CN106534397A - 一种确定地址仿冒用户的方法和装置 - Google Patents
一种确定地址仿冒用户的方法和装置 Download PDFInfo
- Publication number
- CN106534397A CN106534397A CN201611020008.XA CN201611020008A CN106534397A CN 106534397 A CN106534397 A CN 106534397A CN 201611020008 A CN201611020008 A CN 201611020008A CN 106534397 A CN106534397 A CN 106534397A
- Authority
- CN
- China
- Prior art keywords
- message
- eigenvalue
- user
- value
- messages
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开一种确定地址仿冒用户的方法,包括以下步骤:获取第一用户接入网络后发送的第一报文,根据所述第一报文计算第一特征值,并建立所述第一用户MAC地址与所述第一特征值的对应关系;当所述第一用户退出网络后,获取第二用户根据所述MAC地址发送的第二报文,根据所述第二报文计算第二特征值,根据所述对应关系比较所述第二特征值与所述第一特征值;当所述第一特征值不等于所述第二特征值时,则确定所述第二用户为仿冒MAC地址用户。同时,本发明实施例还公开一种确定地址仿冒用户的装置,可以精确的识别具有相同MAC地址的不同终端,达到防MAC地址仿冒的效果,识别率高,且误报率较低;对业务支持的灵活度高,资源消耗小。
Description
技术领域
本发明涉及数据通信领域,尤其是一种确定地址仿冒用户的方法和装置。
背景技术
DHCP(Dynamic Host Configuration Protocol):动态主机配置协议,主要作用是集中的管理、分配IP地址,使网络环境中的主机可以自动的获得IP地址、网关(Gateway)地址、域名解析(DNS)服务器地址等信息,提升网络地址的使用效率。DHCP协议中包括服务器和客户端两种设备模型,几乎所有的网络终端,如PC、手机、平板电脑等都支持DHCP客户端功能;许多的网络设备,如路由器、交换机等支持DHCP服务器功能。当电脑等网络终端接入网络时,通过DHCP协议,就可以从路由器等DHCP服务器那里获取到自己的IP地址、网关、DNS服务器等网络配置,然后上网。
在DHCP客户端和服务器协商IP地址的报文中,会携带一些客户端的主机名、生产商等信息,称为DHCP协议的option字段。DHCP+OPTION扩展字段进行认证,就称为IPoE认证方式。IPoE认证基于上网用户的物理位置(通过唯一的VLAN(Virtual Local Area Network虚拟局域网)ID/PVC(Permanent Virtual Circuit永久虚拟链路)ID标示)对用户进行认证和计费,用户上网时无需输入用户名和密码,IPoE是在DHCP协议基础上,对网络终端、网络控制设备,网络业务***的扩充。
例如,在校园网出口场景中部署的IPoE认证典型组网模型,如图1所示,正常用户的PC和路由器进行DHCP协商,分配好IP地址,再通过认证之后就可以上网。如果用户下线之后,另外一个仿冒者配置相同的MAC地址接入,也可以上网。这就使得防MAC地址仿冒具有重要的意义。而防MAC地址仿冒的关键就是要在两个终端具有相同的MAC地址的情况下能将它们区分出来。
现有技术中,如中国专利公开号为:CN101043330,公开了一种防MAC地址仿冒处理方法及装置,包括MAC地址管理模块,内置MAC地址表用于存储用户侧及网络侧报文的SMAC,以及MAC+VLAN表。所述用户侧报文的SMAC与MAC地址表进行匹配比较,若没有重复的MAC则转发该报文,并将SMAC+VLAN配置到MAC+VLAN表中,若有重复则丢弃该报文。所述网络侧报文的SMAC与MAC地址表进行匹配比较,若没有重复MAC则将该SMAC配置到所述MAC地址表,若有重复MAC,则将网络侧报文的DMAC+VLAN与MAC+VLAN表中已有的用户侧报文的SMAC+VLAN进行匹配比较,若有匹配表现则转发该报文,若没有则丢弃该报文或VLAN内广播。该公开发明专利采用的原理是记录用户的MAC地址和其所属的VLAN信息,通过比较MAC地址是否有冲突以及与VLAN信息是否匹配来确定是否有MAC仿冒。该方案的不足之处是将用户的MAC信息与VLAN信息绑定,当用户发生VLAN迁移时容易产生误报;同时,该方案要求设备要能获取到报文的VLAN信息,如果报文VLAN信息在网络中间节点被终结的话,该方案就失去了作用。
