CN101197809B - 一种阻断蠕虫传播的方法及实现该方法的装置 - Google Patents
一种阻断蠕虫传播的方法及实现该方法的装置 Download PDFInfo
- Publication number
- CN101197809B CN101197809B CN2006101403927A CN200610140392A CN101197809B CN 101197809 B CN101197809 B CN 101197809B CN 2006101403927 A CN2006101403927 A CN 2006101403927A CN 200610140392 A CN200610140392 A CN 200610140392A CN 101197809 B CN101197809 B CN 101197809B
- Authority
- CN
- China
- Prior art keywords
- worm
- packet
- address
- arp
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的目的在于提供一种阻断蠕虫传播的方法,该方法包括:监听网络数据的步骤,在该步骤中监听二层网络冲突域所有数据包;判断目的MAC地址是否是蠕虫机的步骤,在该步骤中判定监听到的数据包的目的MAC地址是否是被标志为蠕虫的主机;判定是否是正常主机的ARP广播包的步骤,如果在判断目的MAC地址是否是蠕虫机的步骤中判定为非蠕虫机,则进一步判定该数据包是否是ARP广播包;向蠕虫机发送伪装ARP应答包的步骤,如果在判断目的MAC地址是否是蠕虫机的步骤中判定为蠕虫机,则向该蠕虫机发送伪装ARP应答包,如果在判定是否是正常主机的ARP广播包的步骤中判定为ARP广播包,则依次向已确认存在的所有蠕虫机发送伪装成该正常主机的ARP应答包。
Description
技术领域
本发明涉及阻断蠕虫传播的方法及实现该方法的装置,特别涉及计算机网络与数据通信中的阻断蠕虫传播的方法及实现该方法的装置。
背景技术
从1988年11月2号由Morris编写的一只基于BSD Unix的蠕虫出现以来,每一次蠕虫的爆发都会创造巨大的经济损失。随着越来越多的蠕虫出现,对蠕虫进行深入研究并提出行之有效阻断其传播的方法,提供安全的网络环境已成为我们亟待解决的问题。
蠕虫通常利用网络来传播特定的信息或错误,进而造成网络服务遭到拒绝或产生错误。同时因为其传播迅速造成网络带宽大量消耗,进而造成网络工作异常。蠕虫的特点之一是不需要人为干预,能够自主不断地复制和传播,因此破坏性极大。
传统蠕虫攻击的阻断主要采用以下两种方法:
1)利用防火墙封禁蠕虫传播所使用的端口。该方法是将已知蠕虫所使用的端口利用防火墙等网络安全产品进行阻断,从而阻断蠕虫传播。一方面,这种方法必须事先已经知道蠕虫传播时使用的端口。然而目前很多蠕虫采用大家熟知的端口,例如TCP/80(Web服务默认使用的端口),如果贸然封禁会影响正常的网络活动。另一方面,防火墙是一个网络边界安全主机,只能阻断流经防火墙的数据包,对于发生在网络内部的蠕虫活动,无法阻断。
2)第二种方法主要采用于蠕虫特征匹配检测并阻断蠕虫。该方法通常依赖特殊的网络安全主机,该主机置于网络边界区。对于进入网络内部的所有数据包,实时监控。通过丢弃与蠕虫特征匹配成功的数据包来防止蠕虫传播。由于该方法也是设置在网络边界区,因此对于发生的网络内部的蠕虫活动,仍然无法有效阻断。
综上所述,传统蠕虫阻断方法只能针对跨越蠕虫阻断主机内外两个区的主机之间阻断蠕虫传播,针对内部网络之间的蠕虫传播无法有效阻断。综上所述,需要一种能够适应各种网络拓朴环境,并对网络之间及网络内部都有效的蠕虫阻断装置与方法。
发明内容
本发明的目的在于提供一种能够适应多种网络拓朴结构,实时阻断网络之间以及网络内部蠕虫传播的方法及实现该方法的装置,该方法的前提是针对通过蠕虫检测方法已经被确认并标记为蠕虫机的主机进行阻断,该方法及装置能够实时阻断感染蠕虫主机,有效防止蠕虫在网络上的传播,减少蠕虫对网络的破坏。
本发明的阻断蠕虫传播的方法包括如下步骤:监听网络数据的步骤,在该步骤中监听二层网络冲突域所有数据包;判断目的MAC地址是否是蠕虫机的步骤,在该步骤中判定监听到的数据包的目的MAC地址是否是被标志为蠕虫的主机,MAC即介质访问控制;判定是否是正常主机的ARP广播包的步骤,如果在判断目的MAC地址是否是蠕虫机的步骤中判定为非蠕虫机,则进一步判定该数据包是否是ARP广播包;向蠕虫机发送伪装ARP应答包的步骤,如果在判断目的MAC地址是否是蠕虫机的步骤中判定为蠕虫机,则向该蠕虫机发送伪装ARP应答包,如果在判定是否是正常主机的ARP广播包的步骤中判定为ARP广播包,则依次向已确认存在的所有蠕虫机发送伪装成该正常主机的ARP应答包,ARP即地址解析协议。
本发明的阻断蠕虫传播的方法还包括如下步骤:攻击吸收步骤,该步骤负责将被欺骗的蠕虫发送的攻击包丢弃。
本发明的阻断蠕虫传播的装置包括如下单元:监听网络数据的单元,该单元监听二层网络冲突域所有数据包;判断目的MAC地址是否是蠕虫机的单元,该单元判断监听到的数据包的目的MAC地址是否是被标志为蠕虫的主机;判定是否是正常主机的ARP广播包的单元,如果判断目的MAC地址是否是蠕虫机的单元判定监听到的数据包的目的MAC地址为非蠕虫机,则该单元进一步判定该数据包是否是ARP广播包;向蠕虫机发送伪装ARP应答包的单元,如果判断目的MAC地址是否是蠕虫机的单元判定监听到的数据包的目的MAC地址为蠕虫机,则向该蠕虫机发送伪装ARP应答包;如果判定是否是正常主机的ARP广播包的单元判定监听到的数据包为正常主机的ARP广播包,则依次向已确认存在的所有蠕虫机发送伪装成该正常主机的ARP应答包。
本发明的阻断蠕虫传播的装置的特征还在于,还包括如下单元:一攻击吸收单元,该单元负责将被欺骗的蠕虫发送的攻击包丢弃。
由于吸收单元的存在,可以保证该流量不会对其它单元产生影响,同时降低网络负载,减少该流量对网络中其它主机的影响。
本发明基于以下理论基础:
(1)网络中除特殊用途的主机外,各种主机或主机的网卡在正常情况下,只接收并处理网络中目的MAC地址与自己相同或MAC地址为广播或组播地址的数据包。
(2)主机收到冲突域中的ARP请求数据包或ARP应答包时,会依据ARP数据包中的源MAC地址与源IP地址,对各自系统中MAC/IP缓冲区进行更新。
(3)当主机向其它主机发送数据包时,会首先查询该主机自身系统中的MAC/IP缓存区。当在该缓存区找到目标主机的MAC地址时,将直接使用该缓冲区中对应的MAC地址。当在缓存区中没有找到目标主机的MAC地址时,会发送ARP请求包,等待目标主机回复。
(4)通过发送包含欺骗信息的ARP应答包给感染蠕虫的主机,可以欺骗蠕虫主机将攻击数据包发送到指定MAC地址的主机中。
本发明的阻断如虫传播的方法的主题思想是:采用ARP欺骗,发送经过伪装的数据包到可疑主机,欺骗其将蠕虫传播目标MAC转向阻断装置中专门设置的一个吸收单元。具体而言:当感染如蠕虫的主机传播蠕虫时,必须要获得被攻击对象的IP地址与MAC地址。因此,只要在所有可能造成蠕虫主机获得目标攻击对象的MAC地址的数据包到达感染蠕虫主机之后,都立即让蠕虫机收到一个对应的包含欺骗信息的ARP应答包,即可让蠕虫机无法获得正常主机的MAC,从而导致蠕虫无法将攻击数据包成功发送至被攻击对象。
综上所述,本发明提供了一个阻断蠕虫的方法及实现该方法的装置,该装置可透明接入现实网络中,实时阻断感染蠕虫主机,有效防止蠕虫在网络上传播,减少蠕虫对网络的破坏。由于本发明中所描述的方法采用攻击目标欺骗的方式,因此针对网络之间或网络内部,都能有效阻断蠕虫传播。
附图说明
图1是本发明的阻断蠕虫传播的方法的流程图。
图2是本发明的阻断蠕虫传播的装置的方框图。
具体实施方式
以下参照附图对本发明的阻断蠕虫传播的方法及装置进行详细说明。
图1是本发明的阻断蠕虫传播的方法的流程图。本发明的阻断蠕虫传播的方法包括如下步骤:监听网络数据的步骤S10,在该步骤中监听二层网络冲突域所有数据包;判断目的MAC地址是否是蠕虫机的步骤S20,在该步骤中判定监听到的数据包的目的MAC地址是否是被标志为蠕虫的主机;判定是否是正常主机的ARP广播包的步骤S30,如果在判断目的MAC地址是否是蠕虫机的步骤中判定为非蠕虫机,则进一步判定该数据包是否是ARP广播包;向蠕虫机发送伪装ARP应答包的步骤S40,如果在判断目的MAC地址是否是蠕虫机的步骤中判定为蠕虫机,则向该蠕虫机发送伪装ARP应答包S40,如果在判定是否是正常主机的ARP广播包的步骤中判定为ARP广播包,则依次向已确认存在的所有蠕虫机发送伪装成该正常主机的ARP应答包S50。
图2是本发明的阻断蠕虫传播的装置的方框图。本发明的阻断蠕虫传播的装置包括:监听网络数据的单元2,该单元与以太网连接,监听二层网络冲突域所有数据包;判断目的MAC地址是否是蠕虫机的单元3,该单元判断监听到的数据包的目的MAC地址是否是被标志为蠕虫的主机;判定是否是正常主机的ARP广播包的单元5,如果判断目的MAC地址是否是蠕虫机的单元判定监听到的数据包的目的MAC地址为非蠕虫机,则该单元进一步判定该数据包是否是ARP广播包;向蠕虫机发送伪装ARP应答包的单元4,如果判断目的MAC地址是否是蠕虫机的单元3判定监听到的数据包的目的MAC地址为蠕虫机,则向该蠕虫机发送伪装ARP应答包;如果判定是否是正常主机的ARP广播包的单元5判定监听到的数据包为正常主机的ARP广播包,则依次向已确认存在的所有蠕虫机发送伪装成该正常主机的ARP应答包。
所述监听网络数据的关键步骤如下:
(1)将信息收集单元以透明桥方式接入网络环境中;
(2)将单元中的网卡设置为混杂模式,从而可以监听所有二层交换机下的网络主机之间通信的数据包;
(3)将收集到的信息存放在缓冲存贮设备例如高速内存等,等待处理。
另外,本发明的阻断蠕虫传播的装置还包括一攻击吸收单元,该单元负责将被欺骗的蠕虫发送的攻击包丢弃。
由于该单元的存在,可以保证该流量不会对其它单元产生影响,同时降低网络负载,减少该流量对网络中其它主机的影响。
本发明的阻断蠕虫的方法及实现该方法的装置可透明接入现实网络中,实时阻断感染蠕虫主机,有效防止蠕虫在网络上传播,减少蠕虫对网络的破坏。由于本发明中所描述的方法采用攻击目标欺骗的方式,因此针对网络之间或网络内部,都能有效阻断蠕虫传播。
Claims (4)
1.一种阻断蠕虫传播的方法,其特征在于,包括:
监听网络数据的步骤,在该步骤中监听二层网络冲突域所有数据包;
判断目的MAC地址是否是蠕虫机的步骤,在该步骤中判定监听到的数据包的目的MAC地址是否是被标志为蠕虫的主机,MAC即介质访问控制;
判定是否是正常主机的ARP广播包的步骤,如果在判断目的MAC地址是否是蠕虫机的步骤中判定为非蠕虫机,则进一步判定该数据包是否是ARP广播包,ARP即地址解析协议;
向蠕虫机发送伪装ARP应答包的步骤,如果在判断目的MAC地址是否是蠕虫机的步骤中判定为蠕虫机,则向该蠕虫机发送伪装ARP应答包,如果在判定是否是正常主机的ARP广播包的步骤中判定为ARP广播包,则依次向已确认存在的所有蠕虫机发送伪装成该正常主机的ARP应答包。
2.如权利要求1所述的阻断蠕虫传播的方法,其特征在于,还包括:
攻击吸收步骤,该步骤负责将被欺骗的蠕虫发送的攻击包丢弃。
3.一种阻断蠕虫传播的装置,其特征在于,包括:
监听网络数据的单元,该单元监听二层网络冲突域所有数据包;
判断目的MAC地址是否是蠕虫机的单元,该单元判断监听到的数据包的目的MAC地址是否是被标志为蠕虫的主机;
判定是否是正常主机的ARP广播包的单元,如果判断目的MAC地址是否是蠕虫机的单元判定监听到的数据包的目的MAC地址为非蠕虫机,则该单元进一步判定该数据包是否是ARP广播包;
向蠕虫机发送伪装ARP应答包的单元,如果判断目的MAC地址是否是蠕虫机的单元判定监听到的数据包的目的MAC地址为蠕虫机,则向该蠕虫机发送伪装ARP应答包;如果判定是否是正常主机的ARP广播包的单元判定监听到的数据包为正常主机的ARP广播包,则依次向已确认存在的所有蠕虫机发送伪装成该正常主机的ARP应答包。
4.如权利要求3所述的阻断蠕虫传播的装置,其特征在于,还包括:一攻击吸收单元,该单元负责将被欺骗的蠕虫发送的攻击包丢弃。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101403927A CN101197809B (zh) | 2006-12-08 | 2006-12-08 | 一种阻断蠕虫传播的方法及实现该方法的装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101403927A CN101197809B (zh) | 2006-12-08 | 2006-12-08 | 一种阻断蠕虫传播的方法及实现该方法的装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101197809A CN101197809A (zh) | 2008-06-11 |
| CN101197809B true CN101197809B (zh) | 2010-09-08 |
Family
ID=39547959
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101403927A Expired - Fee Related CN101197809B (zh) | 2006-12-08 | 2006-12-08 | 一种阻断蠕虫传播的方法及实现该方法的装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101197809B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101895543B (zh) * | 2010-07-12 | 2012-12-05 | 江苏华丽网络工程有限公司 | 一种基于网络交换设备的有效防御洪水攻击的方法 |
| CN102916975A (zh) * | 2012-11-14 | 2013-02-06 | 吉林大学 | 一种推测网络蠕虫传播路径的方法 |
| CN114024716B (zh) * | 2021-10-05 | 2022-10-28 | 广州非凡信息安全技术有限公司 | 一种基于mac地址动态欺骗实现定向微隔离的方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1744607A (zh) * | 2005-10-10 | 2006-03-08 | 广东省电信有限公司研究院 | 一种阻断蠕虫攻击的系统和方法 |
-
2006
- 2006-12-08 CN CN2006101403927A patent/CN101197809B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1744607A (zh) * | 2005-10-10 | 2006-03-08 | 广东省电信有限公司研究院 | 一种阻断蠕虫攻击的系统和方法 |
Non-Patent Citations (2)
| Title |
|---|
| 于忠,于会.网络蠕虫预警与隔离控制方法研究.科技通报22 4.2006,22(4),544-548. * |
| 亓俊红,苏波.基于蠕虫传播机理的主动防御策略.山东理工大学学报(自然科学版)20 6.2006,20(6),62-65. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101197809A (zh) | 2008-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4174392B2 (ja) | ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置 | |
| CN101415012B (zh) | 一种防御地址解析协议报文攻击的方法和系统 | |
| CN102111394B (zh) | 网络攻击防护方法、设备及系统 | |
| CN111756712B (zh) | 一种基于虚拟网络设备伪造ip地址防攻击的方法 | |
| CN100563149C (zh) | 一种dhcp监听方法及其装置 | |
| CN105812318B (zh) | 用于在网络中防止攻击的方法、控制器和系统 | |
| CN102546661B (zh) | 一种防止IPv6网关邻居欺骗攻击的方法及系统 | |
| CN105337890B (zh) | 一种控制策略生成方法以及装置 | |
| CN102025734A (zh) | 一种防止mac地址欺骗的方法、系统及交换机 | |
| CN102137073B (zh) | 一种防止仿冒ip地址进行攻击的方法和接入设备 | |
| Xing et al. | Research on the defense against ARP spoofing attacks based on Winpcap | |
| CN110266678A (zh) | 安全攻击检测方法、装置、计算机设备及存储介质 | |
| WO2012014509A1 (ja) | 不正アクセス遮断制御方法 | |
| CN107241313A (zh) | 一种防mac泛洪攻击的方法及装置 | |
| CN104901953A (zh) | 一种arp欺骗的分布式检测方法及系统 | |
| CN101197809B (zh) | 一种阻断蠕虫传播的方法及实现该方法的装置 | |
| CN101094235B (zh) | 一种防止地址解析协议攻击的方法 | |
| CN101141396B (zh) | 报文处理方法和网络设备 | |
| CN105429975B (zh) | 一种基于云终端的数据安全防御系统、方法及云终端安全系统 | |
| CN101552677B (zh) | 一种地址检测报文的处理方法和交换设备 | |
| Spangler | Packet sniffing on layer 2 switched local area networks | |
| CN102572013A (zh) | 一种基于免费arp实现代理arp的方法及系统 | |
| CN101771575B (zh) | 一种处理ip分片报文的方法、装置及系统 | |
| Fayyaz et al. | Using JPCAP to prevent man-in-the-middle attacks in a local area network environment | |
| Li et al. | Prospect for the future internet: A study based on TCP/IP vulnerabilities |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100908 Termination date: 20141208 |
|
| EXPY | Termination of patent right or utility model |