CN103095675A - Arp欺骗攻击检测系统及方法 - Google Patents
Arp欺骗攻击检测系统及方法 Download PDFInfo
- Publication number
- CN103095675A CN103095675A CN2012104171039A CN201210417103A CN103095675A CN 103095675 A CN103095675 A CN 103095675A CN 2012104171039 A CN2012104171039 A CN 2012104171039A CN 201210417103 A CN201210417103 A CN 201210417103A CN 103095675 A CN103095675 A CN 103095675A
- Authority
- CN
- China
- Prior art keywords
- arp
- packet
- uncalled
- receives
- entry
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了ARP欺骗攻击检测系统及方法。根据本发明的一个实施例的ARP欺骗攻击检测系统,包括:接收模块,用于接收ARP数据包,判断所接收的所述ARP数据包是否为未经请求的ARP数据包;发送模块,用于当所述接收模块所接收的所述ARP数据包为未经请求的ARP数据包时,生成与所接收的所述未经请求的ARP数据包对应的ARP请求数据包,并散布所生成的所述ARP请求数据包;以及检测模块,用于当接收到与所述发送模块所散布的所述ARP请求数据包对应的ARP响应数据包时,判断所接收的所述ARP响应数据包的输入端口和所述未经请求的ARP数据包的输入端口是否一致,若不一致,则判断为发生了ARP欺骗攻击。
Description
技术领域
本发明涉及用于检测利用ARP(Address Resolution Protocol,地址解析协议)协议的漏洞的外部攻击(ARP欺骗攻击)的技术。
背景技术
最近,发生了多起(尤其是从外国)入侵韩国国内的网站之后插入恶意代码之类的事件。这些事件中的大部分通常是在直接入侵相关网络服务器之后插入的恶意代码。但是,最近发生了在网络服务器没有被入侵的情况下,却从网络服务器下载到恶意代码等的案例。这是攻击者在入侵与网络服务器位于相同IP段内的其他服务器之后,利用ARP欺骗(ARP spoofing)截获与网络服务器相关的网络传输而插入了恶意代码。
ARP欺骗攻击是利用局域网(LAN)中使用的ARP协议的漏洞,将自己的MAC地址伪装成别的计算机的MAC地址的攻击方式。由于ARP欺骗攻击任意改变ARP缓存信息,因此也被称为ARP缓存中毒(ARP CachePoisoning)攻击。
通过这种ARP欺骗攻击,攻击者可以将自己的MAC地址伪装(ARPSpoofing)成路由器或者要嗅探(sniffing)的目标服务器的MAC地址,从而可以轻易地偷看数据包。但是,最近ARP欺骗攻击已经不限于单纯截获并偷看数据包的嗅探水平,还被用作伪造截获的数据包并重新发送出去的攻击用途,因此情况越发严重,从而需要开发出在交换机等设备中易于检测并阻断ARP欺骗攻击的技术。
发明内容
本发明的目的在于提供一种易于检测ARP欺骗攻击,并且在必要的时候可事先予以阻断的方案。
为了解决上述问题,根据本发明的一个实施例的ARP欺骗攻击检测系统包括:接收模块,用于接收ARP数据包,并判断所接收的所述ARP数据包是否为未经请求(unsolicited or gratuitous)的ARP数据包;发送模块,用于当所述接收模块所接收的所述ARP数据包为未经请求的ARP数据包时,生成与所接收的所述未经请求的ARP数据包对应的ARP请求数据包,并散布(Broadcast)所生成的所述ARP请求数据包;以及检测模块,用于当接收到与所述发送模块所散布的所述ARP请求数据包对应的ARP响应数据包时,判断所接收的所述ARP响应数据包的输入端口和所述未经请求的ARP数据包的输入端口是否一致,若不一致,则判断为发生了ARP欺骗攻击。
另一方面,用于解决上述问题的、在根据本发明的一个实施例的ARP欺骗攻击检测系统中用于检测ARP欺骗攻击的方法包括:第一步骤,由所述检测系统接收ARP数据包,并判断所接收的所述ARP数据包是否为未经请求(unsolicited or gratuitous)的ARP数据包;第二步骤,当所接收的所述ARP数据包为未经请求的ARP数据包时,由所述检测系统生成与所接收的所述未经请求的ARP数据包对应的ARP请求数据包,并散布所生成的所述ARP请求数据包;第三步骤,由所述检测系统接收与所散布的所述ARP请求数据包对应的ARP响应数据包;以及第四步骤,由所述检测系统判断所接收的所述ARP响应数据包的输入端口和所述未经请求的ARP数据包的输入端口是否一致,若不一致,则判断为发生了ARP欺骗攻击。
根据本发明,具有可在交换机端轻易地检测利用ARP协议的漏洞的ARP欺骗攻击、并且在必要的时候可事先将其阻断的优点。
附图说明
图1和图2为用于说明ARP欺骗攻击的图。
图3为根据本发明的一个实施例的ARP欺骗攻击检测系统300的框图。
