一种基于DAG区块链的防ARP欺骗攻击方法及平台端技术

本发明专利技术公开了一种基于DAG区块链的防ARP欺骗攻击方法及平台端，接收主机节点发送的每一次广播数据包，从DAG区块链中获取主机节点上至少两个数据单元，对所获取的所有数据单元和广播数据包进行IP‑MAC地址对是否相等的验证，若验证通过，则对广播数据包内的IP‑MAC地址对进行权重值加一；接收源主机节点所发送的包括目标主机节点的IP地址的MAC地址请求包，根据目标主机节点的IP地址从地址权重表上获取权重值最高的IP‑MAC地址对中的MAC地址，并将其返回至源主机节点，源主机节点与目标主机节点为同一局域网内的主机节点。本发明专利技术有效排除ARP欺骗数据包中的虚假MAC地址，从而达到防御ARP欺骗的效果。

【技术实现步骤摘要】
一种基于DAG区块链的防ARP欺骗攻击方法及平台端
本专利技术涉及区块链
，特别涉及一种基于DAG区块链的防ARP欺骗攻击方法及平台端。
技术介绍
ARP欺骗，是针对以太网地址解析协议(ARP)的一种攻击技术。地址解析协议(ARP，AddressResolutionProtocol)是根据IP地址获取物理地址的一个TCP/IP协议。ARP欺骗攻击可让攻击者获取局域网上的数据包甚至可篡改数据包，且可让网上特定计算机或所有计算机无法正常连线。ARP欺骗的运作原理是由攻击者发送假的ARP数据包到网上，尤其是送到网关上。其目的是要让送至特定的IP地址的流量被错误送到攻击者所取代的地方。攻击者会以一定的时间间隔，不断地发送伪造的arp报文，来达到让目标主机无法连接网络的目的。恶意的ARP欺骗攻击甚至能够截取目标的私密数据。目前对这种攻击最理想的防御方法是网内的每台计算机的ARP一律改用静态的方式，不过该静态绑定数据可能被攻击者非法篡改，同时网络中随时可能有新的节点加入，维护不易。现有的基于区块链的ARP攻击防御方案，仅仅是通过单链的区块链数据结构保证数据的安全性。在互联网或者局部网络中，可能存在大量的节点，同时网络中随时有新的节点加入，利用单链结构的区块链，受到共识机制以及网络组织结构的限制，一方面IP地址与MAC地址的对应表可能更新不及时，容易受到网络攻击；另一方面，可能受到中心化弱化的影响，同样容易受到网络攻击。
技术实现思路
本专利技术所要解决的技术问题是：提供一种基于DAG区块链的防ARP欺骗攻击方法及平台端，能够保证网络节点免受ARP欺骗攻击。为了解决上述技术问题，本专利技术采用的技术方案为：一种基于DAG区块链的防ARP欺骗攻击方法，包括步骤：S1、接收主机节点发送的每一次广播数据包，从DAG区块链中获取所述主机节点上至少两个数据单元，对所获取的所有所述数据单元和所述广播数据包进行IP-MAC地址对是否相等的验证，若验证通过，则对所述广播数据包内的IP-MAC地址对进行权重值加一；S2、接收源主机节点所发送的包括目标主机节点的IP地址的MAC地址请求包，根据所述目标主机节点的IP地址从地址权重表上获取权重值最高的IP-MAC地址对中的MAC地址，并将其返回至源主机节点，所述源主机节点与所述目标主机节点为同一局域网内的主机节点。为了解决上述技术问题，本专利技术采用的另一种技术方案为：一种基于DAG区块链的防ARP欺骗攻击平台端，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现以下步骤：S1、接收主机节点发送的每一次广播数据包，从DAG区块链中获取所述主机节点上至少两个数据单元，对所获取的所有所述数据单元和所述广播数据包进行IP-MAC地址对是否相等的验证，若验证通过，则对所述广播数据包内的IP-MAC地址对进行权重值加一；S2、接收源主机节点所发送的包括目标主机节点的IP地址的MAC地址请求包，根据所述目标主机节点的IP地址从地址权重表上获取权重值最高的IP-MAC地址对中的MAC地址，并将其返回至源主机节点，所述源主机节点与所述目标主机节点为同一局域网内的主机节点。本专利技术的有益效果在于：一种基于DAG区块链的防ARP欺骗攻击方法及平台端，利用基于DAG区块链的结构，对广播数据包的IP-MAC地址对进行是否相等的验证，若广播数据包的IP-MAC地址对为正确的MAC地址，则和已经存在的数据单元相等的可能性更高，从而对权重值进行增加，而错误或者虚假的MAC地址，在大多数情况下是不相等的，因此权重值相对会较低，即权重值越高，对应的IP-MAC地址对的可信度越高；从而在后续获取目标主机节点的真实MAC地址时，将权重值最高即最可信的MAC地址返回给源主机节点，以有效排除ARP欺骗数据包中的虚假MAC地址，从而达到防御ARP欺骗的效果。附图说明图1为本专利技术实施例的一种基于DAG区块链的防ARP欺骗攻击方法的流程示意图；图2为本专利技术实施例涉及的DAG区块链的结构示意图；图3为本专利技术实施例的一种基于DAG区块链的防ARP欺骗攻击方法的架构示意图；图4为本专利技术实施例的一种基于DAG区块链的防ARP欺骗攻击平台端的结构示意图。标号说明：1、一种基于DAG区块链的防ARP欺骗攻击平台端；2、处理器；3、存储器。具体实施方式为详细说明本专利技术的
技术实现思路
、所实现目的及效果，以下结合实施方式并配合附图予以说明。请参照图1至图3，一种基于DAG区块链的防ARP欺骗攻击方法，包括步骤：S1、接收主机节点发送的每一次广播数据包，从DAG区块链中获取所述主机节点上至少两个数据单元，对所获取的所有所述数据单元和所述广播数据包进行IP-MAC地址对是否相等的验证，若验证通过，则对所述广播数据包内的IP-MAC地址对进行权重值加一；S2、接收源主机节点所发送的包括目标主机节点的IP地址的MAC地址请求包，根据所述目标主机节点的IP地址从地址权重表上获取权重值最高的IP-MAC地址对中的MAC地址，并将其返回至源主机节点，所述源主机节点与所述目标主机节点为同一局域网内的主机节点。从上述描述可知，本专利技术的有益效果在于：利用基于DAG区块链的结构，对广播数据包的IP-MAC地址对进行是否相等的验证，若广播数据包的IP-MAC地址对为正确的MAC地址，则和已经存在的数据单元相等的可能性更高，从而对权重值进行增加，而错误或者虚假的MAC地址，在大多数情况下是不相等的，因此权重值相对会较低，即权重值越高，对应的IP-MAC地址对的可信度越高；从而在后续获取目标主机节点的真实MAC地址时，将权重值最高即最可信的MAC地址返回给源主机节点，以有效排除ARP欺骗数据包中的虚假MAC地址，从而达到防御ARP欺骗的效果。进一步地，所述步骤S1具体包括以下步骤：接收主机节点发送的每一次广播数据包，所述广播数据包包括数字签名所述ski、所述IPi、所述MACi分别为所述主机节点的私钥、IP地址和MAC地址；从DAG区块链中随机选取所述主机节点的第一数据单元和第二数据单元，获取所述第一数据单元的哈希值和数字签名以及所述第二数据单元的哈希值和数字签名验证是否与所述IPi|MACi相等，若是，则对所述IPi-MACi地址对进行权重值加一，否则不对任何一个IP-MAC地址对进行权重值变化。从上述描述可知，从DAG区块链中随机选取两个数据单元，进行三者地址对的相互验证，若三者地址对均相等，则为同一个IP-MAC地址对，对该IP-MAC地址对进行权重值加一，以增加该IP-MAC地址对的可信度。在区域网未受ARP攻击时，其在DAG区块链中的同一主机节点下的数据单元内的IP-MAC地址对均为相同且正确合法的，而在受ARP攻击时，错误或者虚假的MAC地址无法与DAG区块链中的同一主机节点下的其他数据单元的IP-MAC地址对本文档来自技高网...

