物联网感知层终端ARP中间人攻击防护设计转让专利
申请号 : CN202010828742.9
文献号 : CN112822148B
文献日 : 2023-02-21
发明人 : 顾铠羟
申请人 : 北京辰信领创信息技术有限公司
摘要 :
本发明涉及计算机终端准入安全领域,尤其是物联网感知层终端ARP中间人攻击防护设计,包括以下两大部分:1、让由物联网终端发出的同网段网络数据和ARP数据报文走Linux内核网络子系统Net filter模块,实现捕获同IP网段的ARP通信报文数据;2、在Net filter中执行ARP中间人攻击行为判定函数,并检测ARP中间人攻击行为,本发明通过使用基于MIPS架构的MTK SOC方案,通过修改Linux网络子系统内核模块,实现同网段ARP数据的内核层的检测和安全隔离,实现ARP中间人攻击防护,同时使用的MTK7621系、MTK7628系、MKT7620系SOC芯片价格便宜,能够大量部署在物联网边缘层。
权利要求 :
1.物联网感知层终端ARP中间人攻击防护方法,其特征在于,包括以下两大部分:
(1)让由物联网终端发出的同IP网段网络数据和ARP数据报文走Linux内核网络子系统Netfilter模块,实现捕获同IP网段的ARP数据报文,具体实施步骤如下;
(i)取用一个支持多个网口的SOC芯片,所述SOC芯片具体为MTK7621系、MTK7628系、MTK7620系SOC芯片中的一个,将SOC芯片的每个网口单独划分一个虚拟局域网;
(ii)将每个虚拟局域网都挂载到同一个网桥中;
(iii)将同IP网段网络数据和ARP数据报文向Linux内核网络子系统Netfilter模块中发送;
(iv)Netfilter模块将处理后同ip网段网络数据和ARP数据报文送入网桥,并经由网桥将处理后的通信流量送往除发送网口以外的其它网口;
(2)所述步骤(iv)的处理操作过程在Netfilter模块中执行ARP数据报文中间人攻击行为判定函数,并检测ARP数据报文中间人攻击行为,具体实施步骤如下:(i)使ARP数据报文经过Linux内核网络子系统Netfilter模块,在Netfilter模块的NF_ARP_FORWARD节点处挂载hookfunction,捕获ARP协议帧,并进一步的捕获、分离ARP数据报文;
Netfilter模块对捕获到的ARP数据报文做协议解析,分析ARP数据报文在广播、通信时携带的MAC地址绑定的IP是否为真实IP;如果Netfilter模块分析到的所述绑定的IP为非真实IP,Netfilter模块立即做通信阻断,所述物联网终端IP保持不变,且同一虚拟局域网下的IP为同网段IP,其中,同IP网段下部署物联网终端,无需重新划分IP的网段。
说明书 :
物联网感知层终端ARP中间人攻击防护设计
技术领域
[0001] 本发明涉及计算机终端准入安全领域,尤其涉及物联网感知层终端ARP中间人攻击防护设计。
背景技术
[0002] 随着计算机网络发展,工业互联网和物联网的壮大,网络环境安全对网络内的设备提出更高的安全要求;物联网感知层:特指物联网网络环境中,那些位于网络最边缘层,进行信息采集、指令执行的终端设备,是整个网络环境的最末端,本身不会再连接下游网络设备,往往部署在无人坚守的环境中,如智能摄像头、公路监控、智能路灯、小区电子宣传屏等设备。
[0003] 目前市场上的实现方式:
[0004] 1.通过三层交换机实现,将不同网络类别、网络熟悉的设备划分到不同IP 网段中,在IP地址攻击例子中,假如A的IP地址是192.168.40.a,B的IP地址是192.168.1.b,中间通过路由或NAT转发,使得AB间网络发现是通过路由协议,进而让ARP中间人攻击没有发挥的场景。这类实现的问题:因为感知终端的数量多、部署和规划时间久,是一个长期的过程,该方案给每个终端一个独立IP段的方式,增加了网络拓扑复杂度和实施成本,且不可持续(每次新增部署终端,都要重新划分、设计IP网段,工程量巨大,基本不可行),因此主要是用在汇聚层,在物联网感知层基本不可行。
[0005] 2.通过具有横向隔离功能的网关实现,这类设备绝大部分是在Intel的 X86架构芯片上实现,极少数是在自研芯片(比如华为)上实现,价格昂贵(4000 元以上),难以大量部署在每个物联网感知层终端的上游。也多用于汇聚层。有些物联网感知层终端都是部署在偏远地区,使用太阳能板和蓄电池的方案供电,
[0006] 无法支撑大功率的网关供电。
[0007] 物联网边缘层大量部署的普通网关,数量多,但都不具备ARP中间人攻击的安全防御功能,因此需要提出一种感知层终端ARP中间人攻击并进行相应防护管控的方法。
发明内容
[0008] 本发明的目的是为了解决现有技术中存在的缺点,而提出的物联网感知层终端ARP中间人攻击防护设计。
[0009] 为达到以上目的,本发明采用的技术方案为:物联网感知层终端ARP中间人攻击防护设计,包括以下两大部分:
[0010] (1)让由物联网终端发出的同网段网络数据和ARP数据报文走Linux内核网络子系统Net filter模块,实现捕获同IP网段的ARP通信报文数据,具体实施步骤如下;
[0011] (i)取用一个支持多个网口的SOC芯片,所述SOC芯片具体为MTK7621 系、MTK7628系、MKT7620系SOC芯片中的一个,将SOC芯片的每个网口单独划分一个虚拟局域网;