图4为表示根据本发明的一个实施例的ARP欺骗攻击检测方法400的流程图。
符号说明
300:ARP欺骗攻击检测系统
302:接收模块
304:数据包信息存储模块
306:发送模块
308:检测模块
具体实施方式
以下,参照附图来说明本发明的具体实施方式。但是,这些仅属于示例,本发明不受此限制。
在对本发明的说明中,当针对与本发明相关的公知技术的具体说明可能会不必要地混淆本发明的要点时,将省略其详细说明。而且,后面所提到的术语是考虑到在本发明中的功能而加以定义的术语,其可能会随着使用者、运用者的意图或习惯等而变得不同。因此,其定义应当基于本说明书的整个内容加以确定。
本发明的技术思想由权利要求书加以确定,下面的实施例只是用于向本发明所属技术领域中具有一般知识的人员有效说明本发明技术思想的一种手段。
图1和图2为用于说明一般的ARP欺骗攻击形态的图,图1表示正常状态,图2表示发生ARP欺骗攻击之后的状态。
如图1所示,假设主机-A 110(IP地址:192.168.1.1,MAC地址:000102030405)和主机-B 120(IP地址:192.168.1.2,MAC地址:000102030406)通过L2交换机(二层交换机)140相连接而相互收发数据包。此时,主机-A110的ARP缓存表(ARP Cache Table)中存储有作为相同网络内的另一主机的主机B 120的IP地址及与之对应的MAC地址,主机-B 120的ARP缓存表(ARP Cache Table)中存储有主机A 110的IP地址及与之对应的MAC地址。并且,L2交换机140的路由表中存储有主机-A 110和主机-B 120的MAC地址,以进行朝主机-A 110和主机-B 120的数据包路由选择。
在这种情况下,攻击者130(Sniffer,IP地址:192.168.1.10,MAC地址:000112233445)为了进行ARP欺骗,向主机-A 110和主机-B 120发送包含有自己的MAC地址的ARP报文。所述ARP报文是ARP响应报文,例如攻击者130在ARP响应报文的发送IP中附加主机-B 120的IP,并在发送MAC地址中附加攻击者130的MAC地址而传送到主机-A 110。同样地,攻击者130在ARP响应报文的发送IP中附加主机-A 110的IP,并在发送MAC地址中附加攻击者130的MAC地址而传送到主机-B 120。
根据ARP协议的特性,网络内的各主机被构成为:即使在自己没有发送ARP请求报文的情况下仅收到ARP响应报文,也会更新自己的ARP缓存表。由此,主机-A 110和主机-B 120对应于所接收的ARP响应报文将自己的ARP缓存表更新为攻击者130的MAC地址,如图2所示。即,主机-A 110和主机-B 120分别将对方的MAC地址置换为攻击者130的MAC地址而存储到ARP缓存表中,此后主机-A 110和主机-B 120之间的所有流量通过L2交换机140被路由到攻击者130侧。换句话讲,攻击者130可利用ARP协议的漏洞偷看或者伪造主机-A 110和主机-B 120之间的数据包。
图3为用于检测如上所述的ARP欺骗攻击的、根据本发明的一个实施例的ARP欺骗攻击检测系统300的框图。如图所示,根据本发明的一个实施例的ARP欺骗攻击检测系统300包括接收模块302、数据包信息存储模块304、发送模块306和检测模块308。这种ARP欺骗攻击检测系统300可作为组成L2交换机的一个构成要素而包含于L2交换机,或者形成为与L2交换机相连而收发数据的独立的系统。即,本发明的ARP欺骗攻击检测系统300位于用于中转网络内的各主机之间的数据包的L2交换机端,以监视各主机之间收发的ARP数据包,当其中存在被判断为是ARP欺骗攻击数据包的数据包时,实时检测出该数据包而进行阻断。
接收模块302从网络上的其他构成要素(主机)接收ARP数据包,并判断所接收的ARP数据包是否为未经请求的ARP数据包。本发明中,未经请求的ARP数据包(unsolicited or gratuitous ARP packet)是指在之前不存在ARP请求数据包的情况下所传送的ARP响应数据包,一般指为了确认ARP缓存的更新或IP地址是否重复而传送到网络上的数据包。如前所述,这种未经请求的ARP数据包一般是为了更新ARP缓存或者防止IP地址重复而使用的,但是如结合图1和图2所述,其也能被恶意利用于ARP欺骗攻击,因此为了检测ARP欺骗攻击,接收模块302首先检测所接收的数据包是否为未经请求的ARP数据包。
接收模块302中对未经请求的ARP数据包的检测经历如下过程而实现:首先,当接收到ARP数据包时,接收模块302首先判断所接收的ARP数据包的种类,即判断该数据包是ARP请求数据包还是ARP响应数据包。这种数据包种类的辨别,只要确认ARP数据包报头的操作(Operation)字段便知,具体地若该字段值为1,则为请求数据包,若该字段值为2,则为响应数据包。
如果所接收的ARP数据包为ARP响应数据包,则接收模块302接着检索ARP事务表(ARP Transaction Table),以判断是否存在对应于该ARP响应数据包的ARP等待条目(ARP Pending Entry),如果不存在ARP等待条目,则将所接收的ARP数据包判断为未经请求的ARP数据包。
本发明中,ARP事务表是为了跟踪ARP事务而使用的数据存储区。如果网络内的特定主机发送ARP请求数据包,则后述的数据包信息存储模块304将对应于所述ARP请求数据包的ARP等待条目生成在所述ARP事务表中,并且如果从接收所述ARP请求数据包的网络内的其他主机接收到ARP响应数据包,则删除所生成的所述ARP等待条目。即,ARP事务表是在存在ARP请求时生成,并在接收到与之对应的ARP响应时被删除,利用该ARP事务表可以确认当前有何种ARP请求正在等待响应。并且,如果接收到在所述ARP事务表中不存在对应条目的ARP响应数据包,则表示不存在之前请求该ARP响应的主机,此时可确认该ARP响应数据包是未经请求的ARP数据包。
数据包信息存储模块304是用于管理如上所述的ARP事务表的模块。首先,当判断出接收模块302所接收的ARP数据包为ARP请求数据包时,数据包信息存储模块304在所述ARP事务表内生成对应于所接收的ARP数据包的ARP等待条目。所述ARP等待条目中可包含所述ARP请求数据包的发送IP地址、MAC地址以及请求MAC地址的接收侧的IP地址信息。
并且,当接收模块302所接收的ARP数据包为未经请求的ARP数据包时,数据包信息存储模块304在ARP事务表中生成对应于未经请求的ARP数据包的ARP等待条目。并且,于这种情况下在所生成的ARP等待条目中附加包含所述未经请求的ARP数据包的输入端口信息(即,关于从哪个主机传送了所述未经请求的数据包的信息)在内的未经请求的ARP数据包信息以进行存储。所述信息用于在后述的检测模块308中检测所接收的未经请求的ARP数据包是否为ARP欺骗攻击数据包。
当接收模块302所接收的ARP数据包为未经请求的ARP数据包时,发送模块306生成请求所接收的未经请求的ARP数据包的发送IP地址的MAC地址的ARP请求数据包,并散布(Broadcast)所生成的ARP请求数据包。所述ARP请求数据包用于判断已接收的未经请求的ARP数据包是ARP欺骗攻击数据包还是正常数据包。由此,相当于所述被散布的ARP请求数据包的接收IP地址(这与所述未经请求的ARP数据包的发送IP地址相同)的主机根据所述ARP请求数据包生成并发送ARP响应数据包,所发送的所述ARP响应数据包重新被ARP欺骗攻击检测系统300接收。
当接收到与所述发送模块306所散布的ARP请求数据包对应的新的ARP响应数据包时,检测模块308判断所接收的ARP响应数据包的输入端口和存储在ARP等待条目中的未经请求的ARP数据包的输入端口是否一致,若不一致,则判断为发生了ARP欺骗攻击。如果当初接收的未经请求的ARP数据包为正常数据包(即,是从实际具有该IP的主机发送出来的数据包),则未经请求的ARP数据包的接收端口和之后接收的ARP响应数据包的接收端口将相同。但是,如果所述未经请求的ARP数据包不是从正常的主机发送出来的,而是由攻击者发送的,则两个数据包的接收端口会不同(未经请求的ARP数据包是从攻击者流入的,之后的ARP响应数据包是从正常的主机流入的,因此两个数据包的流入路径互不相同),因此检测模块308可通过判断两个数据包的接收端口是否相同来检测ARP欺骗攻击。
检测模块308中的如上所述的比较操作只在对应于所接收的ARP响应数据包的ARP事务表内的ARP等待条目中附加有未经请求的ARP数据包的信息时才进行。如果对应于所接收的ARP响应数据包的ARP事务表中存在ARP等待条目,但是该等待条目中没有附加有未经请求的ARP数据包的信息时,由于该条目是由正常的ARP请求数据包所生成的,因此此时检测模块308从ARP事务表中删除对应于所接收的ARP响应数据包的ARP等待条目,并将所接收的ARP数据包传送到目的地。
图4为表示根据本发明的一个实施例的ARP欺骗攻击检测系统300中的ARP欺骗攻击检测方法400的流程图。
首先,当接收到ARP数据包时(402),首先判断所接收的ARP数据包是否为未经请求(unsolicited or gratuitous)的ARP数据包。具体地,首先判断所接收的ARP数据包的种类(404),当所接收的ARP数据包为ARP请求报文时,在ARP事务表中生成对应于所接收的ARP数据包的ARP等待条目(406),并将所接收的ARP数据包传送到目的地(408)。
如果所述404步骤的判断结果为所接收的ARP数据包是ARP响应报文,则接着判断是否存在与之对应的ARP等待条目(410)。此时,如果不存在对应的ARP等待条目,则所接收的所述ARP数据包属于未经请求的ARP数据包,因此数据包信息存储模块304在ARP事务表中生成对应于未经请求的ARP数据包的ARP等待条目(412),并在所生成的ARP等待条目中附加包含未经请求的ARP数据包的输入端口信息在内的未经请求的ARP数据包信息(414)。而且,发送模块306生成请求所接收的未经请求的ARP数据包的发送IP地址的MAC地址的ARP请求数据包(416),并散布(Broadcast)所生成的所述ARP请求数据包(418)。
