CN101951367A - 一种校园网防范arp病毒入侵的方法 - Google Patents
一种校园网防范arp病毒入侵的方法 Download PDFInfo
- Publication number
- CN101951367A CN101951367A CN2010102774884A CN201010277488A CN101951367A CN 101951367 A CN101951367 A CN 101951367A CN 2010102774884 A CN2010102774884 A CN 2010102774884A CN 201010277488 A CN201010277488 A CN 201010277488A CN 101951367 A CN101951367 A CN 101951367A
- Authority
- CN
- China
- Prior art keywords
- arp
- network
- address
- deception
- mac address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种校园网防范ARP病毒入侵的方法,该方法具体步骤如下:(a)将校园网划分成若干个VLAN;(b)将用户IP地址和网卡MAC地址绑定;(c)在核心交换机上绑定用户主机的IP地址和网卡的MAC地址,同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式;(d)采用基于网络设备MIB状态库的主动防范。本发明有效的锁定攻击终端、阻断ARP攻击端口,达到有效防范ARP欺骗攻击的目的;大大节省了网络管理员的时间,结合其他防范措施,对检测网段提供安全保障,有效地保证了校园网络正常运行。
Description
技术领域
本发明涉及一种防范病毒入侵的方法,具体说是一种校园网防范ARP病毒入侵的方法。
背景技术
近年来,校园网内出现了频繁断网,系统瞬间与服务器断开、不能正常运行、局域网内客户端计算机访问网页变得很慢等现象,严重影响了校园网络的正常运行。经过检测,确定引起这种现象的主要原因是局域网中存在ARP攻击病毒。这种病毒是一种利用地址解析协议ARP(AddressResolution Protocol)的漏洞进行攻击和欺骗。有效地防范ARP网络攻击已成为确保校园网络畅通的必要条件。
ARP病毒属于一种欺骗木马类病毒,主要发生在局域网内部,局域网感染ARP病毒后主要表现为:1)局域网中某个网段的计算机不能正常上网,网络连接时断时续,上网速度非常缓慢;2)IE浏览器频繁出错,网页打不开或者打开速度非常慢;3)局域网整个网络运行不稳定,ping网关时不通,或者丢包现象很严重;4)断开网络后,隔一段时间重新连接,或者利用arp-d命令删除ARP缓存表后,可暂时恢复上网。
ARP(Address Resolution Protocol)即地址解析协议,是位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。每台安装有TCP/IP协议的计算机里都有一个ARP缓存表,表里的IP地址与MAC地址一一对应。在局域网中,网络中实际传输的是“帧”,帧里面有目标主机的MAC地址。在以太网中,一个主机和另一个主机进行直接通信,必须要通过地址解析协议获得目标主机的MAC地址。“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
ARP病毒是一种木马程序,其本质就是利用ARP本身的漏洞进行ARP欺骗。从影响网络连接通畅的方式来看,ARP欺骗分为两种:一种是对路由器ARP表的欺骗,另一种是对内网计算机的网关欺骗。
第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址。第二种ARP欺骗的原理是伪造网关。就是建立假网关,让被它欺骗的主机向假网关发数据,而不是通过正常的路由器途径上网,造成网内互通,但上不了网。
发明内容
发明目的:本发明的目的是为了克服现有技术的不足,提供了一种校园网防范ARP病毒入侵的方法。
技术方案:为了解决上述技术问题,本发明提供了一种校园网防范ARP病毒入侵的方法,该方法为:
(a)将校园网划分成若干个VLAN;
(b)将用户IP地址和网卡MAC地址绑定;
(c)在核心交换机上绑定用户主机的IP地址和网卡的MAC地址,同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式;
(d)采用基于网络设备MIB状态库的主动防范。
本发明中所述步骤(d)具体步骤如下:
(1)读取网络里所有ARP表,包括欺骗的ARP表项,生成全网ARP表;
(2)判定是否有ARP欺骗发生,即全网ARP表进行判断,出现相同的MAC时,则认为该MAC对应的PC有ARP欺骗发生;
(3)定位ARP欺骗源;
(4)主动隔离ARP欺骗源。
有益效果:本发明所述的一种校园网防范ARP病毒入侵的方法,与现有技术相比,具有以下优点:本发明中利用SNMP协议从网络设备MIB状态库的上获取ARP欺骗相关信息,确定是否存在ARP欺骗及ARP欺骗者的MAC地址,并能自动的屏蔽欺骗源。本方案不需要添加额外的设备,代价小,效率高,特别适合在较大规模的网络中部署。
具体实施方式
下面结合具体实施例,进一步阐明本发明,应理解这些实施例仅用于说明本发明而不用于限制本发明的范围,在阅读了本发明之后,本领域技术人员对本发明的各种等价形式的修改均落于本申请所附权利要求所限定。
实施例
某学院的网络主干设备主要采用锐捷路由交换机及其他交换机五十台。采用千兆单模光纤接入校园网。光纤通达学院各座楼宇,接入计算机2000余台。为了有效地防止ARP的攻击,根据学院网络的实际情况,采用如下方法来防范ARP病毒入侵。
(a)以院系、科室为单位划分Vlan。利用ARP攻击的原理,将ARP攻击尽量缩小到一个可以承受的范围。方法为核心交换、汇聚层交换以及二层接入交换机之间试用trunk连接,以保证每台交换机都可以使用任何一个Vlan;然后以院系、科室为单位划分Vlan,确保同一部门的电脑在一个Vlan内;终端较少的科室则以楼层或者楼宇为单位划分Vlan。学生宿舍终端较多,因此划分多个vlan。
(b)使用计费认证系统实现MAC地址与账号捆绑。
(c)在核心交换机上绑定用户主机的IP地址和网卡的MAC地址,同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式;
(d)采用基于网络设备MIB状态库按照如下步骤的主动防范。
步骤(1)读取网络里所有ARP表(包括欺骗的ARP表项),生成全网ARP表——all_arp_table
该步骤应该读取三层设备的相关MIB变量,涉及的MIB变量如下:ARP表中的端口索引值,OID为:
.1.3.6.1.2.1.2.4.22.1.1
ARP表中的MAC地址,OID为:
.1.3.6.1.2.1.2.4.22.1.2
ARP表中的IP地址,OID为:
.1.3.6.1.2.1.2.4.22.1.3
通过遍历ARP表中的端口索引值,对应获取对应的mac_ip内容,填充到表all_arp_table。
步骤(2)判定是否有ARP欺骗发生
由ARP协议的原理可以知道在正常情况下MAC和IP的对应关系应该是一一对应的,如果出现多个IP对应一个MAC,则证明出现了ARP欺骗。所以只要对all_arp_table表进行判断,出现相同的MAC时,则认为该MAC对应的PC有ARP欺骗现象。
步骤(3)定位ARP欺骗源
该步骤应该读取二层设备的相关MIB变量,涉及的MIB变量如下:
FDB表中的MAC地址,OID为:
.1.3.6.1.2.1.17.4.3.1.1(用于查找出现ARP欺骗的MAC)。
FDB表中的端口索引值,OID为:
.1.3.6.1.2.1.17.4.3.1.2(定位出现ARP欺骗的MAC的交换机端口)。
通过步骤(2)中确定的MAC,利用FDB表的相关信息定位具体的交换机端口。
步骤(4)主动隔离ARP欺骗源
此时已经知道具体的交换机的具体端口出现问题,只要将该端口关闭就可以了,为了能主动实现该功能,可以利用MIB变量来实现。涉及的MIB变量为交换机端口状态,OID为:.1.3.6.1.2.1.2.2.1.7,该变量是可以写的,我们使用SNMP操作就可以关闭该端口。
通过上述步骤实现了对ARP病毒入侵的防御。
Claims (2)
1.一种校园网防范ARP病毒入侵的方法,其特征在于:该方法为:
(a)将校园网划分成若干个VLAN;
(b)将用户IP地址和网卡MAC地址绑定;
(c)在核心交换机上绑定用户主机的IP地址和网卡的MAC地址,同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式;
(d)采用基于网络设备MIB状态库的主动防范。
2.根据权利要求1所述的一种校园网防范ARP病毒入侵的方法,其特征在于:所述步骤(d)具体步骤如下:
(1)读取网络里所有ARP表,包括欺骗的ARP表项,生成全网ARP表;
(2)判定是否有ARP欺骗发生,即全网ARP表进行判断,出现相同的MAC时,则认为该MAC对应的PC有ARP欺骗发生;
(3)定位ARP欺骗源;
(4)主动隔离ARP欺骗源。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010102774884A CN101951367A (zh) | 2010-09-09 | 2010-09-09 | 一种校园网防范arp病毒入侵的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010102774884A CN101951367A (zh) | 2010-09-09 | 2010-09-09 | 一种校园网防范arp病毒入侵的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101951367A true CN101951367A (zh) | 2011-01-19 |
Family
ID=43454728
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010102774884A Pending CN101951367A (zh) | 2010-09-09 | 2010-09-09 | 一种校园网防范arp病毒入侵的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101951367A (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102594834A (zh) * | 2012-03-09 | 2012-07-18 | 北京星网锐捷网络技术有限公司 | 网络攻击的防御方法及装置、网络设备 |
CN102984171A (zh) * | 2012-12-12 | 2013-03-20 | 温州电力局 | 一种访问器及访问方法 |
CN103763120A (zh) * | 2011-03-09 | 2014-04-30 | 成都勤智数码科技股份有限公司 | 基于snmp的网络终端管理的方法 |
CN107018136A (zh) * | 2017-04-06 | 2017-08-04 | 福建中金在线信息科技有限公司 | 一种arp攻击的检测方法及装置 |
CN107222462A (zh) * | 2017-05-08 | 2017-09-29 | 汕头大学 | 一种局域网内部攻击源的自动定位、隔离方法 |
CN107634953A (zh) * | 2017-09-22 | 2018-01-26 | 国云科技股份有限公司 | 一种防止容器网络arp欺骗的方法 |
CN108430063A (zh) * | 2018-04-13 | 2018-08-21 | 上海连尚网络科技有限公司 | 一种用于监测无线局域网中arp欺骗的方法与设备 |
CN111226427A (zh) * | 2017-08-14 | 2020-06-02 | 华为技术有限公司 | 避免以太网类型pdu的arp广播期间的寻呼风暴的方法和装置 |
CN112333146A (zh) * | 2020-09-21 | 2021-02-05 | 南方电网海南数字电网研究院有限公司 | 变电智能网关arp安全防御方法及变电智能网关 |
CN112671783A (zh) * | 2020-12-28 | 2021-04-16 | 上海自恒信息科技有限公司 | 一种基于vlan用户组的防主机ip扫描方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007266957A (ja) * | 2006-03-28 | 2007-10-11 | Matsushita Electric Works Ltd | アドレス取得装置、アドレス取得プログラム |
CN101616131A (zh) * | 2008-06-24 | 2009-12-30 | 重庆广用通信技术有限责任公司 | 一种防御Arp病毒攻击的方法 |
-
2010
- 2010-09-09 CN CN2010102774884A patent/CN101951367A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007266957A (ja) * | 2006-03-28 | 2007-10-11 | Matsushita Electric Works Ltd | アドレス取得装置、アドレス取得プログラム |
CN101616131A (zh) * | 2008-06-24 | 2009-12-30 | 重庆广用通信技术有限责任公司 | 一种防御Arp病毒攻击的方法 |
Non-Patent Citations (2)
Title |
---|
周华先: "基于MIB的校园网ARP攻击主动防御", 《现代计算机》 * |
汪小霞: "校园网防范ARP病毒研究", 《长沙通信职业技术学院学报》 * |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103763120A (zh) * | 2011-03-09 | 2014-04-30 | 成都勤智数码科技股份有限公司 | 基于snmp的网络终端管理的方法 |
CN102594834B (zh) * | 2012-03-09 | 2014-09-10 | 北京星网锐捷网络技术有限公司 | 网络攻击的防御方法及装置、网络设备 |
CN102594834A (zh) * | 2012-03-09 | 2012-07-18 | 北京星网锐捷网络技术有限公司 | 网络攻击的防御方法及装置、网络设备 |
CN102984171A (zh) * | 2012-12-12 | 2013-03-20 | 温州电力局 | 一种访问器及访问方法 |
CN107018136A (zh) * | 2017-04-06 | 2017-08-04 | 福建中金在线信息科技有限公司 | 一种arp攻击的检测方法及装置 |
CN107222462A (zh) * | 2017-05-08 | 2017-09-29 | 汕头大学 | 一种局域网内部攻击源的自动定位、隔离方法 |
