CN102035851A - 防arp攻击的方法 - Google Patents
防arp攻击的方法 Download PDFInfo
- Publication number
- CN102035851A CN102035851A CN2010106089434A CN201010608943A CN102035851A CN 102035851 A CN102035851 A CN 102035851A CN 2010106089434 A CN2010106089434 A CN 2010106089434A CN 201010608943 A CN201010608943 A CN 201010608943A CN 102035851 A CN102035851 A CN 102035851A
- Authority
- CN
- China
- Prior art keywords
- arp
- mac
- message
- arp message
- network equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种防ARP攻击的方法,包括:S1:当网络设备接收到ARP报文时,检查其中的源MAC地址是否在所述MAC表中存在所述静态MAC,若存在,则直接丢弃所述ARP报文,若不存在,则上送到CPU处理;S2:网络设备的CPU接收到上送的ARP报文时,将所述ARP报文的ARP表的刷新次数加1;S3:所述刷新周期若未减到0,并且所述刷新次数达到预定惩罚值时在所述网络设备MAC表中为所述ARP报文中的源MAC地址写入一个静态MAC,并为所述静态MAC中设置生存时间参数值。本发明实现了在不影响局域网内的主机与外界的正常通信的情况下,有效地防止了ARP攻击。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种防ARP(Address Resolution Protocol,地址解析协议)攻击的方法。
背景技术
目前针对DOS(Denial of Service,拒绝服务)类型的ARP攻击,大部分网络设备制造商的处理安全控制方案,大致分为两种类型:
1、限制单位时间内报文的上送数目或者回应数目来保护CPU不被100%占用。
2、增加对ARP合法性的判断从而决定是否回应报文。
一方面,上述安全控制方案只是从合法性和数目上进行了控制,对于报文的上送,并没有一种手段可以做到完全的阻止,因此不能从根本上阻止ARP攻击。
另一方面,上述安全控制方案虽然保护了设备CPU不会被100%占用,但产生了新的安全隐患。例如,一台网络交换机是一个局域网的出口,当局域网内出现了ARP攻击,且攻击目标是这台网络交换机时,采用目前的安全控制方案限制单位时间内上送的数目。为了达到DOS攻击的目的,一般来说攻击报文在单位时间内是非常多的。因此如果限制了单位时间内报文上送的条目,正常合法的报文就会因为上送数目的限制得不到正常的处理。最终导致整个局域网内的主机因得不到网关ARP而无法与外界正常通信。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何在不影响局域网内的主机与外界的正常通信的情况下,更有效地防止ARP攻击。
(二)技术方案
为解决上述技术问题,本发明提供了一种防ARP攻击的方法,在所述方法中对ARP表进行了扩展,增加了两个参数:刷新次数和刷新周期,分别表示ARP表被刷新的次数和被刷新的周期,为MAC表中的所述静态MAC增加生存时间参数,所述方法包括以下步骤:
S1:当网络设备接收到ARP报文时,检查其中的源MAC地址是否在所述MAC表中为所述静态MAC,若存在,则直接丢弃所述ARP报文,若不存在,则上送到CPU处理;
S2:网络设备的CPU接收到上送的ARP报文时,将所述ARP报文的ARP表的刷新次数加1;
S3:所述刷新周期若未减到0,并且所述刷新次数达到预定惩罚值时在所述网络设备MAC表中将所述ARP报文中的源MAC地址设为所述静态MAC,并为所述静态MAC中设置生存时间参数值。
其中,步骤S2中若不存在所述ARP报文对应的ARP表时,新建ARP表,并初始化所述刷新周期和刷新次数,所述刷新次数初始化为1。
其中,所述生存时间参数值逐渐减小,当减小到0时,从MAC表中删除所述静态MAC。
其中,所述刷新周期从初始化值递减到0,且在其减小到0时重置为初始化值,同时触发所述刷新次数重置为初始值1。
其中,所述网络设备是网络交换机或路由器。
(三)有益效果
本发明通过根据单位时间内CPU响应ARP报文的次数来设置一个惩罚值,超过惩罚值时,生成一个惩罚措施。此措施一旦启动,符合此措施的报文会在进入网络交换机之后直接被丢弃,从而保证正常合法的ARP报文交互,该方法能够防止ARP攻击,而不会影响局域网内的主机与外界的正常通信。
附图说明
图1是本发明实施例的一种防ARP攻击的方法流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
