网络封锁方法及设备与流程

本发明涉及一种网络管理(networkmanagement)技术，特别是一种网络封锁方法及设备。

背景技术：

随着科技的快速发展，各式各样的电子装置日益普及。而为了达到资源共享的目的，网络成为信息交换的必要配备，从而造就商用及家用连网设备(例如，智能电话、智能摄影机、无线分享器、智能型电视等)急遽成长。因应于大量连网设备的设置，网管人员也需要针对这些连网设备的网络功能进行管控。

另一方面，资安问题是网络管理所面临到的一大难题。面对违反资安策略(例如，安装盗版软件、病毒特征未更新、超量广播等)的连网设备，网管人员通常会对这些连网设备进行网络封锁，以防止这些连网设备进一步影响网域中的其他连网设备。由此可知，有需要提出一种有效且符合实际需求的网络封锁方案。

技术实现要素：

本发明提供一种网络封锁方法及设备，其针对所欲封锁连网设备通过广播具有伪造地址的伪造封包，从而封锁这些连网设备的网络。

本发明提出一种网络封锁方法，其适用于对处于网络域中的连网设备进行网络管理，且包括下列步骤。判断连网设备是否属于封锁群组。产生至少一个伪造地址。此伪造地址被排除在此封锁群组中连网设备的实体地址之外。接着，针对封锁群组中各连网设备广播伪造封包。而此伪造封包包括前述伪造地址中的一个。

另一观点而言，本发明还提出一种网络封锁设备，其适用于对处于网络域中的连网设备进行网络管理，且包括通信模块及处理单元。通信模块用以传送及接收封包。而处理单元连接通信模块，并经组态用以执行下列步骤。判断连网设备是否属于封锁群组。产生至少一个伪造地址。而这些伪造地址被排除在封锁群组中连网设备的实体地址之外。接着，针对封锁群组中各连网设备，通过通信模块广播伪造封包。而此伪造封包包括前述伪造地址中的一个。

基于上述，本发明实施例所提出的网络封锁方法及设备，其针对属于封锁群组的连网设备产生伪造地址，并广播包括此伪造地址的无偿地址解析协议(gratuitousaddressresolutionprotocol；garp)回应封包。据此，若其他连网设备打算传送封包至封锁群组中连网设备，则此封包将无法有效送达，从而对封锁群组的网络进行封锁。而通过广播方式，除了能够大幅减少封包传输量，更能够因应于大量连网设备。另一方面，针对少量的欲封锁连网设备，本发明实施例还通过拦截地址解析协议(addressresolutionprotocol；arp)封包及发送伪造arp封包，来对欲封锁连网设备所发出的封包进行封锁。

为让本发明的上述特征和优点能更明显易懂，下文特举实施例，并配合所附图式作详细说明如下。

附图说明

图1是依据本发明的一个实施例说明通信系统的示意图。

图2是依据本发明的一个实施例说明网络封锁设备的组件方块图。

图3是依据本发明的一个实施例说明一种网络封锁方法流程图。

图4是一范例说明网络封锁的流程图。

附图标记说明

10：通信系统；

110：连网设备；

150：网络封锁设备；

151：通信模块；

155：处理单元；

s310～s350、s410～s490：步骤。

具体实施方式

无偿地址解析协议(gratuitousaddressresolutionprotocol；garp)回应封包是arp回应封包的一种，且为了广播garp响应(reply)封包，目标媒体访问控制(mediaaccesscontorl；mac)须设定为ff:ff:ff:ff:ff:ff。而本发明实施例便是利用广播garp响应封包，使所述网域内的连网设备都能接收到伪造garp回应封包(例如，包括伪造地址)，从而让连网设备无法有效将封包传送至封锁群组中的连网设备，进而适应于arp封包的时效性及大量连网设备的环境。此外，本发明实施例还拦截封锁群组中连网设备的arp要求封包，并响应伪造arp响应封包(例如，包括伪造地址)，从而让封锁群组的后续传送无法顺利完成。以下提出符合本发明之精神的多个实施例，应用本实施例者可依其需求而对这些实施例进行适度调整，而不仅限于下述描述中的内容。

图1是依据本发明的一个实施例说明通信系统的示意图。请参照图1，通信系统10包括一台或多台连网(ipconnected)设备网络110及网络封锁设备150。在本实施例中，通信系统10中的各设备处于相同网域(例如，局域网络(localareanetwork；lan)、内部网络等)。在其他实施例中，通信系统10中的部分设备处于不同网络，则通信系统10可能另存在arp代理(proxy)设备。此外，图1中连网设备110的数量仅是用于范例说明，而并非用以局限本发明实施例。

