TWI728901B - 雙模式切換之阻斷網路連線的方法 - Google Patents

雙模式切換之阻斷網路連線的方法 Download PDF

Info

Publication number
TWI728901B
TWI728901B TW109128480A TW109128480A TWI728901B TW I728901 B TWI728901 B TW I728901B TW 109128480 A TW109128480 A TW 109128480A TW 109128480 A TW109128480 A TW 109128480A TW I728901 B TWI728901 B TW I728901B
Authority
TW
Taiwan
Prior art keywords
network
illegal
blocking
connection
information device
Prior art date
Application number
TW109128480A
Other languages
English (en)
Other versions
TW202209846A (zh
Inventor
李坤榮
Original Assignee
台眾電腦股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 台眾電腦股份有限公司 filed Critical 台眾電腦股份有限公司
Priority to TW109128480A priority Critical patent/TWI728901B/zh
Priority to US17/203,529 priority patent/US11558351B2/en
Application granted granted Critical
Publication of TWI728901B publication Critical patent/TWI728901B/zh
Publication of TW202209846A publication Critical patent/TW202209846A/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一種雙模式切換之阻斷網路連線的方法,包含以下步驟:資料封包收集步驟、資料封包解析步驟、清單比對步驟、非法網點類型判斷步驟,以及網路連線阻斷步驟。資料封包收集步驟收集網段內所有網點的資料封包。資料封包解析步驟解析所有網點的資料封包而取得識別資料。清單比對步驟經由比對資訊裝置清單上的識別資料以確認出非法網點。非法網點類型判斷步驟確認非法網點的資訊裝置類型。網路連線阻斷步驟依據非法網點的資訊裝置類型而切換第一阻斷網路連線模式以及第二阻斷網路連線模式,以阻斷該非法網點。

Description

雙模式切換之阻斷網路連線的方法
本發明相關於一種阻斷網路連線的方法,特別是相關於一種雙模式切換之阻斷網路連線的方法。
在考量資訊安全的前提下,企業極力防止外來的資訊裝置對於企業的內部網路進行資料存取,以避免遭受勒索軟體(Ransomware)攻擊所造成的損失。因此,企業的資訊安全防護人員將工作方向著眼於,如何完全阻斷「外來的資訊裝置對於企業的內部網路的資料存取」。
然而,單一個「阻斷外來的資訊裝置連線企業的內部網路」的模式,無法因應資訊裝置類型的不同而進行阻斷連線作業的彈性調整,以致無法完全阻斷所有外來的資訊裝置連線企業的內部網路。並且,單一個「阻斷外來的資訊裝置連線企業的內部網路」的模式,亦會因為外來的資訊裝置的類型多以致阻斷連線作業效率不彰,而造成在企業的內部網路中資料封包數量過大的缺失。
因此,本發明的目的即在提供一種雙模式切換之阻斷網路連線的方法,可有效阻斷外來的資訊裝置對於企業的內部網路執行網路存取。
本發明為解決習知技術之問題所採用之技術手段係提供一種雙模式切換之阻斷網路連線的方法,包含以下步驟:資料封包收集步驟,收集一網段內所有網點所發出的資料封包,其中所有該網點包含在該網段內進行網路連線的資訊裝置以及閘道器;資料封包解析步驟,解析該網段內所有該網點的資料封包而取得所有該網點的識別資料,該識別資料係包含MAC位址、OUI資料、ARP防火牆資料及靜態ARP資料;清單比對步驟,比對所有該網點的識別資料以及經登記於資訊裝置清單之資訊裝置或閘道器的識別資料,以在當該網段內具有未對應該資訊裝置清單之識別資料的網點時確認該網點為非法網點;非法網點類型判斷步驟,藉由於該資料封包解析步驟所取得的該MAC位址及該OUI資料而確認該非法網點是否為預設製造商名單中製造商所生產的資訊裝置、或是藉由該資料封包解析步驟所取得的該ARP防火牆資料而確認該非法網點是否為具有ARP防火牆的資訊裝置、或是藉由該資料封包解析步驟所取得的該靜態ARP資料而確認該非法網點是否為具有靜態ARP的資訊裝置;以及網路連線阻斷步驟,在該非法網點為該預設製造商名單中製造商所生產的資訊裝置、或是具有ARP防火牆的資訊裝置、或是具有靜態ARP的資訊裝置時,採用第一阻斷網路連線模式以阻斷該非法網點於該網段內的網路連線,而在該非法網點並非該預設製造商名單中製造商所生產的資訊裝置、且並非具有ARP防火牆的資訊裝置、且並非具有靜態ARP的資訊裝置時,則自動切換而採用第二阻斷網路連線模式以阻斷該非法網點於該網段內的網路連線,其中,在該第一阻斷網路連線模式中,當該非法網點廣播查詢該網段內一對象網點的MAC位址時,一連線阻斷模 組向該非法網點單播「該對象網點的MAC位址為該連線阻斷模組的MAC位址」的資料封包,且該連線阻斷模組向該網段內該閘道器單播「該非法網點的MAC位址為該連線阻斷模組的MAC位址」的資料封包,以在避免觸發該非法網點之ARP防火牆的情況下阻斷該非法網點,在該第二阻斷網路連線模式中,當該非法網點廣播查詢該網段內該對象網點的MAC位址時,該連線阻斷模組向該非法網點單播「該對象網點的MAC位址為該連線阻斷模組的MAC位址」的資料封包以及在一預定週期內持續向該非法網點單播「該網段內該閘道器的MAC位址為該連線阻斷模組的MAC位址」的資料封包,且該連線阻斷模組向該網段內所有該網點廣播「該非法網點的MAC位址為該連線阻斷模組的MAC位址」的資料封包,以阻斷該非法網點。
在本發明的一實施例中係提供一種雙模式切換之阻斷網路連線的方法,其中在該第一阻斷網路連線模式中,該連線阻斷模組更向該非法網點單播「該網段內所有該資訊裝置的MAC位址皆為該連線阻斷模組的MAC位址」的資料封包,以阻斷該非法網點。
在本發明的一實施例中係提供一種雙模式切換之阻斷網路連線的方法,其中該網點的識別資料更包含IP位址。
在本發明的一實施例中係提供一種雙模式切換之阻斷網路連線的方法,其中在該非法網點類型判斷步驟,當該非法網點並非該預設製造商名單中製造商所生產的資訊裝置時,則確認該非法網點是否為具有ARP防火牆的資訊裝置。
在本發明的一實施例中係提供一種雙模式切換之阻斷網路連線的方法,其中在該非法網點類型判斷步驟,當該非法網點並非具有ARP防火牆的資訊裝置時,則確認該非法網點是否為具有靜態ARP的資訊裝置。
在本發明的一實施例中係提供一種雙模式切換之阻斷網路連線的方法,其中該資料封包解析步驟為,經由該網段內網點的網路卡收集該網點所發出的資料封包且直接地解析該資料封包,而取得有關該網點的識別資料。
在本發明的一實施例中係提供一種雙模式切換之阻斷網路連線的方法,其中在該非法網點類型判斷步驟,具有靜態ARP的該資訊裝置為,該資訊裝置的IP位址及MAC位址為一對一對應關係。
在本發明的一實施例中係提供一種雙模式切換之阻斷網路連線的方法,其中在該第二阻斷網路連線模式,該預定週期為4秒。
經由本發明的雙模式切換之阻斷網路連線的方法所採用之技術手段,得以獲得以下的技術功效。提升網路連線的阻斷效能,以阻止外來的資訊裝置對於企業的內部網路執行網路存取。並且,因應外來的資訊裝置的不同類型,自動地切換二種模式的阻斷網路連線的方法,以增加阻斷網路連線的作業效率。
100:雙模式切換之阻斷網路連線的方法
D:網段
G:閘道器
L:非法網點
L1:網點查詢
P:資訊裝置
S:連線阻斷模組
S1:資料封包收集步驟
S2:資料封包解析步驟
S3:清單比對步驟
S30:合法網點確認步驟
S4:非法網點類型判斷步驟
S41:製造商確認步驟
S42:ARP防火牆確認步驟
S43:靜態ARP確認步驟
S5:網路連線阻斷步驟
S51:第一阻斷網路連線模式
S510:回覆查詢
S511:屏蔽訊息傳送
S512:防護訊息傳送
S52:第二阻斷網路連線模式
S520:回覆查詢
S521:隔離訊息傳送
S522:防護訊息傳送
〔第1圖〕為顯示根據本發明的雙模式切換之阻斷網路連線的方法的流程示意圖; 〔第2圖〕為顯示根據本發明的雙模式切換之阻斷網路連線的方法於非法網點類型判斷步驟的細部流程示意圖;〔第3圖〕為顯示根據本發明的雙模式切換之阻斷網路連線的方法執行第一阻斷網路連線模式的示意圖;〔第4圖〕為顯示根據本發明的雙模式切換之阻斷網路連線的方法執行第二阻斷網路連線模式的示意圖;以及〔第5圖〕為顯示根據本發明的雙模式切換之阻斷網路連線的方法的連線阻斷關係示意圖。
以下根據第1圖至第5圖,而說明本發明的實施方式。該說明並非為限制本發明的實施方式,而為本發明之實施例的一種。
如第1圖所示,依據本發明的實施例的一種雙模式切換之阻斷網路連線的方法100,包含以下步驟:資料封包收集步驟S1、資料封包解析步驟S2、清單比對步驟S3、非法網點類型判斷步驟S4,以及網路連線阻斷步驟S5。藉此,本發明的雙模式切換之阻斷網路連線的方法100得以提升網路連線的阻斷效能,以阻止外來的資訊裝置對於企業的內部網路執行網路存取。並且,本發明得以因應外來的資訊裝置的不同類型,自動切換二種模式的阻斷網路連線的方法,以增加阻斷網路連線的作業效率。
如第1圖及第5圖所示,該資料封包收集步驟S1收集一網段D內所有網點所發出的資料封包,其中所有該網點包含在該網段D內進行網路連線的資訊 裝置P以及閘道器G。舉例而言,該網段D為企業內部網路環境的廣播域(Broadcast domain)。
如第1圖及第5圖所示,該資料封包解析步驟S2解析該網段D內所有該網點的資料封包,而取得所有該網點的識別資料。該識別資料係包含MAC位址(Media Access Control Address,媒體存取控制位址)、OUI(Organizationally unique identifier,組織唯一標識符)資料、ARP(Address Resolution Protocol,位址解析協定)防火牆資料及靜態ARP資料。當然,本發明對於該識別資料的定義並不以上述為限,該網點的識別資料更可包含IP位址(Internet Protocol Address)。
具體而言,依據本發明的實施例的雙模式切換之阻斷網路連線的方法100,其中該資料封包解析步驟S2為,經由該網段D內網點的網路卡收集該網點所發出的資料封包且直接地解析該資料封包,而取得有關該網點的識別資料。詳細而言,該識別資料中的靜態ARP資料,為進一步透過Agent資料獲取軟體所取得,其中該Agent資料獲取軟體為申請人所開發以應用於終端設備(Computer Terminal),而於該網點連線上網時取得有關該網點的識別資料,且該Agent資料回報軟體不同於WMI(Windows Management Instrumentation)資料獲取軟體而以不限定該網點為Windows作業系統的方式提供該網點的資訊。
如第1圖及第5圖所示,該清單比對步驟S3比對所有該網點的識別資料以及經登記於資訊裝置清單之資訊裝置或閘道器的識別資料,以在當該網段D內具有未對應該資訊裝置清單之識別資料的網點時確認該網點為非法網點L。該資訊裝置清單為預先建立的清單(亦即,白名單,White-list),而記載企業內部網路環境的資訊裝置P以及閘道器G的識別資料,例如:IP位址或MAC位址。
具體而言,如第1圖、第2圖及第5圖所示,合法網點確認步驟S30確認該網段D內的網點之識別資料是否對應該資訊裝置清單之識別資料。若該網段D內的網點之識別資料對應該資訊裝置清單之識別資料,則認定該網段D內的網點為合法網點,而結束判斷該非法網點之類型的流程。相反地,若合法網點確認步驟S30確認該網段D內的網點之識別資料未對應該資訊裝置清單之識別資料而為該非法網點L時,則進行該非法網點類型判斷步驟S4。
如第1圖及第5圖所示,具體而言,該非法網點類型判斷步驟S4為透過該非法網點L之識別資料(亦即,IP位址、MAC位址、OUI資料、ARP防火牆資料及靜態ARP資料)的收集與解析,而判斷該非法網點L所使用之資訊裝置的類型。藉此,以利於本發明切換二種阻斷網路連線的方法,以阻斷該非法網點L(亦即,外來的資訊裝置)對於企業的內部網路執行網路存取。
詳細而言,如第1圖、第2圖及第5圖所示,該非法網點類型判斷步驟S4的製造商確認步驟S41,藉由於該資料封包解析步驟S2所取得有關該非法網點L的該MAC位址及該OUI資料,而確認該非法網點L是否為預設製造商名單中製造商所生產的資訊裝置。若該非法網點L為預設製造商名單中製造商所生產的資訊裝置,則進行該網路連線阻斷步驟S5的第一阻斷網路連線模式S51。相反地,若該製造商確認步驟S41確認該非法網點L並非該預設製造商名單中製造商所生產的資訊裝置,則進行該非法網點類型判斷步驟S4的ARP防火牆確認步驟S42。
進一步而言,MAC位址共有6個位元組,其中前3個位元組由網路卡的製造商向IEEE(Institute of Electrical and Electronic Engineers,電機電子工程師學會)申請而取得,該前3個位元組即為OUI資料。也就是說,在得知該非法 網點L的識別資料獲得MAC位址之後,即可獲得該OUI資料。並且,由該OUI資料可以得知網路卡的製造商,從而由此反推以知悉該非法網點L之資訊裝置的類型。例如:由MAC位址的「D0-51-62-DD-EE-FF」的「D0-51-62」可得知網路卡的製造商為「Sony公司」,則可推知該非法網點L為「Sony公司」所生產製造的資訊裝置;由MAC位址的「F4-F1-5A-DD-EE-FF」的「F4-F1-5A」可得知網路卡的製造商為「Apple公司」,則可推知該非法網點L為「Apple公司」所生產製造的資訊裝置。
如第2圖所示,該非法網點類型判斷步驟S4的ARP防火牆確認步驟S42藉由該資料封包解析步驟S2所取得的該ARP防火牆資料而確認該非法網點L是否為具有ARP防火牆的資訊裝置。若該非法網點L為具有ARP防火牆的資訊裝置,則進行該第一阻斷網路連線模式S51。相反地,若該ARP防火牆確認步驟S42確認該非法網點L並非具有ARP防火牆的資訊裝置,則進行該非法網點類型判斷步驟S4的靜態ARP確認步驟S43。
進一步而言,對於ARP欺騙(ARP spoofing),目前部分的防毒軟體具有執行該ARP防火牆的功能以保護資訊裝置免於ARP欺騙,其中ARP欺騙為一種對於ARP的攻擊技術,攻擊者能夠取得一網段內的資料封包、篡改資料封包的訊息、影響一網段內資訊裝置之間的正常連線。並且,不同資訊裝置的作業系統對於ARP欺騙有著不同的處理方式以避免ARP欺騙,例如:更換IP位址、加速詢問閘道器(Gateway)。因此,該ARP防火牆確認步驟S42即為確認,該非法網點L之資訊裝置的防毒軟體是否具有執行該ARP防火牆的功能、該非法網點L之資訊裝置的作業系統是否會對於ARP欺騙進行處理。
如第2圖所示,該非法網點類型判斷步驟S4的靜態ARP確認步驟S43藉由該資料封包解析步驟S2所取得的該靜態ARP資料(例如,透過該Agent資料獲取軟體取得該靜態ARP資料)而確認該非法網點L是否為具有靜態ARP的資訊裝置。若該非法網點L為具有靜態ARP的資訊裝置,則進行該第一阻斷網路連線模式S51。相反地,若該靜態ARP確認步驟S43確認該非法網點L並非具有靜態ARP的資訊裝置,則自動切換而採用第二阻斷網路連線模式S52以阻斷該非法網點L於該網段D內的網路連線。
具體而言,具有靜態ARP的該資訊裝置為,該資訊裝置的IP位址及MAC位址為一對一對應關係。也就是說,該靜態ARP確認步驟S43,為確認該非法網點L之資訊裝置的IP位址及MAC位址之間是否為綁定關係。
換句話說,如第1圖及第2圖所示,該網路連線阻斷步驟S5,在該非法網點L為該預設製造商名單中製造商所生產的資訊裝置、或是具有ARP防火牆的資訊裝置、或是具有靜態ARP的資訊裝置時,採用第一阻斷網路連線模式S51以阻斷該非法網點L於該網段D內的網路連線。相反地,在該非法網點L並非該預設製造商名單中製造商所生產的資訊裝置、且並非具有ARP防火牆的資訊裝置、且並非具有靜態ARP的資訊裝置時,則自動切換而採用第二阻斷網路連線模式S52以阻斷該非法網點L於該網段D內的網路連線。
詳細而言,如第3圖及第5圖所示,在該第一阻斷網路連線模式S51中,當該非法網點L進行網點查詢L1而廣播查詢該網段D內一對象網點的MAC位址時,一連線阻斷模組S(可為軟體或硬體的裝置)執行回覆查詢S510而向該非法網點L單播「該對象網點的MAC位址為該連線阻斷模組的MAC位址」的資料封包。並且,該連線阻斷模組S執行防護訊息傳送S512而向該網段D內該閘道器 G單播「該非法網點L的MAC位址為該連線阻斷模組S的MAC位址」的資料封包。藉此,本發明得以在避免觸發該非法網點L之ARP防火牆的情況下阻斷該非法網點L。
詳細而言,如第3圖及第5圖所示,在該第一阻斷網路連線模式S51中,該連線阻斷模組S更執行屏蔽訊息傳送S511而向該非法網點L單播「該網段D內所有該資訊裝置P的MAC位址皆為該連線阻斷模組S的MAC位址」的資料封包,以阻斷該非法網點L在該網段D的網路連線。
進一步而言,如第4圖及第5圖所示,在該第二阻斷網路連線模式S52中,當該非法網點L廣播進行網點查詢L1而查詢該網段內該對象網點的MAC位址時,該連線阻斷模組S執行回覆查詢S520而向該非法網點L單播「該對象網點的MAC位址為該連線阻斷模組的MAC位址」的資料封包、以及執行隔離訊息傳送S521而在一預定週期內持續向該非法網點L單播「該網段D內該閘道器G的MAC位址為該連線阻斷模組S的MAC位址」的資料封包。並且,該連線阻斷模組S執行防護訊息傳送S522而向該網段D內所有該網點(包含資訊裝置P以及閘道器G)廣播「該非法網點L的MAC位址為該連線阻斷模組S的MAC位址」的資料封包。藉此,本發明以另一模式阻斷該非法網點L在該網段D的網路連線。
依據本發明的實施例的雙模式切換之阻斷網路連線的方法100,其中在該第二阻斷網路連線模式S52,該預定週期為4秒。當然,本發明並不以「預定週期為4秒」為限,該預定週期亦可為2秒、1秒或0.1秒。具體而言,隨著該預定週期之時間的減少,相對地,該連線阻斷模組S向該非法網點L單播的頻率增加。並且,增加的單播頻率得以進一步提升該第二阻斷網路連線模式S52之網路連線的阻斷效能。
如上所述,依據本發明實施例的雙模式切換之阻斷網路連線的方法100透過該網路連線阻斷步驟S5的第一阻斷網路連線模式S51以及第二阻斷網路連線模式S52之間的切換,而提升網路連線的阻斷效能,以阻止任意的外來的資訊裝置(也就是該非法網點L)對於企業的內部網路(該網段D)執行網路存取,其中該第一阻斷網路連線模式S51以及該第二阻斷網路連線模式S52之間的切換,是依據該非法網點類型判斷步驟S4的製造商確認步驟S41、ARP防火牆確認步驟S42或靜態ARP確認步驟S43的結果而執行。
並且,該雙模式切換之阻斷網路連線的方法100透過二種模式的阻斷網路連線的方法(該第一阻斷網路連線模式S51以及該第二阻斷網路連線模式S52)的整合、以及該非法網點類型判斷步驟S4,而自動地切換二種模式的阻斷網路連線的方法。藉此,本發明得以因應該非法網點L的不同類型阻斷該非法網點L的網路連線,而增加「阻斷網路連線」作業的效率。
以上之敘述以及說明僅為本發明之較佳實施例之說明,對於此項技術具有通常知識者當可依據以下所界定申請專利範圍以及上述之說明而作其他之修改,惟此些修改仍應是為本發明之發明精神而在本發明之權利範圍中。
100雙模式切換之阻斷網路連線的方法
S1:資料封包收集步驟
S2:資料封包解析步驟
S3:清單比對步驟
S4:非法網點類型判斷步驟
S5:網路連線阻斷步驟

Claims (8)

  1. 一種雙模式切換之阻斷網路連線的方法,包含以下步驟: 資料封包收集步驟,收集一網段內所有網點所發出的資料封包,其中所有該網點包含在該網段內進行網路連線的資訊裝置以及閘道器; 資料封包解析步驟,解析該網段內所有該網點的資料封包而取得所有該網點的識別資料,該識別資料係包含MAC位址、OUI資料、ARP防火牆資料及靜態ARP資料; 清單比對步驟,比對所有該網點的識別資料以及經登記於資訊裝置清單之資訊裝置或閘道器的識別資料,以在當該網段內具有未對應該資訊裝置清單之識別資料的網點時確認該網點為非法網點; 非法網點類型判斷步驟,藉由於該資料封包解析步驟所取得的該MAC位址及該OUI資料而確認該非法網點是否為預設製造商名單中製造商所生產的資訊裝置、或是藉由該資料封包解析步驟所取得的該ARP防火牆資料而確認該非法網點是否為具有ARP防火牆的資訊裝置、或是藉由該資料封包解析步驟所取得的該靜態ARP資料而確認該非法網點是否為具有靜態ARP的資訊裝置;以及 網路連線阻斷步驟,在該非法網點為該預設製造商名單中製造商所生產的資訊裝置、或是具有ARP防火牆的資訊裝置、或是具有靜態ARP的資訊裝置時,採用第一阻斷網路連線模式以阻斷該非法網點於該網段內的網路連線,而在該非法網點並非該預設製造商名單中製造商所生產的資訊裝置、且並非具有ARP防火牆的資訊裝置、且並非具有靜態ARP的資訊裝置時,則自動切換而採用第二阻斷網路連線模式以阻斷該非法網點於該網段內的網路連線, 其中,在該第一阻斷網路連線模式中,當該非法網點廣播查詢該網段內一對象網點的MAC位址時,一連線阻斷模組向該非法網點單播「該對象網點的MAC位址為該連線阻斷模組的MAC位址」的資料封包,且該連線阻斷模組向該網段內該閘道器單播「該非法網點的MAC位址為該連線阻斷模組的MAC位址」的資料封包,以在避免觸發該非法網點之ARP防火牆的情況下阻斷該非法網點, 在該第二阻斷網路連線模式中,當該非法網點廣播查詢該網段內該對象網點的MAC位址時,該連線阻斷模組向該非法網點單播「該對象網點的MAC位址為該連線阻斷模組的MAC位址」的資料封包以及在一預定週期內持續向該非法網點單播「該網段內該閘道器的MAC位址為該連線阻斷模組的MAC位址」的資料封包,且該連線阻斷模組向該網段內所有該網點廣播「該非法網點的MAC位址為該連線阻斷模組的MAC位址」的資料封包,以阻斷該非法網點。
  2. 如請求項1所述之雙模式切換之阻斷網路連線的方法,其中在該第一阻斷網路連線模式中,該連線阻斷模組更向該非法網點單播「該網段內所有該資訊裝置的MAC位址皆為該連線阻斷模組的MAC位址」的資料封包,以阻斷該非法網點。
  3. 如請求項1所述之雙模式切換之阻斷網路連線的方法,其中該網點的識別資料更包含IP位址。
  4. 如請求項1所述之雙模式切換之阻斷網路連線的方法,其中在該非法網點類型判斷步驟,當該非法網點並非該預設製造商名單中製造商所生產的資訊裝置時,則確認該非法網點是否為具有ARP防火牆的資訊裝置。
  5. 如請求項4所述之雙模式切換之阻斷網路連線的方法,其中在該非法網點類型判斷步驟,當該非法網點並非具有ARP防火牆的資訊裝置時,則確認該非法網點是否為具有靜態ARP的資訊裝置。
  6. 如請求項1所述之雙模式切換之阻斷網路連線的方法,其中該資料封包解析步驟為,經由該網段內網點的網路卡收集該網點所發出的資料封包且直接地解析該資料封包,而取得有關該網點的識別資料。
  7. 如請求項1所述之雙模式切換之阻斷網路連線的方法,其中在該非法網點類型判斷步驟,具有靜態ARP的該資訊裝置為,該資訊裝置的IP位址及MAC位址為一對一對應關係。
  8. 如請求項1所述之雙模式切換之阻斷網路連線的方法,其中在該第二阻斷網路連線模式,該預定週期為4秒。
TW109128480A 2020-08-20 2020-08-20 雙模式切換之阻斷網路連線的方法 TWI728901B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
TW109128480A TWI728901B (zh) 2020-08-20 2020-08-20 雙模式切換之阻斷網路連線的方法
US17/203,529 US11558351B2 (en) 2020-08-20 2021-03-16 Dual-modes switching method for blocking network connection

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW109128480A TWI728901B (zh) 2020-08-20 2020-08-20 雙模式切換之阻斷網路連線的方法

Publications (2)

Publication Number Publication Date
TWI728901B true TWI728901B (zh) 2021-05-21
TW202209846A TW202209846A (zh) 2022-03-01

Family

ID=77036303

Family Applications (1)

Application Number Title Priority Date Filing Date
TW109128480A TWI728901B (zh) 2020-08-20 2020-08-20 雙模式切換之阻斷網路連線的方法

Country Status (2)

Country Link
US (1) US11558351B2 (zh)
TW (1) TWI728901B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114172672A (zh) * 2020-08-20 2022-03-11 台众计算机股份有限公司 双模式切换的阻断网络联机的方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8218555B2 (en) * 2001-04-24 2012-07-10 Nvidia Corporation Gigabit ethernet adapter
EP2706790A1 (en) * 2012-08-27 2014-03-12 Deutsche Telekom AG Network selection and traffic offloading module
TW201421936A (zh) * 2012-11-26 2014-06-01 Sofnet Corp 網點之判斷與阻擋之方法
CN105393630A (zh) * 2014-06-25 2016-03-09 华为技术有限公司 建立网络连接的方法、网关及终端
TW201616386A (zh) * 2014-10-21 2016-05-01 Chunghwa Telecom Co Ltd 雲端虛擬網路安全之防護方法與系統
WO2017204566A1 (ko) * 2016-05-24 2017-11-30 주식회사 케이티 회선 제어 장치 및 방법

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8176561B1 (en) * 2006-12-14 2012-05-08 Athena Security, Inc. Assessing network security risk using best practices
JP4672780B2 (ja) * 2009-03-18 2011-04-20 株式会社東芝 ネットワーク監視装置及びネットワーク監視方法
US9654458B1 (en) * 2014-09-23 2017-05-16 Amazon Technologies, Inc. Unauthorized device detection in a heterogeneous network
US11243983B2 (en) * 2017-10-30 2022-02-08 Qualcomm Incorporated System and method for compact storage and efficient retrieval of access point information for detecting rogue access points
US11153346B2 (en) * 2017-10-31 2021-10-19 Level 3 Communications, Llc Secure network device management in a telecommunications network
US12028316B2 (en) * 2020-06-01 2024-07-02 Palo Alto Networks, Inc. Automating IOT device identification using statistical payload fingerprints

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8218555B2 (en) * 2001-04-24 2012-07-10 Nvidia Corporation Gigabit ethernet adapter
EP2706790A1 (en) * 2012-08-27 2014-03-12 Deutsche Telekom AG Network selection and traffic offloading module
TW201421936A (zh) * 2012-11-26 2014-06-01 Sofnet Corp 網點之判斷與阻擋之方法
CN105393630A (zh) * 2014-06-25 2016-03-09 华为技术有限公司 建立网络连接的方法、网关及终端
TW201616386A (zh) * 2014-10-21 2016-05-01 Chunghwa Telecom Co Ltd 雲端虛擬網路安全之防護方法與系統
WO2017204566A1 (ko) * 2016-05-24 2017-11-30 주식회사 케이티 회선 제어 장치 및 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114172672A (zh) * 2020-08-20 2022-03-11 台众计算机股份有限公司 双模式切换的阻断网络联机的方法
CN114172672B (zh) * 2020-08-20 2024-02-27 台众计算机股份有限公司 双模式切换的阻断网络联机的方法

Also Published As

Publication number Publication date
TW202209846A (zh) 2022-03-01
US20220060447A1 (en) 2022-02-24
US11558351B2 (en) 2023-01-17

Similar Documents

Publication Publication Date Title
WO2021008028A1 (zh) 网络攻击源定位及防护方法、电子设备及计算机存储介质
EP3923551A1 (en) Method and system for entrapping network threat, and forwarding device
JP4960437B2 (ja) データ通信ネットワークに関する論理グループエンドポイントディスカバリ
US7607021B2 (en) Isolation approach for network users associated with elevated risk
US7440434B2 (en) Method and system for detecting wireless access devices operably coupled to computer local area networks and related methods
CN110493195B (zh) 一种网络准入控制方法及***
US20150067764A1 (en) Whitelist-based network switch
Masoud et al. On preventing ARP poisoning attack utilizing Software Defined Network (SDN) paradigm
US7971253B1 (en) Method and system for detecting address rotation and related events in communication networks
CN1960376A (zh) 自动化的网络阻隔方法和***
US7596808B1 (en) Zero hop algorithm for network threat identification and mitigation
Čeleda et al. Flow-based security issue detection in building automation and control networks
KR101064382B1 (ko) 통신 네트워크에서의 arp 공격 차단 시스템 및 방법
Shitharth et al. A comparative analysis between two countermeasure techniques to detect DDoS with sniffers in a SCADA network
TWI728901B (zh) 雙模式切換之阻斷網路連線的方法
Pradana et al. The dhcp snooping and dhcp alert method in securing dhcp server from dhcp rogue attack
US9686311B2 (en) Interdicting undesired service
KR101593897B1 (ko) 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법
US20040233849A1 (en) Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture
CN108667832B (zh) 基于配置信息的认证方法、服务器、交换机和存储介质
CN114172672B (zh) 双模式切换的阻断网络联机的方法
CN114697136B (zh) 一种基于交换网络的网络攻击检测方法与***
CN112671783B (zh) 一种基于vlan用户组的防主机ip扫描方法
CN117061178B (zh) 一种工业控制网络漏洞扫描方法
WO2023045865A1 (zh) Bgp flowspec路由下发方法及装置、存储介质、电子设备