在本实施例的方法中对ARP表进行了扩展,增加了两个参数:刷新次数和刷新周期,分别表示ARP表被刷新的次数和被刷新的周期,为MAC表中的所述静态MAC增加生存时间参数。具体流程如图1所示,包括:
步骤S101,当网络设备(如交换机或路由器)接收到ARP报文时,检查其中的源MAC地址是否在所述MAC表中为所述静态MAC,若存在,则直接丢弃所述ARP报文,若不存在,则上送到CPU处理。在此之前,还包括步骤:先对收到的报文进行源MAC检查,若失败,则直接丢弃;检查通过后,再检测该报文是否为ARP报文,若不为ARP报文,则检查是否为协议报文,若为协议报文,则上送到CPU处理,否则作普通转发。
步骤S102,网络设备的CPU接收到上送的ARP报文时,将所述ARP报文的ARP表的刷新次数加1。若不存在该ARP报文对应的ARP表时,新建ARP表,并初始化刷新周期和刷新次数,所述刷新次数初始化为1。刷新周期从初始化值递减到0,且在其减小到0时重置为初始化值,同时触发所述刷新次数重置为初始值1。
扩展后的ARP表如下表1所示:
表1本发明扩展后的ARP表
表1中的IP Address表示局域网主机的IP地址,Age表示这个ARP在表中存活了多久,Hardware address表示主机IP地址对应的Mac地址;Interface表示主机对应网络设备的网络接口,Vlan Id表示网络接口对应的Vlan(Virtual Local Area Network,虚拟局域网)号,Update times表示此ARP的刷新次数,Flash time表示设定的刷新周期。
步骤S103,刷新周期若未减到0,并且刷新次数达到预定惩罚值时在网络设备MAC表中添加特殊静态MAC条目,即将该ARP报文中的源MAC地址设为所述静态MAC,并为静态MAC中设置生存时间参数值,该生存时间参数值随时间递减,当减小到0时,从MAC表中删除上述源MAC对应的静态MAC,同时也删除其对应的生存时间参数。若在刷新周期内未达到预定惩罚值,则正常响应ARP。
扩展后的MAC表如下表2所示:
表2 本发明扩展后的MAC表
Mac Address | Vlan Id | Port ID | State | Times |
x | x | x | x | x |
表2中,Mac Address表示网络设备IP地址对应的MAC地址,VlanId表示网络接口对应的Vlan号,Port ID表示网络接口对应的实际接口,State表示静态MAC的状态,Times表示此静态MAC的生存时间参数。
上表1和2中,“x”表示对应参数的取值。
实例说明:网络设备的地址是10.1.1.254,它收到10.1.1.1对它的请求,网络设备生成如表1的表项。Flash time是认为设定的刷新周期,它是一个随时间递减的参数(如:设置该参数值为120秒),当此参数未减小到0之前再次收到10.1.1.1对它的请求,就会在Update Times参数中增加1。刷新周期参数为0后,刷新周期参数重置为初始值并带动刷新次数参数重置为初始值1。如果设备在刷新周期内不停的收到ARP请求,Update Time就会持续增加。当增加到一个惩罚值时就生成表2中的MAC表。这个时候继续请求10.1.1.254的ARP就会因为存在这样的静态MAC表而被丢弃。当参数到达MAC表的生存时间参数值后,网络设备自动删除该静态MAC。
由以上实施例可以看出,本发明通过根据单位时间内CPU响应ARP报文的次数来设置一个惩罚值,超过惩罚值时,生成一个惩罚措施(即生成所述静态MAC,收到的ARP报文检查源MAC,发现源MAC是所述静态MAC,则丢弃该ARP报文)。此措施一旦启动,符合此措施的报文会在进入网络交换机之后直接被丢弃,从而保证正常合法的ARP报文交互,该方法能够防止ARP攻击,而不会影响局域网内的主机与外界的正常通信。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (5)
1.一种防ARP攻击的方法,其特征在于,在所述方法中对ARP表进行了扩展,增加了两个参数:刷新次数和刷新周期,分别表示ARP表被刷新的次数和被刷新的周期,为MAC表中的静态MAC增加生存时间参数,所述方法包括以下步骤:
S1:当网络设备接收到ARP报文时,检查其中的源MAC地址是否在所述MAC表中为所述静态MAC,若存在,则直接丢弃所述ARP报文,若不存在,则上送到CPU处理;
S2:网络设备的CPU接收到上送的ARP报文时,将所述ARP报文的ARP表的刷新次数加1;
S3:所述刷新周期若未减到0,并且所述刷新次数达到预定惩罚值时在所述网络设备MAC表中将所述ARP报文中的源MAC地址设为所述静态MAC,并为所述静态MAC中设置生存时间参数值。
2.如权利要求1所述的防ARP攻击的方法,其特征在于,步骤S2中若不存在所述ARP报文对应的ARP表时,新建ARP表,并初始化所述刷新周期和刷新次数,所述刷新次数初始化为1。
3.如权利要求1所述的防ARP攻击的方法,其特征在于,所述生存时间参数值逐渐减小,当减小到0时,从MAC表中删除所述静态MAC。
4.如权利要求1所述的防ARP攻击的方法,其特征在于,所述刷新周期从初始化值递减到0,且在其减小到0时重置为初始化值,同时触发所述刷新次数重置为初始值1。
5.如权利要求1~4中任一项所述的防ARP攻击的方法,其特征在于,所述网络设备是网络交换机或路由器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010106089434A CN102035851A (zh) | 2010-12-28 | 2010-12-28 | 防arp攻击的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010106089434A CN102035851A (zh) | 2010-12-28 | 2010-12-28 | 防arp攻击的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102035851A true CN102035851A (zh) | 2011-04-27 |
Family
ID=43888174
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010106089434A Pending CN102035851A (zh) | 2010-12-28 | 2010-12-28 | 防arp攻击的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102035851A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102427460A (zh) * | 2011-12-29 | 2012-04-25 | 深信服网络科技(深圳)有限公司 | 针对arp欺骗的多级检测和防御方法 |
CN106060085A (zh) * | 2016-07-15 | 2016-10-26 | 杭州华三通信技术有限公司 | 防止arp报文攻击方法以及装置 |
WO2016176907A1 (zh) * | 2015-05-07 | 2016-11-10 | 中兴通讯股份有限公司 | 一种流量抑制方法及装置 |
CN106790010A (zh) * | 2016-12-13 | 2017-05-31 | 北京金山安全软件有限公司 | 基于Android系统的ARP攻击检测方法、装置及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050050179A1 (en) * | 2003-08-28 | 2005-03-03 | International Business Machines Corporation | Method, apparatus and computer program product for implementing enhanced proxy ARP for virtual IP addresses |
CN101110821A (zh) * | 2007-09-06 | 2008-01-23 | 华为技术有限公司 | 防止arp地址欺骗攻击的方法及装置 |
CN101345755A (zh) * | 2008-08-29 | 2009-01-14 | 中兴通讯股份有限公司 | 一种防止地址解析协议报文攻击的方法和系统 |
CN101415012A (zh) * | 2008-11-06 | 2009-04-22 | 杭州华三通信技术有限公司 | 一种防御地址解析协议报文攻击的方法和系统 |
-
2010
- 2010-12-28 CN CN2010106089434A patent/CN102035851A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050050179A1 (en) * | 2003-08-28 | 2005-03-03 | International Business Machines Corporation | Method, apparatus and computer program product for implementing enhanced proxy ARP for virtual IP addresses |
CN101110821A (zh) * | 2007-09-06 | 2008-01-23 | 华为技术有限公司 | 防止arp地址欺骗攻击的方法及装置 |
CN101345755A (zh) * | 2008-08-29 | 2009-01-14 | 中兴通讯股份有限公司 | 一种防止地址解析协议报文攻击的方法和系统 |
CN101415012A (zh) * | 2008-11-06 | 2009-04-22 | 杭州华三通信技术有限公司 | 一种防御地址解析协议报文攻击的方法和系统 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102427460A (zh) * | 2011-12-29 | 2012-04-25 | 深信服网络科技(深圳)有限公司 | 针对arp欺骗的多级检测和防御方法 |
CN102427460B (zh) * | 2011-12-29 | 2015-03-11 | 深信服网络科技(深圳)有限公司 | 针对arp欺骗的多级检测和防御方法 |
WO2016176907A1 (zh) * | 2015-05-07 | 2016-11-10 | 中兴通讯股份有限公司 | 一种流量抑制方法及装置 |
CN106209661A (zh) * | 2015-05-07 | 2016-12-07 | 中兴通讯股份有限公司 | 一种流量抑制方法及装置 |
CN106209661B (zh) * | 2015-05-07 | 2020-06-05 | 中兴通讯股份有限公司 | 一种流量抑制方法及装置 |
CN106060085A (zh) * | 2016-07-15 | 2016-10-26 | 杭州华三通信技术有限公司 | 防止arp报文攻击方法以及装置 |
CN106060085B (zh) * | 2016-07-15 | 2019-09-17 | 新华三技术有限公司 | 防止arp报文攻击方法以及装置 |
CN106790010A (zh) * | 2016-12-13 | 2017-05-31 | 北京金山安全软件有限公司 | 基于Android系统的ARP攻击检测方法、装置及系统 |
CN106790010B (zh) * | 2016-12-13 | 2019-08-27 | 北京金山安全软件有限公司 | 基于Android系统的ARP攻击检测方法、装置及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2260628B1 (en) | Facilitating defense against mac table overflow attacks | |
US11140198B2 (en) | System and method of detecting and countering denial-of-service (DoS) attacks on an NVMe-oF-based computer storage array | |
JP6012867B2 (ja) | ネットワーク装置およびネットワークシステム | |
US20050276228A1 (en) | Self-isolating and self-healing networked devices | |
CN101834870A (zh) | 一种防止mac地址欺骗攻击的方法和装置 | |
CN101296182A (zh) | 一种数据传输控制方法以及数据传输控制装置 | |
CN105337890B (zh) | 一种控制策略生成方法以及装置 | |
WO2011079669A1 (zh) | 网络攻击防护方法、设备及系统 | |
CN102035851A (zh) | 防arp攻击的方法 | |
JP6977507B2 (ja) | 制御装置および制御システム | |
US20140082693A1 (en) | Updating security bindings in a network device | |
CN104202333A (zh) | 一种分布式防火墙的实现方法 | |
JPWO2012014509A1 (ja) | 不正アクセス遮断制御方法 | |
CN103166864A (zh) | 一种私网vlan信息管理方法和设备 | |
CN100589434C (zh) | 在接入模式下实现业务服务器地址防欺骗的方法 | |
CN107566359A (zh) | 一种智能防火墙系统及防护方法 | |
CN101572609A (zh) | 检测拒绝服务攻击的方法及其装置 | |
CN101562542A (zh) | 免费arp请求的响应方法和网关设备 | |
CN102209035B (zh) | 流量转发方法及转发设备 | |
CN101834781B (zh) | 一种聚合端口的介质访问控制地址保活装置及方法 | |
US12088622B2 (en) | Method and apparatus for defending against cyber attacks, receiving device and computer storage medium | |
CN105704097A (zh) | 一种防御攻击的方法及装置 | |
CN102427460A (zh) | 针对arp欺骗的多级检测和防御方法 | |
US8234503B2 (en) | Method and systems for computer security | |
US10541874B2 (en) | Method and system for spanning tree protocol role protection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110427 |