[go: up one dir, main page]

TWI868734B - 網路裝置及其網路攻擊阻擋方法 - Google Patents

網路裝置及其網路攻擊阻擋方法 Download PDF

Info

Publication number
TWI868734B
TWI868734B TW112121717A TW112121717A TWI868734B TW I868734 B TWI868734 B TW I868734B TW 112121717 A TW112121717 A TW 112121717A TW 112121717 A TW112121717 A TW 112121717A TW I868734 B TWI868734 B TW I868734B
Authority
TW
Taiwan
Prior art keywords
network
external device
service
port
destination port
Prior art date
Application number
TW112121717A
Other languages
English (en)
Other versions
TW202450274A (zh
Inventor
張懿
Original Assignee
四零四科技股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 四零四科技股份有限公司 filed Critical 四零四科技股份有限公司
Priority to TW112121717A priority Critical patent/TWI868734B/zh
Priority to CN202310872533.8A priority patent/CN119109611A/zh
Priority to US18/366,701 priority patent/US12513112B2/en
Priority to EP23195135.1A priority patent/EP4475482B1/en
Publication of TW202450274A publication Critical patent/TW202450274A/zh
Application granted granted Critical
Publication of TWI868734B publication Critical patent/TWI868734B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

一種網路裝置及其網路攻擊阻擋方法。網路裝置包括網路介面裝置、儲存裝置及處理器。網路介面裝置用以連接網路,儲存裝置則用以儲存阻擋名單。處理器耦接網路介面裝置及儲存裝置,且經配置以根據網路的環境資訊,選擇允許至少一個通訊埠作為與外部裝置連接的服務端口,利用網路介面裝置接收外部裝置通過網路發送的網路封包,並判斷網路封包的目的端口是否為服務端口其中之一,其中,若目的端口為服務端口其中之一,將與外部裝置建立連線並提供服務,而若目的端口非為服務端口其中之一,則阻擋外部裝置連線,並將外部裝置的識別資訊加入阻擋名單。