连网设备110可以是计算机、手机、无线分享器、服务器、智能电话机、显示设备、智能型摄影机、路由器、网络交换器等电子装置，其可基于至少一种ip、传输控制协议(transmissioncontrolprotocol；tcp)、使用者数据报协议(userdatagramprotocol；udp)等协议与另一联网设备110及网络封锁设备150进行数据传输或连接至因特网。

网络封锁设备150可以是各类型服务器、无线分享器、路由器、网络交换器、计算机、工作站等设备。在实际应用上，网络封锁设备150可以是网管人员用以作为所属网域中网络控制中心的设备。以硬件观点而言，图2是依据本发明的一个实施例说明网络封锁设备150之组件方块图。请参照图2，网络封锁设备150至少包括(但不仅限于)通信模块151及处理单元155。

通信模块151可以是支持wifi标准或其他具备无线传输功能的任何类型无线网络接口模块，也可以是支持以太网络(ethernet)、光纤(opticalfiber)或其他具备有线传输功能的任何类型的有线网络接口模块，甚至是无线及有线网络接口模块之组合。在本发明实施例中，网络封锁设备150通过通信模块151与连网设备110进行通信。

处理单元155与通信模块151连接，其可以是中央处理单元(centralprocessingunit，cpu)，或是其他可程序化之一般用途或特殊用途的微处理器(microprocessor)、数字信号处理器(digitalsignalprocessor，dsp)、可程序化控制器、特殊应用集成电路(applicationspecificintegratedcircuit，asic)或其他类似组件或上述组件的组合。在本发明实施例中，处理单元155用以执行网络封锁设备150的所有操作。

为了方便理解本发明实施例的操作流程，以下将举诸多实施例详细说明本发明实施例中网络封锁设备150的网络封锁方法。图3是依据本发明的一个实施例说明一种网络封锁方法流程图。请参照图3，本实施例的方法适用于图1及图2的网络封锁设备150。下文中，将以网络封锁设备150中的各项组件及模块说明本发明实施例所述的方法。本方法的各个流程可依照实施情形而随之调整，且并不仅限于此。此外，本发明实施例可区分成主动式封锁及被动式封锁，以下将先针对主动式封锁进行说明。

在步骤s310中，网络封锁设备150的处理单元155判断连网设备110是否属于封锁群组。具体而言，网管人员针对其所属网域内的各连网设备110的网络管理会设置管理策略。此管理策略可能是针对身份确认、系统更新、病毒特征更新、禁用软件、网络异常、新加入所属网域的连网设备110、ip冲突、法规要求等，本发明实施例不加以限制。而针对违反管理策略的连网设备110，本发明实施例将这些连网设备110纳入封锁群组中，以进一步对封锁群组在所属网域中的通信传输进行封锁，从而避免封锁群组中各连网设备110经由网络影响其他非封锁群组(例如，正常群组)的连网设备110。

需说明的是，由于网络封锁设备150是作为所述网络中的网络控制中心，因此其已储存所属网域中各连网设备110的联机信息(例如，ip地址、实体地址(或称mac地址)、端口(port)、虚拟局域网(virtuallocalareanetwork；vlan)标识符(identifer；id)等)、装置信息(例如，计算机名称、组名等)等信息，也可能通过实时事件侦测(例如，流量过大、ip地址过期、登入作业、装载禁用软件、使用时间超过预定关机时间等)来辅助判断连网设备110是否属于封锁群组。

在步骤s330中，网络封锁设备150的处理单元155产生伪造地址。此伪造地址被排除在此封锁群组中连网设备110的实体地址之外。具体而言，在arp流程中，设备a发送对于设备b之实体地址之询问的arp要求封包，而设备b可响应其实体地址给设备a，以确保后续设备a及b之间通信顺利进行。而为了达到网络封锁之目的，在主动式封锁的实施例中，网络封锁设备150将藉由对封锁群组中的各连网设备110产生伪造地址，以让所属网域中的连网设备110打算传送数据给封锁群组中的连网设备110时会将数据传送至此伪造地址。藉此，便能让欲传送至封锁群组中各连网设备110的数据无法顺利送达。