发明内容
为了解决上述技术问题,本发明实施例提供一种确定地址仿冒用户的方法,包括:
获取第一用户接入网络后发送的第一报文,根据所述第一报文计算第一特征值,并建立所述第一用户MAC地址与所述第一特征值的对应关系;
当所述第一用户退出网络后,获取第二用户根据所述MAC地址发送的第二报文,根据所述第二报文计算第二特征值,根据所述对应关系比较所述第二特征值与所述第一特征值;当所述第一特征值不等于所述第二特征值时,则确定所述第二用户为仿冒MAC地址用户。
可选的,所述第一报文为第一DHCP请求报文,所述根据所述第一报文计算第一特征值的步骤具体包括:
获取所述第一DHCP请求报文中的至少一个属性字段的内容,根据所述第一DHCP请求报文中的至少一个属性字段的内容计算MD5值,将该MD5值作为第一特征值。
所述第二报文为第二DHCP请求报文,
所述根据所述第二报文计算第二特征值的步骤具体包括:
获取所述第二DHCP请求报文中的至少一个属性字段的内容,根据所述第二DHCP请求报文中的至少一个属性字段的内容计算MD5值,将该MD5值作为第二特征值。
可选的,所述第一报文为第一IP报文,
所述根据所述第一报文计算第一特征值的步骤具体包括:
获取所述第一IP报文中的TTL字段的值,当所述第一IP报文中的TTL字段的值大于设定阈值时,将所述第一IP报文中的TTL字段的值作为第一特征值;
所述第二报文为第二IP报文,
所述根据所述第二报文计算第二特征值的步骤具体包括:
获取所述第二IP报文中的TTL字段的值,当所述第二IP报文中的TTL字段的值大于设定阈值时,将所述第二IP报文中的TTL字段的值作为第二特征值;
所述比较所述第二特征值与所述第一特征值;当所述第一特征值不等于所述第二特征值时,则确定所述第二用户为仿冒MAC地址用户的步骤具体包括:
比较所述第一IP报文中的TTL字段的值与所述第二IP报文中的TTL字段的值;当所述第一IP报文中的TTL字段的值不等于所述第二IP报文中的TTL字段的值,且所述第一IP报文中的TTL字段的值与所述第二IP报文中的TTL字段的值的差的绝对值大于设定阈值时,则确定所述第二用户为仿冒MAC地址用户。
可选的,所述第一报文为第一HTTP报文,
所述根据所述第一报文计算第一特征值的步骤具体包括:
获取所述第一HTTP报文中的用户属性信息,将所述第一HTTP报文中的用户属性信息作为第一特征值;
所述第二报文为第二HTTP报文,
所述根据所述第二报文计算第二特征值的步骤具体包括:
获取所述第二HTTP报文中的用户属性信息,将所述第二HTTP报文中的用户属性信息作为第二特征值。
可选的,所述第一报文包含第一应用的账号信息;
所述根据所述第一报文计算第一特征值的步骤具体包括:
将所述第一报文的第一应用的账号信息作为第一特征值;
所述第二报文包含第一应用的账号信息;
所述根据所述第二报文计算第二特征值的步骤具体包括:
将所述第二报文的第一应用的账号信息作为第二特征值;
所述比较所述第二特征值与所述第一特征值;当所述第一特征值不等于所述第二特征值时,则确定所述第二用户为仿冒MAC地址用户的步骤具体包括:
比较所述第一报文的第一应用的账号信息与所述第二报文的第一应用的账号信息,当所述第一报文的第一应用的账号信息与所述第二报文的第一应用的账号信息不同,且所述第二报文的第一应用的不同账号信息的数量大于预设阈值时,则确定所述第二用户为仿冒MAC地址用户。
本发明实施例的另一方面在于提供一种确定地址仿冒用户的装置,包括:
获取模块,用于获取第一用户接入网络后发送的第一报文,
计算模块,用于根据所述第一报文计算第一特征值,
建立模块,用于建立所述第一用户MAC地址与所述第一特征值的对应关系;
所述获取模块,还用于当所述第一用户退出网络后,获取第二用户根据所述MAC地址发送的第二报文,
所述计算模块,还用于根据所述第二报文计算第二特征值,
比较模块,用于根据所述对应关系比较所述第二特征值与所述第一特征值;
确定模块,用于当所述第一特征值不等于所述第二特征值时,则确定所述第二用户为仿冒MAC地址用户。
可选的,所述第一报文为第一DHCP请求报文,所述计算模块具体用于:
获取所述第一DHCP请求报文中的至少一个属性字段的内容,根据所述第一DHCP请求报文中的至少一个属性字段的内容计算MD5值,将该MD5值作为第一特征值。
所述第二报文为第二DHCP请求报文,
所述计算模块还具体用于:
获取所述第二DHCP请求报文中的至少一个属性字段的内容,根据所述第二DHCP请求报文中的至少一个属性字段的内容计算MD5值,将该MD5值作为第二特征值。
可选的,所述第一报文为第一IP报文,
所述计算模块具体用于:
获取所述第一IP报文中的TTL字段的值,当所述第一IP报文中的TTL字段的值大于设定阈值时,将所述第一IP报文中的TTL字段的值作为第一特征值;
所述第二报文为第二IP报文,
所述计算模块还具体用于:
获取所述第二IP报文中的TTL字段的值,当所述第二IP报文中的TTL字段的值大于设定阈值时,将所述第二IP报文中的TTL字段的值作为第二特征值;
所述比较模块具体用于:根据所述对应关系比较所述第一IP报文中的TTL字段的值与所述第二IP报文中的TTL字段的值;
所述确定模块具体用于:
当所述第一IP报文中的TTL字段的值不等于所述第二IP报文中的TTL字段的值,且所述第一IP报文中的TTL字段的值与所述第二IP报文中的TTL字段的值的差的绝对值大于设定阈值时,则确定所述第二用户为仿冒MAC地址用户。
可选的,所述第一报文为第一HTTP报文,
所述计算模块具体用于:
获取所述第一HTTP报文中的用户属性信息,将所述第一HTTP报文中的用户属性信息作为第一特征值;
所述第二报文为第二HTTP报文,
所述计算模块还具体用于:
获取所述第二HTTP报文中的用户属性信息,将所述第二HTTP报文中的用户属性信息作为第二特征值。
可选的,所述第一报文包含第一应用的账号信息;
所述计算模块具体用于:
将所述第一报文的第一应用的账号信息作为第一特征值;
所述第二报文包含第一应用的账号信息;
所述计算模块还具体用于:
将所述第二报文的第一应用的账号信息作为第二特征值;
所述比较模块,具体用于根据所述对应关系比较所述第一报文的第一应用的账号信息与所述第二报文的第一应用的账号信息;所述确认模块具体用于:
当所述第一报文的第一应用的账号信息与所述第二报文的第一应用的账号信息不同,且所述第二报文的第一应用的不同账号信息的数量大于预设阈值时,则确定所述第二用户为仿冒MAC地址用户。
本发明实施例的有益效果为:可以精确的识别具有相同MAC地址的不同终端,达到防MAC地址仿冒的效果,本发明实施例所描述方法的识别率高,能达到90%以上,且误报率较低;对业务支持的灵活度高,可以和IPoE、Web认证等业务组合使用,资源消耗小。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术的***结构图;
图2为本发明实施例的一种方法流程图;
图3为本发明实施例的一种装置结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明一实施例提供一种确定地址仿冒用户的方法,包括以下步骤:
S101,获取第一用户接入网络后发送的第一报文,
S103,根据所述第一报文计算第一特征值,
S105,建立所述第一用户MAC地址与所述第一特征值的对应关系;
S107,当所述第一用户退出网络后,获取第二用户根据所述MAC地址发送的第二报文,
S109,根据所述第二报文计算第二特征值,
S111,根据所述对应关系比较所述第二特征值与所述第一特征值;
S113,当所述第一特征值不等于所述第二特征值时,则确定所述第二用户为仿冒MAC地址用户。
可选的,所述第一报文为第一DHCP请求报文,所述步骤S103具体包括:
获取所述第一DHCP请求报文中的至少一个属性字段的内容,根据所述第一DHCP请求报文中的至少一个属性字段的内容计算MD5值,将该MD5值作为第一特征值。
其中,属性字段的内容可以为OPTION12、OPTION50、OPTION60等三个字段内容的组合或其中之一。
所述第二报文为第二DHCP请求报文,
所述步骤S109具体包括:
获取所述第二DHCP请求报文中的至少一个属性字段的内容,根据所述第二DHCP请求报文中的至少一个属性字段的内容计算MD5值,将该MD5值作为第二特征值。
其中,属性字段的内容可以为OPTION12、OPTION50、OPTION60等三个字段内容的组合或其中之一。
可选的,所述第一报文为第一IP报文,
所述步骤S103具体包括:
获取所述第一IP报文中的TTL字段的值,当所述第一IP报文中的TTL字段的值大于设定阈值时,将所述第一IP报文中的TTL字段的值作为第一特征值;
其中,用户终端中可能存在TTL值为1的广播报文,且主流操作***的非广播报文TTL值都大于10,所以抓取的有效报文TTL值要大于10。