【技术保护点】
1.一种基于DAG区块链的防ARP欺骗攻击方法，其特征在于，包括步骤：/nS1、接收主机节点发送的每一次广播数据包，从DAG区块链中获取所述主机节点上至少两个数据单元，对所获取的所有所述数据单元和所述广播数据包进行IP-MAC地址对是否相等的验证，若验证通过，则对所述广播数据包内的IP-MAC地址对进行权重值加一；/nS2、接收源主机节点所发送的包括目标主机节点的IP地址的MAC地址请求包，根据所述目标主机节点的IP地址从地址权重表上获取权重值最高的IP-MAC地址对中的MAC地址，并将其返回至源主机节点，所述源主机节点与所述目标主机节点为同一局域网内的主机节点。/n

【技术特征摘要】
1.一种基于DAG区块链的防ARP欺骗攻击方法，其特征在于，包括步骤：
S1、接收主机节点发送的每一次广播数据包，从DAG区块链中获取所述主机节点上至少两个数据单元，对所获取的所有所述数据单元和所述广播数据包进行IP-MAC地址对是否相等的验证，若验证通过，则对所述广播数据包内的IP-MAC地址对进行权重值加一；
S2、接收源主机节点所发送的包括目标主机节点的IP地址的MAC地址请求包，根据所述目标主机节点的IP地址从地址权重表上获取权重值最高的IP-MAC地址对中的MAC地址，并将其返回至源主机节点，所述源主机节点与所述目标主机节点为同一局域网内的主机节点。


2.根据权利要求1所述的一种基于DAG区块链的防ARP欺骗攻击方法，其特征在于，所述步骤S1具体包括以下步骤：
接收主机节点发送的每一次广播数据包，所述广播数据包包括数字签名所述ski、所述IPi、所述MACi分别为所述主机节点的私钥、IP地址和MAC地址；
从DAG区块链中随机选取所述主机节点的第一数据单元和第二数据单元，获取所述第一数据单元的哈希值和数字签名以及所述第二数据单元的哈希值和数字签名
验证是否与所述IPi|MACi相等，若是，则对所述IPi-MACi地址对进行权重值加一，否则不对任何一个IP-MAC地址对进行权重值变化。


3.根据权利要求2所述的一种基于DAG区块链的防ARP欺骗攻击方法，其特征在于，所述步骤S1还包括以下步骤：
获取所述广播数据包的交易发起时间timei和数字签名计算所述广播数据包的哈希值得到所述DAG区块链中新数据单元所述pki为所述主机节点的公钥。


4.根据权利要求2所述的一种基于DAG区块链的防ARP欺骗攻击方法，其特征在于，所述步骤S1中“则对IPi-MACi地址对进行权重值加一”具体包括以下步骤：
则获取所述IPi-MACi地址对在当前时间周期Tn内的累计权重值对所述累计权重值进行加一操作，并将到达当前时间周期Tn时的所述累计权重值更新到地址权重表内，若所述地址权重表内的任意一对IP-MAC地址对在所述当前时间周期Tn内的累计权重值为0，则保留上一时间周期Tn-1的累计权重值作为所述当前时间周期Tn内的累计权重值；
获取所述IPi-MACi地址对在所有时间内的历史权重值wtotal(IP,MAC)，对所述历史权重值wtotal(IP,MAC)进行加一操作，并将到达当前时间周期Tn时的所述历史权重值wtotal(IP,MAC)更新到地址权重表内。


5.根据权利要求4所述的一种基于DAG区块链的防ARP欺骗攻击方法，其特征在于，所述步骤S2中“根据所述目标主机节点的IP地址从地址权重表上获取权重值最高的IP-MAC地址对中的MAC地址，并将其返回至源主机节点”具体包括以下步骤：
遍历DAG区块链内存储的所述地址权重表，从所述地址权重表中找到所述目标主机的IP地址所对应的累计权重值最高值的IP-MAC地址对中的MAC地址MACk；
若所述累计权重值最高值大于系统判定参数值ω，则将所述MAC地址MACk作为所述目标主机节点的MAC地址，返回所述MAC地址MACk至源主机节点；
若所述累计权重值最高值小于或等于所述系统判定参数值ω，则从所述地址权重表中找到所述目标主机的IP地址所对应的历史权重值最高值的IP-MAC地址对中的MAC地址MACk’，将所述MAC地址MACk’作为所述目标主机节点的MAC地址，返回所述MAC地址MACk’至源主机节点。


6.一种基于DAG区块链的防ARP欺骗攻击平台端，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算...

【专利技术属性】
技术研发人员：斯雪明，
申请(专利权)人：福建福链科技有限公司，
类型：发明
国别省市：福建;35