CN101494536B - 一种防arp攻击的方法、装置和系统 - Google Patents
一种防arp攻击的方法、装置和系统 Download PDFInfo
- Publication number
- CN101494536B CN101494536B CN2009101055373A CN200910105537A CN101494536B CN 101494536 B CN101494536 B CN 101494536B CN 2009101055373 A CN2009101055373 A CN 2009101055373A CN 200910105537 A CN200910105537 A CN 200910105537A CN 101494536 B CN101494536 B CN 101494536B
- Authority
- CN
- China
- Prior art keywords
- arp
- host
- gateway
- link layer
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 15
- 230000016571 aggressive behavior Effects 0.000 title 1
- 230000027455 binding Effects 0.000 claims abstract description 36
- 238000009739 binding Methods 0.000 claims abstract description 36
- 230000004044 response Effects 0.000 claims abstract description 21
- 230000007123 defense Effects 0.000 claims description 8
- 230000032683 aging Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及网络通信领域,尤其涉及一种防ARP攻击的方法、装置和系统。该方法包括:配置链路层设备管理范围内的每台主机的网际协议IP地址和媒体访问控制MAC地址绑定;向网关发送包括主机IP地址和MAC地址绑定的ARP请求报文;接收所述网关根据所述ARP请求报文生成的ARP应答报文,并将所述ARP应答报文转发到相应主机。采用本发明实施例提供的技术方案,因为丢弃了所有主机向所述网关发送的ARP报文,并根据IP地址和MAC地址绑定向网关发送ARP请求报文,可以将所有主机发出的ARP报文被屏蔽在用户网络内,从而,解决了在链路层设备上防御针对网关设备的ARP攻击的问题。
Description
技术领域
本发明涉及网络通信领域,尤其涉及一种防ARP攻击的方法、装置和系统。
背景技术
由于地址解析协议(Address Resolution Protocol,ARP协议)的开放性和无认证机制,导致ARP攻击经常发生。
ARP攻击有针对网络中主机的,也有针对网关的。ARP地址欺骗攻击一般针对个别或者一定范围内的主机进行,危害相对较小。而针对网关设备的ARP攻击,由于其网络位置的特殊性,将造成大面积用户无法上网。
目前在交换机上部署的防ARP攻击的方法主要有:
1)端口学习媒体访问控制(Media Access Control,MAC)地址数量限制:超过指定MAC地址时,可以选择关闭端口、报警、丢弃流量;
2)动态主机分配协议(Dynamic Host Configuration Protocol,DHCP)snooping:阻止不可信端口的DHCP响应报文,监控可信端口的DHCP报文或者以手工方式建立DHCP snooping绑定表,依据IP与MAC地址的对应关系可以执行一系列的防攻击检查;
3)动态ARP检测(Dynamic ARP Inspection,DAI):以DHCPsnooping绑定表为依据进行ARP报文动态检查,也可以在端口限定ARP报文速率。
采用端口学习MAC地址数量限制的方案,因为在已经学习到的MAC中,可能被攻击MAC占据了很大部分,而合法的却不能学习。如果超过指定MAC地址时关闭端口,那么端口就不能进行任何转发。
发明人发现现有技术存在以下问题:由于安全部门对网络进行监控的需要,网吧等公共上网场所难以应用动态分配网际协议(InternetProtocol,IP)地址的DHCP协议。并且DHCP snooping不能防御伪装合法的MAC和IP的ARP攻击方法。
发明内容
本发明实施例的目的是提供一种防ARP攻击的方法、装置和系统,以防御针对网关设备的ARP攻击。
本发明实施例的目的是通过以下技术方案实现的:
一种防ARP攻击的方法,包括:
链路层设备配置链路层设备管理范围内的每台主机的网际协议IP地址和媒体访问控制MAC地址绑定;
链路层设备丢弃所有主机向网关发送的ARP报文;
链路层设备向所述网关发送ARP请求报文,所述ARP请求报文包括主机IP地址和MAC地址绑定;
链路层设备接收所述网关根据所述ARP请求报文生成的ARP应答报文,并将所述ARP应答报文转发到相应主机。
一种防地址解析协议ARP攻击的链路层设备,包括存储模块、防御模块、发送模块和接收模块;其中,
所述存储模块,用于存储链路层设备管理范围内的每台主机的IP地址和MAC地址绑定;
所述防御模块,用于丢弃所有所述接收模块接收的主机向网关发送的ARP报文;
所述发送模块,用于向所述网关发送ARP请求报文,所述ARP请求报文包括主机IP地址和MAC地址绑定,并用于将所述接收模块接收的ARP应答报文转发到相应主机;
所述接收模块,用于接收网关根据所述ARP请求报文生成的ARP应答报文。
一种防ARP攻击的系统,包括网关;
所述网关,用于接收链路层设备发送的ARP请求报文,所述ARP请求报文包括主机IP地址和MAC地址绑定,根据所述ARP请求报文生成主机的ARP表项并发送ARP应答报文;
所述链路层设备,用于存储链路层设备管理范围内的每台主机的IP地址和MAC地址绑定,并向所述网关发送包括主机IP地址和MAC地址绑定的ARP请求报文,接收所述网关发送的所述ARP应答报文,并将所述ARP应答报文转发到相应主机,还用于丢弃所有主机向所述网关发送的ARP报文。
