CN101820396A - 一种报文安全性验证的方法和设备 - Google Patents
一种报文安全性验证的方法和设备 Download PDFInfo
- Publication number
- CN101820396A CN101820396A CN201010180358A CN201010180358A CN101820396A CN 101820396 A CN101820396 A CN 101820396A CN 201010180358 A CN201010180358 A CN 201010180358A CN 201010180358 A CN201010180358 A CN 201010180358A CN 101820396 A CN101820396 A CN 101820396A
- Authority
- CN
- China
- Prior art keywords
- message
- information
- tabulation
- access device
- source information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种报文安全性验证的方法和设备,通过应用本发明的技术方案,可以在接入设备上进行简易的用户合法性判断,能够有效的在最接近用户的地方验证用户合法性,从而在端点上防止用户伪造IP的报文对上行网络的攻击行为。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种报文安全性验证的方法和设备。
背景技术
以太网,是当今TCP/IP采用的主要的局域网技术。ARP(Address ResolutionProtocol,地址解析协议)是一个位于TCP/IP协议栈中的底层协议,负责将某个IP地址解析成对应的MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。ARP是地址解析协议,是一种将IP地址转化成物理地址的协议。
ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。
ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。
ARP攻击通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
基于上述原理,常见的与ARP相关的攻击方式包括:
攻击者可以仿冒用户、仿冒网关发送伪造的ARP报文,使网关或主机的ARP表项不正确,从而对网络进行攻击。
攻击者向网关设备发送大量ARP报文和IP报文,对设备的CPU形成冲击。
为了应对ARP攻击,现有的解决方案包括以下三种:
方案一、网关和用户之间的2层接入设备上配置ARP Detection功能,利用用户使用DHCP申请IP地址时记录的用户信息来作为验证ARP报文内容基准。
方案二、在网关上启用防攻击功能,例如主动确认、固定源MAC攻击检测、洪泛攻击检测等。
方案三、在接入设备上配置ISG(IP Source Guard,IP源保护)表项,只允许指定的用户通过接入设备。
ISG技术通过在设备接入用户侧的端口上启用功能,可以对端口收到的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了端口的安全性。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:
对于方案一、需要同时使用DHCP Snooping功能,并且只针对ARP检查,对于用户强制发送IP报文而不发送ARP的情况下,需要配合IP Check Source功能使用。
对于方案二、报文已经到达了网关,报文已经冲击了网关的CPU,检测时机延迟,已经造成对网关的冲击。
对于方案三、手工配置烦琐,实施复杂。
发明内容
本发明提供一种报文安全性验证的方法和设备,在接入设备上通过检测ARP报文来验证用户合法性,实现用户的安全过滤。
为达到上述目的,本发明一方面提供了一种报文安全性验证的方法,应用于包括至少一个接入终端和一个接入设备的系统中,所述接入设备中建立安全用户列表,所述接入设备只对所述安全用户列表中的信息所对应的接入终端所发送的IP报文进行转发,所述安全用户列表在所述接入设备初始状态下为空,所述方法具体包括以下步骤:
当所述接入设备接收到一个ARP报文时,所述接入设备查询所述安全用户列表中是否包含所述ARP报文的源信息;
如果不包含,所述接入设备记录所述ARP报文的源信息、目的信息和报文类型信息,构造并发送以所述ARP报文的源信息为目的信息的检测报文;
如果在预设的响应时间阈值内,所述接入设备接收到所述检测报文的响应报文,且所述响应报文的源信息与所述ARP报文的源信息相同,所述接入设备根据记录的所述ARP报文的源信息、目的信息和报文类型信息还原并转发所述ARP报文,且将所述ARP报文的源信息添加入所述安全用户列表。
优选的,当所述终端设备接收到DHCP报文时,
如果所述系统中允许接入终端动态申请IP地址,所述接入设备直接转发接收到的所述DHCP报文
如果所述系统中允许接入终端自行配置IP地址,所述接入设备放弃转发所述DHCP报文。
优选的,所述接入设备查询所述安全用户列表中是否包含所述ARP报文的源信息之后,还包括:
如果所述接入设备查询所述安全用户列表中包含所述ARP报文的源信息,所述接入设备直接转发所述ARP报文。
优选的,所述接入设备记录所述ARP报文的源信息、目的信息和报文类型信息,构造并发送以所述ARP报文的源信息为目的信息的检测报文,还包括:
所述接入设备所构造的检测报文的源信息为全0的IP地址。
优选的,
如果在预设的响应时间阈值内,所述接入设备没有接收到所述检测报文的响应报文,或接收到的所述响应报文的源信息与所述ARP报文的源信息不同,所述接入设备丢弃所述检测报文所对应的ARP报文,并删除所记录的所述ARP报文的源信息、目的信息和报文类型信息。
优选的,所述方法还包括:
所述接入设备按照预设的检测周期,以所述安全用户列表中当前所包含的信息为目的信息构造并发送相应的检测报文;
如果在预设的响应时间阈值内,所述接入设备接收到所述检测报文的响应报文,且所述响应报文的源信息与构造相应检测报文的信息一致,则确认所述安全用户列表中相应的信息有效;
如果在预设的响应时间阈值内,所述接入设备没有接收到一个或多个检测报文的响应报文,或接收到的响应报文的源信息与构造相应检测报文的信息不一致,则对所述安全用户列表中构造相应检测报文的信息生成一次检测失败记录,当所述安全用户列表中的信息出现检测失败记录,或对应的检测失败记录达到预设阈值时,所述接入设备在所述安全用户列表中删除所述信息。
另一方面,本发明还提供了一种接入设备,应用于包括至少一个接入终端和一个接入设备的系统中,具体包括:
列表维护模块,用于建立和维护安全用户列表,且所述安全用户列表在所述接入设备初始状态下为空;
查询模块,与所述列表维护模块相连接,用于识别接收到的报文的类型,并在识别结果为ARP报文时,查询所述列表维护模块所建立的安全用户列表中是否包含所述ARP报文的源信息;
记录模块,与所述查询模块相连接,用于在所述查询模块查询所述安全用户列表中不包含所述ARP报文的源信息时,记录所述ARP报文的源信息、目的信息和报文类型信息;
检测模块,与所述记录模块和所述查询模块相连接,用于在所述查询模块查询所述安全用户列表中不包含所述ARP报文的源信息时,构造并发送以所述记录模块所记录的ARP报文的源信息为目的信息的检测报文;
处理模块,与所述列表维护模块、所述记录模块和所述检测模块相连接,如果在预设的响应时间阈值内,接收到所述检测模块所发送的检测报文的响应报文,且所述响应报文的源信息与所述ARP报文的源信息相同,则用于根据所述记录模块记录的所述ARP报文的源信息、目的信息和报文类型信息还原并转发所述ARP报文,并将所述ARP报文的源信息添加入所述列表维护模块所维护的安全用户列表。
优选的,所述查询模块还与所述处理模块相连接,
当所述查询模块识别的接收到的报文的类型信息为DHCP报文时,如果所述系统中允许接入终端动态申请IP地址,所述处理模块直接转发接收到的所述DHCP报文,如果所述系统中允许接入终端自行配置IP地址,所述处理模块放弃转发所述DHCP报文;
当所述查询模块识别的接收到的报文的类型信息为IP报文时,所述查询模块查询所述列表维护模块所建立的安全用户列表中是否包含所述IP报文的源信息,如果包含,则所述处理模块直接转发所述IP报文,如果不包含,则所述处理模块放弃转发所述IP报文;
当所述查询模块识别的接收到的报文的类型信息为ARP报文时,所述查询模块查询所述列表维护模块所建立的安全用户列表中是否包含所述ARP报文的源信息,如果包含,则所述处理模块直接转发所述ARP报文。
优选的,所述处理模块所构造的检测报文的源信息为全0的IP地址。
优选的,所述处理模块还用于:
如果在预设的响应时间阈值内,没有接收到所述检测报文的响应报文,或接收到的所述响应报文的源信息与所述ARP报文的源信息不同,所述处理模块丢弃所述检测报文所对应的ARP报文,所述记录模块删除所记录的所述ARP报文的源信息、目的信息和报文类型信息。
优选的,
所述检测模块按照预设的检测周期,以所述列表维护模块所维护的安全用户列表中当前所包含的信息为目的信息构造并发送相应的检测报文;
如果在预设的响应时间阈值内,接收到所述检测报文的响应报文,且所述响应报文的源信息与构造相应检测报文的信息一致,则所述处理模块确认所述安全用户列表中相应的信息有效;
如果在预设的响应时间阈值内,没有接收到一个或多个检测报文的响应报文,或接收到的响应报文的源信息与构造相应检测报文的信息不一致,则所述处理模块对所述列表维护模块所维护的安全用户列表中构造相应检测报文的信息生成一次检测失败记录,当所述安全用户列表中的信息出现检测失败记录,或对应的检测失败记录达到预设阈值时,所述列表维护模块在所述安全用户列表中删除所述信息。
与现有技术相比,本发明具有以下优点:
通过应用本发明的技术方案,可以在接入设备上进行简易的用户合法性判断,能够有效的在最接近用户的地方验证用户合法性,从而在端点上防止用户伪造IP的报文对上行网络的攻击行为。
附图说明
图1为本发明所提出的一种报文安全性验证的方法的流程示意图;
图2为本发明所提出的一种具体应用场景下报文安全性验证的方法的流程示意图;
图3为本发明所提出的一种具体应用场景下报文安全性验证的方法的应用场景的示意图;
图4为本发明所提出的一种接入设备的结构示意图。
具体实施方式
针对背景技术中的不足,本发明所提出了一种报文安全性验证的方法,在接入设备上实现一种通过检测ARP报文来验证用户合法性,并通过下发ACL规则来实现用户的安全过滤,从而减少用户的仿冒IP地址攻击行为对上行网络造成的影响。
如图1所示,为本发明所提出的一种报文安全性验证的方法的流程示意图,该方法应用于包括至少一个接入终端和一个接入设备的系统中。
其中,接入设备中建立安全用户列表,该安全用户列表用于存储安全的接入终端的信息,接入设备只对安全用户列表中所包含的信息所对应的接入终端所发送的IP报文进行转发,接入设备在初始状态下,所建立的安全用户列表为空,从而,在初始状态下,禁止所有的IP报文通过。
具体的,该方法包括以下步骤:
步骤S101、当接入设备接收到一个ARP报文时,接入设备查询安全用户列表中是否包含该ARP报文的源信息。
如果不包含,执行步骤S102;
如果包含,执行步骤S105。
步骤S102、接入设备记录ARP报文的源信息、目的信息和报文类型信息,构造并发送以ARP报文的源信息为目的信息的检测报文。
如果在预设的响应时间阈值内,接入设备接收到检测报文的响应报文,且响应报文的源信息与ARP报文的源信息相同,执行步骤S103;
如果在预设的响应时间阈值内,接入设备没有接收到检测报文的响应报文,或接收到的响应报文的源信息与ARP报文的源信息不同,则执行步骤S104。
步骤S103、接入设备根据记录的ARP报文的源信息、目的信息和报文类型信息还原并转发ARP报文,且将ARP报文的源信息添加入安全用户列表。
步骤S104、接入设备丢弃检测报文所对应的ARP报文,并删除所记录的该ARP报文的源信息、目的信息和报文类型信息。
步骤S105、接入设备直接转发ARP报文。
至此,完成了安全用户列表的信息建立过程,后续接入设备如果接收到的IP报文的源信息已经存储在安全用户列表中,则确认为安全报文,直接转发,反之,如果接收到的IP报文的源信息没有存储在安全用户列表中,则认为是不安全的攻击报文,直接丢弃,保护网络的安全。
进一步的,该方法还包括安全用户列表的复查过程,具体如下:
接入设备按照预设的检测周期,以安全用户列表中当前所包含的信息为目的信息构造并发送相应的检测报文;
如果在预设的响应时间阈值内,接入设备接收到检测报文的响应报文,且响应报文的源信息与构造相应检测报文的信息一致,则确认安全用户列表中相应的信息有效;
如果在预设的响应时间阈值内,接入设备没有接收到一个或多个检测报文的响应报文,或接收到的响应报文的源信息与构造相应检测报文的信息不一致,则对安全用户列表中构造相应检测报文的信息生成一次检测失败记录,当安全用户列表中的信息出现检测失败记录,或对应的检测失败记录达到预设阈值时,接入设备在安全用户列表中删除源信息。
上述过程所应用的具体策略可以根据具体的应用场景进行调整,这样的变化并不影响本发明的保护范围。
与现有技术相比,本发明具有以下优点:
通过应用本发明的技术方案,可以在接入设备上进行简易的用户合法性判断,能够有效的在最接近用户的地方验证用户合法性,从而在端点上防止用户伪造IP的报文对上行网络的攻击行为。
为了进一步阐述本发明的技术思想,现结合具体的应用场景,对本发明的技术方案进行说明。
具体如图2所示,为本发明所提出的一种具体应用场景下的报文安全性验证的方法的流程示意图,包括以下步骤:
步骤S201、接入设备上端口区分网络侧和用户侧端口。
其中,与用户直连的端口为用户侧端口。
步骤S202、配置接入设备的报文过滤规则。
接入设备上启动此功能后,如果系统允许用户动态申请IP地址,则配合ISG技术,在直连用户的用户侧端口配置相应的规则,该规则用以禁止所有IP报文通过,但是允许DHCP报文通过的规则,以保证允许用户动态申请IP地址。
相对的,如果系统不允许用户动态申请IP地址,而是用户自行配置IP地址,则配合ISG技术,在直连用户的用户侧端口配置相应的规则,该规则不仅禁止所有IP报文通过,同时也禁止DHCP报文通过。
在上述的规则配置好后,在用户侧端口下发ARP重定向规则,用于在接收到ARP报文时,将ARP报文重定向至CPU。
步骤S203、接入设备收到用户发送的ARP报文后,判断当前是否存在发送该ARP报文所对应的用户的记录。
如果不存在,则执行步骤S204;
如果存在,则直接转发该ARP报文。
步骤S204、接入设备记录该ARP报文相应的信息,根据该ARP报文的源信息构造检测报文,并发送给该ARP报文的发送端。
在具体的应用场景中,所记录的信息主要是记录该ARP报文中用户信息(例如:IP、MAC、VLAN和端口)、请求的目的信息和报文类型,这样的记录一方面是为了构造检测报文提供目的地址信息,另一方面,也是为了在检测通过时重新恢复该ARP报文。
接入设备主动在接收端口发送源IP为0,目的IP和MAC均为刚接收的ARP报文的源IP和源MAC的检测报文。
由于接入设备自身没有IP地址,如果发送检测报文的源IP地址被伪造成其他的IP地址,那么,如果是网络中已有的IP地址,则会和网络中已有的IP地址冲突,如果是全0地址以外的一个网络中没有的IP地址,则会被接入终端学习到一个在网络中不存在的IP地址,从而被认为是网络攻击,而选择全0地址作为检测报文的源IP地址,则接入设备不会去学习,也不会被认为是网络攻击,而且,接入终端还可以进行回复,因此,检测报文的源IP地址为全0地址可以避免接收到该检测报文的接入终端学习到其他在网络中不存在的IP地址,从而造成异常通信记录。
如果能够在指定时间内收到应答,并且应答信息中的IP、MAC、端口和VLAN等信息与第1次收到的ARP报文中的信息相一致,则证明发送该ARP报文的用户是存在的,执行步骤S205;
如果未能在指定的时间内收到应答,或接收到的应答信息中的IP、MAC、端口和VLAN与第1次收到的ARP报文中的信息不一致,则执行步骤S206。
步骤S205、在接收报文端口下发ISG规则,允许此端口下符合条件的IP报文通过,同时根据初始记录的信息恢复ARP报文并转发。
在接收报文端口下发ISG规则,允许此端口下符合此IP地址+MAC+VLAN的IP报文通过,同时根据初始记录的信息中的根据报文类型构建一个ARP报文发送出去,只向网络侧端口发送,从而实现合法ARP报文的正常转发。
步骤S206、删除已经记录的信息,放弃对该ARP报文的转发,认为发送该ARP报文的用户不存在。
步骤S207、对于已经下发ISG规则的用户信息,在接入设备中保留记录,并根据指定的检测周期,及时探测用户是否存在。
这是已存在的信息的复检过程,在具体的应用场景中,检测周期的长度和具体的检测规则均可以根据实际的场景需要进行调整,如可以设定只要一次复检不成功即判定该信息失效,删除该信息,但是为了防止出现误判,也可以设置一定的允许失败的复检次数作为阈值,例如,如果连续三次探测不到该用户,则认为用户已经不存在,则删除对应的ISG规则,这样的处理可以防止因为网络传输等原因而导致的误判,提高信息复检的准确性。
探测时仍使用源IP为0的请求报文。
进一步,以如图3所示的具体应用场景说明本发明的技术方案,具体描述如下:
DEV为接入设备,启用了报文安全性验证的功能,用于防止下行用户伪造IP攻击。
DEV在用户侧端口下发规则,禁止所有IP报文通过、但允许DHCP报文通过,以及确定ARP重定向到CPU的规则。
PC1作为接入终端希望和网络侧的Gateway通信。PC1首先发送ARP请求,请求Gateway的MAC(即图中的报文流1),DEV截获此请求,判断当前不存在允许该ARP请求的发送方所发送的报文通过的规则,进行记录该ARP请求的源信息、目的信息和报文类型信息,记录信息如表1所示:
表1
源IP | 源MAC | 目的IP | 目的MAC | 上送端口 | VLAN | 报文类型 |
IP1(PC1) | PC1MAC | GIP | 0-0-0 | Port1 | VLAN1 | 请求 |
DEV根据记录的信息发送检测报文来确认PC1是否存在(即图中的报文流2),报文的目的IP为IP1,目的MAC为PC1MAC,报文源IP为0.0.0.0,报文源MAC为DEV设备的桥MAC。
如果PC1能够在指定时间内对该检测报文进行响应(即图中的报文流3),DEV检查响应的报文和前述记录的所收到的ARP请求中的关键信息是否一致,如果一致,则认为发送该ARP请求的用户存在,并且是合法的,此时在端口Port1下发允许IP1+PC1MAC+VLAN1的IP报文通过的规则,进一步的,DVE还根据先前记录的ARP请求的原始报文类型构建一个ARP请求,内容为用户初始请求时的内容,即将先前接获的ARP请求进行恢复,向网络侧端口发送该ARP请求(即图中的报文流4),保证合法的ARP请求的正常转发。Gateway根据DVE转发的ARP请求进行应答(即图中的报文流5),通过DEV直接回应给PC1,从而,PC1和Gateway开始通信。
与上述情况相反,如果PC1没有及时回应上述的检测报文,则证明此用户不存在,则DVE删除先前已经记录的ARP请求的相关信息。
在经过上述的处理后,DVE中间了可以正常转发的规则,只要是符合该规则的IP报文,DVE确认为安全报文,直接进行转发,但是考虑到网络中可能发生的变化,以及各接入终端可能出现的下线等脱离网络的情况,有必要建立已存在的规则的周期性验证过程,对于已存在的规则,根据用户设定的周期进行检测,检测报文格式和上述的检测报文的格式一致,如果连续N次探测中(其中,N为预设的可以容忍的未响应次数的阈值),该用户均未回应,则认为该用户已经下线,此时DEV删除记录的该用户信息,并通知已存在的与该用户相对应的规则。
与现有技术相比,本发明具有以下优点:
通过应用本发明的技术方案,可以在接入设备上进行简易的用户合法性判断,能够有效的在最接近用户的地方验证用户合法性,从而在端点上防止用户伪造IP的报文对上行网络的攻击行为。
为了实现本发明的技术方案,本发明还提出了一种接入设备,应用于包括至少一个接入终端和一个接入设备的系统中,其结构示意图如图4所示,包括:
列表维护模块41,用于建立和维护安全用户列表,且安全用户列表在接入设备初始状态下为空;
查询模块42,与列表维护模块41相连接,用于识别接收到的报文的类型,并在识别结果为ARP报文时,查询列表维护模块41所建立的安全用户列表中是否包含ARP报文的源信息;
记录模块43,与查询模块42相连接,用于在查询模块42查询安全用户列表中不包含ARP报文的源信息时,记录ARP报文的源信息、目的信息和报文类型信息;
检测模块44,与记录模块43和查询模块42相连接,用于在查询模块42查询安全用户列表中不包含ARP报文的源信息时,构造并发送以记录模块43所记录的ARP报文的源信息为目的信息的检测报文;
处理模块45,与列表维护模块41、记录模块43和检测模块44相连接,如果在预设的响应时间阈值内,接收到检测模块44所发送的检测报文的响应报文,且响应报文的源信息与ARP报文的源信息相同,则用于根据记录模块43记录的ARP报文的源信息、目的信息和报文类型信息还原并转发ARP报文,并将ARP报文的源信息添加入列表维护模块41所维护的安全用户列表。
