一种mac地址欺骗检测方法及装置的制造方法
【技术领域】
[0001]本发明涉及信息技术领域,特别涉及一种MAC地址欺骗检测方法及装置。
【背景技术】
[0002]虽然网络可以使经济、文化、医疗、科学、教育、交通等领域的信息更加有效和迅速地被获取、传输和应用,但如果网络系统和用户缺乏适当的安全保护措施,这些信息就很容易在传输过程中被非法获取,以及网络系统的其它资源被破坏等,从而使系统遭受重大损失。
[0003]为使网络系统资源被充分利用,要保证网络系统有很好的通信安全。要保证系统的通信安全,就要充分认识到网络系统的脆弱性,特别是网络通信系统和通信协议的不足,估计到网络可能遭受的各种威胁,并采取相应的安全策略,尽可能地减少各种风险,保证网络系统具有高度的可靠性、信息完整性和保密性。
[0004]其中,MAC地址欺骗是指非法用户伪造MAC地址或冒用合法用户的MAC地址对合法用户进行攻击的行为。
[0005]一般,每块网卡的设备生产厂商都需要向IEEE申请全球唯一的组织唯一标识符(Organizat1nally unique identifier, 0UI)作为其网卡的唯一标识,也就是网卡的MAC地址的前三个字节,因此通过网卡的MAC地址的前三个字节就可以判断出MAC地址的合法性。当网络中出现不合法的MAC地址前缀时,即可判断由非法用户在进行MAC地址欺骗。
[0006]但对于冒用合法用户的MAC地址对合法用户进行攻击的行为,通过上述检测MAC地址合法性的方法难以判断是否存在MAC地址欺骗。具体地说,非法用户作为攻击者可以通过抓取网络数据包获取合法用户终端的MAC地址,进而伪造并成功逃避检测。
【发明内容】
[0007]本发明的目的在于提供一种MAC地址欺骗检测方法及装置,能更好地解决现有入侵检测技术无法检测MAC地址欺骗攻击行为的问题。
[0008]根据本发明的一个方面,提供了一种MAC地址欺骗检测方法,包括:
[0009]通过对捕获的无线数据帧进行分析,获得所捕获的无线数据帧的MAC地址和数据帧编号;
[0010]根据所获得的无线数据帧的MAC地址,查找所述MAC地址的合法用户终端的帧编号基线;
[0011]利用所述合法用户终端的帧编号基线,确定所捕获的无线数据帧的数据帧编号的预期值;
[0012]根据所捕获的无线数据帧的数据帧编号和数据帧编号的预期值,判断合法用户终端的MAC地址是否受到MAC地址欺骗攻击。
[0013]优选地,所述MAC地址的合法用户终端的帧编号基线是在前建立的,具体为:
[0014]通过对捕获的每个合法用户终端的无线数据帧进行分析,得到所述每个合法用户终端的MAC地址和无线数据帧的数据帧编号;
[0015]利用所得到的每个合法用户终端的MAC地址和无线数据帧的数据帧编号,为每个合法用户建立一条包含数据帧编号的帧编号基线。
[0016]优选地,所述根据所捕获的无线数据帧的数据帧编号和数据帧编号的预期值,判断合法用户终端的MAC地址是否受到MAC地址欺骗攻击的步骤包括:
[0017]将所捕获的无线数据帧的数据帧编号和数据帧编号的预期值进行匹配;
[0018]若所捕获的无线数据帧的数据帧编号和数据帧编号的预期值不匹配,则判断所述合法用户终端的MAC地址受到MAC地址欺骗攻击。
[0019]优选地,当所捕获的无线数据帧的数据帧编号和数据帧编号的预期值之间的绝对差值大于预设值时,确定所捕获的无线数据帧的数据帧编号和数据帧编号的预期值不匹配。
[0020]优选地,所述根据所捕获的无线数据帧的数据帧编号和数据帧编号的预期值,判断合法用户终端的MAC地址是否受到MAC地址欺骗攻击的步骤还包括:
[0021]若所捕获的无线数据帧的数据帧编号和数据帧编号的预期值匹配,则判断所述合法用户终端的MAC地址未受到MAC地址欺骗攻击,并在所述帧编号基线上标记所述数据帧编号的预期值。
[0022]优选地,在所述根据所获得的无线数据帧的MAC地址,查找所述MAC地址的合法用户终端的帧编号基线的步骤之前,还包括:
[0023]在合法MAC地址数据库中,查询所捕获的无线数据帧的MAC地址;
[0024]若未查询到所捕获的无线数据帧的MAC地址,则判断非法用户终端在进行地址MAC地址欺骗攻击。
[0025]根据本发明的另一方面,提供了一种MAC地址欺骗检测装置,包括:
[0026]分析模块,用于通过对捕获的无线数据帧进行分析,获得所捕获的无线数据帧的MAC地址和数据帧编号;
[0027]查询模块,用于根据所获得的无线数据帧的MAC地址,查找所述MAC地址的合法用户终端的帧编号基线;
[0028]确定模块,用于利用所述合法用户终端的帧编号基线,确定所捕获的无线数据帧的数据帧编号的预期值;
[0029]判断模块,用于根据所捕获的无线数据帧的数据帧编号和数据帧编号的预期值,判断合法用户终端的MAC地址是否受到MAC地址欺骗攻击。
[0030]优选地,在进行MAC地址欺骗检测之前,所述分析模块预先建立用来进行MAC地址欺骗检测的合法用户终端的帧编号基线。
[0031]优选地,所述分析模块通过对捕获的每个合法用户终端的无线数据帧进行分析,得到所述每个合法用户终端的MAC地址和无线数据帧的数据帧编号,并利用所得到的每个合法用户终端的MAC地址和无线数据帧的数据帧编号,为每个合法用户建立一条包含数据帧编号的帧编号基线。
[0032]优选地,所述查询模块还用在于在根据所获得的无线数据帧的MAC地址,查找所述MAC地址的合法用户终端的帧编号基线之前,在合法MAC地址数据库中,查询所捕获的无线数据帧的MAC地址,若未查询到所捕获的无线数据帧的MAC地址,则所述判断模块判断非法用户终端在进行地址MAC地址欺骗攻击。
[0033]与现有技术相比较,本发明的有益效果在于:
[0034]本发明能够检测针对IEEE802.11无线网络的MAC地址欺骗行为,并在检测到MAC地址欺骗行为时及时进行预警,从而减少无线网络受到攻击而带来的损失。
【附图说明】
[0035]图1是本发明实施例提供的MAC地址欺骗检测方法框图;
[0036]图2是本发明实施例提供的MAC地址欺骗检测装置框图;
[0037]图3是本发明实施例提供的数据加解密系统拓扑图;
[0038]图4是图3所示实施例提供的MAC地址欺骗检测的交互示意图;
[0039]图5是本发明实施例提供的MAC地址欺骗检测流程图。
【具体实施方式】
[0040]以下结合附图对本发明的优选实施例进行详细说明,应当理解,以下所说明的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
[0041]在IEEE802.11规范的帧格式中,顺序控制(Sequence Control)字段长度为16位,前4位是片段编号(fragment number),后12位是顺序编号(sequence number),以下称为数据帧编号。当上层帧交给MAC传送时,会被赋予一个数据帧编号,计数器从0起算,MAC每处理一个上层封包,计数器就会累加1。由于数据帧编号的控制是由网卡厂商自有的网卡固件来完成,无法人为任意设置数据帧编号的值,当攻击者通过克隆MAC地址发送数据帧时数据帧编号必然打破现有规律,所以通过分析同一 MA