CN101635628A - 一种防止arp攻击的方法及装置 - Google Patents
一种防止arp攻击的方法及装置 Download PDFInfo
- Publication number
- CN101635628A CN101635628A CN200910169727A CN200910169727A CN101635628A CN 101635628 A CN101635628 A CN 101635628A CN 200910169727 A CN200910169727 A CN 200910169727A CN 200910169727 A CN200910169727 A CN 200910169727A CN 101635628 A CN101635628 A CN 101635628A
- Authority
- CN
- China
- Prior art keywords
- terminal
- message
- management equipment
- access device
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种防止ARP攻击的方法,应用于包括终端、认证服务器、管理设备和至少两个接入设备的网络中,所述认证服务器用于对所述终端进行认证,并在认证结果为认证通过时,在所述终端对应的接入设备上绑定所述终端IP地址和MAC地址对应关系;所述方法包括:所述管理设备获取接入设备的端口绑定信息;所述端口绑定信息为接入设备上绑定的终端IP地址和MAC地址对应关系;所述管理设备根据网络拓扑结构将所述端口绑定信息发送给所述网络中的其他接入设备;所述其他接入设备绑定所述端口绑定信息,以防止ARP攻击。本发明中,有效的避免了来自其它终端的ARP攻击,形成一个全面的ARP防攻击网络。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种防止ARP攻击的方法及装置。
背景技术
ARP(Address Resolution Protocol,地址解析协议)是将IP(InternetProtocol,因特网协议)地址解析为MAC(Media Access Control,媒体访问控制)地址的协议,其中,IP地址是终端在网络层中的地址,要将网络层中的数据包传送给目的终端,需要知道目的终端的MAC地址,即需要使用ARP将IP地址解析为MAC地址。
具体的,在使用ARP的过程中,并没有任何安全机制,使得攻击者可以很容易的利用ARP发起攻击,目前ARP攻击和ARP病毒已经成为局域网安全的主要威胁。其中,利用ARP发起攻击的方式包括:(1)仿冒网关,即攻击者向其它终端发送单播ARP报文,报文中的发送端IP地址填写成网关的IP地址,发送端MAC地址填写为不存在或自身MAC地址,导致被攻击终端无法将数据发送给正确的网关,从而导致通信失败或通信流量被攻击者截获;(2)欺骗网关,即攻击者向网关发送单播ARP报文,报文中的发送端IP地址填写为网络中某个终端的IP地址,发送端MAC地址填写为不存在或自身MAC地址,导致网关将数据报文发向攻击者或不存在的终端;(3)欺骗终端,即攻击者向某个终端发送ARP报文,告知其他终端的MAC地址已变化,导致该终端和其它终端不能通信;(4)中间人攻击,即攻击者综合使用上述2和3两种欺骗方式,将通信流量重定向到自己,使自己成为网关和终端、终端和终端之间的通信桥梁(中间人),从而达到窃取终端通信信息的目的;(5)ARP泛洪攻击,即由于网关ARP表项有限,攻击者通过发送大量IP或MAC变化的ARP报文,使得网关不停学习ARP表项,导致表项最终被占满,后续单播ARP会被网关以广播方式发送出去,增加了网络的负担。
现有技术中,ARP攻击采用向目的终端或网关发送伪造的IP/MAC对应关系(即IP和MAC的对应关系),使得被攻击终端或网关学习到错误的ARP表项,从而导致将数据发送到错误的地址;为了防止ARP攻击,需要学习正确的IP/MAC对应关系,并将该对应关系绑定在接入设备端口的ARP表项中,使得终端无法发出错误的ARP报文。其中,可以通过802.1x认证方式获得IP/MAC对应关系,并将该对应关系绑定在接入设备端口的ARP表项中,如图1所示,该认证过程包括:(1)管理员在接入设备上启动802.1x认证过程;(2)终端(例如,终端A)使用802.1x认证代理软件发起认证,其中,该认证代理软件将获得终端的IP地址,并将终端名称、密码等信息封装在EAPOL(Extensible Authentication Protocol Over LAN,基于局域网的扩展认证协议)报文中;(3)终端的认证代理软件向接入设备发起802.1x认证过程,接入设备将终端的认证信息封装在RADIUS(Remote Authentication Dial In UserService,远程用户拨号认证系统)报文中,并将该报文发送到AAA(Authentication Authorization Accounting,认证、授权和计费)服务器;(4)AAA服务器对认证的终端进行身份认证,如果认证通过,服务器将终端的MAC地址和IP地址一同下发给接入设备;(5)接入设备接收来自AAA服务器的认证通过信息,打开终端对应的接入端口,并将服务器下发的IP/MAC对应关系绑定在该接入端口的ARP表项中,从而保证该端口仅允许该IP/MAC对应关系的终端通过。
显而易见的,通过上述部署,认证后的终端如果发起ARP攻击,则对应攻击报文中的IP/MAC对应关系与端口中已经绑定的IP/MAC对应关系是不同的,此时,不允许该攻击报文通过该接入设备,从而防止了ARP攻击。如图2所示,终端A是通过认证的终端,接入设备A已经将终端A正确的IP/MAC对应关系绑定在对应端口的ARP表项中,如果终端A发起ARP攻击,该ARP攻击报文在到达接入设备A的端口时,接入设备A将检查ARP报文中的IP/MAC对应关系,若与绑定的对应关系发生冲突时,则丢弃该ARP报文,从而防止了攻击,即接入设备A下挂的终端A发起的ARP攻击被成功抑制。
但是,由于网络环境的复杂性,接入设备下的终端可能有未经过802.1x认证的终端,例如,接入设备B下的终端B未通过认证,并发起了ARP攻击,通知网关该终端A的MAC地址已经改变,由于接入设备B上没有终端B对应的正确ARP表项,即没有终端B的IP/MAC绑定关系,此时,接入设备B无法截获该ARP攻击,网关在收到该攻击报文后将修改自身的ARP表项,当有流量需要发送给终端A时,该流量将会发送到终端B伪造的MAC地址,从而使得接入设备A下的终端A虽然部署了ARP防攻击方案,但仍然无法正常进行网络通信,无法有效的防止ARP攻击。
发明内容
本发明提供一种防止ARP攻击的方法及装置,以有效的防止ARP攻击,保证了网络设备的安全性。
为了达到上述目的,本发明提出了一种防止ARP攻击的方法,应用于包括终端、认证服务器、管理设备和至少两个接入设备的网络中,所述认证服务器用于对所述终端进行认证,并通过所述终端对应的接入设备将认证结果发送给所述终端,当认证结果为认证通过时,在所述终端对应的接入设备上绑定所述终端IP地址和MAC地址对应关系;所述方法包括以下步骤:
所述管理设备获取接入设备的端口绑定信息;所述端口绑定信息为接入设备上绑定的终端IP地址和MAC地址对应关系;
所述管理设备根据网络拓扑结构将所述端口绑定信息发送给所述网络中的其他接入设备;
所述其他接入设备绑定所述端口绑定信息,以防止ARP攻击。
所述管理设备获取接入设备的端口绑定信息具体包括:
所述管理设备向所述接入设备发送端口绑定信息的查询请求;由所述接入设备根据所述查询请求获得自身端口中绑定的端口绑定信息;
所述接入设备使用扩展MRC报文封装所述端口绑定信息,并将所述扩展MRC报文发送给所述管理设备;由所述管理设备接收来自所述接入设备的端口绑定信息。
所述网络拓扑结构的获取方式具体为:
所述管理设备向自身直连接入设备发送NTDP报文;
所述直连接入设备向所述管理设备发送响应报文,所述响应报文中携带了自身通过NDP报文收集的NDP信息;并复制所述NTDP报文给自身的其他直连接入设备,由所述其他直连接入设备重复所述直连接入设备的操作;
所述管理设备接收来自所有接入设备的响应报文,并根据所述响应报文中的NDP信息形成所述网络拓扑结构。
所述管理设备向自身直连接入设备发送NTDP报文之前,还包括:
接入设备通过激活端口向邻居设备发送所述NDP报文,并接收所述邻居设备返回的NDP信息。
所述管理设备根据网络拓扑结构将所述端口绑定信息发送给所述网络中的其他接入设备具体包括:
所述管理设备使用扩展MRC报文携带所述端口绑定信息;
所述管理设备根据所述网络拓扑结构将所述扩展MRC报文发送给所述网络中的其他接入设备。
一种防止ARP攻击的装置,应用于包括终端、认证服务器、管理设备和至少两个接入设备的网络中,所述认证服务器用于对所述终端进行认证,并通过所述终端对应的接入设备将认证结果发送给所述终端,当认证结果为认证通过时,在所述终端对应的接入设备上绑定所述终端IP地址和MAC地址对应关系;其中所述装置在所述网络中,根据预定的竞争策略,或作为所述管理设备,或作为所述接入设备,所述装置包括查询模块、获取模块、收发模块和绑定模块;
当所述装置作为所述管理设备时,
所述查询模块,用于向接入设备查询端口绑定信息;所述端口绑定信息为接入设备上绑定的终端IP地址和MAC地址对应关系;
所述获取模块,用于获取所述接入设备的端口绑定信息;
所述收发模块与所述查询模块和所述获取模块电性连接,用于根据网络拓扑结构将所述获取模块获取的端口绑定信息发送给所述网络中的其他接入设备;
当所述装置作为所述接入设备时,
所述收发模块,用于接收来自所述管理设备的端口绑定信息;
所述获取模块,用于获取自身端口中绑定的端口绑定信息;
所述绑定模块,与所述收发模块电性连接,用于在自身的端口上绑定所述收发模块接收的端口绑定信息,以防止ARP攻击。
所述端口绑定信息通过扩展MRC报文进行封装,当所述装置作为所述接入设备时,所述收发模块还用于将封装了自身端口绑定信息的扩展MRC报文发送给所述管理设备。当所述装置作为所述接入设备时,所述收发模块还用于:通过激活端口向邻居设备发送所述NDP报文,并接收所述邻居设备返回的NDP信息;接收来自所述管理设备的NTDP报文,向所述管理设备发送响应报文,所述响应报文中携带了所述NDP信息;并将所述NTDP报文发送给自身的其他直连接入设备。
在所述装置作为所述管理设备时,所述收发模块还用于:根据所述网络拓扑结构将所述扩展MRC报文发送给所述网络中的其他接入设备,所述扩展MRC报文中携带了所述端口绑定信息。在所述装置作为所述管理设备时,所述收发模块还用于:向自身直连接入设备发送NTDP报文,并接收来自所有接入设备的响应报文;所述获取模块还用于,根据所述响应报文中的NDP信息获取所述网络拓扑结构。
与现有技术相比,本发明具有以下优点:将终端IP地址和MAC地址对应关系在全网范围内进行同步绑定,保证配置了ARP防攻击的设备的下挂终端不能发起ARP攻击的同时,有效的避免来自其它终端的ARP攻击,形成一个全面的ARP防攻击网络。
附图说明
图1为现有技术中的认证过程示意图;
图2为现有技术中ARP攻击示意图;
图3为本发明提出的一种防止ARP攻击的方法流程图;
图4为本发明一种应用场景下提出的ARP报文结构示意图;
图5为本发明应用场景下提出的一种防止ARP攻击的方法流程图;
图6为本发明应用场景下NDP报文示意图;
图7为本发明应用场景下的网络拓扑结构信息示意图;
图8为本发明提出的一种防止ARP攻击的装置结构图。
具体实施方式
本发明的核心思想是通过收集所有接入设备的端口绑定信息,并将该端口绑定信息发送给发送者之外的其他接入设备,使得网络中的所有接入设备均可以绑定终端IP地址和MAC地址对应关系,从而将绑定终端IP地址和MAC地址对应关系在全网范围内进行同步,保证配置了ARP防攻击的设备的下挂终端不能发起ARP攻击的同时,有效的避免来自其它终端的ARP攻击,形成一个全面的ARP防攻击网络。
本发明提出的一种防止ARP攻击的方法,应用于包括终端、认证服务器、管理设备和至少两个接入设备的网络中,所述认证服务器用于对所述终端进行认证,并通过所述终端对应的接入设备将认证结果发送给所述终端,当认证结果为认证通过时,在所述对应的接入设备上绑定所述终端IP地址和MAC地址对应关系;如图3所示,所述方法还进一步包括以下步骤:
