 2009-12-30 | 重庆广用通信技术有限责任公司 | 一种防御Arp病毒攻击的方法 |
CN101415012B (zh) * | 2008-11-06 | 2011-09-28 | 杭州华三通信技术有限公司 | 一种防御地址解析协议报文攻击的方法和*** |
-
2012
- 2012-11-29 CN CN201210501724.5A patent/CN103856443B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN103856443A (zh) | 2014-06-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103856443B (zh) | 网点的判断与阻挡的方法 | |
US8087067B2 (en) | Secure mobile platform system | |
KR101369727B1 (ko) | 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법 | |
CN101515931B (zh) | 一种基于代理方式的数据库安全增强方法 | |
CN105843653B (zh) | 一种安全应用配置方法及装置 | |
TWI474668B (zh) | 網點之判斷與阻擋之方法 | |
US10860261B2 (en) | Network printer detection and authentication for managed device deployment | |
CA2496939A1 (en) | Network security method and apparatus | |
KR20160074612A (ko) | 지역/홈 네트워크를 위한 보안 게이트 | |
US11290469B2 (en) | Methods and apparatus to detect and prevent host firewall bypass threats through a data link layer | |
CN107122685A (zh) | 一种大数据安全存储方法和设备 | |
CN104935551A (zh) | 一种网页篡改防护装置及方法 | |
CN105049445A (zh) | 一种访问控制方法及独立式访问控制器 | |
WO2014061897A1 (ko) | 이동 사용자 단말기를 이용한 로그인 확인 및 승인 서비스 구현 방법 | |
CN114244808A (zh) | 基于非客户端模式被动检查离线非法外联方法和装置 | |
KR101494329B1 (ko) | 악성 프로세스 검출을 위한 시스템 및 방법 | |
JP3495030B2 (ja) | 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム | |
CN109756483B (zh) | 一种针对melsec协议的安全防护方法 | |
CN111131273A (zh) | 一种网络工程用互联网接入控制*** | |
CN106878233A (zh) | 安全数据的读取方法、安全服务器、终端及*** | |
CN105912945A (zh) | 一种操作***安全加固装置及运行方法 | |
CN104753924B (zh) | 一种基于动态透明隔离防护的企业数据资产保护方法 | |
CN109922058B (zh) | 一种防止非法访问内网的内网保护方法 | |
CA3122328A1 (en) | A system for, and a method of creating cybersecurity situational awareness, threat detection and risk detection within the internet-of-things space | |
CN103457921B (zh) | 一种电子设备以及电子设备的安全防护方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |