CN101345755A - 一种防止地址解析协议报文攻击的方法和系统 - Google Patents
一种防止地址解析协议报文攻击的方法和系统 Download PDFInfo
- Publication number
- CN101345755A CN101345755A CNA2008101192198A CN200810119219A CN101345755A CN 101345755 A CN101345755 A CN 101345755A CN A2008101192198 A CNA2008101192198 A CN A2008101192198A CN 200810119219 A CN200810119219 A CN 200810119219A CN 101345755 A CN101345755 A CN 101345755A
- Authority
- CN
- China
- Prior art keywords
- user
- arp
- blocking
- message
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种防止ARP报文攻击的方法和系统,所述方法包括:从三层网络设备所接收ARP报文中获取用户的地址信息,对每一用户发送的ARP报文的数量进行计数;逐一对所述每一用户在一预定时间内发送的所述ARP报文的数量进行检测,当判断其中一用户在所述预定时间内发送的所述ARP报文的数量超过一预定门限值时,则认为所述其中一用户为攻击用户,阻断所述攻击用户;检测所述攻击用户的被阻断时间,所述被阻断时间等于或超过一预定阻断时间时,取消对所述攻击用户的阻断。该方法和系统可以简单地检测ARP攻击行为,并对检测到的ARP报文攻击作出处理。
Description
技术领域
本发明涉及通信技术领域,尤其是指一种用于维护网络安全,防止三层网络设备受地址解析协议(ARP)报文攻击的方法和系统。
背景技术
在当前网络技术中,ARP协议可以实现目标终端设备的IP地址(InternetProtocol,因特网地址)与MAC(Media Access Control,媒体访问控制)地址之间的转换,保证通信的顺利进行。然而由于ARP协议的当初设计没有考虑安全机制问题,ARP协议非常容易受到攻击。目前基于ARP欺骗的病毒十分猖獗,当三层网络设备下挂的用户中毒后,就会向外发送大量的精心构造的ARP报文,造成设备、其他用户或甚至整个局域网瘫痪。而对于三层网络设备来说,大量恶意构造的虚假ARP报文会导致设备ARP表被虚假信息填满,不仅造成报文转发异常,还会造成设备CPU占用率过高,直接影响网络设备的正常运行。
ARP报文的结构如图1所示,包括目的MAC地址、源MAC地址、以太类型(Ether Type)、ARP PDU(Protocol Data Unit协议数据单元)。ARP攻击行为通常是依靠发送包含不正确的IP地址和MAC地址对应关系的ARP PDU来实现的,因此常见的ARP攻击检测方法是预先将正确的IP地址和MAC地址映射关系保存在设备中,并将每个收到的ARP PDU内容与之对比,如果发现了不一致的情况,则认为存在ARP攻击。此外,也有一些其他的检测方法,在实现上都比较复杂或有一定的条件限制如禁用动态ARP等,且需要耗费较多的存储和计算资源。
发明内容
本发明技术方案的目的在于提供一种防止ARP报文攻击的方法和系统,所述方法和系统可以简单地检测到ARP攻击行为,并对检测到的ARP报文攻击作出处理,以避免危害网络和设备。
为达到上述发明方法,本发明一方面提供了一种防止ARP报文攻击的方法,所述方法包括:从三层网络设备所接收ARP报文中获取用户的地址信息,对每一用户发送的ARP报文的数量进行计数;逐一对所述每一用户在一预定时间内发送的所述ARP报文的数量进行检测,当判断其中一用户在所述预定时间内发送的所述ARP报文的数量超过一预定门限值时,则认为所述其中一用户为攻击用户,阻断所述攻击用户;检测所述攻击用户的被阻断时间,所述被阻断时间等于或超过一预定阻断时间时,取消对所述攻击用户的阻断。
优选地,上述所述的方法,在从三层网络设备所接收ARP报文中获取用户的地址信息之前,还包括:检测所述三层网络设备的所有接收报文,当所述接收报文的二层报文头的以太类型为0x0806时,则确定所述接收报文为所述ARP报文。
优选地,上述所述的方法,所述获取用户地址信息的步骤包括获取所述ARP报文的源媒体访问控制地址和所述ARP报文所在的虚拟局域网号VLANID。
优选地,上述所述的方法,在从三层网络设备所接收ARP报文中获取用户的地址信息后,还包括:根据所述地址信息,逐一判断所述每一用户是否属于特定用户,若判断其中一用户属于特定用户时,则取消对所述其中一用户的ARP报文的数量计数。
优选地,上述所述的方法,判断所述每一用户是否属于特定用户的步骤包括:将所述每一用户的地址信息与一预先保存的特定用户表中的数据进行比较,若判断所述其中一用户的地址信息与所述特定用户表中的其中一地址信息一致时,则确定所述其中一用户属于特定用户。
优选地,上述所述的方法,所述每一用户发送的所述ARP报文的数量分别在一ARP报文统计表中进行计数,检测所述每一用户在一预定时间内发送的所述ARP报文的数量的过程也即是执行对所述ARP报文统计表检测的过程。
优选地,上述所述的方法,间隔所述预定时间,即对所述ARP报文统计表中每一用户的ARP报文数量执行一次检测。
优选地,上述所述的方法,所述ARP报文统计表检测的过程包括:以ARP报文统计表中的第一用户为当前项用户,检测所述当前项用户发送ARP报文的数量;判断所述数量是否大于所述预定门限值,若判断结果为是,则阻断当前项用户,并将所述当前项用户的地址信息写入一阻断用户表,在所述阻断用户表中记录所述当前项用户的被阻断时间;判断所述当前项用户是否为所述ARP报文统计表中的最后一项记录,若判断结果为是,则对所述ARP报文统计表的一次扫描检测执行完毕,清空所述ARP报文统计表;若判断结果为否,则以ARP报文统计表中的下一用户为当前项用户,返回检测所述下一用户发送的ARP报文的数量。
优选地,上述所述的方法,检测所述攻击用户的被阻断时间的过程也即是执行对所述阻断用户表进行扫描检测的过程,对所述阻断用户表的扫描检测间隔一预定扫描时间即执行一次,所述阻断用户表的检测过程包括:以所述阻断用户表的第一用户为当前项阻断用户,检测所述当前项阻断用户的被阻断时间;判断所述被阻断时间是否等于或大于所述预定阻断时间,若判断结果为是,则取消对所述当前项阻断用户的阻断,将所述当前项阻断用户从所述阻断用户表中移除;判断所述当前项阻断用户是否为所述阻断用户表中的最后一项用户,若判断结果为否,则以所述阻断用户表的下一用户作为当前项用户,返回检测所述下一用户的被阻断时间;若判断结果为是,则确认对所述阻断用户表的一次扫描检测执行完毕,等待下次扫描。
本发明另一方面还提供一种防止地址解析协议ARP报文攻击的系统,其特征在于,所述系统包括:识别模块,用于从网络设备所接收的ARP报文中获取发送所述ARP报文的用户的地址信息;判断模块,用于根据所述地址信息,判断所述用户是否为VIP用户;存储模块,用于存储VIP用户表、ARP报文统计表和阻断用户表;第一检测模块,用于判断所述ARP报文统计表中计数统计的各用户所发送的ARP报文是否超过一预定门限值;第二检测模块,用于判断所述阻断用户表中计时统计的各攻击用户被阻断的时间是否超过一预定阻断时间。
优选地,上述所述的系统,所述系统还包括第一计时模块,用于定时地触发所述第一检测模块对所述ARP报文统计表进行扫描;第二计时模块,用于定时地触发所述第二检测模块对所述阻断用户表进行扫描。
上述实施方式的至少一个技术方案具有以下的有益效果,所述方法和系统利用ARP报文欺骗行为发送至三层网络设备的攻击报文会明显多于正常情况下ARP报文的特点,采用对用户所发送的ARP报文的数量进行持续计数监控的方式,并定期对这些计数进行判定,以便能够及时发现可能存在的ARP攻击行为。所述方法应用原理简单,且实施起来不需要耗费较多的存储和计算资源,完全可以达到避免网络设备受ARP攻击影响的功效。
附图说明
图1为ARP报文的结构示意图;
图2为本发明具体实施例所述防止ARP报文攻击的方法的原理示意图;
图3为本发明具体实施例所述防止ARP报文攻击的方法中所述对报文进行判断和计数过程的流程示意图;
图4为本发明具体实施例所述防止ARP报文攻击的方法中所述对ARP攻击的检测过程的流程示意图;
图5为本发明具体实施例所述防止ARP报文攻击的方法中所述对ARP攻击用户的维护过程的流程示意图;
图6为采用本发明所述方法的三层网络设备的典型组网结构示意图;
图7为本发明所述防止ARP报文攻击的系统的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本发明进行详细描述。
通常在通讯技术领域,ARP报文欺骗行为发送至三层网络设备的攻击报文会明显多于正常情况下的ARP报文,本发明具体实施例所述的防止ARP报文攻击的方法和系统利用这一特点,通过对用户所发送的ARP报文(包括ARP请求和ARP回应)的数量进行计数监控,当判断在一预定时间内接收自某一用户上的ARP报文的数量超过一预定门限值时,则可以认为该用户存在ARP攻击行为。
本发明所述防止ARP报文攻击的方法原理示意图如图2所示,所述方法从步骤S201开始。