Description

網路裝置及其網路攻擊阻擋方法
本發明是有關於一種網路安全裝置及方法,且特別是有關於一種網路裝置及其網路攻擊阻擋方法。
傳統網路設備採取的防堵策略是以最小攻擊面(attack surface)盡可能減少對外服務,藉此避免設備有更多弱點,因此攻擊者在發起攻擊之前,會先進行偵察與掃描(reconnaissance/scan),藉此瞭解該設備的攻擊面。這個過程多是藉由自動化工具達成,因此最小攻擊面的策略僅是限縮攻擊者的打擊點,反而讓攻擊者在掃描過後能專注於有限的攻擊面進行評估與試探。
傳統對於網路攻擊的防護需要額外開啟通訊埠(port)做為密罐(honeypot),引誘攻擊者對其進行攻擊並進行防堵,這些額外開啟的通訊埠都需要額外處理網路連線(network connection),且需要在裝置上額外的處理或連結到密罐的外部裝置進行分析、計算以識別攻擊者,此過程將佔用裝置與外部的運算資源及記憶體。
本發明提供一種網路裝置及其網路攻擊阻擋方法,通過辨識網路封包的目的端口是否合法來識別攻擊者,能使用極低的資源達到保護效果。
本發明的網路裝置包括網路介面裝置、儲存裝置及處理器。其中,網路介面裝置是用以連接網路,儲存裝置則用以儲存阻擋名單。處理器耦接網路介面裝置及儲存裝置,經配置以根據網路的環境資訊,選擇允許至少一個通訊埠作為與外部裝置連接的服務端口,利用網路介面裝置接收外部裝置通過網路發送的網路封包,並判斷網路封包的目的端口是否為服務端口其中之一,其中,若目的端口為服務端口其中之一,與外部裝置建立連線並提供服務,而若目的端口非為服務端口其中之一,阻擋外部裝置連線,並將外部裝置的識別資訊加入阻擋名單。
在一些實施例中,處理器更判斷外部裝置的識別資訊是否在阻擋名單內,並在判定識別資訊在阻擋名單內時,阻擋外部裝置連線。
在一些實施例中,處理器是在進行連線追蹤(connection tracking)、阻斷服務攻擊(Denial-of-Service attack,DoS attack)的防禦或目標網路地址轉換(Network Address Translation,DNAT)之前判斷網路封包的目的端口是否為服務端口以阻擋非法的外部裝置。
在一些實施例中,網路裝置為路由器或閘道器,且網路包括內部網路和外部網路,其中處理器更取得內部網路中至少一個主機(host)所開放的通訊埠,用以作為與外部裝置連接的服務端口。
在一些實施例中,處理器接收外部裝置通過外部網路發送的網路封包,並判斷網路封包的目的端口是否為服務端口其中之一,其中,若目的端口為服務端口其中之一,傳送網路封包至服務端口對應的主機,而若目的端口非為服務端口其中之一,阻擋網路封包流入內部網路。
在一些實施例中,處理器包括依照網路介面裝置採用的通訊協定,選擇外部裝置的網際網路協定位址(Internet Protocol Address,IP Address)、媒體存取控制位址(Media Access Control Address,MAC Address)、通用唯一辨識碼(Universally Unique Identifier,UUID)或其組合作為識別資訊。
在一些實施例中,處理器判斷網路封包的目的端口是否符合驗證規則,其中若目的端口為服務端口其中之一,且符合驗證規則,與外部裝置建立連線並提供服務,而若目的端口不符合驗證規則,阻擋外部裝置連線,並將外部裝置的識別資訊加入阻擋名單。
本發明的網路攻擊阻擋方法適用於包括網路介面裝置和處理器的網路裝置。所述方法包括下列步驟:利用網路介面裝置連接網路,並根據網路的環境資訊,選擇允許至少一個通訊埠作為與外部裝置連接的服務端口;利用網路介面裝置接收外部裝置通過網路發送的網路封包,並判斷網路封包的目的端口是否為服務端口其中之一;若目的端口為服務端口其中之一,與外部裝置建立連線並提供服務;以及若目的端口非為服務端口其中之一,阻擋外部裝置連線,並將外部裝置的識別資訊加入阻擋名單。
