System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 一种MAC地址欺骗攻击的检测方法及装置制造方法及图纸_技高网
当前位置: 首页 > 专利查询>西安交大捷普网络科技有限公司专利>正文

一种MAC地址欺骗攻击的检测方法及装置制造方法及图纸

技术编号:40354381 阅读:6 留言:0更新日期:2024-02-09 14:39
本发明专利技术公开一种MAC地址欺骗攻击的检测方法及装置,利用数据帧序列号是由厂商私有的网卡固件控制的原理,跟踪与合法MAC地址相同的帧序列号,若当前序列号与哈希表中记录的最后一个序列号差值超过预设上限值,即为异常序列号,当异常序列号超过预设阈值时判断发当前MAC地址被伪装,进行告警,能够准确高效的检测MAC地址欺骗攻击。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术属于网络攻击检测,尤其是涉及一种检测mac地址欺骗攻击的方法以及应用该方法的检测装置。


技术介绍

1、随着无线技术和网络技术的发展,基于ieee 802.11标准的无线局域网(wlan)接入技术已经成为市场和应用的热点。无线局域网具备众多有线局域网不可比拟的优点,包括快捷方便的无线接入、灵活多变的拓扑结构、易于维护管理、低廉的建设成本等。同时,也带来了新的安全隐患;由于802.11无线局域网的特点,出现了一些针对wlan的攻击方式,如:非法(rouge)ap、未授权工作站、mac欺骗、dos攻击、驾驶攻击(war driving)等。

2、由于wlan无线网络同样可以连接到有线网络,已有的针对有线网络的攻击也同样适用于wlan,而wlan的安全性远低于有线网络,因此无线网络逐渐成为攻击有线网络的突破口。其中,mac地址欺骗攻击技术就是指一个恶意的入侵者改变厂商预设的mac地址为任何网卡的mac地址。攻击者首先通过嗅探获得合法的mac地址列表,然后修改本网卡的mac地址,伪装成合法ap或者工作站发包,从而可以绕过mac地址过滤机制。因此,加强对无线网络中mac地址欺骗攻击的检测,对于提高整体网络安全防护具有重要意义。


技术实现思路

1、基于上述背景,本专利技术旨在提出一种mac地址欺骗攻击的检测方法及装置。

2、第一方面,一种mac地址欺骗攻击的检测方法,包括:

3、获取数据包,并判断源mac地址是否存在于预设的mac检测列表中,若不存在则结束,若存在则查找源mac地址在哈希表中的位置,并获取该源mac地址发出的最后一个序列号;

4、计算所述最后一个序列号与当前序列号的差值,判断所述序列号差值是否大于预设的上限值,若是则累加该源mac地址的异常序列号个数,否则结束;

5、判断所述源mac地址的异常序列号累计个数是否大于预设的阈值,若是则告警,否则结束。

6、较佳的,所述哈希表用于记录每个源mac地址在一个连接中发出数据的所有序列号,并且在连接结束后清除该源mac的历史记录。

7、进一步的,上述的计算当前序列号与最后一个序列号的差值后,将当前序列号标记为新的最后一个序列号。

8、进一步的,当所述最后一个序列号与当前序列号之差的绝对值大于30时,将当前序列号判断为异常序列号。

9、较佳的,该方法进行检测之前,先使用扫描工具进行扫描,若发现存在mac地址相同但设备名不同的设备,则标记为可疑;对标记为可疑的设备进行攻击检测。

10、较佳的,该方法进行检测之前,还包括:记录已授权的合法mac地址,并为每个所述合法mac建立序列号基线;对与合法mac相同的源mac地址的数据帧进行序列号跟踪,并与所述序列号基线进行比较,若超出了规定范围,则视为mac地址欺骗;所述序列号基线,根据合法mac传输数据的序列号历史记录确定。

11、第二方面,一种检测mac地址欺骗攻击的装置,包括:

12、抓包模块,用于捕获数据包并解析获取源mac地址发出数据包的帧序列号;

13、检测模块,根据源mac地址查询哈希表,获取该源mac发出的最后一个序列号,计算最后一个序列号与当前序列号的差值;

14、判断模块,根据序列号差值大于预设上限值的累计数量,判断是否为mac地址欺骗攻击;

15、告警模块,根据判断模块对数据包是否为mac地址欺骗攻击的判断结果,决定是否执行告警。

16、所述检测模块:判断源mac地址是否存在于预设的mac排除列表中,若是进行下一步,否则结束;查找源mac地址在哈希表中的位置,并获取该源mac地址发出的最后一个序列号。

17、所述判断模块:计算所述最后一个序列号与当前数据包序列号的差值,判断所述序列号差值是否大于预设的上限值,若是则累计该源mac地址的异常序列号,否则结束;判断所述源mac地址的异常序列号累计值是否大于预设的阈值,若是则通知告警模块进行告警,否则结束。

18、采用上述技术方案的本专利技术,至少具有以下有益效果:利用数据帧序列号是由厂商私有的网卡固件控制的原理,跟踪与合法mac地址相同的帧序列号,若当前序列号与哈希表中记录的最后一个序列号差值超过预设上限值,即为异常序列号,当异常序列号超过预设阈值时判断发当前mac地址被伪装,进行告警,能够准确高效的检测mac地址欺骗攻击。

本文档来自技高网...

【技术保护点】

1.一种MAC地址欺骗攻击的检测方法,其特征在于,包括:

2.根据权利要求1所述的攻击检测方法,其特征在于,所述哈希表用于记录每个源MAC地址在一个连接中发出数据的所有序列号,并且在连接结束后清除该源MAC的历史记录。

3.根据权利要求1或2所述的攻击检测方法,其特征在于,计算当前序列号与最后一个序列号的差值后,将当前序列号标记为新的最后一个序列号。

4.根据权利要求1所述的攻击检测方法,其特征在于,当所述最后一个序列号与当前序列号之差的绝对值大于30时,将当前序列号判断为异常序列号。

5.根据权利要求1所述的攻击检测方法,其特征在于,该方法进行检测之前,先使用扫描工具进行扫描,若发现存在MAC地址相同但设备名不同的设备,则标记为可疑;对标记为可疑的设备进行攻击检测。

6.根据权利要求1所述的攻击检测方法,其特征在于,该方法进行检测之前,还包括:

7.一种检测MAC地址欺骗攻击的装置,其特征在于,所述装置包括:

8.根据权利要求7所述的攻击检测装置,其特征在于,所述检测模块:

9.根据权利要求7所述的攻击检测装置,其特征在于,所述判断模块:

...

【技术特征摘要】

1.一种mac地址欺骗攻击的检测方法,其特征在于,包括:

2.根据权利要求1所述的攻击检测方法,其特征在于,所述哈希表用于记录每个源mac地址在一个连接中发出数据的所有序列号,并且在连接结束后清除该源mac的历史记录。

3.根据权利要求1或2所述的攻击检测方法,其特征在于,计算当前序列号与最后一个序列号的差值后,将当前序列号标记为新的最后一个序列号。

4.根据权利要求1所述的攻击检测方法,其特征在于,当所述最后一个序列号与当前序列号之差的绝对值大于30时,将当前序列号判断为异常序列号。...

【专利技术属性】
技术研发人员:刘亚轩何建锋
申请(专利权)人:西安交大捷普网络科技有限公司
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有