步骤S301,所述管理设备获取接入设备的端口绑定信息;所述端口绑定信息为接入设备上绑定的终端IP地址和MAC地址对应关系。
步骤S302,所述管理设备根据网络拓扑结构将所述端口绑定信息发送给所述网络中的其他接入设备。
步骤S303,所述其他接入设备绑定所述端口绑定信息,以防止ARP攻击。
为使本发明更加清楚和容易理解,以下结合具体应用场景描述本发明下提出的防止ARP攻击的方法,在本发明应用场景中,ARP报文有两种类型,分别为ARP请求报文和ARP应答报文,其中,该ARP报文的结构如图4所示,当终端A和终端B在同一个网段时,终端A向终端B发送信息时的地址解析过程包括:(1)终端A查看自身的ARP表,确定该ARP表中是否有终端B对应的ARP表项,即确定该终端A中是否可以找到终端B对应的MAC地址,如果找到了对应的MAC地址,则终端A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给终端B。(2)如果终端A在ARP表中找不到对应的MAC地址,则将缓存该数据报文,然后以广播方式发送一个ARP请求报文;该ARP请求报文中的发送端IP地址和发送端MAC地址为终端A的IP地址和MAC地址,目标IP地址和目标MAC地址为终端B的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送,该网段上的所有终端都可以接收到该请求,但只有被请求的终端(即终端B)会对该请求进行处理。(3)终端B比较自身的IP地址和ARP请求报文中的目标IP地址,当两者相同时将ARP请求报文中的发送端(即终端A)的IP地址和MAC地址存入自己的ARP表中;并以单播方式发送ARP响应报文给终端A,其中包含了自身的MAC地址。(4)终端A收到ARP响应报文后,将终端B的MAC地址加入到自身的ARP表中以用于后续报文的转发,同时将IP数据包进行封装后发送出去。
上述防止ARP攻击的方法如图5所示,包括以下步骤:
步骤S501,管理设备通过集群协议获得网络拓扑结构。其中,该集群协议包括NDP(Neighbor Discovery Protocol,邻居发现协议)、NTDP(NeighborTopology Discovery Protocol,邻居拓扑发现协议)、Cluster(集群管理协议)等,通过上述集群协议,管理设备对集群内部的成员设备进行配置和管理。
具体的,在本发明中,所有的网络接入设备均为成员设备,根据实际的需要,由管理员指定其中一个成员设备为管理设备,或由所有的成员设备通过竞争等方式选取出一个管理设备,本发明中不再赘述。
本发明中,在初始网络配置过程中,管理设备即可以通过该集群协议获得网络拓扑结构,当然,根据实际的情况,网络拓扑结构可能会发生变化,管理设备可以预设的周期(例如,将该周期设置为30分钟)重新获取网络拓扑结构,在此不再赘述。
步骤S502,终端通过接入设备向认证服务器发起认证过程,当认证通过时,在接入设备对应端口的ARP表项中绑定该终端IP与MAC对应关系。其中,为了方便描述,在本发明中,将终端IP与MAC对应关系绑定在接入设备对应端口的ARP表项中,均以将终端IP与MAC对应关系绑定在接入设备对应端口中为例进行说明。此外,该终端通过接入设备向认证服务器发起认证,并在接入设备对应端口中绑定该终端IP与MAC对应关系的过程与现有技术相同,本发明中不再赘述。
具体的,由于网络中的所有终端是通过不同接入设备接入到网络中的,对于同一接入设备,不同终端也可以通过不同的端口接入到网络中,即本发明中需要采用基于MAC的认证方式,例如,端口A下挂了终端1和终端2,在端口A中绑定了终端1的IP与MAC对应关系,即只有终端1可以使用自身MAC接入到网络中,而终端2不能使用该端口接入到网络中。
步骤S503,管理设备向所有接入设备查询端口的绑定信息。其中,该端口的绑定信息为绑定在该端口的IP与MAC对应关系,对于所有的接入设备,当终端通过认证时,均可以在对应的端口处(该终端接入网络所使用的端口)绑定IP与MAC对应关系,本步骤中,该管理设备需要向所有的接入设备查询端口的绑定信息,从而获得所有通过认证终端的IP与MAC对应关系。
本发明中,由于终端的网络行为是随时进行的,即在端口绑定IP与MAC对应关系也是随时进行的,管理设备需要根据预设的周期查询端口的绑定信息,该预设的周期为根据实际需要任意选取的,例如,每经过1分钟查询一次端口的绑定信息。
具体的,管理设备向所有接入设备查询端口的绑定信息的方式包括:管理设备直接向所有接入设备发送查询请求,该查询请求中携带要求接入设备上报IP和MAC对应关系的信息,当然,该查询方式并不局限于此,本发明中不再赘述。
步骤S504,接入设备在接收到来自管理设备的查询请求后,查询自身的ARP绑定表,将在自身端口中已经绑定的IP和MAC对应关系发送给管理设备。
具体的,接入设备可以通过使用扩展MRC(Member Remote Control,成员远程控制)报文封装该IP和MAC对应关系,并将该扩展的成员远程控制报文发送给管理设备,其中,接入设备可以直接将扩展的成员远程控制报文发送给管理设备,也可以通过其他设备转发给管理设备,在此不再赘述。当然,本发明中,并不局限于通过使用扩展的成员远程控制报文封装IP和MAC对应关系的方式将对应关系发送给管理设备,各个接入设备还可以通过其他方式发送给IP和MAC对应关系,本发明中不再赘述。
进一步的,该原始MRC协议的报文格式如表1所示;
表1
MemberMAC(6bytes) | TTL(1byte) | CmderMAC(6byte) | Type(1byte) | ParameterLength(4byte) | Parameter(100byte) | MaxHop(4byte) | SurviveTime(4byte) | ExtendLength(4byte) |
其中,各字段的含义分别为:
Member MAC,待控制目的成员设备(即接入设备)的MAC地址,设备通过检测Member MAC域是否与本系统MAC相同,确定是否由本机处理。
TTL,报文在网络中的传播的拓扑跳数。
Cmder MAC,集群中命令交换机(即管理设备)的MAC地址。
