[发明专利]检测仿冒网络设备的方法和装置

说明书

技术领域

本发明涉及局域网技术，特别是涉及一种检测仿冒网络设备的方法和装 置。

背景技术

因特网协议(Internet Protocol，简称IP)规定每个网络设备的IP地址是 唯一的，且在以太网(Ethernet)中每个网络设备都有唯一的介质访问控制 (Media Access Control，简称MAC)地址，因此，网络设备可通过IP地址 和MAC地址结合的方式唯一标识。

在基于美国电气电子工程师学会(Institute of Electrical and Electronic Engineers，简称IEEE)802委员会制定的局域网(Local Area Network，简称LAN) 标准中的802.1x认证协议，进行用户接入认证的过程中，需要访问外部网络 的第一网络设备向交换机发送接入认证请求；交换机将接入认证请求转发给 认证服务器，由认证服务器对该认证请求进行认证；如果认证通过，交换机 可打开相应的交换机端口，在局域网和外部网络之间放行具有第一网络设备 的IP地址和MAC地址的报文；以下将已通过接入认证的网络设备称为合法 网络设备。如果有人将其使用的网络设备(以下称为第二网络设备)的IP地 址和MAC地址，分别与合法网络设备的IP地址和MAC地址设置得完全一 致，第二网络设备则不需要进行接入认证就可访问外部网络。以下将自身的 MAC地址和IP地址设置成与其他网络设备真实的MAC地址和IP地址的网 络设备，称为仿冒网络设备。如果局域网中存在仿冒网络设备，交换机则无 法区分已通过接入认证的合法网络设备还是仿冒网络设备，仿冒网络设备无 需认证即可访问外部网络并可获得合法网络设备相同的权益，从而增加了安 全隐患，也给利用802.1x认证协议进行收费管理的运营商造成经济损失。

为了检测局域网中是否存在同时盗用合法网络设备的IP地址和MAC地 址的仿冒网络设备，现有技术提供了两种实现方法。现有技术一是基于仿冒 网络设备的特征实现检测，例如可通过检测局域网中是否有不同网络设备存 在完全相同的IP地址和MAC地址，进而判断局域网中是否存在仿冒网络设 备。该检测数据包容易被仿冒网络设备通过一些过滤机制，如增设防火墙的 方式过滤掉，从而使得仿冒网络设备躲过检测。现有技术二可采用交换机和 网络设备一起配合统计流量的方法实现，例如可通过检测合法网络设备上的 网络流量和交换机上的网络流量是否一致，进而判断网络中是否存在仿冒网 络设备。但该方法需要相应设备在有限的资源上分出部分资源以进行流量统 计，因而影响了设备性能，此外，由于交换机和合法网络设备之间在检测过 程中存在信息交互，因此增加了网络部署及网络设备维护的难度，使得该方 法实现的复杂度较高。

通过上述分析可知，检测局域网中是否存在同时盗用合法网络设备的IP 地址和MAC地址的仿冒网络设备的现有技术，至少存在着检测效率较低的 技术缺陷。

发明内容

本发明提供一种检测仿冒网络设备的方法和装置，用以提高局域网中是 否存在仿冒网络设备的检测效率。

本发明提供了一种检测仿冒网络设备的方法，包括：

获取合法网络设备成功发送的多个第一发送数据包，以及所述合法网络 设备的网卡侦听到的多个第二发送数据包，获取的任一所述第二发送数据包 的源介质访问控制MAC地址和源因特网协议IP地址，分别与任一所述第一 发送数据包的源MAC和源IP地址相同；

根据获取的多个所述第一发送数据包和多个所述第二发送数据包，分别 生成第一发送数据包列表和第二发送数据包列表；

匹配所述第一发送数据包列表和所述第二发送数据包列表，在所述第二 发送数据包列表与所述第一发送数据包列表匹配失败时，确定所述合法网络 设备当前所在的局域网中，存在与所述合法网络设备相关的仿冒网络设备。

本发明还提供了一种检测仿冒网络设备的装置，包括：

发送数据包信息获取模块，用于获取合法网络设备成功发送的多个第一 发送数据包，以及所述合法网络设备的网卡侦听到的多个第二发送数据包， 获取的任一所述第二发送数据包的源介质访问控制MAC地址和源因特网协 议IP地址，分别与任一所述第一发送数据包的源MAC和源IP地址相同；

列表生成模块，用于根据获取的多个所述第一发送数据包和多个所述第 二发送数据包，分别生成第一发送数据包列表和第二发送数据包列表；