所述第二报文为第二IP报文,
所述步骤S109具体包括:
获取所述第二IP报文中的TTL字段的值,当所述第二IP报文中的TTL字段的值大于设定阈值时,将所述第二IP报文中的TTL字段的值作为第二特征值;
所述步骤S111具体包括:比较所述第一IP报文中的TTL字段的值与所述第二IP报文中的TTL字段的值;
所述步骤S113具体包括:
当所述第一IP报文中的TTL字段的值不等于所述第二IP报文中的TTL字段的值,且所述第一IP报文中的TTL字段的值与所述第二IP报文中的TTL字段的值的差的绝对值大于设定阈值时,则确定所述第二用户为仿冒MAC地址用户。
其中,绝对值大于设定阈值5时,则确定所述第二用户为仿冒MAC地址用户。
可选的,所述第一报文为第一HTTP报文,
所述步骤S103具体包括:
获取所述第一HTTP报文中的用户属性信息,将所述第一HTTP报文中的用户属性信息作为第一特征值;
其中,用户属性信息可以从以下几个途径获取:
在HTTP报文的URL字段中查找关键字“&imei=”,可以提取到手机等终端的imei(International Mobile Equipment Identity国际移动设备身份码)号特征作为用户属性信息;
在HTTP报文的User-agent字段中查找关键字“Windows Phone”、“Windows”、“Iphone”、“Android”等,可以确定终端的操作***类型为Windows phone、Windows、Android,还是Iphone,作为用户属性信息;
在HTTP报文的Host字段中查找“.***.com”,同时在Cookie字段中查找关键字“BAIDUID”,可以提取百度搜索引擎分配给用户终端唯一的cookie id,作为用户属性信息;
在HTTP报文的Host字段中查找“.so.com”,同时在Cookie字段中查找关键字“QIHUID”,可以提取360搜索引擎分配给用户终端唯一的cookie id,作为用户属性信息;
在HTTP报文的Host字段中查找“.sogou.com”,同时在Cookie字段中查找关键字“UDI”,可以提取搜狗搜索引擎分配给用户终端唯一的cookie id,作为用户属性信息;
所述第二报文为第二HTTP报文,
所述步骤S109具体包括:
获取所述第二HTTP报文中的用户属性信息,将所述第二HTTP报文中的用户属性信息作为第二特征值。
可选的,所述第一报文包含第一应用的账号信息;
其中,第一应用可以为QQ聊天工具,账号信息可以为QQ账号。
所述步骤S103具体包括:
将所述第一报文的第一应用的账号信息作为第一特征值;
所述第二报文包含第一应用的账号信息;
所述步骤S109具体包括:
将所述第二报文的第一应用的账号信息作为第二特征值;
所述步骤S111具体包括:
比较所述第一报文的第一应用的账号信息与所述第二报文的第一应用的账号信息,
所述步骤S113具体包括:
当所述第一报文的第一应用的账号信息与所述第二报文的第一应用的账号信息不同,且所述第二报文的第一应用的不同账号信息的数量大于预设阈值时,则确定所述第二用户为仿冒MAC地址用户。
其中,当第一应用为QQ聊天工具时,如果第二报文中的不同QQ账号的数量大于预设阈值3时,则确定第二用户为仿冒MAC地址用户。
在本发明实施例中,可能存在上万条会话,所以如果采用每个会话都逐包检查的方式的话,将消耗非常大的***资源,导致路由器的转发能力下降,影响用户的上网体验。因此,可以采用抽查的方式进行检测。主要的设计如下:
步骤一、创建一个有16个成员的临时报文数组,该数组全局共享,每个临时报文数组中设置有是否空闲的标识;
步骤二、每一个***接收报文的进程对收到的报文进行初步筛选,选出DHCP报文、HTTP报文等不同类型的报文,然后在临时报文数组中选择一个空闲的数组成员,将收到的报文拷贝到该数组成员,关闭临时报文数组中的空闲标志;
步骤三、创建一个优先级较低的检测进程,该进程不停的读取临时报文数组,对上述收到的报文所在会话的终端特征进行扫描对比,识别其是否有MAC地址仿冒。每处理完一个临时报文数组成员,就将打开临时报文数组的空闲标志。由于该进程优先级较低,能被***中断,因此不会对数据转发效率有较大影响。
本发明实施例的有益效果为:可以精确的识别具有相同MAC地址的不同终端,达到防MAC仿冒的效果,本发明实施例所描述方法的识别率高,能达到90%以上,且误报率较低;对业务支持的灵活度高,可以和IPoE、Web认证等业务组合使用,资源消耗小。
本发明实施例的另一方面在于提供一种确定地址仿冒用户的装置,包括:
获取模块201,用于获取第一用户接入网络后发送的第一报文,
计算模块203,用于根据所述第一报文计算第一特征值,
建立模块205,用于建立所述第一用户MAC地址与所述第一特征值的对应关系;
所述获取模块201,还用于当所述第一用户退出网络后,获取第二用户根据所述MAC地址发送的第二报文,
所述计算模块203,还用于根据所述第二报文计算第二特征值,
比较模块207,用于根据所述对应关系比较所述第二特征值与所述第一特征值;
确定模块209,用于当所述第一特征值不等于所述第二特征值时,则确定所述第二用户为仿冒MAC地址用户。
可选的,所述第一报文为第一DHCP请求报文,所述计算模块203具体用于:
获取所述第一DHCP请求报文中的至少一个属性字段的内容,根据所述第一DHCP请求报文中的至少一个属性字段的内容计算MD5值,将该MD5值作为第一特征值。
所述第二报文为第二DHCP请求报文,
所述计算模块203还具体用于:
获取所述第二DHCP请求报文中的至少一个属性字段的内容,根据所述第二DHCP请求报文中的至少一个属性字段的内容计算MD5值,将该MD5值作为第二特征值。
可选的,所述第一报文为第一IP报文,
所述计算模块203具体用于:
获取所述第一IP报文中的TTL字段的值,当所述第一IP报文中的TTL字段的值大于设定阈值时,将所述第一IP报文中的TTL字段的值作为第一特征值;
所述第二报文为第二IP报文,
所述计算模块203还具体用于:
获取所述第二IP报文中的TTL字段的值,当所述第二IP报文中的TTL字段的值大于设定阈值时,将所述第二IP报文中的TTL字段的值作为第二特征值;
所述比较模块207具体用于:根据所述对应关系比较所述第一IP报文中的TTL字段的值与所述第二IP报文中的TTL字段的值;
所述确定模块209具体用于:
当所述第一IP报文中的TTL字段的值不等于所述第二IP报文中的TTL字段的值,且所述第一IP报文中的TTL字段的值与所述第二IP报文中的TTL字段的值的差的绝对值大于设定阈值时,则确定所述第二用户为仿冒MAC地址用户。
可选的,所述第一报文为第一HTTP报文,
所述计算模块203具体用于:
获取所述第一HTTP报文中的用户属性信息,将所述第一HTTP报文中的用户属性信息作为第一特征值;
所述第二报文为第二HTTP报文,
所述计算模块203还具体用于:
获取所述第二HTTP报文中的用户属性信息,将所述第二HTTP报文中的用户属性信息作为第二特征值。
可选的,所述第一报文包含第一应用的账号信息;
所述计算模块203具体用于:
将所述第一报文的第一应用的账号信息作为第一特征值;
所述第二报文包含第一应用的账号信息;
所述计算模块203还具体用于:
将所述第二报文的第一应用的账号信息作为第二特征值;
所述比较模块207,具体用于根据所述对应关系比较所述第一报文的第一应用的账号信息与所述第二报文的第一应用的账号信息;
所述确认模块209具体用于:
当所述第一报文的第一应用的账号信息与所述第二报文的第一应用的账号信息不同,且所述第二报文的第一应用的不同账号信息的数量大于预设阈值时,则确定所述第二用户为仿冒MAC地址用户。
本发明实施例的有益效果为:可以精确的识别具有相同MAC地址的不同终端,达到防MAC仿冒的效果,本发明实施例所描述方法的识别率高,能达到90%以上,且误报率较低;对业务支持的灵活度高,可以和IPoE、Web认证等业务组合使用,资源消耗小。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种确定地址仿冒用户的方法,其特征在于,包括以下步骤:获取第一用户接入网络后发送的第一报文,根据所述第一报文计算第一特征值,并建立所述第一用户MAC地址与所述第一特征值的对应关系;
当所述第一用户退出网络后,获取第二用户根据所述MAC地址发送的第二报文,根据所述第二报文计算第二特征值,根据所述对应关系比较所述第二特征值与所述第一特征值;当所述第一特征值不等于所述第二特征值时,则确定所述第二用户为仿冒MAC地址用户。
2.如权利要求1所述的方法,其特征在于,所述第一报文为第一DHCP请求报文,所述根据所述第一报文计算第一特征值的步骤具体包括:
获取所述第一DHCP请求报文中的至少一个属性字段的内容,根据所述第一DHCP请求报文中的至少一个属性字段的内容计算MD5值,将该MD5值作为第一特征值。
所述第二报文为第二DHCP请求报文,
所述根据所述第二报文计算第二特征值的步骤具体包括:
获取所述第二DHCP请求报文中的至少一个属性字段的内容,根据所述第二DHCP请求报文中的至少一个属性字段的内容计算MD5值,将该MD5值作为第二特征值。
3.如权利要求1所述的方法,其特征在于,所述第一报文为第一IP报文,
所述根据所述第一报文计算第一特征值的步骤具体包括:
获取所述第一IP报文中的TTL字段的值,当所述第一IP报文中的TTL字段的值大于设定阈值时,将所述第一IP报文中的TTL字段的值作为第一特征值;
所述第二报文为第二IP报文,
所述根据所述第二报文计算第二特征值的步骤具体包括:
获取所述第二IP报文中的TTL字段的值,当所述第二IP报文中的TTL字段的值大于设定阈值时,将所述第二IP报文中的TTL字段的值作为第二特征值;
所述比较所述第二特征值与所述第一特征值;当所述第一特征值不等于所述第二特征值时,则确定所述第二用户为仿冒MAC地址用户的步骤具体包括:
比较所述第一IP报文中的TTL字段的值与所述第二IP报文中的TTL字段的值;当所述第一IP报文中的TTL字段的值不等于所述第二IP报文中的TTL字段的值,且所述第一IP报文中的TTL字段的值与所述第二IP报文中的TTL字段的值的差的绝对值大于设定阈值时,则确定所述第二用户为仿冒MAC地址用户。
4.如权利要求1所述的方法,其特征在于,所述第一报文为第一HTTP报文,
所述根据所述第一报文计算第一特征值的步骤具体包括:
获取所述第一HTTP报文中的用户属性信息,将所述第一HTTP报文中的用户属性信息作为第一特征值;
所述第二报文为第二HTTP报文,
所述根据所述第二报文计算第二特征值的步骤具体包括:
获取所述第二HTTP报文中的用户属性信息,将所述第二HTTP报文中的用户属性信息作为第二特征值。
5.如权利要求1所述的方法,其特征在于,所述第一报文包含第一应用的账号信息;
所述根据所述第一报文计算第一特征值的步骤具体包括:
将所述第一报文的第一应用的账号信息作为第一特征值;
所述第二报文包含第一应用的账号信息;
所述根据所述第二报文计算第二特征值的步骤具体包括:
将所述第二报文的第一应用的账号信息作为第二特征值;
所述比较所述第二特征值与所述第一特征值;当所述第一特征值不等于所述第二特征值时,则确定所述第二用户为仿冒MAC地址用户的步骤具体包括:
比较所述第一报文的第一应用的账号信息与所述第二报文的第一应用的账号信息,当所述第一报文的第一应用的账号信息与所述第二报文的第一应用的账号信息不同,且所述第二报文的第一应用的不同账号信息的数量大于预设阈值时,则确定所述第二用户为仿冒MAC地址用户。
6.一种确定地址仿冒用户的装置,其特征在于,包括:
获取模块,用于获取第一用户接入网络后发送的第一报文,
计算模块,用于根据所述第一报文计算第一特征值,
建立模块,用于建立所述第一用户MAC地址与所述第一特征值的对应关系;
所述获取模块,还用于当所述第一用户退出网络后,获取第二用户根据所述MAC地址发送的第二报文,
所述计算模块,还用于根据所述第二报文计算第二特征值,
比较模块,用于根据所述对应关系比较所述第二特征值与所述第一特征值;
确定模块,用于当所述第一特征值不等于所述第二特征值时,则确定所述第二用户为仿冒MAC地址用户。
7.如权利要求6所述的装置,其特征在于,所述第一报文为第一DHCP请求报文,所述计算模块具体用于:
获取所述第一DHCP请求报文中的至少一个属性字段的内容,根据所述第一DHCP请求报文中的至少一个属性字段的内容计算MD5值,将该MD5值作为第一特征值。
所述第二报文为第二DHCP请求报文,
所述计算模块还具体用于:
获取所述第二DHCP请求报文中的至少一个属性字段的内容,根据所述第二DHCP请求报文中的至少一个属性字段的内容计算MD5值,将该MD5值作为第二特征值。
8.如权利要求6所述的方法,其特征在于,所述第一报文为第一IP报文,
所述计算模块具体用于:
获取所述第一IP报文中的TTL字段的值,当所述第一IP报文中的TTL字段的值大于设定阈值时,将所述第一IP报文中的TTL字段的值作为第一特征值;
所述第二报文为第二IP报文,
所述计算模块还具体用于:
获取所述第二IP报文中的TTL字段的值,当所述第二IP报文中的TTL字段的值大于设定阈值时,将所述第二IP报文中的TTL字段的值作为第二特征值;
所述比较模块具体用于:根据所述对应关系比较所述第一IP报文中的TTL字段的值与所述第二IP报文中的TTL字段的值;
所述确定模块具体用于:
当所述第一IP报文中的TTL字段的值不等于所述第二IP报文中的TTL字段的值,且所述第一IP报文中的TTL字段的值与所述第二IP报文中的TTL字段的值的差的绝对值大于设定阈值时,则确定所述第二用户为仿冒MAC地址用户。
9.如权利要求6所述的装置,其特征在于,所述第一报文为第一HTTP报文,
所述计算模块具体用于:
获取所述第一HTTP报文中的用户属性信息,将所述第一HTTP报文中的用户属性信息作为第一特征值;
所述第二报文为第二HTTP报文,
所述计算模块还具体用于:
获取所述第二HTTP报文中的用户属性信息,将所述第二HTTP报文中的用户属性信息作为第二特征值。
10.如权利要求6所述的装置,其特征在于,所述第一报文包含第一应用的账号信息;
所述计算模块具体用于:
将所述第一报文的第一应用的账号信息作为第一特征值;
所述第二报文包含第一应用的账号信息;
所述计算模块还具体用于:
将所述第二报文的第一应用的账号信息作为第二特征值;
所述比较模块,具体用于根据所述对应关系比较所述第一报文的第一应用的账号信息与所述第二报文的第一应用的账号信息;所述确认模块具体用于:
当所述第一报文的第一应用的账号信息与所述第二报文的第一应用的账号信息不同,且所述第二报文的第一应用的不同账号信息的数量大于预设阈值时,则确定所述第二用户为仿冒MAC地址用户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611020008.XA CN106534397A (zh) | 2016-11-14 | 2016-11-14 | 一种确定地址仿冒用户的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611020008.XA CN106534397A (zh) | 2016-11-14 | 2016-11-14 | 一种确定地址仿冒用户的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106534397A true CN106534397A (zh) | 2017-03-22 |
Family
ID=58352796
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611020008.XA Pending CN106534397A (zh) | 2016-11-14 | 2016-11-14 | 一种确定地址仿冒用户的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106534397A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109981661A (zh) * | 2019-03-29 | 2019-07-05 | 新华三技术有限公司 | 一种监测mac地址的方法、装置及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101582833A (zh) * | 2008-05-15 | 2009-11-18 | 成都市华为赛门铁克科技有限公司 | 一种伪造ip数据包的处理方法及装置 |
| CN101841445A (zh) * | 2010-04-20 | 2010-09-22 | 北京星网锐捷网络技术有限公司 | 共享上网用户识别方法及装置 |
| CN101888296A (zh) * | 2010-01-20 | 2010-11-17 | 北京星网锐捷网络技术有限公司 | 一种影子用户检测方法、装置、设备和*** |
| CN104917739A (zh) * | 2014-03-14 | 2015-09-16 | 腾讯科技(北京)有限公司 | 虚假账号的识别方法及装置 |
| CN105897727A (zh) * | 2016-05-09 | 2016-08-24 | 深圳市永兴元科技有限公司 | 防止账号信息被盗用的方法和装置 |
-
2016
- 2016-11-14 CN CN201611020008.XA patent/CN106534397A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101582833A (zh) * | 2008-05-15 | 2009-11-18 | 成都市华为赛门铁克科技有限公司 | 一种伪造ip数据包的处理方法及装置 |
| CN101888296A (zh) * | 2010-01-20 | 2010-11-17 | 北京星网锐捷网络技术有限公司 | 一种影子用户检测方法、装置、设备和*** |