另一方面,如果所述410步骤的判断结果为存在对应的ARP等待条目,则判断该ARP等待条目中是否存在附加的未经请求的ARP数据包的信息(420)。如果存在附加的未经请求的ARP数据包的信息,则所接收的ARP报文是作为针对所述418步骤中所散布的ARP请求数据包的响应而接收的,因此此时检测模块308判断所接收的ARP响应数据包的输入端口和ARP等待条目中存储的未经请求的ARP数据包的输入端口是否一致(422),如果不一致,则判断为有非正常ARP数据包流入(即,判断为发生了ARP欺骗攻击)而阻断(drop)该数据包或向管理员传送警告讯息(424)。
另一方面,如果所述420步骤的判断结果为对应等待条目中不存在未经请求的ARP数据包的信息,则从ARP事务表中删除该ARP等待条目(426),并将在402步骤接收的ARP数据包传送到目的地(428)。
另一方面,本发明的实施例可包括计算机可读记录介质,该计算机可读记录介质包含用于在计算机上执行本说明书所描述的方法的程序。所述计算机可读记录介质可以包含单独或组合的程序指令、本地数据文件、本地数据结构等。所述介质既可以是针对本发明特别设计和组成的,也可以是为计算机软件领域具有一般知识的人员所公知而可以使用的。作为计算机可读记录介质的具体示例包含诸如硬盘、软盘及磁带等磁性介质,CD-ROM、DVD等光记录介质,光磁软盘(Floptical Disk)等磁光介质(Magneto-Optical Media),及ROM、RAM、闪存等为了存储并执行程序指令而特别构成的硬件装置。作为程序指令的例子,不仅包括例如由编译器产生的机器语言代码,而且还包括可使用解释器(interpreter)等由计算机执行的高级语言代码。
以上,通过代表性实施例对本发明作了详细说明,但是在本发明所属技术领域具有一般知识的人员应当会理解到对于上述实施例可以在不脱离本发明范畴的范围内进行各种变形。
因此,本发明的权利范围不应局限于所说明的实施例来确定,而应该根据权利要求书中的范围以及与该范围等同的内容来加以确定。
Claims (13)
1.一种ARP欺骗攻击检测系统,包括:
接收模块,用于接收ARP数据包,并判断所接收的所述ARP数据包是否为未经请求的ARP数据包;
发送模块,当所接收的所述ARP数据包被判断为是未经请求的ARP数据包时,生成与所接收的所述未经请求的ARP数据包对应的ARP请求数据包,并散布所生成的所述ARP请求数据包;以及
检测模块,当接收到与所散布的所述ARP请求数据包对应的ARP响应数据包时,判断所接收的所述ARP响应数据包的输入端口和所述未经请求的ARP数据包的输入端口是否一致,若不一致,则判断为发生了ARP欺骗攻击。
2.根据权利要求1所述的ARP欺骗攻击检测系统,其中,所述ARP请求数据包是用于请求与所接收的所述未经请求的ARP数据包的发送IP地址对应的MAC地址的数据包。
3.根据权利要求1所述的ARP欺骗攻击检测系统,其中,该ARP欺骗攻击检测系统还包括数据包信息存储模块,用于当所述接收模块所接收的所述ARP数据包被判断为是未经请求的ARP数据包时,在ARP事务表中生成对应于所述未经请求的ARP数据包的ARP等待条目,并在所生成的所述ARP等待条目中附加包含所述未经请求的ARP数据包的输入端口信息的所述未经请求的ARP数据包的信息。
4.根据权利要求3所述的ARP欺骗攻击检测系统,其中,当所接收的所述ARP数据包为ARP响应报文,并且所述ARP事务表中不存在对应于所述ARP响应报文的ARP等待条目时,所述接收模块将所述ARP数据包判断为未经请求的ARP数据包。
5.根据权利要求3所述的ARP欺骗攻击检测系统,其中,所述检测模块判断对应于所接收的所述ARP响应数据包的ARP事务表内的ARP等待条目中是否包含未经请求的ARP数据包的信息,且当包含未经请求的ARP数据包的信息时,判断所接收的所述ARP响应数据包的输入端口和包含在所述ARP等待条目中的所述未经请求的ARP数据包的输入端口是否一致。
6.根据权利要求3所述的ARP欺骗攻击检测系统,其中,当对应于所接收的所述ARP响应数据包的ARP事务表内的ARP等待条目中不存在所述未经请求的ARP数据包的输入端口信息时,所述检测模块从所述ARP事务表中删除对应于所接收的所述ARP响应数据包的ARP等待条目,并将所述接收模块所接收的所述ARP数据包传送到目的地。
7.一种用于在ARP欺骗攻击检测系统中检测ARP欺骗攻击的方法,包括:
第一步骤,由所述检测系统接收ARP数据包,并判断所接收的所述ARP数据包是否为未经请求的ARP数据包;
第二步骤,当所接收的所述ARP数据包被判断为是未经请求的ARP数据包时,由所述检测系统生成与所接收的所述未经请求的ARP数据包对应的ARP请求数据包,并散布所生成的所述ARP请求数据包;
第三步骤,由所述检测系统接收与所散布的所述ARP请求数据包对应的ARP响应数据包;以及
第四步骤,由所述检测系统判断所接收的所述ARP响应数据包的输入端口和所述未经请求的ARP数据包的输入端口是否一致,若不一致,则判断为发生了ARP欺骗攻击。
8.根据权利要求7所述的ARP欺骗攻击检测方法,其中,所述第二步骤中所生成的所述ARP请求数据包是用于请求与所述第一步骤所接收的所述未经请求的ARP数据包的发送IP地址对应的MAC地址的数据包。
9.根据权利要求7所述的ARP欺骗攻击检测方法,其中,在执行所述第一步骤之后及执行所述第二步骤之前,还包含如下步骤:当所接收的所述ARP数据包被判断为是未经请求的ARP数据包时,由所述检测系统在ARP事务表中生成对应于所述未经请求的ARP数据包的ARP等待条目,并在所生成的所述ARP等待条目中附加包含所述未经请求的ARP数据包的输入端口信息的所述未经请求的ARP数据包的信息。