Type,报文类型。
Parameter Length,命令参数的有效长度。
Parameter,长度由Parameter Length确定,最大长度为100bytes。
Max Hop,报文在网络中传播的最大拓扑跳数。
Survive Time,更改集群管理VLAN(Virtual Local Area Network,虚拟局域网)信息的保留时间。
Extend Length,扩展MRC报文部分的长度。
在上述原始MRC协议报文的基础上得出一种扩展MRC报文,并通过使用该扩展MRC报文传递IP和MAC信息,其中,该扩展MRC报文如表2所示;
表2
Type(4byte) | Device ID(4byte) | Host MAC(6byte) | Host IP(32byte) | Binding Type(1byte) |
其中,各字段的含义分别为:
Type,报文类型,该报文类型分为两种,Type为0时表示接入设备将IP/MAC对应关系上报,Type为1时表示管理设备将IP/MAC对应关系下发到其他接入设备;当然,本发明中,还可以用其他的标识表示上述关系,例如,Type为0也可以表示管理设备将IP/MAC对应关系下发到其他接入设备,Type为1时表示接入设备将IP/MAC对应关系上报,在此不再赘述。本步骤中,可以将Type值设置为0表示接入设备将IP/MAC对应关系上报。
Device ID,设备标识,指明了设备的身份,通常使用设备MAC地址作为设备标识。
Host MAC,设备发现并上报的MAC,和Host IP一起组成MAC/IP对应关系信息表;即可以用该Host MAC表示在接入设备端口绑定的终端MAC地址。
Host IP,设备发现并上报的IP,和Host MAC一起组成MAC/IP对应关系信息表;即可以用该Host IP表示在接入设备端口绑定的终端IP地址。
Binding Type,指明该IP/MAC对应关系的获得方式,该获得方式包括但不限于DHCP Snooping(Dynamic Host Configuration Protocol Snooping,动态主机分配协议侦听)、802.1x和静态绑定等,例如,将Binding Type值设置为0表示DHCP Snooping方式,设置为1表示802.1x方式,设置为2表示静态绑定方式;当然,获得方式与Binding Type值的对应关系并不局限于此,本发明中不再赘述。从步骤S502可以看出,本发明中是以通过802.1x方式获得IP/MAC对应关系的,对于其他的方式,本发明中不再赘述。
本发明中,接入设备在接收到来自管理设备的查询信息后,可以根据该查询信息获得该管理设备所对应的地址信息(例如,MAC地址信息、IP地址信息等),接入设备可以直接根据该地址信息将IP/MAC对应关系发送给管理设备。
步骤S505,管理设备在获得IP和MAC对应关系后,将该IP和MAC对应关系发送给发送者之外的所有接入设备。
具体的,管理设备也可以通过使用扩展MRC报文封装该IP和MAC对应关系,从而将该IP和MAC对应关系发送给发送者之外的所有接入设备,其中,管理设备可以直接将扩展MRC报文发送给接入设备,也可以通过其他设备转发给接入设备,在此不再赘述。当然,本发明中,并不局限于通过使用扩展MRC报文封装该IP和MAC对应关系,管理设备还可以通过其他方式发送IP和MAC对应关系给接入设备,本发明中不再赘述。
进一步的,当接入设备采用扩展MRC报文封装IP和MAC对应关系时,管理设备在接收到该扩展MRC报文后,通过获取Type值,当Type值为0时表示该扩展MRC报文为接入设备上报的,管理设备可以将Type值修改为1后直接发送给发送者之外的所有接入设备;也可以根据实际的需要对扩展MRC报文中的内容进行调整后发送给发送者之外的所有接入设备,例如,管理设备在获知扩展MRC报文中的内容有错误时,可以对错误内容进行修改,并将修改后的扩展MRC报文发送给发送者之外的所有接入设备。
本发明中,管理设备需要根据步骤S501中获得的网络拓扑结构将扩展MRC报文发送给发送者之外的所有接入设备。
步骤S506,接入设备将IP和MAC对应关系信息进行绑定。其中,所有的接入设备均将接收到其他接入设备所对应的IP和MAC对应关系,接入设备将其他接入设备的IP和MAC对应关系绑定在自身端口的ARP表项中。
具体的,对于接入设备(以所有接入设备中的一个为例进行说明,所有接入设备的操作过程是相同的)来说,将接收到来自管理设备的扩展MRC报文,接入设备通过获取该扩展MRC报文中的Type值,当Type值为1时表示管理设备将IP/MAC对应关系下发到了接入设备,接入设备将该扩展MRC报文中携带的IP/MAC对应关系信息绑定在自身的端口,从而防止了ARP攻击。需要说明的是,管理设备可以同时将多个IP/MAC对应关系一起发送给接入设备,也可以每次只发送一个IP/MAC对应关系,分多次发送。
以图2所示的组网为例说明上述的流程,终端A是通过认证的终端,接入设备A的对应端口上将绑定该终端A的IP/MAC对应关系,即在接入设备A上可以防止终端A的ARP攻击。该网络中的管理设备(在图中并未标出)将周期性的查询所有接入设备端口的绑定信息,当接入设备A接收到该查询信息后,将自身端口的绑定信息发送给该管理设备,即将终端A的IP/MAC对应关系发送给该管理设备,管理设备需要将该终端A的IP/MAC对应关系发送给除了接入设备A之外的所有接入设备,即接入设备B将接收到该终端A的IP/MAC对应关系,并在自身的端口绑定该终端A的IP/MAC对应关系;当接入设备B下的终端B(未通过认证)发起ARP攻击,通知网关该终端A的MAC地址已经改变时,接入设备B接收的信息为IP地址为终端A的IP地址,而MAC地址将不是终端A的MAC地址(例如,终端B的MAC地址),此时,根据绑定的IP/MAC对应关系,可知该来自终端B的信息为错误的信息,从而防止了终端B的ARP攻击,对于其他的接入设备,也同样可以防止ARP攻击,即通过采用本发明的上述流程,实现了防止ARP攻击。
其中,本发明方法可以根据实际需要对各个步骤顺序进行调整。
为使本发明方案更加清晰,以下将详细介绍管理设备通过集群协议获得网络拓扑结构的过程,其中,该集群协议用于发现网络邻居链接关系,从而形成网络拓扑结构,基于该集群协议,管理设备可以自动了解网络拓扑和网络接入设备的位置,并通过扩展集群协议(例如,扩展MRC报文)实现IP/MAC信息的传递。
具体的,集群通过使用NDP、NTDP、Cluster等协议实现对集群内部接入设备的配置和管理;其中,该集群协议的报文格式如表3所示:
表3
DA_MAC(6byte) | SA_MAC(6byte) | ProtocolType(2byte) | PacketType(4byte) | Payload(variable) | FCS(4byte) |
其中,各字段的含义分别为:
DA_MAC,目的MAC地址,缺省时为保留的组播MAC地址01-80-C2-00-00-0A。
SA_MAC,源MAC地址。
Protocol Type,协议类型值,其中,在协议中规定了该值为0x88A7。
Packet Type,报文类型;该报文类型值定义为:
0x00010000,Cluster报文,用于建立集群和管理维护集群时使用;其中,该集群即为上述管理设备和所有成员设备的集合;
0x00020000,MRC报文,在命令交换机(上述的管理设备)控制成员交换机(上述的接入设备)时使用,在上面步骤中已经详细描述;
0x00030000,NDP报文,成员交换机在邻居发现过程中发现和本设备直接相连的其他设备及相关信息;
0x00040000,NTDP报文,命令交换机在拓扑收集过程中收集设备的拓扑情况。
Payload variable,报文净载荷,当报文类型不同时,报文净载荷不同。
FCS,以太网二层帧的校验字。
其中,该NDP用于邻居发现,该NTDP用于收集拓扑信息,以下分别描述该NDP和NTDP。
(1)NDP可以直接承载在二层以太网报文中,如图6所示的一种NDP报文,对应的报文净载荷包括Version(版本)、TTL(生存时间)值、CheckSum(检验和)、Type(类型)、Length(长度)、Value(数值)等字段。
具体的,运行NDP的设备将定时向所有激活的端口发送NDP报文,同时接收邻居设备发送的NDP信息,即通过NDP发现直接相连的邻居信息(即NDP信息),该邻居信息包括邻接设备的设备类型、软/硬件版本、连接端口、设备ID、端口地址、硬件平台等信息。
(2)NTDP用来收集指定跳数内的网络拓扑信息,其中,管理设备向直连的接入设备发送NTDP请求,收到该NTDP请求的接入设备发送响应报文(该响应报文中携带了通过NDP收集的邻居信息)给管理设备,并复制该请求报文发送给自身的所有邻接设备;邻接设备收到NTDP请求后将执行同样的操作,即发送响应报文给管理设备,复制该NTDP请求并发送给自身的所有邻接设备;以此类推,网络中的每个接入设备都会收到该NTDP请求,即通过上述过程,管理设备可以形成网络拓扑结构信息,如图7所示,为一种网络拓扑结构信息示意图;当然,在实际应用中,还可以应其他的方式存储该网络拓扑结构信息,在此不再赘述。
通过图7可以看出,sw1为管理设备,sw6为sw1的直连设备,sw7为sw6的直连设备,sw2为sw1的直连设备,sw3为sw2的直连设备,sw4为sw3的直连设备,sw5为sw2的直连设备,sw4为sw5的直连设备。
本发明还提出了一种防止ARP攻击的装置,应用于包括终端、认证服务器、管理设备和至少两个接入设备的网络中,所述认证服务器用于对所述终端进行认证,并通过所述终端对应的接入设备将认证结果发送给所述终端,当认证结果为认证通过时,在所述终端对应的接入设备上绑定所述终端IP地址和MAC地址对应关系;所述装置在所述网络中,根据预定的竞争策略,或作为所述管理设备,或作为所述接入设备,如图8所示,所述装置包括查询模块81、获取模块82、收发模块83和绑定模块84;其中:
所述查询模块81,在所述装置作为所述管理设备时,用于向接入设备查询端口绑定信息;所述端口绑定信息为接入设备上绑定的终端IP地址和MAC地址对应关系。
所述获取模块82,在所述装置作为所述管理设备时,用于获取所述接入设备的端口绑定信息;其中,该获取过程具体为:当接入设备获知到查询模块81需要查询端口绑定信息时,将自身的端口绑定信息发送给管理设备,由所述获取模块82获取该端口绑定信息;
在所述装置作为所述接入设备时,所述获取模块82用于获取自身端口中绑定的端口绑定信息。其中,该具体过程为,当获取模块82获知管理设备需要查询端口绑定信息时,需要从自身的端口中获取到端口绑定信息。
所述收发模块83,与所述查询模块81和所述获取模块82电性连接,
在所述装置作为管理设备时,所述收发模块83用于将所述查询模块81发送的查询信息向全网络接入设备发送,接收各接入设备传送过来的自身的端口绑定信息,或者根据网络拓扑结构将所述获取模块82获取的端口绑定信息发送给所述网络中的其他接入设备。
具体地,该网络拓扑结构为所述获取模块82根据NDP信息所获取的,而该NDP信息是由该收发模块83所接收的。在初始配置的过程中,所述收发模块83通过向自身直连接入设备发送NTDP报文,可以接收到来自所有接入设备的响应报文;而该响应报文中携带了接入设备的NDP信息,该获取模块82便可以根据该响应报文中的NDP信息获取所述网络拓扑结构。
进一步的,在上述收发模块83根据网络拓扑结构将端口绑定信息发送给所述网络中的其他接入设备的过程,所述收发模块83是根据所述网络拓扑结构将所述扩展MRC报文发送给所述网络中的其他接入设备的,而所述扩展MRC报文中携带了所述端口绑定信息。
在所述装置作为所述接入设备时,所述收发模块83用于接收来自所述管理设备的查询信息,通过管理设备转发过来的其他接入设备的端口绑定信息。或者,当所述获取模块82从自身的端口中获取到端口绑定信息时,所述收发模块83将所述扩展MRC报文发送给所述管理设备,所述扩展MRC报文封装了所述获取模块82获取的端口绑定信息。
进一步的,在初始配置的过程中,所述收发模块83还需要通过激活的端口向邻居设备发送所述NDP报文,并接收所述邻居设备返回的NDP信息;而在接收到来自所述管理设备的NTDP报文时,向所述管理设备发送响应报文,所述响应报文中携带了所述NDP信息;并将所述NTDP报文发送给自身的其他直连接入设备。
所述绑定模块84,用于在所述收发模块83接收到端口的绑定信息时,将所述端口绑定信息与对应的端口绑定,以防止ARP攻击。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1、一种防止ARP攻击的方法,应用于包括终端、认证服务器、管理设备和至少两个接入设备的网络中,所述认证服务器用于对所述终端进行认证,并通过所述终端对应的接入设备将认证结果发送给所述终端,当认证结果为认证通过时,在所述终端对应的接入设备上绑定所述终端IP地址和MAC地址对应关系;其特征在于,所述方法包括以下步骤:
所述管理设备获取接入设备的端口绑定信息;所述端口绑定信息为接入设备上绑定的终端IP地址和MAC地址对应关系;
所述管理设备根据网络拓扑结构将所述端口绑定信息发送给所述网络中的其他接入设备;
所述其他接入设备绑定所述端口绑定信息,以防止ARP攻击。
2、如权利要求1所述的方法,其特征在于,所述管理设备获取接入设备的端口绑定信息具体包括:
所述管理设备向所述接入设备发送端口绑定信息的查询请求;由所述接入设备根据所述查询请求获得自身端口中绑定的端口绑定信息;
所述接入设备使用扩展MRC报文封装所述端口绑定信息,并将所述扩展MRC报文发送给所述管理设备;由所述管理设备接收来自所述接入设备的端口绑定信息。
3、如权利要求1所述的方法,其特征在于,所述网络拓扑结构的获取方式具体为:
所述管理设备向自身直连接入设备发送NTDP报文;
所述直连接入设备向所述管理设备发送响应报文,所述响应报文中携带了自身通过NDP报文收集的NDP信息;并复制所述NTDP报文给自身的其他直连接入设备,由所述其他直连接入设备重复所述直连接入设备的操作;
所述管理设备接收来自所有接入设备的响应报文,并根据所述响应报文中的NDP信息形成所述网络拓扑结构。
4、如权利要求3所述的方法,其特征在于,所述管理设备向自身直连接入设备发送NTDP报文之前,还包括:
接入设备通过激活端口向邻居设备发送所述NDP报文,并接收所述邻居设备返回的NDP信息。
5、如权利要求1所述的方法,其特征在于,所述管理设备根据网络拓扑结构将所述端口绑定信息发送给所述网络中的其他接入设备具体包括:
所述管理设备使用扩展MRC报文携带所述端口绑定信息;
所述管理设备根据所述网络拓扑结构将所述扩展MRC报文发送给所述网络中的其他接入设备。
6、一种防止ARP攻击的装置,应用于包括终端、认证服务器、管理设备和至少两个接入设备的网络中,所述认证服务器用于对所述终端进行认证,并通过所述终端对应的接入设备将认证结果发送给所述终端,当认证结果为认证通过时,在所述终端对应的接入设备上绑定所述终端IP地址和MAC地址对应关系;其中所述装置在所述网络中,根据预定的竞争策略,或作为所述管理设备,或作为所述接入设备,其特征在于,所述装置包括查询模块、获取模块、收发模块和绑定模块;
当所述装置作为所述管理设备时,
所述查询模块,用于向接入设备查询端口绑定信息;所述端口绑定信息为接入设备上绑定的终端IP地址和MAC地址对应关系;
所述获取模块,用于获取所述接入设备的端口绑定信息;
所述收发模块,与所述查询模块和所述获取模块电性连接,用于根据网络拓扑结构将所述获取模块获取的端口绑定信息发送给所述网络中的其他接入设备;
当所述装置作为所述接入设备时,
所述收发模块,用于接收来自所述管理设备的端口绑定信息;
所述获取模块,用于获取自身端口中绑定的端口绑定信息;
所述绑定模块,与所述收发模块电性连接,用于在自身的端口上绑定所述收发模块接收的端口绑定信息,以防止ARP攻击。
7、如权利要求6所述的装置,其特征在于,所述端口绑定信息通过扩展MRC报文进行封装,当所述装置作为所述接入设备时,所述收发模块还用于将封装了自身端口绑定信息的扩展MRC报文发送给所述管理设备。
8、如权利要求7所述的装置,其特征在于,当所述装置作为所述接入设备时,所述收发模块还用于:
通过激活端口向邻居设备发送所述NDP报文,并接收所述邻居设备返回的NDP信息;
接收来自所述管理设备的NTDP报文,向所述管理设备发送响应报文,所述响应报文中携带了所述NDP信息;并将所述NTDP报文发送给自身的其他直连接入设备。
9、如权利要求6所述的装置,其特征在于,在所述装置作为所述管理设备时,
所述收发模块还用于:根据所述网络拓扑结构将所述扩展MRC报文发送给所述网络中的其他接入设备,所述扩展MRC报文中携带了所述端口绑定信息。
10、如权利要求9所述的装置,其特征在于,在所述装置作为所述管理设备时,所述收发模块还用于:
向自身直连接入设备发送NTDP报文,并接收来自所有接入设备的响应报文;
所述获取模块还用于,根据所述响应报文中的NDP信息获取所述网络拓扑结构。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101697271A CN101635628B (zh) | 2009-08-28 | 2009-08-28 | 一种防止arp攻击的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101697271A CN101635628B (zh) | 2009-08-28 | 2009-08-28 | 一种防止arp攻击的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101635628A true CN101635628A (zh) | 2010-01-27 |
CN101635628B CN101635628B (zh) | 2012-01-04 |
Family
ID=41594697
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009101697271A Active CN101635628B (zh) | 2009-08-28 | 2009-08-28 | 一种防止arp攻击的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101635628B (zh) |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102136985A (zh) * | 2010-01-22 | 2011-07-27 | 杭州华三通信技术有限公司 | 一种接入方法和接入设备 |
CN102932186A (zh) * | 2012-11-13 | 2013-02-13 | 杭州迪普科技有限公司 | 一种集群系统及消除环路的方法 |
CN102932785A (zh) * | 2011-08-12 | 2013-02-13 | 中国移动通信集团浙江有限公司 | 一种无线局域网的快速认证方法、系统和设备 |
CN103905582A (zh) * | 2014-03-18 | 2014-07-02 | 汉柏科技有限公司 | 一种ip/mac自动探测绑定的方法及系统 |
CN104219241A (zh) * | 2014-09-04 | 2014-12-17 | 国云科技股份有限公司 | 一种适用于虚拟机的arp攻击双向防护方法 |
CN106506531A (zh) * | 2016-12-06 | 2017-03-15 | 杭州迪普科技股份有限公司 | Arp攻击报文的防御方法及装置 |
CN106982234A (zh) * | 2017-05-26 | 2017-07-25 | 杭州迪普科技股份有限公司 | 一种arp攻击防御方法及装置 |
CN107438068A (zh) * | 2017-07-04 | 2017-12-05 | 杭州迪普科技股份有限公司 | 一种防arp攻击的方法及装置 |
CN107547565A (zh) * | 2017-09-28 | 2018-01-05 | 新华三技术有限公司 | 一种网络接入认证方法及装置 |
CN107786499A (zh) * | 2016-08-25 | 2018-03-09 | 大连楼兰科技股份有限公司 | 针对arp网关欺骗攻击的预警方法及装置 |
CN109347841A (zh) * | 2018-10-26 | 2019-02-15 | 深圳市元征科技股份有限公司 | Mac地址认证方法、装置、终端、服务器及存储介质 |
CN110661799A (zh) * | 2019-09-24 | 2020-01-07 | 北京安信天行科技有限公司 | 一种arp欺骗行为的检测方法及系统 |
CN111565176A (zh) * | 2020-04-24 | 2020-08-21 | 上海沪景信息科技有限公司 | 智能伪装主机方法、系统、设备及可读存储介质 |
CN112910997A (zh) * | 2021-02-01 | 2021-06-04 | 福建升腾资讯有限公司 | 一种局域网的资源获取方法 |
CN114172753A (zh) * | 2020-09-10 | 2022-03-11 | 华为技术有限公司 | 地址预留的方法、网络设备和系统 |
CN114710388A (zh) * | 2022-03-25 | 2022-07-05 | 江苏科技大学 | 一种校园网安全架构及网络监护系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101345743B (zh) * | 2007-07-09 | 2011-12-28 | 福建星网锐捷网络有限公司 | 防止利用地址解析协议进行网络攻击的方法及其系统 |
CN101193116B (zh) * | 2007-07-09 | 2010-07-28 | 福建星网锐捷网络有限公司 | 一种联动对抗地址解析协议攻击的方法、系统及路由器 |
CN101179583B (zh) * | 2007-12-17 | 2010-12-08 | 杭州华三通信技术有限公司 | 一种防止用户假冒上网的方法及设备 |
-
2009
- 2009-08-28 CN CN2009101697271A patent/CN101635628B/zh active Active
Cited By (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102136985A (zh) * | 2010-01-22 | 2011-07-27 | 杭州华三通信技术有限公司 | 一种接入方法和接入设备 |
CN102932785A (zh) * | 2011-08-12 | 2013-02-13 | 中国移动通信集团浙江有限公司 | 一种无线局域网的快速认证方法、系统和设备 |
CN102932785B (zh) * | 2011-08-12 | 2015-07-01 | 中国移动通信集团浙江有限公司 | 一种无线局域网的快速认证方法、系统和设备 |
CN102932186A (zh) * | 2012-11-13 | 2013-02-13 | 杭州迪普科技有限公司 | 一种集群系统及消除环路的方法 |
CN102932186B (zh) * | 2012-11-13 | 2015-05-06 | 杭州迪普科技有限公司 | 一种集群系统及消除环路的方法 |
CN103905582A (zh) * | 2014-03-18 | 2014-07-02 | 汉柏科技有限公司 | 一种ip/mac自动探测绑定的方法及系统 |
CN104219241A (zh) * | 2014-09-04 | 2014-12-17 | 国云科技股份有限公司 | 一种适用于虚拟机的arp攻击双向防护方法 |
CN107786499A (zh) * | 2016-08-25 | 2018-03-09 | 大连楼兰科技股份有限公司 | 针对arp网关欺骗攻击的预警方法及装置 |
CN106506531A (zh) * | 2016-12-06 | 2017-03-15 | 杭州迪普科技股份有限公司 | Arp攻击报文的防御方法及装置 |
CN106982234A (zh) * | 2017-05-26 | 2017-07-25 | 杭州迪普科技股份有限公司 | 一种arp攻击防御方法及装置 |
CN107438068A (zh) * | 2017-07-04 | 2017-12-05 | 杭州迪普科技股份有限公司 | 一种防arp攻击的方法及装置 |
CN107547565A (zh) * | 2017-09-28 | 2018-01-05 | 新华三技术有限公司 | 一种网络接入认证方法及装置 |
CN107547565B (zh) * | 2017-09-28 | 2020-08-14 | 新华三技术有限公司 | 一种网络接入认证方法及装置 |
CN109347841A (zh) * | 2018-10-26 | 2019-02-15 | 深圳市元征科技股份有限公司 | Mac地址认证方法、装置、终端、服务器及存储介质 |
CN110661799A (zh) * | 2019-09-24 | 2020-01-07 | 北京安信天行科技有限公司 | 一种arp欺骗行为的检测方法及系统 |
CN111565176A (zh) * | 2020-04-24 | 2020-08-21 | 上海沪景信息科技有限公司 | 智能伪装主机方法、系统、设备及可读存储介质 |
CN111565176B (zh) * | 2020-04-24 | 2022-04-08 | 上海沪景信息科技有限公司 | 智能伪装主机方法、系统、设备及可读存储介质 |
CN114172753A (zh) * | 2020-09-10 | 2022-03-11 | 华为技术有限公司 | 地址预留的方法、网络设备和系统 |
CN112910997A (zh) * | 2021-02-01 | 2021-06-04 | 福建升腾资讯有限公司 | 一种局域网的资源获取方法 |
CN112910997B (zh) * | 2021-02-01 | 2023-11-24 | 福建升腾资讯有限公司 | 一种局域网的资源获取方法 |
CN114710388A (zh) * | 2022-03-25 | 2022-07-05 | 江苏科技大学 | 一种校园网安全架构及网络监护系统 |
CN114710388B (zh) * | 2022-03-25 | 2024-01-23 | 江苏科技大学 | 一种校园网安全系统及网络监护系统 |
Also Published As
Publication number | Publication date |
---|---|
CN101635628B (zh) | 2012-01-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101635628B (zh) | 一种防止arp攻击的方法及装置 | |
Mrugalski et al. | Dynamic host configuration protocol for IPv6 (DHCPv6) | |
Droms et al. | Dynamic host configuration protocol for IPv6 (DHCPv6) | |
CN101651696B (zh) | 一种防止nd攻击的方法及装置 | |
CN106559292A (zh) | 一种宽带接入方法和装置 | |
CN101557337B (zh) | 网络隧道建立方法、数据传输方法、通讯系统及相关设备 | |
CN101621525B (zh) | 合法表项的处理方法和设备 | |
EP2259542B1 (en) | Method, apparatus and system for processing dynamic host configuration protocol message | |
KR20080016471A (ko) | 확장된 브릿지를 이용한 무선통신 시스템에서의 IPv6지원 방법 | |
US8438390B2 (en) | Method and system for using neighbor discovery unspecified solicitation to obtain link local address | |
CN108881233A (zh) | 防攻击处理方法、装置、设备及存储介质 | |
CN112910863A (zh) | 一种网络溯源方法及系统 | |
Bound et al. | RFC3315: Dynamic host configuration protocol for IPv6 (DHCPv6) | |
CN102404346A (zh) | 一种互联网用户访问权限的控制方法及系统 | |
CN101808097B (zh) | 一种防arp攻击方法和设备 | |
CN102571811A (zh) | 用户接入权限控制系统和方法 | |
Cavalli et al. | Secure hosts auto-configuration in mobile ad hoc networks | |
CN107071075B (zh) | 网络地址动态跳变的装置及方法 | |
Rehman et al. | Novel mechanism to prevent denial of service (DoS) attacks in IPv6 duplicate address detection process | |
CN101945053A (zh) | 一种报文的发送方法和装置 | |
Bagnulo et al. | SAVI: The IETF standard in address validation | |
CN106330654B (zh) | 一种基于wpa2-psk的虚拟局域网之间的无线数据传输方法 | |
CN102136985A (zh) | 一种接入方法和接入设备 | |
CN102447710A (zh) | 一种用户访问权限控制方法及系统 | |
Cheneau et al. | Using SEND signature algorithm agility and multiple-key CGA to secure proxy neighbor discovery and anycast addressing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
CP03 | Change of name, title or address |