在一些實施例中,在接收外部裝置通過網路發送的網路封包的步驟之後,所述方法更包括判斷外部裝置的識別資訊是否在阻擋名單內,並在判定識別資訊在阻擋名單內時,阻擋外部裝置連線。
在一些實施例中,判斷網路封包的目的端口是否為服務端口以阻擋非法的外部裝置的步驟是在進行連線追蹤、阻斷服務攻擊的防禦或目標網路地址轉換之前執行。
在一些實施例中,所述網路裝置為路由器或閘道器,且所述網路包括內部網路和外部網路,所述方法更包括取得內部網路中至少一個主機所開放的通訊埠,用以作為與外部裝置連接的服務端口。
在一些實施例中,所述方法更包括接收外部裝置通過外部網路發送的網路封包,並判斷網路封包的目的端口是否為服務端口其中之一,其中,若目的端口為服務端口其中之一,傳送網路封包至服務端口對應的主機,而若目的端口非為服務端口其中之一,則阻擋網路封包流入內部網路。
在一些實施例中,所述識別資訊是依照網路介面裝置採用的通訊協定,從外部裝置的網際網路協定位址、媒體存取控制位址、通用唯一辨識碼或其組合中選擇。
在一些實施例中,所述方法更判斷網路封包的目的端口是否符合驗證規則,其中若目的端口為服務端口其中之一,且符合驗證規則,與外部裝置建立連線並提供服務,而若目的端口不符合驗證規則,阻擋外部裝置連線,並將外部裝置的識別資訊加入阻擋名單。
本發明的網路裝置及其網路攻擊阻擋方法,根據網路環境資訊選擇允許特定的通訊埠作為服務端口,在接收到網路封包時,即通過辨識目的端口來判斷其來源裝置是否合法,並將非法來源裝置的識別資訊紀錄在阻擋名單中,用以排除所有曾經接觸過非正常服務的來源封包,如此可大幅降低網路裝置防禦網路攻擊的負擔。
為讓本發明的上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。
本發明實施例提出一種新的網路裝置保護機制,採用非白即黑策略,將所有對非裝置上合法允許通訊埠(port)的存取嘗試都視為惡意攻擊,以此識別出攻擊者所進行的早期偵察與掃描行為。對於網路中任一裝置所發出的網路封包,只要其目的端口不是本機合法提供的服務端口,該裝置的來源位置就會直接列入阻擋名單,用以阻擋其所發出的網路封包。
圖1是依照本發明一實施例所繪示之網路攻擊阻擋方法的示意圖。請參照圖1,本實施例的網路裝置10採用非白即黑策略,在其所在的網域12中,僅允許通訊埠X作為與外部裝置連接的服務端口,其他通訊埠(以此實施例為埠號21、25、443、8080、8088等)則視為非正常服務端口。當網路中任一裝置試圖傳送封包至其他通訊埠,視為惡意攻擊。這些非正常服務端口於此裝置上並不需要開啟,亦即不需要應用層的程序或服務進行處理(Listen)。所述的通訊埠X可能有多個,即,所述的X可以是一個集合。其他通訊埠(非正常服務端口)的埠號亦不限於21、25、443、8080、8088,任何非屬通訊埠X的其他通訊埠號,皆視為非正常服務端口。
攻擊者A在嘗試攻擊網路裝置10時,例如會使用通訊埠掃描(port scan)工具先掃描常見的服務端口,其掃描順序依工具種類而有不同。以常見的網路對映器(Network Mapper,NMAP)來說,其可調整參數循序掃描,或是使用多執行緒(muti-thread)同步掃描。
然而,當攻擊者A使用任何一種工具嘗試存取除通訊埠X以外的任一個通訊埠時,網路裝置10即可將其視為惡意攻擊,並將攻擊者A的識別資訊紀錄到阻擋名單中。
由於網路裝置只允許合法的通訊埠X 做為端口,當攻擊者試圖連線到其他通訊埠(非正常服務端口),但因為服務沒有開啟,所以得不到回應,最後只會得到逾時(time-out)的結果。但從網路裝置的角度來說,其可把連線來源紀錄下來,以執行後續的阻擋動作。
詳細而言,圖2是依照本發明一實施例所繪示之網路裝置的方塊圖。請參照圖2,本實施例的網路裝置30包括網路介面裝置32、儲存裝置34以及處理器36,其中處理器36耦接至網路介面裝置32及儲存裝置34。
