[发明专利]物联网感知层终端ARP中间人攻击防护设计

权利要求书

1.物联网感知层终端ARP中间人攻击防护方法，其特征在于，包括以下两大部分：

(1)让由物联网终端发出的同IP网段网络数据和ARP数据报文走Linux内核网络子系统Netfilter模块，实现捕获同IP网段的ARP数据报文，具体实施步骤如下；

(i)取用一个支持多个网口的SOC芯片，所述SOC芯片具体为MTK7621系、MTK7628系、MTK7620系SOC芯片中的一个，将SOC芯片的每个网口单独划分一个虚拟局域网；

(ii)将每个虚拟局域网都挂载到同一个网桥中；

(iii)将同IP网段网络数据和ARP数据报文向Linux内核网络子系统Netfilter模块中发送；

(iv)Netfilter模块将处理后同ip网段网络数据和ARP数据报文送入网桥，并经由网桥将处理后的通信流量送往除发送网口以外的其它网口；

(2)所述步骤(iv)的处理操作过程在Netfilter模块中执行ARP数据报文中间人攻击行为判定函数，并检测ARP数据报文中间人攻击行为,具体实施步骤如下：

(i)使ARP数据报文经过Linux内核网络子系统Netfilter模块，在Netfilter模块的NF_ARP_FORWARD节点处挂载hookfunction，捕获ARP协议帧，并进一步的捕获、分离ARP数据报文；

Netfilter模块对捕获到的ARP数据报文做协议解析，分析ARP数据报文在广播、通信时携带的MAC地址绑定的IP是否为真实IP；如果Netfilter模块分析到的所述绑定的IP为非真实IP，Netfilter模块立即做通信阻断，所述物联网终端IP保持不变，且同一虚拟局域网下的IP为同网段IP，其中，同IP网段下部署物联网终端，无需重新划分IP的网段。