在步骤S202,从三层网络设备所接收ARP报文中获取用户的地址信息,对每一用户发送的ARP报文的数量进行计数。
在三层网络设备所接收所有报文中,根据二层报文头的以太类型(EtherType)值来判断所接收报文是否为ARP报文,参阅图1,当检测到所述报文的以太类型值为0x0806时,则确定所述报文为ARP报文。
参阅图1的ARP报文的结构图,通常发起ARP攻击的用户所发出的ARPPDU(protocol date unit协议数据单元)是恶意构造的,其中包含的MAC地址并非用户真实的MAC地址。但发起ARP攻击的用户所发出的ARP报文的二层报文头中的源MAC地址常是其真实MAC地址,本发明具体实施例所述方法则依据该源MAC地址来区分用户;在该步骤S202,从所接收到的ARP报文中获取二层报文头中的源MAC地址m,并获取该ARP报文所在的VLANIDv,构成用户标识信息(m,v),用以标识发送该ARP报文的用户。
在本发明具体实施例所述方法中,较佳地,可以将某些用户设定为特定的VIP用户,可以不对该VIP用户发送的ARP报文数量检测。根据所述由源MAC地址m和VLAN ID v组合成的用户标识信息,判断该用户是否为VIP用户,若该用户为VIP用户则不会对该用户发送的ARP报文进行监控;较佳地,可以将所有VIP用户的标识信息预存至一列表中,当获得发送ARP报文用户的标识信息(m1,v1)后,与VIP用户列表中的信息逐一进行比较,若用户的地址信息与所述VIP用户列表中的其中一地址信息一致时,即可确定该用户为VIP用户。
在步骤S203,逐一对每一用户发送的所述ARP报文的数量进行检测,检测过程间隔一预定监控时间t即执行一次,判断在所述预定监控时间t内每一用户发出的ARP报文的数量是否超过一预定门限值N,若判断其中一用户如为(m1,v1)发出的ARP报文的数量超过预定门限值N,则认为该用户(m1,v1)上存在ARP攻击行为,即检测出了一次ARP攻击,将该用户视为攻击用户,流程执行步骤S204;若判断其中一用户发出的ARP报文的数量未超过预定门限值N时,则确定用户不存在ARP攻击行为,继续向下检测其他用户。
在步骤S204,阻断检测到的攻击用户,如当检测到的攻击用户的标识信息为(m1,v1)时,在三层设备上将来自VLAN v1中所有源MAC为m1的报文都丢弃。
在步骤S205,间隔一预定扫描时间,对各攻击用户被阻断的时间进行一次检测,当测得攻击用户中其中一用户的被阻断时间等于或超过一预设阻断时间T后,取消对该用户的阻断,即不再丢弃该用户所发送的所有报文。
步骤S206,上述防止ARP报文攻击的方法流程执行结束。
在上述所述方法中,在步骤S202对每一用户发送的ARP报文的数量进行计数的过程是持续进行的,在步骤S203执行逐一检测每一用户发送的ARP报文数量的操作和步骤SS205执行检测各攻击用户被阻断时间的操作分别通过一定时器触发。
本发明具体实施例所述方法中,ARP攻击的预定监控时间t、预定门限值N、预设阻断时间T以及VIP用户列表,都可以根据实际情况来确定。较佳地,可以设置攻击的预定监控时间t为10秒,预定门限值N为20个,预设阻断时间T为10分钟,即可取得较好的效果。
所述防止ARP报文攻击的方法中,当接收到三层网络设备上的多个用户发送的ARP报文时,可以将从各用户获得的ARP报文的数量在一ARP报文统计表中计数统计,此外被阻断用户的地址信息和被阻断的时间可以在一阻断用户表中记录统计。本发明具体实施例所述防止ARP报文攻击的方法,利用ARP报文统计表和用户阻断表用于检测三层网络设备上多个用户发送的多个报文的具体检测过程和对检测到的ARP报文攻击的处理过程包括:
网络设备实时接收报文,检查所接收各报文二层报文头的以太类型,以确定各报文是否为ARP报文;
获取发送各ARP报文的用户的地址信息,分别判断各用户是否为VIP用户;
在ARP报文统计表中对各非VIP用户发送的ARP报文数量进行统计记录;
间隔一预定时间t1,定时地扫描ARP报文统计表,将ARP报文统计表中报文统计数量超过一预定门限值的用户视为攻击用户,阻断所述各攻击用户,将该各攻击用户写入阻断用户表,并开始记时,记录各攻击用户被阻断的时间;同时,当ARP报文统计表的一次扫描执行完毕时,对ARP报文统计表进行清空;
此外,在定时扫描ARP报文统计表的同时,间隔一预定时间t2,定时地扫描阻断用户表,取消对被阻断时间超过一预定阻断时间的各攻击用户的阻断,并将被取消阻断的各攻击用户从阻断用户表中移除。
较佳地,定时扫描ARP报文统计表所间隔的预定时间t1和定时扫描阻断用户表所间隔的预定时间t2均为10秒。