網路介面裝置32例如是支援乙太網路(Ethernet)等有線網路連結的網路卡或是支援電機和電子工程師協會(Institute of Electrical and Electronics Engineers,IEEE)802.11n/b/g/ac/ax/be等無線通訊標準的無線網路卡,其可透過有線或無線方式連接網路(例如採用Wifi6、Wifi7、5G、衛星通訊、光纖、虛擬化網路架構等,本發明並不限制適用網路的類型),包括網際網路(Internet)等外部網路(Extranet)以及內部網路(Intranet),使得網路裝置30可藉由網路通訊協定與外部裝置連線。
儲存裝置34例如是任何型態的固定式或可移動式隨機存取記憶體(random access memory,RAM)、唯讀記憶體(read-only memory,ROM)、快閃記憶體(flash memory)或類似元件或上述元件的組合。於本實施例中,儲存裝置34除了儲存可用以實現本實施例之網路攻擊阻擋方法的程式外,還可用以儲存一份阻擋名單,其中紀錄有曾嘗試存取非合法服務端口的外部裝置的識別資訊。
處理器36例如是中央處理單元(Central Processing Unit,CPU),或是其他可程式化之一般用途或特殊用途的微處理器(Microprocessor)、數位訊號處理器(Digital Signal Processor,DSP)、可程式化控制器、特殊應用積體電路(Application Specific Integrated Circuits,ASIC)、可程式化邏輯裝置(Programmable Logic Device,PLD)或其他類似裝置或這些裝置的組合。於本實施例中,處理器36負責網路裝置30的整體運作,而可存取並執行儲存裝置34所儲存的程式,以實現本實施例之網路攻擊阻擋方法。
圖3是根據本發明的一實施例所繪示的網路攻擊阻擋方法的流程圖。請同時參照圖2及圖3,本實施例的方法適用於上述的網路裝置30。以下即搭配圖2中網路裝置30的各項元件,說明本實施例方法的詳細流程。
首先,在步驟S402中,由網路裝置30的處理器36利用網路介面裝置32連接網路,並根據網路的環境資訊,選擇允許至少一個通訊埠作為與外部裝置連接的服務端口。所述的環境資訊例如是網路介面裝置32連接網路所使用的通訊協定、網路頻寬、所提供網路服務的類型等,在此不設限。
在一些實施例中,網路裝置30可作為路由器(router)或閘道器(gateway)等中繼裝置實施,用於保護後端裝置。此時,網路裝置30取得的環境資訊可以是由內部網路中的主機提供的資訊,例如各個主機開放的通訊埠的資訊。
接著,在步驟S404中,由處理器36利用網路介面裝置32接收外部裝置通過網路發送的網路封包,並在步驟S406中,由處理器36判斷此網路封包的目的端口是否為服務端口其中之一。
若目的端口為服務端口其中之一,則在步驟S408中,由處理器36利用網路介面裝置32與外部裝置建立連線並提供服務。
反之,若目的端口非為服務端口其中之一,則在步驟S410中,由處理器36阻擋外部裝置連線,並將外部裝置的識別資訊加入儲存在儲存裝置34中的阻擋名單。
在一些實施例中,處理器36例如是依照網路介面裝置32採用的通訊協定,選擇將外部裝置的網際網路協定位址(Internet Protocol Address,IP Address)、媒體存取控制位址(Media Access Control Address,MAC Address)、通用唯一辨識碼(Universally Unique Identifier,UUID)或其組合作為識別資訊,本實施例不限制識別資訊的種類。
在一些實施例中,處理器36是在進行連線追蹤(connection tracking)之前,判斷網路封包的目的端口是否為服務端口,以阻擋非法的外部裝置。即,處理器36是在netfilter的處理上直接在路由前(prerouting)裡的原始規則表(raw table)的位置實施判斷流程,因此可省去執行連線追蹤所耗費的資源。
在一些實施例中,處理器36是在進行阻斷服務攻擊(Denial-of-Service attack,DoS attack)的防禦之前即根據所辨識的目的端口阻擋非法的來源裝置,因此可排除所有曾經接觸過非正常服務的來源封包,而可大幅降低對於阻斷服務攻擊的防禦的負擔。
由此,本實施例通過直接排除來源裝置而不做連線追蹤,所需的資源僅需將網域內的來源裝置是否為非法連線來源紀錄下來,因此可大幅降低所使用的運算和記憶體資源。
以一個網際協定版本4(Internet Protocol version 4,Pv4)等級(class)C的網路環境為例,其子網路遮罩(netmask)為255.255.255.0,以網際網路協定(Internet Protocol,IP)識別環境內的非法連線來源僅需要254個紀錄空間。
圖4是根據本發明的一實施例所繪示的網路攻擊阻擋方法的流程圖。請同時參照圖2及圖4,本實施例的方法適用於上述的網路裝置30。以下即搭配圖2中網路裝置30的各項元件,說明本實施例方法的詳細流程。
首先,在步驟S502中,由網路裝置30的處理器36利用網路介面裝置32連接網路,並根據網路的環境資訊,選擇允許至少一個通訊埠作為與外部裝置連接的服務端口。
接著,在步驟S504中,由處理器36利用網路介面裝置32接收外部裝置通過網路發送的網路封包。上述步驟S502、S504係與前述實施例的步驟S402、S404相同或相似,故其詳細內容在此不再贅述。
與前述實施例不同的是,本實施例在步驟S506中,由處理器36判斷外部裝置的識別資訊是否在阻擋名單內。
若外部裝置的識別資訊是在阻擋名單內,則在步驟S508中,由處理器36阻擋該外部裝置連線,並返回步驟S504,由處理器36重新接收外部裝置通過網路發送的網路封包。
反之,若外部裝置的識別資訊未在阻擋名單內,則在步驟S510中,由處理器36判斷此網路封包的目的端口是否為服務端口其中之一。
若目的端口為服務端口其中之一,則在步驟S514中,由處理器36利用網路介面裝置32與外部裝置建立連線並提供服務。
反之,若目的端口非為服務端口其中之一,則在步驟S512中,由處理器36將外部裝置的識別資訊加入儲存在儲存裝置34中的阻擋名單,並在步驟S508中,由處理器36阻擋該外部裝置連線,最後則返回步驟S504,由處理器36重新接收外部裝置通過網路發送的網路封包。
在一些實施例中,處理器36可採用重啟裝置、定時清除等不同策略清除阻擋名單中的識別資訊,本實施例不限制其清除方式。
由此,本實施例通過使用阻擋名單對所接收網路封包的來源進行辨識,對網路封包的目的端口進行辨識,並根據辨識結果阻擋非法來源連線,因此可大幅降低所使用的運算和記憶體資源。
圖5是根據本發明的一實施例所繪示的網路攻擊阻擋方法的流程圖。請同時參照圖2及圖5,本實施例的方法適用於上述的網路裝置30。在本實施例中,網路裝置30是以路由器(router)或閘道器(gateway)等中繼裝置的形式實施,用以保護後端裝置(主機)免於受到外部裝置的攻擊。即,網路裝置30是用以作為後端裝置的中繼裝置來與外部裝置連接,並將後端裝置的服務提供給外部裝置,且在接收到外部裝置發送給後端裝置的網路封包時,亦作為中繼裝置識別並阻擋可疑的網路封包,以保護後端裝置免於受到外部裝置的攻擊。以下即搭配圖2中網路裝置30的各項元件,說明本實施例方法的詳細流程。
首先,在步驟S602中,由網路裝置30的處理器36取得內部網路中至少一個主機所開放的通訊埠。在一些實施例中,處理器36可利用網路介面裝置32連接內部網路,並通過內部網路與至少一個主機連線,以取得各個主機所開放的通訊埠。在其他實施例中,處理器36亦可接收人工操作,或根據出廠預設值或其他方式,從而取得各個主機所開放的通訊埠,本實施例不限制取得方式。
接著,在步驟S604中,由處理器36利用網路介面裝置32連接外部網路,並選擇允許所取得的各個主機所開放的通訊埠作為與外部裝置連接的服務端口。舉例來說,若內部網路中包括三台主機,其所開放的通訊埠分別為80、81、82,則處理器36在取得這三台主機所開放的通訊埠之後,即可向外允許通訊埠80、81、82,作為與外部裝置連接的服務端口。
