CN103701818A - 无线控制器系统arp攻击集中检测及防御方法 - Google Patents
无线控制器系统arp攻击集中检测及防御方法 Download PDFInfo
- Publication number
- CN103701818A CN103701818A CN201310742294.0A CN201310742294A CN103701818A CN 103701818 A CN103701818 A CN 103701818A CN 201310742294 A CN201310742294 A CN 201310742294A CN 103701818 A CN103701818 A CN 103701818A
- Authority
- CN
- China
- Prior art keywords
- arp
- attack
- wireless
- message
- wireless controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种无线控制器系统ARP攻击集中检测及防御方法,该方法包括步骤S01:将所有关联到所述无线接入点设备AP上的无线终端STA的流量数据均由无线接入点设备AP经由CAPWAP传输隧道发送至无线控制器AC,并在该无线控制器AC中进行ARP报文合法性的检测及处理;步骤S02:对合法的数据由无线控制器设备AC根据网络拓扑进行转发。本发明在无线控制器上动态实时监测ARP报文,只有合法的ARP报文才进行处理及转发,在AC设备上直接切断ARP攻击源,避免攻击报文在无线局域网中传播,保证无线局域网内的其他设备收到ARP报文的合法性,从而实现集中防御ARP攻击,保障无线局域网安全的目的。
Description
技术领域
本发明涉及网络安全技术领域,特别是一种无线控制器系统ARP攻击集中检测及防御方法。
背景技术
随着WLAN 技术的飞速发展,特别是瘦AP无线架构组网应用的成熟,越来越多的企业、单位及公共场所开始使用无线网络进行组网应用。随着WLAN网络应用规模的扩大,无线网络的安全性也变得越来越重要。其中ARP攻击问题便是无线网络的一个重要隐患。如图1所示,图1是瘦AP无线网络架构图,图中,瘦AP无线局域网中的主要设备类型,包括无线控制器(AC)、无线接入点(AP)、无线终端(STA)、路由器设备(router)。
ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可造成网络上特定终端用户或者所有终端用户无法正常使用网络。其攻击原理为,攻击者通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中,局域网中若有一个终端用户发起ARP攻击,就有可能造成整个局域网络通信中断。
目前ARP防范措施很多,但这些防范措施主要是在有线网络的使用过程中提出的,主要考虑的是有线网络的组网应用,且很多防范措施存在如下一些缺点:1、防范能力有限,不是最根本的方法;2、对网络管理约束大,需要用户终端参与,不方便实用,操作性差;3、存在负面作用,有可能影响网络功能的正常使用。
发明内容
有鉴于此,本发明结合目前主要使用的瘦AP无线架构的特点,提出了一种ARP攻击集中检测和防御的方法,能从根本上解决无线局域网的ARP欺骗及攻击问题。
本发明采用以下方案实现:一种无线控制器系统ARP攻击集中检测及防御方法,其特征在于包括以下步骤:
步骤S01:将所有关联到所述无线接入点设备AP上的无线终端STA的流量数据均由无线接入点设备AP经由CAPWAP传输隧道发送至无线控制器AC,并在该无线控制器AC中进行ARP报文合法性的检测及处理;
步骤S02:对合法的数据由无线控制器设备AC根据网络拓扑进行转发。
在本发明一实施例中,所述ARP报文合法性的检测及处理是由设置在无线控制器AC内的ARP检测模块和ARP防御模块实现;所述ARP攻击检测模块包括两个功能:一是ARP报文统计,用于判断是否存在ARP泛洪报文攻击;二是ARP报文IP\MAC信息的检查,用于判断是否存在ARP报文欺骗;所述ARP防御模块主要是接收ARP检测模块通告的攻击信息,根据不同的攻击用户及类型进行不同的处理。
在本发明一实施例中,所述ARP报文统计是针对每个端口分别进行统计和判断,且由于无线网络终端用户的流动性,报文攻击门限值根据此端口下的用户个数进行动态调整,避免误检的情况发生。
在本发明一实施例中,所述ARP IP\MAC信息检查是将收到的ARP报文的源IP、源MAC、VLAN ID以及物理端口信息与系统存储的合法用户表项进行对比;只有信息一致才认为报文合法,否则则认为受到ARP攻击进行防御处理。
在本发明一实施例中,所述根据不同的攻击用户及类型进行不同的处理包括:当攻击用户为无线终端用户STA时,该ARP防御模块会强制此STA下线,将攻击源从无线局域网内剔除;当攻击用户为有线侧用户时,则通过下发硬件ACL到用户连接的物理端口实现攻击源的隔离, 对于欺骗攻击用户,则通过ACL 匹配报文的源MAC地址,禁止报文进入AC设备软件转发层,对于ARP报文泛洪攻击,则通过ACL匹配ARP报文类型,禁止攻击端口再接收ARP报文。
本发明有如下有益效果:
1、防范能力强,可以彻底消除无线局域网的ARP攻击。
本发明的方法,在ARP攻击检测上,基于ARP协议本身,从ARP攻击原理上进行检测,同时基于软件转发特点,可以监控到无线局域网内的所有ARP报文,保证非法ARP报文无法在局域网内传播。
2、对网络管理约束小,操作方便。
本发明的方法,ARP的欺骗及防御措施全部在无线控制器上实现,不需要局域网内的AP和STA用户再进行ARP的欺骗防护,且不受局域网内组网变动的影响。
3、负面作用小,不影响网络功能的正常使用。
本发明的方法,在ARP防御上使用硬件ACL只针对攻击用户及端口的特定报文,不会对其他用户的网络使用产生任何影响。
附图说明
图1是本发明方法流程示意图。
图2是本发明实施例无线网络架构图。
图3是本发明实施例数据转发框图。其中,A为ARP报文;B为数据报文;C为ARP攻击报文。
图4是本发明实施例ARP检测和防御处理框图。
图5是本发明实施例ARP检测模块逻辑框图。
图6是本发明ARP检测流程图。
图7是ARP防御处理流程图。
具体实施方式
下面结合附图及实施例对本发明做进一步说明。
本发明的思路是在无线控制器上动态实时监测ARP报文,只有合法的ARP报文才进行处理及转发,在AC设备上直接切断ARP攻击源,避免攻击报文在无线局域网中传播,保证无线局域网内的其他设备收到ARP报文的合法性,从而实现集中防御ARP攻击,保障无线局域网安全的目的。
如图2所示,本发明提供一种无线控制器系统ARP攻击集中检测及防御方法,其特征在于包括以下步骤:
步骤S01:将所有关联到所述无线接入点设备AP上的无线终端STA的流量数据均由无线接入点设备AP经由CAPWAP传输隧道发送至无线控制器AC,并在该无线控制器AC中进行ARP报文合法性的检测及处理;
步骤S02:对合法的数据由无线控制器设备AC根据网络拓扑进行转发。
较佳的,所述ARP报文合法性的检测及处理是由设置在无线控制器AC内的ARP检测模块和ARP防御模块实现。
具体的,如图3所示,图3是瘦AP组网数据转发过程框图,STA数据由AP进行CAPWAP数据封装发往AC设备,AC设备内部软件转发模块会对ARP报文进行合法性检测,只有合法才进行转发,同时对其他报文正常转发,不影响正常数据的转发效率。当ARP检测模块检测到ARP攻击时,ARP检测模块将攻击信息发送给ARP防护模块,防护模块根据不同的攻击用户及类型进行不同的处理。当攻击用户为无线终端用户(STA)时,防护模块会强制此STA下线,将攻击源从无线局域网内剔除。 当攻击用户为有线侧用户时,若是攻击者地址信息固定的欺骗类攻击,则直接在有线口处屏蔽此用户,禁止此用户报文进到AC软件转发层; 若是攻击者地址信息变化的ARP报文泛洪类攻击则禁止发生攻击的端口接收ARP报文;总之防御的主要目的是在彻底切断攻击源的同时尽量减少对合法用户的影响。其处理框图如图4所示。
本实施例中,上述ARP检测模块在具体实现上包括如下两点,一是ARP报文统计,用于判断是否存在ARP泛洪报文攻击,当特定时间段内收到的ARP报文超过设定的报文攻击门限值时就认为发生了报文泛洪攻击;二是ARP报文IP\MAC等信息的检查,用于判断是否存在ARP报文欺骗。
其中,ARP报文统计部分针对每个端口分别进行统计和判断,且由于无线网络终端用户的流动性,报文攻击门限值根据此端口下的用户个数进行动态调整,避免误检的情况发生。ARP IP\MAC信息检查部分,将收到的ARP报文的源IP、源MAC、VLAN ID以及物理端口信息与系统存储的合法用户表项进行对比。只有信息一致才认为报文合法,否则则认为受到ARP攻击进行防御处理。
ARP检测内部逻辑框图如图5所示。其中系统存储的合法用户列表主要存储的用户为AP设备、STA设备、STA网关、AC网关,其中AP设备和STA设备的信息由DHCP SNOOPING模块进行实时更新和维护,静态用户信息由管理员配置静态用户时进行更新和维护,由于无线局域网中静态用户较少且不会频繁更新,此处不会对网络管理员的维护带来困难。STA网关和AC网关信息基本是固定的,由网络管理员直接配置生成,STA网关不受欺骗可以保证STA报文正确到达指定网关,一般情况下为AC设备自身,AC网关不受欺骗可以保证无线局域网出去的报文正确到达下一跳。ARP检测模块的软件流程图,如图6所示。
ARP防御功能的实现主要是接收ARP检测模块通告的攻击信息,做出合理的防御措施。若攻击者是无线终端用户,无论是用户欺骗攻击还是ARP报文泛洪攻击, 都通过无线用户管理模块强制STA用户下线,彻底将攻击源从无线局域网中剔除。若是有线侧用户,则通过下发硬件ACL到用户连接的物理端口实现攻击源的隔离, 对于欺骗攻击用户,则通过ACL 匹配报文的源MAC地址,禁止报文进入AC设备软件转发层,对于ARP报文泛洪攻击,则通过ACL匹配ARP报文类型,禁止攻击端口再接收ARP报文。通过硬件ACL实现ARP防御的优点是效率高,不占用AC设备CPU资源,同时可以做到不影响其他用户的正常使用。ARP防御的软件流程图,如图7所示。
以上所述仅为本发明的较佳实施例,凡依本发明申请专利范围所做的均等变化与修饰,皆应属本发明的涵盖范围。
Claims (5)
1.一种无线控制器系统ARP攻击集中检测及防御方法,其特征在于包括以下步骤:
步骤S01:将所有关联到所述无线接入点设备AP上的无线终端STA的流量数据均由无线接入点设备AP经由CAPWAP传输隧道发送至无线控制器AC,并在该无线控制器AC中进行ARP报文合法性的检测及处理;
步骤S02:对合法的数据由无线控制器设备AC根据网络拓扑进行转发。
2.根据权利要求1所述的无线控制器系统ARP攻击集中检测及防御方法,其特征在于:所述ARP报文合法性的检测及处理是由设置在无线控制器AC内的ARP检测模块和ARP防御模块实现;所述ARP攻击检测模块包括两个功能:一是ARP报文统计,用于判断是否存在ARP泛洪报文攻击;二是ARP报文IP\MAC信息的检查,用于判断是否存在ARP报文欺骗;所述ARP防御模块主要是接收ARP检测模块通告的攻击信息,根据不同的攻击用户及类型进行不同的处理。
3.根据权利要求2所述的无线控制器系统ARP攻击集中检测及防御方法,其特征在于:所述ARP报文统计是针对每个端口分别进行统计和判断,且由于无线网络终端用户的流动性,报文攻击门限值根据此端口下的用户个数进行动态调整,避免误检的情况发生。
4.根据权利要求2所述的无线控制器系统ARP攻击集中检测及防御方法,其特征在于:所述ARP IP\MAC信息检查是将收到的ARP报文的源IP、源MAC、VLAN ID以及物理端口信息与系统存储的合法用户表项进行对比;只有信息一致才认为报文合法,否则则认为受到ARP攻击进行防御处理。
5.根据权利要求2所述的无线控制器系统ARP攻击集中检测及防御方法,其特征在于:所述根据不同的攻击用户及类型进行不同的处理包括:当攻击用户为无线终端用户STA时,该ARP防御模块会强制此STA下线,将攻击源从无线局域网内剔除;当攻击用户为有线侧用户时,则通过下发硬件ACL到用户连接的物理端口实现攻击源的隔离, 对于欺骗攻击用户,则通过ACL 匹配报文的源MAC地址,禁止报文进入AC设备软件转发层,对于ARP报文泛洪攻击,则通过ACL匹配ARP报文类型,禁止攻击端口再接收ARP报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310742294.0A CN103701818A (zh) | 2013-12-30 | 2013-12-30 | 无线控制器系统arp攻击集中检测及防御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310742294.0A CN103701818A (zh) | 2013-12-30 | 2013-12-30 | 无线控制器系统arp攻击集中检测及防御方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103701818A true CN103701818A (zh) | 2014-04-02 |
Family
ID=50363214
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310742294.0A Pending CN103701818A (zh) | 2013-12-30 | 2013-12-30 | 无线控制器系统arp攻击集中检测及防御方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103701818A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105141485A (zh) * | 2015-10-14 | 2015-12-09 | 上海斐讯数据通信技术有限公司 | 一种避免arp干扰的网络通信测试方法及系统 |
| CN105610852A (zh) * | 2016-01-15 | 2016-05-25 | 腾讯科技(深圳)有限公司 | 处理ack洪泛攻击的方法和装置 |
| CN106027551A (zh) * | 2016-06-30 | 2016-10-12 | 大连楼兰科技股份有限公司 | 网络泛洪攻击的检测、存储及显示系统及方法 |
| CN106027549A (zh) * | 2016-06-30 | 2016-10-12 | 大连楼兰科技股份有限公司 | 局域网内的arp泛洪攻击的预警方法及装置 |
| CN106792684A (zh) * | 2016-12-13 | 2017-05-31 | 国家电网公司信息通信分公司 | 一种多重防护的无线网络安全防护系统及防护方法 |
| CN107204889A (zh) * | 2016-03-16 | 2017-09-26 | 佛山市顺德区顺达电脑厂有限公司 | 服务器的封包过滤方法及基板管理控制器 |
| CN107295020A (zh) * | 2017-08-16 | 2017-10-24 | 北京新网数码信息技术有限公司 | 一种地址解析协议攻击的处理方法及装置 |
| CN107294989A (zh) * | 2017-07-04 | 2017-10-24 | 杭州迪普科技股份有限公司 | 一种防arp网关欺骗的方法及装置 |
| CN111741473A (zh) * | 2020-05-15 | 2020-10-02 | 深圳市华成峰科技有限公司 | 无线覆盖及网络安全的控制方法及装置 |
| CN112839015A (zh) * | 2019-11-25 | 2021-05-25 | 杭州萤石软件有限公司 | 攻击Mesh节点检测方法、装置及系统 |
-
2013
- 2013-12-30 CN CN201310742294.0A patent/CN103701818A/zh active Pending
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105141485A (zh) * | 2015-10-14 | 2015-12-09 | 上海斐讯数据通信技术有限公司 | 一种避免arp干扰的网络通信测试方法及系统 |
| CN105610852A (zh) * | 2016-01-15 | 2016-05-25 | 腾讯科技(深圳)有限公司 | 处理ack洪泛攻击的方法和装置 |
| CN107204889A (zh) * | 2016-03-16 | 2017-09-26 | 佛山市顺德区顺达电脑厂有限公司 | 服务器的封包过滤方法及基板管理控制器 |
| CN106027551A (zh) * | 2016-06-30 | 2016-10-12 | 大连楼兰科技股份有限公司 | 网络泛洪攻击的检测、存储及显示系统及方法 |
| CN106027549A (zh) * | 2016-06-30 | 2016-10-12 | 大连楼兰科技股份有限公司 | 局域网内的arp泛洪攻击的预警方法及装置 |
| CN106792684B (zh) * | 2016-12-13 | 2020-04-14 | 国家电网有限公司信息通信分公司 | 一种多重防护的无线网络安全防护系统及防护方法 |
| CN106792684A (zh) * | 2016-12-13 | 2017-05-31 | 国家电网公司信息通信分公司 | 一种多重防护的无线网络安全防护系统及防护方法 |
| CN107294989A (zh) * | 2017-07-04 | 2017-10-24 | 杭州迪普科技股份有限公司 | 一种防arp网关欺骗的方法及装置 |
| CN107294989B (zh) * | 2017-07-04 | 2020-02-11 | 杭州迪普科技股份有限公司 | 一种防arp网关欺骗的方法及装置 |
| CN107295020A (zh) * | 2017-08-16 | 2017-10-24 | 北京新网数码信息技术有限公司 | 一种地址解析协议攻击的处理方法及装置 |
| CN112839015A (zh) * | 2019-11-25 | 2021-05-25 | 杭州萤石软件有限公司 | 攻击Mesh节点检测方法、装置及系统 |
| CN111741473A (zh) * | 2020-05-15 | 2020-10-02 | 深圳市华成峰科技有限公司 | 无线覆盖及网络安全的控制方法及装置 |
| CN111741473B (zh) * | 2020-05-15 | 2023-04-18 | 深圳市华成峰科技有限公司 | 无线覆盖及网络安全的控制方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103701818A (zh) | 无线控制器系统arp攻击集中检测及防御方法 | |
| CN108063765B (zh) | 适于解决网络安全的sdn系统 | |
| US8879388B2 (en) | Method and system for intrusion detection and prevention based on packet type recognition in a network | |
| US8437352B2 (en) | Method and system for power control based on application awareness in a packet network switch | |
| US20060256729A1 (en) | Method and apparatus for identifying and disabling worms in communication networks | |
| WO2008090531A2 (en) | A containment mechanism for potentially contaminated end systems | |
| US20070280238A1 (en) | Method and system for passive loop detection and prevention in a packet network switch | |
| CN105262738A (zh) | 一种路由器及其防arp攻击的方法 | |
| CN105337890B (zh) | 一种控制策略生成方法以及装置 | |
| Aung et al. | Detection and mitigation of wireless link layer attacks | |
| CN104883360A (zh) | 一种arp欺骗的细粒度检测方法及系统 | |
| CN104184708A (zh) | Evi网络中抑制mac地址攻击的方法及边缘设备ed | |
| KR101209214B1 (ko) | 세션 상태 추적을 통한 서비스 거부 공격 방어 장치 및 방법 | |
| CN106027491A (zh) | 基于隔离ip地址的独立链路式通信处理方法和系统 | |
| Kaur | Mac layer management frame denial of service attacks | |
| CN116800468A (zh) | 一种用于DDoS攻击的检测与防御方法及装置 | |
| CN111431768B (zh) | 一种端口自环检测和保护的方法 | |
| Persia et al. | Study of thwarting DoS attacks by detecting MAC spoof in WLAN infrastructure networks | |
| Chatterjee | Design and development of a framework to mitigate dos/ddos attacks using iptables firewall | |
| CN109088896A (zh) | 一种基于物联网的互联网DDoS防御系统的工作方法 | |
| Liu et al. | Research of the ARP spoofing principle and a defensive algorithm | |
| Trang et al. | A distributed intrusion detection system for AODV | |
| Guo et al. | Research on Wireless Data Security Protection System of Campus Students Under Computer Application | |
| CN101197830A (zh) | 上报式防攻击信息通讯网络安全防御方法及防御系统 | |
| Durairaj et al. | ThreV-An Efficacious Algorithm to Thwart MAC Spoof DoS Attack in Wireless Local Area Infrastructure Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20151229 Address after: No. 7 building two Wufeng Street software Avenue Gulou District of Fuzhou city in Fujian province 350000 No. 89 Software Industrial Park Applicant after: FUJIAN SUNNADA COMMUNICATION CO., LTD. Address before: 350003 Fujian city of Fuzhou Province Copper Road Software Park base in B District 7 Applicant before: Fujian Sunnada Communication Co., Ltd. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140402 |