CN104363243A - 一种防网关欺骗的方法及装置 - Google Patents
一种防网关欺骗的方法及装置 Download PDFInfo
- Publication number
- CN104363243A CN104363243A CN201410704705.1A CN201410704705A CN104363243A CN 104363243 A CN104363243 A CN 104363243A CN 201410704705 A CN201410704705 A CN 201410704705A CN 104363243 A CN104363243 A CN 104363243A
- Authority
- CN
- China
- Prior art keywords
- gateway
- address
- setting
- deception
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种防网关欺骗的方法及装置,该方法包括:发送包含设定的互联网协议IP地址的用于探测是否存在网关欺骗病毒的探测报文;并接收探测响应报文;获得接收到的探测响应报文中的源IP地址;判断所述源IP地址是否和设定的网关IP地址一致;在确定出所述源IP地址和设定的网关IP地址一致时,向网络中各主机广播包含正确网关IP地址的网关报文,其中,所述包含正确网关IP地址的网关报文使网络中已被篡改的主机获取正确的IP地址,恢复与网关正常通信,用于解决网络中存在ARP欺骗病毒时网络的安全性。
Description
技术领域
本发明涉及数据通信技术领域,尤其是涉及一种防网关欺骗的方法及装置。
背景技术
地址解析协议(英文:Address Resolution Protocol,缩写:ARP)是根据IP地址获取物理地址的一个TCP/IP协议。网络中的主机通过网关连接外网,在网络中,通常情况下会设置一个默认的网关,网络中的主机发送到局域网外的全部报文会发送到默认网关,因此,网络中的主机连接外网之前都会先发送ARP请求报文申请默认网关的介质访问控制(英文:Medium Access Control,缩写:MAC)地址。
当网络中存在网关ARP欺骗的病毒时,网关ARP病毒进行欺骗的过程如下述:当局域网中的某一台主机向局域网外发送数据时,该主机会给全网络发送广播ARP请求报文,来申请网关的MAC地址。当网关收到ARP请求报文时,会回复一个ARP响应报文给请求主机。此时携带ARP网关欺骗病毒的主机也会回复一个虚假的ARP响应报文给请求主机,通常该虚假ARP报文的目的硬件地址被填成一个虚假的MAC地址或者其自身的MAC地址,而且通常虚假的ARP响应报文会比网关的ARP响应报文延迟一段时间或者多发几个。这样,主机就会学到错误的网关的MAC地址,后续发送的报文不是到达网关的MAC,而是到达一个错误的MAC地址,或者病毒主机。从而网关ARP欺骗病毒达到了使局域网络内主机断网或者流量导入病毒主机的目的。
综上所述,网关ARP欺骗病毒的存在会导致网络中的主机学习到错误的网关的MAC地址,从而造成网络中的主机无法向局域网外发送数据或者发送的数据被错误的导入到病毒主机,使得网络安全性较差。
发明内容
本发明提供了一种防网关欺骗的方法及装置,用于解决网络中存在ARP欺骗病毒时网络的安全性。
一种防网关欺骗的方法,包括:发送包含设定的互联网协议IP地址的用于探测是否存在网关欺骗病毒的探测报文;并接收探测响应报文;获得接收到的探测响应报文中的源IP地址;判断所述源IP地址是否和设定的网关IP地址一致;在确定出所述源IP地址和设定的网关IP地址一致时,向网络中各主机广播包含正确网关IP地址的网关报文,其中,所述包含正确网关IP地址的网关报文使网络中已被篡改的主机获取正确的IP地址,恢复与网关正常通信。
通过上述技术方案,可以使得网络中已被篡改的主机获取正确的IP地址,恢复与网关正常通信。
在确定出所述源IP地址和设定的网关IP地址一致之后,还包括:根据接收到的欺骗源发送的探测响应报文,获得发送所述探测响应报文的主机介质访问控制MAC地址作为欺骗源MAC地址;将所述欺骗源MAC地址加入到用于标识网关欺骗病毒源的黑名单中。
通过上述技术方案,可以定位到欺骗源,并进一步阻断了欺骗源对于网关的欺骗。
在接收网关ARP回应报文之前,还包括:通过设定端口广播探测报文,所述探测报文中包含设定的网关IP地址、设定的发送IP地址、设定的发送MAC地址以及所述设定端口归属的虚拟局域网VLAN标识。
通过指定发送者IP地址字段、发送者硬件地址字段,不使用网关的IP与MAC,可以防止某些智能病毒识别出网关的探测意图。
通过设定端口广播探测报文,包括:以设定时长为间隔,周期性通过设定端口广播探测报文。
通过上述技术方案,可以使得已经被欺骗的网络中的设备,恢复与网关的正常通信。
一种防网关欺骗的装置,包括:发送模块,用于发送包含设定的互联网协议IP地址的用于探测是否存在网关欺骗病毒的探测报文;接收模块,用于接收探测响应报文;获得模块,用于获得接收到的探测响应报文中的源IP地址;执行模块,用于判断所述源IP地址是否和设定的网关IP地址一致;在确定出所述源IP地址和设定的网关IP地址一致时,向网络中各主机广播包含正确网关IP地址的网关报文,其中,所述包含正确网关IP地址的网关报文使网络中已被篡改的主机获取正确的IP地址,恢复与网关正常通信。
通过上述技术方案,可以使得网络中已被篡改的主机获取正确的IP地址,恢复与网关正常通信。
所述获得模块,还用于根据接收到的欺骗源发送的探测响应报文,获得发送所述探测响应报文的主机介质访问控制MAC地址作为欺骗源MAC地址;所述执行模块,还用于将所述欺骗源MAC地址加入到用于标识网关欺骗病毒源的黑名单中。
通过上述技术方案,可以定位到欺骗源,并进一步阻断了欺骗源对于网关的欺骗。
所述发送模块,具体用于通过设定端口广播探测报文,所述探测报文中包含设定的网关IP地址、设定的发送IP地址、设定的发送MAC地址以及所述设定端口归属的虚拟局域网VLAN标识。
通过指定发送者IP地址字段、发送者硬件地址字段,不使用网关的IP与MAC,可以防止某些智能病毒识别出网关的探测意图。
所述发送模块,具体用于以设定时长为间隔,周期性通过设定端口广播探测报文。
通过上述技术方案,可以使得已经被欺骗的网络中的设备,恢复与网关的正常通信。
附图说明
图1为本发明实施例一中,提出的防网关欺骗的方法流程图;
图2为本发明实施例一中,提出的防网关欺骗的装置结构组成示意图;
图3为本发明实施例二中,提出的防网关欺骗的方法流程图;
图4为本发明实施例二中,提出的网关ARP请求报文的具体格式示意图;
图5为本发明实施例二中,提出的防网关欺骗的系统架构图;
图6为本发明实施例二中,提出的应用环境系统架构图。
具体实施方式
针对当前情况下网关ARP欺骗病毒的存在会导致网络中的主机学习到错误的网关的MAC地址,从而造成网络中的主机无法向局域网外发送数据或者发送的数据被错误的导入到病毒主机,使得网络安全性较差的问题,本发明实施例提出一种防网关欺骗的方法,通过对接收到的发送给网关的网关ARP回应报文中的源IP地址的比对以及判断,在确定出获得的源IP地址和设定的网关IP地址一致时,向网络中各主机广播包含正确网关IP地址的网关ARP报文,可以使得已经被欺骗的网络中的设备恢复正常的网关ARP表项,恢复与网关的正常通信。
下面将结合各个附图对本发明实施例技术方案的主要实现原理、具体实施方式及其对应能够达到的有益效果进行详细地阐述。
实施例一
当局域网中的某一台主机需要向局域网外部发送报文时,该主机会给全网络广播请求报文,申请网关的MAC地址。当网关收到请求报文时,会回复一个对请求报文的响应报文给主机。同时,携带网关欺骗病毒的主机也会回复一个对请求报文的虚假的响应报文,也就是欺骗报文给请求主机,通常该虚假的响应报文的目的硬件地址被填成一个虚假的MAC地址或者携带网关欺骗病毒的主机自身的MAC地址,而且通常虚假的响应报文会比网关的响应报文延迟一段时间或者多发几个。
本发明实施例一提出的一种防网关欺骗的方法,如图1所示,其具体处理流程如下述:
步骤11,发送包含设定的IP地址的探测报文。
其中,探测报文是用于探测网络中是否存在网关欺骗病毒的报文。发送探测报文是一个引诱作用,探测报文是模拟主机给全网络广播的请求报文,在IPV4网络下,探测报文是ARP报文,在IPV6网络下,探测报文是NS报文。
可以通过设定端口广播探测报文,探测报文中包含设定的网关IP地址、设定的发送IP地址、设定的发送MAC地址以及所述设定端口归属的虚拟局域网VLAN标识。
具体地,可以以设定时长为间隔,周期性通过设定端口广播探测报文。
本发明实施例提出的技术方案中,在一个局域网中,包含一个网关、多个主机。
可以由网关周期性地向设定端口广播探测报文。
步骤12,接收探测响应报文。
其中,探测响应报文是局域网中的各主机发送的对探测报文的响应报文。在IPV4网络下,探测响应报文是ARP reply报文,在IPV6网络下,探测响应报文是NA报文。
步骤13,获得接收到的探测响应报文中的源IP地址。
步骤14,判断获得的源IP地址是否和设定的网关IP地址一致。如果判断结果为是,执行步骤15,反之结束处理。
本发明实施例提出的技术方案中,在局域网中,包括网关和主机,本发明的方案直接在网关的功能上体现,此外,也可以采用单独的防网关欺骗装置部署在网络中,来防网关欺骗。本发明实施例的方案直接在网关的功能上体现,局域网中的各主机通过网关向局域网外部发送报文,并通过网关接收外部发送的报文。该种网络架构下,如果局域网中存在网关欺骗病毒,会导致局域网中的各主机学习到错误的网关MAC地址,从而导致局域网中的主机无法向局域网外发送数据。
具体地,设定的网关IP地址为网络中不与其他主机冲突的IP地址。本发明实施例提出的技术方案中,采用设定的网关IP地址,可以较好地防止某些智能病毒识别出网关的探测网关欺骗病毒的意图。从而可以更为准确地确定出携带网关欺骗病毒的主机。
步骤15,在确定出源IP地址和设定的网关IP地址一致时,向网络中各主机广播包含正确网关IP地址的网关报文。
包含正确网关IP地址的网关报文使网络中已被篡改的主机获取正确的IP地址,恢复与网关正常通信。
可选地,在上述步骤15之后,还可以包括:
根据接收到的欺骗源发送的探测响应报文,获得发送探测响应报文的主机MAC地址作为欺骗源MAC地址;将所述欺骗源MAC地址加入到用于标识网关欺骗病毒源的黑名单中。
相应地,本发明实施例一还提出一种防网关欺骗的装置,本发明中该防网关欺骗装置可内嵌在网关上,运行于网关内部,此外,也该防网关欺骗装置可以是一个外部装置,在整个网络中运行,如图2所示,该防网关欺骗的装置包括:
发送模块201,用于发送包含设定的互联网协议IP地址的用于探测是否存在网关欺骗病毒的探测报文。
具体地,上述发送模块201,具体用于通过设定端口广播探测报文,所述探测报文中包含设定的网关IP地址、设定的发送IP地址、设定的发送MAC地址以及所述设定端口归属的虚拟局域网VLAN标识。
具体地,上述发送模块201,具体用于以设定时长为间隔,周期性通过设定端口广播探测报文。
接收模块202,用于接收探测响应报文。
获得模块203,用于获得接收到的探测响应报文中的源IP地址。
执行模块204,用于判断所述源IP地址是否和设定的网关IP地址一致;在确定出所述源IP地址和设定的网关IP地址一致时,向网络中各主机广播包含正确网关IP地址的网关报文,其中,所述包含正确网关IP地址的网关报文使网络中已被篡改的主机获取正确的IP地址,恢复与网关正常通信。
具体地,上述获得模块203,还用于根据接收到的欺骗源发送的探测响应报文,获得发送所述探测响应报文的主机介质访问控制MAC地址作为欺骗源MAC地址;所述执行模块,还用于将所述欺骗源MAC地址加入到用于标识网关欺骗病毒源的黑名单中。
实施例二
本发明实施例一上述提出的方网关欺骗方法及装置,可以应用在基于IPV4协议的网络中,也可以应用在基于IPV6协议的网络中,不同之处在于,在IPV6中,所接收探测响应报文内容还包括有3个特殊的标志位,分别为R/S/O,R表示发送者是否为路由器,S表示Solicited,S表示该应答报文是免费的还是收到请求后应答的,O表示收到该报文后要不要覆盖更新已有表项信息。
本发明实施例二以应用在基于IPV4协议的网络中为例,来进一步详细阐述防网关欺骗的方法,如图3所示,其具体处理流程如下述:
步骤31,发送包含设定的IP地址的APR探测报文。ARP探测报文是模拟主机给全网络广播的ARP请求报文。
步骤32,接收探测响应ARP报文。
本发明实施例二提出的技术方案中,在一个局域网中,包含一个网关、多个主机。
其中,探测响应ARP报文是局域网中的各主机向网关发送的对APR探测报文的响应报文,ARP reply报文。
步骤33,获得接收到的探测响应ARP reply报文中的源IP地址。
在接收到的探测响应ARP reply报文的报文中获得发送该探测响应ARPreply报文的主机的源IP地址。
步骤34,判断获得的源IP地址是否和设定的网关IP地址一致。如果判断结果为是,执行步骤35,反之结束处理。
本发明实施例二提出的技术方案中,在局域网中,包括网关和主机。局域网中的各主机通过网关向局域网外部发送报文,并通过网关接收外部发送的报文。在IPV4网络架构下,如果局域网中存在网关欺骗病毒,会导致局域网中的各主机学习到错误的网关MAC地址,从而导致局域网中的主机无法向局域网外发送数据。其中,网关欺骗病毒进行欺骗的过程具体如下述:当局域网中的某一台主机需要向局域网外部发送报文时,该主机会给全网络广播ARP请求报文,申请网关的MAC地址。当网关收到ARP请求报文时,会回复一个ARP reply响应报文给主机。同时,携带ARP网关欺骗病毒的主机也会回复一个虚假的ARP reply响应报文,也就是ARP欺骗报文给请求主机,通常该虚假ARP报文的目的硬件地址被填成一个虚假的MAC地址或者携带ARP网关欺骗病毒的主机自身的MAC地址,而且通常虚假的ARP reply响应报文会比网关的ARPreply响应报文延迟一段时间或者多发几个。这样,主机就会学到错误的网关的MAC地址,发送的报文不是到达网关的MAC,而是到达一个错误的MAC地址,或者病毒主机。因此,网关欺骗病毒达到了使局域网络内主机断网或者流量导入病毒主机的目的。本发明实施例提出的技术方案中,在接收到网络中的主机向网关发送的网关ARPreply响应报文时,确定出ARPreply响应报文的报文头中的源IP地址,将获得的源IP地址和设定的网关IP地址比较。
具体地,设定的网关IP地址为网络中不与其他主机冲突的IP地址。本发明实施例提出的技术方案中,采用设定的网关IP地址,可以较好地防止某些智能病毒识别出网关的探测网关欺骗病毒的意图。从而可以更为准确地确定出携带网关欺骗病毒的主机。
步骤35,在确定出获得的源IP地址和设定的网关IP地址一致时,向网络中各主机广播包含正确网关IP地址的网关ARP报文。
其中,包含正确网关IP地址的网关ARP报文用于指示网络中的主机在发送报文时,使用该正确网关IP地址替换所述源IP地址。通过本步骤,可以使得已经被欺骗的网络中的设备恢复正常的网关ARP表项,恢复与网关的正常通信。
步骤36,网络中各主机根据接收到的网关ARP报文中的正确网关IP地址发送报文。
可选地,在上述步骤35在确定出源IP地址和设定的网关IP地址一致之后,还可以包括:
可选地,在上述步骤35之后,还可以包括:
根据接收到的欺骗源发送的探测响应ARP报文,获得发送探测响应ARP报文的主机MAC地址作为欺骗源MAC地址;将欺骗源MAC地址加入到用于标识网关欺骗病毒源的黑名单中。
在确定出源IP地址和设定的网关IP地址一致之后,则表明网络中有设备冒充网关,根据接收到的欺骗源发送的探测响应ARP报文,获得发送探测响应ARP报文的主机MAC地址,即为欺骗源的MAC地址,把该MAC地址加入黑名单或过滤表中,这样,后续可以定位到欺骗源并且阻断了欺骗源对于网关的欺骗。
可选地,在上述步骤32接收接收探测响应ARP报文之前,还包括:
通过网关上设定端口广播ARP探测报文。
ARP探测报文中包含设定的网关IP地址、设定的发送IP地址、设定的发送MAC地址以及所述设定端口归属的虚拟局域网VLAN标识。
其中,以设定时长为间隔,周期性通过设定端口广播ARP探测报文。例如,默认发送周期可以为10s。
本发明实施例提出的技术方案中,ARP探测报文的具体格式如图4所示,包括发送者硬件地址字段、发送者IP地址字段、目标硬件地址字段以及目标IP地址字段。依据图4所示的ARP探测报文的具体格式,预先设定网关IP地址、发送者IP地址、发送者硬件地址(如发送者MAC地址)、以及报文发送端口所在的VALN标识。然后根据设定的网关IP地址、发送者IP地址、发送者硬件地址(如发送者MAC地址)、以及报文发送端口所在的VALN标识形成ARP探测报文,形成的ARP探测报文通过指定的端口向局域网中发送。
一种较佳的实现方式,本发明实施例提出的技术方案中,如图4所示的ARP探测报文的具体格式,目标IP地址字段中填充网关的IP地址,目标硬件地址字段中填充为全0,发送者IP地址字段填充发送者IP地址,发送者硬件地址字段填充发送者MAC地址。并且,发送者MAC地址同时填充到以太头部的源MAC地址中。发送者IP地址字段、发送者硬件地址字段指定的一个不和其他主机冲突的IP地址与MAC。通过指定发送者IP地址字段、发送者硬件地址字段,不使用网关的IP与MAC,可以防止某些智能病毒识别出网关的探测意图。
进一步地,本发明实施例二以一具体实施例来详细阐述本发明提出的防网关欺骗的方法,如图5所示的系统架构,以一个VLAN为例来进行详细阐述,R1为路由设备,交换口fa1/1-fa1/3同属于VLAN 1,R1作为整个局域网的网关,R1的IP地址为192.168.1.100。在该VLAN中有三台主机,分别是PC1、PC2和PC3。假设PC1是攻击者。
基于图5所示的系统架构,本发明实施例一提出的防网关欺骗的方法,其具体流程为:
步骤一,在路由设备的交换口fa1/1-fa1/3,绑定网关IP地址:192.168.1.100,设置发送者IP地址:192.168.1.101,设置发送者硬件地址(MAC):0000.0000.0001。
步骤二,在完成步骤一的设定工作后,三个交换端口fa1/1-fa1/3周期性的发送ARP探测报文,请求网关192.168.1.100的MAC地址,ARP探测报文的源IP地址字段为192.168.1.101,源MAC字段为0000.0000.0001。
步骤三,局域网内的各个PC接收到ARP探测报文。ARP探测报文是模拟主机给全网络广播的ARP请求报文。
由于PC1上存在ARP欺骗病毒,PC1会对上述接收到的ARP探测报文进行响应,针对ARP探测报文发送探测响应ARP报文,也就是ARP reply报文,实际上也是PC1伪装成网关发送的ARP欺骗报文。
PC1的探测响应ARP报文发送MAC地址为0000.0000.0001的设备,因为R1在绑定的同时也把0000.0000.0001这个MAC地址下放到设备,所以PC1的探测响应ARP报文即ARP欺骗报文实际上送到了R1。
步骤四,R1接收到PC1发来的探测响应ARP报文。
步骤五,R1确定出PC1发来的探测响应ARP报文是网关ARP欺骗报文,根据PC1发送的探测响应ARP报文获取发送探测响应ARP报文的源MAC地址,即PC1的MAC地址,加入到R1的MAC过滤表或黑名单中。使得PC1不能够在用此MAC地址向R1发送任何数据。
步骤六,R1接收到ARP欺骗报文,判断同本身的ARP请求报文冲突,则向各个交换口发送真实网关的免费ARP报文。
步骤七,PC2和PC3接收免费ARP报文,学习到正确的网关ARP信息,恢复同网关的正常通信。
本发明实施例上述提出的技术方案,应用环境拓扑图如图6所示,在金融网点,接入设备通过广域网连到市分行,而在金融网点内部,通常都是一个局域网,网络环境中可能充斥着ARP欺骗病毒或者ARP欺骗工具,接入设备作为网关的时候,ARP欺骗源可能会伪装网关进行ARP欺骗,使得局域网内的其他的设备学习到错误的网关MAC。从而导致全局域网内的主机断网,或者使全局域网内的主机信息导入网关ARP欺骗源,以达到盗窃信息的作用。在金融网点这种对安全性要求很高的地方,发生网关ARP欺骗的危害尤其严重。金融网点的接入设备一般是路由交换一体机,既有连接主机的交换接口,又有连接外网的路由接口。而很多类型的路由交换一体机的交换芯片功能比较单一,没有交换机的交换芯片的一些功能,例如,硬件ACL。本发明实施例提出的技术方案,可以应用在交换芯片没有硬件ACL功能的路由设备上,在软件层面实现防网关ARP欺骗,并且可以有效地定位到网关ARP欺骗源,对网关ARP欺骗源进行隔离限制。
本领域的技术人员应明白,本发明的实施例可提供为方法、装置(设备)、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、只读光盘、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (8)
1.一种防网关欺骗的方法,其特征在于,包括:
发送包含设定的互联网协议IP地址的用于探测是否存在网关欺骗病毒的探测报文;并
接收探测响应报文;
获得接收到的探测响应报文中的源IP地址;
判断所述源IP地址是否和设定的网关IP地址一致;
在确定出所述源IP地址和设定的网关IP地址一致时,向网络中各主机广播包含正确网关IP地址的网关报文,其中,所述包含正确网关IP地址的网关报文使网络中已被篡改的主机获取正确的IP地址,恢复与网关正常通信。
2.如权利要求1所述的方法,其特征在于,在确定出所述源IP地址和设定的网关IP地址一致之后,还包括:
根据接收到的欺骗源发送的探测响应报文,获得发送所述探测响应报文的主机介质访问控制MAC地址作为欺骗源MAC地址;
将所述欺骗源MAC地址加入到用于标识网关欺骗病毒源的黑名单中。
3.如权利要求1所述的方法,其特征在于,发送包含设定的IP地址的用于探测是否存在网关欺骗病毒的探测报文,包括:
通过设定端口广播探测报文,所述探测报文中包含设定的网关IP地址、设定的发送IP地址、设定的发送MAC地址以及所述设定端口归属的虚拟局域网VLAN标识。
4.如权利要求3所述的方法,其特征在于,通过设定端口广播探测报文,包括:
以设定时长为间隔,周期性通过设定端口广播探测报文。
5.一种防网关欺骗的装置,其特征在于,包括:
发送模块,用于发送包含设定的互联网协议IP地址的用于探测是否存在网关欺骗病毒的探测报文;
接收模块,用于接收探测响应报文;
获得模块,用于获得接收到的探测响应报文中的源IP地址;
执行模块,用于判断所述源IP地址是否和设定的网关IP地址一致;在确定出所述源IP地址和设定的网关IP地址一致时,向网络中各主机广播包含正确网关IP地址的网关报文,其中,所述包含正确网关IP地址的网关报文使网络中已被篡改的主机获取正确的IP地址,恢复与网关正常通信。
6.如权利要求5所述的装置,其特征在于,所述获得模块,还用于根据接收到的欺骗源发送的探测响应报文,获得发送所述探测响应报文的主机介质访问控制MAC地址作为欺骗源MAC地址;
所述执行模块,还用于将所述欺骗源MAC地址加入到用于标识网关欺骗病毒源的黑名单中。
7.如权利要求5所述的装置,其特征在于,所述发送模块,具体用于通过设定端口广播探测报文,所述探测报文中包含设定的网关IP地址、设定的发送IP地址、设定的发送MAC地址以及所述设定端口归属的虚拟局域网VLAN标识。
8.如权利要求7所述的装置,其特征在于,所述发送模块,具体用于以设定时长为间隔,周期性通过设定端口广播探测报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410704705.1A CN104363243A (zh) | 2014-11-27 | 2014-11-27 | 一种防网关欺骗的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410704705.1A CN104363243A (zh) | 2014-11-27 | 2014-11-27 | 一种防网关欺骗的方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104363243A true CN104363243A (zh) | 2015-02-18 |
Family
ID=52530469
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410704705.1A Pending CN104363243A (zh) | 2014-11-27 | 2014-11-27 | 一种防网关欺骗的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104363243A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106209837A (zh) * | 2016-07-08 | 2016-12-07 | 珠海市魅族科技有限公司 | Arp欺骗检测方法及系统 |
CN107070908A (zh) * | 2017-04-01 | 2017-08-18 | 汕头大学 | 一种自动检测假冒网关arp欺骗的方法 |
CN107181644A (zh) * | 2017-06-16 | 2017-09-19 | 北京小度信息科技有限公司 | 用于监控网络应用的网络性能的方法和装置 |
CN108574673A (zh) * | 2017-03-10 | 2018-09-25 | 武汉安天信息技术有限责任公司 | 应用于网关的arp报文攻击检测方法及装置 |
CN108574674A (zh) * | 2017-03-10 | 2018-09-25 | 武汉安天信息技术有限责任公司 | 一种arp报文攻击检测方法及装置 |
CN109039989A (zh) * | 2017-06-08 | 2018-12-18 | 腾讯科技(深圳)有限公司 | 地址解析协议欺骗检测方法及装置 |
CN109962906A (zh) * | 2017-12-22 | 2019-07-02 | 诺防网络科技有限公司 | Arp欺骗探测系统及其方法 |
CN113132993A (zh) * | 2021-04-23 | 2021-07-16 | 杭州网银互联科技股份有限公司 | 应用在无线局域网中的数据窃取识别系统及其使用方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101820396A (zh) * | 2010-05-24 | 2010-09-01 | 杭州华三通信技术有限公司 | 一种报文安全性验证的方法和设备 |
CN102546658A (zh) * | 2012-02-20 | 2012-07-04 | 神州数码网络(北京)有限公司 | 一种防止网关arp欺骗的方法和系统 |
CN102546661A (zh) * | 2012-02-21 | 2012-07-04 | 神州数码网络(北京)有限公司 | 一种防止IPv6网关邻居欺骗攻击的方法及系统 |
CN102761499A (zh) * | 2011-04-26 | 2012-10-31 | 国基电子(上海)有限公司 | 网关及其避免受攻击的方法 |
US8572217B2 (en) * | 2008-02-15 | 2013-10-29 | Ericsson Ab | Methods and apparatuses for dynamically provisioning a dynamic host configuration protocol (DHCP) client as a clientless internet protocol services (CLIPS) subscriber on a last-resort interface |
CN104065630A (zh) * | 2013-03-22 | 2014-09-24 | 清华大学 | 一种面向IPv6网络的假冒源地址报文探测方法 |
-
2014
- 2014-11-27 CN CN201410704705.1A patent/CN104363243A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8572217B2 (en) * | 2008-02-15 | 2013-10-29 | Ericsson Ab | Methods and apparatuses for dynamically provisioning a dynamic host configuration protocol (DHCP) client as a clientless internet protocol services (CLIPS) subscriber on a last-resort interface |
CN101820396A (zh) * | 2010-05-24 | 2010-09-01 | 杭州华三通信技术有限公司 | 一种报文安全性验证的方法和设备 |
CN102761499A (zh) * | 2011-04-26 | 2012-10-31 | 国基电子(上海)有限公司 | 网关及其避免受攻击的方法 |
CN102546658A (zh) * | 2012-02-20 | 2012-07-04 | 神州数码网络(北京)有限公司 | 一种防止网关arp欺骗的方法和系统 |
CN102546661A (zh) * | 2012-02-21 | 2012-07-04 | 神州数码网络(北京)有限公司 | 一种防止IPv6网关邻居欺骗攻击的方法及系统 |
CN104065630A (zh) * | 2013-03-22 | 2014-09-24 | 清华大学 | 一种面向IPv6网络的假冒源地址报文探测方法 |
Non-Patent Citations (1)
Title |
---|
陈辉, 陶洋: "《基于WinPcap实现对ARP欺骗的检测和恢复》", 《计算机应用》 * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106209837A (zh) * | 2016-07-08 | 2016-12-07 | 珠海市魅族科技有限公司 | Arp欺骗检测方法及系统 |
CN108574673A (zh) * | 2017-03-10 | 2018-09-25 | 武汉安天信息技术有限责任公司 | 应用于网关的arp报文攻击检测方法及装置 |
CN108574674A (zh) * | 2017-03-10 | 2018-09-25 | 武汉安天信息技术有限责任公司 | 一种arp报文攻击检测方法及装置 |
CN107070908A (zh) * | 2017-04-01 | 2017-08-18 | 汕头大学 | 一种自动检测假冒网关arp欺骗的方法 |
CN109039989A (zh) * | 2017-06-08 | 2018-12-18 | 腾讯科技(深圳)有限公司 | 地址解析协议欺骗检测方法及装置 |
CN109039989B (zh) * | 2017-06-08 | 2021-02-26 | 腾讯科技(深圳)有限公司 | 地址解析协议欺骗检测方法、主机及计算机可读存储介质 |
CN107181644A (zh) * | 2017-06-16 | 2017-09-19 | 北京小度信息科技有限公司 | 用于监控网络应用的网络性能的方法和装置 |
CN107181644B (zh) * | 2017-06-16 | 2019-09-27 | 北京小度信息科技有限公司 | 用于监控网络应用的网络性能的方法和装置 |
CN109962906A (zh) * | 2017-12-22 | 2019-07-02 | 诺防网络科技有限公司 | Arp欺骗探测系统及其方法 |
CN113132993A (zh) * | 2021-04-23 | 2021-07-16 | 杭州网银互联科技股份有限公司 | 应用在无线局域网中的数据窃取识别系统及其使用方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104363243A (zh) | 一种防网关欺骗的方法及装置 | |
CN106878166B (zh) | 路由通告方法及装置 | |
CN111130931B (zh) | 一种违规外联设备的检测方法及装置 | |
US9258266B2 (en) | Host detection by top of rack switch devices in data center environments | |
US10263808B2 (en) | Deployment of virtual extensible local area network | |
CN108259299B (zh) | 一种转发表项生成方法、装置及机器可读存储介质 | |
US10461958B2 (en) | Packet transmission method and apparatus | |
CN105959254B (zh) | 处理报文的方法和装置 | |
CN105591841A (zh) | 一种vxlan隧道的连通性检测方法 | |
CN104468368B (zh) | 配置bgp邻居的方法及装置 | |
WO2019165775A1 (zh) | 一种局域网设备的搜索方法及搜索系统 | |
CN105490884B (zh) | 一种vxlan隧道检测方法及装置 | |
CN107547349A (zh) | 一种虚拟机迁移的方法及装置 | |
CN104852826B (zh) | 一种环路检测方法及装置 | |
CN105187311B (zh) | 一种报文转发方法及装置 | |
CN109347670A (zh) | 路径追踪方法及装置、电子设备、存储介质 | |
CN105763440A (zh) | 一种报文转发的方法和装置 | |
CN107659484B (zh) | 从vlan网络接入vxlan网络的方法、装置及系统 | |
CN106059923A (zh) | 一种报文转发方法及装置 | |
CN103973555A (zh) | 通用路由封装协议隧道建立方法、通信设备及通信系统 | |
CN104852840A (zh) | 一种控制虚拟机之间互访的方法及装置 | |
US20190215191A1 (en) | Deployment Of Virtual Extensible Local Area Network | |
CN112152880A (zh) | 一种链路健康检测方法及装置 | |
CN104427004A (zh) | 一种基于网络设备的arp报文管理方法 | |
CN111953607A (zh) | 路由更新的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150218 |