[0012] (ii)将每个虚拟局域网都挂载到同一个网桥中;
[0013] (iii)将同网段网络数据和ARP数据报文向Linux内核网络子系统Net filter模块中发送;
[0014] (iv)Net filter将处理后同网段网络数据和ARP数据报文送入网桥,并经由网桥将处理后的通信流量送往除发送网口以外的其它网口;
[0015] (2)在Net filter中执行ARP中间人攻击行为判定函数,并检测ARP中间人攻击行为,具体实施步骤如下:
[0016] (i)使ARP网络报文经过Linux内核网络子系统Net filter模块后,在Net filter的NF_ARP_FORWARD节点处挂载hook function,捕获ARP帧类型协议,并进一步的捕获、分离ARP网络报文;
[0017] (ii)Net filter模块对捕获到的ARP报文做协议解析,分析其广播、通信时携带的MAC地址绑定的IP是否为真实IP;
[0018] (iii)如果Net filter模块分析到的IP为非真实IP,Net filter模块立即做通信阻断。
[0019] 进一步的,所述物联网终端IP保持不变,且同一LAN下的IP为同网段,其中,同网段下部署物联网终端,无需重新划分IP的网段。
[0020] 与现有技术相比,本发明具有以下有益效果:
[0021] 1.降低了成本,可以大量部署在物联网边缘层;
[0022] 2.降低了功耗。MTK SOC的功耗远低于X86等方案;
[0023] 3.实现同IP网段的ARP攻击检测和阻断控制,防御ARP中间人攻击。物联网边缘层部署在同IP网段上,即满足部署要求,满足长周期,可持续的部署。
[0024] 本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述,并且在某种程度上,基于对下文的考察研究对本领域技术人员而言将是显而易见的,或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书来实现和获得。
具体实施方式
[0025] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。
[0026] 在本发明的上述描述中,需要说明的是,该发明产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
[0027] 此外,术语“相同”等术语并不表示要求部件绝对相同,而是可以存在微小的差异。术语“垂直”仅仅是指部件之间的位置关系相对“平行”而言更加垂直,并不是表示该结构一定要完全垂直,而是可以稍微倾斜。
[0028] 以下描述用于揭露本发明以使本领域技术人员能够实现本发明。以下描述中的优选实施例只作为举例,本领域技术人员可以想到其他显而易见的变型。
[0029] 物联网感知层终端ARP中间人攻击防护设计,包括以下两大部分:
[0030] (1)让由物联网终端发出的同网段网络数据和ARP数据报文走Linux内核网络子系统Net filter模块,实现捕获同IP网段的ARP通信报文数据,具体实施步骤如下;
[0031] (v)取用一个支持多个网口的SOC芯片,所述SOC芯片具体为MTK7621 系、MTK7628系、MKT7620系SOC芯片中的一个,将SOC芯片的每个网口单独划分一个虚拟局域网;
[0032] (vi)将每个虚拟局域网都挂载到同一个网桥中;
[0033] (vii)将同网段网络数据和ARP数据报文向Linux内核网络子系统Net filter模块中发送;
[0034] (viii)Net filter将处理后同网段网络数据和ARP数据报文送入网桥,并经由网桥将处理后的通信流量送往除发送网口以外的其它网口;
[0035] (2)在Net filter中执行ARP中间人攻击行为判定函数,并检测ARP中间人攻击行为,具体实施步骤如下:
[0036] (iv)使ARP网络报文经过Linux内核网络子系统Net filter模块后,在Net filter的NF_ARP_FORWARD节点处挂载hook function,捕获ARP帧类型协议,并进一步的捕获、分离ARP网络报文;
[0037] (v)Net filter模块对捕获到的ARP报文做协议解析,分析其广播、通信时携带的MAC地址绑定的IP是否为真实IP;
[0038] (vi)如果Net filter模块分析到的IP为非真实IP,Net filter模块立即做通信阻断。
[0039] 物联网终端IP保持不变,且同一LAN下的IP为同网段,其中,同网段下部署物联网终端,无需重新划分IP的网段。
[0040] 以上显示和描述了本发明的基本原理、主要特征和本发明的优点。
[0041] 本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是本发明的原理,在不脱离本发明精神和范围的前提下本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明的范围内。
[0042] 本发明要求的保护范围由所附的权利要求书及其等。