CN101616131A - 一种防御Arp病毒攻击的方法 - Google Patents
一种防御Arp病毒攻击的方法 Download PDFInfo
- Publication number
- CN101616131A CN101616131A CN200810069875A CN200810069875A CN101616131A CN 101616131 A CN101616131 A CN 101616131A CN 200810069875 A CN200810069875 A CN 200810069875A CN 200810069875 A CN200810069875 A CN 200810069875A CN 101616131 A CN101616131 A CN 101616131A
- Authority
- CN
- China
- Prior art keywords
- arp
- user
- gateway
- attack
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种防御Arp病毒攻击的方法,包括:管理服务器为每个客户端绑定一个独立的网关IP,采用客户端软件对用户接收或发送的Arp数据包进行过滤,采用控制网关拦截未安装客户端软件的新用户并将该用户引导到提示用户安装防御Arp病毒攻击客户端软件的web页,采用管理服务器对所有用户信息进行实时统计并将客户端Mac地址列表的更新信息实时发送给控制网关;本发明的有益技术效果是:在用户端驱动层实施Arp病毒包拦截,客户端与管理服务器联动,迫使网络中每个用户必须安装Arp防御客户端,使防御系统规范化,避免被攻击,并能及时发现攻击源,无需投入大量资金升级、改造二层网络。
Description
技术领域
本发明涉及一种网络安全防护技术,尤其涉及一种防御Arp病毒攻击的方法。
背景技术
Arp病毒是现在计算机网络中出现的一种木马病毒,它利用网络传输协议的漏洞,攻击二层网络设备和二层网络上的网关设备,导致计算机网络无法正常通信。
通常人们在应用层上采用一些简单办法,往往只能够解决一时问题,随着病毒的进一步发展,简单方法又会失效,所以计算机网络中,ARP病毒攻击网络的情况呈现周期性地爆发;有些防ARP攻击的软件虽然做得好,解决了安装这种软件电脑的问题;但对一些运营大型网络的公司来说,其用户数量众多,情况复杂,很难动员安装统一的防ARP攻击软件,使得网络经常发生难以克服的ARP病毒攻击,人们时常需要通过到现场逐一断开网络分支线,查找病毒攻击源头,大大增加了网络维护人员的劳动强度,并且ARP病毒攻击网络的地点和时间都是随机出现的,单靠上述软件的防御办法是无法解决运营网络的安全保护问题的。
发明内容
本发明公开了一种防御Arp病毒攻击的方法,包括:管理服务器为每个客户端绑定一个独立的网关IP,采用客户端软件对用户接收或发送的Arp数据包进行过滤,采用控制网关拦截未安装客户端软件的新用户并将该用户引导到提示用户安装防御Arp病毒攻击客户端软件的web页,采用管理服务器对所有用户信息进行实时统计并将客户端Mac地址列表的更新信息实时发送给控制网关。
所述的管理服务器为每个客户端绑定一个独立的网关IP,包括:客户端软件把本地信息传递给管理服务器,管理服务器为该客户端分配一个独立的网关IP,管理服务器把该客户端的IP和Mac对应关系通知对应的控制网关,并实施绑定,保护用户Arp列表不被欺骗。
所述客户端软件包括:Mac(MediaAccess Control,介质访问控制)地址列表和规则表,Mac地址列表中存储有客户端IP、Mac信息和网络邻居IP、Mac信息,规则表中存储有网关Mac地址、IP地址,用户登录时客户端软件自动检测是否有网关Mac地址列表的更新信息并对网关Mac地址列表进行自动探测。
采用客户端软件对用户接收或发送的Arp数据包进行过滤,包括:
对于接收Arp数据包的情况:客户端软件对源地址为网关IP的Arp数据包,将其源地址与网关Mac地址列表进行比对,如果IP和Mac地址与网关Mac地址列表中的相应信息完全一样,则将该Arp数据包交由上层程序处理;如果不一样则丢弃该Arp数据包;对于网络邻居发送的Arp数据包,检测该网络邻居是否允许互访,允许则接收该Arp数据包,不允许则丢弃该Arp数据包;
对于发送Arp数据包的情况:客户端软件检测该Arp数据包的IP、Mac在规则表中是否存在,存在则发送该Arp数据包并对发送数量实施流量控制,否则丢弃该Arp数据包;所述规则表包括:该Arp数据包发送的源Mac地址是否为本地Mac地址、目的Mac地址是否为网关Mac地址列表中的网关地址。
采用令牌桶算法实施对发送数量的流量控制。
采用控制网关拦截未安装客户端软件的新用户并将该用户引导到提示用户安装防御Arp病毒攻击客户端软件的web页,以此提示用户安装防御Arp病毒攻击客户端软件。
采用管理服务器对所有用户信息进行实时统计,其统计的用户信息包括:用户的登录帐号、操作系统版本、IP地址、Mac地址、攻击次数、被攻击次数。
管理服务器将客户端Mac地址列表的更新信息实时发送给控制网关,包括:用户安装防御Arp病毒攻击客户端软件后,防御Arp病毒攻击客户端软件自动将该用户的IP、Mac、所在的网段、操作系统版本号、网关信息上报给管理服务器,管理服务器将其作为网关Mac地址列表的更新信息发送给控制网关并指示控制网关放行该用户的数据包。
本发明的有益技术效果是:在用户端驱动层实施Arp病毒包拦截,客户端与管理服务器联动,迫使网络中每个用户必须安装Arp防御客户端,使防御系统规范化,避免被攻击,并能及时发现攻击源,无需投入大量资金升级、改造二层网络。
附图说明
图1,采用本发明的一种网络结构拓扑图;
图中:客户端1、二层交换机2、CMTS 3、管理服务器4、控制网关5、三层交换机6。
具体实施方式
参见附图1,拓扑图由六部分组成:客户端1、二层交换机2、CMTS 3(Cable ModemTermination Systems,电缆调制解调器)、管理服务器4、控制网关5、三层交换机6。
控制网关IP:172.31.33.100/24
管理服务器IP:172.31.33.200/24
客户端:172.31.33.0/24
从图中可以看出,用户要上网,必须安客户端软件,因为控制网关放在网络的关键地方,所有数据包必须通过它才能到达要访问的目标服务器。
客户端软件把本地信息传递给管理服务器,管理服务器为该客户端分配一个独立的网关IP,管理服务器把该客户端的IP和Mac对应关系通知对应的控制网关,并实施绑定,保护用户Arp列表不被欺骗。
客户端软件中记录有Mac地址列表和规则表,Mac地址列表中记录的是客户端IP、Mac信息和网络邻居IP、Mac信息,规则表中记录的是网关Mac地址、IP地址,用户登录时客户端软件自动检测是否有网关Mac地址列表的更新信息并对网关Mac地址列表进行自动探测。
当客户端接收到Arp数据包时,客户端软件对源地址为网关IP的Arp数据包,将其源地址与网关Mac地址列表进行比对,如果IP和Mac地址与网关Mac地址列表中的相应信息完全一样,则将该Arp数据包交由上层程序处理;如果不一样则丢弃该Arp数据包;对于网络邻居发送的Arp数据包,检测该网络邻居是否允许互访,允许则接收该Arp数据包,
不允许则丢弃该Arp数据包;
当客户端发送Arp数据包时,客户端软件检测该Arp数据包的IP、Mac在规则表中是否存在,存在则发送该Arp数据包并对发送数量实施流量控制,否则丢弃该Arp数据包;所述规则表包括:该Arp数据包发送的源Mac地址是否为本地Mac地址、目的Mac地址是否为网关Mac地址列表中的网关地址。
控制网关还可以拦截未安装客户端软件的新用户并将该用户引导到提示用户安装防御Arp病毒攻击客户端软件的web页,以此提示用户安装防御Arp病毒攻击客户端软件。
管理服务器对所有用户信息进行实时统计,其统计的用户信息包括:用户的登录帐号、操作系统版本、IP地址、Mac地址、攻击次数、被攻击次数;
用户安装防御Arp病毒攻击客户端软件后,防御Arp病毒攻击客户端软件自动将该用户的IP、Mac、所在的网段、操作系统版本号、网关信息上报给管理服务器,管理服务器将其作为网关Mac地址列表的更新信息发送给控制网关并指示控制网关放行该用户的数据包。
Claims (8)
1、一种防御Arp病毒攻击的方法,其特征在于:管理服务器为每个客户端绑定一个独立的网关IP,采用客户端软件对用户接收或发送的Arp数据包进行过滤,采用控制网关拦截未安装客户端软件的新用户并将该用户引导到提示用户安装防御Arp病毒攻击客户端软件的web页,采用管理服务器对所有用户信息进行实时统计并将客户端Mac地址列表的更新信息实时发送给控制网关。
2、根据权利要求1所述的一种防御Arp病毒攻击的方法,其特征在于:所述的管理服务器为每个客户端绑定一个独立的网关IP,包括:客户端软件把本地信息传递给管理服务器,管理服务器为该客户端分配一个独立的网关IP,管理服务器把该客户端的IP和Mac对应关系通知对应的控制网关,并实施绑定,保护用户Arp列表不被欺骗。
3、根据权利要求1所述的一种防御Arp病毒攻击的方法,其特征在于:所述客户端软件包括:Mac地址列表和规则表,Mac地址列表中存储有客户端IP、Mac信息和网络邻居IP、Mac信息,规则表中存储有网关Mac地址、IP地址,用户登录时客户端软件自动检测是否有网关Mac地址列表的更新信息并对网关Mac地址列表进行自动探测。
4、根据权利要求1所述的一种防御Arp病毒攻击的方法,其特征在于:采用客户端软件对用户接收或发送的Arp数据包进行过滤,包括:
对于接收Arp数据包的情况:客户端软件对源地址为网关IP的Arp数据包,将其源地址与网关Mac地址列表进行比对,如果IP和Mac地址与网关Mac地址列表中的相应信息完全一样,则将该Arp数据包交由上层程序处理;如果不一样则丢弃该Arp数据包;对于网络邻居发送的Arp数据包,检测该网络邻居是否允许互访,允许则接收该Arp数据包,不允计则丢弃该Arp数据包;
对于发送Arp数据包的情况:客户端软件检测该Arp数据包的IP、Mac在规则表中是否存在,存在则发送该Arp数据包并对发送数量实施流量控制,否则丢弃该Arp数据包;所述规则表包括:该Arp数据包发送的源Mac地址是否为本地Mac地址、目的Mac地址是否为网关Mac地址列表中的网关地址。
5、根据权利要求4所述的一种防御Arp病毒攻击的方法,其特征在于:采用令牌桶算法实施对发送数量的流量控制。
6、根据权利要求1所述的一种防御Arp病毒攻击的方法,其特征在于:采用控制网关拦截未安装客户端软件的新用户并将该用户引导到提示用户安装防御Arp病毒攻击客户端软件的web页,以此提示用户安装防御Arp病毒攻击客户端软件。
7、根据权利要求1所述的一种防御Arp病毒攻击的方法,其特征在于:采用管理服务器对所有用户信息进行实时统计,其统计的用户信息包括:用户的登录帐号、操作系统版本、IP地址、Mac地址、攻击次数、被攻击次数。
8、根据权利要求1所述的一种防御Arp病毒攻击的方法,其特征在于:管理服务器将客户端Mac地址列表的更新信息实时发送给控制网关,包括:用户安装防御Arp病毒攻击客户端软件后,防御Arp病毒攻击客户端软件自动将该用户的IP、Mac、所在的网段、操作系统版本号、网关信息上报给管理服务器,管理服务器将其作为网关Mac地址列表的更新信息发送给控制网关并指示控制网关放行该用户的数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810069875A CN101616131A (zh) | 2008-06-24 | 2008-06-24 | 一种防御Arp病毒攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810069875A CN101616131A (zh) | 2008-06-24 | 2008-06-24 | 一种防御Arp病毒攻击的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101616131A true CN101616131A (zh) | 2009-12-30 |
Family
ID=41495543
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810069875A Pending CN101616131A (zh) | 2008-06-24 | 2008-06-24 | 一种防御Arp病毒攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101616131A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101895543A (zh) * | 2010-07-12 | 2010-11-24 | 江苏华丽网络工程有限公司 | 一种基于网络交换设备的有效防御洪水攻击的方法 |
| CN101951367A (zh) * | 2010-09-09 | 2011-01-19 | 健雄职业技术学院 | 一种校园网防范arp病毒入侵的方法 |
| CN102497380A (zh) * | 2011-12-21 | 2012-06-13 | 余姚市供电局 | 一种内网数据包过滤方法 |
| CN102694771A (zh) * | 2011-03-22 | 2012-09-26 | 上海艾泰科技有限公司 | 在网关dhcp服务端绑定ip-mac的方法及网关dhcp服务端 |
| CN102831334A (zh) * | 2011-06-15 | 2012-12-19 | 奇智软件(北京)有限公司 | 一种目标地址定位方法和系统 |
| CN103856443A (zh) * | 2012-11-29 | 2014-06-11 | 台众计算机股份有限公司 | 网点的判断与阻挡的方法 |
| CN104243333A (zh) * | 2013-06-24 | 2014-12-24 | 阿里巴巴集团控股有限公司 | 一种地址解析协议报文的流量控制方法 |
| CN104796409A (zh) * | 2015-03-29 | 2015-07-22 | 胡清桂 | 一种局域网远程连接查找arp病毒源主机的方法 |
| CN105991794A (zh) * | 2015-06-01 | 2016-10-05 | 杭州迪普科技有限公司 | 一种地址学习方法及装置 |
| CN107409343A (zh) * | 2016-02-11 | 2017-11-28 | 徐敬 | 一种无线通信方法 |
| CN108096831A (zh) * | 2016-11-25 | 2018-06-01 | 盛趣信息技术(上海)有限公司 | 网络游戏防加速控制系统及方法 |
| CN108234522A (zh) * | 2018-03-01 | 2018-06-29 | 深圳市共进电子股份有限公司 | 防止地址解析协议arp攻击方法、装置、计算机设备和存储介质 |
| CN112789840A (zh) * | 2020-12-30 | 2021-05-11 | 华为技术有限公司 | 防止arp攻击的方法、装置及系统 |
-
2008
- 2008-06-24 CN CN200810069875A patent/CN101616131A/zh active Pending
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101895543A (zh) * | 2010-07-12 | 2010-11-24 | 江苏华丽网络工程有限公司 | 一种基于网络交换设备的有效防御洪水攻击的方法 |
| CN101895543B (zh) * | 2010-07-12 | 2012-12-05 | 江苏华丽网络工程有限公司 | 一种基于网络交换设备的有效防御洪水攻击的方法 |
| CN101951367A (zh) * | 2010-09-09 | 2011-01-19 | 健雄职业技术学院 | 一种校园网防范arp病毒入侵的方法 |
| CN102694771A (zh) * | 2011-03-22 | 2012-09-26 | 上海艾泰科技有限公司 | 在网关dhcp服务端绑定ip-mac的方法及网关dhcp服务端 |
| CN102831334A (zh) * | 2011-06-15 | 2012-12-19 | 奇智软件(北京)有限公司 | 一种目标地址定位方法和系统 |
| CN102831334B (zh) * | 2011-06-15 | 2014-12-17 | 奇智软件(北京)有限公司 | 一种目标地址定位方法和系统 |
| CN102497380A (zh) * | 2011-12-21 | 2012-06-13 | 余姚市供电局 | 一种内网数据包过滤方法 |
| CN103856443A (zh) * | 2012-11-29 | 2014-06-11 | 台众计算机股份有限公司 | 网点的判断与阻挡的方法 |
| CN104243333A (zh) * | 2013-06-24 | 2014-12-24 | 阿里巴巴集团控股有限公司 | 一种地址解析协议报文的流量控制方法 |
| CN104243333B (zh) * | 2013-06-24 | 2018-04-10 | 阿里巴巴集团控股有限公司 | 一种地址解析协议报文的流量控制方法 |
| CN104796409A (zh) * | 2015-03-29 | 2015-07-22 | 胡清桂 | 一种局域网远程连接查找arp病毒源主机的方法 |
| CN105991794A (zh) * | 2015-06-01 | 2016-10-05 | 杭州迪普科技有限公司 | 一种地址学习方法及装置 |
| CN105991794B (zh) * | 2015-06-01 | 2019-05-07 | 杭州迪普科技股份有限公司 | 一种地址学习方法及装置 |
| CN107409343A (zh) * | 2016-02-11 | 2017-11-28 | 徐敬 | 一种无线通信方法 |
| CN108096831A (zh) * | 2016-11-25 | 2018-06-01 | 盛趣信息技术(上海)有限公司 | 网络游戏防加速控制系统及方法 |
| CN108234522A (zh) * | 2018-03-01 | 2018-06-29 | 深圳市共进电子股份有限公司 | 防止地址解析协议arp攻击方法、装置、计算机设备和存储介质 |
| CN108234522B (zh) * | 2018-03-01 | 2021-01-22 | 深圳市共进电子股份有限公司 | 防止地址解析协议arp攻击方法、装置、计算机设备和存储介质 |
| CN112789840A (zh) * | 2020-12-30 | 2021-05-11 | 华为技术有限公司 | 防止arp攻击的方法、装置及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101616131A (zh) | 一种防御Arp病毒攻击的方法 | |
| Dayal et al. | Research trends in security and DDoS in SDN | |
| AU2015255980B2 (en) | System and methods for reducing impact of malicious activity on operations of a wide area network | |
| CN103023924B (zh) | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 | |
| US8561188B1 (en) | Command and control channel detection with query string signature | |
| CN102263788B (zh) | 一种用于防御指向多业务系统的DDoS攻击的方法与设备 | |
| US9166990B2 (en) | Distributed denial-of-service signature transmission | |
| CN101547187B (zh) | 宽带接入设备的网络攻击防护方法 | |
| CN101465855B (zh) | 一种同步泛洪攻击的过滤方法及系统 | |
| WO2012164336A1 (en) | Distribution and processing of cyber threat intelligence data in a communications network | |
| CN101589595A (zh) | 用于潜在被污染端系统的牵制机制 | |
| CA2540802A1 (en) | Method and apparatus for traffic control of dynamic denial of service attacks within a communications network | |
| CN101674307A (zh) | 计算机网络内的安全服务的分级应用程序 | |
| CN101854335A (zh) | 一种过滤的方法、系统及网络设备 | |
| CN101572701A (zh) | 针对DNS服务的抗DDoS攻击安全网关系统 | |
| CN106302371A (zh) | 一种基于用户业务系统的防火墙控制方法和系统 | |
| CN102882894A (zh) | 一种识别攻击的方法及装置 | |
| CN111385326B (zh) | 轨道交通通信系统 | |
| CN101577729A (zh) | DNS重定向与Http重定向相结合的旁路阻断方法 | |
| CN103916379B (zh) | 一种基于高频统计的cc攻击识别方法及系统 | |
| CN101917425A (zh) | 双向在线方式的网吧流量集中式清洗系统及方法 | |
| Priyadharshini et al. | Prevention of DDOS attacks using new cracking algorithm | |
| CN206962850U (zh) | 电力信息网的安全防护系统及电力信息系统 | |
| Chinnaraju et al. | Grey Hole Attack Detection and Prevention Methods in Wireless Sensor Networks. | |
| CN113037716B (zh) | 一种基于内容分发网络的攻击防御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20091230 |