采用本发明实施例提供的技术方案,因为在链路层设备上配置了每台主机的IP地址和MAC地址绑定,可以代替主机向网关发送ARP请求报文,由于链路层设备上的IP地址和MAC地址绑定静态配置,不会因ARP报文改变,从而,可以在链路层设备上防御针对网关设备的ARP攻击。
附图说明
图1为本发明实施例的应用场景示意图;
图2为本发明一个实施例中一种防ARP攻击的方法流程图;
图3为本发明另一个实施例中一种防ARP攻击的链路层设备框图;
图4为本发明又一个实施例中防ARP攻击的系统框图。
具体实施方式
图1为本发明实施例的一个应用场景示意图。
本发明实施例的一个应用场景中,主机通过接入交换机接入到网关,再通过网关接入核心网或公网。由于安全部门需要对网络进行监控等原因,每台主机都有固定的全网IP地址,因此,不需要DHCP服务器为主机分配动态IP地址。这里的接入交换机也可以是其他链路层设备,包括交换机、网桥或者支持链路层模式的路由器。
图2为本发明一个实施例中一种防ARP攻击的方法流程图。该方法包括:
202、配置链路层设备管理范围内的每台主机的IP地址和MAC地址绑定。例如,可以人工或应用批处理、脚本程序,将链路层设备管理范围内的每台主机的IP地址和MAC地址绑定静态配置在所属的链路层设备上。所述IP地址和MAC地址绑定是指主机所对应的IP地址和该主机所对应的MAC地址的静态配置的绑定关系。所述链路层设备,包括交换机、网桥或者支持链路层模式的路由器。
204、链路层设备向网关发送包括主机IP地址和MAC地址绑定的ARP请求报文。举例来说,链路层设备按照配置的IP地址和MAC地址绑定,代替主机向网关周期发送附带主机MAC和IP的ARP请求报文,发送周期可以包括10秒、20秒等较大间隔,但应当小于主机的ARP表项老化时间。
206、链路层设备接收网关根据ARP请求报文生成的ARP应答报文,并将ARP应答报文转发到相应主机。网关收到链路层设备发送的ARP请求报文,生成主机的ARP表项并发送ARP应答报文,通过链路层设备转发到相应主机,使主机生成网关的ARP表项。所述相应主机,是指IP地址是网关发送的ARP应答报文中的目的IP的主机。
因为链路层设备代替主机向网关发送ARP请求报文,因此通常主机不会向网关发送ARP报文。当主机向网关发送ARP报文时,可以让链路层设备丢弃所有主机向所述网关发送的ARP报文。例如,链路层设备收到ARP报文后,将所有要向网关发送的ARP报文丢弃,因此,所有主机发出的ARP报文被屏蔽在用户网络内。链路层设备管理范围内的主机之间的ARP报文可以互通,但不能向网关发送,从而保证了网关不会受到任何ARP攻击。
在本发明实施例的一个具体应用场景中,在链路层设备上联端口配置丢弃主机向网关发送的ARP报文的功能。所述上联端口是指与网关相连接的端口。链路层设备收到ARP报文后,完成MAC地址学习,将所有要从配置ARP防攻击功能的端口转发出去的ARP报文丢弃,从而所有主机发出的ARP报文被屏蔽在用户网络内,链路层设备管理范围内的主机之间的ARP报文可以互通,但不能从上联端口发送出去。
图3为本发明另一个实施例中一种防ARP攻击的链路层设备框图。所述链路层设备,可以是交换机、网桥或者支持链路层模式的路由器。该链路层设备包括:存储模块302、发送模块304和接收模块308;其中,
存储模块302,用于存储链路层设备管理范围内的每台主机的IP地址和MAC地址绑定。举例来说,存储模块302存储的IP地址和MAC地址绑定可以是人工或应用批处理、脚本程序配制的。
发送模块304,用于向网关发送ARP请求报文,所述ARP请求报文包括主机IP地址和MAC地址绑定,并用于将所述接收模块308接收的ARP应答报文转发到相应主机。举例来说,发送模块304按照存储模块302存储的IP地址和MAC地址绑定,代替主机向网关周期发送附带主机MAC和IP的ARP请求报文,发送周期可以包括10秒、20秒等较大间隔,但应当小于主机的ARP表项老化时间。
接收模块306,用于接收网关根据所述ARP请求报文生成的ARP应答报文。
图4为本发明又一个实施例中一种防ARP攻击的链路层设备框图。所述链路层设备,可以是交换机、网桥或者支持链路层模式的路由器。该链路层设备包括:存储模块402、发送模块404、防御模块406和接收模块408;本发明另一个实施例的链路层设备中,各个组成部分与图3所示实施例的链路层设备基本相同,功能也基本相同,区别在于,增加了防御模块406。其中,
防御模块406,用于丢弃所有所述接收模块408接收的主机向所述网关发送的ARP报文。在本发明实施例的一个具体应用场景中,防御模块406位于链路层设备的上联端口。
图5为本发明另一个实施例中防ARP攻击的系统框图。该系统包括:网关402;其中,
网关502,用于接收链路层设备404发送的包括主机IP地址和MAC地址绑定的ARP请求报文,根据所述ARP请求报文生成主机的ARP表项并发送ARP应答报文。
链路层设备504,用于存储链路层设备管理范围内的每台主机的IP地址和MAC地址绑定,并向所述网关402发送包括主机IP地址和MAC地址绑定的ARP请求报文,接收所述网关402发送的所述ARP应答报文,并将所述ARP应答报文转发到相应主机。所述链路层设备504,包括交换机、网桥或者支持链路层模式的路由器。
因为链路层设备504代替主机向网关发送ARP请求报文,因此通常主机不会向网关502发送ARP报文。当主机向网关502发送ARP报文时,链路层设备504还用于丢弃所有主机向网关502发送的ARP报文
采用本发明实施例提供的技术方案,因为在链路层设备上配置了每台主机的IP地址和MAC地址绑定,可以代替主机向网关发送ARP请求报文,由于链路层设备上的IP地址和MAC地址绑定静态配置,不会因ARP报文改变,从而,可以在链路层设备上防御针对网关设备的ARP攻击。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于计算机可读存储介质中,所述存储介质可以是ROM/RAM,磁盘或光盘等。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (6)
1.一种防地址解析协议ARP攻击的方法,其特征在于,包括:
链路层设备配置链路层设备管理范围内的每台主机的网际协议IP地址和媒体访问控制MAC地址绑定;
链路层设备丢弃所有主机向网关发送的ARP报文;
链路层设备向所述网关发送ARP请求报文,所述ARP请求报文包括主机IP地址和MAC地址绑定;
链路层设备接收所述网关根据所述ARP请求报文生成的ARP应答报文,并将所述ARP应答报文转发到相应主机。
2.根据权利要求1所述的方法,其特征在于,所述向网关发送ARP请求报文,包括向网关周期发送所述ARP请求报文,发送所述ARP请求报文的周期小于主机的ARP表项老化时间。
3.根据权利要求1或2所述的方法,其特征在于,所述链路层设备,包括:
交换机;或
网桥;或
支持链路层模式的路由器。
4.一种防地址解析协议ARP攻击的链路层设备,其特征在于,包括存储模块、防御模块、发送模块和接收模块;其中,
所述存储模块,用于存储链路层设备管理范围内的每台主机的IP地址和MAC地址绑定;
所述防御模块,用于丢弃所有所述接收模块接收的主机向网关发送的ARP报文;
所述发送模块,用于向所述网关发送ARP请求报文,所述ARP请求报文包括主机IP地址和MAC地址绑定,并用于将所述接收模块接收的ARP应答报文转发到相应主机;
所述接收模块,用于接收网关根据所述ARP请求报文生成的ARP应答报文。
5.一种防地址解析协议ARP攻击的系统,其特征在于,包括网关;
所述网关,用于接收链路层设备发送的ARP请求报文,所述ARP请求报文包括主机IP地址和MAC地址绑定,根据所述ARP请求报文生成主机的ARP表项并发送ARP应答报文;
所述链路层设备,用于存储链路层设备管理范围内的每台主机的IP地址和MAC地址绑定,并向所述网关发送包括主机IP地址和MAC地址绑定的ARP请求报文,接收所述网关发送的所述ARP应答报文,并将所述ARP应答报文转发到相应主机,还用于丢弃所有主机向所述网关发送的ARP报文。
6.根据权利要求5所述的系统,其特征在于,所述链路层设备,包括:
交换机;或
网桥;或
支持链路层模式的路由器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101055373A CN101494536B (zh) | 2009-02-20 | 2009-02-20 | 一种防arp攻击的方法、装置和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101055373A CN101494536B (zh) | 2009-02-20 | 2009-02-20 | 一种防arp攻击的方法、装置和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101494536A CN101494536A (zh) | 2009-07-29 |
CN101494536B true CN101494536B (zh) | 2012-01-04 |
Family
ID=40924957
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009101055373A Active CN101494536B (zh) | 2009-02-20 | 2009-02-20 | 一种防arp攻击的方法、装置和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101494536B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102457586B (zh) * | 2010-10-18 | 2015-06-03 | 中兴通讯股份有限公司 | 一种实现二层网络的扩展方法及扩展的二层网络 |
CN104410642B (zh) * | 2014-12-11 | 2017-10-10 | 国家电网公司 | 基于arp协议的设备接入感知方法 |
CN108989271B (zh) * | 2017-06-05 | 2022-06-10 | 中兴通讯股份有限公司 | 一种家庭网关端口防攻击的方法和装置 |
CN107295020A (zh) * | 2017-08-16 | 2017-10-24 | 北京新网数码信息技术有限公司 | 一种地址解析协议攻击的处理方法及装置 |
CN109600273B (zh) * | 2018-11-26 | 2020-04-21 | 武汉思普崚技术有限公司 | 一种udp报文传输性能的优化方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6771649B1 (en) * | 1999-12-06 | 2004-08-03 | At&T Corp. | Middle approach to asynchronous and backward-compatible detection and prevention of ARP cache poisoning |
CN1905488A (zh) * | 2006-08-15 | 2007-01-31 | 华为技术有限公司 | 采用虚拟路由器冗余协议接入用户的方法和系统 |
US7360245B1 (en) * | 2001-07-18 | 2008-04-15 | Novell, Inc. | Method and system for filtering spoofed packets in a network |
CN101197830A (zh) * | 2007-12-07 | 2008-06-11 | 张南希 | 上报式防攻击信息通讯网络安全防御方法及防御系统 |
-
2009
- 2009-02-20 CN CN2009101055373A patent/CN101494536B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6771649B1 (en) * | 1999-12-06 | 2004-08-03 | At&T Corp. | Middle approach to asynchronous and backward-compatible detection and prevention of ARP cache poisoning |
US7360245B1 (en) * | 2001-07-18 | 2008-04-15 | Novell, Inc. | Method and system for filtering spoofed packets in a network |
CN1905488A (zh) * | 2006-08-15 | 2007-01-31 | 华为技术有限公司 | 采用虚拟路由器冗余协议接入用户的方法和系统 |
CN101197830A (zh) * | 2007-12-07 | 2008-06-11 | 张南希 | 上报式防攻击信息通讯网络安全防御方法及防御系统 |
Also Published As
Publication number | Publication date |
---|---|
CN101494536A (zh) | 2009-07-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10382397B2 (en) | Mitigating neighbor discovery-based denial of service attacks | |
US20190058731A1 (en) | User-side detection and containment of arp spoofing attacks | |
EP2724508B1 (en) | Preventing neighbor-discovery based denial of service attacks | |
CN107241313B (zh) | 一种防mac泛洪攻击的方法及装置 | |
CN101494536B (zh) | 一种防arp攻击的方法、装置和系统 | |
WO2015174100A1 (ja) | パケット転送装置、パケット転送システム及びパケット転送方法 | |
JP6932375B2 (ja) | 通信装置 | |
CN113014530B (zh) | Arp欺骗攻击防范方法及系统 | |
Belenguer et al. | A low-cost embedded IDS to monitor and prevent Man-in-the-Middle attacks on wired LAN environments | |
EP3073701B1 (en) | Network protection entity and method for protecting a communication network against fraud messages | |
Liu et al. | Study on attacking and defending techniques in IPv6 networks | |
Najjar et al. | Ipv6 change threats behavior | |
EP2169898A1 (en) | Method of and telecommunication apparatus for mitigating Distributed Denial-of-Service attacks in SIP packet networks | |
Carp et al. | Practical analysis of IPv6 security auditing methods | |
An et al. | Analysis of SEND protocol through implementation and simulation | |
KR101188308B1 (ko) | 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법 | |
EP3270569B1 (en) | Network protection entity and method for protecting a communication network against malformed data packets | |
Arslan | A solution for ARP spoofing: Layer-2 MAC and protocol filtering and arpserver | |
CN111464517B (zh) | 一种ns反向查询防止地址欺骗攻击的方法及系统 | |
Kavisankar et al. | T-RAP:(TCP reply acknowledgement packet) a resilient filtering model for DDoS attack with spoofed IP address | |
Murugesan et al. | Security mechanism for IPv6 router discovery based on distributed trust management | |
Barokar et al. | Identification of the Real Source of DDOS Attack by FDPM in IP Traceback System | |
An et al. | Effective control of abnormal neighbor discovery congestion on IPv6 local area network | |
Wu et al. | H6Proxy: Address forging and data-gram forwarding based attack testing proxy system in IPv6 network | |
Supriyanto et al. | Risk analysis of the implementation of IPv6 neighbor discovery in public network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |