CN101247217B - 防止地址解析协议流量攻击的方法、单元和系统 - Google Patents
防止地址解析协议流量攻击的方法、单元和系统 Download PDFInfo
- Publication number
- CN101247217B CN101247217B CN2008101020596A CN200810102059A CN101247217B CN 101247217 B CN101247217 B CN 101247217B CN 2008101020596 A CN2008101020596 A CN 2008101020596A CN 200810102059 A CN200810102059 A CN 200810102059A CN 101247217 B CN101247217 B CN 101247217B
- Authority
- CN
- China
- Prior art keywords
- attack
- arp
- module
- access switch
- disabled user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种防止地址解析协议流量攻击的方法、单元和系统,该方法包括:检测网络中具有相同特征的ARP报文的数量;判断所述数量是否超过了预设的阈值,若超过所述阈值则发送所述ARP流量攻击发生的通知信息;根据所述通知信息对发起所述ARP流量攻击的非法用户进行定位;对定位到的所述非法用户进行处理。该系统包括:网关设备单元、防止ARP流量攻击处理单元、接入交换机单元。通过本发明,在检测之前只需进行一次性的配置就能够实时地对ARP报文进行检测、定位,对非法用户的处理方式也是灵活多样,从而极大地降低了管理员的工作量,达到了管理方便,操作简单且智能化的效果。
Description
技术领域
本发明涉及网络数据通信安全领域,特别涉及一种防止ARP流量攻击的方法、单元和系统。
背景技术
随着网络的迅速发展,数据通信网络的安全问题也备受关注。当不同子网之间的主机进行通信时,需要通过网关设备将通信数据进行转发,而网关设备需要支持地址解析协议(Address Resolution Protocol,以下简称:ARP)技术,并对ARP报文进行处理来保证网关设备的正常工作以及实现网络通信的正常进行。但是,在网络数据通信过程中经常有非法用户以大量合法的ARP报文向网关设备发起ARP请求或者响应,导致网关设备的ARP处理资源以及大量的网络带宽被这些ARP报文耗尽,从而使网关设备无法处理其它合法用户的ARP请求或者响应报文,导致合法用户无法通过网关设备的ARP解析访问其它子网的网络资源;同时,网关设备也无法发起对其它合法用户的ARP请求,导致其它子网的ARP报文也无法转发到本子网的主机上,最终产生大量用户断线的情况。
在现有技术中,对于ARP流量攻击还没有比较好的解决方法,一般来说主要采用人工检测定位和处理的方法:首先,管理员在每个网络中的各个位置抓取ARP报文分析,定位当前的ARP流量攻击来自于哪台计算机,然后对定位后的计算机进行杀毒、下线等处理。在定位过程中主要依靠人为手段对发起ARP流量攻击的计算机进行排查,在后续处理中也采用人工手段对发起ARP流量攻击的计算机进行处理,因此这种解决方式具有以下缺陷:
1、由于网络遭受ARP流量攻击的不确定性使得管理员不能及时发现问题的存在,对于间歇性的ARP流量攻击,管理员根本无法发现问题的存在或者误判为ARP欺骗;
2、由于采用人工处理,所以当网络中出现ARP流量攻击时,管理员不能快速地对发起ARP流量攻击的非法用户进行检测定位和处理;
3、管理员采用在不同网络位置抓取报文的方式对非法用户进行定位,导致工作量巨大;
4、即使管理员能够定位发起ARP流量攻击的非法用户,也不能对其进行灵活的处理,而只能通过关闭发起攻击的主机或者拔掉发起攻击的主机的网线然后进行杀毒来处理。
发明内容
本发明的目的是为了克服上述现有技术的缺陷,提供一种可以高效、灵活地防止ARP流量攻击的方法、单元和系统。
为实现上述目的,本发明提供了一种防止ARP流量攻击的方法,该方法包括:
建立网关设备和接入交换机之间的映射关系,所述映射关系为网关设备的IP地址与网关设备的端口地址之间的映射关系以及网关设备的端口地址与接入交换机的IP地址之间的映射关系;
检测网络中具有相同特征的ARP报文的数量;
判断所述数量是否超过了预设的阈值,若超过所述阈值则发送所述ARP流量攻击发生的通知信息;
根据所述通知信息对发起所述ARP流量攻击的非法用户进行定位;
对定位到的所述非法用户进行处理。
本发明还提供了一种防止ARP流量攻击处理单元,包括:攻击通知接收模块、第一存储模块以及攻击处理模块,其中,
所述攻击通知接收模块,用于接收ARP流量攻击发生的通知信息,将所述通知信息存入所述第一存储模块,并将所述通知信息下发给所述攻击处理模块;
所述第一存储模块,用于存储所述防止ARP流量攻击处理单元的配置信息和所述通知信息;
所述攻击处理模块,用于当接收到来自于所述攻击通知接收模块的通知信息时,根据所述第一存储模块中的配置信息对发送ARP流量攻击的非法用户进行定位并向所述非法用户下发处理命令。
本发明还提供了一种防止ARP流量攻击系统,包括:防止ARP流量攻击处理单元、网关设备单元以及接入交换机单元,其中
所述网关设备单元,用于检测ARP流量攻击并向所述防止ARP流量攻击处理单元发出通知信息;
所述接入交换机单元,用于接收所述防止ARP流量攻击处理单元下发的处理方式并对所述非法用户进行处理。
由上述技术方案可知,通过本发明能够实时地对网络中的ARP报文进行检测,一旦出现ARP流量攻击即可迅速地定位和处理,极大地降低了管理员的工作量,达到了智能化的效果;并且,在对ARP流量攻击进行检测、定位和处理过程中只需要进行一次性的配置,后续不需要再进行手动处理,达到了管理方便,操作简单的效果。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为本发明防止ARP流量攻击的方法实施例一的流程图;
图2为本发明防止ARP流量攻击的方法实施例二的流程图;
图3为本发明防止ARP流量攻击处理单元实施例的结构框图;
图4为本发明防止ARP流量攻击系统实施例的结构框图一;
图5为本发明防止ARP流量攻击系统实施例的结构框图二。
具体实施方式
方法实施例一
如图1所示为本发明防止ARP流量攻击的方法实施例一的流程图,该方法包括以下步骤:
步骤11、检测网络中具有相同特征的ARP报文的数量;
正常情况下,在发送报文时使用ARP协议进行ARP请求的过程是由操作系统完成的,所以每台主机通常只需要将一个ARP请求报文发往网关设备即可实现IP地址和MAC地址的解析过程。基于这一原理,网关设备就可以通过检测在一定时间范围内网络中具有相同特征的ARP报文的数量来确定是否在当前网络中发生了ARP流量攻击。
步骤12、判断所述数量是否超过了预设的阈值,若超过所述阈值则执行步骤13,若没有超过则执行步骤11;
步骤13、发送所述ARP流量攻击发生的通知信息;
步骤13中的通知信息具体包括:网关设备的IP地址、非法用户的MAC地址和非法用户所处的网关设备的端口。
可以预先为网络中同时存在具有相同特征的ARP报文的数量设定阈值,如设定每秒钟网络中具有同源IP地址和源MAC地址的ARP请求或者响应的报文数量为15个;将一定时间范围内网络中检测到的具有相同特征ARP报文的数量与该阈值进行比较,如果超过了这个预设的阈值,则判断当前网络中存在ARP流量攻击同时发送通知信息,如果没有超过这个预设的阈值,则继续检测网络中具有相同特征的ARP报文的数量。
步骤14、根据所述通知信息对发起所述ARP流量攻击的非法用户进行定位;
根据该通知信息所携带的如IP地址,端口号等信息将发起ARP流量攻击的非法用户定位在一个接入交换机的一个端口之下。
步骤15、对定位到的所述非法用户进行处理。
在对发起ARP流量攻击的非法用户进行定位后,就可以针对该非法用户进行一系列的处理,从而禁止该非法用户发起的ARP流量攻击。
通过对发起ARP流量攻击的非法用户进行的检测、定位和处理的联动过程,能够实时检测网络中ARP流量攻击是否存在并对检测结果进行处理,从而杜绝非法用户通过ARP流量攻击对网络资源和流量的消耗,保证网络中的合法用户能够正常使用网络资源,达到维护网络安全的效果。
方法实施例二
如图2所示为本发明防止ARP流量攻击的方法实施例二的流程图,包括
步骤20、建立网关设备和接入交换机之间的映射关系;
该映射关系代表网关设备的端口与该端口下存在的接入交换机之间的对应关系。建立网关设备和接入交换机之间映射关系的方式可以为接入交换机使用自身的MAC地址通过标准网关设备中存储的端口和MAC地址的映射表(802.1d表)轮询所有网关设备,从网关设备上获取接入交换机自身在网关设备的哪个端口下面;也可以通过网关信息,交换机信息以及获取到的端口信息,建立起一个接入交换机IP-网关设备IP-对应网关设备端口之间对应关系映射表,通过该映射表,可以得知在某台网关设备的某个端口下,存在哪些接入交换机。
通过建立映射关系,能够缩小网关设备查找接入交换机的范围。当网络中发生ARP流量攻击时,对发出攻击的非法用户的定位更加方便,效率更高。
步骤21、设置网络中具有相同源IP地址和源MAC地址的ARP报文的数量的阈值;
步骤22、检测网络中具有相同源IP地址和源MAC地址的ARP报文的数量;
网关设备以ARP报文体中的源IP地址和源MAC地址作为索引,统计一定时间范围内(通常为1秒,可自行调整)收到的同源IP地址和源MAC地址的ARP报文。
需要指出的是,本发明是在保证ARP报文正确的前提下提出的,排除了由于ARP欺骗可能会出现源IP地址和源MAC地址变化或者虚假的ARP报文,即不考虑ARP欺骗的情况。
步骤23、判断检测的数量是否超过了预设的阈值,若超过该阈值则执行步骤24,若没有超过则执行步骤22;
通过设置网络中具有相同源IP地址和源MAC地址的ARP报文数量的阈值,并将当前网络中的ARP报文的统计数量与该阈值进行比较就能够达到实时判断网络中是否存在ARP报文攻击的效果。在这个过程中仅存在一次阈值参数的配置即可实现ARP报文攻击的检测,因此不需人工干涉,减轻了网络管理员的工作量,达到了智能化的效果。
步骤24、发送包含网关设备的IP地址、非法用户的MAC地址以及非法用户所处的网关设备的端口的ARP流量攻击发生的通知信息;
该通知信息可以采用SNMP Trap报文发送,其中非法用户的MAC地址是从非法用户发送的ARP报文中提取到的。
步骤25、从所述通知信息中获取所述非法用户的MAC地址;
步骤26、对可能连接有所述非法用户的接入交换机进行定位;
步骤27、根据所述非法用户的所述MAC地址对可能连接有所述非法用户的所述接入交换机的端口进行定位;
通过通知信息中携带的网关IP地址查找网关设备与接入交换机之间的映射关系,就可以获得该攻击用户可能位于哪台接入交换机(若不建立映射表也可以采用在整个网络中搜索的方式);再根据通知信息中携带的非法用户MAC地址,就能够从已经定位的这几台交换机中找出该非法用户位于哪个接入交换机的哪个端口下,从而达到对非法用户进行定位的目的。
步骤28、向被定位的接入交换机下发访问控制列表;
步骤29、关闭被定位的接入交换机中的所述端口。
当已经对非法用户进行定位之后,可以使用SNMP Trap报文向接入交换机下发相应的处理方式,该处理方式可以为向接入交换机下发访问控制列表(Access Control List,简称ACL),通过该访问控制列表可以给路由器或者交换机设置一些控制指令列表,通过该列表就可以控制网络设备对接收和转发的数据包进行选择,决定哪些数据包是可以接收和转发的哪些是需要拒绝接收和转发的,从而达到对接入到该交换机中的非法用户进行限制;该处理方式也可以为关闭接入交换机端口,这种方式彻底杜绝了该非法用户的任何报文通过接入交换机到达网关设备,从而杜绝了该非法用户的ARP报文攻击。
通过上述方案就实现了对ARP流量攻击进行检测、定位和处理。在整个流程中只需要进行一次参数配置即可,网络管理员不需要做其它任何的干涉,减轻了网络管理员的工作量;由于通过网络设备系统对ARP流量进行实时检测,因此只要网络中一出现这样的ARP流量攻击就能够立刻被检测到,并且通过下发通知信息达到定位和处理的联动,使得发出ARP流量攻击的非法用户能够立刻被定位到,并且进行处理。由于在整个过程中,ARP流量攻击的影响被限制在网络入口处,在非法用户的接入部分就对该用户进行了处理,因此不会对其它网络设备和整体的网络带宽产生影响。
防止ARP流量攻击处理单元实施例
如图3所示为本发明防止ARP流量攻击处理单元实施例的结构框图。
该防止ARP流量攻击处理单元包括:第一存储模块310、攻击通知接收模块313、攻击处理模块314、,其中:
第一存储模块310,用于存储防止ARP流量攻击处理单元的配置信息和通知信息;
攻击通知接收模块313,用于接收ARP流量攻击发生的通知信息,将该通知信息存入第一存储模块310,并将该通知信息下发给攻击处理模块314;
攻击处理模块314,用于当接收到来自于攻击通知接收模块313的通知信息时,根据第一存储模块310中的配置信息对发送ARP流量攻击的非法用户进行定位并向非法用户下发处理命令。
攻击处理模块314具体包括:第一处理子模块3141和第二处理子模块3142,其中,
第一处理子模块3141,用于根据第一存储模块310的配置信息向被定位的非法用户所在的接入交换机下发访问控制列表,限制被定位的接入交换机的操作;
第二处理子模块3142,用于根据第一存储模块310的配置信息关闭被定位的非法用户所在的接入交换机端口。
可选地,该防止ARP流量攻击处理单元还包括:
攻击处理查看模块311,用于查看ARP流量攻击的发生和处理情况并将攻击的处理结果存入第一存储模块310中;
攻击处理解除模块312,用于解除对非法用户的处理并将处理解除信息存入第一存储模块310;
具体地,首先,对网关设备以及接入交换机的IP地址、MAC地址以及与外部设备进行联动设置进行相关配置,并且对ARP流量攻击的处理方式也进行配置,将相应的配置信息以及处理方式存储在第一存储模块310中,其中攻击的处理方式可以为通过第一处理子模块3141向被定位的非法用户所在的接入交换机下发访问控制列表(ACL),限制被定位的接入交换机的各种操作;也可以为通过第二处理子模块3142关闭被定位的非法用户所在的接入交换机端口。攻击处理查看模块311能够为整个处理过程提供监视平台,管理员能够通过攻击处理查看模块311查看网络中ARP流量攻击的发生情况以及相应的处理情况。攻击处理解除模块312能够提供操作平台,当非法用户停止ARP流量攻击或者ARP流量攻击发生的原因消除以后,管理员就能够通过攻击处理解除模块312解除对非法用户的处理,能够让该接入交换机的端口重新开始正常工作。当网络中出现ARP流量攻击时,攻击通知接收模块313就会收到由外部检测设备发出的通知信息,管理员能够通过攻击处理查看模块311查看到网络中出现了ARP流量攻击的情况,同时攻击处理模块314根据接收到的通知信息对发出ARP流量攻击的非法用户进行定位,在定位的过程中既可以采用轮询所有网关设备的接入交换机来定位,也可以采用前述建立接入交换机IP-网关设备IP-对应网关设备端口之间对应关系映射表,通过映射关系来对接入交换机端口上的非法用户进行定位;定位之后,攻击处理模块314就能够从第一存储模块310中取出已经配置好的对当前网络中的ARP流量攻击情况的处理方式并自动下发该处理方式对ARP流量攻击的进行处理,此时,管理员同样可以通过攻击处理查看模块311来查看对非法用户的具体处理情况。在整个过程中,所有的处理信息都存储在第一存储模块310中。
通过该防止ARP流量攻击处理单元,能够对网络中出现的ARP流量攻击进行及时的处理。由于预先配置了攻击处理方式,所以不需要在攻击出现时手动地进行处理,极大地减少了管理员的工作量,达到了智能化的效果。同时,还设置了攻击处理查看模块能够方便地让管理员从宏观上对整个处理过程进行监控,能够查看到网络中所有对网关设备进行的流量攻击以及对攻击用户进行处理的详细信息。当ARP流量攻击解除以后管理员还可以通过攻击处理解除模块手动地恢复接入交换机端口的通信功能,重新实现网络数据通信。
防止ARP流量攻击的系统实施例
如图4所示为本发明防止ARP流量攻击的系统实施例的结构框图一;
该防止ARP流量攻击的系统包括:网关设备单元30、防止ARP流量攻击处理单元31、接入交换机单元32,其中:
网关设备单元30,用于检测ARP流量攻击并向防止ARP流量攻击处理单元31发出通知信息;
防止ARP流量攻击处理单元31,用于配置、接收和处理ARP流量攻击并将根据配置信息将处理方式下发给接入交换机单元32;
接入交换机单元32,用于接收防止ARP流量攻击处理单元31下发的处理方式并对非法用户进行处理;
具体地,首先网关设备单元30检测在一定时间范围内网络中的ARP报文的数量,该时间范围可由管理员根据经验值设定;然后网关设备单元30根据检测到的ARP报文数量来判断当前网络中是否存在ARP报文攻击,如果判断结果为不存在,则网关设备单元30继续检测网络中的ARP报文的数量,如果判断结果为存在,则网关设备单元30向防止ARP流量攻击处理单元31发送网络中发生了报文攻击的通知信息;通过该通知信息,防止ARP流量攻击处理单元31就能够对发起ARP报文攻击的非法用户进行定位;在对非法用户定位之后防止ARP流量攻击处理单元31向接入交换机单元32下发对该非法用户的处理方式进而对该非法用户进行处理。
通过该防止ARP流量攻击的系统对发起ARP流量攻击的非法用户进行的一系列检测、定位和处理的联动过程,就能杜绝非法用户通过ARP流量攻击对网络资源和流量的消耗,保证网络中的合法用户能够正常使用网络资源,达到维护网络安全的效果。
下面就本实施例的技术方案进行进一步的说明。
如图5所示为本发明防止ARP流量攻击的系统实施例的结构框图二。在本发明实施例的结构框图一的基础上进一步来说:
网关设备单元30包括:第二存储模块300、攻击检测模块301和攻击通知模块302,其中:
第二存储模块300,用于存储网关设备单元30的配置信息和通知信息;
攻击检测模块301,用于检测ARP流量攻击,将检测结果信息发送给攻击通知模块302,将检测结果信息存入第二存储模块300;
攻击通知模块302,用于接收检测结果信息,通知攻击通知接收模块313,并将通知信息存入第二存储模块300。
具体地,对ARP流量攻击检测所需要的配置信息进行相应的配置这些配置信息可以包括网关设备和接入交换机之间的映射关系、统计ARP报文的时间范围、该时间范围内网络中具有相同源IP地址和源MAC地址的ARP流量的阈值以及网关设备单元30与防止ARP流量攻击处理单元31之间的联动配置。将这些配置信息存入到第二存储模块300中,供后续的检测工作使用。攻击检测模块301接收用户发出的ARP报文,统计设定的时间范围内网络中具有相同源IP地址和源MAC地址的ARP流量的数目,把当前统计到的数目与第二存储模块300中存储的阈值相比较,若超过了该阈值,则判断当前网络中存在ARP流量攻击,若不存在则继续统计。当检测到网络中存在ARP流量攻击时,攻击检测模块301将检测结果信息发送给攻击通知模块302,并将检测结果信息存入到第二存储模块300中。攻击通知模块302与第二存储模块300以及攻击通知接收模块313连接,向防止ARP流量攻击处理单元31发送通知信息,通知防止ARP流量攻击处理单元31在当前网络中出现了ARP流量攻击。
通过在网关设备系统中设置上述相应的功能模块,就能够解决ARP流量攻击的检测和通知问题,外部处理只需要进行一次配置,就能够达到对网络中的ARP报文进行检测的效果,同时通过下发网络中出现ARP流量攻击的通知能够触发针对ARP流量攻击的一系列定位和处理,而不需要人工干预。
接入交换机单元32具体包括:第三存储模块320和接入交换机攻击处理模块321,其中:
第三存储模块320,用于存储接入交换机单元32中的配置信息和处理结果信息;
接入交换机攻击处理模块321,用于接收攻击处理模块314下发的处理命令并将处理结果存入第三存储模块320中。
具体地,首先配置防止ARP流量攻击处理单元31与接入交换机单元32的联动方式、接入交换机与网关设备之间的对应关系以及接入交换机与端口之间的对应关系,同时将这些对应关系以及联动方式都存储到第三存储模块320中。攻击处理模块314将处理方式下发给接入交换机攻击处理模块321,如果处理方式为下发ACL,则可以给路由器或者交换机设置一些控制指令列表,通过该列表以及存储的各种对应关系就可以控制接入交换机对接收和转发的数据包进行选择,决定哪些数据包是可以接收和转发的哪些是需要拒绝接收和转发的;如果下发的处理方式为关闭接入交换机端口,则彻底杜绝了该非法用户的任何报文通过接入交换机到达网关设备。
通过接入交换机单元,能够十分灵活地对攻击用户进行处理,既可以控制接入交换机对接收和转发的数据包进行选择,决定哪些数据包是可以接收和转发的哪些是需要拒绝接收和转发的,从而达到对接入到该交换机中的非法用户进行限制的效果,也可以直接关闭接入交换机端口,从而达到彻底杜绝该非法用户的ARP报文攻击的效果。该过程只需要在系统工作前进行一系列配置,在工作中就能够达到自动处理的效果。
综上,如果网络中有非法用户发起ARP流量攻击,则通过对参数和映射关系进行一次预先配置即可实现网关设备单元,接入交换机单元和防止ARP流量攻击处理单元的联动,从而自动地对ARP流量攻击进行检测,定位和处理,达到防御网络中ARP流量攻击的效果,消除了该攻击对网络造成的影响,而且由于设置了网关设备与接入交换机之间的映射关系,大大提高了对接入交换机端口定位的效率。同时管理员还能通过攻击处理查看模块提供的交互平台查看网络中ARP流量攻击的发生和处理情况。攻击停止后,管理员能够通过交互平台在防止ARP流量攻击处理单元上解除对攻击用户的处理,从而允许攻击用户的ARP报文通过,重新打开攻击用户连接的交换机端口,恢复该端口的网络通信功能。因此,通过防止ARP流量攻击的系统,解决了ARP流量攻击的自动检测,定位和处理的问题,且管理方便,操作简单只需一次配置就能够实现后续检测定为和处理工作的智能化,从而大大减轻了网络管理员的工作量。
需要指出的是,网关设备单元与接入交换机单元之间还可以加入其它设备单元作为汇聚接入交换机的设备单元,即网关设备的一个端口可以支持多台接入交换机的报文发送,而不拘泥于网关设备与接入交换机的一对一结构,这样能够同时实现对多个接入交换机单元的ARP流量攻击的检测、定位与处理功能。同时,在每个接入交换机下面还可以设置多个集线器(Hub)以及非网管交换机等,在该连接方式下,如果采用关闭接入交换机端口的处理方式,则可能导致该接入交换机端口下的所有用户无法上网,但是如果采用下发ACL的方式进行处理,则只是针对发出ARP报文攻击的那个非法用户而不会影响其它合法用户的数据通信。
最后应说明的是:以上实施例仅用以说明本发明的技术方案而非对其进行限制,尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对本发明的技术方案进行修改或者等同替换,而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。
Claims (11)
1.一种防止地址解析协议ARP流量攻击的方法,其特征在于包括:
建立网关设备和接入交换机之间的映射关系,所述映射关系为网关设备的IP地址与网关设备的端口地址之间的映射关系以及网关设备的端口地址与接入交换机的IP地址之间的映射关系;
检测网络中具有相同特征的ARP报文的数量;
判断所述数量是否超过了预设的阈值,若超过所述阈值则发送所述ARP流量攻击发生的通知信息;
根据所述通知信息对发起所述ARP流量攻击的非法用户进行定位;
对定位到的所述非法用户进行处理。
2.根据权利要求1所述的防止ARP流量攻击的方法,其特征在于所述检测网络中具有相同特征的ARP报文的数量包括:检测网络中具有相同源IP地址和媒体访问控制MAC地址的ARP报文的数量。
3.根据权利要求1所述的防止ARP流量攻击的方法,其特征在于所述根据所述通知信息对发起所述ARP流量攻击的非法用户进行定位包括:
从所述通知信息中获取所述非法用户的MAC地址;
根据所述通知信息中携带的所述网关设备的IP地址对可能连接有所述非法用户的接入交换机进行定位;
根据所述非法用户的所述MAC地址对可能连接有所述非法用户的所述接入交换机的端口进行定位。
4.根据权利要求1所述的防止ARP流量攻击的方法,其特征在于所述对定位到的所述非法用户进行处理包括:向被定位的接入交换机下发访问控制列表限制所述被定位的接入交换机的操作。
5.根据权利要求1所述的防止ARP流量攻击的方法,其特征在于所述对定位到的所述非法用户进行处理包括:关闭被定位的所述接入交换机中的端口。
6.一种防止ARP流量攻击处理单元,其特征在于包括:第一存储模块、攻击通知接收模块、攻击处理模块,其中,
所述攻击通知接收模块,用于接收ARP流量攻击发生的通知信息,将所述通知信息存入所述第一存储模块,并将所述通知信息下发给所述攻击处理模块;
所述第一存储模块,用于存储所述防止ARP流量攻击处理单元的配置信息和所述通知信息;
所述攻击处理模块,用于当接收到来自于所述攻击通知接收模块的通知信息时,根据所述第一存储模块中的配置信息对发送ARP流量攻击的非法用户进行定位并向所述非法用户下发处理命令。
7.根据权利要求6所述的防止ARP流量攻击处理单元,其特征在于所述攻击处理模块包括:第一处理子模块和第二处理子模块,其中,
所述第一处理子模块,用于根据所述配置信息向被定位的所述非法用户所在的接入交换机下发访问控制列表,限制所述非法用户所在的接入交换机的操作;
所述第二处理子模块,用于根据所述配置信息关闭被定位的所述非法用户所在的接入交换机端口。
8.根据权利要求6所述的防止ARP流量攻击处理单元,其特征在于还包括:攻击处理解除模块和/或攻击处理查看模块,其中,
所述攻击处理解除模块,用于解除对所述非法用户的处理并将处理解除信息存入所述第一存储模块中;
所述攻击处理查看模块,用于查看ARP流量攻击的发生和处理情况并将处理结果存入所述第一存储模块中。
9.一种防止ARP流量攻击系统,其特征在于包括:网关设备单元、接入交换机单元以及权利要求6-8所述的防止ARP流量攻击处理单元,其中,
所述网关设备单元,用于检测ARP流量攻击并向所述防止ARP流量攻击处理单元发出通知信息;
所述接入交换机单元,用于接收所述防止ARP流量攻击处理单元下发的处理方式并对所述非法用户进行处理。
10.根据权利要求9所述的防止ARP流量攻击系统,其特征在于所述网关设备单元包括:第二存储模块、攻击检测模块和攻击通知模块,其中,
所述攻击检测模块,用于检测ARP流量攻击,将检测结果信息发送给所述攻击通知模块,并将检测结果信息存入第二存储模块;
所述第二存储模块,用于存储所述网关设备单元的配置信息和所述通知信息;
所述攻击通知模块,用于接收所述检测结果信息,通知所述攻击通知接收模块,并将通知信息存入所述第二存储模块。
11.根据权利要求9所述的防止ARP流量攻击系统,其特征在于所述接入交换机单元包括:第三存储模块和接入交换机攻击处理模块,其中,
所述第三存储模块,用于存储所述接入交换机单元的配置信息和处理结果信息;
所述接入交换机攻击处理模块,用于接收所述攻击处理模块下发的处理命令并将处理结果存入所述第三存储模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101020596A CN101247217B (zh) | 2008-03-17 | 2008-03-17 | 防止地址解析协议流量攻击的方法、单元和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101020596A CN101247217B (zh) | 2008-03-17 | 2008-03-17 | 防止地址解析协议流量攻击的方法、单元和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101247217A CN101247217A (zh) | 2008-08-20 |
| CN101247217B true CN101247217B (zh) | 2010-09-29 |
Family
ID=39947450
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101020596A Active CN101247217B (zh) | 2008-03-17 | 2008-03-17 | 防止地址解析协议流量攻击的方法、单元和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101247217B (zh) |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101345755B (zh) * | 2008-08-29 | 2011-06-22 | 中兴通讯股份有限公司 | 一种防止地址解析协议报文攻击的方法和系统 |
| CN101370019B (zh) * | 2008-09-26 | 2011-06-22 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议报文欺骗攻击的方法及交换机 |
| CN101431449B (zh) * | 2008-11-04 | 2011-05-04 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
| CN102111394B (zh) * | 2009-12-28 | 2015-03-11 | 华为数字技术(成都)有限公司 | 网络攻击防护方法、设备及系统 |
| CN101827081B (zh) * | 2010-02-09 | 2013-04-24 | 蓝盾信息安全技术股份有限公司 | 检测请求安全性的方法及系统 |
| CN102395057B (zh) * | 2011-06-30 | 2017-10-13 | 中兴通讯股份有限公司 | 一种端口定位格式的配置方法及装置 |
| CN103368909B (zh) * | 2012-03-30 | 2016-12-14 | 迈普通信技术股份有限公司 | 一种通信设备控制平面保护装置及方法 |
| CN104283882B (zh) * | 2014-10-11 | 2018-01-12 | 武汉烽火网络有限责任公司 | 一种路由器的智能安全防护方法 |
| CN108632100B (zh) * | 2015-08-24 | 2020-11-17 | 上海天旦网络科技发展有限公司 | 发现与呈现网络应用访问信息的方法和系统 |
| CN105282141A (zh) * | 2015-09-08 | 2016-01-27 | 北京元心科技有限公司 | 检测智能终端接入的无线网络的安全性的方法及智能终端 |
| CN106506200A (zh) * | 2016-10-31 | 2017-03-15 | 中国工程物理研究院计算机应用研究所 | 一种基于sdn的arp协议辅助模型 |
| CN108512816B (zh) * | 2017-02-28 | 2021-04-27 | 中国移动通信集团广东有限公司 | 一种流量劫持的检测方法及装置 |
| CN108574672A (zh) * | 2017-03-10 | 2018-09-25 | 武汉安天信息技术有限责任公司 | 应用于移动终端的arp攻击感知的方法及装置 |
| CN106888217A (zh) * | 2017-03-27 | 2017-06-23 | 上海斐讯数据通信技术有限公司 | 一种针对arp攻击的管控方法及系统 |
| CN107094187A (zh) * | 2017-04-01 | 2017-08-25 | 汕头大学 | 一种自动查找mac地址的接入交换机端口的方法 |
| CN108989271B (zh) * | 2017-06-05 | 2022-06-10 | 中兴通讯股份有限公司 | 一种家庭网关端口防攻击的方法和装置 |
| CN108718369B (zh) * | 2018-05-03 | 2021-09-24 | 上海旺链信息科技有限公司 | 一种网关接入方法、装置及计算机存储介质 |
| CN109274638A (zh) * | 2018-05-22 | 2019-01-25 | 四川斐讯信息技术有限公司 | 一种攻击源接入自动识别处理的方法和路由器 |
| CN109561111B (zh) * | 2019-01-24 | 2021-07-23 | 新华三技术有限公司 | 一种攻击源的确定方法及装置 |
| CN110022303B (zh) * | 2019-03-07 | 2021-11-16 | 北京华安普特网络科技有限公司 | Arp双向防御系统及方法 |
| CN112261071B (zh) * | 2019-07-22 | 2023-04-07 | 中国电信股份有限公司 | Arp缓存表项处理方法、装置、控制器、系统以及介质 |
| CN112165483B (zh) * | 2020-09-24 | 2022-09-09 | Oppo(重庆)智能科技有限公司 | 一种arp攻击防御方法、装置、设备及存储介质 |
| CN112583817B (zh) * | 2020-12-07 | 2023-04-28 | 北京威努特技术有限公司 | 网络震荡监测与预警方法、装置和介质 |
| CN113542012B (zh) * | 2021-06-23 | 2023-01-10 | 江苏云洲智能科技有限公司 | 一种故障检测方法、故障检测装置及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6513122B1 (en) * | 2001-06-29 | 2003-01-28 | Networks Associates Technology, Inc. | Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities |
| CN1855929A (zh) * | 2005-04-27 | 2006-11-01 | 华为技术有限公司 | 一种针对arp泛滥攻击的防范方法 |
| CN1870627A (zh) * | 2005-08-09 | 2006-11-29 | 华为技术有限公司 | Arp缓存表防攻击方法 |
| CN1941775A (zh) * | 2006-07-19 | 2007-04-04 | 华为技术有限公司 | 一种防止网络消息攻击的方法及设备 |
| CN101127594A (zh) * | 2007-10-10 | 2008-02-20 | 杭州华三通信技术有限公司 | 一种安全信息联动处理装置及方法 |
-
2008
- 2008-03-17 CN CN2008101020596A patent/CN101247217B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6513122B1 (en) * | 2001-06-29 | 2003-01-28 | Networks Associates Technology, Inc. | Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities |
| CN1855929A (zh) * | 2005-04-27 | 2006-11-01 | 华为技术有限公司 | 一种针对arp泛滥攻击的防范方法 |
| CN1870627A (zh) * | 2005-08-09 | 2006-11-29 | 华为技术有限公司 | Arp缓存表防攻击方法 |
| CN1941775A (zh) * | 2006-07-19 | 2007-04-04 | 华为技术有限公司 | 一种防止网络消息攻击的方法及设备 |
| CN101127594A (zh) * | 2007-10-10 | 2008-02-20 | 杭州华三通信技术有限公司 | 一种安全信息联动处理装置及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101247217A (zh) | 2008-08-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101247217B (zh) | 防止地址解析协议流量攻击的方法、单元和系统 | |
| US11201882B2 (en) | Detection of malicious network activity | |
| US7757285B2 (en) | Intrusion detection and prevention system | |
| CN101589595B (zh) | 用于潜在被污染端系统的牵制机制 | |
| US7562390B1 (en) | System and method for ARP anti-spoofing security | |
| US5905859A (en) | Managed network device security method and apparatus | |
| US5805801A (en) | System and method for detecting and preventing security | |
| CN101431449B (zh) | 一种网络流量清洗系统 | |
| CN101136922B (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 | |
| US6538990B1 (en) | Method and system for congestion flow control in a high speed network | |
| CN107819633B (zh) | 一种快速发现并处理网络故障的方法 | |
| US20070180107A1 (en) | Security incident manager | |
| US7672245B2 (en) | Method, device, and system for detecting layer 2 loop | |
| CN101547187B (zh) | 宽带接入设备的网络攻击防护方法 | |
| CN105262738A (zh) | 一种路由器及其防arp攻击的方法 | |
| CN107222462A (zh) | 一种局域网内部攻击源的自动定位、隔离方法 | |
| CN101286996A (zh) | 一种风暴攻击抵抗方法与装置 | |
| US20130055373A1 (en) | Protocol rate filtering at edge device | |
| CN101409654B (zh) | 一种网络管理系统中处理snmp信息的方法 | |
| CN103051605A (zh) | 一种数据包处理方法、装置和系统 | |
| CN101136797A (zh) | 内外网物理连通的检测、通断控制方法及应用该方法的装置 | |
| Ubaid et al. | Mitigating address spoofing attacks in hybrid SDN | |
| CN102143011B (zh) | 一种实现网络保护的装置及方法 | |
| CN100456689C (zh) | 一种网络管理安全认证的方法 | |
| US20180212982A1 (en) | Network system, network controller, and network control method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |