CN103051597A - 一种在交换机上实现arp欺骗检测的方法 - Google Patents
一种在交换机上实现arp欺骗检测的方法 Download PDFInfo
- Publication number
- CN103051597A CN103051597A CN 201110313267 CN201110313267A CN103051597A CN 103051597 A CN103051597 A CN 103051597A CN 201110313267 CN201110313267 CN 201110313267 CN 201110313267 A CN201110313267 A CN 201110313267A CN 103051597 A CN103051597 A CN 103051597A
- Authority
- CN
- China
- Prior art keywords
- arp
- message
- record
- mac address
- fraud detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种在交换机上实现ARP欺骗检测的方法,具体步骤如下:将交换机输入送入到报文分发模块;当检测到进入的报文为ARP报文时,报文分发模块判断是否发生了ARP风暴,若是则通过告警模块进行提示,否则将ARP报文分发给ARP欺骗检测模块;ARP欺骗检测模块通过ARP表记录的信息判断是否发生了ARP欺骗,若是则记录欺骗事件,并通过告警模块进行提示。采用本发明能够解决相关技术中安全性低、成本高等劣势,以极为经济的方式解决ARP欺骗问题。
Description
(一)技术领域:
本发明涉及以太网传输安全,属于网络安全领域,用于设计更为安全的交换机,特别是一种在交换机上实现ARP欺骗检测的方法。
(二)背景技术:
在TCP/IP协议簇中,地址解析协议(英文名称为AddressResolution Protocol,以下简称为ARP)的功能是在互联网协议(英文名称为Internet Protocol,以下简称为IP)地址和介质访问控制(英文名称为Media Access Control,以下简称为MAC)地址间提供动态映射,将32位的IP地址转换为48位的MAC地址,使IP报文能够在链路中正确传输。
ARP协议设计之初,网络中的主机被认为是可信的,因此ARP协议被设计为基于可信主机之间的协议,然而现实中的网络并非如此,这就产生了ARP欺骗技术。所谓ARP欺骗,是指利用ARP协议的漏洞,通过向目标主机发送虚假ARP报文,冒充目标主机,截取本应发往目标主机的报文,以此实现监听或截获目标主机通信数据的一种手段。如果使用ARP欺骗同时冒充通信双方,就能实现“中间人攻击”。严重时ARP欺骗能造成网络的拥塞甚至大面积的网络瘫痪等,对网络的管理及其安全的维护提出了严峻的考验。
传统上,要解决ARP欺骗,有以下几种方法:1、使用ARP代理服务器;2、安装独立的ARP欺骗检测服务器;3、修改ARP协议。上述方法中,第一种需要解决ARP代理服务器的安全问题,防止代理服务器受到攻击,但在实际中代理服务器很容易成为攻击靶子,因此难以保证ARP代理服务器的安全;第二种由于要安装新设备,成本较高,且由于使用主动检测技术,导致网络数据量增加,影响网络运行;第三种缺乏恰当的协议模型,只能部分解决ARP协议的问题,无法从根本上杜绝ARP欺骗。
(二)发明内容:
本发明提供了一种在交换机上实现ARP欺骗检测的方法,该方法能够有效避免现有技术存在的问题,快速检测到ARP欺骗现象,提升网络管理效率。
本发明的技术方案:一种在交换机上实现ARP欺骗检测的方法,其特征在于具体步骤如下:
(1)在交换机中,建立报文分发模块、ARP欺骗检测模块、告警模块,以及ARP表;其中报文分发模块用于检测报文类型,判断是否ARP报文;ARP欺骗检测模块负责检测ARP报文,判断是否存在ARP欺骗;告警模块用于提示管理员;ARP表用于缓存接收到的ARP报文中的IP/MAC地址对,由若干ARP记录组成,每条ARP记录包括从ARP报文中取出的IP/MAC地址对,以及收到ARP报文的时间,交换机上电时ARP表为空表;
(2)交换机上电后,报文分发模块进入工作状态,报文分发模块判断交换机输入的所有报文类型,如果不是ARP应答报文则检测下一报文;如果是ARP应答报文,则判断是否发生了ARP风暴,如果是ARP风暴,则通过告警模块提示管理员;如果不是ARP风暴,则将报文分发给ARP欺骗检测模块。
(3)当ARP欺骗检测模块接收到ARP应答报文后,从中提取IP地址和MAC地址;
(4)ARP欺骗检测模块查找在ARP表中是否存在与ARP应答报文的IP地址相同的记录:如果找不到,则用ARP应答报文的IP地址、MAC地址和当前时间组成一条记录,添加到ARP表中;如果能找到,则从ARP表中的记录中取出MAC地址,判断ARP表中的MAC地址与从ARP应答报文中提取的MAC地址是否相同,如果相同,则用当前时间更新ARP表中的记录中的时间,如果不同,则表明接收的IP地址对应的ARP表中的记录中的MAC地址已经改变;继续取出ARP表中的记录中的时间,并计算当前时间与ARP表中的记录中时间的差值,当差值高于阈值时,则是正常的ARP应答报文,此时用ARP应答报文中的MAC地址和当前时间更新ARP表中的记录中的相应字段,当差值低于上述阈值时,则发生了ARP欺骗,其中,阈值设置为10-500ms;
(5)当检测到ARP欺骗后,通过告警模块提示管理员;或记录日志文件,以便管理员查阅;或切断相应端口的连接,避免造成损失。
(6)ARP欺骗检测中使用的阈值,其含义为从同一IP地址接收到两次相邻ARP报文之间的合理间隔,该值可由网络管理员根据网络状况进行设置。
上述所说的时间,可以是绝对时间,也可以是标识交换机启动时间的计数器。
本发明的技术效果:本发明通过在交换机中加入新的处理逻辑,实时监测ARP欺骗现象,并及时做出处理,提高了网络健壮性,有助于打造更为安全的网络。
(三)附图说明:
图1为本发明所涉一种在交换机内实现ARP欺骗检测的模块设计示意图;
图2为本发明所涉一种报文分发模块的工作流程图;
图3为本发明所涉一种ARP欺骗检测模块的工作流程图。
(四)具体实施方式:
实施例:一种在交换机上实现ARP欺骗检测的方法,其特征在于具体步骤如下:
(1)在交换机中,建立报文分发模块、ARP欺骗检测模块、告警模块,以及ARP表;其中报文分发模块用于检测报文类型,判断是否ARP报文;ARP欺骗检测模块负责检测ARP报文,判断是否存在ARP欺骗;告警模块用于提示管理员;ARP表用于缓存接收到的ARP报文中的IP/MAC地址对,由若干ARP记录组成,每条ARP记录包括从ARP报文中取出的IP/MAC地址对,以及收到ARP报文的时间,交换机上电时ARP表为空表;
(2)交换机上电后,报文分发模块进入工作状态,报文分发模块判断交换机输入的所有报文类型,如果不是ARP应答报文则检测下一报文;如果是ARP应答报文,则判断是否发生了ARP风暴,如果是ARP风暴,则通过告警模块提示管理员;如果不是ARP风暴,则将报文分发给ARP欺骗检测模块。
(3)当ARP欺骗检测模块接收到ARP应答报文后,从中提取IP地址和MAC地址;
(4)ARP欺骗检测模块查找在ARP表中是否存在与ARP应答报文的IP地址相同的记录:如果找不到,则用ARP应答报文的IP地址、MAC地址和当前时间组成一条记录,添加到ARP表中;如果能找到,则从ARP表中的记录中取出MAC地址,判断ARP表中的MAC地址与从ARP应答报文中提取的MAC地址是否相同,如果相同,则用当前时间更新ARP表中的记录中的时间,如果不同,则表明接收的IP地址对应的ARP表中的记录中的MAC地址已经改变;继续取出ARP表中的记录中的时间,并计算当前时间与ARP表中的记录中时间的差值,当差值高于阈值时,则是正常的ARP应答报文,此时用ARP应答报文中的MAC地址和当前时间更新ARP表中的记录中的相应字段,当差值低于上述阈值时,则发生了ARP欺骗,其中,阈值设置为50ms;
(5)当检测到ARP欺骗后,通过告警模块提示管理员;或记录日志文件,以便管理员查阅;或切断相应端口的连接,避免造成损失。
(6)ARP欺骗检测中使用的阈值,其含义为从同一IP地址接收到两次相邻ARP报文之间的合理间隔,该值可由网络管理员根据网络状况进行设置。
上述所说的时间是绝对时间。
应当理解的是,以上仅为本发明的优选实施例,不能因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (2)
1.一种在交换机上实现ARP欺骗检测的方法,其特征在于具体步骤如下:
(1)在交换机中,建立报文分发模块、ARP欺骗检测模块、告警模块,以及ARP表;其中报文分发模块用于检测报文类型,判断是否ARP报文;ARP欺骗检测模块负责检测ARP报文,判断是否存在ARP欺骗;告警模块用于提示管理员;ARP表用于缓存接收到的ARP报文中的IP/MAC地址对,由若干ARP记录组成,每条ARP记录包括从ARP报文中取出的IP/MAC地址对,以及收到ARP报文的时间,交换机上电时ARP表为空表;
(2)交换机上电后,报文分发模块进入工作状态,报文分发模块判断交换机输入的所有报文类型,如果不是ARP应答报文则检测下一报文;如果是ARP应答报文,则判断是否发生了ARP风暴,如果是ARP风暴,则通过告警模块提示管理员;如果不是ARP风暴,则将报文分发给ARP欺骗检测模块。
(3)当ARP欺骗检测模块接收到ARP应答报文后,从中提取IP地址和MAC地址;
(4)ARP欺骗检测模块查找在ARP表中是否存在与ARP应答报文的IP地址相同的记录:如果找不到,则用ARP应答报文的IP地址、MAC地址和当前时间组成一条记录,添加到ARP表中;如果能找到,则从ARP表中的记录中取出MAC地址,判断ARP表中的MAC地址与从ARP应答报文中提取的MAC地址是否相同,如果相同,则用当前时间更新ARP表中的记录中的时间,如果不同,则表明接收的IP地址对应的ARP表中的记录中的MAC地址已经改变;继续取出ARP表中的记录中的时间,并计算当前时间与ARP表中的记录中时间的差值,当差值高于阈值时,则是正常的ARP应答报文,此时用ARP应答报文中的MAC地址和当前时间更新ARP表中的记录中的相应字段,当差值低于上述阈值时,则发生了ARP欺骗,其中,阈值设置为10-500ms;
(5)当检测到ARP欺骗后,通过告警模块提示管理员;或记录日志文件,以便管理员查阅;或切断相应端口的连接,避免造成损失。
(6)ARP欺骗检测中使用的阈值,其含义为从同一IP地址接收到两次相邻ARP报文之间的合理间隔,该值可由网络管理员根据网络状况进行设置。
2.根据权利要求1所说的一种在交换机上实现ARP欺骗检测的方法,其特征在于所说的时间,可以是绝对时间,也可以是标识交换机启动时间的计数器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110313267 CN103051597A (zh) | 2011-10-14 | 2011-10-14 | 一种在交换机上实现arp欺骗检测的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110313267 CN103051597A (zh) | 2011-10-14 | 2011-10-14 | 一种在交换机上实现arp欺骗检测的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103051597A true CN103051597A (zh) | 2013-04-17 |
Family
ID=48064101
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201110313267 Pending CN103051597A (zh) | 2011-10-14 | 2011-10-14 | 一种在交换机上实现arp欺骗检测的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103051597A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103905271A (zh) * | 2014-03-12 | 2014-07-02 | 广东电网公司电力科学研究院 | 一种告警风暴抑制方法 |
| CN104735080A (zh) * | 2015-04-03 | 2015-06-24 | 山东华软金盾软件有限公司 | 一种服务器ip保护方法和系统 |
| WO2015176213A1 (zh) * | 2014-05-19 | 2015-11-26 | 北京东土科技股份有限公司 | 一种基于mac地址的节点设备接入方法、系统及装置 |
| CN105141485A (zh) * | 2015-10-14 | 2015-12-09 | 上海斐讯数据通信技术有限公司 | 一种避免arp干扰的网络通信测试方法及系统 |
| CN106790745A (zh) * | 2016-12-02 | 2017-05-31 | 互联网域名系统北京市工程研究中心有限公司 | 一种基于arp协议实时监测子网内ip冲突并实时告警的方法及系统 |
| CN106899612A (zh) * | 2017-04-01 | 2017-06-27 | 汕头大学 | 一种自动检测假冒主机arp欺骗的方法 |
| CN107018136A (zh) * | 2017-04-06 | 2017-08-04 | 福建中金在线信息科技有限公司 | 一种arp攻击的检测方法及装置 |
| CN107295020A (zh) * | 2017-08-16 | 2017-10-24 | 北京新网数码信息技术有限公司 | 一种地址解析协议攻击的处理方法及装置 |
| CN111884916A (zh) * | 2020-07-24 | 2020-11-03 | 杭州希益丰新业科技有限公司 | 一种基于多网口计算机实现透明传输的代理网关系统 |
| CN113691518A (zh) * | 2021-08-17 | 2021-11-23 | 北京鸿腾智能科技有限公司 | 情报分析方法、装置、设备及存储介质 |
-
2011
- 2011-10-14 CN CN 201110313267 patent/CN103051597A/zh active Pending
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103905271A (zh) * | 2014-03-12 | 2014-07-02 | 广东电网公司电力科学研究院 | 一种告警风暴抑制方法 |
| WO2015176213A1 (zh) * | 2014-05-19 | 2015-11-26 | 北京东土科技股份有限公司 | 一种基于mac地址的节点设备接入方法、系统及装置 |
| CN104735080A (zh) * | 2015-04-03 | 2015-06-24 | 山东华软金盾软件有限公司 | 一种服务器ip保护方法和系统 |
| CN104735080B (zh) * | 2015-04-03 | 2017-12-08 | 山东华软金盾软件股份有限公司 | 一种服务器ip保护方法和系统 |
| CN105141485A (zh) * | 2015-10-14 | 2015-12-09 | 上海斐讯数据通信技术有限公司 | 一种避免arp干扰的网络通信测试方法及系统 |
| CN106790745A (zh) * | 2016-12-02 | 2017-05-31 | 互联网域名系统北京市工程研究中心有限公司 | 一种基于arp协议实时监测子网内ip冲突并实时告警的方法及系统 |
| CN106899612A (zh) * | 2017-04-01 | 2017-06-27 | 汕头大学 | 一种自动检测假冒主机arp欺骗的方法 |
| CN107018136A (zh) * | 2017-04-06 | 2017-08-04 | 福建中金在线信息科技有限公司 | 一种arp攻击的检测方法及装置 |
| CN107295020A (zh) * | 2017-08-16 | 2017-10-24 | 北京新网数码信息技术有限公司 | 一种地址解析协议攻击的处理方法及装置 |
| CN111884916A (zh) * | 2020-07-24 | 2020-11-03 | 杭州希益丰新业科技有限公司 | 一种基于多网口计算机实现透明传输的代理网关系统 |
| CN113691518A (zh) * | 2021-08-17 | 2021-11-23 | 北京鸿腾智能科技有限公司 | 情报分析方法、装置、设备及存储介质 |
| CN113691518B (zh) * | 2021-08-17 | 2023-12-05 | 三六零数字安全科技集团有限公司 | 情报分析方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103051597A (zh) | 一种在交换机上实现arp欺骗检测的方法 | |
| CN103607399B (zh) | 基于暗网的专用ip网络安全监测系统及方法 | |
| CN111092869B (zh) | 终端接入办公网络安全管控方法及认证服务器 | |
| CN102487339B (zh) | 一种网络设备攻击防范方法及装置 | |
| CN111556083B (zh) | 电网信息物理系统网络攻击物理侧与信息侧协同溯源装置 | |
| KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
| US20060034305A1 (en) | Anomaly-based intrusion detection | |
| CN108810034A (zh) | 一种工业控制系统信息资产的安全防护方法 | |
| CN103095675A (zh) | Arp欺骗攻击检测系统及方法 | |
| KR20150037285A (ko) | 침입 탐지 장치 및 방법 | |
| CN105049291A (zh) | 一种检测网络流量异常的方法 | |
| CN101090334A (zh) | 一种解决入侵检测系统中海量报警的方法 | |
| CN104980293B (zh) | 一种oam报文快速发送和检测处理的方法及装置 | |
| CN104219091A (zh) | 一种网络运行故障检测系统及其方法 | |
| CN101340567B (zh) | 一种网络视频监控前端设备可靠性保障方法 | |
| CN102307119B (zh) | 一种发现互联网性能测量系统中的探针故障的方法 | |
| CN103607291A (zh) | 用于电力二次系统内网安全监视平台的告警解析归并方法 | |
| CN101005412A (zh) | 一种防止端口环路检测报文攻击的实现方法及系统 | |
| CN108270722A (zh) | 一种攻击行为检测方法和装置 | |
| CN111669371B (zh) | 一种适用于电力网络的网络攻击还原系统及方法 | |
| CN112468592A (zh) | 一种基于电力信息采集的终端在线状态侦测方法及系统 | |
| CN100561954C (zh) | 控制连通性检测的方法、系统和设备 | |
| CN101252487B (zh) | 一种处理安全告警的方法及安全策略设备 | |
| CN107733941A (zh) | 一种基于大数据的数据采集平台的实现方法及系统 | |
| CN112583763B (zh) | 入侵侦测装置以及入侵侦测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130417 |