10.根据权利要求9所述的ARP欺骗攻击检测方法,其中,
所述第一步骤还包括如下步骤:
由所述检测系统接收ARP数据包,并判断所接收的ARP数据包的种类;
判断所述种类的结果为所接收的所述ARP数据包为ARP响应报文时,判断所述ARP事务表中是否存在对应于所述ARP响应报文的ARP等待条目,
而且,当所述ARP事务表中不存在对应于所述ARP响应报文的ARP等待条目时,将所述ARP数据包判断为未经请求的ARP数据包。
11.根据权利要求10所述的ARP欺骗攻击检测方法,其中,当判断所述ARP数据包的种类的结果为所接收的所述ARP数据包是ARP请求报文时,所述检测系统在所述ARP事务表中生成对应于所接收的所述ARP请求报文的ARP等待条目。
12.根据权利要求9所述的ARP欺骗攻击检测方法,其中,
所述第四步骤还包括如下步骤:
在所述ARP事务表中检索对应于所接收的所述ARP响应数据包的ARP等待条目;
判断检索到的ARP等待条目中是否存在未经请求的ARP数据包的信息;
当判断的结果为所检索到的所述ARP等待条目中存在所述未经请求的ARP数据包的输入端口信息时,判断所接收的所述ARP响应数据包的输入端口和所述未经请求的ARP数据包的输入端口是否一致。
13.根据权利要求12所述的ARP欺骗攻击检测方法,其中,当判断的结果为不存在所述未经请求的ARP数据包的输入端口信息时,所述检测系统从所述ARP事务表中删除所检索到的所述ARP等待条目,并将所述第一步骤中所接收的所述ARP数据包传送到目的地。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020110111562A KR101270041B1 (ko) | 2011-10-28 | 2011-10-28 | Arp 스푸핑 공격 탐지 시스템 및 방법 |
KR10-2011-0111562 | 2011-10-28 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103095675A true CN103095675A (zh) | 2013-05-08 |
CN103095675B CN103095675B (zh) | 2016-05-25 |
Family
ID=48173894
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210417103.9A Active CN103095675B (zh) | 2011-10-28 | 2012-10-26 | Arp欺骗攻击检测系统及方法 |
Country Status (3)
Country | Link |
---|---|
US (2) | US8782789B2 (zh) |
KR (1) | KR101270041B1 (zh) |
CN (1) | CN103095675B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104735080A (zh) * | 2015-04-03 | 2015-06-24 | 山东华软金盾软件有限公司 | 一种服务器ip保护方法和系统 |
CN110741604A (zh) * | 2017-06-23 | 2020-01-31 | 住友电气工业株式会社 | 车载通信装置、通信控制方法和通信控制程序 |
CN113014530A (zh) * | 2019-12-19 | 2021-06-22 | 中国航发上海商用航空发动机制造有限责任公司 | Arp欺骗攻击防范方法及系统 |
CN115208606A (zh) * | 2022-03-28 | 2022-10-18 | 深圳铸泰科技有限公司 | 一种网络安全防范的实现方法、系统及存储介质 |
Families Citing this family (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10469556B2 (en) | 2007-05-31 | 2019-11-05 | Ooma, Inc. | System and method for providing audio cues in operation of a VoIP service |
WO2012077603A1 (ja) * | 2010-12-09 | 2012-06-14 | 日本電気株式会社 | コンピュータシステム、コントローラ、及びネットワーク監視方法 |
KR101231975B1 (ko) * | 2011-05-12 | 2013-02-08 | (주)이스트소프트 | 차단서버를 이용한 스푸핑 공격 방어방법 |
US9386148B2 (en) | 2013-09-23 | 2016-07-05 | Ooma, Inc. | Identifying and filtering incoming telephone calls to enhance privacy |