US11128596B2 (en) | 2017-08-14 | 2021-09-21 | Huawei Technologies Co., Ltd. | Methods and apparatuses for avoiding paging storm during ARP broadcast for ethernet type PDU |
US11616753B2 (en) | 2017-08-14 | 2023-03-28 | Huawei Technologies Co., Ltd. | Method and apparatuses for avoiding paging storm during ARP broadcast for ethernet type PDU |
CN111226427A (zh) * | 2017-08-14 | 2020-06-02 | 华为技术有限公司 | 避免以太网类型pdu的arp广播期间的寻呼风暴的方法和装置 |
CN111226427B (zh) * | 2017-08-14 | 2021-11-26 | 华为技术有限公司 | 避免以太网类型pdu的arp广播期间的寻呼风暴的方法和装置 |
CN107634953A (zh) * | 2017-09-22 | 2018-01-26 | 国云科技股份有限公司 | 一种防止容器网络arp欺骗的方法 |
CN108430063A (zh) * | 2018-04-13 | 2018-08-21 | 上海连尚网络科技有限公司 | 一种用于监测无线局域网中arp欺骗的方法与设备 |
CN112333146A (zh) * | 2020-09-21 | 2021-02-05 | 南方电网海南数字电网研究院有限公司 | 变电智能网关arp安全防御方法及变电智能网关 |
CN112671783A (zh) * | 2020-12-28 | 2021-04-16 | 上海自恒信息科技有限公司 | 一种基于vlan用户组的防主机ip扫描方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101951367A (zh) | 一种校园网防范arp病毒入侵的方法 | |
US10193924B2 (en) | Network intrusion diversion using a software defined network | |
US8180874B2 (en) | Facilitating defense against MAC table overflow attacks | |
CN101431449A (zh) | 一种网络流量清洗系统 | |
JP2015050767A (ja) | ホワイトリスト基盤のネットワークスイッチ | |
CN103609089B (zh) | 一种防止附连到子网的主机上拒绝服务攻击的方法及装置 | |
CN102571738B (zh) | 基于虚拟局域网交换的入侵防御方法与系统 | |
CN110636086B (zh) | 网络防护测试方法及装置 | |
CN101345743A (zh) | 防止利用地址解析协议进行网络攻击的方法及其系统 | |
CN102014109A (zh) | 一种泛洪攻击的防范方法及装置 | |
CN101415012A (zh) | 一种防御地址解析协议报文攻击的方法和系统 | |
WO2008077414A1 (en) | Preventing spoofing | |
CN102594814A (zh) | 基于端末的网络访问控制系统 | |
CN102263788A (zh) | 一种用于防御指向多业务系统的DDoS攻击的方法与设备 | |
CN102438028A (zh) | 一种防止dhcp服务器欺骗的方法、装置及系统 | |
KR20080021492A (ko) | 플로우 기반 패킷 처리방식의 분산 서비스 거부 공격 방어시스템 및 방법 | |
CN104283882A (zh) | 一种路由器的智能安全防护方法 | |
US20170141984A1 (en) | Method and system for detecting client causing network problem using client route control system | |
CN112751843A (zh) | 铁路供电系统网络安全防护系统 | |
CN110022303B (zh) | Arp双向防御系统及方法 | |
CN100561954C (zh) | 控制连通性检测的方法、系统和设备 | |
CN105429944A (zh) | 一种arp攻击自动识别调整的方法及路由器 | |
CN101989975A (zh) | 一种分布式非法计算机接入的阻断方法 | |
CN207518625U (zh) | 一种有效应对apt攻击的纵深防御系统 | |
CN210444303U (zh) | 网络防护测试系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110119 |