综合以上,在本发明所述防止ARP报文攻击的方法中,三层网络设备接收到数据流后,为防止受到ARP欺骗病毒的攻击,主要进行以下的三个操作步骤:报文的判断和计数过程、ARP攻击的检测过程和对ARP攻击用户的维护过程。在报文的判断和计数过程,三层网络设备每收到一个报文,都会进行ARP报文判断和VIP用户判断,并对非VIP用户发送的ARP报文按照不同的用户分别计数,形成一张表,即ARP报文统计表;在ARP攻击的检测过程,由一个间隔为t1的定时器来触发,逐项检查ARP报文统计表中的表项,如果发现某个用户的ARP报文计数超过了预定门限值N时,则将该用户阻断,并添加到一个称为阻断用户表的数据表中去。每个表项都检查完毕后,整个ARP报文统计表被清空,等待下次的检测;在对ARP攻击用户的维护过程,由一间隔为t2的定时器触发,定时对阻断用户表扫描,逐项检查阻断用户表中的表项,当检测到一用户已经被阻断的时间达到或超过了预设阻断时间T,则取消对该用户的阻断,并将该用户从阻断用户表中删除。
参阅图3、图4、图5分别为上述三个过程的流程示意图,以下将对该三个过程进行详细描述。
参阅图3,在报文的判断和计数过程,以步骤S301为开始,在步骤S302,对三层网络设备的接收报文进行处理。
在步骤S303,逐一判断所接收的报文是否为ARP报文,其判断方法即为上述的:检测到其中一报文二层报文头的以太类型值为0x0806时,确定该报文为ARP报文;在该步骤对一报文的判断结果为是时,流程进入步骤S304;当在该步骤对一报文的判断结果为否时,流程执行步骤S306则转向下一报文。
在步骤S304,判断发送ARP报文的用户是否为VIP用户,也即从所接收到的ARP报文中获取二层报文头中的源MAC地址m和VLAN ID v,构成用户标识(m,v),将该用户标识与一VIP用户列表中的信息逐一进行比较,即可确定该用户是否为VIP用户。当该步骤判断一用户为VIP用户时,流程执行步骤S306,转向下一报文;当该步骤的判断结果一用户不是VIP用户时,流程进入步骤S305。
在步骤S305,在一ARP报文统计表中对各非VIP用户发送的ARP报文计数,同时流程执行步骤S306,转向处理下一报文。
在执行上述报文的判断和计数过程时,定时扫描ARP报文统计表的定时器t1时间到,执行ARP报文攻击的检测过程,也即对步骤S305的ARP报文统计表中的各非VIP用户发送的ARP报文数量进行检测,该执行ARP攻击的检测过程如图4所示。
在本发明具体实施例所述方法中,间隔一预定时间t1对ARP报文统计表进行扫描一次,检测各非VIP用户发送的ARP报文的数量。
如图,在步骤S401,从ARP报文统计表中的第一用户开始,以该第一用户为当前项用户开始检测;
在步骤S402,判断当前项用户计数的ARP报文数量是否大于一预定门限值N,若判断结果为否,则流程执行步骤S406,以下一项的用户作为当前项;若判断结果为是,则流程进入步骤S403;
在步骤S403,将该当前项用户视为攻击用户,阻断该当前项用户,并将该当前项用户的用户标识信息写入一阻断用户表中,此外还在该阻断用户表中对该当前项用户被阻断的时间进行记录;
在步骤S404,判断此次检测在ARP报文统计表中是否还有其他项未有检测,若判断结果为是,则流程执行步骤S406,以下一项的用户作为当前项;若判断结果为否,则此次的检测过程结束,进入步骤S405。
在步骤S405,清空ARP报文统计表中的数据。
在步骤S406,返回执行下一项
在步骤S407,流程执行结束,之后间隔预定时间t1,执行S401至S407的步骤,重新对ARP报文统计表进行扫描,检测各用户对应接收到的ARP报文的数量。
此外在执行上述报文的判断、计数过程和ARP攻击检测过程的同时,也在执行ARP攻击用户的维护过程,也即对步骤S403写入的阻断用户表中各攻击用户被阻断的时间进行监视。
如图5,该对各攻击用户被阻断的时间进行监视的过程也是定时触发的,每隔一预定间隔时间t2如10秒即对阻断用户表进行一次扫描。在步骤S501,对阻断用户表中的当前项攻击用户进行检测。
在步骤S502,判断当前项攻击用户被阻断的时间是否达到或超过一预设阻断时间T,若判断结果为是,则流程进入步骤S503;若判断结果为否,则流程执行步骤S505,以下一项的攻击用户作为当前项攻击用户进行检测。
在步骤S503,取消对所述当前项攻击用户的阻断,并将当前项攻击用户的标识信息从阻断用户表中删除。
在步骤S504,判断此次扫描中在阻断用户表是否还有其他项攻击用户未有检测,若判断结果为是,则流程执行步骤S505,以下一项的用户作为当前项用户进行检测;若判断结果为否,则此次的检测过程结束,进入步骤S505。
步骤S505,返回执行下一项;
步骤S506,流程执行结束,;之后经过预定的间隔时间t2,执行S501至S506的步骤,重新对阻断用户表进行扫描。
通过以上所述的防止ARP报文攻击的方法,对用户所发送的ARP报文的数量进行计数监控,当判断在一预定时间内接收自某一用户上的ARP报文的数量超过一预定门限值时,则可以认为该用户存在ARP攻击行为,并在三层网络设备上丢弃所有来自该用户的报文,一方面可以使设备免受ARP攻击的影响,另一方面则可以强制用户对ARP攻击行为进行处理(如杀毒、安装防火墙等)。此外,所述方法对用户ARP报文数量的计数监控在网络设备上是持续进行的,并定期对这些计数进行判定,以便能够及时发现可能存在的ARP攻击行为。
参阅图6为采用本发明所述方法,三层网络设备的一典型组网方式。图中,连接在网络设备9上每个可以发出ARP报文的通信设备都被视为一个用户,其中包含了两个VIP用户:用户1和用户2,其用户标识分别为(m1,v1)和(m2,v2),它们分别被记录在VIP列表6中;普通的用户用户3、用户4、用户5所发出的ARP报文数量会在ARP报文统计表7中进行实时统计,并被周期性的检查(周期为t1),以确定是否有某个用户发出的ARP报文数量超过了预定门限值N,随后计数被清空重新开始统计;如果某个用户被检测出存在ARP攻击行为,如图中所示用户5,那么发自它的所有报文都会被丢弃,其标识也将被加入阻断用户表8中,直到其被阻断T时间长度后解除阻断。
此外,本发明另一方面还提供了一种防止ARP报文攻击的系统,参阅图7的系统结构示意图,该系统包括:
识别模块,用于从网络设备所接收的ARP报文中获取发送所述ARP报文的用户的地址信息;
判断模块,与所述识别模块连接,用于根据所述识别模块获得的地址信息,判断所述用户是否为VIP用户;
存储模块,与所述判断模块连接,用于存储VIP用户表、ARP报文统计表和阻断用户表;
第一检测模块,与所述存储模块连接,用于检测所述ARP报文统计表中计数统计的各用户所发送的ARP报文是否超过一预定门限值;
第二检测模块,与所述存储模块连接,用于判断所述阻断用户表中计时统计的各用户被阻断的时间是否超过一预定阻断时间;
此外所述系统还包括第一计时模块,用于定时地触发所述第一检测模块对所述ARP报文统计表进行扫描;
第二计时模块,用于定时地触发所述第二检测模块对所述阻断用户表进行扫描。
最佳地,ARP攻击的预定监控时间t、预定门限值N、预设阻断时间T也存储于所述存储模块中。
因此,通过以上所述的防止ARP报文攻击的方法和系统,将来自用户的ARP报文进行数量统计,对一定时间内发送较多ARP报文的用户及时予以阻断一定时间,以保护网络和设备的正常运行。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (11)
1.一种防止地址解析协议ARP报文攻击的方法,其特征在于,所述方法包括:
从三层网络设备所接收ARP报文中获取用户的地址信息,对每一用户发送的ARP报文的数量进行计数;
逐一对所述每一用户在一预定时间内发送的所述ARP报文的数量进行检测,当判断其中一用户在所述预定时间内发送的所述ARP报文的数量超过一预定门限值时,则认为所述其中一用户为攻击用户,阻断所述攻击用户;
检测所述攻击用户的被阻断时间,所述被阻断时间等于或超过一预定阻断时间时,取消对所述攻击用户的阻断。
2.如权利要求1所述的方法,其特征在于,在从三层网络设备所接收ARP报文中获取用户的地址信息之前,还包括:
检测所述三层网络设备的所有接收报文,当所述接收报文的二层报文头的以太类型为0x0806时,则确定所述接收报文为所述ARP报文。
3.如权利要求1所述的方法,其特征在于,所述获取用户地址信息的步骤包括获取所述ARP报文的源媒体访问控制地址和所述ARP报文所在的虚拟局域网号VLAN ID。
4.如权利要求1所述的方法,其特征在于,在从三层网络设备所接收ARP报文中获取用户的地址信息后,还包括:
根据所述地址信息,逐一判断所述每一用户是否属于特定用户,若判断其中一用户属于特定用户时,则取消对所述其中一用户的ARP报文的数量计数。
5.如权利要求4所述的方法,其特征在于,判断所述每一用户是否属于特定用户的步骤包括:
将所述每一用户的地址信息与一预先保存的特定用户表中的数据进行比较,若判断所述其中一用户的地址信息与所述特定用户表中的其中一地址信息一致时,则确定所述其中一用户属于特定用户。
6.如权利要求1所述的方法,其特征在于,所述每一用户发送的所述ARP报文的数量分别在一ARP报文统计表中进行计数,检测所述每一用户在一预定时间内发送的所述ARP报文的数量的过程也即是执行对所述ARP报文统计表检测的过程。
7.如权利要求6所述的方法,其特征在于,间隔所述预定时间,即对所述ARP报文统计表中每一用户的ARP报文数量执行一次检测。
8.如权利要求7所述的方法,其特征在于,所述ARP报文统计表检测的过程包括:
以ARP报文统计表中的第一用户为当前项用户,检测所述当前项用户发送ARP报文的数量;
判断所述数量是否大于所述预定门限值,若判断结果为是,则阻断当前项用户,并将所述当前项用户的地址信息写入一阻断用户表,在所述阻断用户表中记录所述当前项用户的被阻断时间;
判断所述当前项用户是否为所述ARP报文统计表中的最后一项记录,若判断结果为是,则对所述ARP报文统计表的一次扫描检测执行完毕,清空所述ARP报文统计表;若判断结果为否,则以ARP报文统计表中的下一用户为当前项用户,返回检测所述下一用户发送的ARP报文的数量。
9.如权利要求8所述的方法,其特征在于,检测所述攻击用户的被阻断时间的过程也即是执行对所述阻断用户表进行扫描检测的过程,对所述阻断用户表的扫描检测间隔一预定扫描时间即执行一次,所述阻断用户表的扫描检测过程包括:
以所述阻断用户表中的第一用户为当前项阻断用户,检测所述当前项阻断用户的被阻断时间;
判断所述被阻断时间是否等于或大于所述预定阻断时间,若判断结果为是,则取消对所述当前项阻断用户的阻断,将所述当前项阻断用户从所述阻断用户表中移除;
判断所述当前项阻断用户是否为所述阻断用户表中的最后一项用户,若判断结果为否,则以所述阻断用户表的下一用户作为当前项用户,返回检测所述下一用户的被阻断时间;若判断结果为是,则确认对所述阻断用户表的一次扫描检测执行完毕,等待下次扫描。
10.一种防止地址解析协议ARP报文攻击的系统,其特征在于,所述系统包括:
识别模块,用于从网络设备所接收的ARP报文中获取发送所述ARP报文的用户的地址信息;
判断模块,用于根据所述地址信息,判断所述用户是否为VIP用户;
存储模块,用于存储VIP用户表、ARP报文统计表和阻断用户表;
第一检测模块,用于判断所述ARP报文统计表中计数统计的各用户所发送的ARP报文是否超过一预定门限值;
第二检测模块,用于判断所述阻断用户表中计时统计的各攻击用户被阻断的时间是否超过一预定阻断时间。
11.如权利要求10所述的系统,其特征在于,所述系统还包括第一计时模块,用于定时地触发所述第一检测模块对所述ARP报文统计表进行扫描;第二计时模块,用于定时地触发所述第二检测模块对所述阻断用户表进行扫描。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101192198A CN101345755B (zh) | 2008-08-29 | 2008-08-29 | 一种防止地址解析协议报文攻击的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101192198A CN101345755B (zh) | 2008-08-29 | 2008-08-29 | 一种防止地址解析协议报文攻击的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101345755A true CN101345755A (zh) | 2009-01-14 |
| CN101345755B CN101345755B (zh) | 2011-06-22 |
Family
ID=40247641
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101192198A Active CN101345755B (zh) | 2008-08-29 | 2008-08-29 | 一种防止地址解析协议报文攻击的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101345755B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101827081A (zh) * | 2010-02-09 | 2010-09-08 | 蓝盾信息安全技术股份有限公司 | 检测请求安全性的方法及系统 |
| CN102035851A (zh) * | 2010-12-28 | 2011-04-27 | 汉柏科技有限公司 | 防arp攻击的方法 |
| CN102263664A (zh) * | 2011-08-11 | 2011-11-30 | 北京星网锐捷网络技术有限公司 | 一种会话流处理方法及装置 |
| CN106982225A (zh) * | 2017-04-28 | 2017-07-25 | 新华三技术有限公司 | 防攻击方法及装置 |
| CN107086965A (zh) * | 2017-06-01 | 2017-08-22 | 杭州迪普科技股份有限公司 | 一种arp表项的生成方法、装置及交换机 |
| CN107204889A (zh) * | 2016-03-16 | 2017-09-26 | 佛山市顺德区顺达电脑厂有限公司 | 服务器的封包过滤方法及基板管理控制器 |
| CN108574674A (zh) * | 2017-03-10 | 2018-09-25 | 武汉安天信息技术有限责任公司 | 一种arp报文攻击检测方法及装置 |
| CN109474601A (zh) * | 2018-11-26 | 2019-03-15 | 杭州安恒信息技术股份有限公司 | 一种基于行为识别的扫描类攻击处置方法 |
| CN110392034A (zh) * | 2018-09-28 | 2019-10-29 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN110636086A (zh) * | 2019-11-13 | 2019-12-31 | 国家电网有限公司 | 网络防护测试方法及装置 |
| CN114220194A (zh) * | 2021-11-25 | 2022-03-22 | 上汽通用五菱汽车股份有限公司 | 行车安全监护和评估方法、系统及存储介质 |
| WO2023160693A1 (zh) * | 2022-02-28 | 2023-08-31 | 华为技术有限公司 | 一种攻击阻断方法及相关装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100563245C (zh) * | 2005-04-27 | 2009-11-25 | 华为技术有限公司 | 一种针对arp泛滥攻击的防范方法 |
| CN101247217B (zh) * | 2008-03-17 | 2010-09-29 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议流量攻击的方法、单元和系统 |
-
2008
- 2008-08-29 CN CN2008101192198A patent/CN101345755B/zh active Active
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101827081B (zh) * | 2010-02-09 | 2013-04-24 | 蓝盾信息安全技术股份有限公司 | 检测请求安全性的方法及系统 |
| CN101827081A (zh) * | 2010-02-09 | 2010-09-08 | 蓝盾信息安全技术股份有限公司 | 检测请求安全性的方法及系统 |
| CN102035851A (zh) * | 2010-12-28 | 2011-04-27 | 汉柏科技有限公司 | 防arp攻击的方法 |
| CN102263664A (zh) * | 2011-08-11 | 2011-11-30 | 北京星网锐捷网络技术有限公司 | 一种会话流处理方法及装置 |
| CN107204889A (zh) * | 2016-03-16 | 2017-09-26 | 佛山市顺德区顺达电脑厂有限公司 | 服务器的封包过滤方法及基板管理控制器 |
| CN108574674A (zh) * | 2017-03-10 | 2018-09-25 | 武汉安天信息技术有限责任公司 | 一种arp报文攻击检测方法及装置 |
| CN106982225B (zh) * | 2017-04-28 | 2020-05-12 | 新华三技术有限公司 | 防攻击方法及装置 |
| CN106982225A (zh) * | 2017-04-28 | 2017-07-25 | 新华三技术有限公司 | 防攻击方法及装置 |
| CN107086965A (zh) * | 2017-06-01 | 2017-08-22 | 杭州迪普科技股份有限公司 | 一种arp表项的生成方法、装置及交换机 |
| CN107086965B (zh) * | 2017-06-01 | 2020-04-03 | 杭州迪普科技股份有限公司 | 一种arp表项的生成方法、装置及交换机 |
| CN110392034A (zh) * | 2018-09-28 | 2019-10-29 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN109474601A (zh) * | 2018-11-26 | 2019-03-15 | 杭州安恒信息技术股份有限公司 | 一种基于行为识别的扫描类攻击处置方法 |
| CN109474601B (zh) * | 2018-11-26 | 2021-06-01 | 杭州安恒信息技术股份有限公司 | 一种基于行为识别的扫描类攻击处置方法 |
| CN110636086A (zh) * | 2019-11-13 | 2019-12-31 | 国家电网有限公司 | 网络防护测试方法及装置 |
| CN110636086B (zh) * | 2019-11-13 | 2023-12-26 | 国家电网有限公司 | 网络防护测试方法及装置 |
| CN114220194A (zh) * | 2021-11-25 | 2022-03-22 | 上汽通用五菱汽车股份有限公司 | 行车安全监护和评估方法、系统及存储介质 |
| WO2023160693A1 (zh) * | 2022-02-28 | 2023-08-31 | 华为技术有限公司 | 一种攻击阻断方法及相关装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101345755B (zh) | 2011-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101345755B (zh) | 一种防止地址解析协议报文攻击的方法和系统 | |
| JP4545647B2 (ja) | 攻撃検知・防御システム | |
| CN101247217B (zh) | 防止地址解析协议流量攻击的方法、单元和系统 | |
| CN101202742B (zh) | 一种防止拒绝服务攻击的方法和系统 | |
| KR100877664B1 (ko) | 어택 검출 방법, 어택 검출 장치, 데이터 통신 네트워크, 컴퓨터 판독 가능 기록 매체 및 침입 검출 애플리케이션의 전개 방법 | |
| CN100471141C (zh) | 无线传感器网络的混合入侵检测方法 | |
| US7672245B2 (en) | Method, device, and system for detecting layer 2 loop | |
| CN107395632B (zh) | SYN Flood防护方法、装置、清洗设备及介质 | |
| KR100748246B1 (ko) | 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한다단계 통합보안 관리 시스템 및 방법 | |
| US20050050365A1 (en) | Network unauthorized access preventing system and network unauthorized access preventing apparatus | |
| CN109831461A (zh) | 一种分布式拒绝服务DDoS攻击防御方法及装置 | |
| CN103609089B (zh) | 一种防止附连到子网的主机上拒绝服务攻击的方法及装置 | |
| US20110239301A1 (en) | Technique of detecting denial of service attacks | |
| CN105553974A (zh) | 一种http慢速攻击的防范方法 | |
| CN104901953B (zh) | 一种arp欺骗的分布式检测方法及系统 | |
| CN101005412A (zh) | 一种防止端口环路检测报文攻击的实现方法及系统 | |
| CN100399751C (zh) | 一种检测和维护ppp链路的方法 | |
| CN102137073B (zh) | 一种防止仿冒ip地址进行攻击的方法和接入设备 | |
| CN106331190A (zh) | Ip地址回收方法、装置及动态主机配置协议服务器 | |
| CN104796423B (zh) | Arp双向主动防御方法 | |
| CN109981603A (zh) | Arp攻击监测系统及方法 | |
| CN105812318A (zh) | 用于在网络中防止攻击的方法、控制器和系统 | |
| CN107454065B (zh) | 一种UDP Flood攻击的防护方法及装置 | |
| CN108667829A (zh) | 一种网络攻击的防护方法、装置及存储介质 | |
| CN101136917B (zh) | 一种传输控制协议拦截模块及其软切换方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |