網(wǎng)點(diǎn)的判斷與阻擋的方法
【專利摘要】本發(fā)明系提供一種網(wǎng)點(diǎn)的判斷與阻擋的方法,包括一封包收取步驟及一封包判斷處理步驟,封包收取步驟收受網(wǎng)段中的網(wǎng)點(diǎn)的ARP封包,封包判斷處理步驟根據(jù)一允許清單以及網(wǎng)點(diǎn)的ARP封包中的IP地址及媒體存取控制地址而判斷網(wǎng)點(diǎn)是否為合法,以進(jìn)行封包阻擋或允許連接,藉此保護(hù)網(wǎng)絡(luò)系統(tǒng),提高網(wǎng)絡(luò)使用的安全性。
【專利說明】網(wǎng)點(diǎn)的判斷與阻擋的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明系關(guān)于一種網(wǎng)點(diǎn)的判斷與阻擋的方法,特別是關(guān)于一種根據(jù)允許清單判斷網(wǎng)點(diǎn)合法性的判斷與阻擋的方法。
【背景技術(shù)】
[0002]現(xiàn)今網(wǎng)絡(luò)受到普遍使用,增進(jìn)了信息交流的便利性。然而,藉由網(wǎng)絡(luò)交流信息也帶了許多風(fēng)險。例如,網(wǎng)絡(luò)的電子商務(wù)中的個人金融認(rèn)證數(shù)據(jù)遭盜取,或是計(jì)算機(jī)系統(tǒng)被網(wǎng)絡(luò)黑客入侵,進(jìn)一步導(dǎo)致數(shù)據(jù)外流、計(jì)算機(jī)中毒、重要檔案受損、甚至計(jì)算機(jī)系統(tǒng)故障,而影響到個人或企業(yè)的權(quán)益。
[0003]接收網(wǎng)絡(luò)封包有其風(fēng)險,特別是來自一危險網(wǎng)點(diǎn)的封包,例如外部計(jì)算機(jī)經(jīng)由網(wǎng)絡(luò)所傳送來封包,而以各種方式危害他人計(jì)算機(jī),包括竊聽(wiretapping)、竄改(tampering)、惡意攻擊(malicious attack)、阻斷服務(wù)(denial of service)、及網(wǎng)絡(luò)釣魚(phishing)等,使得網(wǎng)絡(luò)使用者防不慎防。諸如此類的網(wǎng)絡(luò)危害的防范實(shí)為相當(dāng)重要,如何擬定網(wǎng)絡(luò)信息安全的策略方法并予以執(zhí)行,實(shí)為一項(xiàng)重要的課題。
[0004]網(wǎng)絡(luò)風(fēng)險與封包來源的網(wǎng)點(diǎn)有關(guān),若能對于網(wǎng)點(diǎn)作出準(zhǔn)確的判斷評估將有助于網(wǎng)絡(luò)安全的提升。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的主要目的是提供一種網(wǎng)點(diǎn)的判斷與阻擋的方法,用于對于封包來源的網(wǎng)點(diǎn)作出判斷評估,并進(jìn)一步阻擋不合法的網(wǎng)點(diǎn),以改善習(xí)知技術(shù)的問題。
[0006]本發(fā)明為解決習(xí)知技術(shù)的問題所采用的技術(shù)手段為一種網(wǎng)點(diǎn)的判斷與阻擋的方法,包括一封包收取步驟及一封包判斷處理步驟,封包收取步驟為收受網(wǎng)段中的一網(wǎng)點(diǎn)的ARP封包,封包判斷處理步驟根據(jù)一允許清單以及網(wǎng)點(diǎn)的ARP封包中的IP地址及媒體存取控制地址而判斷網(wǎng)點(diǎn)是否為合法,若為不合法則進(jìn)行阻擋,若為合法則準(zhǔn)許網(wǎng)點(diǎn)連接至網(wǎng)段。
[0007]在本發(fā)明的一實(shí)施例中,允許清單分為暫時性允許清單以及永久性允許清單。
[0008]在本發(fā)明的一實(shí)施例中,封包判斷處理步驟為以合法網(wǎng)點(diǎn)所對應(yīng)的允許清單為選自以:單一媒體存取控制地址、一媒體存取控制地址與一動態(tài)IP地址、一媒體存取控制地址與一固定IP地址、單一 IP地址搭配多個媒體存取控制地址、以及單一媒體存取控制地址搭配多個IP地址所構(gòu)成的群組中的一個或多個的方式,而判斷網(wǎng)點(diǎn)是否合法。
[0009]在本發(fā)明的一實(shí)施例中,封包收取步驟之后還包括一封包歸類步驟,封包歸類步驟包括一 GARP判斷子步驟及一 ARP查詢判斷子步驟。
[0010]在本發(fā)明的一實(shí)施例中,GARP判斷子步驟為當(dāng)判斷封包為GARP封包且動態(tài)功能有啟用且IP地址在允許清單且IP地址為自固定IP地址改為動態(tài)IP地址,則為一搶IP地址的非法事件,而當(dāng)判斷封包為GARP封包且動態(tài)功能沒有啟用則為一搶IP地址的非法事件,其中在判斷為一搶IP地址的非法事件后,阻擋網(wǎng)點(diǎn)取得允許清單的IP地址,且對于網(wǎng)段并找出正確的允許清單的IP地址與媒體存取控制地址并予以廣播。
[0011]在本發(fā)明的一實(shí)施例中,在ARP查詢判斷子步驟為假冒一來源網(wǎng)點(diǎn)對于一目的網(wǎng)點(diǎn)發(fā)出封包以及假冒目的網(wǎng)點(diǎn)對于來源網(wǎng)點(diǎn)發(fā)出封包。
[0012]在本發(fā)明的一實(shí)施例中,根據(jù)暫時性允許清單以及永久性允許清單而決定網(wǎng)點(diǎn)于網(wǎng)段中的使用時間以及權(quán)限。
[0013]在本發(fā)明的一實(shí)施例中,封包判斷處理步驟中若網(wǎng)點(diǎn)為不合法則發(fā)送一重導(dǎo)網(wǎng)頁信息至網(wǎng)點(diǎn)。
[0014]本發(fā)明具有以下有益技術(shù)效果:
[0015]經(jīng)由本發(fā)明所采用的技術(shù)手段,藉由允許清單比對網(wǎng)點(diǎn)的ARP封包中的IP地址及媒體存取控制地址,而可對于一網(wǎng)段管制允許清單外的網(wǎng)點(diǎn)與其封包,藉此確保信息交流的機(jī)密性、完整性、及可用性,并保護(hù)網(wǎng)絡(luò)系統(tǒng),進(jìn)一步提升網(wǎng)絡(luò)使用的安全性。本發(fā)明所提供方法嚴(yán)謹(jǐn)而有效,且相當(dāng)適合于應(yīng)用于個人以及企業(yè)所使用的網(wǎng)絡(luò)系統(tǒng)。
【專利附圖】
【附圖說明】
[0016]圖1系顯示本發(fā)明的第一實(shí)施例的網(wǎng)點(diǎn)的判斷與阻擋的方法的流程圖。
[0017]圖2系顯示本發(fā)明的第一實(shí)施例的網(wǎng)點(diǎn)的判斷與阻擋的方法所應(yīng)用的網(wǎng)絡(luò)監(jiān)控裝置的示意圖。
[0018]圖3系顯示本發(fā)明的第一實(shí)施例的重導(dǎo)網(wǎng)頁的示意圖。
[0019]圖4系顯示本發(fā)明的第二實(shí)施例的網(wǎng)點(diǎn)的判斷與阻擋的方法的流程圖。
[0020]圖5系顯示本發(fā)明的第二實(shí)施例的GARP判斷子步驟的方法的流程圖。
[0021]圖6系顯示本發(fā)明的第二實(shí)施例的允許清單保護(hù)步驟的方法的流程圖。
[0022]圖7系顯示本發(fā)明的第二實(shí)施例的ARP查詢判斷子步驟的方法的流程圖。
[0023]主要組件符號說明
[0024]100網(wǎng)絡(luò)監(jiān)控裝置
[0025]I 決策機(jī)構(gòu)
[0026]2 執(zhí)行機(jī)構(gòu)
[0027]D 屏幕
[0028]N 網(wǎng)絡(luò)
[0029]P 網(wǎng)點(diǎn)
[0030]S 網(wǎng)段
【具體實(shí)施方式】
[0031]本發(fā)明所采用的具體實(shí)施例,將藉由以下的實(shí)施例及附呈圖式作進(jìn)一步的說明。
[0032]本發(fā)明提供一種網(wǎng)點(diǎn)的判斷與阻擋的方法,為在一網(wǎng)段中根據(jù)ARP (AddressResolution Protocol)封包而判斷其對應(yīng)的網(wǎng)點(diǎn)是否為合法網(wǎng)點(diǎn),并根據(jù)合法與否而決定是否阻擋網(wǎng)點(diǎn)。以下請配合參閱圖1至圖3對本發(fā)明的第一實(shí)施例的網(wǎng)點(diǎn)的判斷與阻擋的方法作一說明如后。
[0033]如圖1所示,其系顯示本發(fā)明的第一實(shí)施例的網(wǎng)點(diǎn)的判斷與阻擋的方法的流程圖。本發(fā)明的第一實(shí)施例的網(wǎng)點(diǎn)的判斷與阻擋的方法主要包括一封包收取步驟及一封包判斷處理步驟。首先,進(jìn)行收受網(wǎng)段中的網(wǎng)點(diǎn)的ARP封包的封包收取步驟(步驟S10)。然后,執(zhí)行封包判斷處理步驟(步驟S20),其包括根據(jù)一允許清單以及網(wǎng)點(diǎn)的ARP封包中的IP地址(Internet Protocol Address)及媒體存取控制地址(Media Access Control Address, MACAddress)而判斷網(wǎng)點(diǎn)是否為合法(步驟S21),若為不合法則進(jìn)行阻擋(步驟S22),若為合法則準(zhǔn)許網(wǎng)點(diǎn)連接至網(wǎng)段(步驟S23)。
[0034]在本實(shí)施例中,系應(yīng)用一網(wǎng)絡(luò)監(jiān)控裝置100以實(shí)施本發(fā)明的網(wǎng)點(diǎn)的判斷與阻擋的方法,如圖2所示。網(wǎng)絡(luò)監(jiān)控裝置100包括一決策機(jī)構(gòu)I及一執(zhí)行機(jī)構(gòu)2。決策機(jī)構(gòu)I及執(zhí)行機(jī)構(gòu)2為分別為一計(jì)算機(jī)或其它類似裝置。在實(shí)際應(yīng)用時,單一個決策機(jī)構(gòu)I藉由一網(wǎng)絡(luò)N連接于多個執(zhí)行機(jī)構(gòu)2,而每個執(zhí)行機(jī)構(gòu)2分別通過網(wǎng)絡(luò)N于一網(wǎng)段S中連接多個網(wǎng)點(diǎn)P。網(wǎng)點(diǎn)P可為計(jì)算機(jī)、智能型手機(jī)、個人數(shù)字助理(PDA)等任何藉由網(wǎng)絡(luò)卡、無線網(wǎng)絡(luò)卡、或無線網(wǎng)絡(luò)基地臺連接至網(wǎng)絡(luò)N的裝置。
[0035]具體而言,在封包收取步驟中,通過網(wǎng)絡(luò)N,執(zhí)行機(jī)構(gòu)2于一網(wǎng)段S中藉由擷取每個網(wǎng)點(diǎn)P所發(fā)出的ARP封包來監(jiān)測多個網(wǎng)點(diǎn)P。在封包判斷處理步驟中,執(zhí)行機(jī)構(gòu)2將每個網(wǎng)點(diǎn)P所發(fā)出的ARP封包的IP地址與MAC地址與決策機(jī)構(gòu)I中所儲存的允許清單做比對,并依據(jù)該比對的結(jié)果判斷該ARP封包是否為合法,當(dāng)判斷該ARP封包為不合法時,則阻擋該網(wǎng)點(diǎn)P對該網(wǎng)段S的ARP封包傳送,當(dāng)判斷該ARP封包為合法時,則準(zhǔn)許該網(wǎng)點(diǎn)P連接至執(zhí)行機(jī)構(gòu)2所監(jiān)測的網(wǎng)段S,使該網(wǎng)點(diǎn)P所發(fā)出ARP封包可傳送至該網(wǎng)段S內(nèi)。
[0036]此外,當(dāng)判斷該ARP封包為不合法時,執(zhí)行機(jī)構(gòu)2除了阻擋該網(wǎng)點(diǎn)P對該網(wǎng)段S的ARP封包傳送,還發(fā)送一重導(dǎo)網(wǎng)頁信息至該網(wǎng)點(diǎn)P,使被阻擋的網(wǎng)點(diǎn)P所連接的屏幕D顯示出一重導(dǎo)網(wǎng)頁。重導(dǎo)網(wǎng)頁可為一倡導(dǎo)網(wǎng)頁,如圖3所示,藉此以提醒被阻擋的網(wǎng)點(diǎn)P的使用者其網(wǎng)點(diǎn)P發(fā)送ARP封包的行為違反決策機(jī)構(gòu)I所訂定的使用政策。重導(dǎo)網(wǎng)頁也可為一注冊網(wǎng)頁,以提供不合法網(wǎng)點(diǎn)經(jīng)由注冊而成為合法網(wǎng)點(diǎn)。
[0037]其中,在封包判斷處理步驟中,為以合法網(wǎng)點(diǎn)所對應(yīng)的允許清單為選自以:單一MAC地址、一 MAC地址與一動態(tài)IP地址、一 MAC地址與一固定IP地址、單一 IP地址搭配多個MAC地址、以及單MAC地址搭配多個IP地址所構(gòu)成的群組中的一個或多個的方式,而判斷網(wǎng)點(diǎn)P是否合法。
[0038]再者,決策機(jī)構(gòu)I所儲存的允許清單分為暫時性允許清單以及永久性允許清單。執(zhí)行機(jī)構(gòu)2并根據(jù)暫時性允許清單以及永久性允許清單而決定網(wǎng)點(diǎn)P于網(wǎng)段S中的使用時間以及權(quán)限。詳細(xì)而言,當(dāng)一特定的網(wǎng)點(diǎn)的IP地址及MAC地址系對應(yīng)于決策機(jī)構(gòu)I中的暫時性允許清單,執(zhí)行機(jī)構(gòu)2系供該特定的網(wǎng)點(diǎn)P僅能于一特定時間傳送ARP封包至該執(zhí)行機(jī)構(gòu)2所監(jiān)測的網(wǎng)段S內(nèi)。而當(dāng)另一的網(wǎng)點(diǎn)P的IP地址及MAC地址系對應(yīng)于決策機(jī)構(gòu)I中的永久性允許清單,執(zhí)行機(jī)構(gòu)2系不限制該網(wǎng)點(diǎn)P傳送ARP封包至該執(zhí)行機(jī)構(gòu)2所監(jiān)測的網(wǎng)段S內(nèi)的時間。然而在執(zhí)行機(jī)構(gòu)2于一設(shè)定時間內(nèi)未偵測到該網(wǎng)點(diǎn)P傳送ARP封包時,執(zhí)行機(jī)構(gòu)2會發(fā)送一使用狀態(tài)信號至決策機(jī)構(gòu)1,而使決策機(jī)構(gòu)I將該網(wǎng)點(diǎn)P的IP地址及MAC地址自永久性允許清單中卸離,藉此網(wǎng)絡(luò)監(jiān)控裝置100的使用者不需耗費(fèi)過多時間維護(hù)永久性允許清單。本發(fā)明的網(wǎng)點(diǎn)的判斷與阻擋的方法在實(shí)際應(yīng)用于一公司時,暫時性允許清單可供臨時使用者,諸如訪客、短期駐點(diǎn)人員使用,而永久性允許清單可供如公司管理者、正式員工使用。
[0039]參閱圖4至圖6所示,并配合圖2對本發(fā)明的第二實(shí)施例的網(wǎng)點(diǎn)的判斷與阻擋的方法說明如下:
[0040]本實(shí)施例與第一實(shí)施例的網(wǎng)點(diǎn)的判斷與阻擋的方法其差別在于:在本實(shí)施例中,在封包收取步驟與封包判斷處理步驟之間還包括一封包歸類步驟(步驟S30)。首先,將該網(wǎng)絡(luò)封包歸類為GARP封包、ARP查詢封包、及ARP回應(yīng)封包之一(步驟S301)。其后,封包歸類步驟(步驟S30)還包括一 GARP判斷子步驟(步驟S31)及一 ARP查詢判斷子步驟(步驟S32),以分別對于為GARP封包、ARP查詢封包進(jìn)行判斷與處理。然而本發(fā)明并不以此為限,GARP判斷子步驟(步驟S31)及ARP查詢判斷子步驟(步驟S32)可于步驟SlO后中的任何一階段予以執(zhí)行。
[0041]如圖5所示,GARP判斷子步驟(步驟S31)的詳細(xì)步驟如下:檢查GARP封包的IP地址是否于允許清單中(步驟S311)。若是,檢查決策機(jī)構(gòu)I中的動態(tài)功能是否啟用(步驟S312)。若是,檢查該IP地址是否為自固定IP地址改為動態(tài)IP地址(步驟S313)。當(dāng)GARP封包的IP地址于允許清單中且決策機(jī)構(gòu)I中的動態(tài)功能有啟用,且該IP地址為自固定IP地址改為動態(tài)IP地址,則執(zhí)行機(jī)構(gòu)2判斷該GARP封包的發(fā)生事件為搶IP事件,然后并將該GARP封包的IP型態(tài)設(shè)定為DHCP型態(tài)(步驟S314)。而當(dāng)GARP封包的IP地址于允許清單中且決策機(jī)構(gòu)I中的動態(tài)功能沒有啟用,則執(zhí)行機(jī)構(gòu)2判斷該GARP封包的發(fā)生事件為搶IP事件。
[0042]其中若執(zhí)行機(jī)構(gòu)2判斷該GARP封包的發(fā)生事件為搶IP事件,進(jìn)行一允許清單保護(hù)步驟(步驟S33)。如圖6所示,允許清單保護(hù)步驟(步驟S33)的詳細(xì)步驟如下:發(fā)出一GARP響應(yīng)封包至該網(wǎng)段S(步驟S331),以避免該搶IP事件的GARP封包的來源的網(wǎng)點(diǎn)P使用允許清單中的IP地址。然后,取得與該GARP封包的IP地址對應(yīng)的允許清單(步驟S332)。當(dāng)該GARP封包的MAC地址于允許清單,則判斷該GARP封包IP地址與MAC地址是否對應(yīng)于允許清單的暫時允許清單(步驟S333)。然后,當(dāng)GARP封包IP地址與MAC地址對應(yīng)于允許清單的暫時性,則檢查決策機(jī)構(gòu)I是否限制暫時允許清單只能聯(lián)機(jī)外部網(wǎng)段而不能聯(lián)機(jī)內(nèi)部網(wǎng)段(步驟S334)。其中,當(dāng)允許清單以及當(dāng)決策機(jī)構(gòu)I沒有限制暫時允許清單只能聯(lián)機(jī)外部網(wǎng)段而不能聯(lián)機(jī)內(nèi)部網(wǎng)段,或當(dāng)該GARP封包IP地址與MAC地址不對應(yīng)于暫時允許清單,且對于網(wǎng)點(diǎn)P并找出正確的允許清單的IP地址與MAC地址并予以廣播至該網(wǎng)段S (步驟 S335)。
[0043]如圖7所示,ARP查詢判斷子步驟(步驟S32)的詳細(xì)步驟如下:判斷該ARP查詢封包的來源網(wǎng)點(diǎn)或目的網(wǎng)點(diǎn)是否合法(步驟S321)。若合法,則判斷該ARP查詢封包的目的網(wǎng)點(diǎn)是否為執(zhí)行機(jī)構(gòu)2(步驟S322)。若ARP查詢封包的目的網(wǎng)點(diǎn)為執(zhí)行機(jī)構(gòu)2,則回傳一 ARP響應(yīng)封包(步驟S323)。若ARP查詢封包的目的網(wǎng)點(diǎn)不為執(zhí)行機(jī)構(gòu)2,則執(zhí)行機(jī)構(gòu)2假冒一來源網(wǎng)點(diǎn)對于該ARP查詢封包的目的網(wǎng)點(diǎn)發(fā)出封包,并假冒該ARP查詢封包的目的網(wǎng)點(diǎn)對于該ARP查詢封包的來源網(wǎng)點(diǎn)發(fā)出封包(步驟S324)。
[0044]以上的敘述僅為本發(fā)明的較佳實(shí)施例說明,凡精于此項(xiàng)技藝者當(dāng)可依據(jù)上述的說明而作其它種種的改良,然而這些改變?nèi)詫儆诒景l(fā)明的發(fā)明精神及所界定的專利范圍中。
【權(quán)利要求】
1.一種網(wǎng)點(diǎn)的判斷與阻擋的方法,為在一網(wǎng)段中根據(jù)ARP封包而判斷一網(wǎng)點(diǎn)是否為合法網(wǎng)點(diǎn),并根據(jù)該合法與否而決定是否阻擋該網(wǎng)點(diǎn)的方法,其特征在于,該方法包含下列步驟: 一封包收取步驟,為收受該網(wǎng)段中的一網(wǎng)點(diǎn)的ARP封包; 一封包判斷處理步驟,根據(jù)一允許清單以及該網(wǎng)點(diǎn)的ARP封包中的IP地址及媒體存取控制地址而判斷該網(wǎng)點(diǎn)是否為合法,若為不合法則進(jìn)行阻擋,若為合法則準(zhǔn)許該網(wǎng)點(diǎn)連接至該網(wǎng)段。
2.如權(quán)利要求1所述的方法,其特征在于,該允許清單分為暫時性允許清單以及永久性允許清單。
3.如權(quán)利要求1所述的方法,其特征在于,該封包判斷處理步驟,為以該合法網(wǎng)點(diǎn)所對應(yīng)的允許清單為選自以:單一媒體存取控制地址、一媒體存取控制地址與一動態(tài)IP地址、一媒體存取控制地址與一固定IP地址、單一 IP地址搭配多個媒體存取控制地址、以及單一媒體存取控制地址搭配多個IP地址所構(gòu)成的群組中的一個或多個的方式,而判斷該網(wǎng)點(diǎn)是否合法。
4.如權(quán)利要求1所述的方法,其特征在于,在該封包收取步驟之后還包括一封包歸類步驟,該封包歸類步驟包括一 GARP判斷子步驟及一 ARP查詢判斷子步驟。
5.如權(quán)利要求4所述的方法,其特征在于,該GARP判斷子步驟為當(dāng)判斷該封包為GARP封包且動態(tài)功能有啟用且該IP地址在該允許清單且該IP地址為自固定IP地址改為動態(tài)IP地址,則為一搶IP地址的非法事件,而當(dāng)判斷該封包為GARP封包且動態(tài)功能沒有啟用則為一搶IP地址的非法事件,其中在判斷為一搶IP地址的非法事件后,阻擋該網(wǎng)點(diǎn)取得該允許清單的IP地址,且對于該網(wǎng)段找出正確的允許清單的IP地址與媒體存取控制地址并予以廣播。
6.如權(quán)利要求4所述的方法,其特征在于,在該ARP查詢判斷子步驟為假冒一來源網(wǎng)點(diǎn)對于一目的網(wǎng)點(diǎn)發(fā)出封包以及假冒該目的網(wǎng)點(diǎn)對于該來源網(wǎng)點(diǎn)發(fā)出封包。
7.如權(quán)利要求2所述的方法,其特征在于,根據(jù)該暫時性允許清單以及永久性允許清單而決定該網(wǎng)點(diǎn)于該網(wǎng)段中的使用時間以及權(quán)限。
8.如權(quán)利要求1所述的方法,其特征在于,該封包判斷處理步驟中若該網(wǎng)點(diǎn)為不合法則發(fā)送一重導(dǎo)網(wǎng)頁信息至該網(wǎng)點(diǎn)。
【文檔編號】H04L29/06GK103856443SQ201210501724
【公開日】2014年6月11日 申請日期:2012年11月29日 優(yōu)先權(quán)日:2012年11月29日
【發(fā)明者】李坤榮 申請人:臺眾計(jì)算機(jī)股份有限公司