| CN101841445A (zh) * | 2010-04-20 | 2010-09-22 | 北京星网锐捷网络技术有限公司 | 共享上网用户识别方法及装置 |
| CN104917739A (zh) * | 2014-03-14 | 2015-09-16 | 腾讯科技(北京)有限公司 | 虚假账号的识别方法及装置 |
| CN105897727A (zh) * | 2016-05-09 | 2016-08-24 | 深圳市永兴元科技有限公司 | 防止账号信息被盗用的方法和装置 |
Non-Patent Citations (3)
| Title |
|---|
| 李旸等: "基于TTL 阈值分析的检测伪造数据包方法", 《计算机技术与发展》 * |
| 米军: "DDOS 攻击下基于TTL 策略的", 《专题研究》 * |
| 荀宝铖, 罗军勇: "基于TTL值异常的源地址伪造报文检测方法", 《计算机应用研究》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109981661A (zh) * | 2019-03-29 | 2019-07-05 | 新华三技术有限公司 | 一种监测mac地址的方法、装置及电子设备 |
| CN109981661B (zh) * | 2019-03-29 | 2022-04-22 | 新华三技术有限公司 | 一种监测mac地址的方法、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105007581B (zh) | 一种上网认证方法及客户端 | |
| CN104158808B (zh) | 基于APP应用的Portal认证方法及其装置 | |
| CN105516960B (zh) | 无感知认证方法***,基于该方法***的管理方法、*** | |
| CN105634956B (zh) | 一种报文转发方法、装置和*** | |
| CN105991600B (zh) | 身份认证方法、装置、服务器及终端 | |
| CN103124267B (zh) | 通过移动终端进行登录/注册的方法、***和云端服务器 | |
| CN109862565A (zh) | 一种无线局域网无感知控制方法、***和可读存储介质 | |
| CN104104516A (zh) | 一种Portal认证方法和设备 | |
| CN102739684B (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
| CN104917727A (zh) | 一种帐户鉴权的方法、***及装置 | |
| WO2013154532A1 (en) | Techniques to monitor connection paths on networked devices | |
| CN106656547A (zh) | 一种更新家电设备网络配置的方法和装置 | |
| US10285038B2 (en) | Method and system for discovering user equipment in a network | |
| CN106357609A (zh) | 一种创建用户的方法和***、公网服务器及私有云设备 | |
| CN103428211A (zh) | 基于交换机的网络认证***及其认证方法 | |
| CN108390955A (zh) | 域名获取方法、网站访问方法及服务器 | |
| CN107204873A (zh) | 一种切换目标域名解析服务器的方法及相关设备 | |
| CN107528712A (zh) | 访问权限的确定、页面的访问方法及装置 | |
| CN104753960A (zh) | 一种基于单点登录的***配置管理方法 | |
| CN106533894B (zh) | 一种全新的安全的即时通信体系 | |
| CN107645570A (zh) | 客户端上线方法及装置 | |
| CN108200039B (zh) | 基于动态创建临时账号密码的无感知认证授权***和方法 | |
| CN104936177A (zh) | 一种接入认证方法及接入认证*** | |
| CN106302400A (zh) | 访问请求的处理方法及装置 | |
| CN106973120A (zh) | 新型无线认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170322 |