其中,查询模块42还与处理模块45相连接,
当查询模块42识别的接收到的报文的类型信息为DHCP报文时,如果系统中允许接入终端动态申请IP地址,处理模块45直接转发接收到的DHCP报文,如果系统中允许接入终端自行配置IP地址,处理模块45放弃转发DHCP报文;
当查询模块42识别的接收到的报文的类型信息为IP报文时,查询模块42查询列表维护模块41所建立的安全用户列表中是否包含IP报文的源信息,如果包含,则处理模块45直接转发IP报文,如果不包含,则处理模块45放弃转发IP报文;
当查询模块42识别的接收到的报文的类型信息为ARP报文时,查询模块42查询列表维护模块41所建立的安全用户列表中是否包含ARP报文的源信息,如果包含,则处理模块45直接转发ARP报文。
需要指出的是,处理模块45所构造的检测报文的源信息为全0的IP地址。
在具体的应用场景中,处理模块45还用于:
如果在预设的响应时间阈值内,没有接收到检测报文的响应报文,或接收到的响应报文的源信息与ARP报文的源信息不同,处理模块45丢弃检测报文所对应的ARP报文,记录模块43删除所记录的ARP报文的源信息、目的信息和报文类型信息。
另一方面,该接入设备还可以实现列表维护模块41所维护的安全用户列表的复查过程,具体说明如下:
检测模块44按照预设的检测周期,以列表维护模块41所维护的安全用户列表中当前所包含的信息为目的信息构造并发送相应的检测报文;
如果在预设的响应时间阈值内,接收到检测报文的响应报文,且响应报文的源信息与构造相应检测报文的信息一致,则处理模块45确认安全用户列表中相应的信息有效;
如果在预设的响应时间阈值内,没有接收到一个或多个检测报文的响应报文,或接收到的响应报文的源信息与构造相应检测报文的信息不一致,则处理模块45对列表维护模块41所维护的安全用户列表中构造相应检测报文的信息生成一次检测失败记录,当安全用户列表中的信息出现检测失败记录,或对应的检测失败记录达到预设阈值时,列表维护模块41在安全用户列表中删除信息。
与现有技术相比,本发明具有以下优点:
通过应用本发明的技术方案,可以在接入设备上进行简易的用户合法性判断,能够有效的在最接近用户的地方验证用户合法性,从而在端点上防止用户伪造IP的报文对上行网络的攻击行为。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施场景所述的方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施场景的优劣。
以上公开的仅为本发明的几个具体实施场景,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (11)
1.一种报文安全性验证的方法,应用于包括至少一个接入终端和一个接入设备的系统中,其特征在于,所述接入设备中建立安全用户列表,所述接入设备只对所述安全用户列表中的信息所对应的接入终端所发送的IP报文进行转发,所述安全用户列表在所述接入设备初始状态下为空,所述方法具体包括以下步骤:
当所述接入设备接收到一个ARP报文时,所述接入设备查询所述安全用户列表中是否包含所述ARP报文的源信息;
如果不包含,所述接入设备记录所述ARP报文的源信息、目的信息和报文类型信息,构造并发送以所述ARP报文的源信息为目的信息的检测报文;
如果在预设的响应时间阈值内,所述接入设备接收到所述检测报文的响应报文,且所述响应报文的源信息与所述ARP报文的源信息相同,所述接入设备根据记录的所述ARP报文的源信息、目的信息和报文类型信息还原并转发所述ARP报文,且将所述ARP报文的源信息添加入所述安全用户列表。
2.如权利要求1所述的方法,其特征在于,还包括:
当所述终端设备接收到DHCP报文时,
如果所述系统中允许接入终端动态申请IP地址,所述接入设备直接转发接收到的所述DHCP报文;
如果所述系统中允许接入终端自行配置IP地址,所述接入设备放弃转发所述DHCP报文。
3.如权利要求1所述的方法,其特征在于,所述接入设备查询所述安全用户列表中是否包含所述ARP报文的源信息之后,还包括:
如果所述接入设备查询所述安全用户列表中包含所述ARP报文的源信息,所述接入设备直接转发所述ARP报文。
4.如权利要求1所述的方法,其特征在于,所述接入设备记录所述ARP报文的源信息、目的信息和报文类型信息,构造并发送以所述ARP报文的源信息为目的信息的检测报文,还包括:
所述接入设备所构造的检测报文的源信息为全0的IP地址。
5.如权利要求4所述的方法,其特征在于,
如果在预设的响应时间阈值内,所述接入设备没有接收到所述检测报文的响应报文,或接收到的所述响应报文的源信息与所述ARP报文的源信息不同,所述接入设备丢弃所述检测报文所对应的ARP报文,并删除所记录的所述ARP报文的源信息、目的信息和报文类型信息。
6.如权利要求1所述的方法,其特征在于,还包括:
所述接入设备按照预设的检测周期,以所述安全用户列表中当前所包含的信息为目的信息构造并发送相应的检测报文;
如果在预设的响应时间阈值内,所述接入设备接收到所述检测报文的响应报文,且所述响应报文的源信息与构造相应检测报文的信息一致,则确认所述安全用户列表中相应的信息有效;
如果在预设的响应时间阈值内,所述接入设备没有接收到一个或多个检测报文的响应报文,或接收到的响应报文的源信息与构造相应检测报文的信息不一致,则对所述安全用户列表中构造相应检测报文的信息生成一次检测失败记录,当所述安全用户列表中的信息出现检测失败记录,或对应的检测失败记录达到预设阈值时,所述接入设备在所述安全用户列表中删除所述信息。
7.一种接入设备,应用于包括至少一个接入终端和一个接入设备的系统中,其特征在于,具体包括:
列表维护模块,用于建立和维护安全用户列表,且所述安全用户列表在所述接入设备初始状态下为空;
查询模块,与所述列表维护模块相连接,用于识别接收到的报文的类型,并在识别结果为ARP报文时,查询所述列表维护模块所建立的安全用户列表中是否包含所述ARP报文的源信息;
记录模块,与所述查询模块相连接,用于在所述查询模块查询所述安全用户列表中不包含所述ARP报文的源信息时,记录所述ARP报文的源信息、目的信息和报文类型信息;
检测模块,与所述记录模块和所述查询模块相连接,用于在所述查询模块查询所述安全用户列表中不包含所述ARP报文的源信息时,构造并发送以所述记录模块所记录的ARP报文的源信息为目的信息的检测报文;
处理模块,与所述列表维护模块、所述记录模块和所述检测模块相连接,如果在预设的响应时间阈值内,接收到所述检测模块所发送的检测报文的响应报文,且所述响应报文的源信息与所述ARP报文的源信息相同,则用于根据所述记录模块记录的所述ARP报文的源信息、目的信息和报文类型信息还原并转发所述ARP报文,并将所述ARP报文的源信息添加入所述列表维护模块所维护的安全用户列表。
8.如权利要求7所述的接入设备,其特征在于,所述查询模块还与所述处理模块相连接,
当所述查询模块识别的接收到的报文的类型信息为DHCP报文时,如果所述系统中允许接入终端动态申请IP地址,所述处理模块直接转发接收到的所述DHCP报文,如果所述系统中允许接入终端自行配置IP地址,所述处理模块放弃转发所述DHCP报文;
当所述查询模块识别的接收到的报文的类型信息为IP报文时,所述查询模块查询所述列表维护模块所建立的安全用户列表中是否包含所述IP报文的源信息,如果包含,则所述处理模块直接转发所述IP报文,如果不包含,则所述处理模块放弃转发所述IP报文;
当所述查询模块识别的接收到的报文的类型信息为ARP报文时,所述查询模块查询所述列表维护模块所建立的安全用户列表中是否包含所述ARP报文的源信息,如果包含,则所述处理模块直接转发所述ARP报文。
9.如权利要求7所述的接入设备,其特征在于,所述处理模块所构造的检测报文的源信息为全0的IP地址。
10.如权利要求9所述的接入设备,其特征在于,所述处理模块还用于:
如果在预设的响应时间阈值内,没有接收到所述检测报文的响应报文,或接收到的所述响应报文的源信息与所述ARP报文的源信息不同,所述处理模块丢弃所述检测报文所对应的ARP报文,所述记录模块删除所记录的所述ARP报文的源信息、目的信息和报文类型信息。
11.如权利要求7所述的接入设备,其特征在于,
所述检测模块按照预设的检测周期,以所述列表维护模块所维护的安全用户列表中当前所包含的信息为目的信息构造并发送相应的检测报文;
如果在预设的响应时间阈值内,接收到所述检测报文的响应报文,且所述响应报文的源信息与构造相应检测报文的信息一致,则所述处理模块确认所述安全用户列表中相应的信息有效;
如果在预设的响应时间阈值内,没有接收到一个或多个检测报文的响应报文,或接收到的响应报文的源信息与构造相应检测报文的信息不一致,则所述处理模块对所述列表维护模块所维护的安全用户列表中构造相应检测报文的信息生成一次检测失败记录,当所述安全用户列表中的信息出现检测失败记录,或对应的检测失败记录达到预设阈值时,所述列表维护模块在所述安全用户列表中删除所述信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010101803589A CN101820396B (zh) | 2010-05-24 | 2010-05-24 | 一种报文安全性验证的方法和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010101803589A CN101820396B (zh) | 2010-05-24 | 2010-05-24 | 一种报文安全性验证的方法和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101820396A true CN101820396A (zh) | 2010-09-01 |
CN101820396B CN101820396B (zh) | 2012-04-18 |
Family
ID=42655347
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010101803589A Active CN101820396B (zh) | 2010-05-24 | 2010-05-24 | 一种报文安全性验证的方法和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101820396B (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102447597A (zh) * | 2012-01-11 | 2012-05-09 | 浪潮(北京)电子信息产业有限公司 | 一种实现ip有效性检测的方法及装置 |
CN103595638A (zh) * | 2013-11-04 | 2014-02-19 | 北京星网锐捷网络技术有限公司 | 一种mac地址学习方法及装置 |
CN104219218A (zh) * | 2013-06-04 | 2014-12-17 | 杭州华三通信技术有限公司 | 一种主动安全防御的方法及装置 |
CN104363243A (zh) * | 2014-11-27 | 2015-02-18 | 福建星网锐捷网络有限公司 | 一种防网关欺骗的方法及装置 |
CN104468544A (zh) * | 2014-11-26 | 2015-03-25 | 上海斐讯数据通信技术有限公司 | 增强网络通信安全的方法 |
CN104780139A (zh) * | 2014-01-09 | 2015-07-15 | 北京东土科技股份有限公司 | 一种基于mac地址攻击的防御方法和系统 |
CN104883360A (zh) * | 2015-05-05 | 2015-09-02 | 中国科学院信息工程研究所 | 一种arp欺骗的细粒度检测方法及系统 |
CN104901953A (zh) * | 2015-05-05 | 2015-09-09 | 中国科学院信息工程研究所 | 一种arp欺骗的分布式检测方法及系统 |
CN105554170A (zh) * | 2015-12-09 | 2016-05-04 | 福建星网锐捷网络有限公司 | 一种dns报文的处理方法、装置及系统 |
CN107040507A (zh) * | 2016-01-21 | 2017-08-11 | 曜祥网技股份有限公司 | 网络封锁方法及设备 |
CN108174385A (zh) * | 2018-02-12 | 2018-06-15 | 海信集团有限公司 | 一种通信链路的检测方法和装置 |
CN112996077A (zh) * | 2021-02-23 | 2021-06-18 | 新华三技术有限公司 | 报文处理方法及装置 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110392034B (zh) * | 2018-09-28 | 2020-10-13 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1921491A (zh) * | 2006-09-14 | 2007-02-28 | 杭州华为三康技术有限公司 | 防范利用地址解析协议进行网络攻击的方法及设备 |
KR20080107599A (ko) * | 2007-06-07 | 2008-12-11 | 주식회사 케이티 | 통신 네트워크에서의 arp 공격 차단 시스템 및 방법 |
-
2010
- 2010-05-24 CN CN2010101803589A patent/CN101820396B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1921491A (zh) * | 2006-09-14 | 2007-02-28 | 杭州华为三康技术有限公司 | 防范利用地址解析协议进行网络攻击的方法及设备 |
KR20080107599A (ko) * | 2007-06-07 | 2008-12-11 | 주식회사 케이티 | 통신 네트워크에서의 arp 공격 차단 시스템 및 방법 |
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102447597B (zh) * | 2012-01-11 | 2014-11-19 | 浪潮(北京)电子信息产业有限公司 | 一种实现ip有效性检测的方法及装置 |
CN102447597A (zh) * | 2012-01-11 | 2012-05-09 | 浪潮(北京)电子信息产业有限公司 | 一种实现ip有效性检测的方法及装置 |
CN104219218A (zh) * | 2013-06-04 | 2014-12-17 | 杭州华三通信技术有限公司 | 一种主动安全防御的方法及装置 |
CN104219218B (zh) * | 2013-06-04 | 2018-05-08 | 新华三技术有限公司 | 一种主动安全防御的方法及装置 |
CN103595638B (zh) * | 2013-11-04 | 2016-09-28 | 北京星网锐捷网络技术有限公司 | 一种mac地址学习方法及装置 |
CN103595638A (zh) * | 2013-11-04 | 2014-02-19 | 北京星网锐捷网络技术有限公司 | 一种mac地址学习方法及装置 |
CN104780139A (zh) * | 2014-01-09 | 2015-07-15 | 北京东土科技股份有限公司 | 一种基于mac地址攻击的防御方法和系统 |
CN104780139B (zh) * | 2014-01-09 | 2018-02-13 | 北京东土科技股份有限公司 | 一种基于mac地址攻击的防御方法和系统 |
CN104468544A (zh) * | 2014-11-26 | 2015-03-25 | 上海斐讯数据通信技术有限公司 | 增强网络通信安全的方法 |
CN104363243A (zh) * | 2014-11-27 | 2015-02-18 | 福建星网锐捷网络有限公司 | 一种防网关欺骗的方法及装置 |
CN104901953A (zh) * | 2015-05-05 | 2015-09-09 | 中国科学院信息工程研究所 | 一种arp欺骗的分布式检测方法及系统 |
CN104901953B (zh) * | 2015-05-05 | 2018-03-23 | 中国科学院信息工程研究所 | 一种arp欺骗的分布式检测方法及系统 |
CN104883360A (zh) * | 2015-05-05 | 2015-09-02 | 中国科学院信息工程研究所 | 一种arp欺骗的细粒度检测方法及系统 |
CN105554170A (zh) * | 2015-12-09 | 2016-05-04 | 福建星网锐捷网络有限公司 | 一种dns报文的处理方法、装置及系统 |
CN105554170B (zh) * | 2015-12-09 | 2019-06-14 | 福建星网锐捷网络有限公司 | 一种dns报文的处理方法、装置及系统 |
CN107040507A (zh) * | 2016-01-21 | 2017-08-11 | 曜祥网技股份有限公司 | 网络封锁方法及设备 |
CN108174385A (zh) * | 2018-02-12 | 2018-06-15 | 海信集团有限公司 | 一种通信链路的检测方法和装置 |
CN112996077A (zh) * | 2021-02-23 | 2021-06-18 | 新华三技术有限公司 | 报文处理方法及装置 |
CN112996077B (zh) * | 2021-02-23 | 2022-07-12 | 新华三技术有限公司 | 报文处理方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN101820396B (zh) | 2012-04-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101820396B (zh) | 一种报文安全性验证的方法和设备 | |
KR101689296B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
JP4174392B2 (ja) | ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置 | |
KR101369727B1 (ko) | 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법 | |
KR101236822B1 (ko) | Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체 | |
CN103248472A (zh) | 一种处理操作请求的方法、系统以及攻击识别装置 | |
CN102404318B (zh) | 一种防范dns缓存攻击的方法及装置 | |
CN104426837B (zh) | Ftp的应用层报文过滤方法及装置 | |
US20070011262A1 (en) | Data transmission control on network | |
CN101834866A (zh) | 一种cc攻击防护方法及其系统 | |
CN103179132A (zh) | 一种检测和防御cc攻击的方法及装置 | |
CN101345743A (zh) | 防止利用地址解析协议进行网络攻击的方法及其系统 | |
TWI474668B (zh) | 網點之判斷與阻擋之方法 | |
CN106878343B (zh) | 一种云计算环境下提供网络安全即服务的系统 | |
CN101529862A (zh) | 利用字符串分析来检测一个或更多分组网路中的有害业务量的方法和装置 | |
CN103647772A (zh) | 一种对网络数据包进行可信访问控制的方法 | |
CN104067558B (zh) | 网络访问装置和用于处理网络中的分组的方法 | |
CN108337219A (zh) | 一种物联网防入侵的方法和存储介质 | |
Luo et al. | Security mechanisms design of automotive gateway firewall | |
CN108924122A (zh) | 一种网络敌我识别方法及系统 | |
CN105812318A (zh) | 用于在网络中防止攻击的方法、控制器和系统 | |
CN101808097B (zh) | 一种防arp攻击方法和设备 | |
CN108574673A (zh) | 应用于网关的arp报文攻击检测方法及装置 | |
CN107360178A (zh) | 一种使用白名单控制网络访问的方法 | |
TWI785374B (zh) | 網路惡意行為偵測方法與利用其之交換系統 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
CP03 | Change of name, title or address |