此伪造地址可以设定为网络封锁设备150的实体地址、特定实体地址(例如，00:00:00:00:00:01、ff:ff:ff:00:00:00等)或随机数生成的实体地址，任何与封锁群组中连网设备110不同或不相关的实体地址，除了00:00:00:00:00:00与ff:ff:ff:ff:ff:ff都可应用，本发明不以此为限。

在步骤s350中，针对封锁群组中各连网设备110，网络封锁设备150的处理单元155通过通信模块151广播伪造封包。而此伪造封包包括前述伪造地址中的一个。在本实施例中，此伪造封包为garp回应封包。而处理单元155依序(例如，每隔0.03秒或0.05秒等针对下一台欲封锁的连网设备110)针对封锁群组中各连网设备110，通过通信模块151广播包括伪造地址中的一个的garp回应封包。此外，此garp回应封包还包括封锁群组中连网设备中的一个的ip地址。

具体而言，假设在一情境中，某一局域网络中存在n台连网设备110(包括所于封锁群组的封锁设备c，n为正整数)。处理单元155可通过通信模块151对其他n-1台(除了封锁设备c)连网设备110各发送伪造的arp封包(包括伪造地址)，以通知这n-1台连网设备110设备c的mac地址是此伪造地址(例如，00:00:00:00:00:01)。而当这n-1台设备欲传送数据给设备c，数据就会被传送到这假造的mac地址，使得数据无法正确送达设备c。

而在另一情境中，为了封锁设备c对其他n-1台连网设备110的通信，网络封锁设备150的处理单元155需要通过通信模块151来向设备c发送n-1个伪造arp封包，以分别告诉设备c这n-1台连网设备110的mac地址是伪造地址。因此，当设备c欲传送数据给这n-1台连网设备110时，数据就都会被传送到伪造地址，从而让设备c发送的数据无法正确送达到这n-1台连网设备110。

在前述两情境中，为了不影响连网设备110的运作，处理单元155通常通过通信模块151每发送1个伪造arp封包就需要暂停例如0.03秒再发送1个伪造arp封包。然而，这些存在于连网设备110中的伪造arp封包信息是有时效性的，因此每60秒处理单元155就必须要通过通信模块151重新传送伪造arp封包信息给连网设备110。否则，这些伪造arp封包信息就会过期，从而无法有效封锁设备之间的通信，因此前述情境存有下列缺点：

a.连网设备110增多，将导致封锁失效

假设连网设备110有1200台，为了封锁其中一台设备c与其它1199台联机设备110之间的通信，网络封锁设备150需要对其它1199台联机设备110(除了设备c)各自发送一个伪造arp封包，以分别告知这1199台联机设备110设备c的mac地址是某个伪造地址。网络封锁设备150也需要对设备c发送1199个伪造的arp封包，以告知设备c这1199台联机设备110的mac地址是某个伪造地址。因此，前述范例总共发送了1199+1199＝2398个伪造arp封包才能封锁设备c与其它1199台联机设备110之间的通信。然而，由于发送一个伪造arp封包就需要停0.03秒再发下一个伪造arp封包，因此发送2398个伪造封包至少耗时(2398-1)*0.03秒＝71.91秒。如此将导致联机设备110在一开始前11秒收到的伪造arp封包信息可能会陆续在60秒～71秒失效或过期，此时设备c就有机会可以跟其它1199台联机设备110进行通信。

b.欲封锁设备少许增加，将导致封锁失效

假设上线的联机设备110有500台，要封锁其中5台设备d～h。网络封锁设备150的处理单元155需要通过通信模块151对其它495台联机设备110分别发送一个伪造arp封包，且需要对设备d发送495个伪造的arp封包(封锁设备e～h的伪造arp封包发送方式相同或相似于封锁设备d，于此不再赘述)。因此，封锁设备d～h与其它495台联机设备110之间的通信需要发送(495+495)*5＝4950个伪造的arp封包，至少耗时(4950-1)*0.03秒＝148.47秒，将导致这些联机设备110收到的伪造arp封包信息将在60秒～148秒陆续过期。如此设备d～h在60秒～148秒就有机会可以跟其它495台设备通信。

为了解决前述缺点，在本发明主动式封锁的实施例中，借重于广播garp响应封包(其目的mac地址例如是ff:ff:ff:ff:ff:ff，且目的ip地址例如是0.0.0.0)，网络封锁设备150的处理单元155通过通信模块151对封锁群组中的各连网设备110产生对应的garp回应封包。而各garp响应封包的ip地址会设定为封锁群组中连网设备110中的一个的ip地址，且来源mac地址是伪造地址中的一个，以告知连网设备110某一特定ip地址(即，封锁群组中连网设备110中的一个的ip地址)的mac地址为伪造地址。

举例而言，设备c的ip地址为192.168.4.6，则对应于设备c的伪造garp响应中的来源ip地址设定为192.168.4.6，且其来源mac地址设定为00:00:00:00:00:01。

相较于先前提及的情境(需要对其他n-1台连网设备110分别发送一个伪造arp封包，因此总共发送n-1个伪造arp封包)，本发明实施例针对封锁群组中连网设备110中的一个(例如，设备c)仅需要发送一个伪造garp响应封包，即可让其他n-1台连网设备110都能收到设备c的mac地址为伪造地址。因此，当这n-1台连网设备110欲传送数据给设备c时，数据便会传送至此伪造地址，从而无法正确传送至设备c。

此外，在某一garp响应封包(例如，针对封锁群组中的某一连网设备110)失效之前，网络封锁设备150的处理单元155可再次通过通信模块151广播此无偿地址解析协议响应封包。具体而言，无偿地址解析协议响应封包具有时效性(例如，六十秒、五十秒等端视标准定义)。因此，网络封锁设备150的处理单元155需要每隔特定时间(例如，六十秒或前述时效性的定义时间)通过通信模块151再次广播相同或不同(例如，伪造地址可改变，但garp响应封包中的来源ip地址为封锁群组中的此连网设备110)的garp回应封包，直到欲封锁的连网设备110不属于封锁群组。

另一方面，针对被动式封锁的实施例，在步骤s310中，网络封锁设备150的处理单元155还通过通信模块151撷取arp要求封包，并判断arp要求封包中的来源是否对应于封锁群组中的连网设备。具体而言，当封锁群组中各连网设备110欲与其他连网设备110进行通信时，封锁群组中各连网设备110会广播arp要求封包，以试图取得所欲通信之其他连网设备110的mac地址。而处理单元155便是通过通信模块151对广播的arp要求封包进行监控，且对封锁群组中各连网设备110所发出的arp要求封包进行撷取。

接着，若arp要求封包中的来源对应于封锁群组中的连网设备110，则网络封锁设备150的处理单元155还通过通信模块151传送包括伪造地址中的一个的arp响应封包至发送arp要求封包的连网设备110(属于封锁群组)。而此arp响应封包中的来源ip地址设定为arp要求封包中的来源ip地址，来源mac地址设定为伪造地址(例如，00:00:00:00:00:01)，且目的ip地址及mac地址为发送arp要求封包的连网设备110的ip地址及mac地址。

举例而言，设备c发送arp要求封包(包括目的ip地址为192.168.9.5)，而网络封锁设备150接收到此arp要求封包，便据以响应伪造arp响应封包(包括来源ip地址为192.168.9.5、来源mac地址为假造00:00:00:00:00:01、目的ip地址及mac地址为设备c的ip地址及mac地址)至设备c。

相反而言，若arp要求封包中的来源未对应于封锁群组中的连网设备110，则网络封锁设备150的处理单元155不会响应伪造响应封包。

相较于先前提及的情境(需要对设备c告知其他n-1台连网设备110具有伪造地址，因此总共发送n-1个伪造arp封包)，本发明实施例仅需要通过拦截封锁群组中连网设备110所发出的arp要求封包，便能有效封锁这些连网设备110的通信。当属于封锁群组的设备c欲传送数据给其他n-1台连网设备110时，数据便会传送至伪造地址，从而无法正确传送欲通信的连网设备110。

为了让本领域具通常知识者能明了本新型创作的操作流程，以下另举一范例说明。图4是一范例说明网络封锁的流程图。请同时参照图1及图4，下文中，将搭配图1中连网设备110及网络封锁设备150说明实施情境。各个流程可依照实施情形而随之调整，且并不仅限于此。

首先，网络封锁设备150基于管理策略(例如，是否装载禁用软件、系统是否更新、病毒特征是否更新等)判断是否需要进行封锁(步骤s410)，且(若是，即发生违反管理策略的事件)将连网设备110区分为正常群组及封锁群组(步骤s420)。假设正常群组有x台连网设备110，且封锁群组有y台连网设备110。x、y为正整数。

针对封锁正常群组对封锁群组的数据传送(即，主动式网络封锁)，网络封锁设备150每隔60秒且封锁群组中每台间隔0.03秒来依序发送出y个伪造garp回应封包(步骤s430)。这y个garp响应封包分别指示这y台连网设备110的mac地址为伪造地址(例如，00:00:00:00:00:01)。而那x台连网设备110依序接收到这y个伪造garp回应封包，便会认为这y台连网设备110的mac地址皆为伪造地址(例如，00:00:00:00:00:01)。因此，当这x台连网设备110要传送数据到那y台连网设备110时，其数据都会被传送到不存在设备的mac伪造地址，从而达到通信封锁的目的。另一方面，若无须进行封锁，则网络封锁设备150停止撷取arp要求封包(步骤s440)，并据以结束程序(步骤s450)。

针对封锁群组对正常群组的数据传送的封锁(即，被动式网络封锁)，网络封锁设备150判断是否停止撷取arp要求封包(步骤s460)。若是(例如，y为零)，则结束程序(步骤s450)。反之，若否(例如，y为5台)，则网络封锁设备150撷取arp要求封包(步骤s470)。接着，网络封锁设备150判断arp要求封包是否属于封锁群组(步骤s480)。若是(例如，arp要求封包的来源是属于封锁群组的那y台连网设备110)，则网络封锁设备150对发送arp要求封包的那y台连网设备110中的一个响应伪造arp响应封包(例如，来源ip地址为arp要求封包中所设定的目的ip地址，而来源mac地址设定为00:00:00:00:00:01)(步骤s490)。因此，当这y台连网设备110中的一个(例如，设备y1)要传送数据至那x台连网设备110中的一个(例如，设备x1)时，此数据都会传送至不存在的伪造地址。此外，当这些伪造的arp响应封包于60秒失效时，设备y1可能会再次发出arp要求封包，以询问设备x1的mac地址。而网络封锁设备150也再次对此设备y1响应伪造arp响应封包(例如，来源mac地址设定为00:00:00:00:00:01)，以回应设备y1此设备x1的mac位只为不存在的mac地址00:00:00:00:00:01。如此，周而复始来达到通信封锁之目的。

综上所述，本发明实施例所提出的网络封锁方法及装置，其通过主动发送伪造garp响应封包及被动响应伪造arp响应封包，从而达到封锁正常群组对封锁群组以及封锁群组对正常群组的数据传送。

据此，针对前述缺点a(上线设备增多)，假设上线连网设备有1200台，为了封锁1199台连网设备对设备c通信，本发明实施例仅需要发送一个伪造garp响应封包就可以告知这1199台连网设备这设备c的mac地址是一个假造的mac地址。发送此garp响应封包时间并不会超过60秒时间，以使得这些伪造garp响应封包信息在下个60秒过期前，能具有足够时间来重传这个伪造garp响应封包。至于封锁设备c对1199台连网设备通信，由于设备c通信前会广播arp要求封包来试图取得要通信连网设备的mac地址，因此只要根据arp要求封包的封包信息，响应设备c伪造arp响应封包(响应设备c即将要通信的连网设备的mac地址是某个伪造mac地址)，设备c就无法传送数据给要通信的连网设备。而若设备c会再次发出arp广播封包询问此通信连网设备的mac地址，本发明实施例同样可根据此arp要求封包的相关信息，响应设备c伪造arp封包(同样告知设备c要通信的连网设备的mac地址是某个伪造地址)，这样周而复始的进行，直到设备c停止与其它正常设备通信意图为止。

而针对前述缺点b(欲封锁设备少许增加)，假设上线连网设备有500台，为了封锁495台正常设备对设备d～h通信，现有技术只要发送5个伪造garp响应封包就可以告知这495台设备这设备d～h的mac地址是假造mac地址(这5个伪造的garp回应封包发送间隔也为0.03秒)。而发送5个garp响应封包包含发送间隔时间约为(5-1)*0.03＝0.12秒，其并未超过60秒。因此，这5个伪造garp响应封包信息在下个60秒过期前，本发明实施例便马上重新传送这5个伪造garp响应封包。至于封锁设备d～h对495台设备通信，因为设备d～h与正常设备通信前会发arp要求封包来试图取得要正常设备的mac地址，因此只要根据此arp要求封包信息，就可以响应设备d～h伪造arp封包(响应设备d～h要通信的正常设备mac地址为伪造地址)，设备d～h就无法传送数据给要通信的连网设备。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。