然後,在步驟S606中,由處理器36利用網路介面裝置32接收外部裝置通過網路發送的網路封包,並在步驟S608中,由處理器36判斷外部裝置的識別資訊是否在阻擋名單內。
若外部裝置的識別資訊是在阻擋名單內,則在步驟S610中,由處理器36阻擋網路封包流入內部網路,並返回步驟S606,由處理器36重新接收外部裝置通過網路發送的網路封包。在一些實施例中,處理器36在阻擋網路封包流入內部網路的同時,也阻擋了對於路由器或閘道器本身的攻擊,從而保護路由器或閘道器免於受到外部攻擊。
反之,若外部裝置的識別資訊未在阻擋名單內,則在步驟S612中,由處理器36判斷此網路封包的目的端口是否為服務端口其中之一。
若目的端口為服務端口其中之一,則在步驟S616中,由處理器36利用網路介面裝置32將網路封包傳送至服務端口對應的主機,以使外部裝置通過網路裝置建立連線,並取得服務。
反之,若目的端口非為服務端口其中之一,則在步驟S614中,由處理器36將外部裝置的識別資訊加入儲存在儲存裝置34中的阻擋名單,並在步驟S610中,由處理器36阻擋網路封包流入內部網路,最後則返回步驟S606,由處理器36重新接收外部裝置通過網路發送的網路封包。
由此,本實施例通過在特定場域內由中繼裝置限制後端裝置提供服務的端口,進而阻擋對其他任意端口做探詢的來源裝置,可保護中繼裝置與後端裝置免於受到外部裝置的攻擊。
值得一提的是,在本發明的一實施例中,處理器36還會判斷網路封包的目的端口是否符合驗證規則。舉例來說,驗證規則可以為合法通訊埠X的連接順序,例如合法通訊埠的埠號為21、25、443、8080、8088,連接順序是21、8088、25、8080、443。如外部裝置第一次連入的埠號為8088,處理器36雖然會判定外部裝置連入合法通訊埠,但因不符合驗證規則,仍會阻擋外部裝置的連線。驗證規則的設計,可依照不同演算法或各類網路應用的方式進行設計,本發明不限於此。
此外,針對不同的外部裝置,網路裝置30也可以設計不同的合法通訊埠及驗證規則。舉例來說,第一外部裝置對應到的合法連接埠為X集合及第一驗證規則,第二外部裝置對應到的合法連接埠為Y集合及第二驗證規則。又或者是,不同外部裝置可以對應到相同的合法通訊埠及不同的驗證規則;不同的外部裝置可以對應到不同的合法通訊埠及相同的驗證規則。而在多個外部裝置的情形下可依此類推,於此不再贅述。
在一些實施例中,在路由器或網路地址轉換(Network Address Translation,NAT)裝置上實施上述方法時,阻擋非法外部裝置的流程可因實際需要,在進行阻斷服務攻擊(DoS attack)的防禦或目標網路地址轉換(Network Address Translation,DNAT)之後實施,藉此達到保護其他裝置的目的。
綜上所述,本發明的網路裝置及其網路攻擊阻擋方法通過本機提供服務的已知資訊,採用非白即黑策略來達到裝置保護目的,無須進行數量統計或設定臨界值,可以更簡易的實作以緩解網路洪水攻擊(network flooding attack)與阻斷服務攻擊(DoS Attack)。此方法在運算資源有限的裝置(例如使用Modbus協定的工業裝置上),能使用極低的資源達到保護效果。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
10、30:網路裝置 12:網域 32:網路介面裝置 34:儲存裝置 36:處理器 A:攻擊者 S402~S410、S502~S514、S602~S616:步驟
圖1是依照本發明一實施例所繪示之網路攻擊阻擋方法的示意圖。 圖2是依照本發明一實施例所繪示之網路裝置的方塊圖。 圖3是根據本發明的一實施例所繪示的網路攻擊阻擋方法的流程圖。 圖4是根據本發明的一實施例所繪示的網路攻擊阻擋方法的流程圖。 圖5是根據本發明的一實施例所繪示的網路攻擊阻擋方法的流程圖。
30:網路裝置 32:網路介面裝置 34:儲存裝置 36:處理器

Claims (14)

  1. 一種網路裝置,包括: 網路介面裝置,連接網路; 儲存裝置,儲存阻擋名單; 處理器,耦接所述網路介面裝置及所述儲存裝置,經配置以: 根據所述網路的環境資訊,選擇允許至少一通訊埠作為與外部裝置連接的服務端口; 利用所述網路介面裝置接收所述外部裝置通過所述網路發送的網路封包,並判斷所述網路封包的目的端口是否為所述服務端口其中之一; 若所述目的端口為所述服務端口其中之一,與所述外部裝置建立連線並提供服務;以及 若所述目的端口非為所述服務端口其中之一,阻擋所述外部裝置連線,並將所述外部裝置的識別資訊加入所述阻擋名單。
  2. 如請求項1所述的網路裝置,其中所述處理器更判斷所述外部裝置的所述識別資訊是否在所述阻擋名單內,並在判定所述識別資訊在所述阻擋名單內時,阻擋所述外部裝置連線。
  3. 如請求項1所述的網路裝置,其中所述處理器是在進行連線追蹤(connection tracking)、阻斷服務攻擊(Denial-of-Service attack,DoS attack)的防禦或目標網路地址轉換(Network Address Translation,DNAT)之前判斷所述網路封包的目的端口是否為所述服務端口以阻擋非法的所述外部裝置。
  4. 如請求項1所述的網路裝置,其中所述網路裝置為路由器或閘道器,且所述網路包括內部網路和外部網路,其中 所述處理器更取得所述內部網路中至少一主機(host)所開放的通訊埠,用以作為與所述外部裝置連接的所述服務端口。
  5. 如請求項4所述的網路裝置,其中 所述處理器接收所述外部裝置通過所述外部網路發送的網路封包,並判斷所述網路封包的目的端口是否為所述服務端口其中之一; 若所述目的端口為所述服務端口其中之一,傳送所述網路封包至所述服務端口對應的所述主機;以及 若所述目的端口非為所述服務端口其中之一,阻擋所述網路封包流入所述內部網路。
  6. 如請求項1所述的網路裝置,其中所述處理器包括依照所述網路介面裝置採用的通訊協定,選擇所述外部裝置的網際網路協定位址(Internet Protocol Address,IP Address)、媒體存取控制位址(Media Access Control Address,MAC Address)、通用唯一辨識碼(Universally Unique Identifier,UUID)或其組合作為所述識別資訊。
  7. 如請求項1所述的網路裝置,其中 所述處理器判斷所述網路封包的目的端口是否符合驗證規則; 若所述目的端口為所述服務端口其中之一,且符合所述驗證規則,與所述外部裝置建立連線並提供服務;以及 若所述目的端口不符合所述驗證規則,阻擋所述外部裝置連線,並將所述外部裝置的識別資訊加入所述阻擋名單。
  8. 一種網路攻擊阻擋方法,適用於包括網路介面裝置和處理器的網路裝置,所述方法包括下列步驟: 利用所述網路介面裝置連接網路,並根據所述網路的環境資訊,選擇允許至少一通訊埠作為與外部裝置連接的服務端口; 利用所述網路介面裝置接收所述外部裝置通過所述網路發送的網路封包,並判斷所述網路封包的目的端口是否為所述服務端口其中之一; 若所述目的端口為所述服務端口其中之一,與所述外部裝置建立連線並提供服務;以及 若所述目的端口非為所述服務端口其中之一,阻擋所述外部裝置連線,並將所述外部裝置的識別資訊加入所述阻擋名單。
  9. 如請求項8所述的方法,其中在接收所述外部裝置通過所述網路發送的網路封包的步驟之後,更包括: 判斷所述外部裝置的所述識別資訊是否在所述阻擋名單內;以及 在判定所述識別資訊在所述阻擋名單內時,阻擋所述外部裝置連線。
  10. 如請求項8所述的方法,其中判斷所述網路封包的目的端口是否為所述服務端口以阻擋非法的所述外部裝置的步驟是在進行連線追蹤、阻斷服務攻擊的防禦或目標網路地址轉換之前執行。
  11. 如請求項8所述的方法,其中所述網路裝置為路由器或閘道器,且所述網路包括內部網路和外部網路,所述方法更包括: 取得所述內部網路中至少一主機所開放的所述通訊埠,用以作為與所述外部裝置連接的所述服務端口。
  12. 如請求項11所述的方法,更包括: 接收所述外部裝置通過所述外部網路發送的網路封包,並判斷所述網路封包的目的端口是否為所述服務端口其中之一; 若所述目的端口為所述服務端口其中之一,傳送所述網路封包至所述服務端口對應的所述主機;以及 若所述目的端口非為所述服務端口其中之一,阻擋所述網路封包流入所述內部網路。
  13. 如請求項8所述的方法,其中所述識別資訊是依照所述網路介面裝置採用的通訊協定,從所述外部裝置的網際網路協定位址、媒體存取控制位址、通用唯一辨識碼或其組合中選擇。
  14. 如請求項8所述的方法,更包括: 判斷所述網路封包的目的端口是否符合驗證規則; 若所述目的端口為所述服務端口其中之一,且符合所述驗證規則,與所述外部裝置建立連線並提供服務;以及 若所述目的端口不符合所述驗證規則,阻擋所述外部裝置連線,並將所述外部裝置的識別資訊加入所述阻擋名單。
TW112121717A 2023-06-09 2023-06-09 網路裝置及其網路攻擊阻擋方法 TWI868734B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
TW112121717A TWI868734B (zh) 2023-06-09 2023-06-09 網路裝置及其網路攻擊阻擋方法
CN202310872533.8A CN119109611A (zh) 2023-06-09 2023-07-17 网络装置及其网络攻击阻挡方法
US18/366,701 US12513112B2 (en) 2023-06-09 2023-08-08 Network apparatus and network attack blocking method thereof
EP23195135.1A EP4475482B1 (en) 2023-06-09 2023-09-04 Network apparatus and network attack blocking method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW112121717A TWI868734B (zh) 2023-06-09 2023-06-09 網路裝置及其網路攻擊阻擋方法

Publications (2)

Publication Number Publication Date
TW202450274A TW202450274A (zh) 2024-12-16
TWI868734B true TWI868734B (zh) 2025-01-01

Family

ID=87929966

Family Applications (1)

Application Number Title Priority Date Filing Date
TW112121717A TWI868734B (zh) 2023-06-09 2023-06-09 網路裝置及其網路攻擊阻擋方法

Country Status (4)

Country Link
US (1) US12513112B2 (zh)
EP (1) EP4475482B1 (zh)
CN (1) CN119109611A (zh)
TW (1) TWI868734B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109862045A (zh) * 2019-04-01 2019-06-07 中科天御(苏州)科技有限公司 一种基于sdn的工业控制系统动态防御方法及装置
TWI783195B (zh) * 2019-12-18 2022-11-11 中華資安國際股份有限公司 網路資安系統、其方法及電腦可讀儲存媒介

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060212572A1 (en) * 2000-10-17 2006-09-21 Yehuda Afek Protecting against malicious traffic
JP2002152279A (ja) * 2000-11-10 2002-05-24 Sony Corp ネットワーク接続制御装置及びその方法
EP1461704B1 (en) 2001-12-10 2014-08-06 Cisco Technology, Inc. Protecting against malicious traffic
US20120023572A1 (en) 2010-07-23 2012-01-26 Q-Track Corporation Malicious Attack Response System and Associated Method
US7380123B1 (en) 2003-10-02 2008-05-27 Symantec Corporation Remote activation of covert service channels
US7930740B2 (en) * 2005-07-07 2011-04-19 International Business Machines Corporation System and method for detection and mitigation of distributed denial of service attacks
US8495710B2 (en) 2009-12-11 2013-07-23 International Business Machines Corporation Port tapping for secure access
US20160149933A1 (en) 2014-11-25 2016-05-26 Canon Kabushiki Kaisha Collaborative network security
US20160173526A1 (en) * 2014-12-10 2016-06-16 NxLabs Limited Method and System for Protecting Against Distributed Denial of Service Attacks
GB2581389B (en) * 2019-02-15 2021-12-29 F Secure Corp Spam detection
US11695794B2 (en) * 2019-04-03 2023-07-04 Deutsche Telekom Ag Method and system for clustering darknet traffic streams with word embeddings
US11882137B2 (en) 2019-10-21 2024-01-23 Avast Software, S.R.O. Network security blacklist derived from honeypot statistics
CN114650153B (zh) 2020-12-17 2024-04-05 浙江宇视科技有限公司 一种视频网络安全风险防范系统及防范方法
CN114422163B (zh) 2021-11-26 2023-07-21 苏州浪潮智能科技有限公司 一种内网安全防护方法、系统、计算机设备及存储介质
US20230269229A1 (en) * 2022-02-24 2023-08-24 Google Llc Protecting Organizations Using Hierarchical Firewalls
US12155691B2 (en) * 2022-04-25 2024-11-26 At&T Intellectual Property I, L.P. Detecting and mitigating denial of service attacks over home gateway network address translation
JP2024008652A (ja) * 2022-07-08 2024-01-19 ブラザー工業株式会社 通信装置と通信装置のためのコンピュータプログラム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109862045A (zh) * 2019-04-01 2019-06-07 中科天御(苏州)科技有限公司 一种基于sdn的工业控制系统动态防御方法及装置
TWI783195B (zh) * 2019-12-18 2022-11-11 中華資安國際股份有限公司 網路資安系統、其方法及電腦可讀儲存媒介

Also Published As

Publication number Publication date
EP4475482B1 (en) 2025-06-25
EP4475482A1 (en) 2024-12-11
US12513112B2 (en) 2025-12-30
US20240414124A1 (en) 2024-12-12
CN119109611A (zh) 2024-12-10
TW202450274A (zh) 2024-12-16

Similar Documents

Publication Publication Date Title
Luo et al. RPAH: Random port and address hopping for thwarting internal and external adversaries
US12355725B2 (en) Systems and methods for blocking spoofed traffic
Achleitner et al. Adversarial network forensics in software defined networking
CN113422774B (zh) 一种基于网络协议的自动化渗透测试方法、装置及存储介质
WO2019179375A1 (zh) 一种防御网络攻击的方法及装置
CN102014110A (zh) 认证通信流量的方法、通信系统和防护装置
JP2015165614A (ja) 通信装置および通信装置における通信制御方法
Feng et al. {off-path} network traffic manipulation via revitalized {ICMP} redirect attacks
Shulman et al. Fragmentation considered leaking: port inference for dns poisoning
AbdelSalam et al. An automated approach for preventing ARP spoofing attack using static ARP entries
Huraj et al. IoT measuring of UDP-based distributed reflective DoS attack
Gondaliya et al. Comparative evaluation of IP address anti-spoofing mechanisms using a P4/NetFPGA-based switch
KrishnaKumar et al. Hop count based packet processing approach to counter DDoS attacks
Convery et al. Ipv6 and ipv4 threat comparison and best-practice evaluation (v1. 0)
WO2009064114A2 (en) Protection method and system for distributed denial of service attack
TWI868734B (zh) 網路裝置及其網路攻擊阻擋方法
Suethanuwong An Effective Prevention Approach Against ARP Cache Poisoning Attacks in MikroTik-based Networks
Khurana A security approach to prevent ARP poisoning and defensive tools
Scott-Hayward et al. OFMTL-SEC: State-based security for software defined networks
KR101593897B1 (ko) 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법
JP2017200152A (ja) 通信制限範囲特定装置、通信制御装置、通信装置、通信システム、通信制限範囲特定方法、及びプログラム
CN115550065A (zh) 基于大规模多数据源的一体化网络安全分析系统及方法
Arjuman et al. A review on ICMPv6 vulnerabilities and its mitigation techniques: Classification and art
Najjar et al. Ipv6 change threats behavior
Sharma Ipv6 and ipv4 security challenge analysis and best-practice scenario