PL2890072T3 (pl) * | 2013-12-30 | 2016-11-30 | Sposób rozpoznawania ataku Denial of Service w sieci komunikacyjnej | |
US9282115B1 (en) * | 2014-01-03 | 2016-03-08 | Juniper Networks, Inc. | Systems and methods for detecting cache-poisoning attacks in networks using service discovery protocols |
KR101517328B1 (ko) * | 2014-02-18 | 2015-05-04 | 한양대학교 에리카산학협력단 | Arp 스푸핑 탐지 장치 및 탐지 방법 |
TWI506472B (zh) * | 2014-03-12 | 2015-11-01 | Hon Hai Prec Ind Co Ltd | 網路設備及其防止位址解析協定報文攻擊的方法 |
US9633547B2 (en) | 2014-05-20 | 2017-04-25 | Ooma, Inc. | Security monitoring and control |
US10553098B2 (en) | 2014-05-20 | 2020-02-04 | Ooma, Inc. | Appliance device integration with alarm systems |
US10769931B2 (en) | 2014-05-20 | 2020-09-08 | Ooma, Inc. | Network jamming detection and remediation |
US11330100B2 (en) | 2014-07-09 | 2022-05-10 | Ooma, Inc. | Server based intelligent personal assistant services |
JP2016158011A (ja) * | 2015-02-23 | 2016-09-01 | ルネサスエレクトロニクス株式会社 | 配信制御装置、データ配信システム、配信制御方法及びプログラム |
US10911368B2 (en) * | 2015-05-08 | 2021-02-02 | Ooma, Inc. | Gateway address spoofing for alternate network utilization |
US11171875B2 (en) | 2015-05-08 | 2021-11-09 | Ooma, Inc. | Systems and methods of communications network failure detection and remediation utilizing link probes |
US10771396B2 (en) | 2015-05-08 | 2020-09-08 | Ooma, Inc. | Communications network failure detection and remediation |
US10009286B2 (en) | 2015-05-08 | 2018-06-26 | Ooma, Inc. | Communications hub |
CN105142150A (zh) * | 2015-08-28 | 2015-12-09 | 广东电网有限责任公司信息中心 | 一种基于bs模式的无线设备漏洞扫描方法及系统 |
CN106130985B (zh) * | 2016-06-24 | 2019-09-06 | 新华三技术有限公司 | 一种报文处理方法及装置 |
US10320838B2 (en) | 2016-07-20 | 2019-06-11 | Cisco Technology, Inc. | Technologies for preventing man-in-the-middle attacks in software defined networks |
CN107786499A (zh) * | 2016-08-25 | 2018-03-09 | 大连楼兰科技股份有限公司 | 针对arp网关欺骗攻击的预警方法及装置 |
CN106790010B (zh) * | 2016-12-13 | 2019-08-27 | 北京金山安全软件有限公司 | 基于Android系统的ARP攻击检测方法、装置及系统 |
US10326794B2 (en) | 2016-12-21 | 2019-06-18 | Verisign, Inc. | Anycast-based spoofed traffic detection and mitigation |
CN109314707A (zh) * | 2017-04-06 | 2019-02-05 | 诺防网络科技有限公司 | 在物联网(IoT)网络上的ARP欺骗防止系统 |
CN108430063B (zh) * | 2018-04-13 | 2021-11-19 | 上海尚往网络科技有限公司 | 一种用于监测无线局域网中arp欺骗的方法与设备 |
CN111526108B (zh) * | 2019-02-01 | 2021-08-20 | 华为技术有限公司 | 防止网络攻击的方法与装置 |
CN109951459A (zh) * | 2019-03-06 | 2019-06-28 | 山东信天辰信息安全技术有限公司 | 一种基于局域网的arp欺骗攻击检测方法 |
CN110022303B (zh) * | 2019-03-07 | 2021-11-16 | 北京华安普特网络科技有限公司 | Arp双向防御系统及方法 |
US11277442B2 (en) * | 2019-04-05 | 2022-03-15 | Cisco Technology, Inc. | Verifying the trust-worthiness of ARP senders and receivers using attestation-based methods |
CN111541721B (zh) * | 2020-05-21 | 2022-05-27 | 四川英得赛克科技有限公司 | 应用于工业控制环境的攻击监测方法、系统 |
CN112165483B (zh) * | 2020-09-24 | 2022-09-09 | Oppo(重庆)智能科技有限公司 | 一种arp攻击防御方法、装置、设备及存储介质 |
CN114338593B (zh) * | 2021-12-23 | 2023-07-04 | 上海观安信息技术股份有限公司 | 利用地址解析协议进行网络扫描的行为检测方法及装置 |
CN116723059B (zh) * | 2023-08-10 | 2023-10-20 | 湖南润科通信科技有限公司 | 一种针对网络信息的安全分析系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1682516A (zh) * | 2002-09-16 | 2005-10-12 | 思科技术公司 | 用于防止网络地址盗用的方法和装置 |
CN101094236A (zh) * | 2007-07-20 | 2007-12-26 | 华为技术有限公司 | 地址解析协议报文处理方法及通讯系统及转发平面处理器 |
CN101202742A (zh) * | 2006-12-13 | 2008-06-18 | 中兴通讯股份有限公司 | 一种防止拒绝服务攻击的方法和系统 |
US7490351B1 (en) * | 2003-03-12 | 2009-02-10 | Occam Networks | Controlling ARP traffic to enhance network security and scalability in TCP/IP networks |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101099083B1 (ko) | 2006-03-13 | 2011-12-26 | (주)닥터소프트 | 네트워크 자원 관리 시스템 및 그 관리 방법 |
KR100807933B1 (ko) * | 2006-11-28 | 2008-03-03 | 엘지노텔 주식회사 | 에이알피 스푸핑 감지 시스템 및 감지 방법과 그 방법이저장된 컴퓨터 판독가능 저장매체 |
-
2011
- 2011-10-28 KR KR1020110111562A patent/KR101270041B1/ko active IP Right Grant
-
2012
- 2012-10-25 US US13/660,485 patent/US8782789B2/en active Active
- 2012-10-26 CN CN201210417103.9A patent/CN103095675B/zh active Active
-
2014
- 2014-05-30 US US14/291,744 patent/US9083716B1/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1682516A (zh) * | 2002-09-16 | 2005-10-12 | 思科技术公司 | 用于防止网络地址盗用的方法和装置 |
US7490351B1 (en) * | 2003-03-12 | 2009-02-10 | Occam Networks | Controlling ARP traffic to enhance network security and scalability in TCP/IP networks |
CN101202742A (zh) * | 2006-12-13 | 2008-06-18 | 中兴通讯股份有限公司 | 一种防止拒绝服务攻击的方法和系统 |
CN101094236A (zh) * | 2007-07-20 | 2007-12-26 | 华为技术有限公司 | 地址解析协议报文处理方法及通讯系统及转发平面处理器 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104735080A (zh) * | 2015-04-03 | 2015-06-24 | 山东华软金盾软件有限公司 | 一种服务器ip保护方法和系统 |
CN104735080B (zh) * | 2015-04-03 | 2017-12-08 | 山东华软金盾软件股份有限公司 | 一种服务器ip保护方法和系统 |
CN110741604A (zh) * | 2017-06-23 | 2020-01-31 | 住友电气工业株式会社 | 车载通信装置、通信控制方法和通信控制程序 |
CN110741604B (zh) * | 2017-06-23 | 2021-12-17 | 住友电气工业株式会社 | 车载通信装置、通信控制方法和记录介质 |
CN113014530A (zh) * | 2019-12-19 | 2021-06-22 | 中国航发上海商用航空发动机制造有限责任公司 | Arp欺骗攻击防范方法及系统 |
CN113014530B (zh) * | 2019-12-19 | 2023-06-13 | 中国航发上海商用航空发动机制造有限责任公司 | Arp欺骗攻击防范方法及系统 |
CN115208606A (zh) * | 2022-03-28 | 2022-10-18 | 深圳铸泰科技有限公司 | 一种网络安全防范的实现方法、系统及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
KR20130046895A (ko) | 2013-05-08 |
US20130111589A1 (en) | 2013-05-02 |
US9083716B1 (en) | 2015-07-14 |
US20150188942A1 (en) | 2015-07-02 |
CN103095675B (zh) | 2016-05-25 |
KR101270041B1 (ko) | 2013-05-31 |
US8782789B2 (en) | 2014-07-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103095675A (zh) | Arp欺骗攻击检测系统及方法 | |
US10673874B2 (en) | Method, apparatus, and device for detecting e-mail attack | |
EP2502398B1 (en) | Detecting malicious behaviour on a network | |
CN103607399B (zh) | 基于暗网的专用ip网络安全监测系统及方法 | |
US7818786B2 (en) | Apparatus and method for managing session state | |
CN101299724B (zh) | 流量清洗的方法、系统和设备 | |
CN101626368A (zh) | 一种防止网页被篡改的设备、方法和系统 | |
CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
KR20120099572A (ko) | 실시간 스팸 탐색 시스템 | |
Pras et al. | Attacks by “Anonymous‿ WikiLeaks Proponents not Anonymous | |
JP4179300B2 (ja) | ネットワーク管理方法および装置並びに管理プログラム | |
CN102655509B (zh) | 一种网络攻击识别方法及装置 | |
CN101656638B (zh) | 面向误配置的域间前缀劫持检测方法 | |
CN111683162B (zh) | 一种基于流量识别的ip地址管理方法 | |
CN106487807A (zh) | 一种域名解析的防护方法和装置 | |
CN104410642B (zh) | 基于arp协议的设备接入感知方法 | |
US20040243843A1 (en) | Content server defending system | |
CN111031077B (zh) | 一种流量清洗方法、流量清洗系统和设备 | |
CN102118313A (zh) | Ip地址探测的方法及设备 | |
JP3483782B2 (ja) | 電子データの追跡システム及びデータ中継装置 | |
JP3495030B2 (ja) | 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム | |
KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
CN108769055A (zh) | 一种虚假源ip检测方法及装置 | |
KR20110040152A (ko) | 공격자 패킷 역추적 방법 및 이를 위한 시스템 | |
CN105025028A (zh) | 基于流量